Dodatek Defense Federal Acquisition Regulation Supplement (DFARS) reguluje nabywanie towarów i usług dla Departamentu Obrony (DoD). Zarówno urzędnicy, jak i wykonawcy muszą stosować się do wymogów określonych w DFARS. Jak każdy, kto zapoznał się z wymaganiami określonymi w DFARS, wie, że DFARS sam w sobie jest złożonym organem regulacyjnym o szerokim zakresie i głębokości. Kontraktorzy i podwykonawcy, którzy zaopatrują lub współpracują z DoD, są zobowiązani do przestrzegania przepisów DFARS lub narażają się na kary za ich nieprzestrzeganie, co sprawia, że istotne jest dokładne zrozumienie wymogów zgodności z DFARS i sposobów ich spełnienia.
Jednym z wyzwań, jakie DFARS stawia przed kontrahentami i podwykonawcami, jest ograniczenie dotyczące krajów, z których można pozyskiwać dostawy. Ze względu na złożoność naszego globalnego łańcucha dostaw, organizacje spoza procesu zamówień DoD często nie wiedzą dokładnie, skąd pochodzą ich towary i usługi. Może to stwarzać potencjalne problemy ze zgodnością z DFARS, stąd konieczność wprowadzenia ograniczeń. W samym rozporządzeniu DFARS znajduje się lista krajów zgodnych z DFARS. Lista ta jest niezbędna dla wszystkich wykonawców, aby zrozumieć i przestrzegać, co oznacza, że wszystkie zamówienia towarów i usług muszą przejść przez te kraje. Dotyczy to również komponentów, które składają się ze stopionych metali, co jest skomplikowanym tematem samym w sobie. Zgodnie z wymogami DFARS tylko określone kraje mogą przetapiać metale poza Stanami Zjednoczonymi, jeśli produkt końcowy jest przeznaczony do celów DoD.
Istnieją również pewne ważne zmiany, które zostały niedawno wprowadzone do DFARS, a które mają wpływ na wielu wykonawców i podwykonawców współpracujących z DoD. Mianowicie, dodano wymagania dotyczące bezpieczeństwa cybernetycznego w celu ochrony informacji niejawnych podlegających kontroli (Controlled Unclassified Information, CUI). Ma to wpływ na wszystkich partnerów DoD i jest prawem obowiązującym od końca 2017 roku. Ten dodatkowy wymóg dla DFARS upoważniał wszystkie organizacje w zakresie rozporządzenia do przyjęcia wysiłków w zakresie bezpieczeństwa cybernetycznego określonych w National Institute of Standards and Technology (NIST) SP 800-171 rewizja 1. Wymagania te mają na celu ochronę CUI przed nieuprawnionym dostępem lub kradzieżą. W ten sposób wymagania te chronią również samych wykonawców poprzez zapewnienie, że ich wysiłki w zakresie bezpieczeństwa cybernetycznego są w stanie sprostać dzisiejszym zagrożeniom.
Poruszanie się po wymaganiach DFARS może być niezwykle trudne. Szczegółowość informacji zawartych w dokumentach regulacyjnych jest ogromna, a liczne dodatkowe dokumenty wymagane do uzyskania pełnego obrazu usług doradczych w zakresie zgodności i wymagań, których organizacje muszą przestrzegać; większość mniejszych i średnich wykonawców może mieć trudności z przestrzeganiem wymagań określonych w DFARS. W niniejszym artykule postaramy się przedstawić kompleksową listę krajów zgodnych z DFARS. Przyjrzymy się również, co to znaczy być krajem zgodnym, aby zapewnić lepszy kontekst dla samych przepisów.
Tutaj znajduje się kilka innych artykułów, które pomogą Ci dowiedzieć się więcej o DFARS :
- Co oznacza skrót DFARS?
- Jak uzyskać zgodność z DFARS?
Czym są kraje kwalifikujące się?
W tym momencie mogą się Państwo zastanawiać, czym jest kraj kwalifikujący się. W odniesieniu do DFARS, termin „kraj kwalifikujący się” odnosi się do kraju, z którym rząd Stanów Zjednoczonych podpisał protokół ustaleń lub inną umowę międzynarodową z wyznaczonym krajem. Na podstawie tych porozumień DoD stwierdza, że nie leży w interesie publicznym, aby kwalifikacje wymogów ustawy Buy American lub programu bilansu płatniczego miały zastosowanie do tych konkretnych krajów.
Co więc dokładnie sprawia, że relacje między Stanami Zjednoczonymi a krajem kwalifikującym się do programu są wyjątkowe? Cóż, zasadniczo rząd Stanów Zjednoczonych podpisuje wzajemne umowy o zamówieniach obronnych z każdym krajem, który znajduje się na liście. Te wzajemne umowy obronne rozpoczęły się w latach 70. w kontekście zimnej wojny, z zamiarem zwiększenia skuteczności sojuszy, które istniały w tamtym czasie. Ideą wzajemnych umów obronnych było to, że wiele krajów miało bariery, które istniały w odniesieniu do zamawiania sprzętu związanego z obronnością. Bariery te często przybierały formę praw lub norm, które zachęcały przemysł obronny do zaopatrywania się u źródeł krajowych, czy to ze względu na zachętę finansową, czy też w inny sposób.
Z uwagi na fakt, że zamówienia obronne stanowią tak istotną część zamówień rządowych w ogóle, sensowne było poszukiwanie porozumień z sojusznikami, w których bariery w zamówieniach transgranicznych zostałyby zredukowane lub wyeliminowane. Możliwość zaopatrywania się w sprzęt obronny zarówno w kraju, jak i u sojuszników, dawała państwom większą swobodę wyboru rodzaju nabywanego wyposażenia. Rozszerzenie środowiska zamówień zapewniło także szersze pole konkurencji w umowach o zamówieniach obronnych i zaopatrzeniu. Stosowanie wzajemnych umów o zamówieniach obronnych zapewnia większą efektywność kosztową zamówień obronnych. W umowach tych zawarte są również względy strategiczne, takie jak produkcja szerszego asortymentu sprzętu interoperacyjnego.
Ważnym aspektem wzajemnych umów o zamówieniach obronnych jest zapis o odstąpieniu od wymagań, jakie wiele narodów stawia jednostkom rządowym, aby kupowały produkty wytwarzane w kraju. W Stanach Zjednoczonych ma to formę ustawy „Buy American Act”, uchwalonej w 1933 r., która uniemożliwia rządowi federalnemu zakup dostaw lub wyrobów gotowych spoza Stanów Zjednoczonych bez zwolnienia. Wiele innych krajów również posiada ustawy „kupuj krajowe”. Wzajemne umowy o zamówieniach obronnych uchylają te przepisy, pozwalając obu krajom na wzajemny handel sprzętem obronnym. A co najmniej, niektóre organizacje w kwalifikujących się krajach mogą brać udział w procesie zamówień bez obawy o dyskryminujące praktyki zakupowe. Towary sprzedawane z krajów kwalifikujących się nie będą również obciążone cłami importowymi, przynajmniej w większości przypadków.
Oceń swoją zgodność z DFARS
Które kraje są krajami kwalifikującymi się?
W tym momencie prawdopodobnie chcesz uzyskać listę krajów, które są uważane za kraje kwalifikujące się zgodnie z DFARS. Jak można zauważyć, wiele z krajów na tej liście to zagorzali sojusznicy Stanów Zjednoczonych. W sumie istnieje obecnie 26 krajów, które są uważane za kraje spełniające wymogi DFARS. Oto lista krajów zgodnych z DFARS:
- Australia
- Belgia
- Kanada
- Republika Czeska
- Dania
- Egipt
- Estonia
- Federalna Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). To skojarzenie jest logiczne, biorąc pod uwagę kontekst historyczny, w którym zaczęły pojawiać się umowy o zamówieniach obronnych.
Jakie są inne ważne wymagania DFARS
Jak wspomnieliśmy, DFARS sam w sobie jest ogromnym organem regulacyjnym, który rządzi zamówieniami na sprzęt obronny. Istnieje wiele aspektów DFARS, które odnoszą się do konkretnych organizacji i jest zbyt wiele indywidualnych wymagań, aby się w nie zagłębiać. Warto jednak poświęcić czas na poznanie nieco więcej informacji na temat niedawnego wymogu, który został dodany do DFARS. Wymóg ten reguluje ochronę Kontrolowanych Informacji Niejawnych (Controlled Unclassified Information – CUI). Za nieprzestrzeganie tego wymogu grożą surowe kary, w tym utrata kontraktu rządowego, który organizacja posiada, dlatego warto zrozumieć, jak ten wymóg wpływa na Państwa.
Jeśli jesteś częścią procesu zamówień DoD i obsługujesz CUI, jesteś prawnie zobowiązany do przestrzegania wymogów bezpieczeństwa cybernetycznego określonych w DFARS 204.73 Safeguarding Covered Defense Information and Cyber Incident Reporting. Jak sama nazwa wskazuje, wymóg ten dotyczy ochrony danych wrażliwych, które nie są tajne, ale których ujawnienie mogłoby być szkodliwe. Aby to osiągnąć, podmioty objęte tym wymogiem muszą stosować się do normy NIST 800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations.
Klauzula regulująca bezpieczeństwo cybernetyczne w DFARS została dodana dopiero niedawno i weszła w życie 31 grudnia 2017 roku. Tak więc, podczas gdy wymóg ten obowiązuje już od ponad roku w tym momencie, nadal mogą istnieć małe i średnie przedsiębiorstwa, które muszą jeszcze osiągnąć zgodność. Osiągnięcie zgodności z wymogami DFARS w zakresie bezpieczeństwa cybernetycznego może być z pewnością trudne. Organizacje muszą zidentyfikować prawdziwy zakres sposobu, w jaki CUI jest przesyłana i przechowywana w ich zasobach sieciowych i systemach. Następnie, organizacje muszą wdrożyć zabezpieczenia opisane w normie NIST 800-171, aby zapewnić ochronę CUI.
Można się zastanawiać, do czego odnosi się pojęcie „Controlled Unclassified Information”, ponieważ z zewnątrz wydaje się ono być szerokim terminem. Zasadniczo, CUI to dane generowane przez rząd, które wymagają zabezpieczenia. Może to również obejmować informacje lub dane, które są generowane przez podmioty zewnętrzne w imieniu rządu. Sama definicja CUI jest złożona, a jej pełną definicję można znaleźć tutaj, podaną przez Archiwa Narodowe. Dla podmiotów objętych wymaganiami bezpieczeństwa DFARS, uzyskanie pełnego zrozumienia, co dokładnie stanowi CUI służy jako podstawowy punkt wyjścia do określenia, gdzie CUI jest przechowywana w systemach, jak jest przesyłana i jak jest chroniona. Niektóre przykłady CUI to e-maile, plany lub informacje o wykonawcach, ale istnieje wiele różnych rodzajów informacji, które można uznać za CUI. Jednym z najtrudniejszych aspektów uzyskania zgodności z normą NIST 800-171 jest właściwa identyfikacja CUI podczas interakcji z nimi.
NIST 800-171 określa ramy, które organizacje mogą wykorzystać do ochrony CUI w swoich sieciach i systemach. W sumie NIST 800-171 przedstawia 14 różnych wymagań, które organizacje muszą spełnić, aby zostać uznane za zgodne z przepisami. Wymagania te można podzielić na kontrole, środki bezpieczeństwa, zarządzanie i monitorowanie oraz praktyki użytkowników końcowych. Podobnie jak inne wymagania bezpieczeństwa przedstawione przez NIST, wymagania dotyczące bezpieczeństwa cybernetycznego przedstawione w NIST 800-171 reprezentują najlepsze praktyki przyjęte w branży. Chociaż istnieją konkretne wymagania, organizacje mogą wybrać najlepszy dla nich sposób spełnienia tych wymagań, biorąc pod uwagę ich potrzeby operacyjne, poziom ryzyka i dostępne zasoby.
Spełnienie wymagań nakreślonych w normie NIST 800-171 może być wyzwaniem, szczególnie dla małych i średnich producentów lub dostawców DoD, którzy nie mają zasobów do przeprowadzenia oceny i monitorowania wymagań nakazanych przez NIST. Organizacje, które chcą osiągnąć zgodność z normą NIST 800-171, muszą dokonać przeglądu swoich procesów biznesowych i zakresu CUI, a następnie przeanalizować luki w kontrolach. Po wykonaniu tych czynności można stworzyć mapę drogową dla dalszych działań. Następnie organizacje będą musiały wdrożyć mechanizmy kontrolne wraz z segmentacją sieci, ruchu lub aktywów, jeśli będzie to konieczne do zmniejszenia zakresu CUI. Wreszcie, organizacje będą musiały stworzyć procesy zapewniające stałą zgodność, w tym audyty bezpieczeństwa i walidacje. Aby wykonać wszystkie te zadania, organizacje muszą być w stanie przeprowadzić kompleksową ocenę swojej infrastruktury IT i mieć dostęp do ekspertyzy niezbędnej do przeprowadzenia oceny podatności.
Należy również pamiętać, że zgodność z wymaganiami określonymi w NIST 800-171 nie jest tylko pojedynczym wydarzeniem, ale raczej ciągłym procesem. Oznacza to, że organizacje muszą regularnie przeprowadzać oceny podatności, a także bieżące testy penetracyjne, aby zapewnić, że wszelkie luki w sieci, systemach lub aplikacjach internetowych są szybko identyfikowane i usuwane przed wystąpieniem szkodliwego zdarzenia. Poznaj 5 najlepszych narzędzi do przeprowadzania testów penetracyjnych dla aplikacji internetowych w naszym powiązanym artykule.
Wniosek
Utrzymanie zgodności z wymaganiami DFARS może wymagać ogromnej ilości czasu i koordynacji. Zrozumienie, jakie dokładnie są Twoje wymagania dotyczące zgodności, jest niezbędne do utrzymania kontraktu rządowego na bieżąco. Nie wystarczy po prostu wiedzieć, czy kraj, z którym współpracujesz, jest uznawany za kwalifikujący się, czy też nie. Jeśli jesteś organizacją, która jest podwykonawcą lub głównym wykonawcą zaopatrującym DoD, musisz mieć pewność, że Twoja organizacja chroni CUI i jest zgodna z normą NIST 800-171. Niezastosowanie się do tego wymogu może skutkować niezgodnością z przepisami i cofnięciem kontraktu rządowego, a także stratami finansowymi i utratą reputacji, które mogą towarzyszyć naruszeniu danych. Unikanie niezgodności z DFARS, w szczególności, wymaga współpracy z innymi organizacjami, które mają dogłębne zrozumienie zarówno DFARS i NIST 800-171 wymagań. Ze względu na fakt, że te dwa elementy idą ze sobą w parze, organizacje objęte zakresem muszą zapewnić, że przez cały czas zachowują zgodność z obydwoma. Jeśli chcą Państwo dowiedzieć się więcej na temat zgodności z DFARS i NIST 800-171 lub rozwiązań w zakresie bezpieczeństwa cybernetycznego, prosimy o kontakt z RSI Security już dziś.