对政府承包商的网络安全指南和要求不断发展,并将对承包商的合规性产生重大影响。国防承包商和民用承包商应满足新的要求 国防联邦采购条例补充(DFARS)252.204-7012。请务必注意,这些新要求适用于所有政府承包商和供应商,无论其规模大小。具体来说,它涵盖了“保障涵盖的国防信息(CDI)”,“网络事件报告”和“ 32条联邦法规”(CFR)。
承包商和云计算
计划实施基于能力的计算的承包商有义务。承包商建议必须包括满足DOD IT要求的基于云的解决方案。施加的要求包括:
- 在美国存储所有基于政府云的数据
- 在任何政府调查,检查或审计期间提供对数据的访问
- 获得国防信息系统局的授权
此外,提供基于云的信息服务的承包商必须遵守任何恶意软件,网络事件或第三方对信息的请求的报告要求,包括当地州和联邦机构。必须提供所有信息以进行法医分析。
细节决定成败
承包商将必须满足安全基准并确定其自身的风险状况。开发产品或服务的承包商必须遵循NIST SP 800-171中的准则。政府承包商必须使用由国土安全部开发的连续监视软件,或开发满足机构要求的专有软件。对于使用自己的系统的用户,必须遵守NIST-800-171指南。还预期承包商将受到更严格的检查和审计。
掩盖基地
运行或拥有处理,存储或传输联邦信息的信息系统的承包商应进行差距评估,以了解需要进行哪些更改才能满足新的基本要求。可能需要填补当前或将来的合同空白。
如果您不遵守新规定,则您的业务将面临风险。 DOD可以对违法行为处以罚款。在确定CDI之前,可以暂停工作订单。它还可能导致合同,民事和刑事处罚。后果可能包括:
- 悬挂
- 违约金
- 违反合同赔偿
- 方便终止
- 虚假索赔法损害赔偿
- 终止默认
- 往绩不佳
不管您是小型企业还是大型企业。是否提供产品或服务都没有关系。您是分包商还是主承包商都没有关系。您的企业必须遵守DFARS 252.204-7012网络安全措施。
如今,政府依靠外部承包商来处理和存储可能威胁到国家安全的敏感数据。 “最低网络安全标准集在NIST特别出版物800-171中进行了描述,并分为14个领域。在上述每个领域中,国防部承包商都必须执行特定的安全要求。必须在2017年12月31日之前完全合规。承包商必须在授予合同后30天内将国防部CIO通知在授予合同时未执行的任何安全要求。承包商可以通过其承包商向国防部CIO提出同等有效的替代措施。 NIST SP 800-37, 《将风险管理框架应用于联邦信息系统的指南》第3.3至3.6节可能为小型企业提供了一种系统的逐步实施方法,以实施,评估和监控这些控制措施。”
此外,国防部小型企业计划办公室还在其网站上提供了小型企业网络安全资源的详细列表。 http://business.dodrif.com/resources.php.