Совместная работа для достижения соответствия:как 2 ключевых предположения о кибербезопасности влияют на поставщиков DoD

По оценкам, на базе оборонно-промышленной базы («DIB») насчитывается около 300 000 компаний в производственном и непроизводственном секторах. Примерно 99% DIB составляют предприятия малого и среднего бизнеса, в которых работает менее 500 сотрудников.

С декабря 2017 года все компании, входящие в DIB, имеют в своих контрактах пункт 252.204-7012 - Дополнение к Правилам оборонных закупок (DFARS) (252.204-7012 - Обеспечение защиты закрытой оборонной информации и сообщения о киберинцидентах). По прошествии почти трех лет в DIB появился ряд неверных предположений, два из которых требуют более глубокого обсуждения ...

Первое предположение:самооценка Нет большого дела

В результате принятия условий контракта с Министерством обороны производители подтверждают, что они используют «адекватную кибербезопасность» для защиты контролируемой несекретной информации («CUI»). Адекватная кибербезопасность определяется в пункте DFARS как полное выполнение 110 требований безопасности, изложенных в специальной публикации NIST 800-171.

Многие производители считают, что их программы кибербезопасности достаточно. Большинство клиентов CMTC обычно начинают свою работу по обеспечению кибербезопасности с оценки своего соответствия требованиям на 70–80%. Однако скользящее среднее после базового анализа пробелов соответствует требованиям примерно на 34%.

Предыдущие сообщения в блоге освещали часто упускаемые из виду юридические риски, связанные с несоблюдением требований кибербезопасности. В конечном итоге, если компания хочет вести дела с Министерством обороны (DoD), она должна принять условия контракта и, следовательно, самостоятельно подтвердить соответствие требованиям кибербезопасности.

Второе предположение:ответом могут быть только внешние ИТ-провайдеры

Многим малым предприятиям не хватает специализированного ИТ-персонала и ресурсов. В результате многие производители используют сторонних поставщиков ИТ-услуг. Чтобы эти малые предприятия могли работать, внешним поставщикам услуг доверен огромный административный доступ к информационным системам компании. Часто производители предполагают, что все идет по плану. Производители должны контролировать своих Сторонних ИТ-провайдеров, чтобы понимать, какие действия предпринимаются. Киберпутешествие производителя с ИТ-провайдером является совместным с компанией, занимающейся деятельностью и результатами работы провайдера.

Кроме того, с точки зрения уязвимости, примерно половина из 110 требований безопасности напрямую связана с техническими операциями и технологическими решениями, обычно предоставляемыми сторонним поставщиком ИТ. Некоторые меры кибербезопасности настолько важны для деловых операций, что правительство разумно предположило, что все поставщики Министерства обороны будут активно управлять своими рисками. Совершенно необходимо, чтобы производитель и поставщик ИТ работали вместе, чтобы обеспечить соответствие требованиям Министерства обороны США. Поставщик DoD будет нести ответственность за соблюдение требований на долгосрочной основе.

Взятые вместе, эти два ключевых неверных предположения могут создать огромную задолженность по техническим вопросам и соблюдению нормативных требований.

Государственный аудит соответствия требованиям кибербезопасности приближается, поэтому лучший путь вперед - это контролировать своего поставщика ИТ и совместно работать над тем, чтобы способствовать общему соблюдению требований.

Рекомендуется Дальнейшие действия

1) Сосредоточьтесь на ваших существующих требованиях DFARS.

2) Найдите время, чтобы полностью понять предположения, лежащие в основе NIST SP 800-171.

3) Установите надежный процесс управления сторонними поставщиками.

4) Найдите время, чтобы досконально разобраться в договорных обязательствах.

Чтобы получить краткий обзор всей регуляторной экосистемы и более подробное обсуждение тем, изложенных в этом сообщении, вы можете просмотреть веб-семинар CMTC по запросу здесь.