5 часто задаваемых вопросов производителей о государственных требованиях кибербезопасности

Эта статья изначально была опубликована на сайте Industry Today. Гостевая запись в блоге Дженнифер Курц, директора киберпрограмм компании Manufacturer’s Edge, центра NIST MEP в Колорадо и представителя национальной сети MEP ^TM .

По данным Министерства внутренней безопасности США, производство является второй наиболее целевой отраслью по количеству зарегистрированных кибератак. Кроме того, киберпреступники рассматривают малые и средние производителей (SMM) в качестве основных целей, потому что многие из этих компаний не принимают адекватных превентивных мер.

Для Министерства обороны (DoD), подрядчиков и субподрядчиков обычной деятельности больше нет. Федеральное правительство, которое все больше полагается на внешних поставщиков услуг для ведения бизнеса, повысило ставки, когда дело доходит до защиты контролируемой несекретной информации (CUI) в нефедеральных информационных системах и организациях. По состоянию на 31 декабря 2017 года все подрядчики из федерального правительства были обязаны соблюдать минимальные требования к кибербезопасности Дополнения к Правилам оборонных закупок (DFARS), в противном случае они рисковали потерять свои контракты. Несмотря на этот просроченный срок, многим SMM не хватает знаний и ресурсов для обновления своих систем, и они не знают, как удовлетворить эти 110 новых требований безопасности. Важно отметить, что Федеральное постановление о закупках, которое применяется к государственным подрядчикам, работающим от имени Управления общих служб (GSA) и Национального управления по аэронавтике и исследованию космического пространства (NASA), скоро будет включать аналогичные требования к кибербезопасности.

Национальная сеть MEP, государственно-частное партнерство, которое предоставляет комплексные, проверенные решения для производителей США, активно предоставляет информацию и помощь, чтобы помочь производителям в США защитить свои информационные активы от рисков кибератак. Организация и ее партнеры также служат национальным ресурсом для производителей США, стремящихся обеспечить адекватную безопасность для защиты хранимой, обрабатываемой и передаваемой контролируемой несекретной информации.

Ниже приведены пять из наиболее часто задаваемых вопросов, которые я слышу от СММ о директивах федерального правительства по обеспечению безопасности DFARS.

В:Что такое контролируемая несекретная информация (CUI) и как узнать, обрабатываю ли я этот тип информации в рамках своего контракта?

О:Контролируемая несекретная информация (CUI) - это данные, являющиеся собственностью правительства. Правительство хочет, чтобы эта информация была в безопасности, но она не является жизненно важной для национальной безопасности. Пункт 252.204.7012 DFARS может присутствовать в вашем контракте, но он вступает в силу только в том случае, если вы обрабатываете, храните или передаете CUI. CUI может включать в себя:исследовательские и инженерные данные, технические чертежи, спецификации, руководства, технические отчеты, исследования и анализы, а также исполняемый код и исходный код компьютерного программного обеспечения. CUI будет иметь специальные инструкции по маркировке и обращению, такие как FOUO (только для официального использования). Дополнительную информацию о маркировке CUI см. В реестре CUI.

В:Требуется ли закон DFARS?

A:Любой подрядчик или субподрядчик, в контракте которого есть пункт DFARS, по закону обязан его соблюдать. Если вы ложно заявляете о своем соответствии, вы рискуете потерять свой государственный контракт и все связанные с ним доходы и, скорее всего, не будете иметь права на будущие государственные контракты.

В:У меня небольшой бизнес, и мои государственные контракты небольшие. Распространяется ли на меня соответствие DFARS?

О:Независимо от размера вашей компании или вашего контракта, если вы являетесь подрядчиком или субподрядчиком федерального правительства, который обрабатывает, хранит или передает CUI, вы должны соблюдать. Киберпреступники нацелены на более мелкие компании, поскольку обычно у них меньше мер безопасности. В компании, находящиеся на нижних уровнях цепочки поставок, может быть легче проникнуть, чем пытаться проникнуть в сети своей основной цели. Атака на цепочку поставок может быть более простым путем к контролируемой несекретной правительственной информации, чем попытка прямого доступа к правительственным сетям.

В:Как узнать, соответствует ли моя компания в настоящее время требованиям DFARS?

О:См. Руководство NIST 162. Это руководство представляет собой пошаговое руководство по оценке информационных систем производителя на соответствие требованиям безопасности DFARS.

В:Моя организация не соответствует минимальным требованиям DFARS, но я не знаю, с чего начать процесс соответствия?

О:Реализация утвержденного правительством плана кибербезопасности может быть непростой задачей. Вы можете начать с просмотра публикации NIST SP 800-171, в которой излагаются требования DFARS. Вы также можете обратиться в национальную сеть MEP, чтобы связать вас с вашим местным центром MEP. Местные центры MEP предлагают широкий спектр бесплатных или доступных услуг и инициатив, помогающих производителям в процессе соблюдения нормативных требований. Эти услуги включают в себя подключение к экспертам по кибербезопасности, которые могут разработать подробный анализ пробелов в протоколах и процедурах и создать план действий, направленный на устранение уязвимостей и других проблем соответствия.

В:Моя компания не является государственным подрядчиком, но я хотел бы улучшить наши протоколы кибербезопасности. Могу ли я использовать рекомендации DFARS?

A:Совершенно верно. Производители, работающие в коммерческих цепочках поставок, должны серьезно рассмотреть вопрос о внедрении требований безопасности DFARS в качестве неотъемлемого аспекта управления своими организационными рисками.

По мере того как производственный сектор становится все более оцифрованным, необходимость понимать, смягчать и реагировать на все более сложные киберугрозы становится издержками ведения бизнеса.