الامتثال لـ DFARS
ضمان الأمن السيبراني والامتثال التنظيمي في عقود الدفاع
ملحق تنظيم المشتريات الفيدرالية للدفاع (DFARS) هو مجموعة من اللوائح السيبرانية التي تنطبق على جميع المتعاقدين والمقاولين من الباطن الذين يعملون مع وزارة الدفاع الأمريكية (DoD). يهدف DFARS إلى حماية المعلومات غير المصنفة المحكومة (CUI) في الأنظمة والشبكات غير الفيدرالية، ويستند إلى تفويضات أمنية محددة بموجب NIST SP 800-171.
الامتثال لمتطلبات DFARS هو التزام تعاقدي. المؤسسات التي لا تفي بهذه المتطلبات تخاطر بفقدان الأهلية لعقود وزارة الدفاع، أو مواجهة غرامات، أو استبعادها من فرص فيدرالية مستقبلية.
الامتثال لـ DFARS إلزامي لـ:
- المقاولون الرئيسيون والمقاولون الفرعيون المشاركون في عقود وزارة الدفاع الأمريكية (DoD).
- المنظمات التي تتعامل مع معلومات غير سرية خاضعة للرقابة (CUI).
- الموردون ومقدمو الخدمات في القاعدة الصناعية الدفاعية (DIB)، بما في ذلك قطاعات تكنولوجيا المعلومات، والهندسة، والتصنيع.
1. تطبيق ضوابط الأمان وفقًا لـ NIST SP 800-171
يجب على المتعاقدين تنفيذ جميع متطلبات الأمان الـ 110 الواردة في NIST SP 800-171، كما هو مطلوب بموجب DFARS 252.204-7012(b)(2). تهدف هذه الضوابط إلى حماية سرية المعلومات الخاضعة للرقابة (CUI) في الأنظمة غير الفيدرالية.
2. الإبلاغ عن الحوادث السيبرانية (خلال 72 ساعة)
وفقًا للمادة DFARS 252.204-7012(c)، يجب على المتعاقدين الإبلاغ عن الحوادث السيبرانية إلى وزارة الدفاع خلال 72 ساعة عبر بوابة DIBNet، والاحتفاظ بجميع الأدلة لمراجعتها جنائيًا.
3. الحفاظ على خطة أمن النظام (SSP) وخطة الإجراءات والتدابير التصحيحية (POA&M)
بموجب المادة DFARS 252.204-7012(b)(3)، يجب على المتعاقدين توثيق وضعهم الحالي في الأمن السيبراني من خلال خطة أمن النظام (SSP) والحفاظ على خطة عمل ومعالم (POA&M) لأي ثغرات في الضوابط.
4. إرسال درجات الامتثال إلى نظام SPRS
وفقًا لمتطلبات DFARS 252.204-7019، يُطلب من المتعاقدين تقديم نتيجة التقييم الذاتي وفقًا لمعيار NIST SP 800-171 إلى نظام مخاطر أداء الموردين (SPRS).
5. متطلبات موجهة للمقاولين من الباطن
يتطلب DFARS 252.204-7012(m) من المتعاقدين الرئيسيين التأكد من أن المتعاقدين الفرعيين الذين يعالجون معلومات CUI يمتثلون أيضًا لمتطلبات DFARS وNIST SP 800-171، وأن البنود مضمنة بشكل صحيح في جميع العقود الفرعية.
قد يؤدي عدم الامتثال لمتطلبات DFARS إلى عواقب كبيرة، بما في ذلك:
- إنهاء العقد: قد تنهي وزارة الدفاع (DoD) العقود بسبب التقصير إذا لم يتم تحقيق الامتثال.
- تعليق المدفوعات: قد يتم حجز المدفوعات حتى يتم حل مشكلات الامتثال.
- المسؤوليات القانونية: قد يؤدي عدم الامتثال إلى اتخاذ إجراءات قانونية، بما في ذلك الغرامات المدنية والتعويضات بموجب قانون الادعاءات الكاذبة.
- الحرمان: قد يتم تعليق أو استبعاد المؤسسات من العقود الحكومية المستقبلية.
- الضرر بالسمعة: عدم الامتثال قد يضر بسمعة المنظمة ويؤثر على فرصها التجارية المستقبلية.
توفر Resecurity حلولاً مخصصة لمساعدة المتعاقدين في تلبية متطلبات DFARS وNIST SP 800-171 من خلال مزيج من العمليات الأمنية، وإدارة المخاطر، وأتمتة الامتثال.
تقييم الفجوات وفقًا لمعيار NIST 800-171
- تحديد أوجه القصور في الضوابط ضمن 14 فئة مختلفة
- تطوير خرائط طريق عملية للتصحيح
تطوير خطة الأمان (SSP) وخطة الإجراءات والأنشطة التصحيحية (POA&M)
- إنشاء وثائق متوافقة وقابلة للتدقيق
- الحفاظ على خطط النضج المستمر والتحديثات
الاستجابة للحوادث والإبلاغ خلال 72 ساعة
- تطبيق تدفقات العمل الخاصة بالاستجابة
- تمكين الإبلاغ الدقيق وفي الوقت المناسب عن الخروقات إلى وزارة الدفاع
إعداد وتقديم درجة SPRS
- تنفيذ منهجية التقييم المطلوبة
- إنشاء ملخصات امتثال جاهزة لـ SPRS
مراقبة امتثال الجهات الخارجية
- إدارة التزامات DFARS الخاصة بالمقاولين الفرعيين
- أتمتة التحقق من صحة البنود المنقولة في العقود
لم يعد الامتثال لـ DFARS اختياريًا لموردي الدفاع. من خلال العمل مع Resecurity، تحصل مؤسستك على الأدوات والدعم اللازمين لتلبية متطلبات الأمن السيبراني لوزارة الدفاع، وحماية معلومات CUI، والحفاظ على القدرة التنافسية في العقود الحكومية.
اتصل بـ Resecurity لتحديد موعد لاستشارة استعداد DFARS أو لمعرفة المزيد حول تأمين أنظمة المعلومات الخاصة بك وفقًا للوائح وزارة الدفاع الأمريكية.
Los Angeles, CA 90071 خرائط Google
