FAR Cyber-Compliance-Vorschlag: Anforderungen und Folgen
11.10.2023
Interlynk
Präsidentielle Verfügung 14028 — Präsidentielle Verfügung zur Verbesserung der Cybersicherheit der Nation — leitete eine Reihe von Maßnahmen mit den Zielen ein:
die Informationsweitergabe zwischen der Regierung und dem Privatsektor zu verbessern,
die Cybersecurity-Standards in Bundesbehörden zu modernisieren und zu stärken und
die Software-Lieferkette zu verbessern
Am 3. Oktober schlugen das Verteidigungsministerium (DoD), die General Services Administration (GSA) und die NASA eine Reihe von Änderungen an den Federal Acquisition Regulation (FAR) vor, um die Anforderungen aus EO14028 umzusetzen.
Diese Anforderungen sind bis zum 4. Dezember 2023 zur schriftlichen Stellungnahme geöffnet.
Vorgeschlagene Änderungen schaffen neue Compliance-Verpflichtungen für eine große Anzahl von Bundesauftragnehmern.
Lass uns eintauchen!
Was sind die Anforderungen?
Die Anforderungen sind Teil von zwei separaten FAR-Fällen:
FAR Fall 2021–017: Berichterstattung über Cyber-Bedrohungen und Ereignisse sowie Informationsaustausch
FAR Fall 2021–019: Standardisierung der Cybersecurity-Anforderungen für nicht klassifizierte Bundesinformationssysteme
1. Berichterstattung über Cyber-Bedrohungen und Ereignisse sowie Informationsaustausch
Diese Regel schlägt „Berichte über Vorfälle und Bedrohungen sowie Anforderungen an die Vorfallreaktion“ für Produkte und Dienstleistungen vor, die „Information and Communications Technology“ (ICT) enthalten.
Anforderungen an die Berichterstattung über Sicherheitsvorfälle
Dieser Vorschlag verlangt, dass:
Vertragnehmer (und Unterauftragnehmer) alle Anzeichen, dass ein Sicherheitsvorfall eingetreten sein könnte, sofort und gründlich untersuchen müssen.
Die Informationen innerhalb von acht Stunden nach Entdeckung an die Cybersecurity and Infrastructure Security Agency (CISA) übermittelt werden.
Alle 72 Stunden ein Update an die CISA bis zur Behebung des Vorfalls bereitgestellt wird.
Vorfall-, Erkennungs-, Präventions-, Reaktions- und forschungsbezogene Daten mindestens 12 Monate in aktiver Speicherung und anschließend sechs Monate in aktiver oder kalter Speicherung gesammelt und aufbewahrt werden und auf Anforderung des Vertragsbeauftragten mit der Regierung geteilt werden.
Ein Sicherheitsvorfall wird definiert als ein tatsächliches oder potenzielles Auftreten der folgenden:
Jedes Ereignis oder eine Reihe von Ereignissen, die tatsächliche oder drohende Gefahren, ohne rechtmäßige Autorität, für die Integrität, Vertraulichkeit oder Verfügbarkeit von Informationen oder einem Informationssystem darstellen oder eine Verletzung oder drohende Verletzung von Gesetzen, Sicherheitsrichtlinien, Sicherheitsverfahren oder Richtlinien zur akzeptablen Nutzung darstellen
Jede böswillige Computer-Software, die auf einem Informationssystem entdeckt wird oder
Übertragung von klassifizierten oder kontrollierten nicht klassifizierten Informationen auf ein Informationssystem, das nicht für die entsprechende Sicherheitsstufe akkreditiert ist ( d.h., autorisiert).
Anforderungen an die Darstellung der Berichterstattung über Vorfälle
Dieser Vorschlag verlangt, dass alle Ausschreibungen und Verträge repräsentieren, dass die Bieter alle Sicherheitsvorfallberichte in aktueller, genauer und vollständiger Weise eingereicht haben und die Unterauftragnehmer zur Einhaltung derselben in ihrem Subvertrag verpflichtet haben.
SBOM-Anforderungen
Vertragnehmer müssen — und der Regierung zur Verfügung stellen — ein SBOM für „jeden Teil der Computer-Software, die bei der Ausführung des Vertrags verwendet wird“, in einem maschinenlesbaren, industrienormierten Format, das mit NTIA’s The Minimum Elements for a Software Bill of Materials konform ist.
Das SBOM muss bei jedem neuen Build oder größeren Release auf dem neuesten Stand sein und für jede solche Änderung beim Vertragsbeauftragten eingereicht werden. Dies umfasst Computer-Software-Bauten zur Integration einer aktualisierten Komponente oder Abhängigkeit.
Anforderungen an den Zugang zu Informationssystemen der Auftragnehmer
Diese Änderung verlangt, dass der Auftragnehmer auf eine von ihm oder der Regierung gemeldete Sicherheitsvorfallreaktion vollen Zugriff auf CISA, FBI und das contracting agency gewährt, einschließlich des Zugriffs auf die entsprechenden Informationen und Informationssysteme des Auftragnehmers sowie auf das Personal des Auftragnehmers.
2. Standardisierung der Cybersecurity-Anforderungen für nicht klassifizierte Bundesinformationssysteme
Diese Änderung schlägt standardisierte Cybersecurity-Richtlinien, -verfahren und -anforderungen für Bundesinformationssysteme (FIS) vor. Daher erweitert dieser Vorschlag auf zwei neue FAR-Klauseln für FISs unter Verwendung von Cloud- und nicht-Cloud-Computing-Diensten.
A. FISs unter Verwendung von nicht-cloud-basierten Computing-Diensten
Dies verlangt von den Behörden, den Federal Information Processing Standard (FIPS) Publication 199 zu verwenden, um das Auswirkungeniveau der im System verarbeiteten, gespeicherten und übermittelten Informationen zu kategorisieren.
Für moderate/hohe Auswirkungen müssen FIS-Vertragnehmer
jährliche Cyber-Bedrohungsjagden, Schwachstellenbewertungen und die Suche nach Anzeichen eines Kompromisses durchführen
eine unabhängige Bewertung der Sicherheit jedes FIS durchführen.
die empfohlenen Verbesserungen oder Minderung umsetzen, wie vom Vertragsbeauftragten gefordert
auf Kontrollen aus NIST SPs 800–53, 800–213, 800–161 und 800–82 verweisen
B. FISs unter Verwendung von Cloud-Computing-Diensten
Für cloudbasierte Dienste muss der Auftragnehmer
FedRAMP-basierte Kontrollen und Sicherheitsmaßnahmen umsetzen
eine kontinuierliche Überwachung implementieren und berichten, wie von FedRAMP gefordert
eine ordnungsgemäße Entsorgung von Regierungs- und verwandten Daten umsetzen
Wer ist betroffen?
Die Berichtspflichten gelten für alle Auftragnehmer (und Unterauftragnehmer), die Informations- und Kommunikationstechnologie (IKT) oder das Informationssystem, das bei der Entwicklung oder Bereitstellung des von der Regierung angebotenen Produkts oder der Dienstleistung verwendet wird, einbeziehen.
Der FAR-Rat geht davon aus, dass 75 % aller Einrichtungen Verträge erhalten, die einige IKT umfassen.
Implikationen
Die vorgeschlagenen Regeln sind zur öffentlichen Kommentierung offen und unterliegen Klarstellungen und Änderungen. Der Vorschlag unterstreicht jedoch das Engagement für strengere Anforderungen an die Cybersicherheit und die "Harmonisierung" der Cybersicherheitsvorschriften zwischen den Bundesbehörden.
Insbesondere:
Die Verpflichtungen zur Cybersicherheit gelten nicht nur für große Verträge und werden von Bundesauftragnehmern auf Subunternehmer übertragen (‚Software-Lieferkette‘, wenn der Subauftrag Teil des Produkts ist)
Die Definition und der Umfang der Anforderungen an die Meldung von „Sicherheitsvorfällen“ erweitern sich und werden voraussichtlich Fragen und Herausforderungen bei der Umsetzung aufwerfen, abhängig von der Größe des Auftragnehmers und seiner Behörde.
SBOM wird ein wichtiger Bestandteil des Verkaufs von Software an die Regierung. Angesichts der Tatsache, dass das Mindestelement der NTIA einer Überarbeitung unterzogen wird, werden sich die Anforderungen an SBOM wahrscheinlich weiterhin entwickeln.
Diese Regeln erweitern das Recht der Regierung auf die Daten des Auftragnehmers und könnten rechtliche Bedenken hinsichtlich des Datenschutzes aufwerfen.
Eine ungenaue Darstellung von Cybervorfällen oder verwandten Cyberdaten birgt zunehmend das Risiko der Haftung. In Kombination mit „vollem Zugang“ zu neuen Sicherheitsvorfällen kann selbst die historische Fehlrepresentation für die Auftragnehmer ein Anliegen bleiben.
Interlynk macht die Sicherheitsaufklärung einfach, offensichtlich und automatisiert. Wir freuen uns, alle Fragen zu beantworten, die Sie haben könnten. Zögern Sie nicht, uns unter hello@interlynk.io oder über interlynk.io zu kontaktieren.