FAR-Cyber-Compliance-Vorschlag: Anforderungen und Auswirkungen
| Interlynk
Executive Order 14028 — Executive Order on Improving the Nation’s Cybersecurity — leitete eine Reihe von Maßnahmen ein mit den Zielen:
der Verbesserung des Informationsaustauschs zwischen der Regierung und dem Privatsektor,
der Modernisierung und Stärkung von Cybersicherheitsstandards in Bundesbehörden und
der Verbesserung der Software-Lieferkette
Am 3. Oktober schlugen das Verteidigungsministerium (DoD), die General Services Administration (GSA) und die NASA eine Reihe von Änderungen an der Federal Acquisition Regulation (FAR) vor, um die aus EO14028 stammenden Anforderungen umzusetzen.
Diese Anforderungen stehen bis zum 4. Dezember 2023 für schriftliche Stellungnahmen offen.
Die vorgeschlagenen Änderungen schaffen neue Compliance-Verpflichtungen für eine große Anzahl von Bundesauftragnehmern.
Legen wir los!
Was sind die Voraussetzungen?
Die Anforderungen sind Teil von zwei separaten FAR-Fällen:
FAR Case 2021–017: Cyber-Bedrohungs- und Vorfallsmeldung sowie Informationsaustausch
FAR Case 2021–019: Standardisierung der Cybersicherheitsanforderungen für unklassifizierte Bundes-Informationssysteme
1. Cyber-Bedrohungs- und Vorfallsmeldung sowie Informationsaustausch
Diese Regelung schlägt „Anforderungen für die Meldung von Vorfällen und Bedrohungen sowie die Reaktion auf Vorfälle“ für Produkte und Dienstleistungen vor, die „Informations- und Kommunikationstechnologie“ (IKT) enthalten.
Anforderungen an die Meldung von Sicherheitsvorfällen
Dieser Vorschlag verlangt, dass:
Auftragnehmer (und Subunternehmer) unverzüglich und gründlich alle Anzeichen untersuchen müssen, dass ein Sicherheitsvorfall aufgetreten sein könnte.
Die Informationen innerhalb von acht Stunden nach der Entdeckung an die Cybersecurity and Infrastructure Security Agency (CISA) übermittelt werden müssen.
Der CISA alle 72 Stunden bis zur Behebung des Vorfalls ein Update bereitgestellt wird.
Daten im Zusammenhang mit Vorfällen, Erkennung, Abwehr, Reaktion und Untersuchung für mindestens 12 Monate im aktiven Speicher, gefolgt von sechs Monaten im aktiven oder Cold-Storage, aufbewahrt und auf Anfrage des Vertragsbeauftragten mit der Regierung geteilt werden.
Ein Sicherheitsvorfall ist definiert als das tatsächliche oder potenzielle Eintreffen von Folgendem:
Jedes Ereignis oder jede Reihe von Ereignissen, die ohne rechtliche Befugnis eine tatsächliche oder unmittelbare Gefahr für die Integrität, Vertraulichkeit oder Verfügbarkeit von Informationen oder eines Informationssystems darstellen oder einen Verstoß oder eine unmittelbare Gefahr des Verstoßes gegen Gesetze, Sicherheitsrichtlinien, Sicherheitsverfahren oder Richtlinien zur akzeptablen Nutzung darstellen.
Jede bösartige Computersoftware, die auf einem Informationssystem entdeckt wird, oder
die Übertragung von klassifizierten oder kontrollierten unklassifizierten Informationen auf ein Informationssystem, das nicht für die entsprechende Sicherheitsstufe akkreditiert (d. h. autorisiert) ist.
Anforderungen an die Erklärung zur Vorfallsmeldung
Dieser Vorschlag verlangt, dass bei allen Ausschreibungen und Verträgen versichert wird, dass die Bieter alle Berichte über Sicherheitsvorfälle aktuell, genau und vollständig eingereicht haben und von Subunternehmern verlangt haben, dasselbe in ihrem Unterauftrag einzuhalten.
SBOM-Anforderungen
Auftragnehmer müssen eine SBOM für „jedes Softwareteil, das bei der Erfüllung des Vertrags verwendet wird“, in einem maschinenlesbaren, branchenüblichen Format pflegen und der Regierung zur Verfügung stellen, das mit den The Minimum Elements for a Software Bill of Materials der NTIA übereinstimmt.
Die SBOM muss bei jedem neuen Build oder Hauptrelease auf dem neuesten Stand sein und bei jeder solchen Änderung beim Vertragsbeauftragten eingereicht werden. Dies umfasst auch Software-Builds zur Integration einer aktualisierten Komponente oder Abhängigkeit.
Anforderungen an den Zugriff auf Informationssysteme des Auftragnehmers
Diese Änderung sieht vor, dass der Auftragnehmer als Reaktion auf einen vom Auftragnehmer gemeldeten oder von der Regierung identifizierten Sicherheitsvorfall aufgefordert werden kann und der CISA, dem FBI und der vertragschließenden Behörde vollen Zugriff auf die anwendbaren Informationen und Informationssysteme des Auftragnehmers sowie auf das Personal des Auftragnehmers gewähren muss.
2. Standardisierung der Cybersicherheitsanforderungen für unklassifizierte Bundes-Informationssysteme
Diese Änderung schlägt standardisierte Cybersicherheitsrichtlinien, -verfahren und -anforderungen für Bundes-Informationssysteme (FIS) vor. Daher wird dieser Vorschlag auf zwei neue FAR-Klauseln für FISs unter Verwendung von Cloud- und Nicht-Cloud-Computing-Diensten ausgeweitet.
A. FISs unter Verwendung von Nicht-Cloud-Computing-Diensten
Dies erfordert, dass Agenturen die Federal Information Processing Standard (FIPS) Publication 199 verwenden, um die Auswirkungsstufe von im System verarbeiteten, gespeicherten und übertragenen Informationen zu kategorisieren.
Für moderate/hohe Auswirkungsstufen müssen FIS-Auftragnehmer:
eine jährliche Suche nach Cyberbedrohungen, eine Schwachstellenbewertung und eine Suche nach Indikatoren für eine Kompromittierung durchführen
eine unabhängige Bewertung der Sicherheit jedes FIS durchführen
die vom Vertragsbeauftragten geforderte empfohlene Verbesserung oder Schadensminderung umsetzen
sich auf die Kontrollen aus den NIST SPs 800–53, 800–213, 800–161 und 800–82 beziehen
B. FISs unter Verwendung von Cloud-Computing-Diensten
Für cloudbasierte Dienste muss der Auftragnehmer:
auf FedRAMP basierende Kontrollen und Sicherheitsvorkehrungen implementieren
eine kontinuierliche Überwachung und Berichterstattung gemäß den FedRAMP-Anforderungen implementieren
die ordnungsgemäße Entsorgung von Regierungs- und damit verbundenen Daten implementieren
Wer ist betroffen?
Die Berichterstattungspflichten gelten fu00fcr alle Auftragnehmer (und Subunternehmer), die Informations- und Kommunikationstechnologie (IKT) oder das fu00fcr die Entwicklung oder Bereitstellung des dem Staat angebotenen Produkts oder Dienstes verwendete Informationssystem einbeziehen.
Der FAR Council geht davon aus, dass 75 % aller Unternehmen Auftru00e4ge erhalten, die in gewissem Mau00dfe IKT beinhalten.
Implikationen
Die vorgeschlagenen Regeln stehen zur öffentlichen Kommentierung bereit und können noch präzisiert oder geändert werden. Der Entwurf unterstreicht jedoch die Absicht, strengere Anforderungen an die Cybersicherheit umzusetzen und die Cybersicherheitsvorschriften der verschiedenen Bundesbehörden zu „harmonisieren“.
Konkret bedeutet das:
Cybersicherheitsverpflichtungen gelten nicht nur für Großaufträge und werden von Hauptauftragnehmern des Bundes auf Subunternehmer übertragen („Software-Lieferkette“, wenn der Subunternehmer einen Teil des Produkts erstellt).
Definition und Umfang der Meldepflichten für „Sicherheitsvorfälle“ werden ausgeweitet, was je nach Größe des Auftragnehmers und seiner Behörde zu Fragen und Herausforderungen bei der Umsetzung führen dürfte.
Die SBOM wird zu einem entscheidenden Bestandteil des Software-Verkaufs an die Regierung. Da die Mindestanforderungen der NTIA derzeit überarbeitet werden, dürften sich die SBOM-Anforderungen wahrscheinlich weiterentwickeln.
Diese Regeln erweitern die Rechte der Regierung auf die Daten von Auftragnehmern und dürften wahrscheinlich auf rechtliche Bedenken hinsichtlich des Datenschutzes stoßen.
Eine ungenaue Darstellung von Cybervorfällen oder damit zusammenhängenden Cyberdaten birgt ein zunehmendes Haftungsrisiko. In Kombination mit dem „vollständigen Zugriff“ bei neuen Sicherheitsvorfällen kann selbst eine falsche Darstellung in der Vergangenheit für Auftragnehmer weiterhin ein Problem darstellen.
Interlynk macht die Offenlegung von Sicherheitsdaten einfach, transparent und automatisiert. Gerne beantworten wir Ihre Fragen. Sie können uns jederzeit unter hello@interlynk.io oder über interlynk.io kontaktieren.