FAR Cyber naleving voorstel: Vereisten en Implicaties
Interlynk
Executive Order 14028 — Executive Order over het verbeteren van de cybersecurity van het land — heeft een reeks acties in gang gezet met de doelen:
verbeteren van informatie-uitwisseling tussen de overheid en de particuliere sector,
moderniseren en versterken van cybersecuritystandaarden in federale agentschappen en
verbeteren van de softwareleveringsketen
Op 3 oktober hebben het ministerie van Defensie (DoD), de General Services Administration (GSA) en NASA een reeks wijzigingen voorgesteld voor de Federal Acquisition Regulation (FAR) om de eisen die voortkomen uit EO14028 te implementeren.
Deze eisen zijn open voor schriftelijke opmerkingen tot 4 december 2023.
Voorgestelde wijzigingen creëren nieuwe nalevingsverplichtingen voor een groot aantal federale aannemers.
Laten we erin duiken!
Wat zijn de vereisten?
De vereisten maken deel uit van twee afzonderlijke FAR-zaken:
FAR Zaak 2021–017: Cyberdreigingen en incidentrapportage en informatie-uitwisseling
FAR Zaak 2021–019: Standaardisering van cybersecurity-eisen voor niet-geclassificeerde federale informatiesystemen
1. Cyberdreigingen en incidentrapportage en informatie-uitwisseling
Deze regel stelt "Incident- en dreigingsrapportage en vereisten voor incidentrespons" voor met betrekking tot producten en diensten die "Informatie- en communicatietechnologie" (ICT) bevatten.
Vereisten voor het rapporteren van beveiligingsincidenten
Dit voorstel vereist dat:
Aannemers (en onderaannemers) onmiddellijk en grondig alle indicaties onderzoeken dat een beveiligingsincident mogelijk heeft plaatsgevonden.
De informatie binnen acht uur na ontdekking indienen bij het Cybersecurity and Infrastructure Security Agency (CISA).
Elke 72 uur een update aan CISA geven tot de oplossing van het incident.
Incident-, detectie-, preventie-, respons- en onderzoeksgerelateerde gegevens gedurende ten minste 12 maanden in actieve opslag verzamelen en bewaren, gevolgd door zes maanden in actieve of koude opslag, en deze delen met de overheid indien daarom gevraagd door de contractmanager.
Een beveiligingsincident wordt gedefinieerd als een daadwerkelijke of potentiële gebeurtenis van het volgende:
Elke gebeurtenis of reeks gebeurtenissen die daadwerkelijke of imminente bedreiging vormen, zonder wettelijke autoriteit, voor de integriteit, vertrouwelijkheid of beschikbaarheid van informatie of een informatiesysteem, of een schending of onmiddellijke dreiging van schending van de wet, beveiligingsbeleid, beveiligingsprocedures of acceptabele gebruiksbeleid vormt
Elke kwaadaardige computersoftware ontdekt op een informatiesysteem of
Overdracht van geclassificeerde of gecontroleerde niet-geclassificeerde informatie naar een informatiesysteem dat niet geaccrediteerd is ( geautoriseerd) voor het juiste beveiligingsniveau.
Vereisten voor de weergave van incidentrapportage
Dit voorstel vereist dat alle aanbiedingen en contracten vertegenwoordigen dat de aanbieders alle beveiligingsincidentrapporten op een actuele, nauwkeurige en volledige manier hebben ingediend en hebben geëist dat onderaannemers hetzelfde in hun onderaanneming naleven.
SBOM-eisen
Aannemers moeten — en aan de overheid verstrekken — een SBOM voor "elke stuk computer software gebruikt bij de uitvoering van het contract," in een machine-leesbaar, industrieel standaardformaat dat voldoet aan NTIA's Minimum Elements for a Software Bill of Materials.
De SBOM moet actueel zijn met elke nieuwe build of belangrijke release en moet worden ingediend bij de contractmanager voor elke wijziging. Dit omvat computer software builds om een bijgewerkt onderdeel of afhankelijkheid te integreren.
Eisen voor toegang tot informatiesystemen van aannemers
Deze wijziging vereist dat in reactie op een beveiligingsincident dat door de aannemer is gerapporteerd of door de overheid is geïdentificeerd, de aannemer mogelijk wordt gevraagd en volledige toegang moet geven aan CISA, FBI, en het contracterende agentschap tot de toepasselijke contractor-informatie en informatiesystemen, evenals aan het personeel van de aannemer.
2. Standaardisering van cybersecurity-eisen voor niet-geclassificeerde federale informatiesystemen
Deze wijziging stelt gestandaardiseerde cybersecuritybeleid, -procedures en -eisen voor federale informatiesystemen (FIS) voor. Daarom breidt dit voorstel zich uit naar twee nieuwe FAR-bepalingen voor FIS die cloud- en niet-cloudcomputerdiensten gebruiken.
A. FIS's die niet-cloudcomputerdiensten gebruiken
Dit vereist dat overheidsinstanties de Federal Information Processing Standard (FIPS) Publicatie 199 gebruiken om het impactniveau van de in het systeem verwerkte, opgeslagen en verzonden informatie te categoriseren.
Voor gematigde / hoge impactniveaus moeten FIS-aannemers
jaarlijkse cyberdreigingsjacht, kwetsbaarheidsbeoordeling uitvoeren en zoeken naar indicatoren van compromittering
een onafhankelijke beoordeling van de beveiliging van elk FIS uitvoeren.
de aanbevolen verbetering of mitigatie implementeren zoals vereist door de contractmanager
verwijzen naar controles van NIST SP's 800–53, 800–213, 800–161, en 800–82
B. FIS's die cloudcomputerdiensten gebruiken
Voor cloudgebaseerde diensten moet de aannemer
FedRAMP-gebaseerde controles en beveiligingen implementeren
continue monitoring implementeren en rapporteren zoals vereist door FedRAMP
juiste verwijdering van overheid en gerelateerde gegevens implementeren
Wie is er getroffen?
De rapportagevereisten zijn van toepassing op alle aannemers (en onderaannemers) die Informatietechnologie (ICT) of het informatiesysteem dat wordt gebruikt bij de ontwikkeling of levering van het product of de dienst die aan de overheid wordt aangeboden, omvatten.
De FAR Raad gaat ervan uit dat 75% van alle entiteiten contracten krijgt toegekend die enige ICT omvatten.
Gevolgen
De voorgestelde regels zijn open voor openbaar commentaar en zijn onderhevig aan verduidelijking en wijzigingen. De voorgestelde regeling benadrukt echter de toewijding aan strengere cybersecurityvereisten en het “harmoniseren” van cybersecurityregels tussen federale agentschappen.
Specifiek:
Cybersecurity verplichtingen zijn niet alleen voor grote contracten en zullen bewegen van federale contractanten naar onderaannemers (‘softwareleveringsketen’ wanneer het ondercontract deel uitmaakt van het product)
De definitie en reikwijdte van de vereisten voor rapportage van “beveiligingsincidenten” breiden zich uit en zullen naar verwachting implementatievragen en uitdagingen scheppen, afhankelijk van de grootte van de aannemer en zijn agentschap.
SBOM zal een cruciaal onderdeel worden van de verkoop van de software aan de overheid. Aangezien het Minimum Element van NTIA voor herziening is, zullen de SBOM-vereisten waarschijnlijk blijven evolueren.
Deze regels vergroten het recht van de overheid op gegevens van de aannemer en zullen waarschijnlijk juridische zorgen over privacy met zich meebrengen.
Onjuiste vertegenwoordiging van cyberincidenten of gerelateerde cybergegevens brengt steeds meer het risico van aansprakelijkheid met zich mee. Wanneer dit wordt gecombineerd met ‘volledige toegang’ voor nieuwe beveiligingsincidenten, kan zelfs de historische verkeerde voorstelling een zorg blijven voor de aannemers.
Interlynk maakt beveiligingsaankondigingen gemakkelijk, duidelijk en geautomatiseerd. We beantwoorden graag alle vragen die je hebt. Voel je vrij om contact met ons op te nemen via hello@interlynk.io of via interlynk.io