专利检索_专利免费下载网_大全

2021-04-30 采集侠 网络整理
浏览

专利号_石家庄专利代理公司_3个工作日

根据国防部(DoD)关于云服务网络渗透报告和承包的最终国防部联邦采购法规补充(DFARS)规则,1国防部承包商在其自己的系统上维护、处理或以其他方式拥有"覆盖的国防信息"(CDI),现在必须符合技术要求,美国国家标准与技术研究院(NIST)特别出版物(SP)800-171《保护非联邦系统和组织中的受控非机密信息》2中概述的物理和行政安全控制,2作为合规的"宽限期"于2017年12月31日结束。3规则的向下展开授权要求适用的合同条款(因此,NIST SP 800-171实施要求和截止日期)应传达给所有履行"涉及"CDI或提供"关键运营支持"的分包商。4有关最终规则的更多信息,请参阅我们的总结和最终规则分析(此处提供)以及该规则先前的临时版本的摘要和分析,可在此处获得。我们对平行联邦采购法规(FAR)规则的总结和分析,该规则要求所有联邦政府承包商(不考虑联邦合同机构)遵守NIST SP 800-171控制的子集,前提是他们有联邦合同信息,是可用的这里。合规选项国防部承包商和分包商根据规则5有三种选择,以确保遵守规则的安全性标准:1。全面实施。承包商可通过全面实施NIST SP 800-171中概述的所有安全控制措施,并在系统安全计划(SSP)中记录这些控制措施是如何得到满足(或在其他方面不适用)的,从而遵守规则的安全要求。6最终,承包商有责任自行决定是否符合所列控制措施。国防部声明,它不会证明承包商遵守NIST SP 800-171安全控制,也不会要求、授权或认可任何第三方评估或认证。7但是,NIST于2017年11月发布了两份文件,证据确实充分,这些文件可能有助于承包商确定其实施情况状态:A"自我评估手册,注册商标需要,"该指南"针对"DFARS规则"提供了实施NIST SP 800-171的指南。8虽然该手册是作为NIST制造业扩展合作伙伴关系的一部分发布的,其目的是提供"评估小型制造商信息系统的分步指南"及其对NIST SP 800-171的合规性,该工具可能对所有寻求评估其自身实施NIST SP 800-171控制措施的国防部承包商有用。NIST出版物草案,NIST SP 800-171A,评估受控非机密信息的安全要求。92。"POAM"部分实施。尚未实施所有NIST SP 800-171安全控制的承包商应尽力实施尽可能多的控制措施,并在其SSP中记录这些控制措施。任何尚未完全实施的控制措施应与SSP一起使用行动计划和里程碑(POAM)记录在案。在2017年6月国防部举办的"行业信息日"期间,国防部官员表示,部分通过使用POAM"遵守"NIST SP 800-171的承包商将被视为合规随着更广泛的DFARS规则的安全要求(因此,例如,不会因未能实施控制而受到虚假索赔法案强制执行的影响)。10虽然国防部没有通过正式书面指导明确确认这一点,但最近的国防部指导意见指出,SSP可用于记录"[个人、孤立[,]或并在2017年12月31日实施了包括安全措施在内的临时性风险缓解计划,可能会产生虚假索赔行为的风险。这就是说,合同官员可以要求或允许将SSP(和任何相关POAM)的要素包括在承包商的建议书中,知识产权网,使用SSP作为评估因素,和/或通过引用将SSP纳入合同中。12例如,签约官员可要求建议书确定授予时未实施的任何安全要求,或在招标书中要求所有NIST SP 800-171要求必须在授予时实施。13同样,承包商应(1)确保其SSP准确,相关POAM可实现并遵循,(2)注意不遵守任何NIST SP 800-171安全控制措施,尤其是更重要的控制措施,可能会损害其赢得合同的能力。3。实施其他同样有效的控制措施。承包商也可以通过"其他但同样有效的安全措施"遵守NIST SP 800-171控制。14若要批准此类偏离,承包商必须向签约官员提交书面请求,诉讼中财产保全,供国防部首席信息官(CIO)考虑。15,NIST SP 800-171本身相对灵活,留学生学历公证,国防部首席信息官办公室的代表在公开活动中表示,许多(如果不是大多数)提议的"替代"控制实际上直接符合NIST SP 800-171要求,因此,无需批准偏差。不管在承包商选择的方案中,持续的警惕性对于保持合规性至关重要。随着新合同的授予、额外的CDI的产生或获得、安全风险的变化以及保护信息和信息系统的最佳实践的发展,承包商需要不断评估其控制措施并更新其SSP。DFARS规则特别要求承包商保持"足够的安全性",这至少符合NIST SP 800-171。因此,即使承包商通过上述选择之一遵守NIST标准,也必须确保其安全实践和程序为国防部资源除上述材料外,国防部已在国防部采购工具箱的"网络安全"选项卡下发布了许多有关该规则的资源,16包括2017年1月版的规则常见问题解答。17至少自2017年6月起,修订后的常见问题解答文件一直在等待国防部的审批,尽管采购工具箱网站上的专用页面继续显示更新将"很快"到来181美联储。规则。72986(2016年10月21日),可在此处获取。2 2017年11月28日,NIST SP 800-171(版本1.1)可在此处获得。3 DFARS 252.204-7012(b)(2)(ii)(A)。在此日期之前,对于2017年10月1日之前授予的合同,不完全符合NIST SP 800-171安全标准的承包商必须在授予合同后30天内向国防部首席信息官报告,而NIST SP 800-171要求他们没有执行。Id.252.204-7012(b)(2)(ii).4 Id.252.204-7012(m)(1).5该规则包含仅针对商用现货(COTS)物资的合同的例外情况。6见国防部,实施DFARS第252.204-7012条,保障涵盖的国防信息和网络事件报告:12月31日发生的事情,2017年?15点,这里有售(以下是2017年12月31日发生了什么?)。虽然在NIST SP 800-171的1.1版中明确增加了SSP的要求,但合同受NIST SP 800-171(版本1.0)约束的承包商仍应按照国防部说明使用SSP记录其安全控制。7参见,例如,2017年12月31日发生了什么?在13.8 Patricia Roth,NIST手册162,用于评估NIST SP 800-171安全要求的NIST MEP网络安全自我评估手册(2017年11月),可在此处查阅。9 Ron Ross、Kelley Dempsey和Victoria Pillitterri,NIST特别出版物800-171A草案,评估受控非机密信息的安全要求(2017年11月),可在此处获取。此处提供10张行业信息日的幻灯片。会议的视频发布在国防部"采购工具箱"网站的网络安全资源标签上。11 2017年12月31日发生了什么?第15-16页(内部重点省略)。12同上,第16-17页;常见问题解答(FAQ)–DFARS案例2013-D018的实施,A21(2017年1月27日)的云服务网络渗透报告和签约。13 2017年12月31日发生了什么?在17.14 DFARS 252.204-7012(b)(2)(ii)(b).15 Id.中,当CIO"先前已裁定承包商的请求,表明某项要求不适用或替代安全措施同样有效"时,应将批准的副本发送给签约官员。Id.252.204-7012(b)(2)(ii)(C)。最终规则的序言指出,国防部首席信息官通常会在五个工作日内对此类请求作出回应。81美联储。规则。72990.16在这里可用。17在这里可用。18请参阅此处。