国防部临时规则

2020年9月29日,美国国防部(国防部) 发布了一个临时规则 标题为评估单场竞猜实施网络安全要求(国防联邦收购监管补编(DFARS)案件2019-D041)。该规则修改了DFARS,同时实现了DOD网络安全成熟度模型认证(CMMC)程序。虽然CMMC的实施已经长期逾期,但它提供了一种新的网络安全评估要求,生效2020年11月30日。CMMC框架将评估国防部供应链内的单场竞猜是否已实施网络安全要求,以提高未分类的信息安全。单场竞猜将使用CMMC框架在授予新国防部合同之前评估其网络安全遵守情况,延长任何国防部合同绩效,或与国防部一起行使任何合同选项。规则的关键部分专注于建立单场竞猜是否已遵守所有对照 在NIST SP 800-171中描述 standard.

各种工业部门的知识产权盗窃和机密信息的持续上升通知发布临时统治。提高的对抗事件威胁着美国国家和经济安全。在一个 经济顾问委员会报告,2016年尼法轮网络行动的估计成本范围在570亿美元至1.09亿美元之间。发布临时规则是国防部致力于在供应链中实现更强的安全性的多项努力之一。它旨在在国防工业基地(DIB)地区建立弹性。

CMMC.框架

中期规则中的一个值得注意的添加是DFARS子部分204.75,CMMC。 CMMC框架在当前的NIST SP 800-171标准上建立,其中该出版物提供了与联邦政府合作的单场竞猜的网络安全指南。 CMMC由保护联邦单场竞猜数据的基本要求,控制无限制信息(CUI)的网络安全要求,以及第三方的认证要求。第三方认证要求是为了验证单场竞猜是否遵守了实现五项认证或成熟程度中任一项所需的实践和流程。 CMMC由五个成熟度水平组成,一级是一个‘basic cyber hygiene,’和五级是‘渐进/先进。’

CMMC. Subpart介绍了2020年11月30日至2025年11月30日至10月1日之间授予或扩大合同的程序和政策。在授予合同之前,它要求国防部单场竞猜在征集期间符合指定水平的CMMC证书。它还指定单场竞猜确保在合同期间确保CMMC证书是当前的(即,不超过三年)。 CMMC框架还禁止缔约人员在未经现行CMMC认证的情况下扩展或行使合同性能期。  

此外,临时规则建立了DFARS 252.204-7021,单场竞猜符合CMMC认证水平要求。新要求将成为所有合同和征区,交货订单或任务的一部分。在CMMC要求的推出过程中,该条款将被纳入任何需要即时CMMC认证的国防部合同。符合DFARS 252.204-7021条款的宗旨将受到委员会副秘书的收购和维持(USD A)的特权下&s)。由CMMC要求绑定的合同需要满足新子句中描述的以下要求:

  • 确保CMMC认证是当前的,并且在所需的CMMC级别
  • 通过合同生活保持所需的CMMC级别 
  • 除了COTS项目外,将子句要求流下所有合同协议和分包
  • 在共享任何信息之前,确定分包商在所需的CMMC级别具有当前的CMMC认证

此外,中期规则规定了包括单场竞猜评估要求的新DFARS子句和规定。它增加了两个新规定,252.204-7019和252.204-7020。前者提供新的评估要求,而后者要求所有国防部单场竞猜立即发布对国防部的网络安全合规性评估’S供应商绩效风险系统(SPR)。主要单场竞猜必须确保将DFARS 252.204-7020对所有分包商流动。

国防部评估方法

合同受DFARS第252.204-7012款,保护覆盖的国防信息和网络事件报告,直接单场竞猜实施NIST SP 800-171中的网络安全要求。单场竞猜必须将要求应用于所有代表联邦政府或不属于政府的单场竞猜信息系统’s IT service. 

评估方法还使用三个评估水平(基本,中等,高)来确定单场竞猜如何应用NIST 800-171控制。该方法反映了所得分数中实现的信心深度和评估。政府进行中等和高分评估,而单场竞猜对基本评估进行了自我评估。 DFARS第242.204-70202020人要求单场竞猜提供联邦政府,当政府表现高或中等评估时,就可以获得其人员,系统和设施的机会。该条款适用于国防部认为有必要续签或执行更高级别的评估,或者根据单场竞猜根据信息的关键性’s control.

关键的外卖

预计CMMC要求预计将通过2025年完全实施,但国防部合同的基本影响和变化将于2020年11月30日开始有效。

  • 单场竞猜的表现评估不佳’遵守NIST 800-171将妨碍他们赢得DoD合同的能力。如果单场竞猜未赢得奖励,则可能会在缔约群中造成挑战和障碍,缩小DIB。
  • 根据CMMC框架,第三方将负责审查单场竞猜的成熟程度。虽然目前尚不清楚该过程,单场竞猜将履行不公平的第三方评估,但消极的发现可能会影响单场竞猜竞标新合同的能力。
  • 中期规则指示所有主要单场竞猜核实所有分包商的评估和CMMC认证。 
  • 临时规则估计完成CMMC级别1的成本1重新认证或对小型企业的评估为2,999.56美元。更高CMMC级别的其他成本可以 这里找到。必须注意的是,水平越高,成本越高。 

一些组织可能会发现它有助于联系到 Ignyte. 或者他们当地的国家标准和技术研究所的喧嚣 制造扩展伙伴关系(MEP) 进一步指导。