sakanao切り絵アーティスト

Modèle de contrat cui 2018

2019年2月13日

Évaluations sur place. Le Guide de conformité envisage également des évaluations sur place des systèmes d`information des entrepreneurs couverts par un entrepreneur par le biais d`un accord contractuel. La portée, le calendrier et les auditeurs de ces évaluations demeurent indéfinis. En juin 2018, le Bureau de l`inspecteur général du DoD (OIG) a annoncé qu`il effectuait un audit à la demande du Secrétaire de la défense avec l`objectif de «déterminer si les entrepreneurs du DoD ont des contrôles de sécurité en place pour protéger le DoD contrôlé non classifié informations conservées sur leurs systèmes et réseaux contre les cybermenaces internes et externes. De nombreux entrepreneurs ont reçu de l`OIG du DoD un avis selon lequel ils feraient l`objet d`une telle vérification. Ces audits de l`OIG peuvent être le modèle des audits abordés dans le Guide de conformité. L`orientation finale se compose de deux documents. Le premier document est intitulé «Lignes directrices pour l`évaluation de la conformité et de l`amélioration des protections pour le système d`information interne non classifié d`un entrepreneur», qui fournit des directives pour exiger des activités pour inclure les critères d`évaluation dans les sollicitations et dans contrats d`évaluation de la conformité de l`entrepreneur avec le NIST SP 800-171. Le deuxième document est “Guide DoD pour l`examen des plans de sécurité du système et le NIST SP 800-171 exigences de sécurité non encore mis en œuvre,” qui traite de la façon dont le DoD doit évaluer l`impact et le risque des contrôles de sécurité NIST SP 800-171 qu`un entrepreneur n`a pas encore Implémenté.

La décision de la compagnie de Floride soulève la question, que va-t-il se passer? À quoi devrions-nous nous attendre en 2018, maintenant que le délai est écoulé? Après le prix. Le Guide de conformité envisage trois objectifs postérieurs à l`attribution: (i) la prestation des SSP et du POA &M(s) via a Contract Data Requirements List (CDRL) requirement; (II) la conduite d`évaluations sur place des systèmes de défense couverts d`un entrepreneur; et III) l`identification du CDI nécessitant une protection au titre du DFARS 252.204-7012, y compris au niveau du sous-traitant. Le niveau d`effort pour devenir conforme DFARS dépendait de l`état initial de chaque organisation. Certaines organisations gèrent leurs systèmes d`information centralement avec un modèle de services partagés, tandis que d`autres donnent des divisions individuelles et des unités opérationnelles des environnements informatiques autonomes. Les organisations ayant une gestion centralisée ont achevé les projets en tant qu`une grande entreprise, tandis que l`organisation qui déléguait la gestion des TI devait rendre chaque système conforme, potentiellement redonder les efforts. Voir Prior Arnold & Porter Advisories on this topic: Virtually All Federal Contractors Now Subject to “Basic Safeguarding” Cybersecurity Requirements (May 16, 2016); Le ministère de la défense publie les questions fréquentes sur la règle intérimaire de la cybersécurité de la DFARS (25 novembre 2015); et les sous-traitants de la défense assujettis aux nouveaux règlements sur la cybersécurité et l`informatique en nuage (3 septembre 2015). Guide pour l`évaluation de la conformité et de l`amélioration des protections pour le système d`information interne non classifié d`un entrepreneur (Guide de conformité) il y a eu peu de précisions de la part de l`Agence de gestion des contrats de défense, qui n`a pas répondu aux courriels demandes de commentaires. Cela laisse une gamme de possibilités pour les entreprises non conformes, de l`indulgence, aux amendes, à la perte de revenus des contrats de défense. Les praticiens de la cybersécurité des petits entrepreneurs de la défense naviguent dans les eaux sombres. Le ministère de la défense (DoD) a récemment publié des directives finales pour exiger des activités pour évaluer les plans de sécurité du système (SSP) des entrepreneurs et leur mise en œuvre des contrôles de sécurité dans l`Institut national des normes et technologies (NIST) spécial Publication (SP) 800-171.

コメント