5 制造商关于政府网络安全要求的常见问题

这篇文章最初出现在今日工业上。 Jennifer Kurtz 的客座博文，Manufacturer's Edge 的网络项目主管，科罗拉多州的 NIST MEP 中心和 MEP 国家网络的代表 ^TM .

根据美国国土安全部的数据，根据报告的网络攻击数量，制造业是第二大目标行业。此外，网络犯罪分子认为中小型 制造商 (SMM) 作为主要目标，因为其中许多公司没有采取足够的预防措施。

对于国防部 (DoD)、承包商和分包商来说，一切照旧。越来越依赖外部服务提供商开展业务的联邦政府在保护非联邦信息系统和组织中的受控非机密信息 (CUI) 方面加大了赌注。截至 2017 年 12 月 31 日，所有联邦政府承包商都有义务满足国防采购条例补充 (DFARS) 的最低网络安全要求，否则将面临失去合同的风险。尽管截止日期已过，但许多 SMM 缺乏升级系统的知识和资源，并且不知如何满足这 110 项新的安全要求。值得注意的是，适用于代表美国总务管理局 (GSA) 和美国国家航空航天局 (NASA) 工作的政府承包商的《联邦采购条例》很快将包含类似的网络安全要求。

MEP National Network 是一个公私合作伙伴关系，为美国制造商提供全面、经过验证的解决方案，一直在积极提供意识和帮助，以帮助美国制造商保护其信息资产免受网络攻击风险。该组织及其合作伙伴还作为美国制造商的国家资源，这些制造商寻求实施足够的安全措施来保护存储、处理和传输的受控非机密信息。

以下是我从 SMM 那里听到的有关联邦政府 DFARS 安全指南的五个最常见问题。

问：什么是受控非机密信息 (CUI)，我如何知道我是否将此类信息作为合同的一部分进行处理？

答：受控非机密信息 (CUI) 是政府专有的数据。这是政府希望保密的信息，但对国家安全并不重要。 DFARS 条款 252.204.7012 可能出现在您的合同中，但只有在您处理、存储或传输 CUI 时才会生效。 CUI 可能包括：研究和工程数据、工程图纸、规范、手册、技术报告、研究和分析，以及计算机软件可执行代码和源代码。 CUI 将有特殊的标记和处理说明，例如 FOUO（仅供官方使用）。有关 CUI 标记的更多信息，请参阅 CUI 注册表。

问：法律是否要求遵守 DFARS？

答：任何在合同中包含 DFARS 条款的承包商或分包商都必须依法遵守。如果您谎称合规，您可能会失去政府合同和所有相关收入，并且可能没有资格获得未来的政府合同。

问：我拥有一家小企业，我的政府合同规模很小。 DFARS 合规性是否适用于我？

答：无论您的公司或合同有多大，如果您是处理、存储或传输 CUI 的联邦政府承包商或分包商，您都必须遵守。网络犯罪分子的目标是较小的公司，因为它们通常采取的安全措施较少。与试图闯入其主要目标的网络相比，处于供应链较低层级的公司可能更容易渗透。与尝试直接访问政府网络相比，供应链攻击可能是获得受控非机密政府信息的更简单途径。

问：我如何知道我的公司目前是否符合 DFARS 要求？

答：请参阅 NIST 手册 162。本手册提供了根据 DFARS 安全要求评估制造商信息系统的分步指南。

问：我的组织不符合最低 DFARS 准则，但我不知道从哪里开始合规流程？

答：实施政府批准的网络安全计划可能是一项艰巨的任务。您可以从查看概述 DFARS 要求的 NIST SP 800-171 出版物开始。您还可以联系 MEP 国家网络，将您与当地的 MEP 中心联系起来。当地 MEP 中心提供范围广泛的免费或负担得起的服务和计划，以指导制造商完成合规流程。这些服务包括与网络安全专家的联系，他们可以对协议和程序进行详细的差距分析，并制定解决漏洞和其他合规问题的行动计划。

问：我的公司不是政府承包商，但我想增强我们的网络安全协议。我可以使用 DFARS 指南吗？

答：绝对。在商业供应链中运营的制造商应认真考虑实施 DFARS 安全要求，将其作为管理其组织风险的一个组成部分。

随着制造业日益数字化，了解、缓解和应对日益复杂的网络威胁的需求已成为开展业务的成本。