核心观点与关键数据
美国国防部(DOD)发布的最终规则《保护非保密受控制技术信息》(DFARS 252.204-7012)要求DOD承包商及转承包商保护其信息系统中的非保密受控制技术信息(NCCTI),并规定了网络事件的报告和损害评估要求。
1. 充足的安全性要求
- 定义:充足的安全性是指与损失、滥用或未授权访问、信息修改的后果和可能性相适应的保护措施。
- 最低标准:包括网络安全更新、访问控制、审计日志等NIST SP 800-53安全控制,或证明替代控制能达到同等保护。
- 适用范围:直接与DOD签订合同的公司及处理或控制NCCTI的转承包商(包括云存储供应商)。
2. 72小时报告要求
- 定义:可报告的网络事件包括泄露、篡改、未授权访问等威胁NCCTI的事件。
- 报告内容:包括邓氏编码、受影响的合同号、危害位置、事件类型、受影响技术信息描述等。
- 报告方式:通过http://dibnet.dod.mil提交。
3. 随后的评估支持要求
- 审查义务:进一步审查非保密网络,寻找损害证据,包括被入侵的设备、数据和账户。
- 数据审查:识别与DOD项目、系统或合同相关的NCCTI。
- 证据保存:保存受影响信息系统的图像和90天的网络监视/数据包分析。
4. 合同的流通要求
- 流通条款:要求所有转承包商在商业物品交易中包含合规要求。
- 适用范围:不仅限于政府合同相关转承包商,也包括接触NCCTI的第三方供应商(如IT服务供应商)。
其他重要方面
- 豁免:大学和学术机构不适用豁免。
- 报告责任:主承包商需确保转承包商在报告网络事件时同时通知主承包人。
- 合规费用:合规费用可根据FAR和DFARs管理许可成本。
研究结论
该规则强化了DOD承包商及转承包商对NCCTI的保护义务,并通过严格的报告和评估要求提升了网络安全管理的透明度和责任性。企业需评估自身处理NCCTI的范围,并采取NIST SP 800-53或其他等效控制措施,同时确保及时报告网络事件并提供损害评估支持。
