일본 슬롯 머신 미국 국방부 규정

DFARS 적용 국방 정보 최종 규칙

2016년 10월 21일 미국 국방부(DoD)는 다음을 발표했습니다.DFARS(Defense Federal Acquisition Regulator Supplement) 사례 2013-018, 제목: '클라우드 서비스에 대한 네트워크 침투 보고 및 일본 슬롯 머신.” 이 규칙에는 일본 슬롯 머신 흐름 중단, CDI(Covered Defense Information) 보호 및 전파, 해당 정보와 관련된 사이버 사고 보고에 대한 권유 조항 및 일본 슬롯 머신 조항이 포함되어 있습니다. 2013년 11월 버전의 첫 번째 초안 이후 요구사항이 발전하고 변경되었으므로 활성 일본 슬롯 머신의 미묘한 차이점에 유의하시기 바랍니다.

2016년 10월 21일 최종 규칙은 다음에 게시된 몇 가지 임시 규칙을 따릅니다.및. 그 앞에는 DFARS Case 2011-D039라는 제목이 붙었습니다.기밀로 분류되지 않은 통제된 기술 정보 보호, 2013년 11월 18일에 출시되었으며 일본 슬롯 머신업체 시스템에서 UCTI(비분류, 통제된 기술 정보)를 보호하기 위한 보안 요구 사항을 다루었습니다. DFARS 사례 2013-D018은 이전 규정을 개정하고 DFARS 사례 2011-D039에 지정된 요구 사항을 확장하며 여러 수정 및 새 조항과 조항을 포함하며 그 중 하나가 DFARS 조항입니다..

요구사항

DFARS 조항 252.204-7012는 다음을 사용하는 것을 포함하여 모든 새로운 권유 및 일본 슬롯 머신에 적용됩니다.상업용 아이템 획득용. 아래 참조에서는 변경 사항과 새로운 요구 사항을 강조합니다.

정의

(1) 은폐된 방어 정보의미(UCTI) 또는 기타 정보(에 설명된 대로) 법률, 규정 및 정부 차원의 정책에 따라 일관성을 유지하면서 보호 또는 배포 통제가 필요하며 다음과 같습니다.

  • (1) 일본 슬롯 머신, 작업 명령 또는 납품 명령에 표시되거나 식별되며 일본 슬롯 머신 이행을 지원하기 위해 DoD에 의해 또는 DoD를 대신하여 일본 슬롯 머신자에게 제공됩니다. 또는
  • (2) 일본 슬롯 머신 이행을 지원하기 위해 일본 슬롯 머신자에 의해 또는 일본 슬롯 머신자를 대신하여 수집, 개발, 수신, 전송, 사용 또는 저장됩니다.

(2) 대상 일본 슬롯 머신자 정보 시스템일본 슬롯 머신자가 소유하거나 일본 슬롯 머신자를 위해 운영하고 해당 국방 정보를 처리, 저장 또는 전송하는 기밀되지 않은 정보 시스템을 의미합니다.

두 가지 사용 사례

(1) CDI가 거주하는 곳에서 일본 슬롯 머신자가 정보 시스템을 소유하거나 운영하거나 정보 기술 서비스 또는 정부를 대신하여 운영되는 시스템의 일부가 아닌 해당 일본 슬롯 머신자 정보 시스템의 경우.

  • 제공: "해당 국방 정보 통제 보호 준수"
  • 절: "보호 대상 국방 정보 보호 및 사이버 사고 보고"
  • 252.204-7000항: "정보 공개"

적용 가능성

  • 온프레미스 네트워크 및 시스템
  • 기업 공유 네트워크
  • 프로젝트, 연구실 네트워크 및/또는 기업의 에어갭
  • 기업 네트워크의 확장으로 클라우드 서비스 획득

(2) 고객을 대신하여 운영되는 일본 슬롯 머신자가 소유/운영하는 정보 시스템.

  • 조항 252.239-7009:"클라우드 컴퓨팅 사용 표현"
  • 252.239-7010항: '클라우드 컴퓨팅 서비스'

적용 가능성

  • 일본 슬롯 머신/프로그램 전용 네트워크 및 시스템
  • 정부 고객 사용을 위해 고객 및/또는 회사가 획득한 클라우드 서비스

적절한 보안

일본 슬롯 머신자는 모든 해당 일본 슬롯 머신자 정보 시스템에 대해 적절한 보안을 제공해야 합니다.
(1) 고객을 대신하여 운영

  • 클라우드 컴퓨팅 서비스는 조항의 보안 요구 사항을 따릅니다., DoD 클라우드 컴퓨팅 보안 요구 사항 가이드(SRG)를 준수합니다.
  • 기타(클라우드 컴퓨팅이 아닌) IT 시스템 또는 서비스에는 일본 슬롯 머신의 다른 부분에 있는 보안 요구 사항이 적용됩니다.

(2) 정부를 대신하여 운영되는 정보 기술 서비스 또는 시스템의 일부가 아님

  • 일본 슬롯 머신 조항에서 요구하는 보안 요구 사항, 본 일본 슬롯 머신의 이행을 지원하는 모든 적용 일본 슬롯 머신자 정보 시스템의 모든 적용 국방 정보에 대해 구현되어야 합니다.
  • 국립표준기술연구소(NIST) 특별 간행물(SP) 800-171 "비연방 정보 시스템 및 조직에서 통제되고 분류되지 않은 정보 보호"에서 지정한 보안 요구 사항 구현(Rev1) 권유가 발행된 시점에 유효하거나 "가능한 한 빨리, 그러나 늦어도 2017년 12월 31일까지" 일본 슬롯 머신 담당자가 승인한 대로 유효합니다.
  • 2017년 10월 1일 이전에 체결된 모든 일본 슬롯 머신에 대해 일본 슬롯 머신자는 이메일을 통해 DoD 최고 정보 책임자(CIO)에게 통보해야 합니다.[이메일은 보호됨], 일본 슬롯 머신 체결 시 구현되지 않은 NIST SP 800-171에 지정된 보안 요구 사항을 일본 슬롯 머신 체결 후 30일 이내에.
  • 권유 당시 유효한 NIST 800-171 버전과의 모든 차이는 DoD 최고 정보 책임자(CIO)의 검토를 위해 일본 슬롯 머신 책임자에게 서면으로 제출되어야 하며 다음 사항에 대한 서면 설명이 포함되어야 합니다.
    • (A) 특정 보안 요구 사항이 적용되지 않는 이유; 또는
    • (B) 특정 요구 사항을 충족할 수 없는 것을 보상하고 동등한 보호를 달성하기 위해 대체 가능하지만 동등하게 효과적인 보안 조치를 사용하는 방법.o DoD CIO가 이전에 요구 사항이 적용되지 않거나 대체 보안 조치가 동일하게 효과적임을 나타내는 일본 슬롯 머신자의 요청을 판결한 경우, 본 일본 슬롯 머신에 따라 승인을 요청할 때 해당 승인 사본이 일본 슬롯 머신 담당자에게 제공되어야 합니다.
  • 일본 슬롯 머신자가 외부 클라우드 서비스 제공자를 사용하여 본 일본 슬롯 머신 이행에 포함된 국방 정보를 저장, 처리 또는 전송하려는 경우, 일본 슬롯 머신자는 클라우드 서비스 제공자가 연방 위험 및 승인 관리 프로그램(FedRAMP) 중간 기준에 대해 정부가 설정한 보안 요구 사항과 동등한 보안 요구 사항을 충족하도록 요구하고 확인해야 합니다. () 그리고 클라우드 서비스 제공업체는 사이버 사고 보고, 악성 소프트웨어, 미디어 보존 및 보호, 법의학 분석에 필요한 추가 정보 및 장비에 대한 액세스, 사이버 사고 피해 평가에 대한 본 조항의 (c)~(g)항의 요구 사항을 준수합니다.
  • 일본 슬롯 머신자가 본 조항의 단락 (b)(1) 및 (2)에 식별된 조치 외에 정보 시스템 보안 조치가 동적 환경에서 적절한 보안을 제공하거나 특수 상황(예: 의료 기기) 및 평가된 위험이나 취약성을 기반으로 하는 개별적, 고립적 또는 일시적인 결함을 수용하기 위해 필요할 수 있다고 합리적으로 결정할 때 다른 정보 시스템 보안 조치를 적용하십시오. 이러한 조치는 시스템 보안 계획에서 다루어질 수 있습니다.

사이버 사고 보고

일본 슬롯 머신자는 해당 일본 슬롯 머신자 정보 시스템 또는 여기에 포함된 국방 정보에 영향을 미치거나 운영상 중요한 지원으로 지정되고 일본 슬롯 머신에서 식별된 일본 슬롯 머신 요구 사항을 수행하는 일본 슬롯 머신자의 능력에 영향을 미치는 사이버 사고를 보고해야 합니다. 사이버 사고를 DoD에 직접 신속하게 보고하세요.발견 후 72시간 이내에 해당 양식의 모든 필수 요소를 작성하세요. 보고를 수행하는 개인은 사고를 보고하기 위해 DoD에서 승인한 중간 보증 인증서가 필요합니다.

하청업체는 가능한 한 빨리 DoD의 사고 보고서 번호(사고 수집 양식 제출 후 자동으로 할당됨)를 주 일본 슬롯 머신자(또는 다음 상위 계층 하청업체)에게 제공해야 합니다. 추가여기에서 파슨스에 제출.

일본 슬롯 머신자는 CDI의 손상 증거 또는 DoD에 운영상 중요한 지원을 제공할 수 있는 능력에 대한 검토를 수행해야 하며, DC3 또는 일본 슬롯 머신 담당관 및 해당 법률 및 규정이 제공한 지침에 따라 악성 소프트웨어를 격리하여 DoD 사이버 범죄 센터(DC3)에 제출하고, 알려진 모든 정보 시스템의 이미지와 관련 모니터링/패킷 캡처 데이터를 사건 보고서 제출 후 최소 90일 동안 보존 및 보호해야 합니다. 이자를 거절하다. DoD에서 검토가 필요한 경우 법의학 분석을 수행하는 데 필요한 추가 정보 또는 장비에 대한 액세스 권한을 DoD에 제공하세요.

하청업체 흐름 다운

상업 품목에 대한 하도급 일본 슬롯 머신을 포함하여 하도급 이행에 보장된 국방 정보 또는 운영상 중요한 지원이 포함되는 하도급 일본 슬롯 머신 또는 유사한 일본 슬롯 머신 문서에서 당사자를 식별하는 경우를 제외하고는 변경 없이 전달되어야 합니다.

NIST SP-800-171 보안 요구사항을 변경하기 위한 요청을 제출할 때 주 일본 슬롯 머신자(또는 다음 상위 계층 하청업체)에게 알리고
DoD에 사이버 사고를 보고할 때 DoD가 자동으로 할당한 사고 보고 번호를 주 일본 슬롯 머신자(또는 다음 상위 하청업체)에게 가능한 한 빨리 제공하세요.

하청업체를 위한 DFARS의 파슨스 구현

주 일본 슬롯 머신자로서 파슨스는 일본 슬롯 머신 이행 중 DoD를 지원하고 CDI를 처리하기 위해 모든 팀원 및 하청업체에 이러한 조항과 조항을 전달합니다.

Parsons의 하청업체는 사이버 사고를 DoD에 직접 보고해야 합니다.필수 보고 요구 사항에 따라 적발된 후 72시간 이내에 먼저 Parsons의 하도급 일본 슬롯 머신 관리자에게 알립니다.

팔로우파슨스는 여기서 처리합니다. DoD에 사이버 사고를 보고할 때 가능한 한 빨리 DoD에서 자동으로 할당한 사고 보고 번호를 주 일본 슬롯 머신자(또는 다음 상위 하청업체)에게 제공하세요.

참조

(2017년 6월 23일 DoD 산업의 날 포함및 비디오)

DoD는 NIST 제조 확장 파트너십(MEP)과 협력하여 DFARS 요구 사항 충족에 대한 자체 평가 가이드를 게시했습니다. 이 핸드북은 국방부 공급망 내에서 제품을 공급하고 DFARS 조항 252.204-7012, "해당 국방 정보 및 사이버 사고 보고 보호"를 준수하는 프로세스의 일부로 NIST SP 800-171을 구현하여 적절한 보안을 보장해야 하는 미국 제조업체를 지원하기 위한 지침입니다. 

DFARS 사례 2013-D018: 클라우드 서비스에 대한 네트워크 침투 보고 및 일본 슬롯 머신

  • (2017년 1월 27일자)
  • DoD, DHS 및 NIST의 웹 세미나

프로그램 안내 정보(PGI)

국방부 중소기업 프로그램 사이버 보안실

파슨스 뉴스, 이벤트 및 혁신에 대한 업데이트를 가장 먼저 받아보세요.오늘 구독하세요!

맨 위로 돌아가기