Quy định Bổ sung về Mua sắm Quốc phòng Liên bang (DFARS) là một bộ quy định được phát triển và sử dụng bởi Bộ Quốc phòng Hoa Kỳ (DoD) để quản lý việc mua sắm hàng hóa và dịch vụ; các quy định được thiết kế để đảm bảo rằng DoD mua sắm hàng hóa và dịch vụ theo cách thúc đẩy an ninh quốc gia và hỗ trợ các mục tiêu quốc phòng. Vì vậy, nếu công ty của bạn, bất kể ngành nào, có bất kỳ sự tham gia nào trong việc cung cấp cho bộ phận này, bạn phải tuân thủ DFARS.
Không có gì ngạc nhiên khi, trong một thế giới mà sự phụ thuộc vào công nghệ đang ngày càng tăng, các đội ngũ thiết kế điện tử làm việc trên các hợp đồng của DoD phải đặc biệt tuân thủ các quy tắc. Sự không tuân thủ có thể dẫn đến hậu quả nghiêm trọng, như việc chấm dứt hợp đồng, phạt tiền và tổn hại danh tiếng; với điều này trong tâm trí, việc các đội của bạn hiểu và thực hiện các yêu cầu của DFARS khi thiết kế và phát triển bảng mạch mới để bảo vệ thông tin nhạy cảm, giảm thiểu rủi ro và duy trì mối quan hệ mạnh mẽ với DoD là cực kỳ quan trọng.
Trong hai phần tiếp theo, bạn sẽ tìm thấy hai bảng được sử dụng như một danh sách kiểm tra cho các xem xét mà đội ngũ của bạn nên đánh dấu khi chuẩn bị điện tử cho DoD.
Có một số yếu tố chính mà các đội ngũ cần xem xét khi nói đến DFARS; rộng lớn, những yếu tố này được trình bày qua các thực hành thiết kế an toàn, an ninh mạng, an ninh chuỗi cung ứng, quyền dữ liệu, và kiểm soát xuất khẩu—chi tiết của chúng bạn sẽ tìm thấy trong bảng sau:
Xem xét |
Ví dụ |
Các thực hành thiết kế an toàn |
Tuân thủ các tiêu chuẩn mã hóa an toàn như OWASP Top 10 để giảm thiểu lỗ hổng trong firmware và phần mềm. |
Triển khai các biện pháp bảo mật phần cứng như khởi động an toàn, mã hóa dựa trên phần cứng, và phát hiện xâm nhập. |
|
Thực hiện mô hình hóa mối đe dọa kỹ lưỡng để xác định các lỗ hổng và rủi ro tiềm ẩn trong thiết kế. |
|
Luôn ưu tiên các thành phần có tính năng bảo mật mạnh và tránh những thành phần có lỗ hổng đã biết. |
|
Chuẩn bị một kế hoạch với việc kết thúc vòng đời của từng thành phần để giải quyết các hậu quả về bảo mật của việc lỗi thời thành phần. |
|
An ninh mạng |
Xác định và bảo vệ Thông Tin Không Phân Loại Kiểm Soát (CUI) theo điều khoản DFARS 252.204-7012, có thể bao gồm dữ liệu kỹ thuật, mã nguồn, và tài liệu thiết kế; việc triển khai các biện pháp kiểm soát truy cập, mã hóa, và đánh giá an ninh định kỳ có thể hỗ trợ trong nỗ lực này. |
Tuân thủ các tiêu chuẩn bảo mật được nêu trong NIST SP 800-171, bao gồm những tiêu chuẩn liên quan đến kiểm soát truy cập, phản ứng sự cố và đánh giá rủi ro. |
|
Thiết lập kế hoạch phản ứng sự cố đáng tin cậy để các đội ngũ trong tổ chức có thể nhanh chóng phát hiện, phản ứng và báo cáo các sự cố an ninh mạng theo điều khoản DFARS 252.204-7012. |
|
Tuân thủ điều khoản "Dịch vụ Điện toán Đám mây" của DFARS 252.239-7010 và điều khoản 252.204-7008, được biết đến với tên "Tuân thủ Kiểm soát Bảo vệ Thông tin Phòng thủ Bảo mật", và bất kỳ điều khoản nào khác có liên quan đến việc bảo vệ dữ liệu nhạy cảm. |
|
An ninh chuỗi cung ứng |
Thực hiện đủ sự kiểm tra due diligence để đánh giá và xác minh tính xác thực và các phương pháp an ninh mạng của nhà cung cấp, cũng như đảm bảo họ tuân thủ các tiêu chuẩn và quy định cần thiết. Nếu nhà cung cấp hiện tại không đáp ứng tiêu chuẩn, bạn nên thay thế họ hoặc nâng cấp họ lên tiêu chuẩn. |
Thực hiện các biện pháp để ngăn chặn việc giới thiệu các thành phần giả mạo vào chuỗi cung ứng; bạn có thể thực hiện điều này thông qua kiểm toán nhà cung cấp, truy xuất thành phần và công cụ phát hiện phần giả mạo. |
|
Đánh giá và giảm thiểu rủi ro liên quan đến chuỗi cung ứng; điều này có thể bao gồm các yếu tố chính trị và gián đoạn, như chiến tranh, thảm họa tự nhiên và mối đe dọa mạng. |
|
Quyền dữ liệu |
Làm quen bản thân và các đội nhóm của bạn với các loại quyền dữ liệu khác nhau (quyền hạn hạn chế, quyền hạn không giới hạn, v.v.) và hậu quả của chúng. Đảm bảo rằng mọi người đều hiểu cách quyền dữ liệu ảnh hưởng đến quyền sở hữu, sử dụng và phân phối dữ liệu. |
Đánh dấu và xử lý đúng cách thông tin do chính phủ cung cấp (GFI) để đảm bảo an ninh và sử dụng đúng cách. Thực hiện các thủ tục kiểm soát truy cập, lưu trữ và truyền dẫn. |
|
Kiểm soát xuất khẩu |
Xác định liệu thiết kế hoặc công nghệ của bạn có thuộc diện kiểm soát xuất khẩu theo Quy định Quốc tế về Giao thông Vũ khí (ITAR) hay Quy định Quản lý Xuất khẩu (EAR) hay không. |
Thu thập các giấy phép và giấy tờ cần thiết cho việc xuất khẩu hoặc chuyển giao công nghệ được kiểm soát và thực hiện các thủ tục kiểm soát xuất khẩu, bao gồm kiểm tra đơn hàng, phân loại mặt hàng, và thu thập các ủy quyền cần thiết. |
Xem xét |
Ví dụ |
Lựa chọn nhà cung cấp dịch vụ đám mây (CSP) |
Chọn CSP có các thực hành bảo mật mạnh mẽ và có thể đáp ứng yêu cầu DFARS; xem xét các yếu tố như chứng nhận Chương trình Quản lý Ủy quyền và Đánh giá Rủi ro Liên bang (FedRAMP), vị trí trung tâm dữ liệu, và chứng nhận bảo mật. |
Hãy thực sự cân nhắc việc sử dụng các nhà cung cấp dịch vụ đám mây (CSP) được ủy quyền FedRAMP, những người đã trải qua các đánh giá an ninh nghiêm ngặt nhất và được coi là tuân thủ các tiêu chuẩn an ninh liên bang. |
|
An ninh dữ liệu trên đám mây |
Mã hóa dữ liệu nhạy cảm cả khi đang lưu trữ và khi truyền tải, và cố gắng áp dụng các thuật toán mã hóa mạnh mẽ và thực hành quản lý khóa hiệu quả trên các nhóm. |
Giới hạn quyền truy cập vào dữ liệu nhạy cảm chỉ cho nhân viên được ủy quyền, với các biện pháp kiểm soát truy cập dựa trên vai trò và quy trình xác thực đa yếu tố. |
|
Tiến hành đánh giá an ninh định kỳ để xác định và giải quyết các lỗ hổng; để làm điều này, bạn có thể chạy các quét lỗ hổng, kiểm tra xâm nhập, và kiểm toán an ninh. |
|
Quyền cư trú và chủ quyền dữ liệu |
Hãy nhận thức về các yêu cầu về quyền cư trú dữ liệu và đảm bảo rằng dữ liệu nhạy cảm được lưu trữ tại các vị trí được phê duyệt. Đừng quên xem xét các luật và quy định về chủ quyền dữ liệu có thể ảnh hưởng đến việc lưu trữ và chuyển giao dữ liệu. |
Tuân thủ các hạn chế chuyển giao dữ liệu và nhận được sự chấp thuận cần thiết cho các dòng chảy dữ liệu xuyên biên giới, thực hiện các biện pháp kiểm soát chuyển giao dữ liệu, và giám sát dòng chảy dữ liệu để đảm bảo tuân thủ các quy định. |
DFARS là một tiêu chuẩn đa diện và thường xuyên thay đổi, nhưng đó là một khía cạnh thiết yếu khi làm việc với Bộ Quốc Phòng Mỹ (DoD), vì vậy đó là điều mà tất cả các công ty trong tình huống như vậy phải đối mặt. Với điều này trong tâm trí, chúng tôi đã đưa ra một số mẹo thực tế cho việc tuân thủ mà bạn có thể áp dụng trong công ty của mình để làm cho quá trình này dễ dàng hơn một chút.
Tìm một thành viên trong nhóm có trách nhiệm có thể đảm nhận vai trò sĩ quan tuân thủ DFARS; công việc của họ sẽ là giám sát các nỗ lực tuân thủ. Đồng thời, phát triển một kế hoạch toàn diện mô tả các thủ tục cho việc xác định, đánh giá và giảm thiểu rủi ro DFARS. Sau khi hai bước này đã được thiết lập, hãy đảm bảo rằng nhóm của bạn thực hiện các cuộc kiểm toán định kỳ để xác minh việc tuân thủ các yêu cầu và xác định các lĩnh vực mà bạn có thể cải thiện.
Bạn cũng cần phải bảo vệ hệ thống và cơ sở hạ tầng của mình. Hãy đảm bảo rằng bạn có sự tuân thủ trên toàn công ty với các thực hành lập trình an toàn, như kiểm tra đầu vào, mã hóa đầu ra, và xử lý lỗi; triển khai phân đoạn mạng, tường lửa, hệ thống phát hiện xâm nhập, và các biện pháp bảo mật khác để bảo vệ dữ liệu thiết kế và phát triển nhạy cảm; và phát triển và thường xuyên kiểm tra kế hoạch phản ứng sự cố để giải quyết các sự cố một cách kịp thời.
Phần mềm một mình không thể bảo vệ công ty hoặc các đội của bạn. Vì an ninh mạng là một khái niệm tương đối mới mẻ, việc giáo dục đủ cho nhân viên của công ty về các mối đe dọa mạng, các phương pháp tốt nhất, và cách bảo vệ thông tin nhạy cảm là rất quan trọng. Việc giáo dục này có thể được củng cố bằng cách đào tạo nhân viên về các thủ tục xử lý dữ liệu đúng cách, bao gồm phân loại, gắn nhãn, và kiểm soát truy cập. Cũng quan trọng không kém, như đã đề cập ở trên, là các đội cần biết mọi thứ về quy định kiểm soát xuất khẩu, cũng như yêu cầu cấp phép và hậu quả tiềm ẩn của việc không tuân thủ.
Các công cụ do các công ty công nghệ tiên tiến cung cấp có thể làm cho quá trình này trở nên dễ dàng hơn. Ví dụ, bạn có thể triển khai các công cụ ngăn chặn mất dữ liệu (DLP) để giám sát và kiểm soát việc di chuyển dữ liệu, loại bỏ yếu tố con người và ngăn chặn việc chuyển giao và rò rỉ không được phép; sử dụng công cụ quản lý thông tin và sự kiện bảo mật (SIEM) để thu thập, phân tích và tương quan các nhật ký sự kiện bảo mật, giúp phát hiện và phản ứng kịp thời với các sự cố; hoặc sử dụng công cụ quản lý cấu hình để tự động hóa việc cấu hình và triển khai hệ thống, đảm bảo các thiết lập bảo mật nhất quán và giảm thiểu rủi ro do cấu hình sai.
Hãy nhớ rằng việc tuân thủ quy định DFARS không chỉ đơn thuần là về tuân thủ; đó còn là một động thái chiến lược giúp công ty bạn đủ điều kiện cho các hợp đồng lớn hơn, có thể nói là tốt hơn thông qua Bộ Quốc phòng. Tuân thủ các quy định này mang lại cho công ty bạn cơ hội tuyệt vời để nâng cao uy tín của mình như một đối tác đáng tin cậy - và, cho các hợp tác tương lai, là đối tác đáng tin cậy - giảm thiểu rủi ro và bảo vệ thông tin nhạy cảm.
Đây không phải là quy trình đơn giản nhất, nhưng nó là một quy trình đáng giá, và Altium 365 có thể hỗ trợ quy trình này thông qua việc tập trung dữ liệu thiết kế; tăng cường sự hợp tác giữa các đội nội bộ, nhà cung cấp và đối tác; các biện pháp bảo mật mạnh mẽ, bao gồm mã hóa dữ liệu và kiểm soát truy cập; và tích hợp tự động kiểm tra tuân thủ. Khám phá Altium 365 GovCloud ngay hôm nay—một khu vực dành riêng của Altium 365 được xây dựng trên cơ sở hạ tầng AWS GovCloud—để tiến thêm một bước về tuân thủ DFARS và tăng cường bảo mật cho quy trình thiết kế điện tử của bạn.