Conformidade com o DFARS para contratados do Departamento de Defesa: Melhores Práticas

O que é DFARS?

DFARS significa Suplemento do Regulamento Federal de Aquisições de DefesaÉ um conjunto de regulamentos usados pelo Departamento de Defesa dos EUA (DoD) para complementar o Regulamento Federal de Aquisições (FAR)O DFARS, que rege o processo de aquisição para agências federais, foi concebido para fornecer orientações e requisitos adicionais específicos para aquisições de defesa, incluindo contratos, compras e subcontratação, a fim de garantir que o Departamento de Defesa adquira bens e serviços de maneira a promover a segurança nacional e apoiar os objetivos de defesa. O DFARS é atualizado e mantido regularmente pelo Departamento de Defesa para estar em conformidade com as leis, regulamentos e políticas relacionados à aquisição de defesa.

Por que isso é importante?

O DFARS é importante porque fornece regulamentos e diretrizes essenciais para o Departamento de Defesa dos EUA (DoD) adquirir bens e serviços de forma a apoiar os objetivos de defesa e promover a segurança nacional. Esses regulamentos ajudam a garantir que o DoD realize aquisições de maneira transparente, responsável e em conformidade com as normas. O DFARS inclui requisitos relacionados à adjudicação e administração de contratos, segurança cibernética, propriedade intelectual, utilização de pequenas empresas e outras áreas críticas.

Ao aderir ao DFARS, o Departamento de Defesa pode gerenciar suas aquisições de forma eficaz. proteger informações confidenciaisPromover a concorrência leal entre os contratados e manter a integridade e a segurança de sua cadeia de suprimentos. A conformidade com o DFARS é essencial para os contratados que desejam fazer negócios com o Departamento de Defesa, pois ajuda a garantir que o processo de aquisição seja realizado de maneira alinhada às prioridades de defesa e à proteção dos interesses nacionais.

Quem deve cumprir?

Todos os contratados, fornecedores e vendedores que desejam fazer negócios com o Departamento de Defesa dos EUA (DoD) devem cumprir o DFARS. O cumprimento do DFARS é obrigatório para qualquer entidade que busque participar de aquisições do DoD, incluindo contratados principais, subcontratados e fornecedores em todos os níveis da cadeia de suprimentos. Isso inclui entidades nacionais e estrangeiras que fornecem bens ou serviços ao DoD, independentemente do porte ou tipo de negócio. O cumprimento do DFARS é uma exigência contratual e o descumprimento pode resultar em penalidades, rescisão de contrato e perda de oportunidades de negócios com o DoD. É essencial que todas as entidades envolvidas em aquisições do DoD compreendam e cumpram os requisitos descritos no DFARS para garantir sua elegibilidade para contratos do DoD e manter a conformidade com os regulamentos de aquisição do DoD.

Requisitos de conformidade com o DFARS

Familiarize-se com as regulamentações do DFARS: Contratados, fornecedores e vendedores devem compreender completamente as regulamentações e os requisitos do DFARS aplicáveis aos seus contratos e aquisições específicos.

• Manter medidas de cibersegurança: O DFARS inclui requisitos específicos de segurança cibernética, como a proteção de informações não classificadas controladas (CUI) e a notificação de incidentes de segurança cibernética ao Departamento de Defesa (DoD).
• Proteger a propriedade intelectual (PI): Os contratados devem identificar, proteger e reportar adequadamente qualquer propriedade intelectual associada à execução de contratos do Departamento de Defesa, incluindo direitos de dados, patentes, marcas registradas e direitos autorais.
• Cumpra os requisitos de utilização para pequenas empresas: O DFARS inclui disposições relacionadas à subcontratação com pequenas empresas, incluindo planos de subcontratação para pequenas empresas e requisitos de relatórios.
• Implementar medidas de segurança na cadeia de suprimentos: Os contratados devem garantir a integridade e a segurança de sua cadeia de suprimentos, incluindo a triagem e o monitoramento de fornecedores e a prevenção do uso de peças ou materiais falsificados.
• Acompanhe os processos de adjudicação e administração de contratos: Os contratados devem cumprir os requisitos do DFARS relacionados à adjudicação, administração e prestação de contas de contratos, incluindo o envio de dados de custos ou preços precisos e completos.
• Manter registros e relatórios: Os contratados devem manter registros e fornecer relatórios conforme exigido pelo DFARS, incluindo documentação de conformidade com vários regulamentos e requisitos.
• Mantenha-se atualizado sobre as mudanças no DFARS: O DFARS é atualizado regularmente, e os contratados devem manter-se informados sobre quaisquer alterações para garantir a conformidade contínua com os regulamentos mais recentes.
• Cooperar com auditorias e investigações do Departamento de Defesa: Os contratados devem cooperar com as auditorias, investigações e inquéritos do Departamento de Defesa relacionados à conformidade com o DFARS, incluindo o fornecimento de acesso a registros e informações conforme solicitado.
• Manter a documentação e as evidências de conformidade: Os contratados devem manter a documentação e as evidências de conformidade com os requisitos do DFARS, incluindo contratos, relatórios, certificações e outros registros relevantes.

O que significa a conformidade com o DFARS para os contratados do Departamento de Defesa?

Conformidade com os requisitos de cibersegurança: Os contratados do Departamento de Defesa (DoD) devem cumprir os requisitos de cibersegurança especificados na cláusula 252.204-7012 do DFARS, que exige a implementação de controles de cibersegurança adequados para proteger as informações de defesa protegidas (CDI) e relatar quaisquer incidentes de cibersegurança.

• Salvaguarda de Informações Não Classificadas Controladas (CUI): Os contratados do Departamento de Defesa devem cumprir os requisitos da cláusula 252.204-7012 do DFARS, que inclui medidas para salvaguardar as Informações Controladas Não Classificadas (CUI), como a marcação, o manuseio, o armazenamento e a transmissão de CUI de acordo com as leis, regulamentos e requisitos contratuais aplicáveis.
• Implementação de controles de segurança: Os contratados do Departamento de Defesa devem implementar os controles de segurança especificados no Publicação Especial 800-171 do Instituto Nacional de Padrões e Tecnologia (NIST), “Proteção de Informações Não Classificadas Controladas em Sistemas e Organizações Não Federais”, que descreve os requisitos de segurança para a proteção de CUI.
• Comunicação de incidentes de cibersegurança: Os contratados do Departamento de Defesa (DoD) devem relatar imediatamente ao DoD quaisquer incidentes de segurança cibernética, como violações de dados ou acesso não autorizado, conforme especificado na cláusula 252.204-7012 do DFARS e quaisquer requisitos contratuais aplicáveis.
• Cumprimento dos requisitos dos subcontratados: Os contratados do Departamento de Defesa devem repassar os requisitos da cláusula 252.204-7012 do DFARS aos seus subcontratados que possam ter acesso a CDI ou CUI e garantir que os subcontratados também cumpram os requisitos de segurança cibernética aplicáveis.
• Manutenção de documentação e registros: Os contratados do Departamento de Defesa (DoD) devem manter documentação e registros relacionados à sua conformidade com os requisitos de segurança cibernética do DFARS, como planos de segurança de sistemas, relatórios de avaliação de segurança e relatórios de incidentes, conforme exigido pela cláusula 252.204-7012 do DFARS.
• Conformidade com as cláusulas adicionais do DFARS: Os contratados do Departamento de Defesa devem cumprir outras cláusulas do DFARS relacionadas à proteção de dados, tais como: Cláusula DFARS 252.239-7010, “Serviços de Computação em Nuvem” e a cláusula 252.204-7008 do DFARS, “Conformidade com os Controles de Proteção de Informações de Defesa Abrangidas”, que podem impor requisitos adicionais para a proteção de dados sensíveis.

É importante observar que os requisitos do DFARS para contratados do Departamento de Defesa podem variar dependendo do contrato específico, do tipo de informação processada e de outros fatores. Os contratados devem consultar especialistas jurídicos ou de conformidade para garantir o pleno cumprimento do DFARS e de outras regulamentações aplicáveis.

O que você deve fazer se ocorrer uma violação de segurança do DSARS?

Notificar as partes apropriadas: Os contratados devem notificar imediatamente as partes apropriadas, incluindo o agente de contratação, o Diretor de Informática (CIO) do Departamento de Defesa e quaisquer outras partes interessadas relevantes, sobre o violação de segurançaIsso deve ser feito de acordo com os requisitos contratuais e quaisquer protocolos de relatório específicos descritos no DFARS.

1. Ativar o plano de resposta a incidentes: Os contratados devem ativar seus plano de resposta a incidentesque deve incluir procedimentos predefinidos para responder a violações de segurança. Isso pode envolver o isolamento dos sistemas afetados, a coleta de evidências e a realização de análises forenses para determinar a extensão e o impacto da violação.
2. Implementar medidas de mitigação: Os contratados devem implementar medidas de mitigação imediatas para conter a violação e evitar maiores danos. Isso pode incluir a correção de vulnerabilidades, a alteração de credenciais de acesso, a desativação de contas comprometidas e a adoção de outras medidas para impedir o acesso não autorizado ou a exfiltração de dados.
3. Preservar evidências: Os contratados devem tomar medidas para preservar as evidências relacionadas à violação de segurança, como registros, capturas de tela do sistema e outros dados relevantes. Essas evidências podem ser necessárias para análises forenses, elaboração de relatórios e possíveis processos judiciais.
4. Relatar ao Departamento de Defesa e às partes afetadas: Os contratados devem reportar a violação de segurança ao Departamento de Defesa (DoD) e às partes afetadas, conforme exigido pelo DFARS e quaisquer obrigações contratuais. Isso pode incluir o fornecimento de informações detalhadas sobre a natureza e o alcance da violação, bem como as medidas tomadas para mitigar o incidente.
5. Cooperar com as investigações: Os contratados devem cooperar integralmente com quaisquer investigações conduzidas pelo Departamento de Defesa ou outras autoridades competentes. Isso pode envolver o fornecimento de acesso a sistemas e dados, auxílio em análises forenses e o fornecimento de informações e documentação conforme necessário.
6. Revisar e atualizar as medidas de segurança: Os contratados devem revisar e atualizar suas medidas de segurança para evitar violações de segurança semelhantes no futuro. Isso pode envolver a revisão e o fortalecimento dos controles de segurança cibernética, a atualização de políticas e procedimentos e a realização de programas adicionais de treinamento e conscientização para os funcionários.
7. Comunique-se com clientes e partes interessadas: Os contratados devem manter uma comunicação aberta e transparente com os clientes, as partes interessadas e outras partes relevantes sobre a violação de segurança, as medidas tomadas para mitigar o incidente e quaisquer esforços em curso para aprimorar as medidas de segurança.
8. Revisar e aprimorar o plano de resposta a incidentes: Os contratados devem revisar e aprimorar seu plano de resposta a incidentes com base nas lições aprendidas com a violação de segurança. Isso pode envolver a atualização de procedimentos, a revisão de funções e responsabilidades e o aprimoramento dos protocolos de comunicação para melhor responder a incidentes futuros.
9. Procure assistência jurídica e técnica: Os contratados devem buscar assistência jurídica e técnica, conforme necessário, para lidar com a violação de segurança, cumprir os requisitos do DFARS e avaliar quaisquer implicações legais ou regulatórias potenciais.

penalidades por descumprimento do DFARS

1. Consequências contratuais: Os contratados do Departamento de Defesa que não cumprirem os requisitos do DFARS poderão sofrer consequências contratuais, incluindo rescisão por inadimplência, retenção de pagamentos e/ou redução ou negação de honorários ou lucros.
2. Responsabilidades legais: O não cumprimento dos requisitos do DFARS pode resultar em responsabilidades legais, incluindo sanções civis, multas e indenizações em caso de quebra de contrato ou violação de leis ou regulamentos aplicáveis.
3. Perda de contratos futuros: Os contratados do Departamento de Defesa que forem considerados em desacordo com os requisitos do DFARS podem sofrer repercussões, como a perda de contratos futuros com o Departamento de Defesa ou outras agências federais, visto que o descumprimento pode afetar negativamente sua reputação e elegibilidade para futuras oportunidades de contratação.
4. Suspensão ou impedimento: O não cumprimento dos requisitos do DFARS pode resultar na suspensão ou impedimento de contratados do Departamento de Defesa, o que pode impedi-los de participar de futuros contratos federais por um período determinado ou indefinidamente, dependendo da gravidade do não cumprimento.
5. Custos de remediação: Os contratados do Departamento de Defesa podem incorrer em custos adicionais para remediar quaisquer deficiências ou vulnerabilidades identificadas a fim de alcançar a conformidade com os requisitos do DFARS, como a implementação de controles de segurança cibernética, a realização de auditorias ou a melhoria das medidas de proteção de dados.
6. Danos à reputação: O não cumprimento dos requisitos do DFARS pode resultar em danos à reputação dos contratados do Departamento de Defesa, o que pode ter consequências a longo prazo em seus relacionamentos comerciais, na confiança do cliente e na imagem geral da marca.

DFARS vs ITAR

DFARS (Suplemento do Regulamento Federal de Aquisições de Defesa) e ITAR (Regulamentos Internacionais de Tráfico de Armas) Existem dois conjuntos distintos de regulamentações nos Estados Unidos que dizem respeito a diferentes aspectos das atividades relacionadas à defesa.

O DFARS é um conjunto de regulamentos que complementa o Regulamento Federal de Aquisições (FAR) e se aplica a contratados e subcontratados que fazem negócios com o Departamento de Defesa dos EUA (DoD). O DFARS estabelece requisitos adicionais para a proteção de informações sensíveis de defesa, segurança cibernética e segurança da cadeia de suprimentos, entre outros.

O ITAR, por outro lado, é um conjunto de regulamentações administradas pelo Departamento de Estado dos EUA que regem a exportação, importação e transferência de artigos e serviços de defesa, bem como dados técnicos e serviços de defesa relacionados. O ITAR visa regulamentar a exportação e importação de artigos e serviços de defesa para proteger os interesses de segurança nacional e impedir o acesso não autorizado a tecnologias de defesa sensíveis.

Embora o DFARS e o ITAR estejam ambos relacionados a atividades de defesa, eles têm escopos e requisitos diferentes. O DFARS concentra-se principalmente nos processos de aquisição do Departamento de Defesa e inclui requisitos para que contratados e subcontratados protejam informações de defesa sensíveis e mantenham práticas robustas de segurança cibernética. O ITAR, por outro lado, aborda especificamente a exportação e importação de artigos e serviços de defesa, incluindo dados técnicos, e impõe controles sobre a transferência desses itens para pessoas ou entidades não americanas.

Em alguns casos, os contratistas de defesa podem precisar cumprir tanto o DFARS quanto o ITAR, dependendo da natureza de seus negócios e dos contratos específicos que mantêm com o governo dos EUA. Por exemplo, um contratista de defesa pode precisar cumprir os requisitos de segurança cibernética do DFARS e, ao mesmo tempo, aderir às regulamentações do ITAR ao exportar ou importar artigos de defesa ou dados técnicos. No entanto, embora possa haver algumas áreas de sobreposição, o DFARS e o ITAR são conjuntos distintos de regulamentações com seus próprios requisitos específicos e obrigações de conformidade.

O que sua organização pode fazer para se tornar compatível com o DFARS?

1. Analise e compreenda os requisitos do DFARS: As organizações devem analisar e compreender minuciosamente os requisitos do DFARS, incluindo a cláusula 252.204-7012 e as orientações associadas, para obter uma compreensão clara dos controles de segurança cibernética e das medidas de proteção de dados que precisam ser implementadas.
2. Realizar uma análise de lacunas abrangente: As organizações devem realizar uma análise de lacunas abrangente para identificar quaisquer deficiências ou falhas em sua postura atual de cibersegurança e práticas de proteção de dados, em comparação com os requisitos do DFARS. Essa análise pode ajudar a priorizar as áreas que precisam de melhorias para alcançar a conformidade.
3. Implementar controles de segurança adequados: As organizações devem implementar os controles de segurança apropriados especificados na Publicação Especial 800-171 do NIST, que descreve os requisitos de segurança para a proteção de Informações Não Classificadas Controladas (CUI), conforme exigido pelo DFARS. Isso pode envolver a implementação de controles técnicos, administrativos e físicos para salvaguardar a CUI e prevenir o acesso não autorizado ou violações de dados.
4. Desenvolver e implementar políticas e procedimentos de cibersegurança: As organizações devem desenvolver e implementar políticas e procedimentos abrangentes de cibersegurança que estejam alinhados com os requisitos do DFARS. Isso inclui políticas e procedimentos para controle de acesso, resposta a incidentes, backup e recuperação de dados, gerenciamento de riscos e treinamento de funcionários, entre outros.
5. Garantir a conformidade dos subcontratados: As organizações devem garantir que seus subcontratados que possam ter acesso a Informações Controladas Não Classificadas (CUI) também cumpram os requisitos do DFARS. Isso pode envolver o repasse das cláusulas relevantes do DFARS aos subcontratados e a verificação de sua conformidade por meio de contratos, auditorias e monitoramento.
6. Manter a documentação e os registros: As organizações devem manter documentação e registros relacionados aos seus esforços de conformidade, incluindo planos de segurança de sistemas, relatórios de avaliação de segurança, relatórios de incidentes e outros documentos relevantes, conforme exigido pelo DFARS. Essa documentação serve como comprovação de conformidade e pode ser necessária para auditorias ou avaliações.
7. Monitorar e avaliar a postura de cibersegurança: As organizações devem monitorar e avaliar continuamente sua postura de cibersegurança para identificar e solucionar quaisquer novos riscos ou vulnerabilidades. Isso pode envolver auditorias regulares de cibersegurança, avaliações de vulnerabilidade e testes de penetração para garantir a conformidade contínua com os requisitos do DFARS.
8. Mantenha-se atualizado sobre as mudanças nos requisitos do DFARS: As organizações devem manter-se atualizadas sobre quaisquer alterações ou atualizações nos requisitos do DFARS e nas orientações associadas, e incorporar prontamente quaisquer alterações necessárias em suas práticas de segurança cibernética para manter a conformidade.
9. Treinar e capacitar os funcionários: As organizações devem fornecer treinamento e educação regulares em cibersegurança aos seus funcionários para aumentar a conscientização sobre os requisitos do DFARS, as melhores práticas de cibersegurança e a importância da proteção de informações confidenciais não classificadas (CUI). Isso pode ajudar a garantir que os funcionários sejam bem informados e responsáveis no manuseio de informações sensíveis.
10. Estabelecer processos de resposta e reporte de incidentes: As organizações devem estabelecer processos de resposta e notificação de incidentes para detectar, responder e relatar prontamente quaisquer incidentes ou violações de segurança cibernética, em conformidade com os requisitos do DFARS. Isso inclui definir funções e responsabilidades, estabelecer planos de resposta a incidentes e implementar mecanismos para relatar incidentes às autoridades competentes.

A abordagem da BigID para a conformidade com o DFARS

BigID é uma plataforma de descoberta de dados para privacidade, segurança, e governança que ajuda as organizações a cumprir os requisitos do Suplemento do Regulamento Federal de Aquisições de Defesa (DFARS) de diversas maneiras:

1. Descoberta de dados: A BigID pode ajudar as organizações a identificar e classificar dados sensíveis que se enquadram no âmbito do DFARS, como informações não classificadas controladas (CUI) ou outras informações de defesa sensíveis. digitalização e catalogação dados de diversas fontes, incluindo dados estruturados e não estruturadosO BigID identifica onde residem os dados sensíveis, o que é um primeiro passo crucial para cumprir os requisitos do DFARS relacionados à proteção de dados e à segurança cibernética.
2. Classificação e etiquetagem de dados: O BigID classifica automaticamente dados sensíveis com base em classificadores predefinidos ou personalizados, como números de cartão de crédito, números de segurança social ou outros tipos de informações sensíveis que podem estar sujeitas às regulamentações do DFARS. Isso permite que as organizações rotulem e marquem dados sensíveis com precisão, o que pode ser usado para fins de gerenciamento de dados e conformidade, como a implementação de controles de acesso, criptografia ou políticas de retenção de dados.
3. Mapeamento e visualização de dados: O BigID fornece às organizações uma representação visual de seu panorama de dados, incluindo fluxos de dados, armazenamentos de dados e uso de dados, o que pode ajudar as organizações a obter visibilidade de como os dados sensíveis são coletados, processados e transmitidos em seu ambiente. Isso pode auxiliar as organizações a identificar possíveis lacunas ou riscos em suas práticas de tratamento de dados, bem como a demonstrar a conformidade com os requisitos do DFARS relacionados à proteção de dados e ao gerenciamento do fluxo de dados.
4. Governança de Dados e Gestão de Consentimento: A BigID ajuda as organizações a estabelecer políticas e fluxos de trabalho de governança de dados para garantir que os dados sensíveis sejam gerenciados e processados em conformidade com os requisitos da DFARS. Isso inclui recursos como políticas de retenção de dados, controles de acesso a dados e capacidades de gerenciamento de consentimento que podem ajudar as organizações a rastrear e gerenciar o tratamento de dados sensíveis e demonstrar conformidade com os requisitos da DFARS relacionados ao gerenciamento de dados e consentimento.
5. Segurança de dados e gestão de riscos: O BigID inclui funcionalidades como: controles de acesso a dadosA BigID oferece recursos de criptografia e detecção de violações de dados que podem ajudar as organizações a proteger dados confidenciais em conformidade com os requisitos do DFARS relacionados à proteção de dados e à segurança cibernética. A BigID também pode ajudar as organizações a identificar e mitigar riscos associados a dados confidenciais, como... Identificação de riscos de exposição de dados, riscos de compartilhamento de dados ou práticas de tratamento de dados que possam não estar em conformidade com os requisitos do DFARS.

Para acelerar suas iniciativas de privacidade, como a conformidade com o DFARS — Agende hoje mesmo uma demonstração gratuita e individual com a BigID.

Autor

Alexis Porter

Gerente de Marketing de Conteúdo

Alexis atua como Gerente de Marketing de Conteúdo na BigID, uma empresa líder em DSPM (Gerenciamento de Propostas de Conteúdo Digital). Ela se especializa em ajudar startups de tecnologia a desenvolver e aprimorar sua voz, para que contem histórias mais envolventes e que ressoem com públicos diversos. Alexis possui bacharelado em Escrita Profissional e mestrado em Comunicação de Marketing pela Universidade de Denver. Ela reside em Orlando, Flórida.