1 Nisan'dast (resmi olarak 04/04/2024), Savunma Bakanlığı (DoD), Genel Hizmetler İdaresi (GSA) ve Ulusal Havacılık ve Uzay İdaresi (NASA), Federal Satın Alma Yönetmeliğini (FAR) değiştiren nihai bir kural yayınladı. Değişiklik, bilgi güvenliği ve tedarik zinciri güvenliğine ilişkin yeni FAR bölüm 40'ın çerçevesini ekliyor. Bu kararın yürürlük tarihi 05/01/2024'tür.
Şu anda yazıldığı şekliyle FAR, satın alma iş gücünün güvenlik gereksinimlerini tanımlamasını, anlamasını ve uygulamasını zorlaştırıyor. Yasaklamalar, hariç tutmalar, tedarik zinciri risk bilgisi paylaşımı ve güvenlik hedeflerine yönelik bilgilerin korunmasına yönelik politika ve prosedürler, FAR'ın çeşitli bölümlerine yayılmıştır.
Bu kararın amacı, FAR'da siber güvenlik ve tedarik zinciri gereksinimleri için yeni merkezi konum olacak yeni bir FAR bölüm 40 oluşturmak üzere FAR'ı değiştirmektir. Bu yeni FAR bölümü, satın almalar genelinde geçerli olan siber güvenlik tedarik zinciri risk yönetimi gereksinimleri için sözleşme görevlilerine FAR'da tek bir birleştirilmiş konum sağlayacaktır. Bu aynı zamanda bilgi güvenliği ve tedarik zinciri güvenliği politikalarını ve prosedürlerini gözden geçirmek isteyen devlet yüklenicilerine de fayda sağlayacaktır.
Karar, bilgi güvenliği ve tedarik zinciri güvenliği politikalarından veya prosedürlerinden herhangi birini uygulamamakta, bunun yerine sadece ürün ve hizmet satın alımlarında geçerli olan geniş güvenlik gerekliliklerini ele alan yeni FAR bölümünü oluşturmaktadır. Benzer şekilde, kural ne talep ya da sözleşme maddeleri için yeni hükümler getiriyor ne de mevcut olanları etkiliyor.
Yeni FAR bölüm 40 şunları kapsayacaktır:
- Aşağıdakileri yöneterek ulusal güvenliği güçlendirmeyi amaçlayan güvenlik gereksinimleri:
- Siber güvenlik tedarik zinciri riskleri
- Yurt dışı kaynaklı riskler
- Gelişen teknoloji riskleri
- Bilgi ve iletişim teknolojisini (BİT) içeren ancak bunlarla sınırlı olmayan güvenlikle ilgili gereksinimler
Yeni FAR bölüm 40 şunları kapsamayacaktır:
- Yalnızca BİT edinimleri için geçerli olan güvenlikle ilgili gereksinimler
- Güvenlik riskleriyle ilgisi olmayan tedarik zinciri ve bilgi riskleri
Yeni FAR bölüm 40 kapsamında gerçekleştirilecek birleştirme veya eklemeler, ayrı kural koyma yoluyla gerçekleştirilecektir.
Yeni FAR bölüm 40, devlet sözleşmelerinde bilgi güvenliğinin ve tedarik zinciri güvenliğinin iyileştirilmesine yönelik önemli bir adımdır. Devlet yüklenicileri ve satın alma iş gücü, yeni gereklilikleri tanımaya ve uyumluluğu sağlamaya teşvik ediliyor.
Yazar: Jason Spezzano, Yönetici Siber Güvenlik Danışmanı | jspezzano@Finans
Bize Ulaşın
Federal sözleşmelere yönelik siber ve bilgi güvenliği uyumluluğuna ilişkin kişiselleştirilmiş rehberlik ve destek için Withum'un Devlet Yüklenici Hizmetleri Ekibiyle iletişime geçin.
Muhabbet edelim
Bilgi ve Tedarik Zinciri Güvenliğine ilişkin Yeni FAR Bölüm 40'ta Gezinme yazısı ilk olarak Withum'da yayınlandı.
Bir yanıt yazın