Hükümete, Sektöre Özel
GSA, Federal Satın Almaları Kapsayan Güvenlik Düzenlemeleri Çerçevesini Oluşturuyor
Chris Riotta (@chrisriotta) •
1 Nisan 2024
Federal hükümet, siber savunmaları güçlendirme ve federal sistemleri daha iyi koruma çabasının bir parçası olarak bilgi güvenliği ve tedarik zinciri güvenliği satın alma politikalarını düzenlemeyi amaçlıyor.
Ayrıca bakınız: FedRAMP ve StateRAMP'ı Anlamak
Genel Hizmetler İdaresi, NASA ve Savunma Bakanlığı (federal satın almayı düzenleyen kapsamlı kuralların sürdürülmesinden sorumlu üç federal kurum), Pazartesi günü Federal Satın Alma Yönetmeliği için tamamen yeni bir bileşen oluşturan nihai bir kural yayınladı. Bildiriye göre FAR bölüm 40, federal satın alma süreci boyunca bilgi güvenliği ve tedarik zinciri güvenliğini yönetmeye yönelik geniş kapsamlı politika ve prosedürleri içerecek.
Şimdilik yeni bölüm yalnızca bir yer tutucudur. Ajanslar daha sonra bilgi güvenliğini yönetmek için politika ve prosedürler ekleyeceklerini söylüyor.
Ajanslar, bilgi güvenliği ve tedarik zinciri güvenliğini çevreleyen kuralların şu anda FAR geneline dağılmış olduğunu ve bu durumun “satın alma iş gücünün uygulanabilir gereklilikleri bulmasını, anlamasını ve uygulamasını zorlaştırdığını” yazdı. FAR bölüm 40, sözleşme görevlilerinin ilgili gereksinimleri bulup uygulayabileceği, ayrıca mal ve hizmet tedarik eden kurumlara yönelik güvenlik politikalarını ve prosedürlerini inceleyebileceği tek ve birleştirilmiş bir konum oluşturacaktır.
Yeni kısım, nihai kurala göre, siber güvenlik tedarik zinciri risklerine ve yabancı düşmanlar ve gelişen teknolojilerle ilişkili tehditlere karşı “ulusal güvenliği desteklemek için tasarlanmış” güvenlik düzenlemeleri de dahil olmak üzere, federal satın almalar genelinde geniş bir güvenlik gereksinimleri yelpazesini barındıracak. İklim değişikliği, işgücü ve insan kaçakçılığıyla ilgili olanlar gibi güvenlikle ilgisi olmayan diğer tedarik zinciri ve bilgi riskleri FAR'ın ayrı bölümlerinde ele alınmaya devam edecek.
Bildiride, FAR Bölüm 40'ın resmi olarak Mayıs ayında oluşturulacağı, tedarik zincirleri ve bilgi güvenliğine yönelik mevcut güvenlik politikalarının yeniden konumlandırılmasının ise ayrı kural oluşturma yoluyla yapılacağı belirtiliyor.
FAR değişikliği, Biden yönetiminin, kurumlara güvenlik duruşlarını iyileştirme ve yazılım tedarik zinciri bütünlüğünü geliştirme görevi veren 2021 siber güvenlik yönetim emri kapsamında gerekli (bkz: Biden'ın Siber Güvenlik Yönetici Emri: 4 Temel Çıkarım). Yalnızca bilgi ve iletişim teknolojisi edinimleriyle ilgili güvenlik gereklilikleri, bilgi teknolojisi sistemlerini edinen kurumlara yönelik politika ve prosedürleri içeren FAR bölüm 39'da ele alınmaya devam edilecektir.