Gestion De La Confidentialité Des Données

Liste de contrôle de conformité FISMA

Image de la liste de contrôle de conformité FISMA



LeLoi fédérale sur la gestion de la sécurité de l'informationouFISMAest une loi fédérale adoptée aux États-Unis qui oblige les agences fédérales à mettre en œuvre et à maintenir une stratégie de sécurité de l'information. La FISMA a été adoptée en 2002 pour imposer des réglementations sur la manière dont les agences fédérales traitent les données.

Qu’est-ce que la FISMA ?

Comme indiqué brièvement ci-dessus, la FISMA était une loi adoptée dans le droit américain qui déterminait la manière dont les agences gouvernementales pouvaient gérer les systèmes et les données informatiques. FISMA faisait partie du plus grandLoi sur l'administration électroniquede 2002, qui visait à mettre à niveau la gestion informatique des agences gouvernementales.



Dans le cadre de la FISMA, les entreprises et les agences gouvernementales sont notées avec un score FISMA. Le score est utilisé pour indiquer le degré de sécurité de vos systèmes internes et déterminer le degré de protection des données que vous détenez. De plus amples informations sur les normes de sécurité peuvent être trouvées dans NIST SP 800-53 .

Qu'est-ce que le NIST SP 800-53 ?

LePublication spéciale 800-53 de l'Institut national des normes et de la technologie, ouNIST800-53est un ensemble de normes industrielles du NIST qui établissent des lignes directrices sur ce que les agences fédérales et les entrepreneurs doivent faire pour se conformer à la FISMA. NIST SP 800-53 traite des contrôles de sécurité en vertu de la loi.



Le cadre de gestion des risques NIST SP 800-53 définit un processus systématique pour garantir la conformité. Le cadre commence par une organisation catégorisant les systèmes, trouvant les contrôles de sécurité idéaux, les mettant en œuvre et évaluant l'effet à long terme. Le processus peut être divisé en six étapes :

  1. Catégoriser/Créer un inventaire des systèmes d'information
  2. Sélectionnez les contrôles de sécurité applicables
  3. Mettre en œuvre les contrôles de sécurité
  4. Évaluer les contrôles de sécurité
  5. Autoriser les systèmes d'information
  6. Surveiller les contrôles de sécurité

Qui doit suivre la FISMA ?

Bien que la FISMA s'appliquait initialement àagences fédéralesla loi a depuis été élargie pour inclureagences d'Étatmettre en œuvre des programmes fédéraux. Aujourd'hui, les agences d'État gérant des programmes tels que Medicare, Medicaid et les prêts étudiants devraient suivre la FISMA. En outre, les entreprises privées qui gèrent des contrats gouvernementaux, fournissent des services ou reçoivent des subventions doivent également se conformer à la loi.

La FISMA surprend souvent les entreprises privées parce qu’elles ignorent que les relations contractuelles les font tomber sous le coup de la loi. Malheureusement, il s’agit d’une erreur qui peut entraîner un stress financier considérable, car une entreprise s’expose à des sanctions en cas de non-conformité.

Quelles sont les sanctions en cas de non-conformité ?

Les sanctions en cas de non-respect de la FISMA sont centrées sur la perte du soutien du gouvernement. Les institutions ou entreprises qui ne satisfont pas aux exigencesperdre le financement fédéralet êtreexclu des futurs contrats gouvernementaux. Pour les entreprises privées, l’interdiction des contrats gouvernementaux peut s’avérer financièrement dévastatrice.

La loi impose des sanctions sévères pour garantir que les agences fédérales et les organisations privées concernées disposent de contrôles adéquats pour protéger les données qu'elles détiennent. Si votre score FISMA est faible, il existe un risque raisonnable de fuite d'informations sensibles. Garantir la conformité FISMA aidera non seulement à éviter les pénalités, mais également à protéger vos données.

À quelle fréquence la conformité FISMA est-elle évaluée ?

Pour garantir que les agences fédérales maintiennent les contrôles de sécurité à jour, la conformité à la FISMA est évaluée chaque année et signalée à l'OMB. L'évaluation doit être menée de manière indépendante par un auditeur externe ou l'inspecteur général de l'agence. Une fois l'évaluation terminée, un bulletin sera rendu public pour indiquer les institutions qui protègent les données.

Liste de contrôle de conformité FISMA

Les exigences de la FISMA sont vastes. Être conforme à la FISMA n’est pas seulement une affaire de peinture par numéros, mais un processus méticuleux, personnalisé pour votre entreprise. Pour se conformer à la législation, une agence ou un entrepreneur doit passer par un cycle de vie complet consistant à dresser l'inventaire des systèmes actuels, à créer une politique de sécurité personnalisée pour protéger ces actifs et à surveiller les risques sur le long terme.

Le cycle de vie de conformité peut être décomposé en les étapes suivantes :

  1. Maintenir l'inventaire du système d'information
  2. Catégoriser les systèmes d'information
  3. Maintenir un plan de sécurité du système
  4. Utiliser les contrôles de sécurité
  5. Effectuer des évaluations des risques
  6. Certification et accréditation
  7. Contrôle continu

L'intention derrière la législation est que vous puissiezchoisir les contrôles de sécuritéqui sont à la hauteur des risques auxquels votre organisation est confrontée, et de réviser ces contrôles périodiquement pour s'assurer qu'aucune vulnérabilité n'est négligée.

Étape 1 : Maintenir l'inventaire du système d'information

L'obligation de maintenir un inventaire du système d'information impose aux agences fédérales et aux entrepreneurs detenir un inventaire de tous les systèmes informatiques utilisésau sein de l’organisation. L'inventaire doit inclure les informations suivantes : description, fabricant, numéro de modèle, date d'achat ou de location lors de son déploiement lors de la dernière mise à jour du matériel, un enregistrement de maintenance ou de réparation, un enregistrement de service et l'élimination.

Étape n°2 : catégoriser les systèmes d'information

L'exigence suivante stipule que les agences doiventcatégoriser les systèmes d’information selon le niveau de risque. La catégorisation des risques est utilisée pour identifier les systèmes qui contiennent les données les plus sensibles afin que l'agence puisse ensuite mettre en œuvre les mesures de sécurité nécessaires pour protéger ces données contre toute compromission.

Les Federal Information Processing Standards ou FIPS 199 sont la norme qui détermine la catégorie de risque des systèmes informatiques. FIPS 199 catégorise le risque d'un système de trois manières : confidentialité, intégrité et disponibilité. Chacune de ces mesures est ensuite classée comme faible, moyenne ou élevée.

Étape n°3 : Maintenir un plan de sécurité du système

En vertu de la loi, les organisations doiventcréer un plan de sécurité du systèmedétaillant les contrôles et les politiques de sécurité. Le plan doit inclure un plan d'action et des jalons qui doivent être révisés périodiquement. Dans le document, il doit y avoir une série de contrôles de sécurité, d'étapes et de calendriers pour la mise en œuvre de nouveaux contrôles. Il est essentiel que le document soit régulièrement mis à jour.

Étape n°4 : Utiliser les contrôles de sécurité

Une fois le plan de sécurité créé, il est temps de commencer à le mettre en œuvre.contrôles de sécurité. NIST SP 800-53 agit comme un catalogue de contrôles de sécurité que vous pouvez utiliser pour protéger vos systèmes. Les exigences répertoriées dans le NIST SP 800-53 s'appliquent à « tous les composants d'un système d'information qui traitent, stockent ou transmettent des informations fédérales ».

Il existe une gamme de contrôles de sécurité abordés, notamment :

  • L'évaluation des risques
  • Certification, accréditation et évaluations de sécurité
  • Services système et acquisitions
  • Planification de la sécurité
  • Gestion de la configuration
  • Protection du système et des communications
  • Sécurité du personnel
  • Sensibilisation et Formation
  • Protection physique et environnementale
  • Protection des médias
  • La planification d'urgence
  • Intégrité du système et de l’information
  • Réponse aux incidents
  • Identification et authentification
  • Contrôle d'accès
  • Responsabilité et audit

Il est important de noter que les contrôles de sécurité que vous choisissez de mettre en œuvre doivent être les plus adaptés au type de systèmes que vous utilisez et que vous devez protéger. Vous n'avez pas besoin d'appliquer tous les contrôles répertoriés dans NIST SP 800-53, mais vous devez vous assurer que ceux que vous appliquez répondent aux normes de sécurité nécessaires. Choisissez les contrôles qui protégeront le type de système que vous utilisez le plus.

Étape n°5 : effectuer des évaluations des risques

A ce stade, il est temps deévaluer les contrôles de sécurité que vous utilisezpour déterminer s'il y a des lacunes dans votre processus. NIST SP 800-30 décrit la manière dont les évaluations des risques doivent être menées. Vous devez tout protéger, des individus aux actifs, en passant par les opérations. Une fois que vous avez effectué l’évaluation des risques, vous devez également identifier si d’autres contrôles sont nécessaires pour protéger les données. L’idée est que vous scrutiez vos contrôles pour vous assurer que toutes les bases sont couvertes.

Étape #6 Certification et accréditation

Après avoir peaufiné vos contrôles et complété la documentation nécessaire, vous devez obtenir les contrôles de votre système.certifié et accréditépour montrer qu'ils fonctionnent correctement. Si l’examen réussit, le système d’information sera accrédité. Le processus de certification est décrit dans le NIST SP 800-37 « Guide pour la certification de sécurité et l'accréditation des systèmes d'information fédéraux ».

D'une manière générale, le processus de certification et d'accréditation peut être divisé en quatre sections : planification, certification, accréditation et surveillance continue.

Étape n°7 Surveillance continue

Enfin, vous devrez surveiller les contrôles et les systèmes de sécurité pour détecter les modifications et les changements. Les types de surveillance que vous devrez intégrer comprennentgestion de la configuration,surveillance de l'intégrité des fichiers,analyse des vulnérabilités, etanalyse du journal. Chaque outil a un cas d’utilisation différent. Par exemple, un scanner de vulnérabilités peut être utilisé pour analyser les appareils à la recherche de points d'entrée et de vulnérabilités. Un système de surveillance de l'intégrité des fichiers vous aidera à garantir que vous pouvez vérifier les fichiers système.

Logiciel pour la conformité FISMA

Travailler vers la conformité FISMA est cent fois plus facile si vous disposez des bons outils sur lesquels vous appuyer. Compte tenu de l'importance de la réglementation, de nombreux fournisseurs ont conçu des solutions spécifiquement pour se conformer aux exigences énumérées dans la législation. Dans cette section, nous allons examiner quelques outils que vous pouvez utiliser pour vous aider à rester au top de la FISMA :

Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)

Gestionnaire d’événements de sécurité SolarWinds

Gestionnaire d’événements de sécurité SolarWindsest une solution de gestion des journaux et des événements avec des outils de reporting de conformité intégrés. Les capacités de traitement des événements du logiciel vous aident à gérer les actifs informatiques et les risques en identifiant les événements de sécurité. Vous pouvez contrôler le type d'événements que vous recherchez grâce à un journal basé sur des règles et à une corrélation d'événements.

Une fois que vous avez collecté les données de journal, vous pouvez générer des rapports d'audit FISMA pour documenter les événements du réseau. Tout ce que vous avez à faire est de cocher la case Conforme FISMA sur la page Gérer les catégories et vous êtes prêt à partir. Ces rapports sont personnalisables pour vous assurer que vous pouvez afficher toutes les informations nécessaires.

Avantages:

  • Conçu pour les entreprises, peut surveiller les systèmes d'exploitation Windows, Linux, Unix et Mac
  • Prend en charge des outils tels que Snort, permettant à SEM d'améliorer votre posture de sécurité globale
  • Plus de 700 alertes préconfigurées, règles de corrélation et modèles de détection fournissent des informations instantanées lors de l'installation
  • Les règles de réponse aux menaces sont faciles à créer et utilisent des rapports intelligents pour réduire les faux positifs.
  • Les fonctionnalités intégrées de reporting et de tableau de bord contribuent à réduire le nombre d'outils auxiliaires dont vous avez besoin pour votre IDS.

Les inconvénients:

  • Densité de fonctionnalités – nécessite du temps pour explorer pleinement toutes les fonctionnalités

Pour l’audit de conformité et la surveillance continue,Gestionnaire d’événements de sécurité SolarWindsest idéal.Gestion des événements de sécurité SolarWindsr commence au prix de 4 665 $ (3 800 £). Vous pouvez télécharger l'essai gratuit de 30 jours.

SolarWinds Security Event Manager Téléchargez un essai GRATUIT de 30 jours

Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT)

Analyseur de journaux d

Analyseur de journaux d'événements ManageEngineest une solution de gestion des journaux qui propose des rapports conformes à la FISMA. Le logiciel peut collecter, surveiller et analyser les données de journal de votre réseau et identifier les cyberattaques. Vous pouvez convertir ces données en rapports pour vous conformer à la législation.

Il existe des rapports prêts à l'emploi pour l'audit et la responsabilité, la certification (AU), l'accréditation et les évaluations de sécurité (CA), la planification d'urgence (CP), le contrôle d'accès (AC), l'identification et l'authentification (IA) et la gestion de la configuration (CM). exigences.

Pour l’accréditation et les évaluations de sécurité,Analyseur de journaux d'événements ManageEnginedispose d'un rapport sur les services Windows qui détaille le moment où un service a été démarré et l'appareil sur lequel le service est exécuté. Pour la planification d'urgence, les rapports fournissent des détails sur l'heure, la date et l'utilisateur qui a lancé les mesures de sauvegarde. Tous ces rapports sont pris en charge par des alertes par courrier électronique et SMS en temps réel qui informent l'utilisateur de tout accès non autorisé aux systèmes du réseau.

Avantages:

  • Tableaux de bord personnalisables qui fonctionnent parfaitement pour les centres d'exploitation réseau
  • Plusieurs canaux d'alerte garantissent que les équipes sont informées par SMS, e-mail ou intégration d'applications
  • Utilise la détection des anomalies pour aider les techniciens dans leurs opérations quotidiennes
  • Prend en charge la surveillance de l'intégrité des fichiers qui peut servir de système d'alerte précoce en cas de problèmes de ransomware, de vol de données et d'accès aux autorisations.
  • Les fonctionnalités d’audit des journaux médico-légaux permettent aux administrateurs de créer des rapports pour les affaires juridiques ou les enquêtes.

Les inconvénients:

  • Conçu pour les réseaux à l'échelle de l'entreprise

Il existe trois versions deAnalyseur de journaux d'événements ManageEnginedisponible : édition gratuite, premium et distribuée. La version gratuite prend en charge jusqu'à cinq sources de journaux. La version Premium commence à 595 $ (484 £) par an pour 10 à 1 000 sources de journaux. La version distribuée commence à 2 495 $ (2 033 £) pour 50 sources de journaux illimitées. Vous pouvez télécharger l'essai gratuit de 30 jours.

ManageEngine EventLog Analyzer Téléchargez un essai GRATUIT de 30 jours

Conformité FISMA : un effort à long terme

Gérer les procédures de sécurité et rester conforme à la FISMA est une bataille difficile, mais cette liste de contrôle de conformité à la FISMA devrait vous mettre du bon pied. Les agences gouvernementales et les entrepreneurs bénéficieront de l'application des normes décrites dans la FISMA et le NIST SP 800-53.

En faisant un effort conscient pour protéger les systèmes contre les dysfonctionnements, les utilisateurs non autorisés et les attaquants, les entités peuvent garantir que les données confidentielles le restent. Se conformer à la réglementation est un effort à long terme.

C'est à vous de décider si vous choisissez de vous assurer de la conformité avec un entrepreneur interne ou un consultant spécialisé. Si vous souhaitez minimiser les responsabilités potentielles, travailler avec un consultant est l'un des meilleurs moyens de vérifier que vos mesures de sécurité sont à la hauteur.

Bien que le coût des contrôles de sécurité conçus conformément à la loi soit énorme, il convient de rappeler le coût de la non-conformité. L’investissement à court terme vaut bien le gain à long terme résultant du maintien des contrats gouvernementaux.

FAQ sur la conformité FISMA :

Quel est le but de la FISMA ?

La FISMA met en œuvre le rôle d'application du ministère de la Sécurité intérieure en créant des politiques de sécurité de l'information pour les agences civiles du pouvoir exécutif fédéral.

Quels sont les neuf éléments qui doivent être inclus dans les programmes de sécurité de l'information de l'agence ?

Les neuf catégories de rapports pour le programme de sécurité des informations de l'agence sont :

  • Sécurité du personnel
  • Sécurité physique
  • Gestion des classements
  • Déclassification
  • Protection et maintenance des systèmes d'informations classifiés
  • Contre-mesures de sécurité des opérations et de surveillance technique
  • Éducation, formation et sensibilisation professionnelles
  • Gestion, surveillance et planification de la sécurité
  • Objets uniques

Qu’est-ce que FISMA FedRAMP ?

FedRAMP concerne spécifiquement les services cloud et les services gérés. Il autorise l'utilisation de ces services cloud par les agences gouvernementales, comme un sceau d'approbation.

^