博客
什么是FISMA? FISMA合规要求
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

2002年《联邦信息安全管理法案》(FISMA)是美国联邦法律,它定义了一个全面的框架来保护政府信息,运营和资产免受自然和人为威胁。 FISMA是2002年《电子政府法》的一部分。 

该法案要求每个联邦机构制定,记录和实施整个机构范围内的信息安全计划,以保护支持该机构的运营和资产(包括由另一机构提供或管理的资产)的敏感数据和信息系统, 第三方供应商 or service provider. 

FISMA是联邦政府最重要的法规之一 数据安全 标准和准则。 

FISMA的目的是什么?

FISMA将特定职责分配给联邦机构,美国国家标准与技术研究院(NIST)和管理与预算办公室(OMB)以加强信息安全系统。 

特别是,FISMA要求机构计划官员,首席信息官和总检查员(IG)实施信息安全政策并实施安全控制措施,以经济有效地减少 信息技术安全风险 达到可接受的水平。

实施后,他们必须对代理商进行年度审核'的信息安全计划,并将结果报告给管理和预算办公室(OMB)。

然后,OMB将使用此数据来协助其监督责任,并就有关FISMA的机构合规性向国会准备年度报告。 

FISMA'此后,其范围已扩大到包括管理联邦计划的州机构,例如Medicare和任何其他 第三方供应商 与政府签订合同协议的人。

2010年,管理和预算办公室(OMB)发布了准则,要求各机构向FISMA审核员提供实时系统信息, 持续监控 FISMA监管的信息系统。 

尽管FISMA被2014年《联邦信息安全现代化法案》(FISMA 2014)取代,但它引起了人们对以下方面的注意: 网络安全 在联邦政府内部强调需要"基于风险的策略以实现具有成本效益的安全性".  

FISMA 2014:

  • 编纂国土安全部 '(DHS)有权管理非国家安全联邦行政部门系统的信息安全策略的实施,包括提供技术援助和部署
  • 修改和澄清管理和预算办公室's(OMB)对联邦机构信息安全的监督机构
  • 要求OMB修改或修订OMB A-130,以消除效率低下和浪费的报告

更新的 A-130 强调在整个生命周期中管理敏感信息的作用,这意味着从将安全性和隐私要求作为合规性练习转变为联邦机构全面,战略性和基于风险的持续计划的关键要素。  

FISMA如何实施?

根据FISMA,美国国家标准技术研究院(NIST)开发了标准,指南和其他资源,以为2003年1月启动的FISMA实施项目(不包括国家安全系统)中的所有联邦机构运营和资产提供信息安全。 

NIST的一部分'其作用是与联邦机构紧密合作,以增进他们对FISMA的理解和实施,并发布标准和指南,例如 NIST网络安全框架,这为强大的基础 信息安全 programs. 

FISMA合规要求是什么?

FISMA定义了管理信息安全的框架,美国联邦政府行政或立法分支机构以及代表这些分支机构中的联邦机构工作的第三方供应商使用或操作的所有信息系统必须遵循该框架。 

美国国家标准技术研究院(NIST)进一步定义了该框架,该机构已发布了以下标准和指南: FIPS 199 标准,用于联邦信息和信息系统的安全分类, FIPS 200 联邦信息和信息系统的最低安全要求NIST 800系列

FISMA有七个主要要求:

  1. 信息系统清单: FISMA需要代理商和 第三方供应商 维护其信息系统的清单,并标识每个系统与其他系统或网络之间的任何接口,包括那些未由代理商运营或在其控制下的接口。 NIST SP 800-18,修订版1,制定联邦信息系统安全计划的指南 提供有关确定如何对信息系统及其边界进行分组的指南。 
  2. 风险分类:  所有  敏感信息 信息系统根据其所需的信息安全性,根据一系列风险级别进行分类。  FIPS 199  and NIST SP 800-60将信息和信息系统类型映射到安全类别的指南 提供分类准则。了解FISMA的关键's 风险评估方法 它使用高水位线作为其影响等级。这意味着,如果系统得分较低, 机密性和完整性,但可用性高 影响等级将是高风险。 
  3. 安全控制: FISMA要求联邦信息系统满足以下内容中定义的最低安全要求:  FIPS 200 NIST SP 800-53建议的联邦信息系统安全控制 概述了适当的安全控制和保证要求。不需要代理机构来执行所有控制,而只需执行机构认为必要的控制。选择控件并满足最低安全要求后,代理商必须在其系统安全计划中记录所选控件。
  4. 风险评估: 的结合  FIPS 200  and NIST SP 800-53 构成所有联邦机构的基础'风险管理框架。一种 网络安全风险评估 确定当前的安全控制是否足够以及是否需要任何其他控制。与任何风险评估一样,它首先要确定潜在的 网络威胁网络攻击漏洞 漏洞利用  and other 常见攻击媒介 然后映射到旨在减轻它们的控件。风险是通过计算给定安全事件的可能性和影响并考虑到现有的控制措施来确定的。最终结果是一个风险评估,其中包含所有事件的已计算风险以及有关该风险是否被接受或减轻的信息。
  5. 系统安全计划: NIST SP-800-18 介绍了系统安全计划的概念,需要定期审查,修改,行动计划和实施安全控制措施的里程碑的活动文档。应该制定程序并概述程序,以审查计划,使其保持最新状态并跟踪任何计划的安全控制措施的进度。系统安全计划是安全认证和认可过程的主要输入。在此过程中,将对系统安全计划进行分析,更新,然后由认证代理接受,以确认所描述的安全控制与  FIPS 199  and  FIPS 200 .
  6. 认证与认可: 风险评估和系统安全计划完成后,FISMA要求计划官员和机构负责人进行年度安全审查,以确保充分的安全控制并充分缓解风险。 FISMA认证和鉴定是一个分为四个阶段的过程,包括启动和计划,认证,鉴定和连续监控。 NIST SP 800-37联邦信息系统安全认证和认可指南 详细概述了此过程。通过对信息系统进行认证,代理机构的官员对系统的安全性承担责任,并对任何对系统造成的不利影响负全部责任。 数据泄露资料泄漏,未经授权的访问或其他安全事件。 
  7. 持续监控: 所有FISMA认可的系统都必须监视其选定的安全控制集,并更新文档以反映对系统的更改和修改。较大的更改应触发更新的风险评估,并且可能需要重新认证。持续监测活动包括 配置管理,控制信息系统组件,对系统更改进行安全影响分析(例如 安全等级),持续的安全控制评估和状态报告。

遵守FISMA有什么好处?

FISMA的合规性增强了敏感联邦信息的安全性,保护了国家安全利益,并且持续监控为机构提供了有关如何维护其安全性并消除其危害的信息 漏洞 以节省成本和时间的方式。 

对于与联邦机构有业务往来的私营公司,在争夺联邦合同时,FISMA的合规性可以比其他组织更好。额外的好处是,通过满足FISMA的合规要求,公司正在改善其组织's data protection, 防止数据泄露 and improving 事件响应计划.  

不遵守FISMA会受到哪些处罚?

对于政府机构及其 第三方供应商,不遵守FISMA可能会导致国会谴责,联邦资金减少,声誉受损,政府听证会,未来合同的损失以及不良的网络安全基础架构。 

什么是FISMA合规性最佳实践?

  • 将信息分类为其创建的信息: 这将使您可以优先考虑最敏感信息的安全控制。
  • 加密敏感数据: 加密 是减少数据泄露的影响和成本的好方法。
  • 保持FISMA合规的证据: 记录您的组织为达到FISMA合规性所做的工作,例如您的信息系统清单,风险分类框架,安全控制,过去的风险评估,系统安全计划,认证,认证和 连续监控解决方案.  
  • 保持最新状态: 随着FISMA标准和新NIST准则的更改。

UpGuard如何防止数据泄露和数据泄漏

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid  恶意软件 .

We're experts in 数据泄露 and 数据泄漏 , 我们的   研究  已在 纽约时报华尔街日报 彭博社 华盛顿邮报 福布斯 路透社  and Techcrunch。

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 并持续监控您的供应商' 安全态势 随着时间的流逝,同时将它们与行业进行比较。 

每个供应商均根据50多个标准(例如是否存在  SSL协议 协议  and  域名系统 ,以及 域名劫持中间人攻击 and 电子邮件欺骗 for  网络钓鱼 .

每天,我们的平台都会通过 网络安全等级 out of 950. We'如果他们的分数下降,我会提醒您。

UpGuard BreachSight 可以帮助监控DMARC,打击 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。 

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状