Introducing G2.ai, the future of software buying.Try now

Qu'est-ce que la conformité FISMA et qui cela impacte-t-il ?

10 Janvier 2022
Lauren Pope
LP
par Lauren Pope

Dans cet article

Dans cet article

Big Brother vous surveille toujours... pour s'assurer que vous restez conforme.

Nous avons parlé en détail de la conformité et des différentes manières dont les entreprises doivent rester conformes. Nous avons également discuté de la façon dont la conformité affecte chaque industrie différemment. Dans cet article, nous allons continuer sur cette lancée en nous concentrant sur la conformité FISMA et son impact sur notre gouvernement.

Vous cherchez un sujet spécifique concernant la conformité réglementaire ? Utilisez les liens ci-dessous pour aller directement à la section :

Qu'est-ce que la conformité FISMA ?

Pour comprendre toute la portée de la conformité FISMA, vous devez d'abord apprendre l'histoire et la signification derrière FISMA. La première incarnation de FISMA était connue sous le nom de Federal Information Security Management Act de 2002 et fait partie de l'Electronic Government Act.

En 2014, FISMA a été réécrit et signé en loi par le président Obama. Avec la réécriture est venu un changement de nom et des dispositions supplémentaires incluses pour construire un programme de protection des données plus robuste.

Aujourd'hui, la dernière version de FISMA s'appelle le Federal Information Security Modernization Act de 2014. Les gens utilisent souvent le terme FISMA comme abréviation pour la dernière version de la législation, mais il est également souvent appelé FISMA Reform.

Définition de la conformité FISMA

La conformité FISMA est l'acte de suivre les directives FISMA pour assurer un cadre complet pour protéger les informations, les opérations et les actifs du gouvernement contre les menaces.

La conformité FISMA s'applique à toutes les agences gouvernementales sans exception. Elle exige que toutes les agences fédérales assurent la sécurité et la sûreté de toutes les informations de l'agence. Elle s'applique également aux entrepreneurs gouvernementaux et à tout fournisseur tiers utilisé pour soutenir les opérations de l'agence.

Qui supervise la conformité FISMA ?

FISMA prend beaucoup de ses repères réglementaires des Federal Information Processing Standards (FIPS). FIPS a été développé par le gouvernement américain et aide à guider l'objectif global d'assurer la confidentialité, la transparence et la disponibilité des informations détenues par le gouvernement fédéral.

Il y a deux organismes de réglementation qui travaillent avec FISMA :

L'Institut national des normes et de la technologie (NIST) qui a l'autorité de créer des programmes qui renforcent la sécurité informatique et les pratiques de gestion des risques.

Le Département de la Sécurité intérieure qui est responsable de l'administration de la mise en œuvre des programmes créés par le NIST afin de sécuriser la sécurité des systèmes d'information fédéraux.

La révision de 2014 de FISMA exige également que toute agence qui subit une violation de FISMA signale l'incident au Congrès dans les sept jours suivant la découverte.

Pourquoi la conformité FISMA est-elle importante ?

Le gouvernement contrôle beaucoup d'informations, et laisser ces informations tomber entre de mauvaises mains pourrait entraîner des conséquences désastreuses. Parce que le risque de catastrophe est si élevé pour une potentielle violation de données gouvernementales, la norme pour protéger ces données doit être tout aussi élevée.

Les contrôles mis en place pour protéger les informations gouvernementales doivent correspondre au risque et à l'échelle potentielle de dommages qui pourraient survenir si ces données étaient accédées, distribuées ou manipulées par une source malveillante.

Les conséquences potentielles de ne pas suivre la conformité FISMA peuvent être énormes. Toute agence fédérale qui ne respecte pas la conformité FISMA risque de perdre le financement fédéral. Si vous êtes un entrepreneur gouvernemental, vous pourriez perdre toute votre entreprise ou manquer des offres futures pour des projets financés par le gouvernement.

Qu'est-ce qui est requis pour la conformité FISMA ?

Au lieu de couvrir chacune des exigences et protocoles spécifiques requis par FISMA, nous avons extrait certains des thèmes majeurs pour vous et votre responsable de la conformité à examiner.

FISMA requirements
 

Ceux-ci devraient servir de guide de haut niveau et servir de point de départ pour vos propres recherches. Vous pouvez trouver plus d'informations sur chacune des exigences listées ci-dessus en continuant à lire.

1. Certification et accréditation

FISMA exige que tout responsable de programme, responsable de la conformité et chef d'agence supervise des examens de sécurité annuels. Ces examens sont utilisés pour examiner les stratégies de gestion des risques et maintenir les risques de non-conformité à un minimum. Certaines agences choisissent d'acquérir une certification et accréditation FISMA (C&A) pour aider dans ce processus.

2. Inventaire des systèmes d'information

Toutes les agences fédérales et les entrepreneurs gouvernementaux doivent tenir un inventaire de chaque système informatique utilisé au sein de leur organisation. Ils doivent également suivre et identifier les différentes intégrations entre ces systèmes et tout autre système au sein du même réseau.

3. Évaluation et catégorisation des risques

Une évaluation des risques est un examen interne du programme de conformité d'une agence dans lequel les risques potentiels seront identifiés. Un plan est ensuite mis en place pour examiner, résoudre et surveiller les risques. NIST recommande que toutes les évaluations des risques couvrent un examen au niveau organisationnel, au niveau des processus métier et au niveau des systèmes informatiques.

Une fois qu'un risque est évalué, les agences fédérales doivent catégoriser chaque risque par ordre d'importance. Le niveau de risque de sécurité le plus élevé est alors donné en priorité. FIPS décrit la gamme des niveaux de risque au sein d'une organisation pour servir de guide pour la catégorisation des risques.

En relation : En savoir plus sur les cinq types d'audits de conformité et pourquoi vous pourriez en avoir besoin !

4. Contrôles de sécurité

NIST SP 800-53 décrit une liste exhaustive de contrôles de sécurité suggérés qui peuvent être utilisés pour la conformité FISMA. FISMA n'exige pas que les agences mettent en œuvre chaque contrôle. Au contraire, elles sont encouragées à examiner les documents et à n'appliquer que les contrôles pertinents pour leur agence.

Par exemple, l'EPA, qui régule les protections environnementales, n'utiliserait pas les mêmes contrôles que la FCC, qui surveille la diffusion, la télévision et la radio.

Vous devez avoir choisi et mis en place des contrôles de sécurité avant de passer à l'étape suivante, qui est la création d'un plan de sécurité du système.

5. Plan de sécurité du système

FISMA exige que toutes les agences fédérales aient un plan de sécurité en place en cas de violation de la conformité. Ce plan doit être régulièrement maintenu et mis à jour annuellement pour fournir les meilleures solutions de sécurité. Les plans de sécurité doivent inclure des politiques de sécurité, des meilleures pratiques et un calendrier pour faire face aux risques de sécurité potentiels.

Comment créer un programme de conformité FISMA

Nous l'avons déjà dit dans des articles sur ce sujet, mais nous le dirons encore : la technologie change la façon dont nous travaillons. Même les agences gouvernementales, qui ont longtemps eu la réputation d'être en retard en matière de technologie, rattrapent rapidement leur retard.

C'est pourquoi il est important de considérer les solutions logicielles de conformité lors de la création d'un programme de conformité FISMA. Vous voudrez un outil qui puisse fournir plusieurs capacités et inclure les différents intervenants requis pour la conformité.

Des produits comme G2 Track ont gagné en popularité ces dernières années car ils sont des solutions simples pour la gestion de la conformité. Et avec FISMA mettant une telle importance sur la gestion des informations et des accords avec les fournisseurs, G2 Track offre la solution parfaite tout-en-un pour vos besoins de conformité FISMA.

Vous pouvez visiter le site Web de G2 Track pour en savoir plus sur chacune de nos offres de solutions, les options d'intégration logicielle, et pour vous inscrire au plan gratuit à vie. Même si G2 Track n'est pas le bon produit pour votre entreprise, vous pouvez l'utiliser comme un moyen d'explorer les capacités offertes par les solutions logicielles de conformité sans aucun coût initial.

Utilisez la bureaucratie comme votre modèle

La conformité FISMA peut ne s'appliquer qu'aux affiliés du gouvernement, mais étant donné que la plupart des conformités sont gérées par des agences gouvernementales, il y a des leçons précieuses que vous pouvez apprendre de la conformité FISMA.

Intéressé par en savoir plus ? Consultez nos articles sur GRC et la gouvernance d'entreprise.

Lauren Pope
LP

Lauren Pope

Lauren Pope is a former content marketer at G2. You can find her work featured on CNBC, Yahoo! Finance, the G2 Learning Hub, and other sites. In her free time, Lauren enjoys watching true crime shows and singing karaoke. (she/her/hers)

Explorer d'autres articles G2

Cabinets comptables à Houston
Meilleures applications SAP pour les petites entreprises
Meilleures plateformes d'achat pour la gestion des fournitures de bureau
Pour les organisations disposant d'un mélange de ressources cloud et sur site, comment JumpCloud comble-t-il spécifiquement le fossé entre ces environnements pour la gestion des identités et des accès sans nécessiter de configurations réseau complexes ?