Introducing G2.ai, the future of software buying.Try now

Che cos'è la conformità FISMA e chi colpisce?

Gennaio 10, 2022
Lauren Pope
LP
da Lauren Pope

In questo post

In questo post

Il Grande Fratello ti osserva sempre... per assicurarsi che tu stia rispettando le normative.

Abbiamo parlato in dettaglio della conformità e dei vari modi in cui le aziende sono tenute a rimanere conformi. Abbiamo anche discusso di come la conformità influisca su ciascun settore in modo diverso. In questo articolo, continueremo su questa linea concentrandoci sulla conformità FISMA e sull'impatto che ha sul nostro governo.

Cerchi un argomento specifico riguardante la conformità normativa? Usa i link qui sotto per andare avanti:

Cos'è la conformità FISMA?

Per comprendere appieno la portata della conformità FISMA, è necessario prima apprendere la storia e il significato dietro FISMA. La prima incarnazione di FISMA era conosciuta come il Federal Information Security Management Act del 2002 ed è parte dell'Electronic Government Act.

Nel 2014, FISMA è stato riscritto e firmato in legge dal Presidente Obama. Con la riscrittura è arrivato un cambio di nome e sono state incluse disposizioni aggiuntive per costruire un programma di protezione dei dati più robusto.

Oggi, l'ultima versione di FISMA è chiamata Federal Information Security Modernization Act del 2014. Le persone spesso usano il termine FISMA come abbreviazione per l'ultima versione della legislazione, ma è anche spesso indicato come FISMA Reform.

Definizione di conformità FISMA

La conformità FISMA è l'atto di seguire le linee guida FISMA per garantire un quadro completo per proteggere le informazioni, le operazioni e i beni del governo dalle minacce.

La conformità FISMA si applica a tutte le agenzie governative senza eccezioni. Richiede a tutte le agenzie federali di garantire la sicurezza e la protezione di tutte le informazioni dell'agenzia. Si applica anche ai contraenti governativi e a qualsiasi fornitore terzo utilizzato per supportare le operazioni dell'agenzia.

Chi supervisiona la conformità FISMA?

FISMA prende molti dei suoi spunti normativi dagli Standard Federali di Elaborazione delle Informazioni (FIPS). FIPS è stato sviluppato dal governo degli Stati Uniti e aiuta a guidare l'obiettivo generale di garantire la riservatezza, la trasparenza e la disponibilità delle informazioni detenute a livello federale.

Ci sono due organismi normativi che lavorano con FISMA:

L'Istituto Nazionale di Standard e Tecnologia (NIST) che ha l'autorità di creare programmi che rafforzano la sicurezza IT e le pratiche di gestione del rischio.

Il Dipartimento della Sicurezza Interna che è responsabile dell'amministrazione dell'implementazione dei programmi creati da NIST per garantire la sicurezza dei sistemi informativi federali.

La revisione del 2014 di FISMA richiede anche che qualsiasi agenzia che subisce una violazione FISMA segnali l'incidente al Congresso entro sette giorni dalla scoperta.

Perché la conformità FISMA è importante?

Il governo controlla molte informazioni e lasciare che queste informazioni cadano nelle mani sbagliate potrebbe portare a conseguenze disastrose. Poiché il rischio di catastrofe è così alto per una potenziale violazione dei dati governativi, lo standard per proteggere quei dati deve essere altrettanto alto.

I controlli messi in atto per proteggere le informazioni governative devono corrispondere al rischio e alla potenziale portata del danno che potrebbe verificarsi se quei dati fossero accessibili, distribuiti o manipolati da una fonte malintenzionata.

Le conseguenze potenziali per non seguire la conformità FISMA possono essere enormi. Qualsiasi agenzia federale che non rispetta la conformità FISMA rischia di perdere i finanziamenti federali. Se sei un contraente governativo, potresti perdere l'intera attività o perdere future offerte per progetti finanziati dal governo.

Cosa è richiesto per la conformità FISMA?

Invece di coprire ciascuno dei requisiti e dei protocolli specifici richiesti da FISMA, abbiamo estratto alcuni dei temi principali per te e il tuo responsabile della conformità da esaminare.

Requisiti FISMA
 

Questi dovrebbero fungere da guida di alto livello e servire come punto di partenza per la tua ricerca. Puoi trovare ulteriori informazioni su ciascuno dei requisiti elencati sopra continuando a leggere.

1. Certificazione e accreditamento

FISMA richiede che qualsiasi responsabile di programma, ufficiale di conformità e capo agenzia supervisioni le revisioni annuali della sicurezza. Queste revisioni sono utilizzate per esaminare le strategie di gestione del rischio e mantenere i potenziali rischi di conformità al minimo. Alcune agenzie scelgono di acquisire una certificazione e accreditamento FISMA (C&A) per aiutare in questo processo.

2. Inventario del sistema informativo

Tutte le agenzie federali e i contraenti governativi devono mantenere un inventario di ogni sistema IT utilizzato all'interno della loro organizzazione. Sono inoltre tenuti a tracciare e identificare le diverse integrazioni tra questi sistemi e qualsiasi altro sistema all'interno della stessa rete.

3. Valutazione e categorizzazione del rischio

Una valutazione del rischio è una revisione interna del programma di conformità di un'agenzia in cui verranno identificati i potenziali rischi. Viene quindi stabilito un piano per esaminare, risolvere e monitorare i rischi. NIST raccomanda che tutte le valutazioni del rischio coprano una revisione a livello organizzativo, a livello di processo aziendale e a livello di sistema IT.

Una volta valutato un rischio, le agenzie federali devono categorizzare ciascun rischio in ordine di importanza. Il livello più alto di rischio per la sicurezza viene quindi dato la priorità. FIPS delinea la gamma di livelli di rischio all'interno di un'organizzazione per fungere da guida per la categorizzazione del rischio.

Correlato: Scopri di più sui cinque tipi di audit di conformità e perché potresti averne bisogno!

4. Controlli di sicurezza

NIST SP 800-53 delinea un elenco esaustivo di controlli di sicurezza suggeriti che possono essere utilizzati per la conformità FISMA. FISMA non richiede alle agenzie di implementare ogni singolo controllo. Piuttosto, sono incoraggiate a esaminare i materiali e applicare solo i controlli che sono rilevanti per la loro agenzia.

Ad esempio, l'EPA, che regola le protezioni ambientali, non utilizzerebbe gli stessi controlli della FCC, che monitora le trasmissioni, la televisione e la radio.

Devi avere i controlli di sicurezza scelti e messi in atto prima di passare al passaggio successivo, che è la creazione di un piano di sicurezza del sistema.

5. Piano di sicurezza del sistema

FISMA richiede che tutte le agenzie federali abbiano un piano di sicurezza in atto nel caso in cui ci sia una violazione della conformità. Questo piano è previsto per essere regolarmente mantenuto e aggiornato annualmente per fornire le migliori soluzioni di sicurezza. I piani di sicurezza dovrebbero includere politiche di sicurezza, migliori pratiche e una tempistica per affrontare i potenziali rischi per la sicurezza.

Come creare un programma di conformità FISMA

Lo abbiamo già detto in articoli su questo argomento, ma lo diremo di nuovo: la tecnologia sta cambiando il modo in cui lavoriamo. Anche le agenzie governative, che a lungo hanno avuto lo stereotipo di essere indietro quando si tratta di tecnologia, stanno recuperando rapidamente.

È per questo che è importante considerare soluzioni software di conformità quando si crea un programma di conformità FISMA. Vorrai uno strumento che possa fornire capacità multiple e includere i diversi stakeholder richiesti per la conformità.

Prodotti come G2 Track hanno guadagnato popolarità negli ultimi anni perché sono soluzioni semplici per la gestione della conformità. E con FISMA che pone un'importanza così grande sulla gestione delle informazioni e degli accordi con i fornitori, G2 Track offre la soluzione perfetta per le tue esigenze di conformità FISMA.

Puoi visitare il sito web di G2 Track per saperne di più sulle nostre offerte di soluzioni, opzioni di integrazione software e per iscriverti al piano gratuito per sempre. Anche se G2 Track non è il prodotto giusto per la tua azienda, puoi usarlo come un modo per esplorare le capacità offerte dalle soluzioni software di conformità senza alcun costo iniziale.

Usa la burocrazia come modello

La conformità FISMA può applicarsi solo agli affiliati governativi, ma considerando che la maggior parte della conformità è gestita da agenzie governative, ci sono lezioni preziose che puoi imparare dalla conformità FISMA.

Interessato a saperne di più? Dai un'occhiata ai nostri articoli che trattano di GRC e governance aziendale.

Lauren Pope
LP

Lauren Pope

Lauren Pope is a former content marketer at G2. You can find her work featured on CNBC, Yahoo! Finance, the G2 Learning Hub, and other sites. In her free time, Lauren enjoys watching true crime shows and singing karaoke. (she/her/hers)

Esplora altri articoli di G2

Quale sistema HCM offre analisi della forza lavoro potenziate dall'IA?
Il miglior software di gestione dei servizi sul campo per le piccole imprese
Il miglior software per aumentare l'efficienza delle vendite
Qual è la migliore piattaforma per gestire grandi librerie di descrizioni di lavoro?