پنجشنبه 17 نوامبر 2022
پیمانکاران فدرال و سازمانهای ،تی که به دادههای حساس یا اطلاعات حساس ،تی دسترسی دارند باید از ا،امات امنیت سایبری که تحت قانون نوسازی امنیت اطلاعات فدرال (FISMA) و مقررات فعالکننده آن تعیین شدهاند، پیروی کنند. آژانس امنیت سایبری و زیرساخت (CISA)، موسسه ملی استاندارد و فناوری (NIST) و سایر آژانسهای فدرال دیگر نیز دستورالعملهایی را منتشر کردهاند. دستور اجرایی 14028 (صدور در 12 می 2021) ا،امات اضافی را برای حفظ انطباق FISMA ایجاد می کند.
به طور خلاصه، ایجاد و حفظ انطباق FISMA یک فرآیند زمان بر و منابع فشرده است و پیمانکاران فدرال باید به طور مداوم از انطباق آن اطمینان حاصل کنند. پیمانکاران فدرال برای تعیین اینکه آیا مطابق با FISMA هستند یا خیر (و اگر مطابقت ندارند، تعیین اینکه چه کاری باید انجام دهند)، می توانند (و باید) ممیزی های داخلی FISMA را انجام دهند.
«انجام ممیزی های منظم FISMA یکی از اجزای کلیدی برنامه انطباق موثر FISMA است. پیمانکاران فدرال که از فرآیند حسابرسی به نفع خود استفاده می کنند، می توانند به طور موثر ریسک خود را مدیریت کنند و در عین حال اطلاعات حساس ،تی را ایمن نگه دارند. – دکتر نیک اوبرهایدن، وکیل بنیانگذار Oberheiden PC
چندین مرحله در انجام ممیزی FISMA وجود دارد. و برای اینکه حسابرسی اثربخش باشد، باید کاملاً جامع باشد. نادیده گرفتن سیستمها، تأسیسات ذخیرهسازی دادهها یا نقصهای مربوط به انطباق میتواند هدف ممیزی را ناکام بگذارد و میتواند باعث شود که پیمانکاران معتقد باشند که وقتی در واقع اطلاعات حساس ،تی (و خودشان) را در معرض حمله قرار میدهند، رعایت میکنند.
چه ،ی، چه چیزی، چه زم،، کجا و چرا ممیزی های FISMA
برای انجام ممیزی های جامع و مؤثر FISMA، پیمانکاران فدرال باید چیزهای زیادی بدانند. در اینجا برخی از اطلاعات کلیدی در مورد فرآیند حسابرسی FISMA آمده است:
چه ،ی باید ممیزی FISMA را انجام دهد؟
قانون نوسازی امنیت اطلاعات فدرال برای پیمانکاران فدرال که به اطلاعات حساس ،تی دسترسی دارند اعمال می شود. به ،وان CISA توضیح می دهدFISMA از آژانسهای فدرال و پیمانکاران میخواهد «حفاظتهای امنیتی اطلاعات متن، با خطر و میزان آسیب ناشی از دسترسی غیرمجاز، استفاده، افشای، اختلال، اصلاح یا ت،یب اطلاعات و سیستمهای اطلاعاتی را فراهم کنند». اطلاعات تحت پوشش FISMA شامل، اما نه محدود به، اطلاعات طبقه بندی نشده کنترل شده است.
در حالی که پیمانکاران فدرال که به اطلاعات حساس ،تی دسترسی دارند باید ممیزی های FISMA را انجام دهند، آنها باید برای مدیریت و نظارت بر همه جنبه های فرآیند حسابرسی به مشاور خارجی تکیه کنند. همانطور که قبلاً بحث کردیم، نه تنها جامعیت حیاتی است، بلکه پیمانکاران فدرال باید برای ارزیابی برنامههای انطباق FISMA خود به مشاوران خود تکیه کنند و هرگونه نقص در انطباق را نیز شناسایی کنند.
حسابرسی FISMA چیست؟
به عبارت ساده، ممیزی FISMA یک بررسی جامع از تلاش های یک پیمانکار فدرال برای انطباق با قانون نوسازی امنیت اطلاعات فدرال و قو،ن و مقررات اعلام شده بر اساس آن است. با این حال، از نظر عملی، ممیزی FISMA به دور از یک فرآیند ساده است. انجام یک حسابرسی مؤثر مست،م درک عمیق سیستمهای فناوری اطلاعات، تأسیسات ذخیرهسازی دادهها و تجارت ،تی پیمانکار است و مست،م دانش ی،ان از منابع مختلف اختیارات قانونی است. هنگام انجام ممیزی های FISMA، پیمانکاران فدرال باید به طور کلی به دستورالعمل های منتشر شده ،ت – از جمله معیارهای FISMA که CISA سالانه منتشر و به روز می کند.
چه زم، پیمانکاران فدرال باید ممیزی FISMA را انجام دهند؟
پیمانکاران فدرال باید ممیزی های FISMA را سالانه انجام دهند – هم برای ارزیابی کارآیی مداوم برنامه های انطباق خود و هم برای مستندسازی تلاش های مداوم خود برای حفظ انطباق. پیمانکاران همچنین باید به طور کلی ممیزی انجام دهند که: (1) سیستم های اطلاعاتی، امکانات ذخیره سازی داده ها، یا محیط های عملیاتی خود را اصلاح کنند. (2) استقرار عمده سخت افزار جدید را اجرا کند که از طریق آن کارمندان به اطلاعات حساس ،تی دسترسی پیدا کنند. (iii) دسترسی به انواع جدیدی از اطلاعات کنترل شده. یا، (iv) CISA، NIST، یا هر سازمان یا مرجع فدرال دیگری به روز رس، های مهمی را برای مقررات یا دستورالعمل های FISMA خود صادر می کند.
پیمانکاران فدرال باید ممیزی های FISMA را کجا انجام دهند؟
پاسخ به این سوال ،وما آنقدر که به نظر می رسد ساده نیست. در حالی که پیمانکاران فدرال باید سیستمهای اطلاعاتی، کنترلهای امنیتی سیستمهای اطلاعات فدرال و محیطهای عملیاتی خود را بازرسی کنند، آنها باید سیستمهای عامل شخص ثالث و پلتفرمهای ذخیرهسازی داده (از جمله پلتفرمهای خدمات مدیریت شده و سرورهای ابری) را نیز بررسی کنند. باز هم، جامعیت کلیدی است، و این موضوعی است که بارها شاهد تاکید آن خواهید بود. هنگام انجام ممیزی های FISMA، پیمانکاران فدرال باید تمام سخت افزارها و نرم افزارهای مربوطه را بررسی کنند – چه در دفاتر آنها، چه در محل یا در تاسیسات شخص ثالث.
چرا ممیزی های FISMA برای پیمانکاران فدرال ضروری است؟
ممیزی FISMA به دو دلیل اصلی ضروری است. اولین مورد حفاظت از امنیت اطلاعات حساس ،تی است. پیمانکار، که به این اطلاعات دسترسی دارند باید از آن محافظت کنند و عموماً باید همان سطح حفاظتی را که ،ت فدرال تحت FISMA ارائه میکند، به کار گیرند.
دوم، پیمانکاران فدرال که از FISMA پیروی نمی کنند، می توانند تجارت ،تی خود را از دست بدهند. آنها می توانند در نتیجه بازرسی ها و تحقیقات فدرال با مجازات های دیگری نیز روبرو شوند. در نتیجه، انجام ممیزی FISMA یک ،صر کلیدی مدیریت ریسک موثر برای پیمانکاران فدرال است. با انجام ممیزی های FISMA، پیمانکاران فدرال می توانند اطمینان حاصل کنند که مطابق با قو،ن خود باقی می مانند (و هر گونه نقص در انطباق را به سرعت برطرف می کنند)، و این به آنها امکان می دهد ریسک امنیت سایبری مرتبط با قرارداد خود را به طور موثر مدیریت کنند.
پیمانکاران فدرال چگونه ممیزی FISMA را انجام می دهند؟
اکنون که به کی، چه چیزی، چه زم،، کجا و چرا ممیزی های FISMA پرداخته ایم، اکنون می تو،م بر روی چگونه برای ممیزی موثر انطباق FISMA. انجام ممیزی موثر FISMA یک فرآیند چند مرحله ای است و پیمانکاران باید در طول هر مرحله با مشاور خارجی خود کار کنند تا اطمینان حاصل کنند که ممیزی آنها به نتیجه گیری دقیق منجر می شود.
با در نظر گرفتن این موضوع، برخی از مراحل کلیدی درگیر در انجام ممیزی FISMA عبارتند از:
-
شناسایی کلیه سیستم های داخلی مربوطه، برنامه های کاربردی نرم افزاری و سخت افزار – از آنجایی که حتی یک ش،ت در انطباق می تواند داده های حساس ،تی را در معرض نفوذهای م،ب قرار دهد، پیمانکاران فدرال باید به طور جامع همه سیستم ها، برنامه های کاربردی نرم افزاری و سخت افزاری را که نیاز به بررسی دارند شناسایی کنند. این با شناسایی تمام دارایی های مرتبط در داخل شروع می شود.
-
شناسایی کلیه سیستم ها، خدمات و تسهیلات خارجی مربوطه – هنگام انجام ممیزی های FISMA، پیمانکاران فدرال باید تمام سیستم ها، خدمات و امکانات خارجی مربوطه را نیز شناسایی کنند. حتی زم، که پیمانکاران فدرال با ارائه دهندگان ذخیرهسازی اطلاعات شخص ثالث و فروشندگان امنیت سایبری همکاری میکنند، پیمانکاران مستقیماً مسئول رعایت FISMA هستند.
-
بررسی اسناد انطباق FISMA پیمانکار فدرال – پیمانکاران فدرال باید اطمینان حاصل کنند که اسناد انطباق آنها با توجه به هرگونه تغییر در محیط عملیاتی، خطرات آنها یا قو،ن و مقررات FISMA قابل اجرا باقی می ماند. از آنجایی که راه حل های جدید امنیت سایبری به بازار می آیند و تهدیدهای جدید به وجود می آیند، ممکن است این موارد نیازمند تغییراتی در برنامه های انطباق FISMA پیمانکاران نیز باشد.
-
رسیدگی به هر گونه مقررات یا دستورالعمل جدید FISMA – CISA سالانه معیارهای FISMA را به روز می کند، و غیرعادی نیست که مقررات یا دستورات اجرایی جدید بار انطباق FISMA را برای پیمانکاران فدرال تغییر دهند. پیمانکاران باید در مورد تمام ا،امات مربوط به انطباق FISMA به روز باقی بمانند و در صورت ،وم به هرگونه تغییر مادی رسیدگی کنند.
-
ارزیابی طرح امنیت سیستم پیمانکار و کنترلهای امنیت سایبری – طرح امنیت سیستم (SSP) جزء کلیدی یک برنامه انطباق موثر FISMA است و FISMA از پیمانکاران فدرال می خواهد که کنترل های مختلف امنیت سایبری را اتخاذ کنند. هم برنامه امنیت سیستم و هم کنترلهای امنیت سایبری باید در طول فرآیند ممیزی FISMA توجه خاصی را به خود جلب کنند.
-
ارزیابی تلاش های آزمایش، اجرا و نظارت پیمانکار – آزمایش (شامل آزمایش حقیقت زمینی فراتر از استفاده از ابزارهای اسکن آسیب پذیری استاندارد) جزء کلیدی انطباق FISMA نیز هست. ممیزیهای FISMA باید بر ارزیابی اثربخشی تلاشهای آزمایشی پیمانکاران متمرکز باشد و همچنین باید اقدامات اجرایی و نظارتی پیمانکاران را بهطور کامل بررسی کند.
-
ارزیابی قابلیت های مدیریت لاگ پیمانکار – برای حفظ انطباق با FISMA، پیمانکاران فدرال باید از قابلیت های مدیریت لاگ قوی برخوردار باشند. آنها باید سیستمهایی داشته باشند تا همه بهروزرس،ها، وصلهها، آزمایشها و تهدیدها را بهطور طبیعی ثبت کنند، و این سیستمها باید بهطور ایمن تمام دادههای ثبتشده را بهگونهای ذخیره کنند که امکان بازیابی کارآمد در صورت ،وم را فراهم کند.
-
بررسی گواهینامه ها و تاییدیه های پیمانکار – حفظ انطباق با FISMA همچنین ممکن است به حفظ گواهینامه ها و اعتبارنامه های مختلف نیاز داشته باشد. هنگام انجام ممیزی FISMA، پیمانکاران باید اطمینان حاصل کنند که تمام گواهینامه ها و اعتبارنامه های لازم را دارند و باید تأیید کنند که همه گواهینامه های مورد نیاز فعال هستند.
-
بررسی فرآیندهای مدیریت پچ هوشمند پیمانکار – ممیزی های FISMA باید فرآیندهای مدیریت پچ هوشمند پیمانکاران فدرال را نیز بررسی کند. همانطور که CISA خاطرنشان می کند، «عملیات می تواند تحت تأثیر وصله های نرم افزاری قرار گیرد که پیامدهای ناخواسته ای را برای قابلیت همکاری ایجاد می کند. با این حال، سیستمهای اصلاحنشده میتوانند آسیبپذیریهایی را در معرض دید قرار دهند که میتوانند توسط دشمنان مورد سوء استفاده قرار گیرند.» در نتیجه، هنگام انجام ممیزی، پیمانکاران فدرال باید اطمینان حاصل کنند که نه تنها تمام وصلههای لازم را برای همه برنامههای مربوطه پیادهسازی کردهاند، بلکه این وصلهها به طور ناخواسته آسیبپذیریهای جدیدی ایجاد نکردهاند.
-
بررسی انعطاف پذیری پیمانکار – در نهایت، برای اطمینان از انعطاف پذیری عملیات و محیط های امن، پیمانکاران فدرال باید برنامه های مستندی برای پاسخ به حادثه، بازیابی فاجعه، تداوم ،ب و کار و تجزیه و تحلیل اثرات تجاری داشته باشند. به ،وان بخشی از فرآیند حسابرسی FISMA، پیمانکاران فدرال باید این طرح ها را بررسی کنند. و تا جایی که هر یک از این طرح ها را از زمان حسابرسی اخیر خود اجرا کرده اند، باید کارایی این طرح ها را در سناریوهای دنیای واقعی بررسی کنند.
این فهرست به دور از جامعیت است. ایجاد و حفظ انطباق FISMA آسان نیست، و ارزیابی انطباق FISMA شامل سطح مشابهی از دشواری است. اما، با رویکرد درست، پیمانکاران فدرال میتوانند از فرآیند حسابرسی برای کمک به مدیریت مؤثر انطباق FISMA استفاده کنند و میتوانند از اسناد حسابرسی خود برای نشان دادن انطباق به آژانس قراردادی خود (یا سایر مقامات فدرال) در صورت ،وم استفاده کنند.
Oberheiden PC © 2022 بررسی حقوق ملی، جلد دوازدهم، شماره 321
منبع: https://www.natlawreview.com/article/fisma-audits-what-federal-contractors-need-to-know-to-protect-sensitive-government