ممیزی FISMA چیست و پیمانکاران فدرال چگونه آنها را انجام می دهند؟

پیمانکاران فدرال و سازمان‌های ،تی که به داده‌های حساس یا اطلاعات حساس ،تی دسترسی دارند باید از ا،امات امنیت سایبری که تحت قانون نوسازی امنیت اطلاعات فدرال (FISMA) و مقررات فعال‌کننده آن تعیین شده‌اند، پیروی کنند. آژانس امنیت سایبری و زیرساخت (CISA)، موسسه ملی استاندارد و فناوری (NIST) و سایر آژانس‌های فدرال دیگر نیز دستورالعمل‌هایی را منتشر کرده‌اند. دستور اجرایی 14028 (صدور در 12 می 2021) ا،امات اضافی را برای حفظ انطباق FISMA ایجاد می کند.

به طور خلاصه، ایجاد و حفظ انطباق FISMA یک فرآیند زمان بر و منابع فشرده است و پیمانکاران فدرال باید به طور مداوم از انطباق آن اطمینان حاصل کنند. پیمانکاران فدرال برای تعیین اینکه آیا مطابق با FISMA هستند یا خیر (و اگر مطابقت ندارند، تعیین اینکه چه کاری باید انجام دهند)، می توانند (و باید) ممیزی های داخلی FISMA را انجام دهند.

«انجام ممیزی های منظم FISMA یکی از اجزای کلیدی برنامه انطباق موثر FISMA است. پیمانکاران فدرال که از فرآیند حسابرسی به نفع خود استفاده می کنند، می توانند به طور موثر ریسک خود را مدیریت کنند و در عین حال اطلاعات حساس ،تی را ایمن نگه دارند. – دکتر نیک اوبرهایدن، وکیل بنیانگذار Oberheiden PC

چندین مرحله در انجام ممیزی FISMA وجود دارد. و برای اینکه حسابرسی اثربخش باشد، باید کاملاً جامع باشد. نادیده گرفتن سیستم‌ها، تأسیسات ذخیره‌سازی داده‌ها یا نقص‌های مربوط به انطباق می‌تواند هدف ممیزی را ناکام بگذارد و می‌تواند باعث شود که پیمانکاران معتقد باشند که وقتی در واقع اطلاعات حساس ،تی (و خودشان) را در معرض حمله قرار می‌دهند، رعایت می‌کنند.

چه ،ی، چه چیزی، چه زم،، کجا و چرا ممیزی های FISMA

برای انجام ممیزی های جامع و مؤثر FISMA، پیمانکاران فدرال باید چیزهای زیادی بدانند. در اینجا برخی از اطلاعات کلیدی در مورد فرآیند حسابرسی FISMA آمده است:

چه ،ی باید ممیزی FISMA را انجام دهد؟

قانون نوسازی امنیت اطلاعات فدرال برای پیمانکاران فدرال که به اطلاعات حساس ،تی دسترسی دارند اعمال می شود. به ،وان CISA توضیح می دهدFISMA از آژانس‌های فدرال و پیمانکاران می‌خواهد «حفاظت‌های امنیتی اطلاعات متن، با خطر و میزان آسیب ناشی از دسترسی غیرمجاز، استفاده، افشای، اختلال، اصلاح یا ت،یب اطلاعات و سیستم‌های اطلاعاتی را فراهم کنند». اطلاعات تحت پوشش FISMA شامل، اما نه محدود به، اطلاعات طبقه بندی نشده کنترل شده است.

در حالی که پیمانکاران فدرال که به اطلاعات حساس ،تی دسترسی دارند باید ممیزی های FISMA را انجام دهند، آنها باید برای مدیریت و نظارت بر همه جنبه های فرآیند حسابرسی به مشاور خارجی تکیه کنند. همانطور که قبلاً بحث کردیم، نه تنها جامعیت حیاتی است، بلکه پیمانکاران فدرال باید برای ارزیابی برنامه‌های انطباق FISMA خود به مشاوران خود تکیه کنند و هرگونه نقص در انطباق را نیز شناسایی کنند.

حسابرسی FISMA چیست؟

به عبارت ساده، ممیزی FISMA یک بررسی جامع از تلاش های یک پیمانکار فدرال برای انطباق با قانون نوسازی امنیت اطلاعات فدرال و قو،ن و مقررات اعلام شده بر اساس آن است. با این حال، از نظر عملی، ممیزی FISMA به دور از یک فرآیند ساده است. انجام یک حسابرسی مؤثر مست،م درک عمیق سیستم‌های فناوری اطلاعات، تأسیسات ذخیره‌سازی داده‌ها و تجارت ،تی پیمانکار است و مست،م دانش ی،ان از منابع مختلف اختیارات قانونی است. هنگام انجام ممیزی های FISMA، پیمانکاران فدرال باید به طور کلی به دستورالعمل های منتشر شده ،ت – از جمله معیارهای FISMA که CISA سالانه منتشر و به روز می کند.

چه زم، پیمانکاران فدرال باید ممیزی FISMA را انجام دهند؟

پیمانکاران فدرال باید ممیزی های FISMA را سالانه انجام دهند – هم برای ارزیابی کارآیی مداوم برنامه های انطباق خود و هم برای مستندسازی تلاش های مداوم خود برای حفظ انطباق. پیمانکاران همچنین باید به طور کلی ممیزی انجام دهند که: (1) سیستم های اطلاعاتی، امکانات ذخیره سازی داده ها، یا محیط های عملیاتی خود را اصلاح کنند. (2) استقرار عمده سخت افزار جدید را اجرا کند که از طریق آن کارمندان به اطلاعات حساس ،تی دسترسی پیدا کنند. (iii) دسترسی به انواع جدیدی از اطلاعات کنترل شده. یا، (iv) CISA، NIST، یا هر سازمان یا مرجع فدرال دیگری به روز رس، های مهمی را برای مقررات یا دستورالعمل های FISMA خود صادر می کند.

پیمانکاران فدرال باید ممیزی های FISMA را کجا انجام دهند؟

پاسخ به این سوال ،وما آنقدر که به نظر می رسد ساده نیست. در حالی که پیمانکاران فدرال باید سیستم‌های اطلاعاتی، کنترل‌های امنیتی سیستم‌های اطلاعات فدرال و محیط‌های عملیاتی خود را بازرسی کنند، آنها باید سیستم‌های عامل شخص ثالث و پلت‌فرم‌های ذخیره‌سازی داده (از جمله پلتفرم‌های خدمات مدیریت شده و سرورهای ابری) را نیز بررسی کنند. باز هم، جامعیت کلیدی است، و این موضوعی است که بارها شاهد تاکید آن خواهید بود. هنگام انجام ممیزی های FISMA، پیمانکاران فدرال باید تمام سخت افزارها و نرم افزارهای مربوطه را بررسی کنند – چه در دفاتر آنها، چه در محل یا در تاسیسات شخص ثالث.

چرا ممیزی های FISMA برای پیمانکاران فدرال ضروری است؟

ممیزی FISMA به دو دلیل اصلی ضروری است. اولین مورد حفاظت از امنیت اطلاعات حساس ،تی است. پیمانکار، که به این اطلاعات دسترسی دارند باید از آن محافظت کنند و عموماً باید همان سطح حفاظتی را که ،ت فدرال تحت FISMA ارائه می‌کند، به کار گیرند.

دوم، پیمانکاران فدرال که از FISMA پیروی نمی کنند، می توانند تجارت ،تی خود را از دست بدهند. آنها می توانند در نتیجه بازرسی ها و تحقیقات فدرال با مجازات های دیگری نیز روبرو شوند. در نتیجه، انجام ممیزی FISMA یک ،صر کلیدی مدیریت ریسک موثر برای پیمانکاران فدرال است. با انجام ممیزی های FISMA، پیمانکاران فدرال می توانند اطمینان حاصل کنند که مطابق با قو،ن خود باقی می مانند (و هر گونه نقص در انطباق را به سرعت برطرف می کنند)، و این به آنها امکان می دهد ریسک امنیت سایبری مرتبط با قرارداد خود را به طور موثر مدیریت کنند.

پیمانکاران فدرال چگونه ممیزی FISMA را انجام می دهند؟

اکنون که به کی، چه چیزی، چه زم،، کجا و چرا ممیزی های FISMA پرداخته ایم، اکنون می تو،م بر روی چگونه برای ممیزی موثر انطباق FISMA. انجام ممیزی موثر FISMA یک فرآیند چند مرحله ای است و پیمانکاران باید در طول هر مرحله با مشاور خارجی خود کار کنند تا اطمینان حاصل کنند که ممیزی آنها به نتیجه گیری دقیق منجر می شود.

با در نظر گرفتن این موضوع، برخی از مراحل کلیدی درگیر در انجام ممیزی FISMA عبارتند از:

• شناسایی کلیه سیستم های داخلی مربوطه، برنامه های کاربردی نرم افزاری و سخت افزار – از آنجایی که حتی یک ش،ت در انطباق می تواند داده های حساس ،تی را در معرض نفوذهای م،ب قرار دهد، پیمانکاران فدرال باید به طور جامع همه سیستم ها، برنامه های کاربردی نرم افزاری و سخت افزاری را که نیاز به بررسی دارند شناسایی کنند. این با شناسایی تمام دارایی های مرتبط در داخل شروع می شود.

• شناسایی کلیه سیستم ها، خدمات و تسهیلات خارجی مربوطه – هنگام انجام ممیزی های FISMA، پیمانکاران فدرال باید تمام سیستم ها، خدمات و امکانات خارجی مربوطه را نیز شناسایی کنند. حتی زم، که پیمانکاران فدرال با ارائه دهندگان ذخیره‌سازی اطلاعات شخص ثالث و فروشندگان امنیت سایبری همکاری می‌کنند، پیمانکاران مستقیماً مسئول رعایت FISMA هستند.

• بررسی اسناد انطباق FISMA پیمانکار فدرال – پیمانکاران فدرال باید اطمینان حاصل کنند که اسناد انطباق آنها با توجه به هرگونه تغییر در محیط عملیاتی، خطرات آنها یا قو،ن و مقررات FISMA قابل اجرا باقی می ماند. از آنجایی که راه حل های جدید امنیت سایبری به بازار می آیند و تهدیدهای جدید به وجود می آیند، ممکن است این موارد نیازمند تغییراتی در برنامه های انطباق FISMA پیمانکاران نیز باشد.

• رسیدگی به هر گونه مقررات یا دستورالعمل جدید FISMA – CISA سالانه معیارهای FISMA را به روز می کند، و غیرعادی نیست که مقررات یا دستورات اجرایی جدید بار انطباق FISMA را برای پیمانکاران فدرال تغییر دهند. پیمانکاران باید در مورد تمام ا،امات مربوط به انطباق FISMA به روز باقی بمانند و در صورت ،وم به هرگونه تغییر مادی رسیدگی کنند.

• ارزیابی طرح امنیت سیستم پیمانکار و کنترل‌های امنیت سایبری – طرح امنیت سیستم (SSP) جزء کلیدی یک برنامه انطباق موثر FISMA است و FISMA از پیمانکاران فدرال می خواهد که کنترل های مختلف امنیت سایبری را اتخاذ کنند. هم برنامه امنیت سیستم و هم کنترل‌های امنیت سایبری باید در طول فرآیند ممیزی FISMA توجه خاصی را به خود جلب کنند.

• ارزیابی تلاش های آزمایش، اجرا و نظارت پیمانکار – آزمایش (شامل آزمایش حقیقت زمینی فراتر از استفاده از ابزارهای اسکن آسیب پذیری استاندارد) جزء کلیدی انطباق FISMA نیز هست. ممیزی‌های FISMA باید بر ارزیابی اثربخشی تلاش‌های آزمایشی پیمانکاران متمرکز باشد و همچنین باید اقدامات اجرایی و نظارتی پیمانکاران را به‌طور کامل بررسی کند.

• ارزیابی قابلیت های مدیریت لاگ پیمانکار – برای حفظ انطباق با FISMA، پیمانکاران فدرال باید از قابلیت های مدیریت لاگ قوی برخوردار باشند. آن‌ها باید سیستم‌هایی داشته باشند تا همه به‌روزرس،‌ها، وصله‌ها، آزمایش‌ها و تهدیدها را به‌طور طبیعی ثبت کنند، و این سیستم‌ها باید به‌طور ایمن تمام داده‌های ثبت‌شده را به‌گونه‌ای ذخیره کنند که امکان بازیابی کارآمد در صورت ،وم را فراهم کند.

• بررسی گواهینامه ها و تاییدیه های پیمانکار – حفظ انطباق با FISMA همچنین ممکن است به حفظ گواهینامه ها و اعتبارنامه های مختلف نیاز داشته باشد. هنگام انجام ممیزی FISMA، پیمانکاران باید اطمینان حاصل کنند که تمام گواهینامه ها و اعتبارنامه های لازم را دارند و باید تأیید کنند که همه گواهینامه های مورد نیاز فعال هستند.

• بررسی فرآیندهای مدیریت پچ هوشمند پیمانکار – ممیزی های FISMA باید فرآیندهای مدیریت پچ هوشمند پیمانکاران فدرال را نیز بررسی کند. همانطور که CISA خاطرنشان می کند، «عملیات می تواند تحت تأثیر وصله های نرم افزاری قرار گیرد که پیامدهای ناخواسته ای را برای قابلیت همکاری ایجاد می کند. با این حال، سیستم‌های اصلاح‌نشده می‌توانند آسیب‌پذیری‌هایی را در معرض دید قرار دهند که می‌توانند توسط دشمنان مورد سوء استفاده قرار گیرند.» در نتیجه، هنگام انجام ممیزی، پیمانکاران فدرال باید اطمینان حاصل کنند که نه تنها تمام وصله‌های لازم را برای همه برنامه‌های مربوطه پیاده‌سازی کرده‌اند، بلکه این وصله‌ها به طور ناخواسته آسیب‌پذیری‌های جدیدی ایجاد نکرده‌اند.

• بررسی انعطاف پذیری پیمانکار – در نهایت، برای اطمینان از انعطاف پذیری عملیات و محیط های امن، پیمانکاران فدرال باید برنامه های مستندی برای پاسخ به حادثه، بازیابی فاجعه، تداوم ،ب و کار و تجزیه و تحلیل اثرات تجاری داشته باشند. به ،وان بخشی از فرآیند حسابرسی FISMA، پیمانکاران فدرال باید این طرح ها را بررسی کنند. و تا جایی که هر یک از این طرح ها را از زمان حسابرسی اخیر خود اجرا کرده اند، باید کارایی این طرح ها را در سناریوهای دنیای واقعی بررسی کنند.

این فهرست به دور از جامعیت است. ایجاد و حفظ انطباق FISMA آسان نیست، و ارزیابی انطباق FISMA شامل سطح مشابهی از دشواری است. اما، با رویکرد درست، پیمانکاران فدرال می‌توانند از فرآیند حسابرسی برای کمک به مدیریت مؤثر انطباق FISMA استفاده کنند و می‌توانند از اسناد حسابرسی خود برای نشان دادن انطباق به آژانس قراردادی خود (یا سایر مقامات فدرال) در صورت ،وم استفاده کنند.