Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

FISMA-nalevingsgeschiedenis & vereisten

Startpagina Woordenlijst FISMA-nalevingsgeschiedenis en vereisten

FISMA is noodzakelijk voor federale instanties, maar kan ook invloed hebben op de nalevingsnormen die voor uw bedrijf gelden als u werkzaamheden uitvoert voor een federale instantie.

Waar staat FISMA voor? FISMA staat voor de Federal Information Security Management Act, die in 2002 door het Congres werd aangenomen en in 2014 werd gewijzigd. Deze wet verplicht federale instanties om aan bepaalde beveiligingsnormen te voldoen om de privégegevens van burgers te beschermen.

FISMA-nalevingsgeschiedenis en vereisten

Wat is FISMA?

In 2002 nam het Congres de E-Government Act aan, een brede en ingrijpende wet, om te verbeteren hoe overheidsinstanties hun informatie beheren, opslaan en verzenden in het digitale tijdperk. De wet richtte zich specifiek op het bevorderen van elektronisch beheer van overheidsinformatie, het gebruik van internet om burgerparticipatie te stimuleren en het verbeteren van de samenwerking tussen overheidsinstanties via digitale technologie.

Misschien wel het belangrijkste onderdeel van deze wet (of in ieder geval het bekendste deel) is de Federal Information Security Management Act (FISMA). Volgens FISMA zijn federale instanties verplicht om “een organisatiebreed programma te ontwikkelen, documenteren en implementeren om informatiebeveiliging te bieden voor de informatie en systemen die de activiteiten en bezittingen van de instantie ondersteunen, inclusief die welke worden geleverd of beheerd door een andere instantie, aannemer of andere bronnen.”

Deze definitie lijkt misschien wat breed—en dat is het ook. Maar het belang ervan ligt in het feit dat dit de eerste federale wet was die expliciet stelde dat instanties niet alleen digitale technologie moesten inzetten als onderdeel van hun bedrijfsvoering, maar ook moesten voldoen aan strikte normen om hun eigen informatiesystemen te bouwen en beveiligingsmaatregelen te implementeren om gevoelige gegevens te beschermen.

De oorspronkelijke wet uit 2002 voerde toezicht in op officiële federale inspanningen om IT te moderniseren. De rechtsbevoegdheid over technische infrastructuur werd duidelijk ondergebracht bij het Office of Management and Budget (OMB). Volgens FISMA worden cyberbeveiligingsregels vastgesteld door het National Institute of Standards and Technology (NIST), dat specificaties en updates publiceert die overheidsinstanties en aannemers richting geven. Deze specificaties vormen de basis voor brede beveiligingskaders zoals FedRAMP, CMMC en het Risk Management Framework.

In 2014 wijzigde het Congres de wet om deze te moderniseren in het licht van geavanceerdere dreigingen en technologieën. De update uit 2014 voegde enkele nieuwe richtlijnen toe:

  • Het vastleggen van de rol van het Department of Homeland Security bij het bepalen van beveiligingsbeleid voor niet-nationale beveiligingssystemen van de federale uitvoerende macht
  • Het verduidelijken van de bevoegdheden van het OMB met betrekking tot toezicht op federale beveiligingsinstanties en hun IT-beveiligingspraktijken
  • Wijzigingen in een onderdeel van de wet met betrekking tot inefficiënte rapportage

Wat is FISMA-naleving?

Er zijn enkele specifieke stappen die een organisatie kan nemen om aan FISMA-naleving te voldoen:

  • Gebruik controles vermeld in National Institute of Standards and Technology Special Publications: FISMA gaat uit van de implementatie van beveiligingsmaatregelen binnen de infrastructuur van een instantie of die van partner-aannemers. Belangrijke documenten zijn onder andere NIST SP 800-53 (beveiligingsmaatregelen voor federale instanties), NIST SP 800-171 (bescherming van Controlled Unclassified Information), NIST SP 800-37 (het Risk Management Framework), FIPS 199 (normen voor het categoriseren van federale systemen) en FIPS 200 (minimale beveiligingsvereisten voor federale systemen).
  • Inventariseer IT-systemen: De kern van FISMA-naleving is het opstellen van een catalogus van alle IT-systemen die door een instantie of aannemer worden gebruikt. Dit omvat geïntegreerde technologie en technologie van leveranciers.
  • Risico’s voor systemen categoriseren: Volgens FIPS 199 wordt van instanties en bedrijven verwacht dat zij hun systemen categoriseren aan de hand van de FIPS 199-categorieën, die de beveiligingsvereisten van systemen rangschikken op een schaal van laag, matig en hoog. Elk niveau brengt doorgaans andere vereisten met zich mee voor de instantie.
  • Een Systeembeveiligingsplan opstellen: Een beveiligingsplan is een uitgebreid plan waarin de beveiligingsmaatregelen en benaderingen voor onderhoud, upgrades en beoordelingen worden uitgewerkt. Kaders zoals CMMC en FedRAMP bevatten een vereiste voor een beveiligingsplan om aan FISMA-regelgeving te voldoen.
  • Certificering en accreditatie: Streef naar FISMA-naleving via een accreditatieproces dat wordt beheerd door het OMB. Het OMB vereist elke drie jaar nieuwe certificeringsbeoordelingen.

Naast deze vereisten raadt NIST organisaties die naleving nastreven aan om het zevenstappenproces te volgen dat wordt beschreven in het Risk Management Framework. Deze stappen zijn als volgt:

  • Voorbereiden op risicobeheer door organisatiebronnen en prioriteiten af te stemmen op het beoordelen en documenteren van risico’s, het voorbereiden van risicobeheerplannen en het ontwerpen van een risicobeheerprogramma.
  • Alle IT-systemen categoriseren in de organisatie volgens de categorieën in FIPS 199 (laag, matig en hoog).
  • Selecteer noodzakelijke maatregelen uit NIST 800-53 op basis van risicobeoordelingen (inclusief eventuele extra maatregelen die vereist zijn bovenop FISMA-naleving).
  • Implementeer deze maatregelen en documenteer de implementatie voor toekomstig toezicht en optimalisatie.
  • Beoordeel maatregelen en implementatie om de juiste werking te bepalen en de resultaten van de implementatie te meten.
  • Autoriseer systeemgebruik via leidinggevenden op hoog niveau en IT-managers die het risicoprofiel en de cyberbeveiligingsstatus van de organisatie begrijpen.
  • Blijf monitoren van alle maatregelen op wijzigingen in werking of risico’s of ter voorbereiding op upgrades.

Voordelen van FISMA-naleving

FISMA-naleving is onmisbaar voor overheidsinstanties, en de voordelen van FISMA-naleving zijn talrijk. Door het implementeren en onderhouden van de door FISMA aanbevolen beveiligingsmaatregelen kunnen organisaties hun informatiesystemen en de daarop opgeslagen gegevens beschermen tegen ongeautoriseerde toegang, wijziging of vernietiging.

Met de juiste beveiligingsmaatregelen kunnen FISMA-conforme organisaties met meer vertrouwen stellen dat hun gegevens veilig zijn, waardoor zij zich kunnen richten op hun kernactiviteiten en missie in plaats van zich zorgen te maken over beveiliging. FISMA helpt organisaties efficiënter te werken door het beveiligingsproces te stroomlijnen, meer gestructureerde en herhaalbare processen te bieden en meer consistente beveiligingsmaatregelen over systemen heen te realiseren. Tot slot is het nalevingsproces zelf relatief eenvoudig en kosteneffectief, waardoor organisaties vaak snel en eenvoudig aan FISMA kunnen voldoen.

Wat zijn de verschillen tussen FISMA en FedRAMP?

Het Federal Risk and Authorization Management Program (FedRAMP) is een federaal cyberbeveiligingskader gericht op cloudserviceproviders die producten of diensten aan overheidsinstanties leveren.

Net als FISMA maakt FedRAMP gebruik van NIST 800-53 om de beveiligingsmaatregelen te definiëren die nodig zijn voor naleving. Ook worden FIPS 199 en FIPS 200 gebruikt om beveiligingsniveaus en geschikte beveiligingstechnologieën zoals encryptie en cryptografie te bepalen. FedRAMP wordt soms “FISMA voor de cloud” genoemd.

FedRAMP introduceert echter diverse aanvullende vereisten bovenop FISMA, waaronder de volgende:

  • Agentschapssponsoring: In de kern past FedRAMP FISMA-achtige nalevingsnormen toe op cloudproviders (leveranciers) die samenwerken met instanties, in plaats van op de instanties zelf. Deze vereisten gelden dus voor cloudproducten die door instanties worden gebruikt, en deze federale instanties moeten cloudserviceproviders sponsoren voor FedRAMP Authorization to Operate op basis van hun technologische behoeften.
  • Beoordelingen door derden: FedRAMP vereist, in tegenstelling tot FISMA, dat Cloud Solution Providers (CSP’s) regelmatig worden geaudit door externe beoordelingsorganisaties. Deze gecertificeerde beveiligingsbedrijven voeren objectieve en eerlijke beveiligingsbeoordelingen uit bij CSP’s om naleving van regelgeving te waarborgen.
  • Governance: Zowel FedRAMP als FISMA vallen onder de rechtsbevoegdheid van het OMB. FedRAMP omvat echter meer organisaties als onderdeel van de governance-structuur. Het FedRAMP Project Management Office en de Joint Authorization Board bevatten vertegenwoordigers van diverse instanties, waaronder OMB, Department of Homeland Security (DHS), NIST en het Department of Defense.

FedRAMP speelt dus een belangrijke rol in het waarborgen dat cloudproducten en -diensten, waarvan het gebruik snel toeneemt op de overheidsmarkt, voldoen aan FISMA-vereisten.

FISMA integreren met het NIST Cybersecurity Framework

Organisaties kunnen FISMA integreren met het NIST Cybersecurity Framework door elk onderdeel van het Framework te gebruiken om hun beveiligingsbehoeften te bepalen. FISMA biedt federale instanties richtlijnen voor het opzetten, implementeren en beheren van een uitgebreid cyberbeveiligingsprogramma. Door de essentiële onderdelen van FISMA—risicobeheer, informatiebeveiliging, beveiligingstesten en -evaluatie, en rapportagevereisten—te integreren, kunnen organisaties een volledig cyberbeveiligingsprogramma ontwikkelen dat aansluit bij hun unieke bedrijfsvereisten en is afgestemd op hun specifieke omgeving.

Het NIST Cybersecurity Framework kan vervolgens worden gebruikt om organisaties een gestandaardiseerde set prestatiecriteria te bieden voor elk onderdeel, zodat zij hun beveiligingsstatus kunnen benchmarken en hun voortgang kunnen volgen. Tot slot kunnen organisaties hun naleving van FISMA-vereisten monitoren door het NIST Cybersecurity Framework als referentiepunt te gebruiken. Deze geïntegreerde aanpak zorgt ervoor dat organisaties aan de noodzakelijke vereisten voldoen om hun systemen en gegevens te beschermen tegen kwaadwillende activiteiten.

Sancties bij schending van FISMA-naleving

Schendingen van FISMA-naleving kunnen leiden tot zware sancties en gevolgen zoals boetes, sancties of strafrechtelijke vervolging. Overtredingen van de normen worden beschouwd als een federale overtreding, en federale instanties kunnen diverse sancties opleggen, waaronder civiele boetes, strafrechtelijke sancties en andere administratieve handhavingsmaatregelen.

Mogelijke sancties variëren van formele berispingen en financiële boetes tot gevangenisstraf, afhankelijk van de ernst van de overtreding. Organisaties moeten ervoor zorgen dat zij voldoen aan FISMA-regelgeving om de hoge boetes die gepaard gaan met niet-naleving te voorkomen. Daarnaast kunnen organisaties extra juridische stappen tegemoetzien wegens nalatigheid bij het aanpakken van problemen die tot een FISMA-nalevingsschending leiden.

Voldoen aan FISMA-normen en bijdragen aan nationale dienstverlening

Het belangrijkste onderdeel van normen zoals FISMA (en zelfs FedRAMP) is dat ze een hoog beveiligingsniveau bieden voor instanties die kritieke operationele informatie voor overheidsinstanties verwerken, evenals persoonlijke informatie van Amerikaanse burgers. Werken met overheidsinstanties betekent dus dat aannemers dergelijke informatie kunnen verwerken en het is hun plicht om deze te beschermen.

Het Kiteworks-platform is een cloudgebaseerd contentmanagement- en governance-systeem waarmee organisaties aan nalevingsnormen kunnen voldoen zonder concessies te doen aan functionaliteit op ondernemingsniveau. Dit omvat naleving van complexe regelgeving zoals FISMA en FedRAMP.

Wilt u meer weten over Kiteworks? Neem contact met ons op voor een gratis demo op maat van uw organisatie.

Terug naar de Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks