A Lei de Reforma da Segurança da Informação do Governo (GISRA) foi promulgada em 2000 como parte da Lei de Governo Eletrônico (EGA) para melhorar a segurança da informação e dos sistemas de informação do governo federal. A lei exige que cada agência federal desenvolva, documente e implemente um programa de segurança da informação em toda a agência para fornecer segurança para as informações e sistemas de informação que suportam as operações e ativos da agência. O programa deve incluir políticas, procedimentos e controles de segurança que são baseados na avaliação de risco dos sistemas de informação e informação.
A lei também exige que o chefe de cada agência federal designe um alto funcionário para ser responsável pelo programa de segurança da informação da agência. O alto funcionário deve garantir que o programa seja implementado e que os riscos de segurança da informação sejam gerenciados de forma a atender aos objetivos da EGA.
Além disso, o GISRA exige que o Instituto Nacional de Normas e Tecnologia (NIST) desenvolva padrões e diretrizes de segurança da informação para os órgãos federais utilizarem em seus programas de segurança da informação. O NIST deve consultar o Diretor do Escritório de Gestão e Orçamento (OMB) e os responsáveis de outros órgãos federais no desenvolvimento das normas e diretrizes.
O GISRA também exige que o OMB emita orientações aos órgãos federais sobre gestão de riscos de segurança da informação. A orientação deve abordar os requisitos da lei e as normas e diretrizes desenvolvidas pelo NIST.
O GISRA tem sido eficaz na melhoria da segurança da informação federal e dos sistemas de informação. A lei tem ajudado a aumentar a consciência dos riscos de segurança da informação e resultou na implementação de medidas de segurança para proteger a informação e os sistemas de informação. Quem precisa seguir o FISMA? Federal Information Security Management Act (FISMA) é um conjunto de padrões de segurança que foram estabelecidos pelo Governo dos Estados Unidos a fim de proteger informações sensíveis do governo. Qualquer agência federal que trate informações sensíveis do governo é obrigada a seguir estes padrões.
O que é considerado PII?
PII significa Informação Pessoal Identificável. São quaisquer dados que possam ser usados para identificar um indivíduo específico. Isto inclui, mas não está limitado a, nomes, endereços, números de telefone, endereços de e-mail, números da segurança social e informações financeiras. Os Dados de Identificação Pessoal também podem incluir dados biométricos, como impressões digitais, varreduras da íris e DNA.
As IPI são informações sensíveis que podem ser usadas para roubo de identidade ou fraude se caírem em mãos erradas. As organizações que recolhem, armazenam ou utilizam dados que identificam pessoalmente devem tomar medidas para os proteger do acesso, uso ou divulgação não autorizados. Se não o fizerem pode resultar em penalidades graves, incluindo multas e pena de prisão. O que é que o FISMA cobre? FISMA é o Federal Information Security Management Act, e cobre todos os aspectos da segurança da informação para organizações dentro do governo federal dos EUA. Isto inclui tudo, desde o desenvolvimento e implementação de políticas e procedimentos de segurança, ao treinamento de funcionários sobre as melhores práticas de segurança, até o monitoramento regular e a comunicação de incidentes de segurança. A FISMA também exige que as agências federais realizem avaliações regulares de risco e tenham um plano de resposta a incidentes no caso de uma violação.
O que são os controles do NIST 800 53?
O National Institute of Standards and Technology (NIST) Special Publication 800-53 (SP 800-53) é um documento que fornece orientação para os controles de segurança e privacidade para sistemas de informação e organizações. A publicação está disponível gratuitamente no website do NIST.
Os controles de segurança e privacidade 800-53 estão organizados em 17 famílias, e cada família é ainda dividida em categorias. As 17 famílias estão:
Controle de Acesso
Conscientização e Treinamento
Auditoria e Responsabilidade
Gerenciamento de Configuração
Planejamento de Contingência
Identificação e Autenticação
Resposta a Incidentes
Manutenção
Proteção de Mídia
Proteção Física e Ambiental
Planejamento
Segurança do Pessoal
Gerenciamento de Programas
Avaliação de Riscos
Avaliação e Autorização de Segurança
Proteção de Sistemas e Comunicações
Integridade de Sistemas e Informações
As categorias dentro de cada família podem ser consideradas como sub-controles. Por exemplo, a família Controle de Acesso contém as seguintes categorias:
Política e Procedimentos de Controlo de Acesso
Gestão de Contas
Menos Privilégios
Gestão de Acesso Privilegiado
Autorização de Recursos
Bloqueio de Sessões e Time-out
Cada uma destas categorias contém um ou mais controlos. Por exemplo, a categoria Política e Procedimentos de Controle de Acesso contém os seguintes controles:
AC-1: Política e Procedimentos de Controlo de Acesso
AC-2: Gestão de Contas
AC-3: Menos privilégio
AC-4: Gestão de Acesso Privilegiado
AC-5: Autorização de Recursos
AC-6: Bloqueio de Sessões e Time-out
O N
Que tipo de controlos é que a FISMA requer que as empresas implementem?
FISMA exige que as agências federais implementem uma abordagem baseada no risco para a segurança da informação, que inclui controles de segurança para proteger a informação e os sistemas de informação. Os controles de segurança devem ser proporcionais ao risco apresentado pelo sistema de informação e de informação.
Além disso, FISMA exige que as agências federais desenvolvam, documentem e implementem um programa de segurança da informação que inclua:
- Uma avaliação de risco
- Um plano de segurança
- Políticas e procedimentos de segurança
- Conscientização e treinamento de segurança
- Um programa de conformidade de segurança
- Um plano de continuidade de operações