Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Cos'è la conformità FISMA?

Cos'è la conformità FISMA?

Mar 17, 2021

Non dovrebbe sorprendere che il governo federale degli Stati Uniti prenda la cybersecurity molto seriamente. Dopo tutto, le agenzie federali gestiscono enormi quantità di dati sensibili, inclusi informazioni relative alla sicurezza nazionale e internazionale e alla salute pubblica, così come le informazioni personali della maggior parte dei residenti del paese.

FISMA, ovvero il Federal Information Security Management Act, fornisce un quadro completo e un insieme di requisiti per aiutare le agenzie federali a stabilire un solido approccio alla cybersecurity basato sul rischio.

Nessuna agenzia federale è esente dalle linee guida stabilite in FISMA, quindi se gestisci dati per un'agenzia federale o fornisci altri servizi soggetti alla conformità FISMA, è importante acquisire una solida comprensione di FISMA e del suo impatto sulle tue operazioni quotidiane.

Richiedi una demo individuale:

Panoramica della conformità FISMA

FISMA è stata promulgata come parte del E-Government Act of 2002 e aggiornata nel 2014 con alcune modifiche importanti.

Ambito di FISMA

I requisiti FISMA si applicano a tutte le agenzie governative degli Stati Uniti, così come alle agenzie statali che amministrano programmi federali come l'assicurazione contro la disoccupazione, i prestiti agli studenti, Medicare e Medicaid.

La legge si applica anche alle imprese private che hanno rapporti contrattuali con queste agenzie statali, supportano un programma federale o ricevono finanziamenti federali. Le entità private la cui unica connessione con il governo federale è quella di essere un beneficiario di sovvenzioni sono spesso colte di sorpresa, ma sono tenute ad implementare i controlli di sicurezza delle informazioni federali di FISMA.

Vantaggi della conformità FISMA

Le agenzie governative di ogni livello sono state prese di mira dai criminali informatici più frequentemente negli ultimi anni; documenti trapelati del Pentagono sono uno degli ultimi di violazioni dei dati. La perdita di dati costa alle agenzie somme significative di denaro e può causare danni alle persone le cui informazioni private sono compromesse.

Per le organizzazioni non governative, la conformità FISMA consente loro di diventare appaltatori per le agenzie federali. Inoltre, seguire volontariamente i requisiti FISMA può aiutare le organizzazioni a ridurre i rischi per i loro dati sensibili, il che a sua volta aiuta a evitare i danni finanziari e altri danni associati alla data breach.

Penalità per violazioni della conformità FISMA

Il mancato rispetto di FISMA può comportare una serie di spiacevoli conseguenze, tra cui:

  • Censura del Congresso
  • Riduzione dei finanziamenti federali
  • Maggiore supervisione governativa
  • Danno alla reputazione

Scarica l'eBook:

Linee guida e standard correlati

Linee guida FISMA e OMB

L'Ufficio per la Gestione e il Bilancio (OMB) ha rilasciato delle linee guida nell'aprile 2010 che richiedono alle agenzie di fornire informazioni sui sistemi in tempo reale agli auditor FISMA per consentire un monitoraggio continuo dei sistemi informativi regolati da FISMA. Le linee guida dell'OMB includono diversi requisiti delineati negli Standard Federali per l'Elaborazione delle Informazioni (FIPS) dell'Istituto Nazionale degli Standard e della Tecnologia (NIST).

Due standard di sicurezza FIPS sono richiesti da FISMA:

  • FIPS 199 (Standard per la Categorizzazione della Sicurezza delle Informazioni Federali e dei Sistemi Informativi) affronta il requisito FISMA di sviluppare standard per la categorizzazione delle informazioni e dei sistemi informativi. FIPS 199 richiede un “quadro comune e una comprensione” che promuova una gestione efficace e una supervisione dei programmi di sicurezza delle informazioni, e una relazione coerente all'OMB e al Congresso riguardo l'adeguatezza e l'efficacia delle politiche, procedure e pratiche di sicurezza delle informazioni.
  • FIPS 200 (Requisiti Minimi di Sicurezza per le Informazioni Federali e i Sistemi Informativi) stabilisce i “livelli minimi di diligenza dovuta per la sicurezza delle informazioni” per le agenzie federali. L'obiettivo è stabilire un approccio coerente, confrontabile e ripetibile per “selezionare e specificare i controlli di sicurezza per i sistemi informativi che soddisfano i requisiti di sicurezza minimi” delineati dalle linee guida.

Standard FISMA e NIST

Diversi standard NIST sono direttamente correlati con la FISMA compliance, tra cui:

  • NIST SP 800-39 (Guida per l'applicazione del Risk Management Framework ai sistemi informativi federali) — Questo documento fornisce indicazioni per implementare un programma integrato di information security risk management al fine di proteggere gli asset organizzativi, le persone, altre organizzazioni e gli Stati Uniti nel loro insieme dai rischi derivanti dall'operatività e dall'uso dei sistemi informativi federali. Descrive un “approccio strutturato ma flessibile” alla gestione dei rischi in modo intenzionalmente ampio. Direttive specifiche volte all'implementazione di questi programmi sono fornite all'interno degli standard e delle linee guida di supporto NIST.
  • NIST SP 800-37 (Guida per l'applicazione del Risk Management Framework ai sistemi informativi federali: un approccio al ciclo di vita della sicurezza) — Questo documento offre un “processo disciplinato, strutturato e flessibile per la gestione del rischio di sicurezza e privacy.” Include informazioni sulla categorizzazione della sicurezza delle informazioni, selezione dei controlli, implementazione, valutazione, autorizzazioni di sistema e controlli comuni, e monitoraggio continuo.
  • NIST SP 800-30 (Guida per la conduzione delle valutazioni dei rischi) — Questo documento fornisce dettagli su come assegnare categorie di gestione del rischio e determinare i corsi d'azione appropriati in risposta a tali rischi. Offre un quadro per l'esecuzione del processo di valutazione del rischio, inclusi i modi per prepararsi, condurre e comunicare i risultati di una valutazione.
  • NIST SP 800-53 (Controlli di sicurezza e privacy per sistemi informativi federali e organizzazioni) — Questo documento cataloga i controlli di sicurezza e privacy per tutti i sistemi informativi federali ad eccezione di quelli relativi alla sicurezza nazionale. Delinea le fasi del Risk Management Framework relative alla selezione dei controlli di sicurezza in conformità con i requisiti di sicurezza in FIPS 200.
  • NIST SP 800-53A (Guida per la valutazione dei controlli di sicurezza nei sistemi informativi federali e nelle organizzazioni) — Questo documento elenca le linee guida per la creazione di “piani di valutazione della sicurezza e piani di valutazione della privacy” efficaci. Fornisce inoltre procedure per valutare l'efficacia dei controlli di sicurezza e privacy utilizzati nei sistemi informativi.

FISMA e FedRAMP

Il Federal Risk and Authorization Management Program (FedRAMP) è simile a FISMA in quanto fornisce standard per le agenzie riguardo ai dati federali vulnerabili. Tuttavia, FedRAMP si concentra sui dati basati su cloud e offre un percorso per le agenzie che devono convalidare i servizi di cloud computing per la conformità FISMA.

FedRAMP fornisce anche linee guida per la gestione del rischio e la convalida dei servizi cloud utilizzati dalle agenzie federali. Data la crescente dipendenza odierna dal cloud, molte soluzioni software moderne conformi a FISMA includono funzionalità per la conformità con FedRAMP.

Requisiti FISMA

I seguenti sette requisiti FISMA rappresentano alcuni degli elementi più cruciali dell'atto.

Mantenere un inventario del sistema informativo

Un inventario del sistema informativo inventory dovrebbe includere tutti i sistemi o reti che possono accedere ai dati dell'agenzia federale, inclusi quelli non operati da (o sotto il controllo di) l'agenzia stessa, così come le interfacce tra i sistemi. NIST SP 800-18, Revision 1 (Guida per lo Sviluppo di Piani di Sicurezza per i Sistemi Informativi Federali) fornisce indicazioni su come raggruppare i sistemi informativi e i loro confini.

Categorizzare i sistemi informativi

FISMA richiede la categorizzazione dei sistemi informativi e dei dati in base all'impatto che potrebbe avere il loro compromesso:

  • Impatto basso — Una riduzione della capacità operativa fino a un punto e per una durata tale che l'organizzazione è ancora in grado di svolgere le sue funzioni principali, ma con un'efficacia notevolmente ridotta. Esempi includono:
    • Danni minori agli asset organizzativi
    • Perdita finanziaria minore
    • Danno minore agli individui
  • Impatto moderato— Una significativa degradazione della capacità operativa fino a un punto e per una durata tale che l'organizzazione è ancora in grado di svolgere le sue funzioni principali, ma con l'efficacia delle funzioni notevolmente ridotta. Esempi includono:
    • Danni significativi agli asset organizzativi
    • Perdite finanziarie significative
    • Danni significativi alle persone che non comportano perdita di vita o lesioni gravi e pericolose per la vita
  • Alto impatto — Grave degrado o perdita della capacità operativa fino a un punto tale che l'organizzazione non è in grado di svolgere una o più delle sue funzioni principali. Esempi includono:
    • Gravi danni agli asset organizzativi
    • Gravi perdite finanziarie
    • Danni gravi o catastrofici alle persone che comportano la perdita della vita o lesioni gravi e pericolose per la vita

FIPS 199 e SP 800-60 forniscono informazioni sulla categorizzazione dei sistemi informativi e dei dati.

Progettare e mantenere un piano di sicurezza del sistema

NIST SP 800-18 fornisce linee guida per lo sviluppo e l'attuazione di un piano di sicurezza, nonché per l'allestimento di un piano di revisione per valutare periodicamente la sicurezza operativa.

Conduci valutazioni dei rischi

NIST SP 800-37 e NIST SP 800-30 forniscono informazioni su come condurre valutazioni del rischio al fine di analizzare le minacce attuali, prevedere quelle nuove e scegliere controlli di sicurezza che ridurranno il rischio a un livello accettabile.

Utilizzare i controlli di sicurezza appropriati

FIPS 200 fornisce dettagli sulla selezione dei controlli di sicurezza di base e sull'applicazione di linee guida personalizzate e controlli supplementari secondo necessità, in base alla valutazione del rischio.

NIST SP 800-53 elenca i controlli di sicurezza che le agenzie dovrebbero prendere in considerazione per l'implementazione. Questi controlli possono essere applicati in modo flessibile in modo che siano in linea con la missione e l'ambiente operativo dell'agenzia, a condizione che l'agenzia documenti i controlli selezionati nel proprio piano di sicurezza del sistema.

Conduci un monitoraggio continuo

NIST SP 800-37 e SP 800-53A stabiliscono le linee guida per il monitoraggio continuo del sistema di sicurezza. Il monitoraggio in questo contesto include le categorie di Integrità del Sistema (SI), Gestione della Configurazione (CM), Risposta agli Incidenti (IR) e Audit (AU).

Eseguire revisioni annuali

Per mantenere la conformità FISMA, le agenzie devono condurre revisioni annuali dei loro programmi di sicurezza delle informazioni. Queste revisioni sono condotte dagli ispettori generali, dai responsabili delle informazioni (CIO) e da altri funzionari dei programmi federali.

Una volta condotte le revisioni, le agenzie riportano i risultati all'OMB, che prepara un rapporto annuale ufficiale sulla conformità FISMA da presentare al Congresso.

Ottenere la Certificazione e l'Accreditamento (C&A)

Le agenzie devono ottenere la FISMA Certification and Accreditation (C&A) attraverso un processo che include quattro fasi:

  1. Iniziazione e pianificazione
  2. Certificazione
  3. Accreditamento
  4. Monitoraggio continuo

C&A is not a one-time event; OMB requires periodic recertification and re-accreditation for FISMA-regulated agencies.

FISMA Best Practices

To help your organization achieve and maintain FISMA compliance, follow these best practices:

  • Gain a high-level view of the sensitive data you store and process.
  • Run periodic risk assessments to identify, prioritize and remediate information security gaps.
  • Regularly evaluate how well your security controls and policies work to protect your systems.
  • Maintain evidence of how you’re complying with FISMA.
  • Monitor for updates to FISMA.
  • Conduct ongoing employee training to keep your team up to date on both FISMA requirements and cybersecurity threats.

How Netwrix Can Help

Simply knowing the answer to the question “What is FISMA compliance?” doesn’t give you the strategies you need to implement changes to your business. It certainly doesn’t give you the budget OMB changes may require.

Netwrix offers easy, cost-effective compliance audit solutions that help you secure your enterprise and satisfy auditors. With out-of-the-box templates, hardened build standards, password policies and more, you can kickstart your FISMA compliance strategy.

If you’re ready to reclaim your nights and weekends by slashing audit preparation effort by up to 85% while proving your organization meets FISMA compliance requirements, request a free demo with Netwrix today.

FAQ

1. What is FISMA?

FISMA stands for the Federal Information Security Management Act. It is a U.S. federal law that provides a comprehensive framework aimed at protecting sensitive information.

2. Who must comply with FISMA?

FISMA rules apply to all US federal government agencies, as well as state agencies that administer federal programs. It also applies to private businesses involved in contractual relationships with these state agencies, including those that provide services, support a federal program or receive federal grant money.

3. What are the penalties for FISMA noncompliance?

Government agencies and related private companies can face several penalties for failing to stay compliant with FISMA, including:

  • Censure by Congress
  • Reduction in federal funding
  • Damage to reputation
  • Increased government oversight

4. What is the relationship between NIST and FISMA?

NIST (the National Institute of Standards and Technology) publishes several guides to help organizations in achieving and maintaining compliance with FISMA.

5. What is FISMA certification?

It’s not enough for organizations to act FISMA-compliant. Once you’ve implemented the appropriate controls, you need to prove that you’re following FISMA standards. OMB lays out the certification and accreditation process, which must be repeated regularly.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Mike Tierney

Ex Vicepresidente del Successo Cliente

Ex Vicepresidente del Successo Clienti presso Netwrix. Vanta un background variegato costruito in oltre 20 anni nell'industria del software, avendo ricoperto ruoli di CEO, COO e VP Product Management in diverse aziende focalizzate sulla sicurezza, conformità e sull'aumento della produttività dei team IT.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza