Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
O que é Conformidade com a FISMA?

O que é Conformidade com a FISMA?

Mar 17, 2021

Não deve ser surpresa que o governo federal dos EUA leve a cibersegurança muito a sério. Afinal, as agências federais gerenciam enormes quantidades de dados sensíveis, incluindo informações relacionadas à segurança nacional e internacional e à saúde pública, bem como as informações pessoais da maioria dos residentes do país.

FISMA, que significa a Lei Federal de Gestão de Segurança da Informação, fornece uma estrutura abrangente e um conjunto de requisitos para ajudar as agências federais a estabelecer uma abordagem forte e baseada em risco para a cibersegurança.

Nenhuma agência federal está isenta das diretrizes estabelecidas na FISMA, portanto, se você lida com dados para uma agência federal ou fornece outros serviços sujeitos à conformidade com a FISMA, é importante obter um entendimento sólido da FISMA e seu impacto nas suas operações diárias.

Solicite uma Demonstração Individual:

Visão Geral da Conformidade com FISMA

FISMA foi sancionada como lei como parte do E-Government Act of 2002 e atualizada em 2014 com algumas mudanças importantes.

Escopo do FISMA

Os requisitos da FISMA aplicam-se a todas as agências governamentais dos EUA, bem como às agências estaduais que administram programas federais como seguro-desemprego, empréstimos estudantis, Medicare e Medicaid.

O ato também se aplica a empresas privadas que têm relações contratuais com essas agências estaduais, apoiam um programa federal ou recebem dinheiro de subsídios federais. Entidades privadas cuja única conexão com o governo federal é ser um beneficiário de subsídio muitas vezes são pegas de surpresa, mas são obrigadas a implementar os controles de segurança da informação federal do FISMA.

Benefícios da conformidade com FISMA

Agências governamentais em todos os níveis têm sido alvo de criminosos cibernéticos com mais frequência nos últimos anos; documentos vazados do Pentágono são um dos mais recentes entre vários vazamentos de dados de alto perfil. Vazamentos de dados custam às agências quantias significativas de dinheiro e podem causar danos às pessoas cujas informações privadas são comprometidas.

Para organizações não governamentais, a conformidade com a FISMA permite que se tornem contratadas por agências federais. Além disso, seguir voluntariamente os requisitos da FISMA pode ajudar as organizações a reduzir riscos aos seus dados sensíveis, o que por sua vez ajuda a evitar os danos financeiros e outros associados a data breaches.

Penalidades por Violações de Conformidade com a FISMA

Não cumprir com a FISMA pode resultar em uma série de repercussões indesejadas, incluindo:

  • Censura pelo Congresso
  • Redução no financiamento federal
  • Aumento da supervisão governamental
  • Dano à reputação

Baixe o eBook:

Diretrizes e Padrões Relacionados

FISMA e Diretrizes OMB

O Office of Management and Budget (OMB) divulgou diretrizes em abril de 2010 que exigem que as agências forneçam informações de sistema em tempo real aos auditores da FISMA para permitir o monitoramento contínuo dos sistemas de informação regulados pela FISMA. As diretrizes do OMB incluem várias exigências delineadas nos Federal Information Processing Standards (FIPS) do National Institute of Standards and Technology (NIST).

Dois padrões de segurança FIPS são exigidos pelo FISMA:

  • FIPS 199 (Padrões para Categorização de Segurança da Informação Federal e Sistemas de Informação) aborda a exigência do FISMA de desenvolver padrões para categorizar informações e sistemas de informação. O FIPS 199 exige um “arcabouço comum e entendimento” que promova a gestão eficaz e supervisão de programas de segurança da informação, e relatórios consistentes ao OMB e ao Congresso sobre a adequação e eficácia das políticas, procedimentos e práticas de segurança da informação.
  • FIPS 200 (Requisitos Mínimos de Segurança para Informações e Sistemas de Informação Federais) estabelece os “níveis mínimos de diligência devida para a segurança da informação” para agências federais. O objetivo aqui é estabelecer uma abordagem consistente, comparável e repetível para “selecionar e especificar controles de segurança para sistemas de informação que atendam aos requisitos mínimos de segurança” delineados pelas diretrizes.

Padrões FISMA e NIST

Vários padrões NIST correlacionam-se diretamente com a conformidade com a FISMA, incluindo:

  • NIST SP 800-39 (Guia para Aplicação do Risk Management Framework a Sistemas de Informação Federais) — Este documento oferece orientações para implementar um programa integrado de gestão de risco de segurança da informação com o objetivo de proteger ativos organizacionais, indivíduos, outras organizações e os Estados Unidos como um todo contra riscos resultantes da operação e uso de sistemas de informação federais. Ele descreve uma abordagem de gestão de riscos “estruturada, porém flexível” de maneira intencionalmente ampla. Diretrizes específicas destinadas à implementação desses programas são fornecidas dentro dos padrões e diretrizes de apoio do NIST.
  • NIST SP 800-37 (Guia para Aplicação do Risk Management Framework a Sistemas de Informação Federais: Uma Abordagem de Ciclo de Vida de Segurança) — Este documento oferece um “processo disciplinado, estruturado e flexível para gerenciar riscos de segurança e privacidade.” Inclui informações sobre categorização de segurança da informação, seleção de controles, implementação, avaliação, autorizações de sistema e controles comuns, e monitoramento contínuo.
  • NIST SP 800-30 (Guia para Realização de Avaliações de Risco) — Este documento fornece detalhes sobre a atribuição de categorias de gestão de risco e determinação de cursos de ação apropriados em resposta a esses riscos. Ele oferece uma estrutura para a realização do processo de avaliação de risco, incluindo como se preparar, conduzir e comunicar os resultados de uma avaliação.
  • NIST SP 800-53 (Controles de Segurança e Privacidade para Sistemas e Organizações de Informações Federais) — Este documento cataloga controles de segurança e privacidade para todos os sistemas de informações federais, exceto aqueles relacionados à segurança nacional. Ele descreve as etapas do Risk Management Framework relacionadas à seleção de controles de segurança de acordo com os requisitos de segurança no FIPS 200.
  • NIST SP 800-53A (Guia para Avaliação dos Controles de Segurança em Sistemas de Informação e Organizações Federais) — Este documento lista diretrizes para a construção de “planos de avaliação de segurança e planos de avaliação de privacidade” eficazes. Ele também fornece procedimentos para avaliar a eficácia dos controles de segurança e privacidade usados em sistemas de informação.

FISMA e FedRAMP

Federal Risk and Authorization Management Program (FedRAMP) é semelhante ao FISMA, pois fornece padrões para agências em relação a dados federais vulneráveis. No entanto, o FedRAMP foca em dados baseados na nuvem e oferece um caminho para agências que precisam validar serviços de computação em nuvem para conformidade com o FISMA.

O FedRAMP também oferece orientações para gerenciar riscos e validar serviços em nuvem utilizados por agências federais. Dada a crescente dependência da nuvem nos dias de hoje, muitas soluções de software modernas para conformidade com a FISMA incluem recursos para a conformidade com o FedRAMP.

Requisitos FISMA

Os seguintes sete requisitos da FISMA representam alguns dos elementos mais cruciais do ato.

Mantenha um Inventário do Sistema de Informação

Um inventário de sistema de informação inventory deve incluir todos os sistemas ou redes que podem acessar dados de agências federais, incluindo aqueles não operados por (ou sob o controle de) a própria agência, bem como as interfaces entre sistemas. NIST SP 800-18, Revision 1 (Guia para Desenvolvimento de Planos de Segurança para Sistemas de Informação Federais) fornece orientações sobre como agrupar sistemas de informação e seus limites.

Categorizar Sistemas de Informação

A FISMA exige a categorização de sistemas de informação e dados com base no impacto que seu comprometimento poderia ter:

  • Baixo impacto — Uma degradação na capacidade de missão a um ponto e duração em que a organização ainda é capaz de realizar suas funções primárias, mas com a eficácia das funções sendo notavelmente reduzida. Exemplos incluem:
    • Danos menores aos ativos organizacionais
    • Pequena perda financeira
    • Dano menor a indivíduos
  • Impacto moderado— Degradação significativa na capacidade de missão a um ponto e duração em que a organização ainda é capaz de realizar suas funções primárias, mas com a eficácia das funções sendo significativamente reduzida. Exemplos incluem:
    • Danos significativos aos ativos organizacionais
    • Perda financeira significativa
    • Danos significativos a indivíduos que não envolvem perda de vida ou lesões graves e ameaçadoras à vida
  • Alto impacto — Degradação severa ou perda da capacidade de missão em uma extensão e duração tal que a organização não é capaz de realizar uma ou mais de suas funções primárias. Exemplos incluem:
    • Danos significativos aos ativos organizacionais
    • Grande perda financeira
    • Danos graves ou catastróficos a indivíduos envolvendo perda de vida ou lesões sérias que ameacem a vida

FIPS 199 e SP 800-60 fornecem informações sobre a categorização de sistemas de informação e dados.

Projetar e Manter um Plano de Segurança do Sistema

NIST SP 800-18 fornece diretrizes para o desenvolvimento e implementação de um plano de segurança, bem como para a configuração de um plano de revisão para avaliar periodicamente a segurança operacional.

Realize Avaliações de Risco

NIST SP 800-37 e NIST SP 800-30 fornecem informações sobre a realização de avaliações de risco para analisar ameaças atuais, antecipar novas e escolher controles de segurança que reduzirão o risco a um nível aceitável.

Utilize Controles de Segurança Adequados

FIPS 200 fornece detalhes sobre a seleção de controles de segurança de base e a aplicação de orientações personalizadas e controle suplementar conforme necessário, com base na avaliação de risco.

NIST SP 800-53 lista controles de segurança para que as agências considerem implementar. Esses controles podem ser aplicados de forma flexível para que estejam alinhados com a missão e o ambiente operacional da agência, desde que a agência documente os controles selecionados em seu plano de segurança do sistema.

Realize Monitoramento Contínuo

NIST SP 800-37 e SP 800-53A estabelecem as diretrizes para o monitoramento contínuo do sistema de segurança. O monitoramento neste contexto inclui as categorias de Integridade do Sistema (SI), Gestão de Configuração (CM), Resposta a Incidentes (IR) e Auditoria (AU).

Realize Avaliações Anuais

Para manter a conformidade com a FISMA, as agências devem realizar revisões anuais de seus programas de segurança da informação. Essas revisões são conduzidas por inspetores gerais, diretores de informação (CIOs) e outros oficiais de programas federais.

Uma vez realizadas as revisões, as agências relatam os resultados ao OMB, que prepara um relatório anual oficial de conformidade com a FISMA para o Congresso.

Alcance a Certificação e Acreditação (C&A)

As agências precisam obter a FISMA Certification and Accreditation (C&A) por meio de um processo que inclui quatro fases:

  1. Iniciação e planejamento
  2. Certificação
  3. Acreditação
  4. Monitoramento contínuo

C&A não é um evento único; OMB exige recertificação e reacreditação periódicas para agências reguladas pela FISMA.

Melhores práticas da FISMA

Para ajudar sua organização a alcançar e manter a conformidade com a FISMA, siga estas melhores práticas:

  • Obtenha uma visão de alto nível dos dados sensíveis que você armazena e processa.
  • Realize avaliações periódicas de risco para identificar, priorizar e remediar lacunas de segurança da informação.
  • Avalie regularmente a eficácia dos seus controles de segurança e políticas para proteger seus sistemas.
  • Mantenha provas de como você está em conformidade com a FISMA.
  • Monitore as atualizações do FISMA.
  • Realize treinamentos contínuos com os funcionários para manter sua equipe atualizada sobre os requisitos da FISMA e as ameaças de cibersegurança.

Como a Netwrix pode ajudar

Simplesmente saber a resposta para a pergunta “O que é conformidade com FISMA?” não lhe fornece as estratégias necessárias para implementar mudanças em seu negócio. Certamente não lhe dá o orçamento que as mudanças do OMB podem exigir.

Netwrix offers easy, cost-effective compliance audit solutions that help you secure your enterprise and satisfy auditors. With out-of-the-box templates, hardened build standards, password policies and more, you can kickstart your FISMA compliance strategy.

Se você está pronto para recuperar suas noites e fins de semana reduzindo o esforço de preparação de auditoria em até 85%, enquanto comprova que sua organização atende aos requisitos de conformidade FISMA, solicite uma demonstração gratuita com Netwrix hoje.

FAQ

1. O que é FISMA?

FISMA é a sigla para a Lei de Gestão de Segurança da Informação Federal. É uma lei federal dos EUA que fornece um quadro abrangente com o objetivo de proteger informações sensíveis.

2. Quem deve cumprir com o FISMA?

As regras da FISMA aplicam-se a todas as agências governamentais federais dos EUA, bem como às agências estaduais que administram programas federais. Também se aplica a empresas privadas envolvidas em relações contratuais com essas agências estaduais, incluindo aquelas que prestam serviços, apoiam um programa federal ou recebem dinheiro de subsídios federais.

3. Quais são as penalidades para o não cumprimento da FISMA?

Agências governamentais e empresas privadas relacionadas podem enfrentar várias penalidades por não manterem a conformidade com a FISMA, incluindo:

  • Censura pelo Congresso
  • Redução no financiamento federal
  • Dano à reputação
  • Aumento da supervisão governamental

4. Qual é a relação entre NIST e FISMA?

O NIST (Instituto Nacional de Padrões e Tecnologia) publica vários guias para ajudar as organizações a alcançar e manter a conformidade com a FISMA.

5. O que é a certificação FISMA?

Não é suficiente para as organizações agirem em conformidade com a FISMA. Depois de implementar os controles apropriados, você precisa provar que está seguindo os padrões da FISMA. O OMB estabelece o processo de certificação e acreditação, que deve ser repetido regularmente.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Mike Tierney

Ex-VP de Sucesso do Cliente

Ex-VP de Sucesso do Cliente na Netwrix. Ele tem uma experiência diversificada construída ao longo de 20 anos na indústria de software, tendo ocupado os cargos de CEO, COO e VP de Gestão de Produtos em várias empresas focadas em segurança, conformidade e aumento da produtividade das equipes de TI.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança