Le Government Information Security Reform Act (GISRA) est une loi fédérale américaine, promulguée en 2000, qui exige des agences qu'elles développent et mettent en œuvre des programmes de sécurité de l'information pour protéger leurs informations et leurs systèmes d'information. La loi exigeait également que les agences fassent un rapport annuel à l'Office of Management and Budget (OMB) sur le statut de leurs programmes de sécurité de l'information.
En réponse à cette loi, l'OMB a publié des directives à l'intention des agences sur la manière de développer et de mettre en œuvre leurs programmes de sécurité de l'information. Ces conseils comprenaient des exigences en matière d'évaluation des risques, de plans de sécurité, de formation à la sécurité et de plans de réponse aux incidents.
Le GISRA a été abrogé par le Federal Information Security Management Act (FISMA) de 2002.
Que couvre la FISMA ?
La FISMA est la loi fédérale sur la gestion de la sécurité de l'information. Elle couvre tous les aspects de la sécurité de l'information pour les organisations du gouvernement fédéral américain. Cela va de l'élaboration et de la mise en œuvre de politiques et de procédures de sécurité à la formation des employés aux meilleures pratiques en matière de sécurité, en passant par le suivi et le signalement réguliers des incidents de sécurité. La FISMA exige également des agences fédérales qu'elles procèdent à des évaluations régulières des risques et qu'elles mettent en place un plan de réponse aux incidents en cas de violation.
Quel type de contrôles la FISMA exige-t-elle des entreprises ?
La FISMA exige que les agences fédérales mettent en œuvre une approche de la sécurité de l'information basée sur les risques, qui comprend des contrôles de sécurité pour protéger les informations et les systèmes d'information. Les contrôles de sécurité doivent être proportionnels au risque posé par l'information et le système d'information.
En outre, la FISMA exige que les agences fédérales développent, documentent et mettent en œuvre un programme de sécurité de l'information qui comprend :
- Une évaluation des risques
- Un plan de sécurité
- Des politiques et procédures de sécurité
- Une sensibilisation et une formation à la sécurité
- Un programme de conformité à la sécurité
- Un plan de continuité des opérations
Qui doit suivre la FISMA ?
La loi fédérale sur la gestion de la sécurité de l'information (FISMA) est un ensemble de normes de sécurité qui ont été établies par le gouvernement des États-Unis afin de protéger les informations gouvernementales sensibles. Toute agence fédérale qui traite des informations gouvernementales sensibles est tenue de respecter ces normes.
Qu'est-ce qui est considéré comme PII ?
PII est l'abréviation de "Personally Identifiable Information". Il s'agit de toute donnée qui peut être utilisée pour identifier un individu spécifique. Cela inclut, sans s'y limiter, les noms, adresses, numéros de téléphone, adresses électroniques, numéros de sécurité sociale et informations financières. Les IIP peuvent également inclure des données biométriques, telles que les empreintes digitales, les scans de l'iris et l'ADN.
Les IIP sont des informations sensibles qui peuvent être utilisées à des fins d'usurpation d'identité ou de fraude si elles tombent entre de mauvaises mains. Les organisations qui collectent, stockent ou utilisent des IIP doivent prendre des mesures pour les protéger contre tout accès, utilisation ou divulgation non autorisés. Le non-respect de cette obligation peut entraîner de graves sanctions, notamment des amendes et des peines de prison.
Que sont les contrôles NIST 800 53 ?
La publication spéciale 800-53 (SP 800-53) du National Institute of Standards and Technology (NIST) est un document qui fournit des conseils sur les contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations. Cette publication est disponible gratuitement sur le site web du NIST.
Les contrôles de sécurité et de confidentialité de la norme 800-53 sont organisés en 17 familles, et chaque famille est divisée en catégories. Les 17 familles sont :
Contrôle d'accès
Sensibilisation et formation
Audit et responsabilité
Gestion de la configuration
Planification d'urgence
Identification et authentification
Réponse aux incidents
Maintenance
Protection des médias
Protection physique et environnementale
Planification
Sécurité du personnel
Gestion des programmes
Évaluation des risques
Évaluation de la sécurité et autorisation
Protection des systèmes et des communications
Intégrité des systèmes et des informations
Les catégories de chaque famille peuvent être considérées comme des sous-contrôles. Par exemple, la famille Contrôle d'accès contient les catégories suivantes :
Politique et procédures de contrôle d'accès
Gestion des comptes
Least Privilege
Gestion des accès privilégiés
Autorisation des ressources
Verrouillage et temporisation des sessions
Chacune de ces catégories contient un ou plusieurs contrôles. Par exemple, la catégorie Politique et procédures de contrôle d'accès contient les contrôles suivants :
AC-1 : Politique et procédures de contrôle d'accès
AC-2 : Gestion des comptes
AC-3 : Least Privilege
AC-4 : Gestion des accès privilégiés
AC-5 : Autorisation des ressources
AC-6 : Verrouillage des sessions et Time-out
La catégorie N