<kbd id="d05e3tj7"></kbd><address id="z8adoelo"><style id="l5xegnyh"></style></address><button id="gpj945wq"></button>

          Computer work late night

          承包商做生意的条相符联邦法规联邦政府面临许多挑战,但很多的要求,也有认为是信息安全的最佳做法。

          承包商CMS安全准则:Q和A

          • 2013年7月11日

          2013年4月12日,该中心的医疗保险和医疗补助服务中心(CMS)发布了一份备忘录,总理及其承包商建议他们通过那6月28日,2013年他们必须争取的“认证”(管理断言)遵守的,具有决定一起多少将花费这样的认证。

          显著,备忘录明确扩大了合规性要求分包商。讨论与相关的具体标准 联邦信息安全管理法案 (FISMA)和 联邦风险管理计划的授权 (FedRAMP)。

          扩展CMS是安全的“保护伞”,它需要政府拥有和运营系统,以非政府供应商,其产品和服务直接或间接地支持CMS活动。如果CMS收益不如预期,未能遵守将可能导致从CMS供应链参与提供商,继其他政府部门和行业规范,如要求在近几年的样式集合被禁止 健康保险流通与责任法案 (HIPAA),支付卡行业(PCI),和 萨班斯 - 奥克斯利法案 (SOX)。

          这篇文章定义了一些面临的承包商有业务往来的联邦政府所面临的挑战,并建议一些方法来开始处理新的要求。而现在,最初的6月28日的最后期限已过,什么联邦承包商可以期待未来?

          什么是FISMA?

          该 电子政务法签署生效,2002年12月认可的信息安全的重要性,美国的经济和国家安全利益。在该法案,要求FISMA联邦各机构制定,文件和实施机构范围程序提供安全信息的信息和信息系统,该机构支持的业务和资产,包括那些由其他机构提供或管理的,承包商,或其他来源。

          为什么都包含在FISMA合规任务承包商?

          联邦政府识别大多数在政府系统的技术支持服务正在从根本上改变。在过去,大多数机构都有自己拥有和运营的专业化,专有技术平台,但该模型转移到共享使用高度便携,可重复使用,和灵活的系统。生活在公众的组合基于互联网的成分,私有和混合“云”正在成为商业世界的规范,以及政府在方向移动。

          挑战之一是,往往是建立一个机构,以支持在该机构的使命,并设计,实施,由各国人民自己来控制的联邦技术系统。由于数量和跨系统的接口复杂性的提高,更难以保证既定的控制是可靠的。同时商业承包商和服务供应商包括在组合了,所以保持适当的安全水平已成为一个更大的挑战。

          是什么FISMA要求承包商?

          最初,虽然需求可能看起来像的时间和金钱显著的投资,从信息安全的角度看,它们遵循最佳实践。即使你从来没有打算工作与政府机构,与安全准则和美国国家标准与技术研究院(NIST)的建议符合 - 指导使用FISMA - 是保护知识产权和客户信息的好方法。 FISMA的要求包括:

          1. 信息系统的清单。 FISMA要求机构有一个信息系统的库存。第一步是确定什么构成的信息系统,因为它可以被定义为投入到一个共同的目的和管理由同一个系统所有者的个人计算机的集合。 NIST SP 800-18,修订1, 指南制定的联邦信息系统安全计划,提供有关定义系统的指导。

          2. 分类信息和信息系统的风险,根据。所有的信息和信息系统应基于信息安全的适当水平进行分类。基本方针是由NIST SP 800-60提供, 指南信息和信息系统的映射类型以安全类别.

          3. 安全控制。组织与联邦政府工作必须满足相同的最低要求为安全的联邦信息系统。在机构应用基线安全控制的灵活性,并调整它们ESTA允许的安全控制,以满足他们的任务要求和运行环境。选择的控件必须计划或系统安全计划中记录。适当的安全控制和保证要求中描述了特别出版物800-53 NIST, 联邦信息系统推荐安全控制.

          4. 风险评估。安全的基本水平要求所有联邦信息和信息系统。如果需要任何额外控制的机构的风险评估和验证的安全控制确定。风险评估通过确定单独实施的漏洞潜在威胁和安全漏洞和映射控制开始。然后,一个通过计算来确定风险的可能性和影响的任何考虑到可能被利用的漏洞,考虑到现有的控制。风险评估显示计算所有漏洞的风险和大成描述风险是否应该接受或减轻。如果减排是必要的,机构必须描述额外的安全性。

          5. 系统安全计划。应当制定系统安全规划过程中的政策机构。 NIST SP-800-18, 指南制定的联邦信息系统安全计划,系统安全计划引入的概念是一个动态文件,这需要定期复查,修改,行动计划和里程碑实施安全控制。它应该WHO文件审查的计划,保持目前的计划,并在计划中的安全控制跟进。

            系统安全计划是安全认证和认可过程的最好的一块。在安全认证和认可的过程中,安全系统进行了分析计划,更新和接受。

          6. 认证认可。十一系统文件和风险评估是完整的,系统的控制必须进行审查,并适当地,他们发挥作用的认证。根据审查结果,对信息系统的认可。

            安全认证管理,运行和技术安全控制的信息系统进行全面评估。安全认证是由一名高级官员鉴于机构的官方管理决策信息系统的授权操作,并明确接受风险代理运营,机构资产,或基于个人实现的商定一套安全控制。通过评审的信息系统,一个机构官员接受了系统的安全责任,并为任何殃及如果一个安全漏洞出现该机构承担全部责任。因此,责任和问责制是核心原则表征的安全认证。

          7. 连续监测。所有经认可的系统需要监控一组选定的安全控制。体系文件必须进行更新,以反映更改和修改系统。对系统的安全配置文件大的变化如果一个更新的触发风险评估和控制是可能显着改变需要重新认证。

          证明遵守FISMA是怎样的?

          “FISMA合规性”本质上实现既定力所能及的范围内该机构要求接收的操作授权(ATO)从负责“的高级机构官员”或在大多数情况下,该官员的指定审批机关(DAA)。

          ,虽然联邦政府的执行部门和机构必须遵循NIST指导方针一般来说,他们在确定他们将如何资助和维护ATO为他们的系统广泛的范围。一般民用机构遵循的准则NIST,国防机构拥有的国防信息安全认证认可监督流程(DIACAP),它提供了一种合适的方法来军种。国家安全系统(包含机密信息容器),通常是免除FISMA完全。

          为承包商,合规性景观不明朗。一个机构获取商业提供的服务可能会在其工作的陈述非常具体的关于IT安全性,或者它可能要求其承包商简单地“坚持一切以FISMA的要求。”后者是很常见的,缺乏任何具体的指导,以作为会出现什么展示预计将“坚持”到该机构的DAA的满意度。

          大多数机构有一个认证包系统进行授权包含如系统安全计划,安全评估报告,互联应用安全的合作谅解协议(ISAS)和/或备忘录文件。

          承包商是否应接受该机构关于预期符合安全策略(包括FISMA)的明确方向。显著,没有真正独立的权威指南或此时为可接受的性能承包商。其结果是,承包商有关的风险可能不一致或者根本没有管理。

          他们声称,尽管一些顾问提供“FISMA认证,”没有这样的事,作为一个标准的,独立的FISMA合规的“认证”。 ATO政府只授予在库存系统;符合作为供应商要求政府合同。

          最后,它是完全不管不清楚FISMA在任何主承包商的要求是扩展直接向分包商或第三方供应商。

          可以在服务组织SSAE 16报告FISMA合规性支持?

          在SSAE 16的主要目的是提供一个用户组织,对服务机构的控制的设计和实施的可靠性的报告。

          在是否进行评估的出发点SSAE 16报告支持FISMA合规应该检查哪些机构是从安全角度考虑,要求。如果承包商能够工作与原子能机构(理想有了交代DAA),以确定哪些是需要证明符合。该DAA才是最重要的因为他/她必须接受ATO在其库存系统或系统授予(和维护)相关的风险。

          在主承包商下方的服务链(分包商或其他供应商),每一步都不再是原来的政府合同的范围,所以分包商必须通过总理的工作,以确定哪些规则运用到自己的产品或服务,并作出商业决策关于反对的成本,复杂性的要求,首要的解释的合理性,并遵守所需要的时间。

          什么是FedRAMP?

          FedRAMP在2011年12月实施政府推动的共享服务的快速部署。它提供一种标准方法来安全评估,授权和连续监测的云产品和服务。

          的目标FedRAMP是:

          • 通过评估和授权的重用加快采用安全的云解决方案
          • 增强信心在云解决方案的安全性
          • 授权使用在标准协议和认可的独立的第三方评估机构的基线集实现一致的安全性
          • 确保现有的安全做法是一致的应用程序 
          • 加大安全评估的信心 
          • 连续监测提高自动化和近实时数据

          为了顺应FedRAMP计划现在是商业和政府的云服务提供商(CSP)寻求进入联邦市场对这类服务的强制性要求。 CSP工作与特定的机构或程序随着FedRAMP直接发起授权FedRAMP的请求。如果被接受,将包括授权:

          • 记录系统的安全控制指定使用选择用于FedRAMP的NIST SP 800-53控制的一个子集
          • 随着承包经批准的第三方评估机构(3pao)进行实施的控制的独立测试
          • 提交安全包到一个联合评估委员会授权批准临时授权

          到FedRAMP批准的CSP可以提供它的服务,那么(和机构可以获取的服务),无需额外的要求,但其他控件可能被添加为集成和定制的一部分。

          由FedRAMP已批准列表中3paos满足资格: 

          • 独立性和质量管理 
          • 这包括与FISMA的信息安全保障能力的经验和测试安全控制 
          • 在基于云的信息系统的安全评估能力

          对于CMS公布而言,重要的是要记住,FedRAMP的目的是作为一种方法来行业的授权改进时间对市场做出提供给政府采购基于云的服务。它不建立新的遵守制度,但CMS预计供应商纳入推荐的FedRAMP程序到安全系统中他们的计划的控制。如果他们经营根据云服务提供商的模式。

          又该CMS承包商和分包商现在怎么办?

          所有CMS素数和分包商应具备的成本影响提案的形式,或者不影响成本声明发表了初步回应厘米,到2013年5月8日,另外,如前所述,管理层证明有关遵守由于6月28日,素数2013年应该已经告知所需的信息和分包商可能要求在此日期之前的响应。在此基础上及时接收(或没有接收)的响应,CMS可能再次考虑外形和上作证的内容,并且可以决定是否将需要在未来的某种评估验证证明索赔。它仅仅是为时尚早。

          然而,未来的一个要素是明确的:任何一个承包商,并通过新的安全标准CMS覆盖分包商提供的服务应该计划如何最好地将安全纳入联邦指导他们目前的安全规划和实施过程。对于那些最接近联邦政府机构的政府,这种情况可能已经发生。对于黄金的下方运行分包商,这些要求可能是陌生和挑战。

          承包商和分包商具有很强的安全计划可能能够做出积极的认证时间为6月28日的最后期限。下一步就是考虑自己当前的安全控制环境,并执行对下的指导方针所需的基于NIST控制中设定CMS差距分析。这将有助于定义整治必要的行动和/或步骤来验证效果评估控制的路线图。

          同样,有些这样的工作可能已经完成,例如对于如果组织已经有SSAE 16所做的工作,定期和日常漏洞评估和/或渗透测试,或通过托管安全服务提供商,它提供保证关于控制支持。这样的差距分析,虽​​然可能在时间由6月28日的最后期限,以支持积极的认证,以CMS一直没有执行,它仍然是为了证明您的组织如何计划使用新的安全标准符合有利。

          所有承包商的差距分析,路线图和整治活动的复杂性和持续时间会根据组织的初始广泛的安全“能力成熟度”,并提供给CMS的产品和服务的具体性质。但开始的时候是现在ESTA工作。假设CMS将需要评估是否新准则的收益率在CMS更好的信息整体安全状况,它只能被看作是正面的,如果承包商,即使不能立即断言那些合规,正在这个方向。


          杰夫Zalusky,联邦政府主任

              <kbd id="994alu68"></kbd><address id="s7p1muj7"><style id="q51ojutf"></style></address><button id="762hxq7w"></button>