Rapport Federal Information Security Management Act (FISMA)
Ce rapport indique les problèmes FISMA trouvés sur votre site. Beaucoup de vulnérabilités des applications Web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
Pourquoi est-ce important ?
La loi Federal Information Security Management Act (FISMA) a été votée par le Congrès et le décret a été signé par le Président dans le cadre de la loi Electronic Government Act de 2002. Elle fournit un cadre juridique pour garantir que des mesures exhaustives sont prises pour sécuriser les informations et actifs fédéraux. La conformité FISMA relève de la sécurité nationale et, est en conséquence, scrutée au plus haut niveau du gouvernement. Dans la mesure où cette loi s'applique aux informations et systèmes d'information utilisés par une agence, ses sous-traitants et d'autres organisations, sa portée est plus vaste que les lois précédentes sur la sécurité. Les programmes de sécurité informatique des agences s'appliquent à toutes les organisations qui détiennent ou utilisent des informations fédérales ou qui exploitent, utilisent ou ont accès aux systèmes d'information fédéraux pour le compte d'une agence fédérale, y compris les sous-traitants, bénéficiaires, gouvernements locaux et fédéral, et les partenaires industriels. Par conséquent, les exigences de sécurité fédérales continuent de s'appliquer, rendant l'agence responsable de la mise en place des contrôles de sécurité adéquats.Les agences fédérales doivent transmettre un rapport annuel sur leur conformité aux exigences de sécurité informatique à l'Office of Management and Budget (OMB) au mois d'octobre chaque année. L'OMB utilise ces rapports pour évaluer les performances de sécurité au niveau gouvernemental, établir son rapport de sécurité annuel pour le Congrès, aider à améliorer et maintenir des performances de sécurité adéquates au sein des agences, et rendre compte du développement de l'E-Government Scorecard dans le cadre de l'Agenda du Président. Ce rapport doit récapituler les résultats des revues annuelles de sécurité informatique des systèmes et programmes, ainsi que les progrès de l'agence quant à sa capacité à remplir ses objectifs et jalons FISMA.
La conformité FISMA exige des rapports et des mesures détaillés sur la cybersécurité de l'agence, à la fois concernant les risques existants et les plans de résolution. La vérification de la conformité de chaque système informatique de l'organisation nécessite des tests de validation et une planification des solutions complets avec des rapports et un flux d'informations coordonnés pour permettre au directeur de l'agence de rendre compte avec précision de son état de conformité FISMA actuel.
Les organisations qui ne disposent pas d'une fonction informatique centralisée ni des processus et procédures fondamentaux pour effectuer les tests et générer les rapports sur les différents systèmes informatiques doivent construire cette infrastructure à partir de zéro et ce, dans des délais serrés, ce qui n'autorise aucune marge d'erreur. Dans la plupart des agences gouvernementales, l'infrastructure informatique se compose de centaines, si ce n'est de milliers de systèmes. Ces nombres aggravent les exigences de rapports de conformité et, finalement, aboutissent à l'échec de la conformité FISMA. Si l'on ajoute à cela un financement limité et des interprétations erronées des exigences, de nombreuses agences sont loin d'être en conformité.
| Numéro de contrôle | Contrôle |
|---|---|
| AC-2(2) | Automatiquement [Sélection : supprimer ; désactiver] les comptes temporaires et d'urgence après [Affectation : période définie par l'organisation pour chaque type de compte] . |
| AC-4 | Appliquer les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes connectés en fonction de [Affectation : politiques de contrôle du flux d'informations définies par l'organisation]. |
| AC-6 | Utilisez le principe du moindre privilège, en autorisant uniquement les accès autorisés aux utilisateurs (ou aux processus agissant au nom des utilisateurs) qui sont nécessaires pour accomplir les tâches organisationnelles assignées. |
| AC-7a. | Appliquer une limite de [Affectation : nombre défini par l'organisation] tentatives de connexion non valides consécutives par un utilisateur au cours d'une [Affectation : période définie par l'organisation] |
| AC-10 | Limitez le nombre de sessions simultanées pour chaque [Affectation : compte et/ou type de compte défini par l'organisation] à [Affectation : numéro défini par l'organisation] . |
| AC-12 | Terminer automatiquement une session utilisateur après [Affectation : conditions définies par l'organisation ou événements déclencheurs nécessitant une déconnexion de session] |
| AC-17 | a. Établir et documenter les restrictions d'utilisation, les exigences de configuration/connexion et les conseils de mise en œuvre pour chaque type d'accès à distance autorisé ; et b. Autorisez chaque type d’accès à distance au système avant d’autoriser de telles connexions. |
| CM-7 | a. Configurer le système pour fournir uniquement [Affectation : capacités essentielles à la mission définie par l'organisation] ; et b. Interdire ou restreindre l'utilisation des fonctions, ports, protocoles, logiciels et/ou services suivants : [Affectation : fonctions interdites ou restreintes définies par l'organisation, ports système, protocoles, logiciels et/ou services] . |
| IA-2 | Identifiez et authentifiez de manière unique les utilisateurs de l’organisation et associez cette identification unique aux processus agissant au nom de ces utilisateurs. |
| AI-4(1) | Interdire l'utilisation d'identifiants de compte système identiques aux identifiants publics des comptes individuels. |
| IA-5 | Gérez les authentificateurs système en : a. Vérifier, dans le cadre de la distribution initiale de l'authentifiant, l'identité de l'individu, du groupe, du rôle, du service ou du dispositif recevant l'authentifiant ; b. Établir le contenu initial de l'authentifiant pour tout authentifiant émis par l'organisation ; c. S'assurer que les authentifiants disposent d'un mécanisme suffisamment solide pour l'utilisation prévue ; d. Établir et mettre en œuvre des procédures administratives pour la distribution initiale des authentifiants, pour les authentifiants perdus, compromis ou endommagés, et pour la révocation des authentifiants ; e. Modification des authentificateurs par défaut avant la première utilisation ; f. Modification ou actualisation des authentificateurs [Affectation : période définie par l'organisation par type d'authentificateur] ou lorsque [Affectation : événements définis par l'organisation] se produisent ; g. Protéger le contenu de l'authentificateur contre toute divulgation et modification non autorisée ; h. Exiger des individus qu'ils prennent et faire en sorte que les appareils mettent en œuvre des contrôles spécifiques pour protéger les authentifiants ; et i. Modification des authentificateurs pour les comptes de groupe ou de rôle lorsque l'adhésion à ces comptes change. |
| RA-5 | a. Surveiller et rechercher les vulnérabilités du système et des applications hébergées [Tâche : fréquence définie par l'organisation et/ou de manière aléatoire conformément au processus défini par l'organisation] et lorsque de nouvelles vulnérabilités affectant potentiellement le système sont identifiées et signalées ; b. Utiliser des outils et des techniques de surveillance des vulnérabilités qui facilitent l'interopérabilité entre les outils et automatiser certaines parties du processus de gestion des vulnérabilités en utilisant des normes pour :
c. Analyser les rapports d'analyse des vulnérabilités et les résultats de la surveillance des vulnérabilités ; d. Corriger les vulnérabilités légitimes [Tâche : délais de réponse définis par l'organisation] conformément à une évaluation organisationnelle des risques ; e. Partager les informations obtenues à partir du processus de surveillance des vulnérabilités et des évaluations de contrôle avec [Affectation : personnel ou rôles définis par l'organisation] pour aider à éliminer des vulnérabilités similaires dans d'autres systèmes ; et f. Utilisez des outils de surveillance des vulnérabilités qui incluent la capacité de mettre facilement à jour les vulnérabilités à analyser. |
| SC-5 | un. [Sélection : Protéger contre ; Limiter] les effets des types d'événements de déni de service suivants : [Affectation : types d'événements de déni de service définis par l'organisation] ; et b. Utilisez les contrôles suivants pour atteindre l'objectif de déni de service : [Affectation : contrôles définis par l'organisation par type d'événement de déni de service] . |
| SC-8 | Protéger la [Sélection (une ou plusieurs) : confidentialité ; intégrité] des informations transmises. |
| SC-13 | a. Déterminer la [Affectation : utilisations cryptographiques définies par l'organisation] ; et b. Implémentez les types de cryptographie suivants requis pour chaque utilisation cryptographique spécifiée : [Affectation : types de cryptographie définis par l'organisation pour chaque utilisation cryptographique spécifiée] . |
| SC-23 | Protégez l’authenticité des sessions de communication. |
| SI-3.A | Implémenter [Sélection (un ou plusieurs) : basée sur la signature ; non basés sur des signatures] mécanismes de protection contre les codes malveillants aux points d'entrée et de sortie du système pour détecter et éradiquer les codes malveillants. |
| SI-3.B | Mettez automatiquement à jour les mécanismes de protection contre les codes malveillants à mesure que de nouvelles versions sont disponibles, conformément à la politique et aux procédures de gestion de la configuration organisationnelle. |
| SI-10 | Vérifier la validité des entrées d'informations suivantes : [Affectation : entrées d'informations définies par l'organisation dans le système] . |
| SI-11.A | Générez des messages d'erreur qui fournissent les informations nécessaires aux actions correctives sans révéler d'informations qui pourraient être exploitées. |