什麼是 FISMA?
FISMA 是《聯邦資訊安全管理法》(Federal Information Security Management Act) 的縮寫。這項美國 (U.S.) 立法訂立了保護政府資訊和運作的準則及標準。必須達成這些標準才能符合 FISMA 法遵要求。
促進 FISMA 法遵的原動力在於降低聯邦資訊和資料的安全風險,同時管控聯邦政府在資訊安全方面的支出。為了引導、衡量並確保法規遵循,聯邦政府機構可使用本法案提供的標準來制定、記錄和實行一致的資訊安全計畫。
FISMA 法遵的要求及監督由美國國家標準與技術研究所(National Institute of Standards and Technology, NIST) 與美國行政管理和預算局(Office of Management and Budget’s, OMB) 掌管。
- NIST 負責制定及維護 FISMA 法遵的標準和準則,包括最低的安全要求。
- OMB 收集機構官員 (如資訊長和總監察長) 執行的年度審查資料,而後利用該資訊輔助監督職責,並擬定年度報告送交國會。
自法律頒布以來,FISMA 法遵已有所強化。OMB 現在要求機構必須即時向稽核人員提供系統資訊,以持續監控受 FISMA 規範的資訊系統。
所有聯邦政府機構的成員、承包商及任何參與政府資料操作的人員都必須遵守 FISMA;此條款包含與聯邦政府簽約合作的所有私人公司。
FISMA 概覽
FISMA 法遵為 2002 年國會通過之《電子化政府法》(E-Government Act) 的一環。FISMA 是美國史上第一部直接明定政府機構不僅應當將數位技術用於其營運當中,還必須實施安全措施以保護敏感資料的聯邦法律。
自 2002 年以來,FISMA 的適用範圍已擴大至管理聯邦計畫的州政府機構,以及與美國政府簽約合作的私人企業和服務供應商。未達到 FISMA 法遵要求可能會導致政府資金補助遭到削減或其他處罰。
為了應對日益精進的威脅和技術,美國國會於 2014 年修訂了 FISMA。2014 年更新的法案內容如下:
- 明確界定 OMB 在監督聯邦政府安全機構及其 IT 安全實踐方面的權力,並指示 OMB 修訂有關受聯邦政府機構資料外洩影響之個人的通知政策
- 將國土安全部 (DHS) 在以下方面的作用編入法典:管理聯邦民事機構實施資訊安全政策、監督機構是否有遵循這些政策,以及協助 OMB 制定這些政策
- 要求機構在發生重大資安事故及資料外洩事件時向國會報告,外加每年定期報告
- 簡化現有的 FISMA 報告以去除過多的報告,增訂重大資安事故的報告要求
FISMA 法遵
NIST 在三個主要出版文件中概述了實現 FISMA 法遵的諸多步驟:
- FIPS 199
聯邦資訊及資訊系統的安全分類標準 (Standards for Security Categorization of Federal Information and Information Systems) - FIPS 200
聯邦資訊及資訊系統的最低安全要求 (Minimum Security Requirements for Federal Information and Information Systems) - NIST 800 系列
資訊技術實驗室的研究、準則與電腦安全外展工作,以及與產、官、學界的合作活動 (Information Technology Laboratory’s research, guidelines, and outreach efforts in computer security and its collaborative activities with industry, government, and academic organizations)
FISMA 有何要求
NIST 訂定的 FISMA 法遵相關步驟包括:
- 機構必須針對實施的安全控制措施進行品質評估
- 資訊系統的處理必須經過授權
- 必須實施最低基準控制,並針對特定資訊系統設置安全控制措施
- 需正確識別並分類受保護的資訊
- 必須持續監控安全控制措施
此外,FISMA 法遵有七個主要要求。
要求一:驗證與認證
完成風險評估及制定系統安全計畫之後,FISMA 法遵要求計畫官員和機構長官每年執行審查,其目的是要確保實施有效的安全控制措施以減輕風險。
FISMA 驗證與認證是一個包含四個步驟的程序,內容詳述於 NIST SP 800-37 聯邦資訊系統的安全驗證與認證指南 (Guide for the Security Certification and Accreditation of Federal Information Systems)。確保 FISMA 法遵的四個步驟是:
- 啟動和規劃
- 驗證
- 認證
- 持續監控
授權完成後,機構長官即負起維護系統安全的責任,並為資料外洩和洩漏、未經授權存取或其他安全事故的不良影響全權負責。
要求二:持續監控
為了維持 FISMA 認證的效力,組織必須監控其選定的安全控制措施,同時記錄更新以反映系統的變動和修改。如果有做出任何重大變更,會觸發風險評估更新,可能還需進行重新驗證。
必須持續監控的活動包括:
- 設定管理
- 資訊系統元件的控制
- 安全控制措施
- 系統變更的安全影響分析 (如安全評等)
- 狀態報告
要求三:資訊系統盤點
為了達到 FISMA 法遵要求,機構和第三方供應商必須維護自身的資訊系統盤點清單,包括盤點清單中的系統與其他系統或網路間的所有介面細節。記錄中還必須包含非由機構操作或控制的資訊系統。NIST SP 800-18 制定聯邦資訊系統的安全計畫指南 (Guide for Developing Security Plans for Federal Information Systems) 中提供了資訊系統及其邊界的分組方式指示。
要求四:風險評估
FISMA 法遵的風險評估框架是由 FIPS 200 和 NIST SP 800-53 結合後衍生出來的。這些網路安全風險評估的目的是要判定現行的安全管控措施充足與否,或是否應該實施額外的控制措施。
一開始,FISMA 法遵的風險評估會先找出潛在的網路威脅、弱點和常見的攻擊向量(Attack Vector, 延伸閱讀:什麼是威脅向量)。確認風險所在之後,會將它們分別對應至其緩解控制措施。考量目前實施的安全控制措施,計算發生安全事故的可能性及其影響以確立風險。
要求五:風險分類
為了落實 FISMA 法遵,所有敏感資訊及資訊系統都必須依據其風險等級,進行必要的安全控制措施分類。NIST 的 FIPS 199 與 NIST SP 800-60 資訊及資訊系統類型與安全類別的對應指南 (Guide for Mapping Types of Information and Information Systems to Security Categories) 中提供了風險分類準則。
為了達到 FISMA 法遵要求,一定要遵守兩個當中較高的風險指標。也就是說,即使系統的機密和完整性的評等為低風險,但可用性被評為高風險,則系統仍會歸類為高風險。
要求六:安全控制措施
FISMA 法遵規定聯邦資訊系統需符合 FIPS 200 中定義的最低安全控制措施及保證要求,這些要求在 NIST SP 800-53 聯邦資訊系統的安全控制措施建議 (Recommended Security Controls for Federal Information Systems) 中有詳細的說明。各機構只能根據自身的風險分類實施其認為必要的控制措施。實施的安全控制措施及保證要求應記錄在組織的安全計畫中。
要求七:系統安全計畫 (System Security Plan, SSP)
根據 NIST SP-800-18 的說明,SSP 必須是一個需定期審查並更新行動計畫的動態文件,且應包含實施安全控制措施的流程、程序和里程碑。SSP 是安全驗證和認證的關鍵環節,經過分析和更新後,驗證機構會接受該 SSP,確認其描述的安全控制措施與 FIPS 199 和 FIPS 200 的要求一致。
誰必須遵循 FISMA?
FISMA 法遵要求不僅適用於所有聯邦政府機構,還適用於所有與聯邦政府簽約,為其提供商品或服務的私人企業,例如第三方供應商及其承包商。
自立法通過以來,FISMA 法遵要求已擴大包含管理聯邦計畫 (如 Medicare 和 Medicaid, 聯邦醫療保險與補助) 的州政府機構。
FISMA 常見問答集
什麼是聯邦資訊系統?
聯邦資訊系統(Federal Information System) 係指經過組織的資訊資源,用於收集、處理、維護、使用、分享、散播或處置由聯邦政府機構的承包商或代表聯邦政府機構的其他組織使用或操作的資訊。
FISMA 法遵有什麼額外的好處嗎?
FISMA 法遵潛在的額外好處包括:
- 在爭取聯邦政府機構的新業務時,可創造競爭優勢
- 持續監控
- 以具有成本效益的方式即時消除弱點
- 強化資料安全防護,防止資料外洩
- 改進事故回應計畫
- 提高敏感聯邦資訊的安全性
不遵守 FISMA 會有什麼懲罰?
政府機構或相關私人公司若未遵守 FISMA 法遵要求,可能面臨三個最嚴重的懲罰是:
- 禁止未來再與聯邦政府簽約
- 失去聯邦政府的資金補助
- 政府聽證會
什麼是 FedRAMP,它與 FISMA 有何關聯?
雲端服務供應商(Cloud Service Provider, CSP;例如Amazon Web Services,AWS / Google Cloud Platform,GCP / 微軟Azure…等) 和為聯邦政府機構工作的組織均須遵守 FISMA 法遵和 聯邦政府風險與授權管理計畫 (FedRAMP) 法遵要求。FedRAMP 是專為 CSP 設計的安全驗證。FedRAMP 和 FISMA 法遵規定 CSP 需遵循 NIST SP 500-83 中說明的準則。
FedRAMP 與 FISMA 法遵的主要差異在於:
- FISMA 法遵是由政府機構或第三方進行評估
- FedRAMP 法遵是由 3PAO (Third-Party Assessment Organization, 第三方評估組織) 進行評估
FISMA 法遵提升整體安全態勢
投資 FISMA 安全控制措施及保證要求,可確保與聯邦政府合作的機構和組織達到強制性的 FISMA 法遵要求並改進其整體安全態勢。許多不同產業已紛紛採納 NIST 發佈的準則做為最佳安全實踐標準,使得遵循 FISMA 法遵準則的組織也得以從中受益。