Définition et objectif

FIPS 199 définit les critères de catégorisation des systèmes d'information en fonction du niveau d'impact associé à la perte potentielle de confidentialité, d'intégrité ou de disponibilité de ces systèmes d'information ou des informations qu'ils traitent, stockent ou transmettent. Cette catégorisation est ensuite utilisée comme point de départ pour que les agences fédérales déterminent les mesures de sécurité et les contrôles appropriés pour leurs systèmes d'information.

FIPS 199 est conçu pour aider les agences fédérales à répondre aux exigences de FISMA et fournir un cadre commun et une compréhension commune pour exprimer la sécurité. Cela favorise une gestion et une supervision efficaces des programmes de sécurité de l'information et un reporting cohérent à l'Office of Management and Budget (OMB) et au Congrès sur l'adéquation et l'efficacité des politiques, procédures et pratiques de sécurité de l'information.

Organisme de régulation

FIPS 199 a été publié par le National Institute of Standards and Technology (NIST), qui est une agence du département du Commerce des États-Unis. En vertu de FISMA, le NIST a été chargé de développer et de maintenir des normes et des lignes directrices pour la sécurité de l'information, y compris les publications FIPS.

Dernière mise à jour

FIPS 199 a été publié en février 2004 et n'a pas subi de mises à jour majeures.

S'applique à

FIPS 199 s'applique aux agences fédérales qui doivent protéger les informations et les systèmes d'information qui soutiennent leurs opérations et leurs actifs.

Contrôles et exigences

FIPS 199 ne fournit pas lui-même une liste spécifique de contrôles ou d'exigences de sécurité. Au lieu de cela, il aide les organisations à catégoriser les systèmes d'information en fonction de l'impact potentiel qu'aurait une perte de confidentialité, d'intégrité et/ou de disponibilité sur les opérations, les actifs ou les individus de l'organisation. Les trois niveaux d'impact sont : Faible, Modéré et Élevé. En fonction du niveau d'impact, les organisations peuvent ensuite appliquer l'ensemble approprié de contrôles de sécurité de base dans la publication spéciale 800-53 du NIST.

Veuillez vous référer à la documentation officielle de FIPS 199 pour plus d'informations.

Type d'audit, fréquence et durée

Les agences fédérales soumises à FIPS 199 sont également soumises à FISMA, qui exige que l'inspecteur général ou un auditeur externe indépendant pour chaque agence fédérale effectue une évaluation indépendante afin de déterminer l'efficacité des politiques, procédures et pratiques de sécurité de l'information soutenant les programmes de sécurité de l'information de leur agence chaque année.

Les agences doivent inclure les résultats de ces évaluations dans leurs rapports annuels et les soumettre à l'OMB. L'OMB est ensuite tenu de résumer les résultats dans des rapports annuels au Congrès.