Niektóre obszary programu bezpieczeństwa IRS nie są zgodne z przepisami FISMA

przez Jasona Bramwella

Nowy raport Głównego Inspektora Skarbowego ds. Administracji Podatkowej (TIGTA) przewiduje, że do czasu podjęcia przez IRS działań mających na celu pełne wdrożenie wszystkich jedenastu obszarów programu bezpieczeństwa, objętych ustawą federalną o zarządzaniu bezpieczeństwem informacji z 2002 r. (FISMA)”, dane podatników będą nadal narażone na niewłaściwe wykorzystanie, modyfikację lub ujawnienie – być może bez ich wykrycia”.

W ramach FISMA, która została ustanowiona w celu wzmocnienia bezpieczeństwa informacji i systemów w agencjach rządu federalnego, Biura Inspektorów Generalnych są zobowiązane do przeprowadzania corocznej niezależnej oceny programów i praktyk każdej agencji federalnej w zakresie bezpieczeństwa informacji.

W Generalnym Inspektorze Skarbowym Administracji PodatkowejFederalna ustawa o zarządzaniu bezpieczeństwem informacji za rok podatkowy 2013 , TIGTA poinformowała, że IRS nie spełnia wymogów FISMA w dwóch z jedenastu obszarów programu bezpieczeństwa: zarządzaniu konfiguracją oraz zarządzaniu tożsamością i dostępem.

Według TIGTA te dwa obszary nie osiągnęły poziomu wydajności określonego przez Departament Bezpieczeństwa Wewnętrznego (DHS) FY 2013 Inspector General Federal Information Security Management Act Reporting Metrics ze względu na brak większości atrybutów określonych przez DHS lub ich nieskuteczne działanie zgodnie z przeznaczeniem.

Chociaż ogólnie rzecz biorąc, według TIGTA trzy obszary programu bezpieczeństwa – reagowanie na incydenty i raportowanie, szkolenia z zakresu bezpieczeństwa i zarządzanie zdalnym dostępem – nie były w pełni skuteczne z powodu braku jednego atrybutu programu lub nie działały zgodnie z przeznaczeniem.

Pozostałe sześć obszarów programu bezpieczeństwa obejmowało wszystkie atrybuty programu określone w metrykach raportowania FISMA. Te obszary programu bezpieczeństwa zostały uwzględnione:

  1. Zarządzanie ciągłym monitorowaniem
  2. Zarządzanie ryzykiem
  3. Plan działania i kamienie milowe
  4. Planowanie awaryjne
  5. Systemy wykonawcy
  6. Planowanie kapitału bezpieczeństwa

“IRS gromadzi i przechowuje znaczną ilość danych osobowych i finansowych dotyczących każdego podatnika”, stwierdza raport. “Jako depozytariusze informacji o podatnikach, IRS jest zobowiązany do ochrony poufności tych wrażliwych informacji przed nieautoryzowanym dostępem lub utratą. W przeciwnym razie podatnicy mogą być narażeni na naruszenie prywatności i straty finansowe lub szkody wynikające z kradzieży tożsamości lub innych przestępstw finansowych”.

TIGTA stwierdziła, że nie zawiera zaleceń w ramach corocznej oceny FISMA i składa jedynie sprawozdania na temat poziomu wyników osiągniętych przez IRS z wykorzystaniem wytycznych wydanych przez DHS na odpowiedni okres oceny FISMA.