NIH Contract Compliance:  FISMA Requirements

NCURA Region 1 ConferenceMay 3, 2016

Christine Chateauneuf, Partners HealthCareJennifer Mahoney, McLean HospitalMary Mitchell, Partners HealthCare

Department Name 2

What is FISMA?

• Federal Information Security Management Act of 2002 (FISMA)• Recognized economic & national security importance of information security.• Required each federal agency to develop, document, and implement agency‐

wide information security programs for systems that support agency operations and those provided or managed by a federal contractor.

• Led to development and inclusion of “FISMA”‐security clauses (FAR & agency‐specific) in federal contracts.• OMB 2006:  “Agencies must ensure identical, not equivalent, security 

procedures.  For example, annual reviews, risk assessments, security plans, control testing, contingency planning & certification and accreditation must…meet guidance from NIST.”

Department Name 3

What is FISMA? ‐ continued

• Not all FISMA requirements are the same:  linked to project’s classification.

• Grantees exempt from FISMA unless they collect, store, process, transmit or use information on behalf of the sponsoring agency.

Department Name 4

Case  ‐ Part 1

An Academic Medical Center (AMC) is awarded an NIH contract to serve as one of multiple sites contributing to and developing a national biospecimen database that will be available to researchers throughout the country.  

The contract calls for the site to recruit subjects, collect Protected Health Information (PHI) and related genetic information from subjects, secure consent, and provide information to the NIH Institute sponsoring the contract for inclusion in a searchable national database to be developed and launched by the NIH Institute.  

The contract provides support for the above activities in addition to biospecimencollection and storage; development of a database to manage the collection locally and facilitate data submission to the Institute’s database; and provision of samples in response to requests from researchers.

The RFP for the contract identified Federal Information Security Management Act (FISMA) terms:  FAR clause 39.201 and HHSAR clauses 352.239‐70 through 352.239‐74.  

Department Name 5

Case – Part 1 continued

The RFP required submission of a draft data security plan and identified the security categorization as low based on data confidentiality, integrity and availability.

Ten months later after budget negotiations that reduced the budget significantly, the contract was awarded and IRB approval of the project secured.  From an IS perspective the contract included the low, non‐sensitive designation and the relevant FISMA clauses which required annual security technical reports, employee rosters, and training of individuals with access to the data, systems, and computers.

Prior to execution of the contract, without going into details the center sponsored research office asked the PI if he was able to fulfill the contract’s requirements.  The PI responded yes; the AMC’s authorized signatory signed the contract. 

Department Name 6

Discussion Questions

• From a pre‐award perspective, any red flags in the RFP?

• Should IS staff have been consulted about the security plan?  About the HHS clause requirements?

• What about consulting NIH Institute prior to proposal submission or FISMA information?

• What about sending an exception letter with proposal?

• You receive the contract and it has all of the IS clauses identified in the RFP with the original security designation.  What should be the next steps?

Department Name 7

HHS FISMA Contract Clauses

• HHS AR 352.239‐70:  Standard for security configurations

• HHS AR 352.239‐71:  Standard for encryption language

• HHS AR 352.239‐72:  Security requirements for Federalinformation technology resources

• HHS AR 352.239‐73:  Electronic information and technology accessibility

• HHS AR 352.239‐74:  Electronic information and technology accessibility

Department Name 8

HHS AR 352.239‐70:  Standard for Security Configurations

• Specified directly in the contract• http://usgcb.nist.gov/

• Make sure you are doing the basics

• May not exist for your specific Operating Systemand Applications• Good use case for what? • Exception Letter!

• May indicate you need a standard where one is not identified (best practice)• National Institute of Standards and Technology (NIST) recommendations

• https://benchmarks.cisecurity.org/downloads/latest/

Department Name 9

• Account Policies– Length – Password Complexity– Lockouts– Change Requirements

• Account Access– General User vs. System Administrator

• Anti‐virus Software – Malware Protection

Standard for Security Configurations (Continued)The Basics +

9

Department Name 10

• Screen Savers (In‐Activity Timeouts)• Patching

– Systems require configuration updates» Maintain security posture» Add new functionality

– Microsoft releases patches on “Patch Tuesday!”

Standard for Security Configurations (Cont’d)The Basics +

10

Locked Workstation

Department Name 11

• Encryption is a security process that scrambles data into an unreadable format.• Once a device is encrypted its data are readable only by the person who knows the correct decoding key or password. – At‐Rest

» Where it is electronically stored» E.g. on hard drives, thumb drives, backups

– In‐Transit» While it is electronically sent» E.g. from user A to user B, from one server to another server, etc. 

• Encryption strength is the complexity of the process used to scramble the data;  and therefore the ease in which it can be unscrambled!– Check the contract! There may be requirements for the encryption level (key strength) 

that is above & beyond what you already do. (128 Bit, 256 bit, FIPS 140‐2=256 bit Advanced Encryption Strength (AES))

– Complicated Topic!

HHS AR 352.239‐71:  Standard for Encryption Language

Department Name

Vendor

From Compromise to ExfiltrationHHS AR 352.239‐71:  Standard for Encryption Language

Work

Home

??????

Department Name

PersonnelSecurity

ContingencyPlanning

ConfigurationManagement

IT Certify&

Accredit

As

Risk Assessments

Roles & Responsibilities

Documentation

NIH & HHS TrainingBackground ChecksTerminations

Develop&AnnualTesting

Hardware/SoftwareInventory

Initial Eval (FIPS)&Annually

Principal InvestigatorITSystem Administrators

Initial

&

Annual

Security

Plans +

HHS AR 352.239‐72: Security Requirements for Federal Information Technology Resources

Department Name

HHS AR 352.239‐73 and 74:  Electronic Information and Technology Areas

• Clause specifies requirements for technical product evaluation as it pertains to personnel with disabilities.  

• If contract includes personnel with disabilities, that the products must meet requirements for access, use, etc. 

• Assessment documents and templates available to make this determination.

• Work with your contracting officer at NIH for any clarification on Section 508 and the Rehabilitation Act.

Server

Department Name 15

Case – Part 2 & Discussion Questions

Work begins on the project.  The PI submits the names of staff directly supported by the project to the NIH Institute for approval.  He also submits confidentiality and other forms required under the contract.  No one completes the NIH training because they completed the AMC’s HIPAA and Privacy training.

Discussion Questions

• Do you think the PI has complied with all employee‐related contract requirements?  Anything missing?

• What about individuals not directly supported by the contract?  

AMC/University Leadership, HR, IT

Department Name 16

FISMA Pre‐Award Process

• PI, Department Administrator & Pre‐Award GA review RFP for Information Security (IS) terms• FAR Clause 39.201• HHSAR Clauses 352.239‐70 through 352.239.74• “Section 508”

• Consult IT department and/or IS• Often non‐standard requirements• Department may not have technical expertise to meet requirements• Proposal may require submission of initial self‐assessment and/or risk 

assessment or system certification

• Consider including FISMA compliance costs in budget• Annual technical reports• Annual risk assessment• Background checks for new employees, etc.

Department Name 17

FISMA Pre‐Award Process ‐ continued

• Clarify security classification with sponsor

• Consult IT department and/or IS• Departments cannot provide system information security accreditation

• Include exception letter with proposal to negotiate/clarify FISMA terms before contract execution.

• Prior to contract execution• Confirm with PI and central IT and/or IS ability to fulfill  FISMA terms.• Submit all required documents related to system.• Submit all required documents related to personnel & training.

Department Name 18

FISMA Post‐Award Process

• PI is responsible for ensuring personnel & training requirements are met• Existing employees with any level of system or data access complete NIH 

and institutional training and for maintaining documentation.• Submitting employee rosters, securing signatures to confidentiality 

agreements, etc.• Requirements, forms, submission methods may differ contract to 

contract• Department employees go through termination process & sponsor notified• Onboarding & training of new employees prior to granting access

Department Name 19

Contract:• Security Plan• IT Certification and Accreditation• Risk Assessment• FIPS Assessment• Contingency Plan Testing

• Which would require development of Contingency Plan previously

• NIST– Annual Inventory– Property SOP– System Configurations– Vulnerability Scans and Risk 

Assessment» Remediation requires Plan of Action and Milestones

FISMA Post‐Award Process• Annual Reporting – in addition to technical (scientific) reporting

19

Department Name 20

Personnel Requirements

• Staffing Changes‐ Notification requirements for new and departing employees‐ Submitting employee rosters

• Process On‐boarding / Off‐boarding‐ Departing employees go through process for on‐boarding and terminating ‐ Sponsor notified‐ On‐boarding and training of new employees prior to granting access

• Training‐ Review contract for list of required training‐ Training required before granting access

• Non‐Disclosure Agreements‐ Securing signatures to confidentiality agreements

• Background Investigation‐ Suitability designation‐ What does your contract require

Department Name 21

Case – Part 3  and Discussion Questions

One of the project’s Research Assistants responded to a phishing incident and provided his credentials – user name and password ‐‐ for the localsurvey database which contains PHI on all prospective and existing subjects. The breach was not discovered until some time later as part of a routine IS audit.  The matter was brought to the attention of the PI who went to the AMC’s Compliance Officer who brought in the AMC’s Privacy Officer.  

Because the incident involved a project supported by an NIH contract, the Compliance Officer brought in the head of contracts in the central sponsored research office to provide advice, next steps, etc.

Discussion Question

• What advice would you give to the Compliance Officer re the contract?

Department Name 22

Sample Phishing Message

Per policy, certain internet browsing activities are not allowed on the  Network. We monitor and restrict certain website access due to content. The filter system flagged your computer as one that has viewed or logged into websites hosting restricted content. Disciplinary action may be taken if it inappropriate access is determined. Please login with your network credentials immediately to review your logs to see which websites triggered this alert. Web Security Logs‐‐‐‐‐Do not reply to this email. This email was automatically generated to inform you of a violation of our security policee.

Unauthorized Web Site Access

System Administrator sysadmin@webaccess‐alert.netWednesday, March 9, 2016, 1:00 PMTo: John, Smith

AS

Department Name 23

Recommended Contract/Sponsored Research Office Advice & Actions

• Review contract for incident reporting requirements

• Report to sponsor

• If contract silent on how institution should respond to breach, ask sponsor what it’s breach requirements are – for example, subject notification

• Inform sponsor of HIPAA status:  is your institution a covered entity?

Department Name 24

Recommended Contract/Sponsored Research Office Advice & Actions Cont’d

• Advise PI to notify IRB of unanticipated event for OHRP reporting

• Determine whether work will be suspended and, if necessary, adjust charges accordingly

• Keep sponsor apprised throughout investigation

• Review any IS contract amendments with IT and IS office not just PI prior to execution.

Department Name 25

Recommended Human Subjects Actions

• Review approved IRB Protocol and Consent documentation to determine how data was to be handled (stored, transport, backups, etc)

• Advise PI to notify IRB of unanticipated event

• Determine whether work will be suspended/adjust charges

• Review data elements to identify notification requirements (Name, SSN, MRN#, genetics )

• Determine whether the IRB Protocol and Consent need to be amended

• Is de‐identification applicable?

Department Name 26

Road to recovery from a data breach

Discovery

MitigationActivation and Containment

Monitoring

Lessons Learned

Closure

1

6

2 3

4

5

Department Name 27

Recommended IS Actions

• Interview the Employee who responded to Phishing Incident

• Technically validate their credentials were changed on E‐Mail, Workstations and Databases at the Institution

• Recommend credentials be changed for non‐work accounts• Request E‐Mail review by IT as that is how individual was 

“Phished”• Identify where all data in compromised Survey Database is stored 

(remember our chart‐Home? Office? Media? Cloud? Backups?)• Review all data at risk• Separate data elements to determine the amount of subjects 

compromised ….

• Document actions you’ve taken for Incident Response Process

Department Name 28

Corrective Action Plan

• Develop CAP to meet your FISMA compliance & related issue(s)• Steps taken to remediate (including system changes, if applicable)• Changes to policies and procedures• Development of SOP’s• Education and training• Auditing and monitoring• Prevention: how to prevent something from occurring again.  Technical or 

Administrative or both?

• Develop internal work plan to meet CAP deadlines and requirements

• Communicate CAP to sponsor

Department Name 29

It Takes A Village To Comply With FISMA!!!

Department Name 30

Summary….Points to Remember• It takes a village to comply with FISMA!

• Consult more than PI to determine whether you can comply.• IT/IS• Compliance• Privacy Office

• Know your institution’s HIPAA classification:  covered entity?  hybrid entity? to understand data safeguards.

• Consider institutional risks• Do you have the appropriate institutional IT infrastructure? • Do you have the appropriate policies/SOPs in place? 

• FISMA requirements typically go beyond what most research institutions already have in place.

• How will you handle financially?• Ongoing requirements throughout project’s lifecycle.

• Annual security risk assessment & reporting• Employee onboarding/offboarding• Refresher training

Department Name 31