Длинное название | Закон об усилении информационной безопасности федерального правительства, в том числе посредством требования о разработке обязательных стандартов управления рисками информационной безопасности. |
---|---|
Сокращения (разговорный) | FISMA |
Псевдонимы | Закон об электронном правительстве 2002 г. |
Принят | 107-м Конгрессом США |
Действует | 17 декабря 2002 г. |
Цитаты | |
Общественные закон | 107-347 |
Статуты | 116 Стат. 2899 или 116 Стат. 2946 |
Кодификация | |
Акты отменены | Закон о компьютерной безопасности 1987 года |
Изменены названия | 44 USC: Public Printing and Documents |
USC Разделы созданы | 44 USC гл. 35, подч. III § 3541 и последующие |
U.S.C. поправки разделов |
|
Законодательная история | |
| |
Основные поправки | |
Изменены Федеральным законом о модернизации информационной безопасности 2014 года |
Федеральным законом об управлении информационной безопасностью 2002 года (FISMA, 44 USC § 3541 и последующие) - это федеральный закон США, принятый в 2002 г. как Раздел III Закона об электронном правительстве 2002 г. (Pub.L. 107–347, 116 Stat. 2899 ). В законе признается важность информационной безопасности для интересов экономики и национальной безопасности США. Закон требует, чтобы каждое федеральное агентство разработало, задокументировало и реализовало общегосударственную программу по обеспечению информационной безопасности для информации и информационных систем, поддерживающих операции. и активы агентства, в том числе предоставленные или управляемые другим агентством, подрядчиком или другим источником.
FISMA привлекло внимание федерального правительства к кибербезопасности и прямо подчеркнули «политику, основанную на оценке рисков, для обеспечения рентабельной безопасности». FISMA требует, чтобы должностные лица программы агентства, руководители информационных служб и генеральные инспекторы (IG) проводили ежегодные обзоры программы информационной безопасности агентства и сообщали о результатах в Управление и бюджет (OMB). OMB использует эти данные для оказания помощи в выполнении своих надзорных функций и для подготовки этого годового отчета для Конгресса о соблюдении агентством закона. В 2008 финансовом году федеральные агентства потратили 6,2 миллиарда долларов на обеспечение общих государственных инвестиций в информационные технологии в размере примерно 68 миллиардов долларов, или около 9,2 процента от общего портфеля информационных технологий.
В этот закон были внесены поправки Федеральным агентством по информационной безопасности. Закон о модернизации 2014 года (Pub.L. 113–283 ), иногда известный как FISMA2014 или FISMA Reform. FISMA2014 вычеркнул подглавы II и III главы 35 раздела 44 Кодекса США, добавив к нему текст нового закона в новом подразделе II (44 USC § 3551 ).
FISMA возлагает определенные обязанности на федеральные агентства, Национальный институт стандартов и технологий (NIST) и Управление управления и бюджета (OMB) с целью усиления систем информационной безопасности. В частности, FISMA требует, чтобы глава каждого агентства внедрил политику и процедуры для экономически эффективного снижения рисков безопасности информационных технологий до приемлемого уровня.
Согласно FISMA, термин «информационная безопасность» означает защиту информации и информационных систем от несанкционированный доступ, использование, раскрытие, нарушение, изменение или уничтожение с целью обеспечения целостности, конфиденциальности и доступности.
В соответствии с FISMA, NIST отвечает за разработку стандартов, руководств, а также связанных методов и технологий для обеспечения адекватной информационной безопасности для всех операций агентства и активы, за исключением систем национальной безопасности. NIST тесно сотрудничает с федеральными агентствами, чтобы улучшить их понимание и внедрение FISMA для защиты своей информации и информационных систем, а также издает стандарты и руководства, которые обеспечивают основу для сильных программ информационной безопасности в агентствах. NIST выполняет свои уставные обязанности через Отдел компьютерной безопасности Лаборатории информационных технологий. NIST разрабатывает стандарты, показатели, тесты и программы проверки для продвижения, измерения и проверки безопасности информационных систем и служб. В NIST размещено следующее:
FISMA определяет структуру для управления информационной безопасностью, которая должна соблюдаться для всех информационные системы, используемые или управляемые агентством федерального правительства США в исполнительной или законодательной ветвях власти, либо подрядчиком или другой организацией от имени федерального агентства в этих ветвях. Эта структура дополнительно определяется стандартами и руководящими принципами, разработанными NIST.
FISMA требует, чтобы агентства имели инвентаризацию информационных систем. Согласно FISMA, глава каждого агентства должен разработать и вести реестр основных информационных систем (включая основные системы национальной безопасности), эксплуатируемых или находящихся под контролем такого агентства. Идентификация информационных систем в реестре согласно этому подразделу должна включать идентификацию. интерфейсов между каждой такой системой и всеми другими системами или сетями, включая те, которые не управляются или не находятся под контролем агентства. Первый шаг - определить, что составляет рассматриваемую «информационную систему ». Нет прямого отображения компьютеров в информационную систему; скорее, информационная система может быть совокупностью отдельных компьютеров, предназначенных для общей цели и управляемых одним и тем же владельцем системы. NIST SP 800-18, редакция 1, Руководство по разработке планов безопасности для федеральных информационных систем предоставляет руководство по определению границ системы .
Вся информация и информационные системы должны быть классифицированы на основе целей обеспечения соответствующих уровней информационной безопасности в соответствии с диапазоном уровней риска Первый обязательный Стандарт безопасности, требуемый законодательством FISMA, FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем», содержит определения категорий безопасности. Рекомендации предоставлены NIST SP 800-60 «Руководство по сопоставлению типов информации и информационных систем с категориями безопасности».
Общая категоризация системы FIPS 199 является «высшей точкой» для оценки воздействия любого критериев для типов информации, находящихся в системе. Например, если один тип информации в системе имеет рейтинг «Низкий» для «конфиденциальности», «целостности» и «доступности», а другой тип имеет рейтинг «Низкий» для «конфиденциальности» и «доступности», но оценка «Умеренный» для «целостности», тогда уровень воздействия для «целостности» также становится «Умеренным».
Федеральные информационные системы должны соответствовать минимальным требованиям безопасности. Эти требования определены во втором обязательном стандарте безопасности, требуемом законодательством FISMA, «Минимальные требования безопасности для федеральной информации и информационных систем». Организации должны соответствовать минимальным требованиям безопасности, выбирая соответствующие меры безопасности и требования гарантии, как описано в Специальной публикации NIST 800-53, «Рекомендуемые меры безопасности для федеральных информационных систем». Процесс выбора соответствующих средств управления безопасностью и требований доверия для информационных систем организации с целью достижения адекватной безопасности - это многогранная деятельность, основанная на оценке рисков, с участием руководства и эксплуатационного персонала в организации. Агентства могут гибко применять базовые меры безопасности в соответствии с инструкциями по адаптации, приведенными в специальной публикации 800-53. Это позволяет агентствам настраивать меры безопасности, чтобы они более точно соответствовали требованиям своей миссии и операционной среде. Выбранные или запланированные средства управления должны быть задокументированы в Плане безопасности системы.
Сочетание FIPS 200 и специальной публикации NIST 800-53 требует базового уровня безопасности для всех федеральных информационных и информационных систем. Оценка рисков агентства подтверждает набор средств контроля безопасности и определяет, необходимы ли какие-либо дополнительные средства контроля для защиты операций агентства (включая миссию, функции, имидж или репутацию), активов агентства, отдельных лиц, других организаций или страны. Полученный набор мер безопасности устанавливает уровень «должной осмотрительности» для федерального агентства и его подрядчиков. Оценка риска начинается с выявления потенциальных угроз и уязвимостей и сопоставления реализованных элементов управления с отдельными уязвимостями. Затем определяется риск путем расчета вероятности и воздействия того, что любая данная уязвимость может быть использована, с учетом существующих средств контроля. Кульминация оценки риска показывает рассчитанный риск для всех уязвимостей и описывает, следует ли принять риск или снизить его. В случае смягчения за счет реализации элемента управления необходимо описать, какие дополнительные меры безопасности будут добавлены в систему.
NIST также инициировал программу автоматизации информационной безопасности (ISAP) и протокол автоматизации содержимого безопасности (SCAP), которые поддерживают и дополняют подход к достижению согласованных и экономичных оценок контроля безопасности.
Агентства должны разработать политику в отношении процесса планирования безопасности системы. NIST SP-800-18 вводит понятие плана безопасности системы. Планы безопасности системы - это живые документы, которые требуют периодической проверки, модификации, а также планов действий и контрольных точек для реализации мер безопасности. Должны быть установлены процедуры, определяющие, кто проверяет планы, поддерживает план в актуальном состоянии и следит за запланированными мерами безопасности.
План безопасности системы является основным входом в процесс сертификации и аккредитации системы безопасности. В процессе сертификации и аккредитации безопасности план безопасности системы анализируется, обновляется и принимается. Агент по сертификации подтверждает, что меры безопасности, описанные в плане безопасности системы, соответствуют категории безопасности FIPS 199, определенной для информационной системы, и что идентификация угрозы и уязвимости и первоначальное определение риска идентифицированы и задокументированы в плане безопасности системы, риск оценка или эквивалентный документ.
После того, как документация системы и оценка рисков завершены, средства управления системой должны быть проверены и сертифицированы для надлежащего функционирования. По результатам проверки информационная система проходит аккредитацию. Процесс сертификации и аккредитации определен в NIST SP 800-37 «Руководство по сертификации безопасности и аккредитации федеральных информационных систем». Аккредитация безопасности - это официальное управленческое решение, данное высшим должностным лицом агентства, чтобы разрешить работу информационной системы и прямо принять риск для операций агентства, активов агентства или отдельных лиц на основе реализации согласованного набора мер безопасности. В соответствии с требованиями Циркуляра A-130 OMB, Приложение III, аккредитация безопасности обеспечивает форму контроля качества и ставит перед менеджерами и техническим персоналом на всех уровнях задачу реализовать наиболее эффективные меры безопасности, возможные в информационной системе, с учетом требований миссии, технические ограничения, операционные ограничения и ограничения по стоимости / графику. Аккредитовывая информационную систему, должностное лицо агентства принимает на себя ответственность за безопасность системы и полностью отвечает за любые неблагоприятные воздействия на агентство в случае нарушения безопасности. Таким образом, ответственность и подотчетность являются основными принципами, характеризующими аккредитацию безопасности. Важно, чтобы должностные лица агентства располагали максимально полной, точной и заслуживающей доверия информацией о состоянии безопасности своих информационных систем, чтобы принимать своевременные, достоверные, основанные на оценке риска решения о том, разрешать ли работу этих систем.
Информация и подтверждающие доказательства, необходимые для аккредитации безопасности, разрабатываются во время подробного анализа безопасности информационной системы, обычно называемого сертификацией безопасности. Сертификация безопасности - это комплексная оценка управленческих, эксплуатационных и технических средств управления безопасностью в информационной системе, проводимая в поддержку аккредитации безопасности, для определения степени, в которой средства управления реализованы правильно, работают по назначению и дают желаемый результат с соблюдение требований безопасности для системы. Результаты сертификации безопасности используются для повторной оценки рисков и обновления плана безопасности системы, тем самым обеспечивая фактическую основу для уполномоченного должностного лица для вынесения решения об аккредитации безопасности.
Все аккредитованные системы должны контролировать выбранный набор мер безопасности, а системная документация обновляется с учетом изменений и модификаций системы. Существенные изменения профиля безопасности системы должны вызвать обновленную оценку рисков, а элементы управления, которые были значительно изменены, могут нуждаться в повторной сертификации.
Непрерывный мониторинг включает в себя управление конфигурацией и контроль компонентов информационной системы, анализ воздействия на безопасность изменений в системе, постоянную оценку мер безопасности и отчетность о состоянии. Организация устанавливает критерии выбора, а затем выбирает для оценки подмножество мер безопасности, используемых в информационной системе. Организация также устанавливает график контрольного мониторинга, чтобы обеспечить адекватный охват.
Эксперты по безопасности Брюс Броуди, бывший федеральный директор по информационной безопасности, и Алан Паллер, директор по исследованиям в Институте SANS, охарактеризовали FISMA как " продуманный с благими намерениями, но в корне ошибочный инструмент ", утверждая, что методология соответствия и отчетности, предписанная FISMA, измеряет планирование безопасности, а не измерение информационной безопасности. Предыдущий главный технический директор GAO Кейт Роудс сказал, что FISMA может помочь в обеспечении безопасности государственных систем, но эта реализация - это все, и если специалисты по безопасности будут рассматривать FISMA только как контрольный список, ничего не получится.