Jump to content

Федеральный закон об управлении информационной безопасностью 2002 г.

(Перенаправлено с FISMA )

Федеральный закон об управлении информационной безопасностью 2002 г.
Большая печать Соединенных Штатов
Длинное название Закон об усилении информационной безопасности федерального правительства, в том числе посредством требования разработки обязательных стандартов управления рисками информационной безопасности.
Сокращения (разговорный) ФИСМА
Прозвища Закон об электронном правительстве 2002 г.
Принят 107- й Конгресс США
Эффективный 17 декабря 2002 г.
Цитаты
Публичное право 107-347
Уставы в целом 116  Stat.  2899 aka 116 Stat. 2946
Кодификация
Названия изменены
ОСК Созданы разделы 44 УСК гл. 35, подп. III § 3541 и последующие.
В разделы ОСК внесены изменения
Законодательная история
Основные поправки
Заменен Федеральным законом о модернизации информационной безопасности 2014 г.

Федеральный закон об управлении информационной безопасностью 2002 года ( FISMA , 44 USC   § 3541 и далее ) — это федеральный закон США, принятый в 2002 году как Раздел III Закона об электронном правительстве 2002 года ( Pub. L. Tooltip Public Law (United Штаты)   107–347 (текст) (PDF) , 116 Stat.   2899 ). Закон признал важность информационной безопасности для интересов экономики и национальной безопасности Соединенных Штатов. [1] Закон требует, чтобы каждое федеральное агентство разработало, документировало и реализовало общеведомственную программу по обеспечению информационной безопасности информации и информационных систем , которые поддерживают операции и активы агентства, включая те, которые предоставляются или управляются другим агентством, подрядчиком или другой источник. [1]

FISMA привлекла внимание федерального правительства к кибербезопасности и прямо подчеркнула «политику, основанную на рисках, для обеспечения экономически эффективной безопасности». [1] FISMA требует от должностных лиц программы агентства, директоров по информационным технологиям и генеральных инспекторов (IG) проводить ежегодные проверки программы информационной безопасности агентства и сообщать о результатах в Управление управления и бюджета (OMB). OMB использует эти данные для оказания помощи в выполнении своих надзорных функций и для подготовки ежегодного отчета Конгрессу о соблюдении агентством закона. [2] В 2008 финансовом году федеральные агентства потратили 6,2 миллиарда долларов на обеспечение общего объема государственных инвестиций в информационные технологии в размере примерно 68 миллиардов долларов, или около 9,2 процента от общего портфеля информационных технологий. [3] В этот закон были внесены поправки Федеральным законом о модернизации информационной безопасности 2014 года ( Pub. L. Tooltip Public Law (United States)   113–283 (текст) (PDF) ), иногда известным как FISMA2014 или FISMA Reform. FISMA2014 отменил подразделы II и III главы 35 раздела 44 Кодекса США, внеся в него поправки, включив в них текст нового закона в новом подразделе II ( 44 USC   § 3551 ).

Цель акта

[ редактировать ]

FISMA возлагает конкретные обязанности на федеральные агентства , Национальный институт стандартов и технологий (NIST) и Управление управления и бюджета (OMB) в целях укрепления систем информационной безопасности. В частности, FISMA требует от главы каждого агентства внедрения политик и процедур, позволяющих экономически эффективно снизить риски безопасности информационных технологий до приемлемого уровня. [2]

Согласно FISMA, термин « информационная безопасность» означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения целостности, конфиденциальности и доступности.

Реализация FISMA

[ редактировать ]

В соответствии с FISMA, NIST отвечает за разработку стандартов, руководств и связанных с ними методов и технологий для обеспечения адекватной информационной безопасности для всех операций и активов агентства, за исключением систем национальной безопасности. NIST тесно сотрудничает с федеральными агентствами, чтобы улучшить их понимание и внедрение FISMA для защиты своей информации и информационных систем, а также публикует стандарты и рекомендации, которые обеспечивают основу для надежных программ информационной безопасности в агентствах. NIST выполняет свои уставные обязанности через Отдел компьютерной безопасности Лаборатории информационных технологий. [4] NIST разрабатывает стандарты, метрики, тесты и программы проверки для продвижения, измерения и проверки безопасности информационных систем и услуг. NIST размещает следующее:

Структура соответствия, определенная FISMA, и поддерживающие стандарты

[ редактировать ]

FISMA определяет структуру управления информационной безопасностью, которой необходимо следовать для всех информационных систем , используемых или управляемых федеральным правительственным учреждением США в исполнительной или законодательной ветвях власти, или подрядчиком или другой организацией от имени федерального агентства в этих ветвях власти. Эта структура дополнительно определяется стандартами и рекомендациями, разработанными NIST . [6]

Инвентаризация информационных систем

[ редактировать ]

FISMA требует, чтобы агентства имели инвентаризацию информационных систем. Согласно FISMA, глава каждого агентства должен разрабатывать и поддерживать реестр основных информационных систем (включая основные системы национальной безопасности), управляемых таким агентством или находящихся под его контролем. [6] Идентификация информационных систем в реестре в соответствии с настоящим подразделом должна включать идентификацию интерфейсов между каждой такой системой и всеми другими системами или сетями, включая те, которые не управляются или не находятся под контролем агентства. [6] Первым шагом является определение того, что представляет собой « информационную систему рассматриваемую ». Не существует прямого сопоставления компьютеров с информационной системой; скорее, информационная система может представлять собой совокупность отдельных компьютеров, предназначенных для общей цели и управляемых одним и тем же владельцем системы. NIST SP 800-18, Редакция 1, Руководство по разработке планов безопасности для федеральных информационных систем [7] содержит рекомендации по определению границ системы .

Классифицировать информацию и информационные системы по уровню риска.

[ редактировать ]

Все сведения и информационные системы должны быть классифицированы исходя из целей обеспечения соответствующего уровня информационной безопасности в соответствии с диапазоном уровней риска. [6] Первый обязательный стандарт безопасности, требуемый законодательством FISMA, FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем». [8] содержит определения категорий безопасности. Рекомендации предоставлены NIST SP 800-60 «Руководство по сопоставлению типов информации и информационных систем с категориями безопасности». [9]

Общая категоризация системы по стандарту FIPS 199 является «высшим пределом» рейтинга воздействия любого критерия для типов информации, находящихся в системе. Например, если один тип информации в системе имеет рейтинг «Низкий» по «конфиденциальности», «целостности» и «доступности», а другой тип имеет рейтинг «Низкий» по «конфиденциальности» и «доступности», но рейтинг «Умеренный» для «честности», тогда уровень воздействия для «честности» также становится «Умеренным».

Контроль безопасности

[ редактировать ]

Федеральные информационные системы должны отвечать минимальным требованиям безопасности. [6] Эти требования определены во втором обязательном стандарте безопасности, требуемом законодательством FISMA, FIPS 200 «Минимальные требования безопасности для федеральной информации и информационных систем». [8] Организации должны соответствовать минимальным требованиям безопасности, выбирая соответствующие меры безопасности и требования доверия, как описано в специальной публикации NIST 800-53 , «Рекомендуемые меры безопасности для федеральных информационных систем». Процесс выбора соответствующих мер безопасности и требований доверия к информационным системам организации для достижения адекватной безопасности является многогранной, основанной на рисках деятельностью, в которой участвуют управленческий и эксплуатационный персонал внутри организации. Агентства имеют гибкость в применении базовых мер безопасности в соответствии с руководством по адаптации, представленным в Специальной публикации 800-53. Это позволяет агентствам корректировать меры безопасности, чтобы они более точно соответствовали требованиям их миссии и оперативной среде. Выбранные или запланированные меры контроля должны быть задокументированы в плане обеспечения безопасности системы.

Оценка риска

[ редактировать ]

Сочетание FIPS 200 и специальной публикации NIST 800-53 требует базового уровня безопасности для всей федеральной информации и информационных систем. Оценка рисков агентства подтверждает набор мер безопасности и определяет, необходимы ли какие-либо дополнительные меры контроля для защиты операций агентства (включая миссию, функции, имидж или репутацию), активов агентства, отдельных лиц, других организаций или нации. Полученный в результате набор мер безопасности устанавливает уровень «должной проверки безопасности» для федерального агентства и его подрядчиков. [10] Оценка рисков начинается с выявления потенциальных угроз и уязвимостей и сопоставления реализованных мер контроля с отдельными уязвимостями. Затем риск определяется путем расчета вероятности и последствий того, что любая конкретная уязвимость может быть использована, принимая во внимание существующие меры контроля. Кульминация оценки риска показывает рассчитанный риск для всех уязвимостей и описывает, следует ли принять риск или снизить его. Если это смягчается реализацией мер безопасности, необходимо описать, какие дополнительные меры безопасности будут добавлены в систему.

NIST также инициировал Программу автоматизации информационной безопасности (ISAP) и Протокол автоматизации контента безопасности (SCAP), которые поддерживают и дополняют подход для достижения последовательных и экономически эффективных оценок мер безопасности.

План безопасности системы

[ редактировать ]

Агентствам следует разработать политику процесса планирования безопасности системы. [6] NIST SP-800-18 представляет концепцию плана безопасности системы. [7] Планы безопасности системы — это живые документы, которые требуют периодического пересмотра, изменения, а также планы действий и этапы реализации мер безопасности. Должны быть установлены процедуры, описывающие, кто проверяет планы, поддерживает их в актуальном состоянии и следит за запланированными мерами безопасности. [7]

План безопасности системы является основным вкладом в процесс сертификации безопасности и аккредитации системы. В процессе сертификации и аккредитации безопасности план безопасности системы анализируется, обновляется и принимается. Агент по сертификации подтверждает, что меры безопасности, описанные в плане безопасности системы, соответствуют категории безопасности FIPS 199, определенной для информационной системы, и что идентификация угроз и уязвимостей, а также первоначальное определение рисков идентифицированы и документированы в плане безопасности системы, риск оценку или эквивалентный документ. [7]

Сертификация и аккредитация

[ редактировать ]

После завершения документирования системы и оценки рисков необходимо проверить и сертифицировать средства управления системой для надлежащего функционирования. По результатам экспертизы информационная система аккредитуется. Процесс сертификации и аккредитации определен в NIST SP 800-37 «Руководство по сертификации безопасности и аккредитации федеральных информационных систем». [11] Аккредитация безопасности — это официальное управленческое решение, данное старшим должностным лицом агентства, о разрешении эксплуатации информационной системы и явном принятии риска для операций агентства, активов агентства или отдельных лиц на основе реализации согласованного набора мер безопасности. Аккредитация безопасности , требуемая циркуляром OMB A-130 , Приложение III, представляет собой форму контроля качества и ставит перед менеджерами и техническим персоналом на всех уровнях задачу реализовать наиболее эффективные меры безопасности, возможные в информационной системе, с учетом требований миссии, технических ограничений, эксплуатационных ограничений. и ограничения стоимости/графика. Аккредитуя информационную систему, должностное лицо агентства принимает на себя ответственность за безопасность системы и несет полную ответственность за любые неблагоприятные последствия для агентства в случае нарушения безопасности. Таким образом, ответственность и подотчетность являются основными принципами, характеризующими аккредитацию безопасности. Крайне важно, чтобы должностные лица ведомства имели максимально полную, точную и достоверную информацию о состоянии безопасности своих информационных систем, чтобы принимать своевременные, заслуживающие доверия и основанные на риске решения о том, разрешать ли эксплуатацию этих систем. [11]

Информация и подтверждающие доказательства, необходимые для аккредитации безопасности, разрабатываются в ходе детальной проверки безопасности информационной системы, обычно называемой сертификацией безопасности. Сертификация безопасности — это комплексная оценка управленческих, эксплуатационных и технических мер безопасности в информационной системе, выполненная в поддержку аккредитации безопасности, чтобы определить, насколько меры контроля реализованы правильно, работают по назначению и дают желаемый результат с соблюдение требований безопасности к системе. Результаты сертификации безопасности используются для переоценки рисков и обновления плана обеспечения безопасности системы, обеспечивая тем самым фактическую основу для выдачи уполномоченным должностным лицом решения об аккредитации безопасности. [11]

Непрерывный мониторинг

[ редактировать ]

Все аккредитованные системы обязаны отслеживать выбранный набор мер безопасности, а системная документация обновляется с учетом изменений и модификаций системы. Крупные изменения в профиле безопасности системы должны привести к обновленной оценке рисков, а средства контроля, которые значительно изменены, возможно, придется пройти повторную сертификацию.

Действия по непрерывному мониторингу включают управление конфигурацией и контроль компонентов информационной системы, анализ влияния изменений в системе на безопасность, текущую оценку мер безопасности и отчеты о состоянии. Организация устанавливает критерии выбора и впоследствии выбирает для оценки подмножество мер безопасности, используемых в информационной системе. Организация также устанавливает график контрольного мониторинга, чтобы обеспечить достаточный охват.

Эксперты по безопасности Брюс Броуди, бывший федеральный директор по информационной безопасности, и Алан Паллер , директор по исследованиям Института SANS , охарактеризовали FISMA как «благонамеренный, но фундаментально ошибочный инструмент», утверждая, что методология обеспечения соответствия требованиям и отчетности, предусмотренная FISMA, измеряет планирование безопасности, а не измерение информационной безопасности. [12] Бывший технический директор GAO Кит Роудс сказал, что FISMA может и помогала в безопасности государственной системы, но реализация — это все, и если специалисты по безопасности будут рассматривать FISMA как просто контрольный список, ничего не будет сделано. [13]

См. также

[ редактировать ]
  1. ^ Jump up to: а б с д «NIST: Обзор FISMA» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
  2. ^ Jump up to: а б Отчет Конгрессу за 2005 финансовый год о выполнении Федерального закона об управлении информационной безопасностью 2002 года.
  3. ^ Отчет Конгрессу за 2008 финансовый год о реализации Федеральной информации.
  4. ^ «Отчет отдела компьютерной безопасности NIST за 2008 год» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
  5. ^ «Национальная база данных уязвимостей» . Nvd.nist.gov . Проверено 27 апреля 2012 г.
  6. ^ Jump up to: а б с д и ж Федеральный закон об управлении информационной безопасностью 2002 года (FISMA).
  7. ^ Jump up to: а б с д NIST SP 800-18, редакция 1, «Руководство по разработке планов безопасности для федеральных информационных систем»
  8. ^ Jump up to: а б «Каталог изданий ФИПС» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
  9. ^ «Каталог публикаций NIST SP-800» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
  10. ^ NIST SP 800-53A «Руководство по оценке мер безопасности в федеральных информационных системах»
  11. ^ Jump up to: а б с NIST SP 800-37 «Руководство по применению структуры управления рисками в федеральных информационных системах».
  12. ^ «Правительственные компьютерные новости, эффективность FISMA под вопросом, 2007 г.» . Gcn.com. 18 марта 2007 года . Проверено 27 апреля 2012 г.
  13. ^ «Правительственные компьютерные новости. Эффективная ИТ-безопасность начинается с анализа рисков, — говорит бывший технический директор GAO» . Gcn.com. 10 июня 2009 года . Проверено 27 апреля 2012 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 6195bf41cc104138f960b3e4a52fb3e7__1698921300
URL1:https://arc.ask3.ru/arc/aa/61/e7/6195bf41cc104138f960b3e4a52fb3e7.html
Заголовок, (Title) документа по адресу, URL1:
Federal Information Security Management Act of 2002 - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)