Федеральный закон об управлении информационной безопасностью 2002 г.
Длинное название | Закон об усилении информационной безопасности федерального правительства, в том числе посредством требования разработки обязательных стандартов управления рисками информационной безопасности. |
---|---|
Сокращения (разговорный) | ФИСМА |
Прозвища | Закон об электронном правительстве 2002 г. |
Принят | 107- й Конгресс США |
Эффективный | 17 декабря 2002 г. |
Цитаты | |
Публичное право | 107-347 |
Уставы в целом | 116 Stat. 2899 aka 116 Stat. 2946 |
Кодификация | |
Названия изменены | |
ОСК Созданы разделы | 44 УСК гл. 35, подп. III § 3541 и последующие. |
В разделы ОСК внесены изменения |
|
Законодательная история | |
| |
Основные поправки | |
Заменен Федеральным законом о модернизации информационной безопасности 2014 г. |
Федеральный закон об управлении информационной безопасностью 2002 года ( FISMA , 44 USC § 3541 и далее ) — это федеральный закон США, принятый в 2002 году как Раздел III Закона об электронном правительстве 2002 года ( Pub. L. 107–347 (текст) (PDF) , 116 Stat. 2899 ). Закон признал важность информационной безопасности для интересов экономики и национальной безопасности Соединенных Штатов. [1] Закон требует, чтобы каждое федеральное агентство разработало, документировало и реализовало общеведомственную программу по обеспечению информационной безопасности информации и информационных систем , которые поддерживают операции и активы агентства, включая те, которые предоставляются или управляются другим агентством, подрядчиком или другой источник. [1]
FISMA привлекла внимание федерального правительства к кибербезопасности и прямо подчеркнула «политику, основанную на рисках, для обеспечения экономически эффективной безопасности». [1] FISMA требует от должностных лиц программы агентства, директоров по информационным технологиям и генеральных инспекторов (IG) проводить ежегодные проверки программы информационной безопасности агентства и сообщать о результатах в Управление управления и бюджета (OMB). OMB использует эти данные для оказания помощи в выполнении своих надзорных функций и для подготовки ежегодного отчета Конгрессу о соблюдении агентством закона. [2] В 2008 финансовом году федеральные агентства потратили 6,2 миллиарда долларов на обеспечение общего объема государственных инвестиций в информационные технологии в размере примерно 68 миллиардов долларов, или около 9,2 процента от общего портфеля информационных технологий. [3] В этот закон были внесены поправки Федеральным законом о модернизации информационной безопасности 2014 года ( Pub. L. 113–283 (текст) (PDF) ), иногда известным как FISMA2014 или FISMA Reform. FISMA2014 отменил подразделы II и III главы 35 раздела 44 Кодекса США, внеся в него поправки, включив в них текст нового закона в новом подразделе II ( 44 USC § 3551 ).
Цель акта
[ редактировать ]FISMA возлагает конкретные обязанности на федеральные агентства , Национальный институт стандартов и технологий (NIST) и Управление управления и бюджета (OMB) в целях укрепления систем информационной безопасности. В частности, FISMA требует от главы каждого агентства внедрения политик и процедур, позволяющих экономически эффективно снизить риски безопасности информационных технологий до приемлемого уровня. [2]
Согласно FISMA, термин « информационная безопасность» означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения целостности, конфиденциальности и доступности.
Реализация FISMA
[ редактировать ]В соответствии с FISMA, NIST отвечает за разработку стандартов, руководств и связанных с ними методов и технологий для обеспечения адекватной информационной безопасности для всех операций и активов агентства, за исключением систем национальной безопасности. NIST тесно сотрудничает с федеральными агентствами, чтобы улучшить их понимание и внедрение FISMA для защиты своей информации и информационных систем, а также публикует стандарты и рекомендации, которые обеспечивают основу для надежных программ информационной безопасности в агентствах. NIST выполняет свои уставные обязанности через Отдел компьютерной безопасности Лаборатории информационных технологий. [4] NIST разрабатывает стандарты, метрики, тесты и программы проверки для продвижения, измерения и проверки безопасности информационных систем и услуг. NIST размещает следующее:
- Проект реализации FISMA [1]
- Программа автоматизации информационной безопасности (ISAP)
- Национальная база данных уязвимостей (NVD) — хранилище контента правительства США для ISAP и протокола автоматизации контента безопасности (SCAP). NVD — это хранилище данных правительства США по управлению уязвимостями на основе стандартов. Эти данные позволяют автоматизировать управление уязвимостями, измерение безопасности и соблюдение требований (например, FISMA). [5]
Структура соответствия, определенная FISMA, и поддерживающие стандарты
[ редактировать ]FISMA определяет структуру управления информационной безопасностью, которой необходимо следовать для всех информационных систем , используемых или управляемых федеральным правительственным учреждением США в исполнительной или законодательной ветвях власти, или подрядчиком или другой организацией от имени федерального агентства в этих ветвях власти. Эта структура дополнительно определяется стандартами и рекомендациями, разработанными NIST . [6]
Инвентаризация информационных систем
[ редактировать ]FISMA требует, чтобы агентства имели инвентаризацию информационных систем. Согласно FISMA, глава каждого агентства должен разрабатывать и поддерживать реестр основных информационных систем (включая основные системы национальной безопасности), управляемых таким агентством или находящихся под его контролем. [6] Идентификация информационных систем в реестре в соответствии с настоящим подразделом должна включать идентификацию интерфейсов между каждой такой системой и всеми другими системами или сетями, включая те, которые не управляются или не находятся под контролем агентства. [6] Первым шагом является определение того, что представляет собой « информационную систему рассматриваемую ». Не существует прямого сопоставления компьютеров с информационной системой; скорее, информационная система может представлять собой совокупность отдельных компьютеров, предназначенных для общей цели и управляемых одним и тем же владельцем системы. NIST SP 800-18, Редакция 1, Руководство по разработке планов безопасности для федеральных информационных систем [7] содержит рекомендации по определению границ системы .
Классифицировать информацию и информационные системы по уровню риска.
[ редактировать ]Все сведения и информационные системы должны быть классифицированы исходя из целей обеспечения соответствующего уровня информационной безопасности в соответствии с диапазоном уровней риска. [6] Первый обязательный стандарт безопасности, требуемый законодательством FISMA, FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем». [8] содержит определения категорий безопасности. Рекомендации предоставлены NIST SP 800-60 «Руководство по сопоставлению типов информации и информационных систем с категориями безопасности». [9]
Общая категоризация системы по стандарту FIPS 199 является «высшим пределом» рейтинга воздействия любого критерия для типов информации, находящихся в системе. Например, если один тип информации в системе имеет рейтинг «Низкий» по «конфиденциальности», «целостности» и «доступности», а другой тип имеет рейтинг «Низкий» по «конфиденциальности» и «доступности», но рейтинг «Умеренный» для «честности», тогда уровень воздействия для «честности» также становится «Умеренным».
Контроль безопасности
[ редактировать ]Федеральные информационные системы должны отвечать минимальным требованиям безопасности. [6] Эти требования определены во втором обязательном стандарте безопасности, требуемом законодательством FISMA, FIPS 200 «Минимальные требования безопасности для федеральной информации и информационных систем». [8] Организации должны соответствовать минимальным требованиям безопасности, выбирая соответствующие меры безопасности и требования доверия, как описано в специальной публикации NIST 800-53 , «Рекомендуемые меры безопасности для федеральных информационных систем». Процесс выбора соответствующих мер безопасности и требований доверия к информационным системам организации для достижения адекватной безопасности является многогранной, основанной на рисках деятельностью, в которой участвуют управленческий и эксплуатационный персонал внутри организации. Агентства имеют гибкость в применении базовых мер безопасности в соответствии с руководством по адаптации, представленным в Специальной публикации 800-53. Это позволяет агентствам корректировать меры безопасности, чтобы они более точно соответствовали требованиям их миссии и оперативной среде. Выбранные или запланированные меры контроля должны быть задокументированы в плане обеспечения безопасности системы.
Оценка риска
[ редактировать ]Сочетание FIPS 200 и специальной публикации NIST 800-53 требует базового уровня безопасности для всей федеральной информации и информационных систем. Оценка рисков агентства подтверждает набор мер безопасности и определяет, необходимы ли какие-либо дополнительные меры контроля для защиты операций агентства (включая миссию, функции, имидж или репутацию), активов агентства, отдельных лиц, других организаций или нации. Полученный в результате набор мер безопасности устанавливает уровень «должной проверки безопасности» для федерального агентства и его подрядчиков. [10] Оценка рисков начинается с выявления потенциальных угроз и уязвимостей и сопоставления реализованных мер контроля с отдельными уязвимостями. Затем риск определяется путем расчета вероятности и последствий того, что любая конкретная уязвимость может быть использована, принимая во внимание существующие меры контроля. Кульминация оценки риска показывает рассчитанный риск для всех уязвимостей и описывает, следует ли принять риск или снизить его. Если это смягчается реализацией мер безопасности, необходимо описать, какие дополнительные меры безопасности будут добавлены в систему.
NIST также инициировал Программу автоматизации информационной безопасности (ISAP) и Протокол автоматизации контента безопасности (SCAP), которые поддерживают и дополняют подход для достижения последовательных и экономически эффективных оценок мер безопасности.
План безопасности системы
[ редактировать ]Агентствам следует разработать политику процесса планирования безопасности системы. [6] NIST SP-800-18 представляет концепцию плана безопасности системы. [7] Планы безопасности системы — это живые документы, которые требуют периодического пересмотра, изменения, а также планы действий и этапы реализации мер безопасности. Должны быть установлены процедуры, описывающие, кто проверяет планы, поддерживает их в актуальном состоянии и следит за запланированными мерами безопасности. [7]
План безопасности системы является основным вкладом в процесс сертификации безопасности и аккредитации системы. В процессе сертификации и аккредитации безопасности план безопасности системы анализируется, обновляется и принимается. Агент по сертификации подтверждает, что меры безопасности, описанные в плане безопасности системы, соответствуют категории безопасности FIPS 199, определенной для информационной системы, и что идентификация угроз и уязвимостей, а также первоначальное определение рисков идентифицированы и документированы в плане безопасности системы, риск оценку или эквивалентный документ. [7]
Сертификация и аккредитация
[ редактировать ]После завершения документирования системы и оценки рисков необходимо проверить и сертифицировать средства управления системой для надлежащего функционирования. По результатам экспертизы информационная система аккредитуется. Процесс сертификации и аккредитации определен в NIST SP 800-37 «Руководство по сертификации безопасности и аккредитации федеральных информационных систем». [11] Аккредитация безопасности — это официальное управленческое решение, данное старшим должностным лицом агентства, о разрешении эксплуатации информационной системы и явном принятии риска для операций агентства, активов агентства или отдельных лиц на основе реализации согласованного набора мер безопасности. Аккредитация безопасности , требуемая циркуляром OMB A-130 , Приложение III, представляет собой форму контроля качества и ставит перед менеджерами и техническим персоналом на всех уровнях задачу реализовать наиболее эффективные меры безопасности, возможные в информационной системе, с учетом требований миссии, технических ограничений, эксплуатационных ограничений. и ограничения стоимости/графика. Аккредитуя информационную систему, должностное лицо агентства принимает на себя ответственность за безопасность системы и несет полную ответственность за любые неблагоприятные последствия для агентства в случае нарушения безопасности. Таким образом, ответственность и подотчетность являются основными принципами, характеризующими аккредитацию безопасности. Крайне важно, чтобы должностные лица ведомства имели максимально полную, точную и достоверную информацию о состоянии безопасности своих информационных систем, чтобы принимать своевременные, заслуживающие доверия и основанные на риске решения о том, разрешать ли эксплуатацию этих систем. [11]
Информация и подтверждающие доказательства, необходимые для аккредитации безопасности, разрабатываются в ходе детальной проверки безопасности информационной системы, обычно называемой сертификацией безопасности. Сертификация безопасности — это комплексная оценка управленческих, эксплуатационных и технических мер безопасности в информационной системе, выполненная в поддержку аккредитации безопасности, чтобы определить, насколько меры контроля реализованы правильно, работают по назначению и дают желаемый результат с соблюдение требований безопасности к системе. Результаты сертификации безопасности используются для переоценки рисков и обновления плана обеспечения безопасности системы, обеспечивая тем самым фактическую основу для выдачи уполномоченным должностным лицом решения об аккредитации безопасности. [11]
Непрерывный мониторинг
[ редактировать ]Все аккредитованные системы обязаны отслеживать выбранный набор мер безопасности, а системная документация обновляется с учетом изменений и модификаций системы. Крупные изменения в профиле безопасности системы должны привести к обновленной оценке рисков, а средства контроля, которые значительно изменены, возможно, придется пройти повторную сертификацию.
Действия по непрерывному мониторингу включают управление конфигурацией и контроль компонентов информационной системы, анализ влияния изменений в системе на безопасность, текущую оценку мер безопасности и отчеты о состоянии. Организация устанавливает критерии выбора и впоследствии выбирает для оценки подмножество мер безопасности, используемых в информационной системе. Организация также устанавливает график контрольного мониторинга, чтобы обеспечить достаточный охват.
Критика
[ редактировать ]Эксперты по безопасности Брюс Броуди, бывший федеральный директор по информационной безопасности, и Алан Паллер , директор по исследованиям Института SANS , охарактеризовали FISMA как «благонамеренный, но фундаментально ошибочный инструмент», утверждая, что методология обеспечения соответствия требованиям и отчетности, предусмотренная FISMA, измеряет планирование безопасности, а не измерение информационной безопасности. [12] Бывший технический директор GAO Кит Роудс сказал, что FISMA может и помогала в безопасности государственной системы, но реализация — это все, и если специалисты по безопасности будут рассматривать FISMA как просто контрольный список, ничего не будет сделано. [13]
См. также
[ редактировать ]- Атака (вычисления)
- Комитет по системам национальной безопасности
- Компьютерная безопасность
- Кибербезопасность
- Кибервойна
- Процесс сертификации и аккредитации Министерства обороны США по обеспечению информации
- Федеральная конфигурация ядра настольного компьютера – NIST для рабочих станций Windows стандарты безопасности
- Гарантия информации
- Информационная безопасность
- Система управления информационной безопасностью
- ИТ-риск
- Циркуляр ОМБ А-130
- Протокол автоматизации контента безопасности – автоматическое тестирование на соответствие требованиям безопасности.
- Угроза (компьютер)
- Уязвимость (вычисления)
Ссылки
[ редактировать ]- ^ Jump up to: а б с д «NIST: Обзор FISMA» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
- ^ Jump up to: а б Отчет Конгрессу за 2005 финансовый год о выполнении Федерального закона об управлении информационной безопасностью 2002 года.
- ^ Отчет Конгрессу за 2008 финансовый год о реализации Федеральной информации.
- ^ «Отчет отдела компьютерной безопасности NIST за 2008 год» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
- ^ «Национальная база данных уязвимостей» . Nvd.nist.gov . Проверено 27 апреля 2012 г.
- ^ Jump up to: а б с д и ж Федеральный закон об управлении информационной безопасностью 2002 года (FISMA).
- ^ Jump up to: а б с д NIST SP 800-18, редакция 1, «Руководство по разработке планов безопасности для федеральных информационных систем»
- ^ Jump up to: а б «Каталог изданий ФИПС» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
- ^ «Каталог публикаций NIST SP-800» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
- ^ NIST SP 800-53A «Руководство по оценке мер безопасности в федеральных информационных системах»
- ^ Jump up to: а б с NIST SP 800-37 «Руководство по применению структуры управления рисками в федеральных информационных системах».
- ^ «Правительственные компьютерные новости, эффективность FISMA под вопросом, 2007 г.» . Gcn.com. 18 марта 2007 года . Проверено 27 апреля 2012 г.
- ^ «Правительственные компьютерные новости. Эффективная ИТ-безопасность начинается с анализа рисков, — говорит бывший технический директор GAO» . Gcn.com. 10 июня 2009 года . Проверено 27 апреля 2012 г.