Федеральный закон об управлении информационной безопасностью 2002 г.

Федеральный закон об управлении информационной безопасностью 2002 г.
Длинное название	Закон об усилении информационной безопасности федерального правительства, в том числе посредством требования разработки обязательных стандартов управления рисками информационной безопасности.
Сокращения (разговорный)	ФИСМА
Прозвища	Закон об электронном правительстве 2002 г.
Принят	107- й Конгресс США
Эффективный	17 декабря 2002 г.
Цитаты
Публичное право	107-347
Уставы в целом	116 Stat. 2899 aka 116 Stat. 2946
Кодификация
Названия изменены	40 USC: Общественные здания, недвижимость и работы ; 44 USC: Публичная печать и документы ;
ОСК Созданы разделы	44 УСК гл. 35, подп. III § 3541 и последующие.
В разделы ОСК внесены изменения	40 УСК гл. 113, пп. III § 11331 ; 40 УСК гл. 113, пп. III § 11332 ; 44 U.S.C. ch. 1 § 101 ; 44 УСК гл. 35, подп. I § 3501 и след. ;
Законодательная история
	Представлен в Палате представителей как HR 3844 Томасом М. Дэвисом ( республиканец – Вирджиния ) 5 марта 2002 г. ; Рассмотрение комитета Палаты представителей по реформе правительства , Дом науки ; Принят Палатой представителей 15 ноября 2002 г. (принят без возражений). ; Принят Сенатом 15 ноября 2002 г. (принято единогласно) ; Подписан президентом Джорджем Бушем 17 декабря 2002 г. ;
Основные поправки
	Заменен Федеральным законом о модернизации информационной безопасности 2014 г.

Федеральный закон об управлении информационной безопасностью 2002 года ( FISMA , 44 USC § 3541 и далее ) — это федеральный закон США, принятый в 2002 году как Раздел III Закона об электронном правительстве 2002 года ( Pub. L. Tooltip Public Law (United Штаты) 107–347 (текст) (PDF) , 116 Stat. 2899 ). Закон признал важность информационной безопасности для интересов экономики и национальной безопасности Соединенных Штатов. ^[1] Закон требует, чтобы каждое федеральное агентство разработало, документировало и реализовало общеведомственную программу по обеспечению информационной безопасности информации и информационных систем , которые поддерживают операции и активы агентства, включая те, которые предоставляются или управляются другим агентством, подрядчиком или другой источник. ^[1]

FISMA привлекла внимание федерального правительства к кибербезопасности и прямо подчеркнула «политику, основанную на рисках, для обеспечения экономически эффективной безопасности». ^[1] FISMA требует от должностных лиц программы агентства, директоров по информационным технологиям и генеральных инспекторов (IG) проводить ежегодные проверки программы информационной безопасности агентства и сообщать о результатах в Управление управления и бюджета (OMB). OMB использует эти данные для оказания помощи в выполнении своих надзорных функций и для подготовки ежегодного отчета Конгрессу о соблюдении агентством закона. ^[2] В 2008 финансовом году федеральные агентства потратили 6,2 миллиарда долларов на обеспечение общего объема государственных инвестиций в информационные технологии в размере примерно 68 миллиардов долларов, или около 9,2 процента от общего портфеля информационных технологий. ^[3] В этот закон были внесены поправки Федеральным законом о модернизации информационной безопасности 2014 года ( Pub. L. Tooltip Public Law (United States) 113–283 (текст) (PDF) ), иногда известным как FISMA2014 или FISMA Reform. FISMA2014 отменил подразделы II и III главы 35 раздела 44 Кодекса США, внеся в него поправки, включив в них текст нового закона в новом подразделе II ( 44 USC § 3551 ).

Цель акта

FISMA возлагает конкретные обязанности на федеральные агентства , Национальный институт стандартов и технологий (NIST) и Управление управления и бюджета (OMB) в целях укрепления систем информационной безопасности. В частности, FISMA требует от главы каждого агентства внедрения политик и процедур, позволяющих экономически эффективно снизить риски безопасности информационных технологий до приемлемого уровня. ^[2]

Согласно FISMA, термин « информационная безопасность» означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения целостности, конфиденциальности и доступности.

Реализация FISMA

В соответствии с FISMA, NIST отвечает за разработку стандартов, руководств и связанных с ними методов и технологий для обеспечения адекватной информационной безопасности для всех операций и активов агентства, за исключением систем национальной безопасности. NIST тесно сотрудничает с федеральными агентствами, чтобы улучшить их понимание и внедрение FISMA для защиты своей информации и информационных систем, а также публикует стандарты и рекомендации, которые обеспечивают основу для надежных программ информационной безопасности в агентствах. NIST выполняет свои уставные обязанности через Отдел компьютерной безопасности Лаборатории информационных технологий. ^[4] NIST разрабатывает стандарты, метрики, тесты и программы проверки для продвижения, измерения и проверки безопасности информационных систем и услуг. NIST размещает следующее:

Проект реализации FISMA ^[1]
Программа автоматизации информационной безопасности (ISAP)
Национальная база данных уязвимостей (NVD) — хранилище контента правительства США для ISAP и протокола автоматизации контента безопасности (SCAP). NVD — это хранилище данных правительства США по управлению уязвимостями на основе стандартов. Эти данные позволяют автоматизировать управление уязвимостями, измерение безопасности и соблюдение требований (например, FISMA). ^[5]

Структура соответствия, определенная FISMA, и поддерживающие стандарты

FISMA определяет структуру управления информационной безопасностью, которой необходимо следовать для всех информационных систем , используемых или управляемых федеральным правительственным учреждением США в исполнительной или законодательной ветвях власти, или подрядчиком или другой организацией от имени федерального агентства в этих ветвях власти. Эта структура дополнительно определяется стандартами и рекомендациями, разработанными NIST . ^[6]

Инвентаризация информационных систем

FISMA требует, чтобы агентства имели инвентаризацию информационных систем. Согласно FISMA, глава каждого агентства должен разрабатывать и поддерживать реестр основных информационных систем (включая основные системы национальной безопасности), управляемых таким агентством или находящихся под его контролем. ^[6] Идентификация информационных систем в реестре в соответствии с настоящим подразделом должна включать идентификацию интерфейсов между каждой такой системой и всеми другими системами или сетями, включая те, которые не управляются или не находятся под контролем агентства. ^[6] Первым шагом является определение того, что представляет собой « информационную систему рассматриваемую ». Не существует прямого сопоставления компьютеров с информационной системой; скорее, информационная система может представлять собой совокупность отдельных компьютеров, предназначенных для общей цели и управляемых одним и тем же владельцем системы. NIST SP 800-18, Редакция 1, Руководство по разработке планов безопасности для федеральных информационных систем ^[7] содержит рекомендации по определению границ системы .

Классифицировать информацию и информационные системы по уровню риска.

Все сведения и информационные системы должны быть классифицированы исходя из целей обеспечения соответствующего уровня информационной безопасности в соответствии с диапазоном уровней риска. ^[6] Первый обязательный стандарт безопасности, требуемый законодательством FISMA, FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем». ^[8] содержит определения категорий безопасности. Рекомендации предоставлены NIST SP 800-60 «Руководство по сопоставлению типов информации и информационных систем с категориями безопасности». ^[9]

Общая категоризация системы по стандарту FIPS 199 является «высшим пределом» рейтинга воздействия любого критерия для типов информации, находящихся в системе. Например, если один тип информации в системе имеет рейтинг «Низкий» по «конфиденциальности», «целостности» и «доступности», а другой тип имеет рейтинг «Низкий» по «конфиденциальности» и «доступности», но рейтинг «Умеренный» для «честности», тогда уровень воздействия для «честности» также становится «Умеренным».

Контроль безопасности

Федеральные информационные системы должны отвечать минимальным требованиям безопасности. ^[6] Эти требования определены во втором обязательном стандарте безопасности, требуемом законодательством FISMA, FIPS 200 «Минимальные требования безопасности для федеральной информации и информационных систем». ^[8] Организации должны соответствовать минимальным требованиям безопасности, выбирая соответствующие меры безопасности и требования доверия, как описано в специальной публикации NIST 800-53 , «Рекомендуемые меры безопасности для федеральных информационных систем». Процесс выбора соответствующих мер безопасности и требований доверия к информационным системам организации для достижения адекватной безопасности является многогранной, основанной на рисках деятельностью, в которой участвуют управленческий и эксплуатационный персонал внутри организации. Агентства имеют гибкость в применении базовых мер безопасности в соответствии с руководством по адаптации, представленным в Специальной публикации 800-53. Это позволяет агентствам корректировать меры безопасности, чтобы они более точно соответствовали требованиям их миссии и оперативной среде. Выбранные или запланированные меры контроля должны быть задокументированы в плане обеспечения безопасности системы.

Оценка риска

Сочетание FIPS 200 и специальной публикации NIST 800-53 требует базового уровня безопасности для всей федеральной информации и информационных систем. Оценка рисков агентства подтверждает набор мер безопасности и определяет, необходимы ли какие-либо дополнительные меры контроля для защиты операций агентства (включая миссию, функции, имидж или репутацию), активов агентства, отдельных лиц, других организаций или нации. Полученный в результате набор мер безопасности устанавливает уровень «должной проверки безопасности» для федерального агентства и его подрядчиков. ^[10] Оценка рисков начинается с выявления потенциальных угроз и уязвимостей и сопоставления реализованных мер контроля с отдельными уязвимостями. Затем риск определяется путем расчета вероятности и последствий того, что любая конкретная уязвимость может быть использована, принимая во внимание существующие меры контроля. Кульминация оценки риска показывает рассчитанный риск для всех уязвимостей и описывает, следует ли принять риск или снизить его. Если это смягчается реализацией средства контроля, необходимо описать, какие дополнительные меры безопасности будут добавлены в систему.

NIST также инициировал Программу автоматизации информационной безопасности (ISAP) и Протокол автоматизации контента безопасности (SCAP), которые поддерживают и дополняют подход для достижения последовательных и экономически эффективных оценок мер безопасности.

План безопасности системы

Агентствам следует разработать политику процесса планирования безопасности системы. ^[6] NIST SP-800-18 представляет концепцию плана безопасности системы. ^[7] Планы безопасности системы — это живые документы, которые требуют периодического пересмотра, изменения, а также планы действий и этапы реализации мер безопасности. Должны быть установлены процедуры, описывающие, кто проверяет планы, поддерживает их в актуальном состоянии и следит за запланированными мерами безопасности. ^[7]

План безопасности системы является основным вкладом в процесс сертификации безопасности и аккредитации системы. В процессе сертификации и аккредитации безопасности план безопасности системы анализируется, обновляется и принимается. Агент по сертификации подтверждает, что меры безопасности, описанные в плане безопасности системы, соответствуют категории безопасности FIPS 199, определенной для информационной системы, и что идентификация угроз и уязвимостей, а также первоначальное определение рисков идентифицированы и документированы в плане безопасности системы, риск оценку или эквивалентный документ. ^[7]

Сертификация и аккредитация

После завершения документирования системы и оценки рисков необходимо проверить и сертифицировать средства управления системой для надлежащего функционирования. По результатам экспертизы информационная система аккредитуется. Процесс сертификации и аккредитации определен в NIST SP 800-37 «Руководство по сертификации безопасности и аккредитации федеральных информационных систем». ^[11] Аккредитация безопасности — это официальное управленческое решение, данное старшим должностным лицом агентства, о разрешении эксплуатации информационной системы и явном принятии риска для операций агентства, активов агентства или отдельных лиц на основе реализации согласованного набора мер безопасности. Аккредитация безопасности , требуемая циркуляром OMB A-130 , Приложение III, представляет собой форму контроля качества и ставит перед менеджерами и техническим персоналом на всех уровнях задачу реализовать наиболее эффективные меры безопасности, возможные в информационной системе, с учетом требований миссии, технических ограничений, эксплуатационных ограничений. и ограничения стоимости/графика. Аккредитуя информационную систему, должностное лицо агентства принимает на себя ответственность за безопасность системы и несет полную ответственность за любые неблагоприятные последствия для агентства в случае нарушения безопасности. Таким образом, ответственность и подотчетность являются основными принципами, характеризующими аккредитацию безопасности. Крайне важно, чтобы должностные лица ведомства имели максимально полную, точную и достоверную информацию о состоянии безопасности своих информационных систем, чтобы принимать своевременные, заслуживающие доверия и основанные на риске решения о том, разрешать ли эксплуатацию этих систем. ^[11]

Информация и подтверждающие доказательства, необходимые для аккредитации безопасности, разрабатываются в ходе детальной проверки безопасности информационной системы, обычно называемой сертификацией безопасности. Сертификация безопасности — это комплексная оценка управленческих, эксплуатационных и технических мер безопасности в информационной системе, выполненная в поддержку аккредитации безопасности, чтобы определить, насколько меры контроля реализованы правильно, работают по назначению и дают желаемый результат с соблюдение требований безопасности к системе. Результаты сертификации безопасности используются для переоценки рисков и обновления плана обеспечения безопасности системы, обеспечивая тем самым фактическую основу для выдачи уполномоченным должностным лицом решения об аккредитации безопасности. ^[11]

Непрерывный мониторинг

Все аккредитованные системы обязаны отслеживать выбранный набор мер безопасности, а системная документация обновляется с учетом изменений и модификаций системы. Крупные изменения в профиле безопасности системы должны привести к обновленной оценке рисков, а средства контроля, которые значительно изменены, возможно, придется пройти повторную сертификацию.

Действия по непрерывному мониторингу включают управление конфигурацией и контроль компонентов информационной системы, анализ влияния изменений в системе на безопасность, текущую оценку мер безопасности и отчеты о состоянии. Организация устанавливает критерии выбора и впоследствии выбирает для оценки подмножество мер безопасности, используемых в информационной системе. Организация также устанавливает график контрольного мониторинга, чтобы обеспечить достаточный охват.

Критика

Эксперты по безопасности Брюс Броуди, бывший федеральный директор по информационной безопасности, и Алан Паллер , директор по исследованиям Института SANS , охарактеризовали FISMA как «благонамеренный, но фундаментально ошибочный инструмент», утверждая, что методология обеспечения соответствия требованиям и отчетности, предусмотренная FISMA, измеряет планирование безопасности, а не измерение информационной безопасности. ^[12] Бывший технический директор GAO Кит Роудс сказал, что FISMA может и помогала в безопасности государственной системы, но реализация — это все, и если специалисты по безопасности будут рассматривать FISMA как просто контрольный список, ничего не будет сделано. ^[13]

См. также

Атака (вычисления)
Комитет по системам национальной безопасности
Компьютерная безопасность
Кибербезопасность
Кибервойна
Процесс сертификации и аккредитации Министерства обороны США по обеспечению информации
Федеральная конфигурация ядра настольного компьютера – NIST для рабочих станций Windows стандарты безопасности
Информационное обеспечение
Информационная безопасность
Система управления информационной безопасностью
ИТ-риск
Циркуляр ОМБ А-130
Протокол автоматизации контента безопасности – автоматическое тестирование на соответствие требованиям безопасности.
Угроза (компьютер)
Уязвимость (вычисления)

Ссылки

^ Jump up to: ^а ^б ^с ^д «NIST: Обзор FISMA» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
^ Jump up to: ^а ^б Отчет Конгрессу за 2005 финансовый год о выполнении Федерального закона об управлении информационной безопасностью 2002 года.
^ Отчет Конгрессу за 2008 финансовый год о реализации Федеральной информации.
^ «Отчет отдела компьютерной безопасности NIST за 2008 год» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
^ «Национальная база данных уязвимостей» . Nvd.nist.gov . Проверено 27 апреля 2012 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж Федеральный закон об управлении информационной безопасностью 2002 года (FISMA).
^ Jump up to: ^а ^б ^с ^д NIST SP 800-18, редакция 1, «Руководство по разработке планов безопасности для федеральных информационных систем»
^ Jump up to: ^а ^б «Каталог изданий ФИПС» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
^ «Каталог публикаций NIST SP-800» . Csrc.nist.gov . Проверено 27 апреля 2012 г.
^ NIST SP 800-53A «Руководство по оценке мер безопасности в федеральных информационных системах»
^ Jump up to: ^а ^б ^с NIST SP 800-37 «Руководство по применению структуры управления рисками в федеральных информационных системах».
^ «Правительственные компьютерные новости, эффективность FISMA под вопросом, 2007 г.» . Gcn.com. 18 марта 2007 года . Проверено 27 апреля 2012 г.
^ «Правительственные компьютерные новости. Эффективная ИТ-безопасность начинается с анализа рисков, — говорит бывший технический директор GAO» . Gcn.com. 10 июня 2009 года . Проверено 27 апреля 2012 г.

Внешние ссылки

[nist_overview-1] Jump up to: ^а ^б ^с ^д «NIST: Обзор FISMA» . Csrc.nist.gov . Проверено 27 апреля 2012 г.

[omb-2] Jump up to: ^а ^б Отчет Конгрессу за 2005 финансовый год о выполнении Федерального закона об управлении информационной безопасностью 2002 года.

[omb08-3] Отчет Конгрессу за 2008 финансовый год о реализации Федеральной информации.

[nist-4] «Отчет отдела компьютерной безопасности NIST за 2008 год» . Csrc.nist.gov . Проверено 27 апреля 2012 г.

[5] «Национальная база данных уязвимостей» . Nvd.nist.gov . Проверено 27 апреля 2012 г.

[fisma-6] Jump up to: ^а ^б ^с ^д ^и ^ж Федеральный закон об управлении информационной безопасностью 2002 года (FISMA).

[nist-sp-800-18-7] Jump up to: ^а ^б ^с ^д NIST SP 800-18, редакция 1, «Руководство по разработке планов безопасности для федеральных информационных систем»

[Catalog_of_FIPS_publications-8] Jump up to: ^а ^б «Каталог изданий ФИПС» . Csrc.nist.gov . Проверено 27 апреля 2012 г.

[9] «Каталог публикаций NIST SP-800» . Csrc.nist.gov . Проверено 27 апреля 2012 г.

[assessment-10] NIST SP 800-53A «Руководство по оценке мер безопасности в федеральных информационных системах»

[nist-sp-800-37-11] Jump up to: ^а ^б ^с NIST SP 800-37 «Руководство по применению структуры управления рисками в федеральных информационных системах».

[12] «Правительственные компьютерные новости, эффективность FISMA под вопросом, 2007 г.» . Gcn.com. 18 марта 2007 года . Проверено 27 апреля 2012 г.

[13] «Правительственные компьютерные новости. Эффективная ИТ-безопасность начинается с анализа рисков, — говорит бывший технический директор GAO» . Gcn.com. 10 июня 2009 года . Проверено 27 апреля 2012 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

Базы данных авторитетного контроля
Международный	ВИАФ
Национальный	Соединенные Штаты