Федеральный закон об управлении информационной безопасности 2002 года ( FISMA , 44 USC § 3541 , и след. ) Является США федерального законом , принятым в 2002 году в качестве раздела III этого закона электронного правительства 2002 года ( Pub.L. 107-347 (текста ) (pdf) , 116 Стат. 2899 ). В законе признается важность информационной безопасности для интересов экономики и национальной безопасности Соединенных Штатов. [1] Закон требует, чтобы каждое федеральное агентство разработало, задокументировало и реализовало общегосударственную программу обеспечения информационной безопасности.для информации и информационных систем, которые поддерживают операции и активы агентства, включая те, которые предоставляются или управляются другим агентством, подрядчиком или другим источником. [1]
Длинное название | Закон об усилении информационной безопасности федерального правительства, в том числе посредством требования о разработке обязательных стандартов управления рисками информационной безопасности. |
---|---|
Акронимы (разговорный) | FISMA |
Никнеймы | Закон об электронном правительстве 2002 г. |
Принят | сто седьмой Конгресс Соединенных Штатов Америки |
Эффективный | 17 декабря 2002 г. |
Цитаты | |
Публичное право | 107-347 |
Устав в целом | 116 Стат. 2899 aka 116 Stat. 2946 |
Кодификация | |
Акты отменены | Закон о компьютерной безопасности 1987 года |
Заголовки изменены | 44 USC: общественная печать и документы |
Разделы ОСК созданы | 44 USC гл. 35, подч. III § 3541 и след. |
В разделы USC внесены поправки |
|
Законодательная история | |
| |
Основные поправки | |
С изменениями, внесенными Федеральным законом о модернизации информационной безопасности 2014 г. |
FISMA привлек внимание федерального правительства к кибербезопасности и четко выделил «политику, основанную на оценке рисков, для обеспечения рентабельной безопасности». [1] FISMA требует, чтобы должностные лица программы агентства, руководители информационных служб и генеральные инспекторы (IG) проводили ежегодные обзоры программы информационной безопасности агентства и сообщали о результатах Управлению управления и бюджета (OMB). OMB использует эти данные для выполнения своих надзорных функций и для подготовки этого годового отчета Конгрессу о соблюдении агентством закона. [2] В 2008 финансовом году федеральные агентства потратили 6,2 миллиарда долларов на обеспечение государственных инвестиций в информационные технологии в размере около 68 миллиардов долларов, или около 9,2 процента от общего портфеля информационных технологий. [3]
Этот закон были внесены поправки в Закон о модернизации Федеральной информационной безопасности 2014 года ( Pub.L. 113-283 (текст) (PDF) ), иногда известный как FISMA2014 или FISMA реформ. FISMA2014 вычеркнул подглавы II и III главы 35 раздела 44 Кодекса США, внося в него поправки с текстом нового закона в новом подразделе II ( 44 USC § 3551 ).
Цель акта
FISMA возлагает определенные обязанности на федеральные агентства , Национальный институт стандартов и технологий (NIST) и Управление управления и бюджета (OMB) в целях укрепления систем информационной безопасности. В частности, FISMA требует, чтобы глава каждого агентства внедрил политику и процедуры для экономически эффективного снижения рисков безопасности информационных технологий до приемлемого уровня. [2]
Согласно FISMA, термин « информационная безопасность» означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения целостности, конфиденциальности и доступности.
Внедрение FISMA
В соответствии с FISMA, NIST отвечает за разработку стандартов, руководств и связанных с ними методов и технологий для обеспечения адекватной информационной безопасности для всех операций и активов агентства, за исключением систем национальной безопасности. NIST тесно сотрудничает с федеральными агентствами, чтобы улучшить их понимание и реализацию FISMA для защиты своей информации и информационных систем, а также издает стандарты и руководства, которые обеспечивают основу для сильных программ информационной безопасности в агентствах. NIST выполняет свои уставные обязанности через Отдел компьютерной безопасности Лаборатории информационных технологий. [4] NIST разрабатывает стандарты, показатели, тесты и программы проверки для продвижения, измерения и проверки безопасности информационных систем и услуг. NIST размещает следующее:
- Проект внедрения FISMA [1]
- Программа автоматизации информационной безопасности (ISAP)
- Национальная база данных уязвимостей (NVD) - государственный репозиторий контента США для ISAP и Security Content Automation Protocol (SCAP). NVD - это правительственное хранилище данных по управлению уязвимостями на основе стандартов. Эти данные позволяют автоматизировать управление уязвимостями, измерение безопасности и соответствие требованиям (например, FISMA) [5]
Рамки соответствия, определенные FISMA, и поддерживающие стандарты
FISMA определяет структуру для управления информационной безопасностью, которая должна соблюдаться для всех информационных систем, используемых или управляемых агентством федерального правительства США в исполнительной или законодательной ветвях власти, или подрядчиком или другой организацией от имени федерального агентства в этих ветвях. Эта структура дополнительно определяется стандартами и руководящими принципами, разработанными NIST . [6]
Инвентаризация информационных систем
FISMA требует, чтобы агентства имели инвентаризацию информационных систем. Согласно FISMA, глава каждого агентства должен разработать и вести реестр основных информационных систем (включая основные системы национальной безопасности), эксплуатируемых или находящихся под контролем такого агентства [6] . Идентификация информационных систем в реестре согласно этому подразделу должна включать идентификацию интерфейсов между каждой такой системой и всеми другими системами или сетями, включая те, которые не управляются или не контролируются агентством. [6] Первый шаг - определить, что составляет рассматриваемую « информационную систему ». Нет прямого отображения компьютеров в информационную систему; скорее, информационная система может быть совокупностью отдельных компьютеров, предназначенных для общей цели и управляемых одним и тем же владельцем системы. NIST SP 800-18, редакция 1, Руководство по разработке планов безопасности для федеральных информационных систем [7] предоставляет руководство по определению границ системы .
Классифицируйте информацию и информационные системы в соответствии с уровнем риска.
Вся информация и информационные системы должны быть классифицированы на основе целей обеспечения соответствующих уровней информационной безопасности в соответствии с диапазоном уровней риска [6] Первый обязательный стандарт безопасности, требуемый законодательством FISMA, FIPS 199 «Стандарты категоризации безопасности федеральной информации. и информационные системы » [8] дает определения категорий безопасности. Рекомендации предоставлены NIST SP 800-60 «Руководство по сопоставлению типов информации и информационных систем с категориями безопасности». [9]
Общая категоризация системы в соответствии с FIPS 199 является «высшей точкой» для оценки воздействия любого из критериев для типов информации, постоянно присутствующих в системе. Например, если один тип информации в системе имеет рейтинг «Низкий» для «конфиденциальности», «целостности» и «доступности», а другой тип имеет рейтинг «Низкий» для «конфиденциальности» и «доступности», но оценка «Умеренный» для «целостности», тогда уровень воздействия для «целостности» также становится «Умеренным».
Контроль безопасности
Федеральные информационные системы должны соответствовать минимальным требованиям безопасности. [6] Эти требования определены во втором обязательном стандарте безопасности, требуемом законодательством FISMA, FIPS 200 «Минимальные требования безопасности для федеральной информации и информационных систем». [8] Организации должны соответствовать минимальным требованиям безопасности, выбирая соответствующие меры безопасности и требования доверия, как описано в специальной публикации NIST 800-53 , «Рекомендуемые меры безопасности для федеральных информационных систем». Процесс выбора соответствующих средств управления безопасностью и требований доверия для информационных систем организации с целью достижения адекватной безопасности - это многогранная деятельность, основанная на оценке рисков, с участием руководства и эксплуатационного персонала внутри организации. Агентства могут гибко применять базовые меры безопасности в соответствии с инструкциями по адаптации, приведенными в специальной публикации 800-53. Это позволяет агентствам настраивать меры безопасности, чтобы они более точно соответствовали требованиям своей миссии и операционной среде. Выбранные или запланированные средства управления должны быть задокументированы в Плане безопасности системы.
Оценка рисков
Комбинация FIPS 200 и специальной публикации NIST 800-53 требует базового уровня безопасности для всей федеральной информации и информационных систем. Оценка риска агентства подтверждает набор мер безопасности и определяет, необходимы ли какие-либо дополнительные меры контроля для защиты операций агентства (включая миссию, функции, имидж или репутацию), активов агентства, отдельных лиц, других организаций или нации. Полученный в результате набор мер безопасности устанавливает уровень «должной осмотрительности» для федерального агентства и его подрядчиков. [10] Оценка риска начинается с выявления потенциальных угроз и уязвимостей и сопоставления реализованных средств управления с отдельными уязвимостями. Затем определяется риск путем расчета вероятности и воздействия того, что любая данная уязвимость может быть использована, с учетом существующих средств контроля. Кульминация оценки риска показывает рассчитанный риск для всех уязвимостей и описывает, следует ли принять риск или уменьшить его. В случае смягчения за счет реализации элемента управления необходимо описать, какие дополнительные элементы управления безопасностью будут добавлены в систему.
NIST также инициировал программу автоматизации информационной безопасности (ISAP) и протокол автоматизации безопасности контента (SCAP), которые поддерживают и дополняют подход к достижению согласованных и рентабельных оценок контроля безопасности.
План безопасности системы
Агентства должны разработать политику в отношении процесса планирования безопасности системы. [6] NIST SP-800-18 вводит понятие плана безопасности системы. [7] Планы безопасности системы - это живые документы, которые требуют периодического пересмотра, модификации, а также планов действий и контрольных точек для реализации мер безопасности. Должны быть установлены процедуры, определяющие, кто проверяет планы, поддерживает план в актуальном состоянии и следит за запланированными мерами безопасности. [7]
План обеспечения безопасности системы является основным вкладом в процесс сертификации и аккредитации системы безопасности. Во время процесса сертификации и аккредитации безопасности план безопасности системы анализируется, обновляется и принимается. Агент по сертификации подтверждает, что меры безопасности, описанные в плане безопасности системы, соответствуют категории безопасности FIPS 199, определенной для информационной системы, и что идентификация угрозы и уязвимости и первоначальное определение риска идентифицированы и задокументированы в плане безопасности системы, риск оценка или аналогичный документ. [7]
Сертификация и аккредитация
После того, как документация системы и оценка рисков завершены, средства контроля системы должны быть проверены и сертифицированы для надлежащего функционирования. По результатам проверки информационная система проходит аккредитацию. Процесс сертификации и аккредитации определен в NIST SP 800-37 «Руководство по сертификации безопасности и аккредитации федеральных информационных систем». [11] Аккредитация безопасности - это официальное решение руководства, данное старшим должностным лицом агентства, чтобы разрешить работу информационной системы и прямо принять риск для операций агентства, активов агентства или отдельных лиц на основе реализации согласованного набора мер безопасности. контролирует. Требуется АБУ циркуляр-130 , Приложение III, аккредитация безопасности обеспечивает форму контроля качества и проблемы менеджеров и технических сотрудников на всех уровнях для реализации наиболее эффективных средств контроля безопасности возможных в информационной системе, учитывая требования миссии, технические ограничения, эксплуатационные ограничения и ограничения по стоимости / графику. Аккредитовав информационную систему, должностное лицо агентства принимает на себя ответственность за безопасность системы и несет полную ответственность за любые неблагоприятные воздействия на агентство в случае нарушения безопасности. Таким образом, ответственность и подотчетность являются основными принципами, характеризующими аккредитацию безопасности. Важно, чтобы должностные лица агентства располагали наиболее полной, точной и заслуживающей доверия информацией о состоянии безопасности своих информационных систем, чтобы принимать своевременные, достоверные и основанные на рисках решения о том, разрешать ли работу этих систем. [11]
Информация и подтверждающие доказательства, необходимые для аккредитации безопасности, разрабатываются во время подробного анализа безопасности информационной системы, обычно называемого сертификацией безопасности. Сертификация безопасности - это комплексная оценка управленческих, эксплуатационных и технических средств управления безопасностью в информационной системе, проводимая в поддержку аккредитации безопасности, для определения степени, в которой средства управления реализованы правильно, работают по назначению и дают желаемый результат с соблюдение требований безопасности для системы. Результаты сертификации безопасности используются для повторной оценки рисков и обновления плана безопасности системы, обеспечивая тем самым фактическую основу для уполномоченного должностного лица для вынесения решения об аккредитации безопасности. [11]
Непрерывный мониторинг
Все аккредитованные системы должны отслеживать выбранный набор мер безопасности, а системная документация обновляется с учетом изменений и модификаций системы. Существенные изменения в профиле безопасности системы должны вызвать обновленную оценку рисков, а элементы управления, которые были значительно изменены, могут нуждаться в повторной сертификации.
Непрерывный мониторинг включает в себя управление конфигурацией и контроль компонентов информационной системы, анализ воздействия изменений в системе на безопасность, постоянную оценку средств управления безопасностью и создание отчетов о состоянии. Организация устанавливает критерии выбора, а затем выбирает для оценки подмножество средств управления безопасностью, используемых в информационной системе. Организация также устанавливает график контрольного мониторинга, чтобы обеспечить достижение адекватного охвата.
Критика
Эксперты по безопасности Брюс Броуди, бывший главный федеральный директор по информационной безопасности, и Алан Паллер, директор по исследованиям института SANS , охарактеризовали FISMA как «созданный с благими намерениями, но в корне ошибочный инструмент», утверждая, что методология соответствия и отчетности, предписанная FISMA измеряет планирование безопасности, а не измеряет безопасность информации. [12] В прошлом главный технический директор GAO Кейт Роудс сказал, что FISMA может помочь в обеспечении безопасности государственных систем, но реализация - это все, и если специалисты по безопасности будут рассматривать FISMA только как контрольный список, ничего не получится. [13]
Смотрите также
- Атака (вычисление)
- Комитет по системам национальной безопасности
- Компьютерная безопасность
- Кибербезопасность
- Кибервойна
- Процесс сертификации и аккредитации Министерства обороны США по обеспечению информационной безопасности
- Federal Desktop Core Configuration - стандарты безопасности NIST для рабочих станций Windows
- Информационное обеспечение
- Информационная безопасность
- Система управления информационной безопасностью
- IT риск
- Циркуляр OMB A-130
- Security Content Automation Protocol - автоматическое тестирование на соответствие требованиям безопасности
- Угроза (компьютер)
- Уязвимость (вычисления)
Рекомендации
- ^ a b c d "NIST: Обзор FISMA" . Csrc.nist.gov . Проверено 27 апреля 2012 года .
- ^ a b Отчет Конгрессу за 2005 финансовый год о выполнении Федерального закона об управлении информационной безопасностью 2002 г.
- ^ Отчет за 2008 финансовый год для Конгресса о выполнении Федерального закона об управлении информационной безопасностью 2002 г.
- ^ «Отчет NIST Computer Security Division 2008» . Csrc.nist.gov . Проверено 27 апреля 2012 года .
- ^ «Национальная база данных уязвимостей» . Nvd.nist.gov . Проверено 27 апреля 2012 года .
- ^ a b c d e f Федеральный закон об управлении информационной безопасностью 2002 г. (FISMA)
- ^ a b c d NIST SP 800-18, редакция 1, «Руководство по разработке планов безопасности для федеральных информационных систем»
- ^ а б «Каталог публикаций ФИПС» . Csrc.nist.gov . Проверено 27 апреля 2012 года .
- ^ «Каталог публикаций NIST SP-800» . Csrc.nist.gov . Проверено 27 апреля 2012 года .
- ^ NIST SP 800-53A "Руководство по оценке мер безопасности в федеральных информационных системах"
- ^ a b c NIST SP 800-37 "Руководство по применению концепции управления рисками в федеральных информационных системах".
- ^ "Правительственные компьютерные новости, эффективность FISMA под сомнением, 2007" . Gcn.com. 18 марта 2007 . Проверено 27 апреля 2012 года .
- ^ «Правительственные компьютерные новости. Эффективная ИТ-безопасность начинается с анализа рисков, - говорит бывший технический директор GAO» . Gcn.com. 10 июня 2009 . Проверено 27 апреля 2012 года .
Внешние ссылки
- Библиотека специальных публикаций NIST
- Домашняя страница проекта внедрения NIST FISMA
- Полный текст FISMA
- Меморандум OMB
- Отчет о результатах 2004 FISMA
- Проект FISMApedia
- Ресурсы FISMA
- Rsam: автоматизированная платформа для соответствия требованиям FISMA и непрерывного мониторинга