Федеральный закон об управлении информационной безопасностью 2002 г. - Federal Information Security Management Act of 2002

Федеральный закон об управлении информационной безопасностью 2002 г.
Большая печать Соединенных Штатов
Длинное названиеЗакон об усилении информационной безопасности федерального правительства, в том числе посредством требования о разработке обязательных стандартов управления рисками информационной безопасности.
Акронимы (разговорный)FISMA
НикнеймыЗакон об электронном правительстве 2002 г.
Принятто 107-й Конгресс США
Эффективный17 декабря 2002 г.
Цитаты
Публичное право107-347
Устав в целом116 Стат.  2899 он же 116 Стат. 2946
Кодификация
Акты отмененыЗакон о компьютерной безопасности 1987 года
Заголовки изменены44 U.S.C .: Public Printing and Documents (Общественная типография и документы)
U.S.C. разделы созданы44 U.S.C. гл. 35, подч. III § 3541 и последующие.
U.S.C. разделы изменены
Законодательная история
Основные поправки
С поправками Федеральный закон о модернизации информационной безопасности 2014 г.

В Федеральный закон об управлении информационной безопасностью 2002 г. (FISMA, 44 U.S.C.  § 3541, et seq.) это Федеральный закон США принятый в 2002 г. как Раздел III Закон об электронном правительстве 2002 г. (Pub.L.  107–347 (текст) (pdf), 116 Стат.  2899 ). В акте признавалась важность информационная безопасность к интересам экономики и национальной безопасности США.[1] Акт требует, чтобы каждый федеральное агентство разработать, задокументировать и реализовать программу для всего агентства по предоставлению информационная безопасность для информации и информационные системы которые поддерживают деятельность и активы агентства, в том числе предоставленные или управляемые другим агентством, подрядчик, или другой источник.[1]

FISMA привлек внимание федерального правительства к информационная безопасность и недвусмысленно подчеркнул «политику, основанную на оценке рисков, для обеспечения рентабельной безопасности».[1] FISMA требует от должностных лиц программы агентства, руководителей информационных служб и генеральных инспекторов (IG) проводить ежегодные обзоры программы информационной безопасности агентства и сообщать о результатах Управление управления и бюджета (OMB). OMB использует эти данные для оказания помощи в выполнении своих надзорных функций и для подготовки этого годового отчета для Конгресса о соблюдении агентством закона.[2] В 2008 финансовом году федеральные агентства потратили 6,2 миллиарда долларов на обеспечение государственных инвестиций в информационные технологии в размере около 68 миллиардов долларов, или около 9,2 процента от общего портфеля информационных технологий.[3]

В этот закон внесены изменения Федеральный закон о модернизации информационной безопасности 2014 г. (Pub.L.  113–283 (текст) (pdf) ), иногда известный как FISMA2014 или FISMA Reform. FISMA2014 вычеркнул подглавы II и III главы 35 заголовка 44 Кодекса США, добавив к нему текст нового закона в новом подраздел II (44 U.S.C.  § 3551 ).

Цель акта

FISMA возлагает определенные обязанности на федеральные агентства, то Национальный институт стандартов и технологий (NIST) и Управление управления и бюджета (OMB) с целью усиления систем информационной безопасности. В частности, FISMA требует, чтобы глава каждого агентства внедрил политику и процедуры для экономически эффективного снижения рисков безопасности информационных технологий до приемлемого уровня.[2]

Согласно FISMA, срок информационная безопасность означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения в целях обеспечения целостности, конфиденциальности и доступности.

Внедрение FISMA

В соответствии с FISMA, NIST отвечает за разработку стандартов, руководств и связанных с ними методов и приемов для обеспечения адекватной информационной безопасности для всех операций и активов агентства, за исключением систем национальной безопасности. NIST тесно сотрудничает с федеральными агентствами, чтобы улучшить их понимание и внедрение FISMA для защиты своей информации и информационных систем, а также издает стандарты и руководства, которые обеспечивают основу для сильных программ информационной безопасности в агентствах. NIST выполняет свои уставные обязанности через Отдел компьютерной безопасности Лаборатории информационных технологий.[4] NIST разрабатывает стандарты, показатели, тесты и программы проверки для продвижения, измерения и проверки безопасности информационных систем и служб. NIST размещает следующее:

Рамки соответствия, определенные FISMA, и поддерживающие стандарты

FISMA определяет структуру управления информационной безопасностью, которой должны следовать все информационные системы используется или управляется федеральным правительственным агентством США в исполнительной или законодательной ветвях власти либо подрядчиком или другой организацией от имени федерального агентства в этих ветвях. Эта структура дополнительно определяется стандартами и руководящими принципами, разработанными NIST.[6]

Инвентаризация информационных систем

FISMA требует, чтобы агентства имели инвентаризацию информационных систем. Согласно FISMA, глава каждого агентства должен разработать и поддерживать инвентаризацию основных информационных систем (включая основные системы национальной безопасности), эксплуатируемых или находящихся под контролем такого агентства.[6]Идентификация информационных систем в реестре согласно этому подразделу должна включать идентификацию интерфейсов между каждой такой системой и всеми другими системами или сетями, включая те, которые не эксплуатируются или не находятся под контролем агентства.[6] Первый шаг - определить, что составляет "информационная система "под вопросом. Не существует прямого сопоставления компьютеров с информационной системой; скорее, информационная система может быть совокупностью отдельных компьютеров, предназначенных для общей цели и управляемых одним и тем же владельцем системы. NIST SP 800-18, Revision 1 , Руководство по разработке планов безопасности для федеральных информационных систем[7] дает руководство по определению система границы.

Классифицируйте информацию и информационные системы по уровню риска

Вся информация и информационные системы должны быть классифицированы на основе целей обеспечения соответствующих уровней информационной безопасности в соответствии с диапазоном уровней риска.[6]Первый обязательный стандарт безопасности, требуемый законодательством FISMA, FIPS 199 «Стандарты категоризации безопасности федеральных информационных и информационных систем»[8] предоставляет определения категорий безопасности. Рекомендации предоставлены NIST SP 800-60 «Руководство по сопоставлению типов информации и информационных систем с категориями безопасности».[9]

Общая категоризация системы FIPS 199 является «высшей точкой» для оценки воздействия любого из критериев для типов информации, постоянно присутствующих в системе. Например, если один тип информации в системе имеет рейтинг «Низкий» для «конфиденциальности», «целостности» и «доступности», а другой тип имеет рейтинг «Низкий» для «конфиденциальности» и «доступности», но оценка «Умеренный» для «целостности», тогда уровень воздействия для «целостности» также становится «Умеренным».

Контроль безопасности

Федеральные информационные системы должны соответствовать минимальным требованиям безопасности.[6] Эти требования определены во втором обязательном стандарте безопасности, требуемом законодательством FISMA, FIPS 200 «Минимальные требования к безопасности федеральной информации и информационных систем».[8]Организации должны соответствовать минимальным требованиям безопасности, выбирая соответствующие меры безопасности и требования доверия, как описано в Специальная публикация NIST 800-53, «Рекомендуемые меры безопасности для федеральных информационных систем». Процесс выбора соответствующих средств управления безопасностью и требований к обеспечению безопасности для информационных систем организации с целью достижения адекватной безопасности - это многогранная деятельность, основанная на оценке рисков, в которой участвует управленческий и оперативный персонал организации. Агентства могут гибко применять базовые меры безопасности в соответствии с индивидуальными требованиями. рекомендации приведены в специальной публикации 800-53. Это позволяет агентствам настраивать меры безопасности, чтобы они более точно соответствовали требованиям своей миссии и операционной среде. Выбранные или запланированные меры безопасности должны быть задокументированы в Плане безопасности системы.

Оценка рисков

Комбинация FIPS 200 и специальной публикации NIST 800-53 требует базового уровня безопасности для всей федеральной информации и информационных систем. Оценка рисков агентства подтверждает набор средств контроля безопасности и определяет, необходимы ли какие-либо дополнительные средства контроля для защиты операций агентства (включая миссию, функции, имидж или репутацию), активов агентства, отдельных лиц, других организаций или страны. Полученный набор мер безопасности устанавливает уровень «должной осмотрительности» для федерального агентства и его подрядчиков.[10]Оценка риска начинается с выявления потенциальных угрозы и уязвимости и отображение реализовано контроль индивидуальным уязвимостям. Затем определяется риск путем расчета вероятности и воздействия того, что любая данная уязвимость может быть использована, с учетом существующих средств контроля. Кульминация оценки риска показывает рассчитанный риск для всех уязвимостей и описывает, следует ли принять риск или снизить его. В случае смягчения за счет реализации элемента управления необходимо описать, какие дополнительные меры безопасности будут добавлены в систему.

NIST также инициировал Программу автоматизации информационной безопасности (ISAP) и Протокол автоматизации безопасности контента (SCAP), которые поддерживают и дополняют подход к достижению последовательных, рентабельных оценок контроля безопасности.

План безопасности системы

Агентства должны разработать политику в отношении процесса планирования безопасности системы.[6] NIST SP-800-18 вводит понятие плана безопасности системы.[7] Планы безопасности системы - это живые документы, которые требуют периодической проверки, модификации, а также планов действий и этапов реализации мер безопасности. Должны быть установлены процедуры, определяющие, кто проверяет планы, поддерживает план в актуальном состоянии и следит за запланированными мерами безопасности.[7]

План обеспечения безопасности системы является основным вкладом в процесс сертификации и аккредитации системы безопасности. В процессе сертификации и аккредитации безопасности план безопасности системы анализируется, обновляется и принимается. Агент по сертификации подтверждает, что меры безопасности, описанные в плане безопасности системы, соответствуют категории безопасности FIPS 199, определенной для информационной системы, и что идентификация угрозы и уязвимости и первоначальное определение риска идентифицированы и задокументированы в плане безопасности системы, риск оценка или аналогичный документ.[7]

Сертификация и аккредитация

После завершения системной документации и оценки рисков необходимо проанализировать и сертифицировать средства управления системой, чтобы они функционировали надлежащим образом. По результатам проверки информационная система проходит аккредитацию. Процесс сертификации и аккредитации определен в NIST SP 800-37 «Руководство по сертификации безопасности и аккредитации федеральных информационных систем».[11]Аккредитация безопасности - это официальное управленческое решение, принимаемое старшим должностным лицом агентства для разрешения работы информационной системы и явного принятия риска для операций агентства, активов агентства или отдельных лиц на основе реализации согласованного набора мер безопасности. Требуется Циркуляр OMB A-130 Приложение III, аккредитация безопасности обеспечивает форму контроля качества и ставит перед менеджерами и техническим персоналом всех уровней задачу реализовать наиболее эффективные меры безопасности, возможные в информационной системе, с учетом требований миссии, технических ограничений, эксплуатационных ограничений и ограничений по стоимости / графику. Аккредитовывая информационную систему, должностное лицо агентства принимает на себя ответственность за безопасность системы и полностью отвечает за любые неблагоприятные воздействия на агентство в случае нарушения безопасности. Таким образом, ответственность и подотчетность являются основными принципами, характеризующими аккредитацию безопасности. Очень важно, чтобы должностные лица агентства располагали наиболее полной, точной и заслуживающей доверия информацией о состоянии безопасности своих информационных систем, чтобы принимать своевременные, достоверные, основанные на оценке риска решения о том, разрешать ли работу этих систем.[11]

Информация и подтверждающие доказательства, необходимые для аккредитации безопасности, разрабатываются во время подробного анализа безопасности информационной системы, обычно называемого сертификацией безопасности. Сертификация безопасности - это комплексная оценка управленческих, эксплуатационных и технических средств управления безопасностью в информационной системе, проводимая в поддержку аккредитации безопасности, для определения степени, в которой средства управления реализованы правильно, работают по назначению и дают желаемый результат с соблюдение требований безопасности для системы. Результаты сертификации безопасности используются для повторной оценки рисков и обновления плана безопасности системы, обеспечивая тем самым фактическую основу для уполномоченного должностного лица для принятия решения об аккредитации безопасности.[11]

Непрерывный мониторинг

Все аккредитованные системы должны отслеживать выбранный набор мер безопасности, а системная документация обновляется с учетом изменений и модификаций системы. Существенные изменения профиля безопасности системы должны вызвать обновленную оценку рисков, а элементы управления, которые были значительно изменены, могут нуждаться в повторной сертификации.

Непрерывный мониторинг включает в себя управление конфигурацией и контроль компонентов информационной системы, анализ воздействия на безопасность изменений в системе, постоянную оценку мер безопасности и отчетность о состоянии. Организация устанавливает критерии выбора, а затем выбирает для оценки подмножество мер безопасности, используемых в информационной системе. Организация также устанавливает график контрольного мониторинга, чтобы обеспечить адекватный охват.

Критика

Эксперты по безопасности Брюс Броуди, бывший федеральный директор по информационной безопасности, и Алан Паллер, директор по исследованиям Институт SANS, описали FISMA как «созданный с благими намерениями, но в корне ошибочный инструмент», утверждая, что методология соответствия и отчетности, предписанная FISMA, измеряет планирование безопасности, а не измерение информационной безопасности.[12] Прошлое GAO технический директор Кейт Роудс сказал, что FISMA может помочь в обеспечении безопасности государственных систем, но эта реализация - это все, и если специалисты по безопасности будут рассматривать FISMA только как контрольный список, ничего не получится.[13]

Смотрите также

Рекомендации

  1. ^ а б c d «NIST: Обзор FISMA». Csrc.nist.gov. Получено 27 апреля, 2012.
  2. ^ а б Отчет Конгрессу за 2005 финансовый год о выполнении Федерального закона об управлении информационной безопасностью 2002 г.
  3. ^ Отчет Конгрессу за 2008 финансовый год о выполнении Федерального закона об управлении информационной безопасностью 2002 г.
  4. ^ «Отчет NIST Computer Security Division 2008». Csrc.nist.gov. Получено 27 апреля, 2012.
  5. ^ «Национальная база данных уязвимостей». Nvd.nist.gov. Получено 27 апреля, 2012.
  6. ^ а б c d е ж Федеральный закон об управлении информационной безопасностью 2002 г. (FISMA)
  7. ^ а б c d NIST SP 800-18, редакция 1, «Руководство по разработке планов безопасности для федеральных информационных систем»
  8. ^ а б «Каталог публикаций ФИПС». Csrc.nist.gov. Получено 27 апреля, 2012.
  9. ^ «Каталог публикаций NIST SP-800». Csrc.nist.gov. Получено 27 апреля, 2012.
  10. ^ NIST SP 800-53A «Руководство по оценке мер безопасности в федеральных информационных системах»
  11. ^ а б c NIST SP 800-37 "Руководство по применению структуры управления рисками в федеральных информационных системах.
  12. ^ «Правительственные компьютерные новости, эффективность FISMA под сомнением, 2007 г.». Gcn.com. 18 марта 2007 г.. Получено 27 апреля, 2012.
  13. ^ «Правительственные компьютерные новости. Эффективная ИТ-безопасность начинается с анализа рисков, - говорит бывший технический директор GAO». Gcn.com. 10 июня 2009 г.. Получено 27 апреля, 2012.

внешняя ссылка