Il Computer Security Act del 1987 è stato emanato dal Congresso degli Stati Uniti nel 1987 in un primo tentativo di stabilire standard per la sicurezza della nuova generazione di computer di proprietà del governo nazionale. Un altro obiettivo dell’atto era quello di dare riconoscimento legislativo all’idea che esiste un tipo di informazione che non può essere qualificata come “segreta”, ma che merita di essere salvaguardata sui sistemi informatici della nazione. Dare effetto a tale riconoscimento stabilendo protocolli di sicurezza e formazione per lavorare e salvaguardarlo è stato il grosso del Computer Security Act del 1987, oltre a nominare un’unica entità federale, il National Bureau of Standards, per supervisionare e coordinare questi sforzi in tutto il governo federale
All’inizio degli anni ‘1980, quelli che allora venivano chiamati personal computer erano riconosciuti come potenti strumenti e il world wide web era ancora nelle sue fasi formative, ma il pieno potenziale e le vulnerabilità dei computer erano stati solo indovinati. Il governo federale era già uno dei principali utilizzatori di computer desktop, sia autonomi che in rete, ma non esisteva un’autorità centrale responsabile della supervisione delle questioni di sicurezza e formazione; invece, la responsabilità per i computer di proprietà federale e le informazioni che memorizzavano era divisa a casaccio tra tre agenzie. L’impostazione della politica di sicurezza informatica per il governo federale era responsabilità dell’Ufficio di gestione e bilancio e il Dipartimento del commercio aveva la responsabilità di stabilire gli standard di elaborazione e di elaborazione dei computer acquistati dal governo. La National Security Agency (NSA), a sua volta, è stata incaricata di proteggere le informazioni classificate sui computer federali. Il coordinamento degli sforzi tra queste tre agenzie era inesistente e le guerre per il territorio erano comuni.
Nel 1984, il presidente Ronald Reagan firmò una direttiva che creava una struttura all’interno della quale la NSA, il Dipartimento della Difesa (DoD) e il Consiglio di sicurezza nazionale avevano responsabilità significative nello sviluppo di standard di sicurezza informatica, ma le loro attività sembravano mescolare questioni civili e di difesa, poiché oltre a mettere a rischio l’accesso dei civili ai registri governativi. L’ordine di Reagan fu annullato durante le udienze sul Computer Security Act del 1987, che si tennero a causa della mancata approvazione di una legge nel 1985 che avrebbe dovuto assegnare al National Bureau of Standards il compito di sviluppare e far rispettare gli standard di sicurezza per i computer federali.
Il Computer Security Act del 1987 ha affrontato quattro aree specifiche. Innanzitutto, ha stabilito un nuovo livello di classificazione di sicurezza: “sensibile”, che è stato assegnato alle informazioni che dovrebbero essere salvaguardate ma non è salito al livello di “segreto”. In secondo luogo, richiedeva lo sviluppo di politiche e pratiche di sicurezza uniformi per i sistemi informatici federali che contenevano materiale sensibile, nonché l’identificazione di tali sistemi. In terzo luogo, la legge richiedeva standard uniformi di formazione per il personale incaricato di far funzionare tali sistemi. La legge ha infine assegnato al National Bureau of Standards il compito di sviluppare standard minimi accettabili per la sicurezza di tutti i computer e sistemi informatici federali, con l’assistenza della NSA. Oggetto di numerose udienze e revisioni, il Computer Security Act del 1987 è stato infine sostituito dal Federal Information Security Management Act del 2002.