Il Federal Information Security Management Act è una legge federale degli Stati Uniti approvata nel 2002. L’atto stesso riconosce l’importanza della sicurezza delle informazioni per gli interessi di sicurezza nazionale ed economica degli Stati Uniti. FISMA richiede a tutte le agenzie federali di sviluppare, implementare e documentare programmi per fornire sicurezza ai propri sistemi informativi e informativi.
La necessità di sicurezza online è sottolineata dalla legge federale sulla gestione della sicurezza delle informazioni. Assegna all’Ufficio di gestione e bilancio (OMB) e all’Istituto nazionale di standard e tecnologia (NIST) responsabilità progettate per rafforzare la sicurezza delle informazioni. Sicurezza delle informazioni significa proteggere le informazioni e i sistemi di informazione da accessi non autorizzati, interruzione, divulgazione, modifica, utilizzo o distruzione.
Il Federal Information Security Management Act afferma che il NIST è responsabile dello sviluppo di un’adeguata sicurezza delle informazioni per tutte le agenzie governative tranne i sistemi di sicurezza nazionali. Il NIST ha creato standard e linee guida per la sicurezza delle informazioni che devono essere seguiti da tutte le agenzie governative e collabora con ciascuna per garantire la corretta comprensione e attuazione della FISMA. Il NIST deve anche misurare l’efficacia dell’attuazione del FISMA.
Le agenzie devono inventariare tutti i sistemi informativi che sono gestiti o sono sotto il controllo dell’agenzia. L’inventario deve identificare le interfacce tra ciascuno di tali sistemi e tutti gli altri sistemi, compresi quelli non sotto il controllo di tale agenzia. L’agenzia deve quindi classificare le informazioni e i sistemi informativi in base al livello di rischio definito dagli standard del Federal Information Security Management Act e dalle linee guida stabilite dal NIST.
FISMA richiede che tutti gli enti governativi soddisfino i requisiti minimi di sicurezza. Consente un certo grado di flessibilità nell’applicazione degli standard minimi di sicurezza al fine di soddisfare la missione specifica e gli ambienti operativi di tutte le agenzie. Ogni agenzia deve documentare i propri requisiti minimi di sicurezza.
Tutte le agenzie devono sottoporsi a valutazione del rischio per verificare i propri controlli di sicurezza e determinare se sono necessari ulteriori controlli per l’importo minimo di sicurezza già stabilito dalla FISMA e dal NIST. Tutte queste informazioni vengono quindi raccolte in un documento che registra le pietre miliari e i piani d’azione. Questo documento viene rivisto periodicamente e può essere modificato se necessario. È il principale input e contributo nella parte di certificazione e accreditamento di FISMA.
Seguendo tutte le altre fasi dell’iniziativa sulla sicurezza delle informazioni di FISMA, i controlli e il piano di sicurezza del sistema di sicurezza vengono rivisti. Dopo la revisione, un alto funzionario dell’agenzia autorizza il funzionamento del sistema informativo e ne accetta i rischi ei controlli. Il sistema informativo è accreditato. Ogni sistema accreditato è tenuto a monitorare una serie di controlli di sicurezza. Nel caso in cui il sistema di sicurezza cambi in modo sostanziale, è necessaria una valutazione dei rischi aggiornata, così come è possibile modificare i controlli.