Der Federal Information Security Management Act ist ein Bundesgesetz der Vereinigten Staaten, das 2002 verabschiedet wurde. Das Gesetz selbst erkennt die Bedeutung der Informationssicherheit für die nationalen und wirtschaftlichen Sicherheitsinteressen der Vereinigten Staaten an. Die FISMA verlangt von allen Bundesbehörden, Programme zur Sicherheit ihrer Informationen und Informationssysteme zu entwickeln, umzusetzen und zu dokumentieren.
Die Notwendigkeit der Online-Sicherheit wird im Bundesgesetz über die Verwaltung der Informationssicherheit betont. Es beauftragt das Office of Management and Budget (OMB) und das National Institute of Standards and Technology (NIST) mit Aufgaben zur Stärkung der Informationssicherheit. Informationssicherheit bedeutet den Schutz von Informationen und Informationssystemen gegen unbefugten Zugriff, Störung, Offenlegung, Veränderung, Verwendung oder Zerstörung.
Das Federal Information Security Management Act besagt, dass das NIST für die Entwicklung einer angemessenen Informationssicherheit für alle Regierungsbehörden mit Ausnahme der nationalen Sicherheitssysteme verantwortlich ist. Das NIST hat Standards und Richtlinien für die Informationssicherheit erstellt, die von allen Regierungsbehörden befolgt werden müssen, und arbeitet mit allen zusammen, um das richtige Verständnis und die richtige Umsetzung der FISMA zu gewährleisten. Das NIST muss auch die Wirksamkeit der Umsetzung der FISMA messen.
Agenturen müssen alle Informationssysteme, die von der Agentur betrieben werden oder unter ihrer Kontrolle stehen, inventarisieren. Die Bestandsaufnahme muss die Schnittstellen zwischen jedem dieser Systeme und allen anderen Systemen identifizieren, einschließlich derer, die nicht der Kontrolle dieser Behörde unterliegen. Die Behörde muss dann die Informations- und Informationssysteme nach Risikostufen kategorisieren, wie sie in den Standards des Bundesinformationssicherheitsgesetzes und den Richtlinien des NIST festgelegt sind.
Die FISMA verlangt, dass alle Regierungsbehörden Mindestsicherheitsanforderungen erfüllen. Es ermöglicht ein gewisses Maß an Flexibilität bei der Anwendung der Mindestsicherheitsstandards, um den spezifischen Aufgaben und Einsatzumgebungen aller Behörden gerecht zu werden. Jede Behörde muss ihre Mindestsicherheitsanforderungen dokumentieren.
Alle Behörden müssen sich einer Risikobewertung unterziehen, um ihre Sicherheitskontrollen zu überprüfen und festzustellen, ob zusätzliche Kontrollen für das von der FISMA und dem NIST bereits festgelegte Mindestmaß an Sicherheit erforderlich sind. All diese Informationen werden dann in einem Dokument zusammengefasst, das Meilensteine und Aktionspläne festhält. Dieses Dokument wird regelmäßig überprüft und kann bei Bedarf geändert werden. Es ist der wichtigste Beitrag und Beitrag zum Zertifizierungs- und Akkreditierungsteil der FISMA.
Nach allen anderen Schritten der Informationssicherheitsinitiative der FISMA werden die Kontrollen und der Sicherheitsplan des Sicherheitssystems überprüft. Nach der Überprüfung genehmigt ein leitender Beamter der Behörde den Betrieb des Informationssystems und akzeptiert die darin enthaltenen Risiken und Kontrollen. Das Informationssystem ist akkreditiert. Jedes akkreditierte System muss eine Reihe von Sicherheitskontrollen überwachen. Sollte sich das Sicherheitssystem in großem Umfang ändern, ist eine aktualisierte Risikobewertung erforderlich, ebenso wie eine mögliche Änderung der Kontrollen.