La Ley Federal de Administración de Seguridad de la Información es una ley federal de los Estados Unidos que se aprobó en 2002. La ley en sí reconoce la importancia de la seguridad de la información para los intereses de seguridad nacional y económica de los Estados Unidos. FISMA requiere que todas las agencias federales desarrollen, implementen y documenten programas para brindar seguridad a su información y sistemas de información.
La necesidad de seguridad en línea se enfatiza en la Ley Federal de Administración de Seguridad de la Información. Le asigna a la Oficina de Administración y Presupuesto (OMB) y al Instituto Nacional de Estándares y Tecnología (NIST) responsabilidades diseñadas para fortalecer la seguridad de la información. La seguridad de la información significa proteger la información y los sistemas de información contra el acceso no autorizado, la interrupción, la divulgación, la modificación, el uso o la destrucción.
La Ley Federal de Gestión de la Seguridad de la Información establece que el NIST es responsable del desarrollo de una seguridad de la información adecuada para todas las agencias gubernamentales, excepto los sistemas de seguridad nacional. El NIST creó estándares y pautas para la seguridad de la información que deben ser seguidas por todas las agencias gubernamentales, y trabaja con cada una para asegurar la comprensión e implementación adecuadas de FISMA. El NIST también debe medir la efectividad de la implementación de FISMA.
Las agencias deben hacer un inventario de todos los sistemas de información que son operados por o están bajo el control de la agencia. El inventario debe identificar las interfaces entre cada uno de esos sistemas y todos los demás sistemas, incluidos los que no están bajo el control de esa agencia. Luego, la agencia debe categorizar la información y los sistemas de información de acuerdo con el nivel de riesgo según lo definido por los estándares de la Ley Federal de Administración de Seguridad de la Información y las pautas establecidas por el NIST.
FISMA requiere que todas las agencias gubernamentales cumplan requisitos mínimos de seguridad. Permite cierto grado de flexibilidad en la aplicación de los estándares mínimos de seguridad para cumplir con la misión específica y los entornos operativos de todas las agencias. Cada agencia debe documentar sus requisitos mínimos de seguridad.
Todas las agencias deben someterse a una evaluación de riesgos para verificar sus controles de seguridad y determinar si se requieren controles adicionales para la cantidad mínima de seguridad ya establecida por FISMA y el NIST. Luego, toda esta información se compila en un documento que registra los hitos y los planes de acción. Este documento se revisa periódicamente y se puede modificar según sea necesario. Es la principal aportación y contribución en la parte de certificación y acreditación de FISMA.
Siguiendo todos los demás pasos de la iniciativa de seguridad de la información de FISMA, se revisan los controles y el plan de seguridad del sistema de seguridad. Después de la revisión, un alto funcionario de la agencia autoriza el funcionamiento del sistema de información y acepta los riesgos y controles del mismo. El sistema de información está acreditado. Cada sistema acreditado debe monitorear un conjunto de controles de seguridad. Si el sistema de seguridad cambia de manera importante, se requiere una evaluación de riesgos actualizada, ya que es posible cambiar los controles.