La Federal Information Security Management Act est une loi fédérale des États-Unis qui a été adoptée en 2002. La loi elle-même reconnaît l’importance de la sécurité de l’information pour les intérêts de sécurité nationale et économique des États-Unis. La FISMA exige que toutes les agences fédérales élaborent, mettent en œuvre et documentent des programmes visant à assurer la sécurité de leurs informations et systèmes d’information.
Le besoin de sécurité en ligne est souligné dans la loi fédérale sur la gestion de la sécurité de l’information. Il confie à l’Office of Management and Budget (OMB) et au National Institute of Standards and Technology (NIST) des responsabilités visant à renforcer la sécurité de l’information. La sécurité de l’information signifie protéger les informations et les systèmes d’information contre tout accès, interruption, divulgation, modification, utilisation ou destruction non autorisés.
La loi fédérale sur la gestion de la sécurité de l’information stipule que le NIST est responsable du développement d’une sécurité de l’information adéquate pour toutes les agences gouvernementales, à l’exception des systèmes de sécurité nationale. Le NIST a créé des normes et des directives pour la sécurité de l’information qui doivent être suivies par toutes les agences gouvernementales, et il travaille avec chacun pour assurer la bonne compréhension et la mise en œuvre de FISMA. Le NIST doit également mesurer l’efficacité de la mise en œuvre de la FISMA.
Les agences doivent inventorier tous les systèmes d’information qui sont exploités par ou sont sous le contrôle de l’agence. L’inventaire doit identifier les interfaces entre chacun de ces systèmes et tous les autres systèmes, y compris ceux qui ne sont pas sous le contrôle de cette agence. L’agence doit ensuite catégoriser les informations et les systèmes d’information en fonction du niveau de risque défini par les normes de la Federal Information Security Management Act et les lignes directrices établies par le NIST.
La FISMA exige que des exigences de sécurité minimales soient respectées par toutes les agences gouvernementales. Il permet une certaine souplesse dans l’application des normes de sécurité minimales afin de répondre aux missions spécifiques et aux environnements opérationnels de toutes les agences. Chaque agence doit documenter ses exigences minimales en matière de sécurité.
Toutes les agences doivent se soumettre à une évaluation des risques pour vérifier leurs contrôles de sécurité et déterminer si des contrôles supplémentaires sont requis pour le niveau minimum de sécurité déjà établi par la FISMA et le NIST. Toutes ces informations sont ensuite compilées dans un document qui enregistre les jalons et les plans d’action. Ce document est révisé périodiquement et peut être modifié si nécessaire. Il s’agit de la principale contribution et contribution à la partie certification et accréditation de la FISMA.
Après toutes les autres étapes de l’initiative de sécurité de l’information de la FISMA, les contrôles et le plan de sécurité du système de sécurité sont examinés. Après l’examen, un cadre supérieur de l’agence autorise le fonctionnement du système d’information et accepte les risques et les contrôles qui y sont associés. Le système d’information est accrédité. Chaque système accrédité est tenu de surveiller un ensemble de contrôles de sécurité. Si le système de sécurité change de manière importante, une évaluation des risques mise à jour est requise, de même qu’une modification possible des contrôles.