A Lei Federal de Gerenciamento de Segurança da Informação é uma lei federal dos Estados Unidos aprovada em 2002. A própria lei reconhece a importância da segurança da informação para os interesses de segurança nacional e econômica dos Estados Unidos. A FISMA exige que todas as agências federais desenvolvam, implementem e documentem programas para fornecer segurança para suas informações e sistemas de informação.
A necessidade de segurança online é enfatizada na Lei Federal de Gerenciamento de Segurança da Informação. Ele atribui ao Escritório de Gestão e Orçamento (OMB) e ao Instituto Nacional de Padrões e Tecnologia (NIST) responsabilidades destinadas a fortalecer a segurança da informação. Segurança da informação significa proteger as informações e os sistemas de informação contra acesso não autorizado, interrupção, divulgação, modificação, uso ou destruição.
A Lei Federal de Gerenciamento de Segurança da Informação afirma que o NIST é responsável pelo desenvolvimento de segurança da informação adequada para todas as agências governamentais, exceto os sistemas de segurança nacional. O NIST criou padrões e diretrizes para a segurança da informação que devem ser seguidos por todas as agências governamentais, e trabalha com cada uma para garantir a compreensão e implementação adequadas do FISMA. O NIST também deve medir a eficácia da implementação da FISMA.
As agências devem inventariar todos os sistemas de informação que são operados por ou estão sob o controle da agência. O inventário deve identificar as interfaces entre cada um desses sistemas e todos os outros sistemas, incluindo aqueles que não estão sob o controle daquela agência. A agência deve então categorizar as informações e os sistemas de informação de acordo com o nível de risco, conforme definido pelos padrões do Federal Information Security Management Act e pelas diretrizes estabelecidas pelo NIST.
A FISMA exige que os requisitos mínimos de segurança sejam atendidos por todas as agências governamentais. Permite um certo grau de flexibilidade na aplicação dos padrões mínimos de segurança para atender à missão específica e aos ambientes operacionais de todas as agências. Cada agência deve documentar seus requisitos mínimos de segurança.
Todas as agências devem se submeter a uma avaliação de risco para verificar seus controles de segurança e determinar se controles adicionais são necessários para a quantidade mínima de segurança já estabelecida pela FISMA e pelo NIST. Todas essas informações são compiladas em um documento que registra marcos e planos de ação. Este documento é revisado periodicamente e pode ser modificado conforme necessário. É o principal insumo e contribuição na parte de certificação e acreditação da FISMA.
Seguindo todas as outras etapas da iniciativa de segurança da informação da FISMA, os controles do sistema de segurança e o plano de segurança são analisados. Após a revisão, um funcionário sênior da agência autoriza a operação do sistema de informações e aceita os riscos e controles nele contidos. O sistema de informação é credenciado. Cada sistema credenciado deve monitorar um conjunto de controles de segurança. Caso o sistema de segurança mude de forma significativa, é necessária uma avaliação de risco atualizada, pois é possível alterar os controles.