2002年联邦信息安全管理法

2002年联邦信息安全管理法
Great Seal of the United States
长标题 一项加强联邦政府信息安全的法案,包括通过制定强制性信息安全风险管理标准的要求。
首字母缩写 (口语) Fisma
暱称 2002年的电子政务法
美国第107届国会
有效的 2002年12月17日
引用
公共法 107-347
法规 116 Stat。 2899又名116 Stat。 2946
编纂
标题修改了
USC部分创建了 44 USC CH。 35,子ch。 III§3541et seq。
USC部分修订了
立法历史
重大修正案
取代了2014年的《联邦信息安全现代化法》

2002年的《联邦信息安全管理法》FISMA第44条第3541条)是2002年在2002年颁布的美国联邦法律,该法律2002年《电子政务法》的标题III( Pub。L .Tooltip Publical Law(United)(United)状态) 107–347(文本)PDF 116Stat。2899 )。该法认识到信息安全对美国经济和国家安全利益的重要性。该法案要求每个联邦机构开发,记录和实施一项机构范围内的计划,以为支持该机构的运营和资产的信息和信息系统提供信息安全,包括由另一机构,承包商或其他来源。

Fisma引起了联邦政府在网络安全上的关注,并明确强调了“基于风险的具有成本效益的安全政策”。 FISMA要求机构计划官员,首席信息官和监察长(IGS)对机构的信息安全计划进行年度审查,并将结果报告给管理与预算办公室(OMB)。 OMB使用此数据来协助其监督职责,并将这份年度报告与代理机构遵守该法有关。在2008财年,联邦机构花费了62亿美元,确保政府的总信息技术投资约为680亿美元,约占信息技术总组合总数的9.2%。该法律已由2014年的《联邦信息安全现代化法》Pub。L.Tooltip 公法(美国) 113-283(文本) (PDF )进行了修改,有时称为FISMA2014或FISMA改革。 FISMA2014在《美国法典》第44章的第44章的第35章中删除了第II和第三,并用新法律的新法律修改了新法律II44USC§3551 )。

行为的目的

Fisma向联邦机构国家标准技术研究所(NIST)和管理与预算办公室(OMB)分配具体责任,以加强信息安全系统。特别是,Fisma要求每个机构的负责人执行政策和程序,以成本效益将信息技术安全风险降低到可接受的水平。

根据FISMA的说法,信息安全一词是指保护信息和信息系统免受未经授权的访问,使用,披露,中断,修改或破坏,以提供完整性,机密性和可用性。

Fisma的实施

根据Fisma, NIST负责制定标准,准则以及相关的方法和技术,用于为所有代理机构运营和资产提供足够的信息安全性,不包括国家安全系统。 NIST与联邦机构紧密合作,以提高他们对FISMA的理解和实施,以保护其信息和信息系统,并发布标准和准则,为代理机构的强大信息安全计划奠定了基础。 NIST通过信息技术实验室的计算机安全部门履行其法定责任。 NIST开发标准,指标,测试和验证程序,以促进,衡量和验证信息系统和服务的安全性。 NIST托管以下内容:

FISMA定义的合规框架和支持标准

FISMA定义了一个用于管理信息安全的框架,该框架必须遵循美国联邦政府在行政或立法部门中使用或运营的所有信息系统,或者由承包商或其他组织代表这些分支机构中的联邦机构或其他组织进行操作。 NIST制定的标准和准则进一步定义了该框架。

信息系统清单

Fisma要求机构拥有信息系统清单。根据Fisma的说法,每个机构的负责人应开发和维护由该机构控制或在该机构控制的主要信息系统(包括主要的国家安全系统)的清单(包括主要的国家安全系统),根据本小节库存中信息系统的识别应包括标识每个这样的系统与所有其他系统或网络之间的接口,包括由代理机构控制或在机构控制下运行的系统。第一步是确定什么构成“信息系统”。没有将计算机直接映射到信息系统上;相反,信息系统可以是单个计算机的集合,并由同一系统所有者管理。 NIST SP 800-18,修订版1,制定联邦信息系统安全计划的指南提供了确定系统边界的指南。

根据风险级别对信息和信息系统进行分类

所有信息信息系统均应基于根据一系列风险级别提供适当级别的信息安全性的目标进行分类“提供安全类别的定义。该指南由NIST SP 800-60“指南映射信息和信息系统的指南”指南。

总体FIPS 199系统分类是系统中驻留的任何信息类型标准的影响评级的“高水位”。例如,如果系统中的一种信息类型的额定值为“机密性”,“完整性”和“可用性”,而另一种类型的评级为“机密性”和“可用性”的额定值,但是“中等”的“中等”评级,然后“完整性”的影响水平也变成了“中等”。

安全控制

联邦信息系统必须满足最低安全要求。这些要求是在FISMA立法要求的第二强强度安全标准中定义的,FIPS 200“联邦信息和信息系统的最低安全要求”。组织必须通过选择适当的安全控制和保证要求,如NIST特别出版物800-53所述,“联邦信息系统的建议安全控制”。为组织信息系统选择适当的安全控制和保证要求以实现足够安全性的过程是一项多方面的,基于风险的活动,涉及组织内的管理和运营人员。根据特别出版物800-53中提供的裁缝指南,机构在应用基线安全控制方面具有灵活性。这使代理商可以调整安全控制,以更加紧密地符合其任务要求和操作环境。必须在系统安全计划中记录选定或计划的控件。

风险评估

FIPS 200和NIST特别出版物800-53的组合需要所有联邦信息和信息系统的基础安全水平。该机构的风险评估验证了安全控制集合,并确定是否需要任何其他控制来保护代理机构运营(包括任务,职能,图像或声誉),代理资产,个人,其他组织或国家。由此产生的安全控制集为联邦机构及其承包商建立了“安全尽职调查”的水平。风险评估首先要确定潜在的威胁漏洞,并将实施的控件映射到个人漏洞中。然后,人们通过计算现有控制措施来确定任何给定漏洞的可能性和影响来确定风险。风险评估的高潮显示了所有漏洞的风险,并描述了应接受还是减轻风险。如果通过执行控件来减轻,则需要描述将在系统中添加哪些其他安全控件。

NIST还启动了信息安全自动化计划(ISAP)和安全内容自动化协议(SCAP),以支持和补充实现一致,具有成本效益的安全控制评估的方法。

系统安全计划

机构应制定系统安全计划过程的政策。 NIST SP-800-18介绍了系统安全计划的概念。系统安全计划是需要定期审查,修改和行动和里程碑的生存文件,以实施安全控制。程序应进行到位,概述谁审查计划,保留计划当前并遵循计划的安全控制。

系统安全计划是系统安全认证和认证过程的主要输入。在安全认证和认证过程中,对系统安全计划进行了分析,更新和接受。认证代理证实,系统安全计划中描述的安全控制措施与信息系统确定的FIPS 199安全类别一致,并且在系统安全计划中确定并记录了威胁和脆弱性识别和初始风险确定和初始风险确定。评估或同等文档。

认证和认证

一旦完成系统文档和风险评估,必须对系统的控件进行审查并认证,以便正常运行。根据审查的结果,信息系统获得了认可。 NIST SP 800-37中定义了认证和认证过程“联邦信息系统的安全认证和认证指南”。安全认证是高级机构官员给出的官方管理决定,以授权信息系统的运营,并根据实施一套商定的安全控制措施,明确接受代理机构运营,代理资产或个人的风险。由OMB循环A-130 ,附录III要求,安全认证提供了质量控制的一种形式,并挑战了经理和技术人员在各个层面上,以实施信息系统中最有效的安全控制,给定任务要求,技术约束,运营约束。和成本/时间表约束。通过认可信息系统,代理商官员承担对系统安全的责任,如果发生违反安全性,对机构的任何不利影响都完全负责。因此,责任和问责制是表征安全认证的核心原则。机构官员必须拥有有关其信息系统安全状况的最完整,准确和值得信赖的信息,以便及时,可信,基于风险的决定,以授权是否授权这些系统的操作。

安全认证所需的信息和支持证据是在对信息系统的详细安全审查期间(通常称为安全认证)开发的。安全认证是对支持安全认证的信息系统中管理,运营和技术安全控制的全面评估尊重满足系统的安全要求。安全认证的结果用于重新评估风险并更新系统安全计划,从而为授权官员做出安全认证决定提供了事实依据。

连续监视

所有认可的系统都需要监视选定的安全控件集,并更新系统文档以反映对系统的更改和修改。对系统的安全性概况的大规模更改应触发更新的风险评估,并且可能需要重新认证的对控件进行重大修改。

连续监视活动包括配置管理和信息系统组件的控制,系统更改的安全影响分析,对安全控制的持续评估以及状态报告。该组织建立了选择标准,随后选择了信息系统中用于评估的安全控制的子集。该组织还建立了控制监控的时间表,以确保实现足够的覆盖范围。

批判

安全专家Bruce Brody是前联邦首席信息安全官Bruce Brody和SANS Institute研究总监Alan Paller将Fisma描述为“一种良好但根本上有缺陷的工具”,认为Fisma授权的合规性和报告方法论衡量安全计划,而不是衡量信息安全。过去GAO首席技术官基思·罗德斯(Keith Rhodes)表示,Fisma可以并且已经帮助了政府系统的安全,但是实施是一切,如果安全人员将Fisma视为清单,那么什么都不会完成。

也可以看看