Федеральный закон об управлении информационной безопасностью 2002 года ( FISMA , 44 USC § 3541 и далее ) — федеральный закон США, принятый в 2002 году как Раздел III Закона об электронном правительстве 2002 года ( Pub. L. 107–347 (текст) (PDF), 116 Stat. 2899). Акт признал важность информационной безопасности для интересов экономики и национальной безопасности Соединенных Штатов. [1] Акт требует, чтобы каждое федеральное агентство разработало, задокументировало и внедрило общеагентскую программу по обеспечению информационной безопасности для информации и информационных систем , которые поддерживают операции и активы агентства, включая те, которые предоставляются или управляются другим агентством, подрядчиком или другим источником. [1]
FISMA привлек внимание федерального правительства к кибербезопасности и четко подчеркнул «политику, основанную на оценке риска, для экономически эффективной безопасности». [1] FISMA требует, чтобы должностные лица программ агентств, главные должностные лица по информации и генеральные инспекторы (GI) проводили ежегодные проверки программы информационной безопасности агентства и сообщали о результатах в Управление по управлению и бюджету (OMB). OMB использует эти данные для содействия своим надзорным обязанностям и для подготовки этого ежегодного отчета Конгрессу о соответствии агентства закону. [2] В 2008 финансовом году федеральные агентства потратили 6,2 млрд долларов США на обеспечение общих государственных инвестиций в информационные технологии в размере приблизительно 68 млрд долларов США или около 9,2 процента от общего портфеля информационных технологий. [3] Этот закон был изменен Законом о модернизации федеральной информационной безопасности 2014 года ( Pub. L. 113–283 (текст) (PDF)), иногда известный как FISMA2014 или реформа FISMA. FISMA2014 исключил подразделы II и III главы 35 раздела 44 Свода законов США, внеся в него поправки в соответствии с текстом нового закона в новом подразделе II ( 44 USC § 3551).
FISMA возлагает особые обязанности на федеральные агентства , Национальный институт стандартов и технологий (NIST) и Управление по управлению и бюджету (OMB) с целью укрепления систем информационной безопасности. В частности, FISMA требует от главы каждого агентства внедрения политик и процедур для экономически эффективного снижения рисков безопасности информационных технологий до приемлемого уровня. [2]
Согласно FISMA, термин « информационная безопасность» означает защиту информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, изменения или уничтожения в целях обеспечения целостности, конфиденциальности и доступности.
В соответствии с FISMA, NIST отвечает за разработку стандартов, руководств и связанных с ними методов и методик для обеспечения адекватной информационной безопасности для всех операций и активов агентства, за исключением систем национальной безопасности. NIST тесно сотрудничает с федеральными агентствами для улучшения их понимания и внедрения FISMA для защиты их информации и информационных систем и публикует стандарты и руководства, которые обеспечивают основу для надежных программ информационной безопасности в агентствах. NIST выполняет свои уставные обязанности через Отдел компьютерной безопасности Лаборатории информационных технологий. [4] NIST разрабатывает стандарты, метрики, тесты и программы проверки для продвижения, измерения и проверки безопасности в информационных системах и службах. NIST размещает следующее:
FISMA определяет структуру управления информационной безопасностью, которая должна соблюдаться для всех информационных систем , используемых или эксплуатируемых федеральным правительственным агентством США в исполнительной или законодательной ветвях власти, или подрядчиком или другой организацией от имени федерального агентства в этих ветвях власти. Эта структура далее определяется стандартами и руководящими принципами, разработанными NIST . [6]
FISMA требует, чтобы агентства имели инвентарь информационных систем. Согласно FISMA, руководитель каждого агентства должен разработать и вести инвентарь основных информационных систем (включая основные системы национальной безопасности), эксплуатируемых или находящихся под контролем такого агентства [6] Идентификация информационных систем в инвентаре в соответствии с этим подразделом должна включать идентификацию интерфейсов между каждой такой системой и всеми другими системами или сетями, включая те, которые не эксплуатируются или не находятся под контролем агентства. [6] Первым шагом является определение того, что представляет собой рассматриваемая « информационная система ». Не существует прямого сопоставления компьютеров с информационной системой; скорее, информационная система может быть набором отдельных компьютеров, поставленных для общей цели и управляемых одним и тем же владельцем системы. NIST SP 800-18, Revision 1, Guide for Developing Security Plans for Federal Information Systems [7] содержит руководство по определению границ системы .
Вся информация и информационные системы должны быть категоризированы на основе целей обеспечения соответствующих уровней информационной безопасности в соответствии с диапазоном уровней риска [6] Первый обязательный стандарт безопасности, требуемый законодательством FISMA, FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем» [8] дает определения категорий безопасности. Руководящие принципы предоставлены NIST SP 800-60 «Руководство по сопоставлению типов информации и информационных систем с категориями безопасности». [9]
Общая системная категоризация FIPS 199 является «высшей точкой» для рейтинга воздействия любого из критериев для типов информации, резидентных в системе. Например, если один тип информации в системе имеет рейтинг «Низкий» для «конфиденциальности», «целостности» и «доступности», а другой тип имеет рейтинг «Низкий» для «конфиденциальности» и «доступности», но рейтинг «Умеренный» для «целостности», то уровень воздействия для «целостности» также становится «Умеренным».
Федеральные информационные системы должны соответствовать минимальным требованиям безопасности. [6] Эти требования определены во втором обязательном стандарте безопасности, требуемом законодательством FISMA, FIPS 200 «Минимальные требования безопасности для федеральной информации и информационных систем». [8] Организации должны соответствовать минимальным требованиям безопасности, выбирая соответствующие меры безопасности и требования к обеспечению, как описано в Специальной публикации NIST 800-53 «Рекомендуемые меры безопасности для федеральных информационных систем». Процесс выбора соответствующих мер безопасности и требований к обеспечению для организационных информационных систем для достижения адекватной безопасности является многогранной деятельностью, основанной на рисках, с участием управленческого и оперативного персонала в организации. Агентства имеют гибкость в применении базовых мер безопасности в соответствии с руководством по адаптации, представленным в Специальной публикации 800-53. Это позволяет агентствам корректировать меры безопасности, чтобы они лучше соответствовали требованиям их миссии и операционным средам. Выбранные или запланированные меры должны быть задокументированы в Плане безопасности системы.
Сочетание FIPS 200 и NIST Special Publication 800-53 требует базового уровня безопасности для всей федеральной информации и информационных систем. Оценка риска агентства проверяет набор средств контроля безопасности и определяет, нужны ли какие-либо дополнительные средства контроля для защиты операций агентства (включая миссию, функции, имидж или репутацию), активов агентства, отдельных лиц, других организаций или страны. Полученный набор средств контроля безопасности устанавливает уровень «должной осмотрительности в отношении безопасности» для федерального агентства и его подрядчиков. [10] Оценка риска начинается с выявления потенциальных угроз и уязвимостей и сопоставления реализованных средств контроля с отдельными уязвимостями. Затем определяется риск путем расчета вероятности и воздействия того, что любая заданная уязвимость может быть использована, с учетом существующих средств контроля. Кульминация оценки риска показывает рассчитанный риск для всех уязвимостей и описывает, следует ли принять или смягчить риск. Если смягчить путем внедрения средства контроля, необходимо описать, какие дополнительные средства контроля безопасности будут добавлены в систему.
NIST также инициировал Программу автоматизации информационной безопасности (ISAP) и Протокол автоматизации безопасности контента (SCAP), которые поддерживают и дополняют подход к достижению последовательных и экономически эффективных оценок контроля безопасности.
Агентства должны разрабатывать политику в отношении процесса планирования безопасности системы. [6] NIST SP-800-18 вводит концепцию Плана безопасности системы. [7] Планы безопасности системы — это живые документы, которые требуют периодического обзора, внесения изменений, а также планов действий и контрольных точек для внедрения мер безопасности. Должны быть установлены процедуры, описывающие, кто рассматривает планы, поддерживает план в актуальном состоянии и следит за запланированными мерами безопасности. [7]
План безопасности системы является основным входом в процесс сертификации и аккредитации безопасности для системы. В процессе сертификации и аккредитации безопасности план безопасности системы анализируется, обновляется и принимается. Агент по сертификации подтверждает, что элементы управления безопасностью, описанные в плане безопасности системы, соответствуют категории безопасности FIPS 199, определенной для информационной системы, и что идентификация угроз и уязвимостей и первоначальное определение риска определены и задокументированы в плане безопасности системы, оценке риска или эквивалентном документе. [7]
После завершения системной документации и оценки рисков элементы управления системы должны быть проверены и сертифицированы для надлежащего функционирования. На основании результатов проверки информационная система аккредитуется. Процесс сертификации и аккредитации определен в NIST SP 800-37 «Руководство по сертификации и аккредитации безопасности федеральных информационных систем». [11] Аккредитация безопасности — это официальное управленческое решение, принимаемое старшим должностным лицом агентства для авторизации эксплуатации информационной системы и явного принятия риска для операций агентства, активов агентства или отдельных лиц на основе внедрения согласованного набора элементов управления безопасностью. Требуемая циркуляром OMB A-130 , Приложение III, аккредитация безопасности обеспечивает форму контроля качества и бросает вызов менеджерам и техническому персоналу на всех уровнях для внедрения наиболее эффективных элементов управления безопасностью, возможных в информационной системе, учитывая требования миссии, технические ограничения, эксплуатационные ограничения и ограничения по стоимости/графику. Аккредитуя информационную систему, должностное лицо агентства принимает на себя ответственность за безопасность системы и полностью отвечает за любые неблагоприятные последствия для агентства в случае нарушения безопасности. Таким образом, ответственность и подотчетность являются основными принципами, которые характеризуют аккредитацию безопасности. Крайне важно, чтобы должностные лица агентства имели максимально полную, точную и достоверную информацию о состоянии безопасности своих информационных систем для принятия своевременных, надежных и основанных на оценке риска решений о том, разрешать ли эксплуатацию этих систем. [11]
Информация и подтверждающие доказательства, необходимые для аккредитации безопасности, разрабатываются в ходе детального обзора безопасности информационной системы, обычно называемого сертификацией безопасности. Сертификация безопасности представляет собой комплексную оценку управленческих, операционных и технических средств контроля безопасности в информационной системе, проводимую в поддержку аккредитации безопасности, чтобы определить, в какой степени средства контроля реализованы правильно, работают по назначению и дают желаемый результат в отношении соответствия требованиям безопасности для системы. Результаты сертификации безопасности используются для повторной оценки рисков и обновления плана безопасности системы, тем самым предоставляя фактическую основу для уполномоченного должностного лица для принятия решения об аккредитации безопасности. [11]
Все аккредитованные системы должны контролировать выбранный набор элементов управления безопасностью, а системная документация обновляется для отражения изменений и модификаций системы. Крупные изменения в профиле безопасности системы должны вызывать обновленную оценку риска, а элементы управления, которые значительно изменены, могут потребовать повторной сертификации.
Непрерывные действия по мониторингу включают управление конфигурацией и контроль компонентов информационной системы, анализ влияния изменений на безопасность системы, постоянную оценку средств контроля безопасности и отчетность о состоянии. Организация устанавливает критерии отбора и затем выбирает подмножество средств контроля безопасности, используемых в информационной системе, для оценки. Организация также устанавливает график мониторинга средств контроля, чтобы обеспечить достижение адекватного охвата.
Эксперты по безопасности Брюс Броди, бывший федеральный главный специалист по информационной безопасности, и Алан Паллер , директор по исследованиям Института SANS , описали FISMA как «благонамеренный, но в корне несовершенный инструмент», утверждая, что методология соответствия и отчетности, предписанная FISMA, измеряет планирование безопасности, а не измеряет информационную безопасность. [12] Бывший главный технический директор GAO Кит Роудс сказал, что FISMA может и помогала обеспечивать безопасность правительственных систем, но реализация — это все, и если специалисты по безопасности будут рассматривать FISMA просто как контрольный список, ничего не будет сделано. [13]