Što je Federalni zakon o upravljanju sigurnošću informacija?

Federalni zakon o upravljanju informacijskom sigurnošću je savezni zakon Sjedinjenih Država koji je donesen 2002. Sam zakon prepoznaje važnost informacijske sigurnosti za interese nacionalne i ekonomske sigurnosti Sjedinjenih Država. FISMA zahtijeva od svih saveznih agencija da razviju, implementiraju i dokumentiraju programe kako bi osigurali sigurnost svojih informacija i informacijskih sustava.

Potreba za internetskom sigurnošću naglašava se u Federalnom zakonu o upravljanju sigurnošću informacija. Zadaća Uredu za upravljanje i proračun (OMB) i Nacionalnom institutu za standarde i tehnologiju (NIST) s odgovornostima osmišljenim za jačanje informacijske sigurnosti. Informacijska sigurnost znači zaštitu informacija i informacijskih sustava od neovlaštenog pristupa, ometanja, otkrivanja, modifikacije, upotrebe ili uništenja.

Federalni zakon o upravljanju informacijskom sigurnošću navodi da je NIST odgovoran za razvoj adekvatne informacijske sigurnosti za sve vladine agencije osim sustava nacionalne sigurnosti. NIST je stvorio standarde i smjernice za informacijsku sigurnost koje moraju slijediti sve vladine agencije i radi sa svakom kako bi osigurao pravilno razumijevanje i implementaciju FISMA-e. NIST također mora mjeriti učinkovitost implementacije FISMA-e.

Agencije moraju popisati sve informacijske sustave kojima upravlja ili su pod kontrolom agencije. Popis mora identificirati sučelja između svakog takvog sustava i svih ostalih sustava, uključujući one koji nisu pod kontrolom te agencije. Agencija tada mora kategorizirati informacije i informacijske sustave prema razini rizika kako je definirano standardima Federalnog zakona o upravljanju informacijskom sigurnošću i smjernicama koje je postavio NIST.

FISMA zahtijeva minimalne sigurnosne zahtjeve koje moraju ispuniti sve vladine agencije. Omogućuje određeni stupanj fleksibilnosti u primjeni minimalnih sigurnosnih standarda kako bi se zadovoljile specifične misije i operativna okruženja svih agencija. Svaka agencija mora dokumentirati svoje minimalne sigurnosne zahtjeve.

Sve agencije moraju se podvrgnuti procjeni rizika kako bi provjerile svoje sigurnosne kontrole i utvrdile jesu li potrebne dodatne kontrole za minimalnu količinu sigurnosti koju su već utvrdili FISMA i NIST. Sve te informacije zatim se sastavljaju u dokument koji bilježi prekretnice i planove djelovanja. Ovaj se dokument povremeno pregledava i po potrebi se može mijenjati. To je glavni ulaz i doprinos u dijelu certificiranja i akreditacije FISMA-e.
Nakon svih ostalih koraka u FISMA-inoj inicijativi za informacijsku sigurnost, kontrole sigurnosnog sustava i sigurnosni plan su podvrgnuti reviziji. Nakon pregleda, viši službenik agencije odobrava rad informacijskog sustava i prihvaća rizike i kontrole u njemu. Informacijski sustav je akreditiran. Svaki akreditirani sustav mora pratiti skup sigurnosnih kontrola. Ako se sigurnosni sustav uvelike promijeni, potrebna je ažurirana procjena rizika, kao i moguća promjena kontrola.