La Ley Federal de Gestión de la Seguridad de la Información de 2002 ( FISMA , 44 USC § 3541 , et seq. ) es una ley federal de los Estados Unidos promulgada en 2002 como Título III de la Ley de Gobierno Electrónico de 2002 ( Pub.L. 107–347 (texto ) (PDF) , 116 Estatuto 2899 ). La ley reconoció la importancia de la seguridad de la información para los intereses económicos y de seguridad nacional de los Estados Unidos. [1] La ley requiere que cada agencia federal desarrolle, documente e implemente un programa para toda la agencia para brindar seguridad de la información.para la información y los sistemas de información que respaldan las operaciones y los activos de la agencia, incluidos los proporcionados o administrados por otra agencia, contratista u otra fuente. [1]
FISMA ha llamado la atención dentro del gobierno federal sobre la seguridad cibernética y ha enfatizado explícitamente una "política basada en el riesgo para una seguridad rentable". [1] FISMA requiere que los funcionarios del programa de la agencia, los directores de información y los inspectores generales (IG) realicen revisiones anuales del programa de seguridad de la información de la agencia e informen los resultados a la Oficina de Administración y Presupuesto (OMB). La OMB utiliza estos datos para ayudar en sus responsabilidades de supervisión y para preparar este informe anual para el Congreso sobre el cumplimiento de la ley por parte de la agencia. [2]En el año fiscal 2008, las agencias federales gastaron $6.2 mil millones asegurando la inversión total del gobierno en tecnología de la información de aproximadamente $68 mil millones o alrededor del 9.2 por ciento de la cartera total de tecnología de la información. [3]
Esta ley ha sido enmendada por la Ley Federal de Modernización de la Seguridad de la Información de 2014 ( Pub.L. 113–283 (texto) (PDF) ), a veces conocida como FISMA2014 o Reforma FISMA. FISMA2014 eliminó los subcapítulos II y III del capítulo 35 del título 44, Código de los Estados Unidos, enmendándolo con el texto de la nueva ley en un nuevo subcapítulo II ( 44 USC § 3551 ).
FISMA asigna responsabilidades específicas a las agencias federales , el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina de Gerencia y Presupuesto (OMB) para fortalecer los sistemas de seguridad de la información. En particular, FISMA requiere que el jefe de cada agencia implemente políticas y procedimientos para reducir de manera rentable los riesgos de seguridad de la tecnología de la información a un nivel aceptable. [2]
Según FISMA, el término seguridad de la información significa proteger la información y los sistemas de información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados para proporcionar integridad, confidencialidad y disponibilidad.
De acuerdo con FISMA, NIST es responsable de desarrollar estándares, pautas y métodos y técnicas asociados para brindar seguridad de información adecuada para todas las operaciones y activos de la agencia, excluyendo los sistemas de seguridad nacional. NIST trabaja en estrecha colaboración con las agencias federales para mejorar su comprensión e implementación de FISMA para proteger su información y sus sistemas de información y publica estándares y pautas que proporcionan la base para programas sólidos de seguridad de la información en las agencias. NIST lleva a cabo sus responsabilidades estatutarias a través de la División de Seguridad Informática del Laboratorio de Tecnología de la Información. [4]NIST desarrolla estándares, métricas, pruebas y programas de validación para promover, medir y validar la seguridad en los sistemas y servicios de información. NIST alberga lo siguiente: