Ley Federal de Administración de Seguridad de la Información de 2002

Ley Federal de Administración de Seguridad de la Información de 2002
Citas

Título largo	Una ley para fortalecer la seguridad de la información del Gobierno Federal, incluso a través del requisito para el desarrollo de estándares obligatorios de gestión de riesgos de seguridad de la información.
Siglas (coloquial)	FISMA
Apodos	Ley de gobierno electrónico de 2002
Promulgado por	el 107o Congreso de los Estados Unidos
Eficaz	17 de diciembre de 2002
Ley Pública	107-347
Estatutos en general	116 Stat. 2899 también conocido como 116 Stat. 2946
Codificación
Actos derogados	Ley de seguridad informática de 1987
Títulos modificados	44 USC: Impresión pública y documentos
Secciones de la USC creadas	44 USC cap. 35, subch. III § 3541 et seq.
Secciones de la USC modificadas	44 USC cap. 1 § 101 44 USC cap. 35, subch. I § 3501 et seq.
Historia legislativa
Introducido en la Cámara como H.R.3844 por Thomas M. Davis ( R - VA ) el 5 de marzo de 2002 Consideración del comité por la reforma del gobierno de la Cámara , House Science Aprobada por la Cámara el 15 de noviembre de 2002 (aprobada sin objeciones) Aprobado por el Senado el 15 de noviembre de 2002 (aprobado por unanimidad) Firmado como ley por el presidente George W. Bush el 17 de diciembre de 2002
Enmiendas importantes
Modificado por la Ley Federal de Modernización de la Seguridad de la Información de 2014

La Ley Federal de Gestión de Seguridad de la Información de 2002 ( FISMA , 44 USC § 3541 , et seq. ) Es una ley federal de los Estados Unidos promulgada en 2002 como Título III de la Ley de Gobierno Electrónico de 2002 ( Pub.L. 107–347 (texto ) (pdf) , 116 Stat. 2899 ). La ley reconoció la importancia de la seguridad de la información para los intereses económicos y de seguridad nacional de Estados Unidos. ^[1] La ley requiere que cada agencia federal desarrolle, documente e implemente un programa para toda la agencia para brindar seguridad de la información.para la información y los sistemas de información que respaldan las operaciones y los activos de la agencia, incluidos los proporcionados o administrados por otra agencia, contratista u otra fuente. ^[1]

FISMA ha llamado la atención dentro del gobierno federal a la seguridad cibernética y enfatizó explícitamente una "política basada en el riesgo para una seguridad rentable". ^[1] FISMA requiere que los funcionarios del programa de la agencia, los directores de información y los inspectores generales (IG) realicen revisiones anuales del programa de seguridad de la información de la agencia e informen los resultados a la Oficina de Administración y Presupuesto (OMB). OMB utiliza estos datos para ayudar en sus responsabilidades de supervisión y para preparar este informe anual al Congreso sobre el cumplimiento de la ley por parte de la agencia. ^[2]En el año fiscal 2008, las agencias federales gastaron $ 6.2 mil millones para asegurar la inversión total en tecnología de la información del gobierno de aproximadamente $ 68 mil millones o alrededor del 9.2 por ciento de la cartera total de tecnología de la información. ^[3]

Esta ley ha sido enmendada por la Ley Federal de Modernización de la Seguridad de la Información de 2014 ( Pub . L. 113–283 (texto) (pdf) ), a veces conocida como FISMA2014 o Reforma de FISMA. FISMA2014 eliminó los subcapítulos II y III del capítulo 35 del título 44 del Código de los Estados Unidos, modificándolo con el texto de la nueva ley en un nuevo subcapítulo II ( 44 USC § 3551 ).

Objeto del acto [ editar ]

FISMA asigna responsabilidades específicas a las agencias federales , el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina de Administración y Presupuesto (OMB) para fortalecer los sistemas de seguridad de la información. En particular, FISMA requiere que el director de cada agencia implemente políticas y procedimientos para reducir de manera rentable los riesgos de seguridad de la tecnología de la información a un nivel aceptable. ^[2]

Según FISMA, el término seguridad de la información significa proteger la información y los sistemas de información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados para brindar integridad, confidencialidad y disponibilidad.

Implementación de FISMA [ editar ]

De acuerdo con FISMA, NIST es responsable de desarrollar estándares, pautas y métodos y técnicas asociados para proporcionar seguridad de información adecuada para todas las operaciones y activos de la agencia, excluyendo los sistemas de seguridad nacional. El NIST trabaja en estrecha colaboración con las agencias federales para mejorar su comprensión e implementación de FISMA para proteger su información y sistemas de información y publica estándares y pautas que proporcionan la base para programas sólidos de seguridad de la información en las agencias. NIST realiza sus responsabilidades estatutarias a través de la División de Seguridad Informática del Laboratorio de Tecnología de la Información. ^[4]NIST desarrolla estándares, métricas, pruebas y programas de validación para promover, medir y validar la seguridad en los sistemas y servicios de información. NIST aloja lo siguiente:

Proyecto de implementación de FISMA ^[1]
Programa de automatización de seguridad de la información (ISAP)
Base de datos nacional de vulnerabilidades (NVD): el repositorio de contenido del gobierno de EE. UU. Para ISAP y el Protocolo de automatización de contenido de seguridad (SCAP). NVD es el depósito del gobierno de EE. UU. De datos de gestión de vulnerabilidades basados en estándares. Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento (p. Ej., FISMA) ^[5]

Marco de cumplimiento definido por FISMA y estándares de apoyo [ editar ]

FISMA define un marco para administrar la seguridad de la información que debe seguirse para todos los sistemas de información utilizados u operados por una agencia del gobierno federal de los EE. UU. En las ramas ejecutiva o legislativa, o por un contratista u otra organización en nombre de una agencia federal en esas ramas. Este marco está más definido por las normas y directrices desarrolladas por NIST . ^[6]

Inventario de sistemas de información [ editar ]

FISMA requiere que las agencias cuenten con un inventario de sistemas de información. De acuerdo con FISMA, el jefe de cada agencia deberá desarrollar y mantener un inventario de los principales sistemas de información (incluidos los principales sistemas de seguridad nacional) operados por o bajo el control de dicha agencia. ^[6] La identificación de los sistemas de información en un inventario bajo esta subsección deberá incluir una identificación de las interfaces entre cada uno de esos sistemas y todos los demás sistemas o redes, incluidos los que no operan o están bajo el control de la agencia. ^[6] El primer paso es determinar qué constituye el " sistema de información"en cuestión. No existe una asignación directa de computadoras a un sistema de información; más bien, un sistema de información puede ser una colección de computadoras individuales destinadas a un propósito común y administradas por el mismo propietario del sistema. NIST SP 800-18, Revisión 1 , Guide for Developing Security Plans for Federal Information Systems ^[7] proporciona una guía para determinar los límites del sistema .

Categorizar la información y los sistemas de información según el nivel de riesgo [ editar ]

Toda la información y los sistemas de información deben clasificarse en función de los objetivos de proporcionar niveles adecuados de seguridad de la información de acuerdo con un rango de niveles de riesgo ^[6] El primer estándar de seguridad obligatorio requerido por la legislación FISMA, FIPS 199 "Estándares para la categorización de seguridad de la información federal y sistemas de información " ^[8] proporciona las definiciones de las categorías de seguridad. Las pautas son proporcionadas por NIST SP 800-60 "Guía para mapear tipos de información y sistemas de información a categorías de seguridad". ^[9]

La categorización general del sistema FIPS 199 es la "marca de agua alta" para la calificación de impacto de cualquiera de los criterios para los tipos de información residentes en un sistema. Por ejemplo, si un tipo de información en el sistema tiene una calificación de "Baja" para "confidencialidad", "integridad" y "disponibilidad", y otro tipo tiene una calificación de "Baja" para "confidencialidad" y "disponibilidad", pero una calificación de "Moderado" para "integridad", entonces el nivel de impacto para "integridad" también se convierte en "Moderado".

Controles de seguridad [ editar ]

Los sistemas de información federales deben cumplir con los requisitos mínimos de seguridad. ^[6] Estos requisitos se definen en el segundo estándar de seguridad obligatorio requerido por la legislación FISMA, FIPS 200 "Requisitos mínimos de seguridad para la información y los sistemas de información federales". ^{[8] Las} organizaciones deben cumplir con los requisitos mínimos de seguridad mediante la selección de los controles de seguridad apropiados y los requisitos de garantía como se describe en la Publicación especial 800-53 del NIST., "Controles de seguridad recomendados para los sistemas de información federales". El proceso de seleccionar los controles de seguridad adecuados y los requisitos de garantía para que los sistemas de información de la organización logren la seguridad adecuada es una actividad multifacética basada en riesgos que involucra al personal operativo y de administración dentro de la organización. Las agencias tienen flexibilidad para aplicar los controles de seguridad básicos de acuerdo con la guía de personalización proporcionada en la Publicación especial 800-53. Esto permite a las agencias ajustar los controles de seguridad para que se ajusten más a los requisitos de su misión y entornos operativos. Los controles seleccionados o planificados deben estar documentados en el Plan de seguridad del sistema.

Evaluación de riesgos [ editar ]

La combinación de FIPS 200 y la publicación especial 800-53 del NIST requiere un nivel fundamental de seguridad para todos los sistemas de información e información federales. La evaluación de riesgos de la agencia valida el conjunto de controles de seguridad y determina si se necesitan controles adicionales para proteger las operaciones de la agencia (incluida la misión, las funciones, la imagen o la reputación), los activos de la agencia, los individuos, otras organizaciones o la Nación. El conjunto resultante de controles de seguridad establece un nivel de "debida diligencia de seguridad" para la agencia federal y sus contratistas. ^[10] Una evaluación de riesgos comienza identificando posibles amenazas y vulnerabilidades y mapeando los controles implementados.a las vulnerabilidades individuales. Luego, se determina el riesgo calculando la probabilidad y el impacto de que se pueda explotar una vulnerabilidad dada, teniendo en cuenta los controles existentes. La culminación de la evaluación de riesgos muestra el riesgo calculado para todas las vulnerabilidades y describe si el riesgo debe aceptarse o mitigarse. Si se mitiga con la implementación de un control, es necesario describir qué controles de seguridad adicionales se agregarán al sistema.

NIST también inició el Programa de Automatización de Seguridad de la Información (ISAP) y el Protocolo de Automatización de Contenido de Seguridad (SCAP) que respaldan y complementan el enfoque para lograr evaluaciones de control de seguridad consistentes y rentables.

Plan de seguridad del sistema [ editar ]

Las agencias deben desarrollar una política sobre el proceso de planificación de la seguridad del sistema. ^[6] NIST SP-800-18 introduce el concepto de un plan de seguridad del sistema. ^[7] Los planes de seguridad del sistema son documentos vivos que requieren revisión, modificación y planes de acción e hitos periódicos para implementar controles de seguridad. Deben existir procedimientos que describan quién revisa los planes, mantiene el plan actualizado y realiza un seguimiento de los controles de seguridad planificados. ^[7]

El plan de seguridad del sistema es la entrada principal para el proceso de certificación y acreditación de seguridad del sistema. Durante el proceso de certificación y acreditación de seguridad, el plan de seguridad del sistema se analiza, actualiza y acepta. El agente de certificación confirma que los controles de seguridad descritos en el plan de seguridad del sistema son consistentes con la categoría de seguridad FIPS 199 determinada para el sistema de información, y que la identificación de amenazas y vulnerabilidades y la determinación de riesgo inicial están identificadas y documentadas en el plan de seguridad del sistema, riesgo evaluación o documento equivalente. ^[7]

Certificación y acreditación [ editar ]

Una vez que se ha completado la documentación del sistema y la evaluación de riesgos, los controles del sistema deben revisarse y certificarse para que funcionen correctamente. Con base en los resultados de la revisión, se acredita el sistema de información. El proceso de certificación y acreditación se define en NIST SP 800-37 "Guía para la certificación de seguridad y acreditación de sistemas de información federales". ^[11] La acreditación de seguridad es la decisión de gestión oficial dada por un funcionario superior de la agencia para autorizar el funcionamiento de un sistema de información y aceptar explícitamente el riesgo para las operaciones de la agencia, los activos de la agencia o las personas en función de la implementación de un conjunto de medidas de seguridad acordadas. control S. Requerido por OMB Circular A-130, Apéndice III, la acreditación de seguridad proporciona una forma de control de calidad y desafía a los gerentes y al personal técnico en todos los niveles para implementar los controles de seguridad más efectivos posibles en un sistema de información, dados los requisitos de la misión, las limitaciones técnicas, las limitaciones operativas y las limitaciones de costo / cronograma. Al acreditar un sistema de información, un funcionario de la agencia acepta la responsabilidad por la seguridad del sistema y es completamente responsable de cualquier impacto adverso a la agencia si ocurre una violación de la seguridad. Por lo tanto, la responsabilidad y la rendición de cuentas son principios básicos que caracterizan la acreditación de seguridad. Es esencial que los funcionarios de la agencia cuenten con la información más completa, precisa y confiable posible sobre el estado de seguridad de sus sistemas de información para poder hacerlos oportunos, creíbles,decisiones basadas en el riesgo sobre si autorizar el funcionamiento de esos sistemas.^[11]

La información y las pruebas de apoyo necesarias para la acreditación de seguridad se desarrollan durante una revisión de seguridad detallada de un sistema de información, generalmente conocida como certificación de seguridad. La certificación de seguridad es una evaluación integral de los controles de seguridad técnicos, operativos y de gestión en un sistema de información, realizada en apoyo de la acreditación de seguridad, para determinar hasta qué punto los controles se implementan correctamente, funcionan según lo previsto y producen el resultado deseado con respecto al cumplimiento de los requisitos de seguridad del sistema. Los resultados de una certificación de seguridad se utilizan para reevaluar los riesgos y actualizar el plan de seguridad del sistema, proporcionando así la base fáctica para que un funcionario autorizador emita una decisión de acreditación de seguridad. ^[11]

Monitoreo continuo [ editar ]

Todos los sistemas acreditados deben monitorear un conjunto seleccionado de controles de seguridad y la documentación del sistema se actualiza para reflejar los cambios y modificaciones al sistema. Los grandes cambios en el perfil de seguridad del sistema deberían desencadenar una evaluación de riesgos actualizada, y es posible que sea necesario volver a certificar los controles que se modifican significativamente.

Las actividades de monitoreo continuo incluyen la administración de la configuración y el control de los componentes del sistema de información, análisis de impacto de seguridad de los cambios en el sistema, evaluación continua de los controles de seguridad e informes de estado. La organización establece los criterios de selección y posteriormente selecciona un subconjunto de los controles de seguridad empleados dentro del sistema de información para la evaluación. La organización también establece el cronograma de seguimiento de control para asegurar que se logre una cobertura adecuada.

Crítica [ editar ]

Los expertos en seguridad Bruce Brody, ex director federal de seguridad de la información, y Alan Paller, director de investigación del Instituto SANS , han descrito a FISMA como "una herramienta bien intencionada pero fundamentalmente defectuosa", argumentando que la metodología de cumplimiento y presentación de informes exigida por FISMA mide la planificación de la seguridad en lugar de medir la seguridad de la información. ^{[12] El} ex director de tecnología de la GAO , Keith Rhodes, dijo que FISMA puede y ha ayudado a la seguridad del sistema gubernamental, pero que la implementación lo es todo, y si la gente de seguridad ve a FISMA solo como una lista de verificación, no se hará nada. ^[13]

Ver también [ editar ]

Ataque (informática)
Comité de Sistemas de Seguridad Nacional
La seguridad informática
La seguridad cibernética
Guerra cibernética
Proceso de acreditación y certificación de aseguramiento de la información del Departamento de Defensa
Configuración básica federal de escritorio : estándares de seguridad NIST para estaciones de trabajo Windows
Aseguramiento de información
Seguridad de información
Sistema de gestión de seguridad de la información
Riesgo de TI
Circular OMB A-130
Protocolo de automatización de contenido de seguridad : pruebas automatizadas para el cumplimiento de la seguridad
Amenaza (computadora)
Vulnerabilidad (informática)

Referencias [ editar ]

^ a b c d "NIST: Resumen de FISMA" . Csrc.nist.gov . Consultado el 27 de abril de 2012 .
^ a b Informe del año fiscal 2005 al Congreso sobre la implementación de la Ley Federal de Administración de Seguridad de la Información de 2002
^ Informe del año fiscal 2008 al Congreso sobre la implementación de la Ley Federal de Administración de Seguridad de la Información de 2002
^ "Informe 2008 de la División de seguridad informática del NIST" . Csrc.nist.gov . Consultado el 27 de abril de 2012 .
^ "Base de datos nacional de vulnerabilidad" . Nvd.nist.gov . Consultado el 27 de abril de 2012 .
^ a b c d e f La Ley Federal de Gestión de Seguridad de la Información de 2002 (FISMA)
^ a b c d NIST SP 800-18, revisión 1, "Guía para desarrollar planes de seguridad para sistemas de información federales"
^ a b "Catálogo de publicaciones FIPS" . Csrc.nist.gov . Consultado el 27 de abril de 2012 .
^ "Catálogo de publicaciones NIST SP-800" . Csrc.nist.gov . Consultado el 27 de abril de 2012 .
^ NIST SP 800-53A "Guía para evaluar los controles de seguridad en los sistemas de información federales"
^ a b c NIST SP 800-37 "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales
^ "Government Computer News, eficiencia de FISMA cuestionada, 2007" . Gcn.com. 18 de marzo de 2007 . Consultado el 27 de abril de 2012 .
^ "Noticias de informática del gobierno, la seguridad de TI efectiva comienza con el análisis de riesgos, dice el ex CTO de GAO" . Gcn.com. 10 de junio de 2009 . Consultado el 27 de abril de 2012 .

Enlaces externos [ editar ]

Biblioteca de publicaciones especiales del NIST
Página de inicio del proyecto de implementación de NIST FISMA
Texto completo de FISMA
Memorandos OMB
Informe sobre las puntuaciones FISMA de 2004
Proyecto FISMApedia
Recursos de FISMA
Rsam: plataforma automatizada para el cumplimiento de FISMA y el monitoreo continuo

[nist_overview-1] "NIST: Resumen de FISMA" . Csrc.nist.gov . Consultado el 27 de abril de 2012 .

[omb-2] Informe del año fiscal 2005 al Congreso sobre la implementación de la Ley Federal de Administración de Seguridad de la Información de 2002

[omb08-3] Informe del año fiscal 2008 al Congreso sobre la implementación de la Ley Federal de Administración de Seguridad de la Información de 2002

[nist-4] "Informe 2008 de la División de seguridad informática del NIST" . Csrc.nist.gov . Consultado el 27 de abril de 2012 .

[5] "Base de datos nacional de vulnerabilidad" . Nvd.nist.gov . Consultado el 27 de abril de 2012 .

[fisma-6] La Ley Federal de Gestión de Seguridad de la Información de 2002 (FISMA)

[nist-sp-800-18-7] NIST SP 800-18, revisión 1, "Guía para desarrollar planes de seguridad para sistemas de información federales"

[Catalog_of_FIPS_publications-8] "Catálogo de publicaciones FIPS" . Csrc.nist.gov . Consultado el 27 de abril de 2012 .

[9] "Catálogo de publicaciones NIST SP-800" . Csrc.nist.gov . Consultado el 27 de abril de 2012 .

[assessment-10] NIST SP 800-53A "Guía para evaluar los controles de seguridad en los sistemas de información federales"

[nist-sp-800-37-11] NIST SP 800-37 "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales

[12] "Government Computer News, eficiencia de FISMA cuestionada, 2007" . Gcn.com. 18 de marzo de 2007 . Consultado el 27 de abril de 2012 .

[13] "Noticias de informática del gobierno, la seguridad de TI efectiva comienza con el análisis de riesgos, dice el ex CTO de GAO" . Gcn.com. 10 de junio de 2009 . Consultado el 27 de abril de 2012 .

[1]