Federal Information Security Management Act of 2002 (FISMA)

Fundamentos La Ley de Gestin de Seguridad de la Informacin Federal (FISMA) fue desarrollado en 2002 como reconocimiento a los Estados Unidos por la necesidad de las organizaciones para desarrollar un programa de seguridad de informacin para proteger los activos y preservar los intereses econmicos y de seguridad nacional. El proceso FISMA se basa en una variedad de estndares y marcos incluyendo NIST y FIPS. La incorporacin de la metodologa de riesgo de NIST 800-37, FISMA incluye los siguientes pasos: Clasificar por categoras Seleccionar Implementar Evaluar Autorizar Controlar Objeto de la Ley. FISMA asigna responsabilidades especficas a las agencias federales, el Instituto Nacional de Estndares y Tecnologa (NIST) y la Oficina de Administracin y Presupuesto (OMB) con el fin de reforzar la seguridad del sistema de informacin. En particular, FISMA requiere que el jefe de cada agencia para implementar polticas y procedimientos para rentable reducir los riesgos de seguridad de tecnologa de informacin a un nivel aceptable. Segn FISMA, el trmino seguridad de la informacin significa proteger la informacin y los sistemas de informacin del acceso, uso, divulgacin, alteracin, modificacin o destruccin a fin de proporcionar la integridad, confidencialidad y disponibilidad. Beneficios FISMA Certificacin y acreditacin es un requisito para cada agencia federal para desarrollar, documentar e implementar un programa de toda la agencia, mientras que proporciona seguridad de la informacin por la informacin y los sistemas de informacin que soportan las operaciones y activos de la entidad, incluyendo los proporcionados o gestionados por otra agencia, contratista, o su origen. Su objetivo general es proporcionar seguridad de la informacin. El Instituto Nacional de Estndares y Tecnologa ( NIST ) describe nueve pasos hacia el cumplimiento de FISMA: 1. Categorizar la informacin a proteger. 2. Seleccionar los controles mnimos de referencia. 3. Afinar controles mediante un procedimiento de evaluacin de riesgos. 4. Documentar los controles en el plan de seguridad del sistema. 5. Implementar controles de seguridad en sistemas de informacin adecuados. 6. Evaluar la efectividad de los controles de seguridad, una vez que se han aplicado. 7. Determinar el riesgo a nivel de agencia de la misin o de negocio. 8. Autorizar el sistema de informacin para su procesamiento. 9. Supervise los controles de seguridad de forma continua.