FISMA
O que é FISMA?
FISMALei federal dos EUA que obriga as agências federais e os seus contratantes a implementar programas de segurança da informação baseados em risco para sistemas que tratam dados governamentais.
A Federal Information Security Modernization Act (FISMA), promulgada em 2002 e atualizada em 2014, exige que cada agência federal desenvolva, documente e implemente um programa de segurança da informação ao nível de toda a agência. Atribui ao NIST a publicação de normas (FIPS 199 para categorização, FIPS 200 para controlos mínimos) e guias (catálogo SP 800-53, quadro de gestão de risco SP 800-37). As agências devem inventariar sistemas, realizar análises de risco, conceder Authorization to Operate (ATO), monitorizar continuamente os controlos e reportar anualmente à OMB e ao Congresso. A FISMA aplica-se também a contratantes e fornecedores cloud que operam sistemas federais. A supervisão cabe à OMB e à CISA; o GAO audita a eficácia.
● Exemplos
- 01
Uma agência concede ATO a um novo sistema de RH após avaliação de controlos segundo o NIST SP 800-53.
- 02
Um contratante federal mantém monitorização contínua e POA&M para preservar a conformidade com a FISMA.
● Perguntas frequentes
O que é FISMA?
Lei federal dos EUA que obriga as agências federais e os seus contratantes a implementar programas de segurança da informação baseados em risco para sistemas que tratam dados governamentais. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa FISMA?
Lei federal dos EUA que obriga as agências federais e os seus contratantes a implementar programas de segurança da informação baseados em risco para sistemas que tratam dados governamentais.
Como se defender contra FISMA?
As defesas contra FISMA costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para FISMA?
Nomes alternativos comuns: Federal Information Security Modernization Act.