FISMA
Что такое FISMA?
FISMAФедеральный закон США, обязывающий федеральные ведомства и их подрядчиков создавать риск-ориентированные программы информационной безопасности для систем, обрабатывающих государственные данные.
Federal Information Security Modernization Act (FISMA), принятый в 2002 году и обновлённый в 2014 году, обязывает каждое федеральное ведомство разработать, задокументировать и внедрить общеведомственную программу информационной безопасности. NIST издаёт соответствующие стандарты (FIPS 199 по категоризации, FIPS 200 по минимальным контролям) и руководства (каталог SP 800-53, риск-менеджмент по SP 800-37). Ведомства обязаны инвентаризировать системы, проводить оценку рисков, выдавать Authorization to Operate (ATO), осуществлять непрерывный мониторинг контролей и ежегодно отчитываться перед OMB и Конгрессом. FISMA распространяется и на подрядчиков, а также на облачных провайдеров федеральных систем. Надзор осуществляют OMB и CISA, эффективность аудитует GAO.
● Примеры
- 01
Ведомство выдаёт ATO новой HR-системе после оценки контролей по NIST SP 800-53.
- 02
Федеральный подрядчик ведёт непрерывный мониторинг и подаёт POA&M для поддержания соответствия FISMA.
● Частые вопросы
Что такое FISMA?
Федеральный закон США, обязывающий федеральные ведомства и их подрядчиков создавать риск-ориентированные программы информационной безопасности для систем, обрабатывающих государственные данные. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает FISMA?
Федеральный закон США, обязывающий федеральные ведомства и их подрядчиков создавать риск-ориентированные программы информационной безопасности для систем, обрабатывающих государственные данные.
Как защититься от FISMA?
Защита от FISMA обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия FISMA?
Распространённые альтернативные названия: Federal Information Security Modernization Act.