stringtranslate.com

Ley Federal de Gestión de Seguridad de la Información de 2002

La Ley Federal de Gestión de Seguridad de la Información de 2002 ( FISMA , 44 USC  § 3541, et seq. ) es una ley federal de los Estados Unidos promulgada en 2002 como Título III de la Ley de Gobierno Electrónico de 2002 ( Pub. L.Información sobre herramientas sobre derecho público (Estados Unidos) 107–347 (texto) (PDF), 116  Stat.  2899). La ley reconoció la importancia de la seguridad de la información para los intereses económicos y de seguridad nacional de los Estados Unidos. [1] La ley requiere que cada agencia federal desarrolle, documente e implemente un programa para toda la agencia para brindar seguridad de la información y los sistemas de información que respaldan las operaciones y los activos de la agencia, incluidos aquellos proporcionados o administrados por otra agencia. contratista u otra fuente. [1]

FISMA ha llamado la atención dentro del gobierno federal sobre la ciberseguridad y ha enfatizado explícitamente una "política basada en riesgos para una seguridad rentable". [1] FISMA exige que los funcionarios del programa de la agencia, los directores de información y los inspectores generales (IG) realicen revisiones anuales del programa de seguridad de la información de la agencia e informen los resultados a la Oficina de Gestión y Presupuesto (OMB). La OMB utiliza estos datos para ayudar en sus responsabilidades de supervisión y para preparar este informe anual al Congreso sobre el cumplimiento de la ley por parte de la agencia. [2] En el año fiscal 2008, las agencias federales gastaron $6.2 mil millones para asegurar la inversión total del gobierno en tecnología de la información de aproximadamente $68 mil millones o alrededor del 9,2 por ciento de la cartera total de tecnología de la información. [3] Esta ley ha sido modificada por la Ley Federal de Modernización de la Seguridad de la Información de 2014 ( Pub. L.Información sobre herramientas sobre derecho público (Estados Unidos) 113–283 (texto) (PDF)), a veces conocido como FISMA2014 o Reforma FISMA. FISMA2014 eliminó los subcapítulos II y III del capítulo 35 del título 44 del Código de los Estados Unidos, modificándolo con el texto de la nueva ley en un nuevo subcapítulo II ( 44 USC  § 3551).

Objeto del acto

FISMA asigna responsabilidades específicas a las agencias federales , el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina de Gestión y Presupuesto (OMB) con el fin de fortalecer los sistemas de seguridad de la información. En particular, FISMA requiere que el jefe de cada agencia implemente políticas y procedimientos para reducir de manera rentable los riesgos de seguridad de la tecnología de la información a un nivel aceptable. [2]

Según FISMA, el término seguridad de la información significa proteger la información y los sistemas de información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados con el fin de brindar integridad, confidencialidad y disponibilidad.

Implementación de FISMA

De acuerdo con FISMA, el NIST es responsable de desarrollar estándares, pautas y métodos y técnicas asociados para brindar seguridad de la información adecuada para todas las operaciones y activos de la agencia, excluyendo los sistemas de seguridad nacionales. NIST trabaja en estrecha colaboración con agencias federales para mejorar su comprensión e implementación de FISMA para proteger su información y sus sistemas de información y publica estándares y pautas que proporcionan la base para programas sólidos de seguridad de la información en las agencias. El NIST desempeña sus responsabilidades legales a través de la División de Seguridad Informática del Laboratorio de Tecnología de la Información. [4] NIST desarrolla estándares, métricas, pruebas y programas de validación para promover, medir y validar la seguridad en sistemas y servicios de información. NIST alberga lo siguiente:

Marco de cumplimiento definido por FISMA y estándares de respaldo

FISMA define un marco para gestionar la seguridad de la información que debe seguirse para todos los sistemas de información utilizados u operados por una agencia del gobierno federal de EE. UU. en los poderes ejecutivo o legislativo, o por un contratista u otra organización en nombre de una agencia federal en esas ramas. Este marco está definido con más detalle por los estándares y pautas desarrollados por NIST . [6]

Inventario de sistemas de información.

FISMA requiere que las agencias cuenten con un inventario de sistemas de información. Según FISMA, el jefe de cada agencia deberá desarrollar y mantener un inventario de los principales sistemas de información (incluidos los principales sistemas de seguridad nacional) operados por o bajo el control de dicha agencia [6] La identificación de los sistemas de información en un inventario bajo esta subsección deberá incluir una identificación de las interfaces entre cada uno de dichos sistemas y todos los demás sistemas o redes, incluidos aquellos que no son operados o bajo el control de la agencia. [6] El primer paso es determinar qué constituye el " sistema de información " en cuestión. No existe una correspondencia directa de las computadoras con un sistema de información; más bien, un sistema de información puede ser un conjunto de computadoras individuales destinadas a un propósito común y administradas por el mismo propietario del sistema. NIST SP 800-18, Revisión 1, Guía para el desarrollo de planes de seguridad para sistemas de información federales [7] proporciona orientación para determinar los límites del sistema .

Clasificar la información y los sistemas de información según el nivel de riesgo.

Toda la información y los sistemas de información deben clasificarse en función de los objetivos de proporcionar niveles adecuados de seguridad de la información de acuerdo con una variedad de niveles de riesgo [6] El primer estándar de seguridad obligatorio requerido por la legislación FISMA, FIPS 199 "Estándares para la categorización de seguridad de la información federal y Sistemas de Información" [8] proporciona las definiciones de categorías de seguridad. Las pautas las proporciona NIST SP 800-60 "Guía para asignar tipos de información y sistemas de información a categorías de seguridad". [9]

La categorización general del sistema FIPS 199 es el "nivel máximo" para la calificación de impacto de cualquiera de los criterios para los tipos de información residentes en un sistema. Por ejemplo, si un tipo de información en el sistema tiene una calificación de "Baja" para "confidencialidad", "integridad" y "disponibilidad", y otro tipo tiene una calificación de "Baja" para "confidencialidad" y "disponibilidad", pero una calificación de "Moderado" para "integridad", entonces el nivel de impacto para "integridad" también pasa a ser "Moderado".

Controles de seguridad

Los sistemas de información federales deben cumplir con los requisitos mínimos de seguridad. [6] Estos requisitos están definidos en el segundo estándar de seguridad obligatorio requerido por la legislación FISMA, FIPS 200 "Requisitos mínimos de seguridad para información y sistemas de información federales". [8] Las organizaciones deben cumplir con los requisitos mínimos de seguridad seleccionando los controles de seguridad y los requisitos de garantía adecuados, como se describe en la Publicación especial 800-53 del NIST , "Controles de seguridad recomendados para sistemas de información federales". El proceso de selección de los controles de seguridad apropiados y los requisitos de aseguramiento para que los sistemas de información organizacional logren una seguridad adecuada es una actividad multifacética basada en riesgos que involucra al personal administrativo y operativo dentro de la organización. Las agencias tienen flexibilidad para aplicar los controles de seguridad básicos de acuerdo con la guía de adaptación proporcionada en la Publicación Especial 800-53. Esto permite a las agencias ajustar los controles de seguridad para que se ajusten mejor a los requisitos de su misión y a los entornos operativos. Los controles seleccionados o planificados deben estar documentados en el Plan de Seguridad del Sistema.

Evaluación de riesgos

La combinación de FIPS 200 y la publicación especial 800-53 del NIST requiere un nivel fundamental de seguridad para toda la información y los sistemas de información federales. La evaluación de riesgos de la agencia valida el conjunto de controles de seguridad y determina si se necesitan controles adicionales para proteger las operaciones de la agencia (incluidas la misión, funciones, imagen o reputación), los activos de la agencia, los individuos, otras organizaciones o la Nación. El conjunto resultante de controles de seguridad establece un nivel de "debida diligencia de seguridad" para la agencia federal y sus contratistas. [10] Una evaluación de riesgos comienza identificando amenazas y vulnerabilidades potenciales y asignando los controles implementados a las vulnerabilidades individuales. Luego se determina el riesgo calculando la probabilidad y el impacto de que cualquier vulnerabilidad dada pueda ser explotada, teniendo en cuenta los controles existentes. La culminación de la evaluación de riesgos muestra el riesgo calculado para todas las vulnerabilidades y describe si el riesgo debe aceptarse o mitigarse. Si se mitiga mediante la implementación de un control, es necesario describir qué controles de seguridad adicionales se agregarán al sistema.

El NIST también inició el Programa de automatización de la seguridad de la información (ISAP) y el Protocolo de automatización de contenidos de seguridad (SCAP) que respaldan y complementan el enfoque para lograr evaluaciones de control de seguridad consistentes y rentables.

Plan de seguridad del sistema

Las agencias deben desarrollar políticas sobre el proceso de planificación de la seguridad del sistema. [6] NIST SP-800-18 introduce el concepto de Plan de seguridad del sistema. [7] Los planes de seguridad del sistema son documentos vivos que requieren revisión, modificación y planes de acción periódicos e hitos para implementar controles de seguridad. Deben existir procedimientos que describan quién revisa los planes, mantiene el plan actualizado y realiza un seguimiento de los controles de seguridad planificados. [7]

El plan de seguridad del sistema es el principal insumo para el proceso de certificación y acreditación de seguridad del sistema. Durante el proceso de certificación y acreditación de seguridad se analiza, actualiza y acepta el plan de seguridad del sistema. El agente de certificación confirma que los controles de seguridad descritos en el plan de seguridad del sistema son consistentes con la categoría de seguridad FIPS 199 determinada para el sistema de información, y que la identificación de amenazas y vulnerabilidades y la determinación inicial del riesgo están identificadas y documentadas en el plan de seguridad del sistema, riesgo evaluación, o documento equivalente. [7]

Certificación y acreditación

Una vez que se haya completado la documentación del sistema y la evaluación de riesgos, los controles del sistema deben revisarse y certificarse para que funcionen adecuadamente. Con base en los resultados de la revisión, se acredita el sistema de información. El proceso de certificación y acreditación está definido en NIST SP 800-37 "Guía para la certificación de seguridad y acreditación de sistemas de información federales". [11] La acreditación de seguridad es la decisión de gestión oficial dada por un alto funcionario de una agencia para autorizar el funcionamiento de un sistema de información y aceptar explícitamente el riesgo para las operaciones de la agencia, los activos de la agencia o las personas en función de la implementación de un conjunto de medidas de seguridad acordadas. control S. Requerida por la Circular OMB A-130 , Apéndice III, la acreditación de seguridad proporciona una forma de control de calidad y desafía a los gerentes y al personal técnico en todos los niveles a implementar los controles de seguridad más efectivos posibles en un sistema de información, dados los requisitos de la misión, las limitaciones técnicas y las limitaciones operativas. y restricciones de costo/cronograma. Al acreditar un sistema de información, un funcionario de la agencia acepta la responsabilidad por la seguridad del sistema y es plenamente responsable de cualquier impacto adverso para la agencia si ocurre una violación de la seguridad. Por lo tanto, la responsabilidad y la rendición de cuentas son principios básicos que caracterizan la acreditación de seguridad. Es esencial que los funcionarios de la agencia tengan la información más completa, precisa y confiable posible sobre el estado de seguridad de sus sistemas de información para poder tomar decisiones oportunas, creíbles y basadas en riesgos sobre si autorizar el funcionamiento de esos sistemas. [11]

La información y la evidencia de respaldo necesarias para la acreditación de seguridad se desarrollan durante una revisión de seguridad detallada de un sistema de información, generalmente denominada certificación de seguridad. La certificación de seguridad es una evaluación integral de los controles de seguridad técnicos, operativos y de gestión en un sistema de información, realizada en apoyo de la acreditación de seguridad, para determinar en qué medida los controles se implementan correctamente, funcionan según lo previsto y producen el resultado deseado con respecto al cumplimiento de los requisitos de seguridad del sistema. Los resultados de una certificación de seguridad se utilizan para reevaluar los riesgos y actualizar el plan de seguridad del sistema, proporcionando así la base fáctica para que un funcionario autorizado tome una decisión de acreditación de seguridad. [11]

Monitoreo continuo

Todos los sistemas acreditados deben monitorear un conjunto seleccionado de controles de seguridad y la documentación del sistema se actualiza para reflejar los cambios y modificaciones del sistema. Los cambios importantes en el perfil de seguridad del sistema deberían desencadenar una evaluación de riesgos actualizada, y es posible que sea necesario volver a certificar los controles que se modifican significativamente.

Las actividades de monitoreo continuo incluyen gestión de la configuración y control de los componentes del sistema de información, análisis del impacto de los cambios en el sistema en la seguridad, evaluación continua de los controles de seguridad e informes de estado. La organización establece los criterios de selección y posteriormente selecciona un subconjunto de los controles de seguridad empleados dentro del sistema de información para su evaluación. La organización también establece el cronograma de seguimiento del control para garantizar que se logra una cobertura adecuada.

Crítica

Los expertos en seguridad Bruce Brody, ex director federal de seguridad de la información, y Alan Paller , director de investigación del Instituto SANS , han descrito a FISMA como "una herramienta bien intencionada pero fundamentalmente defectuosa", argumentando que la metodología de cumplimiento y presentación de informes exigida por FISMA mide la planificación de la seguridad en lugar de medir la seguridad de la información. [12] El ex director de tecnología de la GAO, Keith Rhodes, dijo que FISMA puede ayudar y ha ayudado a la seguridad del sistema gubernamental, pero que la implementación lo es todo, y si la gente de seguridad ve a FISMA solo como una lista de verificación, no se hará nada. [13]

Ver también

Referencias

  1. ^ abcd "NIST: descripción general de FISMA". Csrc.nist.gov . Consultado el 27 de abril de 2012 .
  2. ^ ab Informe del año fiscal 2005 al Congreso sobre la implementación de la Ley federal de gestión de la seguridad de la información de 2002
  3. ^ Informe del año fiscal 2008 al Congreso sobre la implementación de la información federal
  4. ^ "Informe de 2008 de la División de Seguridad Informática del NIST". Csrc.nist.gov . Consultado el 27 de abril de 2012 .
  5. ^ "Base de datos nacional de vulnerabilidades". NVD.nist.gov . Consultado el 27 de abril de 2012 .
  6. ^ abcdef Ley federal de gestión de la seguridad de la información de 2002 (FISMA)
  7. ^ abcd NIST SP 800-18, Revisión 1, "Guía para desarrollar planes de seguridad para sistemas de información federales"
  8. ^ ab "Catálogo de publicaciones FIPS". Csrc.nist.gov . Consultado el 27 de abril de 2012 .
  9. ^ "Catálogo de publicaciones NIST SP-800". Csrc.nist.gov . Consultado el 27 de abril de 2012 .
  10. ^ NIST SP 800-53A "Guía para evaluar los controles de seguridad en los sistemas de información federales"
  11. ^ abc NIST SP 800-37 "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales
  12. ^ "Government Computer News, eficiencia de FISMA cuestionada, 2007". Gcn.com. 18 de marzo de 2007 . Consultado el 27 de abril de 2012 .
  13. ^ "Government Computer News. La seguridad informática eficaz comienza con el análisis de riesgos, dice el ex CTO de GAO". Gcn.com. 10 de junio de 2009 . Consultado el 27 de abril de 2012 .

enlaces externos