LogCaster FISMA

Ustawa FISMA (Federal Information Security Management Act) jest częscia obowiązującej od 2002 roku regulacji EGA (Electronic Government Act) i nakazuje wszystkim agencjom rządowym rozwijać, dokumentować i wdrażać, w pełnym zakresie, programy bezpieczeństwa informacji. Ponadto FISMA wymaga aby agencje rządowe zapewniały bezpieczeństwo informacji i systemów informatycznych w zakresie operacji i zasobów.

Narodowy Instytut Standardów i Technologii (NIST) definiuje procesy, dla których wymagana jest zgodność oraz rozwija i publikuje standardy bezpieczeństwa i kontroli zgodne z FISMA. NIST publikuje w normie FIPS 200 (Federal Information Processing Standard) minimalne parametry bezpieczeństwa dla systemów komputerowych oraz sposób w jaki agencje mają wdrażać oparte na ryzyku polityki bezpieczeństwa. FIPS200 podaje linki do publikacji NIST Special Publication 800-53, Recommended Security Controls for Federal Information Systems, które rekomendują zarządcze, operacyjne i techniczne środki zabezpieczenia informacji i zapewnienia dostępności systemów informatycznych. Począwszy od 2006 roku wszystkie nowe systemy informatyczne tworzone w agencjach rządowych muszą spełniać te wymagania.

Kierownictwo organizacji jest rozliczane z terminu wdrożenia systemu mierzenia bezpieczeństwa i integracji tego systemu z procesami eksploatacji i zarządzania całościa systemu IT. Nie ma żadnej możliwości aby agencja rządowa mogła niespełnić tych wymagań. FISMA nakłada na agencje rządowe obowiązek szczegółowego raportowania i mierzenia bezpieczeństwa z uwzględnieniem istniejących ryzyk oraz posiadania planów naprawczych.