Ο Ομοσπονδιακός Νόμος Διαχείρισης Ασφάλειας Πληροφοριών είναι ένας ομοσπονδιακός νόμος των Ηνωμένων Πολιτειών που ψηφίστηκε το 2002. Ο ίδιος ο νόμος αναγνωρίζει τη σημασία της ασφάλειας των πληροφοριών για τα εθνικά και οικονομικά συμφέροντα ασφάλειας των Ηνωμένων Πολιτειών. Το FISMA απαιτεί από όλες τις ομοσπονδιακές υπηρεσίες να αναπτύξουν, να εφαρμόσουν και να τεκμηριώσουν προγράμματα για την παροχή ασφάλειας για τις πληροφορίες και τα πληροφοριακά τους συστήματα.
Η ανάγκη για διαδικτυακή ασφάλεια τονίζεται στον Federal Information Security Management Act. Αναθέτει στο Γραφείο Διαχείρισης και Προϋπολογισμού (OMB) και στο Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) αρμοδιότητες που έχουν σχεδιαστεί για την ενίσχυση της ασφάλειας των πληροφοριών. Ασφάλεια πληροφοριών σημαίνει προστασία πληροφοριών και συστημάτων πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, διακοπή, αποκάλυψη, τροποποίηση, χρήση ή καταστροφή.
Ο Ομοσπονδιακός Νόμος Διαχείρισης Ασφάλειας Πληροφοριών ορίζει ότι το NIST είναι υπεύθυνο για την ανάπτυξη επαρκούς ασφάλειας πληροφοριών για όλες τις κυβερνητικές υπηρεσίες εκτός από τα εθνικά συστήματα ασφαλείας. Το NIST δημιούργησε πρότυπα και κατευθυντήριες γραμμές για την ασφάλεια των πληροφοριών που πρέπει να ακολουθούνται από όλες τις κρατικές υπηρεσίες και συνεργάζεται με καθεμία για να εξασφαλίσει τη σωστή κατανόηση και εφαρμογή του FISMA. Το NIST πρέπει επίσης να μετρήσει την αποτελεσματικότητα της εφαρμογής του FISMA.
Οι οργανισμοί πρέπει να καταγράφουν όλα τα συστήματα πληροφοριών που λειτουργούν ή βρίσκονται υπό τον έλεγχο του οργανισμού. Το απόθεμα πρέπει να προσδιορίζει τις διεπαφές μεταξύ κάθε τέτοιου συστήματος και όλων των άλλων συστημάτων, συμπεριλαμβανομένων εκείνων που δεν βρίσκονται υπό τον έλεγχο της εν λόγω υπηρεσίας. Στη συνέχεια, ο οργανισμός πρέπει να κατηγοριοποιήσει τις πληροφορίες και τα συστήματα πληροφοριών σύμφωνα με το επίπεδο κινδύνου όπως ορίζεται από τα πρότυπα του Federal Information Security Management Act και τις κατευθυντήριες γραμμές που ορίζονται από το NIST.
Το FISMA απαιτεί να πληρούνται ελάχιστες απαιτήσεις ασφαλείας από όλους τους κρατικούς φορείς. Επιτρέπει έναν βαθμό ευελιξίας στην εφαρμογή των ελάχιστων προτύπων ασφαλείας, προκειμένου να ανταποκρίνεται στις συγκεκριμένες αποστολές και τα επιχειρησιακά περιβάλλοντα όλων των φορέων. Κάθε οργανισμός πρέπει να τεκμηριώνει τις ελάχιστες απαιτήσεις ασφαλείας του.
Όλες οι υπηρεσίες πρέπει να υποβληθούν σε αξιολόγηση κινδύνου για να επαληθεύσουν τους ελέγχους ασφαλείας τους και να καθορίσουν εάν απαιτούνται πρόσθετοι έλεγχοι για το ελάχιστο ποσό ασφάλειας που έχει ήδη καθοριστεί από το FISMA και το NIST. Όλες αυτές οι πληροφορίες στη συνέχεια συγκεντρώνονται σε ένα έγγραφο που καταγράφει ορόσημα και σχέδια δράσης. Αυτό το έγγραφο αναθεωρείται περιοδικά και μπορεί να τροποποιηθεί όπως απαιτείται. Είναι η κύρια συμβολή και συνεισφορά στο τμήμα πιστοποίησης και διαπίστευσης του FISMA.
Μετά από όλα τα άλλα βήματα της πρωτοβουλίας FISMA για την ασφάλεια πληροφοριών, οι έλεγχοι και το σχέδιο ασφάλειας του συστήματος ασφαλείας τίθενται υπό εξέταση. Μετά την αναθεώρηση, ένας ανώτερος υπάλληλος της υπηρεσίας εξουσιοδοτεί τη λειτουργία του συστήματος πληροφοριών και αποδέχεται τους κινδύνους και τους ελέγχους σε αυτό. Το πληροφοριακό σύστημα είναι διαπιστευμένο. Κάθε διαπιστευμένο σύστημα απαιτείται να παρακολουθεί ένα σύνολο ελέγχων ασφαλείας. Σε περίπτωση που το σύστημα ασφαλείας αλλάξει σε μεγάλο βαθμό, απαιτείται ενημερωμένη αξιολόγηση κινδύνου, όπως και πιθανή αλλαγή στους ελέγχους.