Il Government Information Security Reform Act (GISRA) è una legge approvata nel 2002 dal Congresso degli Stati Uniti per migliorare la sicurezza dei sistemi informativi federali. La legge richiede alle agenzie federali di sviluppare, documentare e implementare un programma di sicurezza delle informazioni per proteggere la riservatezza, la disponibilità e l'integrità delle informazioni e dei sistemi informativi che supportano le operazioni e i beni dell'agenzia.
Il GISRA è stato creato per migliorare la sicurezza dei sistemi informativi federali e per contribuire a proteggere l'integrità e la riservatezza dei dati governativi. La legge fornisce anche un quadro di riferimento per le agenzie per valutare l'adeguatezza dei loro programmi di sicurezza e fornisce indicazioni per lo sviluppo e l'attuazione di un programma di sicurezza efficace.
Il GISRA si applica a tutte le agenzie federali e ai loro appaltatori, subappaltatori e altre organizzazioni che raccolgono, archiviano, elaborano o trasmettono informazioni governative. Ciò include tutto il personale federale, compresi gli appaltatori, e qualsiasi altra entità non governativa che elabora, conserva o trasmette informazioni governative.
Il GISRA richiede alle agenzie di sviluppare, documentare e implementare un programma di sicurezza delle informazioni e di valutare regolarmente l'efficacia del programma. Il programma deve includere politiche, standard e procedure di sicurezza che proteggano la riservatezza, l'integrità e la disponibilità delle informazioni governative.
Ai sensi del GISRA, le agenzie devono condurre una valutazione del rischio per identificare le minacce e le vulnerabilità e valutare l'impatto di potenziali incidenti di sicurezza. La valutazione del rischio deve includere un'analisi dei controlli di sicurezza in atto e della probabilità che si verifichi un incidente di sicurezza.
Il GISRA richiede alle agenzie di sviluppare un piano di sicurezza che delinei le misure di sicurezza da adottare per proteggere i sistemi informativi governativi. Il piano di sicurezza deve includere una descrizione dei controlli di sicurezza che saranno implementati e le procedure per l'implementazione e il test dei controlli.
Il GISRA richiede alle agenzie di monitorare costantemente la sicurezza dei propri sistemi informativi. Le agenzie devono segnalare qualsiasi incidente di sicurezza alle autorità competenti e devono documentare le loro attività di sicurezza.
Il GISRA richiede alle agenzie di conformarsi ai requisiti della legge e di garantire che i loro programmi di sicurezza siano efficaci. Le agenzie devono inoltre fornire al proprio personale una formazione sulle politiche e sulle procedure di sicurezza e devono rivedere i propri programmi di sicurezza su base annuale.
Il GISRA impone alle agenzie di garantire la conformità alla legge e la mancata conformità può comportare sanzioni civili o penali. Le agenzie devono inoltre essere consapevoli delle leggi federali, statali e locali applicabili alle loro operazioni e devono adottare le misure appropriate per conformarsi a tali leggi.
Conclusione
Il Government Information Security Reform Act è una legge creata per migliorare la sicurezza dei sistemi informativi federali e proteggere la riservatezza, la disponibilità e l'integrità delle informazioni governative. La legge richiede alle agenzie di sviluppare e implementare un programma di sicurezza delle informazioni e di valutarne regolarmente l'efficacia. Le agenzie devono inoltre rispettare i requisiti della legge e il mancato rispetto di tali requisiti può comportare sanzioni.
Il Federal Information Security Management Act del 2022 (FISMA) è una legge federale degli Stati Uniti che stabilisce un quadro per la sicurezza delle informazioni elettroniche. La legge richiede a tutte le agenzie federali di sviluppare, documentare e implementare programmi di sicurezza delle informazioni e impone requisiti di sicurezza a tutti gli appaltatori e i fornitori di servizi che lavorano con il governo. Il FISMA stabilisce anche un processo di certificazione e accreditamento dei sistemi informatici.
Il Federal Information Security Modernization Act of 2014 (S. 2521) è stato presentato al Senato il 9 luglio 2014 dai senatori Tom Carper (D-DE) e Roy Blunt (R-MO). Il disegno di legge codificherebbe molte delle raccomandazioni chiave della Commissione bipartisan sulla sicurezza informatica per la 44ª Presidenza, nota anche come Cyberspace Policy Review, pubblicata nel 2009. La legislazione si baserebbe anche sul lavoro del National Institute of Standards and Technology (NIST) per sviluppare e implementare un quadro di sicurezza informatica basato sul rischio.
Il disegno di legge prevede che il Presidente sviluppi una strategia globale per proteggere le reti e i sistemi informatici del governo federale. La strategia dovrebbe essere aggiornata ogni quattro anni e dovrebbe affrontare, tra le altre cose, le seguenti questioni:
- Individuazione e prioritizzazione dei rischi per la sicurezza delle informazioni;
- Sviluppo e implementazione di controlli di sicurezza basati sul rischio;
- Monitoraggio e diagnostica continua e mitigazione dei rischi per la sicurezza;
- Condivisione delle informazioni sui rischi e sugli incidenti per la sicurezza; e
- Miglioramento della consapevolezza e della formazione in materia di sicurezza.
Il disegno di legge richiederebbe inoltre ai capi delle agenzie federali di sviluppare e attuare piani per affrontare i rischi per la sicurezza delle informazioni identificati nella strategia del Presidente. Questi piani dovrebbero essere aggiornati annualmente e dovrebbero riguardare, tra l'altro, i seguenti aspetti:
- Rivedere e aggiornare le politiche e le procedure di sicurezza delle informazioni;
- Implementare i controlli di sicurezza;
- Condurre valutazioni di sicurezza;
- Monitorare e rispondere agli incidenti di sicurezza; e
- Riportare le informazioni sugli incidenti e sui rischi di sicurezza al sistema di reporting centralizzato del governo federale.
Inoltre, il disegno di legge prevede la creazione di una nuova posizione all'interno del Dipartimento per la Sicurezza Nazionale (DHS) che funga da Chief Information Security Officer (CISO) del governo federale. Il CISO sarebbe responsabile della supervisione dell'attuazione della strategia del Presidente e dei piani specifici delle agenzie e riferirebbe direttamente al Segretario della Sicurezza interna.
Il disegno di legge autorizzerebbe inoltre il DHS a fornire assistenza tecnica e orientamento alle agenzie federali in materia di sicurezza informatica e gli conferirebbe l'autorità di emettere multe e sanzioni per le agenzie che non si conformano ai requisiti del disegno di legge.