Government Information Security Reform Act

De Government Information Security Reform Act (voorheen bekend als de Thompson-Liebermann Act) is een federale wet die Amerikaanse overheidsinstanties verplichtte een informatiebeveiligingsprogramma te implementeren dat planning, beoordeling en bescherming omvat.Deze wet werd in 2000 uitgevaardigd en in 2002 vervangen door de Federal Information Security Management Act (FISMA).

Op grond van de Government Information Security Reform Act (GISRA) moesten overheidsinstanties risicobeoordelingen van niet-gerubriceerde systemen uitvoeren, een beveiligingsbeleid en beveiligingsprocedures voor gegevens ontwikkelen en uitvoeren, een proces ontwikkelen om zwakke plekken in de beveiliging te verhelpen en medewerkers van overheidsinstanties bewust maken van de beveiliging. Bovendien moesten de hoofden van agentschappen ervoor zorgen dat het informatiebeveiligingsplan gedurende de hele levenscyclus van elk systeem werd uitgeoefend, en dat het programma en zijn beheer, operationele en IT-controles werden geëvalueerd door de juiste functionarissen van de agentschappen.

De eisen in de GISRA waren niet nieuw. In de wet zijn eisen uit andere federale verordeningen samengevoegd, waaronder de Computer Security Act van 1987, de Paperwork Reduction Act van 1995, en de Clinger-Cohen Act van 1996. In tegenstelling tot de andere verordeningen, legde de GISRA de agentschappen echter een verantwoordelijkheid op door de nalevingsverslagen te koppelen aan de begrotingscyclus. Elk agentschap moest zijn nalevingsverslag jaarlijks indienen bij het Office of Management and Budget (OMB). Agentschappen die de GISRA niet naleefden, riskeerden middelen te verliezen. De GISRA voorzag echter niet in middelen voor beoordelingen en dit veroorzaakte problemen bij de inspanningen van de agentschappen om aan de wet te voldoen.

De wet bevatte ook geen specifieke voorschriften over het soort IT-controles dat de agentschappen moesten uitvoeren. Het National Institute of Standards and Technology (NIST) en de OMB adviseerden eenvoudigweg dat de beschermingsmaatregelen in overeenstemming moeten zijn met het risiconiveau van de activiteiten en activa van de agentschappen. Geen enkele reeks controles zou geschikt zijn voor elk agentschap of zelfs elk systeem, maar specifiekere normen voor gedefinieerde risiconiveaus zouden agentschappen niet alleen hebben geholpen om de naleving te waarborgen, maar zouden ook een standaardkader voor beoordeling hebben geboden, de adequate bescherming van gedeelde gegevens hebben gegarandeerd en de inspanningen - en middelen - die nodig zijn om GISRA-naleving te bereiken, hebben verminderd.

Zie ook: Federal Information Security Management Act (FISMA)

Lees meer:

De oorspronkelijke memo voor het vaststellen van GISRA is online te vinden.