Definición y propósito

FIPS 199 define los criterios para categorizar los sistemas de información basándose en el nivel de impacto asociado con la posible pérdida de confidencialidad, integridad o disponibilidad de esos sistemas de información o de la información que estos procesan, almacenan o transmiten. Esta categorización se utiliza entonces como punto de partida para que las agencias federales determinen las medidas de seguridad y controles adecuados para sus sistemas de información.

FIPS 199 está diseñado para ayudar a las agencias federales a cumplir con los requisitos de FISMA y proporcionar un marco común y una comprensión para expresar la seguridad. Esto promueve una gestión y supervisión efectivas de los programas de seguridad de la información y una presentación de informes coherente a la Oficina de Gestión y Presupuesto (OMB) y al Congreso sobre la adecuación y efectividad de las políticas, procedimientos y prácticas de seguridad de la información.

Cuerpo Gobernante

FIPS 199 fue emitido por el Instituto Nacional de Estándares y Tecnología (NIST), que es una agencia del Departamento de Comercio de los EE.UU. Bajo FISMA, NIST recibió la tarea de desarrollar y mantener estándares y directrices para la seguridad de la información, incluidas las publicaciones de FIPS.

Última actualización

FIPS 199 fue publicado en febrero de 2004 y no ha tenido actualizaciones importantes.

Se aplica a

FIPS 199 se aplica a las agencias federales que necesitan proteger la información y los sistemas de información que apoyan sus operaciones y activos.

Controles y requisitos

FIPS 199 en sí mismo no proporciona una lista específica de controles o requisitos de seguridad. En cambio, ayuda a las organizaciones a categorizar los sistemas de información en función del impacto potencial que tendría una pérdida de confidencialidad, integridad y/o disponibilidad sobre las operaciones, activos o individuos de la organización. Los tres niveles de impacto son: Bajo, Moderado y Alto. Basándose en el nivel de impacto, las organizaciones pueden aplicar el conjunto adecuado de controles de seguridad básicos en la Publicación Especial 800-53 de NIST.

Consulte la documentación oficial de FIPS 199 para obtener más información.

Tipo de auditoría, frecuencia y duración

Las agencias federales sujetas a FIPS 199 también están sujetas a FISMA, que requiere que el inspector general o un auditor externo independiente de cada agencia federal realice una evaluación independiente para determinar la efectividad de las políticas, procedimientos y prácticas de seguridad de la información que apoyan los programas de seguridad de la información de su agencia anualmente.

Se requiere que las agencias incluyan los resultados de estas evaluaciones en informes anuales y los envíen a la OMB. Luego, OMB debe resumir los resultados en informes anuales al Congreso.