FISMA ist für US-Bundesbehörden relevant, kann sich aber auch auf die von Ihrem Unternehmen geforderten Compliance-Standards auswirken, wenn Sie für eine US-Bundesbehörde tätig sind.

Was bedeutet FISMA? FISMA steht für den Federal Information Security Management Act, der 2002 vom Kongress verabschiedet und 2014 geändert wurde. Dieses Gesetz verpflichtet US-Bundesbehörden, bestimmte Sicherheitsstandards einzuhalten, um die privaten Daten der Bürger zu schützen.

Was ist FISMA?

Im Jahr 2002 verabschiedete der US-Kongress den E-Government Act, ein umfassendes und weitreichendes Gesetz zur Verbesserung der Art und Weise, wie Regierungsbehörden ihre Informationen im digitalen Zeitalter handhaben, speichern und übermitteln. Das Gesetz konzentrierte sich insbesondere auf die Verbesserung der elektronischen Verwaltung von Regierungsinformationen, die Nutzung des Internets als Möglichkeit der Bürgerbeteiligung und die Optimierung der Zusammenarbeit zwischen den Behörden mithilfe digitaler Technologien.

Der vielleicht wichtigste Teil dieses Gesetzes (oder zumindest der bekannteste Teil) ist der Federal Information Security Management Act (FISMA). Gemäß FISMA sind US-Bundesbehörden verpflichtet, “ein behördenweites Programm zu entwickeln, zu dokumentieren und umzusetzen, um die Datensicherheit für die Informationen und Systeme zu gewährleisten, die den Betrieb und die Vermögenswerte der Behörde betreffen, einschließlich derjenigen, die von einer anderen Behörde, einem Auftragnehmer oder anderen Quellen bereitgestellt oder verwaltet werden”.

Diese Definition mag ein wenig weit gefasst erscheinen – und das ist sie auch. Aber ihre Bedeutung liegt in der Tatsache, dass es das erste Bundesgesetz war, das ausdrücklich festlegte, dass von den Behörden nicht nur erwartet wird, dass sie digitale Technologien als Teil ihrer Tätigkeit nutzen, sondern dass sie auch ziemlich strenge Standards einhalten müssen, um ihre eigenen Informationssicherheitssysteme aufzubauen und Sicherheitsmaßnahmen zum Schutz sensibler Daten zu ergreifen.

Das ursprüngliche Gesetz aus dem Jahr 2002 regelte die Aufsicht über die offiziellen Bemühungen des Staates zur Modernisierung der IT. Die Zuständigkeit für die technische Infrastruktur wurde direkt dem Office of Management and Budget (OMB) übertragen. Im Rahmen von FISMA werden die Cybersicherheitsvorschriften vom National Institute of Standards and Technology (NIST) festgelegt, das Spezifikationen und Aktualisierungen veröffentlicht, an denen sich Regierungsbehörden und Auftragnehmer orientieren. Diese Spezifikationen bilden die Grundlage für weitreichende Security Frameworks wie FedRAMP, CMMC und das Risk Management Framework.

Im Jahr 2014 änderte der Kongress das Gesetz, um es im Hinblick auf fortschrittlichere Bedrohungen und Technologien zu modernisieren. Mit der Aktualisierung von 2014 wurden einige neue Leitlinien hinzugefügt:

  • Kodifizierung der Rolle des Ministeriums für Innere Sicherheit bei der Gestaltung der Sicherheitsrichtlinien für Systeme der bundesstaatlichen Exekutive, die nicht der nationalen Sicherheit dienen
  • Klärung der Befugnisse des OMB in Bezug auf die Aufsicht über die Sicherheitsbehörden des Bundes und deren IT-Sicherheitsverfahren
  • Änderung eines Abschnitts des Gesetzes über ineffiziente Berichterstattung

Was versteht man unter FISMA Compliance?

Es gibt einige spezifische Maßnahmen, die ein Unternehmen ergreifen kann, um die FISMA-Vorgaben zu erfüllen:

  • Anwendung von Kontrollen, die in Sonderveröffentlichungen des National Institute of Standards and Technology aufgeführt sind: FISMA setzt die Implementierung von Sicherheitskontrollen innerhalb der Infrastruktur einer Behörde oder eines Partnerunternehmens voraus. Zu den wichtigsten Dokumenten gehören NIST SP 800-53 (Sicherheitskontrollen für Bundesbehörden), NIST SP 800-171 (Schutz vertraulicher, nicht klassifizierter Informationen), NIST SP 800-37 (Risk Management Framework), FIPS 199 (Standards für die Kategorisierung staatlicher IT-Systeme) und FIPS 200 (Mindestsicherheitsanforderungen für staatliche IT-Systeme).
  • IT-Systeme inventarisieren: Das Kernstück der FISMA Compliance ist die Erstellung eines Katalogs aller von einer Behörde oder einem Auftragnehmer verwendeten IT-Systeme. Dies schließt sowohl integrierte Technologie als auch die Technologie der Zulieferer ein.
  • Risikokategorisierung für Systeme: In Anlehnung an FIPS 199 wird von Behörden und Unternehmen erwartet, dass sie ihre Systeme gemäß den FIPS 199-Kategorien klassifizieren, die die System-Sicherheitsanforderungen auf einer Skala von geringer, mäßiger bis schwerwiegender Auswirkung einstufen. Jede Stufe bringt in der Regel unterschiedliche Anforderungen für die Behörde mit sich.
  • Erstellung eines Systemsicherheitsplans: Ein Sicherheitsplan ist ein umfassender Plan, in dem Sicherheitskontrollen und Ansätze für Wartung, Upgrades und Bewertungen festgelegt sind. Frameworks wie CMMC und FedRAMP enthalten die Anforderung eines Sicherheitsplans, um die FISMA-Vorgaben zu erfüllen.
  • Zertifizierung und Akkreditierung: Die Einhaltung der FISMA-Vorgaben wird durch einen vom OMB verwalteten Akkreditierungsprozess sichergestellt. Das OMB verlangt alle drei Jahre neue Zertifizierungsprüfungen.

Neben diesen Anforderungen schlägt das NIST vor, dass Unternehmen, die sich um die Einhaltung der Vorgaben bemühen, den siebenstufigen Prozess befolgen, der im Risk Management Framework beschrieben ist. Diese Schritte sind wie folgt:

  • Vorbereitung auf das Risikomanagement durch Ausrichtung der organisatorischen Ressourcen und Prioritäten auf die Risikobewertung und -dokumentation, die Erstellung von Risikomanagementplänen und die Entwicklung eines Risikomanagementprogramms.
  • Kategorisierung aller IT-Systeme im Unternehmen nach den in FIPS 199 definierten Kategorien (geringe, mäßige und schwerwiegende Auswirkungen).
  • Auswahl der erforderlichen Kontrollen aus NIST 800-53 auf der Grundlage von Risikobewertungen (einschließlich aller über die FISMA Compliance hinausgehenden erforderlichen Kontrollen).
  • Implementierung dieser Kontrollen und Dokumentation der Implementierung zur künftigen Überwachung und Optimierung.
  • Bewertung der Kontrollen und der Umsetzung, um die ordnungsgemäße Funktionalität festzustellen und die Ergebnisse der Umsetzung zu messen.
  • Genehmigung des Systembetriebs durch leitende Angestellte und IT-Manager, die das Risikoprofil und die Cybersicherheitslage des Unternehmens kennen.
  • Kontinuierliche Überwachung aller Kontrollen im Hinblick auf Änderungen der Funktionsweise oder des Risikos oder zur Vorbereitung von Upgrades.

Was sind die Unterschiede zwischen FISMA und FedRAMP?

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-amerikanisches Compliance Framework für Cybersicherheit, das sich an Cloud-Service-Provider richtet, die Produkte oder Dienstleistungen für Regierungsbehörden anbieten.

Ähnlich wie FISMA stützt sich auch FedRAMP auf NIST 800-53, um die für die Compliance erforderlichen Sicherheitskontrollen zu definieren. Es nutzt auch FIPS 199 und FIPS 200, um Sicherheitsstufen und geeignete Sicherheitstechnologien wie Verschlüsselung und Kryptografie zu definieren. FedRAMP wird manchmal auch als “FISMA für die Cloud” bezeichnet.

FedRAMP enthält jedoch einige Anforderungen, die über FISMA hinausgehen, darunter die folgenden:

  • Behörde als Unterstützer: Im Kern wendet FedRAMP FISMA-ähnliche Compliance-Standards auf Cloud-Provider (Anbieter) an, die mit Behörden zusammenarbeiten, und nicht auf die Behörden selbst. Daher gelten diese Anforderungen für Cloud-Produkte, die von Regierungsbehörden genutzt werden, und diese Behörden müssen Cloud-Dienstanbieter für die FedRAMP Authorization to Operate (ATO) auf der Grundlage ihrer technologischen Anforderungen unterstützen.
  • Third-Party Assessments: Im Gegensatz zu FISMA verlangt FedRAMP von Cloud Solution Providern (CSPs), dass sie sich regelmäßigen Audits durch sogenannte Third-Party-Assessment-Organisationen (3PAOs) unterziehen. Diese zertifizierten Sicherheitsunternehmen bieten objektive und faire Sicherheitsbewertungen von CSPs, um die Einhaltung der Vorschriften zu gewährleisten.
  • Governance: Sowohl FedRAMP als auch FISMA fallen in den Zuständigkeitsbereich des Office of Management and Budget (OMB). FedRAMP umfasst jedoch mehr Organisationen als Teil seiner Verwaltungsstruktur. Dem FedRAMP Project Management Office (PMO) und dem Joint Authorization Board (JAB) gehören Vertreter mehrerer Behörden an, darunter das OMB, das Ministerium für Innere Sicherheit (Department of Homeland Security, DHS), das National Institute of Standards and Technology (NIST) und das Verteidigungsministerium (Department of Defense, DoD).

FedRAMP spielt somit eine wichtige Rolle bei der Sicherstellung, dass Cloud-Produkte und -Dienste, deren Nutzung im Bereich der öffentlichen Verwaltung rasch zunimmt, die FISMA-Anforderungen einhalten.

Umsetzung der FISMA-Standards und Beitrag zum Staatsschutz

Das Wichtigste an Standards wie FISMA (und FedRAMP) ist, dass sie ein hohes Maß an Sicherheit für Behörden bieten, die mit kritischen operativen Informationen für Regierungsbehörden sowie mit persönlichen Informationen von US-Bürgern umgehen. Daher bedeutet die Zusammenarbeit mit Regierungsbehörden, dass Auftragnehmer mit solchen Informationen umgehen können, und es ist ihre Pflicht, diese zu schützen.

Die Kiteworks-Plattform ist ein Cloud-basiertes Content-Management- und Governance-System, mit dem Unternehmen Compliance-Standards einhalten können, ohne dabei Abstriche bei der Funktionalität für Unternehmen zu machen. Dazu gehört die Umsetzung komplexer Vorschriften wie FISMA und FedRAMP.

Wenn Sie mehr über Kiteworks erfahren möchten, setzen Sie sich mit uns in Verbindung und fordern Sie eine kostenlose, auf Ihren Bedarf zugeschnittene Demo an.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks