Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Was ist FISMA-Compliance?

Was ist FISMA-Compliance?

Mar 17, 2021

Es sollte nicht überraschen, dass die US-Bundesregierung Cybersicherheit sehr ernst nimmt. Schließlich verwalten Bundesbehörden riesige Mengen sensibler Daten, einschließlich Informationen, die die nationale und internationale Sicherheit und die öffentliche Gesundheit betreffen, sowie persönliche Informationen der meisten Einwohner des Landes.

FISMA, also bekannt als Federal Information Security Management Act, bietet einen umfassenden Rahmen und einen Satz von Anforderungen, um Bundesbehörden dabei zu helfen, einen starken, risikobasierten Ansatz für die Cybersicherheit zu etablieren.

Keine Bundesbehörde ist von den in FISMA festgelegten Richtlinien ausgenommen. Wenn Sie also Daten für eine Bundesbehörde verarbeiten oder andere Dienste anbieten, die der FISMA-Konformität unterliegen, ist es wichtig, ein fundiertes Verständnis von FISMA und dessen Auswirkungen auf Ihre täglichen Abläufe zu erlangen.

Anfrage für eine persönliche Demo:

Übersicht zur FISMA-Konformität

FISMA wurde als Teil des E-Government Act of 2002 unterzeichnet und 2014 mit einigen wichtigen Änderungen aktualisiert.

Umfang des FISMA

FISMA-Anforderungen gelten für alle US-Bundesbehörden sowie für staatliche Stellen, die Bundesprogramme wie Arbeitslosenversicherung, Studiendarlehen, Medicare und Medicaid verwalten.

Das Gesetz gilt auch für private Unternehmen, die Vertragsbeziehungen mit diesen staatlichen Agenturen haben, ein Bundesprogramm unterstützen oder Bundeszuschüsse erhalten. Private Einrichtungen, deren einzige Verbindung zur Bundesregierung darin besteht, Zuschussempfänger zu sein, werden oft überrascht, müssen jedoch die Bundesinformationssicherheitskontrollen von FISMA implementieren.

Vorteile der FISMA-Konformität

Behörden auf allen Ebenen sind in den letzten Jahren häufiger von Cyberkriminellen ins Visier genommen worden; durchgesickerte Pentagon-Dokumente sind eines der jüngsten von mehreren hochkarätigen Datenverletzungen. Datenlecks kosten Behörden erhebliche Geldsummen und können Schaden anrichten bei Personen, deren private Informationen kompromittiert wurden.

Für Nichtregierungsorganisationen ermöglicht die Einhaltung von FISMA, Auftragnehmer für Bundesbehörden zu werden. Darüber hinaus kann die freiwillige Befolgung der FISMA-Anforderungen Organisationen dabei helfen, Risiken für ihre sensiblen Daten zu verringern, was wiederum dazu beiträgt, finanzielle und andere Schäden im Zusammenhang mit data breachen zu vermeiden.

Strafen für Verstöße gegen die FISMA-Compliance

Die Nichteinhaltung von FISMA kann eine Reihe unerwünschter Folgen nach sich ziehen, einschließlich:

  • Zensur durch den Kongress
  • Reduzierung der Bundesmittel
  • Zunehmende staatliche Aufsicht
  • Rufschädigung

eBook herunterladen:

Zugehörige Richtlinien und Standards

FISMA und OMB-Richtlinien

Das Office of Management and Budget (OMB) veröffentlichte Richtlinien im April 2010, die von Behörden verlangen, Echtzeit-Systeminformationen an FISMA-Prüfer zu übermitteln, um eine kontinuierliche Überwachung von FISMA-regulierten Informationssystemen zu ermöglichen. Die OMB-Richtlinien umfassen mehrere Anforderungen, die in den Federal Information Processing Standards (FIPS) des National Institute of Standards and Technology (NIST) dargelegt sind.

Zwei FIPS-Sicherheitsstandards sind durch FISMA erforderlich:

  • FIPS 199 (Standards für die Sicherheitskategorisierung von Bundesinformationen und Informationssystemen) erfüllt die FISMA-Anforderung, Standards für die Kategorisierung von Informationen und Informationssystemen zu entwickeln. FIPS 199 fordert einen „gemeinsamen Rahmen und Verständnis“, der ein effektives Management und eine effektive Aufsicht von Programmen zur Informationssicherheit fördert und eine konsistente Berichterstattung an das OMB und den Kongress über die Angemessenheit und Wirksamkeit von Richtlinien, Verfahren und Praktiken der Informationssicherheit gewährleistet.
  • FIPS 200 (Mindestsicherheitsanforderungen für Bundesinformationen und Informationssysteme) legt die „mindestens erforderlichen Sorgfaltsmaßnahmen für die Informationssicherheit“ für Bundesbehörden fest. Ziel ist es, einen konsistenten, vergleichbaren und wiederholbaren Ansatz für die „Auswahl und Spezifikation von Sicherheitskontrollen für Informationssysteme, die den Mindestsicherheitsanforderungen entsprechen“, zu etablieren, die durch die Richtlinien vorgegeben sind.

FISMA und NIST-Standards

Mehrere NIST-Standards korrelieren direkt mit FISMA compliance, einschließlich:

  • NIST SP 800-39 (Leitfaden zur Anwendung des Risk Management Framework auf Bundesinformationssysteme) — Dieses Dokument bietet eine Anleitung zur Implementierung eines integrierten Programms für das information security risk management, um organisatorische Vermögenswerte, Personen, andere Organisationen und die USA insgesamt vor Risiken zu schützen, die aus dem Betrieb und der Nutzung von Bundesinformationssystemen resultieren. Es skizziert einen „strukturierten, aber flexiblen Ansatz“ zum Risikomanagement auf eine absichtlich breite Weise. Spezifische Direktiven zur Umsetzung dieser Programme werden in unterstützenden NIST-Standards und -Richtlinien bereitgestellt.
  • NIST SP 800-37 (Leitfaden zur Anwendung des Risk Management Framework auf föderale Informationssysteme: Ein Sicherheitslebenszyklusansatz) — Dieses Dokument bietet einen „disziplinierten, strukturierten, flexiblen Prozess für das Management von Sicherheits- und Datenschutzrisiken.“ Es beinhaltet Informationen über die Kategorisierung von Informationssicherheit, Auswahl von Kontrollen, Implementierung, Bewertung, Autorisierung von Systemen und gemeinsamen Kontrollen sowie kontinuierliche Überwachung.
  • NIST SP 800-30 (Leitfaden zur Durchführung von Risikobewertungen) — Dieses Dokument liefert Details zur Zuweisung von Risikomanagementkategorien und zur Bestimmung angemessener Maßnahmen als Reaktion auf diese Risiken. Es bietet einen Rahmen für die Durchführung des Risikobewertungsprozesses, einschließlich der Vorbereitung, Durchführung und Kommunikation der Ergebnisse einer Bewertung.
  • NIST SP 800-53 (Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen der Bundesbehörden) – Dieses Dokument katalogisiert Sicherheits- und Datenschutzkontrollen für alle Informationssysteme der Bundesbehörden mit Ausnahme derjenigen, die mit der nationalen Sicherheit zusammenhängen. Es beschreibt die Schritte des Risikomanagement-Frameworks in Bezug auf die Auswahl von Sicherheitskontrollen gemäß den Sicherheitsanforderungen in FIPS 200.
  • NIST SP 800-53A (Leitfaden zur Bewertung der Sicherheitskontrollen in föderalen Informationssystemen und Organisationen) – Dieses Dokument listet Richtlinien für die Erstellung von „effektiven Sicherheitsbewertungsplänen und Datenschutzbewertungsplänen“ auf. Es bietet auch Verfahren zur Bewertung der Wirksamkeit von Sicherheits- und Datenschutzkontrollen, die in Informationssystemen verwendet werden.

FISMA und FedRAMP

Das Federal Risk and Authorization Management Program (FedRAMP) ähnelt FISMA, da es Standards für Behörden bezüglich gefährdeter Bundesdaten bereitstellt. Jedoch konzentriert sich FedRAMP auf cloudbasierte Daten und bietet einen Weg für Behörden, die Cloud-Computing-Dienste für die FISMA-Konformität validieren müssen.

FedRAMP bietet auch Leitlinien für das Risikomanagement und die Validierung von Cloud-Diensten, die von Bundesbehörden genutzt werden. Angesichts der heutigen zunehmenden Abhängigkeit von der Cloud beinhalten viele moderne Softwarelösungen zur Einhaltung von FISMA auch Funktionen zur Compliance mit FedRAMP.

FISMA-Anforderungen

Die folgenden sieben FISMA-Anforderungen repräsentieren einige der wichtigsten Elemente des Gesetzes.

Pflegen Sie ein Inventar von Informationssystemen

An information system inventory should include all systems or networks that can access federal agency data, including those not operated by (or under the control of) the agency itself, as well as the interfaces between systems. NIST SP 800-18, Revision 1 (Guide for Developing Security Plans for Federal Information Systems) provides guidance for determining how to group information systems and their boundaries.

Informationssysteme kategorisieren

FISMA erfordert die Kategorisierung von Informationssystemen und Daten basierend auf der Auswirkung, die ein Kompromiss haben könnte:

  • Geringe Auswirkungen — Eine Beeinträchtigung der Auftragserfüllung in einem Ausmaß und über eine Dauer, bei der die Organisation immer noch in der Lage ist, ihre Hauptfunktionen auszuführen, jedoch mit spürbar verminderter Effektivität der Funktionen. Beispiele umfassen:
    • Geringfügige Schäden an Unternehmensvermögen
    • Geringer finanzieller Verlust
    • Geringfügiger Schaden für Einzelpersonen
  • Mäßige Auswirkungen — Erhebliche Beeinträchtigung der Missionsfähigkeit in einem Ausmaß und über eine Dauer, dass die Organisation immer noch in der Lage ist, ihre Hauptfunktionen auszuführen, jedoch mit erheblich reduzierter Effektivität der Funktionen. Beispiele umfassen:
    • Erheblicher Schaden an Unternehmensvermögen
    • Erheblicher finanzieller Verlust
    • Erheblicher Schaden für Personen, der keinen Verlust des Lebens oder schwere, lebensbedrohliche Verletzungen beinhaltet
  • Hohe Auswirkungen — Starke Beeinträchtigung oder Verlust der Missionsfähigkeit in einem Ausmaß und über eine Dauer, dass die Organisation nicht in der Lage ist, eine oder mehrere ihrer Hauptfunktionen auszuführen. Beispiele umfassen:
    • Erheblicher Schaden an Unternehmensvermögen
    • Erheblicher finanzieller Verlust
    • Schwerer oder katastrophaler Schaden für Personen, einschließlich Verlust des Lebens oder ernsthafter lebensbedrohlicher Verletzungen

FIPS 199 und SP 800-60 liefern Informationen zur Kategorisierung von Informationssystemen und Daten.

Entwerfen und Pflegen eines System-Sicherheitsplans

NIST SP 800-18 bietet Richtlinien für die Entwicklung und Implementierung von Sicherheitsplänen sowie für die Einrichtung eines Überprüfungsplans zur regelmäßigen Bewertung der Betriebssicherheit.

Risikobewertungen durchführen

NIST SP 800-37 und NIST SP 800-30 liefern Informationen über die Durchführung von Risikobewertungen, um aktuelle Bedrohungen zu analysieren, neue zu antizipieren und Sicherheitskontrollen auszuwählen, die das Risiko auf ein akzeptables Maß reduzieren.

Verwenden Sie angemessene Sicherheitskontrollen

FIPS 200 bietet Details zur Auswahl von Basissicherheitskontrollen und zur Anwendung angepasster Anleitungen und zusätzlicher Kontrollen nach Bedarf, basierend auf der Risikobewertung.

NIST SP 800-53 listet Sicherheitskontrollen auf, die Behörden in Betracht ziehen sollten. Diese Kontrollen können flexibel angewendet werden, sodass sie mit der Mission und der Betriebsumgebung der Behörde übereinstimmen, vorausgesetzt, die Behörde dokumentiert die ausgewählten Kontrollen in ihrem Systemsicherheitsplan.

Führen Sie kontinuierliches Monitoring durch

NIST SP 800-37 und SP 800-53A legen die Richtlinien für kontinuierliches Sicherheitssystem-Monitoring fest. Monitoring in diesem Kontext umfasst die Kategorien Systemintegrität (SI), Konfigurationsmanagement (CM), Vorfallreaktion (IR) und Audit (AU).

Führen Sie jährliche Überprüfungen durch

Um die FISMA-Konformität zu gewährleisten, müssen Behörden jährliche Überprüfungen ihrer Informationssicherheitsprogramme durchführen. Diese Überprüfungen werden von Generalinspekteuren, Chief Information Officers (CIOs) und anderen Bundesprogrammbeamten durchgeführt.

Once the reviews have been conducted, agencies report the results to the OMB, which prepares an official annual FISMA compliance report to Congress.

Achieve Certification and Accreditation (C&A)

Agencies need to achieve FISMA Certification and Accreditation (C&A) through a process that includes four phases:

  1. Initiation and planning
  2. Certification
  3. Accreditation
  4. Continuous monitoring

C&A is not a one-time event; OMB requires periodic recertification and re-accreditation for FISMA-regulated agencies.

FISMA Best Practices

To help your organization achieve and maintain FISMA compliance, follow these best practices:

  • Gain a high-level view of the sensitive data you store and process.
  • Run periodic risk assessments to identify, prioritize and remediate information security gaps.
  • Regularly evaluate how well your security controls and policies work to protect your systems.
  • Maintain evidence of how you’re complying with FISMA.
  • Monitor for updates to FISMA.
  • Conduct ongoing employee training to keep your team up to date on both FISMA requirements and cybersecurity threats.

How Netwrix Can Help

Simply knowing the answer to the question “What is FISMA compliance?” doesn’t give you the strategies you need to implement changes to your business. It certainly doesn’t give you the budget OMB changes may require.

Netwrix offers easy, cost-effective compliance audit solutions that help you secure your enterprise and satisfy auditors. With out-of-the-box templates, hardened build standards, password policies and more, you can kickstart your FISMA compliance strategy.

If you’re ready to reclaim your nights and weekends by slashing audit preparation effort by up to 85% while proving your organization meets FISMA compliance requirements, request a free demo with Netwrix today.

FAQ

1. What is FISMA?

FISMA stands for the Federal Information Security Management Act. It is a U.S. federal law that provides a comprehensive framework aimed at protecting sensitive information.

2. Who must comply with FISMA?

FISMA rules apply to all US federal government agencies, as well as state agencies that administer federal programs. It also applies to private businesses involved in contractual relationships with these state agencies, including those that provide services, support a federal program or receive federal grant money.

3. What are the penalties for FISMA noncompliance?

Government agencies and related private companies can face several penalties for failing to stay compliant with FISMA, including:

  • Censure by Congress
  • Reduction in federal funding
  • Damage to reputation
  • Increased government oversight

4. What is the relationship between NIST and FISMA?

NIST (the National Institute of Standards and Technology) publishes several guides to help organizations in achieving and maintaining compliance with FISMA.

5. What is FISMA certification?

It’s not enough for organizations to act FISMA-compliant. Once you’ve implemented the appropriate controls, you need to prove that you’re following FISMA standards. OMB lays out the certification and accreditation process, which must be repeated regularly.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Mike Tierney

Ehemaliger VP of Customer Success

Ehemaliger VP of Customer Success bei Netwrix. Er verfügt über einen vielfältigen Hintergrund, den er sich über 20 Jahre in der Softwarebranche aufgebaut hat, und hatte CEO-, COO- und VP Product Management-Positionen bei mehreren Unternehmen inne, die sich auf Sicherheit, Compliance und die Steigerung der Produktivität von IT-Teams konzentrieren.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen