Um die sensiblen Informationen und die kritische Infrastruktur zu schützen, hat die US-Regierung mehrere Standards und Rahmenbedingungen für die Informationssicherheit erstellt, um Risiken zu mindern und die Datensicherheit zu verbessern. Einer dieser entscheidenden Rahmenbedingungen ist der NIST 800-53.

Der NIST 800-53 dient als Plan zur Implementierung von Sicherheits- und Datenschutzkontrollen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und föderalen Systemen sowie die Vertraulichkeit von Individuen zu gewährleisten. Er bietet einen strukturierten Ansatz für das Management von Cybersecurity-Risiken, um die kritische Infrastruktur der Vereinigten Staaten zu schützen und die Informationssysteme zu sichern, die die wesentlichen Operationen und Vermögenswerte im öffentlichen und privaten Sektor unterstützen.

In diesem Blogartikel werden wir die Feinheiten der NIST 800-53-Einhaltung untersuchen, indem wir über seine grundlegenden Prinzipien, seine Kontrollfamilien, Passwortanforderungen, Zertifizierung, das Risikomodell und vieles mehr diskutieren.

Was ist der NIST 800-53?

Das National Institute of Standards and Technology (NIST) 800-53 ist ein vom US-Government erstellter Sicherheitsstandard und -rahmen, der Organisationen dabei helfen soll, ihre Informationssicherheitssysteme zu gestalten und zu verwalten sowie das Federal Information Security Modernization Act (FISMA) einzuhalten.

Da der Rahmen grundlegende Sicherheits- und Datenschutzkontrollen für föderale Informationssysteme und -organisationen enthält, ist der NIST 800-53 für Bundesbehörden obligatorisch. Darüber hinaus kann jede Organisation, die mit der Bundesregierung arbeitet oder föderale Daten transportiert, verpflichtet sein, den NIST 800-53 oder das NIST CSF einzuhalten, um die Beziehung aufrechtzuerhalten. Der NIST 800-53 ist jedoch so konzipiert, dass er auf eine breite Basis von Organisationen im öffentlichen und privaten Sektor anwendbar ist.

NIST 800-53 Rev 5

Die im September 2020 veröffentlichte NIST 800-53 Rev. 5 ist die neueste Hauptversion des Rahmens. Diese Revision wurde entwickelt, um die „neue Generation“ von Sicherheits- und Datenschutzkontrollen bereitzustellen, die 1) für alle Arten von IT-Plattformen gelten, einschließlich cloudbasierter Systeme, mobiler Geräte, Geräte des Internets der Dinge (IoT) und mehr und 2) föderale Informationssysteme dabei unterstützen sollen, widerstandsfähiger gegen Eindringlinge zu werden und cyber-resilient zu sein, die Schäden durch Angriffe zu begrenzen, wenn diese auftreten, und die Privatsphäre der Individuen zu schützen.

Hier sind einige der bedeutendsten Änderungen der Revision 5:

• Die Kontrollen wurden umformuliert, um stärker ergebnisorientiert zu sein.
• Die Informationssicherheits- und Datenschutzkontrollen wurden in einem einzigen Kontrollkatalog konsolidiert.
• Eine neue Kontrollfamilie für das Risikomanagement der Lieferkette wurde etabliert.
• Die Auswahlprozesse für Kontrollen wurden von den Kontrollen getrennt, sodass verschiedene Gruppen, einschließlich Systemingenieure, Softwareentwickler, Geschäftsinhaber und mehr, sie nutzen können.
• Die Grundlagen der Kontrollen und die Anpassungsrichtlinien wurden entfernt und in ein separates Dokument, den NIST SP 800-53B, Grundlagen der Kontrollen für Informationssysteme und Organisationen, verschoben.
• Neue Kontrollen wurden hinzugefügt, basierend auf den neuesten Bedrohungsinformationen und Daten zu Cyberangriffen, einschließlich Kontrollen zur Unterstützung der Cyber-Resilienz.

NIST 800-53 Kontrollfamilien

NIST 800-53 enthält mehr als 1000 Kontrollen. Diese sind in 20 Familien organisiert, von denen jede einen spezifischen Aspekt der Cybersicherheit und des Datenschutzes abdeckt, um den Auswahl- und Spezifikationsprozess für Sicherheits- und Datenschutzkontrollen zu vereinfachen.

Die 20 NIST 800-53 Kontrollfamilien sind unten mit ihrer zweistelligen Kennung aufgeführt.

• Zugangskontrolle (AC)
• Bewusstsein und Schulung (AT)
• Audit und Verantwortung (AU)
• Bewertung, Autorisierung und Überwachung (CA)
• Konfigurationsmanagement (CM)
• Kontinuitätsplanung (CP)
• Identifikation und Authentifizierung (IA)
• Vorfallreaktion (IR)
• Wartung (MA)
• Medien Schutz (MP)
• Physischer und Umweltschutz (PE)
• Planung (PL)
• Programmmanagement (PM)
• Personalsicherheit (PS)
• Datenverarbeitung und -transparenz (PT)
• Risikobewertung (RA)
• System- und Dienstbeschaffung (SA)
• System- und Kommunikationsschutz (SC)
• System- und Informationsintegrität (SI)
• Risikomanagement in der Lieferkette (SR)

Bitte beachten Sie, dass die Familien alphabetisch nach ihren Kennungen und nicht nach ihrer Wichtigkeit oder nach der Reihenfolge der Implementierung der Kontrollen innerhalb jeder Familie geordnet sind.

NIST 800-53 Kontrollen

Innerhalb jeder Kontrollfamilie beschreibt der NIST 800-53 spezifische Kontrollen, die entwickelt wurden, um Risiken im Zusammenhang mit Informationssicherheit und Datenschutz zu managen und um den Sicherheits- und Datenschutzanforderungen zu entsprechen, die einer Organisation auferlegt werden. Diese Anforderungen umfassen sowohl gesetzliche und politische Anforderungen als auch die Bedürfnisse der Stakeholder aus verschiedenen Quellen, wie z. B. Gesetze, Exekutivanordnungen, Richtlinien, Vorschriften, Richtlinien, Standards, Missions- und Geschäftsbedürfnisse oder Risikobewertungen.

Kontrollen sind die Schutzmaßnahmen, die eine Organisation einführt, um ihre einzigartigen Anforderungen an die Informationssicherheit und den Datenschutz zu erfüllen. Diese umfassen

• technische Maßnahmen wie Verschlüsselung und Netzwerkkohortierung;
• administrative Maßnahmen wie Sicherheitsbewusstseinsschulungen und Vorfallreaktionsplanung; und
• physische Maßnahmen wie Zugangskontrollen, beispielsweise kontrollierte Bereiche, Eingangssicherungen, Wachpersonal und Schlösser.

Es gibt mehr als 1.000 Kontrollen im NIST 800-53 Rahmenwerk. Organisationen stehen vor der Herausforderung, die am besten geeigneten Kontrollen auszuwählen, die ihre Missions- und Geschäftsziele schützen und Sicherheits- und Datenschutzrisiken managen können. Um sie bei ihrem Auswahlprozess zu unterstützen, definiert der NIST 800-53 Basislinien oder ein generalisiertes Set von Kontrollen, das eine Organisation als Ausgangspunkt nutzen und anpassen kann, um eine gezieltere Lösung zu schaffen. Lassen Sie uns das Konzept der Basislinien genauer betrachten.

NIST 800-53 Kontrollbasislinien

Insgesamt bietet der NIST 800-53 vier Kontrollbasislinien, drei für Sicherheit und eine für Datenschutz.

Die drei Basislinien der Sicherheitskontrollen sind minimale Mengensätze von Kontrollen für föderale Informationssysteme basierend auf ihrem Impact-Level: Niedrig, Mittel oder Hoch. Dieses Impact-Level wird bestimmt durch:

• die Kritikalität und Sensibilität der Informationen, die diese Systeme verarbeiten, speichern oder übertragen, und
• die möglichen negativen Auswirkungen auf organisatorische Abläufe, organisatorische Vermögenswerte, Einzelpersonen, andere Organisationen oder die Nation im Falle eines Verlusts von Vertraulichkeit, Integrität oder Verfügbarkeit.

Alle Organisationen müssen die Kontrollen umsetzen, die ihrer jeweiligen Sicherheitskontrollbasislinie zugewiesen sind. Die Anzahl der Kontrollen in jeder Basislinie ist proportional zu den Risiken, die sich aus dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit ergeben. Systeme mit niedrigem Impact, die ein geringes Risiko darstellen, haben in der Basis Niedrig die geringste Anzahl von Kontrollen und können als die am wenigsten strengen betrachtet werden. Systeme mit hohem Impact, die das schwerwiegendste Risiko darstellen, haben in der Basis Hoch die größte Anzahl von Kontrollen und können als die strengsten betrachtet werden. Es werden jedoch nicht alle Kontrollen, die die Sicherheit betreffen, dieser Basislinie zugewiesen.

Es gibt nur eine Datenschutzbasisline im NIST 800-53. Diese gilt für jedes System, das personenbezogene Daten (PII) verarbeitet, unabhängig vom Impact-Level. Das bedeutet, dass, wenn ein System PII verarbeitet, die Organisation die Kontrollen implementieren muss, die der Datenschutzbasislinie zugewiesen sind. Wie bei den Sicherheitsbasislinien sind nicht alle Kontrollen, die die Datenschutzrisiken betreffen, der Datenschutzbasislinie zugewiesen.

Um zu verstehen, wie sich die Basislinien auf die Kontrollen auswirken, die eine Organisation umsetzen kann, betrachten wir Beispiele spezifischer Kontrollfamilien.

Nehmen wir als Beispiel die Kontrollfamilie Zugriffskontrolle (AC). Angenommen, eine Organisation wählt die Basislinie Niedrig. Sie muss dann die folgenden Kontrollen implementieren:

• AC-1 Richtlinien und Verfahren
• AC-2 Kontoverwaltung
• AC-3 Zugangsanwendungssteuerung
• AC-7 Fehlgeschlagene Anmeldeversuche
• AC-8 Systemnutzungsbenachrichtigung
• AC-14 Zugelassene Aktionen ohne Identifikation und Authentifizierung
• AC-17 Fernzugriff
• AC-18 Drahtloszugriff
• AC-19 Zugangskontrolle für mobile Geräte
• AC-20 Nutzung externer Systeme
• AC-22 Öffentlich zugänglicher Inhalt

Wenn eine Organisation die Sicherheitsbasis Moderat wählt, muss sie die oben genannten Kontrollen sowie AC-4 Informationsflussanwendung, AC-5 Aufgabenaufteilung, AC-6 Minimales Privileg, AC-11 Gerätesperre, AC-12 Sitzungsbeendigung und AC-21 Informationsaustausch implementieren.

Wenn eine Organisation die Sicherheitsbasis Hoch wählt, muss sie alle oben genannten Kontrollen sowie die Kontrolle AC-10 Gleichzeitige Sitzungssteuerung implementieren.

Lassen Sie uns die Familie Incident Response als weiteres Beispiel heranziehen. Angenommen, eine Organisation wählt die Sicherheitsbasis Low. Dann muss sie die folgenden Kontrollen implementieren:

• IR-1 Richtlinien und Verfahren
• IR-2 Incident Response Training
• IR-4 Incident Management
• IR-5 Incident Monitoring
• IR-6 Incident Reporting
• IR-7 Unterstützung bei Incident Response
• IR-8 Incident Response Plan

Wenn eine Organisation, die die Sicherheitsbasis Low wählt, auch PII verarbeitet, muss sie zusätzlich zu den oben genannten Kontrollen auch die Kontrolle IR-3 Incident Response Testing implementieren, um sowohl die Sicherheitsbasis Low als auch die Vertraulichkeitsbasis zu erfüllen.

Die Nichteinhaltung der Implementierung von Kontrollen gemäß den Anforderungen von NIST 800-53 kann zu einem Verlust eines Bundesvertrages, zu an den Kongress gemeldeten Problemen und zu Geldstrafen führen.

NIST 800-171 vs 800-53

Da NIST 800-53 als Maßstab für die Sicherheit föderaler Daten gilt, wurden mehrere Varianten für verschiedene Zwecke und Zielgruppen entwickelt, darunter NIST 800-171, FedRAMP und CJIS.

NIST 800-171 wurde für Bundesunternehmer, Lieferanten und Dienstleister entwickelt, um ihnen bei der Verwaltung kontrollierter, nicht klassifizierter Informationen (CUI) zu helfen und die Informationssysteme der Bundesregierung zu schützen. NIST 800-53 wurde für Bundesbehörden, Auftragnehmer und jede Organisation entwickelt, die Bundesdaten transportiert, um ihnen beim Aufbau sicherer und widerstandsfähiger Informationssysteme der Bundesregierung zu helfen.

Wie man die NIST 800-53 Konformität erreicht

Die folgenden Schritte können Sie durch den gesamten NIST 800-53 Konformitätsprozess führen.

1. Definieren Sie Ihre Informationssicherheits- und Datenschutzanforderungen.

Um den Prozess der Auswahl und Spezifikation der NIST 800-53 Kontrollen zu informieren, müssen Sie zuerst verstehen und definieren, welche Informationssicherheits- und Datenschutzverpflichtungen Ihrer Organisation auferlegt werden.

Diese können gesetzliche und politische Anforderungen aus dem FISMA, dem Privacy Act von 1974, den OMB-Richtlinien und den ausgewiesenen Federal Information Processing Standards (FIPS) sowie die Bedürfnisse der Stakeholder umfassen, die sich aus Gesetzen, Exekutivverordnungen, Richtlinien, Vorschriften, Richtlinien, Standards, Missions- und Geschäftserfordernissen oder Risikobewertungen ergeben.

2. Bestimmen Sie Ihre Sicherheitskontrollbasis und ob die Datenschutzkontrollbasis anwendbar ist.

Anschließend müssen Sie eine Sicherheitskontrollbasis basierend auf dem Auswirkungsgrad des Systems auswählen.

Um den Auswirkungsgrad Ihres Informationssystems zu bewerten, müssen Sie ein Inventar zusammenstellen aus

• den Arten von Informationen, die übertragen, gespeichert oder verarbeitet werden, und den zugehörigen Informationssystemkomponenten, kategorisiert nach ihrem Sicherheitsrisiko
• allen Informationssystemkomponenten mit den erforderlichen Nachverfolgungsinformationen
• allen Informationssystemkomponenten innerhalb der Genehmigungsgrenze, dargestellt in einem Netzwerkarchitekturdiagramm
• allen Datenflüssen zwischen den Informationssystemkomponenten, dargestellt in einem Datenflussdiagramm

Sobald dieses Inventar erstellt ist, können Sie das Informationssystem basierend auf dem potenziellen Auswirkungsgrad auf Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Informationen kategorisieren (basierend auf FIPS 199). Ab dort können Sie die zugehörige Sicherheitskontrollbasis auswählen.

Die untenstehende Tabelle zeigt die Beziehungen zwischen Auswirkungsgraden und Kontrollbasen.

Zu diesem Zeitpunkt müssen Sie auch bestimmen, ob die Datenschutzkontrollbasis für Ihre Organisation anwendbar ist. In der Regel ist dies der Fall, wenn Ihre Organisation personenbezogene Daten (PII) verarbeitet.

3. Passen Sie Ihre Sicherheitskontrollbasis (und ggf. auch die Datenschutzkontrollbasis) an.

Wie oben erwähnt, sind Sicherheits- und Datenschutzkontrollbasen nur ein Ausgangspunkt. Organisationen können Kontrollen hinzufügen, um die Basiskontrollen je nach verschiedenen Faktoren zu spezialisieren oder anzupassen, einschließlich ihrer spezifischen Missionen und Geschäftsaufgaben, der Umgebungen, in denen ihre Systeme betrieben werden, und der Bedrohungen und Schwachstellen, die ihre Systeme betreffen können.

Der Anpassungsprozess umfasst mehrere Maßnahmen, wie z. B.:

• gemeinsame Kontrollen identifizieren und benennen, oder Kontrollen, deren Implementierung zu einer Schutzfähigkeit führt, die von mehreren Systemen oder Programmen geerbt werden kann.
• die Basiskontrollen mit zusätzlichen Sicherheitskontrollen ergänzen, basierend auf den identifizierten Risiken.
• Auswahl von kompensierenden Sicherheitskontrollen oder Kontrollen, die einen gleichwertigen oder vergleichbaren Schutz für ein System oder eine Organisation im Vergleich zu den Basiskontrollen bieten
• spezifische Werte für durch die Organisation festgelegte Sicherheitskontrollparameter zuweisen
• Anwendung von Kontextüberlegungen, wie Skalierbarkeit oder technologische Infrastruktur, auf die Anwendbarkeit und Implementierung der Basiskontrollen
• Zusätzliche Spezifikationsinformationen bereitstellen für die Implementierung der Kontrollen

4. Implementieren Sie die ausgewählten Kontrollen oder erstellen Sie einen Plan dafür.

Es ist nun an der Zeit, mit der Implementierung Ihrer maßgeschneiderten Kontrollbasis zu beginnen.

Dokumentieren Sie zunächst, wie jede Kontrolle gemäß der entsprechenden Kontrollbasis in einem Sicherheits- und Datenschutzplan implementiert wird (mit Bezug auf NIST 800-18).

Dieser Plan sollte Folgendes umfassen:

• Alle oben genannten Anpassungsaktivitäten
• Verantwortlichkeiten für die Entwicklung, Implementierung, Bewertung und Überwachung der Kontrollen
• Verantwortlichkeiten und Verhaltensregeln aller Personen, die Zugang zum Informationssystem haben
• Die Richtlinie und die Verfahren der Kontrollfamilie
• Alle systemspezifischen Informationen, wie verarbeitete Informationen, relevante Rollen und/oder jegliche spezifische/relevante Richtlinie oder Verfahren für die Kontrollen
• Alle sonstigen erforderlichen Richtlinien oder Verfahren, wie eine Richtlinie zur kontinuierlichen Überwachung, ein Notfallplan, ein Wartungsplan, eine Richtlinie oder ein Plan für das Lieferkettenrisikomanagement

Der Zweck dieses Plans besteht darin, die beabsichtigte Anwendung jeder ausgewählten Kontrolle im Kontext des Systems ausreichend zu beschreiben, damit die Kontrolle ordnungsgemäß implementiert und anschließend bewertet werden kann, um sicherzustellen, dass sie effektiv ist.

5. Durchführung von Risikobewertungen.

Das Management von Informationssicherheits- und Datenschutzrisiken erfordert eine angemessene Sorgfalt. Daher ist es unerlässlich, ein umfassendes Risikomanagementprogramm zu haben, um den NIST 800-53 zu erfüllen. Ein solches Programm zu erstellen, erfordert:

• Festlegung des Risikomodells, des Bewertungsansatzes und des Analysenansatzes, den Sie im Rahmen des Risikobewertungsprozesses verwenden werden (mit Verweis auf NIST 800-30)
• Zuordnung der implementierten Kontrollen zu den identifizierten Risiken
• Bestimmung, ob zusätzliche Prozesse implementiert werden müssen, um alle Basiskontrollen zu erfüllen
• Bestimmung, ob angepasste Kontrollen hinzugefügt werden müssen, um den Risiken zu begegnen.

6. Bewertung der Effektivität Ihrer Kontrollen.

Es ist nun an der Zeit, Ihre Informationssysteme anhand des maßgeschneiderten Satzes von Basissicherheitskontrollen zu testen, um deren Wirksamkeit zu bewerten. Sie können dies intern tun oder bei Bedarf einen externen Prüfer beauftragen.

Kontrollbewertungen sind unerlässlich und helfen dabei sicherzustellen, dass Ihre Organisation

• Erfüllt die Anforderungen an Informationssicherheit und Datenschutz
• Schwachstellen im Systemdesign- und Entwicklungsprozess identifiziert
• Über die wesentlichen Informationen verfügt, die erforderlich sind, um risikobasierte Entscheidungen im Rahmen der Genehmigungsprozesse zu treffen
• Die Verfahren zur Minderung von Schwachstellen einhält

7. Einrichtung eines fortlaufenden Überwachungsprogramms.

Die Einhaltung des NIST 800-53 erfordert kontinuierliches Engagement und Wachsamkeit, um die Effektivität der Sicherheitskontrollen aufrechtzuerhalten und sich an sich entwickelnde Bedrohungen und Vorschriften anzupassen.

Fortlaufende Überwachung ist entscheidend, um die Konformität aufrechtzuerhalten. Die effektivsten Programme zur fortlaufenden Überwachung sollten Folgendes umfassen:

• Metriken, die am besten die Sicherheitslage Ihrer Informationen, Ihrer Informationssysteme und Ihrer organisatorischen Resilienz kommunizieren und im Laufe der Zeit überwacht werden
• Ein Aktionsplan und Meilensteine (POAM) zur Verfolgung offener und geschlossener Risiken, Schwachstellen, Prüfungsergebnisse und/oder anderer Probleme
• Automatisierte Tools, um den kontinuierlichen Überwachungsprozess kostengünstiger, konsistenter und effektiver zu gestalten (z. B. kann die Konformitätsscanner häufig dazu beitragen, sicherzustellen, dass Konfigurationen und Sicherheitseinstellungen systematisch vorhanden sind und effektiv funktionieren)

NIST 800-53 Prüfliste

Eine Konformitätsprüfliste kann ein wertvolles Werkzeug für Organisationen sein, um ihre Einhaltung der Anforderungen und Kontrollen eines bestimmten Rahmens zu bewerten. Verwenden Sie diese NIST 800-53 Prüfliste als strukturierte Herangehensweise, um Ihre Konformitätsbereitschaft und Ihre gesamte Cybersicherheitslage zu bewerten.

Hier herunterladen.

Wie Secureframe dabei helfen kann, die NIST 800-53 Konformität zu rationalisieren

Secureframe kann den Konformitätsprozess für NIST 800-53 straffen, indem es Organisationen hilft, Zeit zu sparen, Kosten zu senken und ihre Sicherheit und Konformitätslage zu verbessern.

Mit Secureframe erhalten Sie:

• Fachwissen zur Bundeskonformität: Ein engagiertes Support-Team bestehend aus ehemaligen FISMA-, FedRAMP- und CMMC-Auditoren und -Beratern, die Ihnen bei der Bundesvorbereitung, Prüfungen und Konformitätsaktualisierungen zur Seite stehen können.
• Integrationen mit föderalen Clouds: Automatische Beweiserhebung aus der bestehenden technischen Infrastruktur, einschließlich der Cloud-Varianten für die Regierung wie AWS GovCloud.
• Vorgefertigte und benutzerdefinierte Richtlinien und Vorlagen : Anpassbare Richtlinien, Verfahren und SSPs-Vorlagen zur Erfüllung der Anforderungen sowie zusätzliche Vorlagen, einschließlich Verantwortlichkeitstrennungsmatrizen, POA&M-Dokumente, Auswirkungenbewertungen und Vorbereitungschecklisten
• Interne Schulung : Schulung der Mitarbeiter, die die bundesstaatlichen Anforderungen erfüllt und jährlich von Compliance-Experten überprüft und aktualisiert wird
• Rollenbasierte Zugriffskontrollen : Rollenbasierte und bedarfsgesteuerte Zugriffskontrollen für Daten
• Benutzerdefinierte Kontrollen und Tests : Unterstützung für organisationsdefinierte Implementierungen für NIST 800-53 und andere Rahmenwerke
• Netzwerk vertrauenswürdiger Partner : Beziehungen zu zertifizierten Drittbewertungsorganisationen (3PAO) und CMMC 3PAOs (C3PAO), die verschiedene Bundesprüfungen unterstützen
• Rahmenübergreifende Abbildung : Automatisierte Abbildung der Compliance-Bemühungen über mehrere Rahmenwerke hinweg für eine Effizienz, die sicherstellt, dass Sie nie bei Null anfangen
• Kontinuierliche Überwachung : 24/7 Überwachung, die Sie über Nichtkonformitäten informiert, und Unterstützung für das Risikoregister und den Verwundbarkeitsscan für kontinuierliche Überwachung und POA&M-Wartung

Erfahren Sie mehr darüber, wie Secureframe Ihnen helfen kann, NIST 800-53-konform zu bleiben, indem Sie eine Demo anfordern.