Definition und Zweck

FIPS 199 definiert die Kriterien zur Kategorisierung von Informationssystemen basierend auf dem Einflussniveau, das mit dem möglichen Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit dieser Informationssysteme oder der von ihnen verarbeiteten, gespeicherten oder übertragenen Informationen verbunden ist. Diese Kategorisierung dient dann als Ausgangspunkt für Bundesbehörden, um die geeigneten Sicherheitsmaßnahmen und -kontrollen für ihre Informationssysteme zu bestimmen.

FIPS 199 soll Bundesbehörden dabei helfen, die Anforderungen von FISMA zu erfüllen und ein gemeinsames Rahmenwerk und Verständnis für die Ausdrückung von Sicherheit bereitzustellen. Dies fördert das effektive Management und die Aufsicht über Informationssicherheitsprogramme sowie eine konsistente Berichterstattung an das Office of Management and Budget (OMB) und den Kongress über die Angemessenheit und Wirksamkeit von Informationssicherheitsrichtlinien, -verfahren und -praktiken.

Verantwortliche Behörde

FIPS 199 wurde vom National Institute of Standards and Technology (NIST) herausgegeben, einer Behörde des US-amerikanischen Handelsministeriums. Unter FISMA war NIST beauftragt, Standards und Richtlinien für die Informationssicherheit zu entwickeln und zu pflegen, einschließlich der FIPS-Veröffentlichungen.

Letzte Aktualisierung

FIPS 199 wurde im Februar 2004 veröffentlicht und seitdem nicht wesentlich aktualisiert.

Gilt für

FIPS 199 gilt für Bundesbehörden, die Informationen und Informationssysteme schützen müssen, die ihre Abläufe und Vermögenswerte unterstützen.

Kontrollen und Anforderungen

FIPS 199 selbst liefert keine spezifische Liste von Sicherheitskontrollen oder Anforderungen. Stattdessen hilft es Organisationen, Informationssysteme basierend auf dem potenziellen Einfluss eines Verlusts der Vertraulichkeit, Integrität und/oder Verfügbarkeit auf die Abläufe, Vermögenswerte oder Individuen der Organisation zu kategorisieren. Die drei Einflussniveaus sind: Niedrig, Mäßig und Hoch. Basierend auf dem Einflussniveau können Organisationen dann die geeignete Reihe von Basissicherheitskontrollen in der NIST-Spezialveröffentlichung 800-53 anwenden.

Bitte beziehen Sie sich auf die offizielle FIPS 199-Dokumentation für weitere Informationen.

Audit-Typ, Häufigkeit und Dauer

Bundesbehörden, die FIPS 199 unterliegen, unterliegen auch FISMA, das verlangt, dass der Generalinspekteur oder ein unabhängiger externer Prüfer jeder Bundesbehörde eine unabhängige Bewertung durchführt, um die Wirksamkeit der Informationssicherheitsrichtlinien, -verfahren und -praktiken zu ermitteln, die die Informationssicherheitsprogramme ihrer Behörde unterstützen, und zwar jährlich.

Behörden sind verpflichtet, die Ergebnisse dieser Bewertungen in jährliche Berichte aufzunehmen und an das OMB zu übermitteln. Das OMB ist dann verpflichtet, die Ergebnisse in jährlichen Berichten an den Kongress zusammenzufassen.