Definition und Zweck

FISMA wurde als Teil des Electronic Government Act von 2002 erlassen. Sein Hauptzweck ist es, die Wirksamkeit der Informationssicherheitskontrollen über Informationsressourcen zu gewährleisten, die föderale Operationen und Vermögenswerte unterstützen. FISMA verlangt die Entwicklung und Umsetzung obligatorischer Standards und Richtlinien für föderale Informationssysteme.

Leitungsorgan

Das National Institute of Standards and Technology (NIST) ist verantwortlich für die Festlegung der Standards und Richtlinien, während das Office of Management and Budget (OMB) die Umsetzung des Gesetzes überwacht. Das Department of Homeland Security (DHS) spielt ebenfalls eine Rolle bei der Unterstützung von Behörden bei der Umsetzung von FISMA.

Zuletzt aktualisiert

FISMA wurde ursprünglich 2002 verabschiedet, aber durch die Verabschiedung des Federal Information Security Modernization Act (FISMA Reform) im Jahr 2014 erheblich aktualisiert und reformiert. Das Cybersecurity Act von 2023 würde FISMA aktualisieren, um von den Bundesbehörden zu verlangen, alle Cybersicherheitsvorfälle zu melden und standardisierte Cybersicherheitsverfahren regelmäßig durchzuführen.

Gilt für

FISMA gilt für alle Bundesbehörden, deren Auftragnehmer und andere Organisationen, die Bundesinformationen verarbeiten, speichern oder übertragen. Es gilt nicht direkt für den privaten Sektor, staatliche/lokale Regierungen oder Stammesorganisationen, es sei denn, diese verarbeiten Bundesdaten oder erbringen Dienstleistungen im Auftrag einer Bundesbehörde.

Kontrollen und Anforderungen

Die Einhaltung von FISMA stützt sich hauptsächlich auf die von NIST festgelegten Standards und Richtlinien:

• NIST SP 800-53: Diese Publikation listet die Sicherheitskontrollen auf, die Bundesbehörden anwenden müssen. Die Kontrollen sind in Familien organisiert, wie z. B. Zugangskontrolle, Prüfung und Verantwortlichkeit, Vorfallreaktion, Sicherheitsbewertung, System- und Kommunikationsschutz usw.
• NIST SP 800-37: Bietet Richtlinien für das Risikomanagement-Rahmenwerk, das Behörden verwenden, um ihre Informationssysteme zu zertifizieren und zu akkreditieren.

Diese Standards erläutern die für die Einhaltung von FISMA erforderlichen Prozesse und Kontrollen, die regelmäßige Risikobewertungen, Richtlinien und Verfahren, Schulungen zur Sicherheitsbewusstseinsbildung, kontinuierliche Überwachung und Fähigkeiten zur Vorfallreaktion umfassen.

Weitere Informationen zu den Kontrollen und Anforderungen finden Sie in der offiziellen FISMA 2014 Dokumentation.

Audittyp, -häufigkeit und -dauer

FISMA verlangt von Bundesbehörden, jährliche Überprüfungen ihrer Informationssicherheitsprogramme durchzuführen. Dies kann Selbstbewertungen, Bewertungen durch Dritte und Bewertungen durch den Generalinspekteur (IG) umfassen. Kontinuierliche Überwachungspraktiken könnten zu häufigeren Bewertungen bestimmter Systeme oder Kontrollen führen.

Die Dauer einer FISMA-Prüfung variiert je nach Größe und Komplexität der zu überprüfenden Behörde oder des Systems. Eine umfassende behördenweite Bewertung könnte mehrere Monate in Anspruch nehmen, während Bewertungen bestimmter Systeme oder Kontrollen in einem kürzeren Zeitraum abgeschlossen werden könnten.