Introducing G2.ai, the future of software buying.Try now

Was ist FISMA-Compliance und wen betrifft sie?

10. Januar 2022
Lauren Pope
LP
von Lauren Pope

In diesem Beitrag

In diesem Beitrag

Big Brother beobachtet immer... um sicherzustellen, dass Sie konform bleiben.

Wir haben ausführlich über Compliance und die verschiedenen Wege gesprochen, wie Unternehmen konform bleiben müssen. Wir haben auch diskutiert, wie Compliance jede Branche unterschiedlich betrifft. In diesem Artikel werden wir diesen Trend fortsetzen, indem wir uns auf die FISMA-Compliance und deren Auswirkungen auf unsere Regierung konzentrieren.

Suchen Sie ein bestimmtes Thema zur regulatorischen Compliance? Verwenden Sie die untenstehenden Links, um direkt zu springen:

Was ist FISMA-Compliance?

Um den vollen Umfang der FISMA-Compliance zu verstehen, müssen Sie zuerst die Geschichte und Bedeutung von FISMA kennenlernen. Die erste Inkarnation von FISMA war als Federal Information Security Management Act von 2002 bekannt und ist Teil des Electronic Government Act.

Im Jahr 2014 wurde FISMA umgeschrieben und von Präsident Obama in Kraft gesetzt. Mit der Neufassung kam eine Namensänderung und zusätzliche Bestimmungen, um ein robusteres Datenschutzprogramm aufzubauen.

Heute wird die neueste Version von FISMA als Federal Information Security Modernization Act von 2014 bezeichnet. Menschen verwenden oft den Begriff FISMA als Abkürzung für die neueste Version der Gesetzgebung, aber es wird auch oft als FISMA-Reform bezeichnet.

Definition der FISMA-Compliance

FISMA-Compliance ist der Akt, den FISMA-Richtlinien zu folgen, um ein umfassendes Rahmenwerk zum Schutz von Regierungsinformationen, -operationen und -vermögen vor Bedrohungen sicherzustellen.

FISMA-Compliance gilt für alle Regierungsbehörden ohne Ausnahmen. Es erfordert, dass alle Bundesbehörden die Sicherheit und den Schutz aller Behördendaten gewährleisten. Es gilt auch für Regierungsauftragnehmer und alle Drittanbieter, die zur Unterstützung von Behördenoperationen eingesetzt werden.

Wer überwacht die FISMA-Compliance?

FISMA nimmt viele seiner regulatorischen Hinweise von den Federal Information Processing Standards (FIPS). FIPS wurde von der US-Regierung entwickelt und hilft, das übergeordnete Ziel der Gewährleistung von Vertraulichkeit, Transparenz und Verfügbarkeit von staatlich gehaltenen Informationen zu leiten.

Es gibt zwei Regulierungsbehörden, die mit FISMA zusammenarbeiten:

Das National Institute of Standards and Technology (NIST), das die Befugnis hat, Programme zu erstellen, die die IT-Sicherheit und Risikomanagement-Praktiken stärken.

Das Department of Homeland Security, das für die Verwaltung der Implementierung von Programmen verantwortlich ist, die von NIST erstellt wurden, um die Sicherheit von föderalen Informationssystemen zu gewährleisten.

Die Überarbeitung von FISMA im Jahr 2014 erfordert auch, dass jede Behörde, die eine FISMA-Verletzung erfährt, den Vorfall innerhalb von sieben Tagen nach Entdeckung dem Kongress meldet.

Warum ist FISMA-Compliance wichtig?

Die Regierung kontrolliert viele Informationen, und wenn diese Informationen in die falschen Hände geraten, könnte dies zu katastrophalen Folgen führen. Da das Risiko einer Katastrophe bei einem potenziellen Datenverstoß der Regierung so hoch ist, muss der Standard zum Schutz dieser Daten ebenso hoch sein.

Die Kontrollen, die zum Schutz von Regierungsinformationen eingeführt werden, müssen dem Risiko und dem potenziellen Ausmaß des Schadens entsprechen, der entstehen könnte, wenn diese Daten von einer böswilligen Quelle abgerufen, verteilt oder manipuliert werden.

Die potenziellen Konsequenzen für die Nichteinhaltung der FISMA-Compliance können enorm sein. Jede Bundesbehörde, die es versäumt, FISMA-konform zu sein, läuft Gefahr, Bundesmittel zu verlieren. Wenn Sie ein Regierungsauftragnehmer sind, könnten Sie Ihr gesamtes Geschäft verlieren oder zukünftige Ausschreibungen für staatlich finanzierte Projekte verpassen.

Was ist für die FISMA-Compliance erforderlich?

Anstatt alle spezifischen Anforderungen und Protokolle zu behandeln, die von FISMA gefordert werden, haben wir einige der Hauptthemen für Sie und Ihren Chief Compliance Officer herausgezogen, um sie zu überprüfen.

FISMA-Anforderungen
 

Diese sollten als Leitfaden auf hoher Ebene dienen und als Ausgangspunkt für Ihre eigene Recherche dienen. Sie können mehr Informationen über jede der oben aufgeführten Anforderungen finden, indem Sie weiterlesen.

1. Zertifizierung und Akkreditierung

FISMA erfordert, dass alle Programmbeauftragten, Compliance-Beauftragten und Behördenleiter jährliche Sicherheitsüberprüfungen beaufsichtigen. Diese Überprüfungen werden verwendet, um Risikomanagementstrategien zu überprüfen und potenzielle Compliance-Risiken auf ein Minimum zu reduzieren. Einige Behörden entscheiden sich dafür, eine FISMA-Zertifizierung und Akkreditierung (C&A) zu erwerben, um diesen Prozess zu unterstützen.

2. Informationssystem-Inventar

Alle Bundesbehörden und Regierungsauftragnehmer müssen ein Inventar jedes IT-Systems führen, das innerhalb ihrer Organisation verwendet wird. Sie sind auch verpflichtet, die verschiedenen Integrationen zwischen diesen Systemen und anderen Systemen innerhalb desselben Netzwerks zu verfolgen und zu identifizieren.

3. Risikobewertung und Kategorisierung

Eine Risikobewertung ist eine interne Überprüfung des Compliance-Programms einer Behörde, bei der potenzielle Risiken identifiziert werden. Ein Plan wird dann erstellt, um Risiken zu überprüfen, zu lösen und zu überwachen. NIST empfiehlt, dass alle Risikobewertungen eine Überprüfung auf organisatorischer Ebene, auf der Ebene der Geschäftsprozesse und auf der Ebene der IT-Systeme umfassen.

Sobald ein Risiko bewertet ist, müssen Bundesbehörden jedes Risiko nach Wichtigkeit kategorisieren. Das höchste Sicherheitsrisiko wird dann mit erster Priorität behandelt. FIPS skizziert die Bandbreite der Risikostufen innerhalb einer Organisation, um als Leitfaden für die Risikokategorisierung zu dienen.

Verwandt: Erfahren Sie mehr über die fünf Arten von Compliance-Audits und warum Sie sie benötigen könnten!

4. Sicherheitskontrollen

NIST SP 800-53 enthält eine umfassende Liste empfohlener Sicherheitskontrollen, die für die FISMA-Compliance verwendet werden können. FISMA erfordert nicht, dass Behörden jede einzelne Kontrolle implementieren. Vielmehr werden sie ermutigt, die Materialien zu überprüfen und nur die Kontrollen anzuwenden, die für ihre Behörde relevant sind.

Zum Beispiel würde die EPA, die Umweltvorschriften überwacht, nicht dieselben Kontrollen verwenden wie die FCC, die Rundfunk, Fernsehen und Radio überwacht.

Sie müssen Sicherheitskontrollen ausgewählt und implementiert haben, bevor Sie zum nächsten Schritt übergehen, nämlich der Erstellung eines Systemsicherheitsplans.

5. Systemsicherheitsplan

FISMA erfordert, dass alle Bundesbehörden einen Sicherheitsplan haben, falls es zu einem Compliance-Verstoß kommt. Dieser Plan soll regelmäßig gewartet und jährlich aktualisiert werden, um die besten Sicherheitslösungen zu bieten. Sicherheitspläne sollten Sicherheitsrichtlinien, bewährte Verfahren und einen Zeitplan für den Umgang mit potenziellen Sicherheitsrisiken enthalten.

Wie erstellt man ein FISMA-Compliance-Programm?

Wir haben es schon in Artikeln zu diesem Thema gesagt, aber wir sagen es noch einmal: Technologie verändert die Art und Weise, wie wir arbeiten. Selbst Regierungsbehörden, die lange das Klischee hatten, in Bezug auf Technologie hinterherzuhinken, holen schnell auf.

Deshalb ist es wichtig, Compliance-Softwarelösungen in Betracht zu ziehen, wenn man ein FISMA-Compliance-Programm erstellt. Sie werden ein Tool wollen, das mehrere Fähigkeiten bieten kann und die verschiedenen Interessengruppen einbezieht, die für die Compliance erforderlich sind.

Produkte wie G2 Track haben in den letzten Jahren an Popularität gewonnen, weil sie einfache Lösungen für das Compliance-Management sind. Und da FISMA so viel Wert auf das Management von Informationen und Lieferantenvereinbarungen legt, bietet G2 Track die perfekte All-in-One-Lösung für Ihre FISMA-Compliance-Bedürfnisse.

Sie können die G2 Track-Website besuchen, um mehr über jedes unserer Lösungsangebote, Software-Integrationsoptionen zu erfahren und sich für den kostenlosen Plan anzumelden. Selbst wenn G2 Track nicht das richtige Produkt für Ihr Unternehmen ist, können Sie es als Möglichkeit nutzen, die von Compliance-Softwarelösungen angebotenen Fähigkeiten ohne Vorabkosten zu erkunden.

Nutzen Sie Bürokratie als Ihren Bauplan

FISMA-Compliance mag nur für Regierungsangehörige gelten, aber da die meisten Compliance-Angelegenheiten von Regierungsbehörden gehandhabt werden, gibt es wertvolle Lektionen, die Sie aus der FISMA-Compliance lernen können.

Interessiert an mehr Informationen? Schauen Sie sich unsere Artikel über GRC und Corporate Governance an.

Lauren Pope
LP

Lauren Pope

Lauren Pope is a former content marketer at G2. You can find her work featured on CNBC, Yahoo! Finance, the G2 Learning Hub, and other sites. In her free time, Lauren enjoys watching true crime shows and singing karaoke. (she/her/hers)

Weitere G2-Artikel erkunden

How do teams use Box to manage and extract value from unstructured content like documents and PDFs?
Beste Software für die Abwicklung grenzüberschreitender Datenübertragungen
Welche KI-Kundensupport-Plattform bietet die besten Self-Service-Optionen?
Beliebte Plattformen für operationelle Risiken für Technologieunternehmen