Was ist der Unterschied zwischen FISMA und FedRAMP?
Um Cloud-basierte Dienste für die Regierung bereitzustellen, ist es wichtig, die von der Regierung erlassenen IT-Compliance-Standards zu kennen.
Mit ihrer Cloud-first-Politikhat sich die US-Regierung dazu verpflichtet, den Behörden umfassendere Befugnisse zur Übernahme kommerziell verfügbarer Cloud-basierter Dienste zu gewähren. Die wichtigsten Gründe für diese Einführung sind die Verbesserung des Return on Investment (ROI) für Investitionen in die IT-Infrastruktur der Behörden, die Erhöhung der IT-Sicherheit der Regierung und die Bereitstellung hochwertigerer Dienstleistungen für die amerikanische Bevölkerung.
Laut Gartner nutzten Mitte 2018 bereits fast die Hälfte der staatlichen Organisationen aktiv Cloud-Dienste. Die Akzeptanz ist im Aufwind, wobei hybride Cloud- und Multi-Cloud-Angebote immer mehr an Bedeutung gewinnen. Wenn Sie planen, Cloud-basierte Dienste für die Regierung bereitzustellen, ist es wichtiger denn je, die von der Regierung erlassenen IT-Compliance-Standards grundlegend zu verstehen. Zwei wichtige Compliance-Mandate im Bereich der IT-Sicherheit, über die viel gesprochen wird, wenn es um die IT-Infrastruktur des Bundes geht, sind FISMA und FedRAMP.
FISMA und FedRAMP verfolgen dieselben übergeordneten Ziele, nämlich den Schutz von Regierungsdaten und die Verringerung des Informationssicherheitsrisikos in den Informationssystemen des Bundes. Beide basieren ebenfalls auf den Kontrollen der NIST Special Publication 800-53A. Es gibt jedoch einen deutlichen Unterschied zwischen den beiden in Bezug auf die Bundespolitik, die Sicherheitskontrollen und die Genehmigung.
Was ist FISMA?
Das 2002 in Kraft getretene FISMA - der Federal Information Security Management Act - umfasst die Compliance-Parameter für die Speicherung und Verarbeitung von Regierungsdaten. Es verlangt von den Bundesbehörden und ihren privaten Anbietern die Implementierung von Informationssicherheitskontrollen, die gewährleisten, dass die Datensicherheit der Informationssysteme des Bundes geschützt ist. Alle privaten Unternehmen, die Dienstleistungen an die Bundesregierung verkaufen, müssen die Anforderungen von FISMA erfüllen.
Der primäre Rahmen für die Einhaltung der FISMA ist NIST SP 800-53. Vereinfacht gesagt, müssen Anbieter, um FISMA-konform zu werden, die empfohlenen Informationssicherheitskontrollen für föderale Informationssysteme implementieren, wie sie im NIST SP 800-53 festgelegt sind. FISMA-Bewertungen konzentrieren sich traditionell auf Informationssysteme, die eine einzelne Behörde unterstützen.
FISMA-konforme Anbieter erhalten die Betriebsgenehmigung (Authority to Operate, ATO) nur von der jeweiligen Bundesbehörde, mit der sie Geschäfte machen. Wenn ein Anbieter Geschäftsverträge mit mehreren Bundesbehörden abgeschlossen hat, muss der Anbieter von jeder Behörde eine ATO einholen, da die Sicherheitskontrollen je nach den spezifischen Datensicherheitsanforderungen der einzelnen Behörden unterschiedlich sein können.
Lassen Sie uns über FedRAMP sprechen
Mit der Einführung von FedRAMP wollte die Regierung den Behörden den Beschaffungsprozess für Cloud-Anbieter erleichtern. Auf der grundlegenden Ebene richtet sich FedRAMP speziell an Anbieter von Cloud-Diensten. Bei den unter FedRAMP für die Nutzung durch Regierungsbehörden evaluierten Systemen handelt es sich um kommerzielle Cloud-basierte Systeme (z.B. IaaS, PaaS, SaaS), die von Unternehmen des Privatsektors genutzt werden.
Informationssysteme, die unter FISMA oder FedRAMP evaluiert werden, werden in Übereinstimmung mit FIPS 199 auf der Grundlage einiger weniger Kriterien als hoch, mäßig oder niedrig eingestuft. Auf der Grundlage der Sicherheitskategorisierung werden dann die anwendbaren Sicherheitskontrollen aus NIST SP 800-53 auf das Informationssystem angewandt und als hochwirksam, mittelwirksam oder geringwirksam eingestuft. Die Anforderungen von FedRAMP umfassen zusätzliche Kontrollen, die über die standardmäßigen NIST-Basiskontrollen in NIST SP 800-53 Revision 4 hinausgehen. Diese zusätzlichen Kontrollen beziehen sich auf die einzigartigen Elemente des Cloud-Computing, um die Sicherheit aller Bundesdaten in Cloud-Umgebungen zu gewährleisten.
Bundesbehörden wissen, dass ein Cloud-basierter Dienst sicher ist, wenn er mit dem FedRAMP-Gütesiegel ausgezeichnet ist. Im Gegensatz zu FISMA qualifiziert FedRAMP ATO einen Cloud-Dienstanbieter für Geschäfte mit jeder Bundesbehörde.
Aufgrund seines größeren Umfangs ist der FedRAMP-Zertifizierungsprozess auch wesentlich strenger. Das Zulassungsprogramm verlangt von Cloud-Anbietern, dass sie sich einer unabhängigen Sicherheitsüberprüfung durch eine dritte Organisation oder 3PAOunterziehen, um staatliche Cloud-Dienste an Bundesbehörden zu verkaufen.
Fazit
Bundesbehörden, die ein FedRAMP-konformes Produkt oder eine FedRAMP-konforme Dienstleistung suchen, erwarten wahrscheinlich auch, dass diese FISMA-konform sind. Cloud-Dienstleister sollten sowohl die FISMA- als auch die FedRAMP-Bestimmungen einhalten, um eine ATO der US-Regierung zu erhalten.
Nationale und bundesstaatliche Regierungsbehörden auf der ganzen Welt zählen auf Palo Alto Networks, wenn es darum geht, erfolgreiche Cyberangriffe zu verhindern, geheime und sensible Daten zu schützen und die Sicherheitsabläufe zu optimieren.
