FISMA
Was ist FISMA?
FISMAUS-Bundesgesetz, das Bundesbehörden und ihre Auftragnehmer verpflichtet, risikobasierte Informationssicherheitsprogramme für Systeme mit staatlichen Daten zu betreiben.
Der Federal Information Security Modernization Act (FISMA) wurde 2002 erlassen und 2014 modernisiert. Er verpflichtet Bundesbehörden, ein behördenweites Informationssicherheitsprogramm zu entwickeln, zu dokumentieren und umzusetzen. Das NIST veröffentlicht hierzu Standards (FIPS 199 zur Kategorisierung, FIPS 200 für Mindestkontrollen) und Leitlinien (SP 800-53 Kontrollkatalog, SP 800-37 Risk Management Framework). Behörden müssen Systeme inventarisieren, Risikoanalysen durchführen, eine Authorization to Operate (ATO) erteilen, Kontrollen kontinuierlich überwachen und jährlich an OMB und Kongress berichten. FISMA gilt auch für Auftragnehmer und Cloud-Anbieter, die föderale Systeme betreiben. OMB und CISA üben die Aufsicht aus; der GAO prüft die Wirksamkeit.
● Beispiele
- 01
Eine Behörde erteilt einem neuen HR-System nach einer Kontrollbewertung gemäß NIST SP 800-53 eine ATO.
- 02
Ein Bundes-Auftragnehmer betreibt Continuous Monitoring und reicht POA&Ms ein, um FISMA-konform zu bleiben.
● Häufige Fragen
Was ist FISMA?
US-Bundesgesetz, das Bundesbehörden und ihre Auftragnehmer verpflichtet, risikobasierte Informationssicherheitsprogramme für Systeme mit staatlichen Daten zu betreiben. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet FISMA?
US-Bundesgesetz, das Bundesbehörden und ihre Auftragnehmer verpflichtet, risikobasierte Informationssicherheitsprogramme für Systeme mit staatlichen Daten zu betreiben.
Wie schützt man sich gegen FISMA?
Schutzmaßnahmen gegen FISMA kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für FISMA?
Übliche alternative Bezeichnungen: Federal Information Security Modernization Act.