National Institute of Standards and Technology (NIST)

Übersicht

Die Sicherheitskontrollen 800-53 des National Institute of Standards and Technology (NIST) sind im Allgemeinen auf die Federal Information Systems der USA anwendbar. Federal Information Systems müssen in der Regel ein formelles Beurteilungs- und Zulassungsverfahren durchlaufen, um den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen und Informationssysteme zu gewährleisten.

Das Cybersecurity Framework (CSF) des NIST wird von Regierungen und Unternehmen weltweit als empfohlene Richtlinie für Organisationen jeder Branche und Größe unterstützt. Gemäß Gartner galt das CSF 2015 bereits etwa 30 Prozent der Unternehmen und Organisationen in den USA als Richtlinie, wobei die Nutzung bis zum Jahr 2020 auf 50 Prozent steigen soll. Seit dem Geschäftsjahr 2016 wird das CSF durch bundesbehördliche Metriken des Federal Information Security Modernization Act (FISMA) gestützt und unter einem neuen Erlass zur Cybersicherheit sind US-amerikanische Behörden bereits zur Implementierung des CSF verpflichtet.

• Ist AWS NIST-Framework 800-53 konform?

  Ja, die Infrastuktur und Services von AWS Cloud wurden in unabhängigen Tests anhand der Kontrollen aus dem NIST 800-53 Revision 4 und weiterer FedRAMP-Anforderungen geprüft. AWS hat für die Regionen AWS GovCloud (USA) und AWS US Ost/West von mehreren Autorisierungsagenturen FedRAMP-Betriebszulassungen (Authorizations to Operate, ATO) erhalten. Weitere Informationen finden Sie auf der Webseite zur FedRAMP-Compliance von AWS oder auf den folgenden Marketplace-Webseiten zu FedRAMP:
  

  • Vollständige Liste der Zulassungsstellen für die Region AWS Ost/West

  • Vollständige Liste der Zulassungsstellen für AWS GovCloud (USA)

  • AWS GovCloud JAB P-ATO auf hoher Ebene

• Welche Verantwortung trage ich als Kunde bei der Abstimmung meiner AWS-Systeme mit den NIST-Frameworks?

  Obwohl einige Kontrollen von AWS weitergegeben werden, handelt es sich bei vielen der Kontrollen um eine gemeinsame Weitergabe an einen Kunden und AWS. Die Kontrollzuständigkeiten liegen dabei wie folgt:

  • Übergreifende Verantwortlichkeit: Sie stellen die Sicherheit und Konfigurationen Ihrer Software-Komponenten und AWS die Sicherheit für die Infrastruktur bereit.
  • Alleinige Kundenverantwortung: Sie sind voll verantwortlich für Gastbetriebssysteme, bereitgestellte Anwendungen und ausgewählte Netzwerkressourcen (zum Beispiel Firewalls). Genauer gesagt, sind Sie allein für die Konfiguration und Verwaltung Ihrer Sicherheit in der Cloud verantwortlich.
  • Alleinige AWS-Verantwortlichkeit: AWS verwaltet die Cloud-Infrastruktur, einschließlich des Netzwerks, des Datenspeichers, der Systemressourcen, der Rechenzentren, der physischen Sicherheit, Zuverlässigkeit und der Unterstützung von Hard- und Software. Anwendungen die auf dem AWS-System erstellt werden, erben die Funktionen und konfigurierbaren Optionen, die AWS bietet. AWS ist allein für die Konfiguration und Verwaltung der Sicherheit der Cloud selbst verantwortlich.

  Aus Gründen der Sicherheitsautorisierung obliegt die Compliance mit den FedRAMP-Anforderungen (auf Grundlage der niedrigen/mittleren/hohen Kontrollstandards von NIST 800-53 rev 4) der vollständigen Implementierung von alleiniger AWS und übergeordneter Kontrollen durch AWS und der Implementierung alleiniger Kunden und übergeordneter Kontrollen durch Sie. Eine von FedRAMP zugelassene externe Prüforganisation (3PAO) hat die AWS-Implementierung unserer Kontrollverantwortung geprüft und autorisiert. Der Ihrer Verantwortung unterliegende Anteil der gemeinsamen Kontrollen sowie die Kontrollen bezüglich der von Ihnen auf der AWS-Infrastruktur implementierten Anwendungen müssen von Ihnen getrennt in Übereinstimmung mit NIST 800-37 und Ihren eigenen Sicherheitsautorisierungsrichtlinien und -prozeduren bewertet und autorisiert werden.
  

• Wie kann AWS mir bei der Abstimmung mit den NIST-Frameworks helfen?

  FedRAMP-konforme AWS-Systeme haben Autorisierungen erhalten und die FedRAMP-Sicherheitskontrollen (NIST SP 800-53) umgesetzt, verwenden die erforderlichen FedRAMP-Vorlagen für im FedRAMP-Repository geposteten Sicherheitspakete, wurden durch eine akkreditierte unabhängige externe Prüfstelle (3PAO) bewertet und erfüllen die FedRAMP-Anforderungen für fortlaufende Überwachung.

  Laut des AWS-Modells der übergreifenden Verantwortlichkeit verwaltet AWS die Sicherheit der Cloud selbst und Sie sind für Ihre Sicherheit in der Cloud verantwortlich. Damit Sie Ihren Anteil an der übergreifenden Verantwortlichkeit besser umsetzen können, hat AWS die Quick Start-Lösungen (Powered by AWS CloudFormation) entwickelt, mit denen Sie Ihre Bereitstellung wichtiger Technologien in der AWS Cloud mit nur einem Klick automatisieren können. Jeder Quick Start umfasst den Start, die Konfiguration und die Ausführung von Datenverarbeitungs-, Netzwerk-, Speicher- und weiteren Services von AWS, die zur Bereitstellung einer Workload in AWS erforderlich sind, um die Compliance-Anforderungen von Sicherheitsstandards und -Frameworks wie NIST 800-53 gerecht zu werden.

  Mit AWS Quick Starts werden sichere Basisstandards mit ausführlichen Regelsätzen, die systematisch erzwungen werden können, optimiert, automatisiert und implementiert. Die Schnellstart-standardisierte Architektur für NIST-basierte Bewertungs-Frameworks auf der AWS Cloud umfasst beispielsweise AWS-CloudFormation-Vorlagen. Diese Vorlagen können in den AWS Service Catalog integriert werden, um die Erstellung einer standardisierten Baseline-Architektur-Workload zu automatisieren, die unter NIST 800-53 (Revision 4) and NIST 800-171 fällt. Dieser Quick Start umfasst zudem eine Sicherheitskontrollreferenz, die Architekturentscheidungen für Sicherheitskontrollen, Funktionen und die Konfiguration der Basiswerte zuordnet. Quick Starts können auf eine Weise zur Unterstützung Ihrer Compliance-Bemühungen in AWS verwendet werden, die für die AWS Cloud-Sicherheits- und Compliance-Ziele Ihrer Organisation sinnvoll ist.
  

• Wie ist das Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST) anzuwenden?

  Als Organisation auf dem öffentlichen oder gewerblichen Sektor können Sie das Whitepaper zum NIST Cybersecurity Framework (CSF) nutzen, um Ihre AWS-Umgebung anhand des NIST CSF zu bewerten und die Sicherheitsmaßnahmen, die Sie implementieren und verwenden, zu verbessern (Ihr Anteil am Modell der übergreifende Verantwortlichkeit, auch bekannt als Sicherheit in der Cloud). Wir stellen Ihnen eine detaillierte Beschreibung der AWS Cloud-Services und der damit zusammenhängenden Verantwortlichkeiten von Kunden und AWS zur Verfügung, um Ihnen die Abstimmung mit dem NIST CSF zu erleichtern. Dieses Whitepaper beinhaltet auch ein Attest eines externen Prüfers, das dem Angebot der AWS Cloud-Services Konformität mit den Risikomanagementverfahren des NIST CSF (unser Anteil am Modell der übergreifenden Verantwortlichkeit, auch als Sicherheit der Cloud selbst bezeichnet) bescheinigt. Durch diese Konformität wird ein angemessener Schutz der Organisationsdaten in AWS gewährleistet.

  Organisationen, darunter auch Bundesbehörden und Behörden der einzelnen Bundesstaaten, regulierte Einrichtungen und große Unternehmen, können dieses Whitepaper als Richtlinie zur Implementierung der AWS-Lösungen unter Einhaltung der Risikomanagementvorgaben des NIST CSF nutzen.
  

NIST-Ressourcen