National Institute of Standards and Technology (NIST)

Übersicht

Die Sicherheitskontrollen 800-53 des National Institute of Standards and Technology (NIST) sind im Allgemeinen auf die Federal Information Systems der USA anwendbar. Federal Information Systems müssen in der Regel ein formelles Beurteilungs- und Zulassungsverfahren durchlaufen, um den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen und Informationssysteme zu gewährleisten.

Das Cybersecurity Framework (CSF) des NIST wird von Regierungen und Unternehmen weltweit als empfohlene Richtlinie für Organisationen jeder Branche und Größe unterstützt. Gemäß Gartner galt das CSF 2015 bereits etwa 30 Prozent der Unternehmen und Organisationen in den USA als Richtlinie, wobei die Nutzung bis zum Jahr 2020 auf 50 Prozent steigen soll. Seit dem Geschäftsjahr 2016 wird das CSF durch bundesbehördliche Metriken des Federal Information Security Modernization Act (FISMA) gestützt und unter einem neuen Erlass zur Cybersicherheit sind US-amerikanische Behörden bereits zur Implementierung des CSF verpflichtet.

• Ist AWS NIST-Framework 800-53 konform?

  Ja, die Infrastuktur und Services von AWS Cloud wurden in unabhängigen Tests anhand der Kontrollen aus dem NIST 800-53 Revision 4 und weiterer FedRAMP-Anforderungen geprüft. AWS hat für die Regionen AWS GovCloud (USA) und AWS US Ost/West von mehreren Autorisierungsagenturen FedRAMP-Betriebszulassungen (Authorizations to Operate, ATO) erhalten. Weitere Informationen finden Sie auf der Webseite zur FedRAMP-Compliance von AWS oder auf den folgenden Marketplace-Webseiten zu FedRAMP:
  

  • Vollständige Liste der Zulassungsstellen für die Region AWS Ost/West

  • Vollständige Liste der Zulassungsstellen für AWS GovCloud (USA)

  • AWS GovCloud JAB P-ATO auf hoher Ebene

• Welche Verantwortung trage ich als Kunde bei der Abstimmung meiner AWS-Systeme mit den NIST-Frameworks?

  Obwohl einige Kontrollen von AWS weitergegeben werden, handelt es sich bei vielen der Kontrollen um eine gemeinsame Weitergabe an einen Kunden und AWS. Die Kontrollzuständigkeiten liegen dabei wie folgt:

  • Übergreifende Verantwortlichkeit: Sie stellen die Sicherheit und Konfigurationen Ihrer Software-Komponenten und AWS die Sicherheit für die Infrastruktur bereit.
  • Alleinige Kundenverantwortung: Sie sind voll verantwortlich für Gastbetriebssysteme, bereitgestellte Anwendungen und ausgewählte Netzwerkressourcen (zum Beispiel Firewalls). Genauer gesagt, sind Sie allein für die Konfiguration und Verwaltung Ihrer Sicherheit in der Cloud verantwortlich.
  • Alleinige AWS-Verantwortlichkeit: AWS verwaltet die Cloud-Infrastruktur, einschließlich des Netzwerks, des Datenspeichers, der Systemressourcen, der Rechenzentren, der physischen Sicherheit, Zuverlässigkeit und der Unterstützung von Hard- und Software. Anwendungen die auf dem AWS-System erstellt werden, erben die Funktionen und konfigurierbaren Optionen, die AWS bietet. AWS ist allein für die Konfiguration und Verwaltung der Sicherheit der Cloud selbst verantwortlich.

  Aus Gründen der Sicherheitsautorisierung obliegt die Compliance mit den FedRAMP-Anforderungen (auf Grundlage der niedrigen/mittleren/hohen Kontrollstandards von NIST 800-53 rev 4) der vollständigen Implementierung von alleiniger AWS und übergeordneter Kontrollen durch AWS und der Implementierung alleiniger Kunden und übergeordneter Kontrollen durch Sie. Eine von FedRAMP zugelassene externe Prüforganisation (3PAO) hat die AWS-Implementierung unserer Kontrollverantwortung geprüft und autorisiert. Der Ihrer Verantwortung unterliegende Anteil der gemeinsamen Kontrollen sowie die Kontrollen bezüglich der von Ihnen auf der AWS-Infrastruktur implementierten Anwendungen müssen von Ihnen getrennt in Übereinstimmung mit NIST 800-37 und Ihren eigenen Sicherheitsautorisierungsrichtlinien und -prozeduren bewertet und autorisiert werden.
  

• Wie kann AWS mir bei der Abstimmung mit den NIST-Frameworks helfen?

  FedRAMP-konforme AWS-Systeme haben Autorisierungen erhalten und die FedRAMP-Sicherheitskontrollen (NIST SP 800-53) umgesetzt, verwenden die erforderlichen FedRAMP-Vorlagen für im FedRAMP-Repository geposteten Sicherheitspakete, wurden durch eine akkreditierte unabhängige externe Prüfstelle (3PAO) bewertet und erfüllen die FedRAMP-Anforderungen für fortlaufende Überwachung.

  Laut des AWS-Modells der geteilten Verantwortung verwaltet AWS die Sicherheit der Cloud selbst und Sie sind für Ihre Sicherheit in der Cloud verantwortlich. Um Sie bei der Umsetzung der geteilten Verantwortungen zu unterstützen, hat AWS die Lösung Landing Zone Accelerator on AWS (unterstützt von AWS CloudFormation) entwickelt. Die Lösung Landing Zone Accelerator on AWS stellt eine Cloud-Grundlage bereit, die so konzipiert ist, dass sie mit den bewährten Methoden von AWS und mehreren globalen Compliance-Frameworks, einschließlich NIST-basierten Frameworks, übereinstimmt. Mit dieser Lösung können Kunden mit stark regulierten Workloads und komplexen Compliance-Anforderungen ihre Multi-Konto-Umgebung besser verwalten und steuern. In Kombination mit anderen AWS-Services bietet es eine umfassende Low-Code-Lösung für mehr als 35 AWS-Services. Der Lösung Landing Zone Accelerator on AWS hilft Ihnen bei der schnellen Bereitstellung einer sicheren, belastbaren, skalierbaren und vollständig automatisierten Cloud-Grundlage. Diese beschleunigt Ihre Bereitschaft für Ihr Cloud-Compliance-Programm. Hinweis: Diese Lösung allein macht Sie nicht konform. Sie bietet die grundlegende Infrastruktur, über die zusätzliche kostenlose Lösungen integriert werden können.

• Wie ist das Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST) anzuwenden?

  Als Organisation auf dem öffentlichen oder gewerblichen Sektor können Sie das Whitepaper zum NIST Cybersecurity Framework (CSF) nutzen, um Ihre AWS-Umgebung anhand des NIST CSF zu bewerten und die Sicherheitsmaßnahmen, die Sie implementieren und verwenden, zu verbessern (Ihr Anteil am Modell der übergreifende Verantwortlichkeit, auch bekannt als Sicherheit in der Cloud). Wir stellen Ihnen eine detaillierte Beschreibung der AWS Cloud-Services und der damit zusammenhängenden Verantwortlichkeiten von Kunden und AWS zur Verfügung, um Ihnen die Abstimmung mit dem NIST CSF zu erleichtern. Dieses Whitepaper beinhaltet auch ein Attest eines externen Prüfers, das dem Angebot der AWS Cloud-Services Konformität mit den Risikomanagementverfahren des NIST CSF (unser Anteil am Modell der übergreifenden Verantwortlichkeit, auch als Sicherheit der Cloud selbst bezeichnet) bescheinigt. Durch diese Konformität wird ein angemessener Schutz der Organisationsdaten in AWS gewährleistet.

  Organisationen, darunter auch Bundesbehörden und Behörden der einzelnen Bundesstaaten, regulierte Einrichtungen und große Unternehmen, können dieses Whitepaper als Richtlinie zur Implementierung der AWS-Lösungen unter Einhaltung der Risikomanagementvorgaben des NIST CSF nutzen.
  

NIST-Ressourcen