Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Der Weg zur DSGVO-Compliance" herunter. Download

Leitfaden zur Einhaltung von NIST 800-53

Erreichen Sie Konformität mit NIST 800-53, Revision 5 mit Endpoint Protector für Data Loss Prevention und USB-Gerätekontrolle. Für eine Behörde oder Organisation, ist das Verständnis der Rolle von NIST 800-53, Revision 5, innerhalb Ihrer Sicherheitsoperationen entscheidend. Leider kann aufgrund des Umfangs der NIST 800-53, Revision 5, und des NIST Cybersecurity Frameworks keine einzige Lösung alle Anforderungen an die Informationssicherheit erfüllen. Stattdessen müssen die Behörden mehrere Technologien und Prozesse kombinieren, um ihre erklärten Ziele zu erreichen. Dieser Blog-Beitrag skizziert die Sicherheitskontrollen, die mit Endpoint Protector von CoSoSys erreicht werden können, und soll Behörden bei der Evaluierung von Softwarelösungen helfen, um die NIST 800-53, Revision 5 zu erfüllen. Wenn Sie ein Auftragnehmer oder Lieferant von Behörden sind und aufgefordert wurden, die in der Veröffentlichung NIST 800-171, Revision 2, oder anderen NIST SP dokumentierten Anforderungen zu erfüllen, besuchen Sie unsere NIST Compliance Seite.

Navigieren durch das NIST-Framework

Das Verständnis der NIST-Hierarchie kann auf den ersten Blick komplex erscheinen. Im Kern legt NIST 800-53, Revision 5, die Sicherheitsstandards um fünf Kernfunktionen des NIST-Frameworks herum fest: Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen. Diese Funktionen decken die grundlegenden Anforderungen ab: von der Vorbereitung der Systeme eines Unternehmens auf die Risikoerkennung bis hin zur Reaktion und Wiederherstellung. Innerhalb dieser Funktionen gibt es 888 verschiedene Kontrollen, die sowohl Technologie als auch Prozesse umfassen. Der Einfachheit halber sind diese Kontrollen in 20 Kontrollfamilien unterteilt: Dazu gehören unter anderem: Zugriffskontrolle, Konfigurationsmanagement, Notfallplanung, Reaktion auf Vorfälle, Medienschutz, Personalsicherheit, physischer Schutz und Umweltschutz, Programmmanagement, Risikobewertung, Sicherheitsbewertung und -autorisierung, System- und Kommunikationsschutz, System- und Informationsintegrität, Risikomanagement in der Lieferkette sowie Datenschutz und Sicherheitskontrollen für Informationssysteme und Organisationen.

Wo kann Endpoint Protector eingesetzt werden?

Endpoint Protector unterstützt insbesondere die Protect- und Detect-Funktionen, indem es eine Reihe von Endpoint-Protection-Tools bereitstellt, wie z.B. Data Loss Prevention (DLP), Gerätekontrolle und Verschlüsselung, um Informationssicherheit zu erreichen.

  • Beschützen (PR): Implementierung von Sicherheitskontrollen zur Verringerung des Cyber-Risikos, einschließlich technischer, administrativer und physischer Kontrollen, sowie Schulung und Planung.
  • Erkennen (DE): Erkennen Sie Cyber-Bedrohungen und reagieren Sie darauf, indem Sie Überwachungs- und Erkennungssysteme und -verfahren sowie eine kontinuierliche Sicherheitsüberwachung implementieren.BOXOUT
Fünf Kernfunktionen von NIST 800-53, Revision 5,

  • Erkennen (ID): Verstehen und Verwalten von Cyber-Risiken durch Identifizierung von Vermögenswerten, Schwachstellen, Bedrohungen, Auswirkungen und Risiken zur Priorisierung von Ressourcen.
  • Beschützen (PR): Implementierung von Sicherheitskontrollen zur Verringerung von Cyber-Risiken, einschließlich technischer, administrativer und physischer Kontrollen sowie Schulung und Planung.
  • Erkennen (DE): Erkennen Sie Cyber-Bedrohungen und reagieren Sie darauf, indem Sie Überwachungs- und Erkennungssysteme und -verfahren sowie eine kontinuierliche Sicherheitsüberwachung einführen.
  • Reagieren (RS): Auf Cyber-Vorfälle reagieren und diese eindämmen, indem Pläne und Verfahren zur Reaktion auf Vorfälle eingeführt werden.
  • Wiederherstellen (RC): Wiederherstellung des normalen Betriebs nach einem Cybervorfall durch Backup- und Wiederherstellungspläne, Disaster Recovery und Business Continuity Planning.

Anwendung von Endpoint Protector auf die Funktionen Protect (PR) und Detect (DE) Endpoint Protector kann Ihrem Unternehmen helfen, mehrere Sicherheitsanforderungen von NIST 800-53, Revision 5 zu erfüllen. Insbesondere hilft er Ihnen dabei, die Verwendung von Wechselmedien zu kontrollieren und sich gegen Datenlecks als Teil einer fortlaufenden Informationssicherheitsstrategie zu schützen. Basierend auf einer Analyse von Unternehmen, die Endpoint Protector zur Erfüllung ihrer NIST-Verpflichtungen einsetzen, sind im Folgenden die fünf wichtigsten NIST 800-53-Kontrollen aufgeführt, die mit den Funktionen Device Control und Content Aware Protection von Endpoint Protector erfüllt werden können. Innerhalb der Protect-Funktion bietet Endpoint Protector besondere Unterstützung für die Kategorie Datensicherheit (DS). Diese ist definiert als: Informationen und Aufzeichnungen (Daten) werden in Übereinstimmung mit der Risikostrategie des Unternehmens verwaltet, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Die folgenden Unterkategorien und Kontrollen können von Endpoint Protector je nach den Unternehmenszielen teilweise oder vollständig erreicht werden.

Kategorie Datensicherheit (DS)
Unterkategorien PR.DS-1: Data-at-rest ist geschützt PR.PT-2: Wechselmedien sind geschützt
Kontrollfamilie MP: Medienschutz
Kontrollen & Kontrollerweiterungen MP-7: Mediennutzung MP-7 schränkt die Nutzung bestimmter Medientypen auf Systemen ein, z. B. durch die Einschränkung oder das Verbot der Nutzung von Flash-Laufwerken oder externen Festplattenlaufwerken. Unternehmen können deren Verwendung verbieten oder die Verwendung von tragbaren Speichermedien auf zugelassene Geräte, bestimmte Benutzergruppen oder auf schreibgeschützte Funktionen beschränken. Organisationen sollten auch über Mechanismen verfügen, um die Benutzer solcher Geräte zu identifizieren.
Angewandte Baselines Niedrig Mittel Hoch Datenschutz
Endpoint Protector Anwendung Device Control ermöglicht es, die Verwendung von USB-Laufwerken und anderen tragbaren Speichergeräten zu verwalten, die mit den Endgeräten der Mitarbeiter verbunden sind. Dazu gehören USB-Flash-Laufwerke, externe Festplatten, SD-Karten und sogar über Bluetooth verbundene Speichermedien (z.B. Smartphones). Die Nutzung externer Speichermedien kann auf Unternehmensebene gesperrt werden, oder es können Kontrollen eingerichtet werden, um den Zugriff auf Gruppen-/Team- oder individueller Ebene zu ermöglichen. Berechtigungen können auch nur für genehmigte Speichermedien vergeben werden (z. B. von der IT-Abteilung genehmigte USB-Laufwerke). Die File Shadowing-Funktionalität erweitert die Informationssicherheitskontrollen Ihres Sicherheitsprogramms, indem sie es Sicherheitsadministratoren ermöglicht, alle sensiblen Datenübertragungen auf externe Speichermedien auf der Ebene einzelner Mitarbeiter zu überwachen und darüber zu berichten.
Geschützte Bedrohungen Manipulation Information Disclosure
Kategorie Datensicherheit (DS)
Unterkategorien PR.DS-2: Daten im Transit sind geschützt
Kontrollfamilie System- und Kommunikationsschutz
Kontrollen & Kontrollerweiterungens SC-8: Schutz der Vertraulichkeit von übertragenen Informationen & SC-8(1): Kryptographischer oder alternativer physischer Schutz. Das Informationssystem setzt kryptografische Mechanismen ein, um die unbefugte Offenlegung von Informationen zu verhindern und/oder Änderungen während der Übertragung zu erkennen, sofern sie nicht durch definierte alternative physische Schutzmaßnahmen anderweitig geschützt sind.
Angewandte Baselines Niedrig Mittel Hoch Privatsphäre
Endpoint Protector Anwendung Für Organisationen, die die Verwendung von tragbaren Medien für den Datentransport benötigen, macht die Enforced Encryption-Funktion von Endpoint Protector spezielle (und teure) hardwarebasierte Lösungen überflüssig und wendet stattdessen eine AES 256bit-Verschlüsselung auf Dateien an, die an ein beliebiges, von der Organisation zugelassenes USB-Speichergerät gesendet werden.
Geschützte Bedrohungen Manipulation Informationsoffenlegung
Kategorie Datensicherheit (DS)
Unterkategorien PR.DS-5: Es werden Schutzmaßnahmen gegen Datenlecks getroffen
Kontrollfamilie System- und Kommunikationsschutz
Kontrollen & Kontrollerweiterungens SC-7 Grenzschutz Überwachung und Kontrolle der Kommunikation an externen verwalteten Schnittstellen zum System und an wichtigen internen verwalteten Schnittstellen innerhalb des Systems.SC-7(10) Verhinderung der Exfiltration: Verhinderung der Exfiltration von Informationen und Durchführung von Exfiltrationstests.
Angewandte Baselines Niedrig Mäßig Hoch Datenschutz
Endpoint Protector Anwendung Endpoint Protector Device Control and Content Aware Protection ermöglicht es Sicherheitsteams, sensible Daten am Endpunkt des Mitarbeiters (Schnittstelle) in Übereinstimmung mit SC-7 und SC-7(10) vor dem Exfiltrieren zu schützen. Dies wird manchmal auch als „Insider Threats“ bezeichnet. Dies umfasst die potenzielle Exfiltration von Daten über Hardware-Geräte (z. B. USB-Laufwerke, externe Festplatten, über Bluetooth verbundene Geräte, Drucker usw.) und auch über Software-Anwendungen, z. B. E-Mail, Slack, Datei-Uploads usw. Eine genaue Kontrolle über die Exfiltration oder Übertragung von Dokumenten kann auf Unternehmens-, Gruppen-/Team- oder individueller Ebene und nach Inhaltstyp erfolgen. Kontrollen auf Inhaltsebene können um definierte vertrauliche Daten (wie persönlich identifizierbare Informationen (PII) oder Zahlungskarteninformationen (PCI DSS)) herum aufgebaut werden, oder durch benutzerdefinierte Richtlinien zum Schutz einzigartiger Werte wie geistiges Eigentum (IP) oder Quellcode.
Bedrohungen Geschützte Informationen Offenlegung

Threats ProtectedInformation Disclosure

Kategorie Datensicherheit (DS)
Unterkategorien PR.DS-5: Schutzmaßnahmen gegen Datenlecks sind implementiert
Kontrollfamilie System- und Kommunikationsschutz
Kontrollen & Kontrollerweiterungens SI-4 Systemüberwachung Strategisch innerhalb des Systems wesentliche Informationen sammeln, um bestimmte Arten von Transaktionen, die für die Organisation von Interesse sind, zu verfolgen; das System überwachen, um zu erkennen: Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit den Überwachungszielen.SI-4(19): Risiko für Einzelpersonen: (*nicht Teil der Baselines) Fähigkeit zur Überwachung von Einzelpersonen, die als erhöhtes Risiko identifiziert wurden
Angewandte Baselines Niedrig Mäßig Hoch  Datenschutz
Endpoint Protector Anwendung Die Anwendung Endpoint Protector von Endpoint Protector kann für die Systemüberwachung auf der Ebene einzelner Endgeräte/Mitarbeiter konfiguriert werden, um SC-4 und SC-14(19) zu unterstützen. Passive Überwachung kann mit Hilfe von Protokolldaten erreicht werden, um die Bewegung und den potenziellen Exfiltrationsversuch von definierten vertraulichen Datentypen zu verfolgen. Die proaktive Überwachung von Personen, die ein erhöhtes Risiko darstellen (SC-14(19)), kann durch die Erstellung von Kopien aller übertragenen Dateien (File Shadowing) weiter verbessert werden, so dass Sicherheitsadministratoren den genauen Inhalt einer Datei überprüfen können.

DETECT (DE) Innerhalb der Detect-Funktion bietet Endpoint Protector insbesondere Unterstützung für die Kategorien Security Continuous Monitoring und Anomalies and Events. Security Continuous Monitoring legt fest, dass Informationssysteme und Assets überwacht werden, um Cybersecurity-Ereignisse zu identifizieren und die Wirksamkeit von Schutzmaßnahmen zu überprüfen. Anomalien und Ereignisse erfordern, dass anomale Aktivitäten erkannt und die potenziellen Auswirkungen von Ereignissen verstanden werden. In beiden Fällen fungiert der ressourcenschonende Agent von Endpoint Protector nicht nur als Kontrollpunkt für die Durchsetzung von Richtlinien, sondern auch als Mechanismus, um über potenziell schädliche Aktivitäten zu berichten. Die folgenden Unterkategorien und Kontrollen können je nach Unternehmenszielen teilweise oder vollständig von Endpoint Protector umgesetzt werden.

Kategorie Sicherheit Kontinuierliche Überwachung (CM)
Unterkategorien DE.CM-3: Die Aktivitäten des Personals werden überwacht, um potenzielle Cybersecurity-Ereignisse zu erkennen. DE.CM-7: Die Überwachung auf nicht autorisiertes Personal, Verbindungen, Geräte und Software wird durchgeführt. DE.AE-3: Anomale Aktivitäten werden erkannt und die potenziellen Auswirkungen von Ereignissen werden verstanden.
Kontrollfamilie Bewertung, Autorisierung und Überwachung
Kontrollen & Kontrollerweiterungens CA-7 – Kontinuierliche Überwachung Entwicklung einer Strategie für die kontinuierliche Überwachung auf Systemebene und Umsetzung der kontinuierlichen Überwachung in Übereinstimmung mit der Strategie für die kontinuierliche Überwachung auf Organisationsebene.
Angewandte Baselines Niedrig Mäßig Hoch Datenschutz
Endpoint Protector Anwendung Wenn Endpoint Protector auf einem Endgerät eingesetzt wird, können Sicherheitsadministratoren über versuchte/blockierte Datenübertragungen informiert werden, die gegen Datenschutzrichtlinien verstoßen, selbst wenn das Endgerät offline und nicht mit einem Netzwerk verbunden ist. Die passive Überwachung kann anhand von Protokolldaten erfolgen, um die Bewegung und den potenziellen Exfiltrationsversuch definierter vertraulicher Datentypen zu verfolgen. Die proaktive Überwachung von Endpunkten kann durch File Shadowing verschärft werden, indem Kopien aller übertragenen Dateien erstellt werden, so dass Sicherheitsadministratoren den genauen Inhalt einer Datei überprüfen können.

Was sind kontrollierte, nicht klassifizierte Informationen?

Es ist wichtig, die Arten von Daten zu kennen, mit denen Ihr Unternehmen umgehen wird. Sowohl NIST 800-53, Revision 5 als auch NIST 800 171, Revision 2 behandeln CUI – oder Controlled Unclassified Information. Einige Beispiele für CUI sind:

  1. Exportkontrollierte Informationen, wie z. B. technische Daten im Zusammenhang mit Verteidigungsartikeln, Software und Technologie.
  2. Finanzinformationen, einschließlich Informationen zu Steuererklärungen, Finanzkontonummern und Kreditauskünften, sowie andere Daten, die unter PCI-DSS fallen.
  3. Strafverfolgungsinformationen, wie z. B. strafrechtliche Ermittlungen, sensible Sicherheitsinformationen und nachrichtendienstliche Informationen.
  4. Persönliche Informationen, wie Sozialversicherungsnummern, medizinische Daten und persönlich identifizierbare Informationen (PII).
  5. Kontrollierte Technologie, einschließlich Informationen über Nuklearanlagen, biologische Wirkstoffe und chemische Waffen.
  6. Transportinformationen, wie z. B. Informationen über Gefahrguttransporte und Informationen zur Transportsicherheit.
  7. Sensible Informationen im Zusammenhang mit Regierungsverträgen, Beschaffung und Erwerb.

Dies sind nur einige Beispiele für die Arten von Informationen, die als CUI gelten können. Es ist wichtig zu beachten, dass die spezifischen Kategorien und Definitionen von CUI je nach Organisation, den Informationssystemen des Bundes, in denen Sie arbeiten, und dem jeweiligen rechtlichen Rahmen variieren können. Glücklicherweise können Sie mit dem Content Aware Protection-Modul von Endpoint Protector die Exfiltration aller Datentypen kontrollieren und stoppen. Für diejenigen, die personenbezogene Daten (Personal Identifiable Information, PII), personenbezogene Gesundheitsdaten (Personal Healthcare Information, PHI) oder Zahlungskartendaten schützen wollen, können die vordefinierten Datenbibliotheken von Endpoint Protector Ihrem Sicherheitsteam bei der schnellen Erstellung von Richtlinienvorlagen helfen. Erweiterte Richtlinien können auch für IP, Quellcode oder jede andere Art von Daten erstellt werden, wobei die Richtlinien auf verschiedene Benutzergruppen zugeschnitten sind und auf verschiedene Ausgangspunkte am Endpunkt des Mitarbeiters angewendet werden.

Wichtige Überlegungen

  • Multi-OS – Endpoint Protector ermöglicht die Erstellung von Richtlinien zum Schutz von Windows-, macOS– und Linux-Rechnern über eine einzige Verwaltungskonsole. Dies ist wichtig für Unternehmen, die das Richtlinienmanagement konsolidieren und die Anzahl der zu verwaltenden Sicherheitsplattformen reduzieren wollen.
  • Schutz von Offline-Aktivitäten – Es ist wichtig, daran zu denken, dass viele cloudbasierte Lösungen keinen Endpunktschutz bieten, wenn der Mitarbeiter offline geht. Dies würde bei einem NIST-Compliance-Audit als ein besonderes Risiko angesehen werden.
  • Da Endpoint Protector einen leichtgewichtigen Agenten verwendet, bleiben die Richtlinien unabhängig vom Verbindungsstatus des Endpunkts oder dem Standort des Mitarbeiters in Kraft. Jeder versuchte Richtlinienverstoß wird an Ihre Administratoren zurückgemeldet, sobald die Verbindung zum Endpunkt wiederhergestellt ist.
  • Einsatz – Endpoint Protector kann auf verschiedene Arten eingesetzt werden, um die in Ihrem Unternehmen bestehenden Sicherheits- und Datenschutzanforderungen zu erfüllen. Dazu gehört die Bereitstellung vor Ort / als virtuelle Appliance oder in der Cloud (entweder in Ihrem eigenen Cloud-Service oder durch uns).
  • Unternehmen sollten die für ihre Systeme erforderliche Control Baseline ermitteln, indem sie die Kritikalität und Sensibilität der Informationen bestimmen, die von diesen Systemen verarbeitet, gespeichert oder übertragen werden. Nicht alle der in diesem Beitrag aufgeführten Kontrollen gelten für alle Anforderungen der Control Baseline (mit geringer, mittlerer und hoher Auswirkung) sowie für die Privacy Control Baseline. Das National Institute of Standards and Technology befürwortet keine kommerziellen Produkte oder Unternehmen. Unternehmen sind allein dafür verantwortlich, die Angemessenheit des Einsatzes von Endpoint Protector by CoSoSys zur Erfüllung ihrer Sicherheitsanforderungen und der NIST SP-Compliance zu bestimmen.

In diesem Artikel:

    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.