Definition

NIST (National Institute of Standards and Technology)

Was ist das NIST (National Institute of Standards and Technology)?

Das NIST (National Institute of Standards and Technology) ist eine nicht-regulative Regierungsbehörde mit Sitz in Gaithersburg, Maryland. Das NIST wurde 1901 gegründet und ist heute Teil des US-Handelsministeriums. Es entwickelt, fördert und pflegt Messgrößen und Standards für verschiedene Branchen.

Der Kongress richtete das NIST ein, um eine Messstruktur zu schaffen, die mit den Fähigkeiten Großbritanniens, Deutschlands und anderer großer Länder konkurriert.

Das NIST betreibt mehrere Laboratorien, um die Weiterentwicklung und den Einsatz von technologischen Innovationen zur Verbesserung der Sicherheit zu fördern. Zu den Laborprogrammen des NIST gehören Technik, IT, Nanowissenschaften, Neutronenforschung, Materialmessungen und physikalische Messungen.

Das NIST entwickelt und pflegt auch Standards, die in Wissenschaft, Technologie und anderen Branchen verwendet werden. Diese Standards helfen Bundesbehörden, Auftragnehmern und anderen Unternehmen, die mit der Regierung zusammenarbeiten, die Anforderungen verschiedener Rahmenwerke zu erfüllen, wie zum Beispiel des Federal Information Security Management Act (FISMA), der bestimmte Cybersicherheitsstandards vorschreibt. Auch andere Organisationen im öffentlichen und privaten Sektor verwenden diese Standards als Teil ihrer Cybersicherheitsprogramme.

Das NIST bietet keine Zertifizierungen an, sondern entwickelt und fördert Richtlinien, die Bundesbehörden befolgen müssen. Das NIST beteiligt sich an Community-Outreach-Programmen und Diskussionsrunden und holt Feedback von Behörden, Hochschulen und der Industrie ein, das zur Entwicklung von Standards und Richtlinien verwendet wird. Die NIST-Normen werden ständig aktualisiert.

Was ist NIST-Compliance?

NIST-Compliance ist der Prozess der Einhaltung der Anforderungen eines oder mehrerer NIST-Standards. NIST-Richtlinien und -Empfehlungen helfen Bundesbehörden und den Organisationen, die mit ihnen Verträge abschließen, sicherzustellen, dass sie die verschiedenen Vorschriften einhalten.

Die Einhaltung der NIST-Vorschriften sieht je nach den Standards und Rahmenwerken, die eine Organisation befolgt, unterschiedlich aus. Die Standards basieren auch auf den besten Praktiken für die jeweilige Branche.

Das 2014 veröffentlichte NIST Cybersecurity Framework beispielsweise bietet ein Modell zur Verringerung der Risiken für kritische Infrastrukturen und soll Organisationen dabei helfen, ihre Cybersicherheitsrisiken besser zu verstehen, zu verwalten und zu verringern. Zu den Infrastrukturen gehören Energie- und Wasserversorgungsunternehmen sowie Transport, Finanzdienstleistungen, Kommunikation, öffentliches Gesundheitswesen, Lebensmittel und Landwirtschaft, Notfalldienste, Fertigung und verschiedene andere Sektoren. Organisationen in diesen Bereichen nutzen das NIST-Framework

um die Kommunikation mit Stakeholdern innerhalb ihres Unternehmens sowie organisationsübergreifend zu verbessern. Die Unternehmen nutzen das Framework auch, um sicherzustellen, dass sie die NIST-Standards, -Richtlinien und -Best-Practices einhalten.

Ein weiteres Beispiel für einen NIST-Standard ist die Veröffentlichung von Empfehlungen und eines Best-Practice-Frameworks, die die technische Sicherheit bei der Bereitstellung von Microservices-basierten Anwendungen mit Service Mesh hervorheben. Special Publication (SP) 800-204C zeigt, wie Unternehmen bei der Bereitstellung von Anwendungsdiensten Zeit sparen und die Sicherheit verbessern können.

Vorteile der NIST-Compliance

Zu den Vorteilen der NIST-Compliance gehören folgende:

  • Sie schafft eine Reihe von Best Practices für verschiedene Standards
  • Erstellt einen Prozess zur Verwaltung und Reduzierung von Sicherheitsvorfällen in einer Organisation durch sicherheitsbasierte Standards
  • Bildet einen festen Standard, den eine Organisation befolgen kann, wenn sie Vorschriften wie den Health Insurance Portability and Accountability Act (HIPAA) oder FISMA einhalten muss
  • ermöglicht es Organisationen jeder Größe, die sich an NIST halten, an Regierungsaufträgen zu arbeiten; das Gleiche gilt für einzelne Subunternehmer oder Zulieferer, die sich an NIST halten.

NIST-Standards und -Rahmenwerke

Beispiele für NIST-Standards sind die NIST 800-Serie wie folgt:

  • NIST SP 800-53. Dieser Standard bezieht sich auf die Verwaltung und Sicherheit von Daten in Informationssystemen des Bundes. Dies gilt auch für Auftragnehmer oder Dritte, die ebenfalls Zugang zu Bundesdaten haben. Er umfasst Sicherheitskontrollen wie Zugangskontrolle, Reaktion auf Zwischenfälle und Konfigurationsmanagement.
  • NIST SP 800-37. Hierbei handelt es sich um den Risikomanagementrahmen für Informationssysteme. Ziel der Norm ist es, Organisationen auf Risikomanagement-Aktivitäten vorzubereiten und gleichzeitig die erforderlichen Strukturen und Prozesse für das Management von Sicherheit, Data Protection und Risiken zu skizzieren.
  • NIST SP 800-53/FI. Dieser Standard schafft Sicherheitsstandards für Bundesbehörden zur Verwaltung von Programmen zum Schutz von Daten und zur Umsetzung von FISMA.
  • NIST SP 800-30. Diese Norm enthält Leitlinien für die Durchführung von Risikobewertungen. Sie gilt für Informationssysteme von Bundesbehörden und anderen Organisationen und untersucht die Unterschiede zwischen Risiken, Bedrohungen und Schwachstellen. Der Standard untersucht auch die Wahrscheinlichkeit des Auftretens von Risiken, Bedrohungen und Schwachstellen und deren mögliche Auswirkungen.
  • NIST SP 800-171. Dieser Standard enthält Richtlinien für den Schutz kontrollierter, nicht klassifizierter Informationen in nicht-bundesstaatlichen Systemen oder Organisationen. Dazu gehören auch physische Sicherheitspraktiken, zum Beispiel dass nur autorisierte Personen Zugang zu physischen Systemen oder Betriebsumgebungen haben.

So lässt sich NIST-Compliance erreichen 

Das NIST listet seine Standards auf seiner offiziellen Website auf. Die zur Verfügung gestellten Standards und Ressourcen beruhen auf internationalen Best Practices, sind technologieneutral und können von Organisationen jeder Größe und von Bundeseinrichtungen umgesetzt werden.

Aufgrund der verschiedenen möglichen Standards ist jede Implementierung eines NIST-Standards anders. Einige allgemeine Schritte zur Einhaltung der NIST-Sicherheitsstandards sind jedoch die folgenden:

  • Kategorisierung der zu schützenden Daten
  • Festlegung einer Basislinie und Dokumentieren der Kontrollen für Data Protection
  • Durchführung von Risikobewertungen
  • Bestimmung der Risikostufen auf der Grundlage der Bewertungen der Sicherheitskontrollen 
  • kontinuierliche Überwachung der Sicherheitskontrollen
Abbildung 1: Das NIST Cybersecurity Framework umfasst fünf Kernkonzepte rund um den Lebenszyklus von Cybersicherheitsrisiken.
Abbildung 1: Das NIST Cybersecurity Framework umfasst fünf Kernkonzepte rund um den Lebenszyklus von Cybersicherheitsrisiken.

Ein weiteres Beispiel: Um dem NIST Cybersecurity Framework zu folgen, sollten Organisationen die folgenden fünf grundlegenden Bereiche für Sicherheitskontrollen einhalten:

  • Identifizieren. Hier wird festgelegt, wie das Cybersicherheitsrisiko verwaltet wird und welche Systeme, Daten, Ressourcen und Funktionen benötigt werden.
  • Schützen. Dies bietet Schutzmaßnahmen zur Eindämmung von Datensicherheitsvorfällen, so dass eine Organisation bei Bedarf weiterhin wichtige Dienste bereitstellen kann.
  • Erkennen/Auffinden. Hier werden die Protokolle zur Erkennung von Sicherheitsvorfällen festgelegt.
  • Reagieren. Hier werden die Maßnahmen beschrieben, die während eines Cybersicherheitsvorfalls zu ergreifen sind.
  • Wiederherstellen. In diesem Schritt wird festgelegt, was nach einem Cybersecurity-Angriff zu tun ist, um die Geschäftskontinuität aufrechtzuerhalten und ein Disaster Recovery einzuleiten.
Diese Definition wurde zuletzt im Juni 2023 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance