Regulatorische Konformitätsbenchmarks sind Standards oder Richtlinien, mit denen Organisationen den Grad ihrer Konformität mit den geltenden Gesetzen, Vorschriften und Branchenstandards messen und bewerten können.

HIPAA (Health Insurance Portability and Accountability Act)

Das Health Insurance Portability and Accountability Act (HIPAA) ist ein US-Bundesgesetz, das 1996 erlassen wurde. Das HIPAA legt Standards und Vorschriften zum Schutz der Privatsphäre, Sicherheit und Vertraulichkeit von persönlichen Gesundheitsinformationen (PHI) und elektronischen Gesundheitsakten (EHRs) im Gesundheitswesen fest.

Die HIPAA-Datenschutzregel und die Sicherheitsregel sind zwei Schlüsselkomponenten des HIPAA-Standards:
  • HIPAA-Datenschutzregel: Die Datenschutzregel legt Standards für die Verwendung und Offenlegung von PHI durch abgedeckte Einrichtungen fest, zu denen Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen im Gesundheitswesen gehören. Sie garantiert Einzelpersonen bestimmte Rechte an ihren Gesundheitsinformationen, wie z. B. das Recht auf Zugang, das Recht auf Änderung und das Recht auf Auskünfte über weitergegebene Daten. Die Einrichtungen, die unter das Gesetz fallen, sind zur Durchführung von Sicherheitsmaßnahmen verpflichtet, um PHI zu schützen, die Patienten über Datenschutzpraktiken zu informieren und für bestimmte Verwendungen und Weitergaben von PHI eine schriftliche Genehmigung einzuholen.
  • HIPAA-Sicherheitsregel: Die Sicherheitsregel legt Sicherheitsstandards für den Schutz elektronischer PHI (ePHI) fest. Sie schreibt vor, dass unter das Gesetz fallende Einrichtungen und deren Geschäftspartner Verwaltungsmaßnahmen, physische und technische Schutzmaßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der ePHI durchführen müssen. Zu diesen Schutzmaßnahmen gehören Risikobewertungen, Zugriffskontrollen, Verschlüsselung, Überwachungskontrollen, Notfallwiederherstellungspläne und Schulungen für Mitarbeiter zum Thema Sicherheitsbewusstsein.

Der HIPAA-Standard gilt für Krankenversicherungen, Clearingstellen im Gesundheitswesen und deren Geschäftspartner, die PHI oder ePHI verarbeiten. Die Konformität mit den HIPAA-Vorschriften ist obligatorisch, und Konformitätsmängel können empfindliche Sanktionen nach sich ziehen, einschließlich Geldbußen und möglicher strafrechtlicher Konsequenzen.

Das HIPAA enthält außerdem Vorschriften in Beug auf den elektronischen Austausch von Gesundheitsdaten und umfasst das Health Information Technology for Economic and Clinical Health (HITECH) Act, ein Gesetz, das die Einführung und den sinnvollen Einsatz von elektronischen Gesundheitsdaten fördert.

Wichtig: Redaktionsschluss für diese Informationen war im September 2021. Daher ist es ratsam, dass Sie die neuesten Informationen und Aktualisierungen bei offiziellen Quellen (z. B. beim US-Gesundheitsministerium) konsultieren, um sich über den aktuellen Stand der HIPAA-Standards und -Vorschriften zu informieren.

Payment Card Industry Data Security Standard (PCI DSS)-Konformitätsstandards

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Konformitätsstandards, die von den führenden Zahlungskartenmarken wie Visa, Mastercard, American Express, Discover und JCB aufgestellt wurden. Der PCI DSS zielt darauf ab, die Sicherheit der Karteninhaberdaten zu gewährleisten und diese vor Betrug und unbefugtem Zugriff in der Zahlungskartenindustrie zu schützen.

Die PCI-DSS-Konformitätsstandards bestehen aus zwölf allgemeinen Anforderungen, die in sechs Kontrollziele unterteilt sind. Diese Anforderungen beschreiben Sicherheitsmaßnahmen, die Zahlungskartendaten verarbeitende Organisationen durchführen müssen:
  • Ein sicheres Netzwerk errichten und erhalten
  • Daten der Karteninhaber schützen
  • Schwachpunkte-Verwaltungsprogramm aufrechterhalten
  • Eine Informationssicherheitsrichtlinie verwalten

Die PCI-DSS-Konformitätsanforderungen variieren je nach dem Grad der Beteiligung an Zahlungskartentransaktionen. Diese werden in die Kategorien 1 bis 4 eingestuft. Für Level-1-Händler und Dienstleister mit den höchsten Transaktionsvolumina gelten strengere Anforderungen, und sie werden jährlich durch einen Sicherheitssachverständigen (Qualified Security Assessor, QSA) einem Audit unterzogen. Händler der Stufen 2, 3 und 4 mögen zwar unterschiedliche Validierungsanforderungen haben, diese reichen jedoch von Selbstbewertungsfragebögen (SAQs) bis hin zu externen Sicherheitslücken-Scans.

Die Konformität mit dem PCI DSS ist notwendig für Unternehmen, die an der Verarbeitung von Zahlungskarten beteiligt sind, einschließlich Händlern, Dienstleistern und Zahlungsverarbeitern. Konformitätsverstöße können zu Sanktionen, Bußgeldern und Strafen, erhöhten Transaktionskosten oder eingeschränkter Akzeptanz von Zahlungskarten führen.

Wichtig: Diese Informationen enthalten zwar einen Überblick über die PCI-DSS-Konformitätsstandards, doch die Anforderungen und Richtlinien können sich im Laufe der Zeit ändern und weiterentwickeln. Daher ist es ratsam, die offizielle Website des PCI Security Standards Council (PCI SSC) und die neueste PCI-DSS-Dokumentation mit den jeweils aktuellen Informationen und Anforderungen zu konsultieren.

CIS-Sicherheitsstandards (Center for Internet Security)

Das VMware Aria Operations Compliance Pack for CIS wurde aktualisiert und unterstützt jetzt die folgenden Benchmarks:
  • CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
  • CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
Weitere Informationen finden Sie im KB-Artikel 93135.

Die CIS-Sicherheitsstandards (Center for Internet Security) sind eine Reihe von Best Practices und Richtlinien zum Schutz von Computersystemen und Netzwerken. Die CIS-Organisation ist eine gemeinnützige Organisation, die mit Experten aus verschiedenen Branchen zusammenarbeitet, um konsensbasierte Sicherheitskonfigurationen und Benchmarks zu entwickeln und zu fördern.

Die CIS-Sicherheitsstandards enthalten zwei primäre Komponenten:
  • CIS-Kontrollen: Die CIS-Kontrollen sind eine Reihe von 20 Sicherheitsmaßnahmen, die Organisationen durchführen können, um die häufigsten und schädlichsten Cyberbedrohungen zu begrenzen. Je nach ihrer Wirksamkeit bei der Risikominderung haben diese Kontrollen unterschiedlich hohe Priorität. Sie decken verschiedene Sicherheitsdomänen ab, darunter die Inventarverwaltung, Zugriffssteuerung, Reaktion auf Vorfälle, Netzwerksicherheit und Schulungen für das Sicherheitsbewusstsein. Die CIS-Kontrollen werden regelmäßig aktualisiert, um neuen Bedrohungen und der technologischen Entwicklung Rechnung zu tragen.
  • CIS-Benchmarks: CIS-Benchmarks bieten detaillierte Konfigurationsrichtlinien zur Sicherung bestimmter Technologieplattformen und -systeme. Diese Benchmarks beschreiben empfohlene Einstellungen und Konfigurationen für Betriebssysteme, Anwendungen und Netzwerkgeräte, um Sicherheit zu gewährleisten und Schwachstellen zu reduzieren. CIS-Benchmarks werden durch einen konsensgesteuerten Prozess unter Einbeziehung der Meinungen von Cybersicherheitsexperten, Anbietern und Praktikern aufgestellt.

CIS-Sicherheitsstandards sind praxisorientiert und umsetzbar. Sie enthalten detaillierte Anleitungen und spezifische Konfigurationsempfehlungen. Sie sind in zahlreichen Branchen weit verbreitet und dienen Organisationen als Referenz, um die Sicherheit ihrer IT-Systeme und Netzwerke zu bewerten, zu optimieren und zu erhalten.

Die CIS-Organisation aktualisiert regelmäßig ihre Sicherheitsstandards und Benchmarks, um neuen Bedrohungen, dem technologischen Fortschritt und Änderungen der regulatorischen Anforderungen zu begegnen. Die CIS-Sicherheitsstandards stehen der Öffentlichkeit zur Verfügung, und Organisationen können sie als wertvolle Ressource nutzen, um ihre Cybersicherheit zu verbessern und das Risiko von Cyberangriffen zu mindern.

DISA-Sicherheitsstandards (Defense Information Systems Agency)

Die Defense Information Systems Agency (DISA) legt Sicherheitsstandards und Richtlinien für das US-Verteidigungsministerium („Pentagon“) und dessen Informationssysteme fest. Die DISA ist für den sicheren Betrieb und die Verteidigung der globalen Informationsinfrastruktur des Pentagon verantwortlich.

Die DISA hat mehrere Sicherheitsstandards und Richtlinien entwickelt, um vertrauliche Informationen zu schützen und die Integrität, Verfügbarkeit und Vertraulichkeit der Systeme des Pentagon zu gewährleisten. Zu den wichtigsten Sicherheitsstandards und Richtlinien der DISA gehören:
  • Security Technical Implementation Guides (STIGs): STIGs sind Richtlinien und Konfigurationsstandards für verschiedene Betriebssysteme, Anwendungen und Netzwerkgeräte. Sie enthalten detaillierte Anweisungen zum Sichern und Konfigurieren dieser Systeme, um die Sicherheitsanforderungen des Pentagon zu erfüllen. STIGs decken ein breites Spektrum an Technologien ab, darunter Windows, Linux, Cisco-Geräte, Datenbanken und Webserver.
  • Handbücher zu Sicherheitsanforderungen (Security Requirements Guides, SRGs): SRGs sind umfassende Dokumente, in denen Sicherheitsanforderungen für bestimmte Technologieplattformen, -systeme oder -anwendungen beschrieben werden. Sie bieten Anleitungen zum Schutz und zur Konfiguration von Systemen gemäß den DoD-Sicherheitsrichtlinien. SRGs befassen sich mit verschiedenen Sicherheitsdomänen, einschließlich der Zugriffssteuerung, Identifizierung und Authentifizierung, Überwachung und Verantwortlichkeit sowie Verschlüsselung.
  • Security Technical Implementation Guides (STIGs) Viewer: Die DISA bietet ein STIG Viewer-Tool, das Organisationen bei der Bewertung und Umsetzung der STIG-Empfehlungen unterstützt. Der STIG Viewer automatisiert den Prozess der Überprüfung von Systemkonfigurationen im Hinblick auf die STIG-Anforderungen. Dadurch können Organisationen Sicherheitslücken effizienter identifizieren und beheben.
  • Information Assurance Vulnerability Management (IAVM): Die DISA verwaltet das IAVM-Programm, das Schwachstellen in den Systemen des Pentagon identifiziert und verwaltet. IAVM-Warnungen liefern zeitmalige Informationen zu Sicherheitslücken und Patches. Die Organisationen innerhalb des Pentagon müssen diese Patches umgehend anwenden, um potenzielle Risiken zu mindern.
  • DoD Cybersecurity Discipline Implementation Plan (CDIP): Der CDIP beschreibt die Implementierung und Verwaltung von Cybersicherheitspraktiken innerhalb des Pentagon. Es enthält Richtlinien und Best Practices für die Risikosteuerung, den Schutz der Systeme, die Reaktion auf Vorfälle und die Förderung einer Kultur des Cybersicherheitsbewusstseins.

Die Sicherheitsstandards und Richtlinien der DISA spielen eine entscheidende Rolle bei der Gewährleistung der Sicherheit und Resilienz von DoD-Systemen und Informationsressourcen. Sie werden laufend aktualisiert und optimiert, um neuen Bedrohungen Rechnung zu tragen und sich an die Entwicklungen in den Cybersicherheitspraktiken anzupassen. Von den Organisationen innerhalb des Pentagon wird erwartet, dass sie sich an diese Standards halten, um die Sicherheit ihrer Systeme und Netzwerke zu gewährleisten.

FISMA-Sicherheitsstandards (Federal Information Security Management Act)

Das Federal Information Security Management Act (FISMA) ist ein US-Bundesgesetz, das 2002 erlassen wurde. Das FISMA schafft Rahmenbedingungen für den Schutz von Informationssystemen und die Steuerung von Cybersicherheitsrisiken innerhalb von Bundesbehörden und deren Auftragnehmern. Das FISMA verpflichtet die Bundesbehörden, Informationssicherheitsprogramme zu entwickeln, umzusetzen und aufrechtzuerhalten, um sensible Informationen der Behörden zu schützen.

Das FISMA selbst schreibt keine detaillierten Sicherheitsstandards vor. Doch es schreibt vor, dass Bundesbehörden bestimmte Sicherheitsrichtlinien und -standards befolgen müssen. Dies gilt einschließlich für die Standards des National Institute of Standards and Technology (NIST). NIST Special Publication (SP) 800-53 mit dem Titel „Security and Privacy Controls for Federal Information Systems and Organizations“ ist ein wichtiges Dokument, auf das im Rahmen des FISMA verwiesen wird.

NIST SP 800-53 bietet einen Katalog mit Sicherheitskontrollen, die Bundesbehörden zum Schutz ihrer Informationssysteme implementieren müssen. Die Kontrollen decken verschiedene Bereiche ab, wie Zugriffssteuerung, Reaktion auf Vorfälle, Konfigurationsverwaltung, Verschlüsselung, Netzwerksicherheit sowie Sicherheitsbewertung und Autorisierung. Die Steuerelemente sind in Familien kategorisiert und auf bestimmte Sicherheitsanforderungen zugeschnitten.

Das FISMA verpflichtet die Bundesbehörden, einen risikobasierten Ansatz für Informationssicherheit zu entwickeln und aufrechtzuerhalten. Dies umfasst die Durchführung von Risikobewertungen, die Implementierung von Sicherheitskontrollen auf der Grundlage der ermittelten Risiken, die regelmäßige Prüfung und Bewertung der Wirksamkeit dieser Kontrollen sowie die Gewährleistung einer kontinuierlichen Überwachung der Informationssysteme.

Im Rahmen des FISMA müssen sich Bundesbehörden außerdem jährlichen Sicherheitsbewertungen (z. B. unabhängigen Audits) unterziehen, um die Wirksamkeit ihrer Programme und Kontrollen für Informationssicherheit zu bewerten. Die Ergebnisse dieser Bewertungen werden an das Office of Management and Budget (OMB) und den Kongress berichtet.

Die Konformität mit dem FISMA ist für Bundesbehörden unverzichtbar, um ihre Verpflichtung zum Schutz von Informationen der Behörden zu beweisen und die Sicherheit ihrer Informationssysteme zu gewährleisten. Es hilft dabei, einen standardisierten Ansatz für die Informationssicherheit aller Bundesbehörden zu etablieren, und stimmt mit anderen Sicherheits-Frameworks und -standards wie dem NIST Cybersecurity Framework und dem NIST Risk Management Framework überein.

Es ist wichtig zu beachten, dass sich die Anforderungen des FISMA im Laufe der Zeit weiterentwickeln können. Behörden sollten daher stets die aktuellen vom NIST und anderen offiziellen Stellen herausgegebenen Richtlinien beachten, um die Konformität mit den Sicherheitsstandards nach dem FISMA zu gewährleisten.

ISO-Sicherheitsstandards (International Organization for Standardization)

Die Internationale Organisation für Normung (ISO) ist ein unabhängiges, nichtstaatliches internationales Normierungsgremium, das internationale Normen für verschiedene Branchen entwickelt und veröffentlicht. Das ISO hat auch eine Reihe von Sicherheitsnormen speziell in Bezug auf Systeme für die Verwaltung der Informationssicherheit (Information Security Management Systems, ISMS) erstellt. Die bekannteste davon ist ISO/IEC 27001.

ISO/IEC 27001: Die Norm ISO/IEC 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS unter Berücksichtigung des Kontexts einer Organisation. Sie bietet einen systematischen und risikobasierten Ansatz für das Sicherheitsmanagement von sensiblen Informationen. Die Norm erstreckt sich auf Bereiche wie Risikobewertung, Informationssicherheitsrichtlinien, Inventarverwaltung, Zugriffssteuerung, Reaktion auf Vorfälle und Konformität. ISO/IEC 27001 ist von Organisationen weltweit weit verbreitet und dient als Benchmark für Informationssicherheitsmanagement.

ISO/IEC 27002: ISO/IEC 27002 (ehemals ISO/IEC 17799) ist ein Leitfaden für Informationssicherheitskontrollen. Die Norm enthält Leitlinien und Empfehlungen für die Umsetzung von Sicherheitskontrollen und -maßnahmen auf der Grundlage von bewährten Praktiken für das Informationssicherheitsmanagement. ISO/IEC 27002 erstreckt sich über ein breites Spektrum von Sicherheitsbereichen, darunter Organisationssicherheit, Personalsicherheit, physikalische Sicherheit und Umweltsicherheit, Kommunikations- und Betriebsmanagement sowie Konformität.

ISO/IEC 27005: ISO/IEC 27005 enthält Richtlinien für die Durchführung von Risikobewertungen im Kontext der Informationssicherheit. Die Norm bietet einen strukturierten Ansatz für die Identifizierung, Analyse, Bewertung und Eingrenzung von Informationssicherheitsrisiken. ISO/IEC 27005 hilft Organisationen dabei, die potenziellen Auswirkungen von Risiken zu bewerten, die Risikotoleranz zu ermitteln und fundierte Entscheidungen über die Umsetzung geeigneter Sicherheitskontrollen zu treffen.

ISO/IEC 27017 und ISO/IEC 27018: Diese Standards konzentrieren sich speziell auf Cloud-Sicherheit. ISO/IEC 27017 enthält Richtlinien für die Implementierung von Informationssicherheitskontrollen in Cloud-Computing-Umgebungen, während ISO/IEC 27018 Leitlinien zum Schutz personenbezogener Daten in der Cloud bietet und Datenschutzbelange im Zusammenhang mit Cloud-Diensten behandelt.

ISO/IEC 27701: Diese Norm ist eine Erweiterung der ISO/IEC 27001. Sie enthält Leitlinien für die Implementierung eines Privacy Information Management System (PIMS). ISO/IEC 27701 unterstützt Organisationen bei der Einrichtung und Aufrechterhaltung von Kontrollen zum Schutz personenbezogener Daten und zur Einhaltung von Datenschutzbestimmungen, wie z. B. der Datenschutzgrundverordnung (DSGVO).

ISO-Sicherheitsnormen bieten Organisationen ein Framework für die Einrichtung wirksamer Praktiken für das Informationssicherheitsmanagement. Die Konformität mit diesen Normen beweist eine Verpflichtung zum Schutz sensibler Informationen, zur Steuerung von Risiken und zur Implementierung solider Sicherheitskontrollen. Mit einer ISO-Zertifizierung können Organisationen ihre Einhaltung der ISO-Sicherheitsnormen nachweisen. Eine solche Zertifizierung können sie über einen formellen Auditprozess erhalten, der von akkreditierten Zertifizierungsstellen durchgeführt wird.