Um Angriffe von Außenstehenden und Insider-Bedrohungen zu bekämpfen und sicherzustellen, dass alle sensiblen Informationen sicher sind, gibt es eine Reihe von Vorschriften und Prozessen zur Informationssicherheit, die Regierungsbehörden befolgen müssen.
Dazu gehören FISMA, FedRAMP und FICAM.
Utimaco HSMs als Vertrauensanker für die Compliance der Regierung mit dem Regelwerk.
Unsere Gemeinden, unsere Wirtschaft und unsere nationale Sicherheit sind auf die Fähigkeit unserer Regierung angewiesen, vertrauliche Informationen von denen fernzuhalten, die uns schaden wollen. Während Regierungsbehörden weiterhin sensible Daten auf digitale Speicherung und Cloud-Computing übertragen, erweitert sich die behördliche Umgebung und ist damit offen für mehr Schwachstellen als bisher. FISMA, FedRAMP und FICAM sind einige der Compliance-Mandate und Regelwerke, die Regierungsbehörden befolgen müssen, um die Sicherheit ihrer sensiblen Informationen zu gewährleisten und wirksam gegen Cyberangriffe und Insider-Bedrohungen zu schützen.
Universelle Hardware-Sicherheitsmodule (HSMs) von Utimaco bieten eine sichere Speicherung und Verarbeitung sensibler kryptographischer Daten und schaffen eine sichere Vertrauensbasis für die Infrastruktursysteme mit öffentlichem Schlüssel (PKI) einer Behörde. Diese Geräte dienen einer Vielzahl von Aufsichtsbehörden und verbundenen Anbietern und sind nach FIPS 140-2 Level 3 oder Level 4 (physisch) akkreditiert und nach Common Criteria zertifiziert.
Der Enterprise Secure Key Manager (ESKM) von Utimaco bietet eine FIPS 140-2 Level 2-zertifizierte Schlüsselverwaltungslösung. Das EKSM erstellt, schützt, bedient und überwacht den Zugriff auf Verschlüsselungsschlüssel auf manipulationssicherer Hardware. Sowohl Utimaco HSMs als auch ESKMs unterstützen klassische und postquantische kryptografische Algorithmen und sind vollständig konform mit FISMA, FedRAMP und FICAM.
Compliance-Anforderungen an staatliche Stellen
Federal Information System Management Act (FISMA)
Die FISMA wurde 2002 vom Kongress verabschiedet und 2014 im Rahmen der Bemühungen um den Schutz sensibler Informationen durch die US-Regierung geändert. Die FISMA-Konformität gilt für alle US-Regierungsbehörden sowie für Organisationen im privaten Sektor, die mit der US-Regierung Geschäfte tätigen.
Die Sicherheitskontrollen, die Regierungsbehörden und Auftragnehmer für die Einhaltung der FISMA-Richtlinien anwenden sollten, sind in einer Reihe von NIST-Publikationen beschrieben, darunter:
- NIST SP 800-53
- NIST SP 800-171
- FIPS 199
- FIPS 200.
Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP wurde entwickelt, um sicherzustellen, dass Regierungsdaten und Anwendungen, die in der Cloud platziert werden, angemessen geschützt sind. Die FedRAMP-Anforderungen basieren auf den NIST 800-53-Sicherheitskontrollen, die Familien umfassen wie etwa:
- Zugriffskontrolle
- Prüfung und Rechenschaftspflicht
- Notfallvorsorge
- Identifikation und Authentifizierung
- Schutz für Systeme und Kommunikation.
Federal Identity, Credential, and Access Management (FICAM)
Bei FICAM bemüht sich die US-Regierung, Lösungen für die Verwaltung von Identität, Anmeldedaten und Zugriff in allen Regierungsbehörden zu standardisieren. Das erste Ziel von FICAM ist es, die Information und physische Sicherheit der Bundesregierung zu stärken, was Ziele umfasst, die auf den Aufbau eines sicheren, nutzbaren Systems zur Authentifizierung von Benutzern gegenüber staatlichen Systemen und Ressourcen ausgerichtet sind.
Compliance erreichen mit Utimaco-Lösungen
Der Schutz des Zugriffs auf sensible Regierungsdaten erfordert die Fähigkeit, Benutzer sicher und genau zu identifizieren und zu authentifizieren, bevor der Zugriff auf Systeme oder Ressourcen gewährt wird. Utimaco CryptoServer HSMs und ESKMs erfüllen die folgenden Anforderungen, damit Behörden den Vorschriften entsprechen.
- Erstellen von Token zur Authentifizierung von Benutzern: Token zur Authentifizierung von Benutzern basieren auf einem geheimen Wert, der gesichert werden muss, um wirksam zu sein. Um sicherzustellen, dass ein böswilliger Benutzer keine gefälschten, aber gültigen Authentifizierungstoken erstellen kann, muss das zugrunde liegende Geheimnis geschützt werden. CryptoServer ermöglicht die sichere Speicherung von kryptographischen Geheimnissen und umfasst eine Reihe von integrierten kryptographischen Algorithmen. Damit kann man Authentifizierungstoken in manipulationssicherer Hardware sicher erzeugen.
- Benutzerzertifikate verwalten: Die Public-Key-Infrastruktur (PKI) basiert auf einer Hierarchie von Benutzerschlüsseln und Zertifikaten, wobei Zertifikatsbehörden (CAs), die in der Hierarchie höher sind, gültige Zertifikate für diejenigen erstellen können, die darunter liegen. Da diese Zertifikate zur Authentifizierung von Benutzern verwendet werden können, ist der Schutz der privaten Schlüssel, mit denen sie erstellt werden, unerlässlich. CryptoServer kann die privaten Schlüssel von Zertifizierungsstellen speichern und die Erstellung und Anmeldung von Zertifikaten in einer sicheren Umgebung durchführen, um diese Schlüssel vor Kompromittierung zu schützen.
- Einrichten von Zugriffskontrollen: Der Schutz des Zugriffs auf sensible Daten und Funktionen erfordert die Fähigkeit, Benutzer sicher zu authentifizieren und ihre Berechtigung für den Zugriff auf geschützte Ressourcen zu überprüfen. CryptoServer ermöglicht die Authentifizierung von Benutzern durch passwortbasierte Systeme, integrierte Multifaktor-Authentifizierung (MFA) und Integrationen in zahlreiche PKI-Managementsysteme.
- Speichern von Verschlüsselungsschlüsseln für Datenbanken: Die Datenbankverschlüsselung hilft, sicherzustellen, dass ein Angreifer mit Zugriff auf die Systeme einer Organisation nicht auf sensible Daten zugreifen kann, die auf diesen Systemen gespeichert sind. Diese verschlüsselten Daten sind jedoch nur so sicher wie die zu ihrem Schutz verwendeten Verschlüsselungsschlüssel. Utimaco Enterprise Secure Key Manager (ESKM) kann Datenbankverschlüsselungsschlüssel sicher speichern und Datenentschlüsselung in einer geschützten Umgebung durchführen, um sicherzustellen, dass geheime Schlüssel stets unter Kontrolle einer Organisation bleiben.
Cryptoserver HSMs und ESKMs von Utimaco bieten eine sichere Speicherung und Verarbeitung sensibler kryptografischer Daten und schaffen so eine sichere Vertrauensbasis für die Infrastruktursysteme einer Behörde mit öffentlichem Schlüssel (PKI). Dies bietet eine solide Grundlage für Regierungsbehörden und Auftragnehmer, um Lösungen für die FISMA-, FedRAMP- und FICAM-Konformität zu entwickeln.