NIST Cybersecurity Framework – „przedstawienie postaci”
Opracowane przez National Institute of Standards and Technology (NIST) ramy cyberbezpieczeństwa to zbiór wytycznych dla firm z sektora prywatnego, których należy przestrzegać, aby lepiej przygotować się do identyfikacji, blokowania, wykrywania, reagowania i remediowania skutków ataków. To zestaw najlepszych praktyk, standardów i zaleceń, które pomagają organizacji ulepszyć jej środki bezpieczeństwa cybernetycznego.
Framework NIST ma na celu rozwiązanie problemu braku ogólnie przyjętych standardów, jeśli chodzi o bezpieczeństwo IT. Obecnie istnieją duże różnice w sposobie, w jaki firmy wykorzystują technologie, komunikację i polityki do walki z naruszeniami cyberbezpiczeństwa. Cyberataki stają się coraz bardziej rozpowszechnione i złożone, a brak jednolitej strategii wśród organizacji znacznie utrudnia obronę.
Różne zestawy polityk, wytycznych, praktyk i technologii stosowanych w cyberbezpieczeństwie rodzą kolejny problem: organizacje nie są w stanie współdzielić informacji o atakach. Framework NIST mają na celu wyeliminowanie tego wszystkiego. Dzięki jednolitemu zestawowi reguł, wytycznych i standardów łatwiej jest wymieniać informacje między dwiema firmami i łatwiej jest znaleźć wszystkich na tej samej stronie.
Można argumentować, że każdy, kto korzysta z komputera, powinien myśleć o strukturze bezpieczeństwa cybernetycznego NIST. Obejmuję ona całą organizację – dział IT wdraża warstwę technologiczną, jednak to na barkach przedstawicieli biznesu spoczywa wdrożenie polityk bezpiecznej pracy z danymi i siecią. Zespół ds. bezpieczeństwa IT nie poradzi sobie bez samodzielnie.
Struktura NIST podzielona jest na poszczególne obszary
FRAMEWORK CORE
Rdzeń platformy definiuje działania, które należy wykonać, aby osiągnąć różne wyniki w zakresie cyberbezpieczeństwa.
Jest podzielony na cztery różne elementy:
- Functions – 5 funkcji opisanych w NIST Cybersecurity Framework to identyfikacja, wykrywanie, ochrona, reagowanie i odzyskiwanie. To są Twoje najbardziej podstawowe zadania związane z cyberbezpieczeństwem. Identify – Protect – Detect – Respond – Recover (IPDRR)
- Categories – dla każdej z pięciu funkcji istnieją kategorie, które są konkretnymi wyzwaniami lub zadaniami, które musisz wykonać. Na przykład, aby chronić swoje systemy, należy wdrożyć aktualizacje oprogramowania, zainstalować programy antywirusowe i chroniące przed złośliwym oprogramowaniem oraz mieć zasady kontroli dostępu.
- Sub-categories – to zadania lub wyzwania związane z każdą kategorią. Na przykład podczas wdrażania aktualizacji oprogramowania (kategorii) musisz mieć pewność, że wszystkie komputery z systemem Windows mają włączone automatyczne aktualizacje.
- Informative References – to dokumenty/materiały, które szczegółowo opisują konkretne zadania użytkowników dotyczące wykonywania określonych czynności. Na przykład, powinieneś mieć dokument, który szczegółowo opisuje, w jaki sposób automatyczne aktualizacje są włączone dla komputerów z systemem Windows.
IMPLEMENTATION TIERS
Struktura bezpieczeństwa cybernetycznego NIST określa cztery poziomy implementacji. Pomogłoby ci to zorientować się, na jakim jesteś poziomie zgodności. Im wyższy poziom, tym bardziej jesteś zgodny.
- Tier 1: Partial – cyberbezpieczeństwo to dzieło przypadku, brak struktur, współdzielenia informacji i świadomości cyberbezpieczeństwa na poziomie całej organizacji.
- Tier 2: Risk Informed – organizacja posiada podstawowe procedury cyberbezpieczeństwa, wdrożone technologie i świadomość na poziomie organizacji.
- Tier 3: Repeatable – świadomość cyberbezpieczeństwa na wszystkich szczeblach zarządzania, mechanizmy ochrony oparte o analizę ryzyka, firma aktywnie współdzieli informacje o cyberzagrożeniach z ekosystemem.
- Tier 4: Adaptive – dynamiczne podejście do zarządzania ryzykiem zakładające nieustanne monitorowanie i aktualizację jego poziomu. Wdrożone technologie zazwyczaj posługują się algorytmami machine learning by proaktywnie oceniać i mitygować ryzyko.
PROFILES
Profile w ramach NIST Cybersecurity Framework odnoszą się zarówno do aktualnego stanu środków bezpieczeństwa cybernetycznego Twojej organizacji, jak i planów, które masz, aby zapewnić zgodność z NIST Cybersecurity Framework.
Polega to na oszacowaniu na podstawie Framework Core swojego:
- Obecnego stanu cyberbezpieczeństwa – Current Profile.
- Pożądanego stanu cyberbezpieczeństwa – Target Profile.
A następnie np. za pomocą analizy luk pomiędzy powyższymi profilami, opracować strategię przejścia:
CURRENT PROFILE – cybersecurity activities – TARGET PROFILES
Profile mają również pomóc menedżerom biznesowym zobaczyć, w jaki sposób każda funkcja, kategoria lub podkategoria może ogólnie pomóc przedsiębiorstwu, zapewniając w ten sposób widoczne korzyści wynikające z przestrzegania ram bezpieczeństwa cybernetycznego NIST. Można je uznać za podsumowanie wszystkiego, co organizacja zrobiła w ramach NIST Cybersecurity Framework.
Jeśli jesteś organizacją prywatną, możesz nie wdrażać struktury NIST. Nie ma do tego przymusu prawnego ani regulacyjnego. Wdrożenie tego wiąże się również ze znaczną inwestycją, dlatego niektóre firmy unikają pełnego wdrożenia ram we własnych organizacjach.
Aby ułatwić firmom i instytucjom publicznym wdrażanie wytycznych określonych w ramach Cyberbezpieczeństwa, NIST udostępnia na swojej stronie internetowej kilka zasobów, takich jak często zadawane pytania, materiały branżowe, studia przypadków i inne wskazówki.
