Apa Standar Keamanan NIST?

Diterbitkan: 2021-01-07

Bisnis saat ini mendapati diri mereka bertanya, “Apa standar keamanan NIST dan bagaimana penerapannya?”

Ini seharusnya tidak mengejutkan—kami saat ini mengalami perubahan dramatis dalam sikap terhadap ancaman kejahatan dunia maya dan ada pengakuan yang berkembang di antara organisasi bahwa standar keamanan dalam keamanan jaringan bukan hanya aspek penting dari perusahaan modern, tetapi sebenarnya vital. terhadap kelangsungan hidupnya.

Sebelum pandemi, perusahaan menurut pengakuan mereka sendiri tidak siap untuk serangan siber, dengan hanya 23% organisasi yang mengindikasikan bahwa mereka memiliki rencana respons insiden yang diterapkan di seluruh bisnis mereka, menurut IBM.

Banyak perusahaan tidak siap dengan jumlah dan tingkat keparahan serangan siber modern, dan ini bukan masalah kecil—93% perusahaan tanpa rencana pemulihan bencana yang mengalami bencana data besar gulung tikar dalam satu tahun.

Karena pandemi dan perubahan yang dibawanya, serangan siber saat ini berada pada tingkat yang lebih tinggi dari sebelumnya, dan bisnis harus merespons untuk melindungi diri mereka sendiri dan pelanggan mereka.

Di sinilah kerangka kerja seperti NIST masuk—perusahaan mencari panduan tentang keamanan siber mereka dan berharap standar seperti NIST dapat menyediakannya.

Di blog ini, kita akan melihat apa itu standar keamanan NIST, menguraikannya, dan menentukan bagaimana penerapannya pada organisasi di seluruh negeri yang ingin menopang keamanan bisnis mereka.

Meningkatnya serangan siber merugikan bisnis | Apa Standar Keamanan NIST?

Apa itu NIST?

Biro Standar Nasional, seperti yang dikenal hingga tahun 1988, didirikan pada tahun 1901 sebagai lembaga non-pengaturan untuk menyediakan standar di berbagai industri, termasuk manufaktur, ilmu lingkungan, keselamatan publik, nanoteknologi, teknologi informasi, dan banyak lagi.

Selama bertahun-tahun sejak didirikan, tugas NIST telah meluas ke semakin banyak industri, di mana keamanan siber (di bawah TI) hanyalah salah satunya.

Kerangka kerja NIST, termasuk kerangka kerja keamanan sibernya, dimaksudkan sebagai pedoman sukarela bagi semua organisasi kecuali mereka yang terlibat dengan kontrak pemerintah, yang diwajibkan untuk mematuhinya.

Apa itu Kerangka Kerja Keamanan Siber NIST (CSF)?

Kerangka Kerja Keamanan Siber NIST, atau disingkat CSF, didirikan atas perintah eksekutif pada tahun 2013 di bawah Presiden Obama untuk menciptakan konsensus kerangka kerja untuk mendekati keamanan siber dengan tujuan mengurangi risiko terhadap sistem infrastruktur publik dan pemerintah yang kritis.

Versi pertama CSF diterbitkan pada tahun 2014, dan Kongres meloloskan Cybersecurity Enhancement Act of 2014 segera setelah itu dengan tujuan yang dinyatakan sebagai berikut:

AN ACT Untuk menyediakan kemitraan publik-swasta sukarela yang berkelanjutan untuk meningkatkan keamanan siber, dan untuk memperkuat penelitian dan pengembangan keamanan siber, pengembangan dan pendidikan tenaga kerja, dan kesadaran dan kesiapsiagaan publik, dan untuk tujuan lain.

Perintah eksekutif lainnya dikeluarkan oleh Presiden Trump pada tahun 2017, mengarahkan semua lembaga federal untuk menggunakan kerangka kerja tersebut.

Pada tahun 2015, diperkirakan 30% bisnis AS menggunakan CSF, dengan peningkatan lebih lanjut menjadi 50% pada tahun 2020. Keberhasilan kerangka kerja telah menyebabkannya diadopsi tidak hanya di Amerika Serikat, tetapi di seluruh dunia, dari Amerika Serikat. Kerajaan ke Israel.

Ringkasan Kerangka NIST

Jadi, apa standar keamanan NIST?

Kerangka Kerja Keamanan Siber NIST dipecah menjadi tiga komponen berbeda: "Inti", "Tingkat Implementasi", dan "Profil".

Inti

Framework Core adalah rangkaian aktivitas yang dirancang untuk mencapai hasil keamanan siber terbaik yang diinginkan oleh standar NIST.

Kegiatan-kegiatan ini bukanlah daftar periksa, melainkan hasil utama yang diidentifikasi oleh pemangku kepentingan sebagai hal yang signifikan dalam mengelola risiko keamanan siber.

Apakah Elemen Standar Keamanan NIST?

Ada empat elemen kunci yang membentuk Framework Core. Ini adalah:

  • Fungsi: Fungsi adalah beberapa aspek yang paling dikenal dari kerangka kerja keamanan siber NIST. Mereka menguraikan kegiatan keamanan dasar dari perspektif tingkat tinggi dan membantu organisasi mengatasi elemen paling penting dari keamanan siber. Fungsinya meliputi Identifikasi, Lindungi, Deteksi, Respons, dan Pulihkan.
  • Kategori: Kategori difokuskan pada hasil bisnis dan sedikit lebih mendalam, mencakup tujuan dalam fungsi inti.
  • Subkategori: Subkategori adalah tingkat abstraksi paling granular di Core. Ada total 108 subkategori, yang biasanya didorong oleh hasil dan dirancang untuk memberikan pertimbangan untuk membangun atau meningkatkan program keamanan siber.
  • Referensi Informatif: Referensi informatif mengacu pada standar, pedoman, dan praktik yang ada yang relevan dengan setiap subkategori.

Lima komponen kerangka kerja NIST | Apa Standar Keamanan NIST?

Kategori NIST dari Lima Fungsi Utama Kerangka Keamanan Siber

Seperti yang kami catat, masing-masing Fungsi utama dipecah menjadi Kategori NIST dan Subkategori NIST.

Kategori NIST adalah sebagai berikut:

Mengenali

  • Manajemen aset
  • Lingkungan bisnis
  • Pemerintahan
  • Tugas beresiko
  • Strategi Manajemen Risiko
  • Manajemen Risiko Rantai Pasokan

Posting Terkait: Apa Yang Terjadi Selama Audit Risiko Keamanan Siber?

Melindungi

  • Manajemen Identitas dan Kontrol Akses
  • Kesadaran dan Pelatihan
  • Keamanan data
  • Proses & Prosedur Perlindungan Informasi
  • Pemeliharaan
  • Teknologi Pelindung

Deteksi

  • Anomali dan Peristiwa
  • Pemantauan Keamanan Berkelanjutan
  • Proses Deteksi

Menanggapi

  • Perencanaan Respon
  • Komunikasi
  • Analisis
  • Mitigasi
  • Perbaikan

Pulih

  • Perencanaan Pemulihan
  • Perbaikan
  • Komunikasi

Tingkatan

Tingkatan Implementasi Kerangka adalah untuk membantu menggambarkan sejauh mana suatu organisasi dapat secara efektif memenuhi karakteristik yang digariskan dalam Fungsi dan Kategori Kerangka.

Tingkatan Implementasi ini tidak dianggap sebagai tingkat kematangan keamanan siber dan tidak dimaksudkan demikian.

Namun, organisasi yang memenuhi standar untuk tingkat tertinggi pasti akan memiliki banyak karakteristik yang menentukan perusahaan yang matang di dunia maya.

Tingkat 1 (Sebagian)

Proses Manajemen Risiko: Praktik manajemen risiko tidak diformalkan dan risiko dikelola secara ad hoc.

Program Manajemen Risiko Terintegrasi: Terbatasnya kesadaran akan risiko keamanan siber di tingkat organisasi.

Partisipasi Eksternal: Organisasi tidak berkolaborasi dengan entitas lain atau memahami perannya dalam ekosistem yang lebih besar.

Tingkat 2 (Risiko Diinformasikan)

Proses Manajemen Risiko: Praktik manajemen risiko disetujui oleh manajemen dan diprioritaskan sesuai dengan tujuan risiko organisasi.

Program Manajemen Risiko Terintegrasi: Kesadaran akan risiko keamanan siber di tingkat organisasi, tetapi tidak memiliki pendekatan di seluruh perusahaan untuk mengelola risiko ini.

Partisipasi Eksternal: Organisasi mengakui perannya dalam ekosistem bisnis sehubungan dengan ketergantungan atau tanggungannya, tetapi tidak keduanya. Beberapa kolaborasi, tetapi mungkin tidak bertindak secara konsisten atau formal pada risiko yang disajikan.

Tingkat 3 (Dapat diulang)

Proses Manajemen Risiko: Praktik manajemen risiko secara resmi disetujui dan diungkapkan melalui kebijakan. Praktik keamanan siber diperbarui secara berkala berdasarkan penerapan proses manajemen risiko formal.

Program Manajemen Risiko Terpadu: Pendekatan manajemen risiko keamanan di seluruh organisasi, dan personel memiliki pengetahuan dan keterampilan untuk mengelola risiko keamanan.

Partisipasi Eksternal: Peran organisasi dalam ekosistem yang lebih besar dipahami karena berkaitan dengan perusahaan lain dan dapat berkontribusi pada pemahaman masyarakat yang lebih luas tentang risiko. Berkolaborasi dengan dan menerima informasi dari orang lain secara teratur.

Tingkat 4 (Adaptif)

Proses Manajemen Risiko: Praktik keamanan siber diadaptasi dan dikembangkan berdasarkan aktivitas sebelumnya dan saat ini, serta indikator prediktif. Perbaikan proses yang berkelanjutan melalui penggabungan teknologi dan praktik canggih diharapkan.

Program Manajemen Risiko Terintegrasi: Hubungan antara risiko keamanan dan tujuan organisasi dipahami dengan jelas. Manajemen risiko keamanan adalah bagian dari budaya organisasi dan perubahan cara pendekatan manajemen risiko dikomunikasikan dengan cepat dan efektif.

Partisipasi Eksternal: Organisasi sepenuhnya memahami perannya dalam ekosistem yang lebih besar dan berkontribusi pada pemahaman masyarakat tentang risiko. Menerima, menghasilkan, dan memprioritaskan informasi yang menginformasikan analisis risiko yang konstan. Analisis data real-time dimanfaatkan, dan komunikasi bersifat proaktif karena berkaitan dengan risiko yang terkait dengan produk dan layanan yang digunakan.

Profil

Profil Kerangka mengacu pada keselarasan keseluruhan Fungsi, Kategori, dan Subkategori dengan persyaratan bisnis organisasi, toleransi risiko, dan sumber daya.

Karena bisnis yang berbeda memiliki prioritas yang berbeda, tidak ada dua profil yang akan sama, sehingga menentukan Profil Kerangka kerja unik yang paling sesuai dengan perusahaan adalah aspek kunci terakhir dari standar NIST.

Profil Saat Ini vs. Profil Target

Ketika bisnis membuat profil untuk standar keamanan siber, cara umum dan efektif untuk memahami di mana mereka berada dan di mana mereka ingin berada adalah dengan membuat dua profil: profil saat ini dan profil target.

Profil saat ini dibuat dengan menilai kemampuan organisasi untuk melakukan kegiatan subkategori.

Contoh subkategori termasuk hal-hal seperti, "Perangkat dan sistem fisik dalam organisasi diinventarisasi" (ID.AM-1), dan, "Data-dalam-transit dilindungi" (PR.DS-2)".

Ini hanya dua contoh dari 108 Subkategori total, tetapi memberikan indikasi jenis kegiatan yang dinilai.

Setelah profil saat ini ditetapkan dengan memeringkat kemampuan perusahaan untuk memenuhi setiap subkategori, sekarang saatnya untuk membuat profil target.

Profil target secara efektif di mana perusahaan harus berada dengan keamanan sibernya untuk memenuhi tujuan dan prioritas manajemen risiko yang diinginkan.

Setelah profil target dibuat, organisasi kemudian dapat membandingkan keduanya dan mendapatkan pemahaman yang jelas tentang di mana bisnis memenuhi tujuan manajemen risiko mereka dan di mana perbaikan perlu dilakukan.

Ini adalah salah satu cara paling efektif untuk memahami sepenuhnya apa itu standar keamanan NIST dan bagaimana penerapannya secara langsung pada organisasi dalam hal meningkatkan protokol mereka dan mematuhi rekomendasi CSF NIST.

Siapa yang Menggunakan Kerangka Keamanan Siber NIST?

Seperti yang telah kami catat, NIST dirancang pertama dan terutama sebagai kerangka kerja yang ditujukan untuk perusahaan-perusahaan dalam rantai pasokan federal, apakah itu kontraktor utama, subkontraktor, atau entitas lain yang harus mematuhi NIST.

Standar NIST, bagaimanapun, berlaku untuk hampir semua bisnis dan sumber yang sangat berharga untuk menentukan aktivitas keamanan siber perusahaan saat ini dan kemampuan mereka untuk melaksanakannya ke standar yang dapat diterima—selain mengungkap prioritas baru dan yang tidak diketahui.

Tujuan akhir dari NIST adalah untuk menyediakan kerangka kerja tidak hanya untuk organisasi federal terkait, tetapi untuk dunia bisnis pada umumnya.

Untuk tujuan ini, NIST berencana untuk terus memperbarui kerangka kerja keamanan siber agar tetap segar dan berlaku bagi siapa saja, baik mereka secara khusus membutuhkan kepatuhan CSF NIST atau tidak.

Apa sekarang?

Kami berharap posting blog ini telah membantu Anda memahami apa itu standar keamanan NIST dan bagaimana mereka digunakan dalam organisasi.

Meskipun kepatuhan CSF NIST tidak diperlukan untuk organisasi yang tidak dikontrak oleh pemerintah atau disubkontrakkan oleh kontraktor pemerintah, banyak aktivitas dan protokolnya berlaku untuk banyak peraturan kepatuhan lain yang harus diikuti, seperti HIPAA, PCI, PII.

Untuk kepatuhan terhadap peraturan ini (dan banyak lainnya), disarankan untuk menggunakan solusi risiko dan kepatuhan tata kelola (GRC) sehingga aktivitas dapat dipantau dan dipelihara secara akurat.

Di Impact, kami menawarkan solusi semacam itu, dengan opsi untuk manajemen hybrid atau penuh GRC dari para ahli kami, yang akan melakukan dan penilaian risiko serta memastikan bahwa kebijakan keamanan siber Anda tepat di tempat yang mereka perlukan agar tetap patuh.

Untuk informasi lebih lanjut, lihat halaman Layanan Kepatuhan kami dan hubungi spesialis untuk melihat bagaimana Impact dapat membuat kepatuhan organisasi Anda berjalan sesuai rencana hari ini.