Ce sunt standardele de securitate NIST?

Publicat: 2021-01-07

Întreprinderile de astăzi se întreabă: „Ce sunt standardele de securitate NIST și cum pot fi aplicabile acestora?”

Acest lucru nu ar trebui să fie o mare surpriză – în prezent, experimentăm o schimbare dramatică a atitudinilor față de amenințarea criminalității cibernetice și există o recunoaștere tot mai mare în rândul organizațiilor că standardele de securitate în securitatea rețelei nu sunt doar un aspect important al unei companii moderne, ci de fapt vitale. la supravieţuirea ei.

Înainte de pandemie, companiile, prin recunoașterea lor, nu erau pregătite pentru atacuri cibernetice, doar 23% dintre organizații indicând că au aplicat un plan de răspuns la incident în întreaga afacere, potrivit IBM.

Multe companii pur și simplu nu sunt pregătite pentru numărul și gravitatea atacurilor cibernetice moderne, iar aceasta nu este o chestiune mică - 93% dintre companiile fără un plan de recuperare în caz de dezastru care suferă un dezastru major de date ies din activitate în decurs de un an.

Din cauza pandemiei și a schimbărilor pe care le-a adus, atacurile cibernetice sunt în prezent la niveluri mai ridicate decât oricând, iar companiile trebuie să răspundă pentru a se proteja pe sine și pe clienții lor.

Aici intervin cadre precum NIST – companiile caută îndrumări cu privire la securitatea lor cibernetică și speră că standardele precum NIST le pot oferi.

În acest blog, vom arunca o privire la standardele de securitate NIST, le vom descompune și vom determina cât de aplicabil este pentru organizațiile din întreaga țară care doresc să-și consolideze securitatea afacerii.

Creșterea atacurilor cibernetice costă afacerile | Ce sunt standardele de securitate NIST?

Ce este NIST?

Biroul Național de Standarde, așa cum a fost cunoscut până în 1988, a fost înființat în 1901 ca agenție nereglementare pentru a furniza standarde într-o gamă largă de industrii, inclusiv producție, știința mediului, siguranță publică, nanotehnologie, tehnologia informației și multe altele.

De-a lungul anilor de la înființare, misiunea NIST s-a extins asupra unui număr tot mai mare de industrii, dintre care securitatea cibernetică (sub IT) este doar una.

Cadrele NIST, inclusiv cadrul său de securitate cibernetică, sunt destinate să fie ghiduri voluntare pentru toate organizațiile, cu excepția celor care se angajează cu contracte guvernamentale, cărora li se cere să le respecte.

Ce este cadrul NIST de securitate cibernetică (CSF)?

Cadrul de securitate cibernetică NIST, sau pe scurt CSF, a fost înființat prin ordin executiv în 2013, sub președintele Obama, pentru a crea un consens cadru pentru abordarea securității cibernetice cu intenția de a reduce riscul pentru sistemele guvernamentale și de infrastructură publică critice.

Prima versiune a CSF a fost publicată în 2014, iar Congresul a adoptat Actul de îmbunătățire a securității cibernetice din 2014, la scurt timp după aceea, cu următorul scop declarat:

UN ACT Pentru a prevedea un parteneriat public-privat voluntar, continuu, pentru a îmbunătăți securitatea cibernetică și pentru a consolida cercetarea și dezvoltarea în domeniul securității cibernetice, dezvoltarea și educația forței de muncă, conștientizarea și pregătirea publicului și în alte scopuri.

Un alt ordin executiv a fost emis de președintele Trump în 2017, prin care a solicitat tuturor agențiilor federale să utilizeze cadrul.

În 2015, se estimează că 30% dintre întreprinderile din SUA au folosit CSF, cu o nouă creștere la 50% în 2020. Succesul cadrului a condus la adoptarea acestuia nu doar în Statele Unite, ci și în întreaga lume, din Statele Unite. Regatul Israelului.

Rezumatul cadrului NIST

Deci, care sunt standardele de securitate NIST?

Cadrul de securitate cibernetică NIST este împărțit în trei componente distincte: „Core”, „Niveluri de implementare” și „Profiluri”.

Miez

Framework Core este un set de activități care sunt concepute pentru a obține cele mai bune rezultate în materie de securitate cibernetică dorite de standardele NIST.

Aceste activități nu sunt o listă de verificare, ci mai degrabă rezultate cheie identificate de părțile interesate ca fiind semnificative în gestionarea riscului de securitate cibernetică.

Ce sunt standardele de securitate Elements NIST?

Există patru elemente cheie care compun Framework Core. Acestea sunt:

  • Funcții: Funcțiile sunt unele dintre cele mai recunoscute aspecte ale cadrului de securitate cibernetică NIST. Ele subliniază activitățile de bază de securitate dintr-o perspectivă la nivel înalt și ajută organizațiile să abordeze cele mai importante elemente ale securității cibernetice. Funcțiile includ Identificare, Protecție, Detectare, Răspuns și Recuperare.
  • Categorii: Categoriile sunt axate pe rezultatele afacerii și sunt puțin mai aprofundate, acoperind obiectivele din cadrul funcțiilor de bază.
  • Subcategorii: Subcategorii sunt cel mai granular nivel de abstractizare din Core. Există un total de 108 subcategorii, care sunt de obicei bazate pe rezultate și concepute pentru a oferi considerații pentru stabilirea sau îmbunătățirea unui program de securitate cibernetică.
  • Referințe informative: referințele informative se referă la standardele, orientările și practicile existente relevante pentru fiecare subcategorie.

Cele cinci componente ale cadrului NIST | Ce sunt standardele de securitate NIST?

Categoriile NIST ale celor cinci funcții cheie ale cadrului de securitate cibernetică

După cum am observat, fiecare dintre funcțiile cheie este împărțită în categorii NIST și subcategorii NIST.

Categoriile NIST sunt după cum urmează:

Identifica

  • Gestionarea activelor
  • Mediu de afaceri
  • Guvernare
  • Evaluare a riscurilor
  • Strategia de management al riscului
  • Managementul riscului lanțului de aprovizionare

Postare asociată: Ce se întâmplă în timpul unui audit de risc de securitate cibernetică?

Proteja

  • Managementul identității și controlul accesului
  • Conștientizare și formare
  • Securitatea datelor
  • Procese și proceduri de protecție a informațiilor
  • întreținere
  • Tehnologie de protecție

Detecta

  • Anomalii și evenimente
  • Monitorizare continuă de securitate
  • Procese de detectare

Răspunde

  • Planificarea răspunsului
  • Comunicatii
  • Analiză
  • Atenuare
  • Îmbunătățiri

Recupera

  • Planificarea recuperării
  • Îmbunătățiri
  • Comunicatii

Niveluri

Nivelurile de implementare a cadrului trebuie să ajute să ilustreze măsura în care o organizație este capabilă să îndeplinească în mod eficient caracteristicile prezentate în Funcțiile și categoriile cadru.

Aceste niveluri de implementare nu sunt considerate niveluri de maturitate a securității cibernetice și nu sunt destinate să fie.

Cu toate acestea, organizațiile care îndeplinesc standardele pentru cele mai înalte niveluri vor avea inevitabil multe dintre caracteristicile care definesc companiile ciber-mature.

Nivelul 1 (parțial)

Procesul de management al riscului: practicile de management al riscului nu sunt formalizate și riscul este gestionat ad-hoc.

Program de management integrat al riscului: cunoaștere limitată a riscului de securitate cibernetică la nivel organizațional.

Participare externă: organizația nu colaborează cu alte entități și nu își înțelege rolul în ecosistemul mai larg.

Nivelul 2 (Risc informat)

Procesul de management al riscului: practicile de management al riscului sunt aprobate de conducere și prioritizate în funcție de obiectivele de risc organizaționale.

Program de management integrat al riscului: conștientizarea riscului de securitate cibernetică la nivel organizațional, dar lipsită de o abordare la nivel de companie pentru gestionarea acestui risc.

Participare externă: organizația își recunoaște rolul în ecosistemul de afaceri în ceea ce privește dependențele sau persoanele dependente, dar nu ambele. O anumită colaborare, dar este posibil să nu acționeze în mod consecvent sau formal asupra riscurilor prezentate.

Nivelul 3 (repetabil)

Procesul de management al riscului: practicile de management al riscului sunt aprobate oficial și exprimate prin politici. Practicile de securitate cibernetică sunt actualizate în mod regulat pe baza aplicării procesului formal de management al riscului.

Program de management integrat al riscurilor: Abordare la nivelul întregii organizații a gestionării riscurilor de securitate, iar personalul posedă cunoștințele și abilitățile necesare pentru a gestiona riscurile de securitate.

Participarea externă: Rolul organizației în ecosistemul mai larg este înțeles așa cum este legat de alte companii și poate contribui la înțelegerea mai largă a riscurilor de către comunitate. Colaborează cu și primește informații de la alții în mod regulat.

Nivelul 4 (Adaptiv)

Procesul de management al riscului: practicile de securitate cibernetică sunt adaptate și dezvoltate pe baza activităților anterioare și curente, precum și a indicatorilor predictivi. Se preconizează îmbunătățirea continuă a proceselor prin încorporarea de tehnologii și practici avansate.

Programul de management integrat al riscului: Relația dintre riscul de securitate și obiectivele organizaționale este înțeleasă clar. Managementul riscului de securitate face parte din cultura organizațională, iar schimbările în modul în care este abordat managementul riscurilor sunt comunicate rapid și eficient.

Participare externă: organizația își înțelege pe deplin rolul în ecosistemul mai larg și contribuie la înțelegerea riscurilor de către comunitate. Primește, generează și prioritizează informații care informează analiza constantă a riscurilor. Analiza datelor în timp real este valorificată, iar comunicarea este proactivă în ceea ce privește riscurile asociate cu produsele și serviciile utilizate.

Profil

Profilul cadru se referă la alinierea generală a funcțiilor, categoriilor și subcategoriilor cu cerințele de afaceri ale organizației, toleranța la risc și resursele.

Deoarece afaceri diferite au priorități diferite, nu vor fi două profiluri identice și, prin urmare, determinarea profilului cadru unic care se potrivește cel mai bine companiei este aspectul cheie final al standardelor NIST.

Profil curent vs. Profil țintă

Atunci când companiile stabilesc profiluri pentru standardele de securitate cibernetică, o modalitate comună și eficientă de a înțelege unde sunt și unde doresc să fie este de a crea două profiluri: profilul curent și profilul țintă.

Profilul curent este creat prin evaluarea capacității organizației de a desfășura activități de subcategorie.

Exemplele de subcategorii includ lucruri precum „Dispozitivele și sistemele fizice din cadrul organizației sunt inventariate” (ID.AM-1) și „Datele în tranzit sunt protejate” (PR.DS-2)”.

Acestea sunt doar două exemple din cele 108 subcategorii totale, dar oferă o indicație asupra tipurilor de activități care sunt evaluate.

Odată ce profilul curent a fost stabilit prin ierarhizarea capacității companiei de a îndeplini fiecare subcategorie, este momentul să creăm profilul țintă.

Profilul țintă este în mod eficient locul în care compania ar trebui să fie cu securitatea sa cibernetică pentru a îndeplini obiectivele și prioritățile dorite de management al riscului.

Odată ce profilul țintă a fost creat, organizația le poate compara pe cele două și obține o înțelegere clară a locului în care afacerea își îndeplinește obiectivele de gestionare a riscurilor și unde trebuie făcute îmbunătățiri.

Aceasta este una dintre cele mai eficiente modalități de a înțelege pe deplin ce sunt standardele de securitate NIST și cât de direct aplicabile sunt ele unei organizații în ceea ce privește îmbunătățirea protocoalelor și conformitatea cu recomandările NIST CSF.

Cine folosește cadrul NIST de securitate cibernetică?

După cum am observat, NIST este conceput în primul rând ca un cadru destinat acelor companii din lanțul de aprovizionare federal, fie că este vorba de contractori principali, subcontractanți sau altă entitate care trebuie să respecte NIST.

Cu toate acestea, standardele NIST sunt aplicabile practic oricărei afaceri și sunt o sursă extrem de valoroasă pentru a determina activitățile curente de securitate cibernetică ale unei companii și capacitatea acestora de a le desfășura la un standard acceptabil, în plus față de descoperirea priorităților noi și necunoscute.

Scopul final al NIST este de a oferi un cadru nu doar pentru organizațiile asociate la nivel federal, ci și pentru lumea afacerilor în general.

În acest scop, NIST intenționează să actualizeze continuu cadrul de securitate cibernetică pentru a-l menține actual și aplicabil oricui, indiferent dacă are nevoie în mod specific de conformitatea NIST CSF sau nu.

Ce acum?

Sperăm că această postare pe blog v-a ajutat să înțelegeți ce sunt standardele de securitate NIST și cum sunt ele utilizate în organizații.

În timp ce conformitatea NIST CSF nu este necesară pentru organizațiile care nu sunt contractate de guvern sau subcontractate de un contractant guvernamental, multe dintre activitățile și protocoalele sale se aplică multor alte reglementări de conformitate care trebuie respectate, cum ar fi HIPAA, PCI, PII.

Pentru conformitatea cu aceste reglementări (și multe altele), se recomandă utilizarea unei soluții de risc de guvernare și conformitate (GRC), astfel încât activitățile să poată fi monitorizate și menținute cu acuratețe.

La Impact, oferim o astfel de soluție, cu opțiuni de gestionare hibridă sau completă a GRC de la experții noștri, care vor efectua o evaluare a riscurilor și se vor asigura că politicile dvs. de securitate cibernetică sunt exact acolo unde trebuie să fie pentru a rămâne conforme.

Pentru mai multe informații, aruncați o privire pe pagina noastră de servicii de conformitate și luați legătura cu un specialist pentru a vedea cum Impact poate pune pe calea conformității organizației dvs. astăzi.