Was sind NIST-Sicherheitsstandards?

Veröffentlicht: 2021-01-07

Unternehmen fragen sich heute: „Was sind NIST-Sicherheitsstandards und wie können sie auf sie angewendet werden?“

Dies sollte keine große Überraschung sein – wir erleben derzeit einen dramatischen Wandel in der Einstellung zur Bedrohung durch Cyberkriminalität und es gibt eine wachsende Erkenntnis unter Organisationen, dass Sicherheitsstandards in der Netzwerksicherheit nicht nur ein wichtiger Aspekt eines modernen Unternehmens, sondern sogar lebenswichtig sind zu seinem Überleben.

Vor der Pandemie waren Unternehmen nach eigenen Angaben nicht auf Cyberangriffe vorbereitet, wobei laut IBM nur 23 % der Unternehmen angaben, dass sie einen Plan zur Reaktion auf Vorfälle in ihrem gesamten Unternehmen hatten.

Viele Unternehmen sind einfach nicht bereit für die Anzahl und Schwere moderner Cyberangriffe, und das ist keine Kleinigkeit – 93 % der Unternehmen ohne Notfallwiederherstellungsplan, die eine größere Datenkatastrophe erleiden, gehen innerhalb eines Jahres aus dem Geschäft.

Aufgrund der Pandemie und der damit verbundenen Veränderungen sind Cyberangriffe derzeit auf einem höheren Niveau als je zuvor, und Unternehmen müssen reagieren, um sich und ihre Kunden zu schützen.

Hier kommen Frameworks wie NIST ins Spiel – Unternehmen suchen nach Orientierungshilfen für ihre Cybersicherheit und hoffen, dass Standards wie NIST diese bieten können.

In diesem Blog werfen wir einen Blick auf die NIST-Sicherheitsstandards, schlüsseln sie auf und bestimmen, wie anwendbar sie auf Organisationen im ganzen Land sind, die ihre Unternehmenssicherheit stärken möchten.

Zunehmende Cyberangriffe kosten Unternehmen | Was sind NIST-Sicherheitsstandards?

Was ist NIST?

Das National Bureau of Standards, wie es bis 1988 hieß, wurde 1901 als Nicht-Regulierungsbehörde gegründet, um Standards für eine Reihe von Branchen bereitzustellen, darunter Fertigung, Umweltwissenschaften, öffentliche Sicherheit, Nanotechnologie, Informationstechnologie und mehr.

Im Laufe der Jahre seit seiner Gründung hat sich der Aufgabenbereich des NIST auf eine wachsende Zahl von Branchen ausgeweitet, von denen die Cybersicherheit (unter IT) nur eine ist.

Die NIST-Rahmenwerke, einschließlich ihres Cybersicherheitsrahmenwerks, sollen freiwillige Richtlinien für alle Organisationen sein, mit Ausnahme derjenigen, die sich mit Regierungsaufträgen befassen, die verpflichtet sind, sich an sie zu halten.

Was ist das NIST Cybersecurity Framework (CSF)?

Das NIST Cybersecurity Framework, kurz CSF, wurde 2013 unter Präsident Obama per Exekutivverordnung eingerichtet, um einen Rahmenkonsens für die Herangehensweise an Cybersicherheit zu schaffen, mit der Absicht, das Risiko für kritische Regierungs- und öffentliche Infrastruktursysteme zu verringern.

Die erste Version des CSF wurde 2014 veröffentlicht, und der Kongress verabschiedete kurz darauf den Cybersecurity Enhancement Act von 2014 mit dem folgenden erklärten Zweck:

EINE AKTE Bereitstellung einer laufenden, freiwilligen öffentlich-privaten Partnerschaft zur Verbesserung der Cybersicherheit und zur Stärkung der Cybersicherheitsforschung und -entwicklung, der Personalentwicklung und -ausbildung sowie des öffentlichen Bewusstseins und der Bereitschaft und für andere Zwecke.

Eine weitere Durchführungsverordnung wurde 2017 von Präsident Trump erlassen, die alle Bundesbehörden anweist, das Rahmenwerk zu verwenden.

Im Jahr 2015 nutzten schätzungsweise 30 % der US-Unternehmen den CSF, mit einem weiteren Anstieg auf 50 % im Jahr 2020. Der Erfolg des Rahmenwerks hat dazu geführt, dass es nicht nur in den Vereinigten Staaten, sondern weltweit von den Vereinigten Staaten übernommen wurde Königreich nach Israel.

Zusammenfassung des NIST-Frameworks

Also, was sind NIST-Sicherheitsstandards?

Das NIST Cybersecurity Framework ist in drei verschiedene Komponenten unterteilt: „Core“, „Implementation Tiers“ und „Profiles“.

Kern

Der Framework-Kern besteht aus einer Reihe von Aktivitäten, die darauf ausgelegt sind, die besten Cybersicherheitsergebnisse zu erzielen, die von den NIST-Standards gefordert werden.

Bei diesen Aktivitäten handelt es sich nicht um eine Checkliste, sondern um wichtige Ergebnisse, die von den Interessengruppen als wesentlich für das Management von Cybersicherheitsrisiken identifiziert wurden.

Was sind Elements NIST-Sicherheitsstandards?

Es gibt vier Schlüsselelemente, die den Framework-Kern bilden. Diese sind:

  • Funktionen: Funktionen sind einige der bekanntesten Aspekte des NIST-Cybersicherheits-Frameworks. Sie skizzieren die grundlegenden Sicherheitsaktivitäten aus einer übergeordneten Perspektive und helfen Unternehmen, die wichtigsten Elemente der Cybersicherheit anzugehen. Die Funktionen umfassen Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.
  • Kategorien: Die Kategorien konzentrieren sich auf Geschäftsergebnisse und sind etwas detaillierter und decken Ziele innerhalb der Kernfunktionen ab.
  • Unterkategorien: Unterkategorien sind die granularste Abstraktionsebene im Core. Es gibt insgesamt 108 Unterkategorien, die in der Regel ergebnisorientiert sind und Überlegungen zur Einrichtung oder Verbesserung eines Cybersicherheitsprogramms anstellen sollen.
  • Informative Referenzen: Informative Referenzen beziehen sich auf bestehende Standards, Richtlinien und Praktiken, die für jede Unterkategorie relevant sind.

Die fünf Komponenten des NIST-Frameworks | Was sind NIST-Sicherheitsstandards?

NIST-Kategorien der fünf Schlüsselfunktionen des Cybersecurity Framework

Wie bereits erwähnt, ist jede der Schlüsselfunktionen in NIST-Kategorien und NIST-Unterkategorien unterteilt.

Die NIST-Kategorien sind wie folgt:

Identifizieren

  • Anlagenmanagement
  • Geschäftsumfeld
  • Führung
  • Risikoabschätzung
  • Risikomanagement-Strategie
  • Risikomanagement in der Lieferkette

Verwandter Beitrag: Was passiert während eines Cybersicherheitsrisiko-Audits?

Beschützen

  • Identitätsmanagement und Zugriffskontrolle
  • Bewusstsein und Training
  • Datensicherheit
  • Informationsschutzprozesse und -verfahren
  • Wartung
  • Schutztechnik

Erkennen

  • Anomalien und Ereignisse
  • Kontinuierliche Sicherheitsüberwachung
  • Erkennungsprozesse

Antworten

  • Reaktionsplanung
  • Kommunikation
  • Analyse
  • Minderung
  • Verbesserungen

Genesen

  • Wiederherstellungsplanung
  • Verbesserungen
  • Kommunikation

Stufen

Die Framework-Implementierungsebenen sollen dabei helfen, das Ausmaß zu veranschaulichen, in dem eine Organisation in der Lage ist, die in den Framework-Funktionen und -Kategorien beschriebenen Merkmale effektiv zu erfüllen.

Diese Implementierungsstufen werden nicht als Reifegrade für die Cybersicherheit betrachtet und sollen es auch nicht sein.

Organisationen, die die Standards für die höchsten Ebenen erfüllen, weisen jedoch zwangsläufig viele der Merkmale auf, die cyberreife Unternehmen ausmachen.

Stufe 1 (teilweise)

Risikomanagementprozess: Die Risikomanagementpraktiken sind nicht formalisiert und das Risiko wird ad hoc verwaltet.

Integriertes Risikomanagementprogramm: Begrenztes Bewusstsein für Cybersicherheitsrisiken auf Organisationsebene.

Externe Beteiligung: Die Organisation arbeitet nicht mit anderen Einheiten zusammen oder versteht ihre Rolle im größeren Ökosystem.

Tier 2 (Risikoinformiert)

Risikomanagementprozess: Risikomanagementpraktiken werden vom Management genehmigt und gemäß den Risikozielen der Organisation priorisiert.

Integriertes Risikomanagementprogramm: Bewusstsein für Cybersicherheitsrisiken auf Organisationsebene, aber ohne unternehmensweiten Ansatz zur Verwaltung dieses Risikos.

Externe Beteiligung: Die Organisation erkennt ihre Rolle im Geschäftsökosystem in Bezug auf ihre Abhängigkeiten oder Abhängigen an, aber nicht beides. Einige Zusammenarbeit, aber möglicherweise nicht konsequent oder formell auf die präsentierten Risiken reagieren.

Stufe 3 (wiederholbar)

Risikomanagementprozess: Risikomanagementpraktiken werden formell genehmigt und durch Richtlinien ausgedrückt. Cybersicherheitspraktiken werden basierend auf der Anwendung des formellen Risikomanagementprozesses regelmäßig aktualisiert.

Integriertes Risikomanagementprogramm: Unternehmensweiter Ansatz für das Sicherheitsrisikomanagement vorhanden, und das Personal verfügt über das Wissen und die Fähigkeiten zum Management von Sicherheitsrisiken.

Externe Beteiligung: Die Rolle der Organisation im größeren Ökosystem wird so verstanden, dass sie andere Unternehmen betrifft, und sie kann zu einem breiteren Verständnis der Gemeinschaft von Risiken beitragen. Arbeitet mit anderen zusammen und erhält regelmäßig Informationen von anderen.

Stufe 4 (adaptiv)

Risikomanagementprozess: Cybersicherheitspraktiken werden auf der Grundlage früherer und aktueller Aktivitäten sowie prädiktiver Indikatoren angepasst und entwickelt. Es wird eine kontinuierliche Verbesserung der Prozesse durch die Einbeziehung fortschrittlicher Technologien und Praktiken erwartet.

Integriertes Risikomanagementprogramm: Die Beziehung zwischen Sicherheitsrisiko und organisatorischen Zielen wird klar verstanden. Das Sicherheitsrisikomanagement ist Teil der Unternehmenskultur und Änderungen in der Herangehensweise an das Risikomanagement werden schnell und effektiv kommuniziert.

Externe Beteiligung: Die Organisation ist sich ihrer Rolle im größeren Ökosystem voll bewusst und trägt zum Risikoverständnis der Gemeinschaft bei. Empfängt, generiert und priorisiert Informationen, die in die ständige Risikoanalyse einfließen. Echtzeit-Datenanalyse wird genutzt, und die Kommunikation ist proaktiv, da sie sich auf Risiken bezieht, die mit den verwendeten Produkten und Dienstleistungen verbunden sind.

Profil

Das Rahmenprofil bezieht sich auf die allgemeine Ausrichtung von Funktionen, Kategorien und Unterkategorien an den Geschäftsanforderungen, der Risikotoleranz und den Ressourcen der Organisation.

Da unterschiedliche Unternehmen unterschiedliche Prioritäten haben, werden keine zwei Profile gleich sein, und daher ist die Bestimmung des eindeutigen Rahmenprofils, das am besten zum Unternehmen passt, der letzte Schlüsselaspekt der NIST-Standards.

Aktuelles Profil vs. Zielprofil

Wenn Unternehmen Profile für Cybersicherheitsstandards erstellen, besteht eine gängige und effektive Methode, um zu verstehen, wo sie sich befinden und wo sie sein möchten, darin, zwei Profile zu erstellen: das aktuelle Profil und das Zielprofil.

Das aktuelle Profil wird erstellt, indem die Fähigkeit der Organisation zur Durchführung von Aktivitäten der Unterkategorie bewertet wird.

Beispiele für Unterkategorien sind Dinge wie „Physische Geräte und Systeme innerhalb der Organisation werden inventarisiert“ (ID.AM-1) und „Daten während der Übertragung sind geschützt“ (PR.DS-2)“.

Dies sind nur zwei Beispiele der insgesamt 108 Unterkategorien, geben aber einen Hinweis auf die Arten von Aktivitäten, die bewertet werden.

Nachdem das aktuelle Profil erstellt wurde, indem die Fähigkeit des Unternehmens, jede Unterkategorie zu erfüllen, bewertet wurde, ist es an der Zeit, das Zielprofil zu erstellen.

Das Zielprofil ist effektiv dort, wo das Unternehmen mit seiner Cybersicherheit stehen sollte, um die gewünschten Ziele und Prioritäten des Risikomanagements zu erreichen.

Sobald das Zielprofil erstellt wurde, kann die Organisation die beiden vergleichen und sich ein klares Bild davon machen, wo das Unternehmen seine Risikomanagementziele erreicht und wo Verbesserungen vorgenommen werden müssen.

Dies ist eine der effektivsten Möglichkeiten, um vollständig zu verstehen, was NIST-Sicherheitsstandards sind und wie direkt sie auf eine Organisation anwendbar sind, um ihre Protokolle zu verbessern und die CSF-Empfehlungen von NIST einzuhalten.

Wer verwendet das NIST Cybersecurity Framework?

Wie wir bereits festgestellt haben, ist NIST in erster Linie als Rahmenwerk konzipiert, das sich an Unternehmen in der Lieferkette des Bundes richtet, unabhängig davon, ob es sich um Hauptauftragnehmer, Unterauftragnehmer oder eine andere Einheit handelt, die NIST-konform sein muss.

Die Standards von NIST sind jedoch auf praktisch jedes Unternehmen anwendbar und eine äußerst wertvolle Quelle, um die aktuellen Cybersicherheitsaktivitäten eines Unternehmens und seine Fähigkeit, diese auf einem akzeptablen Standard durchzuführen, zu bestimmen – zusätzlich zur Aufdeckung neuer und unbekannter Prioritäten.

Das ultimative Ziel von NIST ist es, nicht nur für bundesstaatliche Organisationen, sondern für die Geschäftswelt im Allgemeinen einen Rahmen bereitzustellen.

Zu diesem Zweck plant NIST, das Cybersicherheits-Framework kontinuierlich zu aktualisieren, um es auf dem neuesten Stand zu halten und für alle anwendbar zu halten, unabhängig davon, ob sie speziell die NIST-CSF-Konformität benötigen oder nicht.

Was jetzt?

Wir hoffen, dass dieser Blogbeitrag Ihnen geholfen hat, ein Verständnis dafür zu bekommen, was NIST-Sicherheitsstandards sind und wie sie in Organisationen verwendet werden.

Während die NIST CSF-Compliance für Organisationen, die nicht von der Regierung unter Vertrag genommen oder von einem staatlichen Auftragnehmer beauftragt wurden, nicht erforderlich ist, gelten viele seiner Aktivitäten und Protokolle für viele andere Compliance-Vorschriften, die befolgt werden müssen, wie HIPAA, PCI, PII.

Zur Einhaltung dieser Vorschriften (und vieler anderer) wird empfohlen, eine Governance-Risiko- und Compliance-Lösung (GRC) zu verwenden, damit Aktivitäten genau überwacht und aufrechterhalten werden können.

Bei Impact bieten wir eine solche Lösung mit Optionen für eine hybride oder vollständige Verwaltung von GRC durch unsere Experten an, die eine Risikobewertung durchführen und sicherstellen, dass Ihre Cybersicherheitsrichtlinien genau dort sind, wo sie sein müssen, um konform zu bleiben.

Für weitere Informationen werfen Sie einen Blick auf unsere Compliance-Services-Seite und setzen Sie sich mit einem Spezialisten in Verbindung, um zu erfahren, wie Impact die Compliance Ihres Unternehmens noch heute auf den richtigen Weg bringen kann.