Kritische Infrastrukturen
Die zentralen Funktionen des NIST Cybersecurity Framework haben sich schnell über die Bereiche Energie und kritische Infrastrukturen hinaus verbreitet, nachdem sie im Rahmen einer vom NIST geleiteten Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor als Reaktion auf eine Anordnung des Präsidenten zur Verbesserung der Cybersicherheit kritischer Infrastrukturen entwickelt wurden. Das vom National Institute of Standards and Technology (NIST) entwickelte Cybersecurity Framework ist heute wichtiger denn je, da es zum einen den Goldstandard für die Cybersicherheit in den Vereinigten Staaten darstellt und zum anderen als Grundlage für viele neue Standards und Vorschriften dient, die heute erst entstehen. Aufgrund seines ergebnisorientierten Ansatzes konnte das Framework auf praktisch jede Branche und jede Unternehmensgröße angewendet werden. Der Kern des Rahmenwerks, die Profile und die Implementierungsebenen bilden die drei Hauptkomponenten, aus denen sich dieses Rahmenwerksprofil zusammensetzt. In diesem Abschnitt gehen wir auf das Framework Fundamental sowie auf die fünf Kernfunktionen ein, die das Framework Core ausmachen, nämlich Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.
Cybersicherheit
Auf der offiziellen Website des National Institute of Standards and Technology (NIST) wird der Kern des Rahmenwerks als eine Sammlung von Cybersicherheitsmaßnahmen, beabsichtigten Ergebnissen und lehrreichen Referenzen definiert, die für alle kritischen Infrastruktursektoren relevant sind. Der Kern liefert Industriestandards, Regeln und Praktiken in einer Art und Weise, die die Kommunikation von Cybersecurity-Aktivitäten und -Ergebnissen im gesamten Unternehmen auf jeder Ebene ermöglicht, von der Führungsebene bis hinunter zur Implementierung und zum Betrieb auf höchster Ebene. Die Kategorien des NIST Cybersecurity Framework (CSF), die auch als Kernfunktionen bezeichnet werden, tragen zur Schaffung einer soliden Geschäftsgrundlage bei und helfen bei der Identifizierung von Lücken und Erfordernissen bei der Einhaltung von Cybersicherheitsvorschriften.
Was genau sind die fünf Komponenten des NIST Cybersecurity Framework?
Know-How
NIST beschreibt die Funktion Identifizieren als die Notwendigkeit, „das organisatorische Wissen zu schaffen, um Cybersecurity-Risiken für Systeme, Vermögenswerte, Daten und Fähigkeiten zu verwalten“. Dies ist die erste Funktion im Rahmenwerk, und es ist auch die Funktion, die NIST definiert. Das Unternehmen und seine Beziehung zum Cybersecurity-Risiko stehen hier im Vordergrund, wobei den derzeit verfügbaren Ressourcen besondere Aufmerksamkeit geschenkt wird. Im Folgenden finden Sie einige Beispiele für die Ergebniskategorien, die mit dieser Funktion verbunden sind:
- Geschäftsumfeld
- Steuerung
- Risikobewertung
- Risikomanagement-Strategie
- Assetverwaltung
Die NIST-Identifizierungsfunktion bereitet Ihr Unternehmen auf künftige Aktivitäten in Bezug auf die Cybersicherheit vor, indem sie den Rahmen für solche Bemühungen setzt. Für Ihren Erfolg mit dem Framework ist es entscheidend, dass Sie feststellen, was vorhanden ist, welche Risiken mit den vorhandenen Umgebungen verbunden sind und wie all dies im Zusammenhang mit den Zielen steht, die sich Ihr Unternehmen gesetzt hat.
Eine erfolgreiche Implementierung der Identifizierungsfunktion führt dazu, dass Organisationen einen festen Überblick über alle vom Unternehmen getrennten Vermögenswerte und Umgebungen haben, den aktuellen und den gewünschten Zustand der Kontrollen zum Schutz dieser Vermögenswerte definieren und einen Plan entwickeln, um vom aktuellen zum gewünschten Sicherheitszustand zu gelangen. Infolgedessen ist der aktuelle Zustand der Cybersicherheitslage eines Unternehmens klar definiert und wird den Beteiligten auf der technischen und geschäftlichen Seitedes Unternehmens mitgeteilt.
Risikomanagement
Laut NIST besteht die Funktion des Frameworks darin, eine Organisation dabei zu unterstützen, ihr Cybersecurity-Risikomanagement zum Ausdruck zu bringen. Dies geschieht durch die Organisation von Informationen, die Weitergabe von sensiblen Informationen, die Ermöglichung von Entscheidungen im Bereich des Cybersecurity-Risikomanagements, die Bewältigung von Bedrohungen und die Verbesserung durch Lernen aus früheren Aktivitäten.
Die Aufnahme der Schutzfunktion in den Kern des Rahmenwerks ist von entscheidender Bedeutung, da ihr Ziel darin besteht, angemessene Schutzmaßnahmen zu entwickeln und umzusetzen, um die Bereitstellung kritischer Infrastrukturdienste zu gewährleisten. Die Protect-Funktion ermöglicht es den Nutzern, die Auswirkungen eines möglichen Cybersecurity-Ereignisses einzuschränken oder zu reduzieren, indem sie diese Fähigkeit unterstützt. Laut NIST sind einige Beispiele für Ergebniskategorien, die unter diese Funktion fallen, Datensicherheit, Prozesse und Verfahren zum Schutz der Informationssicherheit, Wartung und Schutztechnologie. Weitere Beispiele sind Identitätsmanagement und Zugangskontrolle, Sensibilisierung und Schulung sowie Schutztechnologie.
Die Protekt-Phase
Protect ist die Phase des Frameworks, in der es proaktiv wird, im Gegensatz zu Identify, das sich hauptsächlich auf Baselines und Überwachung konzentriert. Zugangskontrolle sowie Sensibilisierung und Schulung sind einige der Themen, die von der Funktion Protect abgedeckt werden. Die Manifestation dieser Kategorien und der Funktion Protect als Ganzes zeigt sich in Praktiken wie der Zwei-Faktor-Authentifizierung und der Multi-Faktor-Authentifizierung, die zur Kontrolle des Zugriffs auf Anlagen und Umgebungen eingesetzt werden, sowie in der Mitarbeiterschulung, die zur Verringerung des Risikos von Unfällen und sozial motivierten Verstößen eingesetzt wird.
Datenschutzvorfälle
Da Datenschutzverletzungen immer häufiger vorkommen, wird die Implementierung geeigneter Prozesse und Richtlinien zur Verringerung der Gefahr einer Verletzung immer wichtiger. Die Protect-Funktion des Frameworks dient als Leitfaden und legt die wesentlichen Ergebnisse fest, die zur Erreichung dieses Ziels erreicht werden müssen.
Die Detect-Funktion erfordert die Formulierung und Umsetzung der relevanten Maßnahmen, um das Vorhandensein eines Cybersecurity-Ereignisses zu erkennen. Dies wird getan, um die Anforderungen der Funktion zu erfüllen.
Die Detect-Funktion ermöglicht es, sich rechtzeitig über Cybersecurity-Vorkommnisse zu informieren. Anomalien und Ereignisse, kontinuierliche Sicherheitsüberwachung und Erkennungsprozesse sind einige Beispiele für Ergebniskategorien, die unter diese Funktion fallen.
Informationssicherheitsvorfälle
Anomalien und Vorfälle: Die Software bemerkt merkwürdiges Verhalten, sobald es möglich ist, und die Auswirkungen von Ereignissen werden von jedem in Ihrem Team und darüber hinaus verstanden.
Sicherheit und kontinuierliche Überwachung: Unter Sicherheit und kontinuierlicher Überwachung versteht man die regelmäßige Überwachung von Informationssystemen und ihrer Umgebung, um bösartige Cyber-Aktivitäten zu erkennen.
Es werden Verfahren und Prozesse für die Erkennung eingeführt und getestet, um zeitnah und umfassend über Cyber-Vorfälle zu informieren. Die Erkennung ist ein Prozess, der Verfahren und Abläufe umfasst.
Ein umfassendes Cyberprogramm ist unerlässlich, und einer der wichtigsten Schritte auf dem Weg dorthin ist die Erkennungsfunktion des Framework Core. Je früher ein Cyber-Ereignis erkannt wird, desto schneller können die Auswirkungen bekämpft werden.
Detektion
Beispiele dafür, wie verschiedene Aufgaben auf dem Weg zu einer bestimmten Detect-Funktion erledigt werden können:
Anomalien und Ereignisse: Stellen Sie sicher, dass Ihre Mitarbeiter mit den notwendigen Informationen ausgestattet sind, um Daten von zahlreichen Standorten zu sammeln und auszuwerten, um einen Cyber-Sicherheitsvorfall zu erkennen.
Sicherheit und kontinuierliche Überwachung: Stellen Sie sicher, dass Ihr Team in der Lage ist, Ihre Anlagen rund um die Uhr zu überwachen, indem Sie ein MSS einsetzen oder ihm die Möglichkeit geben, dies selbst zu tun.
Erkennung
Aufdeckungsprozesse: Machen Sie es sich zur Priorität, so schnell wie möglich von einem Sicherheitsverstoß zu erfahren und die Offenlegungsvorschriften einzuhalten, wenn sie in Anspruch genommen werden. Ihre Anwendung muss in der Lage sein, jeden unbefugten Zugriff auf Ihre Daten so schnell wie möglich zu erkennen.
Da die Fähigkeit, eine Sicherheitsverletzung oder einen Vorfall zu erkennen, für Ihr Unternehmen den Unterschied zwischen Erfolg und Misserfolg bedeuten kann, ist die Erkennungsfunktion des Cybersecurity Frameworks sowohl für die Erreichung von Sicherheits- als auch von Geschäftszielen unerlässlich. Wenn Sie sich an diese bewährten Verfahren halten und diese Lösungen in die Tat umsetzen, können Sie Ihr Programm ausbauen und das Risiko von Verstößen gegen die Cybersicherheit verringern.
Reaktion
„Entwickeln und implementieren Sie relevante Aktivitäten, um Maßnahmen in Bezug auf ein identifiziertes Cybersicherheitsereignis zu ergreifen“, so wird die Respond-Funktion von NIST beschrieben.
„Die Respond-Funktion unterstützt die Fähigkeit, die Auswirkungen eines möglichen Cybersecurity-Ereignisses einzudämmen.“ Im Folgenden werden einige Beispiele für Ergebniskategorien genannt, die in den Aufgabenbereich dieser Funktion fallen: Reaktionsplanung, Kommunikation, Analyse, Schadensbegrenzung und Verbesserungen.
Die Rolle „Reagieren“ ist dafür verantwortlich, dass das Cybersicherheitsprogramm kontinuierlich verbessert wird, indem Aktivitäten wie Reaktionsplanung, Analyse und Schadensbegrenzung durchgeführt werden.
Die Erstellung eines Reaktionsplans für Vorfälle ist ein wichtiger erster Schritt bei der Übernahme der Respond-Funktion, die die Einhaltung der vorgeschriebenen Berichtsstandards gewährleistet und sicherstellt, dass Informationen verschlüsselt und sicher für einen bestimmten Standort und Sektor übertragen werden. Eine Strategie zur Schadensbegrenzung ist ein geeigneter nächster Schritt. Dieser Plan sollte die Frage beantworten: „Welche Maßnahmen wird Ihr Team ergreifen, um die festgestellten Risiken für Ihr Programm und Ihre Organisation zu mindern?“
Wiederherstellung aus dem CSF von NIST
Der Kern des Frameworks bestimmt dann die zugrundeliegenden Hauptkategorien und Unterkategorien für jede Funktion und verbindet sie mit Beispielen informativer Referenzen für jede Unterkategorie. Diese informativen Verweise umfassen Dinge wie aktuelle Standards, Empfehlungen und Praktiken (NIST).
Abhängigkeiten
Das National Institute of Standards and Technology (NIST) spricht von der Notwendigkeit, „relevante Aktivitäten zu entwickeln und durchzuführen, um Pläne für die Widerstandsfähigkeit aufrechtzuerhalten und alle beeinträchtigten Fähigkeiten oder Dienste aufgrund eines Cybersecurity-Ereignisses wiederherzustellen“.
Als Mittel zur Abschwächung der negativen Auswirkungen eines Cybersicherheitsvorfalls erleichtert die Wiederherstellungsfunktion eine rasche Rückkehr zu normalen Geschäftsaktivitäten. Die Planung für die Wiederherstellung, die Durchführung von Verbesserungen und die Kommunikation mit den Beteiligten sind einige Beispiele für Ergebnisse, die mit dieser Kernfunktion des Rahmenwerks verbunden sind.
Wiederherstellung von Informationen
Die folgenden Komponenten sind in der Wiederherstellung enthalten:
Wiederherstellungsplanung bedeutet, dass Wiederherstellungsprozesse geübt, durchgeführt und auf dem neuesten Stand gehalten werden, um sicherzustellen, dass Ihr Programm die negativen Folgen eines Vorfalls so schnell wie möglich abmildern kann.
Wiederherstellungspläne und -verfahren werden aufgrund von unvorhergesehenen Ereignissen verbessert, was auch zur Identifizierung von Problembereichen und zur Formulierung möglicher Abhilfemaßnahmen führt.
Kommunikation: Koordinieren Sie sich intern und extern, um eine bessere Organisation, eine umfassende Planung und eine effektive Ausführung zu erreichen.
Die Wiederherstellungsfunktion ist nicht nur aus der Sicht des Unternehmens und des Sicherheitsteams notwendig, sondern auch aus der Sicht der Kunden und des Marktes. Wenn Unternehmen in der Lage sind, sich schnell zu erholen und dabei ihre Würde und ihr Fingerspitzengefühl zu bewahren, befinden sie sich sowohl intern als auch international in einer weitaus besseren Situation, als dies sonst der Fall wäre. Die Aufstellung eines Wiederherstellungsplans trägt dazu bei, dass das Unternehmen im Falle eines Verstoßes gegen die Datenschutzbestimmungen dennoch in der Lage ist, die notwendigen Ziele zu erreichen und wichtige Lehren daraus zu ziehen. Auf diese Weise wird sichergestellt, dass das Unternehmen auf dem richtigen Weg bleibt, um diese Ziele zu erreichen.
Kernkomponenten
Gute Cybersicherheit gemäß dem NIST Cybersecurity Framework zu praktizieren, kann mitunter schwierig sein. Doch trotz der Schwierigkeiten, die damit verbunden sein können, wird es sich am Ende lohnen. Da das Framework auf Ergebnissen und nicht auf bestimmten Kontrollen basiert, können Unternehmen auf einer soliden Grundlage aufbauen und bei Bedarf Ergänzungen vornehmen, um die Einhaltung neu erlassener Vorschriften zu gewährleisten, sobald diese in Kraft treten. Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen von Cybersicherheitsvorfällen sind die fünf Kernfunktionen, die Organisationen bei ihren Bemühungen unterstützen, Cybersicherheitsvorfälle rechtzeitig zu erkennen, zu verwalten und zu bekämpfen. Die vom NIST CSF bereitgestellte Cybersicherheitsstrategie unterstützt die kontinuierliche Einhaltung der Vorschriften und erleichtert die Kommunikation zwischen den Beteiligten auf technischer und geschäftlicher Seite.