Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

Der Ansatz der Cybersicherheit besteht aus fünf Komponenten:

- Identifizieren
- Schützen
- Erkennen
- Reagieren
- Wiederherstellen

Identifizieren Sie

Verwaltung von Vermögenswerten

Alle Elemente, die der Organisation helfen, ihre Geschäftsziele zu erreichen, wie Daten, Personal, Ausrüstung, Systeme und Einrichtungen, werden identifiziert und verwaltet. Dies geschieht auf der Grundlage ihrer relativen Bedeutung für die Geschäftsziele und die Risikostrategie der Organisation.

  • Die physischen Geräte und Systeme innerhalb der Organisation werden inventarisiert.
  • Software-Plattformen und Anwendungen innerhalb der Organisation werden inventarisiert.
  • Kommunikations- und Datenflüsse innerhalb der Organisation werden kartiert.
  • Externe Informationssysteme werden katalogisiert.
  • Ressourcen wie Hardware, Geräte, Daten und Software werden entsprechend ihrer Klassifizierung und ihres Geschäftswerts nach Prioritäten geordnet.
  • Rollen und Verantwortlichkeiten für die Cybersicherheit für alle Mitarbeiter und externen Interessengruppen, wie Lieferanten, Kunden und Partner, werden festgelegt.

Wirtschaftliches Umfeld

Der Auftrag, die Ziele, die Interessengruppen und die Aktivitäten der Organisation werden klar verstanden und nach Prioritäten geordnet. Diese Informationen werden genutzt, um fundierte Entscheidungen in Bezug auf Rollen, Verantwortlichkeiten und Risikomanagement im Bereich der Cybersicherheit zu treffen.

  • Die Rolle der Organisation in der Lieferkette ist ermittelt und kommuniziert.
  • Die Position der Organisation innerhalb der kritischen Infrastrukturen und des Wirtschaftssektors ist bekannt und wird mitgeteilt.
  • Prioritäten in Bezug auf den Auftrag, die Ziele und die Aktivitäten der Organisation werden ermittelt und kommuniziert.
  • Abhängigkeiten und kritische Funktionen für die Erbringung grundlegender Dienste werden ermittelt.
  • Die Anforderungen an die Resilienz zur Unterstützung der Erbringung kritischer Dienste sind ermittelt.

Unternehmensführung

Die Organisation kennt und verwaltet ihre Richtlinien, Verfahren und Prozesse zur Einhaltung und Überwachung der gesetzlichen, rechtlichen, risikorelevanten, ökologischen und betrieblichen Anforderungen. Diese Elemente bilden die Grundlage für das Risikomanagement im Bereich der Cybersicherheit.

  • Die Informationssicherheitspolitik der Organisation ist festgelegt.
  • Die Aufgaben und Zuständigkeiten im Bereich der Informationssicherheit werden mit internen Funktionen und externen Partnern koordiniert und aufeinander abgestimmt.
  • Die Organisation kennt die gesetzlichen und behördlichen Anforderungen an die Cybersicherheit, einschließlich der Verpflichtungen zum Schutz der Privatsphäre und der bürgerlichen Freiheiten, und handelt entsprechend.
  • Die Prozesse der Unternehmensführung und des Risikomanagements sind speziell auf das Management von Cybersicherheitsrisiken ausgerichtet.

Risikobewertung

Die Organisation kennt die Cybersicherheitsrisiken, die sich auf ihren Betrieb (einschließlich Auftrag, Funktionen, Image oder Ruf), ihre Vermögenswerte und Mitarbeiter auswirken können.

  • Die Schwachstellen von Vermögenswerten werden ermittelt und dokumentiert.
  • Informationen über Bedrohungen und Schwachstellen werden von Foren und Quellen für den Informationsaustausch eingeholt.
  • Interne und externe Bedrohungen werden identifiziert und dokumentiert.
  • Potenzielle Auswirkungen auf das Geschäft und die Wahrscheinlichkeit werden ermittelt.
  • Bedrohungen, Schwachstellen, Wahrscheinlichkeiten und Auswirkungen werden zur Risikobewertung herangezogen.
  • Risikomaßnahmen werden ermittelt und nach Prioritäten geordnet.

Risikomanagement-Strategie

Die Organisation legt ihre Prioritäten, Beschränkungen, Risikotoleranzen und Annahmen fest, um Entscheidungen über operationelle Risiken zu unterstützen.

  • Die Risikomanagementprozesse werden von den Beteiligten innerhalb der Organisation festgelegt, gesteuert und genehmigt.
  • Die Risikotoleranz der Organisation ist festgelegt und klar formuliert.
  • Die Organisation legt ihre Risikotoleranz auf der Grundlage ihrer Rolle innerhalb der kritischen Infrastruktur und der sektorspezifischen Risikoanalyse fest.

Schützen Sie

Zugangskontrolle

Der Zugang zu Vermögenswerten und zugehörigen Einrichtungen ist auf autorisierte Benutzer, Prozesse oder Geräte und nur auf autorisierte Aktivitäten und Transaktionen beschränkt.

  • Identitäten und Berechtigungsnachweise werden für autorisierte Geräte und Benutzer verwaltet.
  • Der physische Zugang zu den Anlagen wird verwaltet und geschützt.
  • Der Fernzugriff wird verwaltet.
  • Die Zugriffsrechte werden nach den Grundsätzen der geringsten Privilegien und der Aufgabentrennung verwaltet.
  • Die Integrität des Netzes wird geschützt, gegebenenfalls auch durch Netzwerktrennung

Sensibilisierung

Die Mitarbeiter und Partner der Organisation sind über die Cybersicherheit informiert und geschult, so dass sie ihre Aufgaben und Verantwortlichkeiten im Bereich der Informationssicherheit gemäß den geltenden Richtlinien, Verfahren und Vereinbarungen wahrnehmen können.

  • Alle Nutzer sind gut informiert und haben eine angemessene Schulung erhalten.
  • Autorisierte Nutzer haben ein klares Verständnis ihrer Rollen und Verantwortlichkeiten.
  • Externe Beteiligte, wie Lieferanten, Kunden und Partner, sind sich ihrer Aufgaben und Verantwortlichkeiten bewusst.
  • Leitende Angestellte kennen ihre Aufgaben und Verantwortlichkeiten.
  • Die für die physische Sicherheit und die Informationssicherheit zuständigen Mitarbeiter kennen ihre Aufgaben und Zuständigkeiten.

Sicherheit der Daten

Informationen und Daten werden gemäß der Risikostrategie der Organisation verwaltet, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

  • Daten im Ruhezustand sind geschützt.
  • Daten bei der Übertragung sind geschützt.
  • Vermögenswerte werden bei der Veräußerung, Übertragung und Ausgliederung formell verwaltet.
  • Ausreichende Kapazitäten werden vorgehalten, um die Verfügbarkeit zu gewährleisten.
  • Es werden Maßnahmen ergriffen, um Datenverletzungen zu verhindern.
  • Integritätskontrollmechanismen werden angewendet, um die Integrität von Software, Firmware und Informationen zu überprüfen.
  • Entwicklungs- und Testumgebungen werden von der Produktionsumgebung getrennt.

Prozess und Verfahren der Informationssicherheit.

Sicherheitsrichtlinien, -prozesse und -verfahren werden beibehalten und angewandt, um den Schutz von Informationssystemen und Vermögenswerten wirksam zu verwalten. Dazu gehören Leitlinien zu Zweck, Umfang, Aufgaben, Zuständigkeiten, Beteiligung des Managements und Koordinierung zwischen Organisationseinheiten.

  • Eine Basiskonfiguration für Informationstechnologie und industrielle Kontrollsysteme wird erstellt und gepflegt.
  • Ein Systementwicklungszyklus für die Verwaltung von Systemen wird eingeführt.
  • Konfigurationsänderungen werden durch Prozesse kontrolliert.
  • Backups von Informationen werden erstellt, gepflegt und regelmäßig getestet.
  • Richtlinien und Vorschriften für die physische Betriebsumgebung der Organisation werden befolgt.
  • Die Daten werden gemäß den Richtlinien vernichtet.
  • Die Sicherheitsprozesse werden kontinuierlich verbessert.
  • Die Wirksamkeit von Schutztechnologien wird mit den zuständigen Stellen geteilt.
  • Reaktionspläne (Incident Response und Business Continuity) und Wiederherstellungspläne (Incident
  • Recovery und Disaster Recovery) sind vorhanden und werden verwaltet.
  • Reaktions- und Wiederherstellungspläne werden getestet.
  • Die Cybersicherheit wird in die Personalpolitik einbezogen, z. B. bei der Personalauswahl.
  • Ein Plan für das Schwachstellenmanagement wird entwickelt und umgesetzt.

Wartung

Wartung und Reparaturen von Komponenten industrieller Steuerungs- und Informationssysteme werden gemäß den festgelegten Richtlinien und Verfahren durchgeführt.

  • Die Wartung und Reparatur von Betriebsmitteln wird unter Verwendung zugelassener und kontrollierter Werkzeuge zeitnah durchgeführt und dokumentiert.
  • Die Fernwartung von Betriebsmitteln wird genehmigt, aufgezeichnet und so durchgeführt, dass ein unbefugter Zugriff verhindert wird.

Schützende Technologie

Technische Sicherheitslösungen werden verwaltet, um die Sicherheit und Widerstandsfähigkeit von Systemen und Vermögenswerten in Übereinstimmung mit Richtlinien, Verfahren und Vereinbarungen zu gewährleisten.

  • Audit- und Protokolldateien werden gemäß den Richtlinien eingerichtet, dokumentiert, umgesetzt und ausgewertet.
  • Wechseldatenträger werden geschützt und ihre Nutzung entsprechend den Richtlinien eingeschränkt.
  • Der Zugang zu Systemen und Anlagen wird nach dem Prinzip der Mindestfunktionalität kontrolliert.
  • Kommunikations- und Kontrollnetzwerke sind geschützt.

Erkennen Sie

Anomalien und Ereignisse

Anomalien werden rechtzeitig erkannt und die potenziellen Auswirkungen von Ereignissen werden verstanden.

  • Es wird ein Grundstock an Netzwerkaktivitäten und erwarteten Datenflüssen für Benutzer und Systeme erstellt und verwaltet.
  • Erkannte Ereignisse werden analysiert, um Angriffsziele und -methoden zu verstehen.
  • Ereignisdaten werden von mehreren Quellen und Sensoren gesammelt und korreliert.
  • Die Auswirkungen von Ereignissen werden bewertet und Schwellenwerte für Vorfallswarnungen werden festgelegt.

Laufende Überwachung der Sicherheit

Das Informationssystem und die Anlagen werden regelmäßig überwacht, um Cybersicherheitsvorfälle zu erkennen und die Wirksamkeit der Schutzmaßnahmen zu überprüfen.

  • Das Netzwerk wird überwacht, um mögliche Cybersicherheitsvorfälle zu erkennen.
  • Die physische Umgebung wird überwacht, um mögliche Cybersicherheitsvorfälle zu erkennen.
  • Die Aktivitäten der Mitarbeiter werden überwacht, um mögliche Vorfälle im Bereich der Cybersicherheit zu erkennen.
  • Bösartiger Code wird erkannt.
  • Nicht autorisierter mobiler Code wird erkannt.
  • Aktivitäten von externen Dienstleistern werden überwacht, um mögliche Cybersicherheitsvorfälle zu erkennen.
  • Unbefugtes Personal, unbefugte Verbindungen, unbefugte Geräte und unbefugte Software werden überwacht.
  • Es werden Schwachstellenscans durchgeführt.

Erkennungsprozesse

Die Erkennungsprozesse und -verfahren werden beibehalten und getestet, um eine rechtzeitige und angemessene Erkennung anormaler Ereignisse zu gewährleisten.

Antworten Sie

Reaktionsplanung

Reaktionsprozesse und -verfahren werden eingeführt und aufrechterhalten, um eine schnelle Reaktion auf festgestellte Cybersicherheitsvorfälle zu gewährleisten.

  • Der Reaktionsplan wird während oder nach einem Ereignis aktiviert.

Kommunikation

Die Einsatzmaßnahmen werden mit internen und externen Akteuren koordiniert, einschließlich externer Unterstützung durch die Strafverfolgungsbehörden, falls erforderlich.

  • Die Mitarbeiter kennen ihre Rollen und die Abfolge der Maßnahmen während einer Reaktion.
  • Ereignisse werden gemäß den festgelegten Kriterien gemeldet.
  • Die Weitergabe von Informationen erfolgt gemäß den Einsatzplänen.
  • Die Koordinierung mit den Beteiligten erfolgt gemäß den Einsatzplänen.
  • Der freiwillige Informationsaustausch mit externen Akteuren fördert ein breiteres Situationsbewusstsein für Cybersicherheit.

Analyse

Es wird eine gründliche Analyse durchgeführt, um sicherzustellen, dass eine angemessene Reaktion erfolgt, und um Wiederherstellungsmaßnahmen zu unterstützen.

  • Untersuchung der Meldungen von Detektionssystemen: Alle Meldungen von Sicherheitserkennungssystemen werden sorgfältig untersucht, um die Art und Schwere des Vorfalls zu bestimmen.
  • Verstehen der Auswirkungen des Vorfalls: Die Folgen und das Ausmaß des Vorfalls werden vollständig verstanden, um die Auswirkungen auf die Organisation zu bewerten.
  • Forensische Untersuchung: Es wird eine gründliche forensische Untersuchung durchgeführt, um die Ursache, die Methoden und das Ausmaß des Vorfalls zu ermitteln.
  • Kategorisierung von Vorfällen gemäß Reaktionsplänen:
  • Die Vorfälle werden gemäß den zuvor erstellten Reaktionsplänen kategorisiert, um eine strukturierte und effiziente Reaktion zu gewährleisten.

Schadensbegrenzung

Es werden Maßnahmen ergriffen, um die weitere Ausbreitung eines Ereignisses zu verhindern, seine Auswirkungen zu minimieren und den Vorfall vollständig zu beseitigen.

  • Eingrenzung des Vorfalls: Es werden Maßnahmen ergriffen, um die Ausbreitung des Vorfalls sofort zu stoppen und weitere Schäden zu verhindern.
  • Minderung von Zwischenfällen: Es werden Maßnahmen ergriffen, um die Auswirkungen des Vorfalls und den dadurch verursachten Schaden zu verringern.
  • Management neuer Schwachstellen: Neu erkannte Schwachstellen werden beseitigt, indem sie abgeschwächt werden oder, falls erforderlich, als akzeptiertes Risiko dokumentiert werden.

Verbesserungen

Organisatorische Reaktionsmaßnahmen werden optimiert, indem aus aktuellen und früheren Aufdeckungs- und Reaktionserfahrungen gelernt wird.

  • Integration der gewonnenen Erkenntnisse in Reaktionspläne:
  • Reaktionspläne werden auf der Grundlage von Erkenntnissen und Erfahrungen aus früheren Vorfällen und Reaktionen angepasst und verbessert.
  • Aktualisierung der Reaktionsstrategien: Die Reaktionsstrategien werden aktualisiert, um auf der Grundlage der gewonnenen Erkenntnisse effektiver und effizienter auf künftige Vorfälle reagieren zu können.

Wiederherstellen

Wiederherstellungsplanung

Wiederherstellungsprozesse und -verfahren werden eingeführt und aufrechterhalten, um eine rechtzeitige Wiederherstellung der von Cybersicherheitsvorfällen betroffenen Systeme oder Anlagen zu gewährleisten.

  • Umsetzung des Wiederherstellungsplans: Der Wiederherstellungsplan wird während oder unmittelbar nach einem Vorfall umgesetzt, um den normalen Betrieb so schnell wie möglich wieder aufzunehmen.

Verbesserungen

Die Wiederherstellungsplanung und -prozesse werden optimiert, indem die gewonnenen Erkenntnisse in künftige Aktivitäten einbezogen werden.

  • Einbeziehung von Erkenntnissen in die Wiederherstellungspläne:
  • Die Sanierungspläne werden auf der Grundlage der Erkenntnisse und Erfahrungen aus früheren Sanierungsmaßnahmen angepasst und verbessert.
  • Aktualisierung der Wiederherstellungsstrategien: Die Wiederherstellungsstrategien werden aktualisiert, um eine effektivere und effizientere Wiederherstellung bei künftigen Vorfällen zu gewährleisten.

Kommunikation

Die Wiederherstellungsmaßnahmen werden mit internen und externen Parteien koordiniert, einschließlich Koordinierungszentren, Internetdienstanbietern, Eigentümern der angegriffenen Systeme, Opfern, anderen CSIRTs und Anbietern.

  • Management der Öffentlichkeitsarbeit: Die Kommunikation mit der Außenwelt wird sorgfältig gesteuert, um den Ruf der Organisation zu schützen.
  • Wiederherstellung des Rufs nach einem Vorfall: Es werden aktive Maßnahmen ergriffen, um das Vertrauen und den Ruf der Organisation nach einem Sicherheitsvorfall wiederherzustellen.
  • Kommunikation der Wiederherstellungsaktivitäten: Informationen über die Wiederherstellungsaktivitäten werden an interne Interessengruppen, einschließlich der Geschäftsleitung und des Managements, weitergegeben, um sie über Fortschritte und Ergebnisse auf dem Laufenden zu halten.

Möchten Sie mehr über das ISMS-Managementsystem erfahren?

Klicken Sie hier für weitere Informationen!

Wir nehmen gerne Kontakt mit Ihnen auf.

Mailen Sie an: sales@irm360.nl oder füllen Sie das Kontaktformular aus.