Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

Cybersecuritys tilgang består af fem komponenter:

- Identificer
- Beskytte
- Opdage
- Reagere
- Genoprette

Identificer

Ledelse af aktiver

Alle elementer, der hjælper organisationen med at nå sine forretningsmæssige mål, såsom data, personale, udstyr, systemer og faciliteter, identificeres og styres. Det sker på baggrund af deres relative betydning for organisationens forretningsmæssige mål og risikostrategi.

  • Fysiske enheder og systemer i organisationen opgøres.
  • Softwareplatforme og applikationer i organisationen opgøres.
  • Kommunikations- og datastrømme inden for organisationen kortlægges.
  • Eksterne informationssystemer katalogiseres.
  • Ressourcer som hardware, enheder, data og software prioriteres i henhold til deres klassificering og forretningsværdi.
  • Cybersikkerhedsroller og -ansvar for alle medarbejdere og eksterne interessenter, som f.eks. leverandører, kunder og partnere, er etableret.

Forretningsmiljø

Organisationens mission, mål, interessenter og aktiviteter er klart forstået og prioriteret. Disse oplysninger bruges til at træffe informerede beslutninger om cybersikkerhedsroller, ansvar og risikostyring.

  • Organisationens rolle i forsyningskæden er identificeret og kommunikeret.
  • Organisationens position inden for den kritiske infrastruktur og erhvervssektor er identificeret og delt.
  • Prioriteter vedrørende organisationens mission, mål og aktiviteter er identificeret og kommunikeret.
  • Afhængigheder og kritiske funktioner for levering af essentielle tjenester identificeres.
  • Krav til robusthed for at understøtte leveringen af kritiske tjenester er identificeret.

Ledelse

Organisationen forstår og styrer sine politikker, procedurer og processer for at overholde og føre tilsyn med lovgivningsmæssige, juridiske, risikomæssige, miljømæssige og operationelle krav. Disse elementer udgør grundlaget for risikostyring af cybersikkerhed.

  • Organisationens informationssikkerhedspolitik er fastlagt.
  • Informationssikkerhedsroller og -ansvar er koordineret og afstemt med interne funktioner og eksterne partnere.
  • Organisationen forstår og handler på baggrund af juridiske og lovgivningsmæssige krav til cybersikkerhed, herunder forpligtelser vedrørende privatlivets fred og borgerlige frihedsrettigheder.
  • Styrings- og risikostyringsprocesser er specifikt fokuseret på styring af cybersikkerhedsrisici.

Risikovurdering

Organisationen forstår de cybersikkerhedsrisici, der kan påvirke dens operationer (herunder mission, funktioner, image eller omdømme), aktiver og mennesker.

  • Aktivernes sårbarheder identificeres og dokumenteres.
  • Oplysninger om trusler og sårbarheder indhentes fra fora og kilder til informationsdeling.
  • Trusler, både interne og eksterne, identificeres og dokumenteres.
  • Potentiel forretningspåvirkning og sandsynlighed identificeres.
  • Trusler, sårbarheder, sandsynligheder og konsekvenser bruges til at vurdere risikoen.
  • Risikoforanstaltninger identificeres og prioriteres.

Strategi for risikostyring

Organisationen fastlægger sine prioriteter, begrænsninger, risikotolerancer og antagelser for at understøtte beslutninger om operationelle risici.

  • Risikostyringsprocesser etableres, styres og godkendes af interessenter i organisationen.
  • Organisationens risikotolerance er fastlagt og klart formuleret.
  • Organisationen fastlægger sin risikotolerance ud fra sin rolle i den kritiske infrastruktur og den sektorspecifikke risikoanalyse.

Beskyt

Adgangskontrol

Adgang til aktiver og tilhørende faciliteter er begrænset til autoriserede brugere, processer eller enheder og kun til autoriserede aktiviteter og transaktioner.

  • Identiteter og legitimationsoplysninger administreres for autoriserede enheder og brugere.
  • Fysisk adgang til aktiver administreres og beskyttes.
  • Fjernadgang administreres.
  • Adgangsrettigheder administreres i henhold til principperne om mindste privilegium og adskillelse af opgaver.
  • Netværksintegriteten er beskyttet, herunder netværksadskillelse, hvor det er nødvendigt.

Bevidsthed

Organisationens medarbejdere og partnere er informeret og uddannet i cybersikkerhed, så de kan udføre deres opgaver og ansvarsområder inden for informationssikkerhed i henhold til gældende politikker, procedurer og aftaler.

  • Alle brugere er velinformerede og har modtaget passende træning.
  • Autoriserede brugere har en klar forståelse af deres roller og ansvar.
  • Eksterne interessenter, som f.eks. leverandører, kunder og partnere, er klar over deres roller og ansvar.
  • Topledere har en forståelse af deres roller og ansvar.
  • Medarbejdere med ansvar for fysisk sikkerhed og informationssikkerhed kender deres roller og ansvarsområder.

Datasikkerhed

Information og data håndteres i henhold til organisationens risikostrategi for at sikre fortrolighed, integritet og tilgængelighed.

  • Data i hvile er beskyttet.
  • Data i transit er beskyttet.
  • Aktiver administreres formelt under bortskaffelse, overførsel og frasalg.
  • Tilstrækkelig kapacitet opretholdes for at sikre tilgængelighed.
  • Der træffes foranstaltninger for at forhindre brud på datasikkerheden.
  • Der anvendes integritetskontrolmekanismer til at verificere integriteten af software, firmware og information.
  • Udviklings- og testmiljøer er adskilt fra produktionsmiljøet.

Processer og procedurer for informationssikkerhed.

Sikkerhedspolitikker, -processer og -procedurer vedligeholdes og anvendes til effektivt at styre beskyttelsen af informationssystemer og -aktiver. Dette omfatter retningslinjer for formål, omfang, roller, ansvar, ledelsesinvolvering og koordinering mellem organisatoriske enheder.

  • En grundlæggende konfiguration for informationsteknologi og industrielle kontrolsystemer er etableret og vedligeholdt.
  • En systemudviklingscyklus til styring af systemer er implementeret.
  • Konfigurationsændringer kontrolleres gennem processer.
  • Sikkerhedskopier af information oprettes, vedligeholdes og testes med jævne mellemrum.
  • Politikker og regler for organisationens fysiske driftsmiljø overholdes.
  • Data destrueres i henhold til politikken.
  • Sikkerhedsprocesser forbedres løbende.
  • Effektiviteten af beskyttelsesteknologier deles med relevante parter.
  • Beredskabsplaner (Incident Response og Business Continuity) og genopretningsplaner (Incident
  • Recovery og Disaster Recovery) er på plads og administreres.
  • Reaktions- og genoprettelsesplaner testes.
  • Cybersikkerhed er inkluderet i personalepolitikken, f.eks. screening af medarbejdere.
  • En plan for sårbarhedsstyring er udviklet og implementeret.

Vedligeholdelse

Vedligeholdelse og reparationer af industrielle kontrol- og informationssystemkomponenter udføres i henhold til etablerede politikker og procedurer.

  • Vedligeholdelse og reparation af organisatoriske aktiver udføres og dokumenteres rettidigt ved hjælp af godkendte og kontrollerede værktøjer.
  • Fjernvedligeholdelse af driftsaktiver godkendes, registreres og udføres på en måde, der forhindrer uautoriseret adgang.

Beskyttende teknologi

Tekniske sikkerhedsløsninger administreres for at sikre systemers og aktivers sikkerhed og modstandsdygtighed i overensstemmelse med politikker, procedurer og aftaler.

  • Audit- og logfiler etableres, dokumenteres, implementeres og evalueres i henhold til politikken.
  • Flytbare medier beskyttes, og brugen af dem begrænses i henhold til politikken.
  • Adgang til systemer og aktiver kontrolleres ved hjælp af princippet om minimumsfunktionalitet.
  • Kommunikations- og kontrolnetværk er beskyttet.

Opdag

Afvigelser og hændelser

Afvigelser opdages rettidigt, og den potentielle effekt af hændelser forstås.

  • En baseline for netværksaktivitet og forventede datastrømme for brugere og systemer etableres og styres.
  • Opdagede hændelser analyseres for at forstå angrebsmål og -metoder.
  • Hændelsesdata indsamles og korreleres fra flere kilder og sensorer.
  • Konsekvenserne af hændelser vurderes, og der fastsættes tærskler for hændelsesadvarsler.

Løbende sikkerhedsovervågning

Informationssystemet og aktiverne overvåges med jævne mellemrum for at identificere cybersikkerhedshændelser og kontrollere effektiviteten af beskyttelsesforanstaltningerne.

  • Netværket overvåges for at opdage mulige cybersikkerhedshændelser.
  • Det fysiske miljø overvåges for at opdage mulige cybersikkerhedshændelser.
  • Personalets aktiviteter overvåges for at opdage mulige cybersikkerhedshændelser.
  • Ondsindet kode opdages.
  • Uautoriseret mobilkode opdages.
  • Eksterne tjenesteudbyderes aktiviteter overvåges for at opdage mulige cybersikkerhedshændelser.
  • Uautoriseret personale, uautoriserede forbindelser, uautoriserede enheder og uautoriseret software overvåges.
  • Sårbarhedsscanninger udføres.

Processer for opdagelse

Opdagelsesprocesser og -procedurer vedligeholdes og testes for at sikre rettidig og tilstrækkelig opmærksomhed på unormale hændelser.

Svar på spørgsmål

Planlægning af respons

Beredskabsprocesser og -procedurer implementeres og vedligeholdes for at sikre hurtig reaktion på opdagede cybersikkerhedshændelser.

  • Beredskabsplanen aktiveres under eller efter en hændelse.

Kommunikation

Indsatsaktiviteter koordineres med interne og eksterne interessenter, herunder ekstern støtte fra retshåndhævende myndigheder efter behov.

  • Personalet kender deres roller og rækkefølgen af operationer under en indsats.
  • Hændelser rapporteres i henhold til etablerede kriterier.
  • Information deles i henhold til beredskabsplaner.
  • Koordinering med interessenter sker i henhold til beredskabsplanerne.
  • Frivillig informationsdeling med eksterne interessenter fremmer en bredere situationsbevidsthed om cybersikkerhed.

Analyse

Der udføres en grundig analyse for at sikre, at en passende reaktion følger, og for at støtte genopretningsaktiviteter.

  • Undersøgelse af rapporter fra detektionssystemer: Alle rapporter fra sikkerhedsdetekteringssystemer undersøges omhyggeligt for at bestemme hændelsens art og alvor.
  • Forståelse af hændelsens konsekvenser: Konsekvenserne og omfanget af hændelsen forstås fuldt ud for at evaluere indvirkningen på organisationen.
  • Kriminalteknisk undersøgelse: Der gennemføres en grundig retsmedicinsk undersøgelse for at fastslå årsagen, metoderne og omfanget af hændelsen.
  • Kategorisering af hændelser i henhold til responsplaner:
  • Hændelser kategoriseres i henhold til forudbestemte responsplaner for at sikre en struktureret og effektiv respons.

Afhjælpning

Der træffes foranstaltninger for at forhindre yderligere spredning af en hændelse, minimere dens indvirkning og eliminere hændelsen helt.

  • Inddæmning af hændelsen: Der træffes foranstaltninger for straks at stoppe spredningen af hændelsen og forhindre yderligere skade.
  • Afbødning af hændelser: Der tages skridt til at reducere konsekvenserne og skaden forårsaget af hændelsen.
  • Håndtering af nye sårbarheder: Nyligt identificerede sårbarheder håndteres ved at afbøde dem eller om nødvendigt dokumentere dem som en accepteret risiko.

Forbedringer

Organisatoriske responsaktiviteter optimeres ved at lære af nuværende og tidligere erfaringer med detektion og respons.

  • Integration af erfaringer i beredskabsplaner:
  • Indsatsplaner tilpasses og forbedres på baggrund af indsigt og erfaringer fra tidligere hændelser og indsatser.
  • Opdatering af beredskabsstrategier: Indsatsstrategier for hændelser opdateres for at reagere mere effektivt på fremtidige hændelser baseret på indhøstede erfaringer.

Gendan

Planlægning af genoprettelse

Genoprettelsesprocesser og -procedurer implementeres og vedligeholdes for at sikre rettidig genoprettelse af systemer eller aktiver, der er berørt af cybersikkerhedshændelser.

  • Implementering af genopretningsplan: Genopretningsplanen implementeres under eller umiddelbart efter en hændelse for at genoptage normal drift så hurtigt som muligt.

Forbedringer

Genopretningsplanlægning og -processer optimeres ved at indarbejde erfaringer i fremtidige aktiviteter.

  • Indarbejdelse af erfaringer i genopretningsplaner:
  • Genopretningsplaner tilpasses og forbedres på baggrund af indsigt og erfaringer fra tidligere genopretningsaktiviteter.
  • Opdatering af genopretningsstrategier: Genopretningsstrategier opdateres for at sikre en mere effektiv genopretning ved fremtidige hændelser.

Kommunikation

Genopretningsaktiviteter koordineres med interne og eksterne parter, herunder koordinationscentre, internetudbydere, ejere af angribende systemer, ofre, andre CSIRT'er og leverandører.

  • Public relations management: Kommunikationen med omverdenen styres omhyggeligt for at beskytte organisationens omdømme.
  • Genoprettelse af omdømme efter en hændelse: Der træffes aktive foranstaltninger for at genoprette organisationens tillid og omdømme efter en sikkerhedshændelse.
  • Kommunikation af genopretningsaktiviteter: Oplysninger om genopretningsaktiviteter deles med interne interessenter, herunder direktion og ledelsesteam, for at holde dem orienteret om fremskridt og resultater.

Vil du vide mere om vores ISMS-ledelsessystem?

Klik her for mere information

Vi vil gerne i kontakt med dig

Send en mail til: sales@irm360.nl eller udfyld kontaktformularen.