Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

Pristup kibernetičke sigurnosti sastoji se od pet komponenti:

- Identificirati
- Štititi
- Otkriti
- Odgovoriti
- Oporaviti se

Identificirati

Upravljanje sredstvima

Svi elementi koji pomažu organizaciji u postizanju njezinih poslovnih ciljeva, poput podataka, osoblja, opreme, sustava i objekata, identificirani su i njima se upravlja. To se radi na temelju njihove relativne važnosti za poslovne ciljeve organizacije i strategiju rizika.

  • Fizički uređaji i sustavi unutar organizacije popisani su.
  • Softverske platforme i aplikacije unutar organizacije su popisane.
  • Komunikacijski i podatkovni tokovi unutar organizacije su mapirani.
  • Vanjski informacijski sustavi su katalogizirani.
  • Resursi poput hardvera, uređaja, podataka i softvera prioritetizirani su prema njihovoj klasifikaciji i poslovnoj vrijednosti.
  • Uloge i odgovornosti za kibernetičku sigurnost za sve zaposlenike i vanjske dionike, poput dobavljača, kupaca i partnera, su uspostavljene.

Poslovno okruženje

Misija, ciljevi, dionici i aktivnosti organizacije jasno su razumljivi i prioritetizirani. Ove informacije koriste se za donošenje informiranih odluka u vezi s ulogama, odgovornostima i upravljanjem rizicima u kibernetičkoj sigurnosti.

  • Uloga organizacije u opskrbnom lancu je identificirana i komunicirana.
  • Položaj organizacije unutar kritične infrastrukture i poslovnog sektora je identificiran i podijeljen.
  • Prioriteti vezani uz misiju, ciljeve i aktivnosti organizacije su identificirani i komunicirani.
  • Ovisnosti i kritične funkcije za pružanje ključnih usluga su identificirane.
  • Zahtjevi za otpornost radi podrške isporuci kritičnih usluga su identificirani.

Upravljanje

Organizacija razumije i upravlja svojim politikama, postupcima i procesima za usklađivanje i nadzor regulatornih, pravnih, rizičnih, ekoloških i operativnih zahtjeva. Ovi elementi čine osnovu za upravljanje rizicima kibernetičke sigurnosti.

  • Politika informacijske sigurnosti organizacije je uspostavljena.
  • Uloge i odgovornosti za informacijsku sigurnost koordinirane su i usklađene s internim funkcijama i vanjskim partnerima.
  • Organizacija razumije i postupa prema zakonskim i regulatornim zahtjevima za kibernetičku sigurnost, uključujući obveze vezane uz privatnost i građanske slobode.
  • Procesi upravljanja i upravljanja rizicima posebno su usmjereni na upravljanje rizicima kibernetičke sigurnosti.

Procjena rizika

Organizacija razumije rizike kibernetičke sigurnosti koji mogu utjecati na njezine operacije (uključujući misiju, funkcije, imidž ili reputaciju), imovinu i ljude.

  • Ranljivosti sredstava su identificirane i dokumentirane.
  • Informacije o prijetnjama i ranjivostima dobivaju se iz foruma za razmjenu informacija i izvora.
  • Prijetnje, kako interne tako i eksterne, identificirane su i dokumentirane.
  • Potencijalni poslovni utjecaj i vjerojatnost su identificirani.
  • Prijetnje, ranjivosti, vjerojatnosti i utjecaji koriste se za procjenu rizika.
  • Mjere za upravljanje rizikom su identificirane i prioritetizirane.

Strategija upravljanja rizicima

Organizacija uspostavlja svoje prioritete, ograničenja, toleranciju rizika i pretpostavke kako bi podržala odluke o operativnim rizicima.

  • Procesi upravljanja rizicima uspostavljeni su, njima se upravlja i odobreni su od strane dionika unutar organizacije.
  • Tolerancija rizika organizacije je određena i jasno izražena.
  • Organizacija određuje svoju toleranciju rizika na temelju svoje uloge unutar kritične infrastrukture i sektorski specifične analize rizika.

Štititi

Kontrola pristupa

Pristup sredstvima i povezanim objektima je ograničen na ovlaštene korisnike, procese ili uređaje, i samo na ovlaštene aktivnosti i transakcije.

  • Identiteti i vjerodajnice upravljaju se za ovlaštene uređaje i korisnike.
  • Fizički pristup sredstvima upravlja se i štiti.
  • Udaljeni pristup se upravlja.
  • Prava pristupa upravljaju se prema načelima minimalnih privilegija i odvajanja dužnosti.
  • Integritet mreže je zaštićen, uključujući segregaciju mreže gdje je to potrebno.

Svijest

Osoblje i partneri organizacije informirani su i obučeni o kibernetičkoj sigurnosti kako bi mogli obavljati svoje dužnosti i odgovornosti u vezi s informacijskom sigurnošću u skladu s primjenjivim politikama, postupcima i ugovorima.

  • Svi korisnici su dobro informirani i primili su odgovarajuću obuku.
  • Ovlašteni korisnici jasno razumiju svoje uloge i odgovornosti.
  • Vanjski dionici, poput dobavljača, kupaca i partnera, svjesni su svojih uloga i odgovornosti.
  • Viši menadžeri razumiju svoje uloge i odgovornosti.
  • Zaposlenici odgovorni za fizičku i informacijsku sigurnost poznaju svoje uloge i odgovornosti.

Sigurnost podataka

Informacije i podaci upravljaju se prema strategiji rizika organizacije kako bi se osigurala povjerljivost, integritet i dostupnost.

  • Podaci u mirovanju su zaštićeni.
  • Podaci u prijenosu su zaštićeni.
  • Sredstva se formalno upravljaju tijekom zbrinjavanja, prijenosa i raspolaganja.
  • Održava se dovoljna kapacitet za osiguranje dostupnosti.
  • Poduzimaju se mjere za sprečavanje curenja podataka.
  • Mehanizmi kontrole integriteta primjenjuju se za provjeru integriteta softvera, firmvera i informacija.
  • Razvojna i testna okruženja su odvojena od produkcijskog okruženja.

Procesi i postupci informacijske sigurnosti

Sigurnosne politike, procesi i postupci održavaju se i primjenjuju kako bi se učinkovito upravljalo zaštitom informacijskih sustava i sredstava. To uključuje smjernice o svrsi, opsegu, ulogama, odgovornostima, uključivanju uprave i koordinaciji između organizacijskih jedinica.

  • Osnovna konfiguracija za informatičke i industrijske kontrolne sustave uspostavljena je i održavana.
  • Kružni ciklus razvoja sustava za upravljanje sustavima je implementiran.
  • Promjene konfiguracije kontrolirane su kroz procese.
  • Izrade, održavaju se i periodički testiraju sigurnosne kopije informacija.
  • Politike i propisi za fizičko operativno okruženje organizacije se poštuju.
  • Podaci se uništavaju u skladu s politikom.
  • Sigurnosni procesi se kontinuirano poboljšavaju.
  • Učinkovitost tehnologija zaštite dijeli se s odgovarajućim stranama.
  • Planovi odgovora (Plan odgovora na incidente i Plan kontinuiteta poslovanja) i planovi oporavka (Plan oporavka od incidenata i Plan oporavka od katastrofa) su uspostavljeni i upravljani.
  • Planovi odgovora i oporavka se testiraju.
  • Kibernetička sigurnost uključena je u politike ljudskih resursa, kao što je provjera zaposlenika.
  • Plan upravljanja ranjivostima je razvijen i implementiran.

Održavanje

Održavanje i popravci komponenti industrijskih kontrolnih i informacijskih sustava obavljaju se prema uspostavljenim politikama i postupcima.

  • Održavanje i popravak organizacijskih sredstava provode se i dokumentiraju na pravilan način, koristeći odobrena i kontrolirana sredstva.
  • Udaljeno održavanje operativnih sredstava odobreno je, zabilježeno i obavljeno na način koji sprječava neovlašteni pristup.

Zaštitna tehnologija

Tehnička sigurnosna rješenja upravljaju se kako bi se osigurala sigurnost i otpornost sustava i sredstava, u skladu s politikama, postupcima i ugovorima.

  • Revizijski i log datoteke uspostavljene su, dokumentirane, implementirane i evaluirane prema politici.
  • Uklonjiva medija su zaštićena i njihova uporaba je ograničena prema politici.
  • Pristup sustavima i sredstvima kontrolira se korištenjem načela minimalne funkcionalnosti.
  • Mreže za komunikaciju i kontrolu su zaštićene.

Otkriti

Anomalije i događaji

Anomalije se pravovremeno otkrivaju i potencijalni utjecaj događaja se razumije.

  • Osnovna razina mrežne aktivnosti i očekivani tokovi podataka za korisnike i sustave uspostavljeni su i upravljani.
  • Otkriveni događaji analizirani su kako bi se razumjeli ciljevi napada i metode.
  • Podaci o događajima prikupljaju se i koreliraju iz više izvora i senzora.
  • Utjecaj događaja procjenjuje se i pragovi za obavijesti o incidentima postavljeni su.

Kontinuirano praćenje sigurnosti

Informacijski sustav i sredstva nadziru se periodički kako bi se identificirali događaji kibernetičke sigurnosti i provjerila učinkovitost mjera zaštite.

  • Mreža se nadzire kako bi se otkrili mogući događaji kibernetičke sigurnosti.
  • Fizičko okruženje se nadzire kako bi se otkrili mogući događaji kibernetičke sigurnosti.
  • Aktivnosti osoblja se nadziru kako bi se otkrili mogući događaji kibernetičke sigurnosti.
  • Zlonamjerni kod se otkriva.
  • Neovlašteni mobilni kod se otkriva.
  • Aktivnosti vanjskih pružatelja usluga se nadziru kako bi se otkrili mogući događaji kibernetičke sigurnosti.
  • Neovlašteno osoblje, neovlaštene veze, neovlašteni uređaji i neovlašteni softver se nadziru.
  • Skeneri ranjivosti se koriste za obavljanje skeniranja.

Procesi otkrivanja

Procesi i postupci otkrivanja održavaju se i testiraju kako bi se osigurala pravovremena i adekvatna svjesnost o anomalnim događajima.

Odgovoriti

Planiranje odgovora

Procesi i postupci odgovora implementirani su i održavani kako bi se osigurala brza reakcija na otkrivene događaje kibernetičke sigurnosti.

Plan odgovora aktivira se tijekom ili nakon događaja.

Komunikacija

Aktivnosti odgovora koordiniraju se s unutarnjim i vanjskim dionicima, uključujući vanjsku podršku od strane agencija za provođenje zakona, ako je potrebno.

  • Osoblje poznaje svoje uloge i redoslijed operacija tijekom odgovora.
  • Događaji se prijavljuju prema uspostavljenim kriterijima.
  • Informacije se dijele u skladu s planovima odgovora.
  • Koordinacija s dionicima provodi se prema planovima odgovora.
  • Dobrovoljna razmjena informacija s vanjskim dionicima potiče širu situacijsku svjesnost o kibernetičkoj sigurnosti.

Analiza

Provodi se temeljita analiza kako bi se osiguralo da slijedi odgovarajući odgovor i podržale aktivnosti oporavka.

  • Istraživanje izvještaja iz sustava otkrivanja: Svi izvještaji iz sustava za otkrivanje sigurnosnih prijetnji pažljivo se istražuju kako bi se utvrdila priroda i ozbiljnost incidenta.
  • Razumijevanje utjecaja incidenta: Posljedice i opseg incidenta u potpunosti se razumiju kako bi se procijenio utjecaj na organizaciju.
  • Forenzička istraga: Provedena je temeljita forenzička istraga kako bi se utvrdili uzroci, metode i opseg incidenta.
  • Kategorizacija incidenata prema planovima odgovora: Incidente se kategoriziraju prema prethodno uspostavljenim planovima odgovora kako bi se osigurao strukturiran i učinkovit odgovor.

Ublažavanje

Poduzimaju se mjere kako bi se spriječilo daljnje širenje događaja, smanjio njegov utjecaj i potpuno eliminirao incident.

  • Sadržavanje incidenta: Poduzimaju se radnje za odmah zaustavljanje širenja incidenta i sprječavanje daljnje štete.
  • Ublažavanje incidenata: Poduzimaju se mjere za smanjenje utjecaja i štete uzrokovane incidentom.
  • Upravljanje novim ranjivostima: Novootkrivene ranjivosti rješavaju se njihovim ublažavanjem ili, ako je potrebno, dokumentiranjem kao prihvaćeni rizik.

Poboljšanja

Organizacijske aktivnosti odgovora optimiziraju se učenjem iz trenutnih i prethodnih iskustava u otkrivanju i odgovoru.

  • Integracija naučenih lekcija u planove odgovora: Planovi odgovora prilagođavaju se i poboljšavaju na temelju uvida i lekcija naučenih iz prethodnih incidenata i odgovora.
  • Ažuriranje strategija odgovora: Strategije odgovora na incidente ažuriraju se kako bi se učinkovitije i efikasnije odgovorilo na buduće incidente na temelju naučenih lekcija.

Vratiti

Planiranje oporavka

Procesi i postupci oporavka implementirani su i održavani kako bi se osigurao pravovremen oporavak sustava ili sredstava pogođenih incidentima kibernetičke sigurnosti.

  • Implementacija plana oporavka: Plan oporavka se primjenjuje tijekom ili odmah nakon incidenta kako bi se normalne operacije nastavile što je prije moguće.

Poboljšanja

Planiranje i procesi oporavka optimizirani su uključivanjem naučenih lekcija u buduće aktivnosti.

  • Uključivanje naučenih lekcija u planove oporavka: Planovi oporavka prilagođavaju se i poboljšavaju na temelju uvida i iskustava iz prethodnih aktivnosti oporavka.
  • Ažuriranje strategija oporavka: Strategije oporavka ažuriraju se kako bi se osigurao učinkovitiji i efikasniji oporavak u budućim incidentima.

Komunikacija

Aktivnosti oporavka koordiniraju se s unutarnjim i vanjskim stranama, uključujući koordinacijske centre, davatelje internetskih usluga, vlasnike napadačkih sustava, žrtve, druge CSIRT-ove i dobavljače.

  • Upravljanje odnosima s javnošću: Komunikacija s vanjskim svijetom pažljivo se upravlja kako bi se zaštitila reputacija organizacije.
  • Obnavljanje reputacije nakon incidenta: Poduzimaju se aktivne mjere za vraćanje povjerenja i reputacije organizacije nakon sigurnosnog incidenta.
  • Komunikacija aktivnosti oporavka: Informacije o aktivnostima oporavka dijele se s unutarnjim dionicima, uključujući izvršne i upravljačke timove, kako bi ih se obavijestilo o napretku i rezultatima.

Želite li saznati više o našem sustavu upravljanja ISMS-om?

Kliknite ovdje za više informacija
Volimo stupiti u kontakt

Pošaljite e-mail na: sales@irm360.nl ili ispunite obrazac za kontakt.