Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

L'approccio della Cybersecurity consiste in cinque componenti:

- Identificare
- Proteggere
- Rilevare
- Rispondere
- Recuperare

Identificare

Gestione delle risorse

Tutti gli elementi che aiutano l'organizzazione a raggiungere i propri obiettivi di business, come dati, personale, attrezzature, sistemi e strutture, vengono identificati e gestiti. Ciò avviene in base alla loro importanza relativa per gli obiettivi aziendali e la strategia di rischio dell'organizzazione.

  • I dispositivi e i sistemi fisici dell'organizzazione vengono inventariati.
  • Vengono inventariate le piattaforme e le applicazioni software all'interno dell'organizzazione.
  • Vengono mappati i flussi di comunicazione e di dati all'interno dell'organizzazione.
  • Vengono catalogati i sistemi informativi esterni.
  • Le risorse come hardware, dispositivi, dati e software vengono classificate in base alla loro classificazione e al loro valore aziendale.
  • Vengono stabiliti i ruoli e le responsabilità in materia di cybersecurity per tutto il personale e gli stakeholder esterni, come fornitori, clienti e partner.

Ambiente aziendale

La missione, gli obiettivi, gli stakeholder e le attività dell'organizzazione sono chiaramente compresi e prioritari. Queste informazioni vengono utilizzate per prendere decisioni informate sui ruoli, le responsabilità e la gestione del rischio in materia di cybersecurity.

  • Il ruolo dell'organizzazione nella catena di fornitura è identificato e comunicato.
  • La posizione dell'organizzazione all'interno dell'infrastruttura critica e del settore commerciale è identificata e condivisa.
  • Le priorità relative alla missione, agli obiettivi e alle attività dell'organizzazione sono identificate e comunicate.
  • Vengono identificate le dipendenze e le funzioni critiche per la fornitura di servizi essenziali.
  • Vengono identificati i requisiti di resilienza per supportare l'erogazione dei servizi critici.

La governance

L'organizzazione comprende e gestisce le proprie politiche, procedure e processi per la conformità e la supervisione dei requisiti normativi, legali, di rischio, ambientali e operativi. Questi elementi costituiscono la base per la gestione del rischio di sicurezza informatica.

  • Viene stabilita la politica di sicurezza delle informazioni dell'organizzazione.
  • I ruoli e le responsabilità in materia di sicurezza delle informazioni sono coordinati e allineati con le funzioni interne e i partner esterni.
  • L'organizzazione comprende e agisce in base ai requisiti legali e normativi per la sicurezza informatica, compresi gli obblighi in materia di privacy e libertà civili.
  • I processi di governance e di gestione del rischio sono specificamente incentrati sulla gestione dei rischi di sicurezza informatica.

Valutazione del rischio

L'organizzazione comprende i rischi per la sicurezza informatica che possono influire sulle sue operazioni (comprese missione, funzioni, immagine o reputazione), sugli asset e sulle persone.

  • Le vulnerabilità degli asset sono identificate e documentate.
  • Le informazioni sulle minacce e sulle vulnerabilità sono ottenute da fonti e forum di condivisione delle informazioni.
  • Le minacce, sia interne che esterne, vengono identificate e documentate.
  • Vengono identificati l'impatto potenziale sul business e la probabilità.
  • Minacce, vulnerabilità, probabilità e impatto vengono utilizzati per valutare il rischio.
  • Le misure di rischio vengono identificate e classificate come prioritarie.

Strategia di gestione del rischio

L'organizzazione stabilisce le priorità, i vincoli, le tolleranze di rischio e le ipotesi a supporto delle decisioni sui rischi operativi.

  • I processi di gestione del rischio sono stabiliti, gestiti e approvati dalle parti interessate all'interno dell'organizzazione.
  • La tolleranza al rischio dell'organizzazione è determinata e chiaramente articolata.
  • L'organizzazione determina la propria tolleranza al rischio in base al proprio ruolo all'interno dell'infrastruttura critica e all'analisi del rischio specifico del settore.

Proteggere

Controllo degli accessi

L'accesso agli asset e alle strutture associate è limitato agli utenti, ai processi o ai dispositivi autorizzati e solo alle attività e alle transazioni autorizzate.

  • Le identità e le credenziali sono gestite per i dispositivi e gli utenti autorizzati.
  • L'accesso fisico agli asset è gestito e protetto.
  • L'accesso remoto è gestito.
  • I diritti di accesso sono gestiti secondo i principi del minor privilegio e della segregazione dei compiti.
  • L'integrità della rete è protetta, compresa la segregazione della rete, ove necessario.

Consapevolezza

Il personale e i partner dell'organizzazione sono informati e formati sulla cybersecurity, in modo da poter svolgere i propri compiti e responsabilità in materia di sicurezza delle informazioni secondo le politiche, le procedure e gli accordi applicabili.

  • Tutti gli utenti sono ben informati e hanno ricevuto una formazione adeguata.
  • Gli utenti autorizzati hanno una chiara comprensione dei loro ruoli e responsabilità.
  • Gli stakeholder esterni, come fornitori, clienti e partner, sono consapevoli dei loro ruoli e responsabilità.
  • Gli alti dirigenti comprendono i loro ruoli e le loro responsabilità.
  • I dipendenti responsabili della sicurezza fisica e delle informazioni conoscono i loro ruoli e le loro responsabilità.

Sicurezza dei dati

Le informazioni e i dati sono gestiti in base alla strategia di rischio dell'organizzazione per garantire riservatezza, integrità e disponibilità.

  • I dati a riposo sono protetti.
  • I dati in transito sono protetti.
  • Le risorse sono gestite formalmente durante la dismissione, il trasferimento e la cessione.
  • Viene mantenuta una capacità sufficiente per garantire la disponibilità.
  • Vengono adottate misure per prevenire le violazioni dei dati.
  • Vengono applicati meccanismi di controllo dell'integrità per verificare l'integrità di software, firmware e informazioni.
  • Gli ambienti di sviluppo e di test sono separati dall'ambiente di produzione.

Processo e procedure di sicurezza delle informazioni.

Le politiche, i processi e le procedure di sicurezza vengono mantenuti e applicati per gestire efficacemente la protezione dei sistemi e delle risorse informatiche. Ciò include linee guida su finalità, ambito di applicazione, ruoli, responsabilità, coinvolgimento del management e coordinamento tra le unità organizzative.

  • Viene stabilita e mantenuta una configurazione di base per i sistemi informatici e di controllo industriale.
  • Viene implementato un ciclo di sviluppo del sistema per la gestione dei sistemi.
  • Le modifiche alla configurazione sono controllate attraverso processi.
  • Vengono creati, mantenuti e testati periodicamente i backup delle informazioni.
  • Vengono rispettate le politiche e le normative per l'ambiente operativo fisico dell'organizzazione.
  • I dati vengono distrutti secondo la politica.
  • I processi di sicurezza vengono continuamente migliorati.
  • L'efficacia delle tecnologie di protezione viene condivisa con le parti interessate.
  • I piani di risposta (Incident Response e Business Continuity) e di ripristino (Incident Recovery e Disaster Recovery) sono in vigore.
  • Recovery e Disaster Recovery) sono stati predisposti e gestiti.
  • I piani di risposta e di ripristino sono testati.
  • La sicurezza informatica è inclusa nelle politiche per le risorse umane, come lo screening del personale.
  • Viene sviluppato e implementato un piano di gestione delle vulnerabilità.

Manutenzione

La manutenzione e la riparazione dei componenti del sistema di controllo industriale e del sistema informativo vengono eseguite secondo le politiche e le procedure stabilite.

  • La manutenzione e la riparazione delle risorse organizzative vengono eseguite e documentate in modo tempestivo, utilizzando strumenti approvati e controllati.
  • La manutenzione remota degli asset operativi è approvata, registrata ed eseguita in modo da impedire l'accesso non autorizzato.

Tecnologia di protezione

Le soluzioni tecniche di sicurezza sono gestite per garantire la sicurezza e la resilienza dei sistemi e degli asset, in linea con le politiche, le procedure e gli accordi.

  • I file di audit e di log sono stabiliti, documentati, implementati e valutati in base alle politiche.
  • I supporti rimovibili sono protetti e il loro uso è limitato in base alle politiche.
  • L'accesso ai sistemi e agli asset è controllato secondo il principio della funzionalità minima.
  • Le reti di comunicazione e controllo sono protette.

Rilevare

Anomalie ed eventi

Le anomalie vengono rilevate tempestivamente e l'impatto potenziale degli eventi viene compreso.

  • Viene stabilita e gestita una linea di base dell'attività di rete e dei flussi di dati previsti per utenti e sistemi.
  • Gli eventi rilevati vengono analizzati per comprendere gli obiettivi e i metodi di attacco.
  • I dati degli eventi vengono raccolti e correlati da più fonti e sensori.
  • Si valuta l'impatto degli eventi e si stabiliscono le soglie per gli avvisi di incidente.

Monitoraggio continuo della sicurezza

Il sistema informativo e gli asset sono monitorati periodicamente per identificare eventi di sicurezza informatica e verificare l'efficacia delle misure di protezione.

  • La rete viene monitorata per individuare possibili eventi di sicurezza informatica.
  • L'ambiente fisico viene monitorato per individuare possibili eventi di sicurezza informatica.
  • Le attività del personale sono monitorate per individuare possibili eventi di sicurezza informatica.
  • Viene rilevato il codice dannoso.
  • Rilevamento del codice mobile non autorizzato.
  • Le attività dei fornitori di servizi esterni sono monitorate per rilevare possibili eventi di sicurezza informatica.
  • Vengono monitorati il personale non autorizzato, le connessioni non autorizzate, i dispositivi non autorizzati e il software non autorizzato.
  • Vengono eseguite scansioni delle vulnerabilità.

Processi di rilevamento

I processi e le procedure di rilevamento sono mantenuti e testati per garantire una consapevolezza tempestiva e adeguata degli eventi anomali.

Rispondere

Pianificazione della risposta

I processi e le procedure di risposta sono implementati e mantenuti per garantire una risposta rapida agli eventi di sicurezza informatica rilevati.

  • Il piano di risposta viene attivato durante o dopo un evento.

Comunicazione

Le attività di risposta sono coordinate con le parti interessate interne ed esterne, compreso il supporto esterno delle forze dell'ordine, se necessario.

  • Il personale conosce i propri ruoli e la sequenza delle operazioni durante una risposta.
  • Gli eventi vengono segnalati secondo i criteri stabiliti.
  • Le informazioni vengono condivise secondo i piani di risposta.
  • Il coordinamento con le parti interessate avviene secondo i piani di risposta.
  • La condivisione volontaria delle informazioni con le parti interessate esterne promuove una più ampia consapevolezza della situazione in materia di sicurezza informatica.

Analisi

Viene effettuata un'analisi approfondita per garantire una risposta adeguata e per supportare le attività di recupero.

  • Indagine sui rapporti dei sistemi di rilevamento: Tutte le segnalazioni provenienti dai sistemi di rilevamento della sicurezza vengono analizzate attentamente per determinare la natura e la gravità dell'incidente.
  • Comprensione dell'impatto dell'incidente: Le conseguenze e la portata dell'incidente sono pienamente comprese per valutare l'impatto sull'organizzazione.
  • Indagine forense: Viene condotta un'indagine forense approfondita per accertare le cause, le modalità e la portata dell'incidente.
  • Categorizzazione degli incidenti in base ai piani di risposta:
  • Gli incidenti vengono classificati in base a piani di risposta prestabiliti per garantire una risposta strutturata ed efficiente.

Mitigazione

Le misure adottate per prevenire l'ulteriore diffusione di un evento, minimizzarne l'impatto ed eliminare completamente l'incidente.

  • Contenimento dell'incidente: Vengono intraprese azioni per arrestare immediatamente la diffusione dell'incidente e prevenire ulteriori danni.
  • Mitigazione degli incidenti: Vengono intraprese azioni per ridurre l'impatto e i danni causati dall'incidente.
  • Gestione delle nuove vulnerabilità: Le vulnerabilità appena identificate vengono affrontate mitigandole o, se necessario, documentandole come rischio accettato.

Miglioramenti

Le attività di risposta dell'organizzazione sono ottimizzate grazie all'apprendimento delle esperienze di rilevamento e risposta attuali e precedenti.

  • Integrazione delle lezioni apprese nei piani di risposta:
  • I piani di risposta vengono adattati e migliorati sulla base delle intuizioni e delle lezioni apprese da incidenti e risposte precedenti.
  • Aggiornamento delle strategie di risposta: Le strategie di risposta agli incidenti vengono aggiornate per rispondere in modo più efficace ed efficiente agli incidenti futuri sulla base delle lezioni apprese.

Ripristino

Pianificazione del recupero

I processi e le procedure di ripristino sono implementati e mantenuti per garantire il ripristino tempestivo dei sistemi o degli asset colpiti da incidenti di sicurezza informatica.

  • Attuazione del piano di ripristino: Il piano di ripristino viene implementato durante o immediatamente dopo un incidente per riprendere le normali operazioni il prima possibile.

Miglioramenti

La pianificazione e i processi di recupero vengono ottimizzati incorporando le lezioni apprese nelle attività future.

  • Incorporare le lezioni apprese nei piani di recupero:
  • I piani di recupero vengono adattati e migliorati sulla base delle conoscenze e delle esperienze acquisite nelle precedenti attività di recupero.
  • Aggiornamento delle strategie di recupero: Le strategie di recupero vengono aggiornate per garantire un recupero più efficace ed efficiente in caso di incidenti futuri.

Comunicazione

Le attività di recupero sono coordinate con le parti interne ed esterne, compresi i centri di coordinamento, i fornitori di servizi Internet, i proprietari dei sistemi attaccati, le vittime, gli altri CSIRT e i fornitori.

  • Gestione delle pubbliche relazioni: la comunicazione con il mondo esterno è gestita con attenzione per proteggere la reputazione dell'organizzazione.
  • Ripristino della reputazione dopo un incidente: Vengono adottate misure attive per ripristinare la fiducia e la reputazione dell'organizzazione dopo un incidente di sicurezza.
  • Comunicazione delle attività di ripristino: Le informazioni sulle attività di ripristino vengono condivise con gli stakeholder interni, compresi i team esecutivi e manageriali, per tenerli informati sui progressi e sui risultati.

System.InvalidCastException: Unable to cast object of type 'System.Xml.XmlDocument' to type 'System.Xml.XmlElement'.
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.DetermineRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.GetRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.Routing.DefaultUrlProvider.GetUrl(UmbracoContext umbracoContext, Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Routing.UrlProvider.<>c__DisplayClass16_0.<GetUrl>b__0(IUrlProvider provider)
   at System.Linq.Enumerable.WhereSelectArrayIterator`2.MoveNext()
   at System.Linq.Enumerable.FirstOrDefault[TSource](IEnumerable`1 source, Func`2 predicate)
   at Umbraco.Web.Routing.UrlProvider.GetUrl(Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text, UrlProvider urlProvider)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text)
   at ASP._Page_Views_Partials_grid_editors_rte_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Rte.cshtml:line 5
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy()
   at System.Web.Mvc.WebViewPage.ExecutePageHierarchy()
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy(WebPageContext pageContext, TextWriter writer, WebPageRenderingBase startPage)
   at System.Web.Mvc.RazorView.RenderView(ViewContext viewContext, TextWriter writer, Object instance)
   at System.Web.Mvc.BuildManagerCompiledView.Render(ViewContext viewContext, TextWriter writer)
   at Umbraco.Core.Profiling.ProfilingView.Render(ViewContext viewContext, TextWriter writer)
   at System.Web.Mvc.HtmlHelper.RenderPartialInternal(String partialViewName, ViewDataDictionary viewData, Object model, TextWriter writer, ViewEngineCollection viewEngineCollection)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model, ViewDataDictionary viewData)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model)
   at ASP._Page_Views_Partials_grid_editors_base_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Base.cshtml:line 21