Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

Cybersecuritys tilnærming består av fem komponenter:

- Identifisere
- Beskytte
- Oppdage
- Reagere
- Gjenopprette

Identifisere

Forvaltning av eiendeler

Alle elementer som bidrar til at organisasjonen når sine forretningsmål, som data, personell, utstyr, systemer og anlegg, blir identifisert og forvaltet. Dette gjøres på grunnlag av deres relative betydning for organisasjonens forretningsmål og risikostrategi.

  • Fysiske enheter og systemer i organisasjonen kartlegges.
  • Programvareplattformer og applikasjoner i organisasjonen kartlegges.
  • Kommunikasjons- og dataflyten i organisasjonen kartlegges.
  • Eksterne informasjonssystemer katalogiseres.
  • Ressurser som maskinvare, enheter, data og programvare prioriteres i henhold til klassifisering og forretningsverdi.
  • Cybersikkerhetsroller og -ansvarsområder for alle ansatte og eksterne interessenter, for eksempel leverandører, kunder og samarbeidspartnere, er etablert.

Forretningsmiljø

Organisasjonens oppdrag, mål, interessenter og aktiviteter er tydelig forstått og prioritert. Denne informasjonen brukes til å ta informerte beslutninger om roller, ansvar og risikohåndtering knyttet til cybersikkerhet.

  • Organisasjonens rolle i leverandørkjeden er identifisert og kommunisert.
  • Organisasjonens posisjon innenfor kritisk infrastruktur og næringsliv er identifisert og kommunisert.
  • Prioriteringer knyttet til organisasjonens oppdrag, mål og aktiviteter er identifisert og kommunisert.
  • Avhengigheter og kritiske funksjoner for leveranse av samfunnsviktige tjenester er identifisert.
  • Krav til robusthet for å støtte leveransen av kritiske tjenester er identifisert.

Styring og ledelse

Organisasjonen forstår og forvalter sine retningslinjer, prosedyrer og prosesser for å overholde og føre tilsyn med regulatoriske, juridiske, risikomessige, miljømessige og operasjonelle krav. Disse elementene danner grunnlaget for risikostyringen knyttet til cybersikkerhet.

  • Organisasjonens policy for informasjonssikkerhet er etablert.
  • Informasjonssikkerhetsroller og -ansvar er koordinert og samordnet med interne funksjoner og eksterne partnere.
  • Organisasjonen forstår og følger opp juridiske og regulatoriske krav til cybersikkerhet, inkludert forpliktelser knyttet til personvern og borgerrettigheter.
  • Styrings- og risikostyringsprosessene er spesielt fokusert på å håndtere cybersikkerhetsrisiko.

Risikovurdering

Organisasjonen forstår cybersikkerhetsrisikoen som kan påvirke virksomheten (inkludert oppdrag, funksjoner, image eller omdømme), eiendeler og mennesker.

  • Sårbarheter i eiendeler identifiseres og dokumenteres.
  • Informasjon om trusler og sårbarheter innhentes fra fora og kilder for informasjonsdeling.
  • Trusler, både interne og eksterne, identifiseres og dokumenteres.
  • Potensiell innvirkning på virksomheten og sannsynlighet identifiseres.
  • Trusler, sårbarheter, sannsynligheter og konsekvenser brukes til å vurdere risiko.
  • Risikomessige tiltak identifiseres og prioriteres.

Strategi for risikostyring

Organisasjonen fastsetter sine prioriteringer, begrensninger, risikotoleranser og antakelser for å støtte beslutninger om operasjonell risiko.

  • Risikostyringsprosessene er etablert, administrert og godkjent av interessenter i organisasjonen.
  • Organisasjonens risikotoleranse er fastsatt og tydelig formulert.
  • Organisasjonen fastsetter sin risikotoleranse basert på sin rolle i den kritiske infrastrukturen og sektorspesifikke risikoanalyser.

Beskytt

Tilgangskontroll

Tilgang til eiendeler og tilhørende fasiliteter er begrenset til autoriserte brukere, prosesser eller enheter, og kun til autoriserte aktiviteter og transaksjoner.

  • Identiteter og legitimasjon administreres for autoriserte enheter og brukere.
  • Fysisk tilgang til eiendeler administreres og beskyttes.
  • Ekstern tilgang administreres.
  • Tilgangsrettigheter administreres i henhold til prinsippene om minst mulig privilegier og ansvarsfordeling.
  • Nettverksintegriteten er beskyttet, inkludert nettverkssegregering der det er nødvendig.

Bevissthet

Organisasjonens ansatte og samarbeidspartnere er informert om og har fått opplæring i cybersikkerhet, slik at de kan utføre sine oppgaver og sitt ansvar for informasjonssikkerheten i henhold til gjeldende retningslinjer, prosedyrer og avtaler.

  • Alle brukere er godt informert og har fått tilstrekkelig opplæring.
  • Autoriserte brukere har en klar forståelse av sine roller og ansvarsområder.
  • Eksterne interessenter, som leverandører, kunder og samarbeidspartnere, er klar over sine roller og ansvarsområder.
  • Toppledere har en forståelse av sine roller og ansvarsområder.
  • Medarbeidere med ansvar for fysisk sikkerhet og informasjonssikkerhet kjenner sine roller og ansvarsområder.

Datasikkerhet

Informasjon og data håndteres i henhold til organisasjonens risikostrategi for å sikre konfidensialitet, integritet og tilgjengelighet.

  • Data i ro er beskyttet.
  • Data i transitt er beskyttet.
  • Eiendeler forvaltes formelt ved avhending, overføring og salg.
  • Tilstrekkelig kapasitet opprettholdes for å sikre tilgjengelighet.
  • Det iverksettes tiltak for å forhindre datainnbrudd.
  • Integritetskontrollmekanismer brukes for å verifisere integriteten til programvare, fastvare og informasjon.
  • Utviklings- og testmiljøer er adskilt fra produksjonsmiljøet.

Prosesser og prosedyrer for informasjonssikkerhet.

Retningslinjer, prosesser og prosedyrer for informasjonssikkerhet opprettholdes og brukes for å sikre effektiv beskyttelse av informasjonssystemer og -ressurser. Dette omfatter retningslinjer for formål, omfang, roller, ansvarsområder, ledelsesinvolvering og koordinering mellom organisatoriske enheter.

  • En grunnleggende konfigurasjon for informasjonsteknologi og industrielle kontrollsystemer er etablert og vedlikeholdt.
  • En systemutviklingssyklus for styring av systemer er implementert.
  • Konfigurasjonsendringer kontrolleres gjennom prosesser.
  • Sikkerhetskopier av informasjon opprettes, vedlikeholdes og testes med jevne mellomrom.
  • Retningslinjer og forskrifter for organisasjonens fysiske driftsmiljø overholdes.
  • Data destrueres i henhold til retningslinjer.
  • Sikkerhetsprosessene forbedres kontinuerlig.
  • Effektiviteten til beskyttelsesteknologiene deles med relevante parter.
  • Beredskapsplaner (Incident Response og Business Continuity) og gjenopprettingsplaner (Incident
  • Recovery og Disaster Recovery) er på plass og administreres.
  • Respons- og gjenopprettingsplaner testes.
  • Cybersikkerhet er inkludert i personalpolitikken, for eksempel ved screening av ansatte.
  • En plan for sårbarhetsstyring er utviklet og implementert.

Vedlikehold

Vedlikehold og reparasjoner av komponenter i industrielle kontroll- og informasjonssystemer utføres i henhold til etablerte retningslinjer og prosedyrer.

  • Vedlikehold og reparasjoner av organisatoriske eiendeler utføres og dokumenteres i tide, ved bruk av godkjente og kontrollerte verktøy.
  • Fjernvedlikehold av driftsmidler godkjennes, registreres og utføres på en måte som forhindrer uautorisert tilgang.

Beskyttende teknologi

Tekniske sikkerhetsløsninger administreres for å sikre at systemer og eiendeler er sikre og robuste, i tråd med retningslinjer, prosedyrer og avtaler.

  • Revisjons- og loggfiler etableres, dokumenteres, implementeres og evalueres i henhold til retningslinjene.
  • Flyttbare medier beskyttes, og bruken av dem begrenses i henhold til retningslinjene.
  • Tilgang til systemer og eiendeler kontrolleres ved hjelp av prinsippet om minimumsfunksjonalitet.
  • Kommunikasjons- og kontrollnettverk er beskyttet.

Oppdage

Avvik og hendelser

Avvik oppdages i tide, og den potensielle effekten av hendelser blir forstått.

  • En grunnlinje for nettverksaktivitet og forventet dataflyt for brukere og systemer etableres og administreres.
  • Oppdagede hendelser analyseres for å forstå angrepsmål og -metoder.
  • Hendelsesdata samles inn og korreleres fra flere kilder og sensorer.
  • Konsekvensene av hendelsene vurderes, og terskelverdier for varsling av hendelser fastsettes.

Løpende sikkerhetsovervåking

Informasjonssystemet og -ressursene overvåkes jevnlig for å identifisere cybersikkerhetshendelser og verifisere at beskyttelsestiltakene er effektive.

  • Nettverket overvåkes for å avdekke mulige cybersikkerhetshendelser.
  • Det fysiske miljøet overvåkes for å avdekke mulige cybersikkerhetshendelser.
  • De ansattes aktiviteter overvåkes for å avdekke mulige cybersikkerhetshendelser.
  • Skadelig kode oppdages.
  • Uautorisert mobilkode oppdages.
  • Aktiviteter hos eksterne tjenesteleverandører overvåkes for å avdekke mulige cybersikkerhetshendelser.
  • Uautorisert personell, uautoriserte tilkoblinger, uautoriserte enheter og uautorisert programvare overvåkes.
  • Sårbarhetsskanninger utføres.

Deteksjonsprosesser

Deteksjonsprosesser og -prosedyrer vedlikeholdes og testes for å sikre at avvikende hendelser oppdages i tide og i tilstrekkelig grad.

Svar

Planlegging av respons

Responsprosesser og -prosedyrer implementeres og vedlikeholdes for å sikre rask respons på oppdagede cybersikkerhetshendelser.

  • Responsplanen aktiveres under eller etter en hendelse.

Kommunikasjon

Beredskapsaktiviteter koordineres med interne og eksterne interessenter, inkludert ekstern støtte fra politimyndigheter, etter behov.

  • Medarbeiderne kjenner sine roller og rekkefølgen av operasjoner under en respons.
  • Hendelser rapporteres i henhold til etablerte kriterier.
  • Informasjon deles i henhold til responsplanene.
  • Koordinering med interessenter skjer i henhold til responsplanene.
  • Frivillig informasjonsdeling med eksterne interessenter fremmer en bredere situasjonsbevissthet om cybersikkerhet.

Analyse

En grundig analyse utføres for å sikre at en passende respons følger og for å støtte gjenopprettingsaktiviteter.

  • Undersøkelse av rapporter fra deteksjonssystemer: Alle rapporter fra sikkerhetsdeteksjonssystemer undersøkes nøye for å fastslå hendelsens art og alvorlighetsgrad.
  • Forståelse av hendelsens innvirkning: Konsekvensene og omfanget av hendelsen blir fullt ut forstått for å kunne evaluere innvirkningen på organisasjonen.
  • Kriminalteknisk undersøkelse: En grundig kriminalteknisk undersøkelse gjennomføres for å fastslå hendelsens årsak, metoder og omfang.
  • Kategorisering av hendelser i henhold til responsplaner:
  • Hendelser kategoriseres i henhold til forhåndsetablerte responsplaner for å sikre en strukturert og effektiv respons.

Avbøtende tiltak

Tiltak som iverksettes for å hindre videre spredning av en hendelse, minimere konsekvensene og eliminere hendelsen helt.

  • Begrensning av hendelsen: Tiltak iverksettes for umiddelbart å stoppe spredningen av hendelsen og forhindre ytterligere skade.
  • Begrensning av hendelser: Tiltak iverksettes for å redusere virkningen og skaden som hendelsen forårsaker.
  • Håndtering av nye sårbarheter: Nyoppdagede sårbarheter håndteres ved å redusere dem eller, om nødvendig, dokumentere dem som en akseptert risiko.

Forbedringer

Organisasjonens responsaktiviteter optimaliseres ved å lære av nåværende og tidligere erfaringer med deteksjon og respons.

  • Integrering av erfaringer i responsplanene:
  • Beredskapsplanene tilpasses og forbedres basert på innsikt og erfaringer fra tidligere hendelser og responser.
  • Oppdatering av responsstrategier: Responsstrategiene oppdateres for å kunne reagere mer effektivt på fremtidige hendelser basert på de erfaringene man har gjort seg.

Gjenopprett

Planlegging av gjenoppretting

Gjenopprettingsprosesser og -prosedyrer implementeres og vedlikeholdes for å sikre rettidig gjenoppretting av systemer eller eiendeler som påvirkes av cybersikkerhetshendelser.

  • Implementering av gjenopprettingsplan: Gjenopprettingsplanen iverksettes under eller umiddelbart etter en hendelse for å gjenoppta normal drift så snart som mulig.

Forbedringer

Gjenopprettingsplanlegging og -prosesser optimaliseres ved å innlemme erfaringer i fremtidige aktiviteter.

  • Innlemme erfaringer i gjenopprettingsplanene:
  • Gjenopprettingsplanene tilpasses og forbedres basert på innsikt og erfaringer fra tidligere gjenopprettingsaktiviteter.
  • Oppdatering av gjenopprettingsstrategier: Gjenopprettingsstrategiene oppdateres for å sikre en mer effektiv gjenoppretting ved fremtidige hendelser.

Kommunikasjon

Gjenopprettingsaktiviteter koordineres med interne og eksterne parter, inkludert koordineringssentre, Internett-leverandører, eiere av angripende systemer, ofre, andre CSIRT-er og leverandører.

  • PR-arbeid: Kommunikasjonen med omverdenen styres nøye for å beskytte organisasjonens omdømme.
  • Gjenopprette omdømmet etter en hendelse: Det iverksettes aktive tiltak for å gjenopprette organisasjonens tillit og omdømme etter en sikkerhetshendelse.
  • Kommunikasjon av gjenopprettingsaktiviteter: Informasjon om gjenopprettingsaktiviteter deles med interne interessenter, inkludert ledelsen og ledergruppene, for å holde dem informert om fremdrift og resultater.

Vil du vite mer om vårt ISMS-ledelsessystem?

Klikk her for mer informasjon

Vi liker å komme i kontakt med deg

Send en e-post til: sales@irm360.nl eller fyll ut kontaktskjemaet.