Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

Podejście Cybersecurity składa się z pięciu elementów:

- Identyfikacja
- Ochrona
- Wykrywanie
- Reagowanie
- Odzyskiwanie

Identyfikacja

Zarządzanie aktywami

Wszystkie elementy, które pomagają organizacji osiągnąć jej cele biznesowe, takie jak dane, personel, sprzęt, systemy i obiekty, są identyfikowane i zarządzane. Odbywa się to na podstawie ich względnego znaczenia dla celów biznesowych organizacji i strategii ryzyka.

  • Urządzenia i systemy fizyczne w organizacji są inwentaryzowane.
  • Platformy oprogramowania i aplikacje w organizacji są inwentaryzowane.
  • Komunikacja i przepływy danych w organizacji są mapowane.
  • Zewnętrzne systemy informacyjne są katalogowane.
  • Zasoby takie jak sprzęt, urządzenia, dane i oprogramowanie są traktowane priorytetowo zgodnie z ich klasyfikacją i wartością biznesową.
  • Ustanawia się role i obowiązki w zakresie cyberbezpieczeństwa dla wszystkich pracowników i zewnętrznych interesariuszy, takich jak dostawcy, klienci i partnerzy.

Środowisko biznesowe

Misja, cele, interesariusze i działania organizacji są jasno rozumiane i traktowane priorytetowo. Informacje te są wykorzystywane do podejmowania świadomych decyzji dotyczących ról, obowiązków i zarządzania ryzykiem w zakresie cyberbezpieczeństwa.

  • Rola organizacji w łańcuchu dostaw jest określona i zakomunikowana.
  • Pozycja organizacji w ramach infrastruktury krytycznej i sektora biznesowego jest identyfikowana i udostępniana.
  • Priorytety dotyczące misji, celów i działań organizacji są identyfikowane i komunikowane.
  • Zidentyfikowano zależności i funkcje krytyczne dla świadczenia podstawowych usług.
  • Określono wymagania dotyczące odporności w celu wsparcia świadczenia usług krytycznych.

Zarządzanie

Organizacja rozumie i zarządza swoimi politykami, procedurami i procesami w zakresie przestrzegania i nadzorowania wymogów regulacyjnych, prawnych, dotyczących ryzyka, środowiskowych i operacyjnych. Elementy te stanowią podstawę zarządzania ryzykiem cyberbezpieczeństwa.

  • Ustanowiona jest polityka bezpieczeństwa informacji organizacji.
  • Role i obowiązki w zakresie bezpieczeństwa informacji są skoordynowane i dostosowane do funkcji wewnętrznych i partnerów zewnętrznych.
  • Organizacja rozumie wymogi prawne i regulacyjne dotyczące cyberbezpieczeństwa, w tym obowiązki w zakresie prywatności i swobód obywatelskich, i działa zgodnie z nimi.
  • Procesy zarządzania i zarządzania ryzykiem koncentrują się w szczególności na zarządzaniu ryzykiem cyberbezpieczeństwa.

Ocena ryzyka

Organizacja rozumie zagrożenia dla cyberbezpieczeństwa, które mogą mieć wpływ na jej działalność (w tym misję, funkcje, wizerunek lub reputację), aktywa i ludzi.

  • Podatności aktywów są identyfikowane i dokumentowane.
  • Informacje na temat zagrożeń i słabych punktów są pozyskiwane z forów i źródeł wymiany informacji.
  • Zagrożenia, zarówno wewnętrzne, jak i zewnętrzne, są identyfikowane i dokumentowane.
  • Identyfikowane są potencjalne skutki biznesowe i prawdopodobieństwo ich wystąpienia.
  • Zagrożenia, podatności, prawdopodobieństwa i wpływ są wykorzystywane do oceny ryzyka.
  • Identyfikowane i priorytetyzowane są środki przeciwdziałania ryzyku.

Strategia zarządzania ryzykiem

Organizacja ustanawia swoje priorytety, ograniczenia, tolerancje na ryzyko i założenia w celu wspierania decyzji dotyczących ryzyka operacyjnego.

  • Procesy zarządzania ryzykiem są ustanawiane, zarządzane i zatwierdzane przez interesariuszy w organizacji.
  • Tolerancja na ryzyko organizacji jest określona i jasno wyrażona.
  • Organizacja określa swoją tolerancję na ryzyko na podstawie swojej roli w infrastrukturze krytycznej i analizy ryzyka sektorowego.

Ochrona

Kontrola dostępu

Dostęp do zasobów i powiązanych obiektów jest ograniczony do autoryzowanych użytkowników, procesów lub urządzeń i tylko do autoryzowanych działań i transakcji.

  • Tożsamości i dane uwierzytelniające są zarządzane dla autoryzowanych urządzeń i użytkowników.
  • Fizyczny dostęp do zasobów jest zarządzany i chroniony.
  • Dostęp zdalny jest zarządzany.
  • Prawa dostępu są zarządzane zgodnie z zasadami najmniejszych uprawnień i podziału obowiązków.
  • Integralność sieci jest chroniona, w tym w razie potrzeby poprzez segregację sieci.

Świadomość

Pracownicy i partnerzy organizacji są poinformowani i przeszkoleni w zakresie cyberbezpieczeństwa, aby mogli wykonywać swoje obowiązki w zakresie bezpieczeństwa informacji zgodnie z obowiązującymi politykami, procedurami i umowami.

  • Wszyscy użytkownicy są dobrze poinformowani i przeszli odpowiednie szkolenia.
  • Upoważnieni użytkownicy dobrze rozumieją swoje role i obowiązki.
  • Interesariusze zewnętrzni, tacy jak dostawcy, klienci i partnerzy, są świadomi swoich ról i obowiązków.
  • Menedżerowie wyższego szczebla rozumieją swoje role i obowiązki.
  • Pracownicy odpowiedzialni za bezpieczeństwo fizyczne i bezpieczeństwo informacji znają swoje role i obowiązki.

Bezpieczeństwo danych

Informacje i dane są zarządzane zgodnie ze strategią ryzyka organizacji w celu zapewnienia poufności, integralności i dostępności.

  • Dane w spoczynku są chronione.
  • Dane w tranzycie są chronione.
  • Aktywa są formalnie zarządzane podczas usuwania, przenoszenia i zbycia.
  • Utrzymywana jest wystarczająca pojemność w celu zapewnienia dostępności.
  • Podejmowane są środki zapobiegające naruszeniom danych.
  • Stosowane są mechanizmy kontroli integralności w celu weryfikacji integralności oprogramowania, oprogramowania układowego i informacji.
  • Środowiska programistyczne i testowe są oddzielone od środowiska produkcyjnego.

Proces i procedury bezpieczeństwa informacji.

Polityki, procesy i procedury bezpieczeństwa są utrzymywane i stosowane w celu skutecznego zarządzania ochroną systemów i zasobów informacyjnych. Obejmuje to wytyczne dotyczące celu, zakresu, ról, obowiązków, zaangażowania kierownictwa i koordynacji między jednostkami organizacyjnymi.

  • Ustanowiona i utrzymywana jest podstawowa konfiguracja technologii informatycznych i przemysłowych systemów sterowania.
  • Wdrożony jest cykl rozwoju systemu zarządzania systemami.
  • Zmiany konfiguracji są kontrolowane za pomocą procesów.
  • Kopie zapasowe informacji są tworzone, utrzymywane i okresowo testowane.
  • Przestrzegane są zasady i przepisy dotyczące fizycznego środowiska operacyjnego organizacji.
  • Dane są niszczone zgodnie z polityką.
  • Procesy bezpieczeństwa są stale ulepszane.
  • Skuteczność technologii ochrony jest udostępniana odpowiednim stronom.
  • Plany reagowania (reagowanie na incydenty i ciągłość działania) oraz plany odzyskiwania danych (odzyskiwanie po incydencie i odzyskiwanie po awarii).
  • i odzyskiwania danych po awarii) są wdrożone i zarządzane.
  • Plany reagowania i odzyskiwania są testowane.
  • Cyberbezpieczeństwo jest uwzględnione w zasadach dotyczących zasobów ludzkich, takich jak selekcja pracowników.
  • Opracowano i wdrożono plan zarządzania podatnością na zagrożenia.

Konserwacja

Konserwacja i naprawy komponentów przemysłowych systemów sterowania i informacji są przeprowadzane zgodnie z ustalonymi zasadami i procedurami.

  • Konserwacja i naprawy aktywów organizacyjnych są przeprowadzane i dokumentowane w odpowiednim czasie, przy użyciu zatwierdzonych i kontrolowanych narzędzi.
  • Zdalna konserwacja aktywów operacyjnych jest zatwierdzana, rejestrowana i przeprowadzana w sposób uniemożliwiający nieautoryzowany dostęp.

Technologia ochronna

Techniczne rozwiązania bezpieczeństwa są zarządzane w celu zapewnienia bezpieczeństwa i odporności systemów i aktywów, zgodnie z politykami, procedurami i umowami.

  • Pliki audytu i dzienników są tworzone, dokumentowane, wdrażane i oceniane zgodnie z polityką.
  • Nośniki wymienne są chronione, a ich użycie ograniczone zgodnie z polityką.
  • Dostęp do systemów i zasobów jest kontrolowany przy użyciu zasady minimalnej funkcjonalności.
  • Sieci komunikacyjne i kontrolne są chronione.

Wykrywanie

Anomalie i zdarzenia

Anomalie są wykrywane w odpowiednim czasie, a potencjalny wpływ zdarzeń jest zrozumiały.

  • Ustanowiona i zarządzana jest linia bazowa aktywności sieciowej i oczekiwanych przepływów danych dla użytkowników i systemów.
  • Wykryte zdarzenia są analizowane w celu zrozumienia celów i metod ataków.
  • Dane o zdarzeniach są gromadzone i korelowane z wielu źródeł i czujników.
  • Oceniany jest wpływ zdarzeń i ustalane są progi dla alertów o incydentach.

Bieżące monitorowanie bezpieczeństwa

System informatyczny i zasoby są okresowo monitorowane w celu identyfikacji zdarzeń związanych z cyberbezpieczeństwem i weryfikacji skuteczności środków ochrony.

  • Sieć jest monitorowana w celu wykrycia możliwych zdarzeń związanych z cyberbezpieczeństwem.
  • Środowisko fizyczne jest monitorowane w celu wykrycia możliwych zdarzeń związanych z cyberbezpieczeństwem.
  • Działania pracowników są monitorowane w celu wykrycia możliwych zdarzeń związanych z cyberbezpieczeństwem.
  • Wykrywany jest złośliwy kod.
  • Wykrywany jest nieautoryzowany kod mobilny.
  • Działania zewnętrznych dostawców usług są monitorowane w celu wykrycia możliwych zdarzeń związanych z cyberbezpieczeństwem.
  • Monitorowany jest nieautoryzowany personel, nieautoryzowane połączenia, nieautoryzowane urządzenia i nieautoryzowane oprogramowanie.
  • Przeprowadzane są skany podatności.

Procesy wykrywania

Procesy i procedury wykrywania są utrzymywane i testowane w celu zapewnienia terminowej i odpowiedniej świadomości anomalii.

Odpowiedź

Planowanie reakcji

Procesy i procedury reagowania są wdrażane i utrzymywane w celu zapewnienia szybkiej reakcji na wykryte zdarzenia związane z cyberbezpieczeństwem.

  • Plan reagowania jest aktywowany w trakcie lub po wystąpieniu zdarzenia.

Komunikacja

Działania w zakresie reagowania są koordynowane z wewnętrznymi i zewnętrznymi interesariuszami, w tym w razie potrzeby z zewnętrznym wsparciem ze strony organów ścigania.

  • Pracownicy znają swoje role i kolejność działań podczas reagowania.
  • Zdarzenia są zgłaszane zgodnie z ustalonymi kryteriami.
  • Informacje są udostępniane zgodnie z planami reagowania.
  • Koordynacja z interesariuszami odbywa się zgodnie z planami reagowania.
  • Dobrowolna wymiana informacji z zewnętrznymi interesariuszami promuje szerszą świadomość sytuacyjną w zakresie cyberbezpieczeństwa.

Analiza

Przeprowadzana jest dokładna analiza w celu zapewnienia odpowiedniej reakcji i wsparcia działań naprawczych.

  • Badanie raportów z systemów wykrywania: Wszystkie raporty z systemów wykrywania zagrożeń są dokładnie badane w celu określenia charakteru i wagi incydentu.
  • Zrozumienie wpływu incydentu: Konsekwencje i zakres incydentu są w pełni rozumiane w celu oceny wpływu na organizację.
  • Dochodzenie kryminalistyczne: Przeprowadzane jest dokładne dochodzenie kryminalistyczne w celu ustalenia przyczyny, metod i zakresu incydentu.
  • Kategoryzacja incydentów zgodnie z planami reagowania:
  • Incydenty są kategoryzowane zgodnie z wcześniej ustalonymi planami reagowania, aby zapewnić ustrukturyzowaną i skuteczną reakcję.

Łagodzenie skutków

Środki podejmowane w celu zapobieżenia dalszemu rozprzestrzenianiu się zdarzenia, zminimalizowania jego wpływu i całkowitego wyeliminowania incydentu.

  • Powstrzymanie incydentu: Podejmowane są działania mające na celu natychmiastowe powstrzymanie rozprzestrzeniania się incydentu i zapobieżenie dalszym szkodom.
  • Łagodzenie incydentów: Podejmowane są działania mające na celu zmniejszenie wpływu i szkód spowodowanych przez incydent.
  • Zarządzanie nowymi podatnościami: Nowo zidentyfikowane podatności są rozwiązywane poprzez ich łagodzenie lub, w razie potrzeby, dokumentowanie ich jako zaakceptowanego ryzyka.

Ulepszenia

Organizacyjne działania w zakresie reagowania są optymalizowane poprzez wyciąganie wniosków z bieżących i poprzednich doświadczeń w zakresie wykrywania i reagowania.

  • Włączenie zdobytych doświadczeń do planów reagowania:
  • Plany reagowania są dostosowywane i ulepszane w oparciu o spostrzeżenia i wnioski wyciągnięte z poprzednich incydentów i reakcji.
  • Aktualizacja strategii reagowania: Strategie reagowania na incydenty są aktualizowane w celu skuteczniejszego i wydajniejszego reagowania na przyszłe incydenty w oparciu o wyciągnięte wnioski.

Przywracanie

Planowanie odzyskiwania danych

Procesy i procedury odzyskiwania są wdrażane i utrzymywane w celu zapewnienia terminowego odzyskiwania systemów lub zasobów dotkniętych incydentami cyberbezpieczeństwa.

  • Wdrożenie planu odzyskiwania: Plan odzyskiwania jest wdrażany w trakcie lub bezpośrednio po incydencie, aby jak najszybciej wznowić normalne działanie.

Ulepszenia

Planowanie i procesy odzyskiwania są optymalizowane poprzez uwzględnianie zdobytych doświadczeń w przyszłych działaniach.

  • Uwzględnianie zdobytych doświadczeń w planach odzyskiwania:
  • Plany naprawcze są dostosowywane i ulepszane w oparciu o spostrzeżenia i doświadczenia z poprzednich działań naprawczych.
  • Aktualizacja strategii odzyskiwania: Strategie odzyskiwania są aktualizowane w celu zapewnienia bardziej skutecznego i wydajnego odzyskiwania w przyszłych incydentach.

Komunikacja

Działania związane z odzyskiwaniem danych są koordynowane ze stronami wewnętrznymi i zewnętrznymi, w tym z centrami koordynacyjnymi, dostawcami usług internetowych, właścicielami atakujących systemów, ofiarami, innymi CSIRT i sprzedawcami.

  • Zarządzanie relacjami publicznymi: komunikacja ze światem zewnętrznym jest starannie zarządzana w celu ochrony reputacji organizacji.
  • Przywracanie reputacji po incydencie: Podejmowane są aktywne działania w celu przywrócenia zaufania i reputacji organizacji po incydencie bezpieczeństwa.
  • Komunikacja działań naprawczych: Informacje na temat działań naprawczych są udostępniane wewnętrznym interesariuszom, w tym zespołom wykonawczym i zarządzającym, aby informować ich o postępach i wynikach.

System.InvalidCastException: Unable to cast object of type 'System.Xml.XmlDocument' to type 'System.Xml.XmlElement'.
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.DetermineRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.GetRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.Routing.DefaultUrlProvider.GetUrl(UmbracoContext umbracoContext, Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Routing.UrlProvider.<>c__DisplayClass16_0.<GetUrl>b__0(IUrlProvider provider)
   at System.Linq.Enumerable.WhereSelectArrayIterator`2.MoveNext()
   at System.Linq.Enumerable.FirstOrDefault[TSource](IEnumerable`1 source, Func`2 predicate)
   at Umbraco.Web.Routing.UrlProvider.GetUrl(Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text, UrlProvider urlProvider)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text)
   at ASP._Page_Views_Partials_grid_editors_rte_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Rte.cshtml:line 5
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy()
   at System.Web.Mvc.WebViewPage.ExecutePageHierarchy()
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy(WebPageContext pageContext, TextWriter writer, WebPageRenderingBase startPage)
   at System.Web.Mvc.RazorView.RenderView(ViewContext viewContext, TextWriter writer, Object instance)
   at System.Web.Mvc.BuildManagerCompiledView.Render(ViewContext viewContext, TextWriter writer)
   at Umbraco.Core.Profiling.ProfilingView.Render(ViewContext viewContext, TextWriter writer)
   at System.Web.Mvc.HtmlHelper.RenderPartialInternal(String partialViewName, ViewDataDictionary viewData, Object model, TextWriter writer, ViewEngineCollection viewEngineCollection)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model, ViewDataDictionary viewData)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model)
   at ASP._Page_Views_Partials_grid_editors_base_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Base.cshtml:line 21