Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

Cybersecuritys tillvägagångssätt består av fem komponenter:

- Identifiera
- Skydda
- Upptäcka
- Svara
- Återhämta

Identifiera

Förvaltning av tillgångar

Alla delar som hjälper organisationen att uppnå sina affärsmål, till exempel data, personal, utrustning, system och anläggningar, identifieras och hanteras. Detta görs på grundval av deras relativa betydelse för organisationens affärsmål och riskstrategi.

  • Fysiska enheter och system inom organisationen inventeras.
  • Mjukvaruplattformar och applikationer inom organisationen inventeras.
  • Kommunikations- och dataflöden inom organisationen kartläggs.
  • Externa informationssystem katalogiseras.
  • Resurser som hårdvara, enheter, data och programvara prioriteras utifrån klassificering och affärsvärde.
  • Cybersäkerhetsroller och ansvarsområden för all personal och externa intressenter, t.ex. leverantörer, kunder och partners, fastställs.

Affärsmiljö

Organisationens uppdrag, mål, intressenter och aktiviteter förstås och prioriteras på ett tydligt sätt. Denna information används för att fatta välgrundade beslut om roller, ansvar och riskhantering inom cybersäkerhet.

  • Organisationens roll i leveranskedjan är identifierad och kommunicerad.
  • Organisationens position inom den kritiska infrastrukturen och affärssektorn identifieras och delas.
  • Prioriteringar avseende organisationens uppdrag, mål och aktiviteter är identifierade och kommunicerade.
  • Beroenden och kritiska funktioner för leverans av samhällsviktiga tjänster identifieras.
  • Krav på resiliens för att stödja leveransen av kritiska tjänster identifieras.

Styrning

Organisationen förstår och hanterar sina policyer, rutiner och processer för att uppfylla och övervaka regulatoriska, juridiska, risk-, miljö- och verksamhetskrav. Dessa element utgör grunden för riskhanteringen för cybersäkerhet.

  • Organisationens policy för informationssäkerhet är fastställd.
  • Roller och ansvar för informationssäkerhet samordnas och anpassas till interna funktioner och externa partner.
  • Organisationen förstår och agerar utifrån rättsliga och regulatoriska krav för cybersäkerhet, inklusive skyldigheter avseende integritet och medborgerliga friheter.
  • Styrnings- och riskhanteringsprocesserna är särskilt inriktade på att hantera cybersäkerhetsrisker.

Riskbedömning

Organisationen förstår de cybersäkerhetsrisker som kan påverka dess verksamhet (inklusive uppdrag, funktioner, image eller rykte), tillgångar och medarbetare.

  • Sårbarheter i tillgångarna identifieras och dokumenteras.
  • Information om hot och sårbarheter inhämtas från forum och källor för informationsutbyte.
  • Hot, både interna och externa, identifieras och dokumenteras.
  • Potentiell affärspåverkan och sannolikhet identifieras.
  • Hot, sårbarheter, sannolikhet och påverkan används för att bedöma risk.
  • Riskåtgärder identifieras och prioriteras.

Strategi för riskhantering

Organisationen fastställer sina prioriteringar, begränsningar, risktoleranser och antaganden som stöd för beslut om operativa risker.

  • Riskhanteringsprocesser etableras, hanteras och godkänns av intressenter inom organisationen.
  • Organisationens risktolerans är fastställd och tydligt formulerad.
  • Organisationen fastställer sin risktolerans utifrån sin roll inom den kritiska infrastrukturen och den sektorsspecifika riskanalysen.

Skydda

Kontroll av åtkomst

Tillgång till tillgångar och tillhörande anläggningar är begränsad till behöriga användare, processer eller enheter, och endast till behöriga aktiviteter och transaktioner.

  • Identiteter och referenser hanteras för auktoriserade enheter och användare.
  • Fysisk åtkomst till tillgångar hanteras och skyddas.
  • Fjärråtkomst hanteras.
  • Åtkomsträttigheter hanteras enligt principerna om minsta möjliga behörighet och åtskillnad av arbetsuppgifter.
  • Nätverksintegriteten skyddas, inklusive nätverkssegregering där så är nödvändigt.

Medvetenhet

Organisationens personal och partner är informerade och utbildade om cybersäkerhet så att de kan utföra sina uppgifter och ansvarsområden inom informationssäkerhet i enlighet med tillämpliga policyer, förfaranden och avtal.

  • Alla användare är välinformerade och har fått lämplig utbildning.
  • Auktoriserade användare har en tydlig förståelse för sina roller och ansvarsområden.
  • Externa intressenter, t.ex. leverantörer, kunder och samarbetspartners, är medvetna om sina roller och sitt ansvar.
  • Högre chefer har en förståelse för sina roller och ansvarsområden.
  • Medarbetare som ansvarar för fysisk säkerhet och informationssäkerhet känner till sina roller och sitt ansvar.

Datasäkerhet

Information och data hanteras i enlighet med organisationens riskstrategi för att säkerställa konfidentialitet, integritet och tillgänglighet.

  • Data i vila är skyddad.
  • Data under transport skyddas.
  • Tillgångar hanteras formellt vid avyttring, överföring och försäljning.
  • Tillräcklig kapacitet upprätthålls för att säkerställa tillgänglighet.
  • Åtgärder vidtas för att förhindra dataintrång.
  • Mekanismer för integritetskontroll tillämpas för att verifiera integriteten hos programvara, fast programvara och information.
  • Utvecklings- och testmiljöer är åtskilda från produktionsmiljön.

Processer och förfaranden för informationssäkerhet.

Säkerhetspolicyer, processer och rutiner upprätthålls och tillämpas för att effektivt hantera skyddet av informationssystem och tillgångar. Detta inkluderar riktlinjer för syfte, omfattning, roller, ansvar, ledningens engagemang och samordning mellan organisatoriska enheter.

  • En grundläggande konfiguration för informationsteknik och industriella kontrollsystem upprättas och underhålls.
  • En systemutvecklingscykel för att hantera system är implementerad.
  • Konfigurationsändringar styrs genom processer.
  • Säkerhetskopior av information skapas, underhålls och testas regelbundet.
  • Policyer och regler för organisationens fysiska driftsmiljö följs.
  • Data förstörs i enlighet med policy.
  • Säkerhetsprocesserna förbättras kontinuerligt.
  • Effektiviteten hos skyddstekniker delas med lämpliga parter.
  • Beredskapsplaner (Incident Response och Business Continuity) och återställningsplaner (Incident
  • Återställning och katastrofåterställning) finns på plats och hanteras.
  • Beredskaps- och återställningsplaner testas.
  • Cybersäkerhet ingår i personalpolitiken, t.ex. vid screening av personal.
  • En plan för sårbarhetshantering har tagits fram och implementerats.

Underhåll

Underhåll och reparationer av komponenter i industriella styr- och informationssystem utförs enligt fastställda riktlinjer och rutiner.

  • Underhåll och reparation av organisatoriska tillgångar utförs och dokumenteras i rätt tid med hjälp av godkända och kontrollerade verktyg.
  • Fjärrunderhåll av drifttillgångar godkänns, registreras och utförs på ett sätt som förhindrar obehörig åtkomst.

Skyddande teknik

Tekniska säkerhetslösningar hanteras för att säkerställa säkerheten och motståndskraften hos system och tillgångar, i enlighet med policyer, rutiner och avtal.

  • Revisions- och loggfiler upprättas, dokumenteras, implementeras och utvärderas i enlighet med policyn.
  • Flyttbara medier skyddas och användningen av dem begränsas enligt policy.
  • Åtkomst till system och tillgångar kontrolleras med hjälp av principen om minsta möjliga funktionalitet.
  • Kommunikations- och kontrollnätverk är skyddade.

Detektera

Avvikelser och händelser

Avvikelser upptäcks i god tid och den potentiella effekten av händelser förstås.

  • En baslinje för nätverksaktivitet och förväntade dataflöden för användare och system upprättas och hanteras.
  • Upptäckta händelser analyseras för att förstå attackmål och -metoder.
  • Händelsedata samlas in och korreleras från flera källor och sensorer.
  • Händelsernas påverkan bedöms och tröskelvärden för incidentvarningar fastställs.

Löpande övervakning av säkerheten

Informationssystemet och tillgångarna övervakas regelbundet för att identifiera cybersäkerhetshändelser och kontrollera att skyddsåtgärderna är effektiva.

  • Nätverket övervakas för att upptäcka eventuella cybersäkerhetshändelser.
  • Den fysiska miljön övervakas för att upptäcka eventuella cybersäkerhetshändelser.
  • Personalens aktiviteter övervakas för att upptäcka eventuella cybersäkerhetshändelser.
  • Skadlig kod upptäcks.
  • Obehörig mobilkod upptäcks.
  • Aktiviteter hos externa tjänsteleverantörer övervakas för att upptäcka eventuella cybersäkerhetshändelser.
  • Obehörig personal, obehöriga anslutningar, obehöriga enheter och obehörig programvara övervakas.
  • Sårbarhetsskanningar utförs.

Processer för upptäckt

Processer och förfaranden för upptäckt upprätthålls och testas för att säkerställa att avvikande händelser uppmärksammas i rätt tid och på ett adekvat sätt.

Svara

Planering av respons

Beredskapsprocesser och -rutiner implementeras och upprätthålls för att säkerställa snabb respons på upptäckta cybersäkerhetshändelser.

  • Beredskapsplanen aktiveras under eller efter en händelse.

Kommunikation

Beredskapsaktiviteterna samordnas med interna och externa intressenter, inklusive externt stöd från brottsbekämpande myndigheter, vid behov.

  • Personalen känner till sina roller och hur insatserna ska genomföras under en insats.
  • Händelser rapporteras enligt fastställda kriterier.
  • Information delas i enlighet med responsplanerna.
  • Samordning med intressenter sker i enlighet med insatsplanerna.
  • Frivilligt informationsutbyte med externa intressenter främjar en bredare situationsmedvetenhet om cybersäkerhet.

Analys

En grundlig analys genomförs för att säkerställa att en lämplig respons följer och för att stödja återhämtningsaktiviteter.

  • Utredning av rapporter från detekteringssystem: Alla rapporter från säkerhetsdetekteringssystem undersöks noggrant för att fastställa incidentens art och allvarlighetsgrad.
  • Förståelse av incidentens påverkan: Konsekvenserna och omfattningen av incidenten förstås till fullo för att utvärdera påverkan på organisationen.
  • Forensisk utredning: En grundlig kriminalteknisk utredning genomförs för att fastställa orsak, metoder och omfattning av incidenten.
  • Kategorisering av incidenter enligt responsplaner:
  • Incidenter kategoriseras enligt fastställda åtgärdsplaner för att säkerställa en strukturerad och effektiv hantering.

Begränsning

Åtgärder vidtas för att förhindra ytterligare spridning av en händelse, minimera dess påverkan och eliminera händelsen helt.

  • Begränsning av incidenten: Åtgärder vidtas för att omedelbart stoppa spridningen av incidenten och förhindra ytterligare skada.
  • Begränsning av incidenter: Åtgärder vidtas för att minska den påverkan och skada som incidenten orsakar.
  • Hantering av nya sårbarheter: Nyligen identifierade sårbarheter hanteras genom att de minskas eller, om nödvändigt, dokumenteras som en accepterad risk.

Förbättringar

Organisatoriska responsaktiviteter optimeras genom att man lär sig av nuvarande och tidigare erfarenheter av upptäckt och respons.

  • Integrering av lärdomar i insatsplanerna:
  • Insatsplanerna anpassas och förbättras baserat på insikter och lärdomar från tidigare incidenter och insatser.
  • Uppdatering av responsstrategier: Incidenthanteringsstrategier uppdateras för att hantera framtida incidenter på ett mer effektivt sätt baserat på lärdomar som dragits.

Återställ

Planering av återställning

Återställningsprocesser och -förfaranden implementeras och upprätthålls för att säkerställa snabb återställning av system eller tillgångar som påverkas av cybersäkerhetsincidenter.

  • Genomförande av återhämtningsplan: Återställningsplanen används under eller omedelbart efter en incident för att återuppta normal verksamhet så snart som möjligt.

Förbättringar

Återhämtningsplanering och processer optimeras genom att lärdomar införlivas i framtida aktiviteter.

  • Införliva lärdomar i återhämtningsplanerna:
  • Återhämtningsplanerna anpassas och förbättras baserat på insikter och erfarenheter från tidigare återhämtningsaktiviteter.
  • Uppdatering av återhämtningsstrategier: Återhämtningsstrategierna uppdateras för att säkerställa en mer effektiv och ändamålsenlig återhämtning vid framtida incidenter.

Kommunikation

Återhämtningsaktiviteter samordnas med interna och externa parter, inklusive samordningscentraler, Internetleverantörer, ägare till angripande system, offer, andra CSIRT-enheter och leverantörer.

  • PR-hantering: Kommunikationen med omvärlden hanteras noggrant för att skydda organisationens anseende.
  • Återställande av anseende efter en incident: Aktiva åtgärder vidtas för att återupprätta organisationens förtroende och anseende efter en säkerhetsincident.
  • Kommunikation av återhämtningsaktiviteter: Information om återhämtningsaktiviteter delas med interna intressenter, inklusive verkställande ledning och ledningsgrupper, för att hålla dem informerade om framsteg och resultat.

Vill du veta mer om vårt ledningssystem ISMS?

Klicka här för mer information

Vi vill gärna komma i kontakt med dig

Maila till: sales@irm360.nl eller fyll i kontaktformuläret.