Cyber Security Framework

Il National Institute of Standards and Technology (NIST)

The Cyber Security Framework
L'approccio della Cybersecurity è costituito da cinque componenti.

- Identificare
- Proteggere
- Rilevare
- Rispondere
- Ripristino

Alla ricerca dei gioielli della corona dell'organizzazione!

Quali sistemi? Quali dati? Quali altri asset?
È importante considerare la disponibilità/integrità/confidenzialità.
Durante il processo di identificazione e di inventario, è importante identificare quali rischi hanno quale
impatto e quali potrebbero essere i costi.

Identificare

Gestione delle attività
I dati, il personale, i dispositivi, i sistemi e le strutture che consentono all'organizzazione di raggiungere i propri obiettivi aziendali sono identificati e gestiti in base alla loro importanza relativa per gli obiettivi aziendali e la strategia di rischio dell'organizzazione.

Inventario dei dispositivi e dei sistemi fisici all'interno dell'organizzazione
Inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione.
Vengono mappati i flussi di comunicazione e di dati all'interno dell'organizzazione.
Catalogazione dei sistemi informativi esterni
Le risorse (ad esempio, hardware, dispositivi, dati e software) sono classificate in base alla loro classificazione e al loro valore aziendale.
Vengono definiti i ruoli e le responsabilità in materia di cybersecurity per tutto il personale e per gli stakeholder esterni (ad esempio, fornitori, clienti, partner).

Ambiente commerciale
La missione, gli obiettivi, gli stakeholder e le attività dell'organizzazione sono compresi e prioritari; queste informazioni sono utilizzate per prendere decisioni sui ruoli, le responsabilità e la gestione del rischio in materia di cybersecurity.

Il ruolo dell'organizzazione nella catena di approvvigionamento viene identificato e comunicato.
Identificazione e comunicazione del ruolo dell'organizzazione nell'infrastruttura critica e nel settore commerciale.
Le priorità per la missione, gli obiettivi e le attività dell'organizzazione sono identificate e comunicate.
Sono identificate le dipendenze e le funzioni critiche per l'erogazione dei servizi critici.
Sono identificati i requisiti di resilienza per supportare l'erogazione dei servizi critici.

La governance
Le politiche, le procedure e i processi per la gestione e il monitoraggio dei requisiti normativi, legali, di rischio, ambientali e operativi dell'organizzazione sono compresi e costituiscono la base per la gestione del rischio di sicurezza informatica..

La politica di sicurezza delle informazioni dell'organizzazione è in vigore.
I ruoli e le responsabilità in materia di sicurezza informatica sono coordinati e allineati con i ruoli interni e i partner esterni.
I requisiti legali e normativi di sicurezza informatica, compresi gli obblighi in materia di privacy e libertà civili, sono compresi e affrontati.
I processi di governance e di gestione del rischio affrontano i rischi di cybersecurity.

Valutazione del rischio
L'organizzazione comprende il rischio di sicurezza informatica per le attività organizzative (comprese missione, funzioni, immagine o reputazione), i beni organizzativi e le persone.

Le vulnerabilità degli asset sono identificate e documentate.
Le informazioni sulle minacce e sulle vulnerabilità vengono ricevute da forum e risorse per la condivisione delle informazioni.
Le minacce, sia interne che esterne, vengono identificate e documentate.
Vengono identificati l'impatto e la probabilità potenziali per il business.
Minacce, vulnerabilità, probabilità e impatto vengono utilizzati per determinare il rischio.
Le misure di rischio vengono identificate e classificate come prioritarie

Strategia di gestione del rischio
Le priorità, i vincoli, le tolleranze di rischio e le ipotesi dell'organizzazione sono identificate e utilizzate per supportare le decisioni sul rischio operativo..

I processi di gestione del rischio sono stabiliti, gestiti e approvati dagli stakeholder dell'organizzazione.
La tolleranza al rischio dell'organizzazione è definita e chiaramente espressa.
L'organizzazione determina la tolleranza al rischio in base al suo ruolo nell'analisi delle infrastrutture critiche e dei rischi specifici del settore.

Proteggere

Controllo degli accessi
L'accesso agli asset e alle strutture associate è limitato agli utenti, ai processi o ai dispositivi autorizzati e alle attività e transazioni autorizzate.

Le identità e le credenziali sono gestite per i dispositivi e gli utenti autorizzati.
L'accesso fisico agli asset è gestito e protetto
L'accesso remoto è gestito
I diritti di accesso sono gestiti rispettando i principi del minimo privilegio e della segregazione dei compiti.
L'integrità della rete è protetta, compresa la segregazione della rete, ove appropriato.

Consapevolezza
Il personale e i partner dell'organizzazione ricevono una formazione in materia di sicurezza informatica e sono adeguatamente formati per svolgere i propri compiti e responsabilità legati alla sicurezza delle informazioni, in conformità con le politiche, le procedure e gli accordi pertinenti.

Tutti gli utenti sono informati e formati
Gli utenti autorizzati comprendono ruoli e responsabilità
Gli stakeholder esterni (ad esempio fornitori, clienti, partner) comprendono i ruoli e le responsabilità
I dirigenti comprendono i ruoli e le responsabilità
Il personale addetto alla sicurezza fisica e informatica comprende ruoli e responsabilità.

Sicurezza dei dati
Le informazioni e le registrazioni (dati) sono gestite in linea con la strategia di rischio dell'organizzazione per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni.

I dati a riposo sono protetti
I dati in transito sono protetti
Gli asset sono gestiti formalmente durante la dismissione, il trasferimento e l'alienazione
Viene mantenuta una capacità sufficiente per garantire la disponibilità
Vengono implementate misure di protezione contro la perdita di dati
Vengono utilizzati meccanismi di controllo dell'integrità per verificare l'integrità di software, firmware e informazioni.
Gli ambienti di sviluppo e di test sono separati dall'ambiente di produzione.

Processo e procedure di sicurezza delle informazioni
Processi e procedure di sicurezza delle informazioni (PR.IP): Le politiche di sicurezza (che coprono lo scopo, il campo di applicazione, i ruoli, le responsabilità, l'impegno della direzione e il coordinamento tra le entità organizzative), i processi e le procedure sono mantenuti e utilizzati per gestire la protezione dei sistemi e degli asset informativi.

Viene stabilita e mantenuta una configurazione di base dei sistemi di controllo informatico/industriale.
È stato implementato un ciclo di sviluppo per la gestione dei sistemi.
Esistono processi di controllo per le modifiche alla configurazione.
I backup delle informazioni sono stabiliti, mantenuti e testati periodicamente.
Vengono rispettate le politiche e i regolamenti relativi all'ambiente fisico operativo dell'organizzazione per gli asset.
I dati vengono distrutti secondo la politica.
I processi di sicurezza vengono continuamente migliorati.
L'efficacia delle tecnologie di protezione è condivisa con le parti interessate I piani di risposta (Incident Response e Business Continuity) e di ripristino (Incident Recovery e Disaster Recovery) sono predisposti e gestiti.
I piani di risposta e di ripristino sono testati
La sicurezza informatica è inclusa nelle politiche del personale (ad esempio, lo screening del personale).
Viene sviluppato e implementato un piano di gestione delle vulnerabilità

Manutenzione
La manutenzione e le riparazioni dei componenti del sistema di controllo industriale e del sistema informativo vengono eseguite in conformità alle politiche e alle procedure.

La manutenzione e la riparazione degli asset organizzativi sono eseguite e registrate in modo tempestivo, utilizzando strumenti approvati e controllati.
La manutenzione remota dei beni dell'organizzazione è approvata, registrata ed eseguita in modo da impedire l'accesso non autorizzato.

Tecnologia di protezione
Le soluzioni tecniche di sicurezza sono gestite per garantire la sicurezza e la resilienza dei sistemi e degli asset, in conformità con le relative politiche, procedure e accordi.

Le registrazioni di audit/log sono determinate, documentate, implementate e riviste in conformità con la politica.
I supporti rimovibili sono protetti e il loro uso è limitato in conformità alla politica.
L'accesso ai sistemi e agli asset è controllato, rispettando il principio della minima funzionalità.
Le reti di comunicazione e controllo sono protette

Rilevare

Anomalie ed eventi
Le anomalie vengono rilevate tempestivamente e il potenziale impatto degli eventi viene compreso.

Viene stabilita e gestita una linea di base delle operazioni di rete e dei flussi di dati previsti per gli utenti e i sistemi.
Gli eventi osservati vengono analizzati per comprendere gli obiettivi e i metodi di attacco.
I dati degli eventi vengono aggregati e correlati da più fonti e sensori.
Si determina l'impatto degli eventi e si stabiliscono le soglie per gli avvisi di incidente.

Monitoraggio continuo della sicurezza
Il sistema informativo e gli asset sono monitorati a intervalli discreti per identificare gli eventi di sicurezza informatica e verificare l'efficacia delle misure di protezione.

La rete viene monitorata per rilevare potenziali eventi di sicurezza informatica.
L'ambiente fisico è monitorato per rilevare potenziali eventi di sicurezza informatica.
Le attività del personale sono monitorate per rilevare potenziali eventi di sicurezza informatica.
Rilevamento di codice dannoso
Rilevamento di codice mobile non autorizzato
L'attività dei fornitori di servizi esterni viene monitorata per rilevare potenziali eventi di sicurezza informatica.
Vengono effettuati controlli su personale non autorizzato, connessioni non autorizzate, dispositivi non autorizzati e software non autorizzati.
Vengono eseguite scansioni delle vulnerabilità


Processi di rilevamento
I processi e le procedure di rilevamento sono mantenuti e testati per garantire una consapevolezza tempestiva e adeguata degli eventi anomali.

Rispondere

Pianificazione della risposta
I processi e le procedure di risposta sono implementati e mantenuti, per garantire una risposta tempestiva agli eventi di sicurezza informatica rilevati.

Il piano di risposta viene attuato durante o dopo un evento

Comunicazioni
Le attività di risposta sono coordinate con le parti interessate interne ed esterne, come appropriato, compreso il supporto esterno delle forze dell'ordine.

Il personale conosce il proprio ruolo e la sequenza delle operazioni quando è richiesta una risposta.
Gli eventi vengono segnalati secondo i criteri stabiliti
Le informazioni sono condivise in conformità ai piani di risposta
Il coordinamento con le parti interessate avviene in conformità ai piani di risposta.
Condivisione volontaria delle informazioni con gli stakeholder esterni per ottenere una più ampia consapevolezza della situazione in materia di cybersecurity.

Analisi
L'analisi viene effettuata per garantire una risposta adeguata e supportare le attività di recupero.

Vengono analizzate le segnalazioni dei sistemi di rilevamento
Viene compreso l'impatto dell'incidente
Vengono effettuate indagini forensi
Gli incidenti vengono classificati in base ai piani di risposta.

Mitigazione
Le attività vengono svolte per prevenire la diffusione di un evento, mitigarne le conseguenze ed eliminare l'incidente.

Gli incidenti sono contenuti
Gli incidenti sono mitigati
Le vulnerabilità appena identificate sono mitigate o documentate come rischio accettato

Miglioramenti
Le attività di risposta dell'organizzazione vengono migliorate traendo insegnamenti dalle attività di rilevamento/risposta attuali e precedenti.

I piani di risposta includono le lezioni apprese
Le strategie di risposta sono state aggiornate

Ripristino

Pianificazione del recupero
I processi e le procedure di ripristino sono implementati e mantenuti per garantire il ripristino tempestivo dei sistemi o degli asset colpiti da eventi di sicurezza informatica.

Il piano di recupero sarà attuato durante o dopo un evento.

Miglioramenti
La pianificazione e i processi di recupero saranno migliorati incorporando le lezioni apprese nelle attività future.

I piani di recupero incorporano le lezioni apprese.
Le strategie di recupero sono aggiornate

Comunicazioni
Le attività di recupero sono coordinate con parti interne ed esterne, come i centri di coordinamento, i fornitori di servizi Internet, i proprietari dei sistemi attaccati, le vittime, altri CSIRT e i fornitori.

Gestione delle relazioni pubbliche
Ripristino della reputazione post-evento
Le attività di recupero sono comunicate agli stakeholder interni e ai team di gestione ed esecutivi

System.InvalidCastException: Unable to cast object of type 'System.Xml.XmlDocument' to type 'System.Xml.XmlElement'.
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.DetermineRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.GetRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.Routing.DefaultUrlProvider.GetUrl(UmbracoContext umbracoContext, Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Routing.UrlProvider.<>c__DisplayClass16_0.<GetUrl>b__0(IUrlProvider provider)
   at System.Linq.Enumerable.WhereSelectArrayIterator`2.MoveNext()
   at System.Linq.Enumerable.FirstOrDefault[TSource](IEnumerable`1 source, Func`2 predicate)
   at Umbraco.Web.Routing.UrlProvider.GetUrl(Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text, UrlProvider urlProvider)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text)
   at ASP._Page_Views_Partials_grid_editors_rte_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Rte.cshtml:line 5
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy()
   at System.Web.Mvc.WebViewPage.ExecutePageHierarchy()
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy(WebPageContext pageContext, TextWriter writer, WebPageRenderingBase startPage)
   at System.Web.Mvc.RazorView.RenderView(ViewContext viewContext, TextWriter writer, Object instance)
   at System.Web.Mvc.BuildManagerCompiledView.Render(ViewContext viewContext, TextWriter writer)
   at Umbraco.Core.Profiling.ProfilingView.Render(ViewContext viewContext, TextWriter writer)
   at System.Web.Mvc.HtmlHelper.RenderPartialInternal(String partialViewName, ViewDataDictionary viewData, Object model, TextWriter writer, ViewEngineCollection viewEngineCollection)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model, ViewDataDictionary viewData)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model)
   at ASP._Page_Views_Partials_grid_editors_base_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Base.cshtml:line 20