Förvaltning av tillgångar

Data, personal, enheter, system och anläggningar som gör det möjligt för organisationen att uppnå sina affärsmål identifieras och hanteras enligt deras relativa betydelse för organisationens affärsmål och riskstrategi.

Fysiska enheter och system inom organisationen inventeras.
Programvaruplattformar och applikationer inom organisationen inventeras.
Kommunikations- och dataflöden inom organisationen kartläggs.
Externa informationssystem katalogiseras
Resurser (t.ex. hårdvara, enheter, data och programvara) prioriteras enligt deras klassificering och affärsvärde
Roller och ansvarsområden för cybersäkerhet för all personal och externa intressenter (t.ex. leverantörer, kunder, partner) definieras.

Företagsklimat

Organisationens uppdrag, mål, intressenter och verksamhet förstås och prioriteras; denna information används för att fatta beslut om roller, ansvarsområden och riskhantering inom cybersäkerhet.

Organisationens roll i leveranskedjan identifieras och kommuniceras
Organisationens plats i den kritiska infrastrukturen och affärssektorn identifieras och kommuniceras.
Prioriteringarna för organisationens uppdrag, mål och verksamhet identifieras och kommuniceras.
Beroenden och kritiska funktioner för leverans av kritiska tjänster identifieras.
Krav på motståndskraft för att stödja leveransen av kritiska tjänster identifieras.

Styrning

Policyer, rutiner och processer för hantering och övervakning av organisationens krav avseende reglering, lagar, risker, miljö och verksamhet är kända och utgör grunden för riskhanteringen avseende cybersäkerhet.

Organisationens policy för informationssäkerhet finns på plats.
Roller och ansvarsområden för informationssäkerhet är samordnade och anpassade till interna roller och externa partner.
Rättsliga och regulatoriska krav på cybersäkerhet, inklusive krav på integritet och medborgerliga friheter, förstås och hanteras.
Processer för styrning och riskhantering hanterar cybersäkerhetsrisker.

Kontroll av åtkomst

Tillgång till tillgångar och tillhörande faciliteter är begränsad till behöriga användare, processer eller enheter, och till behöriga aktiviteter och transaktioner.

Identiteter och referenser hanteras för behöriga enheter och användare
Fysisk åtkomst till tillgångar hanteras och skyddas
Fjärråtkomst hanteras.
Åtkomsträttigheter hanteras med respekt för principerna om minsta möjliga privilegium och åtskillnad av arbetsuppgifter.
Nätverksintegritet skyddas, inklusive nätverkssegregering där så är lämpligt.

Medvetenhet

Organisationens personal och partner får utbildning i cybersäkerhet och är tillräckligt utbildade för att utföra sina informationssäkerhetsrelaterade uppgifter och ansvarsområden i enlighet med relevanta policyer, förfaranden och avtal.

Alla användare informeras och utbildas
Behöriga användare förstår sina roller och sitt ansvar
Externa intressenter (t.ex. leverantörer, kunder, partner) förstår roller och ansvarsområden
Högre chefer förstår roller och ansvar
Personal inom fysisk säkerhet och informationssäkerhet förstår sina roller och sitt ansvar

Datasäkerhet

Information och register (data) hanteras i linje med organisationens riskstrategi för att skydda informationens konfidentialitet, integritet och tillgänglighet.

Data i vila skyddas
Data i transit skyddas.
Tillgångar hanteras formellt under avyttring, överföring och disposition
Tillräcklig kapacitet upprätthålls för att säkerställa tillgänglighet
Skyddsåtgärder mot dataläckage implementeras
Mekanismer för integritetskontroll används för att verifiera integriteten hos programvara, fast programvara och information
Utvecklings- och testmiljöerna är separerade från produktionsmiljön.

Processer och förfaranden för informationssäkerhet

Processer och förfaranden för informationssäkerhet (PR.IP): Säkerhetspolicyer (som omfattar syfte, omfattning, roller, ansvar, ledningens åtagande och samordning mellan organisatoriska enheter), processer och förfaranden upprätthålls och används för att hantera skyddet av informationssystem och tillgångar.

En grundläggande konfiguration av informationstekniska/industriella kontrollsystem har upprättats och underhålls.
En systemutvecklingscykel för hantering av system har införts.
Det finns kontrollprocesser för konfigurationsändringar.
Säkerhetskopior av information upprättas, underhålls och testas regelbundet.
Policyer och regelverk avseende organisationens fysiska driftmiljö för tillgångar efterlevs.
Data förstörs enligt policy.
Säkerhetsprocesserna förbättras kontinuerligt.
Skyddsteknikernas effektivitet delas med lämpliga parter insatsplaner (Incident Response och Business Continuity) och återhämtningsplaner (Incident Recovery och Disaster Recovery) finns på plats och hanteras
Planer för respons och återhämtning testas
Cybersäkerhet ingår i personalpolicyn (t.ex. personalkontroller)
En plan för sårbarhetshantering har tagits fram och genomförts

Underhåll

Underhåll och reparationer av komponenter i industriella styr- och informationssystem utförs i enlighet med riktlinjer och rutiner.

Underhåll och reparation av organisationens tillgångar utförs och registreras i rätt tid med hjälp av godkända och kontrollerade verktyg.
Fjärrunderhåll av organisationens tillgångar godkänns, registreras och utförs på ett sätt som förhindrar obehörig åtkomst.

Skyddande teknik

Tekniska säkerhetslösningar hanteras för att säkerställa systemens och tillgångarnas säkerhet och motståndskraft, i enlighet med tillhörande policyer, förfaranden och avtal.

Revisions- och loggregister fastställs, dokumenteras, genomförs och granskas i enlighet med policyn.
Flyttbara medier skyddas och användningen av dem begränsas i enlighet med policyn.
Tillgång till system och tillgångar kontrolleras med beaktande av principen om minsta möjliga funktionalitet.
Kommunikations- och kontrollnätverk är skyddade.

Anomalier och händelser

Avvikelser upptäcks i god tid och den potentiella effekten av händelser förstås.

En baslinje för nätverksdrift och förväntade dataflöden för användare och system upprättas och hanteras.
Observerade händelser analyseras för att förstå mål och metoder för angrepp.
Händelsedata aggregeras och korreleras från flera källor och sensorer
Händelsernas påverkan fastställs och tröskelvärden för incidentvarningar sätts

Kontinuerlig övervakning av säkerheten

Informationssystemet och tillgångarna övervakas med diskreta intervall för att identifiera cybersäkerhetshändelser och verifiera skyddsåtgärdernas effektivitet.

Nätverket övervakas för att upptäcka potentiella cybersäkerhetshändelser.
Den fysiska miljön övervakas för att upptäcka potentiella cybersäkerhetshändelser.
Personalens aktiviteter övervakas för att upptäcka potentiella cybersäkerhetshändelser.
Skadlig kod upptäcks
Obehörig mobil kod upptäcks
Externa tjänsteleverantörers aktiviteter övervakas för att upptäcka potentiella cybersäkerhetshändelser
Kontroller görs av obehörig personal, obehöriga anslutningar, obehöriga enheter och obehörig programvara
Sökningar efter sårbarheter utförs

Processer för detektering
Processer och förfaranden för att upptäcka avvikelser upprätthålls och testas för att säkerställa att avvikande händelser uppmärksammas i tid och på lämpligt sätt.

Planering av insatser

Processer och förfaranden för respons implementeras och underhålls för att säkerställa snabb respons på upptäckta cybersäkerhetshändelser.

Svarsplanen genomförs under eller efter en händelse

Kommunikation

Insatserna samordnas med interna och externa intressenter på lämpligt sätt, inklusive externt stöd från brottsbekämpande myndigheter.

Personalen känner till sin roll och arbetsgången när en insats krävs.
Händelser rapporteras i enlighet med fastställda kriterier.
Information delas i enlighet med insatsplaner
Samordning med intressenter sker i enlighet med insatsplanerna
Frivilligt informationsutbyte med externa intressenter för att uppnå en bredare situationsmedvetenhet om cybersäkerhet

Analys

Analyser genomförs för att säkerställa adekvata insatser och stödja återhämtningsaktiviteter.

Rapporter från detekteringssystem undersöks.
Konsekvenserna av incidenten förstås.
Forensiska undersökningar genomförs.
Incidenter kategoriseras i enlighet med insatsplaner

Planering av återhämtning

Processer och förfaranden för återhämtning genomförs och upprätthålls för att säkerställa snabb återhämtning av system eller tillgångar som påverkas av cybersäkerhetshändelser.

Återställningsplanen kommer att genomföras under eller efter en händelse.

Förbättringar

Planering och processer för återhämtning kommer att förbättras genom att lärdomar införlivas i framtida aktiviteter.

Återhämtningsplanerna innehåller lärdomar.
Återhämtningsstrategierna är uppdaterade

Kommunikation

Återställningsarbetet samordnas med interna och externa parter, t.ex. samordningscentraler, Internetleverantörer, ägare av angripna system, offer, andra CSIRT-enheter och försäljare.

De offentliga relationerna hanteras.
Ryktet efter händelsen återställs.
Återställningsaktiviteterna kommuniceras till interna intressenter och ledningsgrupper