Was ist das NIST Cybersicherheit Framework?

Das National Institute of Standards and Technology (NIST) ist eine nicht behördliche Behörde, die Innovationen durch die Weiterentwicklung von Messtechnik, Normen und Technologien fördert.

Das NIST CSF ist flexibel genug, um sich in die bestehenden Sicherheitsprozesse in jedem Unternehmen und in jeder Branche zu integrieren. Es bietet einen hervorragenden Ausgangspunkt für die Implementierung von Informationssicherheits- und Cybersicherheitsrisikomanagement in praktisch jedem Unternehmen in den Vereinigten Staaten.

Am 12. Februar 2013 wurde die Executive Order (EO) 13636 „Improving Critical Infrastructure Cybersecurity“ erlassen. Damit begann die Zusammenarbeit des NIST mit dem US-Privatsektor, „um bestehende freiwillige Konsensstandards und Best Practices der Branche zu identifizieren und sie in ein Framework für die Cybersicherheit zu integrieren“. Die Ergebnisse dieser Zusammenarbeit waren das NIST Cybersicherheit Framework Version 1.0.

Mit dem Cybersecurity Enhancement Act (CEA) von 2014 wurde die Entwicklung des Cybersicherheit Framework von NIST verstärkt. Auch heute noch ist das NIST CSF eines der am weitesten verbreiteten Sicherheits-Frameworks in allen US-Branchen.

Das NIST Cybersicherheit Framework umfasst Funktionen, Kategorien, Unterkategorien und informative Referenzen.

Die Funktionen geben einen allgemeinen Überblick über Sicherheitsprotokolle und Best Practices. Funktionen sind nicht als Verfahrensschritte gedacht, sondern werden „gleichzeitig und kontinuierlich ausgeführt, um eine Betriebskultur zu bilden, die das dynamische Cybersicherheitsrisiko anspricht“. Kategorien und Unterkategorien bieten konkretere Aktionspläne für bestimmte Abteilungen oder Prozesse innerhalb eines Unternehmens.

Beispiele für NIST-Funktionen und Kategorien sind:

• Identifizieren: Zum Schutz vor Cyberangriffen benötigt das Cybersicherheitsteam ein gründliches Verständnis der wichtigsten Assets und Ressourcen des Unternehmens. Die Identifizierungsfunktion umfasst Kategorien wie Asset-Management, das Geschäftsumfeld, Governance, Risikobewertung, Risikomanagementstrategie und Risikomanagement in der Lieferkette.
  
  
• Schützen: Die Schutzfunktion umfasst einen Großteil der technischen und physischen Sicherheitskontrollen für die Entwicklung und Umsetzung geeigneter Schutzmaßnahmen und den Schutz kritischer Infrastrukturen. Diese Kategorien sind Identitätsmanagement und Zugriffskontrolle, Sensibilisierung und Schulung, Datensicherheit, Prozesse und Verfahren zum Informationsschutz, Wartung und Schutztechnologie.
  
  
• Erkennen: Die Erkennungsfunktion implementiert Maßnahmen, die ein Unternehmen vor Cyberangriffen warnen. Zu den Erkennungskategorien gehören Anomalien und Ereignisse, Sicherheit, kontinuierliche Überwachung und detection Prozesse.
  
  
• Reagieren: Die Reaktionsfunktionskategorien stellen eine geeignete Reaktion auf Cyberangriffe und andere Cybersicherheitsereignisse sicher. Zu den Kategorien gehören Antwortplanung, Kommunikation, Analyse, Minderung und Verbesserungen.
  
  
• Recovery-Aktivitäten setzen Pläne für die Cyberresilienz um und tragen dazu bei, die Geschäftskontinuität im Falle eines Cyberangriffs, einer Sicherheitsverletzung oder eines anderen Cybersicherheitsvorfalls sicherzustellen. Die Wiederherstellungsfunktionen sind Verbesserungen der Wiederherstellungsplanung und der Kommunikation.

Die informativen Verweise des NIST CSF stellen eine direkte Korrelation zwischen den Funktionen, categories, Unterkategorien und den spezifischen Sicherheitskontrollen anderer Framework her. Zu diesen Frameworks gehören:

1. The Center for Internet Security (CIS) Controls®
2. COBIT 5
3. International Society of Automation (ISA) 62443-2-1:2009
4. ISA 62443-3-3:2013
5. International Organization for Standardization and the International Electrotechnical Commission 27001:2013
6. NIST SP 800-53 Rev. 4
   

Das NIST CSF sagt nicht, wie die physischen Geräte und Systeme zu inventarisieren sind oder wie die Softwareplattformen und Anwendungen zu inventarisieren sind; es bietet lediglich eine Checkliste mit den zu erledigenden Aufgaben. Ein Unternehmen kann seine eigene Methode zur Durchführung der Bestandsaufnahme wählen.

Wenn ein Unternehmen weitere Leitlinien benötigt, kann es auf die informativen Verweise auf entsprechende Kontrollen in anderen ergänzenden Standards verweisen. Der CSF lässt viel Spielraum bei der Auswahl der Tools, die den Anforderungen eines Unternehmens an das Cybersicherheitsrisiko-Management am besten entsprechen.

Um Unternehmen des privaten Sektors dabei zu helfen, ihren Fortschritt bei der Umsetzung des NIST Cybersicherheit Framework zu messen, identifiziert das Framework vier Implementierungsstufen:

• Stufe 1 – Teilweise: Das Unternehmen ist mit dem NIST CSF vertraut und hat möglicherweise einige Aspekte der Kontrolle in einigen Bereichen der Infrastruktur implementiert. Die Umsetzung von Cybersicherheitsaktivitäten und -protokollen war eher reaktiv als geplant. Das Unternehmen ist sich nur begrenzt der Cybersicherheitsrisiken bewusst und verfügt nicht über die Prozesse und Ressourcen, um die Informationssicherheit zu gewährleisten.
  
  
• Stufe 2 – Risikoinformiert: Das Unternehmen ist sich der Cybersicherheitsrisiken bewusst und teilt Informationen auf einer informellen Basis aus. Es fehlt an einem geplanten, wiederholbaren und proaktiven Unternehmen Prozess für das Management von Cybersicherheitsrisiko.
  
  
• Stufe 3 – Wiederholbar: Das Unternehmen und seine leitenden Angestellten sind sich der Cybersicherheitsrisiko bewusst. Sie haben einen wiederholbaren, unternehmensweiten Plan für das Management von Cybersicherheitsrisiko implementiert. Das Cybersicherheitsteam hat einen Aktionsplan erstellt, um Cyberangriffe zu überwachen und effektiv darauf zu reagieren.
  
  
• Stufe 4 – Adaptiv: Das Unternehmen ist nun Resilient und nutzt Erkenntnisse und Vorhersageindikatoren, um Cyberangriffe zu verhindern. Das Cybersicherheitsteam verbessert und entwickelt die Cybersicherheitstechnologien und -praktiken des Unternehmens kontinuierlich weiter und passt sich schnell und effizient an Veränderungen der Bedrohungen an. Es gibt einen unternehmensweiten Ansatz für das Management des Informationssicherheitsrisikos mit risikoinformierten Entscheidungsfindung, Richtlinien, Verfahren und Prozessen. Adaptive Organisationen beziehen das Management von Cybersicherheitsrisiko in Budgetentscheidungen und die Unternehmenskultur ein.

Das NIST Cybersicherheits-Framework bietet eine Schritt-für-Schritt-Anleitung, wie Sie ein Programm für das Management von Informationssicherheitsrisiken einrichten oder verbessern können:

1. Priorisierung und Umfang: Schaffen einer klaren Vorstellung vom Umfang des Projekts und Identifizieren der Prioritäten. Festlegen der übergeordneten Geschäfts- oder Missionsziele und des Geschäftsbedarfs und Bestimmen der Risikotoleranz des Unternehmens.
   
   
2. Orientierung: Bewerten der Assets und Systeme des Unternehmens und Identifizieren der geltenden Vorschriften, des Risikoansatzes und der Bedrohungen für das Unternehmen.
   
   
3. Erstellen eines aktuellen Profils: Ein aktuelles Profil ist eine Momentaufnahme des Risikomanagements des Unternehmens, das durch die Kategorien und Unterkategorien des CSF definiert ist.
   
   
4. Durchführung einer Bewertung: Bewerten der Betriebsumgebung, neuer Risiken und Informationen zu Cybersicherheit, um die Wahrscheinlichkeit und den Schweregrad eines Cybersicherheitsereignisses zu ermitteln.
   
   
5. Erstellen Sie ein Zielprofil: Ein Zielprofil stellt das Risikomanagementziel des Informationssicherheitsteams dar.
   
   
6. Ermittlung, Analyse und Priorisierung von Lücken: Durch die Identifizierung der Lücken zwischen dem aktuellen und dem Zielprofil kann das Informationssicherheitsteam einen Aktionsplan mit messbaren Meilensteinen und Ressourcen (Personal, Budget, Zeit) erstellen, die zum Schließen dieser Lücken erforderlich sind.
   
   
7. Aktionsplan implementieren: Umsetzen des in Schritt 6 definierten Aktionsplans.