Apa itu Kerangka Kerja Keamanan Siber NIST?

Apa itu Kerangka Kerja Keamanan Siber NIST?

Kerangka Kerja Keamanan Siber NIST (NIST CSF) memberikan panduan komprehensif dan praktik terbaik yang dapat diikuti oleh organisasi sektor swasta untuk meningkatkan keamanan informasi dan manajemen risiko keamanan siber.

Institut Standar dan Teknologi Nasional (NIST) adalah lembaga bukan pembuat regulasi yang mempromosikan inovasi dengan memajukan ilmu pengukuran, standar, dan teknologi.

NIST CSF cukup fleksibel untuk diintegrasikan dengan proses keamanan yang ada di organisasi dan industri apa pun. Ini memberikan titik awal yang sangat baik untuk menerapkan manajemen risiko keamanan informasi dan keamanan siber di hampir semua organisasi sektor swasta di Amerika Serikat.

Sejarah Kerangka Kerja Keamanan Siber NIST

Pada tanggal 12 Februari 2013, Perintah Eksekutif (EO) 13636 "Meningkatkan Keamanan Siber Infrastruktur Penting" dikeluarkan. Perintah ini mengawali kerja NIST dengan sektor swasta AS untuk "mengidentifikasi standar konsensus sukarela yang ada dan praktik terbaik industri untuk membangunnya menjadi Kerangka Kerja Keamanan Siber. " Hasil dari kolaborasi ini adalah Kerangka Kerja Keamanan siber NIST Versi 1.0.

Undang-Undang Peningkatan Keamanan Siber (CEA) tahun 2014 memperluas upaya NIST dalam mengembangkan Kerangka Kerja Keamanan Siber. Saat ini, NIST CSF masih merupakan salah satu kerangka kerja keamanan yang paling banyak diadopsi di semua industri AS.

Struktur inti Kerangka Kerja Keamanan Siber NIST

Kerangka Kerja Keamanan Siber NIST mencakup fungsi, kategori, subkategori, dan referensi informatif.

Fungsi memberikan ikhtisar tentang protokol keamanan praktik terbaik. Fungsi tidak dimaksudkan untuk menjadi langkah prosedural, tetapi dilakukan “secara bersamaan dan terus-menerus untuk membentuk budaya operasional yang mengatasi risiko keamanan siber yang dinamis.” Kategori dan subkategori memberikan rencana tindakan yang lebih konkret untuk departemen atau proses tertentu dalam organisasi.

Contoh fungsi dan kategori NIST meliputi:

  • Identifikasi: Untuk melindungi dari serangan siber, tim keamanan siber membutuhkan pemahaman menyeluruh tentang aset dan sumber daya organisasi yang paling penting. Fungsi identifikasi mencakup kategori seperti manajemen aset, lingkungan bisnis, tata kelola, penilaian risiko, strategi manajemen risiko, dan manajemen risiko rantai pasokan.

  • Perlindungan: Fungsi perlindungan mencakup banyak kontrol keamanan teknis dan fisik untuk mengembangkan dan menerapkan penjagaan yang tepat dan melindungi infrastruktur penting. Semua kategori tersebut adalah manajemen identitas dan kontrol akses, kesadaran dan pelatihan, keamanan data, proses dan prosedur perlindungan informasi, teknologi pemeliharaan dan perlindungan.

  • Deteksi: Fungsi deteksi mengimplementasikan langkah-langkah yang memperingatkan organisasi terhadap serangan siber. Kategori deteksi mencakup anomali dan peristiwa, keamanan, pemantauan berkelanjutan, dan proses deteksi.

  • Tanggapan: Kategori fungsi tanggapan memastikan respons yang tepat terhadap serangan siber dan peristiwa keamanan siber lainnya. Kategori spesifik meliputi perencanaan respons, komunikasi, analisis, mitigasi, dan perbaikan.

  • Pemulihan: Kegiatan pemulihan menerapkan rencana ketahanan siber dan memastikan keberlangsungan bisnis jika terjadi serangan siber, pelanggaran keamanan, atau peristiwa keamanan siber lainnya. Fungsi pemulihan adalah perbaikan perencanaan pemulihan dan komunikasi.

Referensi informatif NIST CSF membuat korelasi langsung antara fungsi, kategori, subkategori, dan kontrol keamanan spesifik dari kerangka kerja lain. Kerangka kerja tersebut termasuk:

  1. Center for Internet Security (CIS) Controls
  2. COBIT 5
  3. International Society of Automation (ISA) 62443-2-1:2009
  4. ISA 62443-3-3:2013
  5. Organisasi Internasional untuk Standardisasi dan Komisi Elektroteknik Internasional 27001:2013
  6. NIST SP 800-53 Rev. 4

NIST CSF tidak memberi tahu cara menginventarisasi perangkat dan sistem fisik atau cara menginventarisasi platform perangkat lunak dan aplikasi; CSF hanya menyediakan daftar tugas yang harus diselesaikan. Sebuah organisasi dapat memilih metode sendiri tentang cara melakukan inventarisasi.

Jika membutuhkan panduan lebih lanjut, organisasi dapat merujuk ke referensi informatif untuk kontrol terkait dalam standar pelengkap lainnya. Terdapat banyak kebebasan dalam CSF untuk memilih alat yang paling sesuai dengan kebutuhan manajemen risiko keamanan siber organisasi.

Tingkat implementasi Kerangka Kerja NIST

Untuk membantu organisasi sektor swasta mengukur kemajuan mereka menuju penerapan Kerangka Kerja Keamanan Siber NIST, kerangka kerja ini mengidentifikasi empat tingkatan implementasi:

  • Tingkat 1 – Sebagian: Organisasi sudah terbiasa dengan NIST CSF dan mungkin telah menerapkan beberapa aspek kontrol di beberapa area infrastruktur. Implementasi aktivitas dan protokol keamanan siber bersifat reaktif, tidak direncanakan. Organisasi memiliki kesadaran terbatas tentang risiko keamanan siber dan tidak memiliki proses dan sumber daya untuk memungkinkan keamanan informasi.

  • Tingkat 2 – Berbasis risiko: Organisasi lebih sadar akan risiko keamanan siber dan berbagi informasi secara informal. Tidak memiliki proses manajemen risiko keamanan siber yang terencana, dapat diulang, dan proaktif di seluruh organisasi.

  • Tingkat 3 – Dapat diulang: Organisasi dan para eksekutif seniornya sadar akan risiko keamanan siber. Mereka telah menerapkan rencana manajemen risiko keamanan siber di seluruh organisasi yang dapat diulang. Tim keamanan siber telah membuat rencana tindakan untuk memantau dan merespons serangan siber secara efektif.

  • Tier 4 – Adaptif: Organisasi ini sekarang tangguh terhadap siber dan menggunakan pelajaran yang dipetik serta indikator prediktif untuk mencegah serangan siber. Tim keamanan siber terus meningkatkan dan memajukan teknologi dan praktik keamanan siber organisasi dan beradaptasi dengan perubahan dalam ancaman dengan cepat dan efisien. Terdapat pendekatan di seluruh organisasi terhadap manajemen risiko keamanan informasi dengan pengambilan keputusan, kebijakan, prosedur, dan proses yang berbasis risiko. Organisasi yang adaptif menggabungkan manajemen risiko keamanan siber ke dalam keputusan anggaran dan budaya organisasi.

Membuat program manajemen risiko keamanan siber berdasarkan Kerangka Kerja NIST

Kerangka Kerja Keamanan Siber NIST memberikan panduan langkah demi langkah tentang cara membuat atau meningkatkan program manajemen risiko keamanan informasi mereka:

  1. Tentukan prioritas dan ruang lingkup: Buatlah gagasan yang jelas tentang ruang lingkup proyek dan identifikasi prioritasnya. Tetapkan tujuan bisnis atau misi tingkat tinggi, kebutuhan bisnis, dan tentukan toleransi organisasi terhadap risiko.

  2. Orientasi: Menilai aset dan sistem organisasi serta mengidentifikasi regulasi yang berlaku, pendekatan risiko, dan ancaman terhadap organisasi.

  3. Buat profil saat ini: Profil saat ini adalah cuplikan tentang bagaimana organisasi mengelola risiko seperti yang ditentukan oleh kategori dan subkategori CSF.

  4. Lakukan penilaian risiko: Evaluasi lingkungan operasional, risiko yang muncul, dan informasi ancaman keamanan siber untuk menentukan probabilitas dan tingkat keparahan peristiwa keamanan siber.

  5. Buat profil target: Profil target menggambarkan tujuan manajemen risiko dari tim keamanan informasi.

  6. Tentukan, analisis, dan prioritaskan kesenjangan: Dengan mengidentifikasi kesenjangan antara profil saat ini dan profil target, tim keamanan informasi bisa membuat rencana tindakan, termasuk pencapaian terukur dan sumber daya (orang, anggaran, waktu) yang diperlukan untuk mengisi kesenjangan ini.

  7. Terapkan rencana aksi: Menerapkan rencana tindakan yang telah ditetapkan dalam Langkah 6.