NIST Cybersecurity Framework include funzioni, categorie, sottocategorie e riferimenti informativi.
Le funzioni offrono una panoramica generale dei protocolli di sicurezza delle best practice. Le funzioni non sono da intendersi come fasi procedurali ma devono essere eseguite "contemporaneamente e continuamente per formare una cultura operativa che si occupi dei rischi dinamici per la sicurezza informatica". Le categorie e le sottocategorie forniscono dei piani d'azione più concreti per reparti o processi specifici all'interno di un'organizzazione.
Tra gli esempi di funzioni e categorie NIST è incluso quanto segue:
- Identificazione: per proteggere dagli attacchi informatici, il team di sicurezza informatica deve comprendere in modo approfondito quali sono gli asset e le risorse più importanti dell'organizzazione. La funzione di identificazione include categorie come la gestione degli asset, l'ambiente aziendale, la governance, la valutazione dei rischi, la strategia di gestione dei rischi e la gestione dei rischi della supply chain.
- Protezione: la funzione di protezione copre gran parte dei controlli di sicurezza tecnici e fisici per lo sviluppo e l'implementazione di misure di sicurezza appropriate e la protezione delle infrastrutture critiche. Queste categorie sono la gestione delle identità e il controllo degli accessi, la consapevolezza e la formazione, la sicurezza dei dati, i processi e le procedure di protezione delle informazioni, la manutenzione e la tecnologia di protezione.
- Rilevamento: la funzione di rilevamento implementa misure che avvertono un'organizzazione degli attacchi informatici. Le categorie di rilevamento includono le anomalie e gli eventi, il monitoraggio continuo della sicurezza e i processi di rilevamento.
- Risposta: le categorie della funzione di risposta garantiscono un'appropriata risposta agli attacchi informatici e ad altri eventi di sicurezza informatica. Le categorie specifiche includono la pianificazione delle risposte, le comunicazioni, l'analisi, la mitigazione e i miglioramenti.
- Ripristino: le attività di ripristino implementano piani per la resilienza informatica e assicurano la business continuity in caso di un attacco informatico, di una violazione della sicurezza o di un altro evento di sicurezza informatica. Le funzioni di ripristino consistono in miglioramenti della pianificazione del ripristino e delle comunicazioni.
I riferimenti informativi del NIST CSF tracciano una correlazione diretta tra le funzioni, le categorie, le sottocategorie e i controlli di sicurezza specifici di altri quadri. Questi quadri includono il CIS (Center for Internet Security) Controls®, COBIT 5, ISA (International Society of Automation) 62443-2-1:2009, ISA 62443-3-3:2013, International Organization for Standardization e International Electrotechnical Commission 27001:2013 e NIST SP 800-53 Rev. 4.
Il NIST CSF non indica come inventariare dispositivi e sistemi fisici o piattaforme e applicazioni software e si limita a fornire un elenco di controllo delle attività da completare. Un'organizzazione può scegliere in autonomia come eseguire l'inventario. Se ha bisogno di ulteriori orientamenti, un'organizzazione può consultare i riferimenti informativi ai controlli correlati in altri standard complementari. Nel CSF, è possibile scegliere con ampia libertà gli strumenti che rispondono meglio alle esigenze di gestione dei rischi per la sicurezza informatica di un'organizzazione.