NISTs Cybersecurity Framework 2.0: Was ist neu und wie man anfängt
Inhaltsverzeichnis:
Cyber-Risikomanagement kann nicht im luftleeren Raum leben. Auch wenn die Best Practices auf hoher Ebene über Jahre hinweg weitgehend gleich bleiben, haben sich sowohl die Bedrohungslandschaft als auch die Herausforderungen, vor denen Compliance-Teams stehen, im letzten Jahrzehnt erheblich weiterentwickelt. Aus diesem Grund ist eine Auffrischung eine der beliebtesten Richtlinien überhaupt.
Das Nationale Institut für Standards und Technologie (NIST) Cybersecurity Framework (CSF) wurde erstmals 2014 auf Anordnung des damaligen Präsidenten Barack Obama veröffentlicht. Die erste bedeutende Aktualisierung ist jetzt veröffentlicht. Die Hoffnung besteht darin, dass es globalen Organisationen hilft, die Herausforderungen von heute und morgen zu meistern, und gleichzeitig einfacher zu verwenden ist als das ursprüngliche CSF. Es gibt viel Grund zum Optimismus.
Ein Hintergrund zum CSF
Das CSF ist freiwillig und war ursprünglich für Organisationen kritischer nationaler Infrastruktur (CNI) gedacht. Seine Klarheit und Gründlichkeit bei der Hervorhebung von Best Practices im Bereich Cybersicherheit machten es jedoch zu einem der beliebtesten Frameworks bei US-amerikanischen und globalen Organisationen – unabhängig von ihrer Branche.
Es besteht aus fünf Schlüsselfunktionen:
Identifizieren:
Erstellen Sie eine Aufzeichnung der Hardware-, Software- und Datenbestände der Organisation. Veröffentlichen Sie a Datenschutzrichtlinien Darlegung der Rollen und Verantwortlichkeiten für jeden, der Zugang zu kritischen Daten hat, einschließlich Partnern und Lieferanten. Erstellen Sie außerdem ein Verfahren zur Reaktion und Behebung von Vorfällen.
Schützen:
Physische und technische Kontrollen zum Schutz kritischer Vermögenswerte. Dies könnte Backups, Benutzerschulung, Verschlüsselung usw. umfassen. Zugangskontrollen und regelmäßige Updates.
Erkennen:
Überwachen Sie auf unbefugten Zugriff und ungewöhnliche Netzwerkaktivitäten.
Reagieren:
Erstellen Sie einen Plan für die Benachrichtigung von Vorfällen (an Kunden, Aufsichtsbehörden, Aktionäre usw.). Geschäftskontinuität und Untersuchung von Vorfällen. Dieser Plan sollte regelmäßig getestet werden.
Genesen:
Reparieren und stellen Sie betroffene Anlagen/Dienste nach einem Verstoß wieder her und halten Sie Mitarbeiter und Kunden auf dem Laufenden. Verbessern Sie die Cyber-Resilienz durch Lernen.
Als Teil des Rahmenwerks hat NIST außerdem vier Stufen geschaffen, um Unternehmen dabei zu helfen, ihren Reifegrad bei der Umsetzung des CSF einzuschätzen (partiell, risikoinformiert, wiederholbar, adaptiv). Und es enthielt eine Schritt-für-Schritt-Anleitung zum Erstellen eines Risikomanagement Programm. Im Großen und Ganzen läuft das wie folgt ab:
- Grenzen Sie das Projekt ab und legen Sie Prioritäten fest
- Orientieren Sie sich, um relevante Branchenvorschriften und Cyber-Bedrohungen zu verstehen
- Erstellen Sie ein Profil, um zu veranschaulichen, wie derzeit in der Organisation mit Risiken umgegangen wird
- Führen Sie eine Risikobewertung durch, um die Wahrscheinlichkeit und Schwere eines Cybersicherheitsereignisses zu verstehen, das Auswirkungen auf das Unternehmen haben könnte
- Erstellen Sie ein Zielprofil, das als Endziel des Sicherheitsteams dient
- Identifizieren Sie die Lücken zwischen dem aktuellen Profil und dem Zielprofil, um einen Aktionsplan zu erstellen, einschließlich aller benötigten Ressourcen
- Setzen Sie den Aktionsplan um
Was ist neu für 2024?
Veröffentlicht im August 2023In der Entwurfsversion des CSF (Version 2.0) werden mehrere wichtige Aktualisierungen des Originaldokuments vorgenommen. Im Mittelpunkt stehen dabei Versuche, die Nutzung des Rahmenwerks zu erweitern, die Leitlinien für die Umsetzung zu verbessern und die Bedeutung der Governance hervorzuheben:
Eine neue Regierungssäule
Dies umfasst den organisatorischen Kontext; Risikomanagementstrategie; Internet-Sicherheit Lieferkettenrisiko Management; Rollen, Verantwortlichkeiten und Befugnisse; Richtlinien, Prozesse und Verfahren; und Aufsicht. Darüber hinaus werden Anleitungen zur Integration des CSF in das NIST Privacy Framework und NIST IR 8286 angeboten.
Erweiterte Nutzungshinweise
CSF 2.0 führt weitere Implementierungsbeispiele ein. Außerdem werden Framework-Profile überarbeitet, um deren Verwendung in Projekten zu erleichtern. Es sind fiktive Vorlagen enthalten, die Organisationen verwenden oder anpassen können, um Profile und Aktionspläne zu erstellen.
Erweiterung des CSF
Der offizielle Titel wurde von „Framework for Improving Critical Infrastructure Cybersecurity“ in den häufiger verwendeten Titel „CSF“ geändert. Der Anwendungsbereich wurde aktualisiert, um die Nutzung durch alle Organisationen widerzuspiegeln, nicht nur durch diejenigen, die CNI betreiben.
Darüber hinaus liegt der Schwerpunkt stärker auf der Sicherheit der Lieferkette, mit neuen Links zu NIST SP 800-55. Der Bedeutung der kontinuierlichen Verbesserung wird außerdem durch eine neue Kategorie „Verbesserung“ in der Säule „Identifizieren“ mehr Gewicht verliehen.
Ein Schritt in die richtige Richtung
Experten begrüßen die CSF-Aktualisierung weitgehend. Joseph Carson, Chef-Sicherheitswissenschaftler und beratender CISO bei Delinea, erklärt gegenüber ISMS.online, dass nach fast einem Jahrzehnt eine neue Version erforderlich sei, um den Veränderungen in der Bedrohungslandschaft Rechnung zu tragen.
„Die Ausweitung auf mehr Organisationen ist der richtige Ansatz, um die Widerstandsfähigkeit gegen die Vielzahl von Cyber-Bedrohungen zu stärken, denen sie ausgesetzt sind“, fügt er hinzu. Die Vereinfachung des CSF wird auch die Übernahme des Rahmenwerks erleichtern und es mehr Organisationen ermöglichen, ihr Sicherheitsniveau zu erhöhen.“
Auch Martin Roesch, CEO von Netography, lobt die neue Säule „Govern“.
„Das Hinzufügen von Governance zum NIST Cybersecurity Framework ist ein wichtiger Schritt, um Organisationen dabei zu helfen, jederzeit den Nachweis zu erbringen, dass ihre Infrastruktur mit ihren Richtlinien übereinstimmt, und es ermöglicht Sicherheitsteams, zu messen, wie effektiv ihr System funktioniert“, erklärt er ISMS.online.
„Durch die Erweiterung des CSF-Bereichs und die Verbesserung der Implementierungsrichtlinien stellt NIST einem größeren Kreis von Organisationen eine solide Roadmap für den Erfolg von Informationssicherheit und Risikomanagement zur Verfügung, unabhängig von Größe oder Branche.“
Gleichzeitig argumentiert Roesch jedoch, dass einige Organisationen möglicherweise Schwierigkeiten haben, Governance-Prinzipien auf ihre Umgebungen anzuwenden, „insbesondere wenn sie über unterschiedliche Technologien, Systeme und Prozesse verfügen“. Er warnt auch davor, dass Ressourcenbeschränkungen die kontinuierliche Überwachung verhindern könnten, die vor dem Hintergrund sich schnell entwickelnder Netzwerksicherheitsarchitekturen erforderlich ist, um „eine robuste Cybersicherheits-Governance aufzubauen und aufrechtzuerhalten“. Er beschreibt insbesondere die Social-Media-Governance als eine „Büchse der Pandora“ voller Datenschutz- und Sicherheitsherausforderungen.
Daher kann die Implementierung selbst eines optimierten, benutzerfreundlicheren CSF für einige Organisationen eine Herausforderung darstellen. Aber ein Informationssicherheits-Managementsystem (ISMS) könnte helfen, sagt Carson von Delinea.
„Es kann Beispiele für die Verwendung skizzieren CSF 2.0-Referenztool und vermitteln ein Verständnis dafür, wie reale Implementierungen aussehen“, sagt er. „Da immer mehr Organisationen beobachten, wie ihre Kollegen das CSF erfolgreich einsetzen und implementieren und wie sie sich dem Referenztool zuordnen, wird dies andere ermutigen, schnell zu folgen.“