Die Nasionale Instituut vir Standaarde en Tegnologie (NIST) in die VSA het 'n raamwerk geskep om organisasies te help om hul kuberveiligheidsverdedigingsbeplanning in lyn te bring en die infrastruktuur te beskerm teen die bedreiging van kubermisdaad.
NIST Cyber Security gee private sektor organisasies 'n raamwerk van beleide en beheermaatreëls om aanvalle van kubermisdadigers te help voorkom en om diegene wat wel toegang verkry, op te spoor en daarop te reageer.
In die volgende video verduidelik die Nasionale Instituut vir Standaarde en Tegnologie meer oor die oorspronklike doel van die NIST-raamwerk, die standaarde, riglyne en beste praktyke daaragter.
Ons kan nie aan enige maatskappy dink wie se diens by ISMS.online kan kers vashou nie.
Die Nasionale Instituut vir Standaarde en Tegnologie staan bekend onder sy akroniem NIST. Dit is 'n nie-regulerende regeringsagentskap wat geskep is om innovasie aan te dryf en industriële mededingendheid in wetenskap, ingenieurswese en tegnologie te bevorder.
NIST se primêre rol is om beste praktyke te skep vir organisasies en regeringsagentskappe om te volg. Die doel van hierdie sekuriteitstandaarde is om die sekuriteitsposisie van regeringsagentskappe en private besighede wat met staatsdata te doen, te verbeter.
Die NIST Cybersecurity Framework (CSF) is 'n stel riglyne en beste praktyke wat ontwerp is om organisasies te help om hul Kubersekuriteitstrategieë, wat NIST ontwikkel het, te verbeter.
Die raamwerk het ten doel om kuberveiligheidspraktyke te standaardiseer sodat organisasies 'n enkele of eenvormige benadering vir beskerming teen kuberaanvalle kan gebruik.
Die meeste organisasies hoef nie die NIST-nakoming te volg nie, al word dit vir hulle aanbeveel. Amerikaanse federale agentskappe is sedert 2017 verplig om NIST-standaarde te volg omdat NIST self deel is van die Amerikaanse regering.
Subkontrakteurs en kontrakteurs wat met die federale regering werk, moet NIST-sekuriteitstandaarde volg. As 'n kontrakteur 'n geskiedenis van NIST-nie-nakoming het, loop hulle die risiko om in die toekoms van regeringskontrakte uitgesluit te word.
NIST-riglyne kan help om u stelsels te beskerm teen kwaadwillige aanvalle en menslike foute. Om die raamwerk te volg, sal jou organisasie help om aan die vereistes vir die Wet op Gesondheidsversekering oordraagbaarheid en aanspreeklikheid (HIPPA) en die Federal Information Security Management Act (FISMA), wat verpligte regulasies is.
Organisasies steun op NIST-nakoming as 'n industriestandaard as gevolg van die voordele wat dit kan inhou. NIST-kultuur is noodsaaklik vir private maatskappye om 'n beter begrip van datahantering te bevorder.
ISMS.online maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Beide NIST en die Internasionale Organisasie vir Standaardisering (ISO) het toonaangewende benaderings tot inligtingsekuriteit. Die NIST Cybersecurity Framework word meer algemeen vergelyk met ISO 27001, die spesifikasie vir 'n inligtingsekuriteitbestuurstelsel (ISMS).
Beide bied raamwerke vir die bestuur van kuberveiligheidsrisiko. Die NIST CSF-raamwerk sal maklik wees om te integreer in 'n organisasie wat aan ISO 27001-standaarde wil voldoen.
Die beheermaatreëls stem baie ooreen, die definisies en kodes is baie dieselfde oor raamwerke heen. Albei raamwerke het 'n eenvoudige woordeskat wat jou toelaat om duidelik oor kuberveiligheidskwessies te kommunikeer.
Risiko volwassenheid, sertifisering en koste is 'n paar van die verskille tussen NIST CSF vs ISO 27001.
As jy in die vroeë stadiums is van die ontwikkeling van 'n kuberveiligheid risikobestuursplan of probeer om vorige mislukkings te versag, kan die NIST CSF die beste keuse wees. ISO 27001 is 'n goeie keuse vir volwasse organisasies wat 'n meer wêreldwye erkende raamwerk soek.
ISO 27001 bied sertifisering via derdeparty-oudit wat duur kan wees, maar kan jou organisasie se reputasie verbeter as 'n besigheid wat beleggers kan vertrou – NIST CSF bied nie daardie soort sertifisering nie.
Die NIST CSF is gratis beskikbaar, terwyl die ISO 27001 kostes vir toegang tot hul dokumentasie vra – 'n beginneronderneming wil dalk hul kuberveiligheidsrisikobestuursprogram met NIST Cyber Security Framework begin en dan 'n groter belegging in die proses maak soos hulle skaal met ISO 27001.
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
ISMS.online sal jou tyd en geld bespaar
Kry jou kwotasieWat reg is vir jou besigheid is afhanklik van volwassenheid, doelwitte en spesifieke risikobestuursbehoeftes. ISO 27001 is 'n goeie keuse vir volwasse organisasies wat eksterne druk ondervind om te sertifiseer.
Jou organisasie is dalk nog nie gereed om in 'n ISO 27001-sertifiseringsreis te belê nie of dalk in 'n stadium waar dit sal baat by die duidelike assesseringsraamwerk wat deur die NIST-raamwerk aangebied word.
Die NIST CSF-raamwerk kan 'n sterk beginpunt wees vir jou ISO 27001-sertifiseringsreis namate jou organisasie volwasse word.
Ongeag of jy met NIST CSF begin of met ISO/IEC 27001 groei, 'n proaktiewe en doeltreffende inligtingsekuriteitbestuurstelsel sal jou help om organisatoriese voldoening te bereik.
Die hoogste vlak van abstraksie in die raamwerk is die Vyf kernfunksies. Hulle is die fondament van die raamwerkkern, en alle ander elemente is rondom hulle georganiseer.
Kom ons kyk dieper na die vyf funksies van die NIST Cybersecurity Framework.
Die identifiseerfunksie kan help om 'n organisatoriese begrip te ontwikkel om kuberveiligheidsrisiko vir stelsels, mense, bates, data en vermoëns te bestuur.
Vir weddery begrip in 'n besigheid konteks, kan 'n organisasie fokus en prioritiseer sy pogings, in ooreenstemming met sy risikobestuurstrategie en besigheidsbehoeftes, vanweë die hulpbronne wat kritieke funksies ondersteun en die verwante kuberveiligheidsrisiko's.
Die Protect-funksie skets geskikte voorsorgmaatreëls om die lewering van kritieke infrastruktuurdienste te verseker. Dit is moontlik om die impak van 'n potensiële kuberveiligheidsgebeurtenis te beperk of te beperk met behulp van die Beskerm-funksie.
Geskikte aktiwiteite om die voorkoms van 'n kubergebeurtenis te identifiseer, word deur die Detect-funksie gedefinieer. Die Detect-funksie laat die tydige ontdekking van kuberveiligheidsgebeure toe.
Gepaste aktiwiteite is ingesluit in die reageer-funksie om aksie te neem rakende 'n geïdentifiseerde kuberveiligheidsvoorval. Die antwoordfunksie help om die vermoë te ondersteun om die reperkussies van 'n potensiële kuberveiligheidsvoorval te bevat.
Die Herstel-funksie identifiseer aktiwiteite om veerkragtigheidsplanne te handhaaf en dienste te herstel wat deur 'n kuberveiligheidsvoorval geraak word. Die Herstel-funksie help tydige herstel na normale bedrywighede om die gevolge van 'n kuberveiligheidsvoorval te verminder.
Om hierdie vyf funksies te volg, word as beste praktyk aangeraai, aangesien dit nie net van toepassing is op kubersekuriteitrisikobestuurfunksies nie, maar ook op risikobestuur in die geheel.
Laai jou gratis gids af
om jou Infosec te stroomlyn
Ons het begin met sigblaaie en dit was 'n nagmerrie. Met die ISMS.online oplossing is al die harde werk maklik gemaak.
Die mate waarin 'n organisasie se kubersekuriteitrisikobestuurspraktyke vertoon die kenmerke wat in die raamwerk omskryf word word na verwys as die vlak.
Vlak 1 tot vlak 4 beskryf 'n toenemende mate van strengheid en hoe goed geïntegreerde kuberveiligheidsrisikobesluite in breër risikobesluite is. Die mate waarin die organisasie kuberveiligheidsinligting van eksterne partye deel en ontvang.
Vlakke verteenwoordig nie noodwendig volwassenheidsvlakke nie; die organisasie moet die verlangde vlak besluit.
Besighede moet verseker dat die geselekteerde vlak aan organisatoriese doelwitte voldoen, kuberveiligheidsrisiko verminder tot vlakke wat vir die organisasie aanvaarbaar is, en haalbaar is om te implementeer.
Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.
ISMS.online kan jou 'n platform bied om jou op pad te kry om die standaard te bereik
Elke afdeling van NIST Cyber Security word in die veilige platform uiteengesit, wat dit maklik maak om te volg.
Dit verminder jou werklading, koste en die stres om nie te weet of jy alles reg gedoen het nie.
Profiele is 'n organisasie se spesiale belyning van hul vereistes en doelwitte, risiko-aptyt en hulpbronne teenoor hul gewenste uitkomste van die raamwerkkern.
Profiele kan geleenthede identifiseer vir die verbetering van kubersekuriteitsposisie deur 'n 'huidige' profiel met 'n 'teiken'-profiel te vergelyk.
Profiele word gebruik om die kuberveiligheidsraamwerk te verbeter om die besigheid die beste te dien. Die raamwerk is vrywillig, so daar is nie 'n regte of verkeerde manier om dit te doen nie.
Om 'n huidige toestandprofiel te skep, moet 'n organisasie hul kuberveiligheidsvereistes, missiedoelwitte, bedryfsmetodologieë en huidige praktyke karteer. Hulle sal moet karteer teen die subkategorieë van die raamwerkkern.
Die vereistes en doelwitte kan vergelyk word met die organisasie se huidige toestand om begrip te verkry van die gapings.
'n Geprioritiseerde implementeringsplan kan geskep word deur die skep van hierdie profiele en die gapingsanalise. Die prioriteit, grootte van gaping en beraamde koste van regstellende stappe help om te beplan en te begroot vir die verbetering van jou organisasie se kuberveiligheid.
NIST SP 800-53 is bekend as die Nasionale Instituut vir Standaarde en Tegnologie Spesiale Publikasie 800-53, Sekuriteit en Privaatheid Kontroles vir Federale Inligtingstelsels en Organisasie.
Dit is gestig om innovasie en wetenskap aan te moedig en by te staan deur 'n stel industriestandaarde te bevorder en te handhaaf.
NIST SP 800-53 is 'n stel riglyne en standaarde wat federale agentskappe en kontrakteurs help om aan hul kuberveiligheidsvereistes te voldoen. Spesiale publikasie 800-53 handel oor die sekuriteitskontroles of voorsorgmaatreëls vir federale inligtingstelsels en besighede.
NIST SP 800-171 is 'n raamwerk wat die vereiste sekuriteitstandaarde en -praktyke uiteensit vir nie-federale organisasies wat hanteer Beheerde ongeklassifiseerde inligting (CUI) op hul netwerke.
Die eerste keer gepubliseer in Junie 2015, het dit 'n verskeidenheid nuwe standaarde ingesluit wat ingestel is om kuberveiligheid te versterk in beide private en openbare sektore. Ook bekend as NIST SP 800-171, het dit ten volle in werking getree op die 31ste Desember 2017. Die jongste weergawe, bekend as "hersiening 2", is in Februarie 2020 vrygestel.
NIST SP 800-207 is 'n omvattende publikasie van die Nasionale Instituut vir Standaarde en Tegnologie (NIST) wat leiding verskaf oor verskeie aspekte van kuberveiligheid. Dit dek 'n wye reeks onderwerpe, insluitend die ontwikkeling van 'n kubersekuriteitsraamwerk, implementering van 'n Zero Trust Architecture (ZTA), sekuriteitsvereistes vir wolkrekenaars, sekuriteit van nasionale sekuriteitsertifikate, implementering van 'n identiteitsbewysproses, stawing en lewensiklusbestuur vir digitale identiteite, en die gebruik van kriptografiese kontroles om Persoonlik Identifiseerbare Inligting (PII) te beskerm.
Die dokument verskaf gedetailleerde stappe vir die skep van 'n kuberveiligheidsraamwerk wat aangepas is vir 'n organisasie se spesifieke behoeftes, en leiding oor hoe om dit te implementeer en in stand te hou. Dit skets die beginsels en komponente van 'n ZTA-stelsel, en hoe om die sekuriteitsposisie van 'n organisasie te assesseer. Dit bied ook 'n stel sekuriteitskontroles en beste praktyke vir die implementering van 'n ZTA-stelsel.
Wat wolkrekenaarkunde betref, beskryf dit die sekuriteitskontroles en prosesse wat organisasies moet implementeer om hul wolkgebaseerde stelsels en data te beskerm. Dit verskaf leiding oor hoe om die sekuriteit van wolkdienste te assesseer en hoe om 'n wolksekuriteitstrategie te ontwikkel.
Die publikasie verskaf ook leiding oor die uitreiking, bestuur en gebruik van nasionale sekuriteitsertifikate, en die rolle en verantwoordelikhede van die sertifikaatowerhede en die sertifikaathouers. Dit skets die vereistes vir identiteitsbewys, insluitend die gebruik van identiteitsbewysmetodes, tegnologieë en dienste.
Verder verskaf dit leiding oor stawing en lewensiklusbestuur vir digitale identiteite, insluitend die gebruik van multifaktor-verifikasie, risiko-gebaseerde verifikasie en gefedereerde identiteitsbestuur. Dit verskaf ook leiding oor die gebruik van kriptografiese kontroles om PII te beskerm.
NIST lê die fundamentele protokol uiteen wat maatskappye moet volg wanneer hulle voldoening aan spesifieke regulasies wil bereik, soos bv. HIPAA en FISMA.
Dit is belangrik om te onthou dat voldoening aan NIST nie 'n volledige versekering is dat jou data veilig is nie. NIST vertel maatskappye om hul kuberbates op te stel deur 'n waardegebaseerde benadering te gebruik om die mees sensitiewe data te vind en beskermingspogings daaromtrent te prioritiseer.
NIST-standaarde is gegrond op beste praktyke uit verskeie sekuriteitsdokumente, organisasies, publikasies en is ontwerp as 'n raamwerk vir federale agentskappe en programme wat streng sekuriteitsmaatreëls vereis.
Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.