NIST-nakomingsagteware

Nasionale Instituut vir Standaarde en Tegnologie

Bespreek 'n demo

glimlag, Indiër, sakeman, werk, op, skootrekenaar, in, moderne, kantoor, lobby

Die Nasionale Instituut vir Standaarde en Tegnologie (NIST) in die VSA het 'n raamwerk geskep om organisasies te help om hul kuberveiligheidsverdedigingsbeplanning in lyn te bring en die infrastruktuur te beskerm teen die bedreiging van kubermisdaad.

NIST Cyber ​​Security gee private sektor organisasies 'n raamwerk van beleide en beheermaatreëls om aanvalle van kubermisdadigers te help voorkom en om diegene wat wel toegang verkry, op te spoor en daarop te reageer.

In die volgende video verduidelik die Nasionale Instituut vir Standaarde en Tegnologie meer oor die oorspronklike doel van die NIST-raamwerk, die standaarde, riglyne en beste praktyke daaragter.

Ons kan nie aan enige maatskappy dink wie se diens by ISMS.online kan kers vashou nie.
Vivian Kroner
ISO 27001, 27701 en GDPR hoofimplementeerder Aperian Global
100% van ons gebruikers slaag die eerste keer sertifisering
Bespreek jou demo

Wat is NIST?

Die Nasionale Instituut vir Standaarde en Tegnologie staan ​​bekend onder sy akroniem NIST. Dit is 'n nie-regulerende regeringsagentskap wat geskep is om innovasie aan te dryf en industriële mededingendheid in wetenskap, ingenieurswese en tegnologie te bevorder.

NIST se primêre rol is om beste praktyke te skep vir organisasies en regeringsagentskappe om te volg. Die doel van hierdie sekuriteitstandaarde is om die sekuriteitsposisie van regeringsagentskappe en private besighede wat met staatsdata te doen, te verbeter.

Die NIST Cybersecurity Framework (CSF) is 'n stel riglyne en beste praktyke wat ontwerp is om organisasies te help om hul Kubersekuriteitstrategieë, wat NIST ontwikkel het, te verbeter.

Die raamwerk het ten doel om kuberveiligheidspraktyke te standaardiseer sodat organisasies 'n enkele of eenvormige benadering vir beskerming teen kuberaanvalle kan gebruik.

NIST, is voldoening verpligtend? Wat is die voordele?

Die meeste organisasies hoef nie die NIST-nakoming te volg nie, al word dit vir hulle aanbeveel. Amerikaanse federale agentskappe is sedert 2017 verplig om NIST-standaarde te volg omdat NIST self deel is van die Amerikaanse regering.

Hoekom word dit aanbeveel?

Subkontrakteurs en kontrakteurs wat met die federale regering werk, moet NIST-sekuriteitstandaarde volg. As 'n kontrakteur 'n geskiedenis van NIST-nie-nakoming het, loop hulle die risiko om in die toekoms van regeringskontrakte uitgesluit te word.

Wat van almal anders?

NIST-riglyne kan help om u stelsels te beskerm teen kwaadwillige aanvalle en menslike foute. Om die raamwerk te volg, sal jou organisasie help om aan die vereistes vir die Wet op Gesondheidsversekering oordraagbaarheid en aanspreeklikheid (HIPPA) en die Federal Information Security Management Act (FISMA), wat verpligte regulasies is.

Organisasies steun op NIST-nakoming as 'n industriestandaard as gevolg van die voordele wat dit kan inhou. NIST-kultuur is noodsaaklik vir private maatskappye om 'n beter begrip van datahantering te bevorder.

ISMS.online maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.

Peter Risdon
CISO, Viital

Bespreek jou demo

Sê hallo vir ISO 27001 sukses

Kry 81% van die werk vir jou gedoen en word vinniger gesertifiseer met ISMS.online

Bespreek jou demo
img

NIST en ISO 27001

Beide NIST en die Internasionale Organisasie vir Standaardisering (ISO) het toonaangewende benaderings tot inligtingsekuriteit. Die NIST Cybersecurity Framework word meer algemeen vergelyk met ISO 27001, die spesifikasie vir 'n inligtingsekuriteitbestuurstelsel (ISMS).

Wat is die gemeenskaplikhede tussen ISO 27001 en NIST?

Beide bied raamwerke vir die bestuur van kuberveiligheidsrisiko. Die NIST CSF-raamwerk sal maklik wees om te integreer in 'n organisasie wat aan ISO 27001-standaarde wil voldoen.

Die beheermaatreëls stem baie ooreen, die definisies en kodes is baie dieselfde oor raamwerke heen. Albei raamwerke het 'n eenvoudige woordeskat wat jou toelaat om duidelik oor kuberveiligheidskwessies te kommunikeer.

Wat is die verskil tussen ISO 27001 en NIST?

Risiko volwassenheid, sertifisering en koste is 'n paar van die verskille tussen NIST CSF vs ISO 27001.

Risiko Volwassenheid

As jy in die vroeë stadiums is van die ontwikkeling van 'n kuberveiligheid risikobestuursplan of probeer om vorige mislukkings te versag, kan die NIST CSF die beste keuse wees. ISO 27001 is 'n goeie keuse vir volwasse organisasies wat 'n meer wêreldwye erkende raamwerk soek.

sertifisering

ISO 27001 bied sertifisering via derdeparty-oudit wat duur kan wees, maar kan jou organisasie se reputasie verbeter as 'n besigheid wat beleggers kan vertrou – NIST CSF bied nie daardie soort sertifisering nie.

Kos

Die NIST CSF is gratis beskikbaar, terwyl die ISO 27001 kostes vir toegang tot hul dokumentasie vra – 'n beginneronderneming wil dalk hul kuberveiligheidsrisikobestuursprogram met NIST Cyber ​​Security Framework begin en dan 'n groter belegging in die proses maak soos hulle skaal met ISO 27001.

Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.

Peter Risdon
CISO, Viital

Bespreek jou demo

ISMS.online sal jou tyd en geld bespaar

Kry jou kwotasie

NIST vs ISO 27001: Watter een is reg vir jou besigheid?

Wat reg is vir jou besigheid is afhanklik van volwassenheid, doelwitte en spesifieke risikobestuursbehoeftes. ISO 27001 is 'n goeie keuse vir volwasse organisasies wat eksterne druk ondervind om te sertifiseer.

Jou organisasie is dalk nog nie gereed om in 'n ISO 27001-sertifiseringsreis te belê nie of dalk in 'n stadium waar dit sal baat by die duidelike assesseringsraamwerk wat deur die NIST-raamwerk aangebied word.

Die NIST CSF-raamwerk kan 'n sterk beginpunt wees vir jou ISO 27001-sertifiseringsreis namate jou organisasie volwasse word.

Ongeag of jy met NIST CSF begin of met ISO/IEC 27001 groei, 'n proaktiewe en doeltreffende inligtingsekuriteitbestuurstelsel sal jou help om organisatoriese voldoening te bereik.

NIST-kubersekuriteitsraamwerk – wat is die vyf kernfunksies?

Die hoogste vlak van abstraksie in die raamwerk is die Vyf kernfunksies. Hulle is die fondament van die raamwerkkern, en alle ander elemente is rondom hulle georganiseer.

Kom ons kyk dieper na die vyf funksies van die NIST Cybersecurity Framework.

Identifiseer

Die identifiseerfunksie kan help om 'n organisatoriese begrip te ontwikkel om kuberveiligheidsrisiko vir stelsels, mense, bates, data en vermoëns te bestuur.

Vir weddery begrip in 'n besigheid konteks, kan 'n organisasie fokus en prioritiseer sy pogings, in ooreenstemming met sy risikobestuurstrategie en besigheidsbehoeftes, vanweë die hulpbronne wat kritieke funksies ondersteun en die verwante kuberveiligheidsrisiko's.

Beskerm

Die Protect-funksie skets geskikte voorsorgmaatreëls om die lewering van kritieke infrastruktuurdienste te verseker. Dit is moontlik om die impak van 'n potensiële kuberveiligheidsgebeurtenis te beperk of te beperk met behulp van die Beskerm-funksie.

spoor

Geskikte aktiwiteite om die voorkoms van 'n kubergebeurtenis te identifiseer, word deur die Detect-funksie gedefinieer. Die Detect-funksie laat die tydige ontdekking van kuberveiligheidsgebeure toe.

Reageer

Gepaste aktiwiteite is ingesluit in die reageer-funksie om aksie te neem rakende 'n geïdentifiseerde kuberveiligheidsvoorval. Die antwoordfunksie help om die vermoë te ondersteun om die reperkussies van 'n potensiële kuberveiligheidsvoorval te bevat.

Herstel

Die Herstel-funksie identifiseer aktiwiteite om veerkragtigheidsplanne te handhaaf en dienste te herstel wat deur 'n kuberveiligheidsvoorval geraak word. Die Herstel-funksie help tydige herstel na normale bedrywighede om die gevolge van 'n kuberveiligheidsvoorval te verminder.

Om hierdie vyf funksies te volg, word as beste praktyk aangeraai, aangesien dit nie net van toepassing is op kubersekuriteitrisikobestuurfunksies nie, maar ook op risikobestuur in die geheel.

Laai jou brosjure af

Transformeer jou bestaande ISMS

Laai jou gratis gids af
om jou Infosec te stroomlyn

Kry jou gratis gids

Ons het begin met sigblaaie en dit was 'n nagmerrie. Met die ISMS.online oplossing is al die harde werk maklik gemaak.
Perry Bowles
Tegniese Direkteur ZIPTECH
100% van ons gebruikers slaag die eerste keer sertifisering
Bespreek jou demo

NIST-kubersekuriteitsraamwerk – wat is die vier vlakke?

Die mate waarin 'n organisasie se kubersekuriteitrisikobestuurspraktyke vertoon die kenmerke wat in die raamwerk omskryf word word na verwys as die vlak.

Vlak 1 tot vlak 4 beskryf 'n toenemende mate van strengheid en hoe goed geïntegreerde kuberveiligheidsrisikobesluite in breër risikobesluite is. Die mate waarin die organisasie kuberveiligheidsinligting van eksterne partye deel en ontvang.

Vlakke verteenwoordig nie noodwendig volwassenheidsvlakke nie; die organisasie moet die verlangde vlak besluit.

Besighede moet verseker dat die geselekteerde vlak aan organisatoriese doelwitte voldoen, kuberveiligheidsrisiko verminder tot vlakke wat vir die organisasie aanvaarbaar is, en haalbaar is om te implementeer.

Vlak 1 – Gedeeltelik

  1. Die risikobestuursprosesse: Kuberveiligheidsrisikobestuur word gewoonlik ad hoc/reaktief by vlak 1-organisasies uitgevoer. Met betrekking tot die graad van risiko wat daardie aktiwiteite aanspreek, kuberveiligheidsaktiwiteite word tipies uitgevoer met min tot geen prioriteit nie.
  2. Die Geïntegreerde Risikobestuursprogram: Kommunikasie en bestuur van kuberrisiko is uitdagend vir hierdie organisasies weens die gebrek aan prosesse wat daarmee gepaard gaan. Die gebrek aan konsekwente inligting is een van die redes waarom die organisasie op 'n geval-tot-geval-basis met kuberveiligheidsrisikobestuur werk.
  3. Die Eksterne Deelname: Daar is 'n gebrek aan begrip van die rol van die ketting, afhanklikes en afhanklikhede deur hierdie organisasies in die sake-ekosisteem. Sonder om te weet waar dit in die ekosisteem sit, deel 'n vlak 1-organisasie nie effektief inligting met derde partye nie. Die besigheid is onbewus van die voorsieningskettingrisiko's wat hy aanvaar en aan ander lede oordra.

Vlak 2 – Risiko-ingelig

  1. Die risikobestuursprosesse: Alhoewel risikobestuurspraktyke deur bestuur goedgekeur word, word dit gewoonlik nie as beleide binne vlak 2-organisasies vasgestel nie. Alhoewel risikobestuurspraktyke nie standaard is nie, gee dit die prioritisering van kuberveiligheidsaktiwiteite tesame met die bedreigingsomgewing en die besigheidsvereistes in kennis.
  2. Die Geïntegreerde Risikobestuursprogram: Daar is 'n bewustheid van die risiko op organisatoriese vlak, maar dit is nie standaardpraktyk vir die hele organisasie nie. Dit is nie standaard dat oorweging aan kuberveiligheid in organisasiedoelwitte in die geheel gegee moet word nie. Dit is nie tipies vir 'n kuberrisiko-evaluering om gereeld herhaal te word.
  3. Die Eksterne Deelname: Tier 2 organisasies verstaan ​​nie hul rol nie in die ekosisteme rakende afhanklikheid of afhanklikes. Alhoewel hulle bewus is van die risiko verbonde aan hul voorsieningsketting, tree organisasies gewoonlik nie daarop op nie.

Vlak 3 – Herhaalbaar

  1. Die risikobestuursprosesse: Risikobestuurspraktyke is formeel deur vlak 3-organisasies goedgekeur en is nou 'n organisatoriese beleid. Veranderinge in besigheidsvereistes en veranderende bedreigingslandskap is van die veranderinge wat hierdie praktyke op 'n gereelde basis bygewerk word.
  2. Die Geïntegreerde Risikobestuursprogram: Die benadering tot die bestuur van kuberveiligheidsrisiko is 'n organisasiewye een. Beleide, prosesse en prosedures word hersien om te verseker dat hulle risiko-ingelig is. Daar is maniere om effektief op veranderinge in risiko te reageer, en personeel het die kennis en vaardighede om hul rolle te verrig. Bestuurders aan die sakekant en senior kuberveiligheidsbestuurders kommunikeer gereeld oor kuberveiligheidsrisiko's.
  3. Die Eksterne Deelname: Organisasies dra by tot die breër begrip van risiko's deur hul rol te verstaan. Hulle werk saam met ander entiteite wat saamval met intern gegenereerde inligting wat met ander entiteite gedeel word. Hulle is bewus van die risiko's verbonde aan hul voorsieningskettings en tree daarvolgens op. Ooreenkomste wat deur die organisasie opgestel is, sal basislynvereistes, bestuurstrukture en beleidsimplementering en -monitering kommunikeer.

Vlak 4 – Aanpasbaar

  1. Die risikobestuursprosesse: Lesse geleer en voorspellende faktore is ingesluit in die huidige en vorige kubersekuriteitspraktyke wat deur hierdie organisasies aangepas is. Deurlopende verbetering behels die inkorporering van gevorderde kuberveiligheidstegnologieë en -tegnieke en aktief aanpas by veranderende bedreigings en tegnologielandskappe.
  2. Die Geïntegreerde Risikobestuursprogram: Die verband tussen doelwitte en kuberveiligheidsrisiko word duidelik deur vlak 4-organisasies verstaan. Senior bestuurders kyk na kuberveiligheidsrisiko's op dieselfde manier as finansiële risiko's en ander risiko's. Die begrotingsbesluite is gebaseer op die begrip van die huidige en potensiële risiko-omgewing. Vanuit 'n bewustheid van vorige aktiwiteite en deurlopende bewustheid word die risiko van kubermisdaad in die organisasie se kultuur geïntegreer.
  3. Die Eksterne Deelname: Vlak 4-organisasies ontvang, genereer en dra by tot die begrip van die risiko. Die organisasie gebruik intydse inligting om voorsieningskettingrisiko's te verstaan ​​en daarvolgens op te tree, en inligting verder aan interne en eksterne belanghebbendes te integreer. 'n Formele proses is geïntegreer in hul dokumentasie met hul afhanklikes en afhanklikes.

Bespreek jou demo

Kyk hoe eenvoudig
dit is met
ISMS.aanlyn

Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo

ISMS.online kan jou 'n platform bied om jou op pad te kry om die standaard te bereik

Elke afdeling van NIST Cyber ​​Security word in die veilige platform uiteengesit, wat dit maklik maak om te volg.

Dit verminder jou werklading, koste en die stres om nie te weet of jy alles reg gedoen het nie.

nist kuber sekuriteit

Wat is 'n NIST Cybersecurity Framework-profiel?

Profiele is 'n organisasie se spesiale belyning van hul vereistes en doelwitte, risiko-aptyt en hulpbronne teenoor hul gewenste uitkomste van die raamwerkkern.

Profiele kan geleenthede identifiseer vir die verbetering van kubersekuriteitsposisie deur 'n 'huidige' profiel met 'n 'teiken'-profiel te vergelyk.

Profiele word gebruik om die kuberveiligheidsraamwerk te verbeter om die besigheid die beste te dien. Die raamwerk is vrywillig, so daar is nie 'n regte of verkeerde manier om dit te doen nie.

Om 'n huidige toestandprofiel te skep, moet 'n organisasie hul kuberveiligheidsvereistes, missiedoelwitte, bedryfsmetodologieë en huidige praktyke karteer. Hulle sal moet karteer teen die subkategorieë van die raamwerkkern.

Die vereistes en doelwitte kan vergelyk word met die organisasie se huidige toestand om begrip te verkry van die gapings.

'n Geprioritiseerde implementeringsplan kan geskep word deur die skep van hierdie profiele en die gapingsanalise. Die prioriteit, grootte van gaping en beraamde koste van regstellende stappe help om te beplan en te begroot vir die verbetering van jou organisasie se kuberveiligheid.

Wat is NIST Spesiale Publikasie 800-53?

NIST SP 800-53 is bekend as die Nasionale Instituut vir Standaarde en Tegnologie Spesiale Publikasie 800-53, Sekuriteit en Privaatheid Kontroles vir Federale Inligtingstelsels en Organisasie.

Dit is gestig om innovasie en wetenskap aan te moedig en by te staan ​​deur 'n stel industriestandaarde te bevorder en te handhaaf.

NIST SP 800-53 is 'n stel riglyne en standaarde wat federale agentskappe en kontrakteurs help om aan hul kuberveiligheidsvereistes te voldoen. Spesiale publikasie 800-53 handel oor die sekuriteitskontroles of voorsorgmaatreëls vir federale inligtingstelsels en besighede.

Wat is NIST 800-171?

NIST SP 800-171 is 'n raamwerk wat die vereiste sekuriteitstandaarde en -praktyke uiteensit vir nie-federale organisasies wat hanteer Beheerde ongeklassifiseerde inligting (CUI) op hul netwerke.

Die eerste keer gepubliseer in Junie 2015, het dit 'n verskeidenheid nuwe standaarde ingesluit wat ingestel is om kuberveiligheid te versterk in beide private en openbare sektore. Ook bekend as NIST SP 800-171, het dit ten volle in werking getree op die 31ste Desember 2017. Die jongste weergawe, bekend as "hersiening 2", is in Februarie 2020 vrygestel.

Wat is NIST 800-207?

NIST SP 800-207 is 'n omvattende publikasie van die Nasionale Instituut vir Standaarde en Tegnologie (NIST) wat leiding verskaf oor verskeie aspekte van kuberveiligheid. Dit dek 'n wye reeks onderwerpe, insluitend die ontwikkeling van 'n kubersekuriteitsraamwerk, implementering van 'n Zero Trust Architecture (ZTA), sekuriteitsvereistes vir wolkrekenaars, sekuriteit van nasionale sekuriteitsertifikate, implementering van 'n identiteitsbewysproses, stawing en lewensiklusbestuur vir digitale identiteite, en die gebruik van kriptografiese kontroles om Persoonlik Identifiseerbare Inligting (PII) te beskerm.

Die dokument verskaf gedetailleerde stappe vir die skep van 'n kuberveiligheidsraamwerk wat aangepas is vir 'n organisasie se spesifieke behoeftes, en leiding oor hoe om dit te implementeer en in stand te hou. Dit skets die beginsels en komponente van 'n ZTA-stelsel, en hoe om die sekuriteitsposisie van 'n organisasie te assesseer. Dit bied ook 'n stel sekuriteitskontroles en beste praktyke vir die implementering van 'n ZTA-stelsel.

Wat wolkrekenaarkunde betref, beskryf dit die sekuriteitskontroles en prosesse wat organisasies moet implementeer om hul wolkgebaseerde stelsels en data te beskerm. Dit verskaf leiding oor hoe om die sekuriteit van wolkdienste te assesseer en hoe om 'n wolksekuriteitstrategie te ontwikkel.

Die publikasie verskaf ook leiding oor die uitreiking, bestuur en gebruik van nasionale sekuriteitsertifikate, en die rolle en verantwoordelikhede van die sertifikaatowerhede en die sertifikaathouers. Dit skets die vereistes vir identiteitsbewys, insluitend die gebruik van identiteitsbewysmetodes, tegnologieë en dienste.

Verder verskaf dit leiding oor stawing en lewensiklusbestuur vir digitale identiteite, insluitend die gebruik van multifaktor-verifikasie, risiko-gebaseerde verifikasie en gefedereerde identiteitsbestuur. Dit verskaf ook leiding oor die gebruik van kriptografiese kontroles om PII te beskerm.

NIST, watter voordele bied voldoening?

NIST lê die fundamentele protokol uiteen wat maatskappye moet volg wanneer hulle voldoening aan spesifieke regulasies wil bereik, soos bv. HIPAA en FISMA.

Dit is belangrik om te onthou dat voldoening aan NIST nie 'n volledige versekering is dat jou data veilig is nie. NIST vertel maatskappye om hul kuberbates op te stel deur 'n waardegebaseerde benadering te gebruik om die mees sensitiewe data te vind en beskermingspogings daaromtrent te prioritiseer.

NIST-standaarde is gegrond op beste praktyke uit verskeie sekuriteitsdokumente, organisasies, publikasies en is ontwerp as 'n raamwerk vir federale agentskappe en programme wat streng sekuriteitsmaatreëls vereis.

Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.

Emmie Cooney
Proses Bestuurder; Ondernemings Bestuurder; Operasionele Bestuurder, Vriend

Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

Die stand van inligtingsekuriteitsverslag 2024 nou regstreeks - lees nou