Τι είναι το NIST Cybersecurity Framework

Το Cybersecurity Framework είναι ένα διαρκώς επικαιροποιημένο framework που δημοσιεύεται από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας και αποτελεί ένα χρήσιμο framework το οποίο οι οργανισμοί μπορούν να διαμορφώσουν και να ακολουθήσουν προκειμένου να βελτιώσουν την ασφάλειά τους.

Σε αυτό το άρθρο, θα εξετάσουμε τις βασικές πτυχές του , γιατί μπορεί να θέλετε να το χρησιμοποιήσετε και πώς να αρχίσετε να το εφαρμόζετε στην επιχείρησή  σας.

nistcybersec

 

Πώς οι επιχειρήσεις μπορούν να επωφεληθούν από τη χρήση του NIST

Το NIST framework αποτελείται από βέλτιστη καθοδήγηση, αρχές, διαδικασίες και πρακτικές που παίρνουν κατεύθυνση από κυβερνητική εκτελεστική εντολή που έχει σχεδιαστεί για τη βελτίωση της ασφάλειας στον κυβερνοχώρο για διάφορες εταιρείες. Οι οργανισμοί μπορούν να επωφεληθούν από το NIST με τους ακόλουθους τρόπους:

  • Καθοδήγηση: Θα έχετε μια λεπτομερή ανάλυση των αρχών και των προτεραιοτήτων ασφαλείας.
  • Εύρος κάλυψης: Παρέχει στον οργανισμό εργαλεία και δυνατότητες για την προστασία του.
  • Προσβασιμότητα: Θα έχετε οδηγίες που ισχύουν για κάθε οργανισμό, είτε έχετε ήδη εφαρμόσει ένα framework είτε όχι.
  • Ευελιξία: Όλες οι επιχειρήσεις, μεγάλες, μικρές, νέες ή παλιές, λαμβάνονται υπόψη στο framework .
  • Οικονομικά αποδοτικό: Η εφαρμογή έχει σχεδιαστεί για να δίνει προτεραιότητα σε οικονομικά αποδοτικές δράσεις ως μέρος του framework.

Οι βασικές λειτουργίες του NIST Framework

nistcybersec1

Το NIST framework αποτελείται από πέντε λειτουργίες που θέτουν τα θεμέλια για τη διαχείριση των κινδύνων και την κατάλληλη προστασία του οργανισμού.

Το framework απαριθμεί επίσης τα είδη των εργαλείων και των διαδικασιών που συνθέτουν τη συνιστώσα, ώστε να μπορείτε να εντοπίσετε τυχόν κενά που μπορεί να υπάρχουν στον οργανισμό σας.

Προσδιορισμός

Πρόκειται για την κατανόηση των αναγκών κυβερνοασφάλειας του οργανισμού σας, τον προσδιορισμό των πτυχών του περιβάλλοντος και του οργανισμού σας (όπως περιουσιακά στοιχεία, συνεργάτες, συσκευές, λογισμικό) και τον προσδιορισμό των μερών, του λογισμικού και των τμημάτων που εμπλέκονται στη διαχείριση του κινδύνου κυβερνοασφάλειας της εταιρείας σας.

Από εκεί και πέρα, μπορείτε να αρχίσετε να προσδιορίζετε τις βασικές απειλές που ενέχουν τον μεγαλύτερο κίνδυνο για τον οργανισμό σας με βάση το περιβάλλον σας και τις πιθανές ευπάθειες.

Τα εργαλεία για αυτό το στοιχείο περιλαμβάνουν την ορατότητα και τη διαχείριση περιουσιακών στοιχείων αλλά και την πληροφόρηση για πιθανές απειλές.

Οι διαδικασίες και οι πολιτικές που συνθέτουν αυτή τη συνιστώσα περιλαμβάνουν ένα τεκμηριωμένο framework ανοχής του κινδύνου, τη διαχείριση κινδύνου από τρίτους και σαφείς γραμμές επικοινωνίας σχετικά με το ποιος είναι υπεύθυνος για την κάθε πτυχή της κυβερνοασφάλειας.

Προστασία

Η συνιστώσα προστασίας είναι αυτή που θεωρείται παραδοσιακή άμυνα και προστασία της κυβερνοασφάλειας, όπου οι οργανισμοί θέτουν σε προτεραιότητα ποια στοιχεία χρειάζονται προστασία μέσω της διαχείρισης της ταυτότητας, της επιβολής ελέγχου ταυτότητας και του περιορισμού των δικαιωμάτων αλλά και της πρόσβασης.

Τα πρόσθετα βήματα περιλαμβάνουν τη συμμετοχή σε εκπαίδευση σε θέματα ασφάλειας, την αξιοποίηση της τμηματοποίησης του δικτύου και την ύπαρξη πολιτικής προστασίας δεδομένων για την αποτροπή διαρροών, λανθασμένων ρυθμίσεων ή τυχαίων εκθέσεων.

Ανίχνευση

Εδώ είναι που το framework μπορεί πραγματικά να βοηθήσει, καθώς καλύπτει βασικά βήματα και παρέχει καθοδήγηση πέρα από την απλή πρόληψη. Σε αυτό το σημείο, θα πρέπει να δώσετε προτεραιότητα σε εργαλεία και διαδικασίες που θα ανιχνεύουν τυχόν ανεπιθύμητες εισβολές ή ανώμαλη συμπεριφορά.

Αυτό επιτυγχάνεται καλύτερα με την αξιοποίηση εργαλείων συνεχούς παρακολούθησης και ανίχνευσης σε διάφορες πτυχές του οργανισμού σας, όπως τα τελικά σημεία, το ηλεκτρονικό ταχυδρομείο και το δίκτυό σας. Τα πιο χρήσιμα εργαλεία θα πρέπει να επισημαίνουν τις γνωστές απειλές, ενώ παράλληλα θα πρέπει να ανιχνεύουν αν ένα εξουσιοδοτημένο άτομο εισήλθε στο δίκτυό σας ή αν ένας εσωτερικός παράγοντας ενεργεί ύποπτα.

  Αποστολή ψεύτικου μηνύματος SMS και διαδικασία υποκλοπής

Αντίδραση

Εδώ είναι το σημείο όπου θα πρέπει να δώσετε προτεραιότητα στις επικοινωνίες, τον μετριασμό, την ανάλυση και την ανάλυση ως μέρος ενός συνολικού σχεδίου απόκρισης σε περίπτωση παραβίασης ή επιτυχούς επίθεσης.

Ο προγραμματισμός εκ των προτέρων θα σας βοηθήσει να παραμείνετε προληπτικοί και να προσδιορίσετε τα απαιτούμενα βήματα που μπορούν να σας βοηθήσουν ώστε να αντιδράσετε ταχύτερα και να μειώσετε τη ζημιά που μπορεί να έχει μια επίθεση στο δίκτυό σας.

Αυτό μπορεί να περιλαμβάνει την προσέλκυση μιας εξωτερικής ομάδας αντιμετώπισης και αποκατάστασης, η οποία θα πραγματοποιήσει την αναγκαία εγκληματολογική ανάλυση, ώστε να είστε σε θέση να κατανοήσετε πώς έγινε η παραβίαση, ώστε να μειώσετε τον κίνδυνο να ξανασυμβεί.

Ανάκτηση

Αυτή η φάση μπορεί σχεδόν να θεωρηθεί επέκταση ή ζεύξη της φάσης απόκρισης, καθώς λαμβάνετε τις γνώσεις, τις πληροφορίες και την ανάλυση από αυτή τη φάση για να ενημερώσετε τη στρατηγική και τη διαδικασία της ανάκτησης.

Η ανάκαμψη ενσωματώνει εσωτερικές και εξωτερικές επικοινωνίες, όπως η διαχείριση των επικοινωνιών δημοσίων σχέσεων, πελατών και άλλων ενδιαφερόμενων μερών), η εργασία για την αποκατάσταση της πλήρους λειτουργικότητας σε οτιδήποτε επηρεάστηκε από την επίθεση και ο εντοπισμός τομέων σε περίπτωση που μέρος του δικτύου σας επηρεάστηκε σοβαρά.

nistcybersec2

Στοιχεία του NIST Framework

Υπάρχουν τρία στοιχεία στο NIST framework που συμβάλλουν στο να διασφαλιστεί ότι όσο το δυνατόν περισσότεροι οργανισμοί μπορούν να το υιοθετήσουν.

Βασικός πυρήνας

Ο πυρήνας του NIST καλύπτει τις λειτουργίες που περιγράψαμε λεπτομερώς παραπάνω, καθώς και κατηγορίες, υποκατηγορίες και ενημερωτικές αναφορές. Αυτές οι λειτουργίες πρέπει να εκτελούνται ταυτόχρονα και συνεχώς. Eίναι ένας κατάλογος ελέγχου και προσφέρει καθοδήγηση για την επίτευξη των αποτελεσμάτων και των στόχων της κυβερνοασφάλειας.

Επίπεδα εφαρμογής

Οι βαθμίδες υλοποίησης ορίζουν τον τρόπο με τον οποίο ένας οργανισμός βλέπει τον κίνδυνο κυβερνοασφάλειας και τον τρόπο με τον οποίο θα πρέπει να αντιδράσει αναλόγως. Δεν αντικατοπτρίζει την ωριμότητα ενός οργανισμού, αλλά την επιχειρηματική και οργανωτική ανάγκη για τη διαχείριση των κινδύνων κυβερνοασφάλειας και τους πόρους που μπορούν εύλογα να διατεθούν.

Τα στοιχεία που συνθέτουν την κλίμακα είναι τα εξής:

  • Διαδικασία διαχείρισης κινδύνων
  • Ολοκληρωμένο πρόγραμμα διαχείρισης κινδύνων
  • Εξωτερική συμμετοχή.

Επίπεδο 1: Μερική κλίμακα

Αυτή η βαθμίδα ασχολείται με την ασφάλεια στον κυβερνοχώρο κατά περίπτωση και ως επί το πλείστον, δεν γνωρίζει πολύ καλά πολλούς από τους κινδύνους που απειλούν τον οργανισμό της. Πρόκειται σε μεγάλο βαθμό για μια αντιδραστική τοποθέτηση που εξετάζει την ασφάλεια στον κυβερνοχώρο μόνο όταν υπάρχει ενεργή ανάγκη γι’ αυτήν.

Επίπεδο 2: Ενημερωμένη για τους κινδύνους

Υπάρχει υψηλότερος βαθμός επίγνωσης των κινδύνων κυβερνοασφάλειας και πόροι που αφιερώνονται σε αυτήν με βάση τις ανάγκες της εταιρείας, ωστόσο, δεν είναι τυποποιημένη, έχει λίγες διαδικασίες και οι εκτιμήσεις παραμένουν σε μεγάλο βαθμό εσωτερικές. Αυτό σημαίνει ότι η διαχείριση κινδύνων από τρίτους εξακολουθεί να μην λαμβάνεται υπόψη.

Επίπεδο 3: Επαναλαμβανόμενη κλίμακα

Ένας οργανισμός σε αυτό το επίπεδο έχει πιο τυποποιημένες πολιτικές και πρακτικές και ενημερώνεται συνεχώς με βάση τις νέες πληροφορίες και τις μεταβαλλόμενες προτεραιότητες στη διαχείριση κινδύνων.

Η εκτελεστική ομάδα συμμετέχει σε αυτές τις συζητήσεις και τα εξωτερικά μέρη (όπως οι προμηθευτές και οι συνεργάτες) εξετάζονται ως μέρος της συνολικής στρατηγικής για την ασφάλεια στον κυβερνοχώρο, διασφαλίζοντας ότι υπάρχουν έλεγχοι και πολιτικές που αντιμετωπίζουν τον κίνδυνο από τρίτους.

Επίπεδο 4: Προσαρμοστικότητα

Οι οργανισμοί αυτής της βαθμίδας ερευνούν και ανακαλύπτουν συνεχώς νέες απειλές, ευπάθειες και εκμεταλλεύσεις και αντιδρούν ανάλογα, επενδύοντας σε νέα εργαλεία, λύσεις και προϊόντα που μπορούν να τους προστατεύσουν από νέες απειλές.

  Βασικά στοιχεία δικτύων (Μέρος 1)

Η ανοχή στον κίνδυνο είναι γενικά χαμηλή και η διαχείριση κινδύνων στον κυβερνοχώρο αποτελεί αναπόσπαστο μέρος του οργανισμού στο σύνολό του, αποτελώντας γνώμονα στη λήψη αποφάσεων σε ολόκληρη την εταιρεία.

nistcybersec3

Προφίλ

Το προφίλ ουσιαστικά παντρεύει τον πυρήνα και τις βαθμίδες μαζί, ευθυγραμμίζοντας τη λειτουργία εντός του πυρήνα με τις επιχειρηματικές ανάγκες και τους στόχους κυβερνοασφάλειας με βάση τη βαθμίδα της εταιρείας σας.

Συνδυάζοντας και τα δύο, θα πρέπει να είστε σε θέση να δημιουργήσετε έναν οδικό χάρτη που οδηγεί στους στόχους σας για την ασφάλεια στον κυβερνοχώρο, λαμβάνοντας υπόψη τι μπορεί να διαχειριστεί ο οργανισμός σας και ποια ανοχή στον κίνδυνο πρέπει να υιοθετήσει η εταιρεία σας.

Πώς να εφαρμόσετε το NIST Framework

Μπορεί να φαίνεται τρομακτικό και εκφοβιστικό το ενδεχόμενο εφαρμογής αυτού του framework, δεδομένου όλων των διαφορετικών στοιχείων που εμπλέκονται, αλλά είναι σημαντικό να κατανοήσετε ότι αυτό το framework δημιουργήθηκε με γνώμονα την ευελιξία και την ευκολία.

Το NIST παρέχει έναν οδηγό βήμα προς βήμα για την εφαρμογή οποιουδήποτε είδους πλαισίου κυβερνοασφάλειας.

Ιεράρχηση προτεραιοτήτων και πεδίο εφαρμογής

Θα πρέπει να προσδιορίσετε ποιους στόχους πρέπει να επιτύχει η επιχείρησή σας και τι είδους προτεραιότητες απαιτούν πόρους και επενδύσεις. Αυτό θα σας βοηθήσει να κατανοήσετε καλά τι μπορείτε πραγματικά να επιδιώξετε όσον αφορά την ασφάλεια στον κυβερνοχώρο.

Προσανατολισμός

Αυτό το βήμα θα σας βοηθήσει να προσδιορίσετε τις διαδικασίες, τα περιουσιακά στοιχεία, τις απαιτήσεις και τις προσεγγίσεις που απαιτούνται για την επικαιροποίηση του πεδίου εφαρμογής του προγράμματος κυβερνοασφάλειας. Θα είστε σε θέση να αξιολογήσετε σωστά σε ποιες απειλές και τρωτά σημεία μπορεί να εκτεθεί ο οργανισμός σας.

Δημιουργία προφίλ

Η δημιουργία ενός προφίλ σύμφωνα με τις κατηγορίες και τις υποκατηγορίες που βρίσκονται στις λειτουργίες του NIST framework, θα σας δώσει μια βάση για να μετρήσετε την πρόοδο και την επιτυχία σας.

Αξιολόγηση κινδύνων

Η κατανόηση της ανοχής κινδύνου του οργανισμού σας, της επιχειρηματικής ανάγκης για διαχείριση κινδύνου και των διαθέσιμων πόρων, μπορεί να σας βοηθήσει να κατανοήσετε σε ποια βαθμίδα εμπίπτετε και σε ποιους στόχους και αποτελέσματα μπορείτε ρεαλιστικά να στοχεύσετε.

Δημιουργία προφίλ στόχου

Στο πλαίσιο των στόχων σας, θα πρέπει να έχετε στο μυαλό σας ένα προφίλ, με τις σχετικές κατηγορίες ως στόχο, που θα σας βοηθήσει να δώσετε κατεύθυνση στο πρόγραμμά σας.

Καθορίστε, αναλύστε και ιεραρχήστε τα κενά

Συγκρίνοντας το τρέχον προφίλ σας και το προφίλ-στόχο σας, μπορείτε να προσδιορίσετε τα κενά, τα βήματα και τις ενέργειες που απαιτούνται για την επίτευξη του στόχου σας. Αυτό θα σας βοηθήσει επίσης στην εξεύρεση πόρων και κατάλληλων προμηθευτών αλλά και λύσεων.

Εφαρμογή σχεδίου δράσης

Μέχρι τώρα, θα πρέπει να έχετε κατανοήσει καλά ποια βήματα απαιτούνται, με ποιους πρέπει να μιλήσετε και πώς να προχωρήσετε στην υλοποίηση του σχεδίου σας. Το μόνο που απομένει να κάνετε είναι να προχωρήσετε στην επίτευξη των στόχων σας.

Οι αρχές NIST σε διάφορα Frameworks

Το NIST framework μπορεί να χρησιμοποιηθεί από οποιονδήποτε οργανισμό και οι αρχές του μπορούν να αξιοποιηθούν ακόμη και αν υιοθετείτε ένα διαφορετικό framework ή εφαρμόζετε ένα διαφορετικό πρόγραμμα κυβερνοασφάλειας.

Βασικές αρχές, όπως η διενέργεια αξιολόγησης κινδύνου και ο καθορισμός των στόχων, μπορούν να σας βοηθήσουν να εξορθολογήσετε και να ιεραρχήσετε τις ενέργειές σας.

Αυτό θα σας βοηθήσει επίσης κατά την ένταξη σημαντικών συνεργατών στον τομέα της κυβερνοασφάλειας, οι οποίοι μπορούν να σας βοηθήσουν καλύτερα εάν έχετε καθορισμένους στόχους και καλή κατανόηση των οργανωτικών σας δυνατοτήτων.

 

 

 

nist,NIST Cybersecurity Framework

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).