Webinar
Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?
Jetzt im Replay ansehen!
In diesem Artikel geben wir eine Übersicht über das NIST Cyber Security Framework und helfen, die Komponenten besser zu verstehen. Das Framework besteht aus drei Komponenten: Core, Tiers und Profiles.
Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?
Jetzt im Replay ansehen!
Der Core beschreibt erstrebenswerte Aktivitäten Outcomes in der Cybersicherheit in einfacher verständlicher Sprache. Der Core hilft beim managen und reduzieren von Cyberrisken unter Berücksichtigung bestehender Prozesse.
Die Struktur ist leicht verständlich: Es gibt 5 Funktionen: Identify, Protect, Detect, Respond und Recover. Die einzelne Funktionen werden in 23 Kategorien und 108 Subkategorien unterteilt. Weiter referenziert der Core jede Sub-Kategorie mit anderen Frameworks wie etwa ISO27001, CIS CSC, Cobit und weitere.
Identify
ID.AM: Asset Management
ID.BE: Business Environment
ID.GV: Governance
ID.RA: Risk Assessment
ID.RM: Risk Management Strategy
ID.SC: Supply Chain Risk Management
Protect
PR.AC: Identity Management, Authentication and Access Control
PR.AT: Awareness and Training
PR.DS: Data Security
PR.IP: Information Protection Processes and Procedures
PR.MA: Maintenance
PR.PT: Protective Technology
Detect
DE.AE: Anomalies and Events
DE.CM: Security Continuous Monitoring
DE.DP: Detection Processes
Respond
RS.RP: Response Planning
RS.CO: Communications
RS.AN: Analysis
RS.MI: Mitigation
RS.IM: Improvements
Recover
RC.RE: Recovery Planning
RC.IM: Improvements
RC.CO: Communications
Die Kategorien wurden so konzipiert, dass sie die gesamte Bandbreite der Cyber Sicherheitsziele einer Organisation abdecken, ohne zu sehr ins Detail zu gehen. Die Kategorien erstrecken sich über cyber, physische und personelle Themenbereiche und fokussieren dabei auf Business Outcomes.
Subkategorien sind die unterste Ebene der Abstraktion im Core. Sie treffen ergebnisorientierte Aussagen. Dadurch, dass das Framework ergebnisorientiert ist und keine Vorschriften macht, wie ein Unternehmen die Ziele erreichen muss, erlaubt das Framework Organisationen eine risikobasierte Implementierung, die auf die eigenen Bedürfnisse zugschnitten ist.
ID.BE-1: The organization’s role in the supply chain is identified and communicated
ID.BE-2: The organization’s place in critical infrastructure and its industry sector is identified and communicated
ID.BE-3: Priorities for organizational mission, objectives, and activities are established and communicated
ID.BE-4: Dependencies and critical functions for delivery of critical services are established
ID.BE-5: Resilience requirements to support delivery of critical services are established for all operating states (e.g. under duress/attack, during recovery, normal operations)
Referenzen helfen Organisationen, das NIST CSF an bestehende Frameworks anzugleichen. Weiter helfen die Referenzen für bestimmte Kategorien noch weitere und tiefere Informationen zu erlangen.
Beispielsweise mit den CIS Critical Security Controls, welche einen eher technischen Fokus haben oder die NIST SP 800-53, welche über 450 referenzierte Controls aufweist.
Tiers (englisch für Stufen) beschreiben den Umfang wie die Cyber Risiken in einer Organisation bewältigt werden. Die Stufen reichen von «Partial» (Stufe 1) bis zu «Adaptive» (Stufe 4). Die Stufen beschreiben den zunehmenden Grad an Maturität wie gut Entscheidungen über Cybersicherheitsrisiken in allgemeine Risikoentscheide integriert sind und inwiefern eine Organisation Informationen über Cyber Security erhält und weitergibt.
Tiers stellen nicht unbedingt den Reifegrad dar. Organisationen sollten eine gewünschte Stufe wählen unter Berücksichtigung der Unternehmensziele, und ob das Cyberrisiko auf ein akzeptables Risiko reduziert wird und auch aus finanzieller Sicht machbar ist.
Profile sind die individuelle Abstimmung der organisatorischen Anforderungen, Ziele, Risikoappetit und Ressourcen mit den erwünschten Ergebnissen des Framework Cores. Anhand der Profile lassen sich Möglichkeiten zur Verbesserung der Cyber Sicherheitslage ermitteln, indem ein IST-Profil mit einem SOLL-Profil verglichen wird.
Die Entwicklung der IST und SOLL Profile sowie der Gap-Analyse erlauben es Organisationen, einen priorisierten Implementierungsplan zu entwerfen. Die Priorität, Grösse des Gaps und geschätzte Kosten der korrigierenden Massnahmen helfen Organisationen bei einer besseren Planung und Budgetierung von Verbesserungen in der Cyber Security.
Das NIST CSF ist ein umfängliches Rahmenwerk zur systematischen Vorgehen im Bereich Cyber Sicherheit. Es besteht aus drei wesentlichen Teilen:
Core: Tätigkeiten und Ergebnisse im Bereich Cybersecurity
Tiers: Bewertungsmethode, wie gut die Tätigkeiten umgesetzt sind oder sollten
Profiles: Die Bewertung des Cores anhand der Tiers. Jeweils als IST- und SOLL-Stand
Hinweis: Eine neue Version des NIST CSF ist aktuell in Bearbeitung. Die Version 2.0 wird anfangs 2024 erwartet.
Haben Sie Fragen wie Sie in Ihrem Unternehmen ein ISMS aufbauen? Wir unterstützen Sie gerne!