Webinar
Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?
Jetzt im Replay ansehen!
Ob IKT Minimalstandard, NIST CSF oder ISO 27001. Frameworks zur Verbesserung der eigenen Resillienz gegen Informationssicherheitsverstösse sind heutzutage in aller Munde. Doch welches Framework ist das richtige für die eigene Organisation? Wir setzen unsere Blogreihe fort und geben in diesem Betrag eine Übersicht, wie die Frameworks strukturiert sind.
Meldepflicht bei Cyberangriffen – Ist Ihr Unternehmen bereit?
Jetzt im Replay ansehen!
Das NIST CSF wurde ursprünglich entwickelt, um kritische Infrastrukturen wie Stromproduzenten in den Vereinigten Staaten zu schützen. Jedoch lassen sich die Prinzipien auch auf andere Unternehmen und Branchen anwenden, sie sind kostenlos für alle zugänglich . Heute gilt es als das weltweit am verbreitetsten Framework. Wie viele Frameworks weist das NIST CSF einen sehr breiten Scope auf. Beispielsweise sind auch Kontrollen zur Lieferkette enthalten. Grundsätzlich ist es aber einfach und verständlich aufgebaut:
Im Core Framework gibt es 5 Funktionen: Identify, Protect, Detect, Respond und Recover.
Für jede Funktion gibt es Kategorien. Kategorien und Subkategorien welche die erwünschten ergebnisse Präzisieren. Weiter referenziert das NIST CSF zusätzliche Frameworks und hilft dabei Organisationen, genauere Controls zu definieren oder Controls auf andere Frameworks zu übertragen, welche bereits verwendet werden. Beispielsweise verweist es auf die NIST SP-800-53 oder fremde Frameworks wie CSC, COBIT 5 oder ISO 27001.
Implementation Tiers bringen Kontext zum Cyber Risk Management, indem sie die Ansichten der Organisation bezüglich Cyber Security berücksichtigen. Die Tiers helfen Organisationen, das richtige Level von Cyber Security für sich zu finden. Oftmals werden diese als Kommunikationstool verwendet um Risikoappetit, Priorisierung und Budgetierung zu besprechen.
Framework Profiles sind die individuellen Angleichungen von Anforderungen, Zielen, Risikoappetit und Ressourcen einer Organisation mit dem erwünschten Ergebnis aus dem Core Framework. Profile helfen hauptsächlich beim Identifizieren und Priorisieren von Möglichkeiten, die Cyber Security im Unternehmen zu verbessern.
Neben den drei Hauptbestandteilen Core, Implementation Tiers und Framework Profiles, referenziert das NIST CSF weitere Frameworks und hilft dabei Organisationen, genauere Controls zu definieren oder Controls auf andere Frameworks zu übertragen, welche bereits verwendet werden. Das NIST CSF referenziert für jede Kategorie verschiedene weitere Frameworks und Security Controls wie zum Beispiel die NIST SP-800-53 oder fremde Frameworks wie CIS, COBIT 5 oder ISO 27001.
Das Center of Internet Security (CIS) veröffentlicht die Critical Security Controls (CSC). In der aktuellen Version (v8) besteht das Framework aus 18 Security Controls, 3 Implementierungsgruppen und 153 Safeguards. Es ist kostenlos erhältlich.
Die 18 Security Controls umfassen unterschiedliche Aspekte der Cyber Security.
Für jede Control gibt es mehrere Safeguards, welche eine Control präzisieren. So ist zum Beispiel die Safeguard «Establish an Access Granting Process» eine Safeguard der Control «Access Control Management». Die Safeguards beschreiben die Tätigkeit und geben sogar Intervalle an, wie oft sie ausgeführt oder kontrolliert werden sollen.
Es gibt drei Implementation Groups von IG1 bis IG3. Sie sind eine Selbsteinschätzung der Organisation und sagen aus, wie matur ein Unternehmen in den jeweiligen Bereichen ist, wobei IG1 eine Baseline für die Cyberhygiene darstellt. Sie sind aufeinander aufbauend, das heisst, um in einer Control eine IG3 zu erreichen müssen alle IG1 und IG2 Safeguards implementiert sein. Beispielsweise ist die Safeguard «Establish an Access Granting Process» eine Safeguard der Control «Access Control Management» und in der Implementation Group 1. Das heisst, diese Safeguard sollte für ein Mindestmass an Cyber Security zwingend implementiert werden.
Anders ist die Safeguard «Define and Maintain Role-Based Access Control» zwar ebenfalls der Control “Access Control Management” angeführt, aber in der Implementation Group 3.
ISO 27001 und der gesamte ISO 27xxx Katalog drehen sich um Informationssicherheit. Das Framework geht davon aus, dass ein Information Security Management System (ISMS) verwendet wird. Es schreibt vor, dass Unternehmen Risiken für die Informationssicherheit systematisch managen.
Anders als für CIS und NIST, welches beide Self-Assessments sind, setzt ISO ein regelmässiges Audit durch externe Auditoren voraus. In diesen Audits muss eine Organisation unter anderem vorweisen, dass sie den Plan Do Check Act (PDCA) Zyklus zur stetigen Verbesserung anwenden. Wie andere ISO-Standards ist die ISO 27001 nicht kostenlos verfügbar.
Im Anhang steckt das Kontrollwerk und enthält 93 Controls in 4 Bereichen (Organisation, People, Physical Technological). Nicht alle Controls sind obligatorisch, jedoch müssen nicht angewendete Controls schriftlich begründet werden.
Der IKT Minimalstandard wurde vom Bundesamt für wirtschaftliche Landesversorgung BWL veröffentlicht. Er richtet sich insbesondere an Betreiber von kritischen Infrastrukturen, ist aber grundsätzlich für jede Organisation anwendbar und frei verfügbar. Das Frameworkbasiert wesentlich auf dem NIST CSF. Das Framework wurde komplett in die Sprachen Deutsch, Französisch und Italienisch übersetzt. Er ist ebenfalls kostenlos verfügbar.
Die Grundlagen dienen als Nachschlagewerk und vermitteln Hintergrundinformationen.
Das Framework basiert auf dem NIST CSF 1.0 und ist in fünf Themenbereiche gegliedert: Identifizieren, Schützen, Detektieren, Reagieren und Wiederherstellen.
Wie auch beim NIST CSF liefert der IKT Minimalstandard ein Exceltool, welches Unternehmen dabei hilft, eine Gap-Analyse durchzuführen.
Unternehmen, besonders international operierende, müssen unterschiedlichen Cyber- Informationssicherheit Regulationen einhalten. Zusätzlich wird die Komplexität von Informationssystemen immer grösser und erfolgreiche Cyberangriffe können erheblichen Schaden verursachen.
Frameworks bieten ein strukturiertes Vorgehen, um diese Herausforderungen anzupacken. Damit kann eine starke Basis für die Cyber Resilienz geschaffen werden. Das Einführen eines Frameworks erfordert zwingend die Unterstützung des Topmanagements. Denn es werden nicht unerhebliche Ressourcen gebunden, um ein ISMS zu etablieren und zu betreiben. Wenn es aber richtig umgesetzt wird, profitiert eine Organisation von der gewonnen Visibilität und den strukturierten Kontrollen, welche die Sicherheit mess- und kommunizierbar machen.
Asecus berät Kunden im Bereich ISMS basierend auf dem NIST CSF und dem IKT Minimalstandard. Nehmen Sie mit uns Kontakt auf!