Vad är NIST Cybersecurity Framework? Den ultimata guiden

National Institute of Standards and Technology (NIST) tillhandahåller vägledning och bästa praxis som organisationer kan följa för att hjälpa företag, ideella organisationer och andra institutioner i den privata sektorn att förbättra hanteringen av cybersäkerhetsrisker. NIST är en del av USA:s handelsdepartement och ett av landets äldsta naturvetenskapliga laboratorier.

År 2013 utfärdade presidenten Executive Order 13636, där det stod:

”Det är USA:s policy att stärka säkerheten och motståndskraften i nationens kritiska infrastruktur och att upprätthålla en cybermiljö som uppmuntrar effektivitet, innovation och ekonomiskt välstånd, samtidigt som säkerhet, skydd, affärssekretess, integritet och medborgerliga friheter främjas.”

Denna presidentorder fastställde vissa krav som NIST tillämpade på sitt ramverk för cybersäkerhet, bland annat:

• Identifiera säkerhetsstandarder och riktlinjer som är tillämpliga inom olika sektorer av kritisk infrastruktur.

• Tillhandahålla ett prioriterat, flexibelt, upprepningsbart, resultatbaserat och kostnadseffektivt tillvägagångssätt.

• Hjälpa ägare och operatörer av kritisk infrastruktur att identifiera, bedöma och hantera cyberrisker.

• Möjliggöra teknisk innovation och ta hänsyn till organisatoriska skillnader.

• Tillhandahålla teknikneutral vägledning som gör det möjligt för sektorer inom kritisk infrastruktur att dra nytta av en konkurrensutsatt marknad för produkter och tjänster.

• Inkludera vägledning för att mäta resultatet av implementeringen av ramverket för cybersäkerhet.

• Identifiera förbättringsområden som bör hanteras genom framtida samarbete med specifika sektorer och standardiseringsorganisationer.

Varför har detta blivit så viktigt?

Enkelt uttryckt påverkar ökande cybersäkerhetshot företag och andra organisationer varje dag. Utan en enda tillförlitlig källa skulle det vara nästintill omöjligt för företag att ta fram ett grundligt och effektivt ramverk som hjälper dem att införa effektiva åtgärder för att minska säkerhetsrisker. Därför har NIST Cybersecurity Framework blivit så avgörande för företag; det främjar effektiva, innovativa och motståndskraftiga lösningar för att upprätthålla säkerheten.

I grunden hjälper NIST Cybersecurity Framework organisationer av alla slag att bättre förstå, hantera och minska cybersäkerhetsrisker. Slutresultatet av att följa denna vägledning är bättre skydd för nätverk och data. NIST Cybersecurity Framework är uppbyggt på ett sätt som gör att alla företag och organisationer kan implementera det för att bättre förstå var de bör fokusera tid och resurser för att förbättra cybersäkerhetsskyddet. Det handlar om att ge företag bättre förutsättningar att skydda sina data, sina kunders data, sina nätverk och sina medarbetare.

Även om NIST Cybersecurity Framework utvecklades av en organisation i USA, skapades det med global användning i åtanke. Därför har det översatts till många språk och antagits av myndigheter, företag och organisationer över hela världen.

Sedan version 1.1 av NIST Cybersecurity Framework har många organisationer och myndigheter framgångsrikt infört ramverket, däribland:

• Saudi Aramco

• Bermudas regering

• Israels nationella cyberdirektorat

• Cimpress-FAIR

• Multi-State - Information Sharing and Analysis Center

• University of Kansas Medical Center

• University of Pittsburgh

• ISACA

• Japanskt tvärsektoriellt forum

• University of Chicago

• Lower Colorado River Authority

• Optic Cyber Solutions   

Den senaste versionen av NIST Cybersecurity Framework (CSF) riktar sig till målgrupper, branscher och organisationer av alla typer och storlekar – från små skolor och ideella organisationer till stora företag. Ramverket utformades så att alla organisationer, oavsett mognadsgrad inom cybersäkerhet, kan dra nytta av den information som presenteras.

Enligt NIST:s chef och understatssekreterare för standarder och teknik vid USA:s handelsdepartement, Laurie E. Locascio: 

”CSF har varit ett viktigt verktyg för många organisationer och hjälpt dem att förutse och hantera cybersäkerhetshot … CSF 2.0, som bygger vidare på tidigare versioner, handlar inte bara om ett enda dokument. Det handlar om en uppsättning resurser som kan anpassas och användas enskilt eller i kombination över tid, i takt med att en organisations cybersäkerhetsbehov förändras och dess förmågor utvecklas.” 

Den senaste utvecklingen av NIST Cybersecurity Framework går också längre än att fokusera på kritisk infrastruktur och omfattar alla organisationer (oavsett storlek) inom alla sektorer.

När NIST Cybersecurity Framework skapades var målet ett fortlöpande engagemang med intressenter inom offentlig sektor, näringsliv och akademi. För att ta fram ramverket använde NIST uppsökande arbete och workshoppar runt om i landet, samt en Request For Information (RFI) och en Request For Comment (RFC). Det ursprungliga målet var tredelat:

• Identifiera befintliga cybersäkerhetsstandarder, riktlinjer, ramverk och bästa praxis.

• Ange högprioriterade luckor.

• Ta fram handlingsplaner för att åtgärda dessa luckor.

Kommentarsperioden för informationsinsamlingen avslutades den 8 april 2013, och NIST fick in över 270 svar på sin Request For Information. Utifrån dessa svar tog NIST fram agendan för sin första workshop om Cybersecurity Framework, som ägde rum i Washington DC med målet att samla intresse, öka medvetenheten och ge insyn i den samarbetsbaserade utvecklingsprocessen. Ämnena för workshopen omfattade presidentordern, målen för utvecklingen och en bekräftelse av den process som skulle användas för att utveckla ramverket.

Den andra workshopen ägde rum den 29–31 maj 2013 och hölls vid Carnegie Mellon University, med en agenda som byggde på analysen av den första RFI:n. Målen var att ytterligare definiera och klargöra den information som hade kommit in och att uppmuntra till diskussion kring flera säkerhetsrelaterade ämnen. Efter att workshopen avslutats analyserade NIST den information som hade samlats in och tog fram sammanfattningar som delades med branscherna och användes för att skapa det första utkastet till Cybersecurity Framework.

Det första utkastet till NIST Cybersecurity Framework publicerades den 2 juli 2013.

Efter publiceringen höll NIST flera workshoppar med syfte att diskutera och förfina den första versionen. Den 12 februari 2014 publicerades version 1.0 av NIST Cybersecurity Framework.

NIST Cybersecurity Framework består av flera kärnfunktioner som ger en övergripande bild av bästa praxis. Funktionerna är inte avsedda att ses som procedursteg, utan ska användas för att hantera cybersäkerhetsriskernas dynamiska natur.

Styra

Denna funktion ger resultat som hjälper till att vägleda vad en organisation kan göra för att prioritera de återstående funktionerna utifrån sitt uppdrag och intressenternas förväntningar.

Identifiera

Identifieringsfunktionen lyfter behovet av att utveckla en organisatorisk förståelse för cybersäkerhetsrisker kopplade till system, tillgångar, data och förmågor. Denna del fokuserar på verksamheten, så att den kan prioritera sina insatser på ett sätt som stämmer överens med dess riskhanteringsstrategi.

Skydda

Denna funktion stödjer en organisations förmåga att säkra tillgångar samt att förhindra eller minska sannolikheten för, och konsekvenserna av, en cybersäkerhetshändelse.

Upptäcka

Denna funktion möjliggör snabb upptäckt och analys av avvikelser, indikatorer på intrång och andra negativa händelser som tyder på att en cybersäkerhetshändelse har inträffat eller kommer att inträffa.

Hantera

Denna funktion hjälper till att begränsa eventuella effekter av en cybersäkerhetsincident och omfattar incidenthantering, analys, begränsning, rapportering och kommunikation.

Återställning

Denna funktion fokuserar på att snabbt återställa normal affärsverksamhet för att minska effekterna av en cybersäkerhetsincident, samt möjliggöra nödvändig (och lämplig) kommunikation under återställningen.

Det yttersta målet med dessa funktioner är att ge en övergripande, strategisk bild av hur en organisation förbereder sig för, reagerar på och återhämtar sig från cybersäkerhetshändelser.

Med en gedigen förståelse för vad NIST:s cybersäkerhetsramverk gör och hur det har utvecklats undrar du förmodligen hur det bäst implementeras. 

NIST rekommenderar en implementering i sju steg, som ser ut så här:

1. Prioritera och avgränsa – Prioritera organisationens mål och de tillgångar som behöver skyddas.

2. Orientera dig – Bekanta dig och ditt team med de processer, system och komponenter som ingår i omfattningen, samt de viktigaste efterlevnadsreglerna de måste följa.

3. Skapa en nulägesprofil – Ange vilka kontrollutfall i ramverket som redan uppnås inom organisationen och skapa sedan en lista över vad som fortfarande behöver integreras.

4. Genomför en riskbedömning – Analysera er operativa miljö för att avgöra sannolikheten för cybersäkerhetshändelser, samt vilken påverkan de kan få.

5. Skapa en målprofil – Fokusera på bedömningen av cybersäkerhetsramverkets kategorier och underkategorier för att beskriva era önskade cybersäkerhetsresultat.

6. Identifiera, analysera och prioritera gap – Identifiera eventuella cybersäkerhetsgap som finns i organisationen. Utifrån den analysen kan du sedan skapa en prioriterad plan för att åtgärda behoven.

7. Implementera din handlingsplan – Agera och implementera planen du har skapat för att åtgärda alla problem som upptäckts i de tidigare stegen.

En sak att ha i åtanke är att ramverket inte är oflexibelt. Faktum är att ramverket är tillräckligt flexibelt för att kunna integreras med era befintliga säkerhetsprocesser. Du bör se hur det fungerar inom de sju stegen ovan.

Eftersom NIST beskriver de sju stegen för att implementera ramverket får organisationer en omfattande översikt över vilka risker de är utsatta för, hur de kan planera utifrån dessa risker, hur de kan förbättra kommunikationen i hela organisationen och stärka regelefterlevnaden. Insikten om en organisations svagheter och hur de kan begränsas är en av de viktigaste fördelarna med NIST-ramverket.

Enligt Federal Trade Commission, hjälper NIST-ramverket ”företag av alla storlekar att bättre förstå, hantera och minska sina cybersäkerhetsrisker samt skydda sina nätverk och data.”

NIST förstår att alla organisationer är olika och erbjuder till och med 3 tips för att hålla dina lösenord säkra (som bör betraktas som universella).

NIST:s cybersäkerhetsramverk kan vara komplext. Det är viktigt att förstå kärnfunktionerna fullt ut innan du går vidare till de sju stegen ovan. För att säkerställa långsiktig framgång är det avgörande att uppmuntra en cybersäkerhetskultur inom organisationen, annars kommer du att stöta på motstånd mot det som kan innebära en dramatisk förändring av processer och system.

Andra utmaningar är:

• Resursbegränsningar – ni kanske inte för närvarande har personal som kan implementera dessa förändringar.

• Ni kommer sannolikt att behöva lägga tid på att anpassa cybersäkerhetsramverket så att det bättre passar er organisation.

• Hot utvecklas ständigt, vilket innebär att era säkerhetsrutiner måste hänga med.

• Du bör integrera Cybersecurity Framework med de befintliga processer du redan har på plats.

• Det kan vara en utmaning att uppmuntra intressenternas engagemang, vilket är direkt kopplat till att främja en cybersäkerhetskultur som kan möta dessa krav.

Det finns fyra implementeringsnivåer enligt NIST:

• Nivå 1Partiell – Företag med ad hoc-baserade eller inga säkerhetsrutiner.

• Nivå 2Riskinformerad – Företag som är medvetna om de hot de står inför och har vissa policyer på plats, men saknar en samordnad strategi.

• Nivå 3Repeterbar – Företag med bästa praxis för riskhantering och cybersäkerhet som har godkänts av ledningen. Dessa företag jämför sig ofta med konkurrenter och samarbetar även med andra organisationer för att säkerställa att deras arbetssätt är samordnade.

• Nivå 4Adaptiv – Företag i hårt reglerade branscher (som bank och hälso- och sjukvård) som regelbundet bidrar till en bred riskmedvetenhet.

Enligt NIST är Cybersecurity Framework-profilen ”anpassningen av funktioner, kategorier och underkategorier till organisationens affärskrav, risktolerans och resurser”. Dessa profiler hjälper organisationer att etablera en färdplan för att minska cybersäkerhetsrisker.

NIST erbjuder en anpassningsbar mall för Cybersecurity Framework: Organizational Profile Template, samt en lista över community-profiler som kan användas.

Kom ihåg att NIST Cybersecurity Framework är utformat som ett levande dokument som bygger på regelbundna uppdateringar för att spegla det ständigt föränderliga cybersäkerhetslandskapet och nya hot. Därför är det avgörande att organisationer håller sig uppdaterade om de senaste hoten, så att Cybersecurity Framework kan utvecklas för att möta aktuella behov och kontinuerligt förbättras.

För att säkerställa att din organisation kan utvecklas i takt med NIST Cybersecurity Framework kan du överväga hur du bygger den bästa cybersäkerhetsteknikstacken för ditt företag, som ett sätt att säkerställa att du kan dra nytta av den bästa tekniken som kan utvecklas tillsammans med Cybersecurity Framework.

Det säger sig självt att säkerhet har blivit ett av de allra viktigaste fokusområdena för organisationer. Utan robusta rutiner för hantering av cybersäkerhetsrisker kan företag falla offer för ett stort antal hot där ute. Med hjälp av NIST Cybersecurity Framework, tillsammans med noggrann planering och kommunikation, kan din organisations säkerhet förbättras avsevärt. Ta dig an NIST Cybersecurity Framework grundligt, följ de 7 stegen och var alltid beredd att uppdatera och utvecklas så att din organisation får ett bättre skydd mot cybersäkerhetsrisker.

Redo att komma igång i dag? Överväg att införa en lösning för lösenordshantering för att ge din organisation en bra start. Läs mer om Bitwarden Business-abonnemang, kontakta försäljning och jämför abonnemangspriser.