18.05.2023
Фахівці з кібербезпеки IT Specialist звернули увагу на те, що в інтернеті досить багато публікацій на тему стандартів безпеки PCI DSS та ISO 2700. А ось на тему стандарту NIST CSF дуже мало інформації. Звичайно, що виникає багато питань про те, що таке стандарт NIST CSF? У цій статті ми поділимося найважливішою інформацією на цю тему.
NIST – це Національний інститут стандартів та технологій США. Повна назва NIST англійською - The National Institute of Standards and Technology.Національний інститут стандартів і технологій США (НІСТ) випустив багато різних стандартів, але нас цікавить той, який пов'язаний із кібербезпекою.
NIST Cybersecurity Framework – це платформа або керівництво, що містить набір рекомендацій щодо зниження організаційних ризиків кібербезпеки, опублікованих Національним інститутом стандартів та технологій США (NIST) на основі існуючих стандартів, посібників та практик.Ініціація створення цього керівництва походила від адміністрації президента США, тому що державні органи влади та управління перебувають під постійними кібератаками. Потрібно було розробити єдиний посібник для фахівців із кібербезпеки та керівників, щоб вони могли використовувати загальну термінологію. У результаті вийшов так званий рамковий документ, який формує загальну понятійну базу.
Дослідження, проведене у 2016 році, показало, що 70% опитаних організацій вважають NIST Cybersecurity Framework найпопулярнішою передовою методологією для забезпечення комп'ютерної безпеки. Він був перекладений багатьма мовами, зокрема українською. Стандарт використовується для забезпечення надійного кіберзахисту на підприємствах критичної інфраструктури та в державних органах по всьому світу. Комерційні підприємства та організації також застосовують NIST Cybersecurity Framework як основний орієнтир для побудови бездоганної системи кібербезпеки.
В основі платформи NIST Cybersecurity Framework лежить ієрархічна структура основних підходів до Інформаційної безпеки (ІБ).
Існує п'ять функцій NIST Cybersecurity Framework:
• Ідентифікація - розробити організаційне розуміння для управління ризиками кібербезпеки для систем, людей, активів, даних та можливостей.Діяльність у рамках функції ідентифікації є основою для ефективного використання платформи. Розуміння бізнес-контексту, ресурсів, що підтримують критичні функції та пов'язані з ними ризики для кібербезпеки, дозволяють організації зосередити зусилля та визначати їх пріоритети відповідно до її бізнес-потреб та стратегії управління ризиками. Приклади категорій результатів, отриманих у рамках цієї функції, включають управління активами, бізнес-середовище, відповідність, оцінку ризиків і стратегію управління ризиками.
• Захист - розробити та запровадити відповідні гарантії для забезпечення надання критично важливих послуг. Функція захисту підтримує можливість обмежувати або стримувати вплив потенційної загрози кібербезпеки. Приклади категорій результатів у рамках цієї функції включають управління ідентифікацією та контроль доступу, усвідомлення та тренування, безпеку даних, процеси та процедури захисту інформації, технічне обслуговування і захисні технології.
• Виявлення - розробити та впровадити відповідні заходи для ідентифікації подій кібербезпеки. Функція виявлення дозволяє своєчасно виявляти події кібербезпеки. Приклади результатів категорії в межах цієї функції включають аномалії та події, безперервний моніторинг безпеки і процеси виявлення.
• Реагування - розробити та впровадити відповідні види діяльності для вжиття заходів щодо виявленого інциденту кібербезпеки. Функція реагування підтримує здатність стримувати негативний вплив інциденту з кібербезпеки. Приклади категорій результатів у рамках цієї функції включають планування реагування, комунікації, аналіз, пом'якшення наслідків та вдосконалення.
• Відновлення - розробити та здійснити відповідні заходи для підтримки планів стійкості та відновлення будь-яких можливостей або послуг, які були порушені внаслідок інциденту з кібербезпеки. Функція відновлення підтримує своєчасне відновлення нормальних операцій, щоб зменшити вплив інциденту кібербезпеки. Приклади категорій результатів, отриманих у рамках цієї функції, включають планування відновлення, вдосконалення і комунікації.
Ці основні функції поділяються на категорії, а категорії розбиті на підкатегорії. У результаті виходить 108 вимог, які мають бути реалізовані.
NIST Cybersecurity Framework містить посилання на інші стандарти, такі як ISO 27001, COBIT, NIST SP 800-53, ANSI/ISA-62443 та багато інших. Він об'єднує вимоги інших стандартів і стандарти, які виникнуть у майбутньому, будуть приєднані до NIST Cybersecurity Framework.
Існує 4 рівня реалізації NIST Cybersecurity Framework:
Рівень 1: Частковий
• Процес управління ризиками - організаційна практика управління ризиками для кібербезпеки не формалізована; управління ризиками здійснюється ситуативним, а часом і реактивним способом. Інформація для визначення пріоритетів у діяльності з кібербезпеки може не бути доступною безпосередньо з організаційних цілей управління ризиками, середовища загрози або вимог бізнесу/місії.
• Інтегрована програма управління ризиками – знання ризику для кібербезпеки на організаційному рівні обмежене. Організація впроваджує управління ризиками для кібербезпеки нерегулярно, залежно від конкретного випадку, через різноманітний досвід або інформацію, отриману зі сторонніх джерел. Організація може не мати процесів, які дозволяють спільно використовувати інформацію про кібербезпеку в організації.
• Зовнішня участь - організація не розуміє своєї ролі в більшій екосистемі як щодо її залежних осіб, так і щодо залежних об’єктів. Організація не співпрацює з іншими організаціями (наприклад, покупцями, постачальниками, залежними особами, залежними об’єктами, ISAO, дослідниками, урядами), а також не отримує та не ділиться інформацією (наприклад, інформацією про загрозу, найкращі практики, технології). У цілому, організація не знає про кіберризики для ланцюжків поставок щодо продуктів та послуг, які вона надає і які вона використовує.
Рівень 2: Ризик-орієнтований
• Процес управління ризиками - практика управління ризиками затверджена керівництвом, але може бути не встановлена як організаційна політика. Інформація для визначення пріоритетів діяльності з кібербезпеки та потреб захисту безпосередньо отримується з організаційних цілей управління ризиками, навколишнього середовища загрози або вимог бізнесу/місії.
• Інтегрована програма управління ризиками - існує усвідомлення ризику для кібербезпеки на організаційному рівні, але загально-організаційний підхід до управління ризиком для кібербезпеки не встановлено. Інформація про кібербезпеку поширюється всередині організації на неформальній основі. Розгляд кібербезпеки в організаційних цілях та програмах може відбуватися на деяких, але не на всіх рівнях організації. Оцінка кіберризиків для організаційних та зовнішніх активів відбувається, але зазвичай не повторюється або не проводиться знову.
• Зовнішня участь - взагалі організація розуміє свою роль у більшій екосистемі щодо власних залежностей або для залежних осіб, але не обох. Організація співпрацює з іншими організаціями та отримує певну інформацію від інших організацій, а також створює певну свою інформацію та може ділиться нею з іншими. Крім того, організація усвідомлює кіберризики для ланцюжків поставок, пов'язані з продуктами та послугами, які вона надає та використовує, але не діє послідовно чи формально щодо цих ризиків.
Рівень 3: Повторюваний
• Процес управління ризиками - практика управління ризиками організації офіційно схвалена та виражена як політика. Організаційна практика кібербезпеки регулярно оновлюється на основі застосування процесів управління ризиками до змін у вимогах бізнесу/місії та змінного ландшафту загроз і технології.
• Інтегрована програма управління ризиками - існує загально- організаційний підхід до управління ризиками для кібербезпеки. Ризик- орієнтовані політика, процеси та процедури визначаються, виконуються як передбачено та переглядаються. Послідовно застосовуються методи ефективного реагування на зміни ризику. Персонал володіє знаннями та навичками для виконання своїх призначених ролей та обов'язків. Організація послідовно і точно контролює ризики для кібербезпеки для організаційних активів. Вище керівництво з питань кібербезпеки та керівництво, не пов’язане з питаннями кібербезпеки, регулярно обмінюються інформацією про проблеми, пов’язані з ризиком для кібербезпеки. Вищі керівники забезпечують врахування кібербезпеки у всіх напрямках діяльності в організації.
• Зовнішня участь - організація розуміє свою роль, залежних осіб та залежних об’єктів у більшій екосистемі та може сприяти широкому розумінню ризиків громадою. Вона співпрацює та регулярно отримує інформацію від інших організацій, що доповнює внутрішньо сформовану інформацію, та ділиться інформацією з іншими суб'єктами. Організація усвідомлює кіберризики для ланцюжків поставок, пов'язані з продуктами та послугами, які вона надає і які вона використовує. Окрім того, вона зазвичай діє формально щодо цих ризиків, включаючи механізми, такі як письмові договори для передачі базових вимог, структури управління (наприклад, ради з питань управління ризиками) та впровадження політики та моніторингу.
Рівень 4: Адаптивний
• Процес управління ризиками - організація адаптує свої технології кібербезпеки на основі попередньої та поточної діяльності з кібербезпеки, включаючи досвід та прогнозні показники. Завдяки процесу безперервного вдосконалення, що включає передові технології та практику кібербезпеки, організація активно адаптується до мінливого ландшафту загроз i технологій та своєчасно та ефективно реагує на виникаючі складні загрози.
• Інтегрована програма управління ризиками - існує загально- організаційний підхід до управління ризиками для кібербезпеки, який використовує інформацію про ризики, процеси та процедури для подолання можливих подій, пов'язаних із кібербезпекою. Зв'язок між ризиком для кібербезпеки та організаційними цілями чітко розуміється та враховується при прийнятті рішень. Вище керівництво контролює ризики для кібербезпеки в тому ж контексті, що й фінансовий ризик та інші організаційні ризики. Бюджет організації базується на розумінні поточного та передбачуваного ризику та стійкості до ризику. Бізнес-підрозділи реалізують виконавче бачення та аналізують ризики системного рівня в контексті стійкості організації до ризиків. Управління ризиками для кібербезпеки є частиною організаційної культури та розвивається з усвідомлення попередньої діяльності та постійної обізнаності про діяльність у своїх системах та мережах. Організація може швидко та ефективно враховувати зміни в цілях бізнесу/місії щодо підходу до ризику і повідомлення про нього.
• Зовнішня участь - організація розуміє свою роль, залежних осіб та залежних об’єктів у великій екосистемі та сприяє більш широкому розумінню ризиків громадою. Вона отримує, генерує та переглядає пріоритетну інформацію, що забезпечує безперервний аналіз її ризиків при зміні ландшафтів загроз та технології. Організація ділиться цією інформацією всередині та зовні з іншими співробітниками. Організація використовує інформацію в режимі реального або майже реального часу, щоб розуміти і послідовно діяти при виникненні кіберризиків для ланцюжків поставок, пов'язаних із продуктами та послугами, які вона надає і які вона використовує. Окрім того, вона активно спілкується, використовуючи формальні (наприклад, угоди) та неформальні механізми для розвитку та підтримки надійних зв'язків ланцюжків поставок.
Кожна вимога може бути впроваджена на одному із 4-х рівнів.

Також існує поняття профілю платформи ("Профіль") - це певний ступінь впровадження функцій, Категорій та Підкатегорій у відповідності з бізнес-вимогами, стійкістю до ризику та ресурсами організації. Профіль дозволяє організаціям створювати дорожню карту для зниження ризику кібербезпеки, яка добре узгоджується з організаційними та галузевими цілями, враховує юридичні/ регуляторні вимоги та найкращі практики в галузі та відображає пріоритети управління ризиками. Враховуючи складність багатьох організацій, вони можуть прийняти рішення мати кілька Профілів, узгоджених із окремими компонентами, враховуючи їхні індивідуальні потреби.
Профілі платформи можуть використовуватися для опису поточного стану або бажаного цільового стану конкретних заходів із кібербезпеки. Поточний профіль показує стан кібербезпеки, який досягнутий на даний час. Цільовий профіль показує результати, необхідні для досягнення бажаних цілей управління ризиком кібербезпеки. Профілі підтримують вимоги бізнесу/місії та допомагають у повідомленні про ризик всередині та між організаціями. NIST CSF не встановлює шаблони Профілю, що забезпечує гнучкість у реалізації заходів із кібербезпеки.
Порівняння Профілів (наприклад, Поточного профілю та Цільового профілю) може виявити прогалини, які необхідно усунути для досягнення цілей управління ризиком для кібербезпеки.
План дій щодо усунення цих прогалин для виконання кожної Категорії або Підкатегорії може включатися до дорожньої карти, описаної вище. Визначення пріоритетів у зменшенні прогалин обумовлюється бізнес-потребами організації та процесами управління ризиками. Цей підхід, що ґрунтується на оцінці ризику, дає змогу організації оцінювати необхідні ресурси (наприклад, кадрове забезпечення, фінансування) для досягнення поставлених цілей із кібербезпеки економічним та пріоритетним чином. Крім того, NIST CSF надає ризик-орієнтований підхід, в якому застосовність і виконання кожної Підкатегорії залежить від обсягу Профілю.
Спеціалісти IT Specialist пройшли навчання та отримали сертифікати NIST CSF Lead Implementer.
Запрошуємо компанії з державного та комерційного сектора пройти оцінку рівня кіберзахищеності компанії згідно з критеріями, описаними в NIST Cybersecurity Framework.
Ви отримаєте звіт, який дасть відповідь на одне важливе запитання:
«Наскільки компанія готова до відбиття атак та протистояння сучасним загрозам?».
Це дасть розуміння, в яких галузях та процесах кібербезпеки потрібно сфокусуватися та інвестувати ресурс для максимального захисту. Ми допоможемо вам порівняти свою компанію із типовими профілями подібних компаній, розробимо та впровадимо стратегію щодо покращення кібербезпеки та допоможемо її реалізувати. У результаті ми перевіримо ті заходи, які були вжиті та оцінимо їх ефективність.
Посилання на офіційний сайт NIST Cybersecurity Framework.Основну інформацію для створення цієї статті було взято з української версії опису NIST Cybersecurity Framework.Повний текст документа можна завантажити у форматі PDF.

Запрошуємо на безкоштовну консультацію з оцінки рівня кіберзахищеності компанії згідно з критеріями описаними в NIST Cybersecurity Framework.