NIST
NIST (National Institute of Standards and Technology)
NIST är en organisation inom USA:s handelsdepartement som arbetar med standardiseringsfrågor och forskning inom flera olika ämnesområden. Ett av dessa områden är informations- och cybersäkerhet. Det ramverk som reglerar cybersäkerhetsfrågor kallas NIST CSF (Cyber Security Framework). Det reglerar hur man strukturerar riskarbete, mäter risk, väljer säkerhetsåtgärder och utför säkerhetsarbete i en organisation.
Strukturerad hjälp i cybersäkerhetsarbetet
Cybersäkerheten måste planeras och struktureras på lämpligt sätt för att bli effektivt. Ett gemensamt genomarbetat ramverk som NIST-CSF hjälper organisationer att utföra säkerhetsarbetet på ett beprövat och kontrollerat sätt. Grunden i arbetet är en nulägesanalys (identifiering) av styrkor och brister i säkerheten. Utifrån denna identifiering kan man utarbeta en plan för vilka åtgärder som behöver göras för att stärka säkerheten. NIST-CSF-standarden har utvecklats för att förbättra möjligheterna till effektiv planering och utvärdering av säkerhetsarbetet.
NIST-CSF fem huvuddelar
Ramverkets fem huvuddelar för hur man lämpligen hanterar riskarbetet är:
1. Identifiering
Identifiera vilka risker och hot som finns kring organisationens tillgångar och datainformation. Kartlägg Cybersäkerheten inom systemet.
2. Skyddsåtgärder
Utveckla lämpliga skyddsåtgärder för att säkerställa att organisationens känsliga information inte kan kommas åt av obehöriga.
3. Detektionsförmåga
Utveckla och implementera lämpliga åtgärder för att upptäcka cyberrelaterade hot.
4. Responsförmåga
Implementera lämpliga åtgärder för att hantera och korrigera de cyberrelaterade hot som upptäcks.
5. Återställningsförmåga
Utveckla och implementera nödvändiga åtgärder för att återställa systemet till ett nytt säkerhetsläge efter ett cyberangrepp.
Dessa fem huvuddelar är uppdelade i 23 kategorier och 108 underkategorier. Hela NIST-CSF är ett mycket användbart regelverk för att styra och mäta en organisations cybersäkerhetsarbete.
Mätning och utveckling av mognadsnivåer
Ramverket ger också vägledning om hur organisationens säkerhetsarbete kan mätas. Statusen på säkerheten mäts i fyra mognadsnivåer. Dessa mognadsnivåer är inte avsedda att användas för att jämföra olika organisationer. Sådana jämförelser är ganska ointressanta eftersom olika organisationer har skiftande behov av skyddsåtgärder. Däremot kan en organisations rådande mognadsgrad inom olika områden vara en bra utgångspunkt för att följa säkerhetsarbetets utveckling mot en målprofil av mognadsgrad med tillhörande åtgärdsplan.
Ytterligare fördjupning
För den som vill göra en verklig djupdykning i ramverken för cybersäkerhet finns en SP (Special Publication) inom NIST, som kallas ”Security and Privacy Controls for Information Systems and Organiations”. Denna samling säkerhetsåtgärder går under namnet NIST SP 800-53 och är ett mycket omfattande dokument på många hundra sidor och en utförlig lista på över tusen säkerhetsåtgärder. Denna katalog avser att täcka hela informationssäkerhetsområdet och innehåller 20 ”familjer” av säkerhetsåtgärder.
Svenska organisationer kan tvingas följa NIST
Det är inget lagstadgat krav att följa NIST-CSF i Sverige eller EU. Men svenska organisationer som har verksamhet i USA kan tvingas av sina samarbetspartners i USA att tillämpa NIST-CSF:s ramverk. Det är då den amerikanska samarbetspartnern som avgör vilken mognadsnivå som skall gälla i respektive del av ramverket. Ett annat amerikanskt regelverk, kallat FISMA (Federal Information Security Management Act) ger ut föreskrifter för IT-system i statsförvaltningen. De innehåller regler för godkännande av alla program som ska användas i statsförvaltningen. Dessa regler har fastställts av NIST.
På NIST:s webbplats www.nist.gov finns massor av information och föreskrifter som kan laddas ned.
Behöver du hjälp med compliance gentemot NIST eller andra ramverk och standarder?