NIST-yhteensopivuusohjelmisto

National Institute of Standards & Technology

Varaa demo

hymyilevä,intialainen,liikemies,työskentelee,kannettavalla,modernissa,toimistossa,aula

National Institute of Standards and Technology (NIST) Yhdysvalloissa on tuotettu puitteet, jotka auttavat organisaatioita yhdenmukaistamaan kyberturvallisuuden puolustussuunnitelmansa ja suojaamaan infrastruktuuria kyberrikollisuuden uhalta.

NIST Cyber ​​Security tarjoaa yksityisen sektorin organisaatioille politiikan ja valvontakehyksen, joka auttaa estämään tietoverkkorikollisten hyökkäyksiä ja havaitsemaan hyökkäyksiä, jotka pääsevät niihin.

Seuraavassa videossa National Institute of Standards and Technology selittää lisää NIST-kehyksen alkuperäisestä tavoitteesta, sen taustalla olevista standardeista, ohjeista ja parhaista käytännöistä.

Emme voi ajatella yhtäkään yritystä, jonka palvelu voisi pitää kynttilän ISMS.onlinelle.
Vivian Kroner
ISO 27001, 27701 ja GDPR johtava toteuttaja Aperian Global
100 % käyttäjistämme läpäisee sertifioinnin ensimmäistä kertaa
Varaa esittelysi

Mikä on NIST?

- Kansallinen standardointi- ja teknologiainstituutti tunnetaan lyhenteellä NIST. Tämä on ei-sääntelyviranomainen, joka on luotu edistämään innovaatioita ja edistämään teollisuuden kilpailukykyä tieteen, tekniikan ja teknologian aloilla.

NIST:n ensisijainen tehtävä on luoda parhaita käytäntöjä organisaatioille ja valtion virastoille. Näiden tietoturvastandardien tarkoituksena on parantaa valtion virastojen ja yksityisten yritysten turvallisuusasentoa, jotka käsittelevät valtion tietoja.

NIST Cybersecurity Framework (CSF) on joukko ohjeita ja parhaita käytäntöjä, jotka on suunniteltu auttamaan organisaatioita parantamaan kyberturvallisuusstrategioitaan, jotka NIST on kehittänyt.

Viitekehyksen tavoitteena on standardoida kyberturvallisuuskäytännöt, jotta organisaatiot voivat käyttää yhtä tai yhtenäistä lähestymistapaa suojautuakseen kyberhyökkäyksiä vastaan.

NIST, Onko vaatimustenmukaisuus pakollinen? Mitkä ovat edut?

Useimpien organisaatioiden ei tarvitse noudattaa NIST-yhteensopivuutta, vaikka se on heille suositeltavaa. Yhdysvaltain liittovaltion virastojen on noudatettava NIST-standardeja vuodesta 2017 lähtien, koska NIST on itse osa Yhdysvaltain hallitusta.

Miksi se on suositeltavaa?

Liittovaltion hallituksen kanssa työskentelevien alihankkijoiden ja urakoitsijoiden on noudatettava NIST-turvastandardeja. Jos urakoitsijalla on aiemmin ollut NIST-vaatimusten noudattamatta jättäminen, hän on vaarassa jäädä valtion sopimusten ulkopuolelle tulevaisuudessa.

Entä kaikki muut?

NIST-ohjeet voivat auttaa pitämään järjestelmäsi suojassa haitallisilta hyökkäyksiltä ja inhimillisiltä virheiltä. Kehyksen noudattaminen auttaa organisaatiotasi täyttämään vaatimukset Sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskeva laki (HIPPA) ja Federal Information Security Management Act (FISMA), jotka ovat pakollisia määräyksiä.

Organisaatiot noudattavat NIST-yhteensopivuutta alan standardina sen tuomien etujen vuoksi. NIST-kulttuuri on elintärkeää yksityisille yrityksille tiedonkäsittelyn ymmärtämisen parantamiseksi.

ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.

Peter Risdon
CISO, Viital

Varaa esittelysi

Tervehdi ISO 27001 -menestystä

Tee 81 % työstä puolestasi ja hanki sertifiointi nopeammin ISMS.onlinen avulla

Varaa esittelysi
img

NIST ja ISO 27001

Sekä NIST:llä että kansainvälisellä standardointijärjestöllä (ISO) on alan johtava lähestymistapa tietoturvaan. NIST Cybersecurity Frameworkia verrataan yleisemmin ISO 27001:een, joka on tietoturvan hallintajärjestelmä (ISMS).

Mitä yhteistä on ISO 27001:n ja NIST:n välillä?

Molemmat tarjoavat puitteet kyberturvallisuusriskien hallintaan. NIST CSF -kehys on helppo integroida organisaatioon, joka haluaa noudattaa ISO 27001 -standardeja.

Valvontatoimenpiteet ovat hyvin samankaltaisia, määritelmät ja koodit ovat hyvin samankaltaisia ​​eri kehysten välillä. Molemmissa viitekehyksessä on yksinkertainen sanasto, jonka avulla voit kommunikoida selkeästi kyberturvallisuusasioista.

Mitä eroa on ISO 27001:n ja NIST:n välillä?

Riskin maturiteetti, sertifiointi ja kustannukset ovat joitakin eroja NIST CSF:n ja ISO 27001:n välillä.

Riskin maturiteetti

Jos olet kyberturvallisuuden kehittämisen alkuvaiheessa riskienhallintasuunnitelma tai yrittää lieventää aikaisempia epäonnistumisia, NIST CSF voi olla paras valinta. ISO 27001 on hyvä valinta kypsälle organisaatiolle, joka etsii maailmanlaajuisesti tunnustettua kehystä.

Certification

ISO 27001 tarjoaa sertifioinnin kolmannen osapuolen auditoinnilla, joka voi olla kallista, mutta voi parantaa organisaatiosi mainetta yrityksenä, johon sijoittajat voivat luottaa – NIST CSF ei tarjoa tällaista sertifikaattia.

Hinta

NIST CSF on saatavilla ilmaiseksi, kun taas ISO 27001 veloittaa pääsystä niiden dokumentaatioon – aloittava yritys saattaa haluta käynnistää kyberturvallisuusriskinhallintaohjelmansa NIST Cyber ​​Security Frameworkin avulla ja tehdä sitten suuremman investoinnin prosessiin, kun ne skaalautuvat. ISO 27001:n kanssa.

Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.

Peter Risdon
CISO, Viital

Varaa esittelysi

ISMS.online säästää aikaa ja rahaa

Hanki tarjous

NIST vs ISO 27001: kumpi sopii yrityksellesi?

Se, mikä sopii yrityksellesi, riippuu kypsyydestä, tavoitteista ja erityisistä riskinhallintatarpeista. ISO 27001 on hyvä valinta kypsille organisaatioille, jotka kohtaavat ulkoista painetta sertifioida.

Organisaatiosi ei ehkä ole vielä valmis investoimaan ISO 27001 -sertifiointimatkaan tai ehkä siinä vaiheessa, että se hyötyisi NIST-kehyksen tarjoamasta selkeästä arviointikehyksestä.

NIST CSF -kehys voi olla vahva lähtökohta ISO 27001 -sertifiointimatkallesi organisaatiosi kypsyessä.

Riippumatta siitä, oletko aloittamassa NIST CSF:llä tai kasvatessasi ISO/IEC 27001:n avulla, ennakoiva ja tehokas tietoturvan hallintajärjestelmä auttaa sinua saavuttamaan organisaation vaatimustenmukaisuuden.

NIST Cyber ​​Security Framework – mitkä ovat viisi ydintoimintoa?

Kehyksen korkein abstraktiotaso on Viisi ydintoimintoa. Ne ovat kehyksen ytimen perusta, ja kaikki muut elementit on järjestetty niiden ympärille.

Katsotaanpa tarkemmin NIST Cybersecurity Frameworkin viittä toimintoa.

Tunnistaa

Tunnistustoiminto voi auttaa kehittämään organisaation ymmärrystä kyberturvallisuusriskien hallitsemiseksi järjestelmiin, ihmisiin, omaisuuteen, tietoihin ja ominaisuuksiin.

Yrityksen vedonlyönnin ymmärtämiseksi organisaatio voi keskittyä ja priorisoida ponnistelunsa sen mukaisesti riskienhallintastrategia ja liiketoiminnan tarpeet, kriittisiä toimintoja tukevien resurssien ja niihin liittyvien kyberturvallisuusriskien vuoksi.

Suojella

Suojaa-toiminto hahmottelee sopivat suojatoimenpiteet kriittisen infrastruktuurin palveluiden toimittamisen varmistamiseksi. Suojaustoiminnon avulla on mahdollista rajoittaa tai hillitä mahdollisen kyberturvallisuustapahtuman vaikutuksia.

Havaita

Sopivat toiminnot kybertapahtuman esiintymisen tunnistamiseen määritellään Detect-toiminnolla. Detect-toiminto mahdollistaa kyberturvallisuustapahtumien oikea-aikaisen havaitsemisen.

Vastata

Vastaustoimintoon on sisällytetty asianmukaisia ​​toimia tunnistetun kyberturvallisuushäiriön suhteen. Vastaustoiminto auttaa tukemaan kykyä hillitä mahdollisen kyberturvallisuushäiriön seurauksia.

toipua

Palautustoiminto tunnistaa toimet, joilla ylläpidetään kestävyyssuunnitelmia ja palautetaan palvelut, joihin kyberturvallisuushäiriö vaikuttaa. Palautustoiminto auttaa palautumaan oikea-aikaisesti normaaliin toimintaan kyberturvallisuushäiriön seurausten vähentämiseksi.

Näiden viiden toiminnon noudattamista suositellaan parhaana käytäntönä, koska ne eivät sovellu vain kyberturvallisuusriskien hallintaan, vaan riskienhallintaan kokonaisuudessaan.

Lataa esitteesi

Muuta olemassa oleva ISMS

Lataa ilmainen opas
tehostaaksesi Infoseciäsi

Hanki ilmainen opas

Aloimme käyttää laskentataulukoita ja se oli painajainen. ISMS.online-ratkaisulla kaikki kova työ tehtiin helpoksi.
Perry Bowles
Tekninen johtaja ZIPTECH
100 % käyttäjistämme läpäisee sertifioinnin ensimmäistä kertaa
Varaa esittelysi

NIST Cyber ​​Security Framework – mitkä ovat neljä tasoa?

Organisaation aste kyberturvallisuusriskien hallintakäytännöissä on viitekehyksessä määritellyt ominaisuudet kutsutaan tasoksi.

Taso 1 – taso 4 kuvaa kasvavaa kurinalaisuutta ja sitä, kuinka hyvin kyberturvallisuusriskipäätökset integroituvat laajempiin riskipäätöksiin. Kuinka paljon organisaatio jakaa ja vastaanottaa kyberturvallisuustietoja ulkopuolisilta osapuolilta.

Tasot eivät välttämättä edusta kypsyyttä; organisaation tulee päättää haluttu taso.

Yritysten tulee varmistaa, että valittu taso täyttää organisaation tavoitteet, vähentää kyberturvallisuusriskiä organisaation hyväksyttäville tasoille ja on toteutettavissa.

Taso 1 – Osittainen

  1. Riskienhallintaprosessit: Kyberturvallisuusriskien hallinta suoritetaan yleensä tapauskohtaisesti/reaktiivisesti tason 1 organisaatioissa. Mitä tulee asteeseen riski, johon nämä toimet kohdistuvat, kyberturvallisuustoimet suoritetaan tyypillisesti vähällä tai ei ollenkaan prioriteetilla.
  2. Integroitu riskienhallintaohjelma: Viestintä ja kyberriskien hallinta ovat haasteellisia näille organisaatioille siihen liittyvien prosessien puutteen vuoksi. Johdonmukaisen tiedon puute on yksi syy siihen, miksi organisaatio työskentelee kyberturvallisuusriskien hallinnan parissa tapauskohtaisesti.
  3. Ulkopuolinen osallistuminen: Ymmärryksen roolista puuttuu toimitusketju, huollettavia ja näiden organisaatioiden riippuvuuksia liiketoimintaekosysteemissä. Tietämättä missä ekosysteemissä se sijaitsee, tason 1 organisaatio ei jaa tietoja tehokkaasti kolmansien osapuolten kanssa. Yritys ei ole tietoinen toimitusketjun riskeistä, jotka se hyväksyy ja siirtää muille jäsenille.

Taso 2 – Riskitietoinen

  1. Riskienhallintaprosessit: Vaikka johto hyväksyy riskienhallintakäytännöt, niitä ei yleensä laadita tason 2 organisaatioissa. Vaikka riskienhallintakäytännöt eivät ole vakiomuotoisia, ne kertovat kyberturvallisuustoimintojen priorisoinnista sekä uhkaympäristöstä ja liiketoiminnan vaatimuksista.
  2. Integroitu riskienhallintaohjelma: On olemassa tietoisuus riskistä organisaatiotasolla, mutta se ei ole yleinen käytäntö koko organisaatiossa. Ei ole normaalia, että kyberturvallisuus otetaan huomioon organisaation tavoitteissa kokonaisuudessaan. Se ei ole tyypillistä a kyberriskien arviointi toistettava usein.
  3. Ulkopuolinen osallistuminen: Taso 2 organisaatiot eivät ymmärrä rooliaan ekosysteemeissä riippuvuuden tai huollettavien suhteen. Vaikka he ovat tietoisia toimitusketjuunsa liittyvistä riskeistä, organisaatiot eivät yleensä toimi niiden varassa.

Taso 3 – Toistettavissa

  1. Riskienhallintaprosessit: Tason 3 organisaatiot ovat virallisesti hyväksyneet riskienhallintakäytännöt, ja ne ovat nyt organisaation politiikka. Muutokset liiketoiminnan vaatimuksissa ja muuttuva uhkakuva ovat joitakin muutoksia, joita näitä käytäntöjä päivitetään säännöllisesti.
  2. Integroitu riskienhallintaohjelma: Kyberturvallisuusriskien hallinta on koko organisaation kattava lähestymistapa. Politiikat, prosessit ja menettelyt tarkistetaan sen varmistamiseksi, että ne ovat tietoisia riskeistä. On olemassa tapoja reagoida tehokkaasti riskien muutoksiin, ja henkilöstöllä on tiedot ja taidot hoitaa tehtävänsä. Liiketoiminnan johtajat ja kyberturvallisuusjohtajat kommunikoivat usein kyberturvallisuusriskeistä.
  3. Ulkopuolinen osallistuminen: Organisaatiot edistävät riskien laajempaa ymmärtämistä ymmärtämällä niiden roolia. He työskentelevät muiden yksiköiden kanssa, jotka vastaavat sisäisesti luotuja tietoja, jotka jaetaan muiden yksiköiden kanssa. He ovat tietoisia toimitusketjuihinsa liittyvistä riskeistä ja toimivat niiden mukaisesti. Organisaation laatimissa sopimuksissa kerrotaan perusvaatimukset, hallintorakenteet sekä politiikan toteuttaminen ja seuranta.

Taso 4 – Mukautuva

  1. Riskienhallintaprosessit: Opitut kokemukset ja ennakoivat tekijät sisältyvät näiden organisaatioiden mukauttamiin nykyisiin ja aikaisempiin kyberturvallisuuskäytäntöihin. Jatkuva parantaminen Siihen sisältyy kehittyneiden kyberturvallisuustekniikoiden ja -tekniikoiden sisällyttäminen ja aktiivinen sopeutuminen muuttuviin uhkiin ja teknologiaympäristöihin.
  2. Integroitu riskienhallintaohjelma: Tason 4 organisaatiot ymmärtävät selvästi tavoitteiden ja kyberturvallisuusriskin välisen yhteyden. Johtajat tarkkailevat kyberturvallisuusriskiä samalla tavalla kuin rahoitusriskiä ja muita riskejä. Budjetointipäätökset perustuvat nykyisen ja mahdollisen riskiympäristön ymmärtämiseen. Tietoisuudesta aiemmasta toiminnasta ja jatkuvasta tietoisuudesta kyberrikollisuuden riski integroituu organisaation kulttuuriin.
  3. Ulkopuolinen osallistuminen: Tason 4 organisaatiot vastaanottavat, luovat ja edistävät riskin ymmärtämistä. Organisaatio käyttää reaaliaikaista tietoa toimitusketjun riskien ymmärtämiseen ja niihin reagoimiseen integroimalla tietoa sisäisille ja ulkoisille sidosryhmille. Muodollinen prosessi on integroitu heidän dokumentaatioon heidän huollettaviensa ja riippuvuutensa kanssa.

Varaa esittelysi

Katso kuinka yksinkertaista
se on
ISMS.online

Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.

Varaa esittelysi

ISMS.online voi tarjota sinulle alustan auttaaksemme sinua saavuttamaan standardin

Jokainen NIST Cyber ​​Securityn osa on yksityiskohtainen suojatussa alustassa, mikä tekee siitä helposti seurattavan.

Tämä vähentää työtaakkaasi, kustannuksiasi ja stressiä, kun et tiedä, oletko tehnyt kaiken oikein.

nist kyberturvallisuutta

Mikä on NIST Cybersecurity Framework -profiili?

Profiilit ovat organisaation vaatimusten ja tavoitteiden, riskinottohalukkuuden ja resurssien erityinen kohdistaminen puiteohjelman ytimessä haluttuun tulokseen.

Profiilit voivat tunnistaa mahdollisuuksia parantaa kyberturvallisuuden asentoa vertaamalla "nykyistä" profiilia "kohdeprofiiliin".

Profiilien avulla kyberturvallisuuskehystä parannetaan palvelemaan liiketoimintaa parhaiten. Kehys on vapaaehtoinen, joten sille ei ole olemassa oikeaa tai väärää tapaa.

Nykytilan profiilin luomiseksi organisaation on kartoitettava kyberturvallisuusvaatimukset, tehtävän tavoitteet, toimintatavat ja nykyiset käytännöt. Niiden on kartoitettava kehyksen ytimen alaluokkia.

Vaatimuksia ja tavoitteita voidaan verrata organisaation nykytila ​​saada ymmärrystä aukoista.

Näiden profiilien luomisen ja aukkoanalyysin avulla voidaan luoda priorisoitu toteutussuunnitelma. Prioriteetti, aukon koko ja arvioidut kustannukset korjaavat toimenpiteet auta suunnittelemaan ja budjetoida organisaatiosi kyberturvallisuuden parantamiseen.

Mikä on NIST-erikoisjulkaisu 800-53?

NIST SP 800-53 tunnetaan nimellä National Institute of Standards and Technology Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organisation.

Se perustettiin kannustamaan ja auttamaan innovaatioita ja tiedettä edistämällä ja ylläpitämällä alan standardeja.

NIST SP 800-53 on joukko ohjeita ja standardeja, jotka auttavat liittovaltion virastoja ja urakoitsijoita täyttämään kyberturvallisuusvaatimukset. Erikoisjulkaisu 800-53 käsittelee liittovaltion tietojärjestelmien ja yritysten turvatoimia tai suojatoimia.

Mikä on NIST 800-171?

NIST SP 800-171 on kehys, joka hahmottaa vaaditut turvallisuusstandardit ja -käytännöt ei-liittovaltion organisaatioille, jotka käsittelevät Kontrolloitu luokittelematon tieto (CUI) verkostoissaan.

Se julkaistiin ensimmäisen kerran kesäkuussa 2015, ja se sisälsi joukon uusia standardeja, jotka otettiin käyttöön kyberturvallisuuden sietokyvyn vahvistamiseksi sekä yksityisellä että julkisella sektorilla. Se tunnetaan myös nimellä NIST SP 800-171, ja se tuli täysimääräisesti voimaan 31. joulukuuta 2017. Uusin versio, joka tunnetaan nimellä "versio 2", julkaistiin helmikuussa 2020.

Mikä on NIST 800-207?

NIST SP 800-207 on National Institute of Standards and Technologyn (NIST) kattava julkaisu, joka antaa ohjeita kyberturvallisuuden eri näkökohdista. Se kattaa laajan valikoiman aiheita, mukaan lukien kyberturvallisuuskehyksen kehittäminen, ZTA (Zero Trust Architecture) -arkkitehtuurin käyttöönotto, pilvitekniikan turvallisuusvaatimukset, kansallisten turvallisuussertifikaattien turvallisuus, identiteetin varmistusprosessin toteuttaminen, todennus ja digitaalisen elinkaarihallinnan henkilöllisyydet ja salaustoimintojen käyttö henkilökohtaisten tunnistetietojen (PII) suojaamiseen.

Asiakirja sisältää yksityiskohtaiset vaiheet organisaation erityistarpeisiin räätälöidyn kyberturvallisuuskehyksen luomiseksi sekä ohjeita sen toteuttamiseen ja ylläpitoon. Siinä hahmotellaan ZTA-järjestelmän periaatteet ja komponentit sekä kuinka arvioida organisaation turvallisuusasentoa. Se tarjoaa myös joukon turvatarkastuksia ja parhaita käytäntöjä ZTA-järjestelmän käyttöönottamiseksi.

Pilvipalveluiden osalta se hahmottelee tietoturvakontrollit ja -prosessit, jotka organisaatioiden tulee ottaa käyttöön suojatakseen pilvipohjaisia ​​järjestelmiään ja tietojaan. Se opastaa pilvipalvelujen turvallisuuden arvioinnissa ja pilviturvastrategian kehittämisessä.

Julkaisussa on myös ohjeita kansallisten turvallisuusvarmenteiden myöntämiseen, hallintaan ja käyttöön sekä varmenneviranomaisten ja varmenteiden haltijoiden rooleihin ja vastuisiin. Siinä määritellään henkilöllisyyden todentamisen vaatimukset, mukaan lukien identiteetin varmistusmenetelmien, -tekniikoiden ja -palvelujen käyttö.

Lisäksi se antaa ohjeita digitaalisten identiteettien todentamiseen ja elinkaaren hallintaan, mukaan lukien monitekijätodennuksen, riskiperusteisen todennuksen ja liitetyn identiteetin hallinnan käyttö. Se tarjoaa myös ohjeita salausohjaimien käyttöön henkilökohtaisten tunnistetietojen suojaamiseen.

NIST, mitä etuja vaatimustenmukaisuus tarjoaa?

NIST laatii perusprotokollan, jota yrityksille on noudatettava, kun ne haluavat noudattaa tiettyjä määräyksiä, kuten HIPAA ja FISMA.

On tärkeää muistaa, että NIST:n noudattaminen ei takaa täydellistä tietojesi turvallisuutta. NIST kehottaa yrityksiä inventoimaan kyberomaisuutensa käyttämällä arvopohjaista lähestymistapaa löytääkseen arkaluontoiset tiedot ja priorisoidakseen suojaustoimia sen ympärillä.

NIST-standardit perustuvat useiden turvallisuusasiakirjojen, organisaatioiden ja julkaisujen parhaisiin käytäntöihin, ja ne on suunniteltu kehykseksi liittovaltion virastoille ja ohjelmille, jotka vaativat tiukkoja turvatoimia.

Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.

Emmie Cooney
Operaatiojohtaja, Amigo

Varaa esittelysi

Yksinkertainen. Turvallinen. Kestävä.

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

Tutustu ISMS.onlinen alustaan ​​omatoimisella esittelykierroksella - Aloita nyt