NIST Compliance Software

National Institute of Standards & Technology

Book en demo

smilende,indisk,forretningsmand,arbejder,på,laptop,i,moderne,kontor,lobby

National Institute of Standards and Technology (NIST) i USA har udarbejdet en ramme for at hjælpe organisationer med at tilpasse deres cybersikkerhedsforsvarsplanlægning og beskytte infrastrukturen mod at blive kompromitteret af truslen om cyberkriminalitet.

NIST Cybersikkerhed giver organisationer i den private sektor en ramme af politikker og kontroller for at hjælpe med at forhindre angreb fra cyberkriminelle og opdage og reagere på dem, der får adgang.

I den følgende video forklarer National Institute of Standards and Technology mere om NIST-rammens oprindelige mål, standarderne, retningslinjerne og bedste praksis bag det.

Vi kan ikke komme i tanke om nogen virksomhed, hvis service kan holde et lys til ISMS.online.
Vivian Kroner
ISO 27001, 27701 og GDPR lead implementer Aperian Global
100 % af vores brugere består certificeringen første gang
Book din demo

Hvad er NIST?

National Institute of Standards and Technology er kendt under sit akronym NIST. Dette er et ikke-regulerende regeringsagentur, der er oprettet for at drive innovation og fremme industriel konkurrenceevne inden for videnskab, teknik og teknologi.

NISTs primære rolle er at skabe bedste praksis, som organisationer og offentlige myndigheder kan følge. Formålet med disse sikkerhedsstandarder er at forbedre sikkerhedsstillingen for offentlige myndigheder og private virksomheder, der beskæftiger sig med offentlige data.

NIST Cybersecurity Framework (CSF) er et sæt retningslinjer og bedste praksis designet til at hjælpe organisationer med at forbedre deres Cybersecurity-strategier, som NIST har udviklet.

Rammen har til formål at standardisere cybersikkerhedspraksis, så organisationer kan bruge en enkelt eller ensartet tilgang til beskyttelse mod cyberangreb.

NIST, er overholdelse obligatorisk? Hvad er fordelene?

De fleste organisationer er ikke forpligtet til at følge NIST-overholdelsen, selvom det er anbefalet til dem. Amerikanske føderale agenturer har været forpligtet til at følge NIST-standarder siden 2017, fordi NIST selv er en del af den amerikanske regering.

Hvorfor anbefales det?

Underleverandører og entreprenører, der arbejder med den føderale regering, skal følge NIST sikkerhedsstandarder. Hvis en entreprenør har en historie med NIST-manglende overholdelse, risikerer de at blive udelukket fra offentlige kontrakter i fremtiden.

Hvad med alle andre?

NIST-retningslinjer kan hjælpe med at holde dine systemer beskyttet mod ondsindede angreb og menneskelige fejl. At følge rammerne vil hjælpe din organisation med at opfylde kravene til Health Insurance Portability and Accountability Act (HIPPA) og Federal Information Security Management Act (FISMA), som er ufravigelige regler.

Organisationer læner sig op ad NIST-overholdelse som en industristandard på grund af de fordele, det kan medføre. NIST-kultur er afgørende for private virksomheder for at fremme en bedre forståelse af datahåndtering.

ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.

Peter Risdon
CISO, Viital

Book din demo

Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

NIST og ISO 27001

Både NIST og International Organization for Standardization (ISO) har brancheførende tilgange til informationssikkerhed. NIST Cybersecurity Framework er mere almindeligt sammenlignet med ISO 27001, specifikationen for en informationssikkerhedsstyringssystem (ISMS).

Hvad er fællestræk mellem ISO 27001 og NIST?

Begge tilbyder rammer for styring af cybersikkerhedsrisici. NIST CSF-rammen vil være let at integrere i en organisation, der ønsker at overholde ISO 27001-standarderne.

Kontrolforanstaltningerne er meget ens, definitionerne og koderne er meget ens på tværs af rammer. Begge rammer har et simpelt ordforråd, der giver dig mulighed for at kommunikere klart om cybersikkerhedsproblemer.

Hvad er forskellen mellem ISO 27001 og NIST?

Risikomodenhed, certificering og omkostninger er nogle af forskellene mellem NIST CSF vs ISO 27001.

Risiko Modenhed

Hvis du er i de tidlige stadier af udviklingen af ​​en cybersikkerhed risikostyringsplan eller forsøger at afbøde tidligere fejl, kan NIST CSF være det bedste valg. ISO 27001 er et godt valg for modne organisationer, der søger en mere verdensomspændende anerkendt ramme.

Certificering

ISO 27001 tilbyder certificering via tredjepartsrevision, der kan være dyrt, men som kan forbedre din organisations omdømme som en virksomhed, som investorer kan stole på – NIST CSF tilbyder ikke den slags certificering.

Koste

NIST CSF er tilgængelig gratis, mens ISO 27001 opkræver for adgang til deres dokumentation – en nystartet virksomhed vil måske starte deres cybersikkerhedsrisikostyringsprogram med NIST Cyber ​​Security Framework og derefter foretage en større investering i processen, efterhånden som de skalere med ISO 27001.

Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.

Peter Risdon
CISO, Viital

Book din demo

ISMS.online vil spare dig tid og penge

Få dit tilbud

NIST vs ISO 27001: Hvilken er den rigtige for din virksomhed?

Hvad der er rigtigt for din virksomhed afhænger af modenhed, mål og specifikke risikostyringsbehov. ISO 27001 er et godt valg for modne organisationer, der står over for eksternt pres for at certificere.

Din organisation er muligvis ikke klar til at investere i en ISO 27001-certificeringsrejse endnu eller måske på et tidspunkt, hvor den ville drage fordel af den klare vurderingsramme, som NIST-rammen tilbyder.

NIST CSF-rammen kan være et stærkt udgangspunkt for din ISO 27001-certificeringsrejse, efterhånden som din organisation modnes.

Uanset om du starter med NIST CSF eller vokser med ISO/IEC 27001, vil et proaktivt og effektivt informationssikkerhedsstyringssystem hjælpe dig med at nå organisatorisk overholdelse.

NIST Cyber ​​Security Framework – Hvad er de fem kernefunktioner?

Det højeste abstraktionsniveau i rammen er Fem kernefunktioner. De er grundlaget for rammekernen, og alle andre elementer er organiseret omkring dem.

Lad os tage et dybere kig på NIST Cybersecurity Frameworks fem funktioner.

Identificer

Identifikationsfunktionen kan hjælpe med at udvikle en organisatorisk forståelse for at håndtere cybersikkerhedsrisici for systemer, mennesker, aktiver, data og kapaciteter.

For at forstå væddemål i en forretningssammenhæng kan en organisation fokusere og prioritere sin indsats i overensstemmelse med dens risikostyringsstrategi og forretningsbehov, på grund af de ressourcer, der understøtter kritiske funktioner og de relaterede cybersikkerhedsrisici.

Beskyt

Beskyt-funktionen skitserer passende sikkerhedsforanstaltninger for at sikre levering af kritiske infrastrukturtjenester. Det er muligt at begrænse eller begrænse virkningen af ​​en potentiel cybersikkerhedsbegivenhed ved hjælp af Protect-funktionen.

Detect

Egnede aktiviteter til at identificere forekomsten af ​​en cyberhændelse defineres af funktionen Detect. Detect-funktionen tillader rettidig opdagelse af cybersikkerhedsbegivenheder.

Svar

Passende aktiviteter er inkluderet i responsfunktionen for at handle vedrørende en identificeret cybersikkerhedshændelse. Responsfunktionen hjælper med at understøtte evnen til at begrænse følgerne af en potentiel cybersikkerhedshændelse.

Recover

Genoprettelsesfunktionen identificerer aktiviteter for at vedligeholde robusthedsplaner og genoprette tjenester, der er påvirket af en cybersikkerhedshændelse. Genopret-funktionen hjælper rettidig gendannelse til normal drift for at reducere konsekvenserne af en cybersikkerhedshændelse.

Det anbefales at følge disse fem funktioner som bedste praksis, da de ikke kun gælder for cybersikkerhedsrisikostyringsfunktioner, men for risikostyring som helhed.

Download din brochure

Transformer dit eksisterende ISMS

Download din gratis guide
at strømline din Infosec

Få din gratis guide

Vi startede med at bruge regneark, og det var et mareridt. Med ISMS.online-løsningen blev alt det hårde arbejde gjort let.
Perry Bowles
Teknisk direktør ZIPTECH
100 % af vores brugere består certificeringen første gang
Book din demo

NIST Cyber ​​Security Framework - Hvad er de fire niveauer?

I hvor høj grad en organisations cybersikkerhedsrisikostyringspraksis udviser de karakteristika, der er defineret i rammen omtales som tier.

Tier 1 til tier 4 beskriver en stigende grad af stringens og hvor velintegrerede cybersikkerhedsrisikobeslutninger er i bredere risikobeslutninger. I hvilken grad organisationen deler og modtager cybersikkerhedsoplysninger fra eksterne parter.

Niveauer repræsenterer ikke nødvendigvis modenhedsniveauer; organisationen bør beslutte det ønskede niveau.

Virksomheder bør sikre, at det valgte niveau opfylder organisatoriske mål, reducerer cybersikkerhedsrisikoen til niveauer, der er acceptable for organisationen, og er gennemførligt at implementere.

Niveau 1 – Delvis

  1. Risikostyringsprocesser: Cybersikkerhedsrisikostyring udføres normalt ad hoc/reaktivt hos tier 1-organisationer. Med hensyn til graden af risiko for, at disse aktiviteter adresserer, udføres cybersikkerhedsaktiviteter typisk med ringe eller ingen prioritet.
  2. Det integrerede risikostyringsprogram: Kommunikation og styring af cyberrisiko er udfordrende for disse organisationer på grund af manglen på processer forbundet med det. Manglen på konsekvent information er en af ​​grundene til, at organisationen arbejder med cybersikkerhedsrisikostyring fra sag til sag.
  3. Den eksterne deltagelse: Der mangler forståelse for rollen som den forsyningskæde, afhængige og afhængigheder af disse organisationer i forretningsøkosystemet. Uden at vide, hvor den sidder i økosystemet, deler en tier 1-organisation ikke effektivt information med tredjeparter. Virksomheden er uvidende om de forsyningskæderisici, som den accepterer og videregiver til andre medlemmer.

Niveau 2 – Risikoinformeret

  1. Risikostyringsprocesser: Mens risikostyringspraksis er godkendt af ledelsen, er de normalt ikke etableret som politikker inden for niveau 2-organisationer. Selvom risikostyringspraksis ikke er standard, informerer de prioriteringen af ​​cybersikkerhedsaktiviteter sammen med trusselsmiljøet og forretningskravene.
  2. Det integrerede risikostyringsprogram: Der er en bevidsthed om risikoen på organisationsniveau, men det er ikke standard praksis for hele organisationen. Det er ikke standard, at der tages hensyn til cybersikkerhed i organisatoriske mål som helhed. Det er ikke typisk for en vurdering af cyberrisiko skal gentages ofte.
  3. Den eksterne deltagelse: Tier 2 organisationer forstår ikke deres rolle i økosystemerne vedrørende afhængighed eller pårørende. Selvom de er opmærksomme på risikoen forbundet med deres forsyningskæde, handler organisationer typisk ikke på den.

Niveau 3 - Gentagelig

  1. Risikostyringsprocesser: Risikostyringspraksis er blevet formelt godkendt af tier 3-organisationer og er nu en organisationspolitik. Ændringer i forretningskrav og skiftende trusselslandskab er nogle af de ændringer, som denne praksis opdateres med jævne mellemrum.
  2. Det integrerede risikostyringsprogram: Tilgangen til styring af cybersikkerhedsrisici er en organisationsdækkende tilgang. Politikker, processer og procedurer gennemgås for at sikre, at de er risikoorienterede. Der er måder at reagere effektivt på ændringer i risiko, og personalet har viden og færdigheder til at udføre deres roller. Ledere på forretningssiden og ledende cybersikkerhedsledere kommunikerer ofte om cybersikkerhedsrisici.
  3. Den eksterne deltagelse: Organisationer bidrager til den bredere forståelse af risici ved at forstå deres rolle. De arbejder med andre enheder, der falder sammen med internt genereret information, der deles med andre enheder. De er opmærksomme på de risici, der er forbundet med deres forsyningskæder og handler på dem. Aftaler udarbejdet af organisationen vil kommunikere grundlæggende krav, styringsstrukturer og politikimplementering og -overvågning.

Niveau 4 – Adaptiv

  1. Risikostyringsprocesser: Erfaringer og forudsigelige faktorer er inkluderet i den nuværende og tidligere cybersikkerhedspraksis tilpasset af disse organisationer. Løbende forbedringer involverer inkorporering af avancerede cybersikkerhedsteknologier og -teknikker og aktiv tilpasning til skiftende trusler og teknologiske landskaber.
  2. Det integrerede risikostyringsprogram: Sammenhængen mellem mål og cybersikkerhedsrisiko er klart forstået af niveau 4-organisationer. Ledende ledere ser på cybersikkerhedsrisici på samme måde som finansielle risici og andre risici. Budgetteringsbeslutningerne er baseret på forståelse af det nuværende og potentielle risikomiljø. Fra en bevidsthed om tidligere aktiviteter og en løbende bevidsthed integreres risikoen for cyberkriminalitet i organisationens kultur.
  3. Den eksterne deltagelse: Tier 4-organisationer modtager, genererer og bidrager til forståelsen af ​​risikoen. Organisationen bruger information i realtid til at forstå og handle på forsyningskæderisici, og yderligere integrere information til interne og eksterne interessenter. En formel proces er integreret i deres dokumentation med deres pårørende og afhængigheder.

Book din demo

Se hvor enkelt
det er med
ISMS.online

Book en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo

ISMS.online kan give dig en platform for at få dig på vej til at nå standarden

Hver sektion af NIST Cyber ​​Security er detaljeret i den sikre platform, som gør den let at følge.

Dette skærer ned på din arbejdsbyrde, omkostninger og stresset ved ikke at vide, om du har gjort alt rigtigt.

nist cybersikkerhed

Hvad er en NIST Cybersecurity Framework Profile?

Profiler er en organisations særlige tilpasning af deres krav og mål, risikovillighed og ressourcer i forhold til deres ønskede resultater af rammekernen.

Profiler kan identificere muligheder for at forbedre cybersikkerhedspositionen ved at sammenligne en 'aktuel' profil med en 'målprofil'.

Profiler bruges til at forbedre cybersikkerhedsrammen for at tjene virksomheden bedst. Rammen er frivillig, så der er ikke en rigtig eller forkert måde at gøre det på.

For at oprette en nuværende tilstandsprofil skal en organisation kortlægge deres cybersikkerhedskrav, missionsmål, driftsmetoder og nuværende praksis. De skal kortlægges mod underkategorierne af rammekernen.

Kravene og målene kan sammenlignes med organisationens nuværende tilstand for at få en forståelse af hullerne.

En prioriteret implementeringsplan kan oprettes gennem oprettelsen af ​​disse profiler og gapanalysen. Prioriteten, størrelsen af ​​mellemrummet og anslåede omkostninger ved korrigerende handlinger hjælpe med at planlægge og budgettere for at forbedre din organisations cybersikkerhed.

Hvad er NIST Special Publication 800-53?

NIST SP 800-53 er kendt som National Institute of Standards and Technology Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organization.

Det blev etableret for at tilskynde til og hjælpe innovation og videnskab ved at fremme og vedligeholde et sæt industristandarder.

NIST SP 800-53 er et sæt retningslinjer og standarder, der hjælper føderale agenturer og entreprenører med at opfylde deres cybersikkerhedskrav. Speciel publikation 800-53 omhandler sikkerhedskontrol eller sikkerhedsforanstaltninger for føderale informationssystemer og virksomheder.

Hvad er NIST 800-171?

NIST SP 800-171 er en ramme, der beskriver de nødvendige sikkerhedsstandarder og -praksis for ikke-føderale organisationer, der håndterer Kontrolleret uklassificeret information (CUI) på deres netværk.

Den blev først offentliggjort i juni 2015 og omfattede en række nye standarder, der blev introduceret for at styrke cybersikkerhedsresiliens i både den private og den offentlige sektor. Også kendt som NIST SP 800-171, den trådte i fuld virkning den 31. december 2017. Den seneste version, kendt som "revision 2", blev udgivet i februar 2020.

Hvad er NIST 800-207?

NIST SP 800-207 er en omfattende publikation fra National Institute of Standards and Technology (NIST), der giver vejledning om forskellige aspekter af cybersikkerhed. Det dækker en bred vifte af emner, herunder udvikling af en cybersikkerhedsramme, implementering af en Zero Trust Architecture (ZTA), sikkerhedskrav til cloud computing, sikkerhed for nationale sikkerhedscertifikater, implementering af en identitetsbevisproces, autentificering og livscyklusstyring for digital identiteter og brug af kryptografiske kontroller til at beskytte personligt identificerbare oplysninger (PII).

Dokumentet indeholder detaljerede trin til at skabe en cybersikkerhedsramme, der er skræddersyet til en organisations specifikke behov, og vejledning i, hvordan den implementeres og vedligeholdes. Den skitserer principperne og komponenterne i et ZTA-system, og hvordan man vurderer en organisations sikkerhedsposition. Det giver også et sæt sikkerhedskontroller og bedste praksis for implementering af et ZTA-system.

Med hensyn til cloud computing skitserer den de sikkerhedskontroller og -processer, som organisationer bør implementere for at beskytte deres cloud-baserede systemer og data. Den giver vejledning i, hvordan man vurderer sikkerheden af ​​cloud-tjenester, og hvordan man udvikler en cloud-sikkerhedsstrategi.

Publikationen giver også vejledning om udstedelse, styring og brug af nationale sikkerhedscertifikater og certifikatmyndighedernes og certifikatindehavernes roller og ansvar. Den skitserer kravene til identitetskontrol, herunder brugen af ​​metoder, teknologier og tjenester til identitetskontrol.

Desuden giver den vejledning om godkendelse og livscyklusstyring for digitale identiteter, herunder brugen af ​​multifaktorautentificering, risikobaseret godkendelse og fødereret identitetsstyring. Det giver også vejledning om brugen af ​​kryptografiske kontroller til at beskytte PII.

NIST, hvilke fordele tilbyder overholdelse?

NIST udstikker den grundlæggende protokol, som virksomheder skal følge, når de ønsker at opnå overholdelse af specifikke regler, som f.eks. HIPAA og FISMA.

Det er vigtigt at huske, at overholdelse af NIST ikke er en fuldstændig forsikring om, at dine data er sikre. NIST beder virksomheder om at inventere deres cyberaktiver ved hjælp af en værdibaseret tilgang for at finde de mest følsomme data og prioritere beskyttelsesindsatsen omkring dem.

NIST-standarder er baseret på bedste praksis fra adskillige sikkerhedsdokumenter, organisationer, publikationer og er designet som en ramme for føderale agenturer og programmer, der kræver strenge sikkerhedsforanstaltninger.

Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.

Emmie Cooney
Driftsleder, Amigo

Book din demo

Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

Status for informationssikkerhedsrapport 2024 nu live - læs nu