Weiterbildung, CAS Cybersecurity

Welche Schritte umfasst das NIST Cybersecurity Framework?

18. November 2021



Das National Institute of Standards and Technology (NIST, Nationales Institut für Standards und Technologie) ist eine Bundesbehörde der Vereinigten Staaten mit Sitz in Gaithersburg USA. Der frühere Name der Behörde war von 1901 bis 1988 National Bureau of Standards (NBS). Das Institut verfügte im Jahr 2020 über ein nicht unerhebliches Budget von 1034 Mio. US-Dollar.
Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist Grafik-Team-7.jpg
Das Institut gehört zur technologischen Administration des US-Handelsministeriums und ist für Standardisierungsprozesse zuständig. Im Bereich der Kryptografie sind hier beispielsweise die Verschlüsselungsalgorithmen DES und AES sowie die Hashfunktionen der SHA-Familie hervorgegangen. Weiterhin werden die Federal Information Processing Standards (FIPS) veröffentlicht, die für US-Behörden gelten.
 
Die sieben Schritte des NIST Cybersecurity Frameworks

Im Cyberrisiko-Management-Framework nach NIST gibt es insgesamt sieben Schritte, welche zur Durchführung unerlässlich sind.
 

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist Grafik-Team-7-2.png


 
1.    Prepare: Vorbereitung auf die Durchführung der RMF (Risk Management Framework) aus der Perspektive der Organisation und der Systemebene, indem ein Kontext und Prioritäten für das Management von Sicherheits- und Datenschutzrisiken festgelegt werden.
 
2.    Categorize Systems: Kategorisierung des Systems und der durch das System verarbeiteten, gespeicherten und übermittelten Informationen auf der Grundlage einer Analyse der Auswirkungen eines Verlusts.
 
3.    Select Controls: Auswahl eines initialen Sets von Kontrollen für das System und Anpassung der Kontrollen nach Bedarf, um das Risiko auf der Grundlage einer Risikobewertung auf ein akzeptables Niveau zu reduzieren.
 
4.    Implement Controls: Implementierung der Kontrollen und Beschreibung, wie die Kontrollen innerhalb des Systems und seiner Betriebsumgebung eingesetzt werden.
 
5.    Assess Controls: Bewertung der Kontrollen, um festzustellen, ob die Kontrollen korrekt implementiert sind, wie beabsichtigt funktionieren und die gewünschten Ergebnisse in Bezug auf die Erfüllung der Sicherheits- und Datenschutzanforderungen erzielen.
 
6.    Authorize System: Genehmigung des Systems oder der gemeinsamen Kontrollen auf der Grundlage der Feststellung, dass das Risiko für den Betrieb und das Vermögen der Organisation, für Einzelpersonen, andere Organisationen und die Nation akzeptabel ist.
 
7.    Monitor Controls: Laufende Überwachung des Systems und der zugehörigen Kontrollen, einschliesslich der Bewertung der Wirksamkeit der Kontrollen, der Dokumentation von Änderungen am System und an der Betriebsumgebung, der Durchführung von Risikobewertungen und Auswirkungsanalysen sowie der Berichterstattung über die Sicherheits- und Datenschutzlage des Systems.
  
Praxisbeispiel
Das NIST-Framework dient hauptsächlich zur Verbesserung der cybersicherheitskritischen Infrastrukturen und wurde gleichzeitig mit der dazugehörigen Roadmap (Fahrplan) zur Verbesserung der Cybersicherheit dieser Infrastrukturen veröffentlicht. Seit der Veröffentlichung des Frameworks und der begleitenden Roadmap hat das NIST die besten Praktiken für das Cyber-Risikomanagement in der Lieferkette durch die Zusammenarbeit mit Branchenführern untersucht. Hierzu gibt es vom NIST einige interessante Case Studies, die namenhafte Player z. B Boeing, Cisco, Intel, Dupont, Netapp, etc. bei sich angewendet haben.
 
Eigene Erkenntnis
Generell ermöglichet das NIST Cybersecurity Framework den Unternehmen, eine gemeinsame Sprache für C-SCRM (Cyber Supply Chain Risk Management) im gesamten Unternehmen zu etablieren, interne und externe Bewertungen zu standardisieren und die Kommunikation und Berichterstattung über Vorfälle zu optimieren.
 
Unserer Meinung nach zeigt das NIST Framework eine nahe Verwandtschaft zur ISO-Norm-Reihe 27000. Da Unternehmen sich zum Ziel setzen, sich nach ISO-Norm 27001 zertifizieren zu lassen, wird sich das NIST Framework aber sicherlich in seinem Nischendasein halten. Ausserdem ist die ISO-Norm 27001 in der Industrie bekannter und findet eine verbreiterte Anwendung.
 
Quellen:
Bildquellen: https://www.telos.com/offerings/xacta-risk-management-framework-rmf/
National Institute of Standards and Technology (28.09.2021), Risk Management Framework for Information Systems and Organizations, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf
https://www.nist.gov/
https://csrc.nist.rip/scrm/industry_best_practices.html
https://de.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology
 
Autorenteam:
Sandra Lang Ximiq AG
Martin Matter GVBS

zurück zu allen Beiträgen
×