#NIST
Articles tagged with "NIST"
2 articles
Opi muuttamaan HR-prosessi tietoturvan vahvuudeksi käytännönläheisten kontrollien, todellisiin tilanteisiin perustuvan politiikkakartoituksen, auditointinäkökulmien ja integroitujen työkalupakettien avulla. Opas kattaa perehdytyksen, roolimuutokset ja työsuhteen päättämisen ISO 27001:2022-, NIS2-, DORA-, GDPR-, NIST- ja COBIT-vaatimusten näkökulmasta.
NIST Cybersecurity Framework (CSF) on noussut yhdeksi maailman laajimmin käyttöönotetuista kyberturvallisuuden viitekehyksistä. Se kehitettiin alun perin kriittistä infrastruktuuria varten, mutta nykyisin kaikenkokoiset organisaatiot hyödyntävät sitä kyberturvallisuusriskien hallinnan parantamiseen.
Mikä NIST Cybersecurity Framework on?
NIST CSF on vapaaehtoinen viitekehys, joka tarjoaa organisaatioille yhteisen kielen ja järjestelmällisen menetelmän kyberturvallisuusriskien hallintaan. Se on suunniteltu joustavaksi, kustannustehokkaaksi ja eri toimialoille soveltuvaksi.
Viitekehyksen rakenne
NIST CSF rakentuu viiden ydintoiminnon ympärille:
1. Tunnista (ID)
- Omaisuudenhallinta: ymmärrys siitä, mitä on suojattava
- Liiketoimintaympäristö: organisaation tehtävän ja sidosryhmien ymmärtäminen
- Hallintamalli: toimintaperiaatteet, menettelyt ja prosessit kyberturvallisuusriskien hallintaan
- Riskien arviointi: järjestelmiin, henkilöstöön, omaisuuseriin, tietoihin ja kyvykkyyksiin kohdistuvien kyberturvallisuusriskien ymmärtäminen
- Riskienhallintastrategia: prioriteetit, rajoitteet, riskinsietokyky ja oletukset
2. Suojaa (PR)
- Identiteetin- ja pääsynhallinta: omaisuuseriin ja resursseihin pääsyn hallinta
- Tietoisuus ja koulutus: henkilöstön kyberturvallisuusriskitietoisuuden varmistaminen
- Tietojen suojaus: tietojen ja tallenteiden suojaaminen niiden riskitason mukaisesti
- Tietojen suojausprosessit ja -menettelyt: tietoturvaperiaatteet ja -menettelyt
- Ylläpito: järjestelmien ylläpito ja korjaaminen
- Suojaava teknologia: tekniset tietoturvaratkaisut
3. Havaitse (DE)
- Poikkeamat ja tapahtumat: poikkeavan toiminnan nopean havaitsemisen varmistaminen
- Tietoturvan jatkuva seuranta: järjestelmien ja verkkojen seuranta tietoturvatapahtumien varalta
- Havaitsemisprosessit: havaitsemisprosessien ylläpito ja testaus
4. Reagoi (RS)
- Reagoinnin suunnittelu: asianmukaisten reagointisuunnitelmien laatiminen ja toteuttaminen
- Viestintä: reagointitoimien koordinointi sidosryhmien kanssa
- Analyysi: sen varmistaminen, että reagointitoimet perustuvat analyysiin ja forensiikkaan
- Lieventäminen: kyberturvallisuustapahtumien vaikutusten rajaaminen
- Parannukset: opittujen asioiden sisällyttäminen reagointistrategioihin
5. Palaudu (RC)
- Palautumisen suunnittelu: asianmukaisten palautumissuunnitelmien laatiminen ja toteuttaminen
- Parannukset: opittujen asioiden sisällyttäminen palautumisstrategioihin
- Viestintä: palautumistoimien koordinointi sidosryhmien kanssa
Toteutustasot
Viitekehys määrittää neljä toteutustasoa, jotka kuvaavat, missä määrin organisaation kyberturvallisuusriskien hallintakäytännöt ilmentävät viitekehyksessä määriteltyjä ominaisuuksia:
