Architektura cyberbezpieczeństwa jest podstawą ochrony organizacji przed cyberzagrożeniami i zapewnia ochronę wszystkich elementów jej infrastruktury IT. Zagrożenia i naruszenia cyberbezpieczeństwa przybierają różne formy i nieustannie ewoluują. Dlatego ważne jest, aby organizacja utrzymywała wysoki poziom bezpieczeństwa i była zaznajomiona ze środkami i strategiami przeciwdziałania możliwym zagrożeniom.

Chociaż architektura cyberbezpieczeństwa ma wiele definicji, ostatecznie jest to zestaw zasad, metod i modeli zabezpieczeń zaprojektowanych w celu dostosowania przedsiębiorstwa i ochrony organizacji przed cyberzagrożeniami. Innymi słowy, architektura bezpieczeństwa przekłada wymagania biznesowe na wykonywalne wymagania bezpieczeństwa.

Niezmiernie ważne jest zrozumienie, że nie istnieje jeden prawidłowy i słuszny model architektury bezpieczeństwa, który każda firma powinna zaimplementować. Architektura musi zależeć od organizacji, od jej celów biznesowych i świadczonych usług. Wszystkie zadania cyberbezpieczeństwa mają na celu ochronę realizacji celów biznesowych.

> NIST Cyber Security Framework

Do zbudowania bezpiecznej organizacji niezbędny jest ogląd obszaru cybersecurity z uwzględnieniem wszystkich domen bezpieczeństwa. Jednym z podejść jest NIST Cyber Security Framework (zwany NIST CSF). Zawiera on wskazówki dotyczące zarządzania i ograniczania ryzyka związanego z bezpieczeństwem infrastruktury IT. CSF to zestaw wytycznych dotyczących ograniczania zagrożeń cyberbezpieczeństwa w organizacji i składa się ze standardów i praktyk, które można wykorzystać do zapobiegania, wykrywania i reagowania na cyberataki. Narodowy Instytut Standardów i Technologii (NIST) opracował CSF dla organizacji sektora prywatnego w Stanach Zjednoczonych w celu stworzenia mapy drogowej dla cyberbezpieczeństwa infrastruktury krytycznej. Mapa ta została przetłumaczona na inne języki i znajduje zastosowanie w wielu krajach i organizacjach jako wzorzec budowania bezpieczeństwa w organizacjach.

CSF składa się z pięciu podstawowych funkcji, których celem jest zapewnienie strategicznego spojrzenia na zagrożenia cyberbezpieczeństwa w organizacji. Schemat przedstawia funkcje wraz z kategoriami.

Identyfikacja

Funkcja Identyfikacji koncentruje się na stworzeniu podstaw skutecznego programu cyberbezpieczeństwa. Pomaga ona w rozwijaniu organizacji w zakresie zarządzania ryzykiem cyberbezpieczeństwa w systemach, ludziach, zasobach, danych i jej możliwościach. Aby umożliwić organizacji koncentrację i priorytetyzację działań, zgodnie z jej strategią zarządzania ryzykiem i potrzebami biznesowymi, funkcja ta podkreśla znaczenie kontekstu biznesowego, zasobów obsługujących funkcje krytyczne i powiązanych zagrożeń cyberbezpieczeństwa. Do podstawowych działań w tej grupie należą:

• Identyfikacja aktywów fizycznych i oprogramowania w celu ustalenia procesu zarządzania aktywami (Asset Management);•Identyfikacja otoczenia biznesowego organizacji, w tym jej roli w łańcuchu dostaw;
• Identyfikacja ustalonych polityk cyberbezpieczeństwa w celu zdefiniowania programu zarządzania, a także identyfikacja wymagań prawnych i regulacyjnych dotyczących możliwości organizacji w zakresie cyberbezpieczeństwa;
• Identyfikacja słabych punktów aktywów, zagrożeń dla wewnętrznych i zewnętrznych zasobów organizacji oraz działań w zakresie reagowania na ryzyko w celu oceny ryzyka;
• Ustalenie strategii zarządzania ryzykiem, w tym określenie tolerancji na ryzyko;
• Identyfikacja strategii zarządzania ryzykiem łańcucha dostaw, w tym priorytetów, ograniczeń, tolerancji ryzyka i założeń wykorzystywanych do wspierania decyzji dotyczących ryzyka związanych z zarządzaniem ryzykiem łańcucha dostaw.

Ochrona

Funkcja ochrony określa odpowiednie zabezpieczenia w celu zapewnienia świadczenia usług infrastruktury krytycznej i wspiera zdolność do ograniczania wpływu potencjalnego zdarzenia cyberbezpieczeństwa. Do najważniejszych działań w tej grupie należą:•Wdrożenie zabezpieczeń zarządzania tożsamością i kontroli dostępu w organizacji, w tym dostępu fizycznego i zdalnego (Access Management);

• Wzmocnienie pozycji personelu poprzez szkolenie w zakresie świadomości bezpieczeństwa, w tym szkolenie oparte na rolach i specjalne szkolenia użytkowników o wyższych uprawnieniach;
• Ustanowienie ochrony bezpieczeństwa danych zgodnej ze strategią ryzyka organizacji w celu ochrony poufności, integralności i dostępności informacji;
• Wdrażanie procesów i procedur utrzymania i zarządzania zabezpieczeniami systemów informatycznych i zasobów;
• Ochrona zasobów organizacji poprzez konserwację (zarządzanie zmianą i aktualizacjami), w tym zdalne czynności konserwacyjne;•Zarządzanie technologią w celu zapewnienia bezpieczeństwa i odporności systemów, zgodnej z politykami, procedurami i umowami organizacji.

Wykrywanie

Wykrywanie potencjalnych incydentów cyberbezpieczeństwa ma kluczowe znaczenie, a funkcja ta określa odpowiednie działania w celu terminowej identyfikacji wystąpienia zdarzenia cyberbezpieczeństwa. Działania w tej funkcji obejmują:

• Zapewnienie wykrycia anomalii i zdarzeń oraz zrozumienie ich potencjalnego wpływu;
• Wdrożenie możliwości ciągłego monitorowania w celu nadzorowania zdarzeń cyberbezpieczeństwa i weryfikacji skuteczności środków ochronnych, w tym działań sieciowych i fizycznych.

Reagowanie

Funkcja Respond skupia się na działaniach odpowiednich do podjęcia w przypadku wykrycia incydentu cyberbezpieczeństwa oraz wspiera zdolność do powstrzymania wpływu potencjalnego incydentu cyberbezpieczeństwa. Do podstawowych czynności dla tej funkcji należą:

• Zapewnienie realizacji procesu planowania reakcji w trakcie zdarzenia i po nim;
• Zarządzanie komunikacją z interesariuszami wewnętrznymi i zewnętrznymi w trakcie wydarzenia i po nim;
• Analiza incydentu w celu zapewnienia skutecznej reakcji i wsparcia działań naprawczych, w tym analizy kryminalistycznej i określenia wpływu incydentów;
• Wykonywanie działań łagodzących w celu zapobieżenia ekspansji zdarzenia i rozwiązania incydentu;
• Wdrażanie ulepszeń poprzez uwzględnienie wniosków wyciągniętych z bieżących i poprzednich działań w zakresie wykrywania oraz reagowania.

Odzyskiwanie

Funkcja odzyskiwania definiuje odpowiednie działania w celu odnowienia i utrzymania planów dotyczących odporności oraz przywrócenia wszelkich funkcji lub usług, które zostały uszkodzone w wyniku incydentu związanego z cyberbezpieczeństwem. Szybkie przywracanie normalnych operacji jest kluczowym elementem w zmniejszaniu wpływu incydentu związanego z cyberbezpieczeństwem. Niezbędne zadania dla tej funkcji pokrywają się nieco z czynnościami Respond i obejmują:

• Zapewnienie, że organizacja wdroży procesy i procedury planowania odzyskiwania w celu przywrócenia systemów lub aktywów dotkniętych incydentami cyberbezpieczeństwa (element planów ciągłości działania – Bussines Continuity Management – BCM);
• Wdrażanie ulepszeń na podstawie wyciągniętych wniosków i przeglądów istniejących strategii w zakresie odtwarzania systemów i odzyskiwania ciągłości biznesowej;Prowadzenie właściwej komunikacji wewnętrznej i zewnętrznej jest koordynowane podczas odzyskiwania po incydencie cyberbezpieczeństwa, jak i po nim.
• Prowadzenie właściwej komunikacji wewnętrznej i zewnętrznej jest koordynowane podczas odzyskiwania po incydencie cyberbezpieczeństwa, jak i po nim.

[...]

Ekspert w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.