Cyberzagrożenia nie są problemem dotyczącym wyłącznie dużych firm. Każda organizacja stoi przed własnym zestawem wyzwań związanych z cyberbezpieczeństwem. Na sektor małych i średnich przedsiębiorstw również czyha wiele niebezpieczeństw.

Jako „wspólny język” obejmujący całość zarządzania ryzykiem związanym z cyberbezpieczeństwem, który może być łatwo zrozumiany przez osoby o różnym poziomie wiedzy z zakresu cyberbezpieczeństwa, zostały zaprojektowane tzw. Ramy Cyberbezpieczeństwa – NIST Cyber Security Framework (NIST CSF). Rdzeń tej struktury stanowi pięć funkcji: identyfikacja, ochrona, detekcja, reagowanie i odzyskiwanie. W ramach tych nadrzędnych funkcji zarządzający bezpieczeństwem firmy kreuje je, wykorzystując istniejące standardy, wytyczne i praktyki, które organizacje mogą dostosować, aby lepiej zarządzać ryzykiem związanym z cyber­zagrożeniami i je zmniejszać.

> NIST Cyber Security Framework

Do zbudowania bezpiecznej organizacji niezbędny jest ogląd obszaru cybersecurity z uwzględnieniem wszystkich domen bezpieczeństwa. Jednym z podejść jest NIST CSF – zestaw wytycznych zawierających wskazówki dotyczące zarządzania i ograniczania ryzyka związanego z bezpieczeństwem infrastruktury IT składający się ze standardów i praktyk, które można wykorzystać do zapobiegania, wykrywania i reagowania na cyberataki.

CSF składa się z pięciu podstawowych funkcji, których celem jest zapewnienie strategicznego spojrzenia na zagrożenia cyberbezpieczeństwa w organizacji. W poprzedniej części cyklu („IT Professional” 2/2022, s. 34) przedstawiono bardzo wysokopoziomowy przegląd modelu cyberbezpieczeństwa NIST, gdzie opisano pięć funkcji, ich struktury oraz kategorie w ramach każdej funkcji.

Organizacja może korzystać z NIST CSF jako kluczowej części swoich systematycznych procesów identyfikacji, oceny i zarządzania ryzykiem cybernetycznym. Model nie jest zaprojektowany, tak by zastąpić istniejące procesy. Organizacja może wykorzystywać swoje obecne procesy i nakładać je na model, by określić luki w obecnie stosowanym podejściu do ryzyka cybernetycznego i opracować mapę drogową poprawy. Dzięki wykorzystywaniu modelu jako narzędzia zarządzania bezpieczeństwem cybernetycznym organizacja może określić czynności najistotniejsze dla dostawy usług krytycznych i priorytetyzować wydatki, aby zmaksymalizować wpływ inwestycji. Ramy Cybersecurity zaprojektowane są tak, by uzupełniać istniejące operacje biznesowe i związane z cyberbezpieczeństwem. Mogą służyć jako podwaliny nowego programu cyberbezpieczeństwa lub mechanizm poprawy istniejącego programu. Dają również możliwość wyrażania wymogów ochrony partnerom biznesowym i klientom oraz mogą pomóc zidentyfikować luki w praktykach dotyczących cyberbezpieczeństwa.

Rdzeń platformy definiuje działania, które należy wykonać, aby osiągnąć różne wyniki w zakresie cyberbezpieczeństwa. Jest podzielony na cztery różne elementy:

• Funkcje – pięć funkcji opisanych w NIST Cybersecurity Framework odzwierciedla najbardziej podstawowe zadania związane z cyberbezpieczeństwem – identyfikacja, wykrywanie, ochrona, reagowanie i odzyskiwanie.
• Kategorie – dla każdej z pięciu funkcji istnieją kategorie, które są konkretnymi wyzwaniami lub zadaniami, które muszą być wykonane. Na przykład, aby chronić swoje systemy, należy wdrożyć aktualizacje oprogramowania, zainstalować programy antywirusowe i chroniące przed złośliwym oprogramowaniem oraz mieć zasady kontroli dostępu.
• Podkategorie – to zadania lub wyzwania związane z każdą kategorią. Na przykład podczas wdrażania aktualizacji oprogramowania (kategorii) trzeba mieć pewność, że wszystkie komputery z systemem Windows mają włączone automatyczne aktualizacje.
• Odniesienia informacyjne (ang. Informative References) – to dokumenty lub materiały, które szczegółowo opisują konkretne zadania użytkowników dotyczące wykonywania określonych czynności. Na przykład powinien być dostępny dokument, który szczegółowo opisuje, w jaki sposób automatyczne aktualizacje są włączone dla komputerów z systemem Windows.

> Funkcja Identyfikacji

Identyfikacja to pierwsza funkcja NIST CSF. Rozwija ona organizacyjne zrozumienie pozwalające zarządzać zagrożeniami związanymi z cyberbezpieczeństwem systemów, aktywów, danych i możliwości. Czynności realizowane w ramach tej funkcji są fundamentalne dla skutecznego wykorzystania całego modelu NIST CSF. Zrozumienie kontekstu biznesowego, zasobów wspierających najważniejsze funkcje i powiązanego z tym cyberzagrożenia pozwala organizacji skupić się i priorytetyzować swoje wysiłki równolegle ze strategią zarządzania ryzykiem i potrzebami biznesowymi. Jak widać, jest to definicja wysokiego poziomu.

W związku z tym, że identyfikacja jest pierwszą z pięciu funkcji CSF, stanowi podstawę dla pozostałych funkcji, na których można się oprzeć. Ta funkcja koncentruje się na wskazaniu wszystkich systemów i platform organizacji zawartych w jej infrastrukturze. Właściwe wykonanie funkcji „Identyfikuj” gwarantuje, że żadne istotne zasoby IT nie ulegną zniszczeniu, i pomoże w walce z ukrytym IT (tzw. shadow IT).

Ta funkcja obejmuje również identyfikację potencjalnych zagrożeń, które mogą niekorzystnie wpłynąć na systemy organizacji niezbędne do codziennych operacji (takich jak serwery produkcyjne) i inne krytyczne działania organizacji. Może to pomóc osobom odpowiedzialnym za cyberbezpieczeństwo w precyzyjnym określeniu priorytetów działań organizacji w tym zakresie.

Jest to etap, na którym ocenia się kontekst całej działalności: jakie systemy są potrzebne do obsługi krytycznych działań biznesowych, jakie zagrożenia cybernetyczne są  obecne w dzisiejszym krajobrazie zagrożeń i jak nadać priorytet wysiłkom i strategiom, aby złagodzić ogólne ryzyko. Jednym z kluczowych punktów, na który należy zwrócić uwagę, jest to, że ramy cyberbezpieczeństwa NIST stale się rozwijają i ewoluują. Ich wdrożenie to nie jednorazowa operacja, którą można wykonać i zapomnieć. Zmieniają się zagrożenia, zmieniają się systemy, zmieniają się procesy i otoczenie biznesowe.

Funkcja identyfikacji podzielona została na pięć kategorii (w ramce Podział identyfikacji ze względu na kategorie opisano je dokładniej). Kategorie zapewniają określone wyniki czynności technicznych lub zarządzania. Dodatkowo dostarczają one zbioru wyników, które pomimo że nie są wyczerpujące, pomagają osiągnąć cele organizacji.

Jako jedna z pięciu podstawowych funkcji ramowych modelu cyberbezpieczeństwa NIST identyfikacja stanowi podstawę wszystkich kolejnych funkcji. Stosując kategorie wyników tej funkcji i odpowiednie działania podkategorii, organizacja będzie miała solidne podstawy dla zapewnienia kolejnych funkcji: ochrony (protect), detekcji (detect), reagowania (respond) i odtwarzania (recovery).

[...]

Autor jest ekspertem w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.