Freigeben über

Integrieren von NIST CSF 2.0 Governance in jährliche Cybersicherheitsbewertungen (Secure Future Initiative)

Säulen: Alle
Mustername: Integrieren von NIST CSF 2.0 Governance in jährliche Cybersicherheitsbewertungen

"Integrieren von NIST CSF 2.0 Governance in jährliche Cybersicherheitsbewertungen" entspricht dem SFI-Ansatz für Governance und gilt für alle 6 technischen Säulen.

Kontext und Problem

Organisationen arbeiten heute in immer komplexeren, verteilten Umgebungen mit Hybridteams, verschiedenen Geräten und sich entwickelnden Bedrohungsvektoren. Zu den wichtigsten Herausforderungen gehören:

  • Definieren von Umfang und Abdeckung: Schnelle technologische und organisatorische Veränderungen erschweren die Identifizierung von Ressourcen, Prozessen und Personal für Cybersicherheitsprogramme.
  • Reife messen: Der Mangel an standardisierten Metriken behindert die Fähigkeit, die Effektivität der Kontrolle und die Programmreife zu bewerten und zu demonstrieren.
  • Evaluieren von Erfolg: Erfolg muss über die Verhinderung von Sicherheitsverletzungen hinaus gemessen werden, wobei Resilienz, Benutzererfahrung und Risikominderung einbezogen werden.
  • Anpassung an Bedrohungen: Angreifer entwickeln ständig Taktiken, insbesondere bei Social Engineering- und identitätsbasierten Angriffen.
  • Ressourceneinschränkungen: Nachhaltige Investitionen und Priorisierung sind inmitten konkurrierender Geschäftsanforderungen erforderlich.

Diese Herausforderungen unterstreichen die Notwendigkeit strukturierter, wiederholbarer und governancegesteuerter Cybersicherheitsbewertungen.

Lösung

Der NIST CSF 2.0 führt die Governance-Funktion als Kernpfeiler ein, wobei die Notwendigkeit von Führung, Politik und Aufsicht im Cybersicherheitsrisikomanagement betont wird. Das Framework umfasst jetzt sechs Kernfunktionen: Steuern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Organisationen können diese Funktionen verwenden, um jährliche Bewertungen wie folgt zu strukturieren:

Festlegen von Governancegrundlagen1. Stellen Sie klare Governancestrukturen, Rollen und Verantwortlichkeiten für die Cybersicherheit in Führungs- und Betriebsteams fest.
2. Stellen Sie sicher, dass Richtlinien, Verfahren und Aufsichtsmechanismen eingerichtet sind, um Risikomanagementaktivitäten zu leiten.
Festlegen des Bewertungsumfangs3. Definieren Sie die Reichweite der Bewertung, einschließlich Ressourcen, Anwendungen, Benutzersegmente und Umgebungen.
Zuordnen von Steuerelementen zu Frameworkkategorien4. Richten Sie vorhandene Steuerelemente an relevanten NIST-CSF-Unterkategorien wie Identitätsverwaltung, Zugriffssteuerung und Reaktion auf Vorfälle aus.
5. Identifizieren Sie Lücken, insbesondere bei modernen Authentifizierungs- und Bedingten Zugriffsmechanismen.
Reifegrad messen6. Entwickeln Sie Metriken für jede Funktion, z. B. den Anteil der Benutzer mit Phishing-resistenter MFA, eine umfassende Abdeckung für bedingten Zugriff und die Geschwindigkeit der Reaktion auf Anmeldeinformationenereignisse.
7. Wenden Sie Reifegradmodelle oder Punktbewertungen an, um den Fortschritt im Laufe der Zeit nachzuverfolgen.
Reifegrad messen8. Überwachen Sie aussagekräftige Indikatoren wie reduzierte anmeldeinformationsbasierte Angriffe, geringere Supportnachfrage aufgrund der MFA-Müdigkeit und reibungsloserer Onboardingprozesse.
9. Leistungsvergleich mit organisatorischen Zielen und Branchenstandards.
Behandeln von Kompromissen und kontinuierlicher Verbesserung10. Erkennen Sie Herausforderungen wie geräteübergreifende Bereitstellung, plattformübergreifende Unterstützung und sich entwickelnde Erwartungen an die Benutzerfreundlichkeit.
11. Implementieren Sie bei Bedarf gezielte Schulungs-, Kommunikations- und Engineering-Lösungen.
12. Verwenden Sie Bewertungsergebnisse, um Governance zu verfeinern, Investitionen zu priorisieren und Kontrollen als Reaktion auf sich ändernde Bedrohungen und regulatorische Entwicklungen zu aktualisieren.

Microsoft führt eine jährliche Selbstbewertung aus, die an NIST CSF 2.0 ausgerichtet ist, um die Reife der Cybersicherheit zu vergleichen und eine kontinuierliche Verbesserung voranzutreiben.

  • Scoping: Organisationseinheiten und -dienste werden über einen risikobasierten Aufnahmeprozess ausgewählt. Der Umfang wird jährlich überprüft, um Änderungen der Geschäfts- und Bedrohungslandschaft widerzuspiegeln.
  • Bewertungsstruktur: Ein standardisierter Fragebogen wertet die Reife in den sechs CSF-Funktionen aus: Steuern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.
  • Bewertung: Basierend auf den Implementierungsebenen von NIST, die eine objektive Benchmark-Bewertung ermöglichen.
  • Kontinuierliche Verbesserung: Die Methodik von Microsoft wird regelmäßig optimiert, um die Objektivität zu verbessern und die Komplexität zu verringern. Auf diese Weise werden Engagement und Transparenz priorisiert.
  • Integration des Risikomanagements: Wichtige Risiken und Chancen werden im Risikoregister zur Priorisierung und Nachverfolgung protokolliert.

Leitfaden

Organisationen können ein ähnliches Muster mit den folgenden Aktionen anwenden:

Anwendungsfall Empfohlene Maßnahme Ressource
NIST CSF 2.0-Bewertung durchführen
  • Definieren des Bereichs auf der Grundlage von Organisationsprioritäten
  • Verwendung von Implementierungsbeispielen für Basisprozesse
 NIST CSF 2.0 – Schnellstarthandbuch
Integrieren von Cybersicherheitsrisiken in ERM
  • Aggregieren von Cyberrisiken mit finanziellen, betrieblichen und Reputationsrisiken
  • Zuweisung von Cyber-Risikomanagern
  • Festlegen von Eskalationskriterien
 NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide
Bestandsaufnahme vorhandener Kontrollen
  • Zuordnen von Steuerelementen zu CSF-Funktionen
  • Verwenden Sie NIST SP 800-53 für Kontrollbaselines
  • Zuweisen von Verantwortlichen zur Behebung von Lücken
 NIST SP 800-53 Rev. 5
Schützen kritischer Ressourcen
  • Durchführen von Geschäftsauswirkungsanalysen
  • Identifizieren Sie Ihre "Kronjuwelen"
  • Definieren von RTO/RPO-Zielen
  • Verwenden von Tabletop-Übungen zum Überprüfen der Resilienz
Stärkung der Governance
  • Rollen und Verantwortlichkeiten definieren
  • Überprüfen und Ausrichten von Richtlinien an gesetzliche und behördliche Anforderungen
 Erstellen einer dauerhaften Sicherheitskultur bei Microsoft

Vorteile

  • Richtet sich an mehrere Standards (ISO 27001, NIST SP 800-53) für eine breitere Einhaltung.
  • Verbessert ganzheitliches, risikobasiertes Cybersicherheitslebenszyklus-Management.
  • Bettet Cybersicherheit in die Aufsicht über Unternehmensführung und Führung ein.
  • Verbessert die Regulatorische Bereitschaft und das Vertrauen der Beteiligten.

Trade-offs

  • Ersetzt nicht andere Mechanismen wie Bedrohungen, Vorfälle, Prüfungsergebnisse und andere Risikomanagementpraktiken.
  • Die anfängliche Zuordnung von Steuerelementen zu CSF-Kategorien kann ressourcenintensiv sein.
  • Eine nicht vorschreibende Natur erfordert eine starke Governance, um Inkonsistenzen zu vermeiden.
  • Die Erwartungen an die Governance können kulturelle Veränderungen und das Buy-In der Führung erfordern.
  • Ersetzt keine formalen Complianceframeworks (z. B. FedRAMP, ISO).

Wichtige Erfolgsfaktoren

Verfolgen Sie diese KPIs, um den Fortschritt zu messen:

  • Anzahl der risiko-akzeptierten Richtlinienabweichungen
  • Prozentsatz der IKT-Vermögenswerte im Bestand entsprechend der Politik
  • Prozentsatz der Sicherheitsvorfälle im Zusammenhang mit Mängeln der Kontrolle
  • Prozentsatz der kompatiblen Schlüsselverbindungen von Drittanbietern

Zusammenfassung

Jährliche Cybersicherheitsbewertungen im Einklang mit NIST CSF 2.0 – insbesondere ihrer neuen Funktion "Steuern " – ermöglichen Es Organisationen, Sicherheit in das Unternehmensrisikomanagement einzubetten, Reife zu demonstrieren und kontinuierliche Verbesserungen voranzutreiben.

Durch die Einführung von NIST CSF 2.0 und deren Anpassung an ihre eigenen Umgebungen können Organisationen ihren Sicherheitsstatus stärken, regulatorische Erwartungen erfüllen und Vertrauen mit den Beteiligten aufbauen.

  • Last updated on