Het National Institute of Standards and Technology, ook wel bekend als NIST, is een laboratorium van de Amerikaanse overheid dat zich bezighoudt met het ontwikkelen, testen en aanbevelen van best practices voor federale instanties en andere organisaties op het gebied van online beveiliging. Metrieken, metingen en regelgeving, zoals de Federale standaard voor informatiebeschermingworden door het NIST ontwikkeld om de betrouwbaarheid en veiligheid van de ontwikkelde technologieën te verbeteren.
Alle federale organisaties zijn verplicht de door het NIST vastgestelde normen voor hun specifieke vakgebied te volgen wanneer ze omgaan met vertrouwelijke, federale gegevens. De normen en voorschriften van het NIST worden internationaal erkend, wat betekent dat elke organisatie die de normen van het NIST voor hun sector volgt, erop kan vertrouwen dat zij de juiste praktijken in hun technologie toepast. De normen en voorschriften van het NIST zijn opgesteld voor vele vakgebieden binnen de wetenschap, technologie, techniek en wiskunde (STEM), van astrofysica tot cybersecurity.
Waarom zou u proberen compliant te zijn?
Een van de vele vragen die organisaties zich stellen, is waarom ik me aan de normen en voorschriften van NIST zou moeten houden. De belangrijkste reden is de hoeveelheid testen die in de publicaties die ze uitbrengen wordt gestopt. Weken, maanden en soms jaren van testen worden toegepast op het onderwerp waarop NIST-publicaties betrekking hebben voordat ze openbaar worden gemaakt. Dit garandeert dat de methoden en werkwijzen die in de normen worden voorgesteld, de meest actuele zijn en dat de methoden die op het moment van schrijven beschikbaar zijn. Het onderzoek wordt uitgevoerd door een team van professionals in hun vakgebied, waardoor de publicaties die openbaar worden gemaakt, uiterst nauwkeurig zijn, zowel qua informatie als qua techniek.
Een andere reden om te voldoen aan de NIST-normen is dat het de infrastructuur en nieuwe technologieën van uw organisatie veel veiliger maakt. Het doel van het publiceren van NIST-publicaties is om een veiligere omgeving te bieden voor zowel de overheid als bedrijven in het algemeen. Hoe meer organisaties deze normen volgen, hoe minder beveiligingsinbreuken en kwetsbaarheden er beschikbaar zijn voor misbruik door cybercriminelen.
Sommige regelgeving, zoals de Federal Information Protection Standard (FIPS), is vereist voor samenwerking met de federale overheid. Dit betekent dat elk bedrijf dat federale werkcontracten aanvraagt, moet voldoen aan FIPS 140-2 en mogelijk ook aan andere regelgeving, afhankelijk van de branche waarin de organisatie actief is.
Compliance kan uw bedrijf ook een voorsprong geven op concurrenten. Organisaties die voldoen aan federale beveiligingsnormen zullen aantrekkelijker zijn voor klanten dan bedrijven die dat niet doen. Diezelfde klanten zullen erop vertrouwen dat uw organisatie in de toekomst een even veilig product of dienst levert, waardoor u in de toekomst terugkerende klanten krijgt. Sommige organisaties vereisen naleving van specifieke regelgeving als een bedrijf hun leverancier wil zijn. Een van deze organisaties is de federale overheid van de Verenigde Staten.
Voor wie is NIST-conformiteit vereist?
Alle aannemers, leveranciers, onderaannemers en alle federale instanties moeten voldoen aan de NIST-normen en -regelgeving als ze met de federale overheid van de Verenigde Staten willen samenwerken. Dit komt door de gevoelige gegevens die bedrijven die met de overheid samenwerken, manipuleren, opslaan en verwerken.
Als de gegevens onjuist worden verwerkt, kan dit een beveiligingslek veroorzaken waardoor cybercriminelen toegang krijgen tot informatie of diensten die strikt geheim zouden moeten blijven. Bepaalde organisaties, evenals lokale overheden, kunnen eisen dat bedrijven die met hen willen samenwerken, zich ook aan bepaalde NIST-normen en -voorschriften houden.
Hoe voldoet u aan regelgeving en normen?
Een van de gemakkelijkste manieren om de NIST-voorschriften na te leven, is door te voldoen aan de eisen die in de NIST-publicaties staan. Deze eisen gelden specifiek voor elke publicatie. Het volgen van de eisen van één publicatie garandeert dus niet dat alle NIST-publicaties ook daadwerkelijk worden nageleefd.
Om uw bedrijf te helpen voldoen aan de huidige en toekomstige publicaties van het National Institute of Science and Technology, kunt u het Cybersecurity Framework van het NIST gebruiken. Het Cybersecurity Framework van het NIST garandeert niet dat het aan alle huidige publicaties voldoet, maar is een reeks uniforme standaarden die op de meeste bedrijven kunnen worden toegepast.
Het NIST Cybersecurity Framework is ontwikkeld om de cyberbeveiliging van organisaties te verbeteren, datalekken te voorkomen en de effectiviteit van cybersecuritytactieken te vergroten. Door een uniforme set standaarden te implementeren, begrijpen organisaties die het Cybersecurity Framework volgen al de infrastructuur en cybersecuritytactieken die andere organisaties binnen het Cybersecurity Framework gebruiken. Het Cybersecurity Framework is onderverdeeld in 5 fasen, de zogenaamde Framework Core:
-
Identificeren
De Identificatiefase helpt de rest van de Framework Core goed te functioneren. Deze fase biedt transparantie in de werking van de tools die momenteel in gebruik zijn, terwijl prioriteit wordt gegeven aan acties voor het beveiligen van kritieke infrastructuur. Bedrijven die deze fase implementeren, identificeren alle software en systemen die cruciaal zijn voor de infrastructuur van de organisatie.
Dit helpt bij het opsporen van ongeautoriseerde apparaten binnen het netwerk, zoals de telefoon van een medewerker die zijn of haar e-mail bekijkt. Deze apparaten kunnen worden gebruikt als aanvalsvector voor kwaadwillenden. Inzicht in de systemen die in uw infrastructuur actief zijn, helpt bij het identificeren waar de meeste beveiligde gegevens worden bewaard. Deze gegevens kunnen vervolgens worden geprioriteerd voor beveiliging. Niet alle gegevens kunnen binnen een organisatie worden beschermd, dus beveiligde gegevens hebben prioriteit voor beveiliging. Assetmanagement, risicobeoordeling en risicomanagementstrategie vallen allemaal onder de identificatiefase.
-
Beschermen
De beschermingsfase is gericht op het verminderen van het aantal inbreuken en andere cyberbeveiligingsincidenten in uw infrastructuur. Het omvat ook het beperken van de schade die een inbreuk kan veroorzaken als deze zich voordoet. Dit kan betekenen dat beveiligingssystemen worden geïnstalleerd om gegevensverlies te voorkomen of te detecteren, zoals inbraakpreventiesystemen of andere cyberbeveiligingstools. IAM-beheer (Identity Access and Management), training en gegevensbeveiliging zijn slechts enkele van de processen die onder de beschermingsparaplu vallen.
-
Opsporen
Deze fase helpt bij het detecteren van een indringer zodra deze een inbreuk heeft gepleegd, aangezien geen enkel beveiligingssysteem 100% veilig is. Zodra een aanvaller de infrastructuur van uw organisatie binnendringt, moet deze tijdig worden gedetecteerd en aangepakt, zodat deze niet de tijd heeft om gegevens te stelen of clientsystemen te compromitteren. Hoe langer het duurt om een indringer te detecteren, hoe meer gegevens er kunnen worden gecompromitteerd. Gebeurtenissen, monitoring en detectie maken allemaal deel uit van de detectiefase.
-
Reageren
De responsfase behandelt de reactie van een organisatie op een inbreuk. Deze richtlijnen helpen bij het ontwikkelen en implementeren van een plan om te reageren op een beveiligingsinbreuk. Als de inbreuk niet beveiligd is en de aanvaller vrij spel krijgt binnen een organisatie, kan de inbreuk steeds erger worden. Responsplanning, communicatie, analyse, mitigatie en verbeteringen zijn de stappen die in de responsfase worden geïmplementeerd.
-
Herstellen
De laatste fase, Herstellen, behandelt de nasleep van een beveiligingsinbreuk. Hier wordt een plan voor noodherstel opgesteld en geïmplementeerd. Een back-up van alle databases en infrastructuur moet aanwezig zijn als onderdeel van het herstelplan. Deze fase omvat herstelplanning, communicatie en verbeteringen voor de toekomst.