National Institute of Standards and Technology, även känt som NIST, är ett statligt laboratorium i USA som arbetar med att utveckla, testa och rekommendera bästa praxis för federala myndigheter och andra organisationer som rör saker som onlinesäkerhet. Mätvärden, mätvärden och regleringar, som Federal informationsskyddsstandard, skapas av NIST för att bidra till att stärka tillförlitligheten och säkerheten hos tekniker som utvecklas.
Alla federala organisationer är skyldiga att följa standarder som fastställts av NIST inom sitt specifika område när de hanterar konfidentiell, federal data. De standarder och föreskrifter som fastställts av NIST är internationellt erkända, vilket innebär att alla organisationer som följer NIST:s standarder för sin affärssektor har förtroende för att använda korrekt praxis inom sin teknik. NIST-standarder och föreskrifter har skapats för många områden inom vetenskap, teknik, ingenjörskonst och matematik (STEM), från astrofysik till cybersäkerhet.
Varför ska du försöka vara följsam?
En av de många frågor som organisationer ställer sig är varför jag ska följa NIST:s standarder och regler? Den främsta anledningen är mängden tester som utförs på de publikationer de släpper. Veckor, månader och ibland år av tester implementeras på det ämne som NIST-publikationerna avser innan de släpps för allmänheten. Detta säkerställer att metoder och praxis som föreslås i standarderna är de mest aktuella och tillgängliga metoderna vid tidpunkten för skrivandet. Forskningen utförs av ett team av yrkesverksamma inom sitt område, så de publikationer som släpps för allmänheten är extremt korrekta, både informativt och tekniskt.
En annan anledning att följa NIST:s standarder är att det kommer att göra din organisations infrastruktur och nya tekniker mycket säkrare. Målet med att släppa NIST-publikationer är att skapa en säkrare miljö för både myndigheter och företag i allmänhet. Ju fler organisationer som följer dessa standarder, desto färre säkerhetsintrång och sårbarheter finns tillgängliga för utnyttjande av hotande aktörer.
Vissa regler, som Federal Information Protection Standard (FIPS), krävs för arbete med den federala regeringen. Det innebär att alla företag som söker federala arbetsavtal måste uppfylla FIPS 140-2-kraven, samt eventuellt följa andra regler, beroende på organisationens bransch.
Efterlevnad kan också ge ditt företag en fördel gentemot konkurrenterna. De organisationer som följer federala säkerhetsstandarder kommer att attrahera kunder jämfört med de företag som inte följer dem. Samma kunder kommer att lita på att din organisation producerar en lika säker produkt eller tjänst i framtiden, vilket ger ditt företag framtida affärer med en återkommande kund. Vissa organisationer kommer att kräva efterlevnad av specifika regler om ett företag vill vara deras leverantör. En av dessa organisationer är USA:s federala regering.
Vem behöver vara NIST-kompatibel?
Alla entreprenörer, leverantörer, underleverantörer och alla federala myndigheter är skyldiga att följa NIST:s standarder och föreskrifter om de vill arbeta med USA:s federala regering. Detta beror på de känsliga uppgifter som företag som arbetar med regeringen kommer att manipulera, lagra och behandla.
Om informationen hanteras felaktigt kan detta orsaka en säkerhetsbrist som ger hotande aktörer tillgång till information eller tjänster som är avsedda att vara topphemliga. Vissa organisationer, såväl som lokala myndigheter, kan kräva att de företag som vill samarbeta med dem följer vissa NIST-standarder och -föreskrifter.
Hur följer ni regler och standarder?
Ett av de enklaste sätten att följa NIST-reglerna är att uppfylla kraven i NIST-publikationerna. Dessa krav är specifika för varje publikation, vilket innebär att att följa kraven i en publikation inte garanterar överensstämmelse med alla NIST-publikationer.
För att hjälpa ditt företag att följa gällande och framtida publikationer från National Institute of Science and Technology bör du använda Cybersecurity Framework, skapat av NIST. NIST Cybersecurity Framework garanterar inte efterlevnad av alla aktuella publikationer, utan är snarare en uppsättning enhetliga standarder som kan tillämpas på de flesta företag.
NIST:s cybersäkerhetsramverk skapades för att förbättra organisationers cybersäkerhet, förhindra dataintrång och öka styrkan hos de cybersäkerhetstaktik som används av organisationer. Genom att implementera en enhetlig uppsättning standarder kommer organisationer som följer cybersäkerhetsramverket redan att förstå infrastrukturen och de cybersäkerhetstaktik som används av andra organisationer inom cybersäkerhetsramverket. Cybersäkerhetsramverket är uppdelat i fem steg, kallade ramverkets kärna:
-
identifiera
Identifieringsfasen hjälper resten av ramverket att fungera korrekt. Denna fas ger transparens i hur de verktyg som används för närvarande fungerar, samtidigt som åtgärder för att säkra kritisk infrastruktur prioriteras. Företag som implementerar denna fas kommer att identifiera all programvara och alla system som är kritiska för organisationens infrastruktur.
Detta hjälper till att hitta obehöriga enheter i nätverket, till exempel en anställds telefon som använder sin e-post, vilket kan användas som en attackvektor för hotaktörer. Att förstå de system som är verksamma i din infrastruktur hjälper till att identifiera var de flesta säkra data lagras, vilka sedan kan prioriteras för skydd. All data kan inte skyddas inom en organisation, därför har säkra data en prioritet för skydd. Tillgångshantering, riskbedömning och riskhanteringsstrategi är alla uppgifter som faller under identifieringsfasen.
-
Skydda
Skyddsfasen fokuserar på att minska antalet dataintrång och andra cybersäkerhetshändelser som inträffar i din infrastruktur. Den hanterar också att mildra den skada som ett dataintrång orsakar om det inträffar. Detta kan innebära att installera säkerhetssystem för att förhindra eller upptäcka dataförlust, såsom intrångsskyddssystem eller andra sådana cybersäkerhetsverktyg. Kontroll, utbildning och datasäkerhet för identitetsåtkomst och -hantering (IAM) är bara några av de processer som faller under skyddsfasen.
-
Upptäcka
Det här steget hjälper till att upptäcka en inkräktare när ett intrång inträffar, eftersom inget säkerhetssystem är 100 % säkert. När en angripare väl har tagit sig in i organisationens infrastruktur måste de upptäckas och åtgärdas i tid, så att de inte har tillräckligt med tid att stjäla data eller kompromettera klientsystem. Ju längre tid det tar att upptäcka en inkräktare, desto mer data kan komprometteras. Händelser, övervakning och upptäckt är alla en del av upptäcktsfasen.
-
Svara
Responsfasen handlar om hur en organisation ska reagera på ett säkerhetsintrång. Dessa riktlinjer hjälper till att utveckla och implementera en plan för att hantera ett säkerhetsintrång. Om intrånget inte är säkrat och angriparen får fria händer i organisationen, kan intrånget bli värre och värre. Responsplanering, kommunikation, analys, begränsning och förbättringar är de steg som implementeras i responsfasen.
-
Recover
Det sista steget, Återställning, hanterar efterdyningarna av ett säkerhetsintrång. En plan för katastrofåterställning skapas och implementeras här. En säkerhetskopia av alla databaser och infrastruktur bör finnas på plats som en del av återställningsplanen. Detta steg inkluderar återställningsplanering, kommunikation och förbättringar för framtiden.