Het NIST Cybersecurity Framework

Het NIST Cybersecurity Framework

Het National Institute of Standards and Technology (NIST) Cybersecurity Framework is een reeks richtlijnen en beste praktijken die bedrijven kunnen gebruiken om hun cyberbeveiligingshouding te verbeteren. Het raamwerk is ontwikkeld in antwoord op Executive Order 13636, waarin het NIST werd opgedragen een vrijwillig raamwerk voor cyberbeveiliging te ontwikkelen “om de cyberrisico’s voor kritieke infrastructuur te beperken”.

Het raamwerk is niet verplicht, maar het wordt alom gebruikt en gerespecteerd, en veel bedrijven vinden het een waardevol hulpmiddel. Het kader is flexibel van opzet, zodat bedrijven het op hun eigen behoeften en risicoprofielen kunnen afstemmen. Het is ook ontworpen om compatibel te zijn met andere bestaande normen en kaders, zoals ISO 27001/27002 en het Critical Infrastructure Cyber Community Voluntary Program.

Het NIST Cybersecurity Framework bestaat uit drie hoofdonderdelen: de Core, de Implementation Tiers en de Profiles.

De Core is een reeks cyberbeveiligingsactiviteiten, -resultaten en -referenties die voor alle sectoren gemeenschappelijk zijn. De kern is gestructureerd rond vijf functies: Identificeren, Beschermen, Detecteren, Reageren en Herstellen. Elke functie bevat een reeks categorieën en subcategorieën die de activiteiten binnen die functie verder beschrijven

De implementatieniveaus bieden organisaties een manier om hun niveau van volwassenheid met betrekking tot hun risicobeheerpraktijken op het gebied van cyberbeveiliging kenbaar te maken. Er zijn vier niveaus: gedeeltelijk (niveau 1), risico geïnformeerd (niveau 2), herhaalbaar (niveau 3) en adaptief (niveau 4).

Met de component Profielen ten slotte kunnen organisaties hun huidige toestand afzetten tegen hun gewenste toestand. Een profiel wordt gecreëerd door de basisbeveiliging van de organisatie (d.w.z. de reeks beveiligingscontroles die zij heeft geïmplementeerd) te nemen en controles toe te voegen of af te trekken tot een gewenste toestand is bereikt die voldoet aan de bedrijfsbehoeften en tegelijkertijd aanvaardbare risiconiveaus beheert.

Het NIST Cybersecurity Framework is een nuttig hulpmiddel voor bedrijven van elke omvang die hun cyberbeveiligingsbeleid willen verbeteren. Het raamwerk is flexibel en kan worden afgestemd op de specifieke behoeften van elke organisatie. Door gebruik te maken van de onderdelen Core, Implementation Tiers en Profiles kunnen bedrijven een uitgebreid plan ontwikkelen om hun cyberbeveiligingsverdediging te verbeteren.