NIST Cybersecurity Framework – Alles wat u moet weten

September 1, 2020
John Emmitt
NIST-naleving

Alle bedrijven met een online of digitale aanwezigheid, groot of klein, ongeacht hun bedrijfstak, staan tegenwoordig bloot aan cyberrisico's. Om bedrijven voor te bereiden op en te beschermen tegen deze cyberrisico's heeft de Amerikaanse overheid richtlijnen uitgegeven in de vorm van een raamwerk van het National Institute of Standards and Technology (NIST), het zogenaamde NIST Cybersecurity Framework.

Wat is het NIST Cybersecurity Framework?

Het NIST Cybersecurity Framework is een vrijwillig raamwerk dat bestaat uit normen, richtlijnen en best practices, uitgegeven door het Amerikaanse ministerie van Handel. Het is een samenwerkingsverband tussen de publieke en private sector en de academische wereld. Het was oorspronkelijk bedoeld om de cyberbeveiliging voor kritieke infrastructuursectoren in de Verenigde Staten te verbeteren. Tot deze sleutelsectoren behoorden financiën, energie, gezondheidszorg en defensie. Het was ook bedoeld voor gebruik door federale agentschappen en staats- en lokale overheden. Versie 1.0 van het NIST CSF werd uitgebracht in februari 2014.

Het raamwerk is sindsdien herzien, met als doel het flexibel genoeg te maken om te worden gebruikt door kleine en grote bedrijven in elke sector. Het heeft ook een bredere toepasbaarheid op niet alleen IT, maar ook het IoT- Internet of Things. De nieuwste versie van de NIST CSF is versie 1.1, die in april 2018 werd uitgebracht. De nieuwe versie bevatte updates over het volgende:

  • Authenticatie en identiteitsbeheer
  • Cyberbeveiligingsrisico's zelf beoordelen
  • Cyberbeveiliging beheren binnen de toeleveringsketen (inclusief aankooprichtlijnen voor commerciële, off-the-shelf producten en diensten)
  • Openbaarmaking van kwetsbaarheden
  • Verduidelijking van de relatie tussen implementatieniveaus en profielen

Bij de publicatie ervan zei minister van Handel Wilbur Ross: "Het vrijwillige NIST Cybersecurity Framework zou de eerste verdedigingslinie van elk companymoeten zijn. Het is voor alle CEO's een must om versie 1.1 te implementeren." Dat geldt vandaag de dag nog steeds.

NIST Cybersecurity Framework versie 1.1
NIST Cybersecurity Framework versie 1.1 - Krediet: N. Hanacek/NIST

Het NIST Cybersecurity Framework bestaat uit drie onderdelen, waar we nu dieper op in zullen gaan.

Wat zijn de drie onderdelen van het NIST Cybersecurity Framework?

De drie hoofdcomponenten van het raamwerk zijn:

  1. Framework Core: Een set van gewenste cyberbeveiligingsresultaten georganiseerd in een hiërarchie en omvat vijf functies van een cyberbeveiligingsprogramma - Identificeren, Beschermen, Detecteren, Reageren en Herstellen.
  2. Implementatie niveaus: De niveaus die variëren van gedeeltelijk (niveau 1) tot adaptief (niveau 4) bieden een kwalitatieve maatstaf voor de risicobeheerpraktijk op het gebied van cyberbeveiliging in de organisatie.
  3. Profielen: Profielen zijn een afstemming van de vereisten en doelstellingen, risicobereidheid en resources van een organisatie resources de gewenste resultaten van de Framework Core. Deze identificeren mogelijkheden voor het verbeteren van de cyberbeveiliging door een 'huidig' profiel te vergelijken met een 'doelprofiel'.

Laten we eens wat dieper in elk van deze componenten duiken en kijken hoe ze het framework tot een geheel maken.

Kader Kern

De Framework Core bestaat uit drie delen - Functies, Categorieën en Subcategorieën, en omvat zoals eerder vermeld vijf functies op hoog niveau: Identificeren, Beschermen, Detecteren, Reageren en Herstellen. De categorieën hebben betrekking op de cyberbeveiligingsdoelstellingen van een organisatie en de subcategorieën zijn resultaatgerichte verklaringen die overwegingen bieden voor het maken of verbeteren van een cyberbeveiligingsprogramma. De drie onderdelen van de Core werken samen om een organisatie te helpen haar risico's te beheren door informatie te organiseren, bedreigingen aan te pakken en te leren van eerdere incidenten.

De afbeelding hieronder toont de categorieën in elke functie.

Kader Kern
Kader Kern

Uitvoeringsniveaus

De implementatieniveaus bestaan uit vier niveaus - gedeeltelijk, risicogestuurd, herhaalbaar en adaptief. Deze niveaus beschrijven verschillende gradaties van verfijning in de maatregelen die een organisatie neemt. De cyberbeveiligingsrisicoprocessen die gezamenlijk een niveau aangeven zijn:

  • Risicobeheerproces: De functionaliteit en herhaalbaarheid van risicobeheer voor cyberbeveiliging
  • Geïntegreerd risicomanagementprogramma: De mate waarin cyberbeveiliging wordt meegenomen in bredere risicomanagementbeslissingen
  • Externe deelname: De mate waarin de organisatie profiteert van het delen of ontvangen van informatie van externe partijen.

Hoewel niveaus geen volwassenheidsniveaus vertegenwoordigen, moet een organisatie het gewenste niveau bepalen en ervoor zorgen dat het voldoet aan de doelen van het niveau door de nodige acties uit te voeren en het cyberbeveiligingsrisico te verminderen.

Uitvoeringsniveaus
Uitvoeringsniveaus

Profielen

Dit onderdeel van het NIST Cybersecurity Framework stelt organisaties in staat om een routekaart op te stellen voor het verminderen van risico's op het gebied van cyberbeveiliging door hun organisatiedoelen te krijten, potentiële cyberrisico's af te stemmen op deze doelen en industrienormen en best practices te volgen om deze risico's te vermijden.

Een organisatie kan haar cyberbeveiligingsvereisten, missiedoelstellingen en werkmethoden, samen met de huidige praktijken, afzetten tegen de subcategorieën van het Framework Core.

Kaderprofielen
Kaderniveaus

In de bovenstaande afbeelding, wanneer een "Huidig" Profiel wordt vergeleken met een "Doel" Profiel, stelt de analyse van de kloof tussen de profielen organisaties in staat om een geprioriteerd implementatieplan op te stellen.

Het NIST-raamwerk voor cyberbeveiliging gebruiken

Hier zijn 7 stappen die u moet volgen om het NIST Cybersecurity Framework in uw organisatie te implementeren:

  1. Prioriteren en Reikwijdte - Identificeer de doelstellingen en prioriteiten van de organisatie en identificeer de IT-systemen en bedrijfsmiddelen die relevant zijn voor deze doelstellingen. Deze bedrijfsmiddelen moeten prioriteit krijgen om koste wat het kost te worden beschermd.
  2. Oriënteren - Identificeer gerelateerde systemen en bedrijfsmiddelen en de wettelijke vereisten met betrekking tot deze systemen. Identificeer vervolgens de kwetsbaarheden van deze systemen en bedrijfsmiddelen en de mogelijke bedreigingen.
  3. Maak een Huidig Profiel - Het Huidige Profiel van uw organisatie moet elke controle uit het NIST Cybersecurity Framework integreren om te bepalen welke controleresultaten worden bereikt.
  4. Voer een risicobeoordeling uit - Bepaal de waarschijnlijkheid van cyberbeveiligingsgebeurtenissen en de impact die ze op uw organisatie kunnen hebben.
  5. Maak een doelprofiel - Bepaal waar u wilt dat uw organisatie staat in termen van cyberbeveiligingshouding. Maak een streefscore voor volwassenheid die de beoordeling van de categorieën en subcategorieën van het raamwerk omvat en werk naar de gewenste resultaten toe.
  6. Hiaten bepalen, analyseren en prioriteren - De hiaten tussen het huidige profiel en het doelprofiel dichten. Maak een actieplan waarin de budgettering, de risico's en de uit te voeren taken worden bepaald om de hiaten in het huidige profiel aan te pakken.
  7. Voer het actieplan uit - Neem de stappen die nodig zijn om de gaten te dichten zoals hierboven besproken. Pas uw cyberbeveiligingspraktijken aan om uw Doelprofiel te bereiken.

Het NIST Cybersecurity Framework is weliswaar vrijwillig, maar wordt ten zeerste aanbevolen als een manier om uw cyberbeveiligingsprogramma's en -processen te formuleren en te beheren. Het raamwerk:

  • Zorgt ervoor dat u over robuuste security en -normen beschikt
  • Helpt uw organisatie haar algehele security tegen steeds veranderende cyberdreigingen security verbeteren.
  • Biedt een proces voor continue verbetering van security van uw organisatie.

Met Kaseya Compliance Manager kunnen organisaties eenvoudig aantonen dat ze voldoen aan het NIST Cybersecurity Framework. Het geeft gebruikers een goed overzicht van hoe goed hun organisatie voldoet aan het framework, identificeert hiaten in de bescherming en compliance van een organisatie en stelt een lijst op met zaken die gebruikers moeten aanpakken om compliance te garanderen.

Gebruikers krijgen ook een risicoscorematrix waarmee ze risico’s kunnen prioriteren en middelen op de juiste manier kunnen toewijzen om ervoor te zorgen dat de gesignaleerde problemen worden opgelost.

*Alle afbeeldingen zijn afkomstig van de NIST-website.

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Één platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

Wat is NIST-naleving? Een gids voor NIST-standaarden, -raamwerken en -controles

Gegevensbescherming is een belangrijke zorg voor zowel grote als kleine bedrijven, en dat is waar NIST om de hoek komt kijken. NIST, ofMeer lezen

Lees blogbericht