Het Amerikaanse National Institute of Standard and Technology (NIST) heeft op 26 februari 2024 versie 2.0 van haar Cybersecurity Framework (CSF) uitgebracht. Wat is er precies veranderd en wat is nieuw ten opzichte van versie 1? Je leest het in dit artikel!
Wat is NIST?
Het National Institute of Standard and Technology is een door de Amerikaanse Overheid opgerichte wetenschappelijke instelling. Zij heeft als doel om innovatie en industriële concurrentie te promoten. Het NIST zet zich in voor de wetenschap, waaronder nanotechnologie, informatietechnologie, engineering en neutronwetenschap.
Het NIST kan je ook kennen van de naam National Bureau of Standards. Die naam droeg zij van 1901 tot 1988.
Wat is het Cybersecurity Framework?
Ontstaan van het Framework
Een van de onderwerpen waar het NIST bekend om staat is haar Cybersecurity Framework. Dit framework is in 2014 gepubliceerd met als doel om organisaties een handleiding te geven en het risico op een cybersecurity incident te minimaliseren.
In 2018 werd het framework aangepast en werd versie 1.1 gepubliceerd, waarbij meer focus werd aangebracht op het versterken van federale netwerken en kritieke infrastructuur. Hierbij werd het verplicht voor U.S. federal government agencies om te voldoen aan het NIST Framework.
Een toevoeging op het NIST Framework werd in 2019 gepubliceerd. Dit was het Cybersecurity Maturity Model (CMMC).
De opbouw
Het oude Framework bestond uit vijf categorieën:
Identify: het ontwikkelen van begrip en beheer van cybersecurity risico's van systemen, assets, data en mogelijkheden op organisatorisch niveau.
Protect: het ontwikkelen en implementeren van de juiste veiligheidsmaatregelen om het leveren van kritieke infrastructuur te kunnen garanderen.
Detect: het ontwikkelen en implementeren van de juiste activiteiten om een cybersecurity event te identificeren/ontdekken.
Respond: het ontwikkelen en implementeren van de juiste activiteiten om actie te ondernemen tegen een gedetecteerd cybersecurity incident.
Recover: het ontwikkelen en implementeren van de juiste activiteiten om eigenschappen en/of diensten te herstellen na een cybersecurity incident en het voorkomen van herhaling.
Het Framework implementeren
Het Cybersecurity Framework helpt organisaties met deze vijf kapstokken. Wanneer een organisatie net start met de implementatie, wordt vaak als eerst gestart met het opstellen van een "Current Profile". Hierin stelt de organisatie haar huidige cybersecurity niveau vast.
Vervolgens wordt een "Target Profile" opgesteld. Hierin worden de gewenste cybersecurity uitkomsten vastgelegd. Denk dan aan de benodigde maatregelen en de risico's voor de organisatie.
Nadat zowel de Current als Target Profiles zijn vastgesteld, kan een Gap Analysis worden gemaakt: het gat tussen de huidige en de gewenste situatie. Hiermee kan de organisatie de juiste maatregelen nemen om te verbeteren.
Waarom een nieuwe versie?
Tijden, technologieën en dreigingen veranderen continu. Het NIST Cybersecurity Framework is bedoeld om een "levend document" te zijn en heeft op zijn tijd aanpassingen nodig om bij te blijven.
Verschillende stakeholders hebben in 2018 aangedrongen op wijzigingen in het Cybersecurity Framework. In januari 2023 heeft NIST een conceptversie gepubliceerd, waarna versie 2.0 op 26 februari 2024 definitief is geworden.
Versie 2.0: de wijzigingen
Ten op zichte van versie 1.1 heeft het CSF hoofdzakelijk de volgende wijzigingen gekregen:
1. Nieuwe categorie
Je hebt net gelezen over de vijf categorieën van het CSF: Identify, Protect, Detect, Respond & Recover. In versie 2.0 is daar een nieuwe categorie aan toegevoegd: Govern.
In tegenstelling tot de andere categorieën is Govern geen aparte, maar overkoepelende categorie. Dit zorgt ervoor dat de organisatorische context in het gehele model een belangrijke rol speelt.
2. Gewijzigde titel & scope
De titel van het Framework is nu "Cybersecurity Framework" in plaats van "Framework for Improving Critical Infrastructure Cybersecurity".
Ook is de scope zodanig aangepast, dat meer type organisaties het framework kunnen gebruiken om hun cybersecurity naar een hoger niveau te tillen.
3. Implementatievoorbeelden
Het Framework bevat nu ook voorbeelden van implementaties om praktische en actiegerichte processen in te regelen aan de hand van de (nu 6) categorieën.
4. Continu verbeteren
Een nieuw "Improvement" hoofdstuk is toegevoegd om meer nadruk te leggen op het doorlopend doorvoeren van verbeteringen.
Hoe SecurityHive helpt bij het voldoen aan het NIST CSF
Het nieuwe NIST Cybersecurity Framework is een welkome update en biedt veel handvaten voor organisaties om hun cybersecurity te verbeteren.
SecurityHive maakt het eenvoudig voor organisaties om meer compliant te worden en hun processen beter in te regelen volgens het NIST CSF.
Honeypots maken het eenvoudig om hackers en verdachte activiteit te detecteren in een netwerk. Dit draagt bij aan de categorie Detect. Ook is de Honeypot nuttig in de categorie Recover, waarbij de informatie van een aanval kan worden gebruikt om tegenmaatregelen te nemen.
Vulnerability Management brengt proactief kwetsbaarheden en misconfiguraties in beeld, waardoor de juiste acties kunnen worden ondernomen om incidenten te voorkomen. Dit draagt bij aan de categorie Protect.
DNS Guard blokkeert het tot stand komen van kwaadaardige en gevaarlijke verbindingen op bedrijfsnetwerken, IoT en roaming devices, waarmee het primair bijdraagt aan de categorie Protect. Deze oplossing is zo flexibel dat het ook een meerwaarde levert in de categorie Detect (herkennen van geïnfecteerde systemen) & Respond (het afkaderen van systemen).
Ontdek zelf het NIST Cybersecurity Framework!
Je kan direct bijdragen aan de compliance aan het NIST Framework binnen jouw organisatie met de oplossingen van SecurityHive. Plan een meeting in met SecurityHive's experts, of bekijk direct zelf het NIST CSF via de links hieronder.
Nieuwsartikel NIST: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
NIST Cybersecurity Framework versie 2.0: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf