Aktualisierungen für NIST CSF 2.0 Abgeschlossen

Das US-amerikanische National Institute of Standards and Technology (NIST) hat die erste größere Aktualisierung seines Rahmenwerks seit seiner Einführung im Jahr 2014 erfolgreich abgeschlossen. Das Rahmenwerk der Agentur ist ein wegweisender Satz von Richtlinien und Best Practices, der von Organisationen und Regierungsbehörden weltweit zum Management von Cybersicherheitsrisiken verwendet wird.

Nach mehr als zwei Jahren Diskussionen und öffentlichen Kommentaren, die darauf abzielten, den Rahmen für eine sich entwickelnde Landschaft effektiver zu gestalten, hat NIST nun die neue 2.0 Edition ihres Cybersicherheitsrahmens.

Da jeden Tag neue Cyberbedrohungen auftreten, ist NIST CSF 2.0 eine wichtige Ressource für alle Branchen wie kleine Schulen, gemeinnützige Organisationen oder große Agenturen und Unternehmen – unabhängig vom Kenntnisstand im Bereich Cybersicherheit.

Was hat sich geändert?

Als Reaktion auf die umfangreichen Rückmeldung erhalten während der vorgeschlagenes KonzeptNIST hat mehrere wichtige Änderungen vorgenommen, um die Benutzererfahrung mit dem Framework zu verbessern.

• Neuer Umfang: Die neueste Version des NIST Cybersecurity Framework 2.0 (CSF) wurde überarbeitet, um die Zielgruppe zu erweitern. Zuvor richtete sich das Framework hauptsächlich an Organisationen mit kritischer nationaler Infrastruktur, beispielsweise in den Bereichen Versorgungsunternehmen, Telekommunikation, Transport und Banken. Nun soll das CSF alle Organisationen dabei unterstützen, Risiken effektiv zu mindern und zu minimieren. NIST hat die grundlegenden Leitlinien des CSF erweitert und eine Reihe von Tools eingeführt, die Organisationen aller Art bei der Erreichung ihrer Cybersicherheitsziele unterstützen, mit einem verstärkten Fokus auf Governance und Supply Chain Management.
• Eine zusätzliche Kernfunktion: Der bisherige Kern des Frameworks basierte auf fünf Schlüsselfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. CSF 2.0 umfasst nun die Governance-Funktion, die die Strategie und Richtlinien des Unternehmens für das Cybersicherheits-Risikomanagement festlegt und kommuniziert. Darüber hinaus überwacht und priorisiert sie die Ergebnisse im Einklang mit der Mission des Unternehmens und den Erwartungen der Stakeholder.
• Kurzanleitungen: Das überarbeitete Framework berücksichtigt, dass Organisationen mit unterschiedlichen Anforderungen und Erfahrungsstufen in der Implementierung von Cybersicherheit an das CSF herantreten. Einsteiger können Erkenntnisse aus den Leistungen anderer ziehen und ihren Schwerpunkt aus einer neuen Zusammenstellung von Fallstudien und benutzerfreundliche Anleitungen zugeschnitten auf bestimmte Benutzerkategorien – darunter kleine Unternehmen, Corporate Risk Manager und Unternehmen, die ihre Lieferketten stärken möchten.
• Erweiterte Ressourcen und Toolkit: Das neue CSF 2.0-Referenztool CSF 2.0 vereinfacht den Implementierungsprozess für Unternehmen durch eine benutzerfreundliche Oberfläche zum Durchsuchen, Suchen und Exportieren von Daten und Details aus den CSF-Kernrichtlinien. Dieses Tool präsentiert Informationen in Formaten, die sowohl für Menschen als auch für Maschinen leicht verständlich sind. Darüber hinaus enthält CSF 2.0 eine durchsuchbarer Katalog informativer Referenzen, die es Organisationen ermöglichen, zu überprüfen, wie ihre aktuellen Maßnahmen mit dem CSF übereinstimmen. Dieser Katalog ermöglicht Querverweise zwischen den CSF-Richtlinien und über 50 weiteren Cybersicherheitsdokumenten, darunter auch NIST-Dokumente wie: SP 800-53 Rev. 5, das eine Reihe von Tools (sogenannte Kontrollen) zum Erreichen bestimmter Cybersicherheitsziele bietet.

Die 6 Komponenten des Framework-Kerns

Der Kern des Frameworks ist nun um sechs Schlüsselfunktionen herum organisiert: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen – sowie die neu in CSF 2.0 hinzugefügte Governance-Funktion. Zusammen bieten diese Funktionen eine ganzheitliche Sicht auf den Lebenszyklus des Cybersicherheitsrisikomanagements.

1. Regieren: Erstellt und kommuniziert die Strategie und Richtlinien des Unternehmens zum Cybersicherheits-Risikomanagement. Überwacht und priorisiert die Ergebnisse im Einklang mit der Mission des Unternehmens und den Erwartungen der Stakeholder. Dies ist entscheidend für die Integration der Cybersicherheit in die umfassendere Strategie des Enterprise Risk Management (ERM). Befasst sich mit dem Verständnis des organisatorischen Kontexts, der Entwicklung einer Cybersicherheitsstrategie, dem Risikomanagement der Lieferkette, Rollen, Verantwortlichkeiten, Befugnissen, Richtlinien und Aufsicht.
2. Identifizieren: Konzentriert sich auf das Verständnis aktueller Cybersicherheitsrisiken innerhalb des Unternehmens. Identifiziert Vermögenswerte, Lieferanten und damit verbundene Cybersicherheitsrisiken, um die Maßnahmen zu priorisieren. Beinhaltet die Identifizierung von Verbesserungsmöglichkeiten für Richtlinien, Pläne, Prozesse, Verfahren und Praktiken zur Unterstützung des Cybersicherheitsrisikomanagements.
3. Schützen: Nutzt Sicherheitsvorkehrungen, um Cybersicherheitsrisiken effektiv zu managen. Sichert Vermögenswerte, um negative Cybersicherheitsvorfälle zu verhindern oder zu mildern. Umfasst Identitätsmanagement, Zugriffskontrolle, Sensibilisierungsschulungen, Datensicherheit und Plattformsicherheit.
4. Erkennen: Ziel ist es, potenzielle Cybersicherheitsangriffe und -kompromittierungen umgehend zu erkennen und zu analysieren. Unterstützt die rechtzeitige Erkennung und Analyse von Anomalien und Kompromittierungsindikatoren. Ermöglicht erfolgreiche Maßnahmen zur Reaktion auf Vorfälle und zur Wiederherstellung.
5. Antworten: Umfasst Maßnahmen als Reaktion auf erkannte Cybersicherheitsvorfälle. Beinhaltet Vorfallmanagement, Analyse, Schadensbegrenzung, Berichterstattung und Kommunikation.
6. Genesen: Konzentriert sich auf die Wiederherstellung von Anlagen und Betriebsabläufen, die von Cybersicherheitsvorfällen betroffen sind. Unterstützt die zeitnahe Wiederherstellung des Normalbetriebs, um die Auswirkungen von Vorfällen zu minimieren. Erleichtert die angemessene Kommunikation während der Wiederherstellungsbemühungen.

Warum NIST wichtig ist

NISTDas National Institute of Standards and Technology (NIST) spielt eine zentrale Rolle bei der Entwicklung von Technologie- und Cybersicherheitsprotokollen in verschiedenen Sektoren. Mit seinem Cybersecurity Framework (CSF) bietet das NIST umfassende Richtlinien für Unternehmen zum Schutz vor Cyberbedrohungen. Die weithin anerkannten und kontinuierlich aktualisierten Standards und Richtlinien des NIST passen sich an neue Risiken und technologische Fortschritte an.

Die Einhaltung der NIST-Protokolle ist für Unternehmen in regulierten Bereichen wie dem Finanz- und Gesundheitswesen oft verpflichtend. Unternehmen können ihre Abwehr gegen Cyberbedrohungen stärken, das Risiko von Datenschutzverletzungen verringern und die Einhaltung relevanter Vorschriften sicherstellen – und zwar durch die Einhaltung der NIST-Empfehlungen. Der Einfluss des NIST auf die Technologie- und Cybersicherheitsbranche ist unbestreitbar, und sein konsequentes Engagement für Sicherheit und Innovation ist unerlässlich, um Unternehmen und Verbraucher zu schützen.

Erreichen Sie NIST-Konformität mit BigID

Für Organisationen, die mit NIST CSF 2.0 auf dem neuesten Stand bleiben möchten – BigID bietet die passende Lösung. Unser datenzentrierter Sicherheitsansatz kombiniert Deep Data Discovery, Datenklassifizierung der nächsten Generationund Risikomanagement. Wissen Sie, wo sich Ihre Daten befinden, wie sensibel sie sind und wer darauf zugreift, um die Richtlinien des NIST-Cybersicherheitsrahmens einzuhalten.

Mit BigID können Sie:

• Karte zum NIST: Erfahren Sie, wie Sie sich an den NIST-Frameworks für Cybersicherheit (CSF) ausrichten – und wie Sie Ihr Datenrisikomanagement, Ihre Datenschutzlage und Ihr Sicherheitsprogramm in einem einzigen einheitlichen Framework verbessern können.
• Kennen Sie Ihre Daten: Die Fähigkeit, Ihre Daten zu identifizieren, ist der erste entscheidende Schritt sowohl im NIST Cybersecurity Framework als auch im NIST Privacy Framework. Um Risiken zu minimieren, müssen Unternehmen alle ihre Daten überall identifizieren. Die Datenerkennung und -klassifizierung von BigID unterstützt Unternehmen dabei, ihre sensiblen, personenbezogenen und regulierten Daten in der gesamten Datenlandschaft automatisch zu identifizieren.
• Datenklassifizierung: NIST empfiehlt die Verwendung von drei Kategorien – geringe Auswirkung, mittlere Auswirkung und hohe Auswirkung – zur Klassifizierung aller Daten überall, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten. Klassifizieren Sie nach Kategorie, Typ, Sensibilität, Richtlinie und mehr mit den erweiterten Datenklassifizierungsfunktionen von BigID.
• Risiko reduzieren: Verwalten Sie den Zugriff auf sensible und kritische Geschäftsdaten – Unternehmen müssen eine Zugriffskontrolle implementieren, um zu identifizieren, wer Zugriff auf sensible Daten hat (und wer Zugriff haben sollte). BigIDs Access Intelligence App unterstützt Unternehmen bei der Identifizierung und Behebung von Datenzugriffsproblemen mit hohem Risiko mithilfe von ML-basierten Erkenntnissen, um Dateizugriffsrisiken zu identifizieren und zu priorisieren.
• Reaktion auf Vorfälle: Bei Vorfällen zählt jede Sekunde. Die identitätsbasierte Datenleckanalyse von BigID bewertet effektiv Umfang und Ausmaß eines Datenlecks. Ermitteln Sie schnell, welche Benutzer und persönlichen Daten kompromittiert wurden, und reagieren Sie gemäß NIST.

Bringen Sie Ihre Sicherheitsprogramme auf den neuesten Stand und erreichen Sie die Konformität mit NIST CSF 2.0 – Planen Sie noch heute eine 1:1-Demo mit unseren Experten.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.