NIST kibernetinio saugumo strategija: visas vadovas

Lukas Grigas
Kibernetinio saugumo turinio kūrėjas
what is nist cybersecurity framework

Skaitmeniniam pasauliui vis labiau susipinant su mūsų kasdieniais gyvenimais ir verslais, tapo ypač aiškus stipraus kibernetinio saugumo poreikis. Kibernetinės atakos vis dažnėja ir sudėtingėja, tad visapusiškas ir efektyvus būdas kovoti su kibernetinio saugumo rizikomis jau daugeliui verslų tampa prioritetu. Tačiau koks yra požiūris į visapusišką kibernetinio saugumo strategiją?

Šiuo tikslu Nacionalinis technologijų ir standartų institutas (NIST) paruošė savo NIST kibernetinio saugumo strategiją. Giliau pažvelkite į pačią NIST kibernetinio saugumo strategiją, jos svarbą ir tai, kokių veiksmų galite imtis, kad sumažintumėte organizacijai kylančias kibernetinio saugumo rizikas.

Kas yra NIST kibernetinio saugumo strategija?

Apie NIST kibernetinio saugumo strategiją galite galvoti kaip apie žemėlapį ir kompasą, padėsiančius susigaudyti sudėtinguose kibernetinio saugumo aspektuose. Galiausiai NIST kibernetinio saugumo strategija yra rekomendacijų ir standartų rinkinys, pateikiamas paprasta kalba ir sistemiškai, kad būtų lengviau valdyti ir sumažinti kibernetinio saugumo rizikas organizacijos lygiu.

Ši strategija yra universali, individualiai pritaikoma ir gali būti taikoma bet kokio dydžio ir bet kokios pramonės šakos organizacijoms. Strategija buvo sukurta reaguojant į Vykdomąjį įsakymą 13636 dėl ypatingos svarbos infrastruktūros objektų kibernetinio saugumo gerinimo ir yra paremta išleistais standartais, rekomendacijomis ir praktikomis.

Kodėl kibernetinio saugumo strategija yra svarbi?

NIST kibernetinio saugumo strategija yra svarbi dėl kelių priežasčių.

Pirmiausia, ji padeda bendrai suprasti, kas yra kibernetinis saugumas ir kaip jį galima valdyti. Tai svarbu organizacijoms, kurios nori įvertinti savo kibernetinį saugumą ir nustatyti tobulintinas sritis.

Antra, strategijoje teikiamas visapusiškas ir lankstus požiūris į kibernetinį saugumą, kurį galima pritaikyti unikaliems organizacijos poreikiams ir kuris leidžia organizacijai nukreipti pastangas pagal prioritetus bei sutelkti dėmesį į svarbiausias rizikas.

Galiausiai strategijoje nurodomi organizacijoms svarbūs patys pagrindiniai kibernetinio saugumo aspektai, kurie padeda laikytis reglamentų ir standartų, įskaitant susijusių su privatumu ir duomenų apsauga.

Penkios pagrindinės NIST kibernetinio saugumo strategijos funkcijos

pagrindinės kibernetinio saugumo strategijos funkcijos

NIST kibernetinio saugumo strategijos pagrindą sudaro penkios funkcijos. Kiekviena iš jų prisideda prie veiksmingo kibernetinio saugumo rizikų tvarkymo ir mažinimo būdo kūrimo. Šios pagrindinės funkcijos nurodytos toliau.

  1. Identifikavimas. Pirmoji NIST kibernetinio saugumo strategijos funkcija yra žinios, nes svarbu suprasti organizacijos išteklius, sistemas ir duomenis. Taip pat svarbu žinoti grėsmes ir silpnąsias vietas, kurios gali turėti įtakos šiems ištekliams, sistemoms ir duomenims. Tai apima rizikos vertinimų atlikimą, organizacijos kritinių išteklių ir sistemų struktūros sudarymą bei duomenų tipų, kuriuos reikia apsaugoti, nustatymą.

  2. Apsauga. Šioje funkcijoje nustatomos saugumo valdymo priemonių ir kitų organizacijos išteklių, sistemų ir duomenų apsaugos priemonių nuo įvairių kibernetinių grėsmių įgyvendinimo rekomendacijos. Antroji NIST kibernetinio saugumo strategijos funkcija skirta užkardoms ir prieigos kontrolės priemonėms taikyti bei apsaugai nuo socialinės inžinerijos ir kitokių atakų.

  3. Aptikimas. Aptikimo funkcija nustato tinkamus būdus laiku identifikuoti kibernetinėms grėsmėms ir incidentams bei į juos reaguoti. Tai apima įsibrovimo nustatymo sistemų diegimą, žurnalų ir įspėjimų stebėjimą bei išsamaus reagavimo į incidentus plano parengimą.

  4. Reagavimas. Ketvirtoji NIST kibernetinio saugumo strategijos funkcija skirta reaguoti į kibernetines grėsmes ir incidentus. Joje pateikiamos kibernetinių incidentų poveikio mažinimo rekomendacijos, siekiant užtikrinti, kad organizacija galėtų tęsti veiklą.

  5. Atsigavimas. Paskutinė NIST kibernetinio saugumo strategijos funkcija skirta atsigauti nuo kibernetinių grėsmių ir incidentų užtikrinant, kad organizacija kuo greičiau galėtų grįžti prie įprasto darbo. Tai apima atsarginio plano ir atsigavimo plano kūrimą, atsigavimo planų testavimą bei verslo tęstinumo planų kūrimą ir palaikymą.

NIST strategijos įgyvendinimo etapai

NIST kibernetinio saugumo strategijoje numatomi jos įgyvendinimo etapai, kad organizacijos galėtų susidėlioti prioritetus ir susitelkti į svarbiausias rizikas, atsižvelgdamos į savo pramonės ir konkrečius poreikius. Toliau pateikiame keturis įgyvendinimo etapus.

  1. 1 etapas: dalinis. Šiame etape organizacijos naudoja pagrindines kibernetinio saugumo priemones, tačiau dar neturi visapusiškos kibernetinio saugumo programos.

  2. 2 etapas: identifikuotos rizikos. Šiame etape organizacijos turi visapusišką kibernetinio saugumo programą ir naudoja rizikų valdymo procesus, o savo pastangas nukreipia pagal prioritetus.

  3. 3 etapas: kartotinas. Šiame etape organizacijos turi gerai veikiančią ir tvirtą kibernetinio saugumo programą, taip pat aiškius procesus ir procedūras.

  4. 4 etapas: adaptyvus. Šiame etape organizacijos turi pažangią kibernetinio saugumo programą, kuri yra pritaikoma ir gali laiku reaguoti į naujas bei atsirandančias rizikas. Paprastai organizacijos šiame etape nuolat tobulina programą ir reguliariai vertina bei pritaiko kibernetinio saugumo priemones, kad šios atitiktų kintančias grėsmes ir reikalavimus.

Šie etapai skirti nukreipti organizacijoms link tobulo pasirengimo kibernetinio saugumo iššūkiams. Juose teikiamas lankstus požiūris, kad būtų galima patenkinti konkrečius poreikius ir tikslus. Organizacijos gali pasirinkti geriausiai savo poreikiams tinkantį etapą ir pradėti darbą nuo jo. Organizacijai tai gali reikšti vidinį virsmą, moderniausių saugumo įrankių įsigijimą, stiprių saugumo protokolų kūrimą ar partnerystę su patyrusiais kibernetinio saugumo specialistais.

Toliau pateiksime dažniausiai pasitaikančius atitikties teisiniams reikalavimams standartus.

Kokios yra NIST rekomendacijos slaptažodžiams?

Vienas iš svarbiausių kibernetinio saugumo elementų įmonėms yra slaptažodžių saugumas. Dažniausiai slaptažodžiai yra pirmoji gynybinė linija nuo kibernetinių grėsmių ir, deja, jie dažnai neapsaugo nuo saugumo pažeidimų. Siekiant padėti organizacijoms sustiprinti slaptažodžių saugumą, NIST savo kibernetinio saugumo strategijoje pateikė slaptažodžių tvarkymo rekomendacijų rinkinį.

NIST rekomendacijos slaptažodžiams pirmą kartą išleistos 2017 m. ir buvo atnaujintos 2020 m. kovo mėn. SP800-63B-3 redakcijoje. NIST rekomendacijos daug kur laikomos didžiausią įtaką slaptažodžių kūrimui ir naudojimui turinčiu standartu, nes jos puikiai išnagrinėtos, patikrintos ir plačiai taikomos.

NIST rekomendacijos slaptažodžiams suskirstytos į kelis skyrius, apimančius tokias temas kaip slaptažodžių struktūra, slaptažodžių ilgis, slaptažodžių sudėtingumas, slaptažodžių saugojimas, seni slaptažodžiai ir slaptažodžių istorija. Toliau pateikiame kai kurias NIST nustatytas pagrindines rekomendacijas ir reikalavimus.

  1. Slaptažodžių struktūra. Vienas iš svarbiausių saugaus slaptažodžio kūrimo aspektų yra įsitikinti, kad jis sudarytas iš tinkamo didžiųjų raidžių, mažųjų raidžių, skaičių ir specialiųjų ženklų derinio.

  2. Slaptažodžių ilgis. NIST rekomendacijose patariama naudoti mažiausiai aštuonis ženklus. Ilgesni slaptažodžiai paprastai laikomi saugesniais. Tačiau NIST rekomendacijose perspėjama dėl ypač ilgų slaptažodžių, nes juos gali būti sunku prisiminti, todėl naudotojai bus linkę juos užsirašyti, o tokį užrašytą slaptažodį galima pavogti.

  3. Slaptažodžių saugojimas. Svarbu, kad saugomi slaptažodžiai būtų saugūs ir tokiu būdu būtų ribojama neleistinos prieigos rizika. NIST rekomendacijose patariama saugomus slaptažodžius užšifruoti ir naudoti kelių veiksnių autentifikavimo funkcijas, padėsiančias užtikrinti saugią prieigą prie slaptažodžių.

  4. Seni slaptažodžiai. NIST rekomendacijose patariama reguliariai keisti slaptažodžius, kad būtų sumažinta neleistinos prieigos rizika. Tai padeda apsisaugoti nuo įsilaužėlių, kad šie nepatektų į paskyras net ir kokiais nors kitais būdais sužinoję slaptažodį.

  5. Pakartotinis slaptažodžių naudojimas. Pakartotinis slaptažodžių naudojimas šiomis dienomis yra opi problema. Siekiant dar labiau sumažinti neleistinos prieigos riziką, NIST rekomendacijose slaptažodžiams perspėjama, kad negalima naudoti to paties slaptažodžio kelioms paskyroms.

NIST kibernetinio saugumo strategija 800 63b

NIST SP 800-63B redakcija,kurioje 2020 m. peržiūrėtos rekomendacijos slaptažodžiams, apima papildomas autentifikavimo bei skaitmeninio tapatybės nustatymo ir tvarkymo rekomendacijas. Šiame dokumente teikiamos rekomendacijos dėl tapatybės įrodymo, autentifikavimo ir tapatybių tvarkymo. Jos skirtos padėti organizacijoms saugiai ir veiksmingai tvarkyti skaitmenines tapatybes.

Siekdamos laikytis NIST 800-63B, organizacijos turėtų atlikti toliau nurodytus veiksmus.

  1. Naudoti stiprius autentifikavimo būdus, pvz., kelių veiksnių autentifikavimą, kad apsaugotų skaitmenines tapatybes.

  2. Reguliariai vertinti ir atnaujinti tapatybių tvarkymo procesus, kad užtikrintų jų efektyvumą, veiksmingumą ir atnaujinimą.

  3. Reguliariai mokyti darbuotojus apie tapatybių tvarkymo gerąsias praktikas, įskaitant slaptažodžių saugumą ir socialinės inžinerijos taktikas.

NIST 800-53: apibrėžtis ir patarimai siekiant atitikties

Dar vienas svarbus NIST kontrolės priemonių ir rekomendacijų rinkinys yra SP 800-53. Jame teikiamos išsamios saugumo rekomendacijos dėl reagavimo į incidentus, prieigos kontrolės ir privatumo.

Siekdamos laikytis NIST 800-53, organizacijos turi įgyvendinti šiame dokumente numatytas saugumo ir privatumo kontrolės priemones bei nuolat atlikti vertinimus ir auditus, kad įsitikintų tų kontrolės priemonių veiksmingumu. Toliau pateikiame patarimus, kurie padės laikytis NIST 800-53.

  1. Reguliariai vertinkite savo sistemas ir tinklus, kad nustatytumėte silpnąsias ir tobulintinas sritis.

  2. Naudokite stiprias prieigos kontrolės priemones, pvz., kelių veiksnių autentifikavimą, kad apsaugotumėte konfidencialią informaciją ir sistemas.

  3. Sukurkite reagavimo į incidentus planą ir reguliariai jį peržiūrėkite bei atnaujinkite, kad užtikrintumėte jo veiksmingumą.

  4. Reguliariai mokykite darbuotojus apie kibernetinio saugumo gerąsias praktikas, įskaitant slaptažodžių saugumą ir socialinės inžinerijos taktikas.

NIST kibernetinio saugumo strategija 2.0 jau veikia

Neseniai NIST išleido kibernetinio saugumo strategijos 2.0 koncepcijos dokumentą, kuriame teikiami galimi pakeitimai, kurie gali būti įtraukti į NIST kibernetinio saugumo strategijos (CSF) 2.0 versiją.

Naujojoje versijoje bus nurodyti galimi pakeitimai, pvz., pabrėžiamas vadovavimas kibernetiniam saugumui, tiekimo grandinės rizikų valdymas ir kibernetinio saugumo matavimas bei vertinimas. Taip pat bus pripažintas platus strategijos naudojimas ir ji bus labiau pritaikoma įvairaus dydžio ir sektorių organizacijoms. NIST laukia atsiliepimų ir komentarų apie koncepcijos dokumentą iki 2023 m. kovo 3 d.

NIST laukia atsiliepimų apie koncepcijos dokumentą ir yra suplanavusi seminarus, skirtus galimiems CSF pakeitimams per metus, ir tikimasi, kad galutinės CSF v2.0 versija bus išleista 2024 m. vasario mėn.

„NordPass Business“ ir atitiktis NIST kibernetinio saugumo strategijai

Kai teikiama tiek daug gairių ir rekomendacijų, įmonėms gali būti sunku visų jų laikytis, ypač kai tai susiję su slaptažodžių tvarkymu.

Šiuo atveju gali padėti įmonėms skirta slaptažodžių tvarkyklė, pvz., „NordPass Business“.

Su „NordPass Business“organizacijos gali saugoti visus slaptažodžius vienoje saugioje vietoje ir juos pasiekti bet kada ir iš bet kur. Be to, „NordPass Business“ padeda organizacijoms saugiai dalytis slaptažodžiais. Tai ypač svarbu įmonėms, kurių darbuotojai dirba nuotoliu ar dažnai keliauja.

Taip pat „NordPass Business“ gali padėti įmonėms įvesti visai įmonei taikomą slaptažodžių politiką ir užtikrinti, kad darbuotojai naudotų stiprius slaptažodžius ir nenaudotų tų pačių slaptažodžių keliose paskyrose. Taip sumažinama pakartotinio slaptažodžių naudojimo rizika, nes tai yra dažna duomenų saugumo pažeidimų priežastis.

Be to, „NordPass“ padeda organizacijoms laikytis NIST 800-53 ir NIST 800-63B, nes teikia saugaus kelių veiksnių autentifikavimo funkciją, reguliariai atnaujina saugumo priemones ir užtikrina, kad jos atitiktų naujausius standartus bei rekomendacijas.

Dar vienas slaptažodžių tvarkyklės naudojimo privalumas yra tas, kad ji padeda įmonėms veiksmingiau tvarkyti slaptažodžius. Naudodamos „NordPass Business“, organizacijos gali automatizuoti slaptažodžių generavimo, saugojimo ir atkūrimo procesus, tad sutaupo laiko ir sumažina žmogiškųjų klaidų riziką. Tai gali būti ypač svarbu įmonėms, kuriose dirba daug darbuotojų ir reikia tvarkyti daugybę slaptažodžių.

Be to, „NordPass Business“ organizacijoms teikia išsamias ataskaitas ir analizes, kurios padeda stebėti slaptažodžių tvarkymo procesus ir nustatyti tobulintinas sritis.

Galiausiai įmonėms skirta slaptažodžių tvarkyklė, pvz., „NordPass Business“, yra vertingas įrankis įvairių dydžių ir pramonės šakų įmonėms. Ne tik todėl, kad šitaip lengviau laikytis atitikties. Svarbiausia, kad tai yra saugus būdas saugoti ir atkurti konfidencialiai įmonės informacijai.

Prenumeruokite „NordPass“ naujienas

Gaukite naujienas ir patarimus iš „NordPass“ tiesiai į savo el.pašto dėžutę