NIST kibernetinio saugumo strategijos reikalavimų laikymasis
Nacionalinio standartų ir technologijų instituto (NIST) gairės padeda įmonėms sukurti stiprias informacijos saugumo praktikas, apsaugoti konfidencialius duomenis ir sumažinti kibernetinio saugumo rizikas. NIST laikymasis yra pagrindinis žingsnis apsaugant organizacijos duomenis.
:format(avif))
Pagrindinių NIST reikalavimų apžvalga
:format(avif))
Pastaba: toliau nurodytos kontrolės priemonės yra atrinkta NIST reikalavimų dalis, kurią „NordPass“ gali padėti organizacijoms įgyvendinti. Norėdami sužinoti visą kontrolės priemonių sąrašą, skaitykite patį standartą.
Prieigos kontrolės valdymas
Organizacijos turėtų vadovautis mažiausių privilegijų principu, kad sumažintų su prieiga siejamų rizikų. Tai reiškia, kad naudotojams ir sistemoms turi būti teikiami minimalūs leidimai, skirti jų užduotims atlikti.
Sesijos užraktų naudojimas
Nustačius neaktyvumą, turėtų būti įjungiamas sesijos užraktas su užsklandos rodiniu. Tokiu būdu papildomai apsaugoma, kad konfidencialių duomenų nepamatytų neįgalioti asmenys.
Išsamių audito žurnalų laikymas
Sistemos veiklos turėtų būti stebimos ir įrašomos, siekiant stebėti, analizuoti ir tirti galimą neleistiną prieigą ar elgesį. Audito žurnalai yra būtini siekiant atskaitomybės ir atitikties.
Naudotojų atskaitomybės užtikrinimas
Sistemos lygio veiksmai turėtų būti atsekami konkretaus naudotojo lygiu. Taip naudotojams tektų daugiau atsakomybės už jų veiklas ir būtų didesnė atskaitomybė bei saugumas.
Kelių veiksnių autentifikavimo (MFA) naudojimas
Paskyrų, kurioms suteikta ir nesuteikta teisių, autentifikavimas turėtų būti vykdomas pasitelkiant MFA. Prieiga prie konfidencialių duomenų ir sistemų būtų saugesnė, nes reikėtų naudoti kelis patvirtinimo būdus, tad sustiprėtų ir bendras saugumas.
Kriptografijos naudojimas slaptažodžiams apsaugoti
Slaptažodžiai turi būti laikomi ir perduodami naudojant neįveikiamą šifravimą, kad duomenys nebūtų perimti ar atskleisti. Saugios slaptažodžių tvarkymo praktikos yra būtinos, kad sistema nebūtų pažeista.
Saugos incidentų nustatymas ir pranešimas apie juos
Organizacijose turi būti formali saugumo incidentų nustatymo, dokumentavimo ir pranešimo apie juos atitinkamoms vidinėms ir išorinėms institucijoms procedūra. Tokiu būdu galima greitai reaguoti ir sumažinti potencialią grėsmę.
Apsauga nuo neleistino informacijos perdavimo
Bendros sistemos resursai turi būti tvarkomi taip, kad būtų išvengta neleistinos prieigos prie duomenų, likusių po ankstesnių naudotojų ar procesų. Tinkamos kontrolės priemonės užtikrina, kad konfidencialūs duomenys nebūtų atskleisti pakartotinai pasinaudojus sistemos laikinąja atmintimi arba saugykla ir nebūtų susilpninta bendra apsauga.
Prioriteto slaptažodžio ilgiui, o ne sudėtingumui teikimas
Teikite prioritetą ilgiui, o ne sudėtingumui, kad užtikrintumėte pakankamą saugumą. Laikantis įprastų sudėtingumo reikalavimų gali atsirasti nuspėjamų šablonų. Labai rekomenduojama naudoti slaptafrazes, t. y. nesusijusių žodžių kombinacijas.
Dažnai naudojamų ir atskleistų slaptažodžių blokavimas
Reikėtų patikrinti sąrašą, kuriame nurodomi atskleisti ar dažnai naudojami slaptažodžiai. Neleidžiant naudoti tokių prisijungimo duomenų, gerokai sumažėja neleistinos prieigos rizika.
„NordPass“ galimybės palengvinti NIST laikymąsi
„NordPass“ siūlo pažangių funkcijų rinkinį, kad būtų lengviau laikytis NIST standartų, o įmonės išliktų saugios ir atitiktų bent minimalius reikalavimus.
:format(avif))
Naudodami „NordPass“, administratoriai prisijungimo duomenims gali pritaikyti visapusiškas prieigos kontrolės priemones, apribodami prieigą prie konfidencialių paskyrų ir nustatydami ribotos trukmės leidimus. Be to, dalijimosi centre jie gali visapusiškai apžvelgti visus bendrinamus prisijungimo duomenis ir aplankus. Tai tenkina kai kuriuos NIST prieigos kontrolės reikalavimus.
„NordPass“ leidžia organizacijoms vykdyti autorizavimą pagal pareigas apribojant prieigą prie tam tikrų funkcijų. „NordPass“ galima priskirti savininko, administratoriaus arba naudotojo teises ir taip sumažinti riziką, susijusią su naudotojų paskyroms suteiktais pertekliniais leidimais.
„NordPass“ yra įdiegta autentifikavimo priemonė, padedanti be vargo naudoti kelių veiksnių autentifikavimą (MFA) asmeninėse ir bendrinamose paskyrose, taip sustiprinant bendrą darbuotojų saugumą ir padidinant produktyvumą.
„NordPass“ yra automatinio užrakinimo funkcija, kuri automatiškai užrakina saugyklą neaktyvumo laikotarpiu ir taip apsaugo nuo galimos neleistinos prieigos. Tai reiškia, kad naudotojui pasišalinus, konfidencialūs duomenys lieka saugūs. Norėdamas vėl prisijungti, naudotojas gali atrakinti saugyklą pagrindiniu slaptažodžiu arba biometriniais duomenimis.
Veiklų žurnalo funkcija saugo išsamų naudotojo veiksmų organizacijoje žurnalą, kuriame teikiama tokia informacija kaip prisijungimas prie programėlių, autentifikavimo veiklos, naudotojų pakvietimai, pareigų pakeitimai, organizacijos nustatymų atnaujinimai ir elementų tvarkymas. Šie žurnalai gali padėti nustatyti įtartiną elgesį ir supaprastinti tyrimą.
Saugojimo ir perdavimo metu „NordPass“ apsaugo visus duomenis su pramonėje pirmaujančia „XChaCha20“ šifruote. „NordPass“ užtikrina, kad slaptažodžių nebūtų galima perimti ir naudoti be leidimo, bei laikosi aukščiausių kriptografinės apsaugos standartų.
„NordPass“ yra pažeidimų ataskaitos įrankis ir atskleistų slaptažodžių funkcija, kurios padeda organizacijoms kur kas anksčiau nustatyti potencialias silpnąsias vietas. Ankstyvasis nustatymas padeda apsisaugoti nuo skausmingų duomenų pažeidimo pasekmių.
„NordPass“ slaptažodžių generatorius padeda naudotojams kurti stiprius, unikalius prisijungimo duomenis kiekvienai paskyrai. Remdamosi NIST rekomendacijomis slaptažodžiams ir laikydamosi sudėtingumo ir ilgio reikalavimų bei naudodamos slaptažodžių politikos funkciją, organizacijos gali sumažinti riziką, kad bus naudojami silpni arba numatytieji slaptažodžiai, ir bendrai sustiprinti saugumą.
„NordPass“ automatinio užpildymo funkcija įveda prisijungimo duomenis svetainėse ir programėlėse, kad nereikėtų to daryti ranka, ir sumažina riziką, kad duomenys bus atskleisti pasinaudojant klavišų paspaudimų registravimo priemonėmis ar nužiūrint duomenis. Automatinio užpildymo funkcija veikia tik teisėtose svetainėse ir apsaugo naudotojus nuo bandymų išvilioti duomenis.
„NordPass“ atskleistų slaptažodžių funkcija skirta išsaugotiems prisijungimo duomenims patikrinti žinomų nutekintų slaptažodžių duomenų bazėse. Jei randamas atitikmuo, naudotojai įspėjami ir gali atnaujinti savo slaptažodžius, kad sumažintų pagrindines saugumo rizikas. Be to, administratoriai gali stebėti slaptažodžius, kuriems kyla grėsmė, neprisijungdami prie naudotojo duomenų, ir užtikrinti NIST rekomendacijų laikymąsi.
:format(avif))
„NordPass“ yra patikimas pasirinkimas organizacijoms, kurios pirmenybę teikia saugumui ir atitikčiai. „NordPass Business“ gali pasigirti ISO/IEC 27001:2022 sertifikatu, SOC 2 II tipo auditu, nepriklausomu „Cure53“ atliktu auditu ir tikrai giliu atitikties siekimo suvokimu.
:format(avif))
Ištekliai
:format(avif))
:format(avif))
:format(avif))
Nurodytos kainos be PVM.
Kiti atitikties užtikrinimo būdai
Kas yra TIS 2 direktyva?
:format(avif))
Kas yra ISO 27001 standartas?
:format(avif))
Dažniausiai užduodami klausimai
Nors NIST yra JAV federalinė agentūra, jos sukurtos strategijos ir standartai plačiai taikomi visame pasaulyje. Pramonės, pvz., vyriausybė, sveikatos priežiūros, finansų, gamybos ir technologijų pramonės (tačiau jomis neapsiribojant), vadovaujasi šiomis rekomendacijomis, kad sustiprintų kibernetinį saugumą, geriau valdytų rizikas ir įveiktų atitikties problemas. Bet kokia organizacija, siekianti sustiprinti saugumą, valdyti rizikas ar laikytis pripažintų standartų, gali naudotis NIST resursais.
Pagrindinė NIST misija yra puoselėti naujoves ir pramonės konkurencingumą, kuriant standartus, rekomendacijas ir veiklos praktikas bei juos skatinant. Kalbant konkrečiai apie kibernetinį saugumą, NIST siekia, kad organizacijos efektyviai valdytų ir mažintų kritinėms infrastruktūroms kylančias grėsmes, apsaugotų konfidencialius duomenis ir bendrai sustiprintų saugumą. NIST darbas yra tvirtas pagrindas saugumui ir standartizacijai, kuriuo remiantis pramonėse galima pritaikyti technologijas.
Ne, daugumai organizacijų NIST kibernetinio saugumo strategija nėra privaloma. Ši strategija yra savanoriška ir skirta padėti organizuoti bei valdyti kibernetinio saugumo grėsmes. Tačiau tam tikros pramonės šakos ar organizacijos, ypač susijusios su kritine infrastruktūra, federaliniais įstatymais arba konkrečiai pramonei taikomais reikalavimais gali būti įpareigojamos įgyvendinti NIST kibernetinio saugumo strategiją ir laikytis jos principų. Todėl daugelis organizacijų savanoriškai pritaiko šią strategiją siekdamos laikytis saugumo praktikų ir demonstruoti bendrą atsakomybę dėl kibernetinio saugumo.
Šis turinys teikiamas tik informacijos tikslais ir neturi būti laikomas teisine, reguliavimo ar kibernetinio saugumo rekomendacija. Ši informacija apima bendrąsias Nacionalinio technologijų ir standartų instituto (NIST) gaires dėl saugumo kontrolės priemonių ir pabrėžia, kuo „NordPass“ gali būti naudinga organizacijoms, kurios siekia įgyvendinti tam tikras priemones. Tačiau tai nėra išsamus ar galutinis NIST reikalavimų išaiškinimas. Nors stengiamės teikti tikslią ir aktualią informaciją, neteikiame jokių aiškiai išreikštų ar numanomų garantijų ar pareiškimų dėl turinio, produktų, paslaugų ar susijusių vaizdų išsamumo, tikslumo, patikimumo ar tinkamumo jokiam tikslui. Nusprendę pasikliauti šia informacija tai darote tik savo rizika. Organizacijos turi pačios įvertinti ir pasikonsultuoti su kvalifikuotais teisės, reguliavimo ar kibernetinio saugumo specialistais, kad nuspręstų, kuris būdas joms tinkamiausias siekiant laikytis NIST rekomendacijų. „NordPass“ neužtikrina atitikties NIST standartams ar kitoms reguliavimo strategijoms ir neprisiima atsakomybės už jokius saugumo incidentus, nuostolius ar žalą, įskaitant (be apribojimų) netiesioginius ar pasekminius nuostolius ar žalą, arba finansinius nuostolius, atsiradusius dėl šio straipsnio ar pasinaudojimo šiuo straipsniu. Šiuo straipsniu nesukuriamas kliento ir specialisto santykis tarp „Nord Security Inc.“ ir skaitytojo.