Das NIST Framework for Improving Critical Infrastucture (CSF) ist ein freiwilliges System bzw. Leitfaden der Unternehmen dabei helfen soll Ihre Risiken in der Informationssicherheit zu managen. Das NIST CSF wurde von U.S. Organisationen entwickelt, um der steigenden Cyberkriminalität entgegenzuwirken. Der Standard hat dabei bereits existierende BEST PRACTICE Leitsätze mit einbezogen und diese zu einer Gesamtsystematik verbunden bzw. weiterentwickelt. Der NIST CFS Leitfaden selbst wird ständig weiterentwickelt und kann entsprechend als lebendiges Werkzeug betrachtet werden.

Zielgruppe

Das NIST System ist für den Schutz von Unternehmen durch Cyberangriffen entwickelt wurden. Der Standard ist hinreichend flexibel ausgestaltet, sodass dieser von großen wie kleinen Unternehmen als auch Regierungsorganisationen angewendet werden kann.

Sinn und Zweck

Das NIST CSF eignet sich dazu, um ein Cybersecuritysystem im Unternehmen zu etablieren, weiterzuentwickeln oder als Leitfaden um die eigenen Prozesse, bspw. im Wege der Auditierung, zu überprüfen. Aus Gründen der Standardisierung (bspw. einheitliche Sprache mit Kunden und Partnern) bietet es sich an den Standard im Unternehmen mit einzubeziehen, sodass eine Verzahnung an Schnittstellenprozessen mit Kunden und Partner reibungslos funktioniert. Durch Einbeziehung der BEST PRACTICES in den Standard wir zudem sichergestellt, dass wesentliche Aspekte der Rechtssprechung, des Vertragswesen und des Marktes auf aktuellem Stand sind.

Das Prinzip

Die Struktur des Standards sowie die Begrifflichkeit von „Informationssicherheit“ sei kurz wie folgt dargestellt:

Informationssicherheit - NIST CFS

Sicherheit nach NIST CSF bedeutet, dass alle Informationen im Unternehmen an drei Fronten zu schützen sind:

Vertraulichkeit – Die Informationen sollte nur für die notwendigen Personenkreise verfügbar sein.

Integrität – Informationen sollen vor unautorisierten Änderungen, Verlust und Zerstörung gesichert sein

Verfügbarkeit – Die Informationen sollten den bestimmten Personenkreisen auch jederzeit zur Verfügung stehen.

Hintergrund ist, dass Informationen nur dann nützlich sind wenn diese richtig sind und auch jederzeit zur Verfügung stehen. Die Vertraulichkeit allein ist – entgegen der häufigen Auffassung – nicht hinreichend.

Struktur - NIST CFS

Das NIST CFS System ist einfach und leicht verständlich in drei Schlüsselkomponenten unterteilt:

Core – Der Kern umfasst alle sicherheitsrelevanten Kennzahlen und Prozesse des Unternehmens

Profile – Die Profilkarten für die (Weiter-) Entwicklung des unternehmenseigenen Sicherheitssystems

Implementierungsgrad – Art und Umfang bzw. Stand der Implemtierungstiefe des Systems im Unternehmen

Grundsätzlich ist es aufgrund der flexiblen Struktur eine Verknüpfung mit anderen Standards, wie bspw. der ISO 27001, COBIT 5, NIST SP 800-53, ISA 62443-2-1 sowie CIS CSC, möglich. D.h. die Implementierung der NIST CFS Anforderungen im Unternehmen ermöglicht es relativ problemlos ein integriertes Managementsystem mit den vorangestellten Normen zu schaffen.

Schulungen

Sie haben Interesse an einer Schulung? Unsere Referenten bringen Sie und Ihr Team gerne auf den aktuellen Stand der Dinge. Alles Weitere finden Sie in unserem Akademie-Bereich. Gerne sehen wir Ihrer Anfrage entgegen.