די נאַשאַנאַל אינסטיטוט פון סטאַנדאַרדס און טעכנאָלאָגיע (NIST) אין די USA האט געשאפן אַ פריימווערק צו העלפֿן אָרגאַנאַזיישאַנז ייַנרייען זייער סייבער זיכערהייט פאַרטיידיקונג פּלאַנירונג און באַשיצן די ינפראַסטראַקטשער פון זיין קאַמפּראַמייזד דורך די סאַקאָנע פון סייבער קריימז.
NIST סייבער סעקוריטי גיט פּריוואַט סעקטאָר אָרגאַנאַזיישאַנז אַ פריימווערק פון פּאַלאַסיז און קאָנטראָלס צו העלפן פאַרמייַדן אנפאלן פון סייבער קרימאַנאַלז און דעטעקט און ריספּאַנד צו אָנעס וואָס באַקומען אַקסעס.
אין די פאלגענדע ווידעא, די נאַשאַנאַל אינסטיטוט פון סטאַנדאַרדס און טעכנאָלאָגיע דערקלערט מער וועגן די אָריגינעל ציל פון די NIST פריימווערק, די סטאַנדאַרדס, גיידליינז און בעסטער פּראַקטיסיז הינטער עס.
מיר קענען נישט טראַכטן פון קיין פירמע וועמענס דינסט קענען האַלטן אַ ליכט צו ISMS.online.
די נאַציאָנאַלער אינסטיטוט פון סטאַנדאַרדס און טעכנאָלאָגיע איז באקאנט דורך זייַן אַקראַנים NIST. דאָס איז אַ ניט-רעגולאַטאָרי רעגירונג אַגענטור באשאפן צו פאָר כידעש און העכערן ינדאַסטרי קאַמפּעטיטיווניס אין וויסנשאַפֿט, ינזשעניעריע און טעכנאָלאָגיע.
NIST ערשטיק ראָלע איז צו שאַפֿן בעסטער פּראַקטיסיז פֿאַר אָרגאַנאַזיישאַנז און רעגירונג יידזשאַנסיז צו נאָכפאָלגן. דער ציל פון די זיכערהייט סטאַנדאַרדס איז צו פֿאַרבעסערן די זיכערהייט האַלטנ זיך פון רעגירונג יידזשאַנסיז און פּריוואַט געשעפטן וואָס האַנדלען מיט רעגירונג דאַטן.
די NIST Cybersecurity Framework (CSF) איז אַ סכום פון גיידליינז און בעסטער פּראַקטיסיז דיזיינד צו העלפֿן אָרגאַנאַזיישאַנז פֿאַרבעסערן זייער סייבערסעקוריטי סטראַטעגיעס, וואָס NIST דעוועלאָפּעד.
די פריימווערק יימז צו נאָרמאַלייז סייבערסעקוריטי פּראַקטיסיז אַזוי אַז אָרגאַנאַזיישאַנז קענען נוצן אַ איין אָדער מונדיר צוגאַנג פֿאַר שוץ קעגן סייבעראַטאַקס.
רובֿ אָרגאַנאַזיישאַנז זענען נישט פארלאנגט צו נאָכפאָלגן די NIST העסקעם, כאָטש עס איז רעקאַמענדיד פֿאַר זיי. פעדעראלע יידזשאַנסיז האָבן שוין פארלאנגט צו נאָכפאָלגן NIST סטאַנדאַרדס זינט 2017 ווייַל NIST איז טייל פון די יו.
סאַבקאַנטראַקטערז און קאָנטראַקטאָרס ארבעטן מיט די פעדעראלע רעגירונג מוזן נאָכפאָלגן NIST זיכערהייט סטאַנדאַרדס. אויב אַ קאָנטראַקטאָר האט אַ געשיכטע פון NIST ניט-העסקעם, זיי זענען אין ריזיקירן צו זיין יקסקלודיד פון רעגירונג קאַנטראַקץ אין דער צוקונפֿט.
NIST גיידליינז קענען העלפֿן האַלטן דיין סיסטעמען פּראָטעקטעד פון בייזע אנפאלן און מענטש טעות. נאָך די פריימווערק וועט העלפֿן דיין אָרגאַניזאַציע צו טרעפן די רעקווירעמענץ פֿאַר די געזונט פאַרזיכערונג פּאָרטאַביליטי און אַקאַונטאַביליטי אקט (HIPPA) און די Federal Information Security Management Act (FISMA), וואָס זענען מאַנדאַטאָרי רעגיאַליישאַנז.
אָרגאַנאַזיישאַנז אָנטאָן זיך אין NIST העסקעם ווי אַן ינדאַסטרי סטאַנדאַרט רעכט צו די בענעפיץ עס קענען ברענגען. NIST קולטור איז וויטאַל פֿאַר פּריוואַט קאָמפּאַניעס צו העכערן אַ בעסער פארשטאנד פון דאַטן האַנדלינג.
ISMS.online מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
ביידע NIST און די ינטערנאַטיאָנאַל ארגאניזאציע פֿאַר סטאַנדערדיזיישאַן (ISO) האָבן ינדאַסטרי-לידינג אַפּראָוטשיז צו אינפֿאָרמאַציע זיכערהייט. די NIST Cybersecurity Framework איז מער קאַמאַנלי קאַמפּערד מיט ISO 27001, די ספּעסיפיקאַטיאָן פֿאַר אַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS).
ביידע פאָרשלאָגן פראַמעוואָרקס פֿאַר אָנפירונג סייבערסעקוריטי ריזיקירן. די NIST CSF פריימווערק וועט זיין גרינג צו ויסשטימען אין אַן אָרגאַניזאַציע וואָס וויל צו נאָכקומען מיט ISO 27001 סטאַנדאַרדס.
די קאָנטראָל מיטלען זענען זייער ענלעך, די דעפֿיניציע און קאָודז זענען זייער ענלעך אין פראַמעוואָרקס. ביידע פראַמעוואָרקס האָבן אַ פּשוט וואָקאַבולאַרי וואָס אַלאַוז איר צו יבערגעבן קלאר וועגן סייבערסעקוריטי ישוז.
ריזיקירן צייַטיקייַט, סערטאַפאַקיישאַן און קאָס זענען עטלעכע פון די דיפעראַנסיז צווישן NIST CSF ווס ISO 27001.
אויב איר זענט אין די פרי סטאַגעס פון דעוועלאָפּינג אַ סייבערסעקוריטי ריזיקירן פאַרוואַלטונג פּלאַן אָדער טריינג צו פאַרמינערן פריערדיק פייליערז, די NIST CSF קען זיין דער בעסטער ברירה. יסאָ קסנומקס איז אַ גוט ברירה פֿאַר דערוואַקסן אָרגאַנאַזיישאַנז וואָס זוכן אַ מער ווערלדווייד דערקענט פריימווערק.
ISO 27001 אָפפערס סערטאַפאַקיישאַן דורך דריט-פּאַרטיי קאָנטראָלירן וואָס קען זיין טייַער אָבער קענען פאַרבעסערן די שעם פון דיין אָרגאַניזאַציע ווי אַ געשעפט וואָס ינוועסטערז קענען צוטרוי - NIST CSF אָפפערס נישט אַזאַ סערטאַפאַקיישאַן.
די NIST CSF איז פריי, בשעת די ISO 27001 טשאַרדזשיז פֿאַר אַקסעס צו זייער דאַקיומענטיישאַן - אַ סטאַרטאַפּ פירמע קען וועלן צו אָנהייבן זייער סייבערסעקוריטי ריזיקירן פאַרוואַלטונג פּראָגראַם מיט NIST Cyber Security Framework און מאַכן אַ גרעסערע ינוועסמאַנט אין דעם פּראָצעס. מיט ISO 27001.
איך אַוואַדע וואָלט רעקאָמענדירן ISMS.online, עס מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
ISMS.online וועט שפּאָרן איר צייט און געלט
באַקומען דיין ציטירןוואָס איז רעכט פֿאַר דיין געשעפט איז אָפענגיק אויף צייַטיקייַט, גאָולז און ספּעציפיש ריזיקירן פאַרוואַלטונג באדערפענישן. ISO 27001 איז אַ גוט ברירה פֿאַר דערוואַקסן אָרגאַנאַזיישאַנז וואָס האָבן פונדרויסנדיק דרוק צו באַווייַזן.
דיין אָרגאַניזאַציע קען נישט זיין גרייט צו ינוועסטירן אין אַן ISO 27001 סערטאַפאַקיישאַן רייזע נאָך אָדער אפֿשר אין אַ בינע ווו עס וואָלט נוץ פון די קלאָר אַסעסמאַנט פריימווערק געפֿינט דורך די NIST פריימווערק.
די NIST CSF פריימווערק קענען זיין אַ שטאַרק סטאַרטינג פונט צו דיין ISO 27001 סערטאַפאַקיישאַן נסיעה ווען דיין אָרגאַניזאַציע מאַטיורז.
צי איר אָנהייבן מיט NIST CSF אָדער וואַקסן מיט ISO/IEC 27001, אַ פּראָואַקטיוו און עפעקטיוו אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם וועט העלפֿן איר דערגרייכן אָרגאַנאַזיישאַנאַל העסקעם.
די העכסטן שטאַפּל פון אַבסטראַקציע אין די פריימווערק איז די פינף קאָר פאַנגקשאַנז. זיי זענען דער יסוד פון די פריימווערק האַרץ, און אַלע אנדערע עלעמענטן זענען אָרגאַניזירט אַרום זיי.
לאָמיר נעמען אַ דיפּער קוק אין די פינף פאַנגקשאַנז פון די NIST Cybersecurity Framework.
די ידענטיפיצירן פונקציע קענען העלפֿן אַנטוויקלען אַן אָרגאַנאַזיישאַנאַל פארשטאנד צו פירן סייבערסעקוריטי ריזיקירן צו סיסטעמען, מענטשן, אַסעץ, דאַטן און קייפּאַבילאַטיז.
פֿאַר בעטינג פארשטאנד אין אַ געשעפט קאָנטעקסט, אַן אָרגאַניזאַציע קענען פאָקוס און פּרייאָראַטייז זייַן השתדלות, קאָנסיסטענט מיט זייַן ריזיקירן פאַרוואַלטונג סטראַטעגיע & געשעפט באדערפענישן, ווייַל פון די רעסורסן וואָס שטיצן קריטיש פאַנגקשאַנז און די פֿאַרבונדענע סייבערסעקוריטי ריסקס.
די פּראָטעקט פונקציע אַוטליינז פּאַסיק סייפגאַרדז צו ענשור די עקספּרעס פון קריטיש ינפראַסטראַקטשער באַדינונגס. עס איז מעגלעך צו באַגרענעצן אָדער אַנטהאַלטן די פּראַל פון אַ פּאָטענציעל סייבערסעקוריטי געשעעניש מיט די הילף פון די פּראָטעקט פונקציע.
פּאַסיק אַקטיוויטעטן צו ידענטיפיצירן די פּאַסירונג פון אַ סייבער געשעעניש זענען דיפיינד דורך די דעטעקט פונקציע. די דעטעקט פונקציע אַלאַוז די בייַצייַטיק ופדעקונג פון סייבערסעקוריטי געשעענישן.
צונעמען אַקטיוויטעטן זענען אַרייַנגערעכנט אין די ריספּאַנד פונקציע צו נעמען קאַמף וועגן אַ יידענאַפייד סייבערסעקוריטי אינצידענט. די רעספּאָנד פונקציע העלפּס שטיצן די פיייקייט צו אַנטהאַלטן די ריפּערקוססיאָנס פון אַ פּאָטענציעל סייבערסעקוריטי אינצידענט.
די רעקאָווער פֿונקציע יידענאַפייד אַקטיוויטעטן צו טייַנען ריזיליאַנס פּלאַנז און ומקערן באַדינונגס אַפעקטאַד דורך אַ סייבערסעקוריטי אינצידענט. די רעקאָווער פֿונקציע העלפּס בייַצייַטיק אָפּזוך צו נאָרמאַל אַפּעריישאַנז צו רעדוצירן די קאַנסאַקווענסאַז פון אַ סייבערסעקוריטי אינצידענט.
נאָך די פינף פאַנגקשאַנז איז אַדווייזד ווי בעסטער פיר, ווייַל זיי זענען ניט בלויז אָנווענדלעך צו סייבער זיכערהייט ריזיקירן פאַרוואַלטונג פאַנגקשאַנז אָבער צו ריזיקירן פאַרוואַלטונג ווי אַ גאַנץ.
אראפקאפיע דיין פריי פירער
צו סטרימליינינג דיין Infosec
מיר אנגעהויבן ניצן ספּרעדשיץ און עס איז געווען אַ נייטמער. מיט די ISMS.online לייזונג, אַלע די שווער אַרבעט איז געווען גרינג.
דער גראַד אין וואָס אַן אָרגאַניזאַציע איז סייבער זיכערהייט ריזיקירן פאַרוואַלטונג פּראַקטיסיז ויסשטעלונג די קעראַקטעריסטיקס דיפיינד אין די פריימווערק איז ריפערד צו ווי די ריי.
ריי 1 צו ריי 4 באשרייבט אַ ינקריסינג גראַד פון שטרענגקייַט און ווי געזונט-ינאַגרייטיד סייבערסעקוריטי ריזיקירן דיסיזשאַנז זענען אין ברייטערער ריזיקירן דיסיזשאַנז. דער גראַד אין וואָס די אָרגאַניזאַציע שאַרעס און באקומט סייבערסעקוריטי אינפֿאָרמאַציע פון פונדרויסנדיק פּאַרטיעס.
טיערס טאָן ניט דאַווקע פאָרשטעלן צייַטיקייַט לעוועלס; די אָרגאַניזאַציע זאָל באַשליסן די געוואלט ריי.
געשעפטן זאָל ענשור אַז די אויסגעקליבן מדרגה מיץ אָרגאַנאַזיישאַנאַל גאָולז, ראַדוסאַז סייבערסעקוריטי ריזיקירן צו לעוועלס פּאַסיק פֿאַר דער אָרגאַניזאַציע, און איז פיזאַבאַל צו ינסטרומענט.
בוך אַ טיילערד האַנט-אויף סעסיע באזירט אויף דיין באדערפענישן און גאָולז.
ISMS.online קענען צושטעלן איר מיט אַ פּלאַטפאָרמע צו באַקומען איר אויף די וועג צו דערגרייכן דעם נאָרמאַל
יעדער אָפּטיילונג פון NIST Cyber Security איז דיטיילד אין די זיכער פּלאַטפאָרמע, וואָס מאכט עס גרינג צו נאָכפאָלגן.
דאָס ראַדוסאַז דיין ווערקלאָוד, קאָס און די דרוק פון נישט וויסן אויב איר האָט געטאן אַלץ רעכט.
פּראָפילעס זענען אַן אָרגאַניזאַציע ס ספּעציעל אַליינמאַנט פון זייער באדערפענישן און אַבדזשעקטיווז, ריזיקירן אַפּעטיט און רעסורסן קעגן זייער געוואלט אַוטקאַמז פון די פריימווערק האַרץ.
פּראָפילעס קענען ידענטיפיצירן אַפּערטונאַטיז פֿאַר ימפּרוווינג סייבערסעקוריטי האַלטנ זיך דורך קאַמפּערינג אַ 'קראַנט' פּראָפיל מיט אַ 'ציל' פּראָפיל.
פּראָפילעס זענען געניצט צו פֿאַרבעסערן די סייבערסעקוריטי פריימווערק צו דינען דעם געשעפט בעסטער. די פריימווערק איז וואַלאַנטערי, אַזוי עס איז נישט אַ רעכט אָדער אומרעכט וועג צו טאָן דאָס.
צו שאַפֿן אַ קראַנט שטאַט פּראָפיל, אַן אָרגאַניזאַציע מוזן מאַפּע זייער סייבערסעקוריטי רעקווירעמענץ, מיסיע אַבדזשעקטיווז, אַפּערייטינג מעטאַדאַלאַדזשיז און קראַנט פּראַקטיסיז. זיי וועט דאַרפֿן צו מאַפּע קעגן די סאַבקאַטעגאָריעס פון די פריימווערק האַרץ.
די באדערפענישן און אַבדזשעקטיווז קענען זיין קאַמפּערד מיט די די איצטיקע שטאַט פון די אָרגאַניזאַציע צו באַקומען אַ פארשטאנד פון די גאַפּס.
א פּרייאָראַטייזד ימפּלאַמענטיישאַן פּלאַן קענען זיין באשאפן דורך די שאַפונג פון די פּראָופיילז און די ריס אַנאַליסיס. די בילכערקייַט, גרייס פון ריס, און עסטימאַטעד פּרייַז פון קערעקטיוו אַקשאַנז הילף פּלאַן און בודזשעט פֿאַר ימפּרוווינג די סייבערסעקוריטי פון דיין אָרגאַניזאַציע.
NIST SP 800-53 איז באקאנט ווי די נאַשאַנאַל אינסטיטוט פון סטאַנדאַרדס און טעכנאָלאָגיע ספּעציעלע ויסגאַבע 800-53, זיכערהייט און פּריוואַטקייט קאָנטראָלס פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען און אָרגאַניזאַציע.
עס איז געגרינדעט צו מוטיקן און אַרוישעלפן כידעש און וויסנשאַפֿט דורך פּראַמאָוטינג און מיינטיינינג אַ גאַנג פון ינדאַסטרי סטאַנדאַרדס.
NIST SP 800-53 איז אַ סכום פון גיידליינז און סטאַנדאַרדס וואָס העלפֿן פעדעראלע יידזשאַנסיז און קאָנטראַקטאָרס צו טרעפן זייער סייבערסעקוריטי רעקווירעמענץ. ספּעציעלע אויסגאבע 800-53 דילז מיט זיכערהייט קאָנטראָלס אָדער באַוואָרענישן פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען און געשעפטן.
NIST SP 800-171 איז אַ פריימווערק וואָס אַוטליינז די פארלאנגט זיכערהייט סטאַנדאַרדס און פּראַקטיסיז פֿאַר ניט-פעדעראַל אָרגאַנאַזיישאַנז וואָס שעפּן קאַנטראָולד אַנקלאַססיפיעד אינפֿאָרמאַציע (CUI) אויף זייער נעטוואָרקס.
ערשטער ארויס אין יוני 2015, עס ינקלודעד אַ מענגע פון נייַע סטאַנדאַרדס ינטראָודוסט צו פארשטארקן סייבערסעקוריטי ריזיליאַנס אין ביידע פּריוואַט און ציבור סעקטאָרס. אויך באקאנט ווי NIST SP 800-171, עס איז געווען אין פול ווירקונג אויף די 31 דעצעמבער, 2017. די לעצטע ווערסיע, באקאנט ווי "רעוויזיע 2", איז באפרייט אין פעברואר 2020.
NIST SP 800-207 איז אַ פולשטענדיק ויסגאַבע פון די נאַשאַנאַל אינסטיטוט פון סטאַנדאַרדס און טעכנאָלאָגיע (NIST) וואָס גיט גיידאַנס אויף פאַרשידן אַספּעקץ פון סייבערסעקוריטי. עס קאָווערס אַ ברייט קייט פון טעמעס אַרייַנגערעכנט די אַנטוויקלונג פון אַ סייבערסעקוריטי פריימווערק, ימפּלאַמענטיישאַן פון אַ זעראָ טראַסט אַרטשיטעקטורע (ZTA), זיכערהייט רעקווירעמענץ פֿאַר וואָלקן קאַמפּיוטינג, זיכערהייט פון נאציאנאלע זיכערהייט סערטיפיקאַץ, ימפּלאַמענטיישאַן פון אַן אידענטיטעט פּרופינג פּראָצעס, אָטענטאַקיישאַן און לייפסייק פאַרוואַלטונג פֿאַר דיגיטאַל. אידענטיטעט, און די נוצן פון קריפּטאָגראַפיק קאָנטראָלס צו באַשיצן פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע (PII).
דער דאָקומענט גיט דיטיילד סטעפּס פֿאַר שאפן אַ סייבערסעקוריטי פריימווערק טיילערד צו די ספּעציפיש באדערפענישן פון אַן אָרגאַניזאַציע, און גיידאַנס ווי צו ינסטרומענט און טייַנען עס. עס אַוטליינז די פּרינסאַפּאַלז און קאַמפּאָונאַנץ פון אַ ZTA סיסטעם, און ווי צו אַססעסס די זיכערהייט האַלטנ זיך פון אַן אָרגאַניזאַציע. עס אויך גיט אַ סכום פון זיכערהייט קאָנטראָלס און בעסטער פּראַקטיסיז פֿאַר ימפּלאַמענינג אַ ZTA סיסטעם.
אין טערמינען פון וואָלקן קאַמפּיוטינג, עס אַוטליינז די זיכערהייט קאָנטראָלס און פּראַסעסאַז וואָס אָרגאַנאַזיישאַנז זאָל ינסטרומענט צו באַשיצן זייער וואָלקן-באזירט סיסטעמען און דאַטן. עס גיט גיידאַנס ווי צו אַססעסס די זיכערהייט פון וואָלקן באַדינונגס און ווי צו אַנטוויקלען אַ וואָלקן זיכערהייט סטראַטעגיע.
די ויסגאַבע אויך גיט גיידאַנס וועגן די ישואַנס, פאַרוואַלטונג און נוצן פון נאציאנאלע זיכערהייט סערטיפיקאַץ, און די ראָלעס און ריספּאַנסאַבילאַטיז פון די באַווייַזן אויטאריטעטן און די סערטיפיקאַט האָלדערס. עס אַוטליינז די רעקווירעמענץ פֿאַר אידענטיטעט פּרופינג, אַרייַנגערעכנט די נוצן פון אידענטיטעט פּרופינג מעטהאָדס, טעקנאַלאַדזשיז און באַדינונגס.
דערצו, עס גיט גיידאַנס פֿאַר אָטענטאַקיישאַן און לייפסייק פאַרוואַלטונג פֿאַר דיגיטאַל אידענטיטעט, אַרייַנגערעכנט די נוצן פון מולטי-פאַקטאָר אָטענטאַקיישאַן, ריזיקירן-באזירט אָטענטאַקיישאַן און פעדערייטיד אידענטיטעט פאַרוואַלטונג. עס אויך גיט גיידאַנס פֿאַר די נוצן פון קריפּטאָגראַפיק קאָנטראָלס צו באַשיצן PII.
NIST לייז אויס די פונדאַמענטאַל פּראָטאָקאָל פֿאַר קאָמפּאַניעס צו נאָכפאָלגן ווען זיי ווילן צו דערגרייכן העסקעם מיט ספּעציפיש רעגיאַליישאַנז, אַזאַ ווי היפּאַאַ און FISMA.
עס איז וויכטיק צו געדענקען אַז נאָכקומען מיט NIST איז נישט אַ פולשטענדיק פארזיכערונג אַז דיין דאַטן זענען זיכער. NIST דערציילט קאָמפּאַניעס צו ינוואַנטאָרי זייער סייבער אַסעץ ניצן אַ ווערט-באזירט צוגאַנג צו געפֿינען די מערסט שפּירעוודיק דאַטן און פּרייאָראַטייז שוץ השתדלות אַרום אים.
NIST סטאַנדאַרדס זענען באזירט אויף בעסטער פּראַקטיסיז פון עטלעכע זיכערהייט דאָקומענטן, אָרגאַנאַזיישאַנז, אויסגאבעס און זענען דיזיינד ווי אַ פריימווערק פֿאַר פעדעראלע יידזשאַנסיז און מגילה וואָס דאַרפן שטרענג זיכערהייט מיטלען.
עס העלפּס פאָר אונדזער נאַטור אין אַ positive וועג וואָס אַרבעט פֿאַר אונדז
& אונדזער קולטור.