Die wichtigsten Schritte im NIST-RMF-Prozess

Von Brian Johnson, President of 7 Minute Security

Unabhängig davon, ob Sie Risikobewertungen für Kunden oder für Ihre eigene Organisation durchführen, Sie wissen, wie schwierig es sein kann, die von Ihnen identifizierten Risiken zu definieren und zu priorisieren. Glücklicherweise gibt es Sicherheits-Frameworks, mit denen man eine Strategie zur Minimierung oder Eliminierung von Risiken entwickeln kann. Das NIST (Nationales Institut für Standards und Technologie) RMF (Risk Management Framework), das sich auf die Festlegung von Security-Standards konzentriert, die Bundesbehörden einhalten müssen, ist auch im privaten Sektor beliebt, da es praktische Anleitungen enthält, mit denen Organisationen ihre Mitarbeiter, Operationen und Vermögenswerte, besser schützen können. In diesem Blog beschreibe ich die wichtigsten Ideen im NIST-RMF und erkläre, wie Sie das Framework in Ihrer Organisation in die Praxis umsetzen können.

NIST RMF: Ein risikobasierter Prozess

Das NIST-RMF ist mehreren Standards zugeordnet, darunter den folgenden:

• NIST SP 800-37 – „Anwendung des Risikomanagement-Frameworks auf föderale Informationssysteme: Ein Sicherheitslebenszyklus“ Seit 2004 hilft dieser Leitfaden Organisationen dabei, die Einhaltung des FISMA (Federal Information Security Management Act) zu erreichen, ein US-Bundesgesetz, das Agenturen einen föderalen Standard vorschreibt, das Informationssicherheitsprogramm umzusetzen. Der NIST SP 800-37 übernimmt den Zertifizierungs- und Akkreditierungsprozess (eine traditionelle Methode zur Implementierung eines formalen Prozesses) und transformiert ihn in den sechsstufigen RMF-Prozess, der nachstehend ausführlicher beschrieben wird.
• NIST SP 800-53 / 800-53a. Während NIST SP 800-37 das eigentliche Sicherheitsgerüst bereitstellt, besteht NIST SP 800-53 / 800-53a aus einer Reihe von Standards, die den Bundesbehörden dabei helfen sollen, die von der FISMA festgelegten Anforderungen zu erfüllen. Die Bundesbehörden müssen diese Standards einhalten, aber auch die Privatwirtschaft kann und sollte dies erfüllen. Diese NIST-Sonderpublikation (NIST SP) enthält eine umfassende Liste von Sicherheitssteuerelementen, die bei der Implementierung des RMF verwendet werden können. Sie umfassen 18 Steuerungsfamilien und decken nahezu alle Aspekte der IT-Sicherheit ab, von der Zugriffskontrolle bis hin zur Erfassung von Systemen und Diensten.

Die wichtigsten Schritte im NIST-RMF-Prozess

1. Kategorisieren Sie Informationssysteme

Der erste Schritt von RMF besteht darin, die Arten von Informationen zu bestimmen, die in Ihrer Umgebung gespeichert und verarbeitet werden, z. B. medizinische oder finanzielle Daten, wie von Ihrer Organisation und / oder vom Gesetz festgelegt. NIST SP 800-60, „Handbuch zum Zuordnen von Informationstypen und Informationssystemen zu Sicherheitskategorien“, unterstützt Sie bei der Kategorisierung und schlägt zu verwendende Informationstypen vor.

2. Wählen Sie Sicherheitskontrollen

Als Nächstes wählen Sie Sicherheitskontrollen aus, mit denen Sie die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Informationen schützen. Dies wird eine Kombination aus administrativen, physischen und technischen Kontrollen sein. Das Bewerten der verschiedenen Steuerelemente kann eine Herausforderung sein, und mit SP 800-53 können Sie die richtigen Steuerelemente für Ihr Unternehmen auswählen.

3. Implementieren Sie Sicherheitskontrollen

Als Nächstes implementieren Sie die ausgewählten Sicherheitskontrollen und dokumentieren, wie sie in Ihrem Informationssicherheitsprogramm verwendet werden. Während sich einige Unternehmen dafür entscheiden, Kontrollen mit eigenem Personal durchzuführen, ist es nicht ungewöhnlich, Kontrollen auch auszulagern. Beispielsweise wird es immer beliebter, einen Managed Security Service Provider (MSSP) damit zu beauftragen, bestimmte Kontrollen zu überwachen, z. B. die Sicherheitsinformationen und Ereignisverwaltungsprozesse des Unternehmens (SIEM). Das Outsourcing von Sicherheitsfunktionen ist manchmal billiger und einfacher als die Einstellung von internem Fachwissen.

4. Überprüfen Sie die Sicherheitskontrollen

In diesem Schritt überprüfen Sie Ihre Sicherheitskontrollen, um festzustellen, ob sie ordnungsgemäß implementiert sind, ordnungsgemäß funktionieren und Ihre Sicherheitsanforderungen erfüllen. Dies ist ein Bereich, in dem die Einbindung externer Ressourcen sehr hilfreich ist. Wenn Sie beispielsweise von einem Drittanbieter regelmäßige Schwachstellenüberprüfungen und / oder Penetrationstests durchführen lassen, erhalten Sie ein klareres Bild über die Sicherheitslage Ihres Unternehmens.

5. Aktualisieren Sie die Steuerelemente des Informationssystems

Erstellen Sie auf der Grundlage der Ergebnisse der Kontrollbewertung einen Aktionsplan für die Verfolgung, Überprüfung und Behebung Ihrer Schwachstellen auf der Grundlage des Risikos, das für die Organisation von jeder einzelnen Person ausgeht. Dies ist ein weiterer Bereich, in dem die Zusammenarbeit mit externen Ressourcen von Vorteil sein kann. Beispielsweise kann es sinnvoll sein, eine Sicherheitsberatung eines Drittanbieters in Ihrem Informationssicherheitskomitee zu haben, die Ihnen eine fortlaufende objektive Meinung zu Ihren Kontrollen gibt und Ihnen hilft, festzustellen, ob sie die gewünschten Ergebnisse liefern.

6. Überwachen Sie die Sicherheitskontrollen

Der letzte Schritt ist die kontinuierliche Überwachung Ihrer Kontrollen, um sicherzustellen, dass sie Ihren Sicherheitsanforderungen entsprechen, wenn sich Geschäftstechnologien, Bedrohungen und Schwachstellen im Laufe der Zeit ändern. Automatisierte Tools bieten einen echten Vorteil, da sie potenzielle Sicherheitsvorfälle und unerwartete Änderungen nahezu in Echtzeit erkennen können.

Netwrix stellt hierfür eine hilfreche Checkliste zur IT-Risikobewertung zum kostenlosen Download zur Verfügung.

Tipps für den Einstieg

Während das NIST-Risikomanagement-Framework eine großartige Struktur liefert, damit Unternehmen ihre Sicherheitslage verbessern können, kann es zunächst aber auch etwas überfordernd wirken – insbesondere, wenn Ihr Unternehmen klein oder neu in der Informationssicherheit ist. Mithilfe dieser Tipps können Sie Ihr Sicherheitsprogramm besser starten:

• Lassen Sie sich zuerst von einer anderen Person bewerten. Die NIST-Anleitung ist nicht leicht zu befolgen, wenn Sie mit dem Framework noch nicht vertraut sind. Ziehen Sie in Betracht, einen Dritten mit der Durchführung der ersten Risikobewertung Ihres Unternehmens zu beauftragen und die Absicht des Frameworks zu klären, um Ihnen zu helfen, einen Strategieplan für das Management Ihrer Risiken zu erstellen.
• Denken Sie daran, dass Sicherheit Zeit braucht. Am Ende einiger von mir durchgeführter Einschätzungen waren die Leiter der Organisation übermäßig aufgeregt und verkündeten: „Wir werden nicht essen oder schlafen, bis wir jedes einzelne dieser Risiken behoben haben!“ Auch wenn dies ein hohes Ziel ist, denken Sie daran Diese Sicherheit ist keine Checkliste, und Sie können Ihre Sicherheitsprobleme auf keinen Fall an einem Tag beheben. Einige Risiken scheinen auf dem Papier einfach zu beheben zu sein, weisen jedoch komplexe Abhängigkeiten auf, sodass ihre Beseitigung Wochen oder Monate in Anspruch nehmen kann und den Kauf zusätzlicher Technologien erforderlich macht.
• Fangen Sie klein an. Sie sind möglicherweise überfordert von der Anzahl der Risiken, die Sie in Ihrer ersten Bewertung ermittelt haben, und dem großen Berg an Sanierungsarbeiten, die sich daraus ergeben. Keine Panik. Arbeiten Sie mit Ihrem Prüfer zusammen, um die Liste zu priorisieren, und stellen Sie sicher, dass Sie eine klare Erläuterung der Korrekturschritte erhalten.
• Um Hilfe bitten. In vielen der von mir bewerteten Unternehmen sind nur ein oder zwei Personen für die gesamte IT-Security verantwortlich. Stellen Sie bei der Überprüfung Ihres Korrekturplans sicher, dass Sie die Fähigkeiten Ihrer Mitarbeiter kennen, und scheuen Sie sich nicht, bei Bedarf IT- und Sicherheitsberater von Drittanbietern um Hilfe zu bitten. Oft können sie bestimmte Probleme schnell und effizient beheben, sodass sich Ihre Mitarbeiter auf ihre Kernkompetenzen konzentrieren können.

Fazit

Das NIST RMF ist eine hervorragende Möglichkeit, Ihr Unternehmen auf eine besseres Sicherheitsniveau vorzubereiten. Es bietet einen soliden, zyklischen Prozess in sechs Schritten, der Sie bei der Kategorisierung Ihrer Daten und der Auswahl, Implementierung, Bewertung und Überwachung geeigneter Sicherheitskontrollen unterstützt. Denken Sie bei der Arbeit daran, dass eine gute Sicherheit viel Zeit und Mühe kostet. Sicherheit ist wie das Leben eine Reise, kein Ziel.