תוכנת תאימות NIST

המכון הלאומי לתקנים וטכנולוגיה

הזמן הדגמה

מחייך, הודי, איש עסקים, עובד, על, מחשב נייד, ב, מודרני, משרד, לובי

המכון הלאומי לתקנים וטכנולוגיה (NIST) בארה"ב ייצרה מסגרת שתעזור לארגונים ליישר את תכנון הגנת אבטחת הסייבר שלהם ולהגן על התשתית מפני פגיעה באיום של פשיעה סייבר.

אבטחת סייבר של NIST נותן לארגונים במגזר הפרטי מסגרת של מדיניות ובקרות כדי לסייע במניעת התקפות של פושעי סייבר ולזהות ולהגיב לכאלה שכן מקבלים גישה.

בסרטון הבא, המכון הלאומי לתקנים וטכנולוגיה מסביר יותר על המטרה המקורית של מסגרת NIST, התקנים, ההנחיות והשיטות המומלצות שמאחוריה.

אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
ויויאן קרונר
מיישם מוביל של ISO 27001, 27701 ו-GDPR אפריאן העולמית
100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה
הזמן את ההדגמה שלך

מה זה NIST?

השמיים המכון הלאומי לתקנים וטכנולוגיה ידוע בראשי התיבות NIST. זוהי סוכנות ממשלתית לא רגולטורית שנוצרה כדי להניע חדשנות ולקדם תחרותיות תעשייתית במדע, הנדסה וטכנולוגיה.

התפקיד העיקרי של NIST הוא ליצור שיטות עבודה מומלצות עבור ארגונים וסוכנויות ממשלתיות. מטרת תקני אבטחה אלו היא לשפר את עמדת האבטחה של סוכנויות ממשלתיות ועסקים פרטיים העוסקים בנתונים ממשלתיים.

מסגרת אבטחת הסייבר של NIST (CSF) היא קבוצה של קווים מנחים ושיטות עבודה מומלצות שנועדו לעזור לארגונים לשפר את אסטרטגיות אבטחת הסייבר שלהם, שפיתחה NIST.

המסגרת שמה לה למטרה לתקן את נוהלי אבטחת הסייבר כך שארגונים יוכלו להשתמש בגישה אחת או אחידה להגנה מפני התקפות סייבר.

NIST, האם ציות חובה? מה הם היתרונות?

רוב הארגונים אינם נדרשים לעקוב אחר תאימות NIST, למרות שהיא מומלצת עבורם. סוכנויות פדרליות בארה"ב נדרשות לעקוב אחר תקני NIST מאז 2017 בשל היותה של NIST חלק מממשלת ארה"ב בעצמן.

למה זה מומלץ?

קבלני משנה וקבלנים העובדים עם הממשל הפדרלי חייבים לציית לתקני האבטחה של NIST. אם לקבלן יש היסטוריה של אי ציות ל-NIST, הם נמצאים בסיכון להחריג מחוזים ממשלתיים בעתיד.

מה עם כל השאר?

הנחיות NIST יכולות לעזור לשמור על הגנה על המערכות שלך מפני התקפות זדוניות וטעויות אנוש. מעקב אחר המסגרת יעזור לארגון שלך לעמוד בדרישות עבור חוק הניידות והאחריות של ביטוח בריאות (HIPPA) ו חוק ניהול אבטחת מידע הפדרלי (FISMA), שהן תקנות מחייבות.

ארגונים נשענים על תאימות ל-NIST כסטנדרט בתעשייה בשל היתרונות שהוא יכול להביא. תרבות NIST חיונית לחברות פרטיות כדי לקדם הבנה טובה יותר של טיפול בנתונים.

ISMS.online מקל על ההגדרה והניהול של ה-ISMS שלך.

פיטר ריסדון
CISO, ויטל

הזמן את ההדגמה שלך

תגיד שלום ל-ISO 27001 הצלחה

קבל 81% מהעבודה עבורך וקבל הסמכה מהר יותר עם ISMS.online

הזמן את ההדגמה שלך
img

NIST ו-ISO 27001

גם ל-NIST וגם לארגון התקינה הבינלאומי (ISO) יש גישות מובילות בתעשייה לאבטחת מידע. מסגרת אבטחת הסייבר של NIST נפוצה יותר בהשוואה ל-ISO 27001, המפרט עבור מערכת ניהול אבטחת מידע (ISMS).

מה המשותף בין ISO 27001 ל-NIST?

שניהם מציעים מסגרות עבור ניהול סיכוני אבטחת סייבר. מסגרת NIST CSF תהיה קלה לשילוב בארגון שרוצה לעמוד בתקני ISO 27001.

אמצעי הבקרה דומים מאוד, ההגדרות והקודים דומים מאוד בין המסגרות. לשתי המסגרות יש אוצר מילים פשוט המאפשר לך לתקשר בצורה ברורה על נושאי אבטחת סייבר.

מה ההבדל בין ISO 27001 ל-NIST?

בשלות סיכון, הסמכה ועלות הם חלק מההבדלים בין NIST CSF לעומת ISO 27001.

בשלות סיכון

אם אתה בשלבים הראשונים של פיתוח אבטחת סייבר - תוכנית ניהול סיכונים או בניסיון למתן כשלים קודמים, ה- NIST CSF עשוי להיות הבחירה הטובה ביותר. ISO 27001 היא בחירה טובה עבור ארגונים בוגרים המחפשים מסגרת מוכרת יותר ברחבי העולם.

תעודה

ISO 27001 מציע הסמכה באמצעות ביקורת צד שלישי שיכולה להיות יקרה אך יכולה לשפר את המוניטין של הארגון שלך כעסק שמשקיעים יכולים לסמוך עליו - NIST CSF לא מציעה סוג כזה של הסמכה.

עלות

ה- NIST CSF זמין בחינם, בעוד ש-ISO 27001 גובה תשלום עבור גישה לתיעוד שלהם - ייתכן שחברת סטארט-אפ תרצה להתחיל את תוכנית ניהול סיכוני הסייבר שלה עם NIST Cyber ​​Security Framework ולאחר מכן להשקיע השקעה גדולה יותר בתהליך ככל שהיא תגדל עם ISO 27001.

אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.

פיטר ריסדון
CISO, ויטל

הזמן את ההדגמה שלך

ISMS.online יחסוך לך זמן וכסף

קבל את הצעת המחיר שלך

NIST לעומת ISO 27001: איזה מהם מתאים לעסק שלך?

מה שמתאים לעסק שלך תלוי בבגרות, יעדים וצרכי ​​ניהול סיכונים ספציפיים. ISO 27001 הוא בחירה טובה עבור ארגונים בוגרים העומדים בפני לחץ חיצוני להסמכה.

ייתכן שהארגון שלך עדיין לא מוכן להשקיע במסע הסמכה של ISO 27001 או אולי בשלב שבו הוא יפיק תועלת ממסגרת ההערכה הברורה שמציעה מסגרת ה-NIST.

המסגרת של NIST CSF יכולה להיות נקודת התחלה חזקה למסע ההסמכה שלך ל-ISO 27001 ככל שהארגון שלך מתבגר.

לא משנה אם אתה מתחיל עם NIST CSF או גדל עם ISO/IEC 27001, מערכת ניהול אבטחת מידע פרואקטיבית ויעילה תעזור לך להגיע לעמידה בארגון.

מסגרת אבטחת סייבר של NIST - מהן חמש פונקציות הליבה?

רמת ההפשטה הגבוהה ביותר במסגרת היא חמש פונקציות ליבה. הם הבסיס של ליבת המסגרת, וכל שאר האלמנטים מאורגנים סביבם.

הבה נבחן לעומק את חמש הפונקציות של מסגרת אבטחת הסייבר של NIST.

לזהות

פונקציית הזיהוי יכולה לעזור לפתח הבנה ארגונית לניהול סיכוני אבטחת סייבר למערכות, אנשים, נכסים, נתונים ויכולות.

להבנת הימורים בהקשר עסקי, ארגון יכול להתמקד ולתעדף את המאמצים שלו, בהתאם למאמצים שלו אסטרטגיית ניהול סיכונים וצרכים עסקיים, בגלל המשאבים התומכים בפונקציות קריטיות וסיכוני אבטחת הסייבר הקשורים.

להגן

פונקציית ה-Protect מתארת ​​אמצעי הגנה מתאימים כדי להבטיח אספקת שירותי תשתית קריטית. אפשר להגביל או להכיל את ההשפעה של אירוע אבטחת סייבר פוטנציאלי בעזרת פונקציית ה-Protect.

לְגַלוֹת

פעילויות מתאימות לזיהוי התרחשות של אירוע סייבר מוגדרות על ידי הפונקציה Detect. פונקציית Detect מאפשרת גילוי בזמן של אירועי אבטחת סייבר.

להגיב

פעילויות מתאימות כלולות בפונקציית תגובה כדי לנקוט בפעולה בנוגע לאירוע אבטחת סייבר שזוהה. פונקציית התגובה מסייעת לתמוך ביכולת להכיל את ההשלכות של אירוע אבטחת סייבר פוטנציאלי.

להחלים

פונקציית השחזור מזהה פעילויות לשמירה על תוכניות חוסן ושחזור שירותים המושפעים מתקרית אבטחת סייבר. פונקציית השחזור מסייעת להתאוששות בזמן לפעילות רגילה כדי לצמצם את ההשלכות של אירוע אבטחת סייבר.

מומלץ לעקוב אחר חמש הפונקציות הללו כשיטות עבודה מומלצות מכיוון שהן חלות לא רק על פונקציות של ניהול סיכוני אבטחת סייבר אלא על ניהול סיכונים בכללותו.

הורד את החוברת שלך

שנה את ה-ISMS הקיים שלך

הורד את המדריך בחינם
לייעל את ה- Infosec שלך

קבלו את המדריך בחינם

התחלנו להשתמש בגיליונות אלקטרוניים וזה היה סיוט. עם פתרון ISMS.online, כל העבודה הקשה הייתה קלה.
פרי בולס
מנהל טכני ZIPTECH
100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה
הזמן את ההדגמה שלך

מסגרת אבטחת סייבר של NIST - מהן ארבעת השכבות?

המידה שבה ארגון שיטות ניהול סיכוני אבטחת סייבר מציגות את המאפיינים שהוגדרו במסגרת מכונה הנדבך.

שכבה 1 עד שכבה 4 מתארת ​​מידה הולכת וגוברת של קפדנות וכיצד החלטות סיכון אבטחת סייבר משולבות היטב בהחלטות סיכון רחבות יותר. המידה שבה הארגון משתף ומקבל מידע על אבטחת סייבר מגורמים חיצוניים.

שכבות לא בהכרח מייצגות רמות בגרות; הארגון צריך להחליט על הנדבך הרצוי.

עסקים צריכים להבטיח שהרמה שנבחרה עומדת ביעדים הארגוניים, מפחיתה את סיכון אבטחת הסייבר לרמות המקובלות על הארגון, וניתנת ליישום.

שכבה 1 - חלקית

  1. תהליכי ניהול סיכונים: ניהול סיכוני אבטחת סייבר מבוצע בדרך כלל אד-הוק/תגובתי בארגונים ברמה 1. לגבי מידת הסיכון שפעילויות אלו מתייחסות אליו, פעילויות אבטחת סייבר מבוצעות בדרך כלל עם עדיפות מועטה עד ללא.
  2. תוכנית ניהול סיכונים משולב: תקשורת וניהול סיכוני סייבר מאתגרים עבור ארגונים אלו בשל היעדר תהליכים הקשורים אליו. היעדר מידע עקבי הוא אחת הסיבות לכך שהארגון עובד עם ניהול סיכוני אבטחת סייבר על בסיס כל מקרה לגופו.
  3. ההשתתפות החיצונית: יש חוסר הבנה של תפקידו של שרשרת אספקה, תלותים ותלות של ארגונים אלה באקוסיסטם העסקי. מבלי לדעת היכן הוא יושב במערכת האקולוגית, ארגון שכבה 1 אינו חולק מידע ביעילות עם צדדים שלישיים. העסק אינו מודע לסיכונים בשרשרת האספקה ​​שהוא מקבל ומעביר לחברים אחרים.

שכבה 2 - מידע על סיכונים

  1. תהליכי ניהול סיכונים: בעוד ששיטות ניהול סיכונים מאושרות על ידי ההנהלה, הן אינן נקבעות בדרך כלל כמדיניות בתוך ארגוני שכבה 2. בעוד ששיטות ניהול סיכונים אינן סטנדרטיות, הן מספקות את תעדוף פעילויות אבטחת הסייבר יחד עם סביבת האיומים והדרישות העסקיות.
  2. תוכנית ניהול סיכונים משולב: יש מודעות לסיכון ברמה הארגונית, אבל זה לא נוהג מקובל עבור הארגון כולו. אין זה סטנדרטי להתייחס לאבטחת סייבר ביעדים ארגוניים בכללותם. זה לא אופייני לא הערכת סיכוני סייבר לחזור על עצמו לעתים קרובות.
  3. ההשתתפות החיצונית: 2 Tier ארגונים לא מבינים את תפקידם במערכות האקולוגיות לגבי תלות או תלות. למרות שהם מודעים לסיכון הכרוך בשרשרת האספקה ​​שלהם, ארגונים בדרך כלל אינם פועלים לפיו.

שכבה 3 - ניתן לחזור על עצמה

  1. תהליכי ניהול סיכונים: נוהלי ניהול סיכונים אושרו רשמית על ידי ארגוני שכבה 3 והם כיום מדיניות ארגונית. שינויים בדרישות העסקיות ובנוף האיומים המשתנה הם חלק מהשינויים ששיטות העבודה הללו מתעדכנות על בסיס קבוע.
  2. תוכנית ניהול סיכונים משולב: הגישה לניהול סיכוני אבטחת סייבר היא גישה כלל ארגונית. מדיניות, תהליכים ונהלים נבדקים כדי להבטיח שהם מודעים לסיכון. ישנן דרכים להגיב ביעילות לשינויים בסיכון, ולעובדים יש את הידע והמיומנויות לבצע את תפקידיהם. מנהלים מהצד העסקי ומנהלי אבטחת סייבר בכירים מתקשרים לעתים קרובות על סיכוני אבטחת סייבר.
  3. ההשתתפות החיצונית: ארגונים תורמים להבנה הרחבה יותר של סיכונים על ידי הבנת תפקידם. הם עובדים עם ישויות אחרות החופפות למידע שנוצר באופן פנימי המשותף עם ישויות אחרות. הם מודעים לסיכונים הכרוכים בשרשרת האספקה ​​שלהם ופועלים לפיהם. הסכמים שנוסחו על ידי הארגון יעבירו דרישות בסיס, מבני ממשל ויישום וניטור מדיניות.

שכבה 4 - אדפטיבית

  1. תהליכי ניהול סיכונים: הפקת לקחים וגורמים מנבאים כלולים בפרקטיקות אבטחת הסייבר הנוכחיות והקודמות שהותאמו על ידי ארגונים אלה. שיפור מתמשך כולל שילוב טכנולוגיות וטכניקות מתקדמות של אבטחת סייבר והתאמה אקטיבית לאיומים ולנופי טכנולוגיה משתנים.
  2. תוכנית ניהול סיכונים משולב: הקשר בין יעדים וסיכון אבטחת סייבר מובן בבירור על ידי ארגונים ברמה 4. מנהלים בכירים צופים בסיכון אבטחת סייבר באותו אופן כמו סיכון פיננסי וסיכונים אחרים. החלטות התקציב מבוססות על הבנת סביבת הסיכון הנוכחית והפוטנציאלית. מתוך מודעות לפעילויות קודמות ומודעות מתמשכת, הסיכון לפשעי סייבר משתלב בתרבות הארגון.
  3. ההשתתפות החיצונית: ארגוני שכבה 4 מקבלים, מייצרים ותורמים להבנת הסיכון. הארגון משתמש במידע בזמן אמת כדי להבין ולפעול על סיכוני שרשרת האספקה, תוך שילוב מידע נוסף לבעלי עניין פנימיים וחיצוניים. תהליך פורמלי משולב בתיעוד שלהם עם התלויים והתלות שלהם.

הזמן את ההדגמה שלך

תראה כמה פשוט
זה עם
ISMS.online

הזמינו פגישה מעשית מותאמת בהתאם לצרכים ולמטרות שלכם.

הזמן את ההדגמה שלך

ISMS.online יכול לספק לך פלטפורמה כדי להביא אותך בדרך להשגת הסטנדרט

כל חלק של NIST Cyber ​​Security מפורט בפלטפורמה המאובטחת, מה שמקל על המעקב.

זה מצמצם את עומס העבודה, העלויות והלחץ של חוסר הידיעה אם עשית הכל נכון.

אבטחת סייבר

מהו פרופיל NIST Cybersecurity Framework?

פרופילים הם התאמה מיוחדת של הארגון של הדרישות והיעדים, תיאבון הסיכון והמשאבים שלו מול התוצאות הרצויות של ליבת המסגרת.

פרופילים יכולים לזהות הזדמנויות לשיפור עמדת אבטחת הסייבר על ידי השוואה בין פרופיל 'נוכחי' לפרופיל 'יעד'.

פרופילים משמשים לשיפור מסגרת אבטחת הסייבר כדי לשרת את העסק בצורה הטובה ביותר. המסגרת היא וולונטרית, ולכן אין דרך נכונה או לא נכונה לעשות זאת.

כדי ליצור פרופיל מצב נוכחי, ארגון חייב למפות את דרישות אבטחת הסייבר, יעדי המשימה, מתודולוגיות ההפעלה והפרקטיקות הנוכחיות שלו. הם יצטרכו למפות מול קטגוריות המשנה של ליבת המסגרת.

ניתן להשוות את הדרישות והיעדים מול ה המצב הנוכחי של הארגון כדי לקבל הבנה של הפערים.

ניתן ליצור תוכנית יישום עם עדיפות באמצעות יצירת פרופילים אלו וניתוח הפערים. העדיפות, גודל הפער והעלות המשוערת של פעולות מתקנות עזרה בתכנון ובתקציב לשיפור אבטחת הסייבר של הארגון שלך.

מהו פרסום מיוחד של NIST 800-53?

NIST SP 800-53 ידוע כפרסום מיוחד של המכון הלאומי לתקנים וטכנולוגיה 800-53, בקרות אבטחה ופרטיות עבור מערכות מידע וארגונים פדרליים.

היא הוקמה כדי לעודד ולסייע לחדשנות ולמדע על ידי קידום ותחזוקה של מערכת סטנדרטים בתעשייה.

NIST SP 800-53 הוא קבוצה של הנחיות ותקנים המסייעים לסוכנויות וקבלנים פדרליים לעמוד בדרישות אבטחת הסייבר שלהם. פרסום מיוחד 800-53 עוסק בבקרה או אמצעי הגנה על מערכות מידע ועסקים פדרליים.

מה זה NIST 800-171?

NIST SP 800-171 היא מסגרת המתארת ​​את תקני האבטחה והנהלים הנדרשים עבור ארגונים לא פדרליים המטפלים מידע לא מסווג מבוקר (CUI) ברשתות שלהם.

פורסם לראשונה ביוני 2015, הוא כלל מערך של תקנים חדשים שהוכנסו לחיזוק חוסן אבטחת הסייבר הן במגזר הפרטי והן במגזר הציבורי. ידוע גם בשם NIST SP 800-171, הוא נכנס לתוקף מלא ב-31 בדצמבר, 2017. הגרסה האחרונה, המכונה "גרסה 2", שוחררה בפברואר 2020.

מה זה NIST 800-207?

NIST SP 800-207 הוא פרסום מקיף של המכון הלאומי לתקנים וטכנולוגיה (NIST) המספק הנחיות לגבי היבטים שונים של אבטחת סייבר. הוא מכסה מגוון רחב של נושאים, כולל פיתוח מסגרת אבטחת סייבר, יישום ארכיטקטורת אפס אמון (ZTA), דרישות אבטחה למחשוב ענן, אבטחת תעודות אבטחה לאומיות, יישום תהליך הוכחת זהות, אימות וניהול מחזור חיים עבור דיגיטלי. זהויות, ושימוש בבקרות הצפנה כדי להגן על מידע אישי מזהה (PII).

המסמך מספק שלבים מפורטים ליצירת מסגרת אבטחת סייבר המותאמת לצרכים הספציפיים של הארגון, והדרכה כיצד ליישם ולתחזק אותה. הוא מתאר את העקרונות והמרכיבים של מערכת ZTA, וכיצד להעריך את עמדת האבטחה של ארגון. זה גם מספק קבוצה של בקרות אבטחה ושיטות עבודה מומלצות להטמעת מערכת ZTA.

במונחים של מחשוב ענן, הוא מתאר את בקרות האבטחה והתהליכים שארגונים צריכים ליישם כדי להגן על המערכות והנתונים מבוססי הענן שלהם. הוא מספק הדרכה כיצד להעריך את האבטחה של שירותי ענן וכיצד לפתח אסטרטגיית אבטחה בענן.

כמו כן, הפרסום מספק הנחיות בנושא הנפקה, ניהול ושימוש בתעודות ביטחון לאומי, ותפקידים ואחריות של רשויות התעודות ובעלי התעודות. הוא מתאר את הדרישות להוכחת זהות, לרבות שימוש בשיטות, טכנולוגיות ושירותים להוכחת זהות.

יתר על כן, הוא מספק הנחיות לגבי אימות וניהול מחזור חיים עבור זהויות דיגיטליות, כולל שימוש באימות רב-גורמי, אימות מבוסס סיכונים וניהול זהויות מאוחד. זה גם מספק הנחיות לגבי השימוש בבקרות הצפנה כדי להגן על PII.

NIST, אילו יתרונות מציעה תאימות?

NIST מפרט את הפרוטוקול הבסיסי שחברות יש לפעול לפיהן כאשר הן רוצות להשיג עמידה בתקנות ספציפיות, כגון HIPAA ו FISMA.

חשוב לזכור שעמידה ב-NIST אינה הבטחה מלאה שהנתונים שלך מאובטחים. NIST אומר לחברות לעשות מלאי של נכסי הסייבר שלהן באמצעות גישה מבוססת ערך על מנת למצוא את הנתונים הרגישים ביותר ולתעדף את מאמצי ההגנה סביבם.

תקני NIST מבוססים על שיטות עבודה מומלצות ממספר מסמכי אבטחה, ארגונים, פרסומים ומעוצבים כמסגרת עבור סוכנויות ותוכניות פדרליות הדורשות אמצעי אבטחה קפדניים.

זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.

אמי קוני
מנהל תפעול, Amigo

הזמן את ההדגמה שלך

פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ייעל את זרימת העבודה שלך עם שילוב Jira החדש שלנו! למידע נוסף כאן.