Samfunnet er avhengig av pålitelig kritiske infrastruktur.
Cybertrusler utnytter den økte kompleksiteten og tilkoblingen til kritiske infrastruktur og systemer, og setter landets sikkerhet, økonomi og offentlig sikkerhet og helse i fare. I likhet med finans- og omdømme risiko påvirker cybersikkerhetsrisiko en virksomhets bunnlinje, tillit og troverdighet. Det kan øke kostnadene og påvirke inntektene, og det kan skade dens evne til innovasjon og å skaffe og opprettholde kunder. Cybersikkerhet er en viktig og forsterkende komponent i virksomhetens samlede risikostyring.
For å styrke motstandskraften til slik infrastruktur, oppdaterte Cybersecurity Enhancement Act (CEA)2 rollen til National Institute of Standards and Technology (NIST) til å tilrettelegge og støtte utviklingen av rammeverk for cybersikkerhet. Gjennom CEA må NIST identifisere en prioritert, fleksibel, repeterbar, ytelsesbasert og kostnadseffektiv tilnærming, inklusive tiltak og kontroller som kan benyttes av eiere og operatører av kritisk infrastruktur for å hjelpe dem med å identifisere, vurdere og håndtere cyber, informasjons- og risiko forbundet med behandling av personopplysninger. Dette formaliserte NISTs tidligere arbeid med å utvikle Framework Versjon 1.0 under Executive Order 13636 "Improving Critical Infrastructure Cybersecurity", utgitt i februar 20133 , og ga veiledning for den fremtidige utviklingen av rammeverket.
Kritisk infrastruktur4 er i U.S. Patriot Act av 20015 definert som "systemer og eiendeler, enten fysiske eller virtuelle, som er viktige for USA, og at manglende evne eller ødeleggelse av slike systemer og eiendeler vil ha en ødeleggende innvirkning på sikkerhet, nasjonal økonomisk sikkerhet, nasjonal folkehelse, eller generell sikkerhet, eller en kombinasjon av disse. På grunn av det økende presset fra eksterne og interne trusler, må organisasjoner som er ansvarlige for kritisk infrastruktur ha en konsistent og iterativ tilnærming til å identifisere, vurdere og administrere cybersikkerhetsrisiko. Denne tilnærmingen er nødvendig uavhengig av en organisasjons størrelse, trussel eksponering eller sofistikerte cyber trusler.
Fellesskapet for kritisk infrastruktur inkluderer offentlige og private virksomheter, og andre
enheter med en rolle i å bidra med å sikre kritisk infrastruktur. Medlemmer i en sektor utfører
funksjoner som støttes av den brede kategorien teknologi, inkludert informasjonsteknologi (IKT/ ICT), industrielle kontrollsystemer (OT/ICS), cyber-fysiske systemer (CPS) og tilkoblede enheter mer generelt, inkludert tingenes internett (IoT). Denne avhengigheten av teknologi,
kommunikasjon, sammenkobling, organisasjon og operasjon har endret og utvidet de potensielle sårbarhetene og økt potensiell risikoene. For eksempel, ettersom teknologien og dataene den produserer og behandler i økende grad brukes til å levere kritiske tjenester og støtte forretnings og virksomhetsbeslutninger, må konsekvensene av en cyberhendelse vurderes hyppigere og basert på flere og bedre dekkende kontroller.
For å håndtere cybersikkerhetsrisikoer kreves en klar forståelse av organisasjonens forretnings
drivere og sikkerhetshensyn som er spesifikke for bruken av teknologi. Fordi hver organisasjonsrisikoer, prioriteringer og systemer er unike, vil verktøyene og metodene som brukes for å oppnå resultatene beskrevet av rammeverket variere.
Rammeverket anerkjenner rollen virksomheten innehar om det er behandlingsansvarlig eller databehandler, så skal begge beskytte personvernet og de sivile friheter for å skape bedre tillit, og inkludere metodikk og behandlingsprosesser for å beskytte individets personvern og friheter når kritiske infrastruktur behandler slik informasjon. Mange organisasjoner har allerede prosesser for å håndtere personvern og sivile friheter. Metodikken er utformet for å utfylle slike prosesser og gi veiledning for å forenkle personvernrisiko i samsvar med en organisasjons tilnærming til cyber risikostyring. Integrering av personvern og cybersikkerhet kan være til nytte for organisasjoner ved å øke kundenes tillit, muliggjøre mer standardisert deling av informasjon og forenkle operasjoner på tvers av juridiske regimer. Det følger også av lovgivning at behandling av personopplysninger avhenger av og er et lovpålagt behandlingsansvar at informasjonssikkerheten er ivaretatt i alle faser før, under og etter en behandling. Man skal allerede før behandlingen starter ha gjennomgått og vurdert behandlingens innvirkning på personvernet og individets friheter og rettigheter som følger av lovgivningen. Videre skal selve behandlingens lovlighet følge lovenes definisjoner om den behandlingsansvarliges plikter og ansvar.
Rammeverket forblir effektivt og støtter teknisk innovasjon fordi det er teknologinøytralt, samtidig som det refererer til en rekke eksisterende standarder, retningslinjer og praksiser som utvikler seg med teknologi. Ved å stole på de globale standardene, retningslinjene og praksisene som er utviklet, administrert og oppdatert av industrien, vil verktøyene og metodene som er tilgjengelige for å oppnå rammeverk resultatene skalere på tvers av landegrensene, erkjenne den globale karakteren til cybersikkerhetsrisikoer og utvikle seg med teknologiske fremskritt og forretningsutvikling. krav. Bruken av eksisterende og nye standarder vil muliggjøre stordriftsfordeler og drive utviklingen av effektive produkter, tjenester og praksiser som oppfyller identifiserte markeds- og industribehov. Markedskonkurranse fremmer også raskere spredning av disse teknologiene og praksisene, og realisering av mange fordeler i disse sektorene.
Rammeverket bygger på disse standardene, retningslinjene og praksisene, og gir en felles taksonomi og mekanisme for organisasjoner til å:
1) Beskrive nåværende modenhetsnivå med hensyn til cybersikkerhet;
2) Beskrive ambisjonsnivå for cybersikkerhet;
3) Identifisere og prioritere muligheter for forbedring innenfor konteksten av en kontinuerlig
og repeterbar prosess;
4) Vurder cybersikkerhetsstrategien;
5) Kommunisere internt og eksternt om cybersikkerhetsrisikoer.
Rammeverket er ikke en fullstendig, helhetlig eller total tilnærming til å håndtere
cybersikkerhetsrisiko for kritisk infrastruktur. Organisasjoner vil fortsatt ha unike risikoer – ulike trusler, ulike sårbarheter, og ulike risikotoleranser. De vil også variere i hvordan de tilpasser praksis beskrevet i rammeverket. Organisasjoner kan bestemme aktiviteter som er viktige for kritisk tjenesteleveranser og kan ulikt prioritere investeringer for å maksimere effekten av innsatsen de legger inn. Til syvende og sist er rammeverket rettet mot å redusere og bedre håndtere cybersikkerhetsrisikoer, informasjonssikkerhet og personopplysningsvernet.
For å ta hensyn til organisasjoners unike sikkerhetsbehov finnes det en lang rekke måter å bruke rammeverket på. Beslutningen om hvordan den skal brukes er overlatt til hver enkelt organisasjon - der er ingen mal eller fasit. En organisasjon kan for eksempel velge å bruke implementeringsnivåene for å artikulere tenkt risikostyrings praksis. En annen organisasjon kan 8 NOR CSR - Grunnleggende rammeverk for styrking av den digitale sikkerheten i kritisk infrastruktur - versjon 1 (oktober 2022) bruke rammeverkets fem funksjoner til å analysere hele risikostyringsporteføljen; denne analysen kan være avhengig av mer detaljerte veiledninger, for eksempel kontrollkatalogen NOR SP 800-53 ‘Grunnleggende kontroller for styrking av digital sikkerhet i kritisk infrastruktur’. Noen ganger er det diskusjon om graden man er «i samsvar med», eller «hvor compliant man er» i forhold til rammeverket. Rammeverket kan også brukes som en struktur og språk for å organisere og uttrykke samsvar i forhold til en organisasjons egne krav til cybersikkerhet. Mangfoldet av måter rammeverket kan brukes på av en organisasjon betyr at setninger som «i samsvar med», eller «hvor compliant man er» kan være forvirrende og bety noe helt annet for ulike interessenter. Det er også viktig å påpeke at «100% compliant» er urealistisk og kan virke mot sin hensikt da det å være compliant overskygger kvalitet og fokus på adekvat sikkerhet.
Rammeverket utfyller, og erstatter ikke, en organisasjons risikostyringsprosess og sikkerhetsprogram eller portefølje. Organisasjonen kan bruke sine nåværende prosesser og utnytte rammeverket for å identifisere muligheter for å styrke og kommunisere sin håndtering av cybersikkerhetsrisiko samtidig som den er i tråd med bransjepraksis. Alternativt kan en organisasjon uten et eksisterende cybersikkerhetsprogram bruke rammeverket som referanse for å etablere et. Industrier og økosystem kan også benytte rammeverket for å normalisere konkurranse, men også for å etablere felles industrielle krav for cyber-, informasjonssikkerhet og personopplysningsvern i en hel industri.
Selv om rammeverket er utviklet for å forbedre risikostyringen for cybersikkerhet når det gjelder kritisk infrastruktur, kan det brukes av organisasjoner i enhver sektor av økonomien eller samfunnet. Det er ment å være nyttig for selskaper, offentlige etater og ideelle organisasjoner uavhengig av fokus eller størrelse. Den vaanlige taksonomien av standarder, retningslinjer og praksis som den gir, er heller ikke spesifikk eller skreddersydd ett spesielt land - cybersikkerhet, informasjonssikkerhet og personopplysningsvern er globalt likt. Organisasjoner utenfor USA kan også bruke rammeverket til å styrke sin egen cybersikkerhetsinnsats, og rammeverket kan bidra til å utvikle et felles språk for internasjonalt samarbeid om kritisk infrastruktur cybersikkerhet, informasjonssikkerhet og personopplysningsvern.
1.1. Oversikt over rammeverket
Rammeverket er en risikobasert tilnærming til håndtering av cybersikkerhetsrisiko, og består av tre deler: kjernen, nivå og profiler. Hver komponent forsterker forbindelsen mellom forretnings- og virksomhetsdrivere og cybersikkerhetsaktiviteter. Disse komponentene er:
• Kjernen i rammeverket er et sett med identifiserte grunnleggende aktiviteter, basert på
grunnleggende resultater og relevante referanser som er vanlige på tvers av kritiske
infrastrukturer og er industri- og sektoruavhengie. Kjerneaktivitetene i rammeverket
presenterer bransjestandarder, retningslinjer og praksis på en måte som tillater
kommunikasjon av cybersikkerhetsaktiviteter og resultater på tvers av organisasjonen fra
utøvende nivå til implementerings-, drift- og operasjonelt nivå. Kjernen i rammeverket
består av fem funksjoner – Identifisere, Beskytte, Oppdage, Respondere, og
Gjenopprette. Når de vurderes sammen, gir disse aktivitetene et overblikk over
livssyklusen og modenhetsnivået til en organisasjons styring av cybersikkerhetsrisiko.
Kjernen i rammeverket identifiserer deretter underliggende kategorier og underkategorier
som er diskrete utfallskontroller for hver funksjon, og matcher dem med eksempler på
informative referanser mot eksisterende andre standarder, retningslinjer og praksis for
utfyllende eller flere kontroller på hver underkategori.
• Implementeringsnivå (tiers) gir kontekst for hvordan en organisasjon ser på
cybersikkerhetsrisiko og prosessene for å håndtere denne risikoen. Nivåene beskriver i
hvilken grad en organisasjons risikostyringspraksis for cybersikkerhet viser egenskapene
som er definert i rammeverket (f.eks. risiko- og trusselbevisst, repeterbar og adaptiv). Nivåene karakteriserer en organisasjons praksis over et spekter, fra Delvis (Tier 1) til
Adaptive (Tier 4). Disse nivåene reflekterer en progresjon fra uformelle, reaktive
reaksjoner til tilnærminger som er smidige og informerte. Under utvelgelsesprosessen bør
virksomheten vurdere gjeldende risikohåndteringspraksis, trussel miljø, juridiske og
regulatoriske krav, forretnings-, virksomhetsmål, og organisatoriske begrensninger.
• En profil (rammeprofil) representerer resultatene basert på forretningsbehov som en
organisasjon har valgt fra rammekategoriene og underkategoriene. Profilen kan
karakteriseres som en tilpasning av standarder, retningslinjer og praksis til kjernen i et
bestemt implementerings scenario. Profiler kan brukes til å identifisere muligheter for å
forbedre modenhetsnivået ved å sammenligne en gjeldende profil «som den er» tilstand
med en mål-profil «å være»-tilstand. For å utvikle en profil kan en organisasjon
gjennomgå alle kategoriene og underkategoriene og, basert på forretnings- og
virksomhetsdrivere og en risikovurdering, bestemme hvilke som er de viktigste; den kan
legge til kategorier og underkategorier etter behov for å håndtere organisasjonens
risikoer. Den nåværende profilen kan deretter brukes til å støtte prioritering og måling av
fremgang mot målprofilen, mens den tar hensyn til andre forretningsbehov, inkludert
kostnadseffektivitet og innovasjon. Profiler kan brukes til å gjennomføre internrevisjon og
kommunisere innenfor en organisasjon eller mellom organisasjoner.
1.2 Risikostyring og rammeverket for cybersikkerhet
Risikostyring er den pågående prosessen med å identifisere, vurdere og reagere på risiko. For å håndtere risiko, bør organisasjoner forstå sannsynligheten for at en hendelse vil inntreffe og de potensielle resulterende konsekvensene. Med denne informasjonen kan organisasjoner bestemme det akseptable risikonivået for å oppnå sine virksomhetsmål og kan uttrykke dette som deres risikotoleranse.
Med en forståelse av risikotoleranse kan organisasjoner prioritere cybersikkerhetsaktiviteter, slik at organisasjoner kan ta informerte beslutninger om cybersikkerhet utgifter. Implementering av risikostyrings program gir organisasjoner muligheten til å kvantifisere og kommunisere justeringer av deres cybersikkerhets program. Organisasjoner kan velge å håndtere risiko på forskjellige måter, inkludert å redusere risikoen, overføre risikoen, unngå risikoen eller akseptere risikoen, avhengig av den potensielle innvirkningen på levering av kritiske tjenester. Rammeverket bruker risikostyrings prosesser for å gjøre organisasjoner i stand til å informere og prioritere beslutninger angående cybersikkerhet. Den støtter tilbakevendende risikovurderinger og validering av forretningsdrivere for å hjelpe organisasjoner med å velge riktig nivå for cybersikkerhetsaktiviteter som understøtter de ønskede resultater. Dermed gir rammeverket organisasjoner muligheten til dynamisk å velge og styre forbedringer i risikostyring for ICT og ICS.
Rammeverket er tilpasningsdyktig for å gi en fleksibel og risikobasert implementering som kan brukes med et bredt spekter av cybersikkerhets risikostyringsprosesser. Eksempler på risikostyringsprosesser for cybersikkerhet inkluderer International Organization for Standardization (ISO) 31000:20096 , ISO/International Electrotechnical Commission (IEC)
27005:20117 , NIST Special Publication (SP) 800-398 , og retningslinjen for ektrisitetsundersektor Cybersecurity Risk Management Process (RMP)9 .
1.3 Dokumentoversikt
Resten av dette dokumentet inneholder følgende seksjoner og vedlegg:
• Del 2 beskriver rammekomponentene: kjernen, nivåene og profiler.
• Del 3 presenterer eksempler på hvordan rammeverket kan brukes.
• Del 4 beskriver hvordan man bruker rammeverket for selvevaluering og demonstrasjon av
forsvarlig sikkerhetsnivå via internrevisjon.
• Vedlegg A presenterer kjernen i et tabellformat: funksjonene, kategoriene,
underkategorier og informative referanser.
• Vedlegg B inneholder en ordliste med utvalgte termer.
• Vedlegg C viser akronymer brukt i dette dokumentet.
• Vedlegg D Korrelasjonstabell NIST CSF og NSM Grunnprinsipper for IKT
2 Se 15 U.S.C. § 272(e)(1)(A)(i). Cybersecurity Enhancement Act of 2014 (S.1353) ble offentlig lov 113-274 18. desember 2014 2 og kan finnes på: https://www.congress.gov/bill/113th-congress/senate-bill/1353/text.
3 Bek.nr. 13636, Improving Critical Infrastructure Cybersecurity, DCPD-201300091, 12. februar 2013. https://www.gpo.gov/fdsys/pkg/CFR-2014-title3-vol1/pdf/CFR-2014-title3-vol33-e. pdf
4 Department of Homeland Security (DHS) Critical Infrastructure-programmet gir en liste over sektorene og deres tilhørende kritiske funksjoner og verdikjeder. http://www.dhs.gov/critical-infrastructure-sectors
5 Se 15 U.S.C. § 272(e)(1)(A)(i). Cybersecurity Enhancement Act of 2014 (S.1353) ble offentlig lov 113-274 18. desember 2014 og kan finnes på: https://www.congress.gov/bill/113th-congress/senate-bill/1353/text.
6 International Organization for Standardization, Risk Management – Prinsipper og retningslinjer, ISO 31000:2009, 2009. http://www.iso.org/iso/home/standards/iso31000.htm
7 International Organization for Standardization/International Electrotechnical Commission, Informasjonsteknologi - Sikkerhetsteknikker – Risikostyring for informasjonssikkerhet, ISO/IEC 27005:2011, 2011. https://www.iso.org/standard/56742.html
8 Joint Task Force Transformation Initiative, Managing Information Security Risk: Organization, Mission, and Information System View, NIST Special Publication 800-39, mars 2011. https://doi.org/10.6028/NIST.SP.800-39
9 U.S. Department of Energy, Electricity Subsector Cybersecurity Risk Management Process, DOE/OE-0003, mai 2012. https://energy.gov/sites/prod/files/Cybersecurity Risk Management Process Guideline - Endelig - mai 2012.pdf