Det kan brukes til å identifisere og prioritere handlinger for å redusere cybersikkerhetsrisiko, og det er et verktøy for å samkjøre politikk, forretningsmessige og teknologiske tilnærminger for å håndtere denne risikoen. Den kan brukes til å håndtere cybersikkerhetsrisiko på tvers av hele organisasjoner, eller den kan fokuseres på levering av kritiske tjenester i en organisasjon. Ulike typer enheter – inkludert sektor koordinerende strukturer, foreninger og organisasjoner – kan bruke rammeverket til forskjellige formål, inkludert opprettelse av felles profiler.

2.1 Grunnleggende rammeverk

Rammeverket er ikke en sjekkliste over handlinger som skal utføres. Den presenterer viktige resultater identifisert av områder som er grunnleggende for å håndtere risiko. Rammeverket består av fireelementer: funksjoner, kategorier, underkategorier og informative referanser, vist i figur 1

Alle rettigheter forbeholdt tor-stale.hansen@outlook.com, Copyright (c) 2022

De grunnleggende elementene fungerer sammen på følgende vis:

• Funksjoner organiserer grunnleggende aktiviteter på sitt høyeste nivå. Disse
  funksjonene er; Identifiser, Beskytt, Oppdag, Responder og Gjenopprett, og er identifisert med individuelle fargekoder. De hjelper virksomheten med å definere sin håndtering av cybersikkerhet risiko ved å organisere informasjon, muliggjøre risikostyrings beslutninger, adressere trusler og forbedre ved å lære av tidligere aktiviteter. Funksjonene stemmer også overens med eksisterende metoder for hendelseshåndtering og hjelper til med å vise effekten av investeringer i cybersikkerhet. For eksempel støtter investeringer i planlegging og øvelser rettidig respons og gjenopprettings handlinger, noe som resulterer i redusert innvirkning på tjenesteleveranser.
  
• Kategorier (scope) er inndelingene av en funksjon i grupper av sikkerhets resultater som er nært knyttet til behov og aktiviteter. Eksempler på kategorier inkluderer «Aset Management», «Identity Management and Access Control», «Deteksjonsprosesser» mf.
  
• Underkategorier (minimum kontroll) deler videre en kategori inn i spesifikke resultater av tekniske eller organisatoriske aktiviteter. De gir et sett med resultater som, selv om de ikke er uttømmende, bidrar til å støtte et minimum adekvat generelt forsvarlig sikkerhetsnivå i hver kategori. Eksempler på underkategorier inkluderer «Eksterne informasjonssystemer er katalogisert», «Data-at-rest er beskyttet» og «Varslinger fra deteksjonssystemer blir undersøkt.»
  
• Informative referanser (eksterne referanser) er spesifikke deler av standarder,
  retningslinjer og praksiser som er vanlige blant kritiske infrastruktursektorer som illustrerer eller beskriver en metode for å oppnå resultatene knyttet til hver underkategori. De informative referansene som presenteres i kjernen er illustrative og ikke uttømmende. De er basert på veiledning på tvers av sektorer som oftest refereres til i rammeverksutviklingsprosess.

De fem kjernefunksjoner i rammeverket er definert nedenfor. Disse funksjonene er ikke ment å
danne en seriell bane eller føre til en statisk ønsket slutt-tilstand. Snarere bør funksjonene utføres samtidig og kontinuerlig for å danne en operasjonell kultur som adresserer den dynamiske sikkerhetsrisikoen. Se vedlegg A for det fullstendige rammeverk innholdet.

• Identifiser – Etabler en forståelse for håndtering av sikkerhetsrisiko for systemer,
  mennesker, eiendeler, data og evner. Aktivitetene i Identifiser-funksjonen er
  grunnleggende for effektiv bruk av rammeverket. Å forstå virksomhets konteksten,
  ressursene som støtter kritiske funksjoner og de relaterte sikkerhetsrisikoene gjør det mulig for en virksomhet å fokusere og prioritere sin innsats, i samsvar med dens
  risikostyrings strategi og behov. Eksempler på utfallskategorier innenfor denne funksjonen inkluderer: Asset Management; Forretnings miljø; Styresett; Risikovurdering; og Risikostyrings strategi.
  
• Beskytt – Utvikle og implementere passende sikkerhetstiltak for å beskytte levering av kritiske tjenester. Beskyttelses funksjonen støtter muligheten til å forhindre eller begrense virkningen av en potensiell hendelse. Eksempler på utfallskategorier innenfor denne funksjonen inkluderer: Identitets administrasjon og tilgangskontroll; Bevissthet og opplæring; Datasikkerhet; Beskyttelse av informasjon og -prosedyrer; Vedlikehold; og Beskyttelses teknologi.
  
• Oppdag – Utvikle og implementere passende aktiviteter for å identifisere forekomsten av en sikkerhets hendelse. Oppdag-funksjonen muliggjør rettidig oppdagelse av hendelser som fører et eller har potensiale til å føre til en uønsket hendelse. Eksempler på utfallskategorier innenfor denne funksjonen inkluderer: Anomalier og uventete hendelser; Kontinuerlig overvåking; og Deteksjonsprosesser.
  
• Respondere – Utvikle og implementere passende aktiviteter for å iverksette tiltak når en hendelse er oppdaget. Respons-funksjonen støtter muligheten til å begrense virkningen av en hendelse. Eksempler på utfallskategorier innenfor denne funksjonen inkluderer: Respons planlegging; Kommunikasjon; Analyse; Skadebegrensning; og Forbedringer.
  
• Gjenopprette – Utvikle og implementere passende aktiviteter for å opprettholde planer for for å gjenopprette eventuelle evner eller tjenester som ble svekket på grunn av en hendelse. Gjenopprettingsfunksjonen støtter rettidig gjenoppretting til normal eller en minimal akseptabel drifts status. Eksempler på utfallskategorier innenfor denne funksjonen inkluderer: Gjenopprettingsplanlegging; Forbedringer; og Kommunikasjon.

2.2 Implementeringsnivå

Implementeringsnivå («Tiers») gir kontekst for hvordan en virksomhet ser på
cybersikkerhetsrisiko og prosessene som må på plass for å håndtere denne risikoen. Alt fra
delvis (nivå 1) til adaptiv (nivå 4), beskriver nivåer en økende grad av robusthet og kvalitet i risiko styrings prosessen. Tiers hjelper til med å bestemme i hvilken grad risikostyring er utledet fra forretningsbehov og integrert i en organisasjons overordnede risikostyringspraksis. Risikostyrings hensyn inkluderer mange aspekter av cyber- og informasjonssikkerhet, inkludert i hvilken grad hensynet til personvern og rettslige friheter er integrert i en organisasjons styring av cybersikkerhetsrisiko og potensielle personvernrisikoer.

Nivå-utvelgelsesprosessen vurderer en virksomhets gjeldende risikohåndteringspraksis,
trusselmiljø, juridiske og regulatoriske krav, praksis i forhold til informasjonsdeling, forretnings- og virksomhetsmål, krav til leverandørkjeden cybersikkerhet og organisatoriske begrensninger. Organisasjoner må definere ønsket forsvarlig sikkerhetsnivå, og sikre at det valgte nivået oppfyller organisasjonens målsetninger, er gjennomførbart, og reduserer cybersikkerhetsrisiko for kritiske eiendeler og ressurser til nivåer som er akseptable for organisasjonen, og personopplysningsvernet ivaretas i henhold til de lovbestemte krav som gjelder. Organisasjoner bør vurdere å utnytte ekstern veiledning innhentet fra myndigheter og eksterne.

Mens organisasjoner identifisert som nivå 1 (delvis) oppfordres til å vurdere å gå mot nivå 2 eller høyere, representerer ikke nivåer modenhetsnivåer. Nivåene er ment å støtte organisasjonens beslutningstaking om hvordan man skal håndtere cybersikkerhetsrisiko, samt hvilke dimensjoner av organisasjonen som har høyere prioritet og kan motta ekstra ressurser. Progresjon til høyere nivåer oppmuntres når en kostnad-nytte-analyse indikerer en gjennomførbar og kostnadseffektiv reduksjon av cybersikkerhetsrisiko.

Vellykket implementering av rammeverket er basert på oppnåelse av resultatene beskrevet i
organisasjonens mål-profiler og ikke på nivåbestemmelse. Likevel påvirker nivåvalg og -betegnelse naturligvis profiler. Nivå anbefalingen fra ledere på forretnings-/prosessnivå, som
godkjent av toppledernivået, vil bidra til å sette den overordnede tonen for hvordan cybersikkerhetsrisiko vil bli administrert i organisasjonen, og bør påvirke prioritering innenfor en mål-profil og vurderinger av fremgang i å håndtere hull.

Nivådefinisjonene er som følger:

Nivå 1: Delvis

• Risikostyringsprosess – Organisatorisk risikostyringspraksis for cybersikkerhet er ikke formalisert, og risiko håndteres på en ad hoc og noen ganger reaktiv måte. Prioritering av cybersikkerhetsaktiviteter er kanskje ikke direkte informert av organisatoriske risiko-mål, trussel miljøet eller krav til virksomhet/oppdrag.
  
• Integrert risikostyrings program – Det er begrenset bevissthet om cybersikkerhetsrisiko på organisasjonsnivå. Organisasjonen implementerer risikostyring på en uregelmessig basis fra sak til sak på grunn av variert erfaring eller informasjon fra eksterne kilder. Organisasjonen har kanskje ikke prosesser som gjør det mulig å dele cybersikkerhets informasjon i organisasjonen.
  
• Ekstern deltakelse – Organisasjonen forstår ikke sin rolle i det større økosystemet med hensyn til verken dets avhengigheter eller avhengige. Organisasjonen samarbeider ikke med eller mottar informasjon (f.eks. trusseletterretning, beste praksis, teknologier) fra andre enheter (f.eks. kjøpere, leverandører, avhengigheter, avhengige, ISAOer, forskere, myndigheter), og deler heller ikke informasjon. Organisasjonen er generelt uvitende om leverandørrisikoen ved produktene og tjenestene den leverer og som den bruker.

Nivå 2: Risiko informert

• Risikostyringsprosess – Risikostyringspraksisen er godkjent av ledelsen, men kan ikke etableres som en organisasjonsomfattende policy. Prioritering av cybersikkerhetsaktiviteter og beskyttelsesbehov er direkte informert av organisatoriske risikomål, trusselmiljøet eller krav til virksomhet/oppdrag.
  
• Integrert risikostyringsprogram – Det er en bevissthet om cybersikkerhetsrisiko på organisasjonsnivå, men en organisasjonsomfattende tilnærming til håndtering av cybersikkerhetsrisiko er ikke etablert. Informasjon om nettsikkerhet deles i organisasjonen på uformell basis. Hensyn til cybersikkerhet i organisasjonsmål og programmer kan forekomme på noen, men ikke alle nivåer i organisasjonen. Cyber risikovurdering av organisatoriske og eksterne eiendeler forekommer, men er vanligvis ikke repeterbar eller gjentakende.
  
• Ekstern deltakelse – Generelt forstår organisasjonen sin rolle i det større økosystemet med hensyn til enten sine egne avhengigheter eller avhengige, men ikke begge deler. Organisasjonen samarbeider med og mottar noe informasjon fra andre enheter og genererer noe av sin egen informasjon, men deler kanskje ikke informasjon med andre. I tillegg er organisasjonen klar over leverandørrisikoen knyttet til produktene og tjenestene den leverer og bruker, men handler ikke konsekvent eller formelt i forhold til disse risikoene.

Nivå 3 Repeterbar

• Risikostyringsprosess – Organisasjonens risikostyringspraksis er formelt godkjent og uttrykt som policy. Organisatoriske cybersikkerhetspraksiser oppdateres jevnlig basert på anvendelsen av risikostyringsprosesser på endringer i forretnings- og virksomhetskrav og et skiftende trussel- og teknologilandskap.

• Integrert risikostyringsprogram – Det finnes en organisasjonsomfattende tilnærming for å håndtere cybersikkerhetsrisiko. Risikoinformerte retningslinjer, prosesser og prosedyrer blir definert, implementert etter hensikten og gjennomgått. Konsistente metoder er på plass for å reagere effektivt på endringer i risiko. Personalet har kunnskap og ferdigheter til å utføre sine utpekte roller og ansvar. Organisasjonen overvåker konsekvent og nøyaktig cybersikkerhetsrisiko for organisasjonsressurser. Senior cybersikkerhetsledere og de som ikke er cybersikkerhetsledere kommuniserer regelmessig om cybersikkerhetsrisiko. Ledende ledere sikrer hensyn til cybersikkerhet gjennom alle operasjonslinjer i virksomheten.

• Ekstern deltakelse – Organisasjonen forstår sin rolle og avhengigheter også i det større økosystemet og kan bidra til fellesskapets bredere forståelse av risikoer. Organisasjonen samarbeider med og mottar informasjon fra andre enheter regelmessig som utfyller internt generert informasjon, og deler informasjon med andre enheter. Organisasjonen er klar over leverandør kjederisikoen knyttet til produktene og tjenestene den leverer og som den bruker. I tillegg handler organisasjonen vanligvis formelt på disse risikoene, inkludert
  benytter organisasjonen mekanismer som skriftlige avtaler for å kommunisere
  grunnleggende krav, styringsstrukturer og policyimplementering, overvåking,
  dokumentasjon, compliance og rapportering.

Nivå 4: Adaptiv

• Risikostyringsprosess – Organisasjonen tilpasser sin cybersikkerhets praksis basert på tidligere og nåværende cybersikkerhetsaktiviteter, inkludert erfaringer og prediktive indikatorer. Gjennom en prosess med kontinuerlig forbedring som inkluderer avanserte cybersikkerhets teknologier og -praksis, tilpasser organisasjonen seg aktivt til et skiftende trussel- og teknologi landskap, og reagerer på en rettidig og effektiv måte på utviklende, sofistikerte trusler.
  
• Integrert risikostyringsprogram – Det er en organisasjonsomfattende tilnærming til å håndtere cybersikkerhetsrisiko som bruker risikoinformerte retningslinjer, prosesser og prosedyrer for å håndtere potensielle cybersikkerhetshendelser. Forholdet mellom cybersikkerhetsrisiko og organisatoriske mål er tydelig forstått og tatt i betraktning når beslutninger tas. Ledende ledere overvåker cybersikkerhetsrisiko i samme sammenheng som finansiell risiko og andre organisatoriske risikoer. Organisasjonsbudsjettet er basert på en forståelse av det nåværende og predikerte risiko miljøet og risikotoleranse. Forretningsenheter implementerer ledervisjon og analyserer risikoer på systemnivå i sammenheng med de organisatoriske risiko toleransene. Risikostyring av cybersikkerhet er en del av organisasjonskulturen og utvikler seg fra en bevissthet om tidligere aktiviteter og kontinuerlig bevissthet om aktiviteter på deres systemer og nettverk. Organisasjonen kan raskt og effektivt redegjøre for endringer i forretnings- og virksomhetsmål i hvordan risiko tilnærmes og kommuniseres.*
  
• Ekstern deltakelse - Organisasjonen forstår sin rolle, avhengigheter og avhengige i det større økosystemet og bidrar til samfunnets bredere forståelse av risikoer. Den mottar, genererer og vurderer prioritert informasjon som informerer om kontinuerlig analyse av risikoene etter hvert som trusselen og teknologi landskapet utvikler seg. Organisasjonen deler denne informasjonen internt og eksternt med andre samarbeidspartnere. Organisasjonen bruker sanntids- eller nesten sanntidsinformasjon for å forstå og konsekvent handle på leverandørkjederisiko knyttet til produktene og tjenestene den leverer og som den bruker. I tillegg kommuniserer den proaktivt ved å bruke formelle (f.eks. avtaler) og uformelle mekanismer for å utvikle og opprettholde sterke leverandørkjedeforhold.

2.3 Rammeprofiler

Profilen (rammeprofilen) er justeringen av funksjonene, kategoriene og underkategoriene med forretnings kravene, risiko toleransen og ressursene til organisasjonen. En profil gjør det mulig for organisasjoner å etablere et veikart for å redusere cybersikkerhetsrisiko som er godt på linje med organisasjons- og sektormål, vurderer juridiske og regulatoriske krav og bransjebestemmelser, og reflekterer risikostyringsprioriteringer. Gitt kompleksiteten til mange organisasjoner, kan de velge å ha flere profiler, tilpasset spesielle komponenter og gjenkjenne deres individuelle behov.

Profiler kan brukes til å beskrive gjeldende tilstand eller ønsket mål-tilstand for spesifikke cybersikkerhetsaktiviteter. Den nåværende profilen indikerer resultatene som nå oppnås. Målprofilen indikerer resultatene som trengs for å oppnå de ønskede målene for cybersikkerhetsrisikostyring. Profiler støtter forretnings- og virksomhetskrav, og hjelper til med å kommunisere risiko innenfor og mellom organisasjoner. Dette rammeverket gir ikke profilmaler, noe som gir fleksibilitet i implementeringen.

2.4 Koordinering og implementering av rammeverket

Figur 2 beskriver en vanlig flyt av informasjon og beslutninger på følgende nivåer i en
organisasjon:

• Ledelse (Styrende)
• Forretning/prosess (Gjennomførende-Kontrollerende)
• Implementering/Drift (Gjennomførende-Utøvende

Copyright (c) 2022 Alle rettigheter forbeholdt Tor-Ståle Hansen

Det utøvende ledelsesnivået kommuniserer oppdragets prioriteringer, tilgjengelige ressurser og generell risikotoleranse til forretnings-/prosessnivået. Forretnings-/prosessnivået bruker informasjonen som input til risikostyringsprosessen, og samarbeider deretter med implementerings-/driftsnivået for å kommunisere forretningsbehov og opprette en profil. Implementerings-/driftsnivået kommuniserer fremdriften på profil-implementeringen til forretnings-/prosessnivået. forretnings-/prosessnivået bruker denne informasjonen til å utføre en konsekvensutredning. Ledelse på forretnings-/prosessnivå rapporterer resultatene av den konsekvensanalysen til ledernivået for å informere organisasjonens overordnede risikostyringsprosess og til implementerings-/driftsnivået for bevissthet om virksomhetens påvirkning.