En organisasjon kan bruke rammeverket som en sentral del av sin systematiske prosess for å
identifisere, vurdere og administrere cybersikkerhetsrisiko. Rammeverket er ikke utformet for å erstatte eksisterende prosesser; en organisasjon kan bruke sin nåværende prosess og legge den over på rammeverket for å finne hull i sin nåværende tilnærming til cyber-informasjonssikkerhet og personopplysningsvern risiko, og med bakgrunn i det, utvikle et veikart for forbedring. Ved å bruke rammeverket som et risikostyringsverktøy for cybersikkerhet, kan en organisasjon bestemme aktiviteter som er viktigst for kritisk infrastruktur, og prioritere resursene for å maksimere effekten av investeringen i dette arbeidet.

Rammeverket er utformet for å utfylle eksisterende forretnings- og cybersikkerhets operasjoner. Rammeverket kan tjene som grunnlaget for et nytt cybersikkerhetsprogram eller en mekanisme for å forbedre et eksisterende program. Rammeverket gir et middel til å uttrykke krav til cybersikkerhet til forretningspartnere og kunder, og kan bidra til å identifisere hull i en organisasjons cybersikkerhetspraksis. Den gir også et generelt sett med referanser og prosesser for å vurdere konsekvenser for personvern og sivile friheter i sammenheng med et cybersikkerhetsprogram.

Rammeverket kan brukes gjennom hele livssyklus fasene; fra planlegging, design, engineering, til drift, produksjon og helt gjennom dekommisjonering. Planfasen starter syklusen til ethvert system og legger grunnlaget for alt som følger. Cybersikkerhets aspekter må deklareres og beskrives så tydelig som mulig allerede i planleggingsfasen. Planen må erkjenne at disse aspektene og kravene vil utvikle seg i løpet av resten av livssyklusen. Designfasen må ta hensyn til cybersikkerhetskrav som en del av en større multidisiplinær systemutviklingsprosess.¹⁰ En viktig milepæl i designfasen er validering av systemets cybersikkerhetsspesifikasjoner samsvarer med behovene og risikodisponeringen til organisasjonen som beskrevet i profilene. De ønskede

cybersikkerhetsresultatene som er prioritert i en mål-profil må inkluderes når du a) utvikler
systemet i byggefasen og b) kjøper eller outsourcer systemet i kjøpsfasen. Den samme målprofilen fungerer som en liste over systemcybersikkerhetsfunksjoner som må vurderes når systemet distribueres for å bekrefte at alle funksjoner er implementert før produksjonssetting.

Cybersikkerhetsresultatene bestemmes ved å bruke rammeverket, og må da tjene som grunnlag for den pågående driften av systemet. Dette inkluderer sporadisk revurdering, innhenting av resultater i en gjeldende profil, for å verifisere at krav til cybersikkerhet og
personopplysningsvernet fortsatt er oppfylt. Vanligvis betyr et komplekst nett av avhengigheter (f.eks. kompenserende og vanlige kontroller) blant systemer, at resultatene som er dokumentert i mål-profiler for relaterte systemer må vurderes nøye når systemene tas ut av drift og dekommisjoneres.

De følgende avsnittene presenterer ulike måter organisasjoner kan bruke rammeverket på.

3.1 Grunnleggende gjennomgang av cybersikkerhetspraksis

Rammeverket kan brukes til å sammenligne en organisasjons nåværende
cybersikkerhetsaktiviteter med de som er skissert i kjernen. Gjennom opprettelsen av en
gjeldende profil kan organisasjoner undersøke i hvilken grad de oppnår resultatene beskrevet i kjerne kategoriene og underkategoriene, på linje med de fem høynivåfunksjonene: Identifiser, Beskytt, Oppdag, Responder og Gjenopprett. En organisasjon kan oppleve at den allerede oppnår ønsket resultater, og dermed administrere cybersikkerhet i forhold til den kjente risikoen.

Alternativt kan en organisasjon fastslå at den har muligheter til (eller må) forbedres. Organisasjonen kan bruke denne informasjonen til å utvikle en handlingsplan for å styrkeeksisterende cybersikkerhetspraksis og redusere cybersikkerhetsrisiko. En organisasjon kan også oppleve at den overinvesterer for å oppnå visse resultater. Organisasjonen kan bruke denne informasjonen til å omprioritere ressurser.

Selv om de ikke erstatter en , vil disse fem funksjonene på høyt nivå gi en kortfattet måte for toppledere og andre å destillere de grunnleggende konseptene for cybersikkerhetsrisiko slik at de kan vurdere hvordan identifiserte risikoer håndteres, og hvordan deres organisasjon stabler. opp på et høyt nivå mot eksisterende cybersikkerhets standarder, retningslinjer og praksis. Rammeverket kan også hjelpe en organisasjon med å svare på grunnleggende spørsmål, inkludert "Hvordan har vi det?" Deretter kan de bevege seg på en mer informert måte for å styrke sin bersikkerhetspraksis der og når det anses nødvendig.

3.2 Etablere eller forbedre cybersikkerhetsprogram

De følgende trinnene illustrerer hvordan en organisasjon kan bruke rammeverket til å lage et nytt cybersikkerhetsprogram eller forbedre et eksisterende program. Disse trinnene bør gjentas etter behov for å kontinuerlig forbedre cybersikkerheten og personopplysningsvernet.

Trinn 1: Prioriter og omfang. Organisasjonen identifiserer sine forretnings- og virksomhetsmål, og organisasjonsprioriteringer på høyt nivå. Med denne informasjonen tar organisasjonen strategiske beslutninger angående implementeringer av cybersikkerhet og personopplysningsvern, og bestemmer omfanget av systemer og eiendeler som støtter den valgte strategien. Rammeverket kan tilpasses for å støtte de ulike forretnings eller prosessene i
en organisasjon, som kan ha ulike forretningsbehov og tilhørende risikotoleranse. Risikotoleranser kan reflekteres i mål-definert implementeringsnivå.

Trinn 2: Orienter. Når omfanget av cybersikkerhetsprogrammet er bestemt for virksomheten eller prosessen, identifiserer organisasjonen relaterte systemer og eiendeler, regulatoriske krav og overordnet risikotilnærming. Organisasjonen konsulterer deretter kilder for å identifisere trusler og sårbarheter som gjelder for disse systemene og eiendelene.

Trinn 3: Opprett en nåværende profil. Organisasjonen utvikler en gjeldende nå-profil ved å indikere hvilke kategori- og underkategoriutfall fra kjernen som oppnås. Hvis et resultat delvis oppnås, vil det å legge merke til dette faktum bidra til å støtte påfølgende trinn ved å gi grunnlagsinformasjon.

Trinn 4: Gjennomfør en risikovurdering. Denne vurderingen kan styres av organisasjonens overordnede risikostyringsprosess eller tidligere risikovurderings aktiviteter. Organisasjonen analyserer det operative miljøet for å se sannsynligheten for en cybersikkerhetshendelse og hvilken innvirkning hendelsen kan ha på organisasjonen. Det er viktig at organisasjoner identifiserer nye risikoer og bruker informasjon om cybertrusler fra interne og eksterne kilder for å få en bedre forståelse av sannsynligheten og virkningen av cybersikkerhetshendelser.

Trinn 5: Opprett en mål-profil. Organisasjonen oppretter en mål-profil som fokuserer på
vurderingen av rammekategoriene og underkategoriene som beskriver organisasjonens ønskede forsvarlige sikkerhetsnivå. Organisasjoner kan også utvikle sine egne tilleggskategorier og underkategorier for å ta hensyn til unike organisatoriske risikoer. Organisasjonen kan også vurdere påvirkninger og krav fra eksterne kilder som sektor, markeds- og kunde krav, og forretningspartnere når de oppretter en mål-profil. Mål-profilen må reflektere kriterier innenfor mål-implementerings nivået.

Trinn 6: Bestem, analyser og prioriter avvik. Organisasjonen sammenligner gjeldende profil og mål-profil for å finne avvik. Deretter oppretter organisasjonen en prioritert handlingsplan for å håndtere avvik i henhold til prioriteringer fra oppdrags drivere, kostnader og fordeler og risikoer, for å oppnå resultatene i mål-profilen. Organisasjonen bestemmer deretter ressurser, inkludert finansiering og arbeidsstyrke, som er nødvendige for å løse avvikene. Å bruke profiler på denne måten oppmuntrer organisasjonen til å ta kvalifiserte beslutninger om cybersikkerhetsaktiviteter, støtter risikostyring og gjør organisasjonen i stand til å utføre kostnadseffektive, målrettede forbedringer.

Trinn 7: Implementer handlingsplan. Organisasjonen bestemmer hvilke handlinger som skal iverksettes for å løse avvikene, hvis noen, identifisert i forrige trinn, og justerer deretter gjeldende cybersikkerhetspraksis for å oppnå mål-profilen. For ytterligere veiledning identifiserer rammeverket eksempler på informative referanser angående kategoriene og underkategoriene, men organisasjoner bør bestemme hvilke standarder, retningslinjer og praksis, inkludert de som er sektorspesifikke, som fungerer best for deres behov. En organisasjon gjentar trinnene etter behov for kontinuerlig å vurdere og forbedre sin
cybersikkerhet. For eksempel kan organisasjoner oppleve at hyppigere gjentakelse av
orienterings trinnet forbedrer kvaliteten på risikovurderinger. Videre kan organisasjoner overvåke fremdriften gjennom iterative oppdateringer av den nåværende profilen, og deretter sammenligne den nåværende profilen med mål-profilen. Organisasjoner kan også bruke denne prosessen til å tilpasse cybersikkerhetsprogrammet sitt til ønsket ammeimplementeringsnivå.

3.3 Kommunisere cyberskkerhetskrav

Rammeverket gir et felles språk for å kommunisere krav mellom interessenter som er ansvarlige for levering av viktige kritiske infrastrukturprodukter og tjenester:

• En organisasjon kan bruke en mål-profil for å uttrykke cybersikkerhet og styringskrav i forhold til risiko til en ekstern tjenesteleverandør (f.eks. en skyleverandør som den eksporterer data til mv.).
  
• En organisasjon kan uttrykke sin cybersikkerhetstilstand gjennom en gjeldende profil for å rapportere resultater.
  
• En eier av kritisk infrastruktur, som har identifisert en ekstern partner som denne
  infrastrukturen er avhengig av, kan bruke en mål-profil for å formidle nødvendige
  kategorier og underkategorier.
  
• En kritisk infrastruktur sektor kan etablere en mål-profil som kan brukes blant dens bestanddeler som en referanse for å bygge sektorens mål-profiler.
  
• En organisasjon kan bedre håndtere cybersikkerhetsrisiko blant interessenter ved å vurdere deres posisjon i den kritiske infrastrukturen og det digitale økosystemet ved å bruke implementeringsnivå (tiers).

Kommunikasjon er spesielt viktig opp og ned i forsyningslinjer og leverandørkjeder.
Forsyningslinjer og leverandørkjeder er komplekse, globalt distribuerte og sammenkoblede sett med ressurser og prosesser mellom flere organisasjonsnivåer, med hierarki av krav, kontroller og kontrakter. Forsyningslinjer og leverandørkjeder begynner med innkjøp av produkter og tjenester og strekker seg fra design, utvikling, produksjon, prosessering, håndtering og levering av produkter og tjenester til sluttbrukeren. Gitt disse komplekse og sammenkoblede relasjonene, erstyring av forsyningslinje- og leverandørkjederrisiko (SCRM) en kritisk organisasjonsfunksjon.¹¹

Cyber SCRM er settet med aktiviteter som er nødvendige for å håndtere cybersikkerhetsrisiko knyttet til eksterne parter. Mer spesifikt adresserer cyber-SCRM både cybersikkerhetseffekten en organisasjon har på eksterne parter og cybersikkerhetseffekten eksterne parter har på en organisasjon.

Et hovedmål med cyber SCRM er å identifisere, vurdere og redusere "produkter og tjenester som kan inneholde potensielt skadelig funksjonalitet, er forfalsket eller er sårbare på grunn av dårlig produksjons- og utviklingspraksis i forsyningslinjer og leverandørkjeder ¹²." Cyber SCRMaktiviteter kan omfatte:

• Fastsette krav til cybersikkerhet for leverandører, roller, ansvar, og dokumentasjon og compliance,
  
• Vedta cybersikkerhetskrav gjennom formell avtale (f.eks. kontrakter),
  • Kommunisere til leverandører hvordan disse cybersikkerhetskravene vil bli verifisert og validert,
  
• Verifisere at krav til cybersikkerhet oppfylles gjennom en rekke ulike vurderinger, metoder, og
  
• Styre og administrere aktivitetene ovenfor.

Som vist i figur 3 omfatter cyber-SCRM teknologileverandører og -kjøpere, så vel som ikketeknologileverandører og -kjøpere, der teknologien minimalt består av informasjonsteknologi (IT), industrielle kontrollsystemer (ICS), cyber-fysiske systemer (CPS) , og tilkoblede enheter mer generelt, inkludert tingenes internett (IoT). Figur 3 viser en organisasjon på et enkelt tidspunkt. Gjennom den normale forretningsdriften vil imidlertid de fleste organisasjoner være både oppstrømsleverandør og nedstrømskjøper i forhold til andre organisasjoner eller sluttbrukere.

NOR CSR - Grunnleggende rammeverk for styrking av den digitale sikkerheten i kritisk infrastruktur - versjon 1 (oktober 2022). Copyright Tor-Ståle Hansen

Partene beskrevet i figur 3 utgjør en organisasjons cybersikkerhets økosystem. Disse
relasjonene fremhever den avgjørende rollen til cyber-SCRM i å håndtere cybersikkerhetsrisiko i kritisk infrastruktur og den bredere digitale økonomien. Disse relasjonene, produktene og tjenestene de leverer, og risikoene de utgjør, bør identifiseres og tas med i organisasjonenes beskyttelses- og deteksjons evner, så vel som deres respons- og gjenopprettings protokoller.

I figuren ovenfor refererer "Kjøper" til nedstrøms personer eller organisasjoner som bruker et gitt produkt eller en tjeneste fra en organisasjon, inkludert både for-profit og non-profit organisasjoner. "Leverandør" omfatter oppstrøms produkt- og tjenesteleverandører som brukes til en organisasjons interne formål (f.eks. IT-infrastruktur) eller integrert i produktene eller tjenestene som leveres til kjøperen. Disse vilkårene gjelder for både teknologibaserte og ikketeknologibaserte produkter og tjenester.

Enten man vurderer individuelle underkategorier av kjernen eller de omfattende vurderingene til en profil, tilbyr rammeverket organisasjoner og deres partnere en metode for å sikre at det nye produktet eller tjenesten møter kritiske sikkerhetsresultater. Ved først å velge utfall som er relevante for konteksten (f.eks. overføring av personlig identifiserbar informasjon (PII), virksomhetskritisk tjenestelevering, dataverifiseringstjenester, produkt- eller tjenesteintegritet) kan organisasjonen evaluere partnere mot disse kriteriene. For eksempel, hvis det kjøpes et system som vil overvåke operasjonell teknologi (OT) for unormal cyberverkskommunikasjon, kan tilgjengelighet være et spesielt viktig mål for cybersikkerhet å oppnå og bør drive en teknologileverandør evaluering mot gjeldende underkategorier (f.eks. ID.BE-4 , ID.SC-3, ID.SC-4, ID.SC-5, PR.DS-4, PR.DS-6, PR.DS-7, PR.DS-8, PR.IP-1, DE AE-5).

3.4 Anskaffelsesprosess

Siden en rammeverks mål-profil er en prioritert liste over organisasjonskrav til cybersikkerhet, kan mål-profiler brukes til å informere beslutninger om kjøp av produkter og tjenester. Det kan varierer fra kommunikasjon av cybersikkerhetskrav med interessenter (adressert i avsnitt 3.3) ved at det kanskje ikke er mulig å pålegge leverandøren et sett med cybersikkerhetskrav. Målet bør være å ta den beste anskaffelsesbeslutningen blant flere kvalifiserte leverandører, gitt en nøye fastsatt liste over krav til cybersikkerhet. Ofte betyr dette en viss grad av avveining, å sammenligne flere produkter eller tjenester med kjente avvik mot mål-profilen.

Når et produkt eller en tjeneste er kjøpt, kan profilen også brukes til å spore og adressere gjenværende cybersikkerhetsrisiko. For eksempel, hvis tjenesten eller produktet som ble kjøpt ikke oppfylte alle målene beskrevet i mål-profilen, kan organisasjonen håndtere den gjenværende risikoen gjennom andre beslutninger. Profilen gir også organisasjonen en metode for å vurdere om produktet oppfyller cybersikkerhetsresultater gjennom periodiske gjennomganger og test mekanismer.

3.5 Identifisere muligheter for nye eller reviderte informative referanser

Rammeverket kan brukes til å identifisere muligheter for nye eller reviderte standarder,
retningslinjer eller praksis der ytterligere informative referanser vil hjelpe organisasjoner med å møte nye behov. En organisasjon som implementerer en gitt underkategori, eller utvikler en ny underkategori, kan oppdage at det er få informative referanser, om noen, for en relatert aktivitet. For å møte dette behovet, kan organisasjonen samarbeide med teknologiledere og/eller standardorganer for å utarbeide, utvikle og koordinere standarder, retningslinjer eller praksis.

3.6 Metodikk for å beskytte personvern og sivile rettigheter

Denne delen beskriver en metodikk for å håndtere individuelle personvern og frihetsimplikasjoner som kan følge av cyber- og informasjonssikkerhet. Denne metodikken er ment å være et generelt sett med hensyn og prosesser siden implikasjoner for personvern og sivile friheter kan variere fra sektor til sektor, over tid, geografisk, og organisasjoner kan håndtere disse hensynene og prosessene med en rekke tekniske implementeringer. Ikke desto mindre gir ikke alle aktiviteter i et cybersikkerhetsprogram hensyn til personvern og sivile friheter. Lover, forskrifter, tekniske personvernstandarder, retningslinjer og ytterligere beste praksis må kanskje utvikles for å støtte forbedrede tekniske implementeringer.

Personvern og cyber- og informasjonssikkerhet har en direkte sammenheng. En organisasjons cybersikkerhetsaktiviteter kan også skape risiko for personvern og sivile friheter når personlig informasjon behandles, samles inn, lagres, vedlikeholdes eller avsløres. Noen eksempler inkluderer: cybersikkerhetsaktiviteter som resulterer i overinnsamling eller overoppbevaring av personlig informasjon; avsløring eller bruk av personlig informasjon som ikke er relatert til cybersikkerhetsaktiviteter; og cybersikkerhetsaktiviteter som resulterer i tjenestenekt eller andre lignende potensielt negative konsekvenser, inkludert noen typer hendelsesdeteksjon eller overvåking som kan hemme ytrings- eller friheten den det gjelder.

Rettssamfunnet har et ansvar for å beskytte personopplysningsvernet og sivile friheter som oppstår fra cybersikkerhetsaktiviteter. Som det refereres til i metodikken nedenfor, bør myndigheter og offentlige virksomheter som eier eller driver kritisk infrastruktur ha en prosess på plass for å støtte overholdelse av cybersikkerhetsaktiviteter med gjeldende personvernlover, forskrifter og avtaler.

For å håndtere behandling av personopplysninger kan organisasjoner vurdere hvordan deres cybersikkerhetsprogram skal inkludere konkrete personvernprinsipper som: dataminimering i behandling, avsløring og oppbevaring av personlig informasjonsmateriale relatert til cybersikkerhetshendelsen; bruke begrensninger utenfor cybersikkerhetsaktiviteter på all informasjon som samles inn spesifikt for cybersikkerhetsaktiviteter; åpenhet for visse cybersikkerhetsaktiviteter; individuelt samtykke og oppreisning for negative konsekvenser som oppstår ved bruk av personlig informasjon i cybersikkerhetsaktiviteter; datakvalitet, integritet og sikkerhet; og ansvarlighet og revisjon.

Ettersom organisasjoner vurderer kjernen i vedlegg A, kan følgende prosesser og aktiviteter
betraktes som et middel for å håndtere de ovennevnte implikasjonene for personvern og sivile friheter:

Styring av cybersikkerhetsrisiko (governance)

• En organisasjons vurdering av cybersikkerhetsrisiko og potensielle risikoresponser tar hensyn til personvernimplikasjonene av cybersikkerhetsprogrammet.
  
• Personer med cybersikkerhetsrelatert personvernansvar rapporterer til riktig ledelse og får passende opplæring.
  
• Prosessen er på plass for å støtte overholdelse av cybersikkerhetsaktiviteter med
  gjeldende personvernlover, forskrifter, kontrakter og krav.
  
• Prosess er på plass for å vurdere implementering av ovennevnte organisatoriske tiltak og kontroller.

Tilnærminger for å identifisere, autentisere og autorisere enkeltpersoner til å få tilgang til
organisatoriske eiendeler og systemer

• Det tas skritt for å identifisere og adressere personvernimplikasjonene av identitetshåndtering og tilgangskontrolltiltak i den grad de involverer innsamling, avsløring eller bruk av personlig informasjon.

Bevisstgjøring og opplæringstiltak

• Gjeldende informasjon fra organisatoriske retningslinjer for personvern er inkludert i opplæring og bevisstgjøringsaktiviteter for cybersikkerhetsarbeidere.

• Tjenesteleverandører som leverer cybersikkerhetsrelaterte tjenester for organisasjonen er informert om organisasjonens gjeldende personvernregler

Deteksjon av unormal aktivitet og system- og aktivaovervåking

• Prosessen er på plass for å gjennomføre en personverngjennomgang av en organisasjons oppdagelse av unormal aktivitet og cybersikkerhetsovervåking.

Responsaktiviteter, inkludert informasjonsdeling eller andre avbøtende tiltak

• Prosess er på plass for å vurdere og adressere hvorvidt, når, hvordan og i hvilken grad personopplysninger deles utenfor organisasjonen som en del av informasjonsdelingsaktiviteter for nettsikkerhet.
  
• Prosessen er på plass for å gjennomføre en personverngjennomgang av en organisasjons innsats for å redusere cybersikkerhet.

---

_{10 NIST spesial publikasjon 800-160 bind 1, System Security Engineering, Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems, Ross et al, november 2016 (oppdatert 21. mars 2018), https://doi.org/10.6028/NIST.SP.800-160v1}

_{11 Krav til kommunikasjon av cybersikkerhet (avsnitt 3.3) og kjøpsbeslutninger (avsnitt 3.4) omhandler kun to bruksområder for cyber-SCRM og er ikke ment å adressere cyber-SCRM fullstendig.}

_{12 NIST spesialpublikasjon 800-161, Supply Chain Risk Management Practices for Federal Information Systems and Organizations, Boyens et al, april 2015, https://doi.org/10.6028/NIST.SP.800-161}