Detta är en artikel om ramverket NIST Cyber Security Framework. Ramverket är en vägledning som ska ge dig förutsättningarna och möjligheten att arbeta systematiskt och riskorienterat med informations- och cybersäkerhet.

Jag inleder med en kortare förklaring om varför just NIST CSF är intressant samt lite bakgrund och historik kring ramverket. Därefter gör jag en översiktlig genomgång av ramverket för att därefter simma runt lite i ramverkets tre huvudsakliga komponenter. Jag avslutar med en kortare summering och förslag på nästa steg.

Målsättningen med artikeln är att du ska få en någorlunda god förståelse för ramverket och kanske plantera några frön om hur du eventuellt skulle kunna använda ramverket där du jobbar.

Som vanligt uppskattar jag återkoppling på materialet.

Inledning

Systematiskt och riskorienterat arbete med informations- och cybersäkerhet. Känner du igen det? Om du hängt med i NIS-turerna vet du att detta nu skulle kunna argumenteras vara kärnan i (11§) i NIS-lagen (2018:1174). Hur kan du då arbeta systematiskt och riskorienterat med informations- och cybersäkerhet?

Det uppenbara och omedelbara svaret på den frågan är att vända sig till SS ISO/IEC-27001:2017. Men låt mig istället fokusera på det icke uppenbara och icke omedelbara. Låt mig vända din blick till NIST Cyber Security Framework (CSF), ett amerikanskt ramverk för att arbeta systematiskt och riskorienterat med informations- och cybersäkerhet.

Varför NIST CSF? Kanske främst för att det är relativt enkelt och lättillgängligt, samtidigt som det inte föreskriver endast ett sätt att arbeta med cybersäkerhet. Du får i stor utsträckning möjlighet att själv bestämma vad du och din organisation mäktar med utifrån era specifika omständigheter och tillgängliga resurser.

Oaktat din ambitionsnivå är ramverket strukturerat på så sätt att du får möjlighet att mäta dina framsteg. Om du exempelvis börjar med att dokumentera, i en så kallad aktuell profil, vilka förmågor som finns i organisationen kan du därefter dokumentera vilka förmågor ni önskar uppnå, i en målsättningsprofil. Genom att jämföra dessa två profiler blir det således tydligt, över tid, på vilket sätt era förmågor inom cybersäkerhet utvecklas och stödjer organisationen i arbetet med att hantera risker inom cyberområdet.

Sist, men absolut inte minst, hänvisar ramverket till flera andra standarder och vägledningar som många gånger ger dig konkreta tips på hur du kan uppnå en given och önskad förmåga.

Sammantaget tillräckligt många intressanta aspekter i ramverket som motiverar ett något närmre utforskande.

Bakgrund och historik

Den 12 februari 2013 skriver president Barack Obama under Executive Order 13636, Improving Critical Infrastructure Cybersecurity och detta leder till en första version av ramverket som NIST tagit fram. Genom Cybersecurity Enhancement Act of 2014 (CEA) får NIST en förtydligad roll om att möjliggöra och stödja arbetet med att utveckla ramverket. CEA blir i december 2014 lag i USA.

Och så i april 2018 publicerade NIST version 1.1 av ramverket och det är denna version som denna artikel avhandlar.

Äsch, det får räcka med historik. Det är trots allt ramverket i dess aktuella version jag vill beskriva…

Övergripande om ramverket

Ramverket har tre övergripande delar: kärnan (the core), nivåer (implementation tiers) och profiler (profiles). Låt mig göra en snabb genomgång av respektive delkomponent.

I kärnan hittar du hittar de olika förmågorna (outcomes) kategoriserat under fem överordnade funktionsområden: identifiera (identify), upptäcka (detect), skydda (protect), hantera (respond) och återhämta (recover). En förmåga beskriver något som i de flesta fall kan anses vara nödvändigt för att ha en effektiv och fungerande riskhantering. Exempelvis förmågan att upptäcka fuffens i diverse systemloggar, utreda och agera på dessa larm. Det är en förmåga att sträva efter och en förutsättningar för att hantera många cyber-relaterade risker.

Under avsnittet för nivåer hittar du fyra rangordnade kategorier1 som genom tre perspektiv beskriver organisationens mognad avseende hantering av risker i cyberområdet. Nivåerna gör det möjligt att relativt snabbt bedöma organisationens mognad avseende riskhantering.

Slutligen har du profiler som är ett ganska tomt avsnitt. Syftet med profilerna är att du använder dessa för att exempelvis dokumentera nuvarande förmågor som finns inom organisationen. Du kan sedan skapa en målsättningsprofil som visar vilka förmågor ni önskar uppnå i kommande cybersäkerhetsarbete.

Tillsammans utgör dessa komponenter (kärnan, nivåerna och profilerna) ramverket och nu tänker jag gräva lite djupare i dessa komponenter.

De tre huvudkomponenterna

Det är nu dags att gräva något djupare i ramverket och utforska de tre huvudkomponenterna: kärnan, nivåerna och profilerna. Efter att ha läst den övergripande introduktionen till ramverket börjar det kanske klarna något, men troligen också uppstå ett antal frågetecken. Förhoppningsvis kan detta avsnitt besvara några av dessa frågetecken.

The Core – Kärnan

För att nå en effektiv riskhantering inom cyberområdet finns det mängder av aktiviteter du skulle kunna utföra. Du kan inventera alla företagets datorer och mobiltelefoner, förstå betalningsflöden, skriva regler till brandväggen, upptäcka och hantera oegentligheter i loggar, hantera incidenter och så vidare. Kärnan gör en övergripande uppdelning av alla dessa möjliga aktiviteter i fem funktionsområden: identifiera (identify), upptäcka (detect), skydda (protect), hantera (respond) och återhämta (recover)

För varje funktionsområde finns sedan ytterligare en uppdelning, kategorier. En kategori är en gruppering av flera samverkande förmågor som tillsammans ger en slags helhet. Exempelvis hantering av tillgångar (asset management, ID.AM), eller riskhantering i leverantörskedjan (supply chain risk management ID.SC), eller datasäkerhet (data security, PR.DS).

Varje kategori delas sedan upp i ytterligare en nivå av delkategorier som beskriver specifika förmågor. Dessa förmågor utgör fundamentet i ramverket och förståelse för dessa är givetvis viktiga. De förmågor som finns beskrivna i ramverket är inte avsedda att vara fullständigt representativa för alla förmågor som du kan tänkas vilja ha. Känner du att något saknas, eller inte kan placeras i en lämplig underkategori är det bara att utöka ramverket med vad du saknar.

För varje underkategori finns det sedan informativa hänvisningar till diverse standarder och dessa är onekligen värdefulla. Du får specifika kapitelhänvisningar till exempelvis SS-ISO/IEC:27001, SIS CSC eller COBIT 5. Detta gör ramverket, i mitt tycke, extra värdefullt eftersom det sammanför och länkar ihop flera ramverk och vägledningar. Endast ur detta perspektiv är ramverket värdefullt.

Exempel på förmågor från ramverket

Jag tänkte att det kanske kunde vara på sin plats att beskriva några exempel på förmågor som finns beskrivna i ramverket för att ge en bättre känsla för innehållet.

Första exemplet är från funktionsområdet Skydda (Protect). Observera att det är underkategorin som beskriver den önskade förmågan. Och notera att det är jag som översatt texterna i ramverket, ursprungstexterna är givetvis på engelska.

  • Funktionsområde: Skydda
  • Kategori: Skyddande teknologier
  • Underkategori: PR.PT-4: Kommunikation- och kontrollnätverk är skyddade.
  • Hänvisningar:
    • CIS CSC 8, 12, 15
    • COBIT 5 DSS05.02, APO13.01
    • ISA 62443-3-3:2013 SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
    • ISO/IEC 27001:2013 A.13.1.1, A.13.2.1, A.14.1.3
    • NIST SP 800-53 Rev. 4 AC-4, AC-17, AC-18, CP-8, SC-7, SC-19, SC-20, SC-21, SC-22, SC-23, SC-24, SC-25, SC-29, SC-32, SC-36, SC-37, SC- 38, SC-39, SC-40, SC-41, SC-43

Och i det här exemplet ser vi förmågor beskrivna ur området Upptäcka (Detect).

  • Funktionsområde: Upptäcka
  • Kategori: Anomalier och händelser
  • Underkategori: DE.AE-3: Händelsedata samlas in och korreleras från flera källor och sensorer.
  • Hänvisningar:
    • CIS CSC 1, 3, 4, 5, 6, 7, 8, 11, 12, 13, 14, 15, 16
    • COBIT 5 BAI08.02
    • ISA 62443-3-3:2013 SR 6.1
    • ISO/IEC 27001:2013 A.12.4.1, A.16.1.7
    • NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR-5, IR-8, SI-4

Implementation Tiers – Nivåer

Nivåerna ger ett slags sammanhang till allt arbete som beskrivs inom ramen för informations- och cybersäkerhet. Nivåer beskriver utifrån fyra kategorier hur långt en organisation har kommit i arbetet med riskhantering i cyberområdet. Varje kategori beskrivs utifrån tre perspektiv och är kvalitativt beskrivna med ett antal egenskaper som utmärker den aktuella nivån.

Syftet, så som jag tolkar det, med nivåerna är att först och främst ge dig en möjlighet att snabbt identifiera var just din organisation skulle kunna placeras. Genom att sedan beakta diverse organisatoriska omständigheter (lagar- och förordningar, risker, affärsmålsättningar etc) kan det vara så att organisationen vill förflytta sig från en nivå till en annan.

Vad exakt det innebär att gå från nivå 1 till nivå 2 för er organisation är upp till er att avgöra. Det är genom de tidigare nämnda omständigheterna som avgör vilka förmågor som kan vara aktuella att uppnå för att kunna betrakta sig som en nivå 2-organisation.

Exempel på Nivå-1, Perspektiv: Processen för Riskhantering

Processen för Riskhantering – Organisatoriska aktiviteter för riskhantering avseende cybersäkerhet är inte formaliserade och risker hanteras slumpartat och oftast reaktivt. Prioritering av aktiviteter för cybersäkerhet är sannolikt inte möjliga att härleda till organisationens övergripande riskhantering eller affärsmål.

Profiles

Profiler är antagligen det svåraste och kanske enklaste att förklara. Ramverket är väldigt kort när det gäller profilerna och mycket av arbetet lämnas upp till dig som användare. Det övergripande syftet med profilerna är att skapa dokumentation om de förmågor organisationen har just nu och vad man strävar mot.

Men profiler är inte begränsade till att beskriva organisationen. En profil kan användas för att beskriva vilka förmågor en viss typ av tjänst ska bestå av. Tänk så här: Tjänster som vattenförsörjning. Vilka förmågor behöver en sådan tjänst bestå av för att kunna anses ha en rimlig nivå av hantering av risker inom cyberområdet?

Profiler kan alltså användas väldigt brett. Det kan handla om att bygga upp profiler för hela vertikaler i ett samhälle, eller endast en del av en organisation. Det övergripande syftet kvarstår, du ska ha dokumentation på vad du kan och gör, och vad du strävar mot att uppnå. En profil är tänkt att uppfylla detta syfte.

Sammanfattning

I den här artikeln har du läst om NIST CSF (Cyber Security Framework). Ramverket består av huvudkomponenterna kärnan, nivåerna och profilerna. Med hjälp av kärnan beskriver du förmågor som organisationen har eller strävar mot. En förmåga är en samling aktiviteter som vanligtvis innebär goda förutsättningar för en sund riskhantering inom cyberområdet.

Förmågor dokumenteras i profiler och används sedan för att prioritera och planera arbetet med informations- och cybersäkerhet. En profil kan användas på väldigt många olika sätt och det är mycket upp till dig för hur de används.

Nivåerna ger dig en möjlighet att snabbt identifiera en ungefärlig mognad i din organisations riskhantering för cyberområdet. Nivåerna är främst tillför att ge ett sammanhang, en beskrivande text som beskriver fyra olika typer av organisationer och deras riskhantering.

Nästa steg

Det finns många vägar att gå nu när jag introducerat ramverket. Jag skulle kunna beskriva utifrån fiktiva bolag eller organisationer en profil för nuvarande förmågor och önskade. Jag skulle kunna skriva en steg-för-steg artikel om hur ramverket kan användas. Jag skulle kunna fokusera på hur vi utökar ramverket, eller varför inte en jämförelse med kraven i NIS-lagen, förordning och föreskrifter från MSB?

Hör av er, berätta vad ni skulle vilja veta mer om.

  1. NIST menar att dessa inte ska tolkas som mognadsnivåer men jag ser inte vad de annars skulle vara.