Viitekehyksiä parempiin tietoturvallisuuskäytäntöihin: Osa 4 – NIST Cybersecurity Framework
Blogisarjan edellisissä osissa esittelin ISO 27001 -standardin, CIS Controls -viitekehyksen sekä taustaa viitekehysten käytölle yrityksen tieto- ja kyberturvallisuuden kehitystyössä. Tässä blogissa keskityn tarkastelemaan NIST Cybersecurity Frameworkia (NIST CSF). Se on ISO 27001:lle vaihtoehtoinen tapa kehittää yrityksen kyberturvaa.
Tekstin lopussa on mukana muiden sarjan osien tapaan määrittelyt tietoturvalle ja kyberturvallisuudelle.
NIST CYBERSECURITY FRAMEWORK
NIST Cybersecurity Framework on ISO-standardiin verrattuna hieman joustavampi, osittain koska sitä vasten ei sertifioiduta. NIST on yhteensopiva molempien jo esiteltyjen viitekehysten, ISO 27001:n ja CIS Controlsin, kanssa. Se tarjoaa kattavan pohjan yrityksen kyberturvallisuuden toteutukselle ja mahdollistaa muiden alakohtaisesti tarvittavien sertifikaattien hankinnan sekä ylläpidon.
NIST eli National Institute of Standards and Technology on Yhdysvaltojen standardisoimisvirasto, joka ei vastaa varsinaisesta regulaatiosta ja jonka fokus on erityisesti teknologiasektorin innovaatioiden edistäminen USA:ssa. Cybersecurity Framework on yritystoiminnan riskeihin pohjautuva kriittisen infrastruktuurisektorin viitekehys, joka koostuu kolmesta osa-alueesta, jotka voisi kääntää ytimeksi (Core), implementaatiotasoiksi (Implementation Level) ja profiilileiksi (Profile).
YDIN
Kuva 1. Viitekehyksen ytimen rakenne
Lähde: https://nvlpubs.nist.gov/nistpubs/ CSWP/NIST.CSWP.04162018.pdf
Viitekehyksen ydin (kuva 1) on tarkoitettu johtoryhmän tekemäksi dokumentiksi, joka aloittaa kyberturvallisuusriskien minimointiin tähtäävät toimet. Riskien tunnistus (identify), suojautuminen (protect), havaitseminen (detect), vastaaminen (respond) ja palautuminen (recover) auttavat yritystä ilmaisemaan kyberturvallisuusriskiensä tarvitsemat hallinnointitoimet. Lopputuloksena syntyvän dokumentaation tulisi ottaa huomioon toimialakohtaiset kyberturvallisuusuhat ja priorisoida niihin vastaamisen. Ajan kuluessa tehtyjen toimien pohjalta mahdollistuu tehtävän turvatyön jatkuva kehittyminen.
Itse ajattelen viitekehyksen eri osien olevan itseään toistava looppi, jossa ensin organisaatio pyrkii tunnistamaan vaikkapa jonkin hyökkäysvektorin ja suojautumaan siltä sekä silti rakentamaan havainnointimekanismit, jos hyökkäys kuitenkin onnistuisi. Ja kun näin todennäköisesti väistämättä joskus tapahtuu, siihen löytyy myös vastaamistoimet ja palautumissuunnitelma. Palautumisesta saatu lisätieto auttaa yritystä jälleen tunnistamaan uuden hyökkäysvektorin ja looppi alkaa alusta.
Tämän kehitysprosessin olemassaolo todentaa konkreettisesti hyödyt kyberturvallisuuden investoinneille, sillä tehdyille toimille on aina uhista syntyvä tarve.
IMPLEMENTAATIOTASOT: PARTIAL, RISK INFORMED, REPEATABLE, ADAPTIVE
Implementaatiotasot tähtäävät mekanismiin visualisoida ja ymmärtää yrityksen näkemystä relevanteista kyberturvariskeistä sekä prosesseista näiden hallintaan. Voidaan puhua myös maturiteettitasoista.
Kuva 2. NIST Cybersecurity Framework -implementaatiotasot
Yrityksen tunnistaessa itsensä tasolle 1 on vahvasti suositeltavaa pyrkiä korkeammalle tasolle. Tasot voivat auttaa konkretisoimaan mitkä osat yrityksessä ovat lisäresurssien tarpeessa.
PROFIILIT: "CURRENT" PROFILE VS "TARGET" PROFILE
Profiilit auttavat yritystä linjaamaan ja priorisoimaan tietoturvatoimensa yrityksen mission, tarpeiden, riskien sekä resurssien pohjalta.
”Current”-profiili kuvaa nykytilassa saavutettuja kyberturvallisuushyötyjä.
”Target”-profiili on saavutettavien hyötyjen kuvaus tulevien toimien pohjalta.
Tällä vastakkainasettelulla saadaan nostettua esiin nykytoimintatapojen aukot, joiden korjaamiseksi tehtävät toimet on helpompi määritellä.
NIST CSF VS MUUT ESITELLYT VIITEKEHYKSET
Käytännössä NIST CFS on vaihtoehtoinen tapa kehittää kattava kyberturvallisuusohjelma yritykselle. Se linkittyy hyvin NIST:n omiin standardeihin, ISO27001:een ja muihin viitekehyksiin, kuten CIS Controls ja Control Objectives for Information and Related Technology (COBIT). ISO27001 verrattuna NIST CSF:n materiaalit ovat saatavilla ilmaiseksi ja käytänteiden rakennuksen voi aloittaa hyvinkin matalalla kynnyksellä.
USA-keskeisyyden viitekehyksessä näkisin kuitenkin jonkinlaisena heikkoutena suomalaisille yrityksille. Riskien trendit ovat globaalisti pääasiassa yhdensuuntaiset, mutta riskien erilaista painotusta voi ilmetä silti kansallisesti. Toisaalta on huomionarvoista, että liikenne- ja viestintävirasto Traficomin Kybermittari on ristiinkytkettävissä NIST CSF:n kanssa. CIS Controlsiin verrattuna käytännön tekniseen toteutukseen NIST CSF ei ota kantaa samalla tavalla.
Tähän päättyy tämä blogikirjoitusten sarja, toivottavasti lukijana sait ainakin jonkinlaisen kosketuspinnan erilaisiin vaihtoehtoihin, joista oman yrityksesi tietoturvakehittämiselle voisi saada rungon, jota lähteä sitten taivuttamaan oikeaan suuntaan yrityksen liiketoimintanäkökulmat huomioiden. En lähde suosittelemaan kategorisesti yhtä tiettyä vaihtoehtoa, ja olen sitä mieltä, että kaikissa esitellyissä vaihtoehdoissa on hyviä puolia, joita yhdistelemällä pääsee hyviin lopputuloksiin.
POST SCRIPTUM
Tietoturvakehittämiseen löytyy toki näiden kolmen esitellyn viitekehyksen lisäksi muitakin, näistä voisin mainita lyhyesti seuraavat. Jos kysyntää löytyy, kukaties näitäkin voidaan tulevissa blogikirjoituksissa sivuta syvällisemmin.
Secure Software Development Framework eli SSDF on NIST:n ylläpitämä viitekehys turvallisen ohjelmistokehityksen tueksi. SSDF perustuu mm. OWASP-suosituksiin. SSDF on mahdollista leipoa organisaation ohjelmistokehityksen elinkaarenhallintaan (SDLC, software developlement life cycle), oli se sitten vesiputousmalli, agile, devops tai muu. Painoarvoa on erityisesti ns. shifting left -periaatteelle, jossa tietoturva huomioidaan elinkaaren mahdollisimman aikaisessa vaiheessa. Tyypillisesti tietoturvaan käytetty aika ja raha lopulta on pienempi, mitä aikaisemmassa vaiheessa se huomioidaan.
MITRE ATT&CK sen sijaan ei ole varsinainen teknisen tietoturvan kehittämisen viitekehys, vaan tietokanta, jossa erilaisia hyökkääjien käyttämiä taktiikoita ja tekniikoita, joihin on mahdollista suunnitella suojausmekanismeja. Näihin löytyy oma mitigations-listansa, jota voisi käyttää viitekehyksenä omien suojausten rakentamiselle. Soveltuu käytettäväksi esim. uhkamallinnuksen osana.
AICPA:n (Association of International Certified Professional Accountants) kehittämä palveluntarjoajille suunnattu arviointikriteeristö SOC 2, tarkoitettu arvioimaan palveluntarjoajan kykyä säilyttää asiakastietoa turvallisesti pilvipalvelussa. Tavoitteena minimoida asiakastietoon liittyviä riskejä ja tiedon paljastumista tahattomasti. SOC 2 on periaatteessa tekninen auditointi, mutta sisältää vaatimuksia tietoturvapolitiikoista ja -prosesseista.
Cloud Security Alliancen (CSA) Cloud Controls Matrix (CCM) koostuu tietoturvakontrolleista, jotka on jaoteltu 17 eri osa-alueeseen. Voidaan käyttää pilvipalveluiden implementoinin arvioinnissa ja pilvipalveluiden vastuunjaossa (mitä tulee tietoturvakontrolleihin).
Erityisesti viranomaissektorille Suomessa löytyy sekä KATAKRI että PITUKRI. Katakri on viranomaiskäyttöön tarkoitettu auditointityökalu tai -kriteeristö, joka erityisesti ottaa kantaa erilaisiin velvoitteisiin liittyviin vähimmäisvaatimuksiin tiedon luokittelun perusteella. Osa vaatimuksista on sellaisia, joista suurin osa organisaatioista hyötyisi, mutta näkökulma on kuitenkin vahvasti lainsäädäntöperustainen ja kansainvälisiin velvoitteisiin perustuva. Pitukri taas on pilvipalveluiden turvallisuuden arviointikriteeristö.
MÄÄRITTELYT TIETOTURVALLE JA KYBERTURVALLISUUDELLE
Tietoturvasta puhuttaessa tarkoitetaan järjestelyjä, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus. Täten tietoturvaan kuuluu muun muassa tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen.
Kyberturvallisuus määritellään tavoitetilana, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan. Kybertoimintaympäristö koostuu yhdestä tai useammasta tietojärjestelmästä, jotka nähdään yhteiskunnassa kriittisinä. Esimerkiksi elintarvikkeiden kuljetus- ja logistiikkajärjestelmät sekä pankki- ja maksujärjestelmät.
Kybertoimintaympäristön häiriöt aiheutuvat usein toteutuneista tietoturvauhista, joten tietoturva on keskeinen osa kyberturvallisuutta. Tietoturvan varmistamisen lisäksi kyberturvallisuuden varmistamisessa tarkoituksena on turvata häiriytyneestä kybertoimintaympäristöstä riippuvaiset fyysisen maailman osa-alueet.
”Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin.” Lähde: https://turvallisuuskomitea.fi/wp-content/uploads/2018/06/Kyberturvallisuuden-sanasto.pdf
Kerromme mielellämme lisää kyberturvallisuuden eri viitekehysvaihtoehdoista, jos mieleesi nousee kysymyksiä aiheeseen liittyen. Saat meihin helpoiten yhteyttä osoitteen myynti[at]netum.fi kautta!
Lisätietoja
Tagit
Liiketoimintaprosessi
Tietohallinto |
Erikoisosaaminen
Tietoturva |
Toimialakokemus
IT | |
Julkishallinto |
Tarjonnan tyyppi
Johtamistyö | |
Konsultointi | |
Koulutus |
Omat tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - IT BUSINESS PARTNERING DIRECTOR
- Laura - Data Engineer
- Laura - Datainsinööri, tietohallinto
- Laura - Ohjaaja media- ja it-tiimi / oppisopimus
- Laura - Kesätyöpaikat IT-ala
- Frends iPaaS - Technical Community Manager
- Druid Oy - Myyjä - hunter-henkinen tekijä, joka saa tuloksia aikaiseksi!
Premium-asiakkaiden viimeisimmät referenssit
- Maxtech - Muonion kunta modernisoi työajanseurantansa Maxtechin järjestelmällä
- Identio Oy - Identio x Svenska litteratursällskapet i Finland - Täsmäosaamista modernin sisällönhallintajärjestelmän kehittämiseen
- Hellon - Redefining Digital Insurance for Vodafone
- Agenda Digital - Fican.fi WordPress-verkkosivut
- Red & Blue Oy - Taivalkosken uusi saavutettava ja erottuva verkkopalvelu
- Hion Digital Oy - Vauvan ja vanhemman matkassa – Verkkosovellus, jonka sisältö mukautuu elämäntilanteeseen
- Verkkovaraani Oy - Uudet kotisivut Talin ja Ruusulan keilahalleille
Tapahtumat & webinaarit
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
- 15.01.2025 - SaaS-klubi: Myyntivetoinen kasvu
- 23.01.2025 - Generatiivisen tekoälyn hyödyt liiketoimintajohtajalle
- 29.01.2025 - Modern toolchain and AI breakfast seminar with Eficode, AWS and HashiCorp
- 30.01.2025 - Suuri Rahoitusilta
Premium-asiakkaiden viimeisimmät bloggaukset
- Maxtech - Avainta TES -muutokset ja niiden hallinta: Näin Maxtech voi auttaa
- Vetonaula Oy - Windows 10:n tuen päättyminen: mitä yrityksesi tulisi tietää?
- SC Software Oy - Koodia ihmiseltä ihmiselle jo 10 vuotta
- Aveso Oy - Kestävää tulevaisuutta rakentamassa teknologian avulla – IFS ESG-työkalut integroituna järjestelmään
- Identio Oy - Web Applications: How We Build Minimum Lovable Products in 2025 – Launching the Product
- Kisko Labs Oy - Ideasta innovatiiviseksi ohjelmistoksi ja menestyväksi liiketoiminnaksi
- Timeless Technology - Tempmate dataloggerit äärimmäisten lämpötilojen mittaamiseen.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |