Cybervurdering

CIS 18 Critical Security Controls (CIS-kontroller) er et normativt, prioriteret og forenklet sæt af bedste praksisser, der kan øge dit cybersikkerhedsniveau. De henvender sig direkte til IT-afdelinger med en beskrivelse af, hvad der skal gøres. Rammen er operationelt praktisk og let med hensyn til governance, risici og compliance samt fysiske sikkerhedskontroller. Det er en udfordring at kommunikere rammen til et ledelsesniveau.

NIST Cyber Security Framework (CSF) giver vejledning til organisationer om, hvordan man skal håndtere cybersikkerhedsrisici. Rammen giver en taksonomi for overordnede cybersikkerhedsresultater, der kan anvendes af enhver organisation – uanset størrelse,
sektor og modenhed – for bedre at forstå, vurdere, prioritere og kommunikere
tiltag inden for cybersikkerhed. CSF-rammen angiver ikke, hvordan resultaterne bør opnås, men den henviser til andre ressourcer, der giver yderligere vejledning om praksisser og kontroller, som kan anvendes til at opnå resultaterne. Rammens udformning omfatter tre forskellige detaljeringsniveauer, idet den understøtter bestyrelsen, lederne og teknikerne i organisationen.

ISO/IEC 27001 er standarden for informationssikkerhedsstyringssystemer (ISMS) og definerer de krav, som et ISMS-system skal opfylde for at sikre systematisk håndtering af en organisations følsomme data. Det omfatter risikovurdering, risikohåndtering, sikkerhedskontroller, præstationsmåling og kontinuerlig forbedring.
ISO/IEC 27001-standarden er af generisk art og kan anvendes i alle organisationer. Den er tung med hensyn til governance og risikostyring, men let med hensyn til praktiske sikkerhedskontroller, og den kræver yderligere detaljer, for at kontrollerne kan være operationelle i en IT-kontekst. ISO/IEC 27001 giver ledelsen en metode til at styre sikkerheden ud fra de risici, der omgiver organisationen, og har den yderligere fordel, at der er tale om en ramme, som kan certificere organisationen. Det er en udfordring at kommunikere rammen til et ledelsesniveau.

IEC 62443 er en ramme, der adresserer cybersikkerheden for industrielle automatiseringskontrolsystemer (IACS). Der er tale om en omfattende ramme, der dækker operatører, integrations- og vedligeholdelsestjenesteleverandører samt komponent-/systemproducenter. Den består af fire dele:

• Del 1 dækker almindelige definitioner og emner.
• Del 2 adresserer politikker og procedurer relateret til OT-sikkerhed.
• Del 3 vedrører sikkerhedskrav på systemniveau.
• Del 4 fastsætter detaljerede krav til IACS-produkter.

Det er en udfordring at implementere IEC 62443 med hensyn til ledelsessupport, ressourceallokering, systemkompatibilitet og operationel risikohåndtering.

Identifikation af, hvilke forretningsprocesser, IT-/OT-aktiver og relateret infrastruktur der er afgørende for din indtægt. Outputtet er en præsentation, der viser din værdikæde, og en overordnet kortlægning af programmer og infrastrukturer.

Workshop(s) til at identificere de mest kritiske cyberrisici for din forretning fra et top-down perspektiv. Yderligere workshop(s) for at definere det risikoomfang, som du er villig til at acceptere, og den kontrolramme, der passer bedst til din forretning. Outputtet er en risikomatrix med væsentlige risici, relaterede konsekvenser og sandsynligheder samt en indikation af risikovillighed og anbefaling af en passende kontrolramme.

Vurdering af de kontroller, der beskytter dine vigtige aktiver, baseret på den aftalte sikkerhedsramme. Vurderingen er i første omgang baseret på dokumentgennemgange og interview, med mulighed for at tilføje valideringstest, hvis en større grad af forsikring er påkrævet. Outputtet er et diagram, der viser det aktuelle modenhedsniveau for udvalgte kontroller.

En overordnet oversigt over de tiltag, der skal til for at reducere dine cyberrisici, så de matcher din risikovillighed. Outputtet er en tabel over igangværende, planlagte eller påkrævede nye sikkerhedsprojekter. NNIT vil basere anbefalingerne på de relevante krav.