NIST Cybersecurity Framework
Implementieren Sie das NIST CSF fuer umfassende Cybersicherheit mit CyberOrigen.
Uebersicht
NIST CSF (Cybersecurity Framework) bietet ein freiwilliges Rahmenwerk fuer das Management von Cybersicherheitsrisiken. Es ist branchenuebergreifend weit verbreitet und dient als Grundlage fuer viele Vorschriften.
Framework-Struktur
Kernfunktionen
| Funktion | Code | Beschreibung |
|---|---|---|
| Identifizieren | ID | Ihr Cybersicherheitsrisiko verstehen |
| Schuetzen | PR | Kritische Dienste absichern |
| Erkennen | DE | Cybersicherheitsereignisse identifizieren |
| Reagieren | RS | Auf Vorfaelle reagieren |
| Wiederherstellen | RC | Faehigkeiten wiederherstellen |
Kategorien
Identifizieren (ID)
- ID.AM: Asset-Management
- ID.BE: Geschaeftsumgebung
- ID.GV: Governance
- ID.RA: Risikobewertung
- ID.RM: Risikomanagement-Strategie
- ID.SC: Lieferkettenrisiko
Schuetzen (PR)
- PR.AC: Zugangskontrolle
- PR.AT: Bewusstsein und Schulung
- PR.DS: Datensicherheit
- PR.IP: Informationsschutz
- PR.MA: Wartung
- PR.PT: Schutztechnologie
Erkennen (DE)
- DE.AE: Anomalien und Ereignisse
- DE.CM: Kontinuierliche Ueberwachung
- DE.DP: Erkennungsprozesse
Reagieren (RS)
- RS.RP: Reaktionsplanung
- RS.CO: Kommunikation
- RS.AN: Analyse
- RS.MI: Minderung
- RS.IM: Verbesserungen
Wiederherstellen (RC)
- RC.RP: Wiederherstellungsplanung
- RC.IM: Verbesserungen
- RC.CO: Kommunikation
Implementierungsstufen
| Stufe | Name | Beschreibung |
|---|---|---|
| 1 | Teilweise | Ad hoc, reaktiv |
| 2 | Risikoinformiert | Etwas Bewusstsein, nicht organisationsweit |
| 3 | Wiederholbar | Formelle Richtlinien, organisationsweit |
| 4 | Adaptiv | Kontinuierliche Verbesserung, vorausschauend |
Erste Schritte
1. Framework aktivieren
- Gehen Sie zu GRC → Frameworks
- Klicken Sie auf Registrieren bei NIST CSF
- Klicken Sie auf Aktivieren
2. Aktuelles Profil erstellen
Bewerten Sie Ihren aktuellen Stand:
- Gehen Sie zu GRC → Kontrollbibliothek
- Filtern Sie nach NIST CSF
- Bewerten Sie aktuelle Implementierung
- Dokumentieren Sie Luecken
3. Zielprofil festlegen
Definieren Sie den gewuenschten Zustand:
- Identifizieren Sie Geschaeftsziele
- Setzen Sie Ziel-Implementierungsstufen
- Priorisieren Sie Luecken
- Erstellen Sie Roadmap
Schluessel-Unterkategorien
ID.RA - Risikobewertung
| Unterkategorie | Beschreibung | CyberOrigen-Funktion |
|---|---|---|
| ID.RA-1 | Asset-Schwachstellen identifiziert | Schwachstellen-Scanning |
| ID.RA-2 | Threat Intelligence empfangen | MISP-Integration |
| ID.RA-5 | Bedrohungen, Schwachstellen, Auswirkungen fuer Risiko genutzt | Risikoregister |
PR.AC - Zugangskontrolle
| Unterkategorie | Beschreibung | CyberOrigen-Funktion |
|---|---|---|
| PR.AC-1 | Identitaeten verwaltet | Zugriffs-Scanning |
| PR.AC-3 | Fernzugriff verwaltet | Konfigurationspruefungen |
| PR.AC-4 | Zugriffsberechtigungen verwaltet | Zugriffsueberpruefungen |
DE.CM - Kontinuierliche Ueberwachung
| Unterkategorie | Beschreibung | CyberOrigen-Funktion |
|---|---|---|
| DE.CM-4 | Schaedlicher Code erkannt | Quarantaene-System |
| DE.CM-8 | Schwachstellen-Scans durchgefuehrt | 11-Phasen-Scanning |
RS.MI - Minderung
| Unterkategorie | Beschreibung | CyberOrigen-Funktion |
|---|---|---|
| RS.MI-1 | Vorfaelle eingedaemmt | Behebungs-Workflow |
| RS.MI-2 | Vorfaelle gemindert | Ansible-Automatisierung |
| RS.MI-3 | Neue Schwachstellen gemindert | Finding-Management |
Kontrollzuordnung
NIST CSF ordnet sich anderen Frameworks zu:
| NIST CSF | SOC 2 | ISO 27001 | PCI-DSS |
|---|---|---|---|
| PR.AC-1 | CC6.1 | A.9.1.1 | 7.1 |
| PR.DS-1 | CC6.7 | A.10.1.1 | 3.4 |
| DE.CM-8 | CC7.1 | A.12.6.1 | 11.2 |
| RS.MI-2 | CC7.4 | A.16.1.5 | 12.10 |
Informative Referenzen
NIST CSF verweist auf andere Standards:
| Referenz | Abdeckung |
|---|---|
| NIST SP 800-53 | Detaillierte Kontrollen |
| ISO 27001 | ISMS-Anforderungen |
| CIS Controls | Technische Kontrollen |
| COBIT | IT-Governance |
Profilentwicklung
Branchenprofile
Vorgefertigte Profile fuer:
- Finanzdienstleistungen
- Gesundheitswesen
- Energie/Versorgung
- Fertigung
- Technologie
Benutzerdefinierte Profile
Erstellen Sie Ihr eigenes:
- Waehlen Sie anwendbare Kategorien
- Setzen Sie Implementierungsstufen
- Fuegen Sie organisationsspezifische Kontrollen hinzu
- Dokumentieren Sie Begruendung
Reifegradbeurteilung
Selbstbewertung
Bewerten Sie jede Unterkategorie:
| Stufe | Beschreibung |
|---|---|
| 0 | Nicht implementiert |
| 1 | Initial/ad hoc |
| 2 | Entwickelnd |
| 3 | Definiert |
| 4 | Verwaltet |
| 5 | Optimierend |
Lueckenanalyse
CyberOrigen zeigt:
- Aktuelle vs. Zielstufen
- Prioritaetsluecken
- Behebungsempfehlungen
- Fortschrittsverfolgung
Nachweissammlung
Automatisierte Nachweise
- Schwachstellen-Scan-Ergebnisse
- Zugriffskonfigurationsberichte
- Sicherheitsueberwachungs-Logs
- Incident-Response-Aufzeichnungen
Manuelle Nachweise
- Richtlinien und Verfahren
- Schulungsunterlagen
- Risikobewertungen
- Business-Continuity-Plaene
Kontinuierliche Verbesserung
Metriken
Verfolgen Sie Cybersicherheitsmetriken:
- Schwachstellen-Schliessungsrate
- Incident-Response-Zeit
- Kontrollimplementierung %
- Risikoreduktion ueber Zeit
Ueberpruefungszyklus
- Monatlich: Metrikenueberpruefung
- Vierteljaehrlich: Profilbewertung
- Jaehrlich: Vollstaendige Framework-Ueberpruefung
Haeufige Luecken
| Kategorie | Luecke | Loesung |
|---|---|---|
| ID.RA | Kein Schwachstellen-Scanning | Scanning implementieren |
| PR.AT | Keine Sicherheitsschulung | Schulungsprogramm |
| DE.CM | Kein Monitoring | SIEM/Monitoring |
| RS.RP | Kein Incident-Plan | IR-Playbook |