Zer da?
NIST Estandarren eta Teknologiaren Institutu Nazionalaren (National Institute of Standards and Technology, ingelesez) akronimoa da, AEBko Merkataritza Sailekoa. NISTen (NIST Cibersecurity Framework) segurtasun esparruaren helburua da enpresei zibersegurtasun-arriskuak hobeki ulertzen laguntzea, haiek kudeatzea eta murriztea, jardunbide egokien estandar baten bidez.
Esparrua teknologiaren mendeko erakundeei aplika dakieke, eta haien segurtasun ikuspegia hauetan oinarritzen da: informazioaren teknologiak (IT), kontrol industrialeko sistemak (ICS), sistema ziberfisikoak (CPS), Gauzen Internet (IoT)…
Onurak
- Erakundeen zibersegurtasun arriskuak ulertzea
- Zibersegurtasun arriskuak identifikatzen, administratzen eta murrizten ikastea
- Sareen eta datuen babesa hobetzea
NIST zibersegurtasun esparruaren egitura
Esparruak hiru zati ditu: markoaren gunea, inplementazio mailak eta markoaren profilak.
- Esparruaren gunea
Esparruaren gunea azpiegitura kritikoetako sektore guztien funtzio, jarduera, kategoria eta informazio erreferentzia komunak dira. 5 funtzio ditu: identifikatu, babestu, detektatu, erantzun eta berreskuratu. Erakunde batean zibersegurtasun arriskuak kudeatzeko goi-mailako estrategia eskaintzen dute.
Jarraian, taula bat ageri da, funtzio bakoitza eta bere kategoriak biltzen dituena:
| Funtzioaren ID | Eginkizuna | Kategoriaren ID | Kategoria |
|---|---|---|---|
| ID | Identifikatzea | ID.AM ID.BE ID.GV ID.RA ID.RM ID.SC |
Aktiboen kudeaketa Enpresa-ingurunea Gobernantza Arriskuen ebaluazioa Arriskuak kudeatzeko estrategia Hornidura-katearen arriskua kudeatzea |
| BA | Babestu | BA.AC BA.AT BA.DS BA.IP BA.MA BA.PT |
Identitatearen kudeaketa eta sarbidearen kontrola Kontzientzia eta trebakuntza Datuen segurtasuna Informazioa babesteko prozesuak eta prozedurak Mantentze-lanak Teknologia babeslea |
| DE | Detektatu | DE.AE DE.CM DE.DP |
Anomaliak eta gertakariak Etengabeko segurtasun-zaintza Detekzio-prozesuak |
| ER | Erantzun | ER.RP ER.CO ER.AN ER.MI ER.IM |
Erantzunaren plangintza Komunikazioak Analisia Arintzea Hobekuntzak |
| BE | Berreskuratu | RBE.RP BE.IM BE.CO |
Berreskuratze-plangintza Hobekuntzak Komunikazioak |
- Ezarpen-mailak
Esparruaren ezarpen-mailek testuinguru bat ezartzen dute erakunde batek segurtasun arriskuak nola ebaluatu eta kudeatzen dituen azaltzeko. Mailek arriskuaren kudeaketa enpresaren beharretan zein neurritan oinarritzen den eta kudeaketaren praktika orokorretan sartzen diren zehazten laguntzen dute. Inplementazioan maila hauek ezarri dira:
-
- MAILA. Partziala
- MAILA. Arrisku informatua
- MAILA. Errepikagarria
- MAILA. Moldagarria
- Esparruaren profila
Esparruaren profilak aukera ematen du segurtasun-arriskua murrizteko ibilbide-orri bat ezartzeko (enpresa-eskakizunak eta sektore-helburuak lerrokatuz) eta industriaren lege- eta arau-betekizunak eta jardunbide onenak kontuan hartzeko.
Erakunde askoren konplexutasuna dela eta, hainbat profil batera egon daitezke, osagai partikularrekin lerrokatuta eta bakoitzaren beharrak ezagututa. Adibidez, egungo profila eta lortu nahi den helburu-profila.
NIST zibersegurtasun esparrua ezartzeko urratsak
NIST zibersegurtasun esparrua ezartzeko, zenbait urrats egin behar dira:
- 1. Urratsa – Lehentasunak ezartzea eta irismena definitzea: Helburuak, negozioaren xedea eta goi-mailako lehentasunak identifikatzea antolakuntzari dagokionez. Ingurune hori izan daiteke erakunde osoa, negozio-lerro jakin bat edo prozesu bat, kontuan hartuta elementu horietako bakoitzak arriskuarekiko tolerantzia-maila desberdinak izan ditzakeela.
- 2. Urratsa – Orientazioa: Definitutako inguruneari lotutako sistemak, aktiboak, erregulazio-eskakizunak, mehatxuak eta ahultasunak identifikatzen dira.
- 3. Urratsa – Gaur egungo profila sortzea: Oinarrizko esparruaren funtzioen bidez, egungo profila definitzen da, ingurunean kontrolak ezartzearen emaitzak lortzeko.
- 4. Urratsa – Arriskuen azterketa egitea: Arriskuen azterketa bat egiten da, zibersegurtasuneko gertaeren probabilitatea eta eragina aztertzeko ingurunean.
- 5. Urratsa – Profil objektibo bat sortzea: Bete beharreko zibersegurtasuneko helburuak ezartzen dira.
- 6. Urratsa – Antzemandako arrailak zehaztu, aztertu eta lehenestea: Uneko profilaren eta helburu-profilaren arteko analisiaren bidez, lan-plan bat ezartzen da, kostuari/onurari lehentasuna emanez.
- 7. Urratsa – Ekintza-plana ezartzea: Aurreko faseetan ezarritako ekintza-planari ekiten zaio eta plana betetzen dela kontrolatzen da.
