CSF-viitekehyksen soveltaminen
Organisaatio voi soveltaa CSF:ää kyber- ja digiturvallisuuden kokonaisvaltaiseen hallintaan ja kehittämiseen.
CSF muodostaa kuuden avaintoiminnon kautta kattavan kokonaisuuden kyberturvallisuuden hallinnasta. Sitä voidaan soveltaa esimerkiksi prosessimaisesti vaiheittain. Tällöin organisaatio tunnistaa ensin omaan toimintaympäristöönsä liittyvät tekijät, kuten suojattavat digitaaliset kohteet, infrastruktuurin, säädökset ja muut vaatimukset. Kun kyberturvallisuuteen liittyvät vaatimukset ja reunaehdot on tunnistettu, voidaan niitä hyödyntämällä suunnitella ratkaisut suojautumista ja havainnointia varten.
CSF:n avaintoimintojen tarkoituksena on lisäksi auttaa suunnittelemaan kattavat rakenteet poikkeamatilanteisiin reagointia varten, niistä palautumiseen sekä kertyneiden oppien ja kokemusten hyödyntämiseen jatkokehittämisessä.
Kuva: NIST Cybersecurity Framework 2.0 – laajasti käytetty kyberturvallisuuden viitekehys
Avaintoiminnot:
- Govern (Hallinnointi): Organisaatiolla on hallintorakenteet ja prosessit digitaalisen turvallisuuden hallintaan. Käytännössä tämä tarkoittaa sitä, että digitaaliseen turvallisuuteen liittyvät strategiat, käytännöt ja prosessit ovat linjassa organisaation toiminnan kanssa, ja digitaalista turvallisuutta johdetaan ja kehitetään säännönmukaisesti.
- Identify (Tunnistaminen): Organisaatio on tunnistanut oman toimintaympäristönsä sekä toiminnan mahdollistavat ja sen jatkuvuuteen liittyvät kriittiset suojattavat kohteet ja omaisuuden. Lisäksi organisaatio on tunnistanut näihin kohdistuvat uhat ja riskit sekä niiden mahdollisen vaikutuksen toimintaansa.
- Protect (Suojaaminen): Organisaatio suojaa tunnistetut kohteet, kuten tietojärjestelmät, tietovarannot ja tiedot, riskienhallinnan keinoin tunnistetuilta uhilta ja riskeiltä. Käytännössä tämä tarkoittaa muun muassa identiteetin- ja pääsynhallinnan, tietoverkkojen turvallisuuden, tietoturvallisuuden sekä tietoturvateknologian suunnittelua ja toteuttamista suhteessa tunnistettuihin riskeihin sekä näiden toimenpiteiden dokumentointia ja kuvaamista.
- Detect (Havainnointi): Organisaatio kehittää digitaaliseen turvallisuuteen vaikuttavien häiriöiden havainnointikyvykkyyttä. Käytännössä tämä tarkoittaa poikkeamanhallintaprosessin määrittelyä ja toteuttamista siten, että organisaatio on määritellyt digitaalisen turvallisuuden perustason ja ottanut käyttöönsä prosessin ja menetelmät, joilla digitaaliseen turvallisuuteen vaikuttavia tapahtumia havaitaan ja havainnointikyvykkyyttä saadaan parannettua.
- Respond (Reagointi): Organisaatiolla on kyvykkyys reagoida havaittuihin digitaalisen turvallisuuden poikkeamiin mahdollisimman nopeasti poikkeamanhallintaprosessin mukaisesti. Käytännössä tämä tarkoittaa poikkeamanhallintaprosessin toteuttamista siten, että henkilökunta ja sidosryhmät tietävät tehtävänsä ja roolinsa reagointitoimenpiteissä ja viestintä-, koordinaatio- ja raportointikäytännöt on määritelty sekä digitaalisen turvallisuuden häiriötapahtumia hallitaan ja niiden vaikutusta lievennetään.
- Recover (Palautuminen): Organisaatiolla on kyvykkyys toipua digitaalisen turvallisuuden aiheuttamista häiriöistä takaisin normaaliin toimintatilaan. Käytännössä tämä tarkoittaa kriittisten suojattavien järjestelmien toipumissuunnitelmien luontia ja kehittämistä häiriötilanteista toipumisesta saatujen kokemusten perusteella sekä suunnitelmien tekoa mahdollisten digitaalisen turvallisuuden häiriöistä aiheutuvien mainehaittojen korjaamiseksi.
Kuva: NIST Cybersecurity Framework 2.0 – toiminnot ja kategoriat
CSF on suunniteltu joustavaksi ja mukautuvaksi, joten organisaatiot voivat soveltaa sitä omien tarpeidensa ja riskiprofiiliensa mukaan.
