NIST CSF Unterstützende Konzepte
Machen Sie sich mit diesen Konzepten vertraut, die aus entwickelt wurden NIST CSFAnleitung.
| Konzept | Beschreibung |
|---|---|
| Zielvorgabe | Das Ziel ist die Grundlage von NIST Cybersecurity Framework (CSF) Use Case AcceleratorUnd alle zugehörigen Konzepte. Das Ziel ist eine gemeinsam genutzte Tabelle zwischen ServiceNow® GRCProdukte und mehrere Anwendungsfall-Accelerators. Sie ähneln dem Konzept der Entitäten im Kern GRCAnwendungen. Sie sind optional mit Profilen verknüpft, werden jedoch für alle Attribute verwendet, die spezifisch für die Anwendungsfall-Accelerators sind. |
| Kritische Infrastruktur (oder kritisch in NIST CSFAnwendungsnutzung) | Wichtige physische oder virtuelle Systeme und Assets, die schwerwiegende Auswirkungen auf die Cybersicherheit, die nationale wirtschaftliche Sicherheit und die öffentliche Gesundheit oder Sicherheit haben. |
| Implementierungsstufen | Hilft einer Organisation, Cybersicherheitsrisiken und die Prozesse anzuzeigen, die sie zum Verwalten dieser Risiken verwenden. Stufen werden priorisiert, um Cybereecurity-Ziele zu erreichen. Mit NIST CSFAnwendungen können Organisationen Ziele aus der Implementierungsstufenansicht auswerten, die das Stufenattribut in der Zieltabelle verwendet. |
| Cybersicherheitsaktivität | Cybersicherheitsrichtlinien und -Anforderungen finden Sie in ServiceNow® GRC Richtlinien- und Compliance-ManagementAnwendung. Die Anwendung bietet Richtlinien für das Verständnis von Cybersicherheitsergebnissen, die erreicht werden müssen, um Cybersicherheitspraktiken zu stärken und die Sicherheits-Compliance zu verbessern. Diese Aktivitäten in NIST CSFAnwendungs-AS sind eine Kombination aus Ziel, Funktion und Kategorie. NIST CSFAktivitäten bewerten Cybersicherheitsanforderungen für Ziele, was detaillierte Einblicke in Lücken, nicht konforme Steuerungen, Risiken, Probleme, fehlgeschlagene Indikatoren bietet. und Aktionspläne und wann sie bearbeitet werden. Außerdem helfen sie Organisationen, ihre Sicherheits-Compliance-Position zu stärken. |
| Funktionen | Funktionen organisieren grundlegende Cybersicherheitsaktivitäten auf ihrer höchsten Ebene. Diese Funktionen sind Identifizieren, Schützen, Erkennen, Antworten, Wiederherstellen , Und Steuerung . Sie helfen einer Organisation, Informationen zu organisieren, Risikomanagemententscheidungen zu ermöglichen, Bedrohungen zu bekämpfen und aus früheren Aktivitäten zu lernen, um das Management von Cybersicherheitsrisiken zu verbessern. In NIST CSF, Funktionen wählen relevante Cybersicherheitsergebnisse für Aktivitäten aus und organisieren sie. |
| Kategorie | Kategorien sind die Untergliederungen von Funktionen, die in Gruppen von Cybersicherheitsergebnissen unterteilt sind. Beispiele für Kategorien sind: Asset-Verwaltung, Identitätsmanagement und Zugriffssteuerung sowie Erkennungsprozesse. Unterkategorien werden verwendet, um eine Kategorie in bestimmte Ergebnisse von technischen und Managementaktivitäten aufzuteilen. Sie bieten eine Reihe von Ergebnissen, die dazu beitragen können, die Ergebnisse in jeder Kategorie zu erreichen. Beispiele für Unterkategorien sind: Externe Informationssysteme werden katalogisiert, Daten im Ruhezustand sind geschützt, und Benachrichtigungen von Erkennungssystemen werden untersucht. Der Framework Core identifiziert zugrunde liegende Kategorien und Unterkategorien für jede Funktion als Cybersicherheitsrichtlinien und ihre Details als Richtlinienanweisungen. Die NIST CSFKategorien definieren die Cybersicherheitsaktivitäten für Ziele und verwenden die zugehörigen Unterkategorien, um Cybersicherheitsanforderungen zu bewerten, um zusätzliche Einblicke zu erhalten. |
| Implementierungsstatus | Status der Cybersicherheitsaktivität, ob implementiert oder für die Zukunft geplant. Der Implementierungsstatus einer Cybersicherheitsaktivität kann dokumentiert werden. |
| Abstände | Kontrollziele der Cybersicherheitsrichtlinie, für die keine Kontrollen für das in der Cybersicherheitsaktivität identifizierte Profil des Ziels vorhanden sind. |
| Nicht konforme Steuerungen | Cybersicherheitskontrollen, die aufgrund von Implementierungsproblemen als nicht konform gelten und für die Entität des Ziels gefunden wurden, die in der Cybersicherheitsaktivität identifiziert wird. |
| Risiken | Risiken, die den für die Entität des Ziels implementierten Steuerungen zugeordnet sind, die in der Cybersicherheitsaktivität identifiziert werden. |
| Probleme | Probleme mit Steuerungen und Risiken für die Entität des Ziels, die in der Cybersicherheitsaktivität identifiziert werden. |
| Fehlgeschlagene Indikatoren | Fehlgeschlagene Indikatoren von Steuerungen und Risiken, die für die Entität des Ziels implementiert wurden, die in der Cybersicherheitsaktivität identifiziert wird. |
| Aktionspläne | Aktionspläne für Probleme für die Entität des Ziels, die in der Cybersicherheitsaktivität identifiziert werden. |