NIST CSF Unterstützende Konzepte

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Machen Sie sich mit diesen Konzepten vertraut, die aus entwickelt wurden NIST CSF Anleitung.

    Konzept Beschreibung
    Zielvorgabe Das Ziel ist die Grundlage von NIST Cybersecurity Framework (CSF) Use Case Accelerator Und alle zugehörigen Konzepte.

    Das Ziel ist eine gemeinsame Tabelle zwischen ServiceNow® GRC Produkte und mehrere Anwendungsfall-Accelerators. Sie ähneln dem Konzept der Entitäten im Kern GRC Anwendungen. Sie sind optional mit Profilen verknüpft, werden jedoch für alle Attribute verwendet, die für die Anwendungsfall-Accelerators spezifisch sind.
    Kritische Infrastruktur (oder kritisch in NIST CSF Anwendungsnutzung) Wichtige physische oder virtuelle Systeme und Assets, die schwerwiegende Auswirkungen auf die Cybersicherheit, die nationale wirtschaftliche Sicherheit und die öffentliche Gesundheit oder Sicherheit haben.
    Implementierungsstufen Hilft einer Organisation, Cybersicherheitsrisiken und die Prozesse anzuzeigen, mit denen sie diese Risiken verwalten.

    Stufen werden priorisiert, um Cybereecurity-Ziele zu erreichen. Mit NIST CSF Anwendungen können Organisationen Ziele in der Implementierungsstufenansicht auswerten, die das Stufenattribut in der Zieltabelle verwendet.
    Cybersicherheitsaktivität Cybersicherheitsrichtlinien und -Anforderungen finden Sie in ServiceNow® GRC Richtlinien- und Compliance-Management Anwendung. Die Anwendung bietet Richtlinien für das Verständnis von Cybersicherheitsergebnissen, die erzielt werden müssen, um Cybersicherheitspraktiken zu stärken und die Sicherheits-Compliance zu verbessern.

    Diese Aktivitäten in NIST CSF Anwendungs-AS sind eine Kombination aus Ziel, Funktion und Kategorie. NIST CSF Aktivitäten bewerten Cybersicherheitsanforderungen für Ziele, was detaillierte Einblicke in Lücken, nicht konforme Kontrollen, Risiken, Probleme, fehlgeschlagene Indikatoren bietet. und Aktionspläne und wann sie bearbeitet werden. Außerdem helfen sie Organisationen, ihre Sicherheits-Compliance-Position zu stärken.
    Funktionen Funktionen organisieren grundlegende Cybersicherheitsaktivitäten auf ihrer höchsten Ebene. Diese Funktionen sind Identifizieren, Schützen, Erkennen, Antworten, Wiederherstellen , Und steuern . Sie helfen einer Organisation, Informationen zu organisieren, Risikomanagemententscheidungen zu ermöglichen, Bedrohungen zu bekämpfen und aus früheren Aktivitäten zu lernen, um das Management von Cybersicherheitsrisiken zu verbessern.

    In NIST CSF, Funktionen wählen relevante Cybersicherheitsergebnisse für Aktivitäten aus und organisieren sie.
    Kategorie Kategorien sind die Untergliederungen von Funktionen, die in Gruppen von Cybersicherheitsergebnissen unterteilt sind. Beispiele für Kategorien sind: Asset-Management, Identitätsmanagement und Zugriffssteuerung sowie Erkennungsprozesse.

    Unterkategorien werden verwendet, um eine Kategorie in bestimmte Ergebnisse von technischen und Managementaktivitäten aufzuteilen. Sie bieten eine Reihe von Ergebnissen, die dazu beitragen können, die Ergebnisse in jeder Kategorie zu erreichen. Beispiele für Unterkategorien sind: Externe Informationssysteme werden katalogisiert, Daten im Ruhezustand sind geschützt, und Benachrichtigungen von Erkennungssystemen werden untersucht.

    Der Framework Core identifiziert zugrunde liegende Kategorien und Unterkategorien für jede Funktion als Cybersicherheitsrichtlinien und ihre Details als Richtlinienanweisungen. Die NIST CSF Kategorien definieren die Cybersicherheitsaktivitäten für Ziele und verwenden die zugehörigen Unterkategorien, um Cybersicherheitsanforderungen zu bewerten, um zusätzliche Einblicke zu erhalten.
    Implementierungsstatus Status der Cybersicherheitsaktivität, ob implementiert oder für die Zukunft geplant. Es ist möglich, den Implementierungsstatus einer Cybersicherheitsaktivität zu dokumentieren.
    Abstände Kontrollziele der Cybersicherheitsrichtlinie, für die keine Steuerungen für das in der Cybersicherheitsaktivität identifizierte Profil des Ziels vorhanden sind.
    Nicht konforme Steuerungen Cybersicherheitskontrollen, die aufgrund von Implementierungsproblemen als nicht konform gelten und für die Entität des Ziels gefunden wurden, die in der Cybersicherheitsaktivität identifiziert wird.
    Risiken Risiken, die den für die Entität des Ziels implementierten Steuerungen zugeordnet sind, die in der Cybersicherheitsaktivität identifiziert wird.
    Probleme Probleme mit Steuerungen und Risiken für die Entität des Ziels, die in der Cybersicherheitsaktivität identifiziert werden.
    Fehlgeschlagene Indikatoren Fehlgeschlagene Indikatoren von Steuerungen und Risiken, die für die Entität des Ziels implementiert wurden, die in der Cybersicherheitsaktivität identifiziert wird.
    Aktionspläne Aktionspläne für Probleme für die Entität des Ziels, die in der Cybersicherheitsaktivität identifiziert werden.