Het NIST CyberSecurity Framework als kans?


Het CyberSecurity Framework (CSF) is ontwikkeld door het NIST, ofwel het National Institute of Standards and Technology. Onder Obama werd in 2013 aan het NIST de opdracht gegeven een cybersecurity framework te ontwikkelen. En onlangs door Biden opnieuw. Maar wat kan je er als Nederlandse, lokale overheid mee en hoe verhoudt het zich tot de BIO en de ISO27000 reeks?

Verschillen met standaard en managementsysteem

Allereerst het verschil tussen een framework en een standaard. Een framework is een conceptuele structuur die inzicht geeft in hoe de onderlinge componenten zich tot elkaar verhouden. Vaak krijg je dit inzicht doordat een framework een visuele weergave bevat. Je kan de vergelijking met de fysieke wereld maken: in de bouw houdt een framework het gebouw overeind doordat individuele componenten zich tot elkaar verhouden. Maar aan de hand van een framework kan je nog weinig zeggen over het eindresultaat. Frameworks vertellen je iets over de grote lijnen, de context en vooral: samenhang.

Enkele voorbeelden van security gerelateerde frameworks: NIST CSF, COBIT en COSO.

Standaarden dienen een geheel anders doel, namelijk standaardisatie van best practices. In standaarden vind je dus concreet beheersmaatregelen waaraan je kunt of wilt voldoen. Vanzelfsprekend zijn deze logisch geordend in hoofdstukken, maar verder bevatten ze weinig context. Standaarden vertellen je iets over het wát, alhoewel het ‘wat’ nog uit te splitsen valt. Enerzijds gaat het over de feitelijk te nemen beveiligingsmaatregelen en anderzijds over het managementsysteem waarbinnen je deze beveiligingsmaatregelen neemt.

Enkele voorbeelden van security standaarden voor beveiligingsmaatregelen: ISO270002/BIO, CIS Controls en NIST SP 800-53.

Enkele voorbeelden van standaarden voor een managementsysteem: ISO27001 (ISMS), ISO27701 (PIMS) en meer hier.

Standaarden zijn dus veel voorschrijvender dan frameworks en dat is tevens de reden dat je je wél kunt laten certificeren tegen enkele standaarden, maar niet tegen een framework. Bij de overheid gaat het hoofdzakelijk over de BIO – ofwel ISO27002 –  maar in toenemende mate ook over het ISMS (ISO27001). Het ISMS is lastig ‘te pakken’ voor velen. Over wat een ISMS (tool) wel en niet is schreven we al eerder. Maar je hoort bijna niemand over frameworks; waarom niet?

Kans of afleidingsmaneuver?

De cynicus (in mij) kan stellen dat een framework vooral de aandacht afleidt. Het is informatiebeveiliging in een ander verpakking die afleidt van een achterblijvende BIO implementatie en gebrekkig functionerend ISMS-proces. Van een framework wordt de overheid niet veiliger, maar van BIO maatregelen wél. Alhoewel in het slechtste geval niet onwaar, valt er meer over te zeggen. Informatiebeveiliging aanvliegen vanuit primair, of zelfs uitsluitend compliance is een ‘dead end’ wat mij betreft. Je schuift de BIO nu eenmaal niet via de achterdeur naar binnen. Informatiebeveiliging aanvliegen vanuit primair, of zelfs uitsluitend risicomanagement wordt vooral een heel láng verhaal. En deels onzinnig ook: je hebt al een best practice qua maatregelen, maar gaat die toch steeds identificeren via tijdrovende risicoanalyses. Maar hoe dan wél?

Allereerst door de risicoanalyses zo gestructureerd en afgebakend te houden als mogelijk en qua maatregelen uitsluitend te putten uit wat er al is. Wat dat betreft is de Informatiebeveiligingsdienst je beste vriend; zij voorstaan mijns inziens deze werkwijze. Maar ook degene die deze werkwijze al jaren volgt heeft het niet makkelijk. Immers, hoe krijg je dat verrekte management en bestuur écht aangehaakt? Talloze beveiligingsincidenten en datalekken ten spijt, lukt het vaak niet. En dat moeten we vooral onszelf aanrekenen, meen ik. En precies dáár biedt een framework een kans. Ik bezie het als het pragmatische midden tussen de lange, tijdrovende route van het managementsysteem en kille, weinig tot de verbeelding sprekende route van compliance. Een framework biedt je de kans om op een geheel andere wijze het verhaal en belang van informatiebeveiliging over te brengen. Maar eerst iets meer over het NIST Cyber Security Framework.

CSF: core, tiers & profiles

Het CSF bestaat uit drie componenten: de core, tiers en profiles. Dat zegt je waarschijnlijk niet veel, mij niet in ieder geval. Laten we starten bij het belangrijkste: de kern (core) van het framework. Die bestaat uit functies en (sub)categorieën. Er zijn vijf functies: Identify, Protect, Detect, Respons en Recover. Die termen moet je als lezer toch aardig kunnen plaatsen in het vakgebied informatiebeveiliging. En niet onaardig: in de nieuwe ISO27002 norm zal er ook een referentie terug zijn naar deze vijf CSF functies.

Alle functies zijn onder te verdelen in categorieën; zo valt Identify uiteen in Asset Management, Business Evironment, Governance, Risk Assessment, Risk Management Strategy en Supply Chain Risk Management. Elk van deze categorieën bevat subcategorieën en daar wordt het redelijk concreet. Zo heeft de functie Identify (ID) de categorie Asset Management (AM) een subcategorie ID.AM-1 die als volgt luidt: Fysieke apparaten en systemen binnen de organisatie worden geïnventariseerd. (vrij vertaald). Iedere subcategorie heeft referenties naar o.a. ISO27001, Bijlage A en via deze bijlage dus naar ISO27002/BIO. Hier vind je meer informatie over de referenties.

Het CSF bevat naast de ‘core’ ook nog ‘implementation tiers’. Alhoewel er steeds wordt gesteld dat dit géén volwassenheidsniveaus zijn, bezie ik ze toch als zodanig. Om de blog ‘on topic’ te houden ga ik hier nu verder niet op in, maar lees er meer over in bijvoorbeeld deze blog van CyberSaint Security.

Reframe het frame

Wat mij betreft kan het NIST CSF je helpen het ‘grote verhaal’ over informatiebeveiliging richting het (hoger) management en het bestuur opnieuw en beter te framen. Blijf weg uit de compliancehoek en mijd het lastige, ongrijpbare managementsysteem. Het CSF vervangt geenszins je managementsysteem of de BIO – deze standaarden zijn er niet voor niets – maar het framework helpt je dit alles beter uit te leggen. De vijf CSF functies vragen nauwelijks voorkennis en de eenvoud van volwassenheidsniveaus spreekt doorgaans aan. Dus het NIST CSF is wat mij betreft zeker een kans. Maar je zal je wel goed moeten inlezen om alle ingrediënten van het verhaal overtuigend te kunnen brengen. Ik hoop dat dit artikel daar positief aan heeft bijgedragen.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…