Das NIST CSF enthält Terminologie und Konzepte, die auf spezifische Weise ausgedrückt werden können, um Perspektiven und Verwendungen einzubeziehen, die für die Implementierung des Rahmenwerks einzigartig sind und sich von dem unterscheiden, womit Sie in Ihrem normalen Betrieb umzugehen gewohnt sind. Sie müssen über ein grundlegendes Verständnis der in der Branche verwendeten Sicherheitsgrundlagen verfügen. So wird beispielsweise die bekannte CIA-Triade in unseren Kursen immer wieder erwähnt. Darüber hinaus gibt es einige Aspekte des Rahmens, die in allen Diskussionen zu den Themen in diesem Kurs enthalten sind. Wir stellen sie hier vor, dazu gehören: Cybersecurity & Information Security, Drivers of Business & Environments, und Cybersecurity Fundamentals. Diese Konzepte werden in verschiedenen Diskussionen in allen Modulen dieses Kurses vorkommen, und Sie sollten sich mit ihnen vertraut machen.

Da es sich um einen risikobasierten Ansatz für das Management von Cybersicherheitsrisiken handelt, besteht das NIST CSF aus drei Teilen: dem Kern des Rahmenwerks mit seinen vier Bereichen und fünf Prozessen, den vier Implementierungsebenen des Rahmenwerks und seinen Programmen und Prozessen sowie den Rahmenwerksprofilen, -zielen, -typen und -stufen. Jede Komponente des Rahmenwerks stärkt die Verbindung zwischen Geschäfts- und Missionsfaktoren und Cybersicherheitsaktivitäten.

Das NIST CSF bietet eine gemeinsame Sprache für die Kommunikation von Anforderungen zwischen voneinander abhängigen Akteuren, die für die Bereitstellung wichtiger kritischer Infrastrukturprodukte und -dienstleistungen verantwortlich sind. So kann eine Organisation beispielsweise ein Zielprofil verwenden, um die Anforderungen an das Cybersecurity-Risikomanagement für einen externen Dienstleister (z. B. einen Cloud-Anbieter, an den sie Daten exportiert) zu formulieren. Darüber hinaus kann eine Organisation ihren Cybersicherheitsstatus durch ein Ist-Profil ausdrücken, um über Ergebnisse zu berichten oder um sie mit Beschaffungsanforderungen zu vergleichen; wir werden im Laufe des Kurses weitere Beispiele behandeln.

Risikomanagement ist der kontinuierliche Prozess der Identifizierung, Bewertung und Reaktion auf Risiken. Um Risiken zu managen, sollten Organisationen die Wahrscheinlichkeit des Eintretens eines Ereignisses und die möglichen Auswirkungen kennen. Anhand dieser Informationen können Organisationen das akzeptable Risikoniveau für das Erreichen ihrer Organisationsziele bestimmen und dies als ihre Risikotoleranz ausdrücken. Risiken, die sich auf Organisationen auswirken, können Konsequenzen haben, die von Auswirkungen auf die wirtschaftliche Leistung bis hin zum beruflichen Ansehen reichen. In diesem Kurs wird der RMF-Prozess erörtert, der ein diszipliniertes, strukturiertes und flexibles Verfahren für das Management von Sicherheits- und Datenschutzrisiken bietet, das die Kategorisierung der Informationssicherheit, die Auswahl, Implementierung und Bewertung von Kontrollen, System- und allgemeine Kontrollberechtigungen sowie die kontinuierliche Überwachung umfasst. Außerdem wird erörtert, wie das Risikomanagement durch Identifizierung, Bewertung und Reaktion auf Risiken dazu beiträgt, dass Unternehmen in einem Umfeld voller Unsicherheiten bessere Leistungen erbringen.

Cyber SCRM ist die Gesamtheit der Aktivitäten, die für das Management von Cybersicherheitsrisiken im Zusammenhang mit externen Parteien erforderlich sind. Genauer gesagt befasst sich das Cyber-SCRM sowohl mit den Auswirkungen, die eine Organisation auf externe Parteien hat, als auch mit den Auswirkungen, die externe Parteien auf eine Organisation haben, auf die Cybersicherheit.

Bei den Kernfunktionen handelt es sich um eine Auflistung von Kategorien, Unterkategorien und informativen Verweisen, die spezifische Cybersicherheitsaktivitäten beschreiben, die allen Sektoren kritischer Infrastrukturen gemeinsam sind. Sie sind nicht dazu gedacht, einen seriellen Pfad zu bilden oder zu einem statischen gewünschten Endzustand zu führen. Vielmehr sollten die Funktionen gleichzeitig und kontinuierlich ausgeführt werden, um eine Betriebskultur zu schaffen, die sich mit dem dynamischen Cybersicherheitsrisiko befasst. Dieser Kurs beschreibt die sechs Kernfunktionen des Rahmenwerks (Steuern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen) und enthält Beschreibungen von Kategorien, Unterkategorien und informative Verweise

Das CSF ist so konzipiert, dass es die bestehenden Geschäfts- und Cybersicherheitsabläufe ergänzt. Sie kann als Grundlage für ein neues Cybersicherheitsprogramm oder als Mechanismus zur Verbesserung eines bestehenden Programms dienen. Es bietet ein Mittel, um die Anforderungen an die Cybersicherheit gegenüber Geschäftspartnern und Kunden zu formulieren. Darüber hinaus kann es helfen, Lücken in den Cybersicherheitspraktiken eines Unternehmens zu identifizieren. Der Kurs beschreibt die Schritte, die eine Organisation anwenden kann, um ihre aktuellen Cybersecurity-Aktivitäten mit denen zu vergleichen, die im CSF-Kern umrissen sind, indem sie Profile erstellt, um festzustellen, ob sie Möglichkeiten hat oder sich verbessern muss.

Das CSF wurde entwickelt, um Risiken zu reduzieren, indem das Management von Cybersicherheitsrisiken für die Unternehmensziele verbessert wird. Im Idealfall sind Organisationen, die das Rahmenwerk nutzen, in der Lage, ihre Risiken zu messen und ihnen Werte zuzuweisen, zusammen mit den Kosten und Vorteilen der Schritte, die zur Reduzierung der Risiken auf ein akzeptables Niveau unternommen werden. In diesem Kurs wird beschrieben, wie wichtig es ist, ein klares Verständnis der organisatorischen Ziele, der Beziehung zwischen diesen Zielen und unterstützenden Cybersicherheitsergebnissen zu haben und wie diese diskreten Cybersicherheitsergebnisse implementiert und verwaltet werden, um die Organisation bei der Vorhersage zu unterstützen, ob ein Cybersicherheitsrisiko eintreten kann und welche Auswirkungen es haben könnte.