Neuer Entwurf für ein Rahmenprogramm in Cybersicherheit
Nach dem Aufruf von US-Präsident Barack Obama zur Verbesserung der „Critical Infrastructure Cybersecurity“ ist nun ein erster Entwurf vorgelegt worden.
Das National Institute of Standards and Technology (NIST) hat einen vorläufigen Entwurf veröffentlicht, der als Vorbereitung für das bevorstehende Treffen in Dallas gilt. In diesem Treffen werden sich Regierungsbeauftragte mit Personen aus der Sicherheitsindustrie zusammensetzen und die Implementierung eines neuen Rahmenprogramms diskutieren.
Dabei soll das neue Rahmenprogramm jedoch nicht die bestehenden Einrichtungen ersetzen. Vielmehr sollen die bestehenden Prozesse zur Cybersicherheit um neue Punkte und Prozesse ergänzt werden.
Das von der Regierung und der Industrie geschaffene Gerüst bildet eine mögliche Grundlage für das Organisieren und Bewältigen von Risiken, die die Cybersicherheit gefährden könnten. Das Rahmenprogramm beschäftigt sich sowohl mit finanziellen, als auch mit operativen Risiken sowie mit dem Datenschutz.
Der Vorschlag hat drei wesentliche Hauptbestandteile.
Zunächst werden die Hauptpunkte im Kern des Rahmenprogramms in fünf Unterbereiche eingeteilt:
- Was muss wie geschützt werden – Risikomanagement
- Schutz durch das Errichten von Absicherungen, um wichtige Infrastrukturen zu stärken
- Aufspüren von Viren und Malware mit neuen Methoden
- Auf Bedrohungen antworten durch das Bestimmen von Prioritäten und Abläufen
- Wiederherstellen der möglicherweise geschädigten Daten nach einem Cyberangriff
Dann werden die Implementierungsstufen und Profile festgelegt.
Im letzten Teil werden die Ziele und Vorgaben in drei Schritten überprüft:
- Identifizieren und priorisieren von Verbesserungsmöglichkeiten
- Auswertung von erreichten Fortschritten
- Kommunikation mit den Stakeholdern verbessern
Die Verfasser erhoffen sich von dem neuen Rahmenprogramm eine ständige Verbesserung bestehender Sicherheitsvorkehrungen. Dabei legen sie jedoch darauf wert, dass trotzdem individuelle Vorkehrungen getroffen werden müssen:
„Unique missions, threats, vulnerabilities, and risk tolerances may require different risk management strategies“ – Executive Summary
(Einzigartige Missionen, Bedrohungen, Schwächen und Risikobereitschaften benötigen unterschiedliche Strategien zur Bewältigung von Risiko)
Nutzer sollten sich also bei ihren Bemühungen nicht ausschließlich auf das vorliegende Rahmenprogramm stützen, sondern vielmehr selbst ihre eigenen Risiken bestmöglich analysieren.
Artikel von fcw.com, 28.08.2013: NIST issues preliminary cybersecurity draft framework
Artikel von federaltimes.com, 28.08.2013: NIST seeks feedback on draft cybersecurity framework