چارچوبی برای امنیت سایبری برای زیرساخت های حیاتی
امنیت ملی و اقتصادی ایالات متحده به عملکرد قابل اعنماد زیرساخت های حیاتی بستگی دارد.رئیس جمهور باراک اوباما فرمان اجرایی ۱۳۶۳۶ را با عنوان Improving critical Infrastructure Cybersecurity در ۱۲,۲۰۱۳ Februrary به عنوان یک پالسی برای ایالات متحده برای دستیابی به امنیت ، وجود انعطاف پذیری در زیرساخت های حیاتی کشور و داشتن یک محیط سایبری که نوآوری ، بهره وری و رفاه اقتصادی را گسترش دهد و مباحث مربوط به کسب و کارها محرمانه باقی بماند ، حریم خصوصی و آزادی های مدنی در آن حفظ شود و ریسک های وجود در سازمان ها مدیریت می شود.
نتیجه این framework ایجاد همکاری دولت و بخش خصوصی توسط یک زبان مشترک و از یک راه مقرون به صرفه برای رسیدگی و مدیریت تهدیدات سایبری می باشد و تمرکز اصلی آن روی منابع حیاتی موجود در کسب و کارها و در اختیار قرار دادن یک راهنما برای فعالیت های سایبری می باشد .
Framework شامل سه بخش می باشد :
- The framework core
- The framework profile
- The framework Implementation Tiers
Framework یک راهنمای داوطلبانه برای زیرساخت های حیاتی سازمان ، مدیریت بهتر و کاهش خطرات امنیت سایبری بر پایه استانداردهای موجود ، دستوالعمل ها و تمرینات می باشد .
Framework یک چک لیست پیشنهادی که سازمان ها باید آن را اجرا کنند ارائه نمی دهد بلکه یک راهنماست و متناسب با موقعیت ها ، نیازها و خطرات مختص به هر سازمان پیاده سازی می شود .
Framework به سازمان کمک خواهد کرد تا در کاهش خطرات سایبری درک و مدیریت بهتری داشته باشد . بیشتر از ۳۰۰۰ نفر در بخش های مختلف صنعت ، دانشگاه و دولت در کارگاه های آموزشی ، وبینارها برای گسترش framework شرکت می کنند.
در مورد نقش NIST ( موسسه ملی استاندارد و فناوری ) در تنظیمات استانداردهای امنیت سایبری باید بگوییم که NIST یک آژانس فدرال در داخل بخش بازرگانی ایالات متحده است . ماموریت NIST گسترش استانداردها برای افزایش بهره وری ، تسهیل تجارت و بهبود کیفیت زندگیست . لازم به ذکر است کسب و کارهای کوچک هم می توانند از framework استفاده کنند.
تعریف framework core
مجموعه ای از فعالیت های امنیت سایبری ، نتایج مورد نظر ، منابع قابل اجرا که در سراسر بخش های زیرساخت های حیاتی یکی هستند . مثلا یک مثال برای نتیجه framework می تواند این باشد که همه ی دستگاه های فیزیکی و سیستم های داخل سازمان باید ثبت شود .
تعریف framework profile
می تواند به عنوان ترازی از استانداردها ، دستورالعمل ها در پیاده سازی سناریو ها استفاده شود . از پروفایل ها می توان برای شناسایی فرصت ها برای مقایسه پروفایل فعلی سازمان با پروفایلی که به عنوان هدف انتخاب شده است استفاده کرد.
تعریف framework Implementation Tiers
در framework ردیف های اجرایی یا tier هایی وجود دارد که دید سازمان ها نسبت به امنیت سایبری و مدیریت ریسک را نشان می دهد .
این ردیف ها نمونه های بی نقص و کاملی نیستند بلکه به عنوان یک راهنما در مدیریت ریسک امنیت سایبری و مدیریت ریسک عملیاتی مورد استفاده قرار می گیرد .
Framework version 1.0 توابع و دستورالعمل هایی را به صورت جدول ارئه داده است که خود به منابع دیگری اشاره دارد و برای پیاده سازی این framework در سازمان خود می توان از آن بهره گرفت.
