Wat is NIST SP 800-37?
NIST SP 800-37 is de officiële handleiding van het NIST Risk Management Framework (RMF) en beschrijft hoe organisaties risicobeheer toepassen gedurende de gehele levenscyclus van informatiesystemen.
Het document operationaliseert het RMF voor gebruik in zowel IT- als OT-omgevingen, en is een sleutelelement binnen FISMA-Compliance en NIST CSF-uitlijning.
🧠 Wat behandelt NIST SP 800-37?
Deze special publication definieert de stappen, rollen, inputs en outputs binnen het RMF, en biedt richtlijnen voor:
- Het integreren van risicobeheer in systeemontwikkeling en -beheer
- Het maken van geïnformeerde beslissingen over het al dan niet autoriseren van systemen
- Het toepassen van security controls vanuit NIST SP 800-53
- Continue monitoring en risicoreductie in lijn met de PDCA-cyclus
🔁 De 7 stappen van het RMF volgens SP 800-37
| Stap | Beschrijving |
|---|---|
| 1. Prepare | Voorbereiden van organisatie en systeem: beleid, risico-appetite, rollen |
| 2. Categorize | Classificeren van systemen o.b.v. impact op CIA (Confidentiality, Integrity, Availability) |
| 3. Select | Beveiligingsmaatregelen kiezen uit NIST SP 800-53 passend bij risiconiveau |
| 4. Implement | Technisch en organisatorisch implementeren van de controls |
| 5. Assess | Evalueren van de effectiviteit van de beveiligingsmaatregelen |
| 6. Authorize | Goedkeuring geven of weigeren voor systeemgebruik, o.b.v. risicoacceptatie |
| 7. Monitor | Doorlopend toezicht houden op status, incidenten, wijzigingen en risico’s |
Elke stap heeft gedefinieerde inputs, outputs en verantwoordelijken (bijv. System Owner, Authorizing Official, Security Control Assessor).
🏭 Toepassing in OT-omgevingen
| RMF-stap | Voorbeeld binnen OT-context |
|---|---|
| Prepare | Rollen definiëren voor PLC-beheerders, ISO, integrators |
| Categorize | Classificatie van SCADA, Historian en HMI op impact |
| Select | Keuze voor Firewall, Access Control, MFA, Monitoring |
| Implement | Jump Server configureren met logging en RBAC |
| Assess | Beveiligingsaudit uitvoeren op Remote Access |
| Authorize | OT-manager geeft schriftelijke goedkeuring voor activatie van systeem |
| Monitor | Continu SIEM-gebruik en Anomaliedetectie in control zone |
🔐 Koppelingen met andere kaders
| Standaard | Relatie met SP 800-37 |
|---|---|
| NIST SP 800-53 | Leverancier van de technische security controls |
| NIST SP 800-30 | Methode voor risicoanalyse tijdens voorbereiding & selectie |
| NIST CSF | Hoger abstractieniveau framework dat RMF ondersteunt |
| IEC 62443-2-1 | Vergelijkbare CSMS-benadering voor OT-organisaties |
| ISO 27001 | Internationaal alternatief met gelijkaardige ISMS-strategie |
✅ Voordelen van NIST SP 800-37
- Volledig lifecycle management van systeemrisico’s
- Transparantie en verantwoordelijkheid door vastgelegde rollen
- Ondersteunt audits en compliance (bijv. FISMA, NIS2)
- Toepasbaar op zowel klassieke IT als industriële netwerken (OT)
📌 Samengevat
NIST SP 800-37 is de operationele handleiding van het RMF en beschrijft stap voor stap hoe je risicobeheer toepast op systemen. Het kader helpt organisaties om hun informatiesystemen verantwoord te beheren, met continue aandacht voor beveiliging, prestaties en naleving.