全文约1万字 阅读约30分钟
这是一篇关于安全框架的集大成之作。结合了9种具体框架进行了综述:ISO 27001、NIST CSF、ISO 27002、NIST SP 800-53、NIST SP 800-171、CIS 20、ISA/IEC 62443、COBIT 2019、ITIL。
安全框架为构建一致性安全能力提供了良好基础,但框架的多样性可能使其成为一个艰难的选择。
安全框架包含三类框架族:安全控制框架(SCF)、安全管理计划(SMP)框架、IT治理框架(ITGF)。
选择控制很重要,但正确地管理控制更重要。一个管理不善的好控制,可能不如一个管理良好的坏控制。这就是为什么说:安全管理计划(SMP)是最重要的框架。
安全框架与风险管理的关系:组织应采用基于风险的方法,来选择和管理各项安全控制措施。RMF(风险管理框架)提供了决策过程,支持确定活动优先级、与业务沟通、证明费用和资源合理性。最重要的是,它提供了一种持续评估业务活动、环境的方法。所有安全框架,只有在与风险管理方法结合时,才能提供最佳结果。
安全框架与安全架构的关系:安全架构不是一个框架。安全架构是一种为决策过程定义规则的方法,它使用安全框架来提供在给定用例中必须使用的安全控制组件。对于没有安全架构功能的组织,安全框架提供了一种有价值的引导方法;对于具有安全架构功能的组织,安全框架也可以通过指示一组公共控制来加快将业务需求转换为控制标识的过程。
关于安全架构之综述,请参见《建立安全架构方法的指导框架》,以了解如何使用安全架构方法,从安全框架中获得最佳效果,并与风险管理相集成。
本报告译自Gartner于2020年非公开发布的《Security Frameworks: The What and Why, and How to Select Yours》。译文近两万字,精简至一万言,稍作结构调整。并无商业目的,只为同步信息。如果存在侵权,联系笔者删除。
二、比较框架族
三、解释框架
四、选择框架
六、框架说明
□ ISO 27002
□ NIST SP 800-53
□ NIST SP 800-171
□ CIS 20
□ ISA/IEC 62443
关键词:
-
SCF(安全控制框架)
-
SMP(安全管理计划)
-
ITGF(IT治理框架)
-
ITIL(IT基础设施库)
-
ITSM(IT服务管理)
-
ISMS(信息安全管理系统)
-
CIS(Internet安全中心)
-
CSF(网络安全框架)
-
COBIT(信息系统和技术控制目标)
-
RMF(风险管理框架)
-
安全管理计划(SMP)是最重要的框架。国际标准化组织(ISO)称之为信息安全管理系统(ISMS)。若想在没有SMP的情况下实现控制,几乎是无法保障的。著名的SMP包括NIST CSF和ISO 27001。
-
安全控制框架(SCF)为控制提供了良好的基线,但得益于基于风险的控制选择过程。最受欢迎的SCF是CIS 20、NIST SP 800-53、ISO 27002。
-
IT治理框架(ITGF)是安全的使能器。IT治理提供了资产管理、变更管理、企业规划——即安全有效性的所有基础。著名的ITGF包括COBIT和ITIL。
-
当刚开始很少或没有时,使用CIS 20来提供基本的卫生、沟通、计划。一旦你可以成熟你的方法,则尽快引入一种基于安全管理计划(SMP)的方法。 -
如果你已经制定了安全策略,又正好需要一个沟通或组织工具,则从NIST网络安全框架(CSF)开始。在此基础之上,再使用NIST SP 800-53(或ISO 27002),随着时间推移深入发展。 -
如果可能的话,在任何地方使用单一的安全管理计划(SMP)框架和实现。因为不同的安全方法,将导致混乱。
-
聚焦于IT治理而非安全性
-
对过程控制而非技术控制(如变更、资产或事件管理)的严重倾向
-
安全性被视为一个补充性问题,而风险管理可能更接近框架的核心
-
聚焦于安全治理过程、政策、度量和质量维护
-
可能包含控制列表,但与更大的控制框架相关
-
提供安全计划的实施框架,而非基于战术控制的方法
-
包含了可能在您的环境中使用的控制的大列表
-
很少或根本不讨论过程或其他治理
-
需要某种形式的选择过程,这样您就不需要实施所有列出的控制
-
保护他们的环境 -
证明预算的合理性 -
制定全面的安全计划
2)定义和管理其计划的方法论,使组织能够:
-
合规
-
使审计员满意
-
改善他们的风险管理成效
-
风险管理框架(RMF):提供了决策过程。RMF是一个具有广泛影响的复杂主题。之所以强调RMF,源于在开发和运行安全计划时使用基于风险的方法的重要性。RMF支持确定优先级、支出理由、度量成效。最重要的是,它提供了一种持续评估业务活动、环境的方法。所有安全框架,只有在与风险管理方法结合时,才能提供最佳结果。
-
安全架构(方法论):不是一个安全框架。相反,它是一种为决策过程定义规则的方法,它使用框架来提供在给定用例中必须使用的安全控制组件。参见《建立安全架构方法的指导框架》,了解如何使用正式方法从安全框架中获得最佳效果,并与风险管理集成。
评判标准 |
解释 |
聚焦安全控制 |
该框架包含一个全面的或其他的安全控制列表,包括可以应用的技术控制和过程控制。这样一个列表应该涵盖适用于框架预期范围的各种领域。大多数这样的列表都包含了对控制应该如何工作的重要解释,以及关于预期效能级别的关键信息。 |
详细控制 |
框架在控制的描述和要求中,包含不同级别的细节信息。一些框架,如CIS 20,是特意的高级别框架。而其他的框架,比如治理框架,可能在非安全性(即服务管理和治理)控制领域有更多的细节,因为这是框架的主要关注点。 |
安全管理计划(SMP) |
一个简单的控制列表并不足以帮助组织制定可靠的安全计划。还需要一个安全计划,被ISO称为信息安全管理系统(ISMS)。这是对计划的一种有用的思考方式——过程和治理的集合,它们共同构成了一种系统的和严谨的方法来控制实现。控制框架也可能包含ISMS,但通常作为单独(相关)标准提供的,如NIST SP 800-53和NIST CSF。 |
集成的风险管理框架 |
Gartner的立场是,组织应根据风险选择和管理控制,以确保更好地协调和排序资源分配。仅仅选择控制或试图在SCF中应用完整列表,将导致一些人的支出过度,而另一些人的支出不足,导致控制无法与业务风险保持一致。组织应该使用风险管理方法,这些方法可以基于风险管理框架。 |
相关的风险管理框架 |
不包含某种程度的风险管理的SCF,可能有旨在整合的密切相关的标准。NIST SP 800-37和ISO 27005(或更广泛范围的ISO 31000)都提供了这一点。注意安全风险不与企业风险一样;将一个框架用于另一个目的,将导致不恰当的评估和风险管理。 |
安全报告过程 |
该框架包含一个固有的过程来支持度量,并向领导层和其他干系人报告这些度量指标。该报告是一个主要的沟通工具,有助于明确风险管理的有效性以及资源和预算讨论。 |
可用的组织认证 |
遵守框架是可取的,但在某些情况下需要加以确认,例如对于潜在的安全敏感服务的服务提供商。合规性的证明通常由第三方提供。在编写本报告时,只有NIST SP 800-171和ISO 27001可在组织层面获得认证。NIST SP 800-171只是一个特定的用例;而ISO认证很少适用于整个组织。NIST CSF目前不可认证,但可能会根据NIST SP 800-171和FedRAMP认证决策的未来而改变。 |
需要专门技能 |
提供对安全框架的合规性或一致性并不简单。认证人员是有用的。有些框架向个人提供特定的培训或认证,以支持他们的发展。一些框架要么非常复杂,要么有其他特定的要求(如NIST SP 800-171),因此需要专门培训。 |
主要范围:IT或OT |
一般IT的安全方法不同于操作技术(OT)和物联网(IoT)。IT的安全标准可用于OT,但不是特定的,可能与OT没有直接关系。而OT标准不能有效地用于IT。 |
过程范围 |
这将考虑框架是否包括对控制和/或组织内更广泛的安全活动进行管理的过程的要求、建议或其他信息。 |
独立标准 |
标准是独立于行业还是国家所有制?一些组织更喜欢使用独立于任何既得利益的标准或定义,如ISO或Internet安全中心(CIS)。有些要求只使用国家标准,这可能会妨碍它们使用这里列出的框架。 |
免费使用 |
这些标准都不昂贵(NIST和CIS文件是免费的)。然而,组织内大量的许可副本可能会变得昂贵。请注意,“付费”并不一定等于“更好”。例如,NIST标准是免费的,但被视为标准领域的领导者。 |
-
通用SCF:Gartner最常用的三种是ISO 27002、NIST SP 800-53、CIS 20。
-
特定用例SCF:它们旨在解决特定的用例,比如NIST SP 800-171和ISA/IEC 62443。
-
统一合规框架(UCF):UCF是一个综合的(商业)映射系统,它映射法规、标准和其他控制驱动因素,但它并不是一个独立的框架。
-
您为您的风险要求,选择了正确的控制。
-
您可以有效且持续地管理控制。
-
你记录下你这样做的证据。
-
你提供了有效的安全保障。
图3-控制选择的驱动因素
-
告知作用域的IT上下文。
-
合规要求:如果第三方机构要求你做某事,那么你必须做。
-
风险管理驱动因素:在前两个过滤器之后,还需要对环境执行风险评估,以决定任何额外的控制要求。
-
如果需要使用ISO27001,请使用ISO27002进行控制,不要试图直接使用NIST SP 800-53。如果还需要风险管理框架,请考虑ISO 31000或ISO 27005。
-
如果需要使用NIST SP 800-171,则使用NIST CSF和NIST SP 800-53,同时使用NIST 800-37风险管理。
图4-决定使用哪个框架套件
-
你必须遵循特定的框架吗?在美国处理政府敏感数据的人员需要NIST SP 800-171。
-
现有的IT治理框架为引入安全流程和直接相关的控制提供了坚实的基础。但从长远来看,ITGF安全控制评估可能是不够的。因此,随着ITGF方法的成熟,希望引入一个以安全性为中心的框架。ITGF和以安全为中心的框架协同工作得非常好:一个框架提供优秀的治理,另一个框架提供控制选择和安全管理技术。
-
“向上沟通”是大多数安全经理的必备条件。向高级管理层描述安全计划、进展、有效性(及其资源需求)对成功至关重要。CIS 20是向IT部门报告的良好起点,因为控制群组很好地映射到了常见的IT和网络问题。NIST CSF也为向上展示提供了一个完整的框架,其中包括一个自我评估工具和其他制品。而ISO 27000标准则根本没有解决这个问题。
-
您是否使用CIS 20,如果是,子控制的状态如何?
-
您是否在使用ISO27001,如果是,ISMS是否已经启动或实施?
-
如果您使用的是NIST SP 800-53,选择了哪些控制?文件在哪里解释了他们是如何被选中的,以及为什么被选中的?
-
“我们面对这个问题,这意味着我们的业务面临着这种程度的损失。”
-
“我们需要花费这笔钱实施控制,以便业务风险达到可以接受的水平。”
-
“我们已经确定这个控制不适合我们的需要,因为实现的成本将超过它所解决的风险。”
-
通过实施这种控制,我们允许IT这样做,从而安全地实现业务目标。
-
它比ISO 27002略为全面,因为它包括选择控制和评估安全性的过程(通过NIST SP 800-53A),以及修订版5中与隐私相关的特定控制。
-
许多美国组织更喜欢使用NIST框架。向联邦机构提供服务的组织,必须遵守NIST SP 800-171,该标准与NIST SP 800-53紧密结合。使用NIST SP 800-53作为初步或扩展到800-171合规性,是合乎逻辑的步骤。
-
有人认为,其技术控制清单有所改进,并在某种程度上预选。还注意到,其控制与低、中、高灵敏度基线的相关性。对于某些控制要求,NIST SP 800-53更为具体。这使得NIST 800系列几乎成为一个现成的安全计划。
图5-NIST CSF v1.1中的控制条目示例,显示控制需求和映射
来源:网络安全观
↑↑↑长按图片识别二维码关註↑↑↑
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论