NIST网络安全框架是基于现有标准、指南和实践的自愿性指导,以帮助组织更好地管理和减少网络安全风险。它促进了内部和外部利益相关者之间的网络安全风险管理和相关沟通,对于较大的组织来说,有助于更好地将网络安全风险管理与NISTIR 8286系列中描述的更广泛的企业风险管理流程相整合和协调。
NIST网络安全框架由五个关键功能组成:识别、保护、检测、响应、恢复。这五个被广泛理解的术语,在一起考虑时,提供了一个管理网络安全的生命周期的全面观点。每个功能下所列的活动可以为你的组织提供一个良好的起点。
一、识别
识别关键的企业流程和资产-你的企业有哪些活动是绝对必须继续的,以便能够生存下去?例如,这可能是维护一个网站以检索付款,安全地保护客户/病人信息,或确保你的企业收集的信息保持可访问性和准确性。
记录信息流 - 不仅要了解你的企业收集和使用什么类型的信息,而且要了解数据的位置和流向,特别是在合同和外部合作伙伴参与的地方。
维护硬件和软件库存 - 对企业中的计算机和软件有一个了解是很重要的,因为这些经常是恶意行为者的进入点。这个清单可以像电子表格一样简单。
建立包括角色和责任的网络安全政策 - 这些政策和程序应清楚地描述你对网络安全活动如何保护你的信息和系统的期望,以及它们如何支持关键的企业流程。网络安全政策应与其他企业风险考虑相结合(如财务、声誉)。
识别威胁、漏洞和资产风险 - 确保建立和管理风险管理流程,以确保内部和外部威胁得到识别、评估,并记录在风险登记册中。确保风险应对措施得到确定和优先考虑,执行,并对结果进行监测。
二、保护
管理对资产和信息的访问 - 为每个员工创建独特的账户,确保用户只能访问其工作所需的信息、计算机和应用程序。在允许用户访问信息、计算机和应用程序之前,对他们进行认证(例如,密码、多因素技术)。严格管理和跟踪对设备的物理访问。
保护敏感数据--如果你的企业存储或传输敏感数据,确保这些数据在计算机上存储和传输给其他方时都受到加密保护。考虑利用完整性检查,以确保只对数据进行经批准的更改。当不再需要或因合规目的需要时,安全地删除和/或销毁数据。
进行定期备份 - 许多操作系统都有内置的备份功能;也有软件和云解决方案可以实现备份过程的自动化。一个好的做法是将一组经常备份的数据保持在离线状态,以保护其免受勒索软件的影响。
安全地保护你的设备 - 考虑安装基于主机的防火墙和其他保护措施,如端点安全产品。对设备应用统一的配置并控制对设备配置的更改。禁用那些对支持任务功能没有必要的设备服务或功能。确保有一个政策,并确保设备被处理掉
管理设备漏洞 - 定期更新安装在你的计算机和其他设备上的操作系统和应用程序,以保护它们免受攻击。如果可能的话,启用自动更新。考虑使用软件工具来扫描设备的其他漏洞;对具有高可能性和/或影响的漏洞进行补救。
培训用户 - 定期培训和再培训所有用户,确保他们了解企业的网络安全政策和程序,以及他们的具体角色和责任,这是雇佣条件。
三、检测
测试和更新检测过程 - 制定和测试检测网络和物理环境中未经授权的实体和行为的过程和程序,包括人员活动。工作人员应了解他们在组织内部以及向外部管理和法律机构报告的作用和责任。
维护和监控日志 - 日志对于识别企业的计算机和应用程序中的异常情况至关重要。这些日志记录了一些事件,如对系统或账户的更改,以及通信渠道的启动。考虑使用可以汇总这些日志的软件工具,并从预期的网络行为中寻找模式或异常情况。
了解企业的预期数据流 - 如果你知道企业的预期数据流是什么以及如何流动的,那么当意外发生时,你就更有可能注意到 - 在网络安全方面,意外从来不是一件好事。意外的数据流可能包括客户信息从内部数据库导出并离开网络。如果你将工作承包给了云计算或管理服务提供商,请与他们讨论他们如何跟踪数据流和报告,包括意外事件。
了解网络安全事件的影响-如果发现了网络安全事件,你的企业应该迅速而彻底地了解影响的广度和深度。寻求帮助。与适当的利益相关者沟通事件的信息,将有助于使你在合作伙伴、监督机构和其他方面(可能包括投资者)保持良好的状态,并改进政策和流程。
四、响应
确保应对计划得到测试-测试应对计划,确保每个人都知道自己在执行计划中的责任,这一点更加重要。你的组织准备得越充分,应对措施就可能越有效。这包括了解任何法律报告要求或必要的信息共享。
确保应对计划得到更新--测试计划(以及在事件中的执行)不可避免地会发现需要改进的地方。一定要根据所学到的经验更新响应计划。
与内部和外部利益相关者协调 - 确保企业的响应计划和更新包括所有关键利益相关者和外部服务提供商,这一点很重要。他们可以为计划和执行的改进作出贡献。
五、恢复
与内部和外部利益相关者沟通 - 恢复的一部分取决于有效的沟通。你的恢复计划需要仔细说明与各利益相关者分享哪些信息、如何分享以及何时分享,以便所有相关方收到他们需要的信息,但没有不适当的信息被分享。
确保恢复计划得到更新 - 与应对计划一样,测试执行将提高员工和合作伙伴的意识,并突出需要改进的地方。一定要用学到的经验来更新恢复计划。
管理公共关系和公司声誉 - 恢复的一个关键方面是管理企业的声誉。在制定恢复计划时,考虑你将如何管理公共关系,以便你的信息共享是准确、完整和及时的,而不是反应性的。
原文始发于微信公众号(网络安全等保测评):NIST网络安全框架(Cybersecurity Framework CSF)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论