美国国家标准与技术研究院(NIST)网络安全框架为组织如何评估和提高其预防、检测和响应网络攻击的能力提供了计算机安全指南的政策框架。该框架提供了网络安全结果的高级分类以及评估和管理这些结果的方法
框架概述
NIST网络安全框架(CSF)是一种基于风险的方法,专为企业评估和管理网络安全风险而设计。尽管该框架由美国商务部机构发布,但它提供的标准、指南和实践的通用分类并非针对特定国家/地区;这就解释了为什么全球许多政府、企业和组织都在使用它。
该框架不会取代组织的风险管理或网络安全计划;相反,它是对现有程序的补充,并通过充当高级安全和风险管理和评估工具来提供价值。组织可以利用该框架来确定加强和交流其网络安全风险管理的机会,同时与行业实践保持一致。
它专为企业、政府机构和非营利组织而设计,无论其重点或规模如何。一个组织通常首先使用该框架来开发一个“当前配置文件”,该配置文件描述其网络安全活动及其结果。然后,它可以创建“目标配置文件”或采用为其行业部门(例如,能源或电信行业)或组织类型量身定制的基线配置文件。然后,它可以定义步骤以使其能够从当前配置文件转换到其目标配置文件。
NISTCSF由三个主要部分组成:
框架核心包含有关网络安全方面和方法的各种活动、成果和参考。
框架实施层级组织使用这些层级向其自身及其合作伙伴阐明其如何看待网络安全风险以及其管理方法的复杂程度。
框架概要这是一个组织根据其需求和风险评估从类别和子类别中选择的结果列表。
框架核心
图1.0|NIST网络安全框架核心的五个功能
识别:识别功能中的活动是有效使用框架的基础。
要使组织有效地集中精力并确定其工作的优先级,符合其风险管理战略和业务需求,对业务环境、支持关键职能的资源以及相关的网络安全风险的充分了解是必不可少的。
识别功能有助于了解管理组织内系统、资产、数据、能力和人员的网络安全风险。该职能中的成果类别示例包括:资产管理;商业环境;治理;风险评估和风险管理策略。该组的主要活动包括:
识别物理(人员、设施等)和数字资产(设备、系统、数据、软件等)以建立资产管理计划的基础。
识别组织的业务环境,包括其使命、目标、利益相关者、活动和在供应链中的角色。此信息用于告知网络安全角色、职责和风险管理决策。
识别已建立的网络安全政策、程序和流程,以监控和管理组织的监管、法律、风险、环境和运营要求。对这些的理解有助于网络安全风险的管理。
识别对组织运营(包括使命、职能、形象或声誉)的网络风险和威胁、资产漏洞、对内部和外部公司资源的威胁以及响应活动。
建立风险管理策略,包括识别约束、风险容忍度和假设。这些用于支持操作风险决策。
建立供应链风险管理战略,包括识别、评估和管理供应链风险的流程。这些用于支持与管理供应链风险相关的风险决策。
保护:保护功能中的活动对于开发和实施适当的保障措施以确保关键服务的交付至关重要。
它支持限制或遏制潜在网络安全事件影响的能力。此功能中的结果类别示例包括身份管理和访问控制;意识和培训;数据安全;信息保护流程和程序;维护和保护技术。该组的主要活动包括:
在组织内实施身份管理和访问控制保护,以确保对物理和数字资产的访问仅限于授权用户、流程或设备,
通过安全意识培训使员工能够按照相关的网络安全政策和程序安全地履行职责和责任。
建立与组织的风险策略一致的数据安全保护,以保护信息的机密性、完整性和可用性
实施安全策略、流程和程序,以维护和管理信息系统和资产的保护
管理技术以确保系统的安全性和弹性,与组织政策、程序和协议保持一致
检测:检测功能定义、开发和实施适当的活动,以迅速识别网络安全事件。
此功能中的结果类别示例包括异常和事件;安全持续监控和检测过程。该组中发生的主要行动包括:
监控网络是否有未经授权的用户或连接,并实施检测机制以确保及时发现恶意活动。
调查网络上的任何异常活动并确保及时检测到异常活动并了解事件的潜在影响。
实施持续监控功能以监控IT资产、识别网络安全事件并验证保护措施的有效性。
响应:响应功能支持控制潜在网络安全事件影响的能力,方法是支持开发和实施适当的活动,以针对检测到的安全事件采取行动。
此功能中的结果类别示例包括响应计划;通讯;分析;缓解和改进。该组的主要活动包括:
确保响应流程和程序得到维护和执行,以确保及时响应检测到的网络安全事件。
在网络安全事件期间和之后通知其数据可能面临风险的客户、员工和其他主要利益相关者
开展缓解活动以防止事件扩大及其影响并解决事件。
使用从当前和以前的检测/响应活动中吸取的经验教训更新您的网络安全政策和计划,并实施这些改进
恢复:恢复功能支持及时恢复到因网络安全事件而受到影响的正常操作。它还支持制定和实施适当的活动,以维持复原力计划。
该职能中的成果类别示例包括恢复计划;改进和沟通。该组中发生的主要行动包括:
确保维护和执行恢复流程和程序,并确保及时恢复受网络安全事件影响的系统或资产。
通过将吸取的经验教训纳入未来的活动和现有战略的审查来实施改进。
协调内部和外部沟通,让员工、客户和其他利益相关者了解您的响应和恢复活动。
框架实施层
|
等级 |
姓名 |
描述 |
|
1 |
部分的 |
没有网络安全协调。网络安全实践足以应对所经历的风险。 |
|
2 |
风险知情 |
非正式的共享和协调。组织意识到一些风险,并正在计划如何应对这些风险。 |
|
3 |
可重复 |
定期正式协调。该组织已明确定义且可定期重复的网络安全流程。 |
|
4 |
自适应 |
主动风险管理和信息共享。该组织正在积极推行网络安全措施。 |
表1.0 NIST CSF实施层
|
层名称 |
风险管理流程 |
综合风险管理计划 |
外部参与 |
|
部分的 |
风险管理实践未正式化。反应式方法 |
网络风险意识有限,风险管理不规范 |
没有外部合作 |
|
风险知情 |
经批准的做法,但未广泛用作政策 |
更多的风险意识和内部共享,但没有建立组织范围内的风险管理方法 |
合作,但没有正式的信息共享 |
|
可重复 |
批准为政策并定期更新 |
以风险为导向的政策、流程和程序按预期进行定义、实施和审查 |
协作并定期接收信息 |
|
自适应 |
连续的提高 |
管理网络安全风险的组织范围的方法 |
对内对外积极分享信息 |
表2.0 NIST CSF实施层及其组件
框架配置文件
根据NIST的说法,“框架配置文件使组织能够建立与组织和部门目标完全一致的降低网络安全风险的路线图,考虑法律/监管要求和行业最佳实践,并反映风险管理的优先事项。”框架配置文件可用于描述您的组织的“现状”(当前配置文件)或您想要的特定网络安全级别的“未来状态”(目标配置文件)。现状或当前概况表明当前正在实现的网络安全成果。相比之下,未来状态或目标配置文件显示了实现所需网络安全风险管理目标所需的结果。
组织可以使用配置文件将其当前配置文件与目标配置文件进行比较。根据NIST的说法,配置文件支持组织的业务需求,并有助于在组织内部和外部沟通风险。通过这样做,组织可以看到其网络安全状况的差距并确定改进的机会。组织对缓解这些差距的反应速度取决于其业务需求和风险管理流程。
图2.0|NIST CSF配置文件:当前与目标状态
如何使用NIST网络安全框架
NIST CSF并非旨在取代现有的流程,而是为了补充它们。组织可以使用该框架作为其“识别、评估和管理网络安全风险的系统过程”的关键部分。使用该框架作为网络安全风险管理工具,组织可以确定关键的服务交付活动并确定支出的优先级,以最大限度地发挥投资的影响。以下部分介绍了组织可以使用框架文档中所述的框架的不同方式。
1.网络安全实践的基本审查:该框架可用于将组织当前的网络安全活动与框架核心中概述的活动进行比较。该框架还可以帮助组织回答关键问题,例如他们在哪里以及他们要去哪里。然后,他们可以以更明智的方式采取行动,在认为必要的地方和时间加强他们的网络安全实践。
2.建立或改进网络安全计划:尽管该框架并非旨在用作开发信息安全计划的独立框架,但它可以作为开发公司范围内的网络安全计划的基础。好的安全程序通常是从多个来源或观点构建的,而NIST框架提供了许多出色的工具来做到这一点。该框架还可以定制或与ISO/IEC 27000、COBIT 5、ANSI/ISA 62443和NIST SP 800-53等其他框架或标准配对,以增强您的网络安全计划。
3.与利益相关者沟通网络安全要求:该框架提供了一种通用语言,用于在负责交付重要关键基础设施产品和服务的相互依赖的利益相关者之间沟通要求。组织可以使用该框架通过当前配置文件和目标配置文件将其网络安全当前和所需状态传达给重要的利益相关者。
4.购买决策:框架可用于为购买产品和服务的决策提供信息。购买产品或服务后,配置文件还可用于跟踪和解决剩余的网络安全风险。
5.识别新的或修订的信息参考的机会:该框架可用于识别新的或修订的标准、指南或实践的机会,其中额外的信息参考将帮助组织解决新出现的需求。
结论
NIST CSF是一种强大的工具,可以组织和改善您的网络安全状况。它基于众所周知的标准和实践,代表了当前网络安全的最佳实践。该框架的实施是自愿的——这意味着没有对错之分。如果有兴趣改进您的组织识别、检测、响应和从网络风险中恢复的方式,NIST CSF是一个很好的工具,可以集成到网络安全计划中。为了最大限度地发挥其优势,需要对其进行定制和调整,以满足组织的特定业务流程和优先级。如果不确定从哪里开始,NIST提供了许多可用于开始使用该框架的材料。
原文始发于微信公众号(河南等级保护测评):美国NIST网络安全框架指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论