NIST CSF是一個(gè)關(guān)鍵的網(wǎng)絡(luò)安全指南,不僅適用于組織內(nèi)部,還可幫助管理第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。CSF核心包含了六個(gè)關(guān)鍵功能——治理、識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù),以及與這些功能相關(guān)的類別和子類別。本文將深入探討CSF核心的主要內(nèi)容,及其使用方法。關(guān)鍵字:網(wǎng)絡(luò)安全框架;CSF核心;威脅檢測(cè)
一
內(nèi)容簡(jiǎn)介
NIST將CSF核心定義為一系列網(wǎng)絡(luò)安全活動(dòng)、期望的結(jié)果,以及適用于關(guān)鍵基礎(chǔ)設(shè)施部門的信息參考。CSF核心提供了與網(wǎng)絡(luò)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)、指南和實(shí)踐,幫助整個(gè)組織從管理層到實(shí)施/運(yùn)營(yíng)層就具體的網(wǎng)絡(luò)安全活動(dòng)和任務(wù)目標(biāo)進(jìn)行高級(jí)別的溝通和交流。
表1給出了CSF核心在各個(gè)版本中的內(nèi)容變化情況,在2.0正式版本中,NIST對(duì)CSF核心的修改主要體現(xiàn)在以下方面:
(1)增加“治理”功能
NIST將向CSF添加跨領(lǐng)域的“治理”組件,重點(diǎn)關(guān)注組織環(huán)境、風(fēng)險(xiǎn)管理策略、政策以及角色和職責(zé),該調(diào)整將會(huì)影響監(jiān)管機(jī)構(gòu)和組織評(píng)估網(wǎng)絡(luò)安全活動(dòng)有效性的方式。
(2)新增供應(yīng)鏈風(fēng)險(xiǎn)管理
更新后的框架預(yù)計(jì)將更好地納入供應(yīng)鏈風(fēng)險(xiǎn)管理、隱私風(fēng)險(xiǎn)管理和更重要的網(wǎng)絡(luò)安全措施等關(guān)鍵領(lǐng)域,以確保其在未來(lái)十年的相關(guān)性,解決相關(guān)領(lǐng)域技術(shù)和風(fēng)險(xiǎn)的最新變化。
(3)與國(guó)際標(biāo)準(zhǔn)接軌
CSF 2.0將提高與美國(guó)、國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和實(shí)踐的一致性,與ISO 27001和GDPR等其他標(biāo)準(zhǔn)和框架保持一致,以增強(qiáng)使用性和靈活性。
(4)更新功能類別
CSF 2.0將在整個(gè)框架中對(duì)功能、類別和子類別進(jìn)行大量添加、刪除或修改,并刪除對(duì)關(guān)鍵基礎(chǔ)設(shè)施的具體提及,以強(qiáng)調(diào)該框架對(duì)各類行業(yè)組織的適用性。
二
關(guān)鍵功能
CSF核心包含了治理、識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)六個(gè)功能,涵蓋了網(wǎng)絡(luò)安全活動(dòng)的流程、能力、內(nèi)容和日常工作。
圖1 NIST CSF Core功能與分類
1.治理(Govern)
CSF 2.0引入了新的“治理”功能,旨在建立組織的企業(yè)風(fēng)險(xiǎn)管理策略,包括網(wǎng)絡(luò)風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)和隱私風(fēng)險(xiǎn)。該功能涵蓋人員、流程和技術(shù)元素,除了整個(gè)CSF實(shí)施過(guò)程中的技術(shù)之外,還涵蓋角色、職責(zé)、政策、程序和監(jiān)督。治理功能包含6個(gè)關(guān)鍵類別:●組織上下文(GV.OC):理解與組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理決策相關(guān)的外部因素,包括任務(wù)、利益相關(guān)者的期望、法律、合規(guī)及合同要求等。●風(fēng)險(xiǎn)管理戰(zhàn)略(GV.RM):確定并溝通組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的優(yōu)先事項(xiàng)、限制、風(fēng)險(xiǎn)承受能力、風(fēng)險(xiǎn)偏好及其假設(shè),并應(yīng)用于支持運(yùn)營(yíng)風(fēng)險(xiǎn)決策?!窠巧?、責(zé)任和權(quán)限(GV.RR):建立并傳達(dá)了組織網(wǎng)絡(luò)安全的角色、職責(zé)和權(quán)限,以促進(jìn)責(zé)任問(wèn)責(zé)、績(jī)效評(píng)估和持續(xù)改進(jìn)?!裾撸℅V.PO):建立、傳達(dá)和執(zhí)行了組織的網(wǎng)絡(luò)安全政策?!癖O(jiān)督(GV.OV):利用組織范圍內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)的成效,指導(dǎo)、改進(jìn)和調(diào)整風(fēng)險(xiǎn)管理戰(zhàn)略?!窬W(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理(GV.SC):網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理流程由組織利益相關(guān)者共同確定、建立、管理、監(jiān)控和改進(jìn)。網(wǎng)絡(luò)安全形勢(shì)處于不斷變化的狀態(tài),威脅不斷變化,業(yè)務(wù)環(huán)境不斷變化,以及相應(yīng)的應(yīng)用程序和基礎(chǔ)設(shè)施發(fā)生變化?!爸卫怼笨纱_保組織在實(shí)施CSF的其他五個(gè)核心職能時(shí),網(wǎng)絡(luò)安全策略與組織使命、業(yè)務(wù)目標(biāo)、可接受的風(fēng)險(xiǎn)和利益相關(guān)者的期望保持一致,以適應(yīng)外部環(huán)境。
2.識(shí)別(Identify)
“識(shí)別”功能旨在發(fā)現(xiàn)組織面臨的特定風(fēng)險(xiǎn)。因此,在實(shí)施必要的保護(hù)措施之前,了解需要保護(hù)的內(nèi)容及其原因很重要。該功能涵蓋所有基礎(chǔ)信息,包括數(shù)據(jù)、資產(chǎn)和系統(tǒng),對(duì)所有資產(chǎn)進(jìn)行盤點(diǎn),確定資產(chǎn)的連接和關(guān)聯(lián)方式,并定義保護(hù)這些資產(chǎn)的員工角色和職責(zé)?!白R(shí)別”功能包含三個(gè)關(guān)鍵類別:●資產(chǎn)管理(ID.AM):按照組織風(fēng)險(xiǎn)戰(zhàn)略,對(duì)資產(chǎn)(例如,數(shù)據(jù)、硬件、軟件、系統(tǒng)、設(shè)施、服務(wù)、人員)進(jìn)行識(shí)別和相應(yīng)的管理。●風(fēng)險(xiǎn)評(píng)估(ID.RA):評(píng)估組織人員、資產(chǎn)和運(yùn)營(yíng)的潛在風(fēng)險(xiǎn)。●改進(jìn)(ID.IM):識(shí)別、確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理在流程、程序和活動(dòng)方面的改進(jìn)措施。簡(jiǎn)而言之,成功實(shí)施“識(shí)別”,有助于了解組織當(dāng)前的安全狀況,也有助于制定計(jì)劃以達(dá)到所需的安全狀態(tài)。
3.保護(hù)(Protect)
“識(shí)別”功能主要關(guān)注監(jiān)控和評(píng)估,而“保護(hù)”功能則更注重行動(dòng),其目的是限制或遏制潛在的網(wǎng)絡(luò)威脅。為保護(hù)組織業(yè)務(wù)環(huán)境,可采取的主要行動(dòng)包括:●身份管理、認(rèn)證和訪問(wèn)控制(PR.AA):僅為授權(quán)用戶、服務(wù)和硬件提供針對(duì)物理、邏輯資產(chǎn)的訪問(wèn),并按照非授權(quán)訪問(wèn)的安全風(fēng)險(xiǎn)進(jìn)行管理?!褚庾R(shí)與培訓(xùn)(PR.AT):為組織人員提供網(wǎng)絡(luò)安全意識(shí)培訓(xùn),以便他們能夠勝任與網(wǎng)絡(luò)安全相關(guān)的任務(wù)?!駭?shù)據(jù)安全(PR.DS):數(shù)據(jù)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致,以保護(hù)信息的機(jī)密性、完整性和可用性。●平臺(tái)安全(PR.PS):物理和虛擬平臺(tái)的硬件、軟件(例如,固件、操作系統(tǒng)、應(yīng)用程序)和服務(wù)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致,以保護(hù)其機(jī)密性、完整性和可用性?!窦夹g(shù)架構(gòu)彈性(PR.IR):安全架構(gòu)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致,以保護(hù)資產(chǎn)的機(jī)密性、完整性和可用性,并確保組織的彈性。值得注意的是,“保護(hù)”功能不僅僅是防止網(wǎng)絡(luò)威脅。有時(shí),網(wǎng)絡(luò)安全事件是不可避免的。因此,保障措施還應(yīng)包括遏制事件影響的措施。
4.檢測(cè)(Detect)
檢測(cè)功能主要是在威脅事件發(fā)生時(shí),能夠立即發(fā)現(xiàn)它們,旨在強(qiáng)調(diào)識(shí)別安全漏洞的及時(shí)性。此處的“威脅事件”是指給定系統(tǒng)或環(huán)境中的異常行為。例如,該行為可能包括檢測(cè)到新設(shè)備,或授權(quán)用戶登錄失敗等??梢?,檢測(cè)功能需要從廣泛的網(wǎng)絡(luò)安全角度,來(lái)識(shí)別業(yè)務(wù)環(huán)境的任何變化。該功能中的主要類別包括:●持續(xù)監(jiān)控(DE.CM):監(jiān)控組織資產(chǎn)的使用,以發(fā)現(xiàn)異常、失陷指標(biāo)和其他潛在的不良事件?!裢{事件分析(DE.AE):對(duì)異常、失陷指標(biāo)和其他潛在不良事件進(jìn)行特征分析和定義,并檢測(cè)網(wǎng)絡(luò)安全事件。
5.響應(yīng)(Respond)
響應(yīng)功能是遏制網(wǎng)絡(luò)事件影響的能力,制定并實(shí)施適當(dāng)?shù)幕顒?dòng),針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件采取行動(dòng)。全面的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃是最好的響應(yīng)起點(diǎn),詳細(xì)說(shuō)明IT團(tuán)隊(duì)在發(fā)生漏洞、泄露或攻擊時(shí)應(yīng)采取的措施。該功能的主要類別包括:●安全事件管理(RS.MA):對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件進(jìn)行管理?!癜踩录治觯≧S.AN):對(duì)安全事件進(jìn)行調(diào)查,以確保有效的響應(yīng),并支持取證和恢復(fù)活動(dòng)?!癜踩录憫?yīng)報(bào)告和溝通(RS.CO):根據(jù)法律、法規(guī)和政策要求,協(xié)調(diào)內(nèi)部和外部利益相關(guān)者,對(duì)安全事件響應(yīng)進(jìn)行溝通和報(bào)告?!癜踩录徑猓≧S.MI):防止事件擴(kuò)散,并降低其影響。在網(wǎng)絡(luò)事件響應(yīng)中明確角色和職責(zé)非常重要,確保員工了解自己在保護(hù)業(yè)務(wù)環(huán)境方面的角色,以便遵循、實(shí)施事件響應(yīng)計(jì)劃。最后,報(bào)告所有安全事件至關(guān)重要,以便確定問(wèn)題原因,以及未來(lái)可以改進(jìn)的內(nèi)容。
6.恢復(fù)(Recover)
恢復(fù)是CSF的最后一個(gè)核心功能,主要關(guān)注在事件發(fā)生后,恢復(fù)受網(wǎng)絡(luò)安全事件影響的資產(chǎn)和運(yùn)營(yíng)活動(dòng)。該功能的主要類別包括:●安全事件恢復(fù)計(jì)劃執(zhí)行(RC.RP):按計(jì)劃開展恢復(fù)活動(dòng),以確保受網(wǎng)絡(luò)安全事件影響的系統(tǒng)和服務(wù)可用?!癜踩录謴?fù)溝通(RC.CO):在實(shí)施恢復(fù)時(shí),與內(nèi)部和外部各方進(jìn)行協(xié)調(diào)溝通。全面的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃對(duì)于成功實(shí)施恢復(fù)功能至關(guān)重要。該計(jì)劃應(yīng)包括備份數(shù)據(jù)的完整說(shuō)明,并優(yōu)先考慮擬議恢復(fù)計(jì)劃的行動(dòng)步驟。
三
使用方法
CSF是一個(gè)基于結(jié)果的框架,而并非具體的控制措施,這也使得組織能夠從建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)能力和措施出發(fā),以滿足當(dāng)前乃至未來(lái)法規(guī)的合規(guī)性要求,因此,在組織內(nèi)實(shí)現(xiàn)NIST CSF是一個(gè)非常有價(jià)值的挑戰(zhàn)??蚣芎诵倪€提供了兩種附加資源,來(lái)幫助組織了解如何實(shí)現(xiàn)功能、類別和子類別。
1、參考信息
參考信息是來(lái)自標(biāo)準(zhǔn)、指南、法規(guī)和其他資源的指導(dǎo)性內(nèi)容,比子類別更加具體,例如來(lái)自SP 800-53《信息系統(tǒng)和組織的安全與隱私控制》的控制。在這種情況下,組織可以使用多個(gè)控制來(lái)實(shí)現(xiàn)某個(gè)子類別中描述的結(jié)果。
2、實(shí)施示例
除了參考信息提供的指導(dǎo)之外,實(shí)施示例可以提供簡(jiǎn)明、面向行動(dòng)的步驟性示例,以幫助實(shí)現(xiàn)子類別的結(jié)果,但這些示例并非是組織為實(shí)現(xiàn)結(jié)果可以采取的所有行動(dòng)的詳盡列表,也不代表解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的基準(zhǔn)行動(dòng)。雖然信息參考和實(shí)施示例被視為核心的一部分,但它們只在NIST CSF網(wǎng)站上單獨(dú)維護(hù),并以在線格式存儲(chǔ)。組織可以在實(shí)施CSF Core時(shí),可隨時(shí)利用NIST網(wǎng)絡(luò)安全和隱私參考工具(CPRT),獲得最新的參考和示范,也可以隨時(shí)通過(guò)NIST國(guó)家在線信息參考(OLIR)計(jì)劃提交更新建議。
審核編輯 黃宇
-
框架
+關(guān)注
關(guān)注
0文章
403瀏覽量
17491 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3160瀏覽量
59771 -
NIST
+關(guān)注
關(guān)注
1文章
21瀏覽量
9316
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論