專家解讀 | NIST網(wǎng)絡(luò)安全框架（3）：層級配置

NIST CSF在核心部分提供了六個類別的關(guān)鍵功能和子功能，并圍繞CSF的使用提供了層級（Tier）和配置（Profile）兩種工具，使不同組織和用戶更方便有效地使用CSF，本文將深入探討CSF層級和配置的主要內(nèi)容，及其使用方法。關(guān)鍵字：網(wǎng)絡(luò)安全框架；CSF層級；CSF配置

一

CSF層級

在組織的系統(tǒng)性風(fēng)險治理過程中，CSF框架可以用于識別、評估和管理網(wǎng)絡(luò)安全風(fēng)險。結(jié)合現(xiàn)有的管理流程，組織可以利用CSF分析確定當(dāng)前網(wǎng)絡(luò)安全風(fēng)險管理方法中存在的差距，并制定改進路線圖。CSF通過“（實施）層級”為利益相關(guān)者提供了組織網(wǎng)絡(luò)安全計劃的相關(guān)背景信息。NIST 明確指出，CSF層級并非成熟度模型，而是一種指導(dǎo)性的方法，用于闡明網(wǎng)絡(luò)安全風(fēng)險管理和企業(yè)運營風(fēng)險管理之間的關(guān)系，簡而言之，層級提供了一條清晰的路徑，將網(wǎng)絡(luò)安全風(fēng)險納入企業(yè)的整體組織風(fēng)險中，同時作為評估當(dāng)前網(wǎng)絡(luò)安全風(fēng)險管理實踐的基準(zhǔn)，幫助組織制定改善其網(wǎng)絡(luò)安全狀況的計劃。

1．層級定義

由于不同組織具有不同的風(fēng)險、不同的風(fēng)險承受能力以及不同的威脅和漏洞，因此他們對CSF的實施方式也會存在區(qū)別。例如，大型企業(yè)可能已經(jīng)實施了CSF核心中的大部分安全措施，而小型組織可能因為只擁有較少的數(shù)據(jù)泄露途徑，其數(shù)據(jù)安全流程可能僅處于起步階段。為了滿足不同組織的不同安全要求，實施層以等級式的描述方式，將企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理實踐映射至CSF框架，用來描述企業(yè)實踐與NIST CSF的一致程度。

圖1 NIST CSF的四個實施層級

這些層級可幫助組織考慮其網(wǎng)絡(luò)安全計劃的適當(dāng)嚴(yán)格程度、如何有效地將網(wǎng)絡(luò)安全風(fēng)險決策整合到更廣泛的風(fēng)險決策中，以及企業(yè)從第三方共享和接收網(wǎng)絡(luò)安全信息的程度。NIST明確指出這些級別不是成熟度級別。級別越高，企業(yè)的風(fēng)險管理實踐就越符合NIST CSF的規(guī)定。每個實施層都分為兩個個主要組成部分：風(fēng)險治理實踐（治理）和風(fēng)險管理實踐（識別、保護、檢測、響應(yīng)和恢復(fù)）。

2．層級選擇

企業(yè)組織的領(lǐng)導(dǎo)層負責(zé)選擇在該組織在網(wǎng)絡(luò)安全風(fēng)險治理和管理中應(yīng)達到的CSF層級。選擇層級時，一般考慮如下原則：● 在整體層級、功能或類別層級進行選擇，比在子類別層級進行選擇，可以更好地了解組織當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險管理實踐?！袢绻M織只想關(guān)注CSF功能的子集，可以使用兩個層級（治理或管理）組件之一。例如，如果您的范圍僅限于治理，則可以省略網(wǎng)絡(luò)安全風(fēng)險管理描述。在選擇層級時，考慮組織的以下特征和因素：當(dāng)前的風(fēng)險管理實踐；威脅環(huán)境；法律和監(jiān)管要求；信息共享實踐；業(yè)務(wù)和任務(wù)目標(biāo)；供應(yīng)鏈要求；組織的約束，包括資源?！翊_保所選擇的層級有助于實現(xiàn)組織目標(biāo)，可行實施，并將網(wǎng)絡(luò)安全風(fēng)險降低到組織可接受的水平，以保護關(guān)鍵資產(chǎn)和資源?！裥枰獣r鼓勵向更高層級發(fā)展，以解決風(fēng)險或法規(guī)要求。

二

CSF配置

功能、類別和子類別與組織的業(yè)務(wù)需求、風(fēng)險承受能力和資源的一致性。配置文件使組織能夠建立一個降低網(wǎng)絡(luò)安全風(fēng)險的路線圖，該路線圖與組織和部門目標(biāo)保持一致，考慮法律/監(jiān)管要求和行業(yè)最佳實踐，并反映風(fēng)險管理優(yōu)先事項?？紤]到許多組織的復(fù)雜性，他們可能會選擇擁有多個配置文件，與特定組件保持一致并認識到他們的個人需求。框架配置文件可用于描述特定網(wǎng)絡(luò)安全活動的當(dāng)前狀態(tài)或期望的目標(biāo)狀態(tài)。組織的CSF配置可以分為：●當(dāng)前配置：指定了組織當(dāng)前實現(xiàn)的一組CSF成效，并描述了如何實現(xiàn)每個功能?！衲繕?biāo)配置：指定了為實現(xiàn)組織的網(wǎng)絡(luò)安全風(fēng)險管理目標(biāo)，而優(yōu)先考慮的期望 CSF 成效。目標(biāo)配置需要考慮組織網(wǎng)絡(luò)安全態(tài)勢的預(yù)期變化，例如新要求、新技術(shù)的采用情況，以及威脅情報的趨勢。CSF 2.0 描述了一個用于創(chuàng)建和使用組織概況的五步流程。更具體地說，該流程將一個目標(biāo)配置（愿景）與一個當(dāng)前配置（已評估）進行比較。然后，進行差距分析，并制定和實施行動計劃。該流程自然地導(dǎo)致了目標(biāo)概況的改進，以在下一次評估期間使用。

圖2 NIST CSF配置的創(chuàng)建步驟

1．確定范圍

該步驟主要記錄那些用于定義概況的一些基本事實和假設(shè)，以定義其范圍。一個組織可以擁有多個不同的組織配置，每個配置都具有不同的范圍。例如，一個配置可以涵蓋整個組織，也可以只針對組織的財務(wù)系統(tǒng)，或應(yīng)對勒索軟件威脅和處理涉及這些財務(wù)系統(tǒng)的勒索軟件事件。在該階段需要回答以下問題：●創(chuàng)建組織配置的原因是什么？●該配置是否將覆蓋整個組織？如果不是，將包括組織的哪些部門、數(shù)據(jù)資產(chǎn)、技術(shù)資產(chǎn)、產(chǎn)品和服務(wù)，以及/或合作伙伴和供應(yīng)商？●配置是否將涵蓋所有類型的網(wǎng)絡(luò)安全威脅、漏洞、攻擊和防御？如果不是，將包括哪些類型？●誰負責(zé)制定、審查和實施配置？●誰負責(zé)設(shè)定實現(xiàn)目標(biāo)結(jié)果的行動規(guī)劃？

2．收集信息

該階段需要收集的信息示例包括組織政策、風(fēng)險管理優(yōu)先事項和資源、企業(yè)風(fēng)險概況、業(yè)務(wù)影響分析（BIA）登記、組織遵循的網(wǎng)絡(luò)安全要求和標(biāo)準(zhǔn)、實踐和工具（例如，程序和安全措施）以及工作角色。每個配置所需信息的來源主要取決于實際情況，該配置需要捕獲的元素，以及所期望的詳細級別。

3．創(chuàng)建配置

創(chuàng)建配置需要確定配置應(yīng)包含的信息類型，以及記錄所需信息?？紤]當(dāng)前配置的風(fēng)險影響，以指導(dǎo)目標(biāo)配置的規(guī)劃和優(yōu)先級確定。此外，考慮使用社區(qū)配置作為目標(biāo)概況的基礎(chǔ)。創(chuàng)建配置的主要步驟包括：●下載最新的CSF組織配置模板表格，并根據(jù)需要進行自定義；●將適用的網(wǎng)絡(luò)安全成效納入您的配置用例，并根據(jù)需要記錄理由；●在當(dāng)前配置欄中記錄當(dāng)前的網(wǎng)絡(luò)安全實踐；●在目標(biāo)配置欄中記錄網(wǎng)絡(luò)安全目標(biāo)及其實現(xiàn)計劃；●使用優(yōu)先級字段，突出每個目標(biāo)的重要性。

4．分析差距

分析當(dāng)前配置和目標(biāo)配置之間的差距，并制定行動計劃。通過差距分析，識別當(dāng)前配置和目標(biāo)配置之間的差異，并制定優(yōu)先行動計劃（例如，風(fēng)險登記、風(fēng)險報告、行動計劃和里程碑等），以解決這些差距。

圖3 通過配置分析差距和改進

5．行動改進

該階段主要實施行動計劃，并更新組織的配置。通過遵循行動計劃解決差距，并使組織朝著目標(biāo)配置邁進。一般來說，行動計劃可以設(shè)置總體的截止日期，也可能是持續(xù)進行的。行動計劃通過管理、程序化和技術(shù)控制的任意組合來實現(xiàn)。隨著這些控制的實施，組織概況可以用于跟蹤實施狀態(tài)。隨后，通過關(guān)鍵績效指標(biāo)（KPI）和關(guān)鍵風(fēng)險指標(biāo)（KRI）可以監(jiān)測控制措施和相關(guān)風(fēng)險。超出風(fēng)險容忍度的網(wǎng)絡(luò)風(fēng)險通過風(fēng)險評估進行觀察。超出風(fēng)險容忍度的風(fēng)險可能會促使行動計劃、組織配置的更新。差距分析也可能導(dǎo)致創(chuàng)建具有更長修復(fù)時間的差距。

三

使用方法

層級和組織配置是NIST CSF提供的關(guān)鍵工具，一旦組織確定了層級選擇，就可以使用它們來幫助制定組織的當(dāng)前和目標(biāo)配置文件。例如，如果領(lǐng)導(dǎo)層確定您的組織在識別和保護功能中應(yīng)該處于第二層（風(fēng)險知情），那么當(dāng)前配置文件將反映目前在這兩個功能內(nèi)，實現(xiàn)第二層網(wǎng)絡(luò)安全風(fēng)險管理實踐的情況（如表1）。表1針對“識別”和“保護”功能的風(fēng)險管理實踐描述（采用第2層級的示例）

同樣，目標(biāo)配置文件將反映出需要改進的識別和保護結(jié)果，以完全實現(xiàn)第二層描述。層級應(yīng)該用于指導(dǎo)和提供信息，而不是取代組織的網(wǎng)絡(luò)安全風(fēng)險治理和管理方法。

審核編輯 黃宇