NIST网络安全框架
NIST网络安全框架(NIST Cybersecurity Framework)是一套用来缓释组织网络安全风险的指南,是美国国家标准技术研究所(NIST)以现有的标准、指南以及实务所基础所订定的指南[1]。此框架“针对网络安全的产出有高层次的分类,并且有方法可以评估并管理这些产出。”[2],而且在网络安全的内容中,加入了个人信息以及公民自由的保护[3]。此框架已翻译为多国语言,是许多政府[4]、企业及组织使用的标准[5][6][7]。
2016年美国安全框架导入研究指出,受访的组织中,有70%认为NIST网络安全框架是信息技术电脑安全中最受欢迎的最佳实务,但也有许多受访者表示这需要相当大金额的投资[8]。
简介
NIST网络安全框架是为企业及组织所设计,便于评估其所面对的风险。
美国国家标准技术研究所在2014年发布了1.0版,原本是针对重要基础设施的运营者。2017年时公开了1.1版的草稿,请求各方提供意。1.1版在2018年4月16日公布,其内容仍和1.0版兼容。
1.1版和1.0版的差异包括加入有关组织自我评估的指引、有关供应链风险管理的细节、和供应链利害关系人交互的指引,以及鼓励漏洞披露的流程。
网络安全框架可以分为三个部分:框架核心(Framework Core)、框架轮廓(Framework Profile)及框架实施层级(Framework Implementation Tiers)。框架核心(Framework Core)包括许多和网络安全面向及作法的活动、成果以及参考资料。框架实施层级(Framework Implementation Tiers)是让组织和其伙伴澄清他们如何看待网络安全风险,以及其管理做法的落实程度[9]。框架轮廓(Framework Profile)中有许多网络安全的产出,组织可以依其需要以及风险评估的结果,在分类及子分类中选择需要的产出。
组织一开始会用网络安全框架来发展目前概况(Current Profile),会说明目前的安全活动以及想要达到的产出,接着会发展目标概况(Target Profile),或是依其产业区块(例如基础设施产业)或是组织种类所剪裁的基线概况,后续则要定义从目前概况转换到目标概况所需的步骤。
近期的研究指出,NIST有能力针对基础设施产业以及私营部门来调整网络安全标准,特别是那些还没有网络安全标准的产业。研究也指出NIST在网络安全上的潜力不只可以影响美国,是可以带来国际性的影响,因此可以产出较好的标准,帮助跨国经营的企业,也让网络世界更加的和平[10]。
安全活动的功能以及分类
NIST网络安全框架将其核心内容组织成5个功能,可以再细分为23个分类。每一个分类中,定义了许多包括安全活动产出以及安全控制的子分类,子分类共有108个。
每一个子分类中,也有提供信息资源,参考了其他信息安全法规的特定章节,例如ISO/IEC 27001、COBIT、NIST SP 800-53、ANSI/ISA-62443及网络安全关键安全控制委员会(CCS CSC,目前由互联网安全中心管理)。这些信息安全法规中,只有NIST SP是免费的,其他都需要付费加入会员,或是购买特定法规,才能看到对应的指引。这个框架的成本以及复杂性让参众议院提出法案,要求NIST创建中小型企业可以使用的网络安全框架[11][12]。
以下是框架文件中提到的功能和分类,以及唯一识别码和定义[13]。
识别
“发展组织有关系统、资产、资料、能力的网络安全风险管理的认知。”
- 资产管理(ID.AM):识别出可让组织达成其商业目的资料、人员、设备、系统及设施,依照这些在商业目标上的相对重要性,以及组织的风险策略,对上述资产进行管理。
- 商业环境(ID.BE):了解组织的使命、目标、利益相关者以及活动,并且排先后顺序。此一信息可以用来告知在网络安全的角色、责任以及风险管理的决策。
- 治理(ID.GV):了解组织用来管控监理单位、法令、风险、环境及运作等需求的政策、程序以及流程,并且告知网络安全风险的管理。
- 风险评估(ID.RA):组织了解有关组织营运(包括使命、功能、形象及声誉)、组织资产以及人员的网络安全风险
- 风险管理策略(ID.RM):组织建立有关营运风险决策的优先级、限制、允许风险以及假设。
- 供应链风险管理(ID.SC):组织建立有关供应链风险管理决策的优先级、限制、允许风险以及假设。组织也已有识别、评估及管理供应链风险的流程。
防护
“发展及实施适当的安全措施,确保关键基础服务以及正常运作。”
- 访问控制(PR.AC):只允许有授权的人员、流程或是设备才可以访问资产及相关设施,并且其活动或交易也要经过授权。
- 意识和训练(PR.AT):组织的人员和上下游厂商都需要有信息安全意识教育训练,并且使用可以进行和资料安全相关的责任及义务,和相关的政策、流程以及协议一致。
- 资料安全(PR.DS):管理信息以及纪录的方式,和组织保护信息机密性、完整性及可用性的风险策略一致。
- 信息保护程序和流程(PR.IP):组织已有安全政策(其中有提到目的、范围、角色、责任、管理承诺以及组织间的合作)、流程及程序,用来管理信息系统及信息资产的保护。
- 维护(PR.MA):以和安全政策和流程一致的方式,维护或修理工业控制或是信息系统的组件。
- 保护技术(PR.PT):管理技术安全方案,确保系统及资产的安全及强健性,并且和相关的政策、程序及协议一致。
侦测
“发展及实施可以识别网络安全事件发生的活动。”
- 异常及事件(DE.AE):可以及时的侦测到异常活动,并且了解事件的潜在影响。
- 安全持续监控(DE.CM):定期监控信息系统以及资产,以识别网络安全事件,并且验证保护措施的效果,
- 侦测流程(DE.DP):维护侦测流程及程序,并且经过测试,确保可以及时、适当的告知有异常事件。
回应
“发展及实施活动,针对已侦测到的网络安全事故进行因应。”
- 回应计划(RS.RP):执行及维护回应流程和程序,确保对侦测到的网络安全事故可以及时回应。
- 沟通(RS.CO):回应计划和内部和外部的利益相关者一起进行,若合适的话,也可以包括执法单位的外部支持。
- 分析(RS.AN):分析的目的是要确保有进行适当的回应,并且分析也可以支持撤销活动。
- 缓释(RS.MI):进行此一活动来避免事件的扩大、缓释其影响、并且根除该事故。
- 改进(RS.IM):透过集成历来侦测活动或回应活动中累积的经验教训,提升组织的回应活动。
撤销
“发展及实施活动,维持组织的韧性计划,撤销所有在网络安全事故中受损的能力或是服务。”
- 撤销计划(RC.RP):执行及维护撤销流程和程序,确保因网络事件影响的系统或资产可以及时的恢复。
- 改进(RC.IM):透过集成经验教训,提升撤销流程和程序,以因应未来的活动。
- 沟通(RC.CO):撤销计划和内部和外部的单位一起进行,例如网络危机处理暨协调中心、网络服务提供者、发起攻击系统的所有者、受害者、其他电脑信息安全事件应变小组、以及供应商。
改版至CSF 2.0
NIST网络安全框架会持续更新及改善,以加入网络安全的新技术以及新威胁,也集成现有的最佳实务以及经验教训。自从2018年发布CSF 1.1版后,利益相关人就有提出意见,认为框架需要更新。NIST在2022年2月提出了有关CSF改善意见的信息需求书,并在2023年1月发布了概念书,说明计划在网络安全框架中会进行的变更。NIST后来在在2023年11月4日发行“Discussion Draft: The NIST Cybersecurity Framework 2.0 Core with Implementation Examples”,请大众提出意见[14]
主要变更
以下是从1.1版变更到2.0版的主要变更[15]:
- 框架的名称改成“网络安全框架”。也更新框架的范围,以反映大部分使用此网络的组织特性。
- 加入了实施的例子,让用户要达到CSF的子分类时,可以有实务且行动导向的流程。此外,框架轮廓也已更新扩展,以说明此轮廓多样化的目的。
- 新增加了一个功能“治理”,提供组织相关的内容,也有要开发网络安全治理模式需要的角色和责任,其中也有一个专门针对网络安全供应链管理的分类。
- 更新的内容也有较多有关网络安全评估的信息,较强调有关安全的持续改善,在“识别”功能中新增了“改善”的分类。
相关条目
- 计算机安全
- 网络安全标准
- 关键基础设施保护
- ISO/IEC 27001:国际标准化组织和国际电工委员会提出,有关信息安全的标准。
- COBIT:信息及相关技术控制目标,来自国际电脑审核协会(ISACA)的类似框架。
- NIST Special Publication 800-53:Security and Privacy Controls for Federal Information Systems and Organizations.
参考资料
- 本条目引用的公有领域材料来自国家标准技术研究所的文档《NIST Cybersecurity Framework》。
- ^ Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei. Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 2020-01-01, 6 (tyaa005). ISSN 2057-2085. doi:10.1093/cybsec/tyaa005 .
- ^ Achieving Successful Outcomes With the NIST Cybersecurity Framework. GovLoop. [2021-06-12]. (原始内容存档于2023-10-23) (美国英语).
- ^ HealthITSecurity. HIMSS: NIST Cybersecurity Framework Positive, Can Improve. February 10, 2016 [2016-08-02]. (原始内容存档于2023-10-24).
- ^ NIST Cybersecurity Framework.
- ^ Workshop plots evolution of NIST Cybersecurity Framework. FedScoop. April 7, 2016 [2016-08-02]. (原始内容存档于2024-05-12).
- ^ HealthITSecurity. NIST Cybersecurity Framework Updates, Clarification Underway. June 10, 2016 [2016-08-02]. (原始内容存档于2023-10-24).
- ^ PricewaterhouseCoopers. Why you should adopt the NIST Cybersecurity Framework. [2016-08-04]. (原始内容存档于2017-03-28).
- ^ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. Information Week Dark Reading. March 30, 2016 [2016-08-02]. (原始内容存档于2021-04-19).
- ^ Justin Seitz. Black Hat Python: Python Programming for Hackers. No Starch Press. 2021-04-14 [2023-12-21]. ISBN 978-1718501126. (原始内容存档于2021-08-26).
- ^ Toward a Global Cybersecurity Standard of Care?: - ProQuest. www.proquest.com. [2023-11-10]. ProQuest 1704865080 (英语).
- ^ MAIN STREET Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. (原始内容存档于2023-10-23).
- ^ NIST Small Business Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. (原始内容存档于2023-10-19).
- ^ National Institute for Standards and Technology (NIST). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. NIST (Gaithersburg, MD). 2018-04-16. doi:10.6028/nist.cswp.04162018 .
- ^ The NIST Cybersecurity Framework 2.0. NIST. [20 October 2023]. (原始内容存档于2024-05-20).
- ^ Public Draft: The NIST Cybersecurity Framework 2.0 (PDF). NIST. [20 October 2023]. (原始内容存档 (PDF)于2024-05-05).
外部链接
- NISTIR 8374 (Draft) (页面存档备份,存于互联网档案馆): Cybersecurity Framework Profile for Ransomware Risk Management (Preliminary Draft)
- 官方网站
- How To Use (And Not Use) The NIST Cybersecurity Framework | FRSecure LLC | Information Security Management (页面存档备份,存于互联网档案馆)
- Harnessing the Power of the NIST Cybersecurity Framework (页面存档备份,存于互联网档案馆)
- A 10 Minute Guide to the NIST Cybersecurity Framework (页面存档备份,存于互联网档案馆)
- Informative References Home (页面存档备份,存于互联网档案馆)
- Derived Relationship Mapping (页面存档备份,存于互联网档案馆)
- Informative Reference Catalog (页面存档备份,存于互联网档案馆)