NIST CSF在核心部分提供了六個類別的關(guān)鍵功能和子功能,并圍繞CSF的使用提供了層級(Tier)和配置(Profile)兩種工具,使不同組織和用戶更方便有效地使用CSF,本文將深入探討CSF層級和配置的主要內(nèi)容,及其使用方法。關(guān)鍵字:網(wǎng)絡(luò)安全框架;CSF層級;CSF配置
一
CSF層級
在組織的系統(tǒng)性風(fēng)險治理過程中,CSF框架可以用于識別、評估和管理網(wǎng)絡(luò)安全風(fēng)險。結(jié)合現(xiàn)有的管理流程,組織可以利用CSF分析確定當(dāng)前網(wǎng)絡(luò)安全風(fēng)險管理方法中存在的差距,并制定改進(jìn)路線圖。CSF通過“(實施)層級”為利益相關(guān)者提供了組織網(wǎng)絡(luò)安全計劃的相關(guān)背景信息。NIST 明確指出,CSF層級并非成熟度模型,而是一種指導(dǎo)性的方法,用于闡明網(wǎng)絡(luò)安全風(fēng)險管理和企業(yè)運營風(fēng)險管理之間的關(guān)系,簡而言之,層級提供了一條清晰的路徑,將網(wǎng)絡(luò)安全風(fēng)險納入企業(yè)的整體組織風(fēng)險中,同時作為評估當(dāng)前網(wǎng)絡(luò)安全風(fēng)險管理實踐的基準(zhǔn),幫助組織制定改善其網(wǎng)絡(luò)安全狀況的計劃。
1.層級定義
由于不同組織具有不同的風(fēng)險、不同的風(fēng)險承受能力以及不同的威脅和漏洞,因此他們對CSF的實施方式也會存在區(qū)別。例如,大型企業(yè)可能已經(jīng)實施了CSF核心中的大部分安全措施,而小型組織可能因為只擁有較少的數(shù)據(jù)泄露途徑,其數(shù)據(jù)安全流程可能僅處于起步階段。為了滿足不同組織的不同安全要求,實施層以等級式的描述方式,將企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理實踐映射至CSF框架,用來描述企業(yè)實踐與NIST CSF的一致程度。
圖1 NIST CSF的四個實施層級
這些層級可幫助組織考慮其網(wǎng)絡(luò)安全計劃的適當(dāng)嚴(yán)格程度、如何有效地將網(wǎng)絡(luò)安全風(fēng)險決策整合到更廣泛的風(fēng)險決策中,以及企業(yè)從第三方共享和接收網(wǎng)絡(luò)安全信息的程度。NIST明確指出這些級別不是成熟度級別。級別越高,企業(yè)的風(fēng)險管理實踐就越符合NIST CSF的規(guī)定。每個實施層都分為兩個個主要組成部分:風(fēng)險治理實踐(治理)和風(fēng)險管理實踐(識別、保護(hù)、檢測、響應(yīng)和恢復(fù))。
2.層級選擇
企業(yè)組織的領(lǐng)導(dǎo)層負(fù)責(zé)選擇在該組織在網(wǎng)絡(luò)安全風(fēng)險治理和管理中應(yīng)達(dá)到的CSF層級。選擇層級時,一般考慮如下原則:● 在整體層級、功能或類別層級進(jìn)行選擇,比在子類別層級進(jìn)行選擇,可以更好地了解組織當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險管理實踐?!袢绻M織只想關(guān)注CSF功能的子集,可以使用兩個層級(治理或管理)組件之一。例如,如果您的范圍僅限于治理,則可以省略網(wǎng)絡(luò)安全風(fēng)險管理描述。在選擇層級時,考慮組織的以下特征和因素:當(dāng)前的風(fēng)險管理實踐;威脅環(huán)境;法律和監(jiān)管要求;信息共享實踐;業(yè)務(wù)和任務(wù)目標(biāo);供應(yīng)鏈要求;組織的約束,包括資源。●確保所選擇的層級有助于實現(xiàn)組織目標(biāo),可行實施,并將網(wǎng)絡(luò)安全風(fēng)險降低到組織可接受的水平,以保護(hù)關(guān)鍵資產(chǎn)和資源。●需要時鼓勵向更高層級發(fā)展,以解決風(fēng)險或法規(guī)要求。
二
CSF配置
功能、類別和子類別與組織的業(yè)務(wù)需求、風(fēng)險承受能力和資源的一致性。配置文件使組織能夠建立一個降低網(wǎng)絡(luò)安全風(fēng)險的路線圖,該路線圖與組織和部門目標(biāo)保持一致,考慮法律/監(jiān)管要求和行業(yè)最佳實踐,并反映風(fēng)險管理優(yōu)先事項??紤]到許多組織的復(fù)雜性,他們可能會選擇擁有多個配置文件,與特定組件保持一致并認(rèn)識到他們的個人需求。框架配置文件可用于描述特定網(wǎng)絡(luò)安全活動的當(dāng)前狀態(tài)或期望的目標(biāo)狀態(tài)。組織的CSF配置可以分為:●當(dāng)前配置:指定了組織當(dāng)前實現(xiàn)的一組CSF成效,并描述了如何實現(xiàn)每個功能?!衲繕?biāo)配置:指定了為實現(xiàn)組織的網(wǎng)絡(luò)安全風(fēng)險管理目標(biāo),而優(yōu)先考慮的期望 CSF 成效。目標(biāo)配置需要考慮組織網(wǎng)絡(luò)安全態(tài)勢的預(yù)期變化,例如新要求、新技術(shù)的采用情況,以及威脅情報的趨勢。CSF 2.0 描述了一個用于創(chuàng)建和使用組織概況的五步流程。更具體地說,該流程將一個目標(biāo)配置(愿景)與一個當(dāng)前配置(已評估)進(jìn)行比較。然后,進(jìn)行差距分析,并制定和實施行動計劃。該流程自然地導(dǎo)致了目標(biāo)概況的改進(jìn),以在下一次評估期間使用。
圖2 NIST CSF配置的創(chuàng)建步驟
1.確定范圍
該步驟主要記錄那些用于定義概況的一些基本事實和假設(shè),以定義其范圍。一個組織可以擁有多個不同的組織配置,每個配置都具有不同的范圍。例如,一個配置可以涵蓋整個組織,也可以只針對組織的財務(wù)系統(tǒng),或應(yīng)對勒索軟件威脅和處理涉及這些財務(wù)系統(tǒng)的勒索軟件事件。在該階段需要回答以下問題:●創(chuàng)建組織配置的原因是什么?●該配置是否將覆蓋整個組織?如果不是,將包括組織的哪些部門、數(shù)據(jù)資產(chǎn)、技術(shù)資產(chǎn)、產(chǎn)品和服務(wù),以及/或合作伙伴和供應(yīng)商?●配置是否將涵蓋所有類型的網(wǎng)絡(luò)安全威脅、漏洞、攻擊和防御?如果不是,將包括哪些類型?●誰負(fù)責(zé)制定、審查和實施配置?●誰負(fù)責(zé)設(shè)定實現(xiàn)目標(biāo)結(jié)果的行動規(guī)劃?
2.收集信息
該階段需要收集的信息示例包括組織政策、風(fēng)險管理優(yōu)先事項和資源、企業(yè)風(fēng)險概況、業(yè)務(wù)影響分析(BIA)登記、組織遵循的網(wǎng)絡(luò)安全要求和標(biāo)準(zhǔn)、實踐和工具(例如,程序和安全措施)以及工作角色。每個配置所需信息的來源主要取決于實際情況,該配置需要捕獲的元素,以及所期望的詳細(xì)級別。
3.創(chuàng)建配置
創(chuàng)建配置需要確定配置應(yīng)包含的信息類型,以及記錄所需信息。考慮當(dāng)前配置的風(fēng)險影響,以指導(dǎo)目標(biāo)配置的規(guī)劃和優(yōu)先級確定。此外,考慮使用社區(qū)配置作為目標(biāo)概況的基礎(chǔ)。創(chuàng)建配置的主要步驟包括:●下載最新的CSF組織配置模板表格,并根據(jù)需要進(jìn)行自定義;●將適用的網(wǎng)絡(luò)安全成效納入您的配置用例,并根據(jù)需要記錄理由;●在當(dāng)前配置欄中記錄當(dāng)前的網(wǎng)絡(luò)安全實踐;●在目標(biāo)配置欄中記錄網(wǎng)絡(luò)安全目標(biāo)及其實現(xiàn)計劃;●使用優(yōu)先級字段,突出每個目標(biāo)的重要性。
4.分析差距
分析當(dāng)前配置和目標(biāo)配置之間的差距,并制定行動計劃。通過差距分析,識別當(dāng)前配置和目標(biāo)配置之間的差異,并制定優(yōu)先行動計劃(例如,風(fēng)險登記、風(fēng)險報告、行動計劃和里程碑等),以解決這些差距。
圖3 通過配置分析差距和改進(jìn)
5.行動改進(jìn)
該階段主要實施行動計劃,并更新組織的配置。通過遵循行動計劃解決差距,并使組織朝著目標(biāo)配置邁進(jìn)。一般來說,行動計劃可以設(shè)置總體的截止日期,也可能是持續(xù)進(jìn)行的。行動計劃通過管理、程序化和技術(shù)控制的任意組合來實現(xiàn)。隨著這些控制的實施,組織概況可以用于跟蹤實施狀態(tài)。隨后,通過關(guān)鍵績效指標(biāo)(KPI)和關(guān)鍵風(fēng)險指標(biāo)(KRI)可以監(jiān)測控制措施和相關(guān)風(fēng)險。超出風(fēng)險容忍度的網(wǎng)絡(luò)風(fēng)險通過風(fēng)險評估進(jìn)行觀察。超出風(fēng)險容忍度的風(fēng)險可能會促使行動計劃、組織配置的更新。差距分析也可能導(dǎo)致創(chuàng)建具有更長修復(fù)時間的差距。
三
使用方法
層級和組織配置是NIST CSF提供的關(guān)鍵工具,一旦組織確定了層級選擇,就可以使用它們來幫助制定組織的當(dāng)前和目標(biāo)配置文件。例如,如果領(lǐng)導(dǎo)層確定您的組織在識別和保護(hù)功能中應(yīng)該處于第二層(風(fēng)險知情),那么當(dāng)前配置文件將反映目前在這兩個功能內(nèi),實現(xiàn)第二層網(wǎng)絡(luò)安全風(fēng)險管理實踐的情況(如表1)。表1針對“識別”和“保護(hù)”功能的風(fēng)險管理實踐描述(采用第2層級的示例)
層級 |
風(fēng)險治理實踐 |
風(fēng)險管理實踐 |
第1級(部分的) |
… |
… |
第2級(風(fēng)險知悉) |
… |
組織在組織級別意識到了網(wǎng)絡(luò)安全風(fēng)險,但尚未建立全面的網(wǎng)絡(luò)安全風(fēng)險管理方法。 在組織目標(biāo)和計劃中考慮網(wǎng)絡(luò)安全可能會在組織的某些層面發(fā)生,但并非所有層面都會涉及。對組織和外部資產(chǎn)進(jìn)行網(wǎng)絡(luò)風(fēng)險評估是常有的,但通常不是可重復(fù)或定期進(jìn)行的。 組織內(nèi)部的網(wǎng)絡(luò)安全信息共享是以非正式的方式進(jìn)行的。 組織意識到了與其供應(yīng)商以及所采購和使用的產(chǎn)品和服務(wù)相關(guān)的網(wǎng)絡(luò)安全風(fēng)險,但并未一致或正式地對這些風(fēng)險做出響應(yīng)。 |
第3級(可重復(fù)) |
… |
|
第4級(自適應(yīng)) |
… |
… |
同樣,目標(biāo)配置文件將反映出需要改進(jìn)的識別和保護(hù)結(jié)果,以完全實現(xiàn)第二層描述。層級應(yīng)該用于指導(dǎo)和提供信息,而不是取代組織的網(wǎng)絡(luò)安全風(fēng)險治理和管理方法。
審核編輯 黃宇
-
框架
+關(guān)注
關(guān)注
0文章
397瀏覽量
17358 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3083瀏覽量
59464 -
CSF
+關(guān)注
關(guān)注
0文章
14瀏覽量
12471 -
NIST
+關(guān)注
關(guān)注
1文章
21瀏覽量
9287
發(fā)布評論請先 登錄
相關(guān)推薦
評論