NIST網絡安全框架

NIST網絡安全框架(NIST Cybersecurity Framework)是一套用來緩釋组织網路安全風險的指南,是美國國家標準技術研究所(NIST)以現有的標準、指南以及實務所基礎所訂定的指南[1]。此框架「針對網路安全的產出有高層次的分類,並且有方法可以評估並管理這些產出。」[2],而且在網路安全的內容中,加入了個人資訊以及公民自由的保護[3]。此框架已翻譯為多國語言,是許多政府[4]、企業及組織使用的標準[5][6][7]

2016年美國安全框架導入研究指出,受訪的組織中,有70%認為NIST網絡安全框架是資訊科技電腦安全中最受歡迎的最佳實務,但也有許多受訪者表示這需要相當大金額的投資[8]

簡介

NIST網絡安全框架是為企業及組織所設計,便於評估其所面對的風險。

美國國家標準技術研究所在2014年發佈了1.0版,原本是針對重要基礎設施的運營者。2017年時公開了1.1版的草稿,請求各方提供意。1.1版在2018年4月16日公佈,其內容仍和1.0版相容。

1.1版和1.0版的差異包括加入有關組織自我評估的指引、有關供應鏈風險管理英语Supply chain risk management的細節、和供應鏈利害關係人互動的指引,以及鼓勵漏洞披露的流程。

網絡安全框架可以分為三個部份:框架核心(Framework Core)、框架輪廓(Framework Profile)及框架實施層級(Framework Implementation Tiers)。框架核心(Framework Core)包括許多和網路安全面向及作法的活動、成果以及參考資料。框架實施層級(Framework Implementation Tiers)是讓組織和其夥伴澄清他們如何看待網路安全風險,以及其管理做法的落實程度[9]。框架輪廓(Framework Profile)中有許多網路安全的產出,組織可以依其需要以及風險評估的結果,在分類及子分類中選擇需要的產出。

組織一開始會用網絡安全框架來發展目前概況(Current Profile),會說明目前的安全活動以及想要達到的產出,接著會發展目標概況(Target Profile),或是依其產業區塊(例如基礎設施產業)或是組織種類所剪裁的基線概況,後續則要定義從目前概況轉換到目標概況所需的步驟。

近期的研究指出,NIST有能力針對基礎設施產業以及私營部門來調整網路安全標準,特別是那些還沒有網路安全標準的產業。研究也指出NIST在網路安全上的潛力不只可以影響美國,是可以帶來國際性的影響,因此可以產出較好的標準,幫助跨國經營的企業,也讓網路世界更加的和平[10]

安全活動的功能以及分類

 
NIST1.1版

NIST網絡安全框架將其核心內容組織成5個功能,可以再細分為23個分類。每一個分類中,定義了許多包括安全活動產出以及安全控制的子分類,子分類共有108個。

每一個子分類中,也有提供信息資源,參考了其他資訊安全法規的特定章節,例如ISO/IEC 27001COBIT、NIST SP 800-53、ANSI/ISA-62443及網路安全關鍵安全控制委員會(CCS CSC,目前由網際網路安全中心英语Center for Internet Security管理)。這些資訊安全法規中,只有NIST SP是免費的,其他都需要付費加入會員,或是購買特定法規,才能看到對應的指引。這個框架的成本以及複雜性讓參眾議院提出法案,要求NIST創建中小型企業可以使用的網絡安全框架[11][12]

以下是框架文件中提到的功能和分類,以及唯一辨識碼和定義[13]

識別

「發展組織有關系統、資產、資料、能力的網路安全風險管理的認知。」

  • 資產管理(ID.AM):識別出可讓組織達成其商業目的資料、人員、設備、系統及設施,依照這些在商業目標上的相對重要性,以及組織的風險策略,對上述資產進行管理。
  • 商業環境(ID.BE):瞭解組織的使命、目標、利益相關者以及活動,並且排先後順序。此一資訊可以用來告知在網路安全的角色、責任以及風險管理的決策。
  • 治理(ID.GV):瞭解組織用來管控監理單位、法令、風險、環境及運作等需求的政策、程序以及流程,並且告知網路安全風險的管理。
  • 風險評估(ID.RA):組織瞭解有關組織營運(包括使命、功能、形象及聲譽)、組織資產以及人員的網路安全風險
  • 風險管理策略(ID.RM):組織建立有關營運風險決策的優先順序、限制、允許風險以及假設。
  • 供應鏈風險管理(ID.SC):組織建立有關供應鏈風險管理決策的優先順序、限制、允許風險以及假設。組織也已有識別、評估及管理供應鏈風險的流程。

防護

「發展及實施適當的安全措施,確保關鍵基礎服務以及正常運作。」

  • 存取控制(PR.AC):只允許有授權的人員、流程或是設備才可以存取資產及相關設施,並且其活動或交易也要經過授權。
  • 意識和訓練(PR.AT):組織的人員和上下游廠商都需要有資安意識教育訓練,並且使用可以進行和資料安全相關的責任及義務,和相關的政策、流程以及協議一致。
  • 資料安全(PR.DS):管理資訊以及紀錄的方式,和組織保護資訊機密性、完整性及可用性的風險策略一致。
  • 資訊保護程序和流程(PR.IP):組織已有安全政策(其中有提到目的、範圍、角色、責任、管理承諾以及組織間的合作)、流程及程序,用來管理資訊系統及資訊資產的保護。
  • 維護(PR.MA):以和安全政策和流程一致的方式,維護或修理工業控制或是資訊系統的元件。
  • 保護技術(PR.PT):管理技術安全方案,確保系統及資產的安全及強健性,並且和相關的政策、程序及協議一致。

偵測

「發展及實施可以識別網路安全事件發生的活動。」

  • 異常及事件(DE.AE):可以及時的偵測到異常活動,並且瞭解事件的潛在影響。
  • 安全持續監控(DE.CM):定期監控資訊系統以及資產,以識別網路安全事件,並且驗證保護措施的效果,
  • 偵測流程(DE.DP):維護偵測流程及程序,並且經過測試,確保可以及時、適當的告知有異常事件。

回應

「發展及實施活動,針對已偵測到的網路安全事故進行因應。」

  • 回應計劃(RS.RP):執行及維護回應流程和程序,確保對偵測到的網路安全事故可以及時回應。
  • 溝通(RS.CO):回應計劃和內部和外部的利益相關者一起進行,若合適的話,也可以包括執法單位的外部支援。
  • 分析(RS.AN):分析的目的是要確保有進行適當的回應,並且分析也可以支持復原活動。
  • 緩釋(RS.MI):進行此一活動來避免事件的擴大、緩釋其影響、並且根除該事故。
  • 改進(RS.IM):透過整合歷來偵測活動或回應活動中累積的經驗教訓,提昇組織的回應活動。

復原

「發展及實施活動,維持組織的韌性計劃,復原所有在網路安全事故中受損的能力或是服務。」

  • 復原計劃(RC.RP):執行及維護復原流程和程序,確保因網路事件影響的系統或資產可以及時的恢復。
  • 改進(RC.IM):透過整合經驗教訓,提昇復原流程和程序,以因應未來的活動。
  • 溝通(RC.CO):復原計劃和內部和外部的單位一起進行,例如網路危機處理暨協調中心、網路服務提供者、發起攻擊系統的所有者、受害者、其他電腦資安事件應變小組、以及供應商。

改版至CSF 2.0

NIST網路安全框架會持續更新及改善,以加入網路安全的新技術以及新威脅,也整合現有的最佳實務以及經驗教訓。自從2018年發佈CSF 1.1版後,利益相關人就有提出意見,認為框架需要更新。NIST在2022年2月提出了有關CSF改善意見的資訊需求書,並在2023年1月發佈了概念書,說明計劃在網路安全框架中會進行的變更。NIST後來在在2023年11月4日發行「Discussion Draft: The NIST Cybersecurity Framework 2.0 Core with Implementation Examples」,請大眾提出意見[14]

主要變更

以下是從1.1版變更到2.0版的主要變更[15]

  1. 框架的名稱改成「網路安全框架」。也更新框架的範圍,以反映大部份使用此網路的組織特性。
  2. 加入了實施的例子,讓使用者要達到CSF的子分類時,可以有實務且行動導向的流程。此外,框架輪廓也已更新擴充,以說明此輪廓多樣化的目的。
  3. 新增加了一個功能「治理」,提供組織相關的內容,也有要開發網路安全治理模式需要的角色和責任,其中也有一個專門針對網路安全供應鏈管理的分類。
  4. 更新的內容也有較多有關網路安全評估的資訊,較強調有關安全的持續改善,在「識別」功能中新增了「改善」的分類。

相關條目

參考資料

  1. ^ Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei. Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 2020-01-01, 6 (tyaa005). ISSN 2057-2085. doi:10.1093/cybsec/tyaa005 . 
  2. ^ Achieving Successful Outcomes With the NIST Cybersecurity Framework. GovLoop. [2021-06-12]. (原始内容存档于2023-10-23) (美国英语). 
  3. ^ HealthITSecurity. HIMSS: NIST Cybersecurity Framework Positive, Can Improve. February 10, 2016 [2016-08-02]. (原始内容存档于2023-10-24). 
  4. ^ NIST Cybersecurity Framework. 
  5. ^ Workshop plots evolution of NIST Cybersecurity Framework. FedScoop. April 7, 2016 [2016-08-02]. (原始内容存档于2024-05-12). 
  6. ^ HealthITSecurity. NIST Cybersecurity Framework Updates, Clarification Underway. June 10, 2016 [2016-08-02]. (原始内容存档于2023-10-24). 
  7. ^ PricewaterhouseCoopers. Why you should adopt the NIST Cybersecurity Framework. [2016-08-04]. (原始内容存档于2017-03-28). 
  8. ^ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. Information Week Dark Reading. March 30, 2016 [2016-08-02]. (原始内容存档于2021-04-19). 
  9. ^ Justin Seitz. Black Hat Python: Python Programming for Hackers. No Starch Press. 2021-04-14 [2023-12-21]. ISBN 978-1718501126. (原始内容存档于2021-08-26). 
  10. ^ Toward a Global Cybersecurity Standard of Care?: - ProQuest. www.proquest.com. [2023-11-10]. ProQuest 1704865080 (英语). 
  11. ^ MAIN STREET Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. (原始内容存档于2023-10-23). 
  12. ^ NIST Small Business Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. (原始内容存档于2023-10-19). 
  13. ^ National Institute for Standards and Technology (NIST). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. NIST (Gaithersburg, MD). 2018-04-16. doi:10.6028/nist.cswp.04162018 . 
  14. ^ The NIST Cybersecurity Framework 2.0. NIST. [20 October 2023]. (原始内容存档于2024-05-20). 
  15. ^ Public Draft: The NIST Cybersecurity Framework 2.0 (PDF). NIST. [20 October 2023]. (原始内容存档 (PDF)于2024-05-05). 

外部連結