NIST網絡安全框架
NIST網絡安全框架(NIST Cybersecurity Framework)是一套用來緩釋组织網路安全風險的指南,是美國國家標準技術研究所(NIST)以現有的標準、指南以及實務所基礎所訂定的指南[1]。此框架「針對網路安全的產出有高層次的分類,並且有方法可以評估並管理這些產出。」[2],而且在網路安全的內容中,加入了個人資訊以及公民自由的保護[3]。此框架已翻譯為多國語言,是許多政府[4]、企業及組織使用的標準[5][6][7]。
2016年美國安全框架導入研究指出,受訪的組織中,有70%認為NIST網絡安全框架是資訊科技電腦安全中最受歡迎的最佳實務,但也有許多受訪者表示這需要相當大金額的投資[8]。
簡介
NIST網絡安全框架是為企業及組織所設計,便於評估其所面對的風險。
美國國家標準技術研究所在2014年發佈了1.0版,原本是針對重要基礎設施的運營者。2017年時公開了1.1版的草稿,請求各方提供意。1.1版在2018年4月16日公佈,其內容仍和1.0版相容。
1.1版和1.0版的差異包括加入有關組織自我評估的指引、有關供應鏈風險管理的細節、和供應鏈利害關係人互動的指引,以及鼓勵漏洞披露的流程。
網絡安全框架可以分為三個部份:框架核心(Framework Core)、框架輪廓(Framework Profile)及框架實施層級(Framework Implementation Tiers)。框架核心(Framework Core)包括許多和網路安全面向及作法的活動、成果以及參考資料。框架實施層級(Framework Implementation Tiers)是讓組織和其夥伴澄清他們如何看待網路安全風險,以及其管理做法的落實程度[9]。框架輪廓(Framework Profile)中有許多網路安全的產出,組織可以依其需要以及風險評估的結果,在分類及子分類中選擇需要的產出。
組織一開始會用網絡安全框架來發展目前概況(Current Profile),會說明目前的安全活動以及想要達到的產出,接著會發展目標概況(Target Profile),或是依其產業區塊(例如基礎設施產業)或是組織種類所剪裁的基線概況,後續則要定義從目前概況轉換到目標概況所需的步驟。
近期的研究指出,NIST有能力針對基礎設施產業以及私營部門來調整網路安全標準,特別是那些還沒有網路安全標準的產業。研究也指出NIST在網路安全上的潛力不只可以影響美國,是可以帶來國際性的影響,因此可以產出較好的標準,幫助跨國經營的企業,也讓網路世界更加的和平[10]。
安全活動的功能以及分類
NIST網絡安全框架將其核心內容組織成5個功能,可以再細分為23個分類。每一個分類中,定義了許多包括安全活動產出以及安全控制的子分類,子分類共有108個。
每一個子分類中,也有提供信息資源,參考了其他資訊安全法規的特定章節,例如ISO/IEC 27001、COBIT、NIST SP 800-53、ANSI/ISA-62443及網路安全關鍵安全控制委員會(CCS CSC,目前由網際網路安全中心管理)。這些資訊安全法規中,只有NIST SP是免費的,其他都需要付費加入會員,或是購買特定法規,才能看到對應的指引。這個框架的成本以及複雜性讓參眾議院提出法案,要求NIST創建中小型企業可以使用的網絡安全框架[11][12]。
以下是框架文件中提到的功能和分類,以及唯一辨識碼和定義[13]。
識別
「發展組織有關系統、資產、資料、能力的網路安全風險管理的認知。」
- 資產管理(ID.AM):識別出可讓組織達成其商業目的資料、人員、設備、系統及設施,依照這些在商業目標上的相對重要性,以及組織的風險策略,對上述資產進行管理。
- 商業環境(ID.BE):瞭解組織的使命、目標、利益相關者以及活動,並且排先後順序。此一資訊可以用來告知在網路安全的角色、責任以及風險管理的決策。
- 治理(ID.GV):瞭解組織用來管控監理單位、法令、風險、環境及運作等需求的政策、程序以及流程,並且告知網路安全風險的管理。
- 風險評估(ID.RA):組織瞭解有關組織營運(包括使命、功能、形象及聲譽)、組織資產以及人員的網路安全風險
- 風險管理策略(ID.RM):組織建立有關營運風險決策的優先順序、限制、允許風險以及假設。
- 供應鏈風險管理(ID.SC):組織建立有關供應鏈風險管理決策的優先順序、限制、允許風險以及假設。組織也已有識別、評估及管理供應鏈風險的流程。
防護
「發展及實施適當的安全措施,確保關鍵基礎服務以及正常運作。」
- 存取控制(PR.AC):只允許有授權的人員、流程或是設備才可以存取資產及相關設施,並且其活動或交易也要經過授權。
- 意識和訓練(PR.AT):組織的人員和上下游廠商都需要有資安意識教育訓練,並且使用可以進行和資料安全相關的責任及義務,和相關的政策、流程以及協議一致。
- 資料安全(PR.DS):管理資訊以及紀錄的方式,和組織保護資訊機密性、完整性及可用性的風險策略一致。
- 資訊保護程序和流程(PR.IP):組織已有安全政策(其中有提到目的、範圍、角色、責任、管理承諾以及組織間的合作)、流程及程序,用來管理資訊系統及資訊資產的保護。
- 維護(PR.MA):以和安全政策和流程一致的方式,維護或修理工業控制或是資訊系統的元件。
- 保護技術(PR.PT):管理技術安全方案,確保系統及資產的安全及強健性,並且和相關的政策、程序及協議一致。
偵測
「發展及實施可以識別網路安全事件發生的活動。」
- 異常及事件(DE.AE):可以及時的偵測到異常活動,並且瞭解事件的潛在影響。
- 安全持續監控(DE.CM):定期監控資訊系統以及資產,以識別網路安全事件,並且驗證保護措施的效果,
- 偵測流程(DE.DP):維護偵測流程及程序,並且經過測試,確保可以及時、適當的告知有異常事件。
回應
「發展及實施活動,針對已偵測到的網路安全事故進行因應。」
- 回應計劃(RS.RP):執行及維護回應流程和程序,確保對偵測到的網路安全事故可以及時回應。
- 溝通(RS.CO):回應計劃和內部和外部的利益相關者一起進行,若合適的話,也可以包括執法單位的外部支援。
- 分析(RS.AN):分析的目的是要確保有進行適當的回應,並且分析也可以支持復原活動。
- 緩釋(RS.MI):進行此一活動來避免事件的擴大、緩釋其影響、並且根除該事故。
- 改進(RS.IM):透過整合歷來偵測活動或回應活動中累積的經驗教訓,提昇組織的回應活動。
復原
「發展及實施活動,維持組織的韌性計劃,復原所有在網路安全事故中受損的能力或是服務。」
- 復原計劃(RC.RP):執行及維護復原流程和程序,確保因網路事件影響的系統或資產可以及時的恢復。
- 改進(RC.IM):透過整合經驗教訓,提昇復原流程和程序,以因應未來的活動。
- 溝通(RC.CO):復原計劃和內部和外部的單位一起進行,例如網路危機處理暨協調中心、網路服務提供者、發起攻擊系統的所有者、受害者、其他電腦資安事件應變小組、以及供應商。
改版至CSF 2.0
NIST網路安全框架會持續更新及改善,以加入網路安全的新技術以及新威脅,也整合現有的最佳實務以及經驗教訓。自從2018年發佈CSF 1.1版後,利益相關人就有提出意見,認為框架需要更新。NIST在2022年2月提出了有關CSF改善意見的資訊需求書,並在2023年1月發佈了概念書,說明計劃在網路安全框架中會進行的變更。NIST後來在在2023年11月4日發行「Discussion Draft: The NIST Cybersecurity Framework 2.0 Core with Implementation Examples」,請大眾提出意見[14]
主要變更
以下是從1.1版變更到2.0版的主要變更[15]:
- 框架的名稱改成「網路安全框架」。也更新框架的範圍,以反映大部份使用此網路的組織特性。
- 加入了實施的例子,讓使用者要達到CSF的子分類時,可以有實務且行動導向的流程。此外,框架輪廓也已更新擴充,以說明此輪廓多樣化的目的。
- 新增加了一個功能「治理」,提供組織相關的內容,也有要開發網路安全治理模式需要的角色和責任,其中也有一個專門針對網路安全供應鏈管理的分類。
- 更新的內容也有較多有關網路安全評估的資訊,較強調有關安全的持續改善,在「識別」功能中新增了「改善」的分類。
相關條目
- 计算机安全
- 網路安全標準
- 關鍵基礎設施保護
- ISO/IEC 27001:國際標準化組織和國際電工委員會提出,有關資訊安全的標準。
- COBIT:信息及相关技术控制目标,來自國際電腦稽核協會(ISACA)的類似框架。
- NIST Special Publication 800-53:Security and Privacy Controls for Federal Information Systems and Organizations.
參考資料
- 本条目引用的公有领域材料来自國家標準技術研究所的文档《NIST Cybersecurity Framework》。
- ^ Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei. Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 2020-01-01, 6 (tyaa005). ISSN 2057-2085. doi:10.1093/cybsec/tyaa005 .
- ^ Achieving Successful Outcomes With the NIST Cybersecurity Framework. GovLoop. [2021-06-12]. (原始内容存档于2023-10-23) (美国英语).
- ^ HealthITSecurity. HIMSS: NIST Cybersecurity Framework Positive, Can Improve. February 10, 2016 [2016-08-02]. (原始内容存档于2023-10-24).
- ^ NIST Cybersecurity Framework.
- ^ Workshop plots evolution of NIST Cybersecurity Framework. FedScoop. April 7, 2016 [2016-08-02]. (原始内容存档于2024-05-12).
- ^ HealthITSecurity. NIST Cybersecurity Framework Updates, Clarification Underway. June 10, 2016 [2016-08-02]. (原始内容存档于2023-10-24).
- ^ PricewaterhouseCoopers. Why you should adopt the NIST Cybersecurity Framework. [2016-08-04]. (原始内容存档于2017-03-28).
- ^ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. Information Week Dark Reading. March 30, 2016 [2016-08-02]. (原始内容存档于2021-04-19).
- ^ Justin Seitz. Black Hat Python: Python Programming for Hackers. No Starch Press. 2021-04-14 [2023-12-21]. ISBN 978-1718501126. (原始内容存档于2021-08-26).
- ^ Toward a Global Cybersecurity Standard of Care?: - ProQuest. www.proquest.com. [2023-11-10]. ProQuest 1704865080 (英语).
- ^ MAIN STREET Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. (原始内容存档于2023-10-23).
- ^ NIST Small Business Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. (原始内容存档于2023-10-19).
- ^ National Institute for Standards and Technology (NIST). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. NIST (Gaithersburg, MD). 2018-04-16. doi:10.6028/nist.cswp.04162018 .
- ^ The NIST Cybersecurity Framework 2.0. NIST. [20 October 2023]. (原始内容存档于2024-05-20).
- ^ Public Draft: The NIST Cybersecurity Framework 2.0 (PDF). NIST. [20 October 2023]. (原始内容存档 (PDF)于2024-05-05).
外部連結
- NISTIR 8374 (Draft) (页面存档备份,存于互联网档案馆): Cybersecurity Framework Profile for Ransomware Risk Management (Preliminary Draft)
- 官方网站
- How To Use (And Not Use) The NIST Cybersecurity Framework | FRSecure LLC | Information Security Management (页面存档备份,存于互联网档案馆)
- Harnessing the Power of the NIST Cybersecurity Framework (页面存档备份,存于互联网档案馆)
- A 10 Minute Guide to the NIST Cybersecurity Framework (页面存档备份,存于互联网档案馆)
- Informative References Home (页面存档备份,存于互联网档案馆)
- Derived Relationship Mapping (页面存档备份,存于互联网档案馆)
- Informative Reference Catalog (页面存档备份,存于互联网档案馆)