NIST网络安全框架

NIST网络安全框架(NIST Cybersecurity Framework)是一套用来缓释组织网络安全风险的指南,是美国国家标准技术研究所(NIST)以现有的标准、指南以及实务所基础所订定的指南[1]。此框架“针对网络安全的产出有高层次的分类,并且有方法可以评估并管理这些产出。”[2],而且在网络安全的内容中,加入了个人资讯以及公民自由的保护[3]。此框架已翻译为多国语言,是许多政府[4]、企业及组织使用的标准[5][6][7]

2016年美国安全框架导入研究指出,受访的组织中,有70%认为NIST网络安全框架是资讯科技电脑安全中最受欢迎的最佳实务,但也有许多受访者表示这需要相当大金额的投资[8]

简介

NIST网络安全框架是为企业及组织所设计,便于评估其所面对的风险。

美国国家标准技术研究所在2014年发布了1.0版,原本是针对重要基础设施的运营者。2017年时公开了1.1版的草稿,请求各方提供意。1.1版在2018年4月16日公布,其内容仍和1.0版相容。

1.1版和1.0版的差异包括加入有关组织自我评估的指引、有关供应链风险管理英语Supply chain risk management的细节、和供应链利害关系人互动的指引,以及鼓励漏洞披露的流程。

网络安全框架可以分为三个部分:框架核心(Framework Core)、框架轮廓(Framework Profile)及框架实施层级(Framework Implementation Tiers)。框架核心(Framework Core)包括许多和网络安全面向及作法的活动、成果以及参考资料。框架实施层级(Framework Implementation Tiers)是让组织和其伙伴澄清他们如何看待网络安全风险,以及其管理做法的落实程度[9]。框架轮廓(Framework Profile)中有许多网络安全的产出,组织可以依其需要以及风险评估的结果,在分类及子分类中选择需要的产出。

组织一开始会用网络安全框架来发展目前概况(Current Profile),会说明目前的安全活动以及想要达到的产出,接着会发展目标概况(Target Profile),或是依其产业区块(例如基础设施产业)或是组织种类所剪裁的基线概况,后续则要定义从目前概况转换到目标概况所需的步骤。

近期的研究指出,NIST有能力针对基础设施产业以及私营部门来调整网络安全标准,特别是那些还没有网络安全标准的产业。研究也指出NIST在网络安全上的潜力不只可以影响美国,是可以带来国际性的影响,因此可以产出较好的标准,帮助跨国经营的企业,也让网络世界更加的和平[10]

安全活动的功能以及分类

 
NIST1.1版

NIST网络安全框架将其核心内容组织成5个功能,可以再细分为23个分类。每一个分类中,定义了许多包括安全活动产出以及安全控制的子分类,子分类共有108个。

每一个子分类中,也有提供信息资源,参考了其他资讯安全法规的特定章节,例如ISO/IEC 27001COBIT、NIST SP 800-53、ANSI/ISA-62443及网络安全关键安全控制委员会(CCS CSC,目前由互联网安全中心英语Center for Internet Security管理)。这些资讯安全法规中,只有NIST SP是免费的,其他都需要付费加入会员,或是购买特定法规,才能看到对应的指引。这个框架的成本以及复杂性让参众议院提出法案,要求NIST创建中小型企业可以使用的网络安全框架[11][12]

以下是框架文件中提到的功能和分类,以及唯一辨识码和定义[13]

识别

“发展组织有关系统、资产、资料、能力的网络安全风险管理的认知。”

  • 资产管理(ID.AM):识别出可让组织达成其商业目的资料、人员、设备、系统及设施,依照这些在商业目标上的相对重要性,以及组织的风险策略,对上述资产进行管理。
  • 商业环境(ID.BE):了解组织的使命、目标、利益相关者以及活动,并且排先后顺序。此一资讯可以用来告知在网络安全的角色、责任以及风险管理的决策。
  • 治理(ID.GV):了解组织用来管控监理单位、法令、风险、环境及运作等需求的政策、程序以及流程,并且告知网络安全风险的管理。
  • 风险评估(ID.RA):组织了解有关组织营运(包括使命、功能、形象及声誉)、组织资产以及人员的网络安全风险
  • 风险管理策略(ID.RM):组织建立有关营运风险决策的优先级、限制、允许风险以及假设。
  • 供应链风险管理(ID.SC):组织建立有关供应链风险管理决策的优先级、限制、允许风险以及假设。组织也已有识别、评估及管理供应链风险的流程。

防护

“发展及实施适当的安全措施,确保关键基础服务以及正常运作。”

  • 存取控制(PR.AC):只允许有授权的人员、流程或是设备才可以存取资产及相关设施,并且其活动或交易也要经过授权。
  • 意识和训练(PR.AT):组织的人员和上下游厂商都需要有资安意识教育训练,并且使用可以进行和资料安全相关的责任及义务,和相关的政策、流程以及协议一致。
  • 资料安全(PR.DS):管理资讯以及纪录的方式,和组织保护资讯机密性、完整性及可用性的风险策略一致。
  • 资讯保护程序和流程(PR.IP):组织已有安全政策(其中有提到目的、范围、角色、责任、管理承诺以及组织间的合作)、流程及程序,用来管理资讯系统及资讯资产的保护。
  • 维护(PR.MA):以和安全政策和流程一致的方式,维护或修理工业控制或是资讯系统的元件。
  • 保护技术(PR.PT):管理技术安全方案,确保系统及资产的安全及强健性,并且和相关的政策、程序及协议一致。

侦测

“发展及实施可以识别网络安全事件发生的活动。”

  • 异常及事件(DE.AE):可以及时的侦测到异常活动,并且了解事件的潜在影响。
  • 安全持续监控(DE.CM):定期监控资讯系统以及资产,以识别网络安全事件,并且验证保护措施的效果,
  • 侦测流程(DE.DP):维护侦测流程及程序,并且经过测试,确保可以及时、适当的告知有异常事件。

回应

“发展及实施活动,针对已侦测到的网络安全事故进行因应。”

  • 回应计划(RS.RP):执行及维护回应流程和程序,确保对侦测到的网络安全事故可以及时回应。
  • 沟通(RS.CO):回应计划和内部和外部的利益相关者一起进行,若合适的话,也可以包括执法单位的外部支援。
  • 分析(RS.AN):分析的目的是要确保有进行适当的回应,并且分析也可以支持复原活动。
  • 缓释(RS.MI):进行此一活动来避免事件的扩大、缓释其影响、并且根除该事故。
  • 改进(RS.IM):透过整合历来侦测活动或回应活动中累积的经验教训,提升组织的回应活动。

复原

“发展及实施活动,维持组织的韧性计划,复原所有在网络安全事故中受损的能力或是服务。”

  • 复原计划(RC.RP):执行及维护复原流程和程序,确保因网络事件影响的系统或资产可以及时的恢复。
  • 改进(RC.IM):透过整合经验教训,提升复原流程和程序,以因应未来的活动。
  • 沟通(RC.CO):复原计划和内部和外部的单位一起进行,例如网络危机处理暨协调中心、网络服务提供者、发起攻击系统的所有者、受害者、其他电脑资安事件应变小组、以及供应商。

改版至CSF 2.0

NIST网络安全框架会持续更新及改善,以加入网络安全的新技术以及新威胁,也整合现有的最佳实务以及经验教训。自从2018年发布CSF 1.1版后,利益相关人就有提出意见,认为框架需要更新。NIST在2022年2月提出了有关CSF改善意见的资讯需求书,并在2023年1月发布了概念书,说明计划在网络安全框架中会进行的变更。NIST后来在在2023年11月4日发行“Discussion Draft: The NIST Cybersecurity Framework 2.0 Core with Implementation Examples”,请大众提出意见[14]

主要变更

以下是从1.1版变更到2.0版的主要变更[15]

  1. 框架的名称改成“网络安全框架”。也更新框架的范围,以反映大部分使用此网络的组织特性。
  2. 加入了实施的例子,让使用者要达到CSF的子分类时,可以有实务且行动导向的流程。此外,框架轮廓也已更新扩充,以说明此轮廓多样化的目的。
  3. 新增加了一个功能“治理”,提供组织相关的内容,也有要开发网络安全治理模式需要的角色和责任,其中也有一个专门针对网络安全供应链管理的分类。
  4. 更新的内容也有较多有关网络安全评估的资讯,较强调有关安全的持续改善,在“识别”功能中新增了“改善”的分类。

相关条目

参考资料

  1. ^ Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei. Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 2020-01-01, 6 (tyaa005). ISSN 2057-2085. doi:10.1093/cybsec/tyaa005 . 
  2. ^ Achieving Successful Outcomes With the NIST Cybersecurity Framework. GovLoop. [2021-06-12]. (原始内容存档于2023-10-23) (美国英语). 
  3. ^ HealthITSecurity. HIMSS: NIST Cybersecurity Framework Positive, Can Improve. February 10, 2016 [2016-08-02]. (原始内容存档于2023-10-24). 
  4. ^ NIST Cybersecurity Framework. 
  5. ^ Workshop plots evolution of NIST Cybersecurity Framework. FedScoop. April 7, 2016 [2016-08-02]. (原始内容存档于2024-05-12). 
  6. ^ HealthITSecurity. NIST Cybersecurity Framework Updates, Clarification Underway. June 10, 2016 [2016-08-02]. (原始内容存档于2023-10-24). 
  7. ^ PricewaterhouseCoopers. Why you should adopt the NIST Cybersecurity Framework. [2016-08-04]. (原始内容存档于2017-03-28). 
  8. ^ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. Information Week Dark Reading. March 30, 2016 [2016-08-02]. (原始内容存档于2021-04-19). 
  9. ^ Justin Seitz. Black Hat Python: Python Programming for Hackers. No Starch Press. 2021-04-14 [2023-12-21]. ISBN 978-1718501126. (原始内容存档于2021-08-26). 
  10. ^ Toward a Global Cybersecurity Standard of Care?: - ProQuest. www.proquest.com. [2023-11-10]. ProQuest 1704865080 (英语). 
  11. ^ MAIN STREET Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. (原始内容存档于2023-10-23). 
  12. ^ NIST Small Business Cybersecurity Act of 2017. congress.gov. [October 5, 2017]. (原始内容存档于2023-10-19). 
  13. ^ National Institute for Standards and Technology (NIST). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. NIST (Gaithersburg, MD). 2018-04-16. doi:10.6028/nist.cswp.04162018 . 
  14. ^ The NIST Cybersecurity Framework 2.0. NIST. [20 October 2023]. (原始内容存档于2024-05-20). 
  15. ^ Public Draft: The NIST Cybersecurity Framework 2.0 (PDF). NIST. [20 October 2023]. (原始内容存档 (PDF)于2024-05-05). 

外部链接