Cybersecurity Framework的基礎

CSF為內部和外部利害關係人的理解、管理和表達網路安全風險提供了一種通用語言。 它可用於幫助辨識能降低網路安全風險的行動並確定其優先等級，並且它是契合企業的政策、業務和技術方法以管理該風險的工具。 它可用於管理整體企業的網路安全風險，也可專注於企業內關鍵服務的交付。

Framework Core

我們在前述提到Framewrok Core是由五個＂並行和連續＂的功能組成的。 Framewrok Core提供了一組活動來實現網路安全的108種結果，並引用了實現這些成果的指導範例。 Framewrok Core不是要執行操作的清單(PCI DSS這一類的才是)。 它呈現的是利害關係人能辨識有助於管理網路安全風險的關鍵網路安全結果。 Core包含四個元素：Functions, Categories, Subcategories, 還有Informative Refenerce，如下圖所示：

以下為Framework Core的四種元素簡述:

• Functions 是企業最高等級的基本網路安全活動。 這些功能是識Identify, Protect, Detect, Respond, 與Recover。 它們通過企業的資訊、啟用風險管理決策、應對威脅以及通過從以前的作業中學習來改進並幫助企業表達其對網路安全風險的管理。 這些功能還與現有的事故管理(incident management)方法保持一致，並有助於顯示網路安全投資的影響。有關更多的事故管理可參閱本部落格資訊安全事故管理一文。
• Categories是將Functions細分為與計劃需求和特定活動密切相關的網路安全成果群。 範例包括“資產管理”、“身份管理和訪問控制”以及“偵測流程”。
• Subcategories進一步將Categories劃分為技術和(或)管理活動的特定結果。 它們提供了一組結果，雖然並不詳盡，但有助於支持實現每個categories的結果。 Subcategories的範例包括“外部資訊系統已編目”、“靜態資料已受到保護”和“來自偵測系統的通知已被調查”。
• Informative Reference是指常見的標準、指南和實踐的特定部分，它們說明了實現與每個Subcategories相關結果的方法。 Framework Core中提供的參考資料是說明性的，並非詳盡無遺。 它們基於框架開發過程中最常引用的跨產業指南。COBIT屬於這一類。

五個Framework Core Functions定義如下。 這些Functions並非需要形成一個連續路徑或導致靜態所需的最終狀態。 相反，這些Function應該同時並持續地執行，以形成一種應對"動態網路安全風險"的維運文化。

Identify(ID)

發展一種企業認知，以管理系統、人員、資產、資料和功能的網路安全風險。Identify Function中的活動是有效使用CSF的基礎。 了解業務環境、支持關鍵功能的資源以及相關的網路安全風險，使企業能夠根據其風險管理策略和業務需求，集中精力並優先考慮其作業。成果類別有:

• Assessment Management(ID.AM)
  使企業能夠實現業務目標的資料、人員、設備、系統和設施的識別和管理與其對業務目標和企業風險策略的相對重要性達成一致性。
• Business Environment (ID.BE)
  企業的使命、目標、利害關係人和活動得到理解和優先排序； 此資訊用於宣示網路安全角色、職責和風險管理決策。
• Governance (ID.GV)
  政策、程序和流程管理和監控企業的監管、法律、風險、環境和運營要求，理解並認知網路安全風險管理。
• Risk Assessment (ID.RA)
  企業理解到網路安全對企業運營（包括使命、職能、形像或商譽）、企業資產和個人的風險。
• Risk Management Strategy (ID.RM)
  建立企業的優先等級、約束、風險承受能力和假設，以支持運營風險決策
• Supply Chain Risk Management(ID.SC)
  建立並使用企業的優先等級、約束、風險承受能力和假設來支持與管理供應鏈風險相關的風險決策。 企業已建立並實施"識別、評估和管理"供應鏈風險的過程。

Protect(PR)

制定並實施適當的保障措施，以確保關鍵服務能持續運作。Protect Function能夠限制或遏制潛在網路安全事件影響的能力。成果類別有：

• Identity Management, Authentication, and Access Control (PR.AC)
  對資產和相關設施的存取僅限於授權用戶、流程或設備，以及已授權的活動和交易。
• Awareness and Training (PR.AT) — 不教而殺謂之虐
  為企業的員工和合作夥伴提供網路安全意識教育，並接受充分培訓，以履行與相關政策、程序和協議一致的資訊安全相關職責和責任。
• Data Security (PR.DS)
  資訊和記錄（統稱為資料）與企業風險策略的一致管理，以保護資料的C.I.A(機密性、完整性、可用性)
• Information Protection Processes and Procedures (PR.IP)
  安全政策（涉及目的、範圍、角色、職責、管理承諾和各單位之間的協調）、流程和程序得到維護並用於管理資訊系統和資產的保護。
• Maintenance (PR.MA)
  確保工業控制和資訊系統組件的維護和維修按照政策和程序進行
• Protective Technology (PR.PT)
  管理技術安全解決方案以確保系統和資產的安全性和韌性，與相關政策、程序和協議一致。

Detect(DE)

制定並實施適當的活動來識別網路安全事件的發生。偵測功能可以及時發現網路安全事件。成果類別有:

• Anomalies and Events (DE.AE)
  確保偵測到異常活動並了解事件的潛在影響
• Security Continuous Monitoring (DE.CM)
  資訊系統和資產在不連續的時間間隔內受到監控，以識別網路安全事件並驗證保護措施的有效性。
• Detection Processes (DE.DP)
  偵測流程和程序得到維護和測試，以確保及時和充分地了解異常事件。

Respond (RS)

制定並實施適當的活動，以針對偵測到的網路安全事件採取行動。 Respond function應能遏制潛在網路安全事件影響的能力。成果類別有:

• Response Planning (RS.RP)
  "執行和維護”回應流程和程序，以確保及時回應偵測到的網路安全事件。
• Communications (RS.CO)
  確保所有回應活動都與內部和外部利害關係人協調（例如執法機構的外部支持）
• Analysis (RS.AN)
  進行適當的分析以確保有效回應並支持recovery活動
• Mitigation (RS.MI)
  確保執行的活動能防止事故擴大、減輕其影響並解決事故
• Improvements (RS.IM)
  通過結合從當前和先前的偵測和回應活動中吸取的經驗教訓，確保企業的回應活動不斷變得更好

Recover (RC)

制定並實施適當的活動，以維護計劃的彈性並恢復因網路安全事故而受損的任何功能或服務。 Recover function支援及時恢復到正常運作，以減少網路安全事故的影響。成果類別有:

• Recovery Planning (RC.RP)
  "執行和維護"恢復流程和程序，以確保及時恢復受到網路安全事故影響的系統或資產
• Improvements (RC.IM)
  通過將吸取的教訓納入未來活動，確保企業的恢復計劃和流程不斷完善
• Communications (RC.CO)
  恢復活動與內部和外部各方協調，例如協調中心、互聯網服務提供商、攻擊系統的所有者、受害者、其他 CSIRT(Computer Security Incident Response Team) 和供應商。

以上五種方式都是企業為偵測、預防、減少或抵消其系統和網路的安全風險而實施的對策。例如對策可能是實行複雜的密碼或MFA。企業的安全控制需求由於其規定性，必須遵守其需求。像是複雜的密碼可以承受密碼的暴力破解能力要比簡單的密碼還好。CSF聚焦的是成果而不是安全控制的方法。下表為上述五種功能與類別名稱的整理表格。

Framework Core的運用

Framework Core是協助企業專注於開展對實現Cyber resilience目標產生最大影響的活動和成果。需要結合”secure once, comply many”的方式，這是指通過將所有合規要求(也可以稱Compliance Architecture，如下圖)對應回Framework Profile中的成果來完成的。

Secure Once, Comply Many有以下幾種特點:

• 易於運作
• 成本更低
• 更一致的執行
• 省時間

例如以Data Backup Plan為例，CSF PR.IP-4合於以下合規要求:

• HIPAA Business Associate — HIPAA 164.308(a)(7)(ii)(A)
• ISO 27001 的A12.3.1 / A17.1.1 / A17.1.3/ A18.1.3

Framework Implementation Tiers

Framework Implementation Tiers提供了有關企業如何看待網路安全風險以及管理該風險的現有流程的背景資訊。 從Partial(Tier 1)到Adaptive(Tier4)，Tier描述了網路安全風險管理實踐(risk management practices)中越來越嚴格和復雜的程度。 它們有助於確定網路安全風險管理在多大程度上受到業務需求的影響，並被整合到組織的整體風險管理實踐中。

Tier的選擇過程考量了企業現行的:

• 風險管理實踐
• 威脅環境
• 法律和法規要求
• 資訊共享實踐
• 業務/任務目標
• 供應鏈網路安全要求和企業限制

企業應確定需要達到哪種Tier，確保選擇的Tier滿足企業目標、是可實行的，並將關鍵資產和資源的網路安全風險降低到企業可接受的程度。

Tier是在支持有關如何管理網路安全風險的企業決策，以及企業的哪些維度具有更高的優先等級並且可以獲得額外的資源。 當成本效益分析表明網路安全風險的降低可行且具有成本效益時，才會鼓勵升級到更高Tier。

框架的成功實施基於實現企業的目標概況(target profile)中描述的成果，而不是用Tier來決定的。 儘管如此，Tier的選擇本質上還是會影響Framework Profiles。 經過C-Level所批准的業務/流程負責人推薦的Tier將有助於為如何在企業內管理網路安全風險訂立總體基調，並應影響目標概況中的優先等級排序和解決差距的進展評估 .

Tier的定義:

• T1: 網路風險管理方法無效且不一致
• T2: 網路風險管理方法是非正式且發展未完成的
• T3:網路風險管理實踐中獲得的結果是具一致性的
• T4:具有從經驗中學習並變得更好的反饋迴路的風險管理方法

而每一個Tier都有三種維度的存在，分別是:

維度1(風險管理流程):指企業在實踐風險管理方面做得如何？就是執行的程度或等級分成以下程度:

• 網絡安全風險管理實踐正規化和制度化
• 網絡安全活動的優先等級由企業的風險目標、威脅環境和利害關係人的需求來決定

維度2(綜合風險管理計劃):指企業產生的結果的可重複性如何？考量到企業計劃等級的網路安全風險意識。 Tier區分以下程度：

• 定義和實施風險知情(Risk-informed)、C-Level批准的流程和程序
• 流程和程序根據資訊共享和過往活動的經驗教訓進行調整和改進

維度3(外部參與):指企業如何適應新的風險和威脅？

• 告知合作夥伴有關威脅指標、觀察結果或事件的資訊
• 在安全事件發生之前與外部合作夥伴共享資訊以提高安全性

以下為各Tier及維度的詳細說明

Tier 1: Partial(打地鼠)

• 風險管理流程(Risk Management Process) —
  企業的網路安全風險管理實踐沒有正規化，風險以臨時的、有時是被動的方式進行管理。 企業風險目標、威脅環境或業務/任務需求可能不會直接關聯到網路安全活動的優先等級。
• 綜合風險管理計劃(Integrated Risk Management Program) —
  企業層面對網路安全風險的認知有限。 由於從外部來源獲得的不同經驗或資訊，企業是不定期、逐案實施網路安全風險管理。 企業可能沒有使網路安全資訊能夠在組織內共享的流程。
• 外部參與 —
  企業不理解它在更大生態系統中與其依賴項或從屬關係相關的角色。企業不與其他實體（例如，買家、供應商、ISAO、研究人員、政府）合作或從其他實體（例如，威脅情報、最佳實踐、技術）接收資訊，也不共享資訊。 企業通常不知道其提供和使用的產品和服務的網路供應鏈風險。

Tier 2: Risk Informed(企業內各單位自掃門前雪)

• 風險管理流程(Risk Management Process) —
  風險管理實踐由C-Level批准，但可能不會作為整體企業的政策制定。 企業風險目標、威脅環境或業務/任務需求直接關聯網路安全活動和保護需求的優先等級。
• 綜合風險管理計劃(Integrated Risk Management Program) —
  在企業層面存在網路安全風險意識，但尚未建立整體企業的網路安全風險管理方法。 網路安全資訊在企業內非正式共享。 企業目標和計劃中對網路安全的考量只發生在企業的某些單位或層級。 對企業和外部資產進行網路風險評估，網路風險評估的流程通常無法重複。
• 外部參與 —
  企業能認知在更大的生態系統中的作用關於其自身的依賴關係或依賴項。 企業與其他實體合作並從其他實體接收一些資訊，並產生一些自己的資訊，但不得與其他實體共享資訊。 此外，企業意識到與其提供和使用的產品和服務相關的網路供應鏈風險，但並未針對這些風險採取一致或正式的行動。

Tier 3: Repeatable

• 風險管理流程(Risk Management Process) —
  企業的風險管理實踐得到正式批准並佈達成政策。 根據風險管理流程對業務/任務要求變化的應用，定期更新企業的網路安全實踐以及不斷變化的威脅和技術樣貌。
• 綜合風險管理計劃(Integrated Risk Management Program) —
  有一個包含整體企業的方法來管理網路安全風險。 風險知情政策、流程和程序已按預期定義、實施和審查。 制定了一致性的方法來有效應對風險的變化。 員工擁有履行其指定角色和職責的知識和技能。 企業持續準確地監控企業資產的網路安全風險。 CISO和其他資安人員定期就網路安全風險進行溝通。C-Level確保網路安全都通過企業的所有運營面考量。
• 外部參與 —
  企業了解其在更大生態系統中的作用、依賴關係和依賴項，並可能有助於企業內各單位對風險的更廣泛理解。 它定期與其他實體協作並從其他實體接收資訊以補充內部產生的資訊，並與其他實體共享資訊。 企業了解與其提供和使用的產品和服務相關的網路供應鏈風險。 此外，它通常針對這些風險採取正式行動，包括溝通的書面協議、治理結構（例如風險委員會）以及政策實施和監控等機制。

Tier 4: Adaptive

• 風險管理流程(Risk Management Process) —
  企業根據"先前和現行"的網路安全活動（包括經驗教訓和預測指標）調整其網路安全實踐。 通過結合先進的網路安全技術和實踐的持續改進過程，企業積極適應不斷變化的威脅和技術環境，並及時有效地應對不斷發展的複雜威脅。
• 綜合風險管理計劃(Integrated Risk Management Program) —
  有一種企業整體的方法來管理網路安全風險，該方法使用風險知情的政策、流程和程序來解決潛在的網路安全事件。 在做出決策時，網路安全風險與企業目標之間的關係得到了清楚的理解和考量。 C-Level在與財務風險和其他組織風險相同的背景下監控網路安全風險。 企業預算基於對現行和預測的風險環境和風險承受能力的理解。 業務部門在企業風險承受能力的背景下實施執行願景並分析系統等級風險。 網路安全風險管理是企業文化的一部分，是從對先前活動的認識以及對其系統和網路上的活動的持續認識演變而來的。 企業可以快速有效地解釋業務/任務目標在如何處理和溝通風險方面的變化。
• 外部參與 —
  企業了解其在更大生態系統中的作用、依賴關係和依賴項，並有助於企業內各單位更廣泛地了解風險。 它接收、產生和審查優先資訊，這些資訊可以隨著威脅和技術形勢的發展不斷分析其風險。 企業與其他合作夥伴在內部和外部共享該資訊。 企業使用即時或接近即時的資訊來了解並始終如一地應對與其提供和使用的產品和服務相關的網路供應鏈風險。 此外，它還主動溝通，使用正式（例如協議）和非正式機制來發展和維持強大的供應鏈關係。

企業的目標層級(Tier)是由:

1. 每間企業的獨有的特徵和風險承受能力決定
2. 除非對企業有意義，否則不需要達到T3或T4

需要注意的是，CSF 既沒有提供關於如何衡量這些屬性的描述性指導，也沒有提供確定適用Tier的量化方法。CSF是幫助企業根據以下因素決定目標層級。

1. 現行的風險管理實踐
2. 威脅環境
3. 法規與監管要求
4. 業務/任務目標
5. 組織的限制

使用框架自我評估網路安全風險

CSF主要是通過改進對企業目標的網路安全風險管理來降低風險。 理想情況下，使用CSF的企業將能夠衡量風險並為其分配價值，以及為將風險降低到可接受程度而採取行動的成本和效益。 "一個有能力的企業能衡量其網路安全策略和行動的風險、成本和效益，其網路安全方法和投資就會更加合理、有效和有價值。"

隨著時間的推移，自我評估和衡量應該會改進有關網路安全投資優先等級的決策。 例如，衡量企業的網路安全狀態和趨勢的各個方面可以使該企業了解並向相關方、供應商、購買者和其他方傳達有意義的風險資訊。 企業可以在內部或通過尋求第三方評估來完成這項工作。 如果處理得當並且了解局限性，這些量測可以為企業內外建立牢固的信任關係奠定基礎。

要檢查投資的有效性，企業必須首先清楚地了解其企業目標、這些目標與支持性網路安全成果之間的關係，以及如何實施和管理這些離散的網路安全成果。 雖然對所有這些項目的衡量超出了CSF的範圍，但Framework Core的網路安全成果支持通過以下方式對投資有效性和網路安全活動進行自我評估：

• 選擇網路安全操作的不同部分會如何影響Target Implementation Tiers的選擇
• 通過確定現行 Implementation Tiers評估企業的網路安全風險管理方法
• 通過發展目標概況來優先考慮網路安全成果
• 通過評估現行概況來確定特定網絡安全步驟在多大程度上實現了預期的網路安全結果，以及
• 衡量作為參考資料列出的控制項目錄或技術指南的實施程度

網路安全效能指標的發展會一直演變。 企業應該深思熟慮、創造性和謹慎地考慮他們採用的量測來優化使用的方式，同時避免依賴現行狀態的人工指標和改進網路安全風險管理的進展。 判斷網路風險需要紀律，應定期重新檢視。 任何時候將量測作為框架過程的一部分，都鼓勵企業清楚地識別和了解為什麼這些量測很重要，以及它們將如何有助於網路安全風險的整體管理。 企業也應該清楚所用量測的局限性。

例如，追蹤安全控制措施和業務成果可能會提供有意義的洞察力，以了解安全控制的細緻度的變化如何影響企業目標的完成。 驗證某些企業目標的實現需要僅在該目標實現後才分析資料，如事故分析報告。 這種滯後措施是絕對性的。 然而，使用領先的措施來預測網路安全風險是否可能發生以及可能產生的影響通常更有價值，例如使用資安混沌工程。