NIST CSF 1.1與2.0版本比較

本文主要聚焦1.1與2.0的版本差異，關於1.1版的詳情。讀者可參閱本部落格NIST CSF相關文章介紹。

CSF 2.0 由六個功能組成 — 治理、識別、保護、偵測、回應和復原。這些功能共同為管理網路安全風險提供了全面的視圖。

CSF 2.0有三個主要組件

• Core
  高階網路安全成果分類可以幫助任何組織管理其網路安全風險。
• Tiers
  可應用於 CSF 組織概況(Profile)，以描述組織的網路安全風險治理和管理實務的嚴謹性。
• Profile
  根據 CSF Core 的結果來描述組織當前和(或)目標網路安全態勢的機制。

CSF Core的部分可以分為三個層級:

1. Functions
2. Categories
3. Subcategories

哪些的變動在2.0的版本?

CSF 2.0 中最顯著的變化是在Core的部分。

而治理(Governance)則從類別單獨拉出來，成為一個獨立的Function。

其中有12個類別被移除或重新調整到不同的Function。

新增了11個類別。

大部分則沒有變動，或者只是稍微變個名字。

Function

治理(Govern)

組織的網路安全風險管理策略、期望和政策已被"建立、傳達和監控"。

1. 了解並評估特定的網路安全需求。
   確定組織的獨特風險和需求。討論現行和預測的風險環境以及組織願意承擔的風險量。尋求整個組織的意見和想法。了解過去哪些做法有效、哪些做法無效，並公開討論。
2. 制定量身訂作的網路安全風險策略。
   這應該基於組織的具體網路安全目標、風險環境以及從過去和他人那裡獲得的經驗教訓(lessons learned)。定期地"管理、更新和討論"該策略。角色和職責(R&R)應該明確。
3. 建立明確的風險管理政策。
   政策應經管理層批准，並且應是整體組織的、可重複的和定期的，並應與現行的網路安全威脅環境、風險（會隨著時間而改變）和任務目標保持一致。將政策融入公司文化(這通常很困難)，以幫助推動和激發做出明智決策的能力。考量到法律、法規和合約義務。
4. 制定並傳達組織網路安全實實踐。
   這些必須直截了當並定期傳達。它們應該反映風險管理對任務或業務需求、威脅和整體技術格局變化的應用。記錄實踐並與他人分享，以便尋求回饋並具彈性地改變方向。
5. 建立並監控網路安全供應鏈風險管理。
   制定策略、政策、角色和職責 — 包括監督供應商、客戶和合作夥伴。將要求納入合約。讓合作夥伴和供應商參與規劃、回應和復原。
6. 實施持續性的監督和檢查。
   定期分析風險並持續監控（就像監控金融風險一樣）。

辨識(Identify)

必須理解組織現行的網路安全風險。

1. 識別關鍵業務流程和資產。
   考量組織的哪些活動絕對必須繼續可行。例如，這可以是維護一個電商網站來檢索付款、安全地保護客戶訊息，或確保對組織至關重要的資訊能保持可存取性和準確。
2. 維護硬體、軟體、服務和系統的清單庫存。
   了解組織使用的電腦和軟體（包括供應商提供的服務），因為這些通常是惡意行為者的切入點。此清單可以像電子表格一樣簡單。考慮包括自有、租賃和員工的個人設備和應用程式。
3. 記錄資訊流。
   考量組織收集和使用哪種類型的資訊（以及資料位於何處以及如何使用它們），特別是在涉及合約和外部合作夥伴時。
4. 識別威脅、漏洞和資產風險。
   根據對內外部威脅的理解，應該"識別、評估和記錄"風險。記錄它們的方法範例包括風險清單－風險資訊儲存庫，其中包括有關隨時間變化的風險的資料。確保能識別、優先處理和執行風險應對措施，並監控結果。
5. 所學到的經驗教訓可用於確定改進之處。
   在進行日常業務營運時，重要的是找到進一步改善或提高績效的方法，包括更好地管理和降低網路安全風險的機會。這需要組織各個層面做出有目的的作業努力。如果發生資安事故，評估事故發生的情況。準備一份應對行動後的事故報告，記錄資安事件、回應、採取的恢復行動和得到的經驗教訓。

保護(Protect)

使用保障措施來管理組織的網路安全風險。

1. 管理存取。
   為員工建立唯一的帳戶並確保使用者只能存取必要的資源。在授予使用者存取資訊、電腦和應用程式的權限之前對其進行身份驗證。管理和追蹤設備的實體存取。
2. 訓練使用者。
   定期培訓員工，確保他們了解網路安全政策和程序，並具備執行一般和特定任務的知識和技能；解釋如何識別常見攻擊並報告可疑活動。某些角色可能需要額外訓練。
3. 保護並監控組織的設備。
   考慮使用端點資安產品。對設備套用統一的配置並控制設備配置的變更。停用不支援任務功能的服務或功能。配置系統和服務以產生日誌記錄。確保設備得到安全處置。
4. 保護敏感資料。
   確保敏感的儲存或傳輸資料受到加密保護。考慮利用完整性檢查，以便只對資料進行核准的變更。當不再需要或要求時，安全地刪除(或)銷毀資料。
5. 管理和維護軟體。
   定期更新作業系統和應用程式；啟用自動更新。以支援的版本取代已停產的軟體。考慮使用軟體工具掃描設備以查找其他漏洞並進行修復。
6. 定期進行備份。
   按照商定的時間表備份資料或使用內建備份功能；軟體和雲端解決方案可以自動化這一過程。保留至少一組經常備份的資料處於離線狀態，以防止勒索軟體的攻擊。需要測試以確保備份資料能夠成功還原到系統。

偵測(Detect)

發現並分析可能的網路安全攻擊和危害。

1. 持續監控網路、系統和設設備以發現潛在的有害事件。
   發展和測試用於偵測網路和實體環境中的網路安全事件指標的流程和程序。
2. 確定並分析有害事件的預期影響和範圍。
   如果偵測到網路安全事件，組織應該迅速徹底地開展作業(要有人、有資源)以了解事件的影響。了解任何網路安全事件的詳細資訊將有助於做出回應。
3. 向有權的工作人員和工具提供有關有害事件的資訊。
   當偵測到有害事件時，向內部有權人員提供有關該事件的資訊，以確保採取適當的事件回應措施。

回應(Respond)

針對偵測到的網路安全事故(Incident)採取行動。

1. 一旦宣告發生資安事故，就與相關第三方協調執行事故回應計畫。
   為了正確執行事故回應計劃，確保每個人都知道自己的責任；這包括了解任何要求（例如監管、法律報告和資訊共享）。
2. 對事故進行分類和優先排序(檢傷分類)，並根據需求升級(escalate)或提升(elevate)。
   分析已經發生的情況，確定事故的根本原因，並確定哪些事故需要組織首先關注。將此優先順序傳達給組織的團隊，並確保每個人都了解在發生高度優先事故時應該向誰傳達有關優先事故的資訊。
3. 收集事故資料並保存其完整性和來源。
   以安全的方式收集資訊將有助於組織對事故做出回應。以安全的方式儲存這些資訊還可以幫助制定更新的未來回應計劃，使其更加有效。
4. 將任何事故通知內外部利害關係人並與他們分享事故資訊 — 遵循組織設定的政策。
   安全地共享與回應計劃和資訊共享協議一致性資訊。根據合約要求將事故通知業務合作夥伴和客戶。
5. 遏制並根除事故。
   執行已制定並經過測試的回應計劃將幫助組織控制事故的影響並將其消除。與利害關係人進行有意義的協調和溝通可以更有效地應對和緩解事故。

回復(Recover)

受網路安全事故影響的資產和營運已回復。

1. 了解角色和職責(R&R)。
   了解組織內外部的哪些人負有回復責任。了解誰有權限和權力代表組織做出決策來進行回應作業。
2. 執行恢復計劃。
   確保受影響的系統和服務的運作可用性；並確定其優先順序並執行復原任務。
3. 再三檢查我們的作業。
   在使用備份和其他恢復資產恢復正常業務運作之前，確保備份完整性非常重要。
4. 與內外部利害關係人溝通。
   仔細考量與各個利害關係人分享什麼資訊、如何分享以及何時共享，以便所有相關方都能收到他們需要的訊息，但不會分享不適當的資訊。向員工傳達任何經驗教訓以及流程、程序和技術的修訂（遵循組織已設定的政策）。這是對員工進行網路安全最佳實務訓練或再訓練的好時機。

Profile

CSF 2.0 是圍繞Profile的概念組織的。

NIST 2.0：建立Community Profiles的指南

步驟一: 確定組織概況的範圍

我們的概況評估是甚麼?

• 整個組織?
• 單一業務線?
• 還是特定部門?

步驟二: 取得必要資訊

組織或是我們手邊有甚麼?

• 政策?
• 標準?
• 程序?

步驟三: 建立組織概況

我們或是組織想要的概況(Profile)是甚麼樣子?但是這個未來概況是要組織負擔得起的，不然就是白玩。

1. 能力清單
2. 能夠圖形化的展示其能力
3. 能力的完整描述

步驟四: 差距分析並建立行動計畫

As-is 概況跟To-Be概況的差距

• 辨識主要差距
• 資源的優先考量
• 建立路線圖(Roadmap)

步驟五: 實行行動計畫並更新概況

• 團隊合作與跨部門的協作
• 將能力逐步成熟(最好有量化指標能夠評估其能力成熟度)

其他CSF 2.0的資源

• Informative References
  查看並建立 CSF 2.0 與其他文件之間的對應。
• Cybersecurity & Privacy Reference Tool (CPRT)
  CPRT 提供了一種集中的、標準化的和現代化的機制來管理參考資料集（並提供了一種一致化格式來存取來自各種 NIST 網路安全和隱私標準、指南和框架的參考資料）。
• Implementation Examples
  除了資訊參考資料中提供的指導之外，還可以查看和下載簡潔、行動導向的步驟的概念範例，以幫助實現 CSF 2.0 Subcategories的成果。
• CSF 2.0 Reference Tool
  存取人類和機器都看得懂的Core版本（JSON 和 Excel 格式）。

CSF 2.0 快速啟動指南

SMB(中小企業)

為中小企業(特別是那些網路安全計畫不多或根本沒有網路安全計畫的)提供啟動網路安全風險管理策略的考慮。

建立與使用組織概況(Organizational Profiles)

為所有組織提供”建立和使用”現行和(或)目標概況來實施 CSF 2.0 的考量因素。

使用CSF Tiers

解釋組織如何將 CSF Tier應用於組織概況，以描述其網路安全風險治理和管理實踐的嚴謹性。

網路安全供應鏈風險管理

透過改進"網路安全供應鏈風險管理"流程，幫助組織成為技術產品和服務的智慧採購者和供應商。

企業風險管理(ERM)

詳細說明企業風險管理從業人員如何利用 CSF 2.0 中提供的結果來改善組織網路安全風險管理。