NIST Cybersecurity Framework 介紹
Cybersecurity Framework(以下簡稱CSF)是NIST(美國國家標準與技術研究院)基於2014年的美國網路安全加強法案(Cybersecurity Enhancement Act)所發展出來的安全框架。其目的是解決美國的關鍵基礎設施(critical infrastructure systems)所面臨的一些重大風險。因為美國的關鍵基礎設施系統在日益增加的"複雜性"和"網路連結性"中,將國家安全、經濟以及公共安全和健康置於危險之中。
從商業層面來說,網路安全風險(Cybersecurity risk)會增加企業的財務和商譽風險。如果不管理這一類的風險,企業可能會面臨倒閉的情況。網路安全風險會推高企業的成本並影響營收。 它會損害組織的創新能力以及贏得和維護客戶安全的能力。 網路安全需要成為組織整體風險管理的重要組成部分。
而CSF是
“一種優先、靈活、可重複、基於績效且具有成本效益的方法,包括關鍵基礎設施的負責人和運營商可以自願採用的資訊安全措施和控制措施,以幫助他們識別、評估和管理網路風險。
CSF著重於使用業務驅動因素來指引企業的網路安全活動,並將網路安全風險視為企業風險管理流程的一部分。 CSF由三部分組成:
- 框架核心(Framework Core)
- 實施層(Implementation Tiers)
- 框架概況(Framework Profile)
框架核心的要素為不同企業的概況(Profile)提供了詳細的指導。 通過使用概況,該框架將幫助企業根據其:
- 業務/任務要求
- 風險承受能力
- 資源
來調整其:
- 網路安全活動
- 確定其優先順序。
實施層為企業提供了一種機制來檢視和理解其管理網路安全風險的方法的特徵,這將有助於確定網路安全目標的優先等級並實現這些目標。
CSF旨在改進關鍵基礎設施中的網路安全風險管理,該框架可供任何不同規模的企業使用,無論其網路安全風險程度或網路安全複雜程度如何 — — 都能應用風險管理的原則和最佳實踐來提高安全性和韌性。
CSF適用於依靠技術存活的企業,無論他們的網路安全重點主要是IT、工業控制系統 (ICS)、網路物理系統 (CPS) 還是更普遍的連網設備,包括物聯網 (IoT) 。
CSF並不是管理關鍵基礎設施網路安全風險的一刀切的方法。 因為每個企業都有其各自特有的風險 — — 不同的威脅、不同的漏洞、不同的風險承受能力。 企業在如何選擇CSF中描述的實踐也會有所不同。 企業可以確定對關鍵服務交付很重要的活動,並可以確定投資的優先等級,以最大限度地發揮每一塊錢投資的影響。
框架簡介
CSF幫助企業實行"識別(Identify)"和"減輕(Mitigating)"風險以及"偵測(Detecting)"、"回應(Responding)"和從網路攻擊中"恢復(Recovering)"的流程。
要管理網路安全風險,需要清楚地了解企業的業務驅動因素和使用那些技術的安全考量因素。 由於每個企業風險、優先事項和系統都是獨一無二的,因此用於實現CSF描述的結果的工具和方法會有所不同。
CSF也是企業在管理其網路安全風險態勢時應遵循的最佳實踐或指南的集合,通過識別最有可能被駭客(無論內部或外部)利用的區域來減少企業遭受網路攻擊的風險。這些集合有RMF(Risk Management Framework), CIS(Center for Internet)的Critical Security Controlu以及ISO/IEC 27001與27002。
基於這些標準、指南和實踐,CSF為企業提供了一個通用的分類法和機制:
- 企業現行網路安全態勢(cybersecurity posture)
- 企業想達到的網路安全狀態
- 在"連續和可重複的流程"中"識別並優先考量"改進機會
- 評估目標狀態的進展
- 在內部和外部利害關係人之間就網路安全風險進行溝通
框架組件
CSF是一種"基於風險"的網路安全風險管理方法,由三部分組成:
- Framework Core
- Framework Implementation Tiers
- Framework Profile。
每個框架組件都強化了業務/任務驅動因素和網路安全活動之間的關係。
Framework Core
有以下三個要素:
- 一組網路安全活動
- 預期結果
- 適用的參考資料。
Framework Core呈現一種從企業的C-Level到實際執行作業的員工的整體企業網路安全活動和結果進行交流的方式呈現出產業標準、指南和實踐。
Framework Core由五個"並行和連續"的功能組成
- Identify
- Protect(絕多大企業會做的)
- Detect
- Respond(只有少部分企業關注與實行的)
- Recover(只有少部分企業關注與實行的)
當進行整體考量時,這些功能提供了企業網路安全風險管理生命週期的高階戰略視圖。 CSF一共包含23個網路安全活動與108種不同的結果。
Framework Implementation Tiers
它提供了有關企業:
- 如何看待網路安全風險(cybersecurity risk)
- 管理該風險的現有流程的背景資訊
層級(Tiers)描述了企業的網路安全風險管理實踐在多大程度上呈現出框架中定義的特徵(例如,風險和威脅意識、可重複性和適應性)。 層級描述了企業在一定範圍內的實踐,從Tier 1 — Partial到Tier 4 — Adaptive。 這些層級反映了從非正式、反射性回應到敏捷和風險知情(risk-informed)等方法的進程。 而在選擇層級(Tiers)的過程中,企業應考慮:
- 現行的風險管理實踐
- 威脅環境
- 法律和法規要求
- 業務/任務目標
- 企業本身的限制
Tier 1(Partial)
一個”整體無效”的風險管理方法
- 非系統化的風險管理流程
- 不可靠的風險管理計劃
- 反應遲鈍的風險管理參與
Tier 2(Risk-informed)
一種”非正式”的風險管理方法
- 未完成的風險管理流程
- 不完善的風險管理計劃
- 不完整的風險管理參與
Tier 3(Repeatable)
具結構化的風險管理方法
- 有序的風險管理流程
- 穩健的風險管理計劃
- 日常的風險管理參與
Tier 4(Adaptive)
具適應性風險管理方法
- 動態式風險管理流程
- 回應式風險管理計劃
- 交互式風險管理參與
Framework Profile
呈現企業根據業務需求從框架"類別和子類別"中選擇的結果。 概況(Profile) 可以描述為標準、指南和實踐在特定實施場景中與 Framework Core 的一致性。 通過將“現行”概況(“現狀”狀態)與“目標”概況(“未來”狀態)進行比較,概況可用於識別改善網路安全態勢的機會。 要發展概況,企業可以檢視Framework Core中所有類別和子類別,並根據業務/任務驅動因素和風險評估,確定哪些是最重要的; 它可以根據需要加入企業自己獨有的類別和子類別以解決企業的風險。 現行概況可用於支持對目標概況的進展進行優先排序和衡量(在Gap analysis之後),同時考慮其他業務需求,包括成本效益和創新。
風險管理(Risk Management)與CSF
風險管理是識別、評估和應對風險的持續過程。 為了管理風險,企業應該了解事件發生的"可能性以及可能產生的影響"。 有了這些資訊,企業就可以確定實現其組織目標的可接受風險程度,並將其表示為他們的風險承受能力。
通過了解風險承受能力,企業可以確定網路安全活動的優先等級,從而使企業能夠就網路安全投資做出決策。風險管理計劃的實施使企業能夠量化和傳達對其網路安全計劃的調整。 企業可以選擇以不同的方式處理風險,包括對風險的:
- 減輕(Mitigate)
- 轉移(Transfer)
- 迴避(Avoid)
- 接受(Accept)
具體取決於對關鍵服務交付的潛在影響。 CSF使用風險管理流程使企業能夠知曉和優先考慮有關網路安全的決策。 它支持對業務驅動因素進行週期性風險評估和驗證,以幫助企業選擇反映預期結果的網路安全活動的目標狀態。 因此,CSF使企業能夠動態選擇和指導改進 IT 和 ICS 環境的網路安全風險管理。
