NIST CSF是什么?
NIST CSF是由美国国家标准和技术研究所(NIST)开发的一个框架,旨在帮助组织管理和降低其网络安全风险。通过其指南、最佳实践和标准,它为组织提供了评估和加强网络安全态势的结构化方法。
NIST CSF可以被组织用于:
- 了解并选择期望的基于安全的目标。
- 制定一个计划来实现这个目标。
- 评估为达到预期目标而取得的进展。
- 评估组织当前的网络安全能力,并评估实现预期目标的挑战。
NIST CSF的演变
2013年2月12日,美国总统巴拉克·奥巴马签署第13636号行政命令——改善关键基础架构网络安全——之后,NIST CSF的工作开始了。根据这一命令,对关键基础架构的反复网络入侵表明了网络安全框架的迫切需求。它建议,这样的框架应该提供一种优先、灵活、可重复、基于性能和具有成本效益的方法,以帮助关键基础架构的运营商识别、评估和管理网络风险。
整整一年后,NIST CSF 1.0——改善关键基础架构网络安全框架——向公众发布。它是通过政府、行业和学术界各利益相关者之间的合作开发的。国际标准化组织(ISO)和国际电工委员会(IEC)已经制定的标准也为NIST CSF做出了贡献。更新的NIST CSF 1.1于2018年4月发布,NIST CSF 2.0于2024年2月发布。随着时间的推移,它预计将发展得更多,因为它比比更翔实、更及时、更有用。
根据行政命令,NIST CSF 1.0针对关键基础架构组织。然而,很明显,该指南适用于所有部门和行业的组织。NIST CSF 1.1明确指出,任何部门的组织都可以使用该框架。在NIST CSF 2.0中,“改善关键基础架构网络安全框架”的标题不再使用。图1显示了它多年来是如何演变的。
图1:NIST CSF从2013年到2024年的演变。
NIST CSF的组成部分
NIST CSF由三个部分组成,以帮助组织降低网络风险:
- 核心:核心由功能、类别和子类别组成,描述了组织可以选择的各种基于安全的目标。
- 配置文件:CSF配置文件是指组织在目标方面的安全态势状态。当前和目标配置文件帮助组织识别需要解决的差距。
- 实施层级:实施层级定义了组织遵循风险管理和治理实践的级别。它们可以应用于当前和目标配置文件。为了实现目标配置文件,组织也应该处于目标级别。组织可以达到四个可能的层级或级别:第1层(部分)、第2层(风险知情)、第3层(可重复)和第4层(自适应)。
图2显示了NIST的结构,以及这一切是如何结合在一起的。
图2:NIST CSF的结构-框架核心、配置文件和层级。
谁必须遵守?
遵守NIST CSF是美国联邦政府机构的义务。虽然作为美国联邦机构的政策制定的,但NIST CSF也旨在适应全球商业生态系统的各种方法。来自任何国家、规模或行业的组织都可以采用该框架。
NIST CSF 2.0有什么新内容?
NIST CSF 1.0和NIST CSF 2.0的主要区别之一是更新了框架核心。NIST CSF 1.1 Core有五个功能、23个类别和108个子类别,而NIST CSF 2.0 Core有6个功能、22个类别和106个子类别。类别也在NIST CSF 2.0中进行了上下文重新安排。“政府”职能已被分级,以提供对组织网络安全的更大行政和利益相关者监督。
NIST CSF核心功能
NIST CSF核心有六个功能:
政府(GV)
该职能建立与治理流程相关的安全目标,实现明智的决策,提高管理效率,并加强战略规划能力。
识别(ID)
网络资产和运营管道中的资产的综合记录是该职能的主要重点。它要求组织了解系统、人员、数据、服务和其他资产构成的风险。
保护(PR)
保护资产免受网络安全攻击是该职能的目的。它还有助于控制可能的网络安全攻击的影响半径。
检测(DE)
该功能需要实施监控程序和系统,以识别攻击。使用与异常检测和自动响应功能集成的SIEM解决方案可以帮助发现威胁并及时做出响应。
回应(RS)
此功能通过限制和最小化网络安全事件的影响来中和事件。根据已识别的威胁,实施攻击行动计划并组建响应团队。
恢复(RC)
恢复功能帮助您及时恢复正常业务。这减轻了网络攻击的影响。
NIST CSF核心类别和子类别
六个函数中的每一个都有几个类别,而这些类别又有几个子类别。您可以将类别视为NIST CSF的要求。子类别是组织可以选择的基于安全的目标。
| 功能 | 类别 | 类别标识符 |
|---|---|---|
| 治理 | 组织背景 | GV.OC |
| 风险管理策略 | GV.RM | |
| 角色、责任和权威 | GV.RR | |
| 政策 | GV.PO | |
| 监督 | GV.OV | |
| 网络安全供应链风险管理 | GV.SC | |
| 识别 | 资产管理 | ID.AM |
| 风险评估 | ID.RA | |
| 改进 | ID.IM | |
| 保护 | 身份管理、身份验证和访问控制 | PR.AA |
| 意识和培训 | PR.AT | |
| 数据安全 | PR.DS | |
| 平台安全 | PR.PS | |
| 技术基础架构弹性 | PR.IR | |
| 检测 | 持续监控 | DE.CM |
| 不良事件分析 | DE.AE | |
| 回应 | 事件管理 | RS.MA |
| 事件分析 | RS.AN | |
| 事件响应报表和通信 | RS.CO | |
| 事件缓解 | RS.MI | |
| 恢复 | 事件恢复计划执行 | RS.RP |
| 事件恢复通信 | RC.CO |
如何在您的组织中实施NIST CSF?
您想开始在您的组织中实施NIST CSF吗?以下是如何分步的细分。遵守NIST CSF需要一种有条不紊的方法,根据公司的独特要求和风险概况进行定制。
第1步:熟悉NIST CSF 2.0更新。
- 了解NIST CSF中引入的新功能、类别和增强功能。了解这些变化如何影响您当前的网络安全政策、流程和控制。
第2步:确保高管的认同并组建一个团队。
- 获得行政领导层的承诺,为实施分配必要的资源、预算和支持。
- 组建一个由来自IT、网络安全、法律、合规和其他相关部门的成员组成的跨职能团队,以领导实施过程。
第3步:进行当前状态评估
- 执行差距分析,将您当前的网络安全实践与NIST CSF要求进行比较。
第4步:定义实施范围和目标
- 决定NIST CSF实施的范围:它是针对整个组织还是特定部门或系统?
- 明确通过NIST CSF实施实现的目标,例如改善威胁检测、加强事件响应或满足合规性要求。
第5步:开发定制的NIST CSF配置文件
- 创建针对您组织的特定风险环境、业务需求和监管要求量身定制的NIST CSF配置文件。
- 将您组织当前和期望的网络安全实践映射到NIST CSF核心功能及其相关类别和子类别。
第6步:计划并确定实施的优先次序
- 创建一个详细的路线图,概述实施的步骤、时间表、资源和关键节点。首先专注于缓解高风险领域并增强关键的网络安全能力。
第7步:与现有的网络安全框架整合
- 将NIST CSF与其他现有网络安全框架、标准或合规要求(例如ISO 27001、HIPAA)相结合,以简化工作并确保一致性。
第8步:准备外部审计和评估
- 进行内部审计,以评估对NIST CSF的遵守情况,并在进行任何外部评估之前确定差距。
- 进行外部审计或评估,以验证您对NIST CSF的遵守情况,并展示您的组织对网络安全的承诺。
NIST CSF实施层级
实施层级显示一个组织在其网络安全计划中遵循框架功能的级别。它有助于理解基于当前既定的网络安全程序的风险管理策略范围。
层级可以帮助增强组织的网络安全态势。例如,它们可用于衡量控制网络安全威胁的全公司战略的内部通信。当有更多的要求或危险时,或者当成本效益分析表明,降低负面网络安全风险既可实现又经济时,建议提高层级。不同的实施层级及其描述如下表所示。
| 第1层:部分 | 第2级:风险知情 | 第3层:可重复 | 第4层:适应性 |
|---|---|---|---|
| 不一致、无效和被动的风险管理技术,没有充分考虑网络安全威胁。 | 对网络安全威胁有一定程度的了解,但组织管理计划的开发没有太大的风险。 | 一个全组织的网络安全风险管理计划,是统一的,并有程序来适应不断变化的威胁条件。 | 一个智能反应系统,能够利用历史数据和预测指标有效地增强其风险管理策略。网络安全风险管理融入了适应性公司的公司文化和预算选择。 |
NIST合规性清单
通过遵循某些准则和最佳实践,可以在很大程度上避免不遵守NIST CSF。以下是可以帮助您的组织加强其网络安全态势的策略清单:
- 确保网络安全被视为高层管理人员的内在文化和自上而下的方法,因此战略是相应地设计的。
- 确保所有设备上都安装了防病毒和端点保护软件,并定期更新,以防范恶意软件和其他有害威胁。
- 识别和解决软件、系统和网络基础架构中的漏洞,并实施频繁的漏洞评估和扫描。
- 启用系统修改、文件访问和登录的日志记录和跟踪,以识别和处理未经授权或可疑活动。
- 采用零信任策略来进行网络安全,其中仅根据严格的权限和身份验证程序允许访问,与用户在公司网络边界内外的位置无关。
- 制定和测试事件响应和恢复程序,以保证公司能够应对和恢复网络安全问题,对业务运营影响很小。
- 创建一个补丁管理程序,以系统地查找、评估和更新带有安全补丁的软件和系统,以修复已知的漏洞。
- 使用DLP技术来跟踪、识别和阻止内部和外部未经授权共享或发送敏感数据。
用例
收集和分析来自您环境中各种来源的日志,包括最终用户设备,并以图表和直观报表的形式获得见解,以帮助发现安全威胁。(帮助ID.RA-03、PR.PS-04、DE.CM-01)
识别异常的文件或数据访问,减少来自命令和控制服务器的恶意通信,并防止数据被过滤。(帮助PR.DS)
利用STIX/TAXII格式的威胁提要,通过威胁情报发现恶意IP、域和URL。(帮助ID.RA-02)
NIST CSF的不合规影响
不遵守NIST CSF将使与联邦机构合作的企业面临失去联邦合同或面临《联邦收购条例》规定的处罚的风险。此外,它可能会导致毫无根据的诉讼和不利的舆论,这可能对营销和即将到来的合同谈判有害。此外,该机构可能会受到直接和间接的影响,包括合同终止、监禁、因疏忽而被解雇或相关部门解散。影响将取决于监管机构、处理数据的相关性以及违规的可能影响。