Структура кибербезопасности NIST - NIST Cybersecurity Framework

В Структура кибербезопасности NIST обеспечивает политическую основу компьютерная безопасность руководство о том, как частный сектор организации в США могут оценивать и улучшать свои возможности по предотвращению, обнаружению и реагированию на кибератаки. Платформа была переведена на многие языки и используется, в частности, правительствами Японии и Израиля.^[1] Он «обеспечивает высокоуровневую таксономию результатов кибербезопасности и методологию для оценки и управления этими результатами». Версия 1.0 была опубликована в США. Национальный институт стандартов и технологий в 2014 году изначально нацелен на операторов критическая инфраструктура. Он используется широким кругом предприятий и организаций и помогает сменным организациям проявлять инициативу в отношении управления рисками.^[2]^[3]^[4] В 2017 году черновая версия концепции, версия 1.1, была распространена для общественного обсуждения.^[5] Версия 1.1 была анонсирована и стала общедоступной 16 апреля 2018 г.^[6] Версия 1.1 по-прежнему совместима с версией 1.0. Изменения включают руководство о том, как проводить самооценку, дополнительные сведения об управлении рисками в цепочке поставок, руководство о том, как взаимодействовать с заинтересованными сторонами цепочки поставок, и поощряют раскрытие уязвимости процесс.^[7]^[8]

Исследование внедрения инфраструктуры безопасности показало, что 70% опрошенных организаций рассматривают структуру NIST как популярную передовую практику компьютерной безопасности, но многие отмечают, что она требует значительных инвестиций.^[9]

Он включает руководство по соответствующей защите для Конфиденциальность и гражданские свободы.^[10]

Обзор

Структура кибербезопасности NIST разработана для отдельных предприятий и других организаций для оценки рисков, с которыми они сталкиваются.

Структура разделена на три части: «Ядро», «Профиль» и «Уровни». «Ядро структуры» содержит ряд действий, результатов и ссылок об аспектах и подходах к кибербезопасности. «Уровни реализации структуры» используются организацией, чтобы прояснить для себя и своих партнеров, как она рассматривает риск кибербезопасности и степень сложности своего подхода к управлению. «Структурный профиль» - это список результатов, выбранных организацией из категорий и подкатегорий, исходя из своих потребностей и оценок рисков.

Организация обычно начинает с использования структуры для разработки «Текущего профиля», который описывает ее деятельность в области кибербезопасности и результаты, которых она достигает. Затем он может разработать «Целевой профиль» или принять базовый профиль, адаптированный к его сектору (например, отрасль инфраструктуры) или типу организации. Затем он может определить шаги переключения с текущего профиля на целевой.

Функции и категории мероприятий по кибербезопасности

Структура кибербезопасности NIST организовывает свой «основной» материал по пяти «функциям», которые в общей сложности подразделяются на 23 «категории». Для каждой категории он определяет ряд подкатегорий результатов кибербезопасности и меры безопасности, всего 108 подкатегорий.

Для каждой подкатегории он также предоставляет «Информационные ресурсы» со ссылками на определенные разделы множества других стандартов информационной безопасности, включая ISO 27001, COBIT, NIST SP 800-53, ANSI / ISA-62443 и Совет по критически важным мерам безопасности кибербезопасности (CCS CSC, теперь управляется Центр Интернет-безопасности ). Помимо специальных публикаций (SP), для большинства информативных ссылок требуется платное членство или покупка для доступа к соответствующим руководствам. Стоимость и сложность структуры привели к законопроектам обеих палат Конгресса, которые предписывают NIST создавать руководства по структуре кибербезопасности, более доступные для малого и среднего бизнеса.^[11]^[12]

Вот функции и категории, а также их уникальные идентификаторы и определения, как указано в столбце категорий в представлении электронной таблицы ядра стандарта.^[13]

Идентифицировать

«Развивайте организационное понимание для управления рисками кибербезопасности для систем, активов, данных и возможностей».

Управление активами (ID.AM): данные, персонал, устройства, системы и средства, которые позволяют организации достичь бизнес-целей, идентифицируются и управляются в соответствии с их относительной важностью для бизнес-целей и стратегии управления рисками организации.
Деловая среда (ID.BE): миссия, цели, заинтересованные стороны и деятельность организации понятны и расставлены по приоритетам; эта информация используется для информирования о ролях, обязанностях и решениях по управлению рисками в области кибербезопасности.
Управление (ID.GV): политика, процедуры и процессы для управления и мониторинга нормативных, юридических, рисковых, экологических и операционных требований организации понятны и информируют руководство по рискам кибербезопасности.
Оценка рисков (ID.RA): организация понимает риск кибербезопасности для операций организации (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.
Стратегия управления рисками (ID.RM): приоритеты, ограничения, допуски к риску и допущения организации устанавливаются и используются для поддержки решений по операционным рискам.
Управление рисками цепочки поставок (ID.SC): приоритеты, ограничения, допустимые пределы риска и допущения организации устанавливаются и используются для поддержки решений по рискам, связанных с управлением рисками цепочки поставок. В организации есть процессы выявления, оценки и управления рисками цепочки поставок.

Защищать

«Разработайте и внедрите соответствующие меры безопасности для обеспечения предоставления критически важных инфраструктурных услуг».

Контроль доступа (PR.AC): доступ к активам и связанным с ними средствам ограничен авторизованными пользователями, процессами или устройствами, а также авторизованными действиями и транзакциями.
Информирование и обучение (PR.AT): персонал и партнеры организации проходят обучение по вопросам кибербезопасности и получают соответствующую подготовку для выполнения своих обязанностей и ответственности, связанных с информационной безопасностью, в соответствии с соответствующими политиками, процедурами и соглашениями.
Безопасность данных (PR.DS): информация и записи (данные) управляются в соответствии со стратегией управления рисками организации для защиты конфиденциальности, целостности и доступности информации.
Процессы и процедуры защиты информации (PR.IP): политики безопасности (которые определяют цель, объем, роли, обязанности, обязательства руководства и координацию между организационными подразделениями), процессы и процедуры поддерживаются и используются для управления защитой информационных систем и активов. .
Техническое обслуживание (PR.MA): Техническое обслуживание и ремонт компонентов производственного контроля и информационных систем выполняется в соответствии с политиками и процедурами.
Защитная технология (PR.PT): Решения по технической безопасности управляются для обеспечения безопасности и отказоустойчивости систем и активов в соответствии с соответствующими политиками, процедурами и соглашениями.

Обнаружить

«Разработайте и внедрите соответствующие действия для определения возникновения события кибербезопасности».

Аномалии и события (DE.AE): аномальная активность обнаруживается своевременно, и потенциальное влияние событий понимается.
Непрерывный мониторинг безопасности (DE.CM): информационная система и активы контролируются с дискретными интервалами для выявления событий кибербезопасности и проверки эффективности мер защиты.
Процессы обнаружения (DE.DP): процессы и процедуры обнаружения поддерживаются и тестируются для обеспечения своевременной и адекватной осведомленности об аномальных событиях.

Отвечать

«Разработайте и внедрите соответствующие действия для принятия мер в отношении обнаруженного события кибербезопасности».

Планирование реагирования (RS.RP): процессы и процедуры реагирования выполняются и поддерживаются, чтобы обеспечить своевременный ответ на обнаруженные события кибербезопасности.
Коммуникации (RS.CO): Действия по реагированию координируются с внутренними и внешними заинтересованными сторонами, в зависимости от ситуации, включая внешнюю поддержку со стороны правоохранительных органов.
Анализ (RS.AN): Анализ проводится для обеспечения адекватного реагирования и поддержки действий по восстановлению.
Смягчение (RS.MI): Выполняются действия для предотвращения распространения события, смягчения его последствий и искоренения инцидента.
Улучшения (RS.IM): Организационные мероприятия по реагированию улучшаются за счет включения уроков, извлеченных из текущих и предыдущих действий по обнаружению / реагированию.

Восстанавливаться

«Разработайте и внедрите соответствующие действия для поддержания планов устойчивости и восстановления любых возможностей или услуг, которые были нарушены из-за события кибербезопасности».

Планирование восстановления (RC.RP): процессы и процедуры восстановления выполняются и поддерживаются для обеспечения своевременного восстановления систем или активов, затронутых событиями кибербезопасности.
Улучшения (RC.IM): планирование и процессы восстановления улучшаются за счет включения извлеченных уроков в будущую деятельность.
Коммуникации (RC.CO): Действия по восстановлению координируются с внутренними и внешними сторонами, такими как координационные центры, интернет-провайдеры, владельцы атакующих систем, жертвы, другие CSIRT и поставщики.

Информационные ссылки в Интернете

В дополнение к информативным ссылкам в ядре фреймворка, NIST также поддерживает онлайн-базу данных информативных ссылок.^[14]. Информационные ссылки показывают взаимосвязи между функциями, категориями и подкатегориями Framework и конкретными разделами стандартов, руководств и передовых практик, общих для заинтересованных сторон Framework. Информационные ссылки иллюстрируют способы достижения результатов Рамочной основы.

Смотрите также

Стандарты кибербезопасности
Структура конфиденциальности NIST
Защита критически важной инфраструктуры
ISO / IEC 27001: 2013: стандарт информационной безопасности от Международная организация по стандартизации
COBIT: Цели управления для информационных и связанных технологий - связанная структура от ISACA
Специальная публикация NIST 800-53: «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций».

внешняя ссылка

[1] «Структура кибербезопасности NIST».

[2] «Семинар описывает эволюцию NIST Cybersecurity Framework». FedScoop. Получено 2 августа, 2016.

[3] HealthITSecurity. «Обновления структуры кибербезопасности NIST, уточнения в стадии разработки». Получено 2 августа, 2016.

[4] PricewaterhouseCoopers. «Почему вы должны принять структуру кибербезопасности NIST». Получено 4 августа, 2016.

[5] Келлер, Николь (10 января 2017 г.). «Проект концепции кибербезопасности версии 1.1». NIST. Получено 5 октября, 2017.

[6] «NIST выпускает версию 1.1 своей популярной инфраструктуры кибербезопасности». NIST. 16 апреля 2018 г.. Получено 27 апреля, 2018.

[7] «Обновленная структура кибербезопасности NIST подчеркивает риск контроля доступа и цепочки поставок». Расшифровать. Получено 17 октября, 2019.

[8] «Что нового в NIST Cybersecurity Framework v1.1». Исключить. 26 апреля 2018 г.. Получено 26 мая, 2018.

[9] «Принятие концепции кибербезопасности NIST затруднено из-за затрат, результаты опроса». Информационная неделя Темное чтение. Получено 2 августа, 2016.

[10] HealthITSecurity. «HIMSS: Положительный результат в рамках концепции кибербезопасности NIST, можно улучшить». Получено 2 августа, 2016.

[11] «Закон о кибербезопасности MAIN STREET от 2017 года». congress.gov. Получено 5 октября, 2017.

[12] «Закон NIST о кибербезопасности малого бизнеса от 2017 года». congress.gov. Получено 5 октября, 2017.

[13] «Ядро платформы кибербезопасности (Excel)». NIST. Эта статья включает текст из этого источника, который находится в всеобщее достояние.

[14] [email protected] (27 ноября 2017 г.). «Информативные ссылки». NIST. Получено 17 апреля, 2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]