美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)近日發(fā)布了網(wǎng)絡(luò)安全框架(CSF)的2.0正式版本,,這是2014年該框架發(fā)布后十年來(lái)首次重大更新。新框架版本極大擴(kuò)展了適用范圍,,重點(diǎn)關(guān)注治理和供應(yīng)鏈問(wèn)題,,并提供了豐富的資源以加速框架實(shí)施。
NIST正式發(fā)布的網(wǎng)絡(luò)安全框架(CSF)2.0版本比去年9月發(fā)布的2.0草案版本更加完善,,新版本的重大變化和升級(jí)如下:
適用范圍從關(guān)鍵基礎(chǔ)設(shè)施擴(kuò)大到所有組織:新的2.0版本面向幾乎所有受眾,、行業(yè)部門(mén)和組織類(lèi)型而設(shè)計(jì),從最小的學(xué)校和非營(yíng)利組織到最大規(guī)模的機(jī)構(gòu),、公司和國(guó)家關(guān)鍵基礎(chǔ)設(shè)施,,無(wú)論其網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜程度如何,。
新增的“治理“成為核心功能:新框架版本將重點(diǎn)放在治理上,包括組織如何制定和執(zhí)行有關(guān)網(wǎng)絡(luò)安全策略的決策,,并強(qiáng)調(diào)網(wǎng)絡(luò)安全是企業(yè)風(fēng)險(xiǎn)的主要來(lái)源,,高級(jí)領(lǐng)導(dǎo)者應(yīng)將網(wǎng)絡(luò)安全與財(cái)務(wù)和聲譽(yù)等其他風(fēng)險(xiǎn)一起考慮。
提供實(shí)施框架所需的大量工具和指導(dǎo)資源:NIST擴(kuò)展了CSF的核心指導(dǎo)并開(kāi)發(fā)了相關(guān)資源,,以幫助用戶(hù)充分利用該框架,。這些資源旨在為不同的受眾提供進(jìn)入CSF的定制途徑,并使該框架更容易付諸實(shí)施,。
從關(guān)鍵基礎(chǔ)設(shè)施擴(kuò)大到所有組織
網(wǎng)絡(luò)安全框架2.0版本被美國(guó)總統(tǒng)拜登的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》和幾項(xiàng)新興政府網(wǎng)絡(luò)安全政策聲明引用,,其關(guān)注范圍從保護(hù)關(guān)鍵基礎(chǔ)設(shè)施(例如醫(yī)院和發(fā)電廠(chǎng))擴(kuò)展到所有行業(yè)的組織。
為此,,新框架版本放棄了之前版本使用的“改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架”的名稱(chēng),,改為“NIST網(wǎng)絡(luò)安全框架(CSF)2.0”。
與2015年發(fā)布的原始版本和2018年發(fā)布的1.1版本相比,,2.0版本不再僅僅是一個(gè)靜態(tài)資源,,而演變成了一套指導(dǎo)框架實(shí)施的資源包?!熬W(wǎng)絡(luò)安全框架一直是許多組織的重要工具,,幫助他們預(yù)測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅,”美國(guó)商務(wù)部標(biāo)準(zhǔn)與技術(shù)局副局長(zhǎng)兼NIST局長(zhǎng)Laurie E. Locascio表示,,“2.0版本以之前版本為基礎(chǔ),,不僅僅涵蓋一份文檔,而是一套可定制的資源,,隨著組織的網(wǎng)絡(luò)安全需求變化和能力發(fā)展,,可以單獨(dú)或組合使用?!?/p>
“治理”成為核心功能
網(wǎng)絡(luò)安全框架2.0最重要的結(jié)構(gòu)性變化是增加了第六個(gè)關(guān)鍵功能——“治理”,,此前版本的五個(gè)關(guān)鍵功能“識(shí)別”、“保護(hù)”,、“檢測(cè)”,、“響應(yīng)”和“恢復(fù)”都圍繞著該功能展開(kāi)(上圖),?!爸卫怼惫δ苤荚趲椭M織將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理納入更廣泛的企業(yè)風(fēng)險(xiǎn)管理計(jì)劃中,通過(guò)提供“成果”或期望狀態(tài)來(lái)指導(dǎo)組織如何實(shí)現(xiàn)和優(yōu)先考慮其他五個(gè)功能的成果,。
NIST表示,,增加“治理”功能的目的是將所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)提升到組織的高管和董事會(huì)層面?!拔艺J(rèn)為2.0版本的一大亮點(diǎn)是將治理提升為一個(gè)功能,,”網(wǎng)絡(luò)安全公司CyberSaint的創(chuàng)始人兼首席創(chuàng)新官Padraic O’Reilly指出:“我認(rèn)為現(xiàn)在業(yè)界已經(jīng)普遍認(rèn)識(shí)到,,如果沒(méi)有積極的治理參與,網(wǎng)絡(luò)安全工作就只會(huì)原地打轉(zhuǎn),?!?/p>
供應(yīng)鏈安全受到更多重視
網(wǎng)絡(luò)安全框架2.0還整合并擴(kuò)展了1.1版本中的供應(yīng)鏈風(fēng)險(xiǎn)管理成果,并將其中大部分歸入“治理”功能之下,??蚣苤赋觯拌b于該生態(tài)系統(tǒng)復(fù)雜且相互關(guān)聯(lián),,供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)對(duì)組織至關(guān)重要,。網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理(C-SCRM)是一個(gè)系統(tǒng)化的過(guò)程,用于管理整個(gè)供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)暴露,,并制定適當(dāng)?shù)捻憫?yīng)策略,、政策、流程和程序,。網(wǎng)絡(luò)安全框架C-SCRM類(lèi)別[GV.SC]下的子類(lèi)別提供了一種將純粹關(guān)注網(wǎng)絡(luò)安全和關(guān)注C-SCRM的成果聯(lián)系起來(lái)的方式,。”
將供應(yīng)鏈風(fēng)險(xiǎn)管理納入“治理”功能只是解決網(wǎng)絡(luò)安全棘手問(wèn)題邁出的第一步,?!肮?yīng)鏈問(wèn)題纏身,”O(jiān)’Reilly說(shuō),,“之所以供應(yīng)鏈安全問(wèn)題如此復(fù)雜,,是因?yàn)楣?yīng)鏈本身就非常復(fù)雜。我認(rèn)為NIST將一部分供應(yīng)鏈納入治理范疇,,是因?yàn)樾枰獜纳蠈舆M(jìn)行更多管理,。因?yàn)槟壳埃恍┳龇m然勉強(qiáng)說(shuō)得過(guò)去,,但只能解決大約一半的問(wèn)題,。”
完善的參考工具,、資料,、指南和資源整合
網(wǎng)絡(luò)安全框架2.0版本還提供了更新的“參考資料”,即現(xiàn)有的標(biāo)準(zhǔn),、指南和框架,,以幫助充實(shí)網(wǎng)絡(luò)安全框架包含的技術(shù)細(xì)節(jié)和步驟,為組織如何實(shí)施23個(gè)類(lèi)別下的106個(gè)子類(lèi)別提供進(jìn)一步的指導(dǎo),。
為了解決網(wǎng)絡(luò)安全框架可能帶來(lái)的實(shí)施困難,,NIST在2.0版本中加入了一系列關(guān)于不同主題的“快速入門(mén)指南”,包括如何創(chuàng)建網(wǎng)絡(luò)安全框架配置文件和層級(jí),,以及如何開(kāi)始管理供應(yīng)鏈安全風(fēng)險(xiǎn)和創(chuàng)建社區(qū)配置文件,,以供擁有共同利益的社區(qū)描述共識(shí)觀點(diǎn),。
網(wǎng)絡(luò)安全框架2.0版本的參考工具簡(jiǎn)化了組織實(shí)施框架的方式,允許用戶(hù)以人類(lèi)和機(jī)器可讀的格式瀏覽,、搜索和導(dǎo)出CSF核心指南中的數(shù)據(jù)和詳細(xì)信息,。
為了提供更實(shí)用的框架實(shí)施指南,網(wǎng)絡(luò)安全框架2.0還提供了“實(shí)施示例”,。這些實(shí)施示例代表了NIST將被動(dòng)書(shū)寫(xiě)的成果轉(zhuǎn)換為組織可以采取的更積極可操作步驟的努力,。
網(wǎng)絡(luò)安全框架2.0版本還改進(jìn)了與其他廣泛使用的NIST資源的集成,這些資源處理企業(yè)風(fēng)險(xiǎn)管理,、ERM和ICT風(fēng)險(xiǎn)管理計(jì)劃,,包括:
SP 800-221,信息和通信技術(shù)風(fēng)險(xiǎn)對(duì)企業(yè)的影響:治理和管理企業(yè)風(fēng)險(xiǎn)組合中的ICT風(fēng)險(xiǎn)計(jì)劃
SP 800-221A,,信息和通信技術(shù)(ICT)風(fēng)險(xiǎn)結(jié)果:將ICT風(fēng)險(xiǎn)管理計(jì)劃與企業(yè)風(fēng)險(xiǎn)組合相集成
SP 800-37,,信息系統(tǒng)和組織的風(fēng)險(xiǎn)管理框架
SP 800-30,以及NIST風(fēng)險(xiǎn)管理框架(RMF)進(jìn)行風(fēng)險(xiǎn)評(píng)估的指南