Структура кибербезопасности NIST

Спонсируемая правительством США структура кибербезопасности

NIST Cybersecurity Framework ( CSF ) — это набор добровольных рекомендаций, призванных помочь организациям оценить и улучшить свои возможности по предотвращению, обнаружению и реагированию на риски кибербезопасности. Разработанная Национальным институтом стандартов и технологий США (NIST), эта концепция была первоначально опубликована в 2014 году для секторов критической инфраструктуры, но с тех пор широко применяется в различных отраслях, включая государственные и частные предприятия по всему миру. Концепция объединяет существующие стандарты, рекомендации и передовой опыт для обеспечения структурированного подхода к управлению рисками кибербезопасности.

CSF состоит из трех основных компонентов: Core, Implementation Tiers и Profiles. Core описывает пять ключевых функций кибербезопасности — Identify, Protect, Detect, Respond и Recover, — каждая из которых далее делится на определенные категории и подкатегории. Эти функции предлагают высокоуровневый, ориентированный на результат подход к управлению рисками кибербезопасности. Implementation Tiers помогают организациям оценить сложность своих практик кибербезопасности, в то время как Profiles позволяют выполнять настройку на основе уникального профиля риска и потребностей организации.

С момента своего создания CSF претерпел несколько обновлений, чтобы отразить меняющуюся природу кибербезопасности. Версия 1.1, выпущенная в 2018 году, внесла усовершенствования, связанные с управлением рисками цепочки поставок и процессами самооценки. Последнее обновление, версия 2.0, было опубликовано в 2024 году, расширив применимость фреймворка и добавив новые рекомендации по управлению кибербезопасностью и методам постоянного совершенствования.

NIST Cybersecurity Framework используется на международном уровне и переведена на несколько языков. Она служит эталоном для стандартов кибербезопасности, помогая организациям согласовывать свою практику с признанными мировыми стандартами, такими как ISO/IEC 27001 и COBIT . Несмотря на широкую похвалу, фреймворк подвергался критике за стоимость и сложность внедрения, особенно для малых и средних предприятий.

Обзор

NIST Cybersecurity Framework (CSF) — это набор руководящих принципов, разработанных Национальным институтом стандартов и технологий США (NIST) для помощи организациям в управлении и смягчении рисков кибербезопасности. Он опирается на существующие стандарты, руководящие принципы и передовой опыт для обеспечения гибкого и масштабируемого подхода к кибербезопасности. ^[1] Структура обеспечивает высокоуровневую таксономию результатов кибербезопасности и предлагает методологию для оценки и управления этими результатами. ^[2] Кроме того, он рассматривает защиту конфиденциальности и гражданских свобод в контексте кибербезопасности. ^[3]

CSF был переведен на несколько языков и широко используется правительствами, предприятиями и организациями в различных секторах. ^{[4] [5]} Согласно опросу 2016 года, 70% организаций рассматривают NIST Cybersecurity Framework как передовую практику для обеспечения компьютерной безопасности, хотя некоторые отметили, что ее реализация может потребовать значительных инвестиций. ^[6]

Структура разработана так, чтобы быть гибкой и адаптируемой, предоставляя высокоуровневое руководство, которое позволяет отдельным организациям определять особенности внедрения на основе их уникальных потребностей и профилей рисков. ^[7]

Версия 1.0 фреймворка была опубликована в 2014 году, в первую очередь нацеленная на операторов критической инфраструктуры . Публичный проект версии 1.1 был выпущен для комментариев в 2017 году, а окончательная версия была опубликована 16 апреля 2018 года. Версия 1.1 сохранила совместимость с исходным фреймворком, в то же время введя дополнительные рекомендации по таким областям, как управление рисками цепочки поставок. Версия 2.0, выпущенная в 2024 году, еще больше расширила сферу применения фреймворка и ввела новые рекомендации по самооценке и управлению кибербезопасностью. ^[8]

Структура состоит из трех основных компонентов: «Core», «Profiles» и «Tiers». Core предоставляет полный набор мероприятий, результатов и ссылок, связанных с различными аспектами кибербезопасности. Уровни внедрения помогают организациям оценить свои методы и уровень кибербезопасности, в то время как профили позволяют организациям адаптировать структуру к своим конкретным требованиям и оценкам рисков. ^[9]

Организации обычно начинают с разработки «Текущий профиль», чтобы описать свои существующие практики и результаты кибербезопасности. Оттуда они могут создать «Целевой профиль», чтобы очертить желаемое будущее состояние и определить шаги, необходимые для его достижения. В качестве альтернативы организации могут принять базовый профиль на основе своего сектора или конкретных отраслевых потребностей.

Исследования показывают, что NIST Cybersecurity Framework имеет потенциал для влияния на стандарты кибербезопасности как в Соединенных Штатах, так и на международном уровне, особенно в секторах, где формальные стандарты кибербезопасности все еще формируются. Это влияние может способствовать улучшению международных практик кибербезопасности, принося пользу компаниям, работающим за пределами границ, и внося вклад в глобальные усилия по кибербезопасности. ^[10]

Функции и категории мероприятий по обеспечению кибербезопасности

НИСТ, версия 1.1

NIST Cybersecurity Framework организует свой «основной» материал в пять «функций», которые подразделяются в общей сложности на 23 «категории». Для каждой категории он определяет ряд подкатегорий результатов кибербезопасности и средств контроля безопасности , всего 108 подкатегорий.

Для каждой подкатегории он также предоставляет «Информационные ресурсы», ссылающиеся на определенные разделы множества других стандартов информационной безопасности , включая ISO 27001 , COBIT , NIST SP 800-53, ANSI/ISA-62443 и Совет по критическим элементам управления кибербезопасностью (CCS CSC, в настоящее время управляемый Центром интернет-безопасности ). Помимо специальных публикаций (SP), большинство информационных ссылок требуют платного членства или покупки для доступа к соответствующим руководствам. Стоимость и сложность структуры привели к законопроектам от обеих палат Конгресса, которые предписывают NIST создавать руководства по структуре кибербезопасности, которые более доступны для малого и среднего бизнеса. ^{[11] [12]}

Ниже приведены функции и категории вместе с их уникальными идентификаторами и определениями, как указано в рамочном документе. ^[13]

Идентифицировать

«Развивать организационное понимание управления рисками кибербезопасности для систем, активов, данных и возможностей».

• Управление активами (ID.AM): данные, персонал, устройства, системы и объекты, которые позволяют организации достигать бизнес-целей, определяются и управляются в соответствии с их относительной важностью для бизнес-целей и стратегии управления рисками организации.
• Бизнес-среда (ID.BE): миссия, цели, заинтересованные стороны и виды деятельности организации поняты и расставлены по приоритетам; эта информация используется для определения ролей, обязанностей и решений по управлению рисками в сфере кибербезопасности.
• Управление (ID.GV): - Политики, процедуры и процессы управления и мониторинга нормативных, правовых, рисковых, экологических и эксплуатационных требований организации понятны и служат основой для управления рисками кибербезопасности.
• Оценка риска (ID.RA): Организация осознает риск кибербезопасности для своей деятельности (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.
• Стратегия управления рисками (ID.RM): Приоритеты, ограничения, допустимые уровни риска и допущения организации устанавливаются и используются для поддержки решений в отношении операционных рисков.
• Управление рисками цепочки поставок (ID.SC): Приоритеты, ограничения, допустимые уровни риска и предположения организации устанавливаются и используются для поддержки решений о рисках, связанных с управлением рисками цепочки поставок. Организация имеет процессы для выявления, оценки и управления рисками цепочки поставок.

Защищать

«Разработать и внедрить соответствующие меры безопасности для обеспечения предоставления критически важных инфраструктурных услуг».

• Контроль доступа (PR.AC): доступ к активам и связанным с ними объектам ограничен авторизованными пользователями, процессами или устройствами, а также авторизованными действиями и транзакциями.
• Осведомленность и обучение (PR.AT): Персоналу и партнерам организации предоставляется обучение по вопросам кибербезопасности, и они проходят надлежащую подготовку для выполнения своих обязанностей и ответственности, связанных с информационной безопасностью, в соответствии с соответствующими политиками, процедурами и соглашениями.
• Безопасность данных (PR.DS): Информация и записи (данные) управляются в соответствии со стратегией управления рисками организации для защиты конфиденциальности, целостности и доступности информации.
• Процессы и процедуры защиты информации (PR.IP): Политики безопасности (определяющие цель, область действия, роли, обязанности, приверженность руководства и координацию между организационными единицами), процессы и процедуры поддерживаются и используются для управления защитой информационных систем и активов.
• Техническое обслуживание (PR.MA): Техническое обслуживание и ремонт компонентов промышленных систем управления и информации выполняются в соответствии с политиками и процедурами.
• Защитные технологии (PR.PT): технические решения по безопасности управляются для обеспечения безопасности и устойчивости систем и активов в соответствии с соответствующими политиками, процедурами и соглашениями.

Обнаружить

«Разработать и реализовать соответствующие мероприятия по выявлению случаев возникновения событий кибербезопасности».

• Аномалии и события (DE.AE): Аномальная активность обнаруживается своевременно, и потенциальное влияние событий оценивается.
• Непрерывный мониторинг безопасности (DE.CM): информационная система и активы контролируются через дискретные интервалы времени для выявления событий кибербезопасности и проверки эффективности защитных мер.
• Процессы обнаружения (DE.DP): Процессы и процедуры обнаружения поддерживаются и тестируются для обеспечения своевременной и адекватной осведомленности об аномальных событиях.

Отвечать

«Разработать и реализовать соответствующие мероприятия по принятию мер в отношении обнаруженного инцидента кибербезопасности».

• Планирование реагирования (RS.RP): процессы и процедуры реагирования выполняются и поддерживаются для обеспечения своевременного реагирования на обнаруженные события кибербезопасности.
• Коммуникации (RS.CO): Действия по реагированию координируются с внутренними и внешними заинтересованными сторонами по мере необходимости, включая внешнюю поддержку со стороны правоохранительных органов.
• Анализ (RS.AN): Анализ проводится для обеспечения адекватного реагирования и поддержки мероприятий по восстановлению.
• Смягчение последствий (RS.MI): действия предпринимаются для предотвращения распространения события, смягчения его последствий и ликвидации инцидента.
• Улучшения (RS.IM): Организационные меры реагирования улучшаются за счет включения уроков, извлеченных из текущих и предыдущих мероприятий по обнаружению/реагированию.

Восстанавливаться

«Разработать и реализовать соответствующие мероприятия для поддержания планов по обеспечению устойчивости и восстановлению любых возможностей или услуг, которые были нарушены из-за инцидента кибербезопасности».

• Планирование восстановления (RC.RP): процессы и процедуры восстановления выполняются и поддерживаются для обеспечения своевременного восстановления систем или активов, пострадавших от событий кибербезопасности.
• Улучшения (RC.IM): Планирование и процессы восстановления улучшены за счет включения извлеченных уроков в будущие мероприятия.
• Коммуникации (RC.CO): Действия по восстановлению координируются с внутренними и внешними сторонами, такими как координационные центры, поставщики интернет-услуг, владельцы атакующих систем, жертвы, другие CSIRT и поставщики.

Обновления

В 2021 году NIST опубликовал «Меры безопасности для использования «критического программного обеспечения для электронных вычислений» в соответствии с указом (EO) 14028», в которых изложены меры безопасности, призванные лучше защитить использование развернутого критического программного обеспечения для электронных вычислений в операционных средах агентств. ^[14]

Путешествие к CSF 2.0

NIST Cybersecurity Framework должен быть живым документом, то есть он будет обновляться и совершенствоваться с течением времени, чтобы идти в ногу с изменениями в технологиях и угрозах кибербезопасности, а также интегрировать передовой опыт и извлеченные уроки. С момента выпуска версии 1.1 в 2018 году заинтересованные стороны предоставили отзывы о том, что CSF необходимо обновить. В феврале 2022 года NIST опубликовал запрос на информацию о способах улучшения CSF и выпустил последующий концептуальный документ в январе 2023 года с предлагаемыми изменениями. Совсем недавно NIST опубликовал свой проект для обсуждения: The NIST Cybersecurity Framework 2.0 Core with Implementation Examples и запросил публичные комментарии, которые должны быть представлены до 4 ноября 2023 года. ^[15]

Основные изменения

Ниже приведен список основных изменений фреймворка с версии 1.1 по версию 2.0: ^[16]

1. Название фреймворка было изменено с "Framework for Improving Critical Infrastructure Cybersecurity" на "Cybersecurity Framework". Область применения фреймворка была обновлена, чтобы отразить большую совокупность организаций, которые используют фреймворк.
2. Добавлены примеры внедрения, чтобы обеспечить практические и ориентированные на действия процессы, помогающие пользователям достичь подкатегорий CSF. Кроме того, фреймворк Profiles был пересмотрен и расширен, чтобы продемонстрировать различные цели профилей.
3. Новая функция, Govern, была добавлена ​​для предоставления организационного контекста, а также ролей и обязанностей, связанных с разработкой модели управления кибербезопасностью. В этой функции также есть дополнительная категория, ориентированная на управление рисками цепочки поставок кибербезопасности.
4. Последнее обновление также предоставляет более подробную информацию об оценках кибербезопасности, уделяя больше внимания постоянному улучшению безопасности с помощью новой категории улучшений в функции идентификации.

Смотрите также

• Кибербезопасность
• Стандарты кибербезопасности
• Конфиденциальность
• Защита критической инфраструктуры
• ISO/IEC 27001:2013 : стандарт информационной безопасности от Международной организации по стандартизации
• COBIT : цели управления информационными и связанными с ними технологиями — соответствующая структура от ISACA
• Специальная публикация NIST 800-53 : «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций».
• Структура управления рисками — структура управления рисками , утвержденная на федеральном уровне США (более широкая сфера применения, чем кибербезопасность)

Ссылки

 В данной статье использованы общедоступные материалы из NIST Cybersecurity Framework (PDF) . Национальный институт стандартов и технологий .

1. Гордон, Лоуренс А.; Лоэб, Мартин П.; Чжоу, Лэй (1 января 2020 г.). «Интеграция анализа затрат и выгод в структуру кибербезопасности NIST с помощью модели Гордона–Лёба». Журнал кибербезопасности . 6 (tyaa005). doi : 10.1093/cybsec/tyaa005 . ISSN  2057-2085.
2. «Достижение успешных результатов с помощью NIST Cybersecurity Framework». GovLoop . 13 февраля 2019 г. Получено 12 июня 2021 г.
3. HealthITSecurity (10 февраля 2016 г.). "HIMSS: NIST Cybersecurity Framework Positive, Can Improve" . Получено 2 августа 2016 г.
4. «Структура кибербезопасности NIST».
5. "Workshop plots evolution of NIST Cybersecurity Framework". FedScoop . 7 апреля 2016 г. Получено 2 августа 2016 г.
6. "NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds". Information Week Dark Reading . 30 марта 2016 г. Получено 2 августа 2016 г.
7. Гордон, Лоуренс А.; Лоэб, Мартин П.; Чжоу, Лэй (1 января 2020 г.). «Интеграция анализа затрат и выгод в структуру кибербезопасности NIST с помощью модели Гордона–Лёба». Журнал кибербезопасности . 6 (1). doi : 10.1093/cybsec/tyaa005 . ISSN  2057-2085.
8. "NIST выпускает версию 2.0 Landmark Cybersecurity Framework". NIST . 26 февраля 2024 г.
9. Джастин Сейтц (14 апреля 2021 г.). Black Hat Python: программирование на Python для хакеров. No Starch Press. ISBN 978-1718501126.
10. Шакелфорд, Скотт Дж.; Пройа, Эндрю А.; Мартелл, Брентон; Крейг, Аманда Н. (2015). «На пути к глобальному стандарту кибербезопасности?: изучение последствий рамок кибербезопасности NIST 2014 года для формирования разумных национальных и международных практик кибербезопасности». Texas International Law Journal . 50 (2/3): 305–355. SSRN  2446631. ProQuest  1704865080.
11. "Закон о кибербезопасности MAIN STREET 2017 года". congress.gov . Получено 5 октября 2017 г. .
12. «Закон NIST о кибербезопасности малого бизнеса 2017 года». congress.gov . Получено 5 октября 2017 г. .
13. "Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1" (Документ). Национальный институт стандартов и технологий. 16 апреля 2018 г. doi : 10.6028/nist.cswp.04162018 .
14. «Меры безопасности для использования «критического программного обеспечения EO». NIST . 12 мая 2021 г.
15. "The NIST Cybersecurity Framework 2.0". NIST . 2023. doi :10.6028/NIST.CSWP.29.ipd . Получено 20 октября 2023 г. .
16. "Public Draft: The NIST Cybersecurity Framework 2.0" (PDF) . NIST . Получено 20 октября 2023 г. .

Внешние ссылки

• Официальный сайт
• Использование возможностей платформы кибербезопасности NIST
• NISTIR 8374 (черновик): Профиль структуры кибербезопасности для управления рисками программ-вымогателей (предварительный проект)
• Информационные ссылки Главная
• Картографирование производных отношений
• Информационный справочный каталог