What is the NIST Cybersecurity Framework?
The National Institute of Standards and Technology (NIST)框架是一组自愿控制和平衡,以帮助关键基础设施组织(如银行)的运营商, hospitals, and utilities – manage cybersecurity risk. NIST本身是美国商会下属的一个涵盖制造业的联邦机构, quality control, and information security, among other industries.
The agency collaborated with security industry experts, other government agencies, 学者们建立了框架,现在许多组织利用这些框架来管理和减少可能影响其环境和客户的风险.
When people in information security refer to the NIST frameworks, 他们可能指的是NIST关于网络安全最佳实践的三个具体文件:
- NIST Cybersecurity Framework该框架侧重于对国家和经济安全至关重要的行业, including energy, banking, communications, and the defense industrial base.
- NIST 800-53:此框架主要与联邦机构相关,因为它们正在努力遵守联邦信息安全管理法(FISMA)。, 它最著名的是提供了对该法案的每个高级需求的深入研究.
- NIST 800-171: This framework is directly related to 800-53, 并就联邦机构必须实施的安全措施和控制措施提供指导. 它通常关注处理受控非机密信息(CUI)的一小部分组织。.
这三个文件中的两个指定了美国联邦机构或使用美国联邦政府数据的任何组织所需的控制. However, 这三个文档都包含了对任何网络安全组织都有帮助的最佳实践,可以作为其安全操作的基准.
NIST Cybersecurity Framework Goals
NIST提供与行业无关的指导,以帮助组织实现与安全相关的能力和遵从性的理想水平. NIST框架文档中建议的深度和广度是与美国联邦政府合作的联邦机构或组织的重要资源.
What are the Main Components of the NIST Cybersecurity Framework?
NIST网络安全框架旨在帮助组织确定哪些流程和控制与他们的独特挑战最相关, 以及如何最好地实施和测试他们所采取的安全措施的有效性. The framework classifies its key points into six components:
- Identify: This component is all about identifying what needs to be protected. Gain visibility on what is being managed and how, and what needs to be added to the list of manageable functions.
- Protect:此组件规定了将利用哪些功能和技术来保护已识别的功能或将泄露或其他事件造成的影响降至最低.
- Detect:此组件集中于安全组织内部的检测能力,以及它们在挑选可能指示威胁的异常签名方面的相对强度.
- Respond:此组件确保组织有能力确定威胁或事件的优先级,并适当地响应,以便将潜在的影响和对操作的中断降至最低.
- Recover: This component brings in line a security operation center’s (SOC’s) ability to recover from an incident in a timely manner. Reporting is a critical subcomponent here, 这样就可以实现学习,并且可以在将来遵循类似攻击路径的剧本.
- Govern: The newest component to NIST’s framework, 根据NIST的说法,治理组件要求“组织如何确保负责任的治理,以及治理系统如何审查并实现问责制”,“这里直接谈到网络安全领域,以及确保SOC以最佳状态运行的系统.
How to Get Started with the NIST Cybersecurity Framework
为了与NIST网络安全框架的细节保持一致,SOC必须采取某些规定的步骤, but each organization will also have its own unique challenges. Let’s review some higher-level steps on getting started.
The NIST Tiered Approach
组织可以详细研究总共四个“层”,并使用它们来评估其安全状态并确定如何向前发展. According to the NIST Cybersecurity Framework 2.0 Quick-Start Guide for Using the CSF Tiers, 使用它们“可以帮助提供组织如何看待网络安全风险以及管理这些风险的流程的背景. 在审查流程和实践以确定需要的改进和通过这些改进监测所取得的进展时,层级也很有价值.” The tiers are:
- Partial:属于这一层的企业对网络安全实践知之甚少,也不知道在发生安全事件时如何应对.
- Risk-Informed:与此层保持一致的企业对安全事件的主要类别有一个概念, 但是,不要拥有一个安全运营中心来创建或制定网络安全最佳实践战略.
- Repeatable:符合这一层的企业开始实施一些网络安全最佳实践,并努力创建团队可以在检测和响应协议中利用的可重复流程.
- Adaptive:符合这一层的企业已经将先进的安全概念融入到他们的日常运营中,能够适应大多数安全事件,并制定主动能力来寻找下一个威胁并消除它.
这些层次有助于定义组织当前对风险的响应有多敏捷,并且(理论上)提供了各种各样的路线图,以帮助安全组织实现强大的安全级别 cybersecurity risk management. The Quick-Start Guide goes on to state that “when selecting tiers, consider the following aspects of the organization:
- Current risk management practices
- Threat environment
- Legal and regulatory requirements
- Information sharing practices
- Business and mission objectives
- Supply chain requirements
- Oganizational constraints, including resources"
Read More About Regulations and Compliance
Compliance: Latest News from the Blog