WikiDer > Структура кибербезопасности NIST

NIST Cybersecurity Framework

В Структура кибербезопасности NIST обеспечивает политическую основу компьютерная безопасность руководство о том, как частный сектор организации в США могут оценивать и улучшать свои возможности по предотвращению, обнаружению и реагированию на кибератаки. Платформа была переведена на многие языки и используется, в частности, правительствами Японии и Израиля.[1] Он «обеспечивает высокоуровневую таксономию результатов кибербезопасности и методологию для оценки и управления этими результатами». Версия 1.0 была опубликована в США. Национальный институт стандартов и технологий в 2014 году изначально нацелен на операторов критическая инфраструктура. Он используется широким кругом предприятий и организаций и помогает сменным организациям проявлять инициативу в отношении управления рисками.[2][3][4] В 2017 году черновая версия концепции, версия 1.1, была распространена для общественного обсуждения.[5] Версия 1.1 была анонсирована и стала общедоступной 16 апреля 2018 г.[6] Версия 1.1 по-прежнему совместима с версией 1.0. Изменения включают руководство о том, как проводить самооценку, дополнительные сведения об управлении рисками в цепочке поставок, руководство о том, как взаимодействовать с заинтересованными сторонами цепочки поставок, и поощряют раскрытие уязвимости процесс.[7][8]

Исследование внедрения инфраструктуры безопасности показало, что 70% опрошенных организаций рассматривают структуру NIST как популярную передовую практику компьютерной безопасности, но многие отмечают, что она требует значительных инвестиций.[9]

Он включает руководство по соответствующей защите для Конфиденциальность и гражданские свободы.[10]

Обзор

Структура кибербезопасности NIST разработана для отдельных предприятий и других организаций для оценки рисков, с которыми они сталкиваются.

Структура разделена на три части: «Ядро», «Профиль» и «Уровни». «Ядро структуры» содержит ряд действий, результатов и ссылок об аспектах и ​​подходах к кибербезопасности. «Уровни реализации структуры» используются организацией, чтобы прояснить для себя и своих партнеров, как она рассматривает риск кибербезопасности и степень сложности своего подхода к управлению. «Структурный профиль» - это список результатов, выбранных организацией из категорий и подкатегорий, исходя из своих потребностей и оценок рисков.

Организация обычно начинает с использования структуры для разработки «Текущего профиля», который описывает ее деятельность в области кибербезопасности и результаты, которых она достигает. Затем он может разработать «Целевой профиль» или принять базовый профиль, адаптированный к его сектору (например, отрасль инфраструктуры) или типу организации. Затем он может определить шаги переключения с текущего профиля на целевой.

Функции и категории мероприятий по кибербезопасности

Структура кибербезопасности NIST организовывает свой «основной» материал по пяти «функциям», которые в общей сложности подразделяются на 23 «категории». Для каждой категории он определяет ряд подкатегорий результатов кибербезопасности и меры безопасности, всего 108 подкатегорий.

Для каждой подкатегории он также предоставляет «Информационные ресурсы» со ссылками на определенные разделы множества других стандартов информационной безопасности, включая ISO 27001, COBIT, NIST SP 800-53, ANSI / ISA-62443 и Совет по критически важным мерам безопасности кибербезопасности (CCS CSC, теперь управляется Центр Интернет-безопасности). Помимо специальных публикаций (SP), для большинства информативных ссылок требуется платное членство или покупка для доступа к соответствующим руководствам. Стоимость и сложность структуры привели к законопроектам обеих палат Конгресса, которые предписывают NIST создавать руководства по структуре кибербезопасности, более доступные для малого и среднего бизнеса.[11][12]

Вот функции и категории, а также их уникальные идентификаторы и определения, как указано в столбце категорий в представлении электронной таблицы ядра стандарта.[13]

Идентифицировать

«Развивайте организационное понимание для управления рисками кибербезопасности для систем, активов, данных и возможностей».

  • Управление активами (ID.AM): данные, персонал, устройства, системы и средства, которые позволяют организации достичь бизнес-целей, идентифицируются и управляются в соответствии с их относительной важностью для бизнес-целей и стратегии управления рисками организации.
  • Деловая среда (ID.BE): миссия, цели, заинтересованные стороны и деятельность организации понятны и расставлены по приоритетам; эта информация используется для информирования о ролях, обязанностях и решениях по управлению рисками в области кибербезопасности.
  • Управление (ID.GV): политика, процедуры и процессы для управления и мониторинга нормативных, юридических, рисковых, экологических и операционных требований организации понятны и информируют руководство по рискам кибербезопасности.
  • Оценка рисков (ID.RA): организация понимает риск кибербезопасности для операций организации (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.
  • Стратегия управления рисками (ID.RM): приоритеты, ограничения, допуски к риску и допущения организации устанавливаются и используются для поддержки решений по операционным рискам.
  • Управление рисками цепочки поставок (ID.SC): приоритеты, ограничения, допустимые пределы риска и допущения организации устанавливаются и используются для поддержки решений по рискам, связанных с управлением рисками цепочки поставок. В организации есть процессы выявления, оценки и управления рисками цепочки поставок.

Защищать

«Разработайте и внедрите соответствующие меры безопасности для обеспечения предоставления критически важных инфраструктурных услуг».

  • Контроль доступа (PR.AC): доступ к активам и связанным с ними средствам ограничен авторизованными пользователями, процессами или устройствами, а также авторизованными действиями и транзакциями.
  • Информирование и обучение (PR.AT): персонал и партнеры организации проходят обучение по вопросам кибербезопасности и получают соответствующую подготовку для выполнения своих обязанностей и ответственности, связанных с информационной безопасностью, в соответствии с соответствующими политиками, процедурами и соглашениями.
  • Безопасность данных (PR.DS): информация и записи (данные) управляются в соответствии со стратегией управления рисками организации для защиты конфиденциальности, целостности и доступности информации.
  • Процессы и процедуры защиты информации (PR.IP): политики безопасности (которые определяют цель, объем, роли, обязанности, обязательства руководства и координацию между организационными подразделениями), процессы и процедуры поддерживаются и используются для управления защитой информационных систем и активов. .
  • Техническое обслуживание (PR.MA): Техническое обслуживание и ремонт компонентов производственного контроля и информационных систем выполняется в соответствии с политиками и процедурами.
  • Защитная технология (PR.PT): Решения по технической безопасности управляются для обеспечения безопасности и отказоустойчивости систем и активов в соответствии с соответствующими политиками, процедурами и соглашениями.

Обнаружить

«Разработайте и внедрите соответствующие действия для определения возникновения события кибербезопасности».

  • Аномалии и события (DE.AE): аномальная активность обнаруживается своевременно, и потенциальное влияние событий понимается.
  • Непрерывный мониторинг безопасности (DE.CM): информационная система и активы контролируются с дискретными интервалами для выявления событий кибербезопасности и проверки эффективности мер защиты.
  • Процессы обнаружения (DE.DP): процессы и процедуры обнаружения поддерживаются и тестируются для обеспечения своевременной и адекватной осведомленности об аномальных событиях.

Отвечать

«Разработайте и внедрите соответствующие действия для принятия мер в отношении обнаруженного события кибербезопасности».

  • Планирование реагирования (RS.RP): процессы и процедуры реагирования выполняются и поддерживаются, чтобы обеспечить своевременный ответ на обнаруженные события кибербезопасности.
  • Коммуникации (RS.CO): Действия по реагированию координируются с внутренними и внешними заинтересованными сторонами, в зависимости от ситуации, включая внешнюю поддержку со стороны правоохранительных органов.
  • Анализ (RS.AN): Анализ проводится для обеспечения адекватного реагирования и поддержки действий по восстановлению.
  • Смягчение (RS.MI): Выполняются действия для предотвращения распространения события, смягчения его последствий и искоренения инцидента.
  • Улучшения (RS.IM): Организационные мероприятия по реагированию улучшаются за счет включения уроков, извлеченных из текущих и предыдущих действий по обнаружению / реагированию.

Восстанавливаться

«Разработайте и внедрите соответствующие действия для поддержания планов устойчивости и восстановления любых возможностей или услуг, которые были нарушены из-за события кибербезопасности».

  • Планирование восстановления (RC.RP): процессы и процедуры восстановления выполняются и поддерживаются для обеспечения своевременного восстановления систем или активов, затронутых событиями кибербезопасности.
  • Улучшения (RC.IM): планирование и процессы восстановления улучшаются за счет включения извлеченных уроков в будущую деятельность.
  • Коммуникации (RC.CO): Действия по восстановлению координируются с внутренними и внешними сторонами, такими как координационные центры, интернет-провайдеры, владельцы атакующих систем, жертвы, другие CSIRT и поставщики.

Информационные ссылки в Интернете

В дополнение к информативным ссылкам в ядре фреймворка, NIST также поддерживает онлайн-базу данных информативных ссылок.[14]. Информационные ссылки показывают взаимосвязи между функциями, категориями и подкатегориями Framework и конкретными разделами стандартов, руководств и передовых практик, общих для заинтересованных сторон Framework. Информационные ссылки иллюстрируют способы достижения результатов Рамочной основы.

Смотрите также

Рекомендации

Эта статья включаетматериалы общественного достояния от Национальный институт стандартов и технологий документ: «Структура кибербезопасности NIST» (PDF).

  1. ^ «Структура кибербезопасности NIST».
  2. ^ «Семинар описывает эволюцию NIST Cybersecurity Framework». FedScoop. Получено 2 августа, 2016.
  3. ^ HealthITSecurity. «Обновления структуры кибербезопасности NIST, уточнения в стадии разработки». Получено 2 августа, 2016.
  4. ^ PricewaterhouseCoopers. «Почему вы должны принять структуру кибербезопасности NIST». Получено 4 августа, 2016.
  5. ^ Келлер, Николь (10 января 2017 г.). «Проект концепции кибербезопасности версии 1.1». NIST. Получено 5 октября, 2017.
  6. ^ «NIST выпускает версию 1.1 своей популярной инфраструктуры кибербезопасности». NIST. 16 апреля 2018 г.. Получено 27 апреля, 2018.
  7. ^ «Обновленная структура кибербезопасности NIST подчеркивает риск контроля доступа и цепочки поставок». Расшифровать. Получено 17 октября, 2019.
  8. ^ «Что нового в NIST Cybersecurity Framework v1.1». Исключить. 26 апреля 2018 г.. Получено 26 мая, 2018.
  9. ^ «Принятие концепции кибербезопасности NIST затруднено из-за затрат, результаты опроса». Информационная неделя Темное чтение. Получено 2 августа, 2016.
  10. ^ HealthITSecurity. «HIMSS: Положительный результат в рамках концепции кибербезопасности NIST, можно улучшить». Получено 2 августа, 2016.
  11. ^ «Закон о кибербезопасности MAIN STREET от 2017 года». congress.gov. Получено 5 октября, 2017.
  12. ^ «Закон NIST о кибербезопасности малого бизнеса от 2017 года». congress.gov. Получено 5 октября, 2017.
  13. ^ «Ядро платформы кибербезопасности (Excel)». NIST. Эта статья включает текст из этого источника, который находится в всеобщее достояние.
  14. ^ [email protected] (27 ноября 2017 г.). «Информативные ссылки». NIST. Получено 17 апреля, 2020.

внешняя ссылка