ما هي معايير الأمان NIST؟

نشرت: 2021-01-07

تجد الشركات اليوم نفسها تتساءل ، "ما هي معايير الأمان NIST وكيف يمكن تطبيقها عليها؟"

لا ينبغي أن يكون هذا مفاجأة كبيرة - فنحن نشهد حاليًا تحولًا جذريًا في المواقف تجاه تهديد الجرائم الإلكترونية وهناك اعتراف متزايد بين المنظمات بأن معايير الأمان في أمان الشبكة ليست مجرد جانب مهم لشركة حديثة ، ولكنها في الواقع حيوية لبقائها.

قبل الوباء ، كانت الشركات باعترافها غير مستعدة للهجمات الإلكترونية ، حيث أشارت 23٪ فقط من المنظمات إلى أن لديها خطة استجابة للحوادث مطبقة عبر أعمالها ، وفقًا لشركة IBM.

العديد من الشركات ببساطة غير مستعدة لعدد وشدة الهجمات الإلكترونية الحديثة ، وهذا ليس بالأمر الهين - 93٪ من الشركات التي ليس لديها خطة للتعافي من الكوارث والتي تعاني من كارثة بيانات كبيرة تخرج عن العمل في غضون عام واحد.

بسبب الوباء والتغييرات التي أحدثها ، وصلت الهجمات الإلكترونية حاليًا إلى مستويات أعلى من أي وقت مضى ، ويجب على الشركات الاستجابة لحماية نفسها وعملائها.

هذا هو المكان الذي تأتي فيه أطر عمل مثل NIST - تبحث الشركات عن إرشادات بشأن الأمن السيبراني وتأمل أن توفرها معايير مثل NIST.

في هذه المدونة ، سنلقي نظرة على معايير أمان NIST ، ونقسمها ، ونحدد مدى قابليتها للتطبيق على المؤسسات في جميع أنحاء البلاد التي ترغب في تعزيز أمن أعمالها.

الهجمات الإلكترونية المتزايدة تكلف الشركات | ما هي معايير الأمان NIST؟

ما هو نيست؟

تأسس المكتب الوطني للمعايير ، كما كان معروفًا حتى عام 1988 ، في عام 1901 كوكالة غير تنظيمية لتوفير معايير عبر مجموعة من الصناعات ، بما في ذلك التصنيع وعلوم البيئة والسلامة العامة وتكنولوجيا النانو وتكنولوجيا المعلومات والمزيد.

على مر السنين منذ تأسيسها ، امتد اختصاص NIST ليشمل عددًا متزايدًا من الصناعات ، من بينها الأمن السيبراني (تحت تكنولوجيا المعلومات).

تهدف أطر NIST ، بما في ذلك إطار الأمن السيبراني الخاص بها ، إلى أن تكون إرشادات طوعية لجميع المنظمات باستثناء تلك التي تتعامل مع العقود الحكومية ، والمطلوبة للالتزام بها.

ما هو NIST Cybersecurity Framework (CSF)؟

تم إنشاء NIST Cybersecurity Framework ، أو CSF باختصار ، بأمر تنفيذي في عام 2013 في عهد الرئيس أوباما من أجل إنشاء توافق إطاري للتعامل مع الأمن السيبراني بهدف تقليل المخاطر التي تتعرض لها أنظمة البنية التحتية الحكومية والعامة الهامة.

تم نشر الإصدار الأول من CSF في عام 2014 ، وأصدر الكونغرس قانون تحسين الأمن السيبراني لعام 2014 بعد ذلك بوقت قصير مع الغرض المحدد التالي:

AN ACT لتوفير شراكة مستمرة وطوعية بين القطاعين العام والخاص لتحسين الأمن السيبراني ، وتعزيز البحث والتطوير في مجال الأمن السيبراني ، وتنمية القوى العاملة والتعليم ، والتوعية والاستعداد العامين ، ولأغراض أخرى.

أصدر الرئيس ترامب أمرًا تنفيذيًا آخر في عام 2017 ، يوجه جميع الوكالات الفيدرالية لاستخدام الإطار.

في عام 2015 ، استخدم ما يقدر بنحو 30٪ من الشركات الأمريكية CSF ، مع زيادة أخرى إلى 50٪ في عام 2020. أدى نجاح الإطار إلى اعتماده ليس فقط في الولايات المتحدة ، ولكن في جميع أنحاء العالم ، من الولايات المتحدة المملكة لإسرائيل.

ملخص إطار عمل NIST

إذن ، ما هي معايير الأمان NIST؟

يتم تقسيم إطار عمل NIST للأمن السيبراني إلى ثلاثة مكونات متميزة: "الأساسية" و "مستويات التنفيذ" و "الملفات الشخصية".

جوهر

The Framework Core هو مجموعة الأنشطة المصممة لتحقيق أفضل نتائج الأمن السيبراني التي تريدها معايير NIST.

هذه الأنشطة ليست قائمة مرجعية ، ولكنها نتائج رئيسية حددها أصحاب المصلحة باعتبارها مهمة في إدارة مخاطر الأمن السيبراني.

ما هي معايير أمان العناصر NIST؟

هناك أربعة عناصر أساسية تشكل جوهر الإطار. هؤلاء هم:

  • الوظائف: الوظائف هي بعض الجوانب الأكثر تميزًا في إطار عمل الأمن السيبراني NIST. وهي تحدد الأنشطة الأمنية الأساسية من منظور رفيع المستوى وتساعد المؤسسات على معالجة العناصر الأكثر أهمية في الأمن السيبراني. تشمل الوظائف تحديد الهوية والحماية والكشف والاستجابة والاسترداد.
  • الفئات: تركز الفئات على نتائج الأعمال وهي أكثر تعمقًا قليلاً ، وتغطي الأهداف ضمن الوظائف الأساسية.
  • الفئات الفرعية: الفئات الفرعية هي المستوى الأكثر دقة للتجريد في القلب. هناك ما مجموعه 108 فئة فرعية ، والتي عادة ما تكون مدفوعة بالنتائج ومصممة لتقديم اعتبارات لإنشاء أو تحسين برنامج الأمن السيبراني.
  • المراجع الإعلامية: تشير المراجع الإعلامية إلى المعايير والمبادئ التوجيهية والممارسات الحالية ذات الصلة بكل فئة فرعية.

المكونات الخمسة لإطار عمل NIST | ما هي معايير الأمان NIST؟

فئات NIST للوظائف الخمس الرئيسية لإطار الأمن السيبراني

كما لاحظنا ، يتم تقسيم كل وظيفة من الوظائف الرئيسية إلى فئات NIST وفئات NIST الفرعية.

فئات NIST هي كما يلي:

تحديد

  • إدارة الأصول
  • بيئة العمل
  • الحكم
  • تقييم المخاطر
  • استراتيجية إدارة المخاطر
  • إدارة مخاطر سلسلة التوريد

منشورات ذات صلة: ماذا يحدث أثناء تدقيق مخاطر الأمن السيبراني؟

يحمي

  • إدارة الهوية والتحكم في الوصول
  • التوعية والتدريب
  • أمن البيانات
  • عمليات وإجراءات حماية المعلومات
  • اعمال صيانة
  • تقنية الحماية

يكشف

  • الشذوذ والأحداث
  • المراقبة الأمنية المستمرة
  • عمليات الكشف

يرد

  • تخطيط الاستجابة
  • مجال الاتصالات
  • التحليلات
  • تخفيف
  • تحسينات

استعادة

  • تخطيط الاسترداد
  • تحسينات
  • مجال الاتصالات

المستويات

تساعد مستويات تنفيذ الإطار في توضيح مدى قدرة المنظمة على تلبية الخصائص المحددة في وظائف وفئات الإطار بشكل فعال.

لا تعتبر مستويات التنفيذ هذه مستويات نضج للأمن السيبراني وليس المقصود منها أن تكون كذلك.

ومع ذلك ، فإن المنظمات التي تفي بمعايير أعلى المستويات ستتمتع حتماً بالعديد من الخصائص التي تحدد الشركات الناضجة عبر الإنترنت.

المستوى 1 (جزئي)

عملية إدارة المخاطر: لم يتم إضفاء الطابع الرسمي على ممارسات إدارة المخاطر ويتم إدارة المخاطر بطريقة مخصصة.

برنامج إدارة المخاطر المتكاملة: الوعي المحدود بمخاطر الأمن السيبراني على المستوى التنظيمي.

المشاركة الخارجية: لا تتعاون المنظمة مع كيانات أخرى أو تفهم دورها في النظام البيئي الأكبر.

المستوى 2 (علم بالمخاطر)

عملية إدارة المخاطر: يتم اعتماد ممارسات إدارة المخاطر من قبل الإدارة وتحديد أولوياتها وفقًا لأهداف المخاطر التنظيمية.

برنامج إدارة المخاطر المتكاملة: الوعي بمخاطر الأمن السيبراني على المستوى التنظيمي ، ولكن يفتقر إلى نهج على مستوى الشركة لإدارة هذه المخاطر.

المشاركة الخارجية: تدرك المنظمة دورها في النظام البيئي للأعمال فيما يتعلق بالتبعية أو التابعين لها ، ولكن ليس كلاهما. بعض التعاون ، ولكن قد لا يعمل بشكل متسق أو رسمي بشأن المخاطر المقدمة.

المستوى 3 (قابل للتكرار)

عملية إدارة المخاطر: تتم الموافقة رسميًا على ممارسات إدارة المخاطر ويتم التعبير عنها من خلال السياسة. يتم تحديث ممارسات الأمن السيبراني بانتظام بناءً على تطبيق عملية إدارة المخاطر الرسمية.

برنامج إدارة المخاطر المتكاملة: نهج على مستوى المنظمة لإدارة المخاطر الأمنية ، ويمتلك الموظفون المعرفة والمهارات اللازمة لإدارة المخاطر الأمنية.

المشاركة الخارجية: يُفهم دور المنظمة في النظام البيئي الأكبر على أنه يتعلق بشركات أخرى وقد يساهم في فهم المجتمع الأوسع للمخاطر. يتعاون مع الآخرين ويتلقى المعلومات منهم بانتظام.

المستوى 4 (متكيف)

عملية إدارة المخاطر: يتم تكييف ممارسات الأمن السيبراني وتطويرها بناءً على الأنشطة السابقة والحالية ، فضلاً عن المؤشرات التنبؤية. من المتوقع التحسين المستمر للعمليات من خلال دمج التقنيات والممارسات المتقدمة.

برنامج إدارة المخاطر المتكاملة: العلاقة بين المخاطر الأمنية والأهداف التنظيمية مفهومة بوضوح. تعد إدارة المخاطر الأمنية جزءًا من الثقافة التنظيمية ويتم إبلاغ التغييرات في كيفية التعامل مع إدارة المخاطر بسرعة وفعالية.

المشاركة الخارجية: تدرك المنظمة تمامًا دورها في النظام البيئي الأكبر وتساهم في فهم المجتمع للمخاطر. يستقبل وينشئ ويرتب أولويات المعلومات التي توفر تحليلًا مستمرًا للمخاطر. يتم تعزيز تحليل البيانات في الوقت الفعلي ، ويكون الاتصال استباقيًا لأنه يتعلق بالمخاطر المرتبطة بالمنتجات والخدمات المستخدمة.

الملف الشخصي

يشير ملف تعريف الإطار إلى المحاذاة الشاملة للوظائف والفئات والفئات الفرعية مع متطلبات أعمال المؤسسة وتحمل المخاطر والموارد.

نظرًا لأن الشركات المختلفة لها أولويات مختلفة ، فلن يكون هناك ملفان شخصيان متماثلان ، وبالتالي فإن تحديد ملف تعريف الإطار الفريد الذي يناسب الشركة هو الجانب الرئيسي الأخير لمعايير NIST.

الملف الشخصي الحالي مقابل الملف الشخصي الهدف

عندما تنشئ الشركات ملفات تعريف لمعايير الأمن السيبراني ، فإن الطريقة الشائعة والفعالة لفهم مكان وجودها وأين تريد أن تكون هي إنشاء ملفين شخصيين: الملف الشخصي الحالي والملف الشخصي المستهدف.

يتم إنشاء الملف الشخصي الحالي من خلال تقييم قدرة المنظمة على تنفيذ أنشطة الفئات الفرعية.

تتضمن أمثلة الفئات الفرعية أشياء مثل "جرد الأجهزة والأنظمة المادية داخل المنظمة" (ID.AM-1) ، و "البيانات أثناء النقل محمية" (PR.DS-2) ".

هذان مجرد مثالين من إجمالي 108 فئة فرعية ، لكنهما يقدمان إشارة إلى أنواع الأنشطة التي يتم تقييمها.

بمجرد إنشاء الملف الشخصي الحالي من خلال ترتيب قدرة الشركة على تلبية كل فئة فرعية ، فقد حان الوقت لإنشاء ملف التعريف المستهدف.

الملف الشخصي الهدف هو بشكل فعال حيث يجب أن تكون الشركة مع الأمن السيبراني من أجل تلبية أهداف وأولويات إدارة المخاطر المرجوة.

بمجرد إنشاء ملف التعريف المستهدف ، يمكن للمؤسسة بعد ذلك مقارنة الاثنين والحصول على فهم واضح للمكان الذي يفي فيه العمل بأهداف إدارة المخاطر الخاصة به وأين يجب إجراء التحسينات.

هذه واحدة من أكثر الطرق فعالية لفهم معايير أمان NIST تمامًا ومدى قابليتها للتطبيق المباشر على مؤسسة من حيث تحسين بروتوكولاتها والتوافق مع توصيات NIST's CSF.

من يستخدم NIST Cybersecurity Framework؟

كما أشرنا ، تم تصميم NIST أولاً وقبل كل شيء كإطار عمل يستهدف تلك الشركات في سلسلة التوريد الفيدرالية ، سواء كانت مقاولين رئيسيين أو مقاولين من الباطن أو كيانًا آخر مطلوبًا ليكون متوافقًا مع NIST.

ومع ذلك ، فإن معايير NIST قابلة للتطبيق فعليًا على أي عمل تجاري ومصدر قيم للغاية لتحديد أنشطة الأمن السيبراني الحالية للشركة وقدرتها على تنفيذها وفقًا لمعيار مقبول - بالإضافة إلى الكشف عن أولويات جديدة وغير معروفة.

الهدف النهائي من NIST هو توفير إطار عمل ليس فقط للمنظمات المرتبطة فيدراليًا ، ولكن لعالم الأعمال ككل.

تحقيقًا لهذه الغاية ، تخطط NIST لتحديث إطار عمل الأمن السيبراني باستمرار لإبقائه محدثًا وقابل للتطبيق على أي شخص ، سواء كان يحتاج على وجه التحديد إلى امتثال NIST CSF أم لا.

ماذا الان؟

نأمل أن يساعدك منشور المدونة هذا في فهم معايير أمان NIST وكيفية استخدامها في المؤسسات.

في حين أن امتثال NIST CSF ليس ضروريًا للمؤسسات التي لم تتعاقد معها الحكومة أو متعاقدًا من الباطن مع مقاول حكومي ، فإن العديد من أنشطتها وبروتوكولاتها تنطبق على العديد من لوائح الامتثال الأخرى التي يجب اتباعها ، مثل HIPAA و PCI و PII.

للامتثال لهذه اللوائح (وغيرها الكثير) ، يُقترح استخدام حل مخاطر الحوكمة والامتثال (GRC) بحيث يمكن مراقبة الأنشطة والحفاظ عليها بدقة.

في Impact ، نقدم مثل هذا الحل ، مع خيارات للإدارة الهجينة أو الكاملة لـ GRC من خبرائنا ، الذين سيقومون بإجراء وتقييم المخاطر والتأكد من أن سياسات الأمن السيبراني الخاصة بك هي بالضبط حيث يجب أن تكون متوافقة.

لمزيد من المعلومات ، ألق نظرة على صفحة خدمات الامتثال الخاصة بنا وتواصل مع أحد المتخصصين لمعرفة كيف يمكن لـ Impact أن يجعل امتثال مؤسستك على المسار الصحيح اليوم.