Что такое стандарты безопасности NIST?

Сегодня предприятия задаются вопросом: «Что такое стандарты безопасности NIST и как они могут быть применимы к ним?»

Это не должно вызывать большого удивления — в настоящее время мы наблюдаем резкий сдвиг в отношении к угрозе киберпреступности, и среди организаций растет понимание того, что стандарты безопасности в сетевой безопасности являются не просто важным аспектом современной компании, но и жизненно важными. к его выживанию.

По данным IBM, до пандемии компании, по их собственному признанию, были не готовы к кибератакам: только 23% организаций указали, что у них есть план реагирования на инциденты, применяемый в их бизнесе.

Многие компании просто не готовы к количеству и серьезности современных кибератак, и это немаловажно — 93% компаний, не имеющих плана аварийного восстановления, которые страдают от серьезной катастрофы данных, прекращают свою деятельность в течение одного года.

Из-за пандемии и изменений, которые она принесла, кибератаки в настоящее время находятся на более высоком уровне, чем когда-либо, и предприятия должны реагировать, чтобы защитить себя и своих клиентов.

Именно здесь на помощь приходят такие структуры, как NIST — компании ищут рекомендации по своей кибербезопасности и надеются, что такие стандарты, как NIST, смогут их предоставить.

В этом блоге мы рассмотрим стандарты безопасности NIST, разберем их и определим, насколько они применимы к организациям по всей стране, которые хотят повысить безопасность своего бизнеса.

Что такое НИСТ?

Национальное бюро стандартов, как оно было известно до 1988 года, было основано в 1901 году как нерегулирующее агентство для разработки стандартов в ряде отраслей, включая производство, науку об окружающей среде, общественную безопасность, нанотехнологии, информационные технологии и многое другое.

За годы, прошедшие с момента основания, компетенция NIST распространилась на растущее число отраслей, из которых кибербезопасность (в рамках ИТ) является лишь одной из них.

Структуры NIST, в том числе его структура кибербезопасности, предназначены для добровольного руководства для всех организаций, кроме тех, которые участвуют в государственных контрактах, которые обязаны их соблюдать.

Что такое NIST Cybersecurity Framework (CSF)?

NIST Cybersecurity Framework, или сокращенно CSF, была создана указом президента Обамы в 2013 году, чтобы создать консенсус в отношении подхода к кибербезопасности с целью снижения риска для критически важных систем государственной и общественной инфраструктуры.

Первая версия CSF была опубликована в 2014 году, и вскоре после этого Конгресс принял Закон о повышении кибербезопасности 2014 года со следующей заявленной целью:

ДЕЙСТВИЕ Обеспечить постоянное добровольное государственно-частное партнерство для повышения кибербезопасности, а также для укрепления исследований и разработок в области кибербезопасности, развития и обучения кадров, повышения осведомленности и готовности общественности, а также для других целей.

В 2017 году президент Трамп издал еще один указ, предписывающий всем федеральным агентствам использовать эту структуру.

По оценкам, в 2015 году CSF использовали 30 % предприятий США, а в 2020 году этот показатель увеличился до 50 %. Успех этой структуры привел к тому, что ее приняли не только в Соединенных Штатах, но и во всем мире, начиная Царство Израилю.

Резюме структуры NIST

Итак, что такое стандарты безопасности NIST?

NIST Cybersecurity Framework разбита на три отдельных компонента: «Ядро», «Уровни реализации» и «Профили».

Основной

Framework Core — это набор действий, предназначенных для достижения наилучших результатов в области кибербезопасности, требуемых стандартами NIST.

Эти действия не являются контрольным списком, а представляют собой ключевые результаты, определенные заинтересованными сторонами как важные для управления рисками кибербезопасности.

Что такое стандарты безопасности Elements NIST?

Существует четыре ключевых элемента, из которых состоит Framework Core. Это:

• Функции. Функции являются одними из наиболее узнаваемых аспектов структуры кибербезопасности NIST. Они описывают основные действия по обеспечению безопасности с точки зрения высокого уровня и помогают организациям решать наиболее важные элементы кибербезопасности. Функции включают в себя идентификацию, защиту, обнаружение, реагирование и восстановление.
• Категории . Категории ориентированы на бизнес-результаты и являются немного более подробными, охватывая цели в рамках основных функций.
• Подкатегории. Подкатегории — это самый детальный уровень абстракции в Ядре. Всего существует 108 подкатегорий, которые обычно ориентированы на результат и предназначены для предоставления соображений по созданию или совершенствованию программы кибербезопасности.
• Информативные ссылки: Информативные ссылки относятся к существующим стандартам, руководствам и практикам, относящимся к каждой подкатегории.

Категории NIST пяти ключевых функций системы кибербезопасности

Как мы уже отмечали, каждая из ключевых функций разбита на категории NIST и подкатегории NIST.

Категории NIST следующие:

Идентифицировать

• Управление активами
• Бизнес среда
• Управление
• Оценка рисков
• Стратегия управления рисками
• Управление рисками цепочки поставок

Связанный пост: Что происходит во время аудита рисков кибербезопасности?

Защищать

• Управление идентификацией и контроль доступа
• Осведомленность и обучение
• Безопасность данных
• Процессы и процедуры защиты информации
• Обслуживание
• Защитная технология

Обнаружить

• Аномалии и события
• Непрерывный мониторинг безопасности
• Процессы обнаружения

Реагировать

• Планирование реагирования
• Коммуникации
• Анализ
• Смягчение
• Улучшения

Восстанавливаться

• Планирование восстановления
• Улучшения
• Коммуникации

Уровни

Уровни реализации структуры должны помочь проиллюстрировать степень, в которой организация способна эффективно соответствовать характеристикам, изложенным в функциях и категориях структуры.

Эти уровни реализации не считаются уровнями зрелости кибербезопасности и не предназначены для этого.

Однако организации, отвечающие стандартам самых высоких уровней, неизбежно будут обладать многими характеристиками, характерными для киберзрелых компаний.

Уровень 1 (частичный)

Процесс управления рисками: Практика управления рисками не формализована, а рисками управляют в индивидуальном порядке.

Комплексная программа управления рисками: Ограниченная осведомленность о риске кибербезопасности на организационном уровне.

Внешнее участие: организация не сотрудничает с другими организациями и не понимает своей роли в более крупной экосистеме.

Уровень 2 (информация о рисках)

Процесс управления рисками. Методы управления рисками утверждаются руководством, и их приоритетность определяется в соответствии с целями организации в отношении рисков.

Комплексная программа управления рисками: осведомленность о риске кибербезопасности на организационном уровне, но отсутствие общекорпоративного подхода к управлению этим риском.

Внешнее участие: Организация признает свою роль в бизнес-экосистеме в отношении своих зависимостей или иждивенцев, но не того и другого одновременно. Некоторое сотрудничество, но может не действовать последовательно или официально в отношении представленных рисков.

Уровень 3 (Повторяемый)

Процесс управления рисками: методы управления рисками официально утверждены и выражены в политике. Практика кибербезопасности регулярно обновляется на основе применения формального процесса управления рисками.

Комплексная программа управления рисками: Принят общеорганизационный подход к управлению рисками безопасности, а персонал обладает знаниями и навыками для управления рисками безопасности.

Внешнее участие: роль организации в более крупной экосистеме понимается так, как она относится к другим компаниям, и может способствовать более широкому пониманию рисков сообществом. Регулярно сотрудничает и получает информацию от других.

Уровень 4 (адаптивный)

Процесс управления рисками: методы кибербезопасности адаптируются и разрабатываются на основе предыдущих и текущих действий, а также прогнозных показателей. Ожидается постоянное совершенствование процессов за счет внедрения передовых технологий и практик.

Интегрированная программа управления рисками: ясно понимается связь между рисками безопасности и целями организации. Управление рисками безопасности является частью организационной культуры, и информация об изменениях в подходах к управлению рисками передается быстро и эффективно.

Внешнее участие: Организация полностью понимает свою роль в более крупной экосистеме и способствует пониманию рисков сообществом. Получает, генерирует и приоритизирует информацию, которая используется для постоянного анализа рисков. Используется анализ данных в режиме реального времени, а коммуникация носит упреждающий характер, поскольку касается рисков, связанных с используемыми продуктами и услугами.

Профиль

Профиль структуры относится к общему согласованию функций, категорий и подкатегорий с бизнес-требованиями организации, устойчивостью к риску и ресурсами.

Поскольку у разных предприятий разные приоритеты, не бывает двух одинаковых профилей, поэтому определение уникального профиля инфраструктуры, который лучше всего подходит для компании, является последним ключевым аспектом стандартов NIST.

Текущий профиль и целевой профиль

Когда предприятия создают профили для стандартов кибербезопасности, распространенным и эффективным способом понять, где они находятся и где они хотят быть, является создание двух профилей: текущего профиля и целевого профиля.

Текущий профиль создается путем оценки способности организации выполнять деятельность подкатегории.

Примеры подкатегорий включают такие вещи, как «Физические устройства и системы в организации инвентаризируются» (ID.AM-1) и «Данные в пути защищены» (PR.DS-2)».

Это всего лишь два примера из 108 подкатегорий, но они дают представление о том, какие виды деятельности оцениваются.

После того, как текущий профиль был создан путем ранжирования способности компании соответствовать каждой подкатегории, настало время создать целевой профиль.

Целевой профиль — это то, где компания должна быть в плане кибербезопасности, чтобы соответствовать желаемым целям и приоритетам управления рисками.

После создания целевого профиля организация может сравнить их и получить четкое представление о том, где бизнес соответствует их целям управления рисками, а где необходимо внести улучшения.

Это один из наиболее эффективных способов полностью понять, что такое стандарты безопасности NIST и насколько они непосредственно применимы к организации с точки зрения улучшения их протоколов и обеспечения соответствия рекомендациям NIST CSF.

Кто использует NIST Cybersecurity Framework?

Как мы уже отмечали, NIST разработан в первую очередь как структура, предназначенная для тех компаний в федеральной цепочке поставок, будь то генеральные подрядчики, субподрядчики или другие организации, которые должны соответствовать требованиям NIST.

Однако стандарты NIST применимы практически к любому бизнесу и являются чрезвычайно ценным источником для определения текущей деятельности компании в области кибербезопасности и ее способности выполнять ее в соответствии с приемлемыми стандартами — в дополнение к выявлению новых и неизвестных приоритетов.

Конечная цель NIST — обеспечить основу не только для федерально-ассоциированных организаций, но и для делового мира в целом.

С этой целью NIST планирует постоянно обновлять структуру кибербезопасности, чтобы она оставалась актуальной и применимой для всех, независимо от того, требуется ли им конкретное соответствие NIST CSF или нет.

Что теперь?

Мы надеемся, что эта запись в блоге помогла вам понять, что такое стандарты безопасности NIST и как они используются в организациях.

Хотя соответствие NIST CSF не является обязательным для организаций, не работающих по контракту с правительством или субподрядчиком государственного подрядчика, многие из его действий и протоколов применяются ко многим другим правилам соответствия, которые необходимо соблюдать, например HIPAA, PCI, PII.

Для соблюдения этих правил (и многих других) предлагается использовать решение управления рисками и соответствием (GRC), чтобы можно было точно отслеживать и поддерживать деятельность.

В Impact мы предлагаем такое решение с вариантами гибридного или полного управления GRC нашими экспертами, которые проведут оценку рисков и позаботятся о том, чтобы ваши политики кибербезопасности соответствовали требованиям.

Для получения дополнительной информации посетите нашу страницу Службы соответствия требованиям и свяжитесь со специалистом, чтобы узнать, как Impact может обеспечить соблюдение требований в вашей организации уже сегодня.