มาตรฐานความปลอดภัย NIST คืออะไร?

เผยแพร่แล้ว: 2021-01-07

ธุรกิจทุกวันนี้พบว่าตัวเองถามว่า “มาตรฐานความปลอดภัย NIST คืออะไร และจะนำไปใช้กับมาตรฐานเหล่านี้ได้อย่างไร”

สิ่งนี้ไม่น่าแปลกใจเลย—ขณะนี้เรากำลังประสบกับทัศนคติที่เปลี่ยนไปอย่างมากต่อการคุกคามของอาชญากรรมทางอินเทอร์เน็ต และองค์กรต่างๆ ได้รับการยอมรับว่ามาตรฐานความปลอดภัยในการรักษาความปลอดภัยเครือข่ายไม่ได้เป็นเพียงส่วนสำคัญของบริษัทสมัยใหม่เท่านั้น แต่ยังมีความสำคัญจริงๆ เพื่อความอยู่รอดของมัน

ก่อนเกิดโรคระบาด บริษัทต่าง ๆ โดยการยอมรับตนเองนั้นไม่ได้เตรียมพร้อมสำหรับการโจมตีทางไซเบอร์ โดยมีเพียง 23% ขององค์กรที่ระบุว่าพวกเขามีแผนรับมือเหตุการณ์ที่เกิดขึ้นทั่วทั้งธุรกิจ ตามข้อมูลของ IBM

บริษัทหลายแห่งไม่พร้อมสำหรับจำนวนและความรุนแรงของการโจมตีทางไซเบอร์ยุคใหม่ และนี่ไม่ใช่เรื่องเล็ก—93% ของบริษัทที่ไม่มีแผนการกู้คืนจากภัยพิบัติซึ่งประสบกับภัยพิบัติด้านข้อมูลครั้งใหญ่ต้องเลิกกิจการภายในหนึ่งปี

เนื่องจากการระบาดใหญ่และการเปลี่ยนแปลงที่เกิดขึ้น การโจมตีทางไซเบอร์ในปัจจุบันจึงอยู่ในระดับที่สูงกว่าที่เคย และธุรกิจต่างๆ จะต้องตอบสนองเพื่อปกป้องตนเองและลูกค้าของตน

นี่คือที่มาของเฟรมเวิร์กอย่าง NIST บริษัทต่างๆ กำลังมองหาคำแนะนำเกี่ยวกับความปลอดภัยทางไซเบอร์ และหวังว่ามาตรฐานอย่าง NIST จะสามารถให้ได้

ในบล็อกนี้ เราจะมาดูกันว่ามาตรฐานความปลอดภัย NIST คืออะไร แยกย่อย และพิจารณาว่ามีความเหมาะสมอย่างไรกับองค์กรทั่วประเทศที่ต้องการเสริมความมั่นคงทางธุรกิจของพวกเขา

การโจมตีทางไซเบอร์ที่เพิ่มขึ้นทำให้ธุรกิจต้องเสียค่าใช้จ่าย | มาตรฐานความปลอดภัย NIST คืออะไร?

NIST คืออะไร?

สำนักมาตรฐานแห่งชาติซึ่งเป็นที่รู้จักจนถึงปี 1988 ก่อตั้งขึ้นในปี 2444 ในฐานะหน่วยงานที่ไม่อยู่ภายใต้การควบคุมเพื่อจัดทำมาตรฐานในอุตสาหกรรมต่างๆ รวมถึงการผลิต วิทยาศาสตร์สิ่งแวดล้อม ความปลอดภัยสาธารณะ นาโนเทคโนโลยี เทคโนโลยีสารสนเทศ และอื่นๆ

ตลอดหลายปีที่ผ่านมานับตั้งแต่ก่อตั้งบริษัท การส่งเงินของ NIST ได้ขยายออกไปในอุตสาหกรรมต่างๆ ที่มีจำนวนเพิ่มขึ้นเรื่อยๆ ซึ่งการรักษาความปลอดภัยทางไซเบอร์ (ภายใต้ไอที) เป็นเพียงหนึ่งเดียว

กรอบงาน NIST ซึ่งรวมถึงกรอบการรักษาความปลอดภัยทางไซเบอร์ มีวัตถุประสงค์เพื่อเป็นแนวทางโดยสมัครใจสำหรับทุกองค์กร ยกเว้นหน่วยงานที่เกี่ยวข้องกับสัญญาของรัฐบาล ซึ่งจำเป็นต้องปฏิบัติตาม

NIST Cybersecurity Framework (CSF) คืออะไร?

กรอบการรักษาความปลอดภัยทางไซเบอร์ของ NIST หรือเรียกสั้นๆ ว่า CSF ได้รับการจัดตั้งขึ้นโดยคำสั่งของผู้บริหารในปี 2556 ภายใต้ประธานาธิบดีโอบามา เพื่อสร้างกรอบฉันทามติสำหรับการเข้าถึงการรักษาความปลอดภัยทางไซเบอร์ด้วยความตั้งใจที่จะลดความเสี่ยงต่อรัฐบาลที่สำคัญและระบบโครงสร้างพื้นฐานสาธารณะ

CSF เวอร์ชันแรกได้รับการเผยแพร่ในปี 2014 และสภาคองเกรสได้ผ่านกฎหมาย Cybersecurity Enhancement Act ปี 2014 ไม่นานหลังจากนั้นโดยมีวัตถุประสงค์ที่ระบุไว้ดังต่อไปนี้:

ACT เพื่อให้ความร่วมมือระหว่างภาครัฐและเอกชนโดยสมัครใจอย่างต่อเนื่องเพื่อปรับปรุงความปลอดภัยในโลกไซเบอร์และเพื่อเสริมสร้างการวิจัยและพัฒนาการรักษาความปลอดภัยในโลกไซเบอร์ การพัฒนากำลังคนและการศึกษา และความตระหนักรู้และการเตรียมความพร้อมของสาธารณชน และเพื่อวัตถุประสงค์อื่น ๆ

ประธานาธิบดีทรัมป์ออกคำสั่งผู้บริหารอีกฉบับในปี 2560 โดยสั่งให้หน่วยงานของรัฐบาลกลางทั้งหมดใช้กรอบการทำงาน

ในปี 2015 ประมาณ 30% ของธุรกิจในสหรัฐอเมริกาใช้ CSF และเพิ่มขึ้นอีกเป็น 50% ในปี 2020 ความสำเร็จของกรอบการทำงานนี้นำไปสู่การปรับใช้ไม่เพียงแต่ในสหรัฐอเมริกา แต่ทั่วโลกจากสหรัฐอเมริกา อาณาจักรสู่อิสราเอล

สรุปกรอบงาน NIST

มาตรฐานความปลอดภัย NIST คืออะไร?

NIST Cybersecurity Framework แบ่งออกเป็นสามองค์ประกอบที่แตกต่างกัน: "Core", "Implementation Tiers" และ "Profiles"

แกน

Framework Core คือชุดของกิจกรรมที่ออกแบบมาเพื่อบรรลุผลการรักษาความปลอดภัยทางไซเบอร์ที่ดีที่สุดตามที่ต้องการตามมาตรฐาน NIST

กิจกรรมเหล่านี้ไม่ใช่รายการตรวจสอบ แต่เป็นผลลัพธ์หลักที่ผู้มีส่วนได้ส่วนเสียระบุว่ามีนัยสำคัญในการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์

องค์ประกอบมาตรฐานความปลอดภัย NIST คืออะไร?

มีองค์ประกอบหลักสี่ประการที่ประกอบขึ้นเป็น Framework Core เหล่านี้คือ:

  • ฟังก์ชัน: ฟังก์ชันเป็นส่วนที่เป็นที่รู้จักมากที่สุดของเฟรมเวิร์กการรักษาความปลอดภัยทางไซเบอร์ของ NIST พวกเขาสรุปกิจกรรมความปลอดภัยขั้นพื้นฐานจากมุมมองระดับสูง และช่วยให้องค์กรระบุองค์ประกอบที่สำคัญที่สุดของการรักษาความปลอดภัยทางไซเบอร์ ฟังก์ชันต่างๆ ได้แก่ ระบุ ปกป้อง ตรวจจับ ตอบสนอง และกู้คืน
  • หมวดหมู่: หมวดหมู่มุ่งเน้นไปที่ผลลัพธ์ทางธุรกิจและมีเชิงลึกมากขึ้นเล็กน้อย โดยครอบคลุมวัตถุประสงค์ภายในหน้าที่หลัก
  • หมวดหมู่ย่อย: หมวดหมู่ย่อยเป็นระดับนามธรรมที่ละเอียดที่สุดใน Core มีทั้งหมด 108 หมวดหมู่ย่อย ซึ่งโดยทั่วไปแล้วจะขับเคลื่อนด้วยผลลัพธ์และได้รับการออกแบบมาเพื่อให้ข้อควรพิจารณาในการจัดตั้งหรือปรับปรุงโปรแกรมความปลอดภัยทางไซเบอร์
  • ข้อมูลอ้างอิง: ข้อมูลอ้างอิงอ้างอิงถึงมาตรฐาน แนวทางปฏิบัติ และแนวทางปฏิบัติที่เกี่ยวข้องกับแต่ละหมวดย่อย

ห้าองค์ประกอบของกรอบ NIST | มาตรฐานความปลอดภัย NIST คืออะไร?

หมวดหมู่ NIST ของฟังก์ชันหลักห้าประการของกรอบความปลอดภัยทางไซเบอร์

ดังที่เราได้กล่าวไว้ ฟังก์ชันหลักแต่ละฟังก์ชันจะแบ่งออกเป็นหมวดหมู่ NIST และหมวดหมู่ย่อยของ NIST

หมวดหมู่ NIST มีดังนี้:

แยกแยะ

  • การจัดการสินทรัพย์
  • สภาพแวดล้อมทางธุรกิจ
  • ธรรมาภิบาล
  • การประเมินความเสี่ยง
  • กลยุทธ์การบริหารความเสี่ยง
  • การจัดการความเสี่ยงด้านซัพพลายเชน

โพสต์ที่เกี่ยวข้อง: จะเกิดอะไรขึ้นระหว่างการตรวจสอบความเสี่ยงด้านความปลอดภัยทางไซเบอร์

ปกป้อง

  • การจัดการข้อมูลประจำตัวและการควบคุมการเข้าถึง
  • การให้ความรู้และการฝึกอบรม
  • ความปลอดภัยของข้อมูล
  • กระบวนการและขั้นตอนการคุ้มครองข้อมูล
  • การซ่อมบำรุง
  • เทคโนโลยีการป้องกัน

ตรวจจับ

  • ความผิดปกติและเหตุการณ์
  • การตรวจสอบความปลอดภัยอย่างต่อเนื่อง
  • กระบวนการตรวจจับ

ตอบกลับ

  • การวางแผนการตอบสนอง
  • การสื่อสาร
  • การวิเคราะห์
  • การบรรเทาสาธารณภัย
  • การปรับปรุง

ฟื้นตัว

  • การวางแผนการกู้คืน
  • การปรับปรุง
  • การสื่อสาร

เทียร์

ระดับการดำเนินการตามกรอบงานจะช่วยแสดงให้เห็นขอบเขตที่องค์กรสามารถบรรลุคุณสมบัติตามที่ระบุไว้ในฟังก์ชันกรอบงานและหมวดหมู่ได้อย่างมีประสิทธิภาพ

ระดับ Implementation Tiers เหล่านี้ไม่ถือเป็นระดับของการรักษาความปลอดภัยทางไซเบอร์และไม่ได้ตั้งใจให้เป็น

อย่างไรก็ตาม องค์กรที่ได้มาตรฐานสำหรับระดับสูงสุดย่อมมีลักษณะหลายอย่างที่กำหนดบริษัทที่เติบโตเต็มที่ในโลกไซเบอร์อย่างหลีกเลี่ยงไม่ได้

ระดับที่ 1 (บางส่วน)

กระบวนการจัดการความเสี่ยง: แนวทางปฏิบัติในการบริหารความเสี่ยงไม่มีความเป็นทางการและมีการจัดการความเสี่ยงแบบเฉพาะกิจ

โครงการบริหารจัดการความเสี่ยงแบบบูรณาการ: การตระหนักรู้อย่างจำกัดเกี่ยวกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ในระดับองค์กร

การมี ส่วนร่วมภายนอก: องค์กรไม่ร่วมมือกับหน่วยงานอื่นหรือเข้าใจบทบาทขององค์กรในระบบนิเวศที่ใหญ่ขึ้น

ระดับที่ 2 (แจ้งความเสี่ยง)

กระบวนการจัดการความเสี่ยง: แนวทางปฏิบัติในการบริหารความเสี่ยงได้รับการอนุมัติจากผู้บริหารและจัดลำดับความสำคัญตามวัตถุประสงค์ความเสี่ยงขององค์กร

โปรแกรมการจัดการความเสี่ยงแบบบูรณาการ: การตระหนักรู้ถึงความเสี่ยงด้านความปลอดภัยทางไซเบอร์ในระดับองค์กร แต่ขาดแนวทางในการจัดการความเสี่ยงนี้ทั่วทั้งบริษัท

การมี ส่วนร่วมภายนอก: องค์กรตระหนักถึงบทบาทของตนในระบบนิเวศทางธุรกิจโดยคำนึงถึงการพึ่งพาหรือผู้ที่อยู่ในความอุปการะ แต่ไม่ใช่ทั้งสองอย่าง ความร่วมมือบางอย่าง แต่อาจไม่ดำเนินการอย่างสม่ำเสมอหรือเป็นทางการต่อความเสี่ยงที่นำเสนอ

ระดับ 3 (ทำซ้ำได้)

กระบวนการบริหารความเสี่ยง: แนวทางการบริหารความเสี่ยงได้รับการอนุมัติอย่างเป็นทางการและแสดงออกผ่านนโยบาย แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ได้รับการปรับปรุงอย่างสม่ำเสมอตามการประยุกต์ใช้กระบวนการจัดการความเสี่ยงที่เป็นทางการ

โปรแกรมการจัดการความเสี่ยงแบบบูรณาการ: มีการจัดการความเสี่ยงด้านความปลอดภัยทั่วทั้งองค์กร และบุคลากรมีความรู้และทักษะในการจัดการความเสี่ยงด้านความปลอดภัย

การมี ส่วนร่วมภายนอก: บทบาทขององค์กรในระบบนิเวศที่ใหญ่ขึ้นเป็นที่เข้าใจกันว่าเกี่ยวข้องกับบริษัทอื่น และอาจช่วยให้ชุมชนเข้าใจความเสี่ยงในวงกว้างขึ้น ทำงานร่วมกันและรับข้อมูลจากผู้อื่นอย่างสม่ำเสมอ

ระดับ 4 (ปรับ)

กระบวนการจัดการความเสี่ยง: แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ได้รับการดัดแปลงและพัฒนาโดยอิงจากกิจกรรมในอดีตและปัจจุบัน รวมถึงตัวบ่งชี้ที่คาดการณ์ได้ คาดว่าจะมีการปรับปรุงกระบวนการอย่างต่อเนื่องผ่านการผนวกรวมเทคโนโลยีและแนวปฏิบัติขั้นสูง

Integrated Risk Management Program: เข้าใจความสัมพันธ์ระหว่างความเสี่ยงด้านความปลอดภัยและวัตถุประสงค์ขององค์กรอย่างชัดเจน การจัดการความเสี่ยงด้านความปลอดภัยเป็นส่วนหนึ่งของวัฒนธรรมองค์กร และการเปลี่ยนแปลงวิธีการจัดการความเสี่ยงจะได้รับการสื่อสารอย่างรวดเร็วและมีประสิทธิภาพ

การมี ส่วนร่วมจากภายนอก: องค์กรเข้าใจถึงบทบาทของตนในระบบนิเวศที่ใหญ่ขึ้นอย่างเต็มที่ และมีส่วนสนับสนุนให้ชุมชนเข้าใจถึงความเสี่ยง รับ สร้าง และจัดลำดับความสำคัญของข้อมูลที่แจ้งการวิเคราะห์ความเสี่ยงอย่างต่อเนื่อง การวิเคราะห์ข้อมูลแบบเรียลไทม์ได้รับการยกระดับ และการสื่อสารเป็นเชิงรุกเนื่องจากเกี่ยวข้องกับความเสี่ยงที่เกี่ยวข้องกับผลิตภัณฑ์และบริการที่ใช้

ประวัติโดยย่อ

Framework Profile หมายถึงการจัดตำแหน่งโดยรวมของ Functions, Category และ Subcategories กับข้อกำหนดทางธุรกิจขององค์กร ความเสี่ยงที่ยอมรับได้ และทรัพยากร

เนื่องจากธุรกิจต่างๆ มีลำดับความสำคัญต่างกัน จึงไม่มีโปรไฟล์สองแบบที่เหมือนกัน ดังนั้นการกำหนดกรอบโปรไฟล์เฉพาะที่เหมาะกับบริษัทมากที่สุดจึงเป็นส่วนสำคัญในขั้นสุดท้ายของมาตรฐาน NIST

โปรไฟล์ปัจจุบันกับโปรไฟล์เป้าหมาย

เมื่อธุรกิจสร้างโปรไฟล์สำหรับมาตรฐานความปลอดภัยทางไซเบอร์ วิธีทั่วไปและมีประสิทธิภาพในการทำความเข้าใจว่าพวกเขาอยู่ที่ไหนและต้องการอยู่ที่ไหนคือสร้างสองโปรไฟล์: โปรไฟล์ปัจจุบันและโปรไฟล์เป้าหมาย

โปรไฟล์ปัจจุบันถูกสร้างขึ้นโดยการประเมินความสามารถขององค์กรในการดำเนินกิจกรรมประเภทย่อย

ตัวอย่างของหมวดหมู่ย่อย ได้แก่ "อุปกรณ์และระบบทางกายภาพภายในองค์กรได้รับการคิดค้น" (ID.AM-1) และ "Data-in-transit is protected" (PR.DS-2)"

นี่เป็นเพียงสองตัวอย่างจาก 108 หมวดหมู่ย่อยทั้งหมด แต่ให้ระบุประเภทของกิจกรรมที่ได้รับการประเมิน

เมื่อโปรไฟล์ปัจจุบันได้รับการกำหนดโดยการจัดอันดับความสามารถของบริษัทในการตอบสนองแต่ละหมวดหมู่ย่อย ก็ถึงเวลาสร้างโปรไฟล์เป้าหมาย

โปรไฟล์เป้าหมายนั้นมีประสิทธิภาพในตำแหน่งที่บริษัทควรมีความปลอดภัยทางไซเบอร์เพื่อให้บรรลุเป้าหมายและลำดับความสำคัญในการบริหารความเสี่ยงที่ต้องการ

เมื่อสร้างโปรไฟล์เป้าหมายแล้ว องค์กรสามารถเปรียบเทียบทั้งสองและทำความเข้าใจอย่างชัดเจนว่าธุรกิจบรรลุเป้าหมายการบริหารความเสี่ยงที่ใด และจุดใดที่จำเป็นต้องปรับปรุง

นี่เป็นวิธีที่มีประสิทธิภาพที่สุดวิธีหนึ่งในการทำความเข้าใจอย่างถ่องแท้ว่ามาตรฐานความปลอดภัย NIST คืออะไรและนำไปใช้กับองค์กรได้โดยตรงอย่างไรในแง่ของการปรับปรุงโปรโตคอลและการปฏิบัติตามคำแนะนำ CSF ของ NIST

ใครใช้กรอบความปลอดภัยทางไซเบอร์ของ NIST

ดังที่เราได้กล่าวไปแล้ว NIST ได้รับการออกแบบมาเป็นอันดับแรกและเป็นกรอบการทำงานที่มุ่งเป้าไปที่บริษัทเหล่านั้นในห่วงโซ่อุปทานของรัฐบาลกลาง ไม่ว่าจะเป็นผู้รับเหมาหลัก ผู้รับเหมาช่วง หรือหน่วยงานอื่นที่ต้องปฏิบัติตาม NIST

อย่างไรก็ตาม มาตรฐานของ NIST ใช้ได้กับแทบทุกธุรกิจและเป็นแหล่งที่มีค่าอย่างยิ่งในการกำหนดกิจกรรมการรักษาความปลอดภัยทางไซเบอร์ในปัจจุบันของบริษัทและความสามารถในการดำเนินการตามมาตรฐานที่ยอมรับได้ นอกเหนือจากการเปิดเผยลำดับความสำคัญใหม่และที่ไม่รู้จัก

เป้าหมายสูงสุดของ NIST คือการจัดเตรียมกรอบการทำงานที่ไม่ใช่แค่สำหรับองค์กรที่เกี่ยวข้องกับรัฐบาลกลางเท่านั้น แต่สำหรับโลกธุรกิจโดยรวม

ด้วยเหตุนี้ NIST วางแผนที่จะอัปเดตเฟรมเวิร์กการรักษาความปลอดภัยทางไซเบอร์อย่างต่อเนื่องเพื่อให้ทันสมัยและใช้ได้กับทุกคน ไม่ว่าพวกเขาจะต้องการการปฏิบัติตาม NIST CSF โดยเฉพาะหรือไม่ก็ตาม

อะไรตอนนี้?

เราหวังว่าบล็อกโพสต์นี้จะช่วยให้คุณเข้าใจว่ามาตรฐานความปลอดภัย NIST คืออะไรและนำไปใช้ในองค์กรอย่างไร

แม้ว่าการปฏิบัติตาม NIST CSF นั้นไม่จำเป็นสำหรับองค์กรที่ไม่ได้ทำสัญญากับรัฐบาลหรือผู้รับเหมาช่วงโดยผู้รับเหมาของรัฐบาล กิจกรรมและโปรโตคอลจำนวนมากนั้นมีผลบังคับใช้กับกฎระเบียบการปฏิบัติตามข้อกำหนดอื่นๆ มากมายที่ต้องปฏิบัติตาม เช่น HIPAA, PCI, PII

สำหรับการปฏิบัติตามกฎระเบียบเหล่านี้ (และอื่น ๆ อีกมากมาย) ขอแนะนำให้ใช้โซลูชันการกำกับดูแลความเสี่ยงและการปฏิบัติตามข้อกำหนด (GRC) เพื่อให้สามารถตรวจสอบและดูแลกิจกรรมได้อย่างถูกต้อง

ที่ Impact เรานำเสนอโซลูชันดังกล่าว พร้อมตัวเลือกสำหรับการจัดการ GRC แบบไฮบริดหรือแบบเต็มรูปแบบจากผู้เชี่ยวชาญของเรา ซึ่งจะเป็นผู้ดำเนินการและประเมินความเสี่ยง และทำให้แน่ใจว่านโยบายความปลอดภัยทางไซเบอร์ของคุณอยู่ในจุดที่พวกเขาจำเป็นต้องปฏิบัติตาม

สำหรับข้อมูลเพิ่มเติม โปรดดูที่หน้า Compliance Services ของเราและติดต่อกับผู้เชี่ยวชาญเพื่อดูว่า Impact จะทำให้องค์กรของคุณปฏิบัติตามข้อกำหนดได้อย่างไรในวันนี้