什么是 NIST 安全标准?
已发表: 2021-01-07今天的企业发现自己在问:“什么是 NIST 安全标准以及它们如何适用于它们?”
这应该不足为奇——我们目前正在经历对网络犯罪威胁的态度发生巨大转变,并且组织越来越认识到网络安全中的安全标准不仅是现代公司的一个重要方面,而且实际上至关重要到它的生存。
据 IBM 称,在大流行之前,公司自己承认对网络攻击毫无准备,只有 23% 的组织表示他们在整个业务中应用了事件响应计划。
许多公司根本没有为现代网络攻击的数量和严重性做好准备,这可不是小事——93% 没有灾难恢复计划且遭受重大数据灾难的公司会在一年内倒闭。
由于大流行及其带来的变化,网络攻击目前处于比以往更高的水平,企业必须做出反应以保护自己和客户。
这就是 NIST 等框架的用武之地——公司正在寻找有关其网络安全的指导,并希望 NIST 等标准能够提供指导。
在此博客中,我们将了解 NIST 安全标准是什么,对其进行分解,并确定它对全国各地想要加强其业务安全性的组织的适用程度。
什么是 NIST?
直到 1988 年才被称为国家标准局,成立于 1901 年,作为一个非监管机构,为包括制造、环境科学、公共安全、纳米技术、信息技术等在内的一系列行业提供标准。
自成立以来的这些年里,NIST 的职权范围已经扩展到越来越多的行业,其中网络安全(在 IT 下)只是其中之一。
NIST 框架(包括其网络安全框架)旨在成为所有组织的自愿指南,但参与政府合同的组织除外,这些组织必须遵守这些组织。
什么是 NIST 网络安全框架 (CSF)?
NIST 网络安全框架(简称 CSF)由奥巴马总统于 2013 年根据行政命令建立,旨在就处理网络安全达成共识,旨在降低关键政府和公共基础设施系统的风险。
CSF 的第一版于 2014 年发布,此后不久,国会通过了 2014 年的《网络安全增强法案》,其目的如下:
法案 提供持续的、自愿的公私合作伙伴关系,以改善网络安全,并加强网络安全研发、劳动力发展和教育、公众意识和准备,以及用于其他目的。
特朗普总统于 2017 年发布了另一项行政命令,指示所有联邦机构使用该框架。
2015 年,估计有 30% 的美国企业使用 CSF,到 2020 年将进一步上升到 50%。该框架的成功导致它不仅在美国被采用,而且在世界范围内被美国采用王国归以色列。
NIST 框架摘要
那么,什么是 NIST 安全标准?
NIST 网络安全框架分为三个不同的组件:“核心”、“实施层”和“配置文件”。
核
框架核心是一组旨在实现 NIST 标准所需的最佳网络安全结果的活动。
这些活动不是清单,而是利益相关者确定的对管理网络安全风险具有重要意义的关键成果。
什么是 Elements NIST 安全标准?
框架核心有四个关键要素。 这些是:
- 功能:功能是 NIST 网络安全框架中一些最知名的方面。 它们从高层次概述了基本的安全活动,并帮助组织解决网络安全中最关键的要素。 功能包括识别、保护、检测、响应和恢复。
- 类别:类别侧重于业务成果,并且更深入一些,涵盖核心职能中的目标。
- 子类别:子类别是核心中最细粒度的抽象级别。 共有 108 个子类别,通常以结果为导向,旨在为建立或改进网络安全计划提供考虑因素。
- 信息参考:信息参考是指与每个子类别相关的现有标准、指南和实践。
NIST 分类网络安全框架的五个关键功能
正如我们所指出的,每个关键功能都细分为 NIST 类别和 NIST 子类别。
NIST 类别如下:
确认
- 资产管理
- 商业环境
- 治理
- 风险评估
- 风险管理策略
- 供应链风险管理
相关文章:网络安全风险审计期间会发生什么?
保护
- 身份管理和访问控制
- 意识和培训
- 数据安全
- 信息保护流程和程序
- 维护
- 防护技术
探测
- 异常和事件
- 安全持续监控
- 检测过程
回应
- 应对计划
- 通讯
- 分析
- 减轻
- 改进
恢复
- 恢复计划
- 改进
- 通讯
层级
框架实施层旨在帮助说明组织能够有效满足框架功能和类别中概述的特征的程度。
这些实施层不被视为网络安全成熟度级别,也不打算如此。
然而,满足最高层标准的组织将不可避免地具有定义网络成熟公司的许多特征。
第 1 层(部分)
风险管理流程:风险管理实践没有正式化,风险以临时方式进行管理。
综合风险管理计划:组织层面的网络安全风险意识有限。
外部参与:组织不与其他实体合作,也不了解其在更大生态系统中的作用。
第 2 层(风险知情)
风险管理流程:风险管理实践由管理层批准,并根据组织风险目标确定优先级。
综合风险管理计划:在组织层面意识到网络安全风险,但缺乏全公司范围的方法来管理这种风险。
外部参与:组织认识到其在业务生态系统中的依赖关系或依赖关系方面的作用,但不是两者兼而有之。 一些合作,但可能不会就所呈现的风险采取一致或正式的行动。
第 3 层(可重复)
风险管理流程:风险管理实践通过政策得到正式批准和表达。 网络安全实践会根据正式风险管理流程的应用定期更新。
综合风险管理计划:组织范围内的安全风险管理方法到位,人员具备管理安全风险的知识和技能。
外部参与:组织在更大的生态系统中的角色被理解为与其他公司相关,它可能有助于社区更广泛地了解风险。 定期与他人合作并从他人那里接收信息。
第 4 层(自适应)
风险管理流程:网络安全实践根据之前和当前的活动以及预测指标进行调整和开发。 预计通过采用先进技术和实践来不断改进流程。
综合风险管理计划:清楚地了解安全风险与组织目标之间的关系。 安全风险管理是组织文化的一部分,并且可以快速有效地传达风险管理方式的变化。
外部参与:组织充分了解其在更大生态系统中的作用,并有助于社区了解风险。 接收、生成并确定优先级的信息,这些信息有助于持续分析风险。 实时数据分析被利用,并且沟通是主动的,因为它涉及与所使用的产品和服务相关的风险。
轮廓
框架概要是指功能、类别和子类别与组织的业务需求、风险承受能力和资源的整体一致性。
因为不同的业务有不同的优先级,所以没有两个配置文件是相同的,因此确定最适合公司的唯一框架配置文件是 NIST 标准的最后一个关键方面。
当前配置文件与目标配置文件
当企业为网络安全标准建立配置文件时,了解他们在哪里以及他们想要成为哪里的一种常见且有效的方法是创建两个配置文件:当前配置文件和目标配置文件。
当前配置文件是通过评估组织执行子类别活动的能力创建的。
子类别的示例包括“对组织内的物理设备和系统进行清单”(ID.AM-1)和“传输中的数据受到保护”(PR.DS-2)”。
这些只是 108 个子类别中的两个示例,但说明了所评估的活动类型。
通过对公司满足每个子类别的能力进行排名来建立当前配置文件后,就可以创建目标配置文件了。
目标配置文件实际上是公司应该在其网络安全方面达到预期的风险管理目标和优先事项的地方。
一旦创建了目标配置文件,组织就可以将两者进行比较,并清楚地了解企业在哪些方面满足其风险管理目标以及需要在哪些方面进行改进。
这是充分了解 NIST 安全标准是什么以及它们在改进协议和符合 NIST 的 CSF 建议方面对组织的直接适用性的最有效方法之一。
谁使用 NIST 网络安全框架?
正如我们所指出的,NIST 的设计首先是针对联邦供应链中的那些公司的框架,无论是主承包商、分包商还是其他需要遵守 NIST 的实体。
然而,NIST 的标准几乎适用于任何业务,并且是确定公司当前网络安全活动及其按照可接受标准执行这些活动的能力的极其宝贵的来源——除了发现新的和未知的优先事项。
NIST 的最终目标是不仅为联邦相关组织,而且为整个商业世界提供一个框架。
为此,NIST 计划不断更新网络安全框架,以使其保持新鲜并适用于任何人,无论他们是否特别需要 NIST CSF 合规性。
现在怎么办?
我们希望这篇博文能够帮助您了解 NIST 安全标准是什么以及它们在组织中的使用方式。
虽然 NIST CSF 合规性对于未与政府签约或未由政府承包商分包的组织来说不是必需的,但其许多活动和协议适用于许多其他必须遵守的合规性法规,例如 HIPAA、PCI、PII。
为了遵守这些法规(以及许多其他法规),建议使用治理风险和合规性 (GRC) 解决方案,以便准确监控和维护活动。
在 Impact,我们提供这样的解决方案,我们的专家提供混合或全面管理 GRC 的选项,他们将执行和风险评估,并确保您的网络安全政策正是保持合规所需的地方。
如需更多信息,请查看我们的合规服务页面并与专家联系,了解 Impact 如何让您的组织今天的合规工作步入正轨。