什麼是 NIST 安全標準?

已發表: 2021-01-07

今天的企業發現自己在問:“什麼是 NIST 安全標準以及它們如何適用於它們?”

這應該不足為奇——我們目前正在經歷對網絡犯罪威脅的態度發生巨大轉變,並且組織越來越認識到網絡安全中的安全標準不僅是現代公司的一個重要方面,而且實際上至關重要到它的生存。

據 IBM 稱,在大流行之前,公司自己承認對網絡攻擊毫無準備,只有 23% 的組織表示他們在整個業務中應用了事件響應計劃。

許多公司根本沒有為現代網絡攻擊的數量和嚴重性做好準備,這可不是小事——93% 沒有災難恢復計劃且遭受重大數據災難的公司會在一年內倒閉。

由於大流行及其帶來的變化,網絡攻擊目前處於比以往更高的水平,企業必須做出反應以保護自己和客戶。

這就是 NIST 等框架的用武之地——公司正在尋找有關其網絡安全的指導,並希望 NIST 等標準能夠提供指導。

在此博客中,我們將了解 NIST 安全標準是什麼,對其進行分解,並確定它對全國各地想要加強其業務安全性的組織的適用程度。

不斷增加的網絡攻擊正在使企業付出代價|什麼是 NIST 安全標準?

什麼是 NIST?

直到 1988 年才被稱為國家標準局,成立於 1901 年,作為一個非監管機構,為包括製造、環境科學、公共安全、納米技術、信息技術等在內的一系列行業提供標準。

自成立以來的這些年裡,NIST 的職權範圍已經擴展到越來越多的行業,其中網絡安全(在 IT 下)只是其中之一。

NIST 框架(包括其網絡安全框架)旨在成為所有組織的自願指南,但參與政府合同的組織除外,這些組織必須遵守這些組織。

什麼是 NIST 網絡安全框架 (CSF)?

NIST 網絡安全框架(簡稱 CSF)由奧巴馬總統於 2013 年根據行政命令建立,旨在就處理網絡安全達成共識,旨在降低關鍵政府和公共基礎設施系統的風險。

CSF 的第一版於 2014 年發布,此後不久,國會通過了 2014 年的《網絡安全增強法案》,其目的如下:

法案 提供持續的、自願的公私合作夥伴關係,以改善網絡安全,並加強網絡安全研發、勞動力發展和教育、公眾意識和準備,以及用於其他目的。

特朗普總統於 2017 年發布了另一項行政命令,指示所有聯邦機構使用該框架。

2015 年,估計有 30% 的美國企業使用 CSF,到 2020 年將進一步上升到 50%。該框架的成功導致它不僅在美國被採用,而且在世界範圍內被美國採用王國歸以色列。

NIST 框架摘要

那麼,什麼是 NIST 安全標準?

NIST 網絡安全框架分為三個不同的組件:“核心”、“實施層”和“配置文件”。

框架核心是一組旨在實現 NIST 標準所需的最佳網絡安全結果的活動。

這些活動不是清單,而是利益相關者確定的對管理網絡安全風險具有重要意義的關鍵成果。

什麼是 Elements NIST 安全標準?

框架核心有四個關鍵要素。 這些是:

  • 功能:功能是 NIST 網絡安全框架中一些最知名的方面。 它們從高層次概述了基本的安全活動,並幫助組織解決網絡安全中最關鍵的要素。 功能包括識別、保護、檢測、響應和恢復。
  • 類別:類別側重於業務成果,並且更深入一些,涵蓋核心職能中的目標。
  • 子類別:子類別是核心中最細粒度的抽象級別。 共有 108 個子類別,通常以結果為導向,旨在為建立或改進網絡安全計劃提供考慮因素。
  • 信息參考:信息參考是指與每個子類別相關的現有標準、指南和實踐。

NIST 框架的五個組成部分 |什麼是 NIST 安全標準?

NIST 分類網絡安全框架的五個關鍵功能

正如我們所指出的,每個關鍵功能都細分為 NIST 類別和 NIST 子類別。

NIST 類別如下:

確認

  • 資產管理
  • 商業環境
  • 治理
  • 風險評估
  • 風險管理策略
  • 供應鏈風險管理

相關文章:網絡安全風險審計期間會發生什麼?

保護

  • 身份管理和訪問控制
  • 意識和培訓
  • 數據安全
  • 信息保護流程和程序
  • 維護
  • 防護技術

探測

  • 異常和事件
  • 安全持續監控
  • 檢測過程

回應

  • 應對計劃
  • 通訊
  • 分析
  • 減輕
  • 改進

恢復

  • 恢復計劃
  • 改進
  • 通訊

層級

框架實施層旨在幫助說明組織能夠有效滿足框架功能和類別中概述的特徵的程度。

這些實施層不被視為網絡安全成熟度級別,也不打算如此。

然而,滿足最高層標準的組織將不可避免地具有定義網絡成熟公司的許多特徵。

第 1 層(部分)

風險管理流程:風險管理實踐沒有正式化,風險以臨時方式進行管理。

綜合風險管理計劃:組織層面的網絡安全風險意識有限。

外部參與:組織不與其他實體合作,也不了解其在更大生態系統中的作用。

第 2 層(風險知情)

風險管理流程:風險管理實踐由管理層批准,並根據組織風險目標確定優先級。

綜合風險管理計劃:在組織層面意識到網絡安全風險,但缺乏全公司範圍的方法來管理這種風險。

外部參與:組織認識到其在業務生態系統中的依賴關係或依賴關係方面的作用,但不是兩者兼而有之。 一些合作,但可能不會就所呈現的風險採取一致或正式的行動。

第 3 層(可重複)

風險管理流程:風險管理實踐通過政策得到正式批准和表達。 網絡安全實踐會根據正式風險管理流程的應用定期更新。

綜合風險管理計劃:組織範圍內的安全風險管理方法到位,人員具備管理安全風險的知識和技能。

外部參與:組織在更大的生態系統中的角色被理解為與其他公司相關,它可能有助於社區更廣泛地了解風險。 定期與他人合作並從他人那裡接收信息。

第 4 層(自適應)

風險管理流程:網絡安全實踐根據之前和當前的活動以及預測指標進行調整和開發。 預計通過採用先進技術和實踐來不斷改進流程。

綜合風險管理計劃:清楚地了解安全風險與組織目標之間的關係。 安全風險管理是組織文化的一部分,並且可以快速有效地傳達風險管理方式的變化。

外部參與:組織充分了解其在更大生態系統中的作用,並有助於社區了解風險。 接收、生成並確定優先級的信息,這些信息有助於持續分析風險。 實時數據分析被利用,並且溝通是主動的,因為它涉及與所使用的產品和服務相關的風險。

輪廓

框架概要是指功能、類別和子類別與組織的業務需求、風險承受能力和資源的整體一致性。

因為不同的業務有不同的優先級,所以沒有兩個配置文件是相同的,因此確定最適合公司的唯一框架配置文件是 NIST 標準的最後一個關鍵方面。

當前配置文件與目標配置文件

當企業為網絡安全標準建立配置文件時,了解他們在哪里以及他們想要成為哪裡的一種常見且有效的方法是創建兩個配置文件:當前配置文件和目標配置文件。

當前配置文件是通過評估組織執行子類別活動的能力創建的。

子類別的示例包括“對組織內的物理設備和系統進行清單”(ID.AM-1)和“傳輸中的數據受到保護”(PR.DS-2)”。

這些只是 108 個子類別中的兩個示例,但說明了所評估的活動類型。

通過對公司滿足每個子類別的能力進行排名來建立當前配置文件後,就可以創建目標配置文件了。

目標配置文件實際上是公司應該在其網絡安全方面達到預期的風險管理目標和優先事項的地方。

一旦創建了目標配置文件,組織就可以將兩者進行比較,並清楚地了解企業在哪些方面滿足其風險管理目標以及需要在哪些方面進行改進。

這是充分了解 NIST 安全標準是什麼以及它們在改進協議和符合 NIST 的 CSF 建議方面對組織的直接適用性的最有效方法之一。

誰使用 NIST 網絡安全框架?

正如我們所指出的,NIST 的設計首先是針對聯邦供應鏈中的那些公司的框架,無論是主承包商、分包商還是其他需要遵守 NIST 的實體。

然而,NIST 的標準幾乎適用於任何業務,並且是確定公司當前網絡安全活動及其按照可接受標準執行這些活動的能力的極其寶貴的來源——除了發現新的和未知的優先事項。

NIST 的最終目標是不僅為聯邦相關組織,而且為整個商業世界提供一個框架。

為此,NIST 計劃不斷更新網絡安全框架,以使其保持新鮮並適用於任何人,無論他們是否特別需要 NIST CSF 合規性。

現在怎麼辦?

我們希望這篇博文能夠幫助您了解 NIST 安全標準是什麼以及它們在組織中的使用方式。

雖然 NIST CSF 合規性對於未與政府簽約或未由政府承包商分包的組織來說不是必需的,但其許多活動和協議適用於許多其他必須遵守的合規性法規,例如 HIPAA、PCI、PII。

為了遵守這些法規(以及許多其他法規),建議使用治理風險和合規性 (GRC) 解決方案,以便準確監控和維護活動。

在 Impact,我們提供這樣的解決方案,我們的專家提供混合或全面管理 GRC 的選項,他們將執行和風險評估,並確保您的網絡安全政策正是保持合規所需的地方。

如需更多信息,請查看我們的合規服務頁面並與專家聯繫,了解 Impact 如何讓您的組織今天的合規工作步入正軌。