WikiDer > Структура кибербезопасности NIST
В Структура кибербезопасности NIST обеспечивает политическую основу компьютерная безопасность руководство о том, как частный сектор организации в США могут оценивать и улучшать свои возможности по предотвращению, обнаружению и реагированию на кибератаки. Платформа была переведена на многие языки и используется, в частности, правительствами Японии и Израиля.[1] Он «обеспечивает высокоуровневую таксономию результатов кибербезопасности и методологию для оценки и управления этими результатами». Версия 1.0 была опубликована в США. Национальный институт стандартов и технологий в 2014 году изначально нацелен на операторов критическая инфраструктура. Он используется широким кругом предприятий и организаций и помогает сменным организациям проявлять инициативу в отношении управления рисками.[2][3][4] В 2017 году черновая версия концепции, версия 1.1, была распространена для общественного обсуждения.[5] Версия 1.1 была анонсирована и стала общедоступной 16 апреля 2018 г.[6] Версия 1.1 по-прежнему совместима с версией 1.0. Изменения включают руководство о том, как проводить самооценку, дополнительные сведения об управлении рисками в цепочке поставок, руководство о том, как взаимодействовать с заинтересованными сторонами цепочки поставок, и поощряют раскрытие уязвимости процесс.[7][8]
Исследование внедрения инфраструктуры безопасности показало, что 70% опрошенных организаций рассматривают структуру NIST как популярную передовую практику компьютерной безопасности, но многие отмечают, что она требует значительных инвестиций.[9]
Он включает руководство по соответствующей защите для Конфиденциальность и гражданские свободы.[10]
Обзор
Структура кибербезопасности NIST разработана для отдельных предприятий и других организаций для оценки рисков, с которыми они сталкиваются.
Структура разделена на три части: «Ядро», «Профиль» и «Уровни». «Ядро структуры» содержит ряд действий, результатов и ссылок об аспектах и подходах к кибербезопасности. «Уровни реализации структуры» используются организацией, чтобы прояснить для себя и своих партнеров, как она рассматривает риск кибербезопасности и степень сложности своего подхода к управлению. «Структурный профиль» - это список результатов, выбранных организацией из категорий и подкатегорий, исходя из своих потребностей и оценок рисков.
Организация обычно начинает с использования структуры для разработки «Текущего профиля», который описывает ее деятельность в области кибербезопасности и результаты, которых она достигает. Затем он может разработать «Целевой профиль» или принять базовый профиль, адаптированный к его сектору (например, отрасль инфраструктуры) или типу организации. Затем он может определить шаги переключения с текущего профиля на целевой.
Функции и категории мероприятий по кибербезопасности
Структура кибербезопасности NIST организовывает свой «основной» материал по пяти «функциям», которые в общей сложности подразделяются на 23 «категории». Для каждой категории он определяет ряд подкатегорий результатов кибербезопасности и меры безопасности, всего 108 подкатегорий.
Для каждой подкатегории он также предоставляет «Информационные ресурсы» со ссылками на определенные разделы множества других стандартов информационной безопасности, включая ISO 27001, COBIT, NIST SP 800-53, ANSI / ISA-62443 и Совет по критически важным мерам безопасности кибербезопасности (CCS CSC, теперь управляется Центр Интернет-безопасности). Помимо специальных публикаций (SP), для большинства информативных ссылок требуется платное членство или покупка для доступа к соответствующим руководствам. Стоимость и сложность структуры привели к законопроектам обеих палат Конгресса, которые предписывают NIST создавать руководства по структуре кибербезопасности, более доступные для малого и среднего бизнеса.[11][12]
Вот функции и категории, а также их уникальные идентификаторы и определения, как указано в столбце категорий в представлении электронной таблицы ядра стандарта.[13]
Идентифицировать
«Развивайте организационное понимание для управления рисками кибербезопасности для систем, активов, данных и возможностей».
- Управление активами (ID.AM): данные, персонал, устройства, системы и средства, которые позволяют организации достичь бизнес-целей, идентифицируются и управляются в соответствии с их относительной важностью для бизнес-целей и стратегии управления рисками организации.
- Деловая среда (ID.BE): миссия, цели, заинтересованные стороны и деятельность организации понятны и расставлены по приоритетам; эта информация используется для информирования о ролях, обязанностях и решениях по управлению рисками в области кибербезопасности.
- Управление (ID.GV): политика, процедуры и процессы для управления и мониторинга нормативных, юридических, рисковых, экологических и операционных требований организации понятны и информируют руководство по рискам кибербезопасности.
- Оценка рисков (ID.RA): организация понимает риск кибербезопасности для операций организации (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.
- Стратегия управления рисками (ID.RM): приоритеты, ограничения, допуски к риску и допущения организации устанавливаются и используются для поддержки решений по операционным рискам.
- Управление рисками цепочки поставок (ID.SC): приоритеты, ограничения, допустимые пределы риска и допущения организации устанавливаются и используются для поддержки решений по рискам, связанных с управлением рисками цепочки поставок. В организации есть процессы выявления, оценки и управления рисками цепочки поставок.
Защищать
«Разработайте и внедрите соответствующие меры безопасности для обеспечения предоставления критически важных инфраструктурных услуг».
- Контроль доступа (PR.AC): доступ к активам и связанным с ними средствам ограничен авторизованными пользователями, процессами или устройствами, а также авторизованными действиями и транзакциями.
- Информирование и обучение (PR.AT): персонал и партнеры организации проходят обучение по вопросам кибербезопасности и получают соответствующую подготовку для выполнения своих обязанностей и ответственности, связанных с информационной безопасностью, в соответствии с соответствующими политиками, процедурами и соглашениями.
- Безопасность данных (PR.DS): информация и записи (данные) управляются в соответствии со стратегией управления рисками организации для защиты конфиденциальности, целостности и доступности информации.
- Процессы и процедуры защиты информации (PR.IP): политики безопасности (которые определяют цель, объем, роли, обязанности, обязательства руководства и координацию между организационными подразделениями), процессы и процедуры поддерживаются и используются для управления защитой информационных систем и активов. .
- Техническое обслуживание (PR.MA): Техническое обслуживание и ремонт компонентов производственного контроля и информационных систем выполняется в соответствии с политиками и процедурами.
- Защитная технология (PR.PT): Решения по технической безопасности управляются для обеспечения безопасности и отказоустойчивости систем и активов в соответствии с соответствующими политиками, процедурами и соглашениями.
Обнаружить
«Разработайте и внедрите соответствующие действия для определения возникновения события кибербезопасности».
- Аномалии и события (DE.AE): аномальная активность обнаруживается своевременно, и потенциальное влияние событий понимается.
- Непрерывный мониторинг безопасности (DE.CM): информационная система и активы контролируются с дискретными интервалами для выявления событий кибербезопасности и проверки эффективности мер защиты.
- Процессы обнаружения (DE.DP): процессы и процедуры обнаружения поддерживаются и тестируются для обеспечения своевременной и адекватной осведомленности об аномальных событиях.
Отвечать
«Разработайте и внедрите соответствующие действия для принятия мер в отношении обнаруженного события кибербезопасности».
- Планирование реагирования (RS.RP): процессы и процедуры реагирования выполняются и поддерживаются, чтобы обеспечить своевременный ответ на обнаруженные события кибербезопасности.
- Коммуникации (RS.CO): Действия по реагированию координируются с внутренними и внешними заинтересованными сторонами, в зависимости от ситуации, включая внешнюю поддержку со стороны правоохранительных органов.
- Анализ (RS.AN): Анализ проводится для обеспечения адекватного реагирования и поддержки действий по восстановлению.
- Смягчение (RS.MI): Выполняются действия для предотвращения распространения события, смягчения его последствий и искоренения инцидента.
- Улучшения (RS.IM): Организационные мероприятия по реагированию улучшаются за счет включения уроков, извлеченных из текущих и предыдущих действий по обнаружению / реагированию.
Восстанавливаться
«Разработайте и внедрите соответствующие действия для поддержания планов устойчивости и восстановления любых возможностей или услуг, которые были нарушены из-за события кибербезопасности».
- Планирование восстановления (RC.RP): процессы и процедуры восстановления выполняются и поддерживаются для обеспечения своевременного восстановления систем или активов, затронутых событиями кибербезопасности.
- Улучшения (RC.IM): планирование и процессы восстановления улучшаются за счет включения извлеченных уроков в будущую деятельность.
- Коммуникации (RC.CO): Действия по восстановлению координируются с внутренними и внешними сторонами, такими как координационные центры, интернет-провайдеры, владельцы атакующих систем, жертвы, другие CSIRT и поставщики.
Информационные ссылки в Интернете
В дополнение к информативным ссылкам в ядре фреймворка, NIST также поддерживает онлайн-базу данных информативных ссылок.[14]. Информационные ссылки показывают взаимосвязи между функциями, категориями и подкатегориями Framework и конкретными разделами стандартов, руководств и передовых практик, общих для заинтересованных сторон Framework. Информационные ссылки иллюстрируют способы достижения результатов Рамочной основы.
Смотрите также
- Стандарты кибербезопасности
- Структура конфиденциальности NIST
- Защита критически важной инфраструктуры
- ISO / IEC 27001: 2013: стандарт информационной безопасности от Международная организация по стандартизации
- COBIT: Цели управления для информационных и связанных технологий - связанная структура от ISACA
- Специальная публикация NIST 800-53: «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций».
Рекомендации
Эта статья включаетматериалы общественного достояния от Национальный институт стандартов и технологий документ: «Структура кибербезопасности NIST» (PDF).
- ^ «Структура кибербезопасности NIST».
- ^ «Семинар описывает эволюцию NIST Cybersecurity Framework». FedScoop. Получено 2 августа, 2016.
- ^ HealthITSecurity. «Обновления структуры кибербезопасности NIST, уточнения в стадии разработки». Получено 2 августа, 2016.
- ^ PricewaterhouseCoopers. «Почему вы должны принять структуру кибербезопасности NIST». Получено 4 августа, 2016.
- ^ Келлер, Николь (10 января 2017 г.). «Проект концепции кибербезопасности версии 1.1». NIST. Получено 5 октября, 2017.
- ^ «NIST выпускает версию 1.1 своей популярной инфраструктуры кибербезопасности». NIST. 16 апреля 2018 г.. Получено 27 апреля, 2018.
- ^ «Обновленная структура кибербезопасности NIST подчеркивает риск контроля доступа и цепочки поставок». Расшифровать. Получено 17 октября, 2019.
- ^ «Что нового в NIST Cybersecurity Framework v1.1». Исключить. 26 апреля 2018 г.. Получено 26 мая, 2018.
- ^ «Принятие концепции кибербезопасности NIST затруднено из-за затрат, результаты опроса». Информационная неделя Темное чтение. Получено 2 августа, 2016.
- ^ HealthITSecurity. «HIMSS: Положительный результат в рамках концепции кибербезопасности NIST, можно улучшить». Получено 2 августа, 2016.
- ^ «Закон о кибербезопасности MAIN STREET от 2017 года». congress.gov. Получено 5 октября, 2017.
- ^ «Закон NIST о кибербезопасности малого бизнеса от 2017 года». congress.gov. Получено 5 октября, 2017.
- ^ «Ядро платформы кибербезопасности (Excel)». NIST. Эта статья включает текст из этого источника, который находится в всеобщее достояние.
- ^ [email protected] (27 ноября 2017 г.). «Информативные ссылки». NIST. Получено 17 апреля, 2020.
внешняя ссылка
- Официальный веб-сайт
- Как использовать (и не использовать) структуру кибербезопасности NIST | FRSecure LLC | Управление информационной безопасностью
- Использование возможностей инфраструктуры кибербезопасности NIST
- 10-минутное руководство по структуре кибербезопасности NIST
- Как начать работу с NIST Cybersecurity Framework