过去几年中,由于个人和组织都遭受了前所未有的网络攻击和数据盗窃浪潮,网络安全和数据保护已从利基问题转变为重大问题。世界各国政府已加紧努力,并已开始制定法律,使法律必须强制保护数据。关注数据主体的权利,法规(例如欧盟) 通用数据保护条例 (GDPR) or the 加州消费者隐私法(CCPA)将公司承担确保其处理的个人数据安全的法律义务。

随着网络安全和数据保护成为常见的合规性要求,许多组织对于从何处开始将其集成到流程中感到困惑。 美国国家标准技术研究院(NIST)的 网络安全框架 (CSF)已成为公司级网络安全最佳实践的有效指南,不仅在美国,而且在世界范围内。

NIST CSF的发展与采用

开发网络安全框架是为了响应 行政命令 由时任美国总统巴拉克·奥巴马(Barack Obama)于2013年2月发布,呼吁为该国的关键基础设施(包括交通,能源和医疗保健等)开发自愿的,基于风险的具有成本效益的网络安全框架。在NIST的领导下,来自小型和大型私人组织的3000多名行业专家和网络安全专家为CSF的发展做出了贡献。

NSF于2014年2月首次发布,后来于2018年4月进行了更新以纳入行业,政府和学术界的反馈意见,CSF已被所有行业广泛接受,作为有关最佳网络安全标准,指南和实践的综合指南管理和减少网络安全风险。

在将CSF作为自愿框架进行开发时,2017年5月,唐纳德·特朗普总统发布了一项 行政命令 在其中,他指示所有联邦机构使用网络安全框架,有效地使其成为强制性的。

在2015年, Gartner报道 美国所有组织中有30%使用了CSF,并且估计到2020年,这个数字将上升到50%。在国际上,以色列,意大利,乌拉圭和日本等国家已经采用了NIST网络安全框架的原始形式或改编版本。在全球范围内采用CSF的公司包括Microsoft,波音,英特尔,JP Morgan Chase等。

核心

网络安全框架分为三个主要部分:核心,实施层和配置文件。核心是一组在关键基础架构领域通用的网络安全活动,预期成果和相关参考。它进一步分为四个主要组:

功能 提供最基本的组织网络安全策略的方法,分为五类:识别,保护,检测,响应和恢复。这些功能不仅涵盖用于保护系统的综合策略,还涵盖组织在网络攻击后应如何应对威胁并做出反应。

分类目录 包含在每个功能中,用于强调组织需要执行的特定任务以及在执行过程中可能面临的挑战。类别的示例包括资产管理,检测过程和安全性连续监视。这五个功能共有23个类别。

子类别 是处理特定目标并以结果为导向的类别的细分。 一共有108个。例如,诸如资产管理之类的类别有六个子类别,包括组织内的物理设备和系统的清单,软件平台和应用程序的清单以及整个员工和第三方利益相关者的网络安全角色和职责。

信息参考 是每个子类别的附加信息层,列出了现有标准,指南和最佳做法。它可能包括诸如如何手动更新某些软件的内容。

实施层

NIST网络安全框架的第二个主要组成部分是四个关键实施层。等级是指公司的网络安全实践与CSF中规定的一致程度。

Tier 1 指的是部分实施了CSF但对组织风险的意识降低并且网络安全计划的实施不一致的公司。

Tier 2 表示了解风险的组织,已采取适当的网络安全措施,但仍难以实施。

Tier 3 表示已在全公司范围内采用CSF标准并已有效应用这些标准的组织,从而能够有效,一致地应对危机和有风险的员工队伍。

Tier 4 是最高级别的一致性,意味着完全采用CSF。该层级的组织称为适应性组织,不仅准备应对威胁,而且还采用主动方法进行威胁检测,并根据其IT体系结构的发展和当前趋势不断发展其实践。

个人资料

配置文件是组织识别和优先考虑改善网络安全实践机会的一种方式。 这是通过将公司的当前配置文件与基于NIST网络安全框架的目标配置文件进行比较来完成的。

为了建立当前的档案,组织可以根据CSF子类别来映射其现有的网络安全实践。可以使用CSF子类别以及公司的目标,运营方法和要求来构建目标配置文件。通过比较这两个配置文件,组织可以了解其现有策略与所需的网络安全级别之间的差距,并制定适合其特定情况和预算的实施计划。

结论

NIST网络安全框架是有关网络安全最佳实践的详细指南,由该领域的专业人员制定。它已被全球行业巨头和政府广泛接受,表明它为遵守数据保护法规和可靠的网络安全计划提供了一个很好的起点,以防范威胁和风险。

Source://www.endpointprotector.com/blog/