专家解读 | NIST网络安全框架(3):层级配置

news2024/11/15 13:37:28

e4e78790c1e815c108944a295bde9251.jpeg

NIST CSF在核心部分提供了六个类别的关键功能和子功能,并围绕CSF的使用提供了层级(Tier)和配置(Profile)两种工具,使不同组织和用户更方便有效地使用CSF,本文将深入探讨CSF层级和配置的主要内容,及其使用方法。 关键字:网络安全框架;CSF层级;CSF配置

CSF层级


在组织的系统性风险治理过程中,CSF框架可以用于识别、评估和管理网络安全风险。结合现有的管理流程,组织可以利用CSF分析确定当前网络安全风险管理方法中存在的差距,并制定改进路线图。 CSF通过“(实施)层级”为利益相关者提供了组织网络安全计划的相关背景信息。NIST 明确指出,CSF层级并非成熟度模型,而是一种指导性的方法,用于阐明网络安全风险管理和企业运营风险管理之间的关系,简而言之,层级提供了一条清晰的路径,将网络安全风险纳入企业的整体组织风险中,同时作为评估当前网络安全风险管理实践的基准,帮助组织制定改善其网络安全状况的计划。 1.层级定义 由于不同组织具有不同的风险、不同的风险承受能力以及不同的威胁和漏洞,因此他们对CSF的实施方式也会存在区别。例如,大型企业可能已经实施了CSF核心中的大部分安全措施,而小型组织可能因为只拥有较少的数据泄露途径,其数据安全流程可能仅处于起步阶段。 为了满足不同组织的不同安全要求,实施层以等级式的描述方式,将企业网络安全风险管理实践映射至CSF框架,用来描述企业实践与NIST CSF的一致程度。 

452e25d03967a359ca0ecf18b3fa39d3.jpeg

图1 NIST CSF的四个实施层级 这些层级可帮助组织考虑其网络安全计划的适当严格程度、如何有效地将网络安全风险决策整合到更广泛的风险决策中,以及企业从第三方共享和接收网络安全信息的程度。 NIST明确指出这些级别不是成熟度级别。级别越高,企业的风险管理实践就越符合NIST CSF的规定。每个实施层都分为两个个主要组成部分:风险治理实践(治理)和风险管理实践(识别、保护、检测、响应和恢复)。 2.层级选择 企业组织的领导层负责选择在该组织在网络安全风险治理和管理中应达到的CSF层级。选择层级时,一般考虑如下原则:在整体层级、功能或类别层级进行选择,比在子类别层级进行选择,可以更好地了解组织当前的网络安全风险管理实践。 ● 如果组织只想关注CSF功能的子集,可以使用两个层级(治理或管理)组件之一。例如,如果您的范围仅限于治理,则可以省略网络安全风险管理描述。在选择层级时,考虑组织的以下特征和因素: 当前的风险管理实践; 威胁环境; 法律和监管要求; 信息共享实践; 业务和任务目标; 供应链要求; 组织的约束,包括资源。 ● 确保所选择的层级有助于实现组织目标,可行实施,并将网络安全风险降低到组织可接受的水平,以保护关键资产和资源。 ● 需要时鼓励向更高层级发展,以解决风险或法规要求。

CSF配置


功能、类别和子类别与组织的业务需求、风险承受能力和资源的一致性。配置文件使组织能够建立一个降低网络安全风险的路线图,该路线图与组织和部门目标保持一致,考虑法律/监管要求和行业最佳实践,并反映风险管理优先事项。考虑到许多组织的复杂性,他们可能会选择拥有多个配置文件,与特定组件保持一致并认识到他们的个人需求。框架配置文件可用于描述特定网络安全活动的当前状态或期望的目标状态。 组织的CSF配置可以分为: ● 当前配置:指定了组织当前实现的一组CSF成效,并描述了如何实现每个功能。 ● 目标配置:指定了为实现组织的网络安全风险管理目标,而优先考虑的期望 CSF 成效。目标配置需要考虑组织网络安全态势的预期变化,例如新要求、新技术的采用情况,以及威胁情报的趋势。 CSF 2.0 描述了一个用于创建和使用组织概况的五步流程。更具体地说,该流程将一个目标配置(愿景)与一个当前配置(已评估)进行比较。然后,进行差距分析,并制定和实施行动计划。该流程自然地导致了目标概况的改进,以在下一次评估期间使用。

d5d286330f3644dba3f8ccbb7a512241.jpeg

图2 NIST CSF配置的创建步骤 1.确定范围 该步骤主要记录那些用于定义概况的一些基本事实和假设,以定义其范围。一个组织可以拥有多个不同的组织配置,每个配置都具有不同的范围。例如,一个配置可以涵盖整个组织,也可以只针对组织的财务系统,或应对勒索软件威胁和处理涉及这些财务系统的勒索软件事件。 在该阶段需要回答以下问题: ● 创建组织配置的原因是什么? ● 该配置是否将覆盖整个组织?如果不是,将包括组织的哪些部门、数据资产、技术资产、产品和服务,以及/或合作伙伴和供应商? ● 配置是否将涵盖所有类型的网络安全威胁、漏洞、攻击和防御?如果不是,将包括哪些类型? ● 谁负责制定、审查和实施配置? ● 谁负责设定实现目标结果的行动规划? 2.收集信息 该阶段需要收集的信息示例包括组织政策、风险管理优先事项和资源、企业风险概况、业务影响分析(BIA)登记、组织遵循的网络安全要求和标准、实践和工具(例如,程序和安全措施)以及工作角色。 每个配置所需信息的来源主要取决于实际情况,该配置需要捕获的元素,以及所期望的详细级别。 3.创建配置 创建配置需要确定配置应包含的信息类型,以及记录所需信息。考虑当前配置的风险影响,以指导目标配置的规划和优先级确定。此外,考虑使用社区配置作为目标概况的基础。 创建配置的主要步骤包括: ● 下载最新的CSF组织配置模板表格,并根据需要进行自定义; ● 将适用的网络安全成效纳入您的配置用例,并根据需要记录理由; ● 在当前配置栏中记录当前的网络安全实践; ● 在目标配置栏中记录网络安全目标及其实现计划; ● 使用优先级字段,突出每个目标的重要性。 4.分析差距 分析当前配置和目标配置之间的差距,并制定行动计划。通过差距分析,识别当前配置和目标配置之间的差异,并制定优先行动计划(例如,风险登记、风险报告、行动计划和里程碑等),以解决这些差距。

638b65b59d45538f977a8b50585fe0b2.jpeg

图3 通过配置分析差距和改进 5.行动改进 该阶段主要实施行动计划,并更新组织的配置。通过遵循行动计划解决差距,并使组织朝着目标配置迈进。一般来说,行动计划可以设置总体的截止日期,也可能是持续进行的。 行动计划通过管理、程序化和技术控制的任意组合来实现。随着这些控制的实施,组织概况可以用于跟踪实施状态。随后,通过关键绩效指标(KPI)和关键风险指标(KRI)可以监测控制措施和相关风险。超出风险容忍度的网络风险通过风险评估进行观察。超出风险容忍度的风险可能会促使行动计划、组织配置的更新。差距分析也可能导致创建具有更长修复时间的差距。

使用方法


层级和组织配置是NIST CSF提供的关键工具,一旦组织确定了层级选择,就可以使用它们来帮助制定组织的当前和目标配置文件。例如,如果领导层确定您的组织在识别和保护功能中应该处于第二层(风险知情),那么当前配置文件将反映目前在这两个功能内,实现第二层网络安全风险管理实践的情况(如表1)。 表1针对“识别”和“保护”功能的风险管理实践描述(采用第2层级的示例)



同样,目标配置文件将反映出需要改进的识别和保护结果,以完全实现第二层描述。层级应该用于指导和提供信息,而不是取代组织的网络安全风险治理和管理方法。



以上是“NIST网络安全框架”权说系列的最后一篇文章,本文主要介绍了CSF分层和配置的主要内容,及其使用方法。 本系列论文主要围绕CSF 2.0,从框架概览、核心功能、配置分层3个方面展开讨论,以帮助使用者更好地理解、利用该工具进行网络安全架构的规划、设计、开发和运营。若您有任何疑问或者建议,欢迎在评论区给我们留言~



https://mp.weixin.qq.com/s/J4YYPu16wrGlhJDCvGrWqQ

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1814082.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【deepin 产品面对面】玲珑入门教程:从源代码开始构建玲珑格式应用

内容来源:deepin(深度)社区 请首先阅读玲珑官方文档 ll-builder 简介 | 玲珑,本文以构建 desktop-entry-editor 为例,该项目依赖较为简单,仅需玲珑官方文档中默认提供的基础运行环境即可成功构建运行。 第一…

web基础htTP协议

web基础 域名概述: 域名空间结构 网页的概念 HTML概述 DNS解析的三种方式 /etc/hosts 在Linux系统中,/etc/hosts 文件负责快速解析,它包含了IP地址与主机名的映射关系。在没有DNS服务器的情况下,可以使用本地/etc/hosts 文件完成…

用户管理与服务器远程管理

用户管理 服务器系统版本介绍 windows服务器系统:win2000 win2003 win2008 win2012 linux服务器系统:Redhat Centos 用户管理 用户概述 (1)每一个用户登录系统后,拥有不同的操作权限。 (2)…

【实例分享】访问后端服务超时,银河麒麟服务器操作系统分析及处理建议

1.服务器环境以及配置 【机型】 处理器: Intel 32核 内存: 128G 整机类型/架构: x86_64虚拟机 【内核版本】 4.19.90-25.22.v2101.kylin.x86_64 【OS镜像版本】 kylin server V10 SP2 【第三方软件】 开阳k8s 2.问题现象描述 …

三十二、 数据跨境传输场景下的 PIA 与数据出境风险自评估是一回事吗?

PIA 与数据出境风险自评估并不相同。PIA 是《个人信息保护法》第五十五条明确提出要求企业在向境外提供个人信息前应当开展的自评估工作,而数据出境风险自评估则是《评估办法》第五条提出的要求符合数据出境安全评估申报情形的企业在申报前应当开展的自评估工作。 换…

使用 SPICE 模型模拟 MOSFET 电流-电压特性

绘制漏极电流与漏极电压的关系图 我们首先绘制漏极电流 ( I D ) 与漏源电压 ( V DS ) 的基本图。为此,我们将栅极电压设置为远高于阈值电压的固定值,然后执行直流扫描模拟,其中V DD的值逐渐增加。图 1 显示了我们将使用的原理图。 LTspice N…

❎35岁程序员,转行了么?

新职业 在Boss直聘、智联等招聘网站中,您是否遇见过这样的职位邀请?它的名字叫做LORA模型训练师。 从图上我们可以看出其需要的技能大致是下面的样子: Stable Diffusion: 机器学习、神经网络、模型训练的知识;Lora: 训练Lora模型…

css系列:音频播放效果-波纹律动

介绍 语音播放的律动效果,通俗来说就是一个带动画的特殊样式的进度条,播放的部分带有上下律动的动画,未播放的部分是普通的灰色竖状条。 实现中夹带了less变量、继承和循环遍历,可以顺带学习一下。 结果展示 大致效果如图所示…

在调用接口上map与forEach的区别

在场景:一个表格数据需要上传,每行表格需要上传图片->这就需要在提交时对数据也就是数组进行处理(先将每个元素图片上传拿到图片id 这种情况我刚开始就用的map处理,然后问题来了,提交的接口调用了,但是…

linux搭建harbor镜像仓库

安装docker-compose:安装docker-compose_安装 docker-compose-CSDN博客 安装harbor,我安装的是v2.4.3 #下载安装包 wget https://github.com/goharbor/harbor/releases/download/v2.4.3/harbor-offline-installer-v2.4.3.tgz#解压 tar -zxvf harbor-off…

【Python】selenium的异常类selenium.common.exceptions的汇总

我们在使用selenium爬虫的过程中,可能会遇到各种报错,例如: 这些报错是selenium.common.exceptions 是 Selenium WebDriver 库中的一个模块,它包含了 WebDriver 操作中可能遇到的各种异常类。这些异常类帮助开发者在自动化测试过…

Nodejs 第七十七章(MQ高级)

MQ介绍和基本使用在75章介绍过了,不再重复 MQ高级用法-延时消息 什么是延时消息? Producer 将消息发送到 MQ 服务端,但并不期望这条消息立马投递,而是延迟一定时间后才投递到 Consumer 进行消费,该消息即延时消息 插件安装 R…

el-tree回显复选框时半选中和全选中的树

项目需求如下:当我点击“编辑”后,需要在tree树上全勾中和半勾中选项,由于后端接口返回的tree树是含了父级节点id的数组集合,所以我们回显时需要处理好这个全勾中和半勾中的问题。 主要思路如下,我们通过setData方法获…

服务器数据恢复—热备盘未完全启用导致raid5阵列崩溃的数据恢复案例

服务器存储故障: 一台EMC某型号存储由于存储中raid5阵列出现故障导致服务器崩溃,由于数据涉密,需要工程师到现场恢复数据。 服务器数据恢复工程师到现场后对数据进行检测,经过检测发现服务器崩溃是由于raid中某些硬盘掉线所导致。…

【深度学习】数竹签演示软件系统

往期文章列表: 【YOLO深度学习系列】图像分类、物体检测、实例分割、物体追踪、姿态估计、定向边框检测演示系统【含源码】 【深度学习】物体检测/实例分割/物体追踪/姿态估计/定向边框/图像分类检测演示系统【含源码】 【深度学习】YOLOV8数据标注及模型训练方法整…

meilisearch的Managing API keys,自己趟过的坑

Elasticsearch 做为老牌搜索引擎,功能基本满足,但复杂,重量级,适合大数据量。 MeiliSearch 设计目标针对数据在 500GB 左右的搜索需求,极快,单文件,超轻量。 所以,对于中小型项目来说…

电商比价系统的搭建需要哪些方面着手准备?

搭建一个淘宝/京东比价系统所需的时间取决于多个因素,包括但不限于系统的复杂度、开发团队的规模与经验、数据源获取的难易程度、技术选型等。以下是一个大致的时间估计和考虑因素: 需求分析与设计: 确定系统的主要功能,如商品搜…

Python基于 GPU 的机器学习算法库之cuml使用详解

概要 在大数据和机器学习的时代,高效的数据处理和模型训练变得尤为重要。传统的 CPU 计算方式在处理大规模数据时往往显得力不从心,而 GPU 的并行计算能力为此提供了一种解决方案。cuml 是 RAPIDS AI 项目的一部分,它提供了一组基于 GPU 的机器学习算法,能够极大地提升数据…

【数据结构与算法】哈夫曼树与哈夫曼编码

文章目录 哈夫曼树(最优二叉树)定义举个🌰(WPL的计算) 哈夫曼树的构造(最优二叉树的构造)举个🌰 哈夫曼编码定义构造 哈夫曼树(最优二叉树) 在介绍哈夫曼树之…

中间件复习之-分布式存储系统

单机存储系统介绍 存储引擎:存储系统的发动机,提供数据的增、删、改、查能力,直接决定存储系统的功能(支持怎么样的查询,锁能锁到什么程度)和性能(增删改查速度)。 性能因素 写入方…