NIST CSF在核心部分提供了六個(gè)類別的關(guān)鍵功能和子功能，并圍繞CSF的使用提供了層級(jí)（Tier）和配置（Profile）兩種工具，使不同組織和用戶更方便有效地使用CSF，本文將深入探討CSF層級(jí)和配置的主要內(nèi)容，及其使用方法。關(guān)鍵字：網(wǎng)絡(luò)安全框架；CSF層級(jí)；CSF配置

一

CSF層級(jí)

在組織的系統(tǒng)性風(fēng)險(xiǎn)治理過程中，CSF框架可以用于識(shí)別、評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。結(jié)合現(xiàn)有的管理流程，組織可以利用CSF分析確定當(dāng)前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法中存在的差距，并制定改進(jìn)路線圖。CSF通過“（實(shí)施）層級(jí)”為利益相關(guān)者提供了組織網(wǎng)絡(luò)安全計(jì)劃的相關(guān)背景信息。NIST 明確指出，CSF層級(jí)并非成熟度模型，而是一種指導(dǎo)性的方法，用于闡明網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和企業(yè)運(yùn)營風(fēng)險(xiǎn)管理之間的關(guān)系，簡而言之，層級(jí)提供了一條清晰的路徑，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)納入企業(yè)的整體組織風(fēng)險(xiǎn)中，同時(shí)作為評(píng)估當(dāng)前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐的基準(zhǔn)，幫助組織制定改善其網(wǎng)絡(luò)安全狀況的計(jì)劃。

1．層級(jí)定義

由于不同組織具有不同的風(fēng)險(xiǎn)、不同的風(fēng)險(xiǎn)承受能力以及不同的威脅和漏洞，因此他們對(duì)CSF的實(shí)施方式也會(huì)存在區(qū)別。例如，大型企業(yè)可能已經(jīng)實(shí)施了CSF核心中的大部分安全措施，而小型組織可能因?yàn)橹粨碛休^少的數(shù)據(jù)泄露途徑，其數(shù)據(jù)安全流程可能僅處于起步階段。為了滿足不同組織的不同安全要求，實(shí)施層以等級(jí)式的描述方式，將企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐映射至CSF框架，用來描述企業(yè)實(shí)踐與NIST CSF的一致程度。

圖1 NIST CSF的四個(gè)實(shí)施層級(jí)

這些層級(jí)可幫助組織考慮其網(wǎng)絡(luò)安全計(jì)劃的適當(dāng)嚴(yán)格程度、如何有效地將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)決策整合到更廣泛的風(fēng)險(xiǎn)決策中，以及企業(yè)從第三方共享和接收網(wǎng)絡(luò)安全信息的程度。NIST明確指出這些級(jí)別不是成熟度級(jí)別。級(jí)別越高，企業(yè)的風(fēng)險(xiǎn)管理實(shí)踐就越符合NIST CSF的規(guī)定。每個(gè)實(shí)施層都分為兩個(gè)個(gè)主要組成部分：風(fēng)險(xiǎn)治理實(shí)踐（治理）和風(fēng)險(xiǎn)管理實(shí)踐（識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)）。

2．層級(jí)選擇

企業(yè)組織的領(lǐng)導(dǎo)層負(fù)責(zé)選擇在該組織在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理和管理中應(yīng)達(dá)到的CSF層級(jí)。選擇層級(jí)時(shí)，一般考慮如下原則：● 在整體層級(jí)、功能或類別層級(jí)進(jìn)行選擇，比在子類別層級(jí)進(jìn)行選擇，可以更好地了解組織當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐。●如果組織只想關(guān)注CSF功能的子集，可以使用兩個(gè)層級(jí)（治理或管理）組件之一。例如，如果您的范圍僅限于治理，則可以省略網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理描述。在選擇層級(jí)時(shí)，考慮組織的以下特征和因素：當(dāng)前的風(fēng)險(xiǎn)管理實(shí)踐；威脅環(huán)境；法律和監(jiān)管要求；信息共享實(shí)踐；業(yè)務(wù)和任務(wù)目標(biāo)；供應(yīng)鏈要求；組織的約束，包括資源。●確保所選擇的層級(jí)有助于實(shí)現(xiàn)組織目標(biāo)，可行實(shí)施，并將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降低到組織可接受的水平，以保護(hù)關(guān)鍵資產(chǎn)和資源。●需要時(shí)鼓勵(lì)向更高層級(jí)發(fā)展，以解決風(fēng)險(xiǎn)或法規(guī)要求。

二

CSF配置

功能、類別和子類別與組織的業(yè)務(wù)需求、風(fēng)險(xiǎn)承受能力和資源的一致性。配置文件使組織能夠建立一個(gè)降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的路線圖，該路線圖與組織和部門目標(biāo)保持一致，考慮法律/監(jiān)管要求和行業(yè)最佳實(shí)踐，并反映風(fēng)險(xiǎn)管理優(yōu)先事項(xiàng)。考慮到許多組織的復(fù)雜性，他們可能會(huì)選擇擁有多個(gè)配置文件，與特定組件保持一致并認(rèn)識(shí)到他們的個(gè)人需求。框架配置文件可用于描述特定網(wǎng)絡(luò)安全活動(dòng)的當(dāng)前狀態(tài)或期望的目標(biāo)狀態(tài)。組織的CSF配置可以分為：●當(dāng)前配置：指定了組織當(dāng)前實(shí)現(xiàn)的一組CSF成效，并描述了如何實(shí)現(xiàn)每個(gè)功能。●目標(biāo)配置：指定了為實(shí)現(xiàn)組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理目標(biāo)，而優(yōu)先考慮的期望 CSF 成效。目標(biāo)配置需要考慮組織網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)期變化，例如新要求、新技術(shù)的采用情況，以及威脅情報(bào)的趨勢(shì)。CSF 2.0 描述了一個(gè)用于創(chuàng)建和使用組織概況的五步流程。更具體地說，該流程將一個(gè)目標(biāo)配置（愿景）與一個(gè)當(dāng)前配置（已評(píng)估）進(jìn)行比較。然后，進(jìn)行差距分析，并制定和實(shí)施行動(dòng)計(jì)劃。該流程自然地導(dǎo)致了目標(biāo)概況的改進(jìn)，以在下一次評(píng)估期間使用。

圖2 NIST CSF配置的創(chuàng)建步驟

1．確定范圍

該步驟主要記錄那些用于定義概況的一些基本事實(shí)和假設(shè)，以定義其范圍。一個(gè)組織可以擁有多個(gè)不同的組織配置，每個(gè)配置都具有不同的范圍。例如，一個(gè)配置可以涵蓋整個(gè)組織，也可以只針對(duì)組織的財(cái)務(wù)系統(tǒng)，或應(yīng)對(duì)勒索軟件威脅和處理涉及這些財(cái)務(wù)系統(tǒng)的勒索軟件事件。在該階段需要回答以下問題：●創(chuàng)建組織配置的原因是什么？●該配置是否將覆蓋整個(gè)組織？如果不是，將包括組織的哪些部門、數(shù)據(jù)資產(chǎn)、技術(shù)資產(chǎn)、產(chǎn)品和服務(wù)，以及/或合作伙伴和供應(yīng)商？●配置是否將涵蓋所有類型的網(wǎng)絡(luò)安全威脅、漏洞、攻擊和防御？如果不是，將包括哪些類型？●誰負(fù)責(zé)制定、審查和實(shí)施配置？●誰負(fù)責(zé)設(shè)定實(shí)現(xiàn)目標(biāo)結(jié)果的行動(dòng)規(guī)劃？

2．收集信息

該階段需要收集的信息示例包括組織政策、風(fēng)險(xiǎn)管理優(yōu)先事項(xiàng)和資源、企業(yè)風(fēng)險(xiǎn)概況、業(yè)務(wù)影響分析（BIA）登記、組織遵循的網(wǎng)絡(luò)安全要求和標(biāo)準(zhǔn)、實(shí)踐和工具（例如，程序和安全措施）以及工作角色。每個(gè)配置所需信息的來源主要取決于實(shí)際情況，該配置需要捕獲的元素，以及所期望的詳細(xì)級(jí)別。

3．創(chuàng)建配置

創(chuàng)建配置需要確定配置應(yīng)包含的信息類型，以及記錄所需信息。考慮當(dāng)前配置的風(fēng)險(xiǎn)影響，以指導(dǎo)目標(biāo)配置的規(guī)劃和優(yōu)先級(jí)確定。此外，考慮使用社區(qū)配置作為目標(biāo)概況的基礎(chǔ)。創(chuàng)建配置的主要步驟包括：●下載最新的CSF組織配置模板表格，并根據(jù)需要進(jìn)行自定義；●將適用的網(wǎng)絡(luò)安全成效納入您的配置用例，并根據(jù)需要記錄理由；●在當(dāng)前配置欄中記錄當(dāng)前的網(wǎng)絡(luò)安全實(shí)踐；●在目標(biāo)配置欄中記錄網(wǎng)絡(luò)安全目標(biāo)及其實(shí)現(xiàn)計(jì)劃；●使用優(yōu)先級(jí)字段，突出每個(gè)目標(biāo)的重要性。

4．分析差距

分析當(dāng)前配置和目標(biāo)配置之間的差距，并制定行動(dòng)計(jì)劃。通過差距分析，識(shí)別當(dāng)前配置和目標(biāo)配置之間的差異，并制定優(yōu)先行動(dòng)計(jì)劃（例如，風(fēng)險(xiǎn)登記、風(fēng)險(xiǎn)報(bào)告、行動(dòng)計(jì)劃和里程碑等），以解決這些差距。

圖3 通過配置分析差距和改進(jìn)

5．行動(dòng)改進(jìn)

該階段主要實(shí)施行動(dòng)計(jì)劃，并更新組織的配置。通過遵循行動(dòng)計(jì)劃解決差距，并使組織朝著目標(biāo)配置邁進(jìn)。一般來說，行動(dòng)計(jì)劃可以設(shè)置總體的截止日期，也可能是持續(xù)進(jìn)行的。行動(dòng)計(jì)劃通過管理、程序化和技術(shù)控制的任意組合來實(shí)現(xiàn)。隨著這些控制的實(shí)施，組織概況可以用于跟蹤實(shí)施狀態(tài)。隨后，通過關(guān)鍵績效指標(biāo)（KPI）和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRI）可以監(jiān)測(cè)控制措施和相關(guān)風(fēng)險(xiǎn)。超出風(fēng)險(xiǎn)容忍度的網(wǎng)絡(luò)風(fēng)險(xiǎn)通過風(fēng)險(xiǎn)評(píng)估進(jìn)行觀察。超出風(fēng)險(xiǎn)容忍度的風(fēng)險(xiǎn)可能會(huì)促使行動(dòng)計(jì)劃、組織配置的更新。差距分析也可能導(dǎo)致創(chuàng)建具有更長修復(fù)時(shí)間的差距。

三

使用方法

層級(jí)和組織配置是NIST CSF提供的關(guān)鍵工具，一旦組織確定了層級(jí)選擇，就可以使用它們來幫助制定組織的當(dāng)前和目標(biāo)配置文件。例如，如果領(lǐng)導(dǎo)層確定您的組織在識(shí)別和保護(hù)功能中應(yīng)該處于第二層（風(fēng)險(xiǎn)知情），那么當(dāng)前配置文件將反映目前在這兩個(gè)功能內(nèi)，實(shí)現(xiàn)第二層網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐的情況（如表1）。表1針對(duì)“識(shí)別”和“保護(hù)”功能的風(fēng)險(xiǎn)管理實(shí)踐描述（采用第2層級(jí)的示例）

同樣，目標(biāo)配置文件將反映出需要改進(jìn)的識(shí)別和保護(hù)結(jié)果，以完全實(shí)現(xiàn)第二層描述。層級(jí)應(yīng)該用于指導(dǎo)和提供信息，而不是取代組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理和管理方法。

審核編輯 黃宇