美国NIST更新《网络安全框架》
2014年2月NIST首次发布《网络安全框架1.0》,旨在帮助公司组织,特别是能源、银行、通信和国防工业关键基础设施部门管理网络安全风险。2015年12月,NIST共收到105份关于改进关键基础设施网络安全框架和常见问题意见反馈。2016年4月,NIST举办了约800人参加的网络安全框架研讨会,并发布了《用于改进关键基础设施网络安全的路线图》,明确了需进一步“开发、协调和协作”的关键“改进领域”。2017年1月,NIST发布了《网络安全框架1.1》试用版;2017年5月,特朗普总统签署网络安全行政命令,要求各政府机构及企业组织自愿贯彻执行《网络安全框架1.1》试用版以支持数据保护和管理风险。NIST《网络安全框架1.1》试用版被证明具有足够的灵活性。意大利、以色列、乌干达等政府已采用该框架。基于此,发布《网络安全框架1.1》正式版,这是美国公私合作模式在应对网络安全挑战方面所取得的重大进步。
《网络安全框架1.1》由框架核心、框架实施层和框架概况三大基本要素组成。框架核心提供了一套关键基础设施行业通用的网络安全活动、预期结果和适用参考。框架核心提出了行业标准、指南和实践,以便组织机构从管理层到执行层的层级沟通网络安全活动和结果。框架核心包含功能、类别、 子类别和信息参考4个要素,以及识别、保护、检测、响应和恢复5个功能。
框架实施层为组织机构提供相关机制,供其了解网络安全风险管理方法的特征,并提供网络安全风险审视方法和管理风险的流程,可帮助组织机构确定优先级并实现网络安全目标。实施层指的是组织机构安全风险管理实践的程度,衡量标准包括风险与威胁意识、可重复和自适应等要素。实施层通过四个层级范围描述组织机构的实践程度,各层级(从部分的层级1到自适应的层级4)反映了从非正式、被动响应到自适应的表现。该框架指出,在确定实施层级的过程中,组织机构应考虑当前的风险管理实践、威胁环境、法律法规要求、业务/任务目标和限制条件。
框架概况根据组织机构的业务需求、风险承受能力、资源等要素,对功能、类别和子类别进行调整,帮助各组织机构建立降低网络安全风险的路线图,确保既能兼顾整体与部门目标、考虑法律法规要求和行业最佳实践,又能反映风险管理的轻重缓急。“概况”可被定义为在特定实施场景下对核心框架的类别和子类别进行调整。借助概况,组织机构可对比“当前概况”和“目标概况”,以此识别提升网络安全态势的机会。要制定出框架“概况”,组织机构可查看所有的类别和子类别,并基于业务或任务需求以及风险评估,以此确定最重要的事项。组织机构可按需添加类别和子类别解决风险。“当前概况”可用来审视“目标概况”需考虑的优先级和进度衡量,同时考虑包括成本效益和创新在内的其它业务需求。组织机构可利用概况进行自我评估,并有助于在组织机构内部和组织机构之间进行风险沟通。
表1 《网络安全框架1.1》主要改进、澄清和强化的部分
|
更新部分 |
更新的内容 |
|
新增网络安全度量 |
添加网络安全度量和证明,讨论业务结果与网络安全风险管理指标和度量的相关性 |
|
解释供应链网络风险管理 |
增加了供应链网络风险管理(SCRM)的考虑。与利益相关者沟通网络安全要求,有助于用户更好地了解网络的供应链网络风险管理;在实现层也添加了供应链网络风险管理;增加框架核心中的“供应链风险管理”类别 |
|
优化身份验证和授权 |
优化访问控制类,更好考虑身份验证和授权。并添加了一个身份管理和访问控制子类别,以更好地表示类别和相应子类别的范围 |
|
更好地解释实现层和profile之间的关系 |
在框架实施过程中,使用“框架层”改进网络安全计划。框架层增加了描述,以反映机构在安全框架中整合风险管理计划 |
《网络安全框架1.1》对1.0版本进行了提炼、阐明和改进,更具有灵活性,可满足各类组织机构的业务或任务需求,并适用于各种技术环境,如信息技术、工业控制系统和物联网等。《网络安全框架1.1》更新的内容包括:身份验证和身份,自我评估网络安全风险,供应链中的网络安全管理,漏洞披露。
2018年4月27日NIST 将进行网络直播详细解释《网络安全框架1.1》。 2018年11月6-8日,NIST计划在巴尔的摩举办网络安全风险管理大会,重点讨论该框架。 (张秋菊)
[1] NIST Releases Version 1.1 of its Popular Cybersecurity Framework. https://www.commerce.gov/news/blog/2018/04/nist-releases-version-11-its-popular-cybersecurity-framework