Friday, September 21, 2018

美国NIST《关键基础设施网络安全框架》V1.1草稿 解读

2017年4月7日

(一)简介
2014年2月,NIST发布了《关键基础设施网络安全框架》V1.0正式版本。本安全框架的起源是美国前总统奥巴马发布的行政令《提高关键基础设施网络安全》,要求NIST制定安全框架,应包括一系列与标准、方法、程序和过程相匹配的解决网络风险的政策、业务和技术方法。
2017年1月,NIST发布了V1.1的草稿,预计今年10月份会出正式版本。
(二)主要变化
“网络安全框架”V1.1(草案)前期对V1.0做了精炼、澄清和增强。与V1.0一样,使用V1.1是自愿的。
变化的驱动是来自于:
  • 自2014年2月发布框架V1.0以来,NIST收到的反馈和常见问题;
  • 105份对2015年12月RFI的回应,关于改进关键基础设施网络安全框架的意见;
  • 由约800名与会者在2016年4月6-7日在Gaithersburg Maryland举办的研讨会上提供的评论。
此外,NIST还发布了网络安全框架的配套文档,《用于改进关键基础设施网络安全的路线图》。路线图强调了进一步“开发,协调和协作”的关键“改进领域”。通过私营和公共部门的努力,一些改进领域已经足够高,可以纳入框架1.1版本。
安全框架V1.1中的主要改进、澄清和增强包括:
更新部分
更新的内容
新增网络安全度量
添加了第4.0节 度量和证明网络安全,以讨论业务结果与网络安全风险管理指标和度量的相关性
对网络供应链风险管理进行了大幅度的解释
整个文件中增加了网络供应链风险管理(SCRM)的考虑。扩展第3.3节,与利益相关者沟通网络安全要求有助于用户更好地了解网络SCRM Cyber SCRM也被添加进实现层。
框架核心中增加了“供应链风险管理类别。

“身份验证、授权和身份验证的优化

优化访问控制类,更好考虑身份验证、授权和身份验证。该类别添加了一个子类别。最后,该类别被重命名为身份管理和访问控制(PR.AC),以更好地表示类别和相应子类别的范围。

更好地解释实现层和profile之间的关系

在第3.2节中增加了描述,在框架实施过程中,使用“Framework Tiers改进网络安全计划。
框架层增加了描述,以反映在组织在安全框架中整合风险管理计划。
更新了图2.0,包含来自框架层的一些行为。
(三)安全框架V1.0
网上解读安全框架V1.0的文章很多,可以参考这个http://www.cac.gov.cn/2014-08/20/c_1112059863.htm。
该框架由三部分组成:框架核心(Framework Core )、框架实现层级(Framework Implementation Tiers)以及框架轮廓(Framework Profile)。其中:
  •  框架核心是一系列的网络安全最佳实践。
  • 实现层级类似于能力成熟度。
  • profile这个词“describe
    a person or thing in a short
    article”,表示“画像、轮廓、描述”,现在很多大数据安全分析中会提到这个词,用户行为的profile,安全框架中的profile强调的是,如果你选择了一部分的最佳实践,这就是你现在的profile,也就是“as
    is”,通过努力改进,变成了新的profile,变成了“to be”。可以看出改进。
(四)重点变化一:增加了供应链风险管理
第二部分框架实现层级(Framework Implementation Tiers)中添加了一个维度:供应链风险管理。原来的内容就不引用了,只看新增的内容
四个层级分别为:
1级:局部;
网络供应链风险管理 – 组织可能不了解网络供应链风险,或者没有确定、评估和缓解其网络供应链风险的流程。
2级:风险通知;
集成的风险管理计划 -组织有时会在使命/业务目标中考虑网络安全,但不是在所有级别。 组织资产的网络风险评估通常不是可重复的。
网络供应链风险管理 – 组织理解产品和服务相关的网络供应链风险。 该组织尚未正式确定在内部或与其供应商和合作伙伴管理网络供应链风险的能力,执行这些活动存在不一致性。
3级:可重复;
集成的风险管理计划 -组织准确地监测组织资产的网络安全风险。 高级网络安全和非网络安全高管定期沟通网络安全风险。 高级主管通过组织中的所有业务线确保考虑网络安全。
网络供应链风险管理
– 通过企业风险管理政策、流程和程序实施全组织的网络供应链风险管理。
这可能包括治理结构(例如风险委员会),与管理其他的风险相平衡。政策,过程和程序按照预期实施,并持续监测和审查。
人员具有执行其指定的网络供应链风险管理职责的知识和技能。 组织制定了正式合同,向其供应商和合作伙伴传达基本要求。
4级:自适应,
集成的风险管理计划
-作出决策时应清楚地了解和考虑网络安全风险和使命/业务目标之间的关系。 高级管理人员监控网络安全风险,和考虑金融风险和其他组织风险一样。
组织预算基于对当前和预测的风险环境和未来风险的了解。
业务部门分析系统级风险,考虑到组织的风险偏好忍受力。所有阶层都清楚地表达和理解网络安全风险在企业的。
该组织可以快速有效地考虑业务/使命目标、威胁和技术的变化。
网络供应链风险管理 –
组织可以使用实时或接近实时的信息,快速高效地解决新兴的网络供应链风险,并利用供应链风险管理的制度化知识管理外部供应商、合作伙伴以及内部网络
相关职能部门。 组织主动沟通、并使用正式(例如协议)和非正式机制来发展和保持与供应商、合作伙伴、个人和组织买家的牢固关系。
(五)重点变化:如何使用安全框架
       在第三章如何使用安全框架中,有如下变化:
1、增加:框架可以应用于设计、构建/购买、部署、运营和中止系统生命周期阶段。设计阶段应考虑网络安全要求。设计阶段的一个关键里程碑是验证系统网络安全规范是否符合框架profile中组织的需求和风险处置。在系统部署阶段,应评估系统的网络安全特性,以验证设计是否已制定。然后,框架的网络安全结果将作为系统持续运行的基础,包括偶尔重新评估以验证网络安全要求是否仍然得到满足。
2、在“建立一个网络安全计划”中新增:重要的是,组织识别新兴风险,并使用来自内部和外部来源的网络威胁信息,以便更好地了解网络安全事件的可能性和影响。
3、3.3节中新增:
此外,实施层(Implementation Tiers)使得组织了解它们如何适应更大的网络安全生态系统。组织可以通过评估其在关键基础设施和数字经济中的地位,更好地管理利益相关者之间的网络安全风险。
在利益相关者之间沟通和验证网络安全需求的做法之一是网络供应链风险管理(SCRM)。网络SCRM的主要目标是识别、评估和缓解可能包含潜在恶意功能的产品和服务,或者由于网络供应链中不良的制造和开发实践造成的脆弱性.〃网络SCRM活动包括:
  • 确定供应商和信息技术(IT)和运营技术(OT)合作伙伴的网络安全要求,
  • 通过正式协议(如合同)实施网络安全要求,
  • 与供应商和合作伙伴沟通如何验证和验证这些网络安全要求,
  • 验证网络安全要求通过各种评估615方法,
  • 管理上述活动。
如图3所示,网络SCRM包括IT和OT供应商和买方,以及非IT和OT合作伙伴。这些关系突出了网络SCRM在管理网络安全风险的关键作用。
买方是指一些人员或组织,他们从另一组织中消费某个给定产品或服务。供应商指的产品和服务提供商,是用于组织内部目的(例如IT基础设施)或集成到提供给买方的产品或服务。最后,非IT和OT合作伙伴可能会对组织的安全状态构成风险。
4、3.4节新增:
采购决策
由于框架目标轮廓(Framework
target
Profile)是组织网络安全要求的优先级列表,它可用于为购买产品和服务的决策提供信息。它与网络SCRM(第3.3节)不同,因为它不对供应商提出网络安全要求。相反,它的目标是在多个供应商之间进行最佳的购买决策。通常,这意味着一定程度的权衡分析。因此,购买产品或服务时,就知道了与目标profile的差距。
一旦购买了产品或服务,profile还可用于跟踪残留的网络安全风险。例如,如果所购买的服务或产品不符合目标profile中描述的所有目标,组织可以将剩余的网络安全风险纳入更大环境的整体风险管理,通过其他管理行动解决剩余风险。该profile还允许组织通过定期审查和测试机制确保产品满足网络安全结果的方法。
5、3.5 联邦机构基准
对于联邦信息系统,包括作为关键基础设施的一部分的那些系统,联邦机构需要满足FISMA、管理和预算办公室政策(OMB)、NIST标准中定义的安全要求和准则。网络安全框架补充了现有的联邦风险管理方法。联邦机构可以通过使用以下内容找到一个有价值的框架:
  • 实施层表示风险处置,
  • 组织和交流网络安全概念,活动和成果的核心,
  • 用于通知优先级决策的配置文件,
  • 组织评估和补救活动的七步过程。
(五)重点变化:网络安全的度量
 整个第四章都是新增的内容,突出和强调了网络安全度量的重要性。新增的内容如下:
框架度量为组织内部和外部的强信任关系提供了基础。随着时间的推移,通过外部审计和通过合规性评估来衡量状态和趋势,使组织能够理解并向第三方、合作伙伴和客户传达有意义的风险信息。
结合Informative
References,框架可用作综合度量的基础。使用框架度量的关键术语是“指标”(metrics)和“措施。(measures)
“。度量指标用于”促进决策,提高绩效和职责“。实施层、子类别和类别是度量指标的示例。度量指标通过聚合和关联度量来提升安全的意义和意识。措施是“可量化、可观察、客观的支持度量指标的数据”。措施与技术控制最密切相关,例如Informative
References.。
从安全度量指标收集的信息显示了组织网络风险状态。因此,跟踪安全指标和业务成果可以提供有意义视角,展示了安全控制的变化如何影响业务目标的完成。虽然通过滞后度量来衡量业务目标是否达到是很重要的,但通常通过领先度量的方式,来了解实现未来目标的可能性通常更为重要。
组织确定网络安全和业务成果之间因果关系的能力取决于度量系统的准确性和精度(即由ID.AM-5中强调的“资源”组成)。因此,度量系统应当被设计成与业务要求和操作费用有关。度量系统的费用可以随着测量精度的增加而增加。为了减轻对组织的不当成本,系统的准确性和花费需要和相应业务目标的所需测量精度相匹配。
4.1与业务成果的相关性
衡量网络安全的目标是将网络安全与业务目标(ID.BE-3)相关联,以便理解和量化因果关系。常见的业务目标包括:推动业务/使命结果、提高成本效益、降低企业风险。这些业务目标的整合可以以每股收益和董事会层面的价格/收益倍数来计量:高级管理人员的收入和净利润;以及更具体的措施,例如向高级管理人员报告交付的产品数量或小时数。
将网络安全指标与业务目标相关联,往往比简单地衡量网络安全结果更为复杂。对于给定的业务目标,存在大量且多样化的驱动因素。例如,对于想要增加在线银行客户数量的零售银行,可以通过实施更强的认证来实现。然而,实现在线银行客户的增加还取决于发展关于可信的在线交易的消息、针对特定群体的消费者,选择对特定群体最有意义的通信信道,以及在实现目标所需的持续时间上营销那些通信信道。总之,实现客户增长取决于信息、营销、广告网络安全和其他因素。
不同网络安全活动的相对成本效益是一个重要的考虑因素。成本效益意味着使用最低的网络安全工作和费用实现特定的业务目标。为了检查成本效益,组织必须首先清楚地了解业务目标,了解业务目标和网络安全指标之间的关系,以及了解业务目标和非网络安全因素之间的关系。
网络安全成果对业务目标的影响通常是不清楚的。网络安全的主要作用来保护业务价值,是通过保护组织的信息、操作和过程的保密性、完整性和可用性(CIA)实现的。因此,即使当成本效益或网络安全成果对业务目标的影响不清楚,组织应在修改其网络安全计划时谨慎行事。通常,网络安全结果可以防止恶劣的业务环境,例如数据泄露。
企业风险管理是实现既定业务目标的所有风险之一。确保将网络安全考虑到企业风险考虑中是实现业务目标的重要组成部分。这包括网络安全的积极影响以及网络安全被破坏的负面影响。下面强调的管理度量指标是使用Framework
Core来聚合网络安全风险的一种方式,使网络安全成为企业风险管理的考虑因素。
组织确定网络安全结果和业务目标之间的因果关系的能力还取决于充分隔离这些网络安全成果和业务目标的能力。这是影响网络安全度量的最大挑战之一。必须特别注意,某个网络安全成果和业务目标真正相关。一般来说,将网络安全措施与更高级别的网络安全指标相关联,比将网络安全指标与业务指标相关更为容易。
4.2 网络安全度量的种类
(六)类里面增加供应链风险管理
类里面增加了“供应链风险管理”,如下表:
本类包括5个子类:
ID.SC-1:网络供应链风险管理流程由组织利益相关者确定、建立、评估、管理和批准
ID.SC-2:使用网络供应链风险评估过程来确定、优先排序和评估关键信息系统、组件和服务的供应商和合作伙伴
ID.SC-3:合同要求供应商和合作伙伴实施适当措施,旨在实现信息安全计划或网络供应链风险管理计划目标。
ID.SC-4:监测供应商和合作伙伴,以确认他们履行了所需的义务。 对审查的记过,测试结果摘要或对供应商/提供商的其他同等材料进行审核。
ID.SC-5:对关键供应商/提供商进行响应和恢复计划和测试。


https://www.sec-un.org/%E7%BE%8E%E5%9B%BDnist%E3%80%8A%E5%85%B3%E9%94%AE%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E6%A1%86%E6%9E%B6%E3%80%8Bv1-1%E8%8D%89%E7%A8%BF/

No comments: