Структура кибербезопасности NIST: шпаргалка для профессионалов

Национальный институт стандартов и технологий обновил свою структуру кибербезопасности на 2024 год. Версия 2.0 NIST CSF, первое крупное обновление с момента выпуска структуры десять лет назад, была создана с целью расширения основной аудитории от критической инфраструктуры до всех организации. В целом, NIST CSF стремится стандартизировать практику для обеспечения единой защиты всех киберактивов США.

Шпаргалка TechRepublic о NIST CSF представляет собой обзор этой новой рекомендованной правительством передовой практики и включает шаги по внедрению структуры безопасности.

Что такое структура кибербезопасности NIST?

NIST CSF — это набор дополнительных стандартов, лучших практик и рекомендаций по улучшению кибербезопасности и управления рисками на организационном уровне. Целью CSFl является создание общего языка, набора стандартов и легко выполнимой серии целей для улучшения кибербезопасности и ограничения рисков кибербезопасности.

NIST разместил на своем веб-сайте подробную документацию о CSF, а также ссылки на часто задаваемые вопросы, отраслевые ресурсы и другую информацию, необходимую для облегчения перехода предприятий в мир CSF.

Является ли система кибербезопасности NIST предназначенной только для использования правительством?

NIST Framework предназначен не только для использования правительством — его можно адаптировать для предприятий любого размера. CSF влияет на всех, кто принимает решения о кибербезопасности и рисках кибербезопасности в своих организациях, а также на тех, кто отвечает за реализацию новой ИТ-политики.

Стандарты NIST CSF не являются обязательными, то есть не предусмотрены штрафы для организаций, которые не желают им следовать. Однако это не означает, что NIST CSF не является идеальной отправной точкой для организаций — он был создан с учетом масштабируемости и постепенного внедрения, чтобы любой бизнес мог извлечь выгоду и улучшить свои методы обеспечения безопасности и предотвратить события кибербезопасности.

Применяются ли рамки кибербезопасности NIST за пределами США?

Хотя NIST CSF является изданием правительства США, он может быть полезен для бизнеса во всем мире. NIST CSF сотрудничает с Международной организацией по стандартизации и Международной электротехнической комиссией. По данным NIST, версия 2.0, скорее всего, будет переведена волонтерами сообщества в будущем. Результаты кибербезопасности, описанные в CSF, являются «нейтральными с точки зрения отрасли, страны и технологии», — пишет NIST в версии 2.0.

СМОТРИТЕ: Все шпаргалки TechRepublic

Почему была создана структура NIST?

Мир кибербезопасности фрагментирован, несмотря на его постоянно растущее значение для повседневных деловых операций. Организации не делятся информацией, ИТ-специалисты и руководители высшего звена обходят свои собственные политики, а организации говорят на своем собственном языке кибербезопасности. Цель NIST при создании CSF — помочь устранить хаотическую среду кибербезопасности, в которой мы находимся.

Когда была создана структура кибербезопасности NIST?

Бывший президент Барак Обама подписал в 2013 году Указ 13636 под названием «Улучшение кибербезопасности критической инфраструктуры», который заложил основу для концепции кибербезопасности NIST, выпущенной в 2014 году.

Указ бывшего президента Дональда Трампа по кибербезопасности от 2017 года пошел еще дальше и превратил структуру, созданную указом Обамы, в политику федерального правительства.

Версия 2.0 NIST CSF была создана в соответствии с Национальной стратегией кибербезопасности, принятой в марте 2023 года под руководством президента Джо Байдена.

Что нового в версии 2.0 NIST Cybersecurity Framework?

Версия 2.0 NIST CSF расширяет сферу применения системы от критической инфраструктуры до организаций в каждом секторе и добавляет новый акцент на управление. Часть управления позиционирует кибербезопасность как один из наиболее важных источников корпоративного риска, который высшие руководители бизнеса должны учитывать, наряду с финансами, репутацией и другими факторами.

NIST CSF 2.0 включает в себя руководства по быстрому запуску, справочные инструменты и руководства по профилям организаций и сообществ. Справочные инструменты были созданы, чтобы предоставить организациям упрощенный способ внедрения CSF по сравнению с версией 1.1.

Версия 2.0 NIST CSF добавляет:

Функция «управления», которая фокусируется на том, как организации могут принимать обоснованные решения относительно своей стратегии кибербезопасности. Примеры реализации и информационные ссылки, которые будут регулярно обновляться в Интернете. Организационные профили, которые могут помочь им определить свой текущий статус с точки зрения кибербезопасности и то, к какому статусу они, возможно, захотят перейти.

Каковы 6 основных направлений деятельности NIST Framework?

Начиная с версии 2.0 NIST Framework, это шесть основных видов деятельности: выявление, защита, обнаружение, реагирование, восстановление и управление. Эти действия или функции NIST Framework используются для организации усилий по кибербезопасности на самом базовом уровне.

Каковы четыре компонента структуры кибербезопасности NIST?

Структура разделена на четыре компонента: ядро, организационные профили, уровни и информационные ссылки.

Основной

Основной компонент представляет собой «набор мероприятий для достижения конкретных результатов в области кибербезопасности и содержит примеры руководств по достижению этих результатов». Далее он разбит на три элемента: функции, категории и подкатегории.

Функции: В этом разделе объясняются шесть функций: выявление, защита, обнаружение, реагирование, восстановление и управление. Вместе эти шесть функций образуют подход верхнего уровня к обеспечению безопасности систем и реагированию на угрозы. Думайте о них как о своих основных задачах по управлению инцидентами. Категории: каждая функция содержит категории, используемые для определения конкретных задач или проблем внутри нее. Например, функция защиты может включать в себя контроль доступа, управление идентификацией, безопасность данных и безопасность платформы. Подкатегории: это дополнительные подразделения категорий с конкретными целями. Категория безопасности данных может быть разделена на такие задачи, как защита данных при хранении, передаче и использовании или создание, защита, обслуживание и тестирование резервных копий.

Организационные профили

Профили — это одновременно описание текущего состояния кибербезопасности организации и дорожные карты достижения целей CSF по усилению мер безопасности. В NIST заявили, что наличие нескольких профилей — как текущих, так и целевых — может помочь организации найти слабые места в реализации кибербезопасности и облегчить переход от более низких уровней к более высоким.

Профили помогают связать функции, категории и подкатегории с бизнес-требованиями, устойчивостью к риску и ресурсами более крупной организации, которую они обслуживают.

Уровни

Существует четыре уровня реализации, и хотя документы CSF не рассматривают их как уровни зрелости, более высокие уровни считаются более полной реализацией стандартов CSF для защиты критически важной инфраструктуры. NIST считает уровни полезными для информирования текущих и целевых профилей организации.

Уровень 1: так называемая частичная реализация. Организации на уровне 1 имеют специальную и реактивную систему кибербезопасности для защиты своих данных. Они мало осведомлены о рисках кибербезопасности организации, и любые реализуемые планы часто выполняются непоследовательно. Уровень 2. На уровне, называемом информированным о рисках, организации могут утверждать меры кибербезопасности, но их реализация все еще носит частичный характер. Они осознают риски, имеют планы и необходимые ресурсы для защиты от утечки данных, но еще не дошли до активных действий. Уровень 3. Третий уровень называется повторяемым. Это означает, что организация внедрила стандарты NIST CSF по всей компании и способна неоднократно реагировать на киберкризисы. Политика последовательно применяется, и сотрудники информируются о рисках. Уровень 4: Названный адаптивным, этот уровень указывает на полное внедрение NIST CSF. Адаптивные организации не просто готовы реагировать на киберугрозы — они активно обнаруживают угрозы и прогнозируют проблемы на основе текущих тенденций и своей ИТ-архитектуры.

Информационные ссылки и другие онлайн-ресурсы.

Информационные ссылки, поставляемые с версией 2.0 CSF, представляют собой документацию, этапы выполнения, стандарты и другие рекомендации. Ярким примером в категории обновления Windows вручную может быть документ, описывающий шаги по ручному обновлению ПК с Windows. В версии 2.0 информационные ссылки, примеры реализации и руководства по быстрому запуску можно найти на веб-сайте NIST CSF или в документе CSF.

Когда будет обновлена ​​структура кибербезопасности NIST?

Поскольку потребности организаций меняются, NIST планирует постоянно обновлять CSF, чтобы поддерживать его актуальность. Обновления CSF происходят в рамках ежегодной конференции NIST по CSF и учитывают отзывы представителей отрасли по электронной почте, а также через запросы на комментарии и запросы информации, которые NIST отправляет крупным организациям.

Какие организации могут использовать структуру кибербезопасности NIST?

NIST CSF влияет на каждого, кто прикасается к компьютеру в деловых целях. За его внедрение несут ответственность ИТ-команды и директора по эксплуатации; штатные сотрудники несут ответственность за соблюдение стандартов безопасности своей организации; а бизнес-лидеры несут ответственность за расширение возможностей своих групп безопасности для защиты критической инфраструктуры. В частности, новая функция управления NIST CSF 2.0 включает в себя каналы связи между руководителями, менеджерами и практиками — всеми, кто заинтересован в технологическом здоровье компании.

Степень, в которой NIST CSF повлияет на обычного человека, со временем также не уменьшится, по крайней мере, до тех пор, пока он не получит широкого внедрения и не станет новым стандартом в планировании кибербезопасности.

Как я могу внедрить структуру кибербезопасности NIST?

Начните работу над внедрением CSF, посетив веб-сайт NIST Cybersecurity Framework. Особый интерес для лиц, принимающих решения в области ИТ, и специалистов по безопасности представляет страница NIST Framework Resources, где вы найдете методологии, рекомендации по внедрению, тематические исследования, учебные материалы, примеры профилей и многое другое.

«CSF не предписывает, как следует достигать результатов», — отмечает NIST в своей структуре. «Скорее, он связан с онлайн-ресурсами, которые предоставляют дополнительные рекомендации по методам и средствам контроля, которые можно использовать для достижения этих результатов».

NIST CSF может улучшить состояние безопасности больших и малых организаций и потенциально может позиционировать вас как лидера в передовых практиках кибербезопасности или предотвратить катастрофическое событие кибербезопасности.