当网络安全专家谈论相关框架时,总是涉及到两个,即ISO和NIST。有很多困惑 它们之间以及框架和安全体系结构方法之间。这是我从网上收集到的那些话题的一些讨论,我相信在某些时候,这些澄清了我的一些困惑。

================================================== ====================

网络安全框架是基于风险的准则汇编,旨在帮助组织评估当前的能力并草拟针对改进网络安全实践的优先路线图。 (摘自Arnab Chattopadhaya的 企业安全架构)

众所周知的网络安全框架

•舍伍德应用业务安全架构(SABSA)

•ISO / IEC 27001&27002(以前称为ISO 17799)

•ISO / IEC 31000

•NIST SP 800-53:联邦信息系统和组织的安全和隐私控制

•NIST SP 800-39:风险管理框架

基本安全和风险概念及其在TOGAF ADM中的位置(来源:TOGAF安全指南)

与网络安全框架有关的其他标准/框架

•COBIT

•ITIL

•COSO

•其他主要的IT网络安全框架

     -O-ESA

     -O-ISM3

     -Open Fair


SABSA模型

SABSA是一种行之有效的方法,可用于在企业和解决方案级别上开发可支持业务目标的业务驱动型,针对风险和机会的安全体系结构。它还广泛用于信息保证体系结构,风险管理框架,并将安全性和风险管理与IT架构方法和框架无缝集成。

SABSA是“生命周期”方法和框架:它适用于从业务需求工程到所交付解决方案的管理的整个生命周期。

SABSA认证在全球范围内被雇主广泛要求,并且是许多大型和国家金融部门机构中安全架构师和企业架构师的强制性要求。 SABSA在其他安全和IT认证计划中以及整个高等教育界也得到广泛引用。

•由六层组成

•基于Zachman框架/分类法

•安全服务管理体系结构已垂直放置在其他五层中

–每个水平层都出现安全管理问题

•每个水平层由一系列垂直通信疑问句组成

–什么(资产)

–为什么(动机)

–如何(过程和技术)

–谁(人)

–地点(位置)

- 到时)

SABSA生命周期

•战略与规划

•设计

• 实行

•管理和衡量

参考: SABSA与TOGAF

SABSA如何与TOGAF集成


ISO27001 / ISO31000

ISO 27001如何与TOGAF集成

“ ISO / IEC 27001:2013是一个标准,规定了在组织范围内建立,实施,维护和持续改进信息安全管理系统的要求。该国际标准还包括针对组织需求量身定制的信息安全风险评估和处理要求。”

2016年1月, TOGAF安全指南 已出版。它在概念上解决了安全性和风险管理问题,这与TOGAF定义体系结构的方式相匹配。这使 架构中两个流程的集成。它允许信息交换和某些组件的共享。因此,企业架构和安全架构可以共存和协作。

TOGAF安全指南基于企业安全体系结构,其中包括两个成功的标准,即ISO 27001(安全管理)和ISO 31000(风险管理)。与ISO 31000一致,风险的定义范围很广,接近“不确定性”。这意味着风险可以是正的或负的。广泛的定义使其可以用于(积极)商机以及(负面)安全威胁。当然,后者是IT安全中最常见的。

ISO 31000:2009规定了适用于公共或私营部门中任何类型组织的风险管理原则,框架和流程。它并不要求采取“一刀切”的方法,而是强调必须根据特定组织的特定需求和结构来定制风险管理这一事实。它具有相关的IEC 31010:2009标准,该标准描述了定性风险评估方法的示例。

PDCA –计划,执行,检查法

NIST脑脊液的内容覆盖范围差异

从内容的角度来看,NIST CSF< ISO 27002 < NIST 800-53 <安全控制框架(从Compliance Forge页面 – NIST 800-53,ISO 27002和NIST网络安全框架):

  • NIST网络安全框架(NIST CSF)涵盖了很多内容,但并不包括所有ISO 27002控件。
  • ISO 27002满足了您符合NIST CSF和其他一些要求的大部分要求。
  • NIST 800-53包括ISO 27002所针对的内容以及其他许多要求。

NIST脑脊液

该框架旨在帮助关键基础设施领域的组织降低风险并保护其关键基础设施。 NIST网络安全框架将安全功能分为以下五个领域:识别,保护,检测,响应和恢复。

该框架定义了四个实施层:部分层(0),风险告知层(1),可重复层(2)和自适应层(3)。

与NIST 800和其他框架的区别

虽然该框架主要由NIST(在800-53之后的同一组织)编写,但 几个差异 between them.

  • 与现有框架(例如NIST 800-53)相比,该框架的范围更高,它侧重于如何访问安全功能并对其进行优先级排序,并参考了现有文档(例如NIST 800-53,COBIT 5和ISO 27000)以获取更多详细信息有关如何实施特定控件和过程的信息。这使该框架成为40页而不是NIST 800-53的460页的简洁文档。
  • NIST 800-53是一份法规文件,涵盖了政府附属实体遵守FIPS 200认证所需的流程和控制措施。相比之下,该框架是组织自愿采取的措施,因此在实施过程中具有更大的灵活性。

800: 计算机安全资源中心

800-39: 管理信息安全风险:组织,任务和信息系统视图

800-53: 联邦信息系统和组织的安全和隐私控制

800-61: 计算机安全事件处理指南– PDCP生命周期(准备,检测&分析,遏制收容&恢复,事件后活动)

800-171: 保护非联邦信息系统和组织中的未分类信息

科比特

“ 科比特 5提供了一个全面的框架,可帮助企业实现其对企业IT治理和管理的目标。简而言之,它通过在实现收益与优化风险水平和资源使用之间保持平衡,帮助企业从信息技术(IT)创造最佳价值。用于信息安全的COBIT 5建立在COBIT 5框架的基础上,它专注于信息安全,并为企业各个级别的信息安全专业人员和其他相关方提供了更详细,更实际的指导。”

ITIL

信息技术基础架构库是可定制的最佳实践框架,可促进信息技术(IT)部门中的高质量计算服务。 ITIL最初是由英国政府机构中央计算机和电信局(CCTA)创建的,现已在全球范围内采用并用作提供IT服务的最佳实践的标准。

ITIL的一个组成部分-基于ISO 17799的ITIL安全管理-与信息安全原理的应用特别相关。 ITIL安全管理组件是基于过程的,包括ITIL标准流程,例如服务级别,事件和变更管理流程。一个关键概念是,应将安全性视为一种服务,并将其纳入服务级别协议(SLA)。

科索

特雷德韦委员会的美国赞助组织委员会(COSO)于1994年发布了内部控制框架,该框架随后成为诸如COBIT之类的标准的基础。在此框架中开发的关键概念在许多当代风险管理和公司治理方法中很普遍。 科索要求进行正式的风险评估,以评估影响组织绩效的内部和外部因素。风险评估的结果将确定需要实施的控制措施。 科索专注于财务控制,但也对诸如信息安全之类的功能产生影响。

欧空局

The Open Group在2011年发布的Open 企业安全架构(O-ESA)标准是参考安全体系结构和构建安全程序的指南。尽管它包含有关安全体系结构中所需的信息安全治理,安全性原则以及技术组件和服务的有用信息,但该参考体系结构也可以用于支持使用TOGAF标准在企业体系结构中实现安全性和风险。

O-ISM3

The Open Group在2011年发布的开放信息安全管理成熟度模型(O-ISM3)标准描述了一种基于过程的方法来构建和操作信息安全管理系统(ISMS)。 ISMS的成功运行通常是企业体系结构满足组织所建立的安全目标的先决条件。 《安全体系结构从业人员指南》的一章将专门讨论企业体系结构,TOGAF标准和ISMS之间的关系。 O-ISM3标准将安全服务定义为战略,战术或操作流程,并提供基于度量的方法来持续改进流程。预计O-ISM3标准中描述的许多服务或过程也将在“安全服务目录项目”中引用。

公开展览

开放式FAIR知识体系包括风险分类法(O-RT)标准和风险分析(O-RA)标准。这些标准可帮助组织更好地衡量其信息安全和运营风险。 公开展览定量风险分析方法在威胁评估期间非常有用,有助于了解ADM周期中缓解威胁措施的影响。可以将Open FAIR视为分析整个TOGAF ADM风险的工具或技术。

参考文献:

通过 约翰扬

关于“网络安全框架并与TOGAF集成”的一种思考

发表评论