当网络安全专业人员谈论相关框架时,它总是来自ISO和NIST。它们之间存在很多很多帧和框架和安全架构方法。以下是我从在线收集的主题的一些讨论,我相信某些点,澄清了我的一些困惑。

================================================== ====================.

网络安全框架是一种基于风险的准则编制,旨在帮助组织评估当前能力并向改进网络安全实践进行优先路线地图的指导。 (来自Arnab Chattopadhaya的 企业安全架构)

众所周知的网络安全框架

•Sherwood应用企业安全架构(Sabsa)

•ISO / IEC 27001&27002(原iso 17799)

•ISO / IEC 31000

•NIST SP 800-53:联邦信息系统和组织的安全和隐私控制

•NIST SP 800-39:风险管理框架

基本的安全和风险概念及其在Togaf ADM中的职位(来源:Togaf安全指南)

与网络安全框架相关的其他标准/框架

•Cobit.

•ITIL.

•COSO.

•其他主要的网络安全框架

     -O-ESA

     -O-ISM3

     -Open Fair


Sabsa模型

Sabsa是一种经过验证的方法,用于开发业务驱动,风险和机会,在企业和解决方案水平中开发专注的安全架构,可溯源地支持业务目标。它也广泛用于信息保证架构,风险管理框架,并将安全性和风险管理与IT架构方法和框架保持一致。

Sabsa是一种“常生”方法和框架:它在整个生命周期中应用于业务需求工程来管理解决方案。

雇主在全球范围内得到了广泛要求的萨布萨认证,是安全建筑师和企业建筑师在众多大规模和国家金融部门机构中的必要条件。 SABSA也广泛参考其他安全和IT认证计划以及整个第三学术界。

•包括六层

•基于Zachman框架/分类

•安全服务管理架构已垂直放在其他五个层上

- 安全管理问题在每个水平层都出现

•每个水平层由一系列垂直通信疑问制成

- 什么(资产)

- 为什么(动机)

- 如何(过程和技术)

- 谁(人)

- 哪里(位置)

- 什么时候)

Sabsa Lifecycle.

•战略和规划

• 设计

• 实施

•管理和衡量

参考: Sabsa与Togaf.

Sabsa如何与Togaf集成


ISO27001 / ISO31000

ISO 27001如何与Togaf集成

“ISO / IEC 27001:2013是一个标准,指定在组织的背景下建立,实施,维护和不断改进信息安全管理系统的要求。该国际标准还包括评估和处理对本组织需求量的信息安全风险的要求。“

2016年1月, TOGAF安全指南 发表了。它在概念级别讨论了安全性和风险管理,该管理与Togaf定义架构的方式匹配。这使得能够 整合架构中的过程。它允许交换信息和某些组件的共享。因此,企业体系结构和安全架构可以共存和协作。

TogAF安全指南基于企业安全架构,包括两个成功标准,即ISO 27001(安全管理)和ISO 31000(风险管理)。符合ISO 31000,风险的定义是广泛的,靠近“不确定性”的定义。这意味着风险可以是积极的或负面的。广泛的定义使得可以使用它(积极)商机以及(负)安全威胁。当然,后者在IT安全中最常见。

ISO 31000:2009规定了原则,框架和管理风险的过程,适用于公共或私营部门的任何类型的组织。它不授权“一种尺寸适合所有”方法,而是强调风险管理必须根据特定组织的具体需求和结构量身定制。它有一个相关的标准IEC 31010:2009,描述了定性风险评估方法的例子。

PDCA - 计划,做,检查法案

内容覆盖来自NIST CSF的差异

从内容透视,nist csf< ISO 27002 < NIST 800-53 <安全控件框架(来自合规性伪造页面  - NIST 800-53 VS ISO 27002 VS NIST Cyber​​security Framework):

  • NIST Cyber​​Security Framework(NIST CSF)涵盖了很多,但它不包含所有ISO 27002控件。
  • ISO 27002解决了大多数所需的符合NIST CSF和其他一些要求。
  • NIST 800-53包括什么ISO 27002地址,以及整个其他要求。

nist csf.

该框架旨在帮助关键基础设施部门的组织来降低风险,保护其关键基础设施。 NIST Cyber​​Security Framework将安全功能分为这五个方面:识别,保护,检测,响应和恢复。

该框架定义了四个实现层:部分(0),风险通知(1),可重复(2)和Adaptive(3)。

来自NIST 800和其他框架的差异

虽然该框架主要由NIST编写,但在800-53后面的同一组织中有 几个差异 between them.

  • 与NIST 800-53这样的现有框架相比,该框架在其范围内更高级别。它侧重于如何访问和优先顺序安全功能,以及更多详细信息,引用NIST 800-53,COBIT 5和ISO 27000等现有文档关于如何实现特定控件和进程。这允许框架在40页中成为一个更简洁的文档,而不是NIST 800-53的460页。
  • NIST 800-53是一个监管文件,包括政府附属实体遵守FIPS 200认证所需的流程和控制。相比之下,该框架是组织自愿,因此允许更灵活的实施。

800 : 计算机安全资源中心

800-39: 管理信息安全风险:组织,任务和信息系统视图

800-53: 联邦信息系统和组织的安全和隐私控制

800-61: 计算机安全事件处理指南 - PDCP生命周期(准备,检测&分析,遏制根除&恢复,事件后活动)

800-171: 保护非婚外信息系统和组织中的未分类信息

cobit.

“Cobit 5提供了一项全面的框架,协助企业实现企业治理和管理目标的目标。简单地说,它通过在实现益处和优化风险级别和资源使用之间保持平衡,帮助企业从信息技术(IT)中创造最佳价值。 Cobit 5用于信息安全在Cobit 5框架上建立,因为它专注于信息安全,并为企业各级信息安全专业人士和其他有关方面提供更详细和更实用的指导。“

它IL.

信息技术基础架构图书馆是可定制的最佳实践框架,可在信息技术(IT)部门中推广质量计算服务。 ITIL最初由英国政府机构中央计算机和电信代理(CCTA)创作,现在通过并在全球范围内通过并用于提供IT服务的最佳实践标准。

基于ISO 17799的ITIL-ITIL安全管理组件 - 与信息安全原则的应用特别相关。 ITIL安全管理组件是基于过程的,包括ITIL标准流程,如服务级别,事件和更改管理进程。一个关键概念是应将安全性视为服务,并被纳入服务级别协议(SLA)。

coso.

踏步道委员会的美国赞助组织委员会(COSO)于1994年发布了一个内部控制框架,随后作为COBIT等标准的基础。本框架中开发的主要概念在许多当代风险管理和公司治理方法中普遍存在。 COSO要求进行正式风险评估,以评估影响组织性能的内部和外部因素。风险评估的结果将确定需要实施的控件。 COSO侧重于财务控制,而且对信息安全等功能有影响。

O-ESA.

开放式集团于2011年发布的开放式企业安全架构(O-ESA)标准是构建安全计划的参考安全架构和指南。虽然它包含有关关于信息安全治理的有用信息,但安全架构所需的安全原则和技术组件和服务,但也可以应用此引用架构来支持使用TOGAF标准的企业架构中的安全性和风险。

O-ISM3

2011年开放组发布的开放信息安全管理成熟度(O-ISM3)标准描述了一种基于过程的建设和操作信息安全管理系统(ISMS)的方法。 ISM的成功操作通常是企业架构的先决条件,以满足组织建立的安全目标。安全架构从业者指南的一章将致力于企业架构,TOGAF标准和ISMS之间的关系。 O-ISM3标准将安全服务定义为战略,战术或操作流程,并提供了基于指标的方法,以持续改进过程。 O-ISM3标准中描述的许多服务或流程都应该在安全服务目录项目中引用。

开放博览会

开放式公平知识体系包括风险分类(O-RT)标准和风险分析(O-RA)标准。这些标准帮助组织更好地衡量其信息安全和运营风险。开放式定量风险分析方法在威胁评估期间非常有用,有助于了解ADM循环期间威胁缓解期权的影响。开放式公平可以被认为是在整个Togaf ADM中分析风险的工具或技术。

参考:

经过 jonny.

关于“网络安全框架并与Togaf集成”的一个想法

发表评论