论坛

通知事项
全部清除

什么是NIST网络安全框架?  


 太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

美国国家标准与框架研究院的网络安全框架(CSF) 响应于2014年2月的总统行政命令“改善关键基础设施网络安全”而发布,该法案要求为美国关键基础设施建立标准化的安全框架。

该框架集成了行业标准和最佳实践,以帮助组织管理其网络安全风险。它提供了一种通用语言,使组织中各个级别的员工以及供应链中各个环节的员工可以共同了解其网络安全风险。 国家标准技术研究所 与私营部门和政府专家合作创建了该框架,该框架于2014年初发布。这项工作进行得非常顺利,以至于国会将其批准为NIST的职责。 2014年网络安全增强法.

 

国家标准技术研究所 CSF由四个核心领域组成。这些包括功能,类别,子类别和参考。下面,我们将简要介绍NIST CSF的术语。  

职能

国家标准技术研究所 CSF分为五个核心功能,也称为框架核心。这些功能彼此并发组织,以表示安全生命周期。每个功能对于正常运行的安全状况和成功管理网络安全风险都是必不可少的。每个功能的定义如下:

  • 识别: 建立组织理解,以管理对系统,资产,数据和功能的网络安全风险。
  • 保护: 制定并实施适当的保障措施,以确保提供关键的基础设施服务。
  • 检测:  开发并实施适当的活动以识别安全事件的发生。
  • 响应: 面对检测到的安全事件时,开发并实施适当的活动。
  • 恢复: 开发并实施适当的活动以增强弹性,并恢复由于安全事件而受损的任何功能或服务。
框架的核心

分类目录& Subcategories

上图中提到的每个功能都有21个类别和100多个子类别。子类别参考其他框架(例如COBIT,ISO,ISA等)为每个类别提供上下文。

子类别1.1

 

层级

国家标准技术研究所 CSF等级代表组织对网络安全风险的了解程度以及减轻风险的适当流程。这有助于为组织提供有关其当前运营方式的基准。

  • 第1层-部分: 组织的网络安全风险没有以临时的,有时是被动的方式形式化和管理。对网络安全风险管理的认识也很有限。
  • 方法2 –风险提示: 可能没有用于安全风险管理的组织范围的策略。管理层根据发生的风险来处理网络安全风险管理。
  • 第3层-可重复: 正式的组织风险管理过程之后是已定义的安全策略。
  • 第4层-适应性强: 在此阶段,组织将根据经验教训和分析驱动来调整其网络安全策略,以提供见解和最佳实践。组织不断从组织中发生的安全事件中学习,并将与更大的网络共享该信息。
分享: