2月26日美国国家标准与技术研究院 (NIST) 正式发布了更新后的网络安全框架 (CSF),这是其降低网络安全风险的里程碑式指导文件。新的 2.0 版本专为所有行业部门和组织类型而设计,从最小的学校和非营利组织到最大的机构和公司,无论其网络安全的复杂程度如何。 (详细信息和相关资源下载可以访问:Cybersecurity Framework | NIST)
-
NIST 的网络安全框架 (CSF) 现在明确旨在帮助所有组织(而不仅仅是关键基础设施中的组织,即其最初的目标受众)管理和降低风险。
-
NIST 更新了 CSF 的核心指南,并创建了一套资源来帮助所有组织实现其网络安全目标,并更加重视治理和供应链。
-
此次更新是多年讨论和公众意见过程的结果,旨在使该框架更加有效。
拜登总统的国家网络安全战略和几项新兴政府网络安全政策声明中引用的 CSF 2.0,已将其重点从保护医院和发电厂等关键基础设施转移到任何部门的所有组织。为了认识到这一转变,该框架之前的标题“改善关键基础设施网络安全框架”已被放弃,取而代之的是“NIST 网络安全框架 (CSF) 2.0”。
CSF 最重要的结构变化是增加了第六个功能,即治理,之前的五个功能(识别、保护、检测、响应和恢复)围绕该功能展开。治理职能旨在通过呈现“结果”或期望状态,帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划,以告知组织可以采取哪些措施来实现其他五项职能的结果并确定其优先级。CSF 的治理部分强调网络安全是企业风险的主要来源,高级领导者应与财务和声誉等其他风险一起考虑。
CSF 2.0 还合并并扩展了 CSF 1.1 中包含的供应链风险管理成果,并将其中大部分成果归入治理职能。根据2.0框架,鉴于“这个生态系统中复杂且相互关联的关系,供应链风险管理(SCRM)对于组织至关重要。网络安全 SCRM (C-SCRM) 是一个系统化流程,用于管理整个供应链中的网络安全风险并制定适当的响应策略、政策、流程和程序。
与 CSF 的前两个版本(2015 年发布的原始版本和 2018 年发布的 1.1 版本)相比,2.0 版本不再是静态资源,而是指导框架实施的一篮子资源。新的CSF 2.0 参考工具现在简化了组织实施 CSF 的方式,允许用户以人类可消费和机器可读的格式浏览、搜索和导出 CSF 核心指南中的数据和详细信息。
此外,CSF 2.0 还提供可搜索的信息参考目录,显示他们当前的操作如何映射到 CSF。该目录允许组织将 CSF 指南与 50 多个其他网络安全文档交叉引用,包括 NIST 的其他文档,例如SP 800-53 Rev. 5,这是用于实现特定网络安全成果的工具目录(称为控件)。
组织还可以查阅网络安全和隐私参考工具(CPRT),其中包含一组相互关联、可浏览和下载的 NIST 指导文档,这些文档将这些 NIST 资源(包括 CSF)与其他流行资源结合起来。CPRT 提供了向技术专家和最高管理层传达这些想法的方法,以便组织的各个级别都能保持协调。
CSF 的第一个版本于 2014 年通过奥巴马时代的一项行政命令发布,该命令主要关注关键基础设施运营商可以采取的防御网络攻击的步骤。随着时间的推移,分析师和官员致力于将该框架发展成为跨部门指南,旨在使用任何领导者都易于理解的网络管理语言。该机构于 2022 年初发出公开呼吁,通报这一演变,随后于2023 年 1 月发布了 CSF 2.0 草案,2024年2月26日发布了CSF2.0最终版。
该指南的核心原则在 2.0 版中进行了更新,纳入了网络安全治理,重点关注企业如何在其业务实践中实施网络安全策略。
该文件的第二版包含了事件响应管理和供应链风险响应的新类别。它还包括针对不同类型和规模的企业的实施示例目录。
拜登政府一直在推动组织采取更加自信的网络治理和通信程序,作为彻底改革美国网络安全格局的努力的一部分。
美国证券交易委员会现在要求上市公司在一定时间内向公众通报网络事件。美国联邦通信委员会最近对互联网提供商和电信提供商采取了类似的措施。
一、CSF 2.0将明确CSF的用途和适用性,以澄清其潜在的应用范围
(一)将更改CSF的标题和文本,以反映所有组织的预期用途
虽然CSF最初是为了解决关键基础设施的网络安全风险,但此后的使用范围非常广泛。因此,CSF 2.0将采用更常用的名称“网络安全框架”,而不是之前的“提升关键基础设施网络安全框架”。
这一调整意味着CSF 2.0的范围将涵盖政府、行业和学术界的所有组织,而不仅限于关键基础设施。CSF中对关键基础设施的引用作为示例将予以保留,同时进一步提升框架文本的适用性。特定于关键基础设施的类别和子类别也将得到扩展。但文件也明确,这一变化并不是为了弱化与关键基础设施运营者的相关性(保障关键基础设施安全和功能恢复仍然重要),而是为了促进更广泛的使用。
(二)确定CSF的范围,使其尽可能帮助更多组织,无论其部门、类型或规模
自CSF 1.1发布以来,美国国会已明确要求NIST在CSF中考虑小企业问题和高等教育机构的网络安全需求。此外,CSF也是国土安全部(DHS)州和地方网络安全拨款计划下的州和地方组织的公认资源。根据征集的意见反馈,以及国会指示,NIST将在CSF2.0中确保框架支持各类组织(无论部门、类型或规模)应对网络安全挑战,并鼓励所有相关方参与其中。
(三)加强国际合作和参与
征集的意见反馈中呼吁加强国际合作和参与,NIST将其作为CSF 2.0更新的重要主题。自2013年启动CSF开发以来,许多组织已明确表示使用CSF将提高其网络安全工作的效率和效力。CSF 1.1为一些国家(如意大利)制定的战略、政策和指南所引用,也有国家认为其公共和私营部门必须使用框架(的主要或某些核心内容)。
NIST将优先考虑与外国政府和行业的交流作为CSF 2.0开发的一部分,并将CSF输出为一种国际资源。通过机构间伙伴关系直接参与,分享CSF使用和征求潜在变化的意见。典型动作包括开发CSF各个版本的改编和翻译版本,目前已有开发西语、阿拉伯语等公开版本。
更为重要的是,NIST持续参与和推动利用CSF的国际标准活动,并作为优先战略参与国际标准制定组织的工作。这包括在国际标准化组织(ISO)中进行的工作,并继续参与网络安全风险管理标准和指南的修订和开发,这些国际标准化增加了不同标准文件与CSF之间的联系。
二、CSF 2.0的定位仍将是一个框架,并为现有标准和资源提供关联与连接
(一)框架的关键属性
征集的意见反馈表示,该框架的关键属性——包括灵活、简单和易用的性质——对不同规模、类型和行业的组织的实施都有裨益。为此NIST将在CSF 2.0中保持当前版本所体现的详细程度和特殊性,以在广泛的组织中保持可扩展性和灵活性。
CSF功能在组织的网络安全成果输出方面具有明显价值,包括为大多数网络安全标准中的常用和具体表述提供关联。目前网络安全标准、最佳实践、清单、目标和资源并不缺乏,缺少的是将继续为多种网络安全方法提供一个共同的逻辑结构,以及如何利用和连接到(但不取代)公认的标准和准则的机制,这同时也是框架努力的方向。
(二)将CSF与其他NIST框架明确关联
文件确认,其他NIST网络安全和隐私相关框架——风险管理框架、隐私框架、NICE框架和安全软件开发框架——将各自保持独立的框架。每一项都侧重于专门和特定的主题。同时由于每个框架都事实上与CSF关联,因此NIST将在CSF 2.0或配套材料中进行具体化的关联(如使用映射)。例如在“保护隐私和公民自由的方法”中,叠加如何利用隐私框架的方法。
(三)将网络安全和隐私参考工具用于CSF 2.0核心(在线形式)
CSF 2.0还将通过最近推出的NIST网络安全和隐私参考工具(CPRT),提供一致的机器可读格式和用户界面,用于访问NIST网络安全和隐私标准、指南和框架中的参考数据,并以更灵活的方法描述标准、指南、框架以及各种应用和技术之间的关系。
(四)使用可更新的在线参考资料
CSF 1.1核心文件呈现了一系列广泛的网络安全成果,这些成果基于并与参考资料相联系——包括现有的、广泛接受的网络安全标准、指南和实践,以提供额外的实施指南,但一些参考资料已经过时。在CSF 2.0中,NIST将转向使用通过CPRT展示在线和可更新的参考资料。例如,在线信息参考计划(OLIR)目录包含大约20种映射到CSF的资源,包括CSF 1.1核心中包含参考的最新版本,以及CSF 1.1核心未包含的其他映射。
(五)使用参考资料,为实施CSF提供更多指导
NIST鼓励合作和支持绘制支持CSF 2.0的各种映射(目前的需求包括映射到其他组织编写近50个网络安全标准、指南和其他框架)。通过使用在线参考,CSF可以映射到更具体的资源以提供额外的指导,例如用于保护受控非机密信息、云计算、物联网(IoT)和操作技术(OT)网络安全、零信任架构(ZTA)等的安全。除了子类别级别之外,还可以在功能和类别级别映射CSF 2.0,支持与其他资源的连接。
(六)保持技术和供应商中立,但反映网络安全实践的变化
NIST认识到,自CSF首次发布以来,技术格局发生了重大变化,但CSF 2.0将继续保持技术和供应商中立,通过审查CSF的技术描述和实现细节,以使其成果能够继续为广泛利用,无论其采用的技术或服务如何,包括IT、物联网、OT和云服务。
同时,针对有关特定技术或应用定制的其他指导,则通过CSF样本配置文件、特定标准或指南的映射或实施示例完成,还将通过新增拟议的风险治理扩展和供应链风险管理进行审查。NIST正在合作开发技术特定映射,以描述通过在技术堆栈中配置或启用安全功能而实现的安全能力与CSF中描述的预期结果之间的关系。例如,CSF和零信任架构(NIST SP 800-207)原则之间的关系,是NIST NCCoE零信任架构项目的一部分(基于ZTA特征和CSF之间的初始映射,NIST认为不需要对CSF子类别进行任何更改)。正在开发其他特定技术的CSF关系映射,还包括可信物联网设备的网络层载入和生命周期管理、5G安全和迁移到后量子密码等。
其他网络安全态势反映的变化还包括CSF 2.0将扩大对CSF响应和恢复功能的考虑。CSF 2.0可能包括更多的考虑响应和恢复计划结果,增加与《计算机安全事件处理指南》的一致性,以及如何充分利用《网络安全事件恢复指南》。
对于身份管理,NIST正在修改数字身份指南(NIST SP 800-63),并在CSF中探讨和优化身份管理的更新管理、认证和访问控制类别(PR.AC),包括子类别的重新排序,以更清晰的反映数字身份模型的组成部分和数字身份生命周期的各个阶段。
三、CSF 2.0(和配套资源)将包括更新和扩展的框架实施指南
针对不同组织的不同需求,一些组织受益于对框架关键组件的直接、一般描述,而其他组织则要求NIST提供详细信息,如特定网络安全指南的链接和映射。NIST在CSF 2.0的开发中考虑采用多种方法解决这两种不同需求。
(一)添加CSF子类别的实施示例
CSF 2.0将包括简洁、面向行动的过程的概念实施示例以及帮助实现CSF子类别成果的活动。概念性示例已成功应用于其他NIST框架,如安全软件开发框架和最新的人工智能风险管理框架行动手册(草案:Playbook for the draft AI Risk Management Framework)。通过添加示例扩展和改进实施CSF的指导有助于澄清每个子类别的含义和意图,并在CSF核心中为不熟悉参考资料中详细网络安全标准的人员提供实施理念。这些示例还突出了信息技术、物联网、操作技术和云计算等平台可能存在的差异,以理解网络安全技术不断演进的本质。同时,为了确保CSF核心的高水平和简洁,将有(但会限量)概念性示例。示例不是组织为实现CSF而采取所有行动的综合清单,也不会代表解决网络安全风险所需行动的基线。
(二)制定CSF概要文件模板
框架概要(和基本配置文件)是实施CSF的一种基本方式,通过配置以保持CSF的功能、类别和子类别与组织的任务要求、风险承受能力和资源相一致。在开发CSF 2.0时,NIST将为CSF配置文件生成一个可选的基本模板,其中包括配置文件中要考虑的格式和领域建议,组织可根据其具体需要继续使用不同的配置文件格式。通过将CSF结果与特定行业和威胁的风险和标准进行优先排序和调整,配置文件更易与组织将CSF付诸实践。
(三)改进CSF网站,突出实施资源
NIST的CSF网站包含大量信息和实施CSF的附加指南。包括NIST和外部组织开发的大量资源,如CSF概要样本、映射、指南、工具、研究、案例、相关出版物(如CSF快速入门指南)和网络研讨。NIST将删除过时的资源并添加最新的资源,并在CSF 2.0更新过程中滚动更新。
四、强调网络安全治理的重要性
网络安全治理体现在CSF 1.1的“识别”功能中以及“如何使用框架”一节中,CSF 2.0将扩展和提升对网络安全治理主题的考虑。
(一)增加新的治理功能
CSF 2.0将包括一个新的“治理”功能,以强调网络安全风险管理的治理效果。尽管CSF现有的功能体系已在一些国家和国际政策中得到采用,NIST认为,CSF 1.1下的治理因素纳入识别功能,部分导致了网络安全风险治理与框架的风险管理活动重叠,扩大和突出CSF治理的范围和作为一项功能将强调网络安全治理对于管理和降低网络安全风险的重要性。网络安全治理可以包括确定组织、客户和社会层面的优先级和风险承受能力、网络安全风险和影响评估、网络安全政策和程序,以及对网络安全角色和责任的理解。这些活动对于组织开展识别、保护、检测、响应和恢复功能活动,以及监督为组织开展网络安全活动的其他方,包括供应链至关重要。将治理活动提升为功能也将促进网络安全活动与企业风险和法律要求相一致。
CSF 2.0中的治理功能将关联和支持其他功能。NIST表示治理结果将为当前各功能的优先顺序和实施提供信息。交叉和贯穿体现的治理功能也与人工智能风险管理框架和隐私框架草案中的治理功能一致。CSF 1.1中涵盖治理的现有类别将移至新的治理功能下(可能包括商业环境(ID.BE)、治理(ID.GV)和风险管理战略(ID.RM)),还将扩大对治理相关主题的考虑。例如,治理(ID.GV)下的当前子类别——如网络安全政策(ID.GV-1)、网络安全角色和责任(ID.GV-2)、法律和监管要求(ID.GW-3)以及治理和风险管理流程(ID.GU-4)——提升为治理下的单独类别。此外NIST还结合其他框架一并考虑治理功能下应包含的类别和子类别的信息,包括NIST隐私框架中的政府类别、网络风险研究的概况(金融部门CSF概要)、NIST信息和通信技术风险草案(SP 800-221A)以及人工智能风险管理框架(草案)等。
(二)改进与风险管理关系的讨论
NIST还借助对治理的深入讨论和修订,试图澄清CSF概要和核心中治理和网络安全风险管理之间的关系。CSF 2.0将描述基本风险管理流程如何反映识别、分析、确定优先级、应对和监控风险,CSF结果如何支持风险应对决策(接受、减轻、转移、避免),以及可用于支持CSF实施的各种风险管理流程示例(例如ISO 31000风险管理框架)。
五、强调网络安全供应链风险管理的重要性
(一)扩大供应链覆盖范围
征求的意见反馈普遍认为供应链和第三方网络安全风险是组织面临的最大风险。
管理供应链网络安全是CSF1.1版本更新的关键补充之一,该更新回应了包括总统行政令“改善国家网络安全”(EO 14028)等制定的指导方针,以增加对技术产品和服务的信任和保证。CSF 1.1增加了“供应链风险管理”(ID.SC)类别;增加了新的第3.4节“购买决策”,以强调使用框架理解与现货产品和服务相关的风险;并将供应链风险管理标准纳入CSF实施层中。
鉴于日益全球化、外包和技术服务(如云计算)使用的扩大,CSF 2.0应明确组织识别、评估和管理本方和第三方风险的重要性。但第三方风险可能涉及不同的评估和监督,并通常由单独的团队/组织处理。因此CSF 2.0应包括额外的特定输出以提供额外的指导和帮助组织解决这些不同的风险。目前考虑的方案可能包括:(1)进一步整合CSF核心功能的输出(整合可能包括单独的供应链或作为更广泛成果的一部分);(2)创建一个新的功能,重点关注与网络安全供应链风险管理和监督相关的成果;(3)在识别功能下的ID.SC类别内扩展网络安全供应链风险管理内容。
(二)开发并更新安全软件开发框架
自CSF 1.1发布以来,NIST开发了安全软件开发框架,并根据总统行政令“改善国家网络安全”(EO 14028)等进行了更新,这也将作为网络安全供应链风险管理结果处理的一部分。
六、CSF 2.0将促进对网络安全度量和评估的理解
网络安全风险管理计划和策略的度量和评估是使用CSF的一个重要领域。征求的意见反馈建议提供额外的指导和资源,以支持组织对使用CSF进行度量和评估。特别是CSF能够清楚解释组织如何使用实施层,以及实施与度量的关系。
(一)利用CSF如何支持网络安全计划的度量和评估
CSF 2.0将完成利用CSF组织所采用的通用分类和词汇传达其度量和评估理念和方法论的相关工作,而不管潜在的风险管理过程如何。这一工作旨在实现网络安全度量和评估的主要目标:确定组织如何管理网络安全风险,以及是否和如何持续改进。支持度量和评估的活动(从系统级到组织级)是确定成熟度和支持风险管理决策的重要输入。
(二)提供使用CSF进行度量和评估的示例
NIST不会在CSF 2.0中提出单一的评估方法,但CSF 2.0将提供组织如何使用CSF评估和沟通其网络安全能力的示例。包括组织如何利用CSF,结合风险管理策略和成熟度模型,沟通有关其网络安全计划有效性问题的答案的示例。如:向非网络安全受众传达组织网络安全态势的最佳方式是什么?组织的网络安全成熟度是否在提高?需要在哪里改进?组织如何理解其在整个组织中的网络安全态势,以及在各个系统中的整合?
(三)更新信息安全绩效评估指南
NIST正在更新度量类指导文件《信息安全性能度量指南》(SP 800-55),为各组织提供使用措施改进网络安全计划或信息系统的决策、绩效和问责制的指导。据此,网络安全度量过程和实施的基本原理不会包含在CSF中,而是包含在NIST SP 800-55中。
(四)就框架实施层提供额外指导
CSF的层级结构为组织提供了一种机制,以查看和了解其应对网络安全风险的方法以及管理该风险的流程和程序。实施层在描述总体网络安全风险管理实践(包括风险管理流程、风险管理计划集成以及网络安全生态系统)方面的严谨性和复杂性越来越高。实施层的应用实例包括帮助设定内部目标和确定特定网络安全能力优先级、传达组织网络安全态势、帮助衡量网络安全计划的成熟度,以及在CSF职能、类别和子类别层面上实施CSF成果等。
CSF 2.0将进一步讨论实施层的范围和适用性,以解决风险管理流程、计划和外部沟通的稳健性问题;描述层次和成熟度模型概念之间的关系;补充资源还包括如何在CSF概要中使用实施层的新指南,以及更多的关注共享实施、风险管理流程和成熟度模型之间映射的资源。但整体上,CSF 2.0将不会提供一个独特的成熟度模型。