专家解读 | NIST网络安全框架(3):层级配置

e4e78790c1e815c108944a295bde9251.jpeg

NIST CSF在核心部分提供了六个类别的关键功能和子功能,并围绕CSF的使用提供了层级(Tier)和配置(Profile)两种工具,使不同组织和用户更方便有效地使用CSF,本文将深入探讨CSF层级和配置的主要内容,及其使用方法。 关键字:网络安全框架;CSF层级;CSF配置

CSF层级


在组织的系统性风险治理过程中,CSF框架可以用于识别、评估和管理网络安全风险。结合现有的管理流程,组织可以利用CSF分析确定当前网络安全风险管理方法中存在的差距,并制定改进路线图。 CSF通过“(实施)层级”为利益相关者提供了组织网络安全计划的相关背景信息。NIST 明确指出,CSF层级并非成熟度模型,而是一种指导性的方法,用于阐明网络安全风险管理和企业运营风险管理之间的关系,简而言之,层级提供了一条清晰的路径,将网络安全风险纳入企业的整体组织风险中,同时作为评估当前网络安全风险管理实践的基准,帮助组织制定改善其网络安全状况的计划。 1.层级定义 由于不同组织具有不同的风险、不同的风险承受能力以及不同的威胁和漏洞,因此他们对CSF的实施方式也会存在区别。例如,大型企业可能已经实施了CSF核心中的大部分安全措施,而小型组织可能因为只拥有较少的数据泄露途径,其数据安全流程可能仅处于起步阶段。 为了满足不同组织的不同安全要求,实施层以等级式的描述方式,将企业网络安全风险管理实践映射至CSF框架,用来描述企业实践与NIST CSF的一致程度。 

452e25d03967a359ca0ecf18b3fa39d3.jpeg

图1 NIST CSF的四个实施层级 这些层级可帮助组织考虑其网络安全计划的适当严格程度、如何有效地将网络安全风险决策整合到更广泛的风险决策中,以及企业从第三方共享和接收网络安全信息的程度。 NIST明确指出这些级别不是成熟度级别。级别越高,企业的风险管理实践就越符合NIST CSF的规定。每个实施层都分为两个个主要组成部分:风险治理实践(治理)和风险管理实践(识别、保护、检测、响应和恢复)。 2.层级选择 企业组织的领导层负责选择在该组织在网络安全风险治理和管理中应达到的CSF层级。选择层级时,一般考虑如下原则:在整体层级、功能或类别层级进行选择,比在子类别层级进行选择,可以更好地了解组织当前的网络安全风险管理实践。 ● 如果组织只想关注CSF功能的子集,可以使用两个层级(治理或管理)组件之一。例如,如果您的范围仅限于治理,则可以省略网络安全风险管理描述。在选择层级时,考虑组织的以下特征和因素: 当前的风险管理实践; 威胁环境; 法律和监管要求; 信息共享实践; 业务和任务目标; 供应链要求; 组织的约束,包括资源。 ● 确保所选择的层级有助于实现组织目标,可行实施,并将网络安全风险降低到组织可接受的水平,以保护关键资产和资源。 ● 需要时鼓励向更高层级发展,以解决风险或法规要求。

CSF配置


功能、类别和子类别与组织的业务需求、风险承受能力和资源的一致性。配置文件使组织能够建立一个降低网络安全风险的路线图,该路线图与组织和部门目标保持一致,考虑法律/监管要求和行业最佳实践,并反映风险管理优先事项。考虑到许多组织的复杂性,他们可能会选择拥有多个配置文件,与特定组件保持一致并认识到他们的个人需求。框架配置文件可用于描述特定网络安全活动的当前状态或期望的目标状态。 组织的CSF配置可以分为: ● 当前配置:指定了组织当前实现的一组CSF成效,并描述了如何实现每个功能。 ● 目标配置:指定了为实现组织的网络安全风险管理目标,而优先考虑的期望 CSF 成效。目标配置需要考虑组织网络安全态势的预期变化,例如新要求、新技术的采用情况,以及威胁情报的趋势。 CSF 2.0 描述了一个用于创建和使用组织概况的五步流程。更具体地说,该流程将一个目标配置(愿景)与一个当前配置(已评估)进行比较。然后,进行差距分析,并制定和实施行动计划。该流程自然地导致了目标概况的改进,以在下一次评估期间使用。

d5d286330f3644dba3f8ccbb7a512241.jpeg

图2 NIST CSF配置的创建步骤 1.确定范围 该步骤主要记录那些用于定义概况的一些基本事实和假设,以定义其范围。一个组织可以拥有多个不同的组织配置,每个配置都具有不同的范围。例如,一个配置可以涵盖整个组织,也可以只针对组织的财务系统,或应对勒索软件威胁和处理涉及这些财务系统的勒索软件事件。 在该阶段需要回答以下问题: ● 创建组织配置的原因是什么? ● 该配置是否将覆盖整个组织?如果不是,将包括组织的哪些部门、数据资产、技术资产、产品和服务,以及/或合作伙伴和供应商? ● 配置是否将涵盖所有类型的网络安全威胁、漏洞、攻击和防御?如果不是,将包括哪些类型? ● 谁负责制定、审查和实施配置? ● 谁负责设定实现目标结果的行动规划? 2.收集信息 该阶段需要收集的信息示例包括组织政策、风险管理优先事项和资源、企业风险概况、业务影响分析(BIA)登记、组织遵循的网络安全要求和标准、实践和工具(例如,程序和安全措施)以及工作角色。 每个配置所需信息的来源主要取决于实际情况,该配置需要捕获的元素,以及所期望的详细级别。 3.创建配置 创建配置需要确定配置应包含的信息类型,以及记录所需信息。考虑当前配置的风险影响,以指导目标配置的规划和优先级确定。此外,考虑使用社区配置作为目标概况的基础。 创建配置的主要步骤包括: ● 下载最新的CSF组织配置模板表格,并根据需要进行自定义; ● 将适用的网络安全成效纳入您的配置用例,并根据需要记录理由; ● 在当前配置栏中记录当前的网络安全实践; ● 在目标配置栏中记录网络安全目标及其实现计划; ● 使用优先级字段,突出每个目标的重要性。 4.分析差距 分析当前配置和目标配置之间的差距,并制定行动计划。通过差距分析,识别当前配置和目标配置之间的差异,并制定优先行动计划(例如,风险登记、风险报告、行动计划和里程碑等),以解决这些差距。

638b65b59d45538f977a8b50585fe0b2.jpeg

图3 通过配置分析差距和改进 5.行动改进 该阶段主要实施行动计划,并更新组织的配置。通过遵循行动计划解决差距,并使组织朝着目标配置迈进。一般来说,行动计划可以设置总体的截止日期,也可能是持续进行的。 行动计划通过管理、程序化和技术控制的任意组合来实现。随着这些控制的实施,组织概况可以用于跟踪实施状态。随后,通过关键绩效指标(KPI)和关键风险指标(KRI)可以监测控制措施和相关风险。超出风险容忍度的网络风险通过风险评估进行观察。超出风险容忍度的风险可能会促使行动计划、组织配置的更新。差距分析也可能导致创建具有更长修复时间的差距。

使用方法


层级和组织配置是NIST CSF提供的关键工具,一旦组织确定了层级选择,就可以使用它们来帮助制定组织的当前和目标配置文件。例如,如果领导层确定您的组织在识别和保护功能中应该处于第二层(风险知情),那么当前配置文件将反映目前在这两个功能内,实现第二层网络安全风险管理实践的情况(如表1)。 表1针对“识别”和“保护”功能的风险管理实践描述(采用第2层级的示例)



同样,目标配置文件将反映出需要改进的识别和保护结果,以完全实现第二层描述。层级应该用于指导和提供信息,而不是取代组织的网络安全风险治理和管理方法。



以上是“NIST网络安全框架”权说系列的最后一篇文章,本文主要介绍了CSF分层和配置的主要内容,及其使用方法。 本系列论文主要围绕CSF 2.0,从框架概览、核心功能、配置分层3个方面展开讨论,以帮助使用者更好地理解、利用该工具进行网络安全架构的规划、设计、开发和运营。若您有任何疑问或者建议,欢迎在评论区给我们留言~



https://mp.weixin.qq.com/s/J4YYPu16wrGlhJDCvGrWqQ

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/27757.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【PL理论】(24) C- 语言:有块的作用域 | 更新的语法 | 新的语义域 | 环境 vs. 内存

💭 写在前面:我们将再次扩展之前的C语言,让我们向这种语言引入“作用域”的概念。 目录 0x00 C- 语言:有块的作用域 0x01 C- 语言:更新的语法 0x02 新的语义域 0x03 环境 vs. 内存 0x00 C- 语言:有块的…

RDF 简介

RDF 简介 1. 引言 资源描述框架(Resource Description Framework,简称RDF)是一种用于描述网络资源的标准数据模型。它提供了一种通用的框架,用于表达关于资源的元数据,即数据的数据。RDF是语义网的核心技术之一,旨在使数据不仅能够被计算机处理,还能被计算机理解。在本…

图像去重技术:MD5哈希在自动化中的应用

目录 前言 一、MD5的介绍 二、常见的MD5哈希用途 三、hashlib库介绍 四、实际应用-图片去重 前言 MD5(Message Digest Algorithm 5)是一种广泛使用的哈希函数,它可以产生一个128位(16字节)的哈希值,通…

Golang | Leetcode Golang题解之第145题二叉树的后序遍历

题目&#xff1a; 题解&#xff1a; func reverse(a []int) {for i, n : 0, len(a); i < n/2; i {a[i], a[n-1-i] a[n-1-i], a[i]} }func postorderTraversal(root *TreeNode) (res []int) {addPath : func(node *TreeNode) {resSize : len(res)for ; node ! nil; node n…

大语言模型QA

Q:关于 Yi-9B 通过 input/output cosine 来分析模型,可能文档里没有把前提说明白。该指标确实存在你们提到的不同模型大小不可比的问题。所以我们比较的是同一个模型在不同训练阶段,以及 layer 深度相同的dense models 之间的比较。除了发现yi-6B/34B 随着训练 tokens 的增加…

11.NiO多线程优化

场景 单线程配合一个selector选择器管理多个channel上的事件。 问题 1.多核cpu,如果是单线程就会让cpu的力量被浪费。 2.单线程处理多个事件,如果某个事件耗费时间比较久,就会影响其它事件的处理。 例如:redis单线程写的,底层网络用的类似于nio和selector方式编写,所…

Polkadot <> Kusama 桥:打造无信任互操作性的开创性范例

原文&#xff1a;https://www.parity.io/blog/trustless-interoperability 作者&#xff1a;Adrian Catangiu&#xff5c;Rust 区块链核心工程师&#xff0c;Parity Technologies 编译&#xff1a;OneBlock Polkadot <> Kusama 桥是无信任互操作性的开创性范例。本文深…

TCP相关细节

1. 常用TCP参数 1.1 ReceiveBufferSize ReceiveBuffersize指定了操作系统读缓冲区的大小&#xff0c; 默认值是8192(如图5-10 所示)。在第4章的例子中,会有"假设操作系统缓冲区的长度是8" 这样的描述,可通过socket.ReceiveBufferSize 8 实现。当接收端缓冲区满了的时…

C#面:C#构造器Constructor是否可以被继承?是否可以被Override?

C#构造器&#xff08;Constructor&#xff09;不能被继承&#xff0c;也不能被重写&#xff08;Override&#xff09;。 构造器是用于创建和初始化对象的特殊方法。它在对象创建时自动调用&#xff0c;并负责初始化对象的成员变量和执行其他必要的操作。构造器的名称与类名相同…

实用软件下载:XMind 2024最新安装包及详细安装教程

​XMind不仅是一款易用且功能强大的思维导图软件&#xff0c;也是一个开源项目。XMind以构建一个社区向全球提供领先的跨平台思维导图和头脑风暴软件为目标&#xff0c;以帮助用户提升效率。XMind公司是XMind开源项目的主要代码贡献者&#xff0c;与此同时&#xff0c;我们欢迎…

Stable Diffusion本地化部署详细攻略

一、硬件要求 内存&#xff1a;至少16GB 硬盘&#xff1a;至少60GB以上的磁盘空间&#xff0c;推荐SSD固态硬盘 显卡&#xff1a;推荐NVIDIA显卡 显存&#xff1a;至少4GB Stabl Diffusion因为是在本地部署&#xff0c;对显卡的要求比较高&#xff0c;如果经济能力可以的话…

AI大模型爆发,你还不学就晚了!抓住时代机遇,快速入门指南!

AI大模型风起云涌&#xff0c;你准备好乘风破浪了吗&#xff1f; 在一个阳光明媚的午后&#xff0c;小李坐在自己的工位上&#xff0c;眼前的代码如同繁星般繁多。他是一名资深的软件工程师&#xff0c;但在最近的技术浪潮中&#xff0c;他却感到了一丝不安。他的朋友圈里&…

ubuntu20.0.4下安装PyTorch

参考文档 https://datawhalechina.github.io/thorough-pytorch/%E7%AC%AC%E4%B8%80%E7%AB%A0/1.2%20PyTorch%E7%9A%84%E5%AE%89%E8%A3%85.html 1&#xff1a;安装Anaconda 登录Anaconda | Individual Edition&#xff0c;https://www.anaconda.com/download/success &#xff…

RN6752V1 高性能AHD转MIPIDVPBT656BT601芯片方案,目前适用于车载方案居多

RN6752V1描述&#xff1a; RN6752V1是一种模拟高清晰度&#xff08;模拟高清&#xff09;视频解码器IC&#xff0c;专为汽车应用而设计。它集成了所有必要的功能块&#xff1a; AFE&#xff0c;PLL&#xff0c;解码逻辑&#xff0c;MIPI和I2C接口等&#xff0c;在一个小的5mm …

在 Python 中创建具有当前日期和时间的文件名

在 Python 中使用当前日期和时间创建文件名的一种方法是使用 datetime 模块。 要在 Python 中格式化 datetime 对象&#xff0c;我们可以使用 strftime&#xff08;&#xff09; 方法&#xff0c;使用 strftime&#xff08;&#xff09; 方法创建格式化的日期时间字符串。 示…

LLM资料大全:文本多模态大模型、垂直领域微调模型、STF数据集、训练微调部署框架、提示词工程等

前言 自ChatGPT为代表的大语言模型&#xff08;Large Language Model, LLM&#xff09;出现以后&#xff0c;由于其惊人的类通用人工智能&#xff08;AGI&#xff09;的能力&#xff0c;掀起了新一轮[自然语言处理]领域的研究和应用的浪潮。尤其是以ChatGLM、LLaMA等平民玩家都…

【ARM Cache 及 MMU 系列文章 6.5 -- 如何进行 Cache miss 统计?】

请阅读【ARM Cache 及 MMU/MPU 系列文章专栏导读】 及【嵌入式开发学习必备专栏】 文章目录 ARM Cache Miss 统计Cache 多层架构简介Cache 未命中的类型Cache 未命中统计Cache miss 统计代码实现Cache Miss 统计意义ARM Cache Miss 统计 在ARMv8/v9架构中,缓存未命中(Cache …

深度解析服务发布策略之金丝雀发布

目录 什么是金丝雀发布&#xff08;Canary Release&#xff09; 金丝雀发布的原理 金丝雀发布的优点 金丝雀发布的注意事项 金丝雀发布的实现步骤 小结 在软件开发和运维中&#xff0c;发布新版本是一个风险较高的操作。为了降低风险&#xff0c;提高发布的稳定性和可靠性…

人工智能在风险管理中的创新之路

随着科技的飞速发展&#xff0c;人工智能&#xff08;AI&#xff09;已经渗透到我们生活的方方面面&#xff0c;尤其在风险管理领域&#xff0c;其展现出的巨大潜力令人瞩目。风险管理&#xff0c;作为一个涉及广泛领域的复杂系统&#xff0c;正逐渐依赖于AI技术来提升效率和准…

简单了解CPU的工作原理

目录 一、基本结构以及对应功能 &#xff08;1&#xff09;基本结构 &#xff08;2&#xff09;几个重要寄存器的详细介绍 操作码 (Opcode) 操作数 (Operands) 指令表 (Instruction Table) 第一个&#xff1a;程序计数器 (PC) 第二个&#xff1a;指令寄存器 (IR&#x…