NIST kiberxavfsizlik doirasi - NIST Cybersecurity Framework

The NIST kiberxavfsizlik doirasi ning siyosat doirasini taqdim etadi kompyuter xavfsizligi qanday qilib ko'rsatma xususiy sektor Qo'shma Shtatlardagi tashkilotlar kiberhujumlarning oldini olish, aniqlash va ularga javob berish qobiliyatini baholashi va takomillashtirishi mumkin. Ushbu ramka ko'plab tillarga tarjima qilingan va Yaponiya va Isroil hukumatlari va boshqalar tomonidan qo'llaniladi.^[1] U "kiberxavfsizlik natijalarining yuqori darajadagi taksonomiyasini va ushbu natijalarni baholash va boshqarish metodologiyasini ta'minlaydi." 1.0-versiya AQSh tomonidan nashr etilgan Milliy standartlar va texnologiyalar instituti 2014 yilda dastlab operatorlariga qaratilgan muhim infratuzilma. U turli xil korxonalar va tashkilotlar tomonidan qo'llaniladi va o'zgarish tashkilotlariga xavflarni boshqarish bo'yicha faol bo'lishga yordam beradi.^[2]^[3]^[4] 2017 yilda ramkaning loyiha versiyasi, 1.1 versiyasi jamoatchilik fikri uchun tarqatildi.^[5] 1.1-versiyasi 2018 yil 16-aprel kuni e'lon qilindi va ommaga e'lon qilindi.^[6] 1.1-versiya hali ham 1.0-versiyaga mos keladi. O'zgarishlar o'z-o'zini baholash bo'yicha ko'rsatmalar, ta'minot zanjiri xavfini boshqarish bo'yicha qo'shimcha tafsilotlar, ta'minot zanjiri manfaatdor tomonlari bilan o'zaro aloqalar bo'yicha ko'rsatmalarni o'z ichiga oladi va zaifliklarni oshkor qilish jarayon.^[7]^[8]

Xavfsizlik doirasini qabul qilish bo'yicha o'tkazilgan tadqiqot natijalariga ko'ra, so'ralgan tashkilotlarning 70% NIST tizimini kompyuter xavfsizligi uchun eng yaxshi tajriba deb biladi, ammo ko'pchilik buning uchun katta mablag 'sarflanishini talab qiladi.^[9]

U tegishli himoya vositalari bo'yicha ko'rsatmalarni o'z ichiga oladi maxfiylik va fuqarolik erkinliklari.^[10]

Umumiy nuqtai

NIST kiberxavfsizlik doirasi yakka tartibdagi korxonalar va boshqa tashkilotlarga duch keladigan xavflarni baholash uchun mo'ljallangan.

Frame "Core", "Profile" va "Tiers" uch qismga bo'lingan. "Framework Core" kiberxavfsizlik aspektlari va yondashuvlari bo'yicha bir qator tadbirlar, natijalar va ma'lumotnomalarni o'z ichiga oladi. "Amalga oshirish doiralari" tashkilot tomonidan o'zi va sheriklari uchun kiberxavfsizlik xavfi va uning boshqaruv yondashuvining murakkabligi nuqtai nazarini aniqlash uchun ishlatiladi. "Asosiy profil" - bu tashkilot o'z ehtiyojlari va xavf-xatarlarni baholash asosida toifalar va kichik toifalardan tanlagan natijalar ro'yxati.

Tashkilot, odatda, o'zining kiberxavfsizlik faoliyati va qanday natijalarga erishishini tavsiflovchi "Joriy profil" ni ishlab chiqish uchun ramkadan foydalanishni boshlaydi. Keyinchalik u "Maqsadli profil" ni ishlab chiqishi yoki o'z sektori (masalan, infratuzilma sohasi) yoki tashkilot turiga moslashtirilgan boshlang'ich profilini qabul qilishi mumkin. Keyin u joriy profilidan maqsad profiliga o'tishni belgilashi mumkin.

Kiberxavfsizlik faoliyatining funktsiyalari va toifalari

NIST kiberxavfsizlik doirasi o'zining "asosiy" materialini beshta "funktsiya" ga ajratadi, ular jami 23 ta "toifalarga" bo'linadi. Har bir kategoriya uchun u kiberxavfsizlik natijalarining bir qator pastki toifalarini va xavfsizlik nazorati, hammasi bo'lib 108 ta pastki toifalar.

Har bir kichik toifaga, shuningdek, boshqa axborot xavfsizligi standartlarining turli bo'limlariga havola qilingan "Axborot resurslari" taqdim etiladi, shu jumladan ISO 27001, COBIT, NIST SP 800-53, ANSI / ISA-62443 va Kiberxavfsizlik bo'yicha muhim xavfsizlik nazorati bo'yicha kengash (CCS CSC, endi. Tomonidan boshqariladi Internet xavfsizligi markazi ). Maxsus nashrlar (SP) bundan mustasno, ma'lumotli ma'lumotlarning aksariyati o'z qo'llanmalariga kirish uchun pullik a'zolikni yoki sotib olishni talab qiladi. Ramkaning narxi va murakkabligi Kongressning har ikkala palatasi tomonidan qonunlarni qabul qildi, ular NISTni kichik va o'rta biznes uchun qulayroq bo'lgan kiberxavfsizlik asoslari qo'llanmalarini yaratishga yo'naltirdilar.^[11]^[12]

Bu erda funktsiyalar va toifalar, ularning o'ziga xos identifikatorlari va ta'riflari bilan bir qatorda, standartning yadrosi elektron jadvalining toifalarida ko'rsatilgan.^[13]

Aniqlang

"Tizimlar, aktivlar, ma'lumotlar va imkoniyatlar uchun kiberxavfsizlik xavfini boshqarish bo'yicha tashkiliy tushunchani rivojlantirish."

Aktivlarni boshqarish (ID.AM): Tashkilotga biznes maqsadlariga erishishga imkon beradigan ma'lumotlar, xodimlar, qurilmalar, tizimlar va vositalar ularning biznes maqsadlari va tashkilotning xavf strategiyasiga nisbatan ahamiyatiga mos ravishda aniqlanadi va boshqariladi.
Ishbilarmonlik muhiti (ID.BE): tashkilotning vazifasi, maqsadlari, manfaatdor tomonlari va faoliyati tushuniladi va ustuvor ahamiyat kasb etadi; ushbu ma'lumotlar kiberxavfsizlik rollari, javobgarligi va xatarlarni boshqarish bo'yicha qarorlarni xabardor qilish uchun ishlatiladi.
Boshqaruv (ID.GV): Tashkilotning me'yoriy, huquqiy, xatar, atrof-muhit va operatsion talablarini boshqarish va nazorat qilish bo'yicha siyosat, protsedura va jarayonlar tushuniladi va kiberxavfsizlik xatarini boshqarish to'g'risida xabardor qilinadi.
Xatarlarni baholash (ID.RA): Tashkilot operatsiyalar (shu jumladan missiya, funktsiyalar, imidj yoki obro'-e'tibor), tashkilot aktivlari va jismoniy shaxslar uchun kiberxavfsizlik xavfini tushunadi.
Xatarlarni boshqarish strategiyasi (ID.RM): tashkilotning ustuvor yo'nalishlari, cheklovlari, tavakkalchilik va taxminlar operatsion tavakkalchilik qarorlarini qo'llab-quvvatlash uchun o'rnatiladi va ishlatiladi.
Ta'minot zanjiri xavfini boshqarish (ID.SC): tashkilotning ustuvor yo'nalishlari, cheklovlari, tavakkalchilik va taxminlar ta'minot zanjiri xavfini boshqarish bilan bog'liq tavakkalchilik qarorlarini qo'llab-quvvatlash uchun o'rnatiladi va ishlatiladi. Tashkilot ta'minot zanjiri xatarlarini aniqlash, baholash va boshqarish jarayonlarini amalga oshirmoqda.

Himoya qiling

"Muhim infratuzilma xizmatlarini etkazib berishni ta'minlash uchun tegishli xavfsizlik choralarini ishlab chiqish va amalga oshirish."

Kirish nazorati (PR.AC): aktivlarga va tegishli ob'ektlarga kirish vakolatli foydalanuvchilar, jarayonlar yoki qurilmalar va vakolatli faoliyat va operatsiyalar bilan cheklangan.
Xabardorlik va o'qitish (PR.AT): Tashkilot xodimlari va sheriklariga kiberxavfsizlik to'g'risida ma'lumot beriladi va tegishli siyosat, protsedura va kelishuvlarga muvofiq axborot xavfsizligi bilan bog'liq vazifalari va majburiyatlarini bajarish uchun etarli darajada o'qitiladi.
Ma'lumotlar xavfsizligi (PR.DS): Axborot va yozuvlar (ma'lumotlar) axborotning maxfiyligi, yaxlitligi va mavjudligini himoya qilish bo'yicha tashkilotning xavf strategiyasiga muvofiq boshqariladi.
Axborotni muhofaza qilish jarayonlari va protseduralari (PR.IP): xavfsizlik tizimlari (maqsadi, ko'lami, roli, mas'uliyati, boshqaruv majburiyati va tashkilot sub'ektlari o'rtasida muvofiqlashtirish masalalariga bag'ishlangan), jarayonlar va protseduralar axborot tizimlari va aktivlarini himoya qilishni boshqarish uchun saqlanib qoladi va foydalaniladi. .
Texnik xizmat (PR.MA): sanoat nazorati va axborot tizimining tarkibiy qismlariga texnik xizmat ko'rsatish va ta'mirlash siyosat va protseduralarga muvofiq amalga oshiriladi.
Himoya texnologiyasi (PR.PT): Texnik xavfsizlik echimlari tegishli siyosat, protsedura va kelishuvlarga muvofiq tizimlar va aktivlarning xavfsizligi va barqarorligini ta'minlash uchun boshqariladi.

Aniqlang

"Kiberxavfsizlik hodisasi sodir bo'lishini aniqlash bo'yicha tegishli tadbirlarni ishlab chiqish va amalga oshirish."

Anomaliyalar va hodisalar (DE.AE): g'ayritabiiy faoliyat o'z vaqtida aniqlanadi va hodisalarning potentsial ta'siri tushuniladi.
Xavfsizlikni doimiy monitoring qilish (DE.CM): kiberxavfsizlik hodisalarini aniqlash va himoya choralarining samaradorligini tekshirish uchun axborot tizimi va aktivlari alohida vaqt oralig'ida kuzatiladi.
Aniqlash jarayonlari (DE.DP): anomal hodisalar to'g'risida o'z vaqtida va etarli darajada xabardor bo'lishini ta'minlash uchun aniqlash jarayonlari va protseduralari saqlanib, sinovdan o'tkaziladi.

Javob bering

"Aniqlangan kiberxavfsizlik hodisasi to'g'risida choralar ko'rish uchun tegishli tadbirlarni ishlab chiqish va amalga oshirish."

Javoblarni rejalashtirish (RS.RP): aniqlangan kiberxavfsizlik hodisalariga o'z vaqtida javob berishini ta'minlash uchun javob jarayonlari va protseduralari bajariladi va saqlanadi.
Aloqa (RS.CO): javob choralari ichki va tashqi manfaatdor tomonlar bilan muvofiqlashtirilib, kerak bo'lganda huquqni muhofaza qilish idoralarining tashqi ko'magi kiradi.
Tahlil (RS.AN): Tahlil etarlicha javob berish va tiklash faoliyatini qo'llab-quvvatlash uchun o'tkaziladi.
Yengillashtirish (RS.MI): hodisalar kengayishini oldini olish, uning ta'sirini yumshatish va hodisani yo'q qilish bo'yicha tadbirlar.
Yaxshilash (RS.IM): Tashkiliy javob choralari joriy va oldingi aniqlash / javob berish faoliyatidan olingan saboqlarni o'z ichiga olgan holda yaxshilanadi.

Qayta tiklash

"Moslashuvchanlik rejalarini saqlab qolish va kiberxavfsizlik hodisasi tufayli buzilgan har qanday qobiliyat yoki xizmatlarni tiklash bo'yicha tegishli tadbirlarni ishlab chiqish va amalga oshirish."

Qayta tiklashni rejalashtirish (RC.RP): tiklash jarayonlari va protseduralari kiberxavfsizlik hodisalari ta'sirida bo'lgan tizimlar yoki aktivlarni o'z vaqtida tiklashni ta'minlash uchun amalga oshiriladi va saqlanadi.
Yaxshilash (RC.IM): Qutqarishni rejalashtirish va jarayonlari o'rganilgan saboqlarni kelajakdagi faoliyatga kiritish orqali yaxshilanadi.
Aloqa (RC.CO): Qayta tiklash ishlari ichki va tashqi tomonlar bilan muvofiqlashtiriladi, masalan, muvofiqlashtiruvchi markazlar, Internet-provayderlar, hujum qiluvchi tizim egalari, jabrlanganlar, boshqa CSIRT-lar va sotuvchilar.

Onlayn ma'lumot manbalari

Ramkaning asosiy qismidagi ma'lumotli ma'lumotlardan tashqari, NIST ham ma'lumotli ma'lumotlarning onlayn ma'lumotlar bazasini olib boradi^[14]. Axborot havolalari Framework funktsiyalari, toifalari va pastki toifalari o'rtasidagi aloqalarni va Framework manfaatdor tomonlari orasida keng tarqalgan standartlar, ko'rsatmalar va eng yaxshi amaliyotlarning aniq bo'limlarini ko'rsatadi. Axborot manbalari ramka natijalariga erishish yo'llarini tasvirlaydi.

Shuningdek qarang

Kiber xavfsizlik standartlari
NIST maxfiylik asoslari
Muhim infratuzilmani muhofaza qilish
ISO / IEC 27001: 2013: dan xavfsizlik xavfsizligi standarti Xalqaro standartlashtirish tashkiloti
COBIT: Axborot va tegishli texnologiyalarni boshqarish maqsadlari - tegishli asos ISACA
NIST Maxsus nashr 800-53: "Federal axborot tizimlari va tashkilotlari uchun xavfsizlik va maxfiylikni boshqarish".

Adabiyotlar

Ushbu maqola o'z ichiga oladijamoat mulki materiallari dan Milliy standartlar va texnologiyalar instituti hujjat: "NIST kiberxavfsizlik doirasi" (PDF).

^ "NIST kiberxavfsizlik doirasi".
^ "Seminar NIST kiberxavfsizlik doirasi rivojlanishini rejalashtiradi". FedScoop. Olingan 2 avgust, 2016.
^ HealthITSecurity. "NIST kiberxavfsizlik doirasini yangilash, tushuntirish ishlari olib borilmoqda". Olingan 2 avgust, 2016.
^ PricewaterhouseCoopers. "Nima uchun NIST kiberxavfsizlik doirasini qabul qilishingiz kerak". Olingan 4 avgust, 2016.
^ Keller, Nikol (2017 yil 10-yanvar). "1.1-kiberxavfsizlik doirasi loyihasi versiyasi". NIST. Olingan 5 oktyabr, 2017.
^ "NIST o'zining mashhur kiberxavfsizlik tizimining 1.1-versiyasini chiqardi". NIST. 2018 yil 16-aprel. Olingan 27 aprel, 2018.
^ "Yangilangan NIST kiberxavfsizlik doirasi kirishni boshqarish va ta'minot zanjiri xavfini ta'kidlaydi". Dehifrlash. Olingan 17 oktyabr, 2019.
^ "NIST Cybersecurity Framework v1.1-dagi yangiliklar". Chetlatish. 2018 yil 26 aprel. Olingan 26 may, 2018.
^ "NIST kiberxavfsizlik doirasini qabul qilishga xarajatlar to'sqinlik qilmoqda, so'rov natijalari". Axborot haftasi Qorong'u o'qish. Olingan 2 avgust, 2016.
^ HealthITSecurity. "HIMSS: NIST kiberxavfsizlik doirasi ijobiy, yaxshilanishi mumkin". Olingan 2 avgust, 2016.
^ "2017 yilgi asosiy ko'chada kiberxavfsizlik to'g'risidagi qonun". Kongress.gov. Olingan 5 oktyabr, 2017.
^ "NIST kichik biznesni kiberxavfsizlik to'g'risidagi 2017 yildagi qonuni". Kongress.gov. Olingan 5 oktyabr, 2017.
^ "Kiberxavfsizlik doirasi yadrosi (Excel)". NIST. Ushbu maqola ushbu manbadagi matnni o'z ichiga oladi jamoat mulki.
^ [email protected] (2017 yil 27-noyabr). "Axborotnomalar". NIST. Olingan 17 aprel, 2020.

Tashqi havolalar

[1] "NIST kiberxavfsizlik doirasi".

[2] "Seminar NIST kiberxavfsizlik doirasi rivojlanishini rejalashtiradi". FedScoop. Olingan 2 avgust, 2016.

[3] HealthITSecurity. "NIST kiberxavfsizlik doirasini yangilash, tushuntirish ishlari olib borilmoqda". Olingan 2 avgust, 2016.

[4] PricewaterhouseCoopers. "Nima uchun NIST kiberxavfsizlik doirasini qabul qilishingiz kerak". Olingan 4 avgust, 2016.

[5] Keller, Nikol (2017 yil 10-yanvar). "1.1-kiberxavfsizlik doirasi loyihasi versiyasi". NIST. Olingan 5 oktyabr, 2017.

[6] "NIST o'zining mashhur kiberxavfsizlik tizimining 1.1-versiyasini chiqardi". NIST. 2018 yil 16-aprel. Olingan 27 aprel, 2018.

[7] "Yangilangan NIST kiberxavfsizlik doirasi kirishni boshqarish va ta'minot zanjiri xavfini ta'kidlaydi". Dehifrlash. Olingan 17 oktyabr, 2019.

[8] "NIST Cybersecurity Framework v1.1-dagi yangiliklar". Chetlatish. 2018 yil 26 aprel. Olingan 26 may, 2018.

[9] "NIST kiberxavfsizlik doirasini qabul qilishga xarajatlar to'sqinlik qilmoqda, so'rov natijalari". Axborot haftasi Qorong'u o'qish. Olingan 2 avgust, 2016.

[10] HealthITSecurity. "HIMSS: NIST kiberxavfsizlik doirasi ijobiy, yaxshilanishi mumkin". Olingan 2 avgust, 2016.

[11] "2017 yilgi asosiy ko'chada kiberxavfsizlik to'g'risidagi qonun". Kongress.gov. Olingan 5 oktyabr, 2017.

[12] "NIST kichik biznesni kiberxavfsizlik to'g'risidagi 2017 yildagi qonuni". Kongress.gov. Olingan 5 oktyabr, 2017.

[13] "Kiberxavfsizlik doirasi yadrosi (Excel)". NIST. Ushbu maqola ushbu manbadagi matnni o'z ichiga oladi jamoat mulki.

[14] [email protected] (2017 yil 27-noyabr). "Axborotnomalar". NIST. Olingan 17 aprel, 2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]