【NIST CSF导入关键】7步骤打造整体安全防护网,从盘点现况与成熟度评估着手点现况与成熟度评估着手

面对企业进行整体资安架构盘点的议题,即便本身没有专属的安全团队,仍有一些通用准则可以遵循。例如,美国国家标准与技术研究所(NIST)提出的网络安全框架,也就是Cybersecurity Framework(CSF),就是当今值得企业参考的资安架构。

但是,在采用CSF的过程中,企业可要注意一些关键与细节,才能让框架的实施运作,可顺利且更好的发挥效用。

落实企业安全计划需从上而下,针对存在风险决定优先强化顺序

基本上,CSF框架涵盖了资安的5大面向,包括识别、保护、侦测、回应与复原,对于企业而言,可供建立网络安全生命周期的风险管理。

特别的是,在2018年的NIST CSF 1.1版后,不仅是将5大功能,从22类别与98项子类别,扩增到23类与108项。在此当中,新版特别针对供应链安全、身份识别与验证,以及自我评估资安风险的内容,进行强化,因此,更能贴近目前实务面的需求,并成为不限组织规模大小和业务型态,所有企业对于网络安全强化都能通用的架构。

为了方便组织采用,NIST已经提供使用CSF的7个步骤,帮助打造与实施所需的管控措施。让组织或企业可以依据其安全现况,进行风险评鉴,然后自订出想要达成的目标轮廓,评估出优先强化的顺序以实施计划,并借由框架来持续评估其安全成熟度。

但要注意的是,许多资安标准导入或是制度推动,都有一项关键要素,那就是要获得公司上层的支持。因此,NIST也建议,组织应透过由上而下来贯彻与落实资安政策,并且持续地进行。

企业该如何做?从组织运作方式来看,可采用由上而下的方式,从最高的管理层(Executive Level)、业务层(Business/Process Level),以及实施层(Implementation/Operations Level),经过这三个阶层的互相合作,来落实这项整体安全的计划。

以管理层为例,简单来说,不仅是要关注组织所面临的威胁,也要决定因应的措施与优先级,因此要与业务层确认任务的优先级、风险偏好与预算。

接下来,业务层将依照管理层的决定,进行现况盘点的轮廓侧写,并回报管理层与目标轮廓的差距,再往下交由实施层来拟定行动计划。之后,上报实施结果,以供下一阶段计划评估。

值得注意的是,目前国内也有一些业者在谈CSF,BSI英国标准协会就是一例。对于导入时的注意事项,他们的台湾分公司客户经理花俊杰给出3个建议:首先,CSF已经提供完整的文件和实施步骤,对于想要建置导入的组织而言,了解框架内容是第一步,同时也需要有管理阶层的支持;其次,要从整个组织管理阶层与本身业务结合,基于风险管理的角度,从资源与风险找出强化优先级;最后,他提醒,这是要持续检视的作法,不是做过一次就结束,周而复始进行才能维持一定的健康状态。

此外,他也用日常身体健康检查来比喻,资源越多检查作法越细致,资源少也还是能做到一个适当的检视。

成熟度如何评估是关键,外部验证是进一步的作法

在使用NIST网络网络安全框架时,往往可能还会面对成熟度评估的问题。除了CSF本身的实施层级,花俊杰也指出评估时可考量的3个元素,分别是风险管理流程、整合的风险管理计划,以及外部参与等来进行评估。

如果企业还想提升评估的有效性,在自评方式之外,寻求外部第三方协助是进一步的作法。这样的作法,如同企业管理一般也有内稽、外稽之别。

在NIST网络安全框架提出后,近年也已经发展出验证方案,透过独立第三方单位来协助实际评估,以进一步加强企业管控风险。而验证方案的出现,这其实显示出一件事,这个框架也开始被视为一项资安上的指标。

目前,BSI在2018年3月开始推出NIST CSF认证,HITRUST也在2018年5月提供相关评估方案,不过,两者验证方式不同。对于企业取得相关认证的现况,花俊杰表示,例如,包含美国、加拿大的企业,与台湾邻近的香港,也有云端服务业者取得BSI的CSF证书。

对于评估作业可能遇到的难题,花俊杰也特别分享一些他们的经验,供国内企业参考。举例来说,对于NIST网络安全框架,BSI将成熟度分为5个等级,并有1到15的分数级别,每3分为一级,让5个等级可以有更细的画分,更容易了解下一成熟度的目标。

他举例,以CSF识别功能的资产管理类别而言,如果组织没有定义资产盘点的实施做法与计划,评分上就会落在第一级的“无正式方法”;若组织对于资产盘点已有自定的规范程序和方法,并能依照规范要求执行,评分时就会达到第二级的“被动”;更进一步来看,如果组织在资安盘点上,已从风险角度涵盖所有日常作业,并有量测的KPI指标,相关人员皆有足够的培训技能来自我管理,就能达到第三级的“主动”。

特别的是,如果还要达成第四级的“改善”和第五级的“最佳化”,他也具体指出,企业需要的是建置自动化的监督与量测系统,投入更多资源,并且考量从各种来源的不同输入资讯,进而决定有效地管理风险和改善作业。

另外,关于BSI的CSF证书,他也表示,企业必须先取得ISO 27001认证,因为它是所有企业通泛适用的基础,对已导入的企业而言,可透过CSF对网络安全的面向提升,朝更好的成熟度迈进。

NIST网络安全框架的源起

图片来源/NIST

由美国国家标准技术研究所(NIST)提出的网络安全框架(Cybersecurity Framework,CSF),原是美国-为改善关键基础设施资安防护的需求而产生。

面对近年重大网络安全事件的威胁,在2013年2月,美国总统奥巴马发布了第13636号行政命令(EO),下令NIST与利益相关方合作,根据现有的标准、指引与最佳实务作法,订立一套可供相关单位采用的资安框架,能够借此强化网络安全。接着,NIST也在同年7月,推出该框架的草案,并于2014年2月发布1.0正式版本。

后续,在2017年5月,美国总统川普签署新的行政命令,更是要求所有美国190个联邦机构,依循Cybersecurity Framework框架。而NIST也在搜集已采用企业与单位的意见回馈后,于2018年4月发布此框架的1.1版。

虽然,这个网络安全框架一开始要求的实施对象是-单位,但其实也不限于-单位采用,而且它也受到受到全球多国组织与企业的认可,不只是影响多国在关键基础建设的网络安全法规面,同时也成为企业强化自身网络环境安全,相当值得参考的工具。

 相关报导  NIST网络安全框架当红

(0)

相关推荐