美国商务部国家标准与技术研究院(简称NIST)于美国时间2018年4月16日发布《提升关键基础设施网络安全的框架》(也被称为《网络安全框架1.1》)。
《网络安全框架1.1》
该框架侧重于对美国国家与经济安全至关重要的行业(能源、银行、通信和国防工业等)。NIST网络安全框架被证明具有足够的灵活性,美国各行业的大小规模的企业、组织机构、联邦、州和地方政府机构均可自愿采用该框架。
美国商务部长威尔伯·罗斯表示,网络安全对国家安全与经济安全至关重要。企业应当将 NIST 网络安全框架作为第一道防线。NIST 院长沃尔特·科潘表示,《网络安全框架1.1》的发布是一项重大进步,真正反映出公私合作模式在应对网络安全挑战方面的成功。
版本1.1更新的内容包括:
身份验证和身份;
自我评估网络安全风险;
供应链中的网络安全管理;
漏洞披露。
《网络安全框架1.1》根据公众意见征询收集到的反馈、团队成员收到的问题,并在2016年和2017年举办的研讨会做了修改。1.1版本的两份草案均征询了公众意见,以全面解决利益相关者提出的问题。网络安全框架项目经理马特·巴雷特表示,新版本是对1.0版本的提炼、阐明和改进。 1.1版本仍具有灵活性,可满足组织机构的业务或任务需求,并适用于各种技术环境,例如信息技术、工业控制系统和物联网。
新框架基本要素
新框架由框架核心、框架实施层和框架概况三大基本要素组成。框架核心提供了一套关键基础设施行业通用的网络安全活动、预期结果和适用参考。
框架核心提出了行业标准、指南和实践,以便组织机构从管理层到执行层的层级沟通网络安全活动和结果。框架核心包含功能、类别、 子类别和信息参考四个要素,以及识别、保护、检测、响应和恢复五个功能。
框架实施层为组织机构提供机制,供其了解网络安全风险管理方法的特征,并提供网络安全风险审视方法和管理风险的流程,可帮助组织机构确定优先级并实现网络安全目标。实施层指的是组织机构安全风险管理实践的程度,衡量标准包括风险与威胁意识、可重复和自适应等要素。实施层通过四个层级范围描述组织机构的实践程度,各层级(从部分的层级1到自适应的层级4)反映了从非正式、被动响应到自适应的表现。该框架指出,在确定实施层级的过程中,组织机构应考虑当前的风险管理实践、威胁环境、法律法规要求、业务/任务目标和限制条件。
框架概况根据组织机构的业务需求、风险承受能力和资源对功能、类别和子类别进行调整,帮助各组织机构建立降低网络安全风险的路线图,确保既能兼顾整体与部门目标,考虑法律法规要求和行业最佳实践,又能反映风险管理的轻重缓急。“概况”可被定义为在特定实施场景下对核心框架的类别和子类别进行调整。借助概况,组织机构可对比“当前概况”和“目标概况”,以此识别提升网络安全态势的机会。要制定出框架“概况”,组织机构可查看所有的类别和子类别,并基于业务/任务需求以及风险评估,以此确定最重要的事项。组织机构可按需添加类别和子类别解决风险。“当前概况”可用来审视“目标概况”需考虑的优先级和进度衡量,同时考虑包括成本效益和创新在内的其它业务需求。组织机构可利用概况进行自我评估,并有助于在组织机构内部和组织机构之间进行风险沟通。
NIST 将于2018年4月27日进行网络直播,详细解释版本1.1,并且还计划于2018年11月6日~8日在巴尔的摩举办网络安全风险管理大会,重点讨论该框架。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
