本文标题和正文中的“网络安全框架(CSF)”特指NIST发布的“改善关键基础设施网络安全框架”(最新版是v1.1版)。CSF由NIST与私营和公共部门密切合作开发,是美国各组织自愿采用的基于风险的方法。这个自愿性框架最初是为了应对国家关键基础设施(CI)领域的网络安全挑战而开发的,但随后世界各地各类组织对该框架的广泛使用证明了它的普遍适用性。
根据FISMA(《联邦信息安全管理法案》),所有美国联邦机构都负责保护其信息系统和信息;而NIST需制定标准和指南,为联邦信息和信息系统提供信息安全。NIST指南包括FIPS(联邦信息处理标准)、SP(特别出版物)、NISTIR(NIST机构间报告)。
本文主要介绍了NIST于2020年3月发布的最终版NISTIR 8170《联邦机构使用网络安全框架(CSF)的方法》(Approaches for Federal Agencies to Use the Cybersecurity Framework)报告的内容。NIST编制本报告是为了帮助联邦机构加强其网络安全风险管理流程,重点介绍了CSF(网络安全框架)的八种实施示例。这八种方法可以支持一个成熟的机构范围的网络安全风险管理计划。
NIST曾于2017年发布过NISTIR 8170的草案《联邦机构网络安全框架(CSF)实施指南》(The Cybersecurity Framework Implementation Guidance for Federal Agencies)。从这个草案版本的名称更易看出,NIST是想专门对美国联邦机构实施网络安全框架的方法进行标准化。本文也对该草案进行了参考。
总之,CSF可以与NISTSP800-37《信息系统和组织的风险管理框架》第2版、SP 800-39《管理信息安全风险》及其他指南相结合,形成一个全面综合的基于风险的安全和隐私方法。
本文中的八个示例将演示如何使用CSF、NIST风险管理框架(RMF)和其他模型,来评估和报告机构的目标和进展,并为恰当管理网络安全风险的裁剪活动提供输入信息。
虽然本报告重点针对联邦用户,但NIST预计,许多选择使用NIST网络安全风险管理标准和指南的公共和私营部门组织都将从中受益。
注:本报告是整合CSF(网络安全框架)和RMF(风险管理框架)的重要报告。熟悉CSF和RMF的术语体系,是理解本文的前提。否则,本文可能显得晦涩乏味。
关键词:CSF(网络安全框架);NIST(国家标准与技术研究所);NISTIR(NIST机构间报告,NIST Interagency Reports);FISMA(联邦信息安全管理法案,Federal Information Security Management Act);RMF(风险管理框架,Risk Management Framework);ERM(企业风险管理,Enterprise Risk Management);核心(Core);概要(Profile);实现层(Implementation Tiers);
本文目录
一、关键的NIST风险管理指南
1)关键指南及其关系
2)CSF(网络安全框架)
3)NIST SP800-37 风险管理框架(RMF)
4)NIST SP800-39 管理信息安全风险
5)其它术语约定
二、联邦网络安全方法概述
三、联邦网络安全风险管理方法
1)集成企业和网络安全风险管理
2)管理网络安全需求
3)整合并协调网络安全和采购流程
4)评估组织网络安全
5)管理网络安全计划
6)维护对网络安全风险的全面了解
7)报告网络安全风险
8)为裁剪流程提供输入信息
一、基础背景与术语约定
01 关键指南及其关系
NIST网络安全风险管理(RM)的标准、指南和其他文件,规定了RM流程,并指导了网络安全的持续改进。其中三个是:
《改善关键基础设施网络安全的框架》(CSF);
NIST SP800-39《管理信息安全风险:组织、任务和信息系统视图》;
NIST SP 800-37《信息系统和组织的风险管理框架》第2版;
后续小节将会对上述3个指南分别进行简单介绍。CSF与NIST SP 800-37、NIST SP 800-39之间的关系,如下图所示:
图1-关键的NIST风险管理指南之间的关系
02 CSF(网络安全框架)
CSF(网络安全框架):特指NIST于2018年4月发布的“改善关键基础设施网络安全框架(Framework for Improving Critical Infrastructure Cybersecurity)” v1.1版。CSF为实施安全实践提供了一种灵活、可重复、成本效益高的基于风险的方法。
CSF的三个主要组件是:核心(Core)、概要(Profile)、实现层(Implementation Tiers)。
CSF的核心(Core):CSF的一个主要特点是,它能够将高度技术化和专业化的网络安全语言,翻译/转换成网络安全以外的专家能够理解的标准化语言。而CSF的核心(Core)正是实现这种翻译/转换的结构。具体来说,它提供了一套具体的网络安全成果(outcomes)和指导实现这些成果的参考范例。核心不是一份行动清单,而是展示了业界认为有助于管理网络安全风险的关键网络安全成果(outcomes)。核心本身由四个元素组成:功能、类别、子类别、信息参考。如下图所示:
图2-CSF的核心(Core)
CSF核心的五项功能是识别、保护、检测、响应、恢复(Identify, Protect, Detect, Respond, Recover)。这五项功能提供了一个高层级的风险管理词汇,既对网络安全专家有意义,也方便非网络安全专家使用。因此,这些功能既适用于网络安全风险管理,也适用于企业风险管理。下面的“领结型”风险图表明,这五个功能还可以平衡预防和反应,以使反应尽可能取得最佳成果。这种平衡,使得功能可以作为风险管理策略和风险评估结构的高层级表达方式。
图3-以CSF功能来平衡组织关注点
CSF核心的类别是将一项功能细分为与方案需求和特定活动密切相关的网络安全成果组。类别的例子包括“资产管理”、“访问控制”、“检测过程”;子类别进一步将类别划分为技术和/或管理活动的具体成果;每个子类别都由一个或多个信息参考支持,这些参考是标准、指南和实践的特定部分,说明了实现所述成果的方法。
使用功能、类别、子类别的核心分类法,CSF促进了组织层级内部和层级之间的沟通。
CSF实现层:CSF的另一个关键特征是对组织风险实践或行为的定性度量。CSF实现层为组织提供了一种查看网络安全风险行为和风险管理流程的方法。实现层从部分(第1层)到自适应(第4层)不等,描述了网络安全风险管理实践中逐步严格和复杂的程度。CSF刻画了三种不同的网络安全风险管理实践:
风险管理流程:反映组织内部的网络安全风险管理。
集成风险管理计划:考虑网络安全和其他的组织问题。
外部参与:信息的双向流动和考虑,以更好地组织风险管理流程和集成风险管理计划,以及外部组织的风险管理流程和集成风险管理计划。
CSF概要:可用于描述特定网络安全活动的当前状态和/或期望的目标状态。当前概要表示目前正在取得的网络安全成果。目标概要表明实现预期网络安全风险管理目标所需的成果。比较当前概要和目标概要,可能会发现差距和相应的改进,以满足网络安全风险管理目标。
03 NIST SP 800-37 风险管理框架(RMF)
2018年发布的NIST SP 800-37《信息系统和组织的风险管理框架》第2版:详述了置备安全系统的过程。SP 800-37描述了RMF(风险管理框架)的七个步骤,即准备、分类、选择、实施、评估、授权、监控(Prapare, Categorize, Select, Implement, Assess, Authorize, Monitor)。其中,准备(Prapare)步骤是在第1版基础上新增的。如下图所示:
图4-RMF(风险管理框架)
而在2014年发布的NIST SP 800-37第1版中,RMF(风险管理框架)主要是六个步骤,没有明确提出准备(Prapare)这个步骤。并强调,管理RMF六步流程的核心是SP 800-39的全组织风险管理流程,即利用SP 800-39的角色来协调多个级别的人员,以提供安全系统。如下图所示:
图5-NIST SP 800-37第1版中描述的网络安全风险管理框架
04 NIST SP 800-39 管理信息安全风险
NIST SP 800-39《管理信息安全风险:组织、任务和信息系统视图》:描述了管理网络安全风险的过程,是协调各级人员管理网络安全风险的基础。描述了联邦组织使用的风险管理流程和四个步骤——框架、评估、响应、监控(Frame, Assess, Respond, Monitor),也可供私营部门组织选用。
该指南为管理信息安全风险的全组织级计划提供了指导。为了整合全组织的风险管理过程,定义了三个级别的风险管理:(i)组织;(ii)任务/业务流程;(iii)系统。
下图说明了可跨层级使用的风险管理流程:
图6-跨层级使用的风险管理流程
05 其它术语约定
联邦机构(federal agencies):是指负责美国联邦系统中非国家安全相关信息的机构。
FISMA:是指经过修订的2002年《联邦信息安全管理法案》(Federal Information Security Management Act)。2002年《联邦信息安全管理法》被更新为2014年《联邦信息安全现代化法案》(Federal Information Security Modernization Act of 2014)。
“层”(Tiers)和“级别”(Levels):NIST SP 800-39《管理信息安全风险:组织、任务和信息系统视图》中引用的术语“层”(Tiers)将在本文中称为“级别”(Levels),以避免与CSF的实现层(Implementation Tiers)混淆。而即将修订的SP 800-39,也将一致性地使用术语“级别”。
混合控制:是在信息系统中实现的一种安全控制,部分作为公共控制,部分作为系统特定的控制。
在本文中,“企业风险管理”(enterprise risk management)和“全组织风险管理”(organizationwide risk management)可互换使用。这些术语“风险登记簿”(risk register)在2020年3月19日发布的NISTIR 8286草案“集成网络安全和企业风险管理(ERM)”中进行更详细的讨论。
二、联邦网络安全方法概述
网络安全攻击的高频度、创造性、多样性意味着,所有组织都应将网络安全风险管理作为其企业风险管理(ERM)计划的一部分,以实现其使命和业务目标。
NISTIR 8170报告阐述了联邦机构利用CSF解决与网络安全相关的共同责任的八种示例方法。通过这样做,机构可以将CSF与已经广泛使用的关键NIST网络安全风险管理标准和指南相结合。这八种方法支持一个成熟的机构范围的网络安全风险管理计划:
整合企业和网络安全风险管理;
管理网络安全需求;
整合并协调网络安全和采购流程;
评估组织网络安全;
管理网络安全计划;
维持对网络安全风险的全面了解;
报告网络安全风险;
为裁剪流程提供输入信息。
上述方法演示了,机构如何利用CSF和NIST风险管理框架(RMF)来:
度量和改善各个组织级别的网络安全绩效(performance);
在整个组织范围内,组织安排有关网络安全风险、活动和成果的沟通;
调整网络安全需求并确定优先顺序以便在采购过程中使用,并为控制措施的调整提供输入信息。
RMF描述了三个级别的组织管理。CSF、SP 800-39、SP 800-37这三种风险管理出版物,在组织级别划分上具有一致性。如下图所示:
图7-全组织风险管理方法
CSF使用风险管理流程为组织的网络安全决策提供信息并确定其优先级,可以对其进行调整,以提供一个灵活的、基于风险的实施方案。这包括SP 800-37和SP 800-39。
图2描述了CSF和RMF之间的对应关系,反映了CSF和RMF的一致性。
表8-联邦网络安全方法
对比表中第2列和第3列:联邦网络安全风险管理方法(第3列)与RMF的三个级别(第2列)保持对应关系:
只有1种方法(即第3列第1行)演示了CSF在“组织”级(第1级)的使用;
只有1种方法(即第3列最后1行)演示了CSF在“系统”级(第3级)的使用;
其它多数方法(即第3列其它行)演示了CSF在“任务/业务流程”级(第2级)的使用。
注:所有8种方法的顺序,并不意味着关键性或优先性。
对比表中第3列和第4列:可反映给定联邦网络安全风险管理方法的最适用的CSF组件(即核心/概要/实现层)。
下面将分别介绍表中所列的8种方法。其中,大量使用了CSF组件的术语——核心(Core)、概要(Profile)、实现层(Implementation Tiers)。
三、联邦网络安全风险管理方法
01 集成企业和网络安全风险管理
表9-方法总结:集成企业和网络安全风险管理
组织管理许多类型的风险。除了网络安全风险,其他典型的企业风险包括安全、财务、计划、收购、供应链、隐私。许多其他类型的风险,可能具有网络安全风险影响或受到网络安全的影响。
不同公司可能采用不同的术语和风险管理方法来做出决策。这就需要与现有的企业风险管理(ERM)职能部门协调,以确定如何在组织级别和系统级别很好地纳入和传达网络安全风险。
CSF核心的五个“功能”,即识别、保护、检测、响应、恢复,提供了一种在最高级别组织网络安全风险管理活动的方法,可以跨风险管理学科使用。这五个词在CSF的核心下被进一步分类为更具体的含义,从而能够准确和高效地执行任何影响网络安全的企业风险决策。鼓励联邦机构的首席信息安全官(CISO)和其他网络安全专业人士,利用这五项功能,向联邦机构的外部利益相关者、行政领导层,引入和解释网络安全方法。
02 管理网络安全需求
表10-方法总结:管理网络安全需求
联邦机构和私营部门组织一样,都要遵守多种网络安全要求。使用CSF概要,联邦机构可以通过整合和优先考虑这些要求。各机构可以利用核心的结构,调整和合并内部和外部需求。对这些内外部需求的引用,可以与核心的各种功能、类别、子类别保持一致。
NIST在线信息参考(OLIR,Online Informative Reference)计划可以帮助联邦机构实施来自多个框架和指导文件要求的网络安全控制。不断增长的OLIR目录,提供了跨框架的控制映射的列表,展示了框架之间的相似性和差异性。
如何确保应用了一组特定的系统配置基线设置,同时保持符合多个要求(例如,FISMA、HIPAA、PCI DSS、 SP 800-70修订版4等),仍然是一项挑战。NIST国家检查表计划(National Checklist Program)提供了一个自动化和可实施的安全设置的目录,以协助从已应用的设置到框架的认证跟踪。
利益相关者关于核心成果的讨论,有助于确定优先次序。利用核心结构作为输入可以确定优先事项,并推动网络安全投资、努力和重点。
03 整合并协调网络安全和采购流程
表11-方法总结:整合并协调网络安全和采购流程
在采购过程中,经常发生联邦机构和承包商之间对期望的误解,并可能限制政府获得最佳产品和服务,同时增加报价人、机构和纳税人的成本。CSF可用于支持联邦机构与供应商互动,包括服务提供商、产品供应商、系统集成商、受监管部门内的组织以及其他私营部门合作伙伴。
CSF概要可以被纳入采购过程,作为评估标准(机构)、征求响应(供应商)、提案/报价审查(机构)、最低合同要求(机构)、合同遵从证据(供应商)、合同符合性验证(机构)的基础。CSF概要的使用,使供应商能够灵活地从各种标准和实践中进行选择,以满足联邦机构的具体要求,同时以一致的方式传达其网络安全态势。
04 评估组织网络安全
表12-方法总结:评估组织网络安全
CSF的实现层被设计为一个组织内部网络安全风险管理行为的总体度量。它们有助于组织从1到4(部分、风险告知、可重复、自适应,即Partial, Risk-Informed, Repeatable, Adaptive)考虑以下网络安全属性:
风险管理流程:我们的组织是否有一个可运行且可重复的网络安全风险管理流程?
集成风险管理计划(Integrated Risk Management Program):网络安全风险管理集成到企业风险管理的程度如何?
外部参与(External Participation):我们的组织(或组织内的部门)在多大程度上与外部各方共享和接收网络安全信息?
实现层不是规定性的,组织及其所有子组织在实现层4(Implementation Tier 4)中的运行没有规定的要求。相反,实现层可用于权衡分析,因为每个实现层都有相应的成本和风险承受能力。例如,为了在所有网络安全考量中平衡有限的资源,可以在机构的一个部分以实现层2运行,而在其他地方以实现层4操作,因为这样可以让该机构负担得起。
联邦机构应用这些权衡的一种方法是通过FIPS-199分类。机构可能认为FIPS-199高影响和高价值资产(HVA)系统适合更高的实现层,也可能决定FIPS-199低影响的分类系统在较低实现层运行是可以接受的。
机构可以通过与期望的实现层进行比较,来评估它们正在运行的实现层。这个过程可以识别当前实现层和目标实现层之间的差距,以及识别组织可以采取哪些步骤来实现期望的实现层。这些差距表明,当前和最佳的网络安全风险管理行为之间存在差异。
05 管理网络安全计划
表13-方法总结:管理网络安全计划
网络安全成果的核心分为子类别,为在机构内组织网络安全运行,提供了一个逻辑结构。具体来说,工作是如何分配、跟踪和衡量的,以及如何管理人员的授权和责任。
CSF提供了一种将网络安全责任分配给组织中的部门或个人的方法,包括具有风险管理角色的外部实体。这使得领导层能够指定任务、责任、风险管理策略,也能够赋予部门和个人权力,并给予适当的奖励。如果部分网络安全运行未按预期执行,或风险高于设定的阈值水平,CSF结构将帮助管理者跟踪和调查情况,并追究相关部门和个人的责任。
使用CSF概要,也有助于识别改进组织网络安全工作人员管理的机会,以及如何实现既定的风险承受能力结果。一种方法是应用国家网络安全教育倡议(NICE,National Initiative for Cybersecurity Education)中的NICE劳动力框架(Workforce Framework),该框架记录在SP 800-181中。该劳动力框架为组织提供了一个统一的词汇,用于按类别、专业领域、工作角色对网络安全工作进行分类和描述,并为每个工作角色提供了网络安全知识、技能和能力(KSA)和任务的超集。这些要素支持在网络安全教育、培训和员工队伍发展方面,进行一致的组织和部门沟通。虽然CSF和NICE框架是单独开发的,但它们通过描述一种实现网络安全目标的层次化方法而相得益彰。NICE计划目前正处于确定CSF子类别成果和NICE工作角色之间一致性的进程中。这项校准工作将有助于各机构记录当前和预期的成果(基于框架核心子类别),以及可能在实现这些成果方面发挥作用的人员类型。
除了确定一组成果和相关安全控制的适用工作角色外,CSF还提供了一种可管理的方式来分配网络安全的责任。由于子类别成果已经映射到SP 800-53《联邦信息系统和组织的安全和隐私控制》中的安全控制,因此实施和维护相应控制的责任,也可以分配给这些角色。
在分析与核心类别和子类别相关的预期网络安全成果时,某些成果可能被集中管理才对整个机构来说更具成本效益,而不是由组织的每个部门进行单独管理。例如,一个机构可能决定,将子类别PR.AC-2(即“对资产的物理访问进行管理和保护”)由物理安全部门(Physical Security unit)负责,对整个机构而言是最有益和最具成本效益的。这些决定有助于联邦机构识别在SP800-53中规定的通用控制和混合控制的选项。
联邦机构识别通用网络安全控制的另一种方法,是识别通用资产和业务流程。机构内的业务部门经理在识别高价值资产和业务流程方面起着关键作用。
06 维护对网络安全风险的全面了解
表14-方法总结:维护对网络安全风险的全面了解
通过将网络安全调查发现、差距和漏洞汇总到一个集中的记录中,机构可以综合考虑网络安全风险,并能够做出更明智的风险决策。组织范围的风险记录可实现一致的报告。这种集中的记录也被称为“风险登记册”( risk register)。风险登记册是风险信息的储存库,包括对风险随时间变化而理解的数据。风险登记册通常包含风险的描述、风险发生所导致的影响、发生的概率、缓解策略、风险所有者、识别更高优先级风险的排名。
机构通常会逐个系统地跟踪被管理的漏洞、漏洞缓解计划和可接受的漏洞。该信息包含在系统安全授权包(Security Authorization Package)中,包括系统安全计划(SSP,system security plan)、安全评估报告(SAR)、行动计划和里程碑(POA&M)。
通过汇总调查发现,各机构可以:
跟踪已计划的安全和隐私控制;
评估控制的实施;
注释安全控制中的弱点或不足之处;
识别系统中的残余漏洞;
突出缓解计划。
授权官员(AO)利用这些关键文件中的信息,做出基于风险的授权决策。许多组织都有风险确定模型(risk determination models),如NIST SP (SP)800-30第1版《风险评估指南》所述。
使用CSF,组织可以将系统级的弱点或不足,汇集到企业范围内对网络安全漏洞的理解中。可以在子类别、类别或功能级别查看这些信息,以便在做出风险决策和相关资源投资之前为机构提供额外的上下文。将系统风险转化为组织风险的过程,应经过相关网络安全专家的彻底审查,以减少扭曲或过度简化,然后才能得出更广泛的结论。
此外,汇集了来自SAR、POA&M和SSP的基本信息,可使得通过持续监控来做出安全授权决策。风险登记册也使用由RMF监控活动来跟踪的持续风险变化进行组织。网络安全风险登记册是一种工具,帮助AO了解接受系统风险是否会导致整体风险超出组织承受能力。使用来自CSF核心的语言来组织风险登记册,可以让更多的人参与并输入授权决策。尤其是核心的功能和类别的明确语言,使广泛参与成为可能。
07 报告网络安全风险
表15-方法总结:报告网络安全风险
通过CSF核心为输入的网络安全风险登记册,组织可以有效地生成风险报告。报告通常需要分发给各种受众,包括作为日常职责来管理风险的业务流程人员;批准并负责基于风险的机构运营和投资策略的高级领导层、其他内部部门;以及外部组织。这意味着报告需要清晰、易懂,并根据接收者和报告要求在透明度和详细程度上有很大差异。标准化的报告格式可以帮助机构满足多种网络安全报告需求。
如今,联邦机构内部的风险报告差异很大。为了解决这种差异性,近年来,OMB要求使用CSF核心的结构来组织年度FISMA指标。随着越来越多的联邦组织、合作伙伴和供应商使用CSF,使用该框架的方法来满足这些多重报告需求更为有效。
使用标准化的风险登记类别,如核心的层次化网络安全成果或SP800-53控制系列,使组织能够生成不同级别详细程度的报告。具体而言,将五种功能、类别、子类别的层次结构与SP 800-53控制相关联,可以最大限度地提高给定报告的详细程度,并使这些报告对不同的受众更有用。使用核心可以快速实现这一级别的详细信息,从而最大限度地减少用于生成报告的时间和资源。
08 为裁剪流程提供输入信息
表16-方法总结:为裁剪流程提供输入信息
当信息系统的特性明确支持组织的任务目标和需求时,信息系统是最有价值的。
在RMF中,当系统被分类为高、中、低影响(基于FIPS 199/SP 800-60),组织利用FIPS 200确定与系统影响级别相关的最低安全要求。然后,他们使用SP800-53裁剪流程,应用任何其他所需的安全措施,以解决特定任务目标、运行限制、网络安全要求和其他组织考虑因素。此过程用于为每个系统定制控件基线。
CSF提供了一种机制,用于将任务目标和网络安全需求调整为概要,使之成为重要的工作产品,使用自上而下的方法来知会裁剪人员。(另请参见上面的用例7)由于概要可以协调来自多个来源的网络安全需求和相关优先级,因此在将SP 800-53初始控制基线剪裁为最终控制基线时,可以将其用作简明而重要的工具。具体而言,考虑组织的子类别的优先级并了解相关的SP 800-53控制,有助于以支持组织任务的最佳方式精确调整控制基线。
(本篇完)
声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
