全面解析NIST网络安全框架CSF 2.0:新治理功能与实施指南

本文深入解析NIST网络安全框架2.0版本的核心更新,包括新增的治理功能、组织配置文件架构、实施层级划分,以及如何通过该框架建立有效的网络安全风险管理体系。

认识CSF 2.0

什么是网络安全框架2.0?

NIST网络安全框架(CSF)是一套公认的最佳实践集合,旨在使网络风险管理更简单、更有效。该框架围绕五个核心功能——识别、保护、检测、响应和恢复——提供了一个全面的、结果驱动的方法,使组织能够评估其当前安全状况,建立基于风险的优先级,并实施有效的控制措施。通过将技术要求与业务目标对齐,CSF促进了更强的治理,增强了运营韧性,并支持技术和执行利益相关者之间更明智的、基于风险的决策。

2024年2月26日发布的CSF 2.0是自2014年以来的首次重大更新。首先,针对更广泛的目标受众,CSF 2.0“旨在帮助所有组织——不仅仅是关键基础设施领域的组织,这是其最初的目标受众[1]”。另一个扩展重点是治理,新增的治理功能强调了治理和供应链风险管理。

新的治理功能

为适应不断变化的网络安全格局,不再依赖从分类体系底层制定的政策和程序,CSF 2.0通过治理功能在更高层次上开辟了位置。治理功能在先前分类体系不足之处的介入的一个很好的例子是CSF 1.1中的控制ID.AD-06:“为整个员工和第三方利益相关者(例如供应商、客户、合作伙伴)建立了网络安全角色和职责[3]”。在CSF 2.0中搜索该控制,您将找不到它。ID.AD-05和ID.AD-07仍在CSF核心中;然而,ID.AD-06已被撤销,角色和职责现在有了自己的功能,包括自己的类别和子类别(GV.RR-01至GV.RR-04)。供应链风险管理的角色和职责属于单独的类别GV.SC,在GV.SC-02子类别下。

期望结果,更多资源

CSF 2.0的另一个特点是它“描述了组织可以期望实现的理想结果。它不规定结果,也不规定如何实现这些结果[4]”。与CMMC等项目不同,希望存储、处理或传输CUI的OSA必须实施和评估NIST SP 800-171的要求,而CSF不强制要求结果。这为实施CSF 2.0的组织提供了灵活性。

CSF 2.0为各类组织提供了大量资源。第4节“补充CSF的在线资源介绍”提供了指导,以及工具、参考和快速入门指南(QSG)的链接。CSF 2.0具有适应性,并可映射到其他信息参考,“此目录允许组织将CSF的指导交叉引用到50多个其他网络安全文档,包括NIST的其他文档,如SP 800-53 Rev. 5[5]”。

CSF 2.0可能通过信息参考得到帮助的一个场景如下:如果组织希望围绕信息系统建立治理,该组织应查看新的治理功能,并应注意到组织上下文类别通过多个子类别解决了这个问题。也可以说,这些子类别可能仍会让组织对下一步该做什么有些不确定。NIST SP 800-53目录中的控制PL-7“操作概念”可能会有所帮助,还有PL-2“系统安全和隐私计划”。深入挖掘NIST指南,您可能会查看NIST SP 800-160r1v2《开发网络弹性系统》第3.2.1节:理解上下文。仔细阅读内容,您可以推断出构成操作概念文档各部分主题的内容。在寻求多个其他信息参考的指导时,您实际上从未离开过CSF 2.0。

核心、组织配置文件和层级

使用CSF 2.0时,最常用的是CSF核心(附录A)。它被描述为“CSF的核心……CSF核心组件是功能、类别和子类别的层次结构,详细说明了每个结果[6]”。CSF核心可以与NIST SP 800-171中的需求基线进行比较,解决许多相同的问题,并且两者在2024年都有类似的内容更新和扩展,以关注治理和供应链风险管理。再次强调,请务必理解CSF 2.0是描述性的,而不是规定性的。

组织配置文件“是一种机制,用于根据CSF核心的结果描述组织当前和/或目标的网络安全状况[7]”。组织可以根据CSF核心评估自己,并使用这些结果进行差距分析,并从当前配置文件进展到目标配置文件,两者结合构成组织配置文件[8]。

CSF 2.0中有四个层级[9]:部分、风险知情、可重复和适应。这些层级“可以应用于CSF组织配置文件,以表征组织网络安全风险治理和管理实践的严谨性[10]”。层级可以帮助组织进一步定制其组织配置文件,提供背景,并促进组织更好地分配资源和/或支出到其网络安全实践中。

在此处下载CSF 2.0:https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf。并查看NIST的所有官方指南(Cybersecurity Framework | NIST)。

需要帮助制定组织配置文件、进行CSF 2.0评估或有一般CSF 2.0问题吗?请联系我们。

撰写:Eric Cataline | CISSP, CGRC Nicolaus Stengl | Sec+

[1] NIST发布里程碑网络安全框架2.0版本:https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework [2] NIST网络安全框架2.0:第2节:“核心介绍” [3] NIST网络安全框架1.1:https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf [4] NIST网络安全框架2.0:第1节:网络安全框架(CSF)概述 [5] NIST网络安全框架2.0:第4节:补充CSF的在线资源介绍 [6] NIST网络安全框架2.0:第1节:网络安全框架(CSF)概述 [7] NIST网络安全框架2.0:第3.1节:CSF配置文件 [8] NIST网络安全框架2.0:第3.1节:CSF配置文件 [9] NIST网络安全框架2.0:第3.2节:CSF层级 [10] NIST网络安全框架2.0:第1节:网络安全框架(CSF)概述

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次