NIST CSF 2.0评分与评估方法：当数学不再“数学化”

作为高级安全顾问和美国国家标准与技术研究院（NIST）专家，我最常被问到的问题是：如何将版本1.1与版本2.0的分数和成熟度评级进行比较？无论是作为审计员还是被审计方，在董事会会议室之外通常有一个好处，那就是不必处理“成绩单”。另一方面，在需要新工具时，理解分数对于证明某些购买的合理性很有价值。在咨询工作中，我有机会看到问题的两面。随着2.0版本的新变化，如何理解新的评分卡，不仅从执行层面，而且作为贡献者？

让我们从一些背景开始。最初，NIST控制或“标准”面向工业部门，以消除因竞争性带来的挑战，其历史可追溯到1901年。NIST的使命保持不变：“通过测量、标准和可追溯性推动创新”。

2024年2月，NIST将其网络安全框架（CSF）从版本1.1更新到版本2.0。更新到NIST CSF 2.0的主要意图是帮助所有组织防范网络威胁并降低风险。NIST通过更新CSF指南以衡量原始核心控制来实现这一点，同时还为所有部门提供了可追溯性，而不仅仅是工业特定部门。额外强调了治理和供应链。更新的框架也面向所有规模和复杂程度的组织，我们将在组织配置文件中深入探讨。

通过设置评分卡来定义变量，你可能会问发生了什么变化？NIST CSF 2.0现在将治理（Govern或GV）作为成熟度评级的单独功能。然而，治理类别本身并不是全新的。在2.0中，NIST重新分配或移动了治理控制，从先前的核心控制家族中创建了新的功能家族Govern的“中心”。这是为了支持更新的NIST CSF的新“辐条”，其中仍包含原始控制家族：识别（ID）、保护（PR）、检测（DE）、响应（RS）和恢复（RC）。就标准而言，这些家族仍然完整，并按意图提供可追溯性，如下所示：

在深入评级、数学问题和评分卡之前，让我们理解达到目标的方法。像数学一样，解决问题有多种方式，通常有一个标准过程。如下所示，NIST CSF 2.0定义了组织配置文件过程，以拥有跨各种组织类型的标准方式来解决问题。

此配置文件过程允许组织选择哪些控制或功能在范围内或范围外。如果特定功能不再在范围内或某些控制不在范围内，这也可以协助评分和成熟度。

有关组织配置文件和差距评估方法的更多信息，可以通过NIST的指南找到：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1301.pdf

回到解决数学问题；对于那些第一次接触2.0版本的人，我们如何比较新变化下的评级和成熟度？1.1等于2.0吗？

在比较新旧成熟度评级时，某些功能级别（例如识别、保护、检测等）的分数可能会因特定控制的重新分配而略有下降，而其他分数可能会略有提高，特别是如果包括减少范围。

子功能，如ID.AM、PR.AA、DE.CM等，可能会下降超过整个层级。然而，如果下降少于1整点或层级，对于喜欢平均值和3位有效数字的评分卡保持者（例如，从3.75到3.25），一个功能中的半分点并不值得警报。

我发现的最佳方法是携带现有的个体控制，并在新评估中评估2.0控制。这可以确保未来评估使用仅相关的2.0控制进行真正的控制到控制比较。

就可追溯性和测量而言，每个核心或父功能（GV、ID、PR、DE、RS和RC）和子功能（例如，ID.AM、PR.AA、DE.CM、RS.MA、RC.RP）仍然可以评级以显示从先前年份的进展。NIST还有一个从1.1到2.0的映射电子表格，但它需要大量手动排序，因为每个控制不是特定的1:1重新映射。一些个体控制将映射到各种其他控制，反之亦然。

作为处理各种框架映射的人，我发现最容易查看每个子类别。例如，治理有子类别或类别标识符，如供应链、风险管理或组织上下文。从旧版本到新版本，这些标识符与个体控制相比保持了一定的一致性，如下所示：

现在来看电子表格数学。NIST仍然要求评估每个个体控制，以给出每个个体功能的真实分数。如前所述，对于评分卡保持者，跨每个父或核心功能和子功能的映射可追溯性是从1.1到2.0映射成熟度的一种方式。这种方法是我发现最有效的，并且是公司在过渡到新框架时达成折衷的好方法。

一个常见的担忧是为什么分数可能逐年下降。跨功能和子功能测量在与利益相关者开会或在董事会会议室中很好地转化，以显示一致性和可追溯性。视觉上看到重新分配有助于缓解目标不断移动的挫败感，正如我们通常在安全标准中经历的那样，无论遵循什么框架，如下面的示例电子表格图像所示：

你可能会问，那些重新分配或与新子控制不匹配的控制怎么办？通过筛选比较，我开发了一个手动主列表来桥接这些控制。如下所示，新控制都有2.0的分数，而每个功能的先前控制现在标记为N/A。通过在子功能级别这样做，映射变得容易得多——不是100%完美，但能够以合理的方式追踪子功能级别的成熟度。

一些组基于子类别功能（如上面所示的PR-AT）进行评级，然后取所有子类别功能（PR.AT、PR.DS、PR.IP等）的平均值以获得保护的整体功能。如果所有控制都单独评估，这也有效，并且可以用于在父功能级别比较1.1和2.0。

另一种方法是单独测量治理，并仍在父级别跟踪其他功能。这种方法可能不会给我们想要的治理可追溯性，直到下一次评估，但它仍然包含所有功能，而不会对分数产生不利影响。

我们如何确保我们没有遗漏控制？简单的答案是参考CSF映射，当我们查看NIST从1.1到2.0的变化文档时，我们了解到没有控制被移除，也没有添加新的控制。控制只是被重新分配或移动到更合适的类别，以与每个父功能对齐。

从成熟度和风险管理的角度来看，将治理作为中心帮助所有规模和学科的公司找到一种适合他们的方法来评估风险和识别差距。任何评估的关键是年复一年的一致性，并理解在安全中，标准随着新威胁的出现而不断演变。

在范围确定后，制定如何解决成熟度和差距评估部分的计划至关重要，此外还要能够映射多年的可追溯性，以确保先前年份的发现随着新变化的演变而得到修复和更新。这不仅会使你的计划更强大，而且还为前线人员和董事会会议室提供了可见性。我们不需要重新发明轮子；我们只需要在解决问题的方式上保持一致。

如果你需要NIST CSF评估或其他合规框架的协助，请随时联系TrustedSec以获取我们的服务信息。