NIST CSF 2.0评分与评估方法解析:当数学不再“数学化”
背景介绍
美国国家标准与技术研究院(NIST)的网络安全框架(CSF)于2024年2月从1.1版本更新至2.0版本。此次更新的主要目的是帮助所有组织防范网络威胁并降低风险。NIST通过更新CSF指南,不仅对标原始核心控制项,还为所有行业提供了可追溯性,而不仅限于工业领域。此外,框架还加强了对治理和供应链的重视,并适用于各种规模和成熟度水平的组织。
主要变化:治理功能的独立
NIST CSF 2.0将治理(Govern,简称GV)作为一个独立的功能进行成熟度评分。治理类别本身并非全新内容;在2.0版本中,NIST将之前核心控制系列中的治理控制项重新分配,形成了新的功能系列“治理”,作为更新后NIST CSF的“中心”。其余原始控制系列仍然保留,包括:
- 识别(Identify,ID)
- 保护(Protect,PR)
- 检测(Detect,DE)
- 响应(Respond,RS)
- 恢复(Recover,RC)
这些系列在标准中保持完整,并提供预期的可追溯性。
组织配置文件流程
NIST CSF 2.0定义了组织配置文件流程,为各种组织类型提供了标准化的评估方法。该流程允许组织选择哪些控制或功能在范围内或范围外,这也有助于评分和成熟度评估,特别是当某些功能不再在范围内或特定控制被排除时。
更多关于组织配置文件和差距评估方法的信息,可以参考NIST指南:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1301.pdf
版本迁移:评分与成熟度比较
对于首次使用2.0版本的组织,如何比较新旧版本的评分和成熟度?1.1版本是否等同于2.0版本?
在比较新旧版本的成熟度评分时,某些功能级别(如识别、保护、检测等)的分数可能会因特定控制项的重新分配而略有下降,而其他分数可能会略有提高,特别是在减少范围的情况下。子功能(如ID.AM、PR.AA、DE.CM等)的评分可能会下降超过整个层级。
最佳实践是保留现有的单个控制项,并在新评估中评估2.0控制项。这样可以确保未来评估时,使用仅相关的2.0控制项进行真正的控制对控制比较。
可追溯性与测量
每个核心或父功能(GV、ID、PR、DE、RS和RC)以及子功能(如ID.AM、PR.AA、DE.CM、RS.MA、RC.RP)仍然可以进行评分,以显示与之前年份的进展。NIST还提供了从1.1到2.0的映射电子表格,但由于每个控制项并非严格的1:1重新映射,需要大量手动排序。某些单个控制项可能会映射到多个其他控制项,反之亦然。
实用方法:电子表格计算
NIST仍然要求评估每个单独的控制项,以给出每个功能的真实分数。对于评分卡维护者来说,跨每个父功能或核心功能以及子功能进行映射,是从1.1到2.0映射成熟度的一种有效方法。这种方法在组织过渡到新框架时特别实用。
常见担忧是评分为何逐年下降。通过跨功能和子功能进行测量,可以在与利益相关者或董事会会议时展示一致性和可追溯性。可视化地看到重新分配有助于缓解安全标准不断变化带来的挫败感。
处理重新分配的控制项
对于重新分配或与新子控制项不匹配的控制项,可以通过比较排序,手动创建主列表来桥接这些控制项。例如,新控制项全部具有2.0评分,而旧控制项则标记为N/A。通过在子功能级别执行此操作,映射变得更加容易,虽然不是100%完美,但可以以合理的方式跟踪子功能级别的成熟度。
某些组基于子类别功能(如PR-AT)进行评分,然后取所有子类别功能(PR.AT、PR.DS、PR.IP等)的平均值,以获得保护功能的总体评分。如果所有控制项都被单独评估,这种方法也有效,并可用于在父功能级别比较1.1和2.0。
另一种方法是将治理单独测量,并仍在父级别跟踪其他功能。这种方法可能无法提供治理所需的可追溯性,直到下一次评估,但它仍然包含所有功能,而不会对评分产生不利影响。
确保控制项不遗漏
简单答案是参考CSF映射。当查看NIST关于1.1到2.0变化的文档时,我们发现没有控制项被删除,也没有新增控制项。控制项只是被重新分配或移动到更合适的类别,以与每个父功能对齐。
成熟度与风险管理
从成熟度和风险管理的角度来看,将治理作为中心有助于各种规模和学科的公司找到适合他们的风险评估和差距识别方法。任何评估的关键是年度一致性,并理解安全标准会随着新威胁的出现而不断演变。
在确定范围后,制定如何处理成熟度和差距评估部分的计划至关重要,同时能够映射多年来的可追溯性,以确保前一年的发现得到修复和更新。这不仅会使您的计划更强大,还为前线人员和董事会提供可见性。我们不需要重新发明轮子;只需要在解决问题时保持一致。
如果您需要NIST CSF评估或其他合规框架的帮助,请随时联系TrustedSec获取我们的服务信息。