【使用NIST網路安全框架的7大步驟】對於NIST網路安全框架的執行,NIST本身已經提供7大建議步驟,讓不知道如何著手的企業,能夠有一個實作的先後順序,以找出自身最迫切需要提升的項目來逐步加強。而為了讓臺灣企業可以更容易理解,我們看到BSI英國標準協會,則是提供了淺顯易懂的中文要點,來說明這些步驟。圖片來源:BSI

面對企業進行整體資安架構盤點的議題,即便本身沒有專屬的安全團隊,仍有一些通用準則可以遵循。例如,美國國家標準與技術研究所(NIST)提出的網路安全框架,也就是Cybersecurity Framework(CSF),就是當今值得企業參考的資安架構。

但是,在採用CSF的過程中,企業可要注意一些關鍵與細節,才能讓框架的實施運作,可順利且更好的發揮效用。

落實企業安全計畫需從上而下,針對存在風險決定優先強化順序

基本上,CSF框架涵蓋了資安的5大面向,包括識別、保護、偵測、回應與復原,對於企業而言,可供建立網路安全生命週期的風險管理。

特別的是,在2018年的NIST CSF 1.1版後,不僅是將5大功能,從22類別與98項子類別,擴增到23類與108項。在此當中,新版特別針對供應鏈安全、身份識別與驗證,以及自我評估資安風險的內容,進行強化,因此,更能貼近目前實務面的需求,並成為不限組織規模大小和業務型態,所有企業對於網路安全強化都能通用的架構。

為了方便組織採用,NIST已經提供使用CSF的7個步驟,幫助打造與實施所需的管控措施。讓組織或企業可以依據其安全現況,進行風險評鑑,然後自訂出想要達成的目標輪廓,評估出優先強化的順序以實施計畫,並藉由框架來持續評估其安全成熟度。

但要注意的是,許多資安標準導入或是制度推動,都有一項關鍵要素,那就是要獲得公司上層的支持。因此,NIST也建議,組織應透過由上而下來貫徹與落實資安政策,並且持續地進行。

企業該如何做?從組織運作方式來看,可採用由上而下的方式,從最高的管理層(Executive Level)、業務層(Business/Process Level),以及實施層(Implementation/Operations Level),經過這三個階層的互相合作,來落實這項整體安全的計畫。

以管理層為例,簡單來說,不僅是要關注組織所面臨的威脅,也要決定因應的措施與優先順序,因此要與業務層確認任務的優先順序、風險偏好與預算。

接下來,業務層將依照管理層的決定,進行現況盤點的輪廓側寫,並回報管理層與目標輪廓的差距,再往下交由實施層來擬定行動計畫。之後,上報實施結果,以供下一階段計畫評估。

值得注意的是,目前國內也有一些業者在談CSF,BSI英國標準協會就是一例。對於導入時的注意事項,他們的臺灣分公司客戶經理花俊傑給出3個建議:首先,CSF已經提供完整的文件和實施步驟,對於想要建置導入的組織而言,了解框架內容是第一步,同時也需要有管理階層的支持;其次,要從整個組織管理階層與本身業務結合,基於風險管理的角度,從資源與風險找出強化優先順序;最後,他提醒,這是要持續檢視的作法,不是做過一次就結束,周而復始進行才能維持一定的健康狀態。

此外,他也用日常身體健康檢查來比喻,資源越多檢查作法越細緻,資源少也還是能做到一個適當的檢視。

成熟度如何評估是關鍵,外部驗證是進一步的作法

在使用NIST網路網路安全框架時,往往可能還會面對成熟度評估的問題。除了CSF本身的實施層級,花俊傑也指出評估時可考量的3個元素,分別是風險管理流程、整合的風險管理計畫,以及外部參與等來進行評估。

如果企業還想提升評估的有效性,在自評方式之外,尋求外部第三方協助是進一步的作法。這樣的作法,如同企業管理一般也有內稽、外稽之別。

在NIST網路安全框架提出後,近年也已經發展出驗證方案,透過獨立第三方單位來協助實際評估,以進一步加強企業管控風險。而驗證方案的出現,這其實顯示出一件事,這個框架也開始被視為一項資安上的指標。

目前,BSI在2018年3月開始推出NIST CSF認證,HITRUST也在2018年5月提供相關評估方案,不過,兩者驗證方式不同。對於企業取得相關認證的現況,花俊傑表示,例如,包含美國、加拿大的企業,與臺灣鄰近的香港,也有雲端服務業者取得BSI的CSF證書。

對於評估作業可能遇到的難題,花俊傑也特別分享一些他們的經驗,供國內企業參考。舉例來說,對於NIST網路安全框架,BSI將成熟度分為5個等級,並有1到15的分數級別,每3分為一級,讓5個等級可以有更細的畫分,更容易瞭解下一成熟度的目標。

他舉例,以CSF識別功能的資產管理類別而言,如果組織沒有定義資產盤點的實施做法與計畫,評分上就會落在第一級的「無正式方法」;若組織對於資產盤點已有自定的規範程序和方法,並能依照規範要求執行,評分時就會達到第二級的「被動」;更進一步來看,如果組織在資安盤點上,已從風險角度涵蓋所有日常作業,並有量測的KPI指標,相關人員皆有足夠的培訓技能來自我管理,就能達到第三級的「主動」。

特別的是,如果還要達成第四級的「改善」和第五級的「最佳化」,他也具體指出,企業需要的是建置自動化的監督與量測系統,投入更多資源,並且考量從各種來源的不同輸入資訊,進而決定有效地管理風險和改善作業。

另外,關於BSI的CSF證書,他也表示,企業必須先取得ISO 27001認證,因為它是所有企業通泛適用的基礎,對已導入的企業而言,可透過CSF對網路安全的面向提升,朝更好的成熟度邁進。

NIST網路安全框架的源起

圖片來源/NIST

由美國國家標準技術研究所(NIST)提出的網路安全框架(Cybersecurity Framework,CSF),原是美國政府為改善關鍵基礎設施資安防護的需求而產生。

面對近年重大網路安全事件的威脅,在2013年2月,美國總統歐巴馬發布了第13636號行政命令(EO),下令NIST與利益相關方合作,根據現有的標準、指引與最佳實務作法,訂立一套可供相關單位採用的資安框架,能夠藉此強化網路安全。接著,NIST也在同年7月,推出該框架的草案,並於2014年2月發布1.0正式版本。

後續,在2017年5月,美國總統川普簽署新的行政命令,更是要求所有美國190個聯邦機構,依循Cybersecurity Framework框架。而NIST也在蒐集已採用企業與單位的意見回饋後,於2018年4月發布此框架的1.1版。

雖然,這個網路安全框架一開始要求的實施對象是政府單位,但其實也不限於政府單位採用,而且它也受到受到全球多國組織與企業的認可,不只是影響多國在關鍵基礎建設的網路安全法規面,同時也成為企業強化自身網路環境安全,相當值得參考的工具。

 相關報導  NIST網路安全框架當紅

熱門新聞

Advertisement