版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
網(wǎng)絡安全架構安全框架之綜述這是一篇關于安全框架的集大成之作。結合了9種具體框架進行了綜述:ISO27001、NISTCSF、ISO27002、NISTSP800-53、NISTSP800-171、CIS20、ISA/IEC62443、COBIT2019、ITIL。安全框架為構建一致性安全能力提供了良好基礎,但框架的多樣性可能使其成為一個艱難的選擇。安全框架包含三類框架族:安全控制框架(SCF)、安全管理計劃(SMP)框架、IT治理框架(ITGF)。選擇控制很重要,但正確地管理控制更重要。一個管理不善的好控制,可能不如一個管理良好的壞控制。這就是為什么說:安全管理計劃(SMP)是最重要的框架。安全框架與風險管理的關系:組織應采用基于風險的方法,來選擇和管理各項安全控制措施。RMF(風險管理框架)提供了決策過程,支持確定活動優(yōu)先級、與業(yè)務溝通、證明費用和資源合理性。最重要的是,它提供了一種持續(xù)評估業(yè)務活動、環(huán)境的方法。所有安全框架,只有在與風險管理方法結合時,才能提供最佳結果。安全框架與安全架構的關系:安全架構不是一個框架。安全架構是一種為決策過程定義規(guī)則的方法,它使用安全框架來提供在給定用例中必須使用的安全控制組件。對于沒有安全架構功能的組織,安全框架提供了一種有價值的引導方法;對于具有安全架構功能的組織,安全框架也可以通過指示一組公共控制來加快將業(yè)務需求轉換為控制標識的過程。關于安全架構之綜述,請參見《建立安全架構方法的指導框架》,以了解如何使用安全架構方法,從安全框架中獲得最佳效果,并與風險管理相集成。本報告譯自Gartner于2020年非公開發(fā)布的《SecurityFrameworks:TheWhatandWhy,andHowtoSelectYours》。譯文近兩萬字,精簡至一萬言,稍作結構調(diào)整。并無商業(yè)目的,只為同步信息。如果存在侵權,聯(lián)系筆者刪除。本文目錄一、概述1)主要發(fā)現(xiàn)2)建議二、比較框架族1)框架族的關系2)框架族的比較三、解釋框架1)安全控制框架(SCF)2)安全管理計劃(SMP)框架3)IT治理框架(ITGF)4)三種框架應該一起工作5)控制列表需要篩選和排序6)相關聯(lián)的框架更容易協(xié)調(diào)7)映射工具:統(tǒng)一合規(guī)框架(UCF)四、選擇框架1)決定使用哪個框架套件2)建立在現(xiàn)有計劃的基礎上五、使用框架1)風險管理為過程提升成熟度2)IT治理是安全的使能器3)安全管理計劃是最重要的框架六、框架說明1)安全控制框架(SCF)ISO27002NISTSP800-53NISTSP800-171CIS20ISA/IEC624432)IT治理框架(ITGF)口COBIT2019信息安全口ITIL3)安全管理計劃(SMP)^ISO27001口NISTCSF關鍵詞:.SCF(安全控制框架).SMP(安全管理計劃).ITGF(IT治理框架).ITIL(IT基礎設施庫).ITSM(IT服務管理).ISMS(信息安全管理系統(tǒng)).CIS(Internet安全中心).CSF(網(wǎng)絡安全框架).COBIT(信息系統(tǒng)和技術控制目標).RMF(風險管理框架)一、概述01主要發(fā)現(xiàn).安全管理計劃(SMP)是最重要的框架。國際標準化組織(ISO)稱之為信息安全管理系統(tǒng)(ISMS)。若想在沒有SMP的情況下實現(xiàn)控制,幾乎是無法保障的。著名的SMP包括NISTCSF和ISO27001。.安全控制框架(SCF)為控制提供了良好的基線,但得益于基于風險的控制選擇過程。最受歡迎的SCF是CIS20、NISTSP800-53、ISO27002。.IT治理框架(ITGF)是安全的使能器。IT治理提供了資產(chǎn)管理、變更管理、企業(yè)規(guī)劃——即安全有效性的所有基礎。著名的ITGF包括COBIT和ITIL。02建議負責選擇或實施安全框架的安全和風險管理技術專家,應采取以下步驟:.當剛開始很少或沒有時,使用CIS20來提供基本的衛(wèi)生、溝通、計劃。一旦你可以成熟你的方法,則盡快引入一種基于安全管理計劃(SMP)的方法。.如果你已經(jīng)制定了安全策略,又正好需要一個溝通或組織工具,則從NIST網(wǎng)絡安全框架(CSF)開始。在此基礎之上,再使用NISTSP800-53(或ISO27002),隨著時間推移深入發(fā)展。如果可能的話,在任何地方使用單一的安全管理計劃(SMP)框架和實現(xiàn)。因為不同的安全方法,將導致混亂。二、比較框架族01框架族的關系許多組織都認識到,需要一種結構化的方法,來提供可靠有效的控制。然而,從頭開始構建一個控制列表可能會很費勁,也容易出現(xiàn)各種錯誤。對于沒有安全架構功能的組織,安全框架提供了一種有價值的引導方法。而對于那些具有安全架構功能的組織,這些框架也可以通過指示一組公共控制,來加快將業(yè)務需求轉換為控制標識的過程。Gartner已經(jīng)明確了三種安全框架族:安全控制框架、治理框架、安全計劃管理框架。這些框架族不同于風險管理方法,但與之密切相關。圖1展示了這三個框架族是如何聯(lián)系在一起的,還展示了風險管理和安全架構如何與安全框架的使用相關聯(lián)。特征分別如下:1)IT治理框架(ITGF)具有以下特點:?聚焦于IT治理而非安全性.對過程控制而非技術控制(如變更、資產(chǎn)或事件管理)的嚴重傾向?安全性被視為一個補充性問題,而風險管理可能更接近框架的核心2)安全管理計劃(SMP)框架具有以下特點:?聚焦于安全治理過程、政策、度量和質量維護?可能包含控制列表,但與更大的控制框架相關?提供安全計劃的實施框架,而非基于戰(zhàn)術控制的方法3)安全控制框架(SCF)具有以下主要特征:?包含了可能在您的環(huán)境中使用的控制的大列表?很少或根本不討論過程或其他治理?需要某種形式的選擇過程,這樣您就不需要實施所有列出的控制組織需要安全框架做兩件事:1)實現(xiàn)組織的控制列表:保護他們的環(huán)境證明預算的合理性制定全面的安全計劃2)定義和管理其計劃的方法論,使組織能夠:合規(guī)使審計員滿意改善他們的風險管理成效本文重點介紹上述三個安全框架族。而關于風險管理和安全架構的內(nèi)容,不在本文中詳細描述:?風險管理框架(RMF):提供了決策過程。RMF是一個具有廣泛影響的復雜主題。之所以強調(diào)RMF,源于在開發(fā)和運行安全計劃時使用基于風險的方法的重要性。RMF支持確定優(yōu)先級、支出理由、度量成效。最重要的是,它提供了一種持續(xù)評估業(yè)務活動、環(huán)境的方法。所有安全框架,只有在與風險管理方法結合時,才能提供最佳結果。?安全架構(方法論):不是一個安全框架。相反,它是一種為決
策過程定義規(guī)則的方法,它使用框架來提供在給定用例中必須使用的安全控制組件。參見《建立安全架構方法的指導框架》,了解如何使用正式方法從安全框架中獲得最佳效果,并與風險管理集成。02框架族的比較圖2顯示了本文檔中討論的框架(即橫軸)針對評判標準(即縱軸)的響應。對評判標準的解釋評判標準聚焦安全控制解釋該框架包含一個全面的或其他的安全控制列表,包括可以應用的技術控制和過程控制。這樣一個列表應該涵蓋適用于框架預對評判標準的解釋評判標準聚焦安全控制詳細控制框架在控制的描述和要求中,包含不同級別的細節(jié)信息。一些框架,如CIS20,是特意的高級別框架。而其他的框架,比如治理框架,可能在非安全性(即服務管理和治理)控制領域有更多的細節(jié),因為這是框架的主要關注點。詳細控制安全管理計劃一個簡單的控制列表并不足以幫助組織制定可靠的安全計劃。(SMP)還需要一個安全計劃,被ISO稱為信息安全管理系統(tǒng)(ISMS)。這是對計劃的一種有用的思考方式一一過程和治理的集合,它們共同構成了一種系統(tǒng)的和嚴謹?shù)姆椒▉砜刂茖崿F(xiàn)。控制框架也可能包含ISMS,但通常作為單獨(相關)標準提供的,如NISTSP800-53和NISTCSF。評判標準解釋集成的風險管理Gartner的立場是,組織應根據(jù)風險選擇和管理控制,以確??蚣芨玫貐f(xié)調(diào)和排序資源分配。僅僅選擇控制或試圖在SCF中應用完整列表,將導致一些人的支出過度,而另一些人的支出不足,導致控制無法與業(yè)務風險保持一致。組織應該使用風險管理方法,這些方法可以基于風險管理框架。相關的風險管理不包含某種程度的風險管理的SCF,可能有旨在整合的密切相框架關的標準。NISTSP800-37和ISO27005(或更廣泛范圍的ISO31000)都提供了這一點。注意安全風險不與企業(yè)風險一樣;將一個框架用于另一個目的,將導致不恰當?shù)脑u估和風險管理。安全報告過程該框架包含一個固有的過程來支持度量,并向領導層和其他干系人報告這些度量指標。該報告是一個主要的溝通工具,有助于明確風險管理的有效性以及資源和預算討論??捎玫慕M織認證遵守框架是可取的,但在某些情況下需要加以確認,例如對于潛在的安全敏感服務的服務提供商。合規(guī)性的證明通常由第三方提供。在編寫本報告時,只有NISTSP800-171和ISO27001可在組織層面獲得認證。NISTSP800-171只是一個特定的用例;而ISO認證很少適用于整個組織。NISTCSF目前不可認證,但可能會根據(jù)NISTSP800-171和FedRAMP認證決策的未來而改變。需要專門技能提供對安全框架的合規(guī)性或一致性并不簡單。認證人員是有用的。有些框架向個人提供特定的培訓或認證,以支持他們的發(fā)展。一些框架要么非常復雜,要么有其他特定的要求(如NISTSP800-171),因此需要專門培訓。主要范圍:IT一般IT的安全方法不同于操作技術(OT)和物聯(lián)網(wǎng)(IoT)。或OTIT的安全標準可用于OT,但不是特定的,可能與OT沒有直接關系。而OT標準不能有效地用于IT。過程范圍這將考慮框架是否包括對控制和/或組織內(nèi)更廣泛的安全活動進行管理的過程的要求、建議或其他信息。獨立標準標準是獨立于行業(yè)還是國家所有制?一些組織更喜歡使用獨立于任何既得利益的標準或定義,如ISO或Internet安全中心(CIS)。有些要求只使用國家標準,這可能會妨礙它們使用這里列出的框架。免費使用這些標準都不昂貴(NIST和CIS文件是免費的)。然而,組織內(nèi)大量的許可副本可能會變得昂貴。請注意,“付費”并不一定等于“更好”。例如,NIST標準是免費的,但被視為標準領域的領導者。三、解釋框架01安全控制框架(SCF)SCF主要由一系列控制組成,這些控制在較小或較大程度上是通過各種選擇、操控、管理方法打包的。比較知名的SCF如下:?通用SCF:Gartner最常用的三種是ISO27002、NISTSP800-53、CIS20。?特定用例SCF:它們旨在解決特定的用例,比如NISTSP800171和ISA/IEC62443。?統(tǒng)一合規(guī)框架(UCF):UCF是一個綜合的(商業(yè))映射系統(tǒng),它映射法規(guī)、標準和其他控制驅動因素,但它并不是一個獨立的框架。SCF可以單獨使用。但是,如果缺少安全管理計劃(SMP),將會嚴重限制控制列表的長期有效性和可靠性,將很難與領導層進行富有成效的對話,也很難與同級團隊達成一致。02安全管理計劃(SMP)框架SMP框架提供了一種更廣泛和正式的安全治理方法,來管理安全性,而不是〃僅僅”一個控制列表。SMP在ISO27001中被稱為ISMS(信息安全管理系統(tǒng))。之所以也稱為〃系統(tǒng)”,其實是想強調(diào):實施和治理應該以系統(tǒng)的和可重復的方式執(zhí)行,而非任何單一的設備或工具。安全管理計劃(SMP)已成為事實上的要求。它要求您在治理和流程上更加嚴謹,以確保:您為您的風險要求,選擇了正確的控制。您可以有效且持續(xù)地管理控制。你記錄下你這樣做的證據(jù)。你提供了有效的安全保障。Gartner強烈建議,任何成功的安全方法,都應包括一個安全管理計劃(SMP),旨在提供安全控制實施的周期性治理、度量和持續(xù)改進。03IT治理框架(ITGF)ITGF是一種管理更廣泛的IT關注點的方法論,可能也會包括安全性,但并不以安全為重點。例如,ITIL(信息技術基礎設施庫)聚焦于IT服務管理(ITSM),使IT與業(yè)務需求保持一致。它們可能提供特定于安全性的框架,比如ITIL安全管理組件。由于安全性存在于IT和業(yè)務流程的世界中,IT治理框架(ITGF)具有重大影響,因為ITGF提供了安全性可以利用的過程和方法。04三種框架應該一起工作對于大多數(shù)組織來說,安全控制框架幾乎完全由一系列控制組成。但是,控制本身并不能有效地保護您的組織。就像CIS20和ISO27002,雖然非常流行,但不足以實現(xiàn)始終如一的“良好”安全效果。為了獲得更高的成熟度、更好的效率以及度量和溝通的能力,組織需要使用安全管理計劃(SMP)框架,來管理安全控制。這不僅適用于過程控制,也適用于技術控制。就像使用CIS20的組織,最終被迫要開發(fā)一個安全管理計劃(SMP),以便為20個控制和大約200個子控制中的每一個實現(xiàn)提供信心。IT治理是安全的使能器。IT治理框架(ITGF)對安全性具有重大影響。IT治理提供了變更管理、資產(chǎn)管理、企業(yè)規(guī)劃——即安全有效性的所有基礎。一個有組織的安全計劃與一個有組織的IT計劃共存時,將提供健壯的安全成效。綜上所述,通過實現(xiàn)所有三種框架,組織可以從安全控制定義、安全治理過程、安全和IT治理之間的一致性中獲益。當所有三種框架類型一起工作時,就可以在安全性的組織和交付方面實現(xiàn)卓越。05控制列表需要篩選和排序對許多組織來說,即使從長遠來看,180個控制也可能太貴、太多。那么,我應該做的第一件事是什么?剩下的我怎么做?這個要多少錢?框架中的控制列表,尤其是NISTSP800-53或ISO27002中的較大列表,只有經(jīng)過篩選和排序,才能有效地使用。即使是NISTSP800-53,盡管它已經(jīng)根據(jù)數(shù)據(jù)敏感性將控制預分類為三個基線,也仍需要改進以反映上下文。圖3已經(jīng)展示了大多數(shù)組織中做控制選擇的真實驅動因素。圖3-控制選擇的驅動因素需要根據(jù)以下驅動因素,應用篩選過程:告知作用域的IT上下文。合規(guī)要求:如果第三方機構要求你做某事,那么你必須做。風險管理驅動因素:在前兩個過濾器之后,還需要對環(huán)境執(zhí)行風險評估,以決定任何額外的控制要求。在篩選過程中,您必須記錄系統(tǒng)中不包含所需或建議的控制的所有理由。因為審計員喜歡正當理由。如果沒有記錄,您將無法解釋丟失的控制,也無法在發(fā)生變更時重新訪問該項決策。所有安全控制框架都希望您在某個時候應用基于風險的過濾器。Gartner建議將風險管理作為有效安全管理的基本能力。它允許您確定活動優(yōu)先級、與業(yè)務溝通、證明費用和資源合理性。06相關聯(lián)的框架更容易協(xié)調(diào)NIST在800系列中提供了廣泛的安全出版物。最著名的是NISTSP800-53、NISTCSF、NISTSP800-171。ISO也是類似的,在ISO27000系列中,有40個或更多的文檔覆蓋了一系列安全域。選擇一種方法并堅持下去,比使用不同套件的不同標準更加容易:.如果需要使用ISO27001,請使用ISO27002進行控制,不要試圖直接使用NISTSP800-53。如果還需要風險管理框架,請考慮ISO31000或ISO27005。.如果需要使用NISTSP800-171,則使用NISTCSF和NISTSP800-53,同時使用NIST800-37風險管理。如果確實需要使用或反映多個框架套件,請考慮使用統(tǒng)一合規(guī)框架(UCF)。即使必須映射控制,也要選擇一框架套件作為您的主方法。07映射工具:統(tǒng)一合規(guī)框架(UCF)這里列出的許多框架,都在附錄或其他地方包含了映射工具。ISACACOBIT和NISTSP800-53提供了這樣的框架,但是映射的范圍可以限制在一個或兩個其他框架內(nèi)。UCF是一個商業(yè)性的映射解決方案,遠遠超出了核心安全框架的范圍,監(jiān)控了廣泛的標準、法規(guī)和其他方法,并映射了它們之間的控制需求。但不應單獨使用UCF。在確定需要哪些控制之后,需要對這些控制進行詳細評估,并進行風險評估,以評估控制的水平和范圍。此外,UCF沒有提供ISMS,也沒有建議遵循哪些原則,這仍然需要由組織決定。UCF強調(diào)了安全控制管理的一個最重要的部分。為確定需要哪些控制,您需要考慮組織所在的法規(guī)和合同環(huán)境。四、選擇框架01決定使用哪個框架套件沒有哪個單獨的框架,對于所有的用例都是完整的。最接近完整的框架是NISTCSF和ISO27001標準。使用完整框架的問題在于,
您必須能夠確定優(yōu)先級。雖然基于風險的方法對于有效和高效的安全非常重要,但它們需要時間來實施,而且在一開始可能不是一個實際的幫助。在這種情況下,請回到基礎上來,即把基本的控制放在適當?shù)奈恢?,專注于開發(fā)管理實踐,然后隨著時間推移逐漸建立起來。圖4中提供了一個決策流程,幫助您按照所面臨的主要問題組織思考。蒂口使用待定的脾蒂口使用待定的脾gf1ST非800.171,NISTSP27(W1LNO*倒是否有正在整用&3IT治逢框架?—No+懷盆荏新庇上立1R嗎?-NottMcts班柞為檢點atiso?TO1(「優(yōu)飩看WilE的■朝911:yLIY"如昊券X推也,申于開責岫瞬映.在,鼻和輯寵■海錨Ximr的安全件膝「迎步x知N皓TSF眄Qi甲£■£>gCSF.評做1Pg方知定州劇歐汨瓦圖4-決定使用哪個框架套件如果之前用過任何框架,那么顯然會傾向于使用和開發(fā)那種方法。但如果使用的框架有問題,您可能不得不重新選擇框架。你必須遵循特定的框架嗎?在美國處理政府敏感數(shù)據(jù)的人員需要NISTSP800-171?,F(xiàn)有的IT治理框架為引入安全流程和直接相關的控制提供了堅實的基礎。但從長遠來看,ITGF安全控制評估可能是不夠的。因此,隨著ITGF方法的成熟,希望引入一個以安全性為中心的框架°ITGF和以安全為中心的框架協(xié)同工作得非常好:一個框架提供優(yōu)秀的治理,另一個框架提供控制選擇和安全管理技術?!跋蛏蠝贤ā笔谴蠖鄶?shù)安全經(jīng)理的必備條件。向高級管理層描述安全計劃、進展、有效性(及其資源需求)對成功至關重要。CIS20是向IT部門報告的良好起點,因為控制群組很好地映射到了常見的IT和網(wǎng)絡問題。NISTCSF也為向上展示提供了一個完整的框架,其中包括一個自我評估工具和其他制品。而ISO27000標準則根本沒有解決這個問題。02建立在現(xiàn)有計劃的基礎上許多組織已經(jīng)為安全管理準備了一些東西,然而是非正式的。如果沒有策略、過程、報告或任何形式的正式文檔,那么它就不是一個安全管理計劃(SMP)。如果已有安全管理計劃(SMP),并且是基于您選擇的框架,那么很好,說明一些基礎工作已經(jīng)完成。但你需要重新審視這些基礎工作,以獲得對〃現(xiàn)狀”的理解:.您是否使用CIS20,如果是,子控制的狀態(tài)如何?.您是否在使用ISO27001,如果是,ISMS是否已經(jīng)啟動或實施?.如果您使用的是NISTSP800-53,選擇了哪些控制?文件在哪里解釋了他們是如何被選中的,以及為什么被選中的?一旦獲得了這些歷史信息,就可以在開發(fā)控制的同時為框架構建ISMS。使用基于風險的方法,重新評估現(xiàn)有控制措施并確定新的控制。安全管理計劃(SMP)比安全控制更難,比如說NISTCSF與ISO27001就有很大不同,您無法像映射控制那樣,輕松映射治理過程。但您可以利用先前存在的治理、流程和記錄,從頭開始重建是不必要的。五、使用框架01風險管理為過程提升成熟度一些基本控制是普遍適用的,比如CIS20中規(guī)定的基線控制。但在某個時候,比如在項目早期,你需要基于風險管理做出決策和溝通。業(yè)務領導想知道你為什么要花錢,而審計員想知道你為什么不花錢。你需要根據(jù)以下思路來陳述:.“我們面對這個問題,這意味著我們的業(yè)務面臨著這種程度的損失。".“我們需要花費這筆錢實施控制,以便業(yè)務風險達到可以接受的水平。".“我們已經(jīng)確定這個控制不適合我們的需要,因為實現(xiàn)的成本將超過它所解決的風險”.通過實施這種控制,我們允許IT這樣做,從而安全地實現(xiàn)業(yè)務目標。02IT治理是安全的使能器安全性依賴于IT過程作為使能器。分散的IT治理,例如缺乏變更和資產(chǎn)管理,或者沒有企業(yè)架構或戰(zhàn)略,使得安全性變得不那么有效,也難于計劃和管理。問題將隨著組織的規(guī)模和復雜性而增加,因為非正式的IT管理方法可能會逐漸失去可見性和控制。如果您有一個ITGF,它將是安全管理的一個良好起點,但更重要的是,它意味著許多關鍵的基礎實踐也將到位。比如說,三個主要的SCF都將資產(chǎn)管理作為控制。而實際上,資產(chǎn)管理很少是IT安全的責任,也不應該是。IT治理使安全性更好。你應該在堅實的基礎上建造安全墻,其中大部分來自IT或HR。03安全管理計劃是最重要的框架選擇控制很重要,但正確管理控制更為重要。一個管理不善的好控制,可能不如一個管理良好的壞控制有用。審計員喜歡過程。他們喜歡一個沒有技術的過程,勝過一項沒有過程的技術。隨著環(huán)境的變化,您的控制措施可能需要顯著改變。隨著不同類型的數(shù)據(jù)在各種環(huán)境中移動,例如云SaaS、IaaS、供應商和合作伙伴,對控制的選擇、實施和監(jiān)控進行管理的過程,也會變得越來越重要。安全管理計劃(SMP)是將所有安全組件(控制選擇、安全家規(guī)、風險管理、安全框架、合規(guī)性、運行和策略)有效地結合在一起的粘合劑。從臨時和非正式的方法,到正式的、有文檔記錄的系統(tǒng),構建這種治理必須是一個高度優(yōu)先的任務。六、框架說明01安全控制框架(SCF)ISO27002ISO27002可能是所有可用框架中歷史最長的一個,以及它的姊妹文檔ISO27001。在2005年NISTSP800-53首次發(fā)布之前,ISO27002是唯一一個包含安全控制選項綜合列表的公認標準。該框架包含大量的控制聲明,包括控制應如何操作以及該控制將實現(xiàn)的結果的必需和建議的詳細信息。許多控制都是以面向過程的方式編寫的。這突出了ISO27002的背景,即它實際上是比ISO27001的附件更詳細和全面的控制方法°ISO方法完全是關于過程的,這就是為什么只有ISO27001才可以獲得認證。NISTSP800-53在編寫本報告時,NISTSP800-53以第4版發(fā)布,而第5版尚處于草稿階段。NIST800系列安全文件由美國聯(lián)邦機構NIST提供。它們專門為美國聯(lián)邦機構提供基線和框架,是聯(lián)邦信息安全管理法案(FISMA)合規(guī)性的重要組成部分。然而,該框架產(chǎn)生了巨大的吸弓I力和興趣,原因有三:它比ISO27002略為全面,因為它包括選擇控制和評估安全性的過程(通過NISTSP800-53A),以及修訂版5中與隱私相關的特定控制。許多美國組織更喜歡使用NIST框架。向聯(lián)邦機構提供服務的組織,必須遵守NISTSP800-171,該標準與NISTSP800-53緊密結合。使用NISTSP800-53作為初步或擴展到800-171合規(guī)性,是合乎邏輯的步驟。有人認為,其技術控制清單有所改進,并在某種程度上預選。還注意到,其控制與低、中、高靈敏度基線的相關性。對于某些控制要求,NISTSP800-53更為具體。這使得NIST800系列幾乎成為一個現(xiàn)成的安全計劃。因此,NISTSP800-53是一個獨立的控制框架,為安全治理提供了全面的方法。NISTSP800-171向美國聯(lián)邦機構提供服務的組織,可能需要遵守NISTSP800-171,其中服務中包含特定的信息敏感性。標題“保護非聯(lián)邦系統(tǒng)和組織中的受控非密信息”對此進行了描述。不建議未參與此類服務或不打算參與此類服務的組織使用此標準。NISTSP800-171是NISTSP800-53的一個子集,與特定的過程要求一起。NISTSP800-171在附錄中包括了與NISTCSF和NISTSP800-53的控制映射。CIS20CIS20在歷史上被稱為SANS20,但在2015年被CIS接管。CIS以其確保各種系統(tǒng)和設備安全(“加固")的全面技術基準清單而聞名。顧名思義,框架列出了20個區(qū)域(稱為控制),而每個區(qū)域又包含了多達20個更詳細的控制要求。對于一無所有或剛剛起步的組織來說,CIS20非常受歡迎。一個常見的誤會是將其視為僅包含20個控制的列表,而實際上它包含150個以上的詳細項。詳細的控制是具體的和規(guī)定性的,并且主要集中在基本安全控制上,即所有組織都應該在某個級別上使用的控制,不管它們作為安全實踐的成熟程如何。從架構的角度來看,CIS20提供了物理層安全機制的詳細信息,而NISTSP800-53和ISO27002提供了邏輯層的安全服務描述。CIS20確實缺乏任何基于風險的方法,以選擇控制、討論治理(如標準和政策)或更高級別的ISMS指導。CIS20是一個很好的起點,它提出了大多數(shù)(如果不是所有)組織都應該至少使用的通用最佳實踐控制。但對于構建控制框架的長期成熟方法,NIST和ISO方法更為合適。ISA/IEC62443國際自動化協(xié)會(ISA)為自動化過程中使用的設備和系統(tǒng)而非企業(yè)IT制定了各種標準。有時也被認為是操作/運營技術(OT),這些設備通常需要與IT系統(tǒng)不同的安全模式。雖然有些核心原則顯然是一致的,但將ISA/IEC62443應用于ICT(信息和通信技術)環(huán)境是不明智的。ISA/IEC62443標準應被視為自動化控制系統(tǒng)環(huán)境中使用的特定框架,而不適合企業(yè)IT。02IT治理框架(ITGF)■COBIT2019信息安全COBIT是ISACA(信息系統(tǒng)審計與控制協(xié)會)開發(fā)和維護的IT治理框架°ISACA為那些希望更好地管理其整體IT的人和負責審計IT的人提供支持。20多年來,該框架被希望對IT治理的各個領域進行嚴格管理的組織所使用。COBIT隨著時間的推移而擴展,弓1入了治理的其他方面,包括安全性。但其安全部分比專用的SCF框架更加有限。所以,除非組織中使用COBIT作為IT治理方法,一般很少看到組織使用COBIT來實現(xiàn)信息安全。ITILITIL(撰寫本文時的版本4)提供了將IT視為服務的方法,并將服務管理概念應用于治理和交付。它有助于使IT實踐與業(yè)務需求保持一致,并對IT的交付提供強有力的控制,以支持業(yè)務。一個關鍵的概念是〃服務水平協(xié)議”(SLA),它有助于提供度量安全性交付的目標和重點°ITIL安全管理聚焦于定義ITIL上下文中安全工作方式的過程,并最終定義可能需要的控制。但是,它并沒有提供控制本身的列表,而是一個面向過程的框架。03安全管理計劃(SMP)ISO27001ISO27001定義了如何開發(fā)和實現(xiàn)安全管理系統(tǒng)(ISMS),以提供足夠的治理和控制,從而實現(xiàn)認證。它包含了一個基于“計劃、執(zhí)行、檢查、行動”(PDCA)周期的過程、治理和風險評估與領導支持的要求。作為認證過程的一部分,它還提供了100多個必須由組織記錄的控制。在27000系列中,ISO27001還附帶了40多個其他標準(包括上面描述的ISO27002),這些標準以不同的詳細程度處理了安全治理的其他方面。ISO27001是壽命最長的框架之一,作為一種安全治理對齊的方法論非常流行。重要的是,ISO27001認證對于提供服務和某些情況下提供產(chǎn)品的組織而言,實際上是必須具備的資質。NISTCSFNISTCSF自2014年開始提供,在撰寫本文時為1.1版。它是一個安全治理框架,基于風險的方法來定義安全過程、安全能力層、安全控制。它使用了五步方法(IPDRR,即識別、保護、檢測、響應、恢復)來實現(xiàn)安全流程和治理,并對控制進行了分類。從
NIST的角度來看,IPDRR是一個有效的安全管理計劃(SMP)所需的五個高級過程類別。NISTCSF提供了廣泛的控制列表,但這些控制的級
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 肛周瘙癢癥的臨床護理
- 八年級英語EnviromentWriting課件
- JJF(陜) 051-2021 機動車 GNSS 區(qū)間測速監(jiān)測系統(tǒng)標準裝置校準規(guī)范
- JJF(陜) 004-2019 水泥膠砂流動度測定儀校準規(guī)范
- 人事風險管理的應對策略計劃
- 校園文化與美術教育互動探討計劃
- 適應變化的職場策略計劃
- 零倉儲模式下的保安管理與風險防控計劃
- 生物學科英語融合教學方案計劃
- 藝術與科技融合課程的前景分析計劃
- 醫(yī)療質量檢查分析、總結、反饋
- 《APQP培訓資料》
- 通信線路架空光纜通用圖紙指導
- 家具銷售合同,家居訂購訂貨協(xié)議A4標準版(精編版)
- 食品加工與保藏課件
- 有功、無功控制系統(tǒng)(AGCAVC)技術規(guī)范書
- PE拖拉管施工方案(完整版)
- 儲罐施工計劃
- 嵌入式課設實驗報告——貪吃蛇
- 【原創(chuàng)】“有理數(shù)比較大小”說課稿
- Q345鋼板焊接性能分析解析
評論
0/150
提交評論