海外丨实施NIST网络安全框架的5个步骤

美国国家标准与技术研究所(National Institute of Standards and Technology)的网络安全框架(简称NIST CSF)的第一个版本于2014年发布，旨在为寻求加强网络安全防御的组织提供指导。它是由来自政府、学术界和各行各业的网络安全专业人士在巴拉克•奥巴马(Barack Obama)总统的要求下创建的，后来被新政府纳入联邦政府政策。

虽然绝大多数组织都能认识到网络安全框架对于改善企业网络安全方面具有很大的价值，但根据企业安全状况调整和实施安全框架不是一件容易的事。NIST CSF的内容可供所有人免费使用，因此我们不打算在此深入讨论。下文中，我们将列出五个步骤来帮助你实现NIST CSF安全框架。

在你开始考虑实施NIST CSF之前，组织首先必须设定目标。第一个障碍通常是，在整个组织中就风险容忍度水平达成一致。在高层管理和IT部门之间，关于可接受的风险水平通常存在分歧。

首先，起草一份关于风险治理的最终协议，明确说明可接受的风险水平。其次，企业的管理层必须保持一致。制定预算，设定各步骤实施的优先级，确定需要关注的业务部门。

从组织内的一个部门或部门内的某个Team开始是很有意义的。可以执行一个试验计划，确定哪些项目是有效的，哪些是无效的，并确定适合更广泛部署的正确工具和最佳实践。这将帮助你制定进一步的实施并准确估算成本。

下一步是深入挖掘并根据你的特定业务需求定制框架。NIST的框架实现层将帮助你了解你目前的状况和需要达到的目标。它们分为三个方面:

●风险管理过程

●综合风险管理计划

●外部参与

NIST CSF不是一成不变的，它可以根据组织的类型进行修改。你可以按照人员、流程、工具进行分类，或者将自己的类别添加到框架中。

NIST框架实现层可以分为四层：

第1层 - 对网络安全的认识和立场表示不一致；
第2层 - 网络安全规划一致并且有风险意识；
第3层 - 组织范围内存在可重复使用的、一致的CSF标准和政策；
第4层 - 对网络安全威胁进行主动检测和预测。

CSF标准可以通过增加更高级别的层次来完整的实现，但是最好定制这些级别，以确保它们与你的目标一致。使用自定义的层级来设置目标分数，并确保所有利益相关者在开始之前都同意。最有效的实现方法是针对特定企业业务的量身定制。

现在是时候进行详细的风险评估以确定企业当前的状态。从特定的功能区域或单独对整个组织进行评估是一个好主意。确定进行风险评估的开源或商业软件工具，并培训员工使用它们，或者雇佣第三方来进行风险评估。例如，漏洞扫描器，CIS基准测试，钓鱼测试，行为分析等等。关键是执行风险评估的人不能知道你所期待的目标分数。

实施CSF的团队检查并汇总最终得分，然后再将其提交给利益相关者。这个过程的目标是让你的组织清楚地了解组织运营（包括任务，功能，图像或信誉），组织资产和个人的安全风险。漏洞和威胁应该被识别并完全记录在案。

例如，在下面的图表中，组织已经确定了三个功能区域:策略、网络和应用程序。它们可以跨越混合云，也可以被分解到不同的环境中，以便在更详细的级别上跟踪，在这种情况下，另一个需要考虑的问题是，不同的功能区域的负责人是否会负责现场部署和云部署。

在左侧，热图列出了不同的CSF功能，可以扩展到任何详细程度。使用四点标度，绿色表示一切正常，黄色表示区域需要工作，红色保证密切分析和纠正。这里，为了将评估得分与跨业务单元核心组进行比较，打破了“识别”核心功能。与组织的目标相比，将SME和核心分数取平均值，然后计算风险差距。较高的差距需要更快的补救措施。从表格来看，该组织的“保护”和“响应”区域是最脆弱的。

凭借对风险和潜在业务影响的深入了解，你可以继续进行差距分析。我们的想法是将你的实际分数与目标分数进行比较。你可能想要创建一个热图来以可访问和易于理解的方式说明结果。任何重大差异都会立即突出显示你想要关注的区域。

找出缩小当前分数和目标分数之间差距的方法。制定行动计划，通过与利益相关方的讨论，来决定可以采取哪些措施提高分数并确定其优先级。具体的项目需求、项目预算和人员水平都可能影响你的计划。

通过了解企业当前的安全状况，明确企业的安全目标，进行全面的差距分析和采取一系列补救措施，你的组织就可以实施NIST CSF安全框架了。在实施NIST CSF安全框架过程中，通过记录流程并准备培训材料，以便在企业内更广泛地实施。

行动计划的实施并不是结束。你需要设置指标以测试其有效性，并不断地重新评估框架，以确保它满足预期。这应该包括一个与关键决策者进行迭代和验证的持续过程。为了获得最大的收益，你需要改进实施流程，并进一步定制NIST CSF安全框架以满足你的业务需求。