iThome
面对网路攻击威胁不断发生,企业相当重视组织本身的资安态势,为了持续推动改善,这几年有一套网路安全框架,受到全球政府与企业的青睐,那就是美国国家标准与技术研究所(NIST)发布的Cybersecurity Framework,或称NIST网路安全框架,我们通常简称为NIST CSF。
这套框架已发展10年之久,如今是全球最广泛认可和使用的框架之一。特别是在2018年CSF 1.1版推出之后,这样的网路安全框架,受到多国组织与企业的认可,并也带动全球针对关键基础设施在网路安全立法保护的潮流。
隔年,iThome电脑报周刊也特别举办针对CSF探讨的Cybersec 101研讨会,是台湾第一个专门聚焦此议题的系列活动,多位资安专家介绍此框架的5大核心功能:识别、保护、侦测、回应、复原。后续我们也进行封面故事的报导,协助大家更加认识这个网路安全框架。
当时,台湾已有不少企业关注NIST CSF,认为面对网路安全风险的处理,应该要有通盘的考量,重视网路安全风险生命周期,而不只是头痛医头、脚痛医脚的方式去应对。
经过5年来的推广与发展,台湾已有一些企业带头导入NIST CSF。例如,根据一些上市柜公司的官网内容、发布的年报或ESG报告,我们都可以发现采用的迹象,因为有不少公司表明自身在应对资安风险管理上,不仅导入大家耳熟能详的国际资讯安全管理标准ISO 27001,也会提到他们采用NIST CSF框架,将网路安全控管机制整合在日常作业流程。
到了2024年,NIST CSF 2.0版发布,其重要变化再次受到全球各界的重视,因为当中特别将治理的位阶提升并且独立,是相当重大的演进。
这不仅是让网路安全风险的生命周期管理更为健全,也意味著,将网路安全风险管理提升到组织营运战略层面,确保高阶主管对于网路安全风险的关注,如同企业对于财务、声誉的重视。
新版强调网路安全治理的重要性,整体内容也更明确与简化
NIST CSF 2.0到底具有哪些特色?带来哪些改变?为了帮助不了解这套框架的企业,以及想要知道新版CSF有何变化的企业,能够快速理解。接下来,我们统整出CSF 2.0的7大重点。
重点1:明确定义适用范围不限于关键基础设施
基本上,NIST CSF 1.0版最早是2014年发布,当时主要目的是为了强化关键基础设施的网路安全。源自美国总统欧巴马在2013年2月,发布了第13636号行政命令(EO),要求该国NIST根据现有的标准与指南,订立一套可供关键基础设施采用的资安框架,以此强化网路安全。
到了2018年4月,CSF 1.1版发布,这次改版最大意义在于扩展运用范围,不仅涵盖先前注重的关键基础设施,同时,也要让所有的企业环境都能适用,再加上易于实施的5大核心功能,并具有灵活应用的弹性,帮助各组织可以更好地理解、减少与沟通网路安全风险。
虽然1.1版可运用在更多领域,但当时CSF正式文件的名称依然维持不变,称为《改善关键基础设施网路安全框架》(Framework for Improving Critical Infrastructure Cybersecurity)。
在2024年2月CSF 2.0版发布后,上述文件名称不再使用,直接改为The NIST Cybersecurity Framework(CSF)2.0,取而代之,避免外界可能产生误解。
这一转变,同样体现于框架内容中,NIST指出,尽管许多组织认为CSF 1.1版仍然有效应对网路安全风险,但考虑到技术与风险的变化,对这个框架进行一些改变仍是必要的,因此这次释出的2.0版,也希望让内容更加清晰明确,移除复杂的术语,使框架能够更适用所有的企业。
重点2:提升治理的高度,强调网路安全风险策略与管理
原本NIST CSF框架的发展,是围绕著五个核心功能构建,也就是识别、保护、侦测、回应、复原,由这些功能共同构成整体网路安全风险管理的基础。
NIST CSF 2.0版正式发布后,该框架已演进为六大核心功能,也就是治理(Govern)、识别(Identify)、保护(Protect)、侦测(Detect)、回应(Respond)、复原(Recover)。
当中最显著的变化是,CSF 2.0增加了「治理」的功能。值得注意的是,治理并非完全新创的内容,大部分内容是依据1.1版的类别,重新综合整理而成。
不过,2.0版这次变动的更大意义在于:治理的位阶明显提升,不仅贯穿整个网路安全框架,并涵盖6大类别,包括:组织环境、风险管理策略、角色与职责与授权,以及政策、监管,还有网路安全供应链风险管理。而这些内容所展现的主要宗旨,就是重视组织高层的参与,并要确保网路安全策略与企业的总体风险管理策略一致。
事实上,公司治理早已是企业永续经营的重要议题,如今CSF 2.0框架有了新的治理功能,将可以从符合老板与高层看待公司经营风险的角度,从治理的层面去审视网路安全风险评估,相对地,这也将促使能有更广泛的企业管理高层去承担网路安全政策角色,更负责地回应企业风险管理状况。
重点3:新增实施范例,有助于企业理解项目内容
以风险为基础的NIST CSF框架,可协助企业与组织建立通盘的网路安全策略,在新推出的2.0版,画分6大核心功能,并有22个类别与106个子类别,企业将可透过这106项子类别提供的控制措施,应对各种网路安全挑战。
值得我们注意的是,NIST为了帮助企业更容易实践CSF,同时提供了一系列的资源与工具,便于将CSF应用于组织内部,尤其是针对每个子类别提供的控制措施,全面新增「实施范例」。
简单来说,有了实施范例,代表企业可以更容易依循范例去执行,并且易于理解,以便达到CSF子类别的要求。
以GV.RM-03这项子类别为例,其说明是:网路安全风险管理活动与结果要纳入企业风险管理流程,NIST为此提供3个实施范例。
以范例1而言,将网路安全风险与其他企业风险(例如合规、财务、营运、法规、声誉、安全)一并汇总与管理;范例2则是在企业风险管理规画中,纳入网路安全风险管理者;至于范例3,是指在企业风险管理规画中,建立升级网路安全风险的标准。
我们可以发现,NIST针对每个子类别提供至少1个实施范例,有的更是多达10个。由于先前1.1版没有这样的内容,因此这次新版做出改变后,对企业组织而言,可以更容易理解该项目的要求。
关于全部的内容,NIST提供囊括所有CSF 2.0实施范例的Excel档,供企业下载该表格并使用,另外,用户也可透过其他CSF 2.0相关资源的指引,同样能找到完整内容的介绍与说明,像是NIST提供的参考工具(CSF 2.0 Reference Tool),或是CPRT网路安全与隐私参考工具(CSF 2.0 Dataset on CPRT)等。
重点4:提供5大快速入门指南,C-SCRM、ERM至关重要
这次改版,NIST还开发一系列快速入门指南(QSG),协助组织将CSF 2.0应用于其特定需求。最先发布的内容有5种类型,包括:1. 建立与使用组织轮廓(Profiles)的使用指南;2. 使用CSF层级(Tier)的指南;3. 网路安全供应链风险管理(C-SCRM)的快速入门指南;4. 企业风险管理(ERM)实践者的快速入门指南;5. 小型企业(SMB)的快速入门指南。
基本上,原先的CSF框架由三个要素组成,包含框架核心(Core),还有框架轮廓(Profiles),以及实施层级(Tiers)。
其中的框架核心,细分为6大功能,每个功能区分为多个类别,而每个类别还可分为多个子类别。
以框架轮廓(Profiles)而言,作用是帮助评估自身网路安全的轮廓,依据业务营运要求与风险评估的差异分析,找出改善网路安全态势的优先顺序,并订定逐年强化目标;以实施层级(Tiers)而言,则是可以帮助组织评估执行的程度,共画分有4个层级。因此,NIST提供这方面的指南相当合理。
值得关注的是,轮廓、层级这两者本来就是CSF框架的重要概念,但这次NIST还针对C-SCRM、ERM的面向提供指南,我们认为,这会是2.0版的全新焦点,其重要程度可能不下于既有框架内容,而且它们都于新的治理功能息息相关。
首先,以网路安全供应链风险管理(C-SCRM)的快速入门指南而言,NIST在此特别介绍如何使用CSF的GV.SC类别,来建立运作C-SCRM的能力,这部分可对应NIST在2022年5月释出的新版文件:SP 800-161r1。
以企业风险管理(ERM)的快速入门指南而言,当中介绍如何使用CSF来规画与整合企业整体范围的网路安全风险管理资讯,这部分对应的内容,是NIST从2020年10月陆续发表的一系列NIST IR 8286文件。
换言之,当我们要了解CSF 2.0框架时,上述这两系列文件也要一并重视。事实上,2.0版文件有一部分内容,强调要改善网路安全风险沟通和整合。
另一方面,NIST也提供适用于小型企业的CSF入门指南,这应是体认到不同使用者的需求而发展,作为补充的指导内容,帮助那些没有网路安全计划,或是仅有简单网路安全计划的小型企业,可以透过这些简化的内容,更容易从6大功能面著手、强化网路安全,即便有不理解或自己不会做的地方,有了这份指南,也可做为企业与资安专业服务厂商讨论的起点。
此外,NIST目前还有提供建立社群的指南,这方面应会针对更多不同使用者、产业或技术领域需求,提供符合其特性的内容。未来大家可以留意这方面,应持续会有更多进展公布。
重点5:提供可进一步了解实作面的参考资讯
为了帮助企业善用CSF框架,保持组织实施框架的灵活性,NIST也提供资讯参考(Informative Reference)文件,借此帮助企业,使他们能将上百个子类别提供的控制措施,对应到不同重要标准的控制措施。
与先前1.1版提供的参考资讯相比,我们可以发现,2.0版在这方面提供的资讯,相当聚焦于描述安全性与隐私权控制的NIST SP 800-53,该文件目前为第5.1.1版,这主要是美国联邦政府的安全控制基准,能帮助企业组织更了解控制措施的实作面与细节。
换言之,NIST SP 800-53也可视为企业在使用CSF 2.0框架时,重要的执行参考依据。
重点6:整体共有91项细微调整
在CSF 2.0版中,先前提到这一版本共定义出6大功能、22个类别,以及106个子类别。
与1.1版的5大功能、23个类别、108个子类别相比,数量看似变化不大,但当中其实许多项目都以更好的方式整并。
我们查阅CSF 2.0框架内容时,也发现当中有多达91个差异,包含被取消、或纳入原有项目,或新项目的异动。
举例来说,原先1.1版的ID.BE-01,被取消并被整并到2.0版的GV.OC-05,至于原有的ID.GV-03,被移动到新版的GV.OC-03。
还有一些异动的整并范围更大,像是原本的ID.SC-01,被取消并整并到2.0版的GV.RM-05、GV.SC-01、GV.SC-06、GV.SC-09、GV.SC-10。
又或是原有的RS.IM、RC.IM,两者被取消并整并到新的ID.IM。
显然NIST在分类方式上,做出了更细致的调整,目的应是希望有更简洁与易于理解的呈现。
重点7:简化为5大实施步骤
在CSF框架的使用上,除了强调企业自身的改进与比较,也隐含了成熟度的概念于其中。
而为了方便组织采用CSF,NIST强调建立组织轮廓的重要性,并说明如何使用它来帮助持续改进网路安全。较特别的是,1.1版提出7大步骤,2.0版则有进一步的简化,统合为5大步骤:(1)确定组织的轮廓,(2)搜集准备组织轮廓所需的资讯,(3)建立组织目标轮廓,(4)分析目前轮廓与目标轮廓的差异,并制定行动计划,(5)实施行动计划,并更新组织轮廓。
整体而言,随著CSF 2.0框架的发布,NIST鼓励所有组织使用,以提升网路安全防护能力,因为企业组织可用来了解、评估、确定优先顺序与沟通网路安全风险。
因为,这个框架对于促进内部和外部沟通特别有用,可用于不同内部团队,或高层管理层到中阶的管理人员,以及执行日常网路安全职责的人员。而且,CSF还将改善与供应商与合作伙伴之间的沟通,帮助组织将网路安全相关问题,可与更广泛的企业风险管理战略之间,进行相互结合。
此外,在汇整出7大重点变化之余,为了对CSF 2.0框架有更深入了解,我们也请教多位专精这项议题的专家,包括BSI台湾产品经理潘世鸣,以及担任ISC2台北分会大使的吴明璋,他们常针对CSF框架开课,或发表相关内容的演说,透过他们深入浅出的说明,让大家进一步了解2.0版重要意涵与变化,以及他们观察到的使用现况与挑战。
NIST CSF 2.0版重要变动:用「治理」驾驭5大功能
原本NIST CSF框架围绕5大核心功能构建,也就是识别、保护、侦测、回应、复原,如今治理跃升为第6大核心功能,不仅位阶提升,并贯穿整个网路安全框架,而且成为原有5大功能的重要支撑。
CSF 1.1版与2.0的核心功能比较
在NIST CSF 2.0版中,除了有全新的治理功能,原有23个类别也重新整并为22个类别,让内容更有系统性且简洁。例如,企业环境、风险评估、风险管理策略与供应链风险等纳入治理,更反应出网路安全在治理中的重要性,而原有5大功能的类别亦有统整,让项目可以更精简。
CSF 2.0首度提供实践范例,可帮助进一步理解106项控制措施的行动方向
为了帮助企业更容易实践CSF框架,2.0版针对每个子类别提供「实施范例」说明。以子类别GV.SC-06为例,NIST提供了4个范例,包括:组织应针对潜在供应商进行彻底的尽职调查,组织应评估潜在供应商的技术、资安能力与风险管理实务,组织应根据业务与适当网路安全要求进行供应商风险评估,以及组织应在采购与使用前需评估关键产品的真伪性、完整性与安全性。
CSF 2.0提供5大快速入门,企业风险管理与供应链是全新重点
以NIST CSF框架而言,建立组织轮廓(Profiles)与层级(Tiers)的应用,也是相当重要的概念,值得我们关注的是,CSF 2.0版释出的快速入门指南中,还特别聚焦在网路安全供应链风险管理(C-SCRM),以及企业风险管理(ERM)的面向,显然,这将是企业使用框架不可忽视的全新重点。