Внедрена структура кибербезопасности NIST (CSF). Для организаций это реальный способ повысить устойчивость к киберрискам и интегрировать требования безопасности в свою деятельность. Это не жесткий контрольный список соответствия, а набор гибких и масштабируемых руководств по управлению рисками, которые помогут организациям разных размеров и уровней зрелости общаться и управлять рисками кибербезопасности на языке, понятном бизнесу. Его основная ценность заключается в том, чтобы превратить безопасность из простой технической проблемы в функцию управления ключами, которая поддерживает достижение бизнес-целей.
Какова основная структура NIST CSF?
Основная часть структуры кибербезопасности Национального института стандартов и технологий (NIST CSF) состоит из пяти функций, а именно: идентификация, защита, обнаружение, реагирование и восстановление. Эти пять основных функций не являются строго линейными шагами, а представляют собой непрерывное и параллельное циклическое состояние. Идентификация имеет фундаментальное значение. Это требует от организации понимать, какими активами она владеет, с какими различными угрозами она может столкнуться, какие существуют уязвимости, а также оценить возможное влияние на бизнес. Звено защиты основывается на результатах идентификации, а затем формулирует и реализует соответствующие методы защиты, такие как контроль доступа, безопасность данных, обслуживание и другие технические и управленческие методы.
Функция обнаружения ориентирована на возможность непрерывного мониторинга для быстрого обнаружения инцидентов сетевой безопасности. Сюда входит развертывание инструментов мониторинга, определение процессов обнаружения аномалий и обеспечение непрерывного сбора и анализа журналов. Функция реагирования фокусируется на действиях, предпринимаемых после того, как событие произошло: от разработки планов и проведения анализа до сдерживания и устранения угроз с целью минимизировать воздействие события.
Как предприятия могут начать внедрение NIST CSF
Запуск реализации CSF не обязательно должен происходить сразу. Практическая отправная точка — начать с функции «идентификации», провести небольшую оценку рисков, сосредоточив внимание на ключевых бизнес-системах, и созвать представителей отделов ИТ, бизнеса и безопасности для сортировки основных активов, ключевых потоков данных и связанных с ними зависимостей. Сам этот процесс является своеобразным «ледоколом», позволяющим всем сторонам выстроить общее представление о рисках.
Возможность оценить разрыв между текущими мерами безопасности и желаемым целевым состоянием на основе подкатегорий CSF. Например, в функциональной области «Защита» проверьте, завершена ли существующая политика контроля доступа. На основе анализа пробелов определите приоритетность тех элементов улучшения, которые оказывают наиболее существенное влияние на бизнес и пригодны для инвестиций в ресурсы, и сформулируйте практический краткосрочный план действий.
Каковы общие проблемы при внедрении CSF?
Основной проблемой является ограниченность ресурсов. Малые и средние предприятия часто чувствуют, что нехватка рабочей силы и бюджета не может быть полностью реализована. Решение состоит в том, чтобы принять «поэтапную и целенаправленную» стратегию. Во-первых, обеспечьте безопасность основных систем, которые напрямую влияют на непрерывность бизнеса. Используйте гибкость структуры, чтобы начать с небольшого места, а затем постепенно расширяться. Связывание целей безопасности с конкретными бизнес-результатами помогает заручиться поддержкой руководства.
Еще одна распространенная проблема заключается в том, что сотрудничество между департаментами не является гладким. Кибербезопасность часто рассматривается как исключительная обязанность ИТ-отдела. Успешная реализация CSF требует участия бизнеса, юридических вопросов, операций и других аспектов. Информирование о рисках, используя влияние на бизнес, а не технические термины, является ключом к устранению разрозненности путем создания межфункциональных рабочих групп. Кроме того, рамочные требования должны быть сопоставлены с существующей системой управления, чтобы избежать бремени ее повторного создания.
Как интегрировать CSF с существующими системами безопасности
Многие организации имеют ISO 27001, иерархическую защиту или другие меры контроля безопасности. Ключом к интеграции является «картирование», а не «замена». Можно составить таблицу перекрестных ссылок для сопоставления каждой подкатегории CSF с существующими мерами контроля и системными документами. Это позволит быстро продемонстрировать полноту охвата и выявить пробелы, избегая тем самым дублирования усилий.
Например, существующие программы управления уязвимостями уже могут в определенной степени соответствовать требованиям оценки уязвимостей в функции «идентификация». Исходя из этой ситуации, можно добавить перспективу анализа воздействия на бизнес. Эта модель интеграции может позволить CSF привнести жизнеспособность и жизнеспособность управления рисками и постоянного совершенствования в существующую систему, сделав ее более динамичной и в большей степени соответствующей различным реальным бизнес-ситуациям, а не полностью отменять ее и перестраивать.
Как измерить эффективность внедрения CSF
Измерение эффективности должно быть сосредоточено не только на том, была ли внедрена определенная технология, но и на улучшении ситуации с рисками и улучшении возможностей управления рисками. Можно настроить иерархические показатели измерения: на уровне процесса отслеживать количество достигнутых пунктов по устранению пробелов и охват политик; на уровне результатов контролировать, сократилось ли среднее время обнаружения и степень завершения противоаварийных учений; на уровне эффекта сосредоточьтесь на том, сократилась ли продолжительность перерывов в работе бизнеса или финансовых потерь, вызванных реальными инцидентами безопасности.
Регулярная самооценка чрезвычайно важна. Вы можете использовать инструмент иерархической оценки, официально предоставляемый CSF, для определения текущего положения организации по четырем уровням зрелости: от «частичного выполнения» до «адаптивного». Такая оценка должна проводиться не реже одного раза в год, а результаты должны напрямую указывать на план улучшений на следующий цикл, образуя тем самым замкнутый цикл управления.
Каковы будущие тенденции развития CSF?
Выпуск NIST CSF 2.0 является важной тенденцией. Самым большим изменением является новая функция «управления», которая поднимает обязанности высшего руководства, стратегии управления рисками и т. д. на ключевую позицию. Это ясно демонстрирует, что кибербезопасность — это вопрос управления, а не только оперативный вопрос. Организациям следует активно включать эту перспективу в свою реализацию, чтобы гарантировать соответствие своей стратегии безопасности бизнес-целям.
Еще одна тенденция — глубокая интеграция с конкретными отраслевыми стандартами и нормативными требованиями. Например, секторы критически важной инфраструктуры и учреждения финансовых услуг изучают возможность сочетания CSF и отраслевых рамок. В то же время, с ростом популярности облачных сервисов и автоматизации безопасности, внедрение платформы будет больше полагаться на автоматизированную интеграцию инструментов и процессов. Цель состоит в том, чтобы повысить эффективность и согласованность, предоставить глобальные услуги по закупкам слабых текущих интеллектуальных продуктов и предоставить основу продукта для создания интегрированной среды физической и сетевой безопасности.
Сосредоточив внимание на тех организациях, которые рассматривают возможность изучения или уже начали внедрение NIST CSF, с какими наиболее заметными и огромными путаницами или препятствиями вы столкнулись в ходе фактического внедрения? Вы можете поделиться своим конкретным и подробным опытом в области комментариев. Мы воспользуемся этим, чтобы обсудить и изучить пути решения этой проблемы. Если этот текст вдохновил вас, пожалуйста, поставьте ему палец вверх и поделитесь им, чтобы распространить информацию.
Добавить комментарий