过去几年,个人和组织都遭受了前所未有的网络攻击和数据泄露浪潮,网络安全和数据保护从小问题变成了重大问题。世界各国政府纷纷出台立法,将数据保护作为法律强制要求。《通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)等法规侧重于数据主体的权利,规定公司有法律义务确保其处理的个人数据是安全的。
随着网络安全和数据保护成为常见的合规要求,许多组织都不知道从哪里开始将其整合到他们的流程中。美国国家标准与技术研究所 (NIST) 推出的《网络安全框架》已成为公司层面网络 框架的所有信息 安全最佳实践的有效指南,不仅在美国,而且在世界各地。NIST 网络安全框架在改善关键基础设施网络安全方面发挥着至关重要的作用。它涵盖了网络安全的各个方面,包括NIST 可移动媒体政策中概述的可移动媒体的安全处理。
网络安全框架的制定和采用
网络安全框架为网络安全风险管理提供了一种结 泰国数据 构化方法,帮助组织了解和管理其网络安全风险。该框架是响应美国前总统巴拉克·奥巴马于 2013 年 2 月发布的行政命令而制定的。网络安全框架呼吁为该国的关键基础设施(包括交通、能源和医疗保健等行业)制定自愿的、基于风险的、具有成本效益的网络安全结构。虽然 NIST 领导了这项工作,但来自大大小小的私营部门组织的 3,000 多名行业专业人士和网络安全专家也为网络安全框架的制定做出了贡献。
网络安全框架于 2014 年 2 月由 NIST 首次发布,随后于 2018 年 4 月更新以吸收行业、政府和学术界的反馈,该框架已被各个领域广泛接受,成为管理和降低网络安全风险所需最佳网络安全标准、指南和实践的综合路线图。
虽然《网络安全框架》是作
为自愿框架制定的,但 2017 年 5 月,前总统唐纳德·特朗普发布了一项行政命令,指示所有联邦机构使用《网络安全框架》,实际上强制他们实施该框架。
网络安全框架是任何强大的网络安全计划 定期向培训志愿者提供反馈 的基础,为管理网络威胁提供了全面的方法。在国际上,以色列、意大利、乌拉圭和日本等国家都采用了该框架的原始版本或改编版本。全球范围内采用该框架的公司包括微软、波音、英特尔、摩根大通等。
核心
网络安全框架分为三个主要部分
:核心、实施层和配置文件。框架核心是一组网络安全活动、预期成果和关键基础设施部门共同的相关参考资料。它旨在增强组织内的风险管理流程,并进一步分为四大类:
这些功能提供了一种在最基本的层面上组织网络安全政策的方法,并分为五组:识别、保护、检测、响应和恢复。这些功能包括缓解策略,旨在减少网络安全事件 克罗地亚商业指南 的影响。它们还有助于概述组织应如何应对威胁并在网络攻击后做出反应。
每个功能都包含类别,用于突出显示组织需要执行的特定任务以及执行过程中可能面临的挑战。类别的示例包括资产管理、检测流程和安全持续监控。五大功能共有 23 个类别。
子类别是类别的细分,处理特定目标并以结果为导向。总共有 108 个子 框架的所有信息 类别。例如,资产管理等类别有六个
子类别,包括组织内物理设备和
系统的清单、软件平台和应用程序的清单以及整个劳动力和第三方利益相关者的网络安全角色和职责。
信息参考是每个子类别的附加信息层,列出了现有的标准、指南和最佳实践。它可以包括如何手动更新某些软件等内容。
实施层
网络安全框架的第二个主要组成部分是实施层。这些层级可帮助组织评估其网络安全态势并确定需要改进的领域。每个层级代表组织风险管理战略中的一个步骤,并反映不同的风险承受能力。目标是实现可重复且有效的网络安全流程和保障措施。它们分为四个层级:
第 1 层是指已部分实施网
络安全框架,但组织风险意识降低且网络安全计划实施不一致的公司。
第 2 层表示组织已经了解风险并采取了足够的网络安全措施,但在实施方面仍存在困难。
第 3 级表示公司范围内采用了网络安全框架标准,并有效地应用了这些标准,从而能够高效、一致地应对危机,并拥有一支了解风险的员工队伍。
第 4 层是最高级别的一致性,意味着全面采用网络安全框架。这一层级被称为自适应层级,组织不仅做好了应对威胁的准备,而且还采取主动的方法来检测威胁,并根据 IT 架构的发展和当前趋势不断发展其实践和安全控制。
个人资料
概况是组织识别和优先考虑改进网络安全实践机会的一种方式。这是通过将公司的当前概况与基于网络安全框架的目标概况进行比较来实现的。
为了构建当前概况,组织可以根
据网络安全框架子类别映射其现有的网络安全实践。可以使用网络安全框架子类别以及公司的目标、运营方法和要求来构建目标概况。通过比较这两个框架概况,组织可以看到其现有政策与期望的网络安全水平之间的差距(并可能发现漏洞),并制定适合其具体情况和预算的实施计划。
扩大范围:了解 NIST 800-171 合规性
为了加深对 NIST 在网络安全中的作用的理解,有必要考虑另一项重 框架的所有信息 要标准,即NIST 800-171 合规性。该标准侧重于保护非联邦系统和组织中的受控非机密信息 (CUI)。NIST 800-171 还涉及供应链风险管理,以保护更广泛的商业生态系统。确保符合 NIST 800-171 意味着采取主动的数据安全方法,特别是如果您是与美国联邦机构合作的承包商。
作为该标准的一部分,必须实施 NIST 800-171 加密要求,以保护信息技术系统中 CUI 的机密性。这些规范在防止未经授权的个人访问此敏感信息方面发挥着关键作用。因此,对于处理 CUI 的组织来说,遵守 NIST 800-171 应该是重中之重。
如果您的组织属于这一类别,或者您只是有兴趣拓宽对 NIST 网络安全标准的了解,我们的NIST 800-171 合规指南将提供全面的见解。请记住,数据安全不是一刀切的策略;了解各种标准及其如何应用于您的运营对于制定有效且强大的网络安全计划至关重要。
综上所述
NIST 网络安全框架是网络安全最佳实践的详细指南,由该领域的专业人士制定。它受到了全球行业巨头和政府的广泛欢迎,表明它为遵守数据保护法规提供了良好的起点,并提供了防范威胁和风险的可靠网络安全计划。
对于网络安全框架的新手,可以在nist.gov上找到快速入门指南。如果您已准备好开始遵守 NIST 规定,请访问CoSoSys 的 Endpoint Protector,了解我们如何帮助您实现合规性。鉴于其广泛性,没有一种解决方案能够满足所有网络安全框架要求。相反,组织应该寻求结合多种技术和流程来实现其既定目标。组织应该对 Endpoint Protector 进行全面评估,以确保它满足您自己独特的合规性需求,并且组织应全权负责确定使用 Endpoint Protector 实现其 NIST 合规性的适当性。