中文版为改善关键基础设施网络安全框架.docx
《中文版为改善关键基础设施网络安全框架.docx》由会员分享,可在线阅读,更多相关《中文版为改善关键基础设施网络安全框架.docx(55页珍藏版)》请在冰豆网上搜索。
中文版为改善关键基础设施网络安全框架
(水平有限,翻译粗糙,仅供参考)
为改善关键基础设施网络安全框架
Version1.0
国家标准与技术研究所
February12,2014
TableofContents
ExecutiveSummary1
1.0FrameworkIntroduction3
2.0FrameworkBasics7
3.0HowtoUsetheFramework13
AppendixA:
FrameworkCore18
AppendixB:
Glossary37
AppendixC:
Acronyms39
ListofFigures
Figure1:
FrameworkCoreStructure7
Figure2:
NotionalInformationandDecisionFlowswithinanOrganization12
ListofTables
Table1:
FunctionandCategoryUniqueIdentifiers19
Table2:
FrameworkCore20
执行摘要
美国的国家安全和经济安全取决于关键基础设施的可靠运作的。
网络安全威胁攻击日益复杂和关键基础设施系统的连接,把国家的安全,经济,风险公众安全和健康。
类似的财务和声誉风险,网络安全风险影响到公司的底线。
它可以驱动多达费用及影响收入。
它可能会损害一个组织的创新,以获得并保持客户的能力。
为了更好地解决这些风险,总统于2013年2月12日,其中规定“[I]t是美国的政策,加强国家的安全和弹性颁布行政命令13636,”改善关键基础设施的网络安全。
“关键基础设施和维护,鼓励高效,创新,和经济繁荣,同时促进安全,保安,商业机密,隐私和公民自由。
“在制定这项政策的网络环境,执行命令为自愿风险的发展需要基于网络安全框架-一套行业标准和最佳实践,帮助企业管理网络安全风险。
由此产生的框架,通过政府和私营部门之间的合作创建的,使用共同的语言,无需放置额外的监管要求,对企业在根据业务需要具有成本效益的方式处理和管理网络安全风险。
该框架着重于使用业务驱动因素,以指导网络安全的活动,并考虑网络安全风险,组织风险管理程序的一部分。
该框架由三部分组成:
核心框架,该框架配置文件和框架实施层级。
该框架的核心是一套网络安全的活动,成果,和翔实的参考资料是通用的重要基础设施行业,为发展个人组织档案的详细指导。
通过使用配置文件中,该框架将帮助组织调整其网络安全的活动,其业务需求,风险承受能力和资源。
各层提供一个机制,组织查看和了解他们的方法来管理网络安全风险的特性。
该行政命令还要求该框架包括一个方法来保护个人隐私和公民自由时,重要的基础设施组织开展网络安全的活动。
虽然流程和现有的需求会有所不同,该框架能够帮助组织整合的隐私和公民自由的全面网络安全计划的一部分。
该框架使组织-无论大小,网络安全风险程度,或网络安全的复杂性-原则和风险管理的最佳实践应用到改善关键基础设施的安全性和弹性。
该框架提供了组织和结构到今天的多种途径,以网络安全组装标准,准则和做法,如今正在有效地业。
此外,因为它引用了全球公认的标准,网络安全,该框架还可以用于由位于美国以外的组织,可以作为一个典范加强关键基础设施的网络安全国际合作。
该框架是不是一个尺寸适合所有人的方法来管理网络安全风险的关键基础设施。
组织将继续有独特的风险-不同的威胁,不同的弱点,不同的风险承受能力-以及他们如何实施该框架的行为会有所不同。
组织可以决定是很重要的关键服务活动,并可以优先考虑投资,以最大限度地度过每一美元的影响。
最终,该框架旨在减少和更好地管理网络安全风险。
该框架是一个活的文件,并会继续进行更新和改善,产业提供了执行的反馈。
在架构上付诸实践,经验教训将被整合到未来版本。
这将确保它满足关键基础设施的业主和运营商的需求在新的威胁,风险和解决方案,一个充满活力和挑战性的环境。
使用这种自愿框架是下一步要提高我们国家的关键基础设施的网络安全-为个别组织的指导,同时增加了国家的关键基础设施作为一个整体的网络安全态势。
1.0框架简介
美国的国家安全和经济安全取决于关键基础设施的可靠运作的。
为了加强这一基础设施的恢复力,奥巴马总统2月12日颁布行政命令13636(EO),“改善关键基础设施的网络安全,”,
对于自愿网络安全框架(“框架”),它提供了“优先,灵活,可重复,基于绩效的,和成本效益的方法”直接管理这些流程,信息和系统网络安全风险的发展这一行政命令要求参与关键基础设施服务的提供。
该框架,与业界合作开发,提供指导,在管理网络安全风险的一个组织。
关键基础设施是在EO定义为“系统和资产,不论是物理或虚拟的,所以至关重要的美国的无行为能力或破坏这些制度和资产将会对安全,国家经济安全,国家公共健康或使人衰弱的影响安全,或该等事项的任何组合。
“由于来自外部和内部的威胁越来越大的压力,负责关键基础设施的组织需要有一个一致的,迭代的方法来识别,评估和管理网络安全风险。
这种做法是必要的,无论一个组织的规模,威胁曝光或网络安全的复杂的今天。
在关键基础设施的社区,包括公共和私营业主和运营商,以及其他实体在确保国家的基础设施的作用。
每个关键基础设施部门的执行委员是由信息技术支持的功能(IT)和工业控制系统(ICS).2这依赖于技术,通信和IT和ICS的互联互通已发生变化,扩大了潜在的漏洞和潜在的增长对风险的操作。
例如,ICS和ICS的操作产生的数据越来越多地用于提供关键的服务和支持业务决策,一个网络安全事件对组织业务的潜在影响,资产,健康和个人安全和环境,应考虑。
要管理网络安全风险,该组织的业务驱动因素和具体到它的使用IT和ICS安全考虑清楚的认识是必要的。
因为每个组织的风险是独一无二的,随着其使用的IT和ICS的,用于实现由框架所描述的结果的工具和方法会有所不同。
认识到隐私和公民自由的保护,提高公众的信任所扮演的角色,执行命令要求该框架包括一个方法来保护个人隐私和公民自由时,重要的基础设施组织开展网络安全的活动。
许多组织已经有了解决隐私和公民自由的过程。
该方法的目的是补充这些过程,并提供指导,以促进隐私风险管理与组织的方法,网络安全风险管理是一致的。
集成的隐私和网络安全可以通过增加客户的信心,让更多的标准化的信息共享,并在法律制度简化操作获益的组织。
1ExecutiveOrderno.13636,ImprovingCriticalInfrastructureCybersecurity,DCPD-201300091,February12,2013.http:
//www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf
2TheDHSCriticalInfrastructureprogramprovidesalistingofthesectorsandtheirassociatedcriticalfunctionsandvaluechains.http:
//www.dhs.gov/critical-infrastructure-sectors
为确保可扩展性,使技术创新,架构是技术中立的。
该框架依赖于各种现有的标准,准则和措施,使关键基础设施供应商,实现弹性。
依靠这些全球性的标准,指南和开发,管理,及行业更新的做法,可实现的成果框架的工具和方法将规模跨越国界,承认网络安全风险的全球性,并发展与技术的进步和业务要求。
利用现有的和新兴的标准,使规模经济和推动有效的产品,服务和实践,满足确定市场需求的发展。
市场竞争也促进了这些技术和做法,实现了利益相关者,这些行业很多好处更快的传播。
从这些标准,准则和惯例建立,框架提供了常用的分类和机制组织:
1)形容自己目前网络安全的姿势;
2)描述自己的目标状态,网络安全;
3)确定并优先用于连续和重复的过程的范围内改善的机会;
4)评估向目标状态的进展;
5)沟通有关网络安全风险的内部和外部利益相关者之间。
该框架的补充,而不会取代,一个组织的风险管理流程和网络安全方案。
该组织可以利用其现有流程,并充分利用该框架来寻找机会,加强和沟通的网络安全风险的管理,同时与行业惯例调整。
可替换地,不具有现有的网络安全方案的组织可以使用框架作为基准,建立1。
正如框架不是特定行业,标准,准则和惯例的通用分类法,它也提供了不特定国家。
在美国以外的机构也可以使用框架来加强自身的网络安全的努力,以及该框架可以促进发展的共同语言对关键基础设施的网络安全国际合作。
1.1在视图框架工作
该框架是一个基于风险的方法来管理网络安全风险,并且由三部分组成:
核心框架,该框架的实施层级和架构配置文件。
每个框架组件强化业务驱动和网络安全的活动之间的联系。
下面这些部件进行说明。
∙•该框架的核心是一套网络安全的活动,期望的结果,而且是通用的关键基础设施部门适用的参考。
核心呈现的方式,允许对网络安全的活动的沟通和跨组织的成果从行政级别来实施/运营层面的行业标准,准则和惯例。
该框架的核心是由五个并发和连续函数,确定,保护,检测,响应,恢复的。
当一起考虑,这些功能提供了网络安全风险的一个组织的管理生命周期的一个高层次的,战略的眼光。
该框架的核心,然后确定相关主要类别和子类别的每个功能,并以实例参考性文献,如现有标准,指南,并为每个子目录的做法符合他们。
∙•框架实施层级(“层”)提供上下文对一个组织如何观看网络安全风险,并在适当的程序来管理风险。
层描述的程度,一个组织的网络安全风险管理实践中表现出的框架(如,风险和威胁感知,可重复和自适应)所定义的特征。
这些层在一定范围内表征一个组织的做法,从部分(第1层),以自适应(第4层)。
这些层级反映非正式的,无响应的进程来是敏捷和风险告知的方法。
在第一级选择过程中,组织应考虑其目前的风险管理措施,威胁环境,法律和监管规定,业务/任务目标和组织约束。
∙•一个框架配置文件(“档案”)代表需要一个组织已经从框架类别和子类别选择的基于业务的成果。
配置文件可以被定性为标准,准则和惯例的对齐方式Framework核心在一个特定的实施方案。
配置文件可用于通过比较“当前”个人资料以确定改进网络安全姿势的机会(在“按原样”状态)与“目标”个人资料(在“是”的状态)。
要开发一个配置文件,一个组织可以查看所有类别和子类别,并根据业务驱动因素和风险评估,确定哪些是最重要的,他们可以根据需要来满足组织的风险增加类别和子类别。
当前配置文件可以被用来支持优先级和向着目标配置文件进度测量,而在其他的业务需求,包括成本效益和创新保理。
配置文件可以被用来进行自我评估,并在组织内部或组织之间的沟通。
1.2风险管理换货和网络安全工作框架
风险管理是识别,评估和应对风险的持续过程。
管理风险,企业应该明白,将会发生一个事件的可能性和由此产生的影响。
有了这些信息,企业可以决定可接受的风险水平提供服务,并可以表达这是他们的风险承受能力。
随着风险承受能力有所了解,企业可以优先考虑网络安全的活动,使企业能够做出关于网络安全支出明智的决定。
风险管理计划的实施提供了组织量化和沟通调整其网络安全计划的能力。
组织可以选择处理以不同的方式,包括减轻风险,转移风险,从而避免了风险,或接受的风险,这取决于对关键服务的递送的潜在影响的风险。
该框架使用的风险管理流程,使组织有关网络安全通知和优先决定。
它支持经常性的风险评估和业务驱动的验证,以帮助企业选择目标国家网络安全的活动,反映了期望的结果。
因此,该框架使企业能够动态地选择和网络安全风险管理为IT和ICS的环境中直接改善的能力
该框架是自适应,提供一个灵活的,基于风险的实现,它可以与网络安全风险管理过程的一系列广泛使用。
网络安全风险管理流程的例子包括国际标准化组织(ISO)31000:
20093,ISO/IEC27005:
20114,国家标准与技术研究所(NIST)的特别出版物(SP)800-395,以及电力界别分组网络安全风险管理流程(RMP)guideline6。
1.3文档概述
本文档的其余部分包含以下章节和附录:
∙•第2节描述了框架的组成部分:
框架核心的层级,以及配置文件。
∙•第3节介绍了该框架可以使用的例子。
∙•附录A给出了核心框架以表格格式:
的功能,类别,子类别,并参考性文献。
∙•附录B中包含选定的术语表。
∙•附录C列出本文件中用到的缩写词。
3InternationalOrganizationforStandardization,Riskmanagement–Principlesandguidelines,ISO31000:
2009,2009.http:
//www.iso.org/iso/home/standards/iso31000.htm
4InternationalOrganizationforStandardization/InternationalElectrotechnicalCommission,Informationtechnology–Securitytechniques–Informationsecurityriskmanagement,ISO/IEC27005:
2011,2011.
http:
//www.iso.org/iso/catalogue_detail?
csnumber=56742
5JointTaskForceTransformationInitiative,ManagingInformationSecurityRisk:
Organization,Mission,andInformationSystemView,NISTSpecialPublication800-39,March2011.http:
//csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf
6U.S.DepartmentofEnergy,ElectricitySubsectorCybersecurityRiskManagementProcess,DOE/OE-0003,May2012.http:
//energy.gov/sites/prod/files/Cybersecurity%20Risk%20Management%20Process%20Guideline%20
%20Final%20-%20May%202012.pdf
2.0基本框架
该框架提供了一种共同语言的理解,管理,以及内部和外部表达网络安全风险。
它可以用来帮助识别和优先降低网络安全风险的行动,这是调整政策,业务和技术方法来管理这种风险的工具。
它可用于在整个组织管理的网络安全风险,或者它可以集中在一个组织内的输送关键服务。
不同类型的实体-包括部门的协调机构,协会和组织-可以使用框架为不同的目的,包括建立共同的配置文件中。
2.1框架的核心
该框架核心提供了一组活动,以实现特定的网络安全成果,并指导参考实例来实现这些成果。
核心是不是要执行的操作清单。
它提出了确定行业管理网络安全风险的有益网络安全的关键成果。
核心包括四个要素:
功能,类别,子类别,并参考性文献,如图1所示:
Figure1:
FrameworkCoreStructure
该框架的核心元素结合在一起的工作方式如下:
∙•功能组织基本的网络安全活动的最高水平。
这些功能是识别,保护,检测,响应和恢复。
他们帮助一个组织中表达的网络安全风险及其通过组织信息化管理,使风险管理决策,应对威胁,并从以往的活动学习提高。
该功能还配合现有方法的事件管理和帮助表示投资的网络安全带来的影响。
例如,在规划和演习的投资支持及时响应和恢复行动,导致对服务的交付减少的影响。
∙•分类是一个功能的细分到网络安全的成果紧密联系在一起的纲领性需求和特定活动的团体。
类别的例子包括“资产管理”,“访问控制”和“检测过程。
”
∙•子类别进一步划分一个类别为技术和/或管理活动的具体成果。
他们提供了一个结果集,虽然并不详尽,帮助支持实现在每个类别的成果。
子类别的例子包括:
“外部信息系统进行编目”,“数据的静止是被保护的”,和“从检测系统通知进行了研究。
”
∙•参考性文献的标准,准则和关键基础设施部门,说明的方法,以实现与各子类别相关的结果之间的共同做法的具体章节。
在核心框架提出的参考性文献是说明性的,并非详尽无遗。
他们是基于跨部门的指导框架开发process.7过程中最经常被引用的
五个框架核心功能定义如下。
这些功能不是为了形成一个串行路径,或导致静态理想的最终状态。
相反,该函数可以同时和连续地进行,以形成解决了动态网络安全风险的操作培养。
见附录A的完整框架核心上市。
∙•识别-开发组织的理解来管理网络安全风险的系统,资产,数据和功能。
∙在识别功能的活动是基本有效使用框架。
了解业务环境,支持关键职能的资源,以及相关的网络安全风险,使组织能够集中和优先努力,凭借其风险管理策略和业务需求保持一致。
此功能在结果分类的例子包括:
资产管理,商业环境,治理,风险评估,以及风险管理策略。
∙•保护-制定并实施相应的保障措施,以确保提供重要的基础设施服务。
∙保护功能支持限制或含有潜在的网络安全事件的影响的能力。
此功能在结果分类的例子包括:
访问控制,意识和培训,数据安全,信息保护流程和程序;维护;和保护技术。
∙•检测-制定并实施适当的活动,以识别网络安全事件的发生。
∙该检测功能能够及时发现网络安全事件。
此功能在结果分类的例子包括:
异常和事件;安全连续监测,以及检测过程。
∙•响应-制定并实施适当的活动,以采取有关检测到的网络安全事件的行动。
7NISTdevelopedaCompendiumofinformativereferencesgatheredfromtheRequestforInformation(RFI)input,CybersecurityFrameworkworkshops,andstakeholderengagementduringtheFrameworkdevelopmentprocess.TheCompendiumincludesstandards,guidelines,andpracticestoassistwithimplementation.TheCompendiumisnotintendedtobeanexhaustivelist,butratherastartingpointbasedoninitialstakeholderinput.TheCompendiumandothersupportingmaterialcanbefoundathttp:
//www.nist.gov/cyberframework/.
该响应函数支持包含一个潜在的网络安全事件的影响的能力。
此功能在结果分类的例子包括:
响应计划;通讯,分析,减灾;和改进。
•恢复-制定并实施适当的活动,以保持计划的弹性和还原是由于网络安全事件受损的任何功能或服务。
该恢复功能支持及时恢复到正常的操作,以减少从网络安全事件的影响。
此功能在结果分类的例子包括:
恢复规划;改进;和通信。
2.2框架实现层级
该框架的实施层级(“层”)提供上下文对一个组织如何观看网络安全风险,并在适当的程序来管理风险。
该层级的范围从部分(第1层),以自适应(第4层),并描述了严谨和复杂的程度增加网络安全的风险管理做法,其网络安全风险管理是由业务需求了解并集成到一个组织的整体风险程度管理实践。
风险管理的考虑因素包括网络安全的许多方面,包括其隐私和公民自由方面的考虑都融入的网络安全风险和潜在的风险应对组织的管理程度。
第一级选择过程中考虑企业当前的风险管理做法,威胁环境,法律和监管规定,业务/任务目标和组织约束。
组织应确定所需的第一级,以确保所选择的级别是否符合组织的目标,是贯彻落实可行的,并降低网络安全风险的重要资产和资源,以接受该组织的水平。
组织应考虑利用来自联邦政府部门和机构,信息共享和分析中心(ISACS),现有的成熟度模型,或其他来源获得的,以帮助确定自己想要的层外部指导。
虽然组织认定为一级(部分)鼓励将考虑转向方法2或更大,层级并不代表成熟度级别。
发展到更高层级的鼓励时,这样的改变会降低网络安全风险,并符合成本效益。
成功实施该框架是基于成就组织的目标配置文件(S),而不是在一线的决心所描述的结果时。
该层定义如下:
第1级:
部分
•风险管理程序-组织网络安全风险管理实践没有正式的,而且风险是在一个特设有时无的方式进行管理。
网络安全的活动的优先顺序,不得直接告知组织风险的目标,威胁环境,或业务/任务需求。
•集成的风险管理计划-目前的网络安全风险在组织层面认识有限和整个组织的方法来管理网络安全风险尚未确定。
组织实施对不规则,逐案基础上,由于丰富的经验,或从外部来源获得的信息网络安全风险管理。
该组织可能没有流程,使网络安全信息可在组织内共享。
•外部参与-一个组织可能没有到位的过程中参与的协调或协作与其他实体。
第2层:
风险知情
•风险管理流程-风险管理实践均经管理层批准,但可能不被确立为组织范围的策略。
网络安全的活动的优先顺序是直接告知组织风险的目标,威胁环境,或业务/任务需求。
•集成的风险管理计划-目前的网络安全风险在组织水平,但全组织的方法来管理网络安全风险尚未建立的意识。
风险告知,管理层批准的过程和程序都定义和实现,以及工作人员有足够的资源来履行其网络安全的职责。
网络安全信息上非正式地在组织内共享。
•外部参与-组织知道它在更大的生态系统的作用,但还没有正式确定了其功能,对外交流和共享信息。
第3层:
可重复
•风险管理程序-该组织的风险管理做法被正式批准,并表示为政策。
组织网络安全的做法是定期更新的基础上的风险管理程序的应用,以改变业务/任务要求和不断变化的威胁和技术的景观。
•集成的风险管理计划-有一个组织范围内的方法来管理网络安全风险。
是风险告知政策,流程和程序中定义,实现为目的,并审查。
一致的方法已到位,有效地改变应对风险。
人员具备的知识和技能,以履行其指定的角色和责任。
•外部参与-组织了解其依赖关系和合作伙伴,并从这些合作伙伴,使协作和组织内部基于风险的管理决策响应事件接收信息。
第4级:
自适应
•风险管理流程-基于经验教训,并从以往和当前网络安全的活动所产生的预测指标,该组织适应其网络安全的做法。
通过不断完善结合先进的网络安全技术和实践的过程中,组织积极适应不断变化的网络安全景观和响应不断变化,并及时复杂的安全威胁。
•集成的风险管理计划-有一个组织范围内的方法来管理使用风险告知政策,流程和程序,以解决潜在的网络安全事件的网络安全风险。
网络安全风险管理是组织文化的一部分,从以前的活动,通过其他渠道共享信息,并在他们的系统和网络活动的意识不断的认识演进。
•外部参与-组织管理风险,并积极分享信息与合作伙伴,以确保准确,及时的信息的分发和消费的一个网络安全事件发生之前,以改善网络安全。
2.3框架简介
该框架配置文件(“档案”)是函数,类
升级会员 