АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Стандарт кибербезопасности NIST

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Стандарт кибербезопасности NIST (англ. NIST Cybersecurity Framework, CSF) — это набор добровольных руководящих принципов, предназначенных для помощи организациям в оценке и повышении своей способности предотвращать, выявлять и реагировать на риски в области кибербезопасности. Разработанный Национальным институтом стандартов и технологий США (англ. National Institute of Standards and Technology, NIST), стандарт был впервые опубликован в 2014 году для секторов критической инфраструктуры, но впоследствии получил широкое распространение в различных отраслях по всему миру, включая государственные и частные организации. Стандарт объединяет существующие стандарты, рекомендации и лучшие практики, предоставляя структурированный подход к управлению рисками кибербезопасности.

CSF состоит из трёх основных компонентов: ядра (Core), уровней внедрения (Implementation Tiers) и профилей (Profiles). Ядро включает пять ключевых функций кибербезопасности — выявление, защита, обнаружение, реагирование и восстановление; каждая из которых далее делится на категории и подкатегории. Эти функции обеспечивают высокоуровневый, ориентированный на результат подход к управлению рисками. Уровни внедрения помогают организациям оценить зрелость своих практик кибербезопасности, а профили позволяют настраивать применение стандарта в соответствии с уникальным профилем рисков и потребностями организации.

С момента принятия стандарт кибербезопасности NIST неоднократно обновлялся с учётом меняющихся реалий киберугроз. Версия 1.1, выпущенная в 2018 году, включила усовершенствования в области управления рисками цепочки поставок и процессов самооценки. Последнее обновление, версия 2.0, опубликовано в 2024 году; оно расширило применимость стандарта и добавило новые рекомендации по вопросам управления кибербезопасностью и практик непрерывного совершенствования.

Стандарт кибербезопасности NIST используется на международном уровне и переведён на множество языков. Он служит эталоном для разработчиков стандартов кибербезопасности, позволяя организациям согласовать свои меры безопасности с признанными глобальными подходами, такими как ISO/IEC 27001 и COBIT. Несмотря на широкое признание, стандарт подвергался критике за высокую стоимость и сложность внедрения, особенно для малых и средних предприятий.

Обзор

Стандарт кибербезопасности NIST (CSF) — это набор руководящих принципов, разработанных Национальным институтом стандартов и технологий США (NIST) для помощи организациям в управлении и снижении киберрисков. Он основан на существующих стандартах, рекомендациях и лучших практиках, обеспечивая гибкий и масштабируемый подход к информационной безопасности[1]. Стандарт даёт высокоуровневую таксономию ожидаемых результатов в области кибербезопасности и предлагает методологию их оценки и управления[2]. Кроме того, он рассматривает вопросы защиты конфиденциальности и гражданских свобод в контексте кибербезопасности[3].

CSF переведён на различные языки и широко используется правительствами, бизнесом и организациями по всему миру[4][5]. Согласно опросу 2016 года, 70 % организаций рассматривают стандарт кибербезопасности NIST как лучшую практику для защиты информации, однако для внедрения могут потребоваться значительные инвестиции[6].

Стандарт разработан как гибкий и адаптируемый инструмент, предоставляющий общие рекомендации, которые каждая организация конкретизирует с учётом собственных потребностей и профиля рисков[7].

Версия 1.0 была опубликована в 2014 году и первоначально предназначалась для операторов критической инфраструктуры. Публичный черновик версии 1.1 был представлен для комментариев в 2017 году, окончательный вариант был опубликован 16 апреля 2018 года. Версия 1.1 сохранила совместимость с исходным стандартом, но добавила дополнительные рекомендации, в том числе по управлению рисками цепочки поставок. Версия 2.0, вышедшая в 2024 году, расширила сферу применения и включила новые руководства по самооценке и управлению кибербезопасностью[8].

Стандарт включает три основных компонента: «Ядро», «Профили» и «Уровни внедрения». Ядро представляет собой комплекс мероприятий, результатов и ссылок, охватывающих различные аспекты кибербезопасности. Уровни внедрения позволяют организациям оценить зрелость своих практик, а профили — адаптировать стандарт к специфическим требованиям и анализу рисков[9].

Обычно организации начинают с описания своего «Текущего профиля» (Current Profile), отражающего существующее положение дел в области кибербезопасности и достигнутые результаты. Далее формируется «Целевой профиль» (Target Profile), определяющий желаемое будущее состояние и шаги к его достижению. Также может быть выбран базовый профиль, соотносимый с конкретной отраслью или сферой деятельности.

Исследования показывают: стандарт кибербезопасности NIST способен оказывать влияние на формирование стандартов как в США, так и за их пределами, особенно в сферах, где строгие подходы к кибербезопасности только развиваются. Такой эффект способствует выработке унифицированных международных практик, что полезно для компаний, работающих на глобальном рынке, и поддерживает развитие мировых кибербезопасных инициатив[10].

Функции и категории деятельности по кибербезопасности

undefined

Стандарт кибербезопасности NIST организует своё «ядро» в пять «функций», которые разделены на 23 «категории». Для каждой категории определён набор подкатегорий ожидаемых результатов и мер управления безопасностью (security controls), всего 108 подкатегорий.

Для каждой подкатегории приведены «Информативные ресурсы» — ссылки на конкретные разделы других стандартов в области информационной безопасности, в числе которых ISO 27001, COBIT, NIST SP 800-53, ANSI/ISA-62443, а также критические контрольные меры (Critical Security Controls) Совета по кибербезопасности (CCS CSC, ныне управляются Центром по интернет-безопасности). За исключением специальных публикаций (SP) NIST, доступ к большинству таких руководств платный. Высокая стоимость и сложность применения стандарта привели к появлению в обеих палатах Конгресса США законопроектов, обязывающих NIST разрабатывать рабочие материалы по стандарту кибербезопасности в более доступной форме для малых и средних предприятий[11][12].

Ниже приведены функции и категории стандарта с их уникальными идентификаторами и определениями согласно официальному документу[13].

Идентификация (Identify)

«Формирование организационного понимания рисков для управления угрозами кибербезопасности в отношении систем, активов, данных и возможностей».

  • Управление активами (ID.AM): Данные, персонал, устройства, системы и помещения, обеспечивающие деятельность организации в соответствии с её целями, определяются и управляются с учётом важности для бизнес-результатов.
  • Деловая среда (ID.BE): Миссия, цели, заинтересованные стороны и активности организации поняты и приоритизированы; эта информация используется для определения ролей, ответственности и принятия решений в области управления киберрисками.
  • Управление (ID.GV): Политики, процедуры и процессы для управления и контроля регуляторных, юридических, рисковых, экологических и операционных требований организации понятны и используются при управлении киберрисками.
  • Оценка риска (ID.RA): Организация понимает киберриски для своей деятельности (включая миссию, функции, имидж, репутацию), активов и отдельных лиц.
  • Стратегия управления рисками (ID.RM): Приоритеты, ограничения, уровень допустимого риска и предпосылки формулируются и используются для поддержки оперативных решений по управлению рисками.
  • Управление рисками цепочки поставок (ID.SC): Установлены процессы для выявления, оценки и управления рисками, связанными с цепочкой поставок.

Защита (Protect)

«Разработка и внедрение необходимых средств защиты для обеспечения функционирования критической инфраструктуры».

  • Управление доступом (PR.AC): Доступ к активам и связанным объектам ограничивается авторизованными пользователями, процессами либо устройствами, а также авторизованными действиями и транзакциями.
  • Осведомлённость и обучение (PR.AT): Сотрудники и партнёры организации проходят обучение и информируются по вопросам кибербезопасности, получают необходимые навыки согласно действующим политиками, процедурам и соглашениям.
  • Защита данных (PR.DS): Информация и записи (данные) обрабатываются в соответствии со стратегией управления рисками для обеспечения конфиденциальности, целостности и доступности информации.
  • Процессы и процедуры защиты информации (PR.IP): Политики безопасности (охватывающие цели, объём, роли, ответственность, управленческую поддержку и координацию), процессы и процедуры поддерживаются и используются для управления защитой информационных систем и активов.
  • Техническое обслуживание (PR.MA): Ремонт и обслуживание компонентов промышленных и информационных систем выполняются в соответствии с политиками и процедурами.
  • Охранные технологии (PR.PT): Технические меры и решения, гарантирующие устойчивость безопасности систем и активов, управляются в соответствии с существующими политиками, процедурами и соглашениями.

Обнаружение (Detect)

«Разработка и внедрение необходимых действий для обнаружения инцидентов кибербезопасности».

  • Аномалии и события (DE.AE): Аномальная активность своевременно обнаруживается, потенциальное воздействие событий оценивается.
  • Непрерывный мониторинг безопасности (DE.CM): Информационные системы и активы периодически мониторятся для выявления событий и проверки эффективности мер защиты.
  • Процессы обнаружения (DE.DP): Процессы и процедуры обнаружения поддерживаются и тестируются для своевременного и достаточного оповещения об аномальных событиях.

Реагирование (Respond)

«Разработка и выполнение необходимых действий для оперативного реагирования на выявленные инциденты в области кибербезопасности».

  • Планирование реагирования (RS.RP): Процессы и процедуры реагирования выполняются и поддерживаются для обеспечения своевременного ответа на инциденты.
  • Коммуникации (RS.CO): Деятельность координируется между внутренними и внешними участниками, включая внешнюю поддержку со стороны правоохранительных органов.
  • Анализ (RS.AN): Проводится анализ для надлежащего реагирования и поддержки восстановления.
  • Смягчение последствий (RS.MI): Предпринимаются действия по предотвращению развития событий, смягчению последствий и устранению инцидентов.
  • Совершенствование (RS.IM): Меры реагирования совершенствуются за счёт учёта опыта текущих и прошлых инцидентов.

Восстановление (Recover)

«Разработка и выполнение необходимых мероприятий для поддержания устойчивости и восстановления функций или сервисов, нарушенных в результате инцидентов кибербезопасности».

  • Планирование восстановления (RC.RP): Процессы и процедуры восстановления выполняются и поддерживаются для своевременного восстановления систем и активов, затронутых инцидентом.
  • Совершенствование (RC.IM): Мероприятия по планированию и проведению восстановления совершенствуются на основе извлечённых уроков.
  • Коммуникации (RC.CO): Восстановительные мероприятия координируются с внутренними и внешними сторонами, включая центры реагирования, интернет-провайдеров, владельцев атакующих систем, жертв, другие CSIRT и поставщиков.

Обновления

В 2021 году NIST выпустил меры безопасности для критически важного программного обеспечения («EO-Critical Software») в рамках Исполнительного указа 14028, определяющие дополнительную защиту при использовании такого ПО в государственных агентствах[14].

Путь к версии CSF 2.0

Стандарт кибербезопасности NIST задуман как «живой документ», регулярно обновляемый и совершенствуемый параллельно с развитием технологий, угроз и лучших практик. После выхода версии 1.1 в 2018 году заинтересованные лица предоставляли обратную связь о необходимости актуализации стандарта. В феврале 2022 года NIST опубликовал запрос о предоставлении предложений по совершенствованию CSF, а в январе 2023 года — концептуальный документ с новыми подходами. Последний опубликованный проект — «Discussion Draft: The NIST Cybersecurity Framework 2.0 Core with Implementation Examples» — был представлен к общественному обсуждению до 4 ноября 2023 года[15].

Основные изменения

Ниже приведены ключевые различия между версиями 1.1 и 2.0 стандарта:[16]

  1. Название стандарта изменено с «Framework for Improving Critical Infrastructure Cybersecurity» («Стандарт по совершенствованию кибербезопасности критической инфраструктуры») на «Cybersecurity Framework» («Стандарт кибербезопасности»). Обновлённая редакция учитывает значительно расширившийся круг организаций, использующих стандарт.
  2. Добавлены примеры внедрения для наглядного представления действий, необходимых для достижения целей подкатегорий. Также профили были пересмотрены и расширены для отображения различных сценариев их применения.
  3. Введена новая функция «Управление» (Govern), отражающая вопросы организационного контекста и распределения ролей, а также категорию по управлению рисками цепочек поставок в рамках управления.
  4. Последнее обновление содержит расширенные рекомендации по самооценке и акцентирует внимание на постоянном совершенствовании мер безопасности — новая категория «Улучшения» добавлена в функцию идентификации.

Примечания

  1. Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 января 2020). “Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model”. Journal of Cybersecurity. 6 (tyaa005). DOI:10.1093/cybsec/tyaa005. ISSN 2057-2085.
  2. Achieving Successful Outcomes With the NIST Cybersecurity Framework (англ.). GovLoop (13 февраля 2019). Дата обращения: 12 июня 2021.
  3. HealthITSecurity HIMSS: NIST Cybersecurity Framework Positive, Can Improve (10 февраля 2016). Дата обращения: 2 августа 2016.
  4. NIST Cybersecurity Framework.
  5. Workshop plots evolution of NIST Cybersecurity Framework. FedScoop (7 апреля 2016). Дата обращения: 2 августа 2016.
  6. NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. Information Week Dark Reading (30 марта 2016). Дата обращения: 2 августа 2016.
  7. Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 января 2020). “Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model”. Journal of Cybersecurity. 6 (1). DOI:10.1093/cybsec/tyaa005. ISSN 2057-2085.
  8. NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST (26 февраля 2024).
  9. Justin Seitz. Black Hat Python: Python Programming for Hackers. — No Starch Press, 14 апреля 2021. — ISBN 978-1718501126.
  10. Shackelford, Scott J; Proia, Andrew A; Martell, Brenton; Craig, Amanda N (2015). “Toward a Global Cybersecurity Standard of Care?: Exploring the Implications of the 2014 NIST Cybersecurity Framework on Shaping Reasonable National and International Cybersecurity Practices”. Texas International Law Journal. 50 (2/3): 305—355. SSRN 2446631. ProQuest 1704865080.
  11. MAIN STREET Cybersecurity Act of 2017. congress.gov. Дата обращения: 5 октября 2017.
  12. NIST Small Business Cybersecurity Act of 2017. congress.gov. Дата обращения: 5 октября 2017.
  13. “Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1”. National Institute of Standards and Technology. 16 апреля 2018. DOI:10.6028/nist.cswp.04162018.
  14. “Security Measures for "EO-Critical Software" Use”. NIST. 12 мая 2021.
  15. “The NIST Cybersecurity Framework 2.0”. NIST. 2023. DOI:10.6028/NIST.CSWP.29.ipd. Дата обращения 2023-10-20.
  16. Public Draft: The NIST Cybersecurity Framework 2.0. NIST. Дата обращения: 20 октября 2023.

Литература

  • Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 января 2020). “Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model”. Journal of Cybersecurity. 6 (tyaa005). DOI:10.1093/cybsec/tyaa005. ISSN 2057-2085.
  • Justin Seitz. Black Hat Python: Python Programming for Hackers. — No Starch Press, 14 апреля 2021. — ISBN 978-1718501126.
  • “Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1”. National Institute of Standards and Technology. 16 апреля 2018. DOI:10.6028/nist.cswp.04162018.

Ссылки

Категории