Реализация NIST CSF 2.0

Юрий Подгорбунский, Security Vision

Что же такое NIST CSF 2.0?

NIST Cybersecurity Framework 2.0 – это концепция кибербезопасности (CSF), разработанная Национальным институтом стандартов и технологий США (NIST) для того, чтобы предоставить организациям комплексный и гибкий подход к управлению и снижению рисков кибербезопасности, используя таксономию общих показателей ИБ. Она может применяться любой организацией, независимо от ее размера, отрасли или уровня развития.

CSF включает в себя следующие компоненты:

   -  Ядро CSF, которое представляет собой таксономию высокоуровневых результатов кибербезопасности, которые могут помочь любой организации управлять рисками ИБ. Основные компоненты CSF представляют собой иерархию функций, категорий и подкатегорий;

   -  Организационный профиль CSF, который представляет собой механизм для описания текущего и/или целевого состояния кибербезопасности организации с точки зрения результатов Core CSF;

   -  Уровни CSF, которые могут быть применены к организационным профилям CSF для характеристики строгости методов управления рисками кибербезопасности и управления рисками кибербезопасности в организации.

Ядро CSF

Структура ядра CSF состоит из 6 функций, которые включают в себя 20 категорий, содержащих некоторое количество подкатегорий. Функции ядра CSF представлены ниже.

 Рис. 1. Функции ядра CSF

Функции ядра и категории CSF

Управление:

  -  Организационный контекст;

  -  Стратегия управления рисками;

  -  Роли, обязанности и полномочия;

  -  Политика;

  -  Надзор;

  -  Управление рисками кибербезопасности в цепочке поставок.

Идентификация:

  -  Управление активами;

  -  Оценка риска;

  -  Улучшение.

Защита:

  -  Управление идентификацией, аутентификацией и контролем доступа;

  -  Повышение осведомленности и обучение;

  -  Безопасность данных;

  -  Безопасность платформы;

  -  Устойчивость технологической инфраструктуры.

Обнаружение:

  -  Непрерывный мониторинг;

  -  Анализ нежелательных событий.

Реагирование:

  -  Управление инцидентами;

  -  Анализ инцидентов;

  -  Отчетность и коммуникация по реагированию на инциденты;

  -  Устранение последствий инцидентов.

Восстановление:

  -  Выполнение плана восстановления после инцидентов;

  -  Коммуникация по восстановлению после инцидентов.

Функции ядра CSF рассматриваются параллельно. Действия, поддерживающие Управление, Идентификацию, Защиту и Обнаружение, должны выполняться непрерывно, а действия, поддерживающие Реагирование и Восстановление, должны быть готовы в любое время и реализовываться при возникновении инцидентов кибербезопасности. Все функции играют жизненно важную роль, связанную с инцидентами кибербезопасности. Результаты Управления, Идентификации и Защиты помогают предотвращать инциденты и готовиться к ним, в то время как результаты Управления, Обнаружения, Реагирования и Восстановления помогают обнаруживать инциденты и управлять ими.

Организационный профиль CSF

Организационный профиль описывает текущее и/или целевое состояние кибербезопасности организации с точки зрения результатов оценки ядра CSF. Организационные профили используются для понимания, адаптации, оценки и приоритизации результатов кибербезопасности на основе целей миссии организации, ожиданий заинтересованных сторон, ландшафта угроз и требований. Затем организация может действовать стратегически для достижения этих результатов. Эти профили также могут использоваться для оценки прогресса в достижении целевых результатов и для передачи соответствующей информации заинтересованным сторонам.

Организационный профиль реализуется как процесс и включает следующие последовательные шаги:

  -  Определение области действия;

  -  Сбор информации для подготовки профиля;

  -  Создание профиля;

  -  Анализ текущего и целевого профиля;

  -  Реализация плана действий.

Также организационный профиль включает в себя один или оба следующих элементов:

  -  Текущий профиль определяет основные результаты, которые организация в настоящее время достигает, а также характеризует, как или в какой степени достигается каждый результат;

  -  Целевой профиль определяет желаемые результаты, которые организация выбрала и приоритизировала для достижения своих целей в области управления рисками кибербезопасности.

Достижение прогресса с течением времени с помощью организационных профилей представлено ниже.

Рис. 2. Достижение прогресса с течением времени

Уровни CSF

Уровни CSF необходимы для понимания, насколько зрелыми являются процессы кибербезопасности на момент их последней оценки и той оценки, которая проводилась ранее (если проводилась).

Уровни зрелости процессов кибербезопасности следующие:

  -  Уровень 1 «Частичный» (управление рисками кибербезопасности осуществляется на разовой основе);

  -  Уровень 2 «Информирование о рисках» (управление рисками кибербезопасности утверждаются руководством, но может быть не регламентировано политикой информационной безопасности);

  -  Уровень 3 «Повторяемый» (методы управления рисками кибербезопасности в организации официально утверждены и выражены в виде политики информационной безопасности);

  -  Уровень 4 «Адаптивный» (существует общеорганизационный подход к управлению рисками кибербезопасности, который использует политики, процессы и процедуры с учетом рисков для реагирования на потенциальные события кибербезопасности).

Реализация

Управление рисками в Организации

Управление рисками в Организации осуществляется на следующих уровнях:

  -  Корпоративный;

  -  Организационный;

  -  Системный.

На корпоративном уровне руководство организации определяет миссию, приоритеты, риск-аппетит и бюджет. С организационного уровня на корпоративный предоставляется информация о текущих и будущих рисках кибербезопасности. На корпоративном и организационном уровнях менеджеры учитывают различные требования законодательства и определяют толерантность к рискам. Также на этом уровне формируется стратегия управления рисками кибербезопасности.

На системном уровне принимаются организационно-технические меры защиты информации для достижения приемлемого уровня риска в части следующих функций: Защита, Обнаружение, Реагирование и Восстановление (они могут быть автоматизированы с помощью следующих продуктов Security Vision: Risk Management (RM), Security Profile Compliance (SPC), Security Orchestration, Automation and Response (SOAR), Business Continuity Management (BCM)).

Формирование организационного профиля CSF

Определение области действия

Область действия определяет общие факты и предположения, на которых будут основаны профили. Можно создать любое количество организационных профилей, каждый с разной областью действия. При определении области действия профиля необходимо ответить на следующие вопросы:

  -  Какова причина создания организационного профиля?

  -  Будет ли профиль охватывать всю организацию? Если нет, то какие подразделения, информационные активы, технологические активы, продукты и услуги организации, а также партнёры и поставщики будут включены?

  -  Будет ли профиль охватывать все типы угроз кибербезопасности, уязвимостей, атак и средств защиты? Если нет, то какие типы будут включены?

  -  Какие лица или команды будут отвечать за разработку, проверку и внедрение профиля?

  -  Кто будет отвечать за формирование ожиданий в отношении действий для достижения целевых результатов?

Организация может использовать несколько профилей. Каждый профиль может иметь определённую область применения, основанную на таких факторах, как:

  -  Категория технологий (ИТ, ОТ);

  -  Типы данных (персональные данные, банковская тайна и т.д.);

  -  Пользователи (сотрудники, третьи лица).

Может быть полезно объединить два или более профилей, если области применения пересекаются.

Сбор информации для подготовки профиля

Сбор информации осуществляется как внутри организации, различная организационно-распорядительная документация так и внешнее: законы, указы президента, приказы федеральных служб и т.д.

Создание профиля

Для создания профиля проводится оценка каждой подкатегории CSF в части ее реализации – это и будет являться «Текущим профилем».

К примеру:

Функция: «Управление»

Категория: Организационный контекст (ОК)

Подкатегория: ОК-01 Миссия организации понимается и информирует управление рисками кибербезопасности.

Реализация: Миссия организации доведена до сведения, учтена при планировании управления киберрисками.

ОК-02 Внутренние и внешние заинтересованные стороны, а также их потребности и ожидания в отношении управления рисками кибербезопасности понимаются и учитываются.

Реализация: внутренние и внешние заинтересованные стороны определены:

  -  IT подразделение;

  -  HR;

  -  Производственное подразделение;

  -  Юридический департамент.

Внешние заинтересованные стороны:

  -  Партнеры;

  -  Клиенты;

  -  Подрядчики;

  -  ФСТЭК России и ее требования по защите критической информационной инфраструктуры или персональных данных;

  -  НКЦКИ с его требованиями по уведомлению об инцидентах информационной безопасности.

Учтены требования и потребности заинтересованных сторон.

Категория: Стратегия управления рисками (УР)

Подкатегория: УР-01 Цели управления рисками устанавливаются и согласовываются с заинтересованными сторонами.

Реализация: цели управления рисками установлены, согласованы и доведены до сведения.

УР-02 Утверждения риск-аппетита и толерантности к риску составляются, доводятся до сведения и поддерживаются.

Реализация: риск-аппетит и толерантность к риску определены и доведены до сведения.

Категория: Роли, обязанности и полномочия (РО)

Подкатегория: РО-02 Роли, обязанности и полномочия, связанные с управлением рисками кибербезопасности, устанавливаются, доводятся до сведения, понимаются и применяются.

Реализация: роли, обязанности и полномочия по всем функциям CSF определены в матрице RACI и доведены до сведения.

Определение уровней CSF (дополнительно)

При оценке подкатегорий к категориям рекомендуется определить уровни CSF от 1-го уровня (минимального) до 4-го (эффективного рабочего процесса). В этом случае, после оценки всех функции и их категорий будет видно на сколько зрелые процессы кибербезопасности в организации.

После создания «Текущего профиля» создается «Целевой профиль» который должен включать цели, к которым необходимо стремиться и приоритет:

  -  Высокий;

  -  Средний;

  -  Низкий.

Анализ текущего и целевого профиля

Выявление и анализ различий между Текущем и Целевым профилем позволяет обнаружить пробелы (Gap) и, соответственно, разработать план действий с приоритетами для их реализации.

Реализация плана действий

Помимо пробелов, в плане действий должны учитываться:

  -  Цели;

  -  Движущие силы миссии;

  -  Преимущества;

  -  Риски;

  -  Люди, процессы, технологии;

  -  Улучшения.

Заключение

Преимущество реализации NIST CSF:

1)  Улучшенное управление рисками кибербезопасности:

CSF предоставляет систематический метод для выявления, оценки и контроля киберрисков, что позволяет организациям приоритизировать усилия и направлять ресурсы туда, где они наиболее необходимы.

2)  Повышенная устойчивость к киберугрозам:

Внедрение CSF помогает организациям более эффективно предотвращать, обнаруживать, реагировать и восстанавливаться после киберинцидентов, что критически важно в условиях постоянно меняющихся угроз.

3)  А также, можно использовать как чек-лист для проверки, на сколько комплексно реализованы меры кибербезопасности в организации.