06.11.2025 11:49
Security_Vision_Team 0 195 Источник

Юрий Подгорбунский, Security Vision

Что же такое NIST CSF 2.0?

NIST Cybersecurity Framework 2.0 — это концепция кибербезопасности (CSF) разработана Национальным институтом стандартов и технологий США (NIST) для того, чтобы предоставить организациям комплексный, а также гибкий подход к управлению и снижению рисков кибербезопасности, используя таксономию общих показателей кибербезопасности, которая может применяться любой организацией независимо от ее размера, отрасли или уровня развития. Концепция призвана помочь организациям управлять рисками ИБ, тем самым повышая уровень кибербезопасности.

CSF включает в себя следующие компоненты:

  • Ядро CSF, которое представляет собой таксономию высокоуровневых результатов кибербезопасности, которые могут помочь любой организации управлять рисками ИБ. Основные компоненты CSF представляют собой иерархию функций, категорий и подкатегорий;

  • Организационный профиль CSF, который представляет собой механизм для описания текущего и/или целевого состояния кибербезопасности организации с точки зрения результатов Core CSF;

  • Уровни CSF, которые могут быть применены к организационным профилям CSF для характеристики строгости методов управления рисками кибербезопасности и управления рисками кибербезопасности в организации.

Ядро CSF

Структура ядра CSF состоит из 6 функций, которые включают в себя 20 категорий, содержащих некоторое количество подкатегорий. Функции ядра CSF представлены ниже.

Рис. 1. Функции ядра CSF
Рис. 1. Функции ядра CSF

Функции ядра и категории CSF

Управление:

  • Организационный контекст;

  • Стратегия управления рисками;

  • Роли, обязанности и полномочия;

  • Политика;

  • Надзор;

  • Управление рисками кибербезопасности в цепочке поставок.

Идентификация:

  • Управление активами;

  • Оценка риска;

  • Улучшение.

Защита:

  • Управление идентификацией, аутентификацией и контролем доступа;

  • Повышение осведомленности и обучение;

  • Безопасность данных;

  • Безопасность платформы;

  • Устойчивость технологической инфраструктуры.

Обнаружение:

  • Непрерывный мониторинг;

  • Анализ нежелательных событий.

Реагирование:

  • Управление инцидентами;

  • Анализ инцидентов;

  • Отчетность и коммуникация по реагированию на инциденты;

  • Устранение последствий инцидентов.

Восстановление:

  • Выполнение плана восстановления после инцидентов;

  • Коммуникация по восстановлению после инцидентов.

Функции ядра CSF рассматриваются параллельно. Действия, поддерживающие Управление, Идентификацию, Защиту и Обнаружение, должны выполняться непрерывно, а действия, поддерживающие Реагирование и Восстановление, должны быть готовы в любое время и реализовываться при возникновении инцидентов кибербезопасности. Все функции играют жизненно важную роль, связанную с инцидентами кибербезопасности. Результаты Управления, Идентификации и Защиты помогают предотвращать инциденты и готовиться к ним, в то время как результаты Управления, Обнаружения, Реагирования и Восстановления помогают обнаруживать инциденты и управлять ими. 

Организационный профиль CSF

Организационный профиль описывает текущее и/или целевое состояние кибербезопасности организации с точки зрения результатов оценки ядра CSF. Организационные профили используются для понимания, адаптации, оценки и приоритизации результатов кибербезопасности на основе целей миссии организации, ожиданий заинтересованных сторон, ландшафта угроз и требований. Затем организация может действовать стратегически для достижения этих результатов. Эти профили также могут использоваться для оценки прогресса в достижении целевых результатов и для передачи соответствующей информации заинтересованным сторонам.

Организационный профиль реализуется как процесс и включает следующие последовательные шаги:

  • Определение области действия;

  • Сбор информации для подготовки профиля;

  • Создание профиля;

  • Анализ текущего и целевого профиля;

  • Реализация плана действий.

Также организационный профиль включает в себя один или оба следующих элементов:

  • Текущий профиль определяет основные результаты, которые организация в настоящее время достигает, а также характеризует, как или в какой степени достигается каждый результат;

  • Целевой профиль определяет желаемые результаты, которые организация выбрала и приоритизировала для достижения своих целей в области управления рисками кибербезопасности.

Достижение прогресса с течением времени с помощью организационных профилей представлено ниже. 

  Рис. 2. Достижение прогресса с течением времени
  Рис. 2. Достижение прогресса с течением времени

Уровни CSF

Уровни CSF необходимы для понимания, насколько зрелыми являются процессы кибербезопасности на момент их последней оценки и той оценки, которая проводилась ранее (если проводилась)

Уровни зрелости процессов кибербезопасности следующие:

  • Уровень 1 «Частичный» (управление рисками кибербезопасности осуществляется на разовой основе);

  • Уровень 2 «Информирование о рисках» (управление рисками кибербезопасности утверждаются руководством, но может быть не регламентировано политикой информационной безопасности);

  • Уровень 3 «Повторяемый» (методы управления рисками кибербезопасности в организации официально утверждены и выражены в виде политики информационной безопасности);

  • Уровень 4 «Адаптивный» (существует общеорганизационный подход к управлению рисками кибербезопасности, который использует политики, процессы и процедуры с учетом рисков для реагирования на потенциальные события кибербезопасности). 

Реализация

Управление рисками в Организации

Управление рисками в Организации осуществляется на следующих уровнях:

  • Корпоративный;

  • Организационный;

  • Системный.

На корпоративном уровне руководство организации определяет миссию, приоритеты, риск-аппетит и бюджет. С организационного уровня на корпоративный предоставляется информация о текущих и будущих рисках кибербезопасности. На корпоративном и организационном уровнях менеджеры учитывают различные требования законодательства и определяют толерантность к рискам. Также на этом уровне формируется стратегия управления рисками кибербезопасности.

На системном уровне принимаются организационно-технические меры защиты информации для достижения приемлемого уровня риска в части следующих функций: Защита, Обнаружение, Реагирование и Восстановление (они могут быть автоматизированы с помощью следующих продуктов Security Vision: Risk Management (RM), Security Profile Compliance (SPC), Security Orchestration, Automation and Response (SOAR), Business Continuity Management (BCM)).  

Формирование организационного профиля CSF

Определение области действия

Область действия определяет общие факты и предположения, на которых будут основаны профили. Можно создать любое количество организационных профилей, каждый с разной областью действия. При определении области действия профиля необходимо ответить на следующие вопросы:

  • Какова причина создания организационного профиля?

  • Будет ли профиль охватывать всю организацию? Если нет, то какие подразделения, информационные активы, технологические активы, продукты и услуги организации, а также партнёры и поставщики будут включены?

  • Будет ли профиль охватывать все типы угроз кибербезопасности, уязвимостей, атак и средств защиты? Если нет, то какие типы будут включены?

  • Какие лица или команды будут отвечать за разработку, проверку и внедрение профиля?

  • Кто будет отвечать за формирование ожиданий в отношении действий для достижения целевых результатов?

Организация может использовать несколько профилей. Каждый профиль может иметь определённую область применения, основанную на таких факторах, как:

  • Категория технологий (ИТ, ОТ);

  • Типы данных (персональные данные, банковская тайна и т.д.);

  • Пользователи (сотрудники, третьи лица).

Может быть полезно объединить два или более профилей, если области применения пересекаются. 

Сбор информации для подготовки профиля

Сбор информации осуществляется как внутри организации, различная организационно-распорядительная документация так и внешнее: законы, указы президента, приказы федеральных служб и т. д.

Создание профиля

Для создания профиля проводится оценка каждой подкатегории CSF в части ее реализации — это и будет являться «Текущим профилем».

К примеру:

Функция: «Управление»

Категория: Организационный контекст (ОК)

Подкатегория: ОК-01 Миссия организации понимается и информирует управление рисками кибербезопасности.

Реализация: Миссия организации доведена до сведения, учтена при планировании управления киберрисками.

ОК-02 Внутренние и внешние заинтересованные стороны, а также их потребности и ожидания в отношении управления рисками кибербезопасности понимаются и учитываются.

Реализация: внутренние и внешние заинтересованные стороны определены:

  • IT подразделение;

  • HR;

  • Производственное подразделение;

  • Юридический департамент.

Внешние заинтересованные стороны:

  • Партнеры;

  • Клиенты;

  • Подрядчики;

  • ФСТЭК России и ее требования по защите критической информационной инфраструктуры или персональных данных;

  • НКЦКИ с его требованиями по уведомлению об инцидентах информационной безопасности.

Учтены требования и потребности заинтересованных сторон.

Категория: Стратегия управления рисками (УР)

Подкатегория: УР-01 Цели управления рисками устанавливаются и согласовываются с заинтересованными сторонами.

Реализация: цели управления рисками установлены, согласованы и доведены до сведения.

УР-02 Утверждения риск-аппетита и толерантности к риску составляются, доводятся до сведения и поддерживаются.

Реализация: риск-аппетит и толерантность к риску определены и доведены до сведения.

Категория: Роли, обязанности и полномочия (РО)

Подкатегория: РО-02 Роли, обязанности и полномочия, связанные с управлением рисками кибербезопасности, устанавливаются, доводятся до сведения, понимаются и применяются.

Реализация: роли, обязанности и полномочия по всем функциям CSF определены в матрице RACI и доведены до сведения.

Определение уровней CSF (дополнительно)

При оценке подкатегорий к категориям рекомендуется определить уровни CSF от 1-го уровня (минимального) до 4-го (эффективного рабочего процесса). В этом случае, после оценки всех функции и их категорий будет видно на сколько зрелые процессы кибербезопасности в организации.

После создания «Текущего профиля» создается «Целевой профиль» который должен включать цели, к которым необходимо стремиться и приоритет:

  • Высокий;

  • Средний;

  • Низкий.

Анализ текущего и целевого профиля

Выявление и анализ различий между Текущем и Целевым профилем позволяет обнаружить пробелы (Gap) и, соответственно, разработать план действий с приоритетами для их реализации.

Реализация плана действий

Помимо пробелов, в плане действий должны учитываться:

  • Цели;

  • Движущие силы миссии;

  • Преимущества;

  • Риски;

  • Люди, процессы, технологии;

  • Улучшения.

Заключение

Преимущество реализации NIST CSF:

1) Улучшенное управление рисками кибербезопасности:

CSF предоставляет систематический метод для выявления, оценки и контроля киберрисков, что позволяет организациям приоритизировать усилия и направлять ресурсы туда, где они наиболее необходимы.

2) Повышенная устойчивость к киберугрозам:

Внедрение CSF помогает организациям более эффективно предотвращать, обнаруживать, реагировать и восстанавливаться после киберинцидентов, что критически важно в условиях постоянно меняющихся угроз.

3) А также, можно использовать как чек‑лист для проверки, на сколько комплексно реализованы меры кибербезопасности в организации.

Комментарии (0)