NIST CSF、ISO 27001/2、NIST 800-53 和 SCF

本篇博客来源于 ComplianceForge,这是一家提供合规和安全治理解决方案的公司。文章对几种网络安全框架见解独特,可能也是该公司最佳实践的结果,不代表译者观点。

1 最适合组织需求的网络安全框架是什么?

“最佳”网络安全框架的概念是错误的,因为最合适的框架完全取决于组织的业务模式。组织必须遵守的适用法律、法规和合同义务通常会引导我们从四个起点之一开始讨论“哪个框架最适合我们的需求? ”:

  • NIST 网络安全框架(NIST CSF)
  • ISO 27001/27002
  • NIST SP 800-53(中或高级别基线);
  • NIST 800-171
  • 安全控制框架(SCF)(或类似的元框架)。

spectrum-cybersecurity-framework-comparison

当我们以图形方式描述各种先进的网络安全框架时,从“易到难”的顺序,主要关注的是独特的网络安全和隐私控制措施的数量。这些控制措施(例如,需求)的数量直接影响该网络安全框架所涵盖的领域数量。网络安全框架中控制措施数量较少可能使其看起来更容易实施,但从管理、技术和物理网络安全和隐私实践的角度来看,也可能无法提供组织所需的必要覆盖范围。定义网络安全和隐私控制措施的“恰到好处”主要是一项业务决策,基于组织的风险状况,需要考虑支持现有或计划业务流程所需的适用法律、法规和合同义务。

选择框架时,一个非常重要的考虑因素是必要的定制。单一框架不太可能完全满足组织的需求,因此组织必须根据自己的特定需求定制框架(例如,添加、删除不必要的内容或合并多个框架)。从定制的角度来看,将内容“绑定”到网络安全框架中,就像啃掉木桩的方边以使其适合圆孔一样——虽然最终可以适合,但外观可能不太好看,或者不太合适。这就是定制网络安全框架(添加网络安全框架缺失的内容)的缺点。通常,与更强大的框架保持一致并删除内容比从较差的框架开始并添加内容更加容易。

2 是否存在一个黄金框架,难易适中,恰到好处?

网络安全框架的选择过程通常会采用一个“起点”框架。这些基础框架包括NIST 网络安全框架ISO 27002NIST 800-53安全控制框架 (SCF)。我们称之为“网络安全黄金困境”,因为它解决了一个问题:对于我的组织来说,哪种网络安全框架“难易适中,恰到好处?”归根结底,首先要明确组织的“必须”和“最好”的要求,因为这有助于我们找到最合适的框架来满足组织的特定需求:

  • “必须具备”最低合规要求(MCR) (例如法律、法规和合同义务);
  • “最好有”的自由裁量安全要求 (DSR)(例如,虽然不是法律要求,但组织觉得需要他们来确保安全,例如 FIM - 文件完整性监测、DLP - 数据泄露防护、MFA - 多因子认证等)

这两个考量因素共同作用,共同解决“合规与安全”的抉择,确保组织的网络安全和/或隐私计划既安全又合规。可以在集成控制管理 (ICM)模型中了解更多相关信息。

venn-compliant-vs-secure

3 “合规”与“安全”的考量

组织选择的框架越稳健,其包含的控制措施涵盖的主题就越多。这通常意味着组织将拥有更全面的政策和标准,以满足更广泛的覆盖。许多公司面临的困境是,他们希望在合规的同时,最大限度地减少需要维护的文档工作(例如,政策、标准和控制措施)。这时,组织领导团队的重要性就凸显出来了,他们能够从根本上真正定义组织的风险文化:

  • 合规为重点 —— 这种方法只关注遵守法律、法规或框架的最低限度,力求达到平庸。(注意:这种方法非常常见。虽然有误导性,但很常见)
  • 安全为中心 —— 重点关注硬核安全工程实践,合规性不是问题。(注意 ——这种方法很少见)
  • 以合规和安全为重点 —— 这是一种整体方法,专注于确保系统、应用程序和服务在设计和默认方面都是安全的,其中合规性被视为通过适当融合网络安全和隐私实践而产生的自然副产品。(注意 - 这是组织应该努力追求的最佳方法)

4 网络安全框架热力图

并非所有框架都生而平等,而这并无不妥。经验丰富的网络安全从业者对法律、法规和框架之间的差异存在根本性误解的情况并不少见。然而,在这种情况下,热力图上所描绘的内容被称为“框架”,因为根据 NIST 词汇表定义,框架是“但在此语境下,热力图中展示的内容被称为"框架"”。即使是法律或法规也可以作为构建网络安全程序的框架。

我们理解,当组织从"热力图"视角审视时可能会产生些许困惑,因为每个网络安全框架都有其独特的适用范围(如专业领域)和覆盖深度。然而,理解这种差异性恰恰能帮助组织做出明智决策,根据实际需求选择最适合的框架作为起点(通常组织会采用多个框架)。组织甚至可能需要利用元框架 (例如,框架的框架)来满足更复杂的合规性要求。

complianceforge-cybersecurity-frameworks-heatmap

5 如何选择网络安全框架?(可口可乐与百事可乐的类比)

如果从争论哪种碳酸饮料味道最好(例如可口可乐 vs 百事可乐)的角度来看待这个问题,通常归结于个人喜好,因为这两种产品本质上都是含糖碳酸饮料,只是在口味和包装上略有不同。同样的道理也适用于网络安全领域的两大重量级标准 —— NIST 800-53 和 ISO 27002。NIST 网络安全框架(NIST CSF)越来越受欢迎,但它缺乏开箱即用的适当覆盖范围,不足以被视为一个全面的网络安全框架。对于更复杂的合规性要求,SCF 是一个“元框架”,它以混合框架的形式涵盖了 100 多项法律、法规和框架,可以涵盖多项合规性要求。

6 网络安全框架比较:NIST CSF、ISO 27001/2、NIST 800-53 和 SCF

选择网络安全框架的一个关键考虑因素是了解每个框架提供的内容级别,因为这直接影响到可用的“开箱即用”的网络安全和隐私控制,无需额外添加内容来满足组织的特定需求。如果组织要求网络安全专业人士确定他们首选的“最佳实践框架”,通常会选择 NIST 或 ISO,因为这些是最常见的框架。然而,这并不意味着组织应该将搜索范围限制在此。

如果我们不确定从哪里开始,这里有一些建议:

  • 与组织的法务和采购部门讨论,了解公司需要遵守哪些法律法规和合同义务。 如果他们不清楚,我们需要在他们参与的情况下进行调查,以确保掌握事实。切勿凭空臆断!
  • 与组织所在行业的同行交流,了解他们的组织选择遵循的框架,以及哪些决策促使他们采用某个框架而非另一个框架。 我们仍然需要自行分析以确定哪种框架是正确的,但与同行交流可以帮助避免在分析过程的某些方面“重复造轮子”。
  • 确定我们有哪些资源可以用来采用和实施框架。 如果觉得两个框架都能满足组织的需求,那么我们需要仔细考虑哪个框架的实施和维护效率最高。
  • 评估组织的业务和 IT 战略,以确定可能需要采用特定框架的组件。例如:
    • 首席执行官制定了业务发展路线图,明年公司将开始争取美国政府和国防部 (DoD) 的合同。这意味着组织必须满足基于 NIST SP 800-171 的 DFARS、FAR 和 CMMC 合规性要求,与 NIST SP 800-53 或 SCF 保持一致可能是最佳的前进方向。
    • 一个业务部门正在拓展欧洲市场,并将专注于 B2C 销售。这意味着组织除了网络安全之外,还必须遵守欧盟 GDPR,以建立健全的隐私实践。可以选择任何框架来处理底层网络安全实践,但组织需要一个隐私计划。SCF 或许是最佳的前进之路。
  • 与信誉良好的顾问沟通。 并非所有“网络安全专业人员”都拥有相同的背景、经验和能力。与治理、风险与合规 (GRC) 专业人员沟通,了解合规相关框架和范围界定决策。

NIST CSF < ISO 27001/2 < NIST 800-53 < SCF

cybersecurity-spectrum-nist-csf-vs-iso-27002-vs-nist-800-53-vs-scf

以上图片的背景信息:

  • ISO 27001/2 本质上是 NIST 800-53 内容的一个子集(ISO 27002 从 2013 年的 14 个部分缩减至 2022 年的 3 个部分),其中 ISO 27002 的网络安全控制适合 NIST 800-53 rev5 安全控制的 20 个系列。
  • NIST CSF 是 NIST 800-53 的一个子集,并且还共享 ISO 27001/2 中的控制。
  • NIST CSF 包含 ISO 27001/2 的部分内容和 NIST 800-53 的部分内容,但并不包含两者 —— 这就是为什么NIST CSF 成为需要一套“行业认可的安全实践”的小型公司的常见选择,而 ISO 27001/2 和 NIST 800-53 更适合大型公司或具有独特合规性要求的公司。
  • SCF 是一个元框架,包括映射到 100 多个网络安全和数据隐私法律、法规和框架,其中包括 NIST CSF、ISO 27001/2、NIST 800171 和 NIST 800-53。

当我们开始考虑支付卡行业数据安全标准(PCI DSS)等通用要求时,我们会从交叉映射中发现,这些通用要求比 NIST CSF 原生包含的内容更全面,因此组织需要使用 ISO 27002 或 NIST 800-53 来满足 PCI DSS 框架的要求(取决于我们的 SAQ 级别),除非组织想在 NIST CSF 上附加额外的控制措施来实现这一点。这种在标准框架上附加额外控制措施有错吗?没有错,但当我们开始这样做时,情况就会变得很混乱。

cybersecurity-spectrum-nist-csf-vs-iso-27001-27002-vs-nist-80053-vs-scf

6.1 NIST CSF

NIST 网络安全框架 (NIST CSF)由美国国家标准与技术研究院 (NIST) 开发,是主要网络安全框架中覆盖范围最小的。NIST CSF 非常适合那些只想与公认的网络安全框架保持一致的小型和不受监管的企业。NIST CSF 的缺点是其简洁性使其与常见的合规性要求不兼容,例如 NIST 800-171、GDPR、CPRA/CCPA 和 PCI DSS(取决于 SAQ 级别)。对于这些,建议使用更全面的框架,例如 NIST 800-53 或 ISO 27002。

NIST CSF:

  • 是一个自愿性框架,为组织管理和改进其网络安全风险管理流程提供一套指导方针和最佳实践;
  • 是一个适用于任何组织的高级框架,无论其规模或行业如何;
  • 专注于识别、保护、检测、响应和恢复网络安全风险;
  • NIST CSF 以其灵活性而闻名,各组织可以根据其特定需求和风险状况调整和实施。它鼓励采用基于风险的网络安全方法。

实际上,NIST CSF 是 NIST 800-53 的“简化版”和民用版。它问世于近十年前,当时 NIST 800-53 完全专注于美国政府,因此需要 NIST 800-53 提供的控制措施子集,但适用于私营行业的非企业领域(例如,针对中小型企业量身定制)。在过去十年中,不同的美国联邦机构发布了相关文件,描述了如何利用 NIST CSF v1.1 控制措施来遵守 HIPAA、FINRA 等法规。

总体而言,NIST CSF 并未引入新的标准或概念,而是利用并整合了 NIST 和 ISO 等组织开发的业界领先的网络安全实践。NIST CSF 1.1 版分为五类控制措施:

  1. 识别(Identify)
  2. 保护(Protect)
  3. 检测(Detect)
  4. 响应(Respond)
  5. 恢复(Recover)

NIST CSF 2.0 版增加了治理(Govern)第六类控制。NIST CSF 包含一系列基于风险的指南,旨在帮助组织识别、实施和改进网络安全实践,并为网络安全问题的内部和外部沟通创建通用语言。NIST CSF 随着网络安全威胁、流程和技术的变化而发展。本质上,NIST CSF 将有效的网络安全设想为一个动态、连续的循环,以响应威胁和解决问题。然而,应该避免使用“框架实施层级(Tiers)”,因为它不是好的指导。例如,在记录政策、标准或程序之前,必须达到 Tiers 3(笔者注:第三级,可重复级别)。这意味着处于第一级和第二级的企业将因未能满足安全计划的“合理预期”而被视为疏忽。这是“通往地狱之路是由善意铺就的”(笔者注:谚语,虽然你可能相信自己在做好事,但这往往会给你和你周围的人带来负面影响)的一个例子,因此应该避免使用 NIST CSF 的这一部分。

NIST CSF 通常被小型企业和不受监管的行业使用。

NIST CSF 可用于:

  • 一般业务
  • 零售
  • 医疗保健(小型)
  • 保险

NIST CSF 不应用于:

  • 国防承包商

6.2 ISO 27001/27002 概述

国际标准化组织 (ISO) 是一个非政府组织,总部位于瑞士。对于 IT 安全或合规领域的新手来说,ISO 可能会有点令人困惑,因为 ISO 在 2007 年进行了品牌重塑,将 IT 安全文档保留在其文档目录的 27000 系列中 —— ISO 17799 被重新命名为 ISO 27002。更令人困惑的是,ISO 27002 是一份辅助 ISO 27001 实施的支持文件。需要注意的是,公司不能根据 ISO 27002 进行认证,只能根据 ISO 27001 进行认证。

ISO 27001 附录 A 包含构建信息安全管理系统(ISMS)所需的安全控制的基本概述,但 ISO 27002 提供了实际实施 ISO 27001 所必需的具体控制。本质上,如果不实施 ISO 27002,就无法满足 ISO 27001 的要求:

  • ISO/IEC 27001:2022 - 信息安全、网络安全和隐私保护 - 信息安全管理体系 - 要求
  • ISO/IEC 27002:2022 - 信息安全、网络安全和隐私保护 - 信息安全控制

简单来说,只需记住 ISO 27001 列出了创建“信息安全管理系统(ISMS)”(例如,全面的 IT 安全计划)的框架,而 ISO 27002 包含构建全面 IT 安全计划的最佳实践。由于 ISO 的信息安全框架自 20 世纪 90 年代中期就已存在,因此它在“正确的时间和地点”发展成为美国以外事实上的 IT 安全框架。你会发现 ISO 27002 被跨国公司和无需特别遵守美国联邦法规的公司广泛使用。ISO 27002 也比 NIST 800-53“更不偏执”,它具有复杂性较低因此更易于实施的优势。

ISO/IEC 27001 是:

  • 由国际标准化组织(ISO)和国际电工委员会(IEC)开发。
  • 一项国际标准,规定了建立、实施、维护和持续改进信息安全管理系统(ISMS)的要求。
  • 这是一项专门针对信息安全的综合标准,它提供了一种系统的、基于风险的方法来管理和保护组织内的敏感信息。
  • 具备认证资质。组织可以通过认证流程来证明其符合标准。获得 ISO/IEC 27001 认证表明该组织已实施并保持有效的信息安全管理体系(ISMS)。

ISO 27001/2 的一个不幸之处(适用于所有 ISO 出版物)是 ISO 对其出版物收费 - https://www.iso.org/standard/27001

ISO 27001/27002 通常被中型到大型企业使用,并且得到国际认可(例如,ISO 27001 认证)。

ISO 27001/27002 可用于:

  • 一般业务
  • 零售
  • 医疗保健
  • 保险

ISO 27001/27002 不应用于:

  • 国防承包商

6.3 NIST SP 800-171 概述

美国国家标准与技术研究院 NIST正在对特别出版物 (SP) 800-171《保护非联邦系统和组织中的受控非机密信息》进行第二次修订(rev2) 。美国国家档案馆(NARA)为美国政府运行受控非机密信息(CUI)计划,NARA 指定 NIST SP 800-171 和 800-171A 作为保护 CUI 的最低要求。NIST SP 800-171 是美国国防部网络安全成熟度模型认证 (CMMC)所用控制措施的基础。与其他 NIST 出版物一样,它免费向公众提供 - http://csrc.nist.gov/publications/PubsSPs.html

任何规模的组织都可以使用NIST 800-171,因为它是保护存储、处理和/或传输 CUI 所必需的一组控制措施。

NIST 800-171 可用于:

  • 国防承包商
  • 政府承包商
  • 技术企业(MSP、MSSP 等)

NIST 800-171 不应用于:

  • FedRAMP 或 RMF 合规性

6.4 NIST SP 800-53 概述

美国国家标准与技术研究院 NIST正在修订特别出版物 (SP) 800-53《信息系统和组织的安全和隐私控制》的第五版 (rev5) 。从 rev4 到 rev5,NIST 放弃了 NIST SP 800-53 中“美国政府”的关注点,现在已将其扩展到其他领域,可供私营企业使用。虽然措辞中仍然保留着“NIST主义”,但这对于私营企业的采用来说是一个重大的进步。NIST 800-53 的“最佳实践”已成为与美国联邦政府有业务往来的私营企业事实上的标准。

需要注意的是,NIST 800-53 是 ISO 27002 的超集 —— 这意味着 NIST 800-53 涵盖了 ISO 27002 的所有组成部分。然而,ISO 27002 并未涵盖 NIST 800-53 的所有领域。

《联邦信息安全管理法案》(FISMA)和美国国防部信息保障风险管理框架(RMF)均以 NIST 800-53 框架为基础,因此美国联邦政府的供应商必须满足相同的要求才能通过这些严格的认证计划。此外,对于 NIST 800-171《保护非联邦信息系统和组织中的受控非机密信息》,NIST 800-53 被称为政府承包商保护其系统安全的最佳实践。这进一步巩固了 NIST 800-53 作为美国最佳实践的地位,尤其对于所有政府承包商而言。如果你对 NIST 800-171 网络安全成熟度模型认证(CMMC)感兴趣,我们专门有一节介绍该主题。

NIST 800-53 涵盖了 ISO 27002 和 NIST CSF 所涵盖的内容,以及一系列其他要求。NIST 800-53 是 NIST 800-171/CMMC 中控制措施的基础。NIST 800-53 广泛应用于金融、医疗和政府承包行业。NIST 800-53 的一大优势在于它几乎适用于所有 NIST 800 系列出版物。与其他 NIST 出版物一样,它免费向公众开放- http://csrc.nist.gov/publications/PubsSPs.html

NIST SP 800-53 是:

  • 美国联邦信息系统和组织的安全控制目录。
  • 主要侧重于定义联邦机构必须实施的安全控制和保障措施,以保护其信息系统和数据。
  • 范围涵盖涵盖 20 个控制系列(例如域)的广泛主题。
  • 经常被非联邦组织用作参考,被公认为一套适用于各个行业的全面安全控制措施。

NIST 800-53 中级通常由中型到大型企业使用,主要集中在美国。

NIST 800-53 中级可用于:

  • 国防承包商(CMMC、RMF 等)
  • 政府承包商(FedRAMP、RMF 等)
  • 技术企业(例如 MSP、CSP 等)
  • 一般业务(大型)
  • 零售(大型)
  • 医疗保健(大型)
  • 保险(大型)

NIST 800-53 中级不适用于:

  • 小型企业

NIST 800-53 高级通常由对高基线有明确要求的中型到大型企业使用,主要集中在美国。

NIST 800-53 高级可用于:

  • 国防承包商(大型)
  • 政府承包商(大型)
  • 科技企业(大型)

NIST 800-53 高级不应用于:

  • 小型企业

6.5 安全控制框架 (SCF) 概述

安全控制框架(SCF),旨在提供全面的网络安全和隐私控制指南,以满足组织的战略、运营和战术需求,无论其规模、行业或国家/地区如何。通过使用 SCF,IT、网络安全、法务和项目团队可以在控制措施和需求预期方面达成共识!SCF 是一个“元框架”,即一个框架的框架。SCF 是一个超集,涵盖了 NIST CSF、ISO 27002、NIST 800-53 以及 100 多项其他法律、法规和框架中的控制措施。这些领先的网络安全框架往往涵盖网络安全计划的相同基本构建模块,但在内容和布局上有所不同。在选择框架之前,务必了解每个框架的优缺点。因此,组织的选择应取决于企业所在的行业类型以及组织需要遵守的法律、法规和合同义务。

SCF 是一个开源项目,为企业提供免费的网络安全和隐私控制措施。SCF 专注于内部控制,即与网络安全和隐私相关的政策、标准、程序和其他流程,旨在合理保证业务目标的实现,并预防、检测和纠正不良事件。

SCF 是 一种“一流的”方法,涵盖 100 多项网络安全和隐私法律、法规和框架,包括 NIST 800-53、ISO 27001/2 和 NIST CSF。作为一种混合方法,它允许组织同时处理多个网络安全和隐私框架。SCF 是企业可免费使用的资源。ComplianceForge(笔者注:本篇博客作者所在的公司) 的数字安全计划(DSP)与 SCF 一一对应,因此 DSP 提供了所有 ComplianceForge 产品中最全面的覆盖范围。

SCF 通常由中型到大型企业使用,但任何具有复杂网络安全和隐私要求的企业都可以使用。

SCF 可用于:

  • 任何规模的企业
  • 任何行业

SCF 不适用于:

  • 简单的合规需求

7 网络安全政策、标准和程序旨在满足组织的合规需求

重要的是要记住,选择网络安全框架更多的是一个商业决策,而不是一个技术决策, 因为外部法律、法规或框架中确定的网络安全和隐私控制直接影响组织的内部政策、标准和程序。

complianceforge-nist-csf-vs-iso-27002-vs-nist-800-171-vs-nist-800-53-compliance-documentation

  • 政策 由组织的企业领导层制定,确立了支持组织整体战略和使命所必需的网络安全和数据保护要求的“管理意图”。
  • 控制目标 确定通常与法律、法规、行业框架或合同义务相关的技术、行政和物理保护。
  • 标准 为网络安全和数据保护提供了特定于组织的可量化要求。
  • 指南 是建议性的附加指导,但不是强制性的。
  • 程序 (也称为控制活动)建立了为满足实施标准和满足控制/控制目标而执行的定义的实践或步骤。
原文:NIST CSF vs ISO 27001/2 vs NIST 800-53 vs SCF