在2013年2月,美國前總統歐巴馬一道行政命令,催生了一個影響美國聯邦政府各部門的新安全框架。

這個安全框架就是2014年2月正式發布的NIST網路安全框架(Cybersecurity Framework,CSF),不到一年,美國3成組織開始參考,2017年,美國聯邦政府甚至要求下屬機關都要採用,不只有關鍵基礎設施而已,甚至極力建議美國企業導入,連中小企業都能用。根據Gartner估算,到了2020年,半數美國企業都會採用。

而且不只美國,連英國、義大利、以色列、日本等國都有政府機關或大型企業引進。例如在日本,NTT、NEC和Hitachi等40家日本大型企業合組的關鍵基礎設施跨產業聯盟,早在2015年,就決定採用這套框架,作為各產業的共通資安語言和共識基礎,以強化跨產業的資安交流和協同防護。也有科技業者,如Cisco,開始在自家產品中套用這套框架的設計。

這個框架從網路安全風險生命周期各階段,識別、保護、偵測、回應到復原,設計了一套資安工作檢核表架構,去年大改版增加到了5大類108個控制項,增加了新興資安議題,如供應鏈網路安全、弱點察覺等,可以讓企業或組織來評估自己的資安成熟度,甚至作為改善和強化的參考方向。

要持續改善資安,得先知道自己做得好不好,才能集中資源,聚焦在不足之處,也才能重新安排資安防禦措施的優先順序。NIST網路安全框架就提供了一整套,從風險管理角度來設計的評估架構和清單。

美國國家標準技術研究所(NIST)設計這個框架時,也參考了許多常見的IT治理標準與資安標準,例如常見的ISO/IEC 27001,或是CIS CSC、NIST SP 800-53 Rev. 4,另外還參考了近年OT領域常見的ISA 62443-2-1、ISA 62443-3-3,與企業IT資訊治理框架COBIT 5。不過,看似包山包海,但CSF卻是一份主打容易上手,連中小企業都能用的網路安全框架,甚至有一位大城市的資安長,靠他自己一個人,就設計出了一個用來評估市政機構資安成熟度的表單。他就是美國奧勒岡州波特蘭市資安長Christopher Paidhrin。

Christopher Paidhrin在一個Excel表中,設計出了一份完整的NIST網路安全框架規畫工具,受到不少資安專家關注和推薦,甚至有廠商,如弱點管理軟體廠商Tenable就推薦大家直接使用這個Excel檔,來評估自我資安成熟度。

勤業眾信風險諮詢公司總經理萬幼筠曾問過這位資安長,為何用Excel設計?對方回答,因為他只靠自己一個人來做這件事。這更反映出,CFS不一定要大企業、大團隊才能實施。

採取和ISO 27001類似的風險管理精神,但又不用像這些標準那樣,得經過第三方驗證,企業單靠自己就能實施CSF,萬幼筠更以「內功」來比喻CSF的架構。

內功練好了,學起各種招式都能得心應手,也能發揮更大的威力,甚至不管對手、駭客如何出招,都能有一套因應對策。這也正是CFS的價值。

 相關報導  NIST網路安全框架當紅

專欄作者

熱門新聞

Advertisement