《为改善关键基础设施网络安全框架》由会员分享,可在线阅读,更多相关《为改善关键基础设施网络安全框架(41页珍藏版)》请在金锄头文库上搜索。
1、(水平有限,翻译粗糙,仅供参考)为改善关键基础设施网络安全框架Version 1.0国家标准与技术研究所February 12, 2014February 12, 2014网络安全框架Version 1.0Table of ContentsExecutive Summary11.0Framework Introduction32.0Framework Basics73.0How to Use the Framework13Appendix A: Framework Core18Appendix B: Glossary37Appendix C: Acronyms39List of Figures
2、Figure 1: Framework Core Structure7Figure 2: Notional Information and Decision Flows within an Organization12List of TablesTable 1: Function and Category Unique Identifiers19Table 2: Framework Core20ii执行摘要美国的国家安全和经济安全取决于关键基础设施的可靠运作的。网络安全威胁攻击日益复杂和关键基础设施系统的连接,把国家的安全,经济,风险公众安全和健康。类似的财务和声誉风险,网络安全风险影响到公司
3、的底线。它可以驱动多达费用及影响收入。它可能会损害一个组织的创新,以获得并保持客户的能力。为了更好地解决这些风险,总统于2013年2月12日,其中规定“I t是美国的政策,加强国家的安全和弹性颁布行政命令13636,”改善关键基础设施的网络安全。“关键基础设施和维护,鼓励高效,创新,和经济繁荣,同时促进安全,保安,商业机密,隐私和公民自由。“在制定这项政策的网络环境,执行命令为自愿风险的发展需要基于网络安全框架 - 一套行业标准和最佳实践,帮助企业管理网络安全风险。由此产生的框架,通过政府和私营部门之间的合作创建的,使用共同的语言,无需放置额外的监管要求,对企业在根据业务需要具有成本效益的方式
4、处理和管理网络安全风险。该框架着重于使用业务驱动因素,以指导网络安全的活动,并考虑网络安全风险,组织风险管理程序的一部分。该框架由三部分组成:核心框架,该框架配置文件和框架实施层级。该框架的核心是一套网络安全的活动,成果,和翔实的参考资料是通用的重要基础设施行业,为发展个人组织档案的详细指导。通过使用配置文件中,该框架将帮助组织调整其网络安全的活动,其业务需求,风险承受能力和资源。各层提供一个机制,组织查看和了解他们的方法来管理网络安全风险的特性。该行政命令还要求该框架包括一个方法来保护个人隐私和公民自由时,重要的基础设施组织开展网络安全的活动。虽然流程和现有的需求会有所不同,该框架能够帮助组
5、织整合的隐私和公民自由的全面网络安全计划的一部分。该框架使组织 - 无论大小,网络安全风险程度,或网络安全的复杂性 - 原则和风险管理的最佳实践应用到改善关键基础设施的安全性和弹性。该框架提供了组织和结构到今天的多种途径,以网络安全组装标准,准则和做法,如今正在有效地业。此外,因为它引用了全球公认的标准,网络安全,该框架还可以用于由位于美国以外的组织,可以作为一个典范加强关键基础设施的网络安全国际合作。该框架是不是一个尺寸适合所有人的方法来管理网络安全风险的关键基础设施。组织将继续有独特的风险 - 不同的威胁,不同的弱点,不同的风险承受能力 - 以及他们如何实施该框架的行为会有所不同。组织可以
6、决定是很重要的关键服务活动,并可以优先考虑投资,以最大限度地度过每一美元的影响。最终,该框架旨在减少和更好地管理网络安全风险。该框架是一个活的文件,并会继续进行更新和改善,产业提供了执行的反馈。在架构上付诸实践,经验教训将被整合到未来版本。这将确保它满足关键基础设施的业主和运营商的需求在新的威胁,风险和解决方案,一个充满活力和挑战性的环境。使用这种自愿框架是下一步要提高我们国家的关键基础设施的网络安全 - 为个别组织的指导,同时增加了国家的关键基础设施作为一个整体的网络安全态势。211.0框架简介美国的国家安全和经济安全取决于关键基础设施的可靠运作的。为了加强这一基础设施的恢复力,奥巴马总统2
7、月12日颁布行政命令13636 ( EO ) , “改善关键基础设施的网络安全, ” ,对于自愿网络安全框架( “框架” ) ,它提供了“优先,灵活,可重复,基于绩效的,和成本效益的方法”直接管理这些流程,信息和系统网络安全风险的发展这一行政命令要求参与关键基础设施服务的提供。该框架,与业界合作开发,提供指导,在管理网络安全风险的一个组织。关键基础设施是在EO定义为“系统和资产,不论是物理或虚拟的,所以至关重要的美国的无行为能力或破坏这些制度和资产将会对安全,国家经济安全,国家公共健康或使人衰弱的影响安全,或该等事项的任何组合。 “由于来自外部和内部的威胁越来越大的压力,负责关键基础设施的组织
8、需要有一个一致的,迭代的方法来识别,评估和管理网络安全风险。这种做法是必要的,无论一个组织的规模,威胁曝光或网络安全的复杂的今天。在关键基础设施的社区,包括公共和私营业主和运营商,以及其他实体在确保国家的基础设施的作用。每个关键基础设施部门的执行委员是由信息技术支持的功能( IT)和工业控制系统( ICS ) .2这依赖于技术,通信和IT和ICS的互联互通已发生变化,扩大了潜在的漏洞和潜在的增长对风险的操作。例如, ICS和ICS的操作产生的数据越来越多地用于提供关键的服务和支持业务决策,一个网络安全事件对组织业务的潜在影响,资产,健康和个人安全和环境,应考虑。要管理网络安全风险,该组织的业务
9、驱动因素和具体到它的使用IT和ICS安全考虑清楚的认识是必要的。因为每个组织的风险是独一无二的,随着其使用的IT和ICS的,用于实现由框架所描述的结果的工具和方法会有所不同。认识到隐私和公民自由的保护,提高公众的信任所扮演的角色,执行命令要求该框架包括一个方法来保护个人隐私和公民自由时,重要的基础设施组织开展网络安全的活动。许多组织已经有了解决隐私和公民自由的过程。该方法的目的是补充这些过程,并提供指导,以促进隐私风险管理与组织的方法,网络安全风险管理是一致的。集成的隐私和网络安全可以通过增加客户的信心,让更多的标准化的信息共享,并在法律制度简化操作获益的组织。1Executive Order
10、 no. 13636, Improving Critical Infrastructure Cybersecurity, DCPD-, February 12, 2013. http:/www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf2The DHS Critical Infrastructure program provides a listing of the sectors and their associated critical functions and value chains. http:/www.dhs.gov/cr
11、itical-infrastructure-sectors为确保可扩展性,使技术创新,架构是技术中立的。该框架依赖于各种现有的标准,准则和措施,使关键基础设施供应商,实现弹性。依靠这些全球性的标准,指南和开发,管理,及行业更新的做法,可实现的成果框架的工具和方法将规模跨越国界,承认网络安全风险的全球性,并发展与技术的进步和业务要求。利用现有的和新兴的标准,使规模经济和推动有效的产品,服务和实践,满足确定市场需求的发展。市场竞争也促进了这些技术和做法,实现了利益相关者,这些行业很多好处更快的传播。从这些标准,准则和惯例建立,框架提供了常用的分类和机制组织:1 )形容自己目前网络安全的姿势;2 )
12、描述自己的目标状态,网络安全;3 )确定并优先用于连续和重复的过程的范围内改善的机会;4 )评估向目标状态的进展;5 )沟通有关网络安全风险的内部和外部利益相关者之间。该框架的补充,而不会取代,一个组织的风险管理流程和网络安全方案。该组织可以利用其现有流程,并充分利用该框架来寻找机会,加强和沟通的网络安全风险的管理,同时与行业惯例调整。可替换地,不具有现有的网络安全方案的组织可以使用框架作为基准,建立1 。正如框架不是特定行业,标准,准则和惯例的通用分类法,它也提供了不特定国家。在美国以外的机构也可以使用框架来加强自身的网络安全的努力,以及该框架可以促进发展的共同语言对关键基础设施的网络安全国
13、际合作。1.1 在视图框架工作该框架是一个基于风险的方法来管理网络安全风险,并且由三部分组成:核心框架,该框架的实施层级和架构配置文件。每个框架组件强化业务驱动和网络安全的活动之间的联系。下面这些部件进行说明。 该框架的核心是一套网络安全的活动,期望的结果,而且是通用的关键基础设施部门适用的参考。核心呈现的方式,允许对网络安全的活动的沟通和跨组织的成果从行政级别来实施/运营层面的行业标准,准则和惯例。该框架的核心是由五个并发和连续函数,确定,保护,检测,响应,恢复的。当一起考虑,这些功能提供了网络安全风险的一个组织的管理生命周期的一个高层次的,战略的眼光。该框架的核心,然后确定相关主要类别和子
14、类别的每个功能,并以实例参考性文献,如现有标准,指南,并为每个子目录的做法符合他们。 框架实施层级( “层” )提供上下文对一个组织如何观看网络安全风险,并在适当的程序来管理风险。层描述的程度,一个组织的网络安全风险管理实践中表现出的框架(如,风险和威胁感知,可重复和自适应)所定义的特征。这些层在一定范围内表征一个组织的做法,从部分(第1层) ,以自适应(第4层) 。这些层级反映非正式的,无响应的进程来是敏捷和风险告知的方法。在第一级选择过程中,组织应考虑其目前的风险管理措施,威胁环境,法律和监管规定,业务/任务目标和组织约束。 一个框架配置文件( “档案” )代表需要一个组织已经从框架类别和
15、子类别选择的基于业务的成果。配置文件可以被定性为标准,准则和惯例的对齐方式Framework核心在一个特定的实施方案。配置文件可用于通过比较“当前”个人资料以确定改进网络安全姿势的机会(在“按原样”状态)与“目标”个人资料(在“是”的状态) 。要开发一个配置文件,一个组织可以查看所有类别和子类别,并根据业务驱动因素和风险评估,确定哪些是最重要的,他们可以根据需要来满足组织的风险增加类别和子类别。当前配置文件可以被用来支持优先级和向着目标配置文件进度测量,而在其他的业务需求,包括成本效益和创新保理。配置文件可以被用来进行自我评估,并在组织内部或组织之间的沟通。1.2 风险管理换货和网络安全工作框
16、架风险管理是识别,评估和应对风险的持续过程。管理风险,企业应该明白,将会发生一个事件的可能性和由此产生的影响。有了这些信息,企业可以决定可接受的风险水平提供服务,并可以表达这是他们的风险承受能力。随着风险承受能力有所了解,企业可以优先考虑网络安全的活动,使企业能够做出关于网络安全支出明智的决定。风险管理计划的实施提供了组织量化和沟通调整其网络安全计划的能力。组织可以选择处理以不同的方式,包括减轻风险,转移风险,从而避免了风险,或接受的风险,这取决于对关键服务的递送的潜在影响的风险。该框架使用的风险管理流程,使组织有关网络安全通知和优先决定。它支持经常性的风险评估和业务驱动的验证,以帮助企业选择目
