新闻详细
CSA:NIST关键基础设施安全保护框架升级研讨问题引荐
  • 2023.03.22
  • 3369

序言

 

2022年8月17日,NIST举行了一次升级《关键基础设施安全保护框架》(本文统称“安全框架”或CSF)研讨会,旨在将框架从1.1版本升级到2.0。全球100多国家的3900多位专家人士参加了会议建言献策。另外NIST通过评论征集(RFI)的方式收集了100多家单位、个人的评论和建议,包括国际云安全联盟CSA等对框架的运行和不足提出了诸多建议。

 

《关键信息基础设施安全保护条例》

施行一周年回顾

 

彼时,NIST研讨会适逢中国《关键信息基础设施安全保护条例》施行一周年和《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)标准于2022年11月正式发布,实际上也到了对条例进行整体的“立法后评估”和研判改进的阶段,借助于多方参与和建言献策,有助于提升条例设定的关键信息基础设施安全保护体系的稳健性,扩展其保护弹性。
 

众多行业机构和社会化安全服务机构的参与,这也是《网络安全法》第31条规定的“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系”的“主动防御”的应有之义。(我们也注意到,主动防御在GB/T 39204-2022有大幅内容增加,其本质上属于一类安全保护机制,但标准将其从一般的前置安全防护、过程监测预警和后置的事件处置中独立出来,旨在强调其在关键信息基础设施保护中的独特价值)

 

从中国的《关键信息基础设施安全保护条例》和美国的《关键基础设施安全保护框架》的异同看,两者在保护范围、保护方法上有一些类似,包括都隐含了以风险管理为出发和按照设施与数据的内外部风险因素、生命周期进行管理的流程化思路,通过一些弹性和预留设计,可以实现对特定风险管理策略和措施的模块化部署和增强等等。

两者对个人信息和隐私直接保护的粒度上存在不足也属于共识,但如何实现保护路径的打通则各有选择;此外两者也存在一些现象级的差异,最重要的包括两国在关键(信息)基础设施的权属和运营者上存在区别,由此出发导致两者在强制适用性和标准化支持方面产生明显不同,基于CSF形成的认证和国际化认可生态方面也有较大差异等等。

 

目前CSF进入迭代2.0的关键时期,中国的《信息安全技术 关键信息基础设施安全保护要求》正式发布也将接受行业实践的广泛考验,以下是国际云安全联盟CSA对CSF的建议摘选,也期待能为国内关基单位《关键信息基础设施安全保护条例》的落地和进一步细化、完善有所启示或参考。

 

CSA的整体建议

 

国际云安全联盟CSA在为 NIST安全框架提供指导和框架修改方面,有关的风险管理考虑整体概述如下:

1、目前的框架虽然针对关键基础设施,但没有提供指导或讨论:当该框架应用于指定的关键基础设施部门而非真正的关键部门时,如何校准组织的风险容忍度以及相应的风险偏好。从风险的角度来看,确定关键部门的推论是该组织对风险的容忍度低于非关键部门。因此,应该提高安全控制、政策和程序的强度,以最大限度地减少暴露和成功攻击的风险和可能性。这对组织如何设计企业风险管理计划(ERMP)至关重要。企业风险管理计划能够确保组织的关键部门适当地处理和加强控制,以达到降低组织的风险容忍度的需求。

 

2、目前的NIST框架没有识别也没再讨论与采用和/或使用基于云的服务和平台有关的技术和其他风险。当务之急是认识到、并衡量此类"固有风险",以及将其纳入组织的风险登记(册),以确保建立相关的和适当的控制、程序和流程,有效管理所有引入的云风险。

 

3、以下给出旨在识别和讨论组织采用云计算相关的大量固有风险的示例。
 

云组件 风险因素
云战略

缺乏统一的云计算战略,或与其他战略不一致。

供应商或客户缺乏/集中风险。

针对云的管理效率低下。

缺少执行战略的技能和经验。

共享服务模式

(与责任分担模式)

订阅公有云供应商的服务,将使客户立即暴露在一个新的管理模式下。这种模式在云客户和云提供商之间分配了各种角色和活动。

云客户有责任创建必要的实践和措施,以验证云提供商的正确表现。SRM模式下的服务质量、违约或赔偿责任也应在合同中预先约定。

丧失对技术资产的控制或访问(能力)

在除私有云部署外的云模式中,客户失去了对所有物理技术资产的自治和访问。这可能会大大降低客户直接控制相关技术资产性能的能力。

此外,还直接影响到保证和持续监控的概念。同样, CSF 中也提到了这些要求,但在基于云的环境中,需要额外的指导。

网络安全

一旦上云,云生态系统立即将组织暴露在来自全球各地威胁者的无法衡量的威胁和风险之下。

在NIST CSF最初发布时,这种规模的风险(相对)不存在的,并(在当时)也不以云服务为目标。

数据治理 数据是许多基于云的产品和服务背后的“货币”(资产)。设计不当的实践和方案会导致糟糕的业绩、合规和监管的罚款和处罚,以及声誉和信任的破坏。
业务

运作的弹性和一直在线将成为组织的必要性。如果不符合要求,就会导致业务失败。

在基于云的生态系统中,业务弹性和恢复成为一个关键问题,虽然CSF中有这些概念,但没有指导如何在基于云的环境中实现和测试。

遵从

(法律)

完全遵守所有相关客户的(可适用)法律是一项预期的服务,但对持续符合的验证难达到和保持。

应该为任何CSF的更新制定相关的指导和要求,特别是供应链风险,因为合现性可能需要境外CSP为基于外国法律法规和/或要求提供服务。

配置错误 据Gartner估计,到2025年,超过99%的云计算故障与客户的错误配置和错误管理有关。NIST CSF的更新提供了一个理想的机会来加强框架,以减少这些预计的失败率,并制定指导和准则,使客户能够更有效和高效地管理他们的云服务提供商的组合。
事件响应与处置

当不存在对技术资产的控制和访问时,制定一个有效的事件响应(IR) 和管理计划可能具有挑战性和成本压力。

NIST的事件管理框架应号CSF紧密结合。NIST计划的准备阶段需要大量的前期工作和协调,因为临时获取信息和分析以处理潜在的违规行为和补救真实的违规行为可能需要在自动化、监控和报告方面进行大量投资。

供应商的选择与监测

这一因素在范围、规模和执行方面都具有重要意义,并与从传统技术平台向基于云的服务的迁移成正比。

获取技术服务的便利性与确保所有云供应商得到适当审查的潜在困难相结合,使NIST CSF有理由提高管理这种风险所需的严格程度。这对关键基础设施部门的云供应链管理尤为重要。在任何NIST框架的更新中,这一领域都需要予以重大关注。

绩效管理

失去对成功所需的资产/资源的直接控制和获取,会带来新的和难以管理的风险。

依靠合同和支持性条款和条件来管理结果和绩效,对许多组织而言可能需要新的技能和能力。

员工学习

缺乏有经验的人员,是许多组织实现和保持成功的一个重大挑战。

需要对现有人员的继续培训与赋能,为业务和服务质量带来新的风险。

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝