受到全球企業矚目的美國國家標準技術研究院(NIST)「網路安全框架(Cybersecurity Framework) 2.0規範」,在2024年2月26日正式公布。這次版本相對於上次(Cybersecurity Framework)1.1規範相差6年,此次的改變亦帶來許多對於Cybersecurity Framework治理與管理上重要的新觀念,並且適用範圍不再僅限於改善關鍵基礎設施的網路安全,而可全面性的協助所有組織(無論其行業、類型或規模如何),應對各種規模的網路安全挑戰。本篇文章將深度帶領各位瞭解新版的改變及相關應用。
在此深入討論之前,先來釐清Information Security與Cybersecurity不同之處。許多組織會將Information Security與Cybersecurity混唯一談,但儘管兩者意思相似,卻有著不同的應對思維。Information Security回歸本質,其目的為重視「資訊」在組織或網路空間(Cyberspace)流通的安全性,強調機密性、完整性與可用性。企業通常會利用資訊與通訊科技(Information and Communication Technology,ICT),讓資訊可在組織或網路空間(Cyberspace)順利流通,此時可用性會成為首要的重視課題,這就可能忽略未經授權資料存取之機密性保護作業,產生資訊洩漏之風險。事實上,現今的網路攻擊(Cyber-attack)正逐漸複雜化,主要係以針對「以入侵組織系統並竊取或竄改資料為目的」所發動的綜合性之攻擊。為提升組織或網路空間(Cyberspace)遭受網路攻擊(Cyber-attack)所具備之能力或作為,稱為網路安全(Cyber Security)。網路安全(Cyber Security)對於組織會是種多元性且為聯合防禦應對思維,多半會以框架(Framework)的形式,使用統一的方法、原則或指導方針,針對特定領域的網路安全問題進行解決,以管理網路攻擊(Cyber-attack)防禦之有效性。
NIST CSF 2.0 更加重視治理議題
「治理(GOVERN)」強調網路安全是企業風險的主要來源之一,高階管理者應與財務與聲譽等其他風險一起考慮,並依照組織的風險承受能力、偏好與假設,使其能與組織其他風險議題進行整合,以便持續改進與適時調整組織的風險管理策略。有鑑於以往經驗,組織在面對網路攻擊時,常常僅就單一脆弱面向進行處理,未能全面評估與管理組織的網路安全問題,導致防禦措施協同作用失效,進而造成了網路攻擊所帶來的損失。因此,NIST CSF v2.0框架,新增「治理(GOVERN)」功能。此「治理(GOVERN)」在強調組織對於網路安全風險治理與管理之成效,是其餘「識別(IDENTIFY)」、「保護(PROTECT)」、「偵測(DETECT)」、「回應(RESPOND)」、「復原(RECOVER)」等五大功能的核心(圖1),並貫穿整個網路安全框架,以達到持續改進組織網路安全風險。
圖1、NIST CSF治理(GOVERN),資料來源: NIST Cybersecurity Framework v2.0
NIST CSF 2.0 精進整合運作架構與實作步驟,提升組織網路安全韌性
原先在NIST CSF 網路安全框架v1.1版,提供組織運行網路安全框架的七個實施步驟。NIST CSF框架在新增「治理(GOVERN)」功能後,精簡與調整成五個實施步驟,組織可依據需要重複執行這些步驟。值得一提的是,NIST CSF仍然採用「輪廓(Profile)」作為評估網路安全(Cybersecurity)重要的工具,「輪廓(Profile)」可用於描述與管理各種網路資源的特性及風險,從而幫助組織實施有效的安全控制措施,保護網路資源免受各種威脅和攻擊。
圖2、實施NIST CSF框架步驟,資料來源: NIST Cybersecurity Framework v2.0
以下將簡略介紹五個實施步驟
- 確定組織輪廓的範圍:基於組織全景、利害關係人之要求與可能遭受網路攻擊之型態與假設,定義網路安全框架涵蓋之範圍。組織可以擁有多個組織輪廓,每個輪廓可以有不同的範圍。
- 蒐集及準備組織輪廓所需資訊:蒐集可能影響組織實施網路安全框架的資訊,例如:組織政策、風險管理優先事項與資源、企業風險輪廓、業務影響分析(BIA)、組織遵循的資訊安全需求和標準、任何地方、國家和全球的法規要求等。
- 建立組織輪廓:確定組織目前輪廓,內容可能包含風險影響、指導目標輪廓的計劃與優先順序、實施現況或已實施NIST CSF的成果。
- 分析目前輪廓與目標輪廓之間的差距,並制定行動計劃:進行差異分析,識別並分析目前輪廓與目標輪廓之間的差異,並制定優先順序的行動計劃,來解決這些差異。
- 實施行動計劃,並更新組織輪廓:按照行動計劃來解決差距,將組織推向目標輪廓。行動計劃可能有整體截止日期,也可能是須要長期追蹤與持續改善。
NIST CSF 2.0 強化網路安全風險治理成熟度評估方法
新版NIST CSF網路安全架構,改善與整合在原有NIST CSF v1.1架構,將許多重複,未能妥善連接與運用的類別與子類別,重新進行整合與細化,並提供企業風險管理架構、隱私安全保護框架、人工智慧管理框架及永續數位框架等預備擴充性。整合後的NIST CSF v2.0變成6個關鍵功能、22 個類別與106個子類別(圖2),並提供NIST CSF各項管理指南、技術細節與實施步驟,以保護其資產免受網路攻擊與可能造成的財務損失。
圖3、NIST CSF功能與類別,資料來源: NIST Cybersecurity Framework v2.0
新版NIST CSF 2.0網路安全框架,除提供所有組織(無論其行業、類型或規模如何),可利用網路安全控制措施,應對各種規模的網路安全挑戰。組織在評估網路安全治理與風險控管的成熟度,可透過調整後的NIST CSF 4個評估層級,包含第1 層Partial(部分實施)、第2 層Risk Informed (風險告知)、第3 層Repeatable(可重複)與第4層Adaptive(自適應)等 4個層進行整合性成熟度評估。這些層級可反映組織管理網路安全風險的實施的有效性,以提供組織對於本身網路安全治理與風險控管的成熟度,持續進行精進與強化。
圖4、NIST CSF 實施成熟度雷達示意圖,資料來源: BSI 英國標準協會台灣分公司
結語
ISO 27001:2022資訊安全管理系統,已將Cybersecurity網路安全作為持續精進必要項目,任何組織皆可依據該框架評估源自於網路的資訊安全風險,及依據風險高低的排序選擇控制措施以降低風險。對於欲積極向內外部關注方展現資訊治理與網路安全治理能力的組織,可評估藉由取得 ISO/IEC 27001 + NIST Cybersecurity Framework 的雙重驗證,不但可以持續改善其資訊安全的管理能力,也將顯著提升內外部關注方對其提供之資訊服務的信心。
資料來源: NIST Cybersecurity Framework v2.0
