NIST CSF 2.0voluntary · 6 functionsISO 27001international · certifiableCIS Controls v8prioritized · actionableSOC 2B2B vendor trustPCI-DSS / HIPAA / FedRAMPsector-specific

Rámce kybernetické bezpečnosti

12 min přečtenoZabezpečení

Každá organizace, která bere zabezpečení vážně, si nakonec vybere rámec – NIST CSF, ISO 27001, CIS Controls nebo jeden z několika dalších. Rámce samy o sobě nejsou bezpečnostními nástroji; jsou to strukturované způsoby uvažování o bezpečnostních programech. Výběr jednoho (a pochopení toho, co skutečně přináší) je klíčovým strategickým rozhodnutím.

Celé tělo článku je uvedeno níže v angličtině.

Rámce kybernetické bezpečnosti jsou strukturované kolekce postupů, ovládacích prvků a kritérií hodnocení, které organizace používají k vytváření a měření svých bezpečnostních programů. Samy o sobě vás nezajistí; poskytují slovní zásobu, kontrolní seznam a měřítko. Hlavní rámce mají různý původ, publikum a kompromisy.

Hlavní rámce

  • NIST Cybersecurity Framework (CSF) 2.0. Dobrovolný americký rámec, nyní ve verzi 2.0 (2024). Organizované kolem šesti funkcí: řídit, identifikovat, chránit, detekovat, reagovat, obnovit. Navrženo pro širokou použitelnost v různých odvětvích a velikostech. Zdarma a široce přijímaný.
  • ISO/IEC 27001. Mezinárodní standard pro systémy řízení bezpečnosti informací (ISMS). Certifikovatelné externím auditem. Mezinárodní standard pro organizace, které chtějí, aby třetí strana uznala jejich bezpečnostní pozici. Detailní; značná režie shody.
  • CIS Controls v8. 18 prioritních ovládacích prvků Centra pro Internet Security. Pragmatické a taktické – co vlastně dělat, seřazené podle dopadu. Implementační skupiny (IG1, IG2, IG3) se škálují podle vyspělosti organizace. Zdarma.
  • SOC 2. Řízení organizace služeb 2 od AICPA. Kritéria důvěryhodných služeb zahrnující bezpečnost, dostupnost, integritu zpracování, důvěrnost, soukromí. Povinné pro mnoho prodejců B2B SaaS. Bezpečnostní pravidlo
  • HIPAA. specifické pro zdravotní péči v USA. Vyžadováno zákonem pro zdravotnické subjekty nakládající s PHI.
  • PCI-DSS. Standard zabezpečení dat odvětví platebních karet. Vyžadováno pro organizace nakládající s údaji na kartě. Vysoce normativní; pokrývá specifické technické kontroly.
  • NIST SP 800-53 / 800-171. Podrobný katalog ovládání používaný federálními agenturami USA a federálními dodavateli. Nejpodrobnější z celé řady – stovky specifických kontrol organizovaných rodinou.
  • FedRAMP, CMMC. americké federální rámce pro cloudové služby a dodavatele obrany, v tomto pořadí.
  • MITRE ATT&CK. daňový rámec pro administrativu za daňový rámec. Používané týmy detekčního inženýrství k měření pokrytí.

Jak se liší

Kategorie se překrývají, ale zdůrazňují různé věci:

  • Preskriptivní vs flexibilní. PCI-DSS specifikuje přesné údaje držitelů karet (šifruje konkrétní držitele karty nebo NIST CSF popisuje výsledky („Protect: Identity Management and Access Control“) a umožňuje organizacím vybrat si, jak jich dosáhnout.
  • Certifiable vs. dobrovolné. ISO 27001 vede po auditu k certifikátu. NIST CSF se hodnotí sám, bez certifikátu.
  • Zdarma vs placený. NIST a CIS jsou zdarma. ISO 27001 a SOC 2 stojí výrazně (poplatky za audit, certifikační poplatky).
  • Specifické pro určitý sektor vs. obecné. HIPAA, PCI-DSS platí pro konkrétní odvětví. NIST CSF, ISO 27001 jsou univerzální.
  • založené na riziku vs na kontrole. ISO 27001 začíná hodnocením rizik. CIS Controls vám poskytují seznam priorit, který lze implementovat bez ohledu na rizikový profil.

NIST CSF 2.0 funkce

Hlavní rámec – to, co většina bezpečnostních programů ovlivněných USA používá jako referenci:

  • XPLZ767curity Governance a strategie monitorování,X politika. a dohled. Přidáno ve verzi 2.0; posouvá vedení a řízení rizik do explicitního rozsahu.
  • Identify. Správa aktiv, obchodní prostředí, správa, hodnocení rizik.
  • Protect. Správa identit, řízení přístupu, zabezpečení dat, školení povědomí, údržba.
  • Detect. Anomálie, nepřetržité monitorování, detekční procesy.
  • Respond. Plánování odezvy, komunikace, analýza, zmírnění.
    • XPLZPLZ95XXPLZ96Z9XZlepšení obnovy, obnova. komunikace.

Každá funkce má kategorie a podkategorie – celkem stovky konkrétních výsledků. Organizace posuzují aktuální stav a cílový stav podle výsledku.

CIS Ovládací prvky 18

Přístup CIS je akčnější:

  1. Inventarizace a kontrola podnikových aktiv
  2. Inventarizace a kontrola softwarových aktiv
  3. Ochrana dat
  4. Bezpečná konfigurace podnikových aktiv a softwaru
  5. Správa účtů
  6. Zulner11 Řízení kontroly přístupuXContinuousZulner1X Správa
  7. Správa protokolů auditu
  8. Ochrana e-mailu a webového prohlížeče
  9. Obrana proti malwaru
  10. Obnova dat
  11. Správa síťové infrastrukturyXX2 Monitorování a obranaZPLZ6X5Necur Školení informovanosti a dovedností
  12. Správa poskytovatele služeb
  13. Zabezpečení aplikačního softwaru
  14. Řízení odezvy na nehody
  15. Penetační testování

Oddíl implementačních skupin ovládací prvky:

  • IG1 — minimální nezbytná kybernetická hygiena. ~56 zabezpečení. Pro malé organizace.
  • IG2 — další ovládací prvky pro organizace s citlivými daty. ~131 zabezpečení.
  • IG3 — všechny ovládací prvky. ~153 zabezpečení. Pro organizace, které čelí sofistikovaným hrozbám.

Co si vybrat

Pragmatická odpověď závisí na kontextu:

  • Malý podnik bez specifického tlaku na dodržování předpisů: CIS Controls IG1. Konkrétní, zdarma, dosažitelné.
  • Středně velká americká společnost se zákazníky B2B: NIST CSF pro interní program, SOC 2 pro důvěru vůči zákazníkům.
  • Mezinárodní nebo velký podnik: kompatibilní s ISO 2 důvěryhodnost.
  • US federální dodavatel: Ať už smlouva vyžaduje cokoli — často NIST 800-171 nebo CMMC pro práci ministerstva obrany.
  • Zdravotní péče: Bezpečnostní pravidlo HIPAA je povinné; doplněk NIST CSF nebo CIS.
  • Zpracování plateb: PCI-DSS je povinné; doplňujte podobně.

Většina vyspělých organizací končí s více rámcemi – jedním pro interní programovou strukturu, jedním pro certifikaci pro zákazníky, sektorově specifické požadavky navrstvené.

Co rámce nedělají

Nezabezpečují vás. Rámcový program se špatně implementovanými kontrolami není o nic lepší než ad hoc program s dobře implementovanými kontrolami. Rámec poskytuje strukturu; provádění poskytuje zabezpečení.

Klasické selhání: organizace vytvářejí propracovanou dokumentaci, aby prošly audity, zatímco skutečné bezpečnostní operace atrofují. Rámce pomáhají, když organizují skutečnou práci; bolí, když to nahrazují.

Často kladené otázky

Potřebuji framework?
Pokud se vás zákazníci, regulační orgány nebo členové představenstva ptají, jak řídíte kybernetickou bezpečnost, ano – pokud máte referenční rámec, odpověď je důvěryhodná. Pro čistě interní programy v malých organizacích je CIS Controls IG1 minimální odpovědí. Většina organizací by měla používat alespoň jeden.
Je SOC 2 stejný jako ISO 27001?
Různé. SOC 2 vychází z USA, ve stylu atestace (názor auditora na ovládací prvky), často vyžadovaný americkými podnikovými zákazníky. ISO 27001 je mezinárodní, ve stylu certifikace (certifikované ISMS), přísnější a normativní. Mnoho společností dělá obojí. SOC 2 je zpočátku rychlejší; ISO 27001 pokrývá více terénu.
Který rámec mi poskytuje nejskutečnější zabezpečení?
Kontroly CIS podle pověsti. Kontroly jsou upřednostněny podle dopadu, konkrétní a proveditelné. Jejich implementace v pořadí vede k viditelnému zlepšení. NIST CSF je užitečnější pro správu věcí veřejných; CIS pro operace.
Jak dlouho trvá certifikace ISO 27001?
Obvykle 9-18 měsíců od začátku do certifikace. Zahrnuje analýzu nedostatků, implementaci kontroly, interní audit, audit certifikačního orgánu (1. a 2. etapa) a nápravu zjištění. Menší organizace se pohybují rychleji; ty složité pomalejší.
Je MITER ATT&CK rámcem kybernetické bezpečnosti?
Technicky ne — je to taxonomie technik protivníka, které se používají pro měření pokrytí detekcí. Často se používá vedle rámců. CIS Controls a NIST CSF popisují, co dělat; ATT&CK popisuje, co útočníci dělají. Vyspělé programy používají obojí.
Vysvětlení rámců kybernetické bezpečnosti: NIST, ISO 27001, CIS Controls a proč na nich záleží