Szükségem van keretre?

Ha ügyfelei, szabályozói vagy igazgatósági tagjai kérdezik, hogyan kezeli a kiberbiztonságot, igen – a kerethivatkozás hitelessé teszi a választ. Kis szervezetek tisztán belső programjaihoz a CIS Controls IG1 a minimális válasz. A legtöbb szervezetnek legalább egyet kell használnia.

A SOC 2 ugyanaz, mint az ISO 27001?

Különböző. Az SOC 2 amerikai székhelyű, tanúsítási jellegű (ellenőrzői vélemény az ellenőrzésekről), amelyet gyakran megkövetelnek az egyesült államokbeli vállalati ügyfelek. Az ISO 27001 nemzetközi, tanúsítási stílusú (tanúsított ISMS), szigorúbb és előíróbb. Sok cég mindkettőt csinálja. A SOC 2 kezdetben gyorsabban elérhető; Az ISO 27001 több területet fed le.

Melyik keretrendszer nyújtja a legnagyobb biztonságot?

CIS-vezérlők, hírnév alapján. A vezérlőelemek hatásuk szerint prioritást élveznek, konkrétak és végrehajthatók. Ezek sorrendben történő végrehajtása látható javulást eredményez. A NIST CSF hasznosabb a kormányzás számára; CIS a műveletekhez.

Mennyi ideig tart az ISO 27001 tanúsítás?

Általában 9-18 hónap a kezdettől a tanúsításig. Tartalmazza a hiányelemzést, az ellenőrzés végrehajtását, a belső auditot, a tanúsító szervezet auditját (1. és 2. szakasz), valamint a megállapítások orvoslását. A kisebb szervezetek gyorsabban haladnak; az összetettek lassabbak.

A MITER ATT&CK kiberbiztonsági keretrendszer?

Technikailag nem – ez az ellenséges technikák taxonómiája, amelyet az észlelési lefedettség mérésére használnak. Gyakran használják keretek mellett. A CIS-vezérlők és a NIST CSF leírják, mit kell tenni; Az ATT&CK leírja, mit csinálnak a támadók. A felnőtt programok mindkettőt használják.

A kiberbiztonsági keretrendszer magyarázata: NIST, ISO 27001, CIS-vezérlők és miért fontosak

Minden szervezet, amely komolyan veszi a biztonságot, végül választ egy keretrendszert – NIST CSF, ISO 27001, CIS Controls vagy egyet a többi közül. A keretrendszerek önmagukban nem biztonsági eszközök; ezek strukturált gondolkodásmódok a biztonsági programokról. Az egyik kiválasztása (és annak megértése, hogy valójában mit jelent) kulcsfontosságú stratégiai döntés.

A cikk teljes szövege alább olvasható angol nyelven.

Kiberbiztonsági keretrendszerek gyakorlatok, vezérlőelemek és értékelési kritériumok strukturált gyűjteményei, amelyeket a szervezetek biztonsági programjaik felépítéséhez és méréséhez használnak. Önmagukban nem tesznek biztonságba; szókincset, ellenőrző listát és benchmarkot adnak. A főbb keretrendszerek eredete, közönsége és kompromisszumai eltérőek.

A főbb keretrendszerek

NIST Cybersecurity Framework (CSF) 2.0. Önkéntes amerikai keretrendszer, immár 2.0-s verziója (2024). Hat funkció köré szerveződik: Irányítás, Azonosítás, Védelem, Észlelés, Válasz, Helyreállítás. Széleskörű alkalmazhatóságra tervezve minden iparágban és méretben. Ingyenes és széles körben elfogadott.
ISO/IEC 27001. Az információbiztonsági menedzsment rendszerek (ISMS) nemzetközi szabványa. Külső audittal hitelesíthető. A nemzetközi szabvány azon szervezetek számára, amelyek harmadik féltől szeretnék elismerni biztonsági helyzetüket. Részletes; jelentős megfelelőségi többlet.
CIS Controls v8. Center for Internet Security prioritást élvező 18 vezérlőelem. Pragmatikus és taktikai – ténylegesen mit kell tenni, hatás szerint rangsorolva. Az implementációs csoportok (IG1, IG2, IG3) a szervezet érettségéhez igazodnak. Ingyenes.
SOC 2. Service Organization Control 2 az AICPA-tól. A megbízhatósági szolgáltatások kritériumai a következőkre terjednek ki: biztonság, elérhetőség, feldolgozási integritás, titoktartás és adatvédelem. Kötelező sok B2B SaaS-szolgáltató számára.
HIPAA biztonsági szabály. Amerikai egészségügyi ellátás-specifikus. A törvény előírja a PHI.
PCI-DSS. Fizetésikártya-ipari adatbiztonsági szabványt kezelő egészségügyi szervezetek számára. A kártyaadatokat kezelő szervezetek számára kötelező. Erősen előíró jellegű; speciális műszaki vezérlésekre terjed ki.
NIST SP 800-53 / 800-171. Az Egyesült Államok szövetségi ügynökségei és szövetségi vállalkozói által használt részletes vezérlőkatalógus. A tétel legrészletesebb része – több száz, családonként szervezett vezérlőelem.
FedRAMP, CMMC. Amerikai szövetségi specifikus keretrendszerek felhőszolgáltatások és védelmi vállalkozók számára.
MITRE ATT&CK.d nem egy adózási keretrendszer per se.41X. Detektáló-mérnöki csapatok használják a lefedettség mérésére.

Miben különböznek?

A kategóriák átfedik egymást, de különböző dolgokat hangsúlyoznak:

Preskriptív vs rugalmas. a kártya pontos vezérlési adatait (specifikált PCI-DSSoritja) határozza meg. A NIST CSF leírja az eredményeket ("Protect: Identity Management and Access Control"), és lehetővé teszi a szervezetek számára, hogy megválasszák, hogyan érik el azokat.
Tanúsítható kontra önkéntes. Az ISO 27001 tanúsítványt eredményez az audit után. A NIST CSF önértékelésű, nincs tanúsítvány.
Ingyenes vs fizetős. A NIST és a CIS ingyenes. Az ISO 27001 és az SOC 2 jelentős költséggel jár (auditálási díjak, tanúsítási díjak).
Szektorspecifikus kontra általános. A HIPAA, a PCI-DSS meghatározott iparágakra vonatkozik. A NIST CSF, ISO 27001 általános célú.
Kockázatalapú vs kontrollalapú. Az ISO 27001 a kockázatértékelésből indul ki. A CIS-vezérlők rangsorolt listát adnak, amelyet a kockázati profiltól függetlenül végre kell hajtani.

NIST CSF 2.0-funkciók

A főcímkeret – amit a legtöbb USA-befolyásolt biztonsági program referenciaként használ:

XPLZX7stabPLXZGXX7 és PLX7. kiberbiztonsági stratégia, politika és felügyelet. 2.0-ban hozzáadva; explicit hatókörbe vonja a vezetést és a kockázatkezelést.
Identify. Vagyonkezelés, üzleti környezet, irányítás, kockázatértékelés.
Protect. Identitáskezelés, hozzáférés-felügyelet, adatbiztonság, figyelemfelkeltő tréning, karbantartás.
Detect. Anomáliák, folyamatos megfigyelés, észlelési folyamatok.
Respond. Reagálás tervezése, kommunikáció, elemzés, mérséklés.
PLZ94X
XPLZ96y, Recovery,7ZReverX. kommunikáció.

Minden funkciónak vannak kategóriái és alkategóriái – összesen több száz konkrét eredmény. A szervezetek eredményenként értékelik az aktuális állapotot és a célállapotot.

CIS-vezérlők 18

A CIS-megközelítés jobban használható:

IVállalati eszközök leltározása és ellenőrzése
Szoftvereszközök leltározása és ellenőrzése
Adatvédelem
Vállalati eszközök és szoftverek biztonságos konfigurálása
Számlakezelés

XPLZ10 Kezelés
Folyamatos biztonsági rés-kezelés
Auditnapló-kezelés
E-mail- és webböngészővédelem
Kártékony programok elleni védelem
Adat-helyreállítás
XPLZ Infrastruktúra Menedzsment
Hálózatfigyelés és védelem
Biztonsági tudatosság és készségek képzése
Szolgáltatói menedzsment
Alkalmazásszoftver biztonság
Ieseményreakciókezelés433PLZXXXX Tesztelés

A megvalósítási csoportok felosztják a vezérlőket:

IG1 – minimális alapvető kiberhigiénia. ~56 biztosíték. Kisméretű szervezetek számára.
IG2 — további vezérlők érzékeny adatokkal rendelkező szervezetek számára. ~131 biztosíték.
IG3 — minden kezelőszerv. ~153 biztosíték. Kifinomult fenyegetésekkel szembesülő szervezetek számára.

Mit válasszak

A pragmatikus válasz a kontextustól függ:

Kisvállalkozás speciális megfelelési nyomás nélkül: CIS-vezérlők IG1. Konkrét, ingyenes, elérhető.
Közepes méretű amerikai vállalat B2B ügyfelekkel: NIST CSF belső programhoz, SOC 2 az ügyfelek felé irányuló bizalomhoz.
INemzetközi vagy nagyvállalatok:XPLZti6081 Certificate hitelesség.
US szövetségi vállalkozó: Bármit is megkövetel a szerződés – gyakran NIST 800-171 vagy CMMC a DoD munkához.
Egészségügy: A HIPAA biztonsági szabály kötelező; kiegészítés NIST CSF vagy CIS.
Fizetés feldolgozása: PCI-DSS kötelező; kiegészíteni hasonlóan.

A legtöbb érett szervezet több keretrendszerrel zárul – az egyik a belső programstruktúra, a másik az ügyfelek felé irányuló tanúsítás, szektor-specifikus követelmények rétegezve.

Mit nem tesznek meg a keretrendszerek

Nem tesznek biztonságossá. A keretrendszernek megfelelő program rosszul végrehajtott vezérlőkkel semmivel sem jobb, mint egy ad hoc program jól végrehajtott vezérlőkkel. A keret struktúrát biztosít; a végrehajtás biztonságot nyújt.

A klasszikus kudarc: a szervezetek bonyolult dokumentációt készítenek, hogy átmenjenek az auditokon, miközben a valódi biztonsági műveletek sorvadnak. A keretrendszerek segítenek a valódi munka megszervezésében; fájnak, ha helyettesítik.

Gyakran ismételt kérdések

Szükségem van keretre?: Ha ügyfelei, szabályozói vagy igazgatósági tagjai kérdezik, hogyan kezeli a kiberbiztonságot, igen – a kerethivatkozás hitelessé teszi a választ. Kis szervezetek tisztán belső programjaihoz a CIS Controls IG1 a minimális válasz. A legtöbb szervezetnek legalább egyet kell használnia.
A SOC 2 ugyanaz, mint az ISO 27001?: Különböző. Az SOC 2 amerikai székhelyű, tanúsítási jellegű (ellenőrzői vélemény az ellenőrzésekről), amelyet gyakran megkövetelnek az egyesült államokbeli vállalati ügyfelek. Az ISO 27001 nemzetközi, tanúsítási stílusú (tanúsított ISMS), szigorúbb és előíróbb. Sok cég mindkettőt csinálja. A SOC 2 kezdetben gyorsabban elérhető; Az ISO 27001 több területet fed le.
Melyik keretrendszer nyújtja a legnagyobb biztonságot?: CIS-vezérlők, hírnév alapján. A vezérlőelemek hatásuk szerint prioritást élveznek, konkrétak és végrehajthatók. Ezek sorrendben történő végrehajtása látható javulást eredményez. A NIST CSF hasznosabb a kormányzás számára; CIS a műveletekhez.
Mennyi ideig tart az ISO 27001 tanúsítás?: Általában 9-18 hónap a kezdettől a tanúsításig. Tartalmazza a hiányelemzést, az ellenőrzés végrehajtását, a belső auditot, a tanúsító szervezet auditját (1. és 2. szakasz), valamint a megállapítások orvoslását. A kisebb szervezetek gyorsabban haladnak; az összetettek lassabbak.
A MITER ATT&CK kiberbiztonsági keretrendszer?: Technikailag nem – ez az ellenséges technikák taxonómiája, amelyet az észlelési lefedettség mérésére használnak. Gyakran használják keretek mellett. A CIS-vezérlők és a NIST CSF leírják, mit kell tenni; Az ATT&CK leírja, mit csinálnak a támadók. A felnőtt programok mindkettőt használják.