Ak sa vás zákazníci, regulátori alebo členovia predstavenstva pýtajú, ako riadite kybernetickú bezpečnosť, áno – ak máte referenčný rámec, odpoveď je dôveryhodná. Pre čisto interné programy v malých organizáciách je CIS Controls IG1 minimálnou odpoveďou. Väčšina organizácií by mala používať aspoň jeden.

Je SOC 2 to isté ako ISO 27001?

Rôzne. SOC 2 vychádza z USA, v štýle atestácie (názor audítora na kontroly), často vyžadovaný podnikovými zákazníkmi v USA. ISO 27001 je medzinárodná, v štýle certifikácie (certifikované ISMS), prísnejšia a normatívnejšia. Mnoho spoločností robí oboje. SOC 2 je na začiatku rýchlejšie dosiahnuť; ISO 27001 pokrýva viac terénu.

Ktorý rámec mi poskytuje najaktuálnejšiu bezpečnosť?

Kontroly CIS podľa reputácie. Kontroly majú prioritu podľa dopadu, konkrétne a použiteľné. Ich implementácia v poradí prináša viditeľné zlepšenie. NIST CSF je užitočnejší pre riadenie; CIS pre operácie.

Ako dlho trvá certifikácia ISO 27001?

Zvyčajne 9-18 mesiacov od začiatku po certifikáciu. Zahŕňa analýzu nedostatkov, implementáciu kontroly, interný audit, audit certifikačného orgánu (1. a 2. etapa) a nápravu zistení. Menšie organizácie sa pohybujú rýchlejšie; komplexné pomalšie.

Je MITER ATT&CK rámcom kybernetickej bezpečnosti?

Technicky nie – je to taxonómia techník protivníka, ktoré sa používajú na meranie pokrytia detekciou. Často sa používa spolu s rámcami. CIS Controls a NIST CSF popisujú, čo robiť; ATT&CK popisuje, čo útočníci robia. Vyspelé programy používajú oboje.

Vysvetlenie rámcov kybernetickej bezpečnosti: NIST, ISO 27001, ovládacie prvky CIS a prečo na nich záleží

Každá organizácia, ktorá berie bezpečnosť vážne, si nakoniec vyberie rámec – NIST CSF, ISO 27001, CIS Controls alebo jeden z niekoľkých ďalších. Samotné rámce nie sú bezpečnostnými nástrojmi; sú to štruktúrované spôsoby myslenia o bezpečnostných programoch. Výber jedného (a pochopenie toho, čo vlastne prináša) je kľúčovým strategickým rozhodnutím.

Celé telo článku je uvedené v angličtine nižšie.

Rámce kybernetickej bezpečnosti sú štruktúrované kolekcie postupov, kontrol a kritérií hodnotenia, ktoré organizácie používajú na vytváranie a meranie svojich bezpečnostných programov. Sami o sebe vás nezabezpečia; poskytujú slovnú zásobu, kontrolný zoznam a referenčnú hodnotu. Hlavné rámce majú rôzny pôvod, publikum a kompromisy.

Hlavné rámce

NIST Cybersecurity Framework (CSF) 2.0. Dobrovoľný rámec pre USA, teraz vo verzii 2.0 (2024). Organizované okolo šiestich funkcií: Governing, Identify, Protect, Detect, Respond, Recover. Navrhnuté pre široké uplatnenie v rôznych odvetviach a veľkostiach. Bezplatný a široko používaný.
ISO/IEC 27001. Medzinárodný štandard pre systémy riadenia informačnej bezpečnosti (ISMS). Certifikovateľné prostredníctvom externého auditu. Medzinárodný štandard pre organizácie, ktoré chcú, aby tretia strana uznala ich bezpečnostný postoj. Podrobné; značná réžia na dodržiavanie súladu.
CIS Controls v8. Prioritných 18 ovládacích prvkov centra pre Internet Security. Pragmatické a taktické – čo vlastne robiť, zoradené podľa dopadu. Implementačné skupiny (IG1, IG2, IG3) sa prispôsobujú zrelosti organizácie. Zadarmo.
SOC 2. Kontrola organizácie služieb 2 od AICPA. Kritériá dôveryhodných služieb zahŕňajúce bezpečnosť, dostupnosť, integritu spracovania, dôvernosť, súkromie. Povinné pre mnohých predajcov B2B SaaS. Bezpečnostné pravidlo
HIPAA. špecifické pre zdravotníctvo v USA. Vyžaduje sa zo zákona pre zdravotnícke subjekty, ktoré narábajú s PHI.
PCI-DSS. Štandard zabezpečenia údajov v odvetví platobných kariet. Vyžaduje sa pre organizácie, ktoré narábajú s údajmi na karte. Vysoko normatívne; pokrýva špecifické technické ovládacie prvky.
NIST SP 800-53 / 800-171. Podrobný katalóg ovládacích prvkov používaný federálnymi agentúrami USA a federálnymi dodávateľmi. Najpodrobnejšie z celej série – stovky špecifických kontrol organizovaných rodinou.
FedRAMP, CMMC. federálne rámce špecifické pre USA pre cloudové služby a dodávateľov v oblasti obrany.
MITRE ATT&CK. daňový rámec pre administráciu. Používané detekčnými a inžinierskymi tímami na meranie pokrytia.

Ako sa líšia

Kategórie sa prekrývajú, ale zdôrazňujú rôzne veci:

Preskriptívne vs flexibilné. PCI-DSS špecifikuje špecifické údaje držiteľa karty alebo presné ovládacie prvky NIST CSF popisuje výsledky ("Protect: Identity Management and Access Control") a umožňuje organizáciám vybrať si, ako ich dosiahnuť.
Certifikovateľné vs. dobrovoľné. ISO 27001 vedie po audite k certifikátu. NIST CSF sa hodnotí sám, bez certifikátu.
Zadarmo vs platené. NIST a CIS sú bezplatné. ISO 27001 a SOC 2 stoja výrazne (poplatky za audit, certifikačné poplatky).
Špecifické pre daný sektor vs. všeobecné. HIPAA, PCI-DSS sa vzťahujú na špecifické odvetvia. NIST CSF, ISO 27001 sú univerzálne.
založené na riziku vs na kontrole. ISO 27001 začína hodnotením rizika. Ovládacie prvky CIS vám poskytujú zoznam priorít, ktorý môžete implementovať bez ohľadu na rizikový profil.

NIST funkcie CSF 2.0

Hlavný rámec – to, čo väčšina bezpečnostných programov ovplyvnených USA používa ako referenciu:

curity Monitoring and Stratégia Governance,XPL a dohľad. Pridané v 2.0; posúva vedenie a riadenie rizík do explicitného rozsahu.
Identify. Správa aktív, podnikateľské prostredie, riadenie, hodnotenie rizík.
Protect. Správa identity, kontrola prístupu, bezpečnosť údajov, školenia o uvedomení si, údržba.
Detect. Anomálie, nepretržité monitorovanie, detekčné procesy.
Respond. Plánovanie odozvy, komunikácia, analýza, zmiernenie.

Každá funkcia má kategórie a podkategórie – celkovo stovky konkrétnych výsledkov. Organizácie posudzujú aktuálny stav a cieľový stav podľa výsledku.

CIS Ovládacie prvky 18

Prístup CIS je použiteľnejší:

Inventarizácia a kontrola podnikových aktív
Inventarizácia a kontrola softvérových aktív
Ochrana údajov
Bezpečná konfigurácia podnikových aktív a softvéru
Správa účtov
Zulner11 Riadenie prístupuXContinual Správa
Správa denníka auditu
Ochrana e-mailu a webového prehliadača
Ochrana proti malvéru
Obnova údajov
Správa sieťovej infraštruktúryXPLZ23tXXPLZPLZ Monitorovanie a ochrana24XSecurity Školenie povedomia a zručností
Správa poskytovateľa služieb
Zabezpečenie aplikačného softvéru
Riadenie odozvy na nehody
Penetračné testovanie

Oddiel implementačných skupín ovládacie prvky:

IG1 — minimálna nevyhnutná kybernetická hygiena. ~56 záruk. Pre malé organizácie.
IG2 — ďalšie ovládacie prvky pre organizácie s citlivými údajmi. ~131 ochranných prvkov.
IG3 — všetky ovládacie prvky. ~153 záruk. Pre organizácie, ktoré čelia sofistikovaným hrozbám.

Ktoré si vybrať

Pragmatická odpoveď závisí od kontextu:

Malý podnik bez špecifického tlaku na dodržiavanie predpisov: CIS Controls IG1. Konkrétne, zadarmo, dosiahnuteľné.
Stredne veľká americká spoločnosť s B2B zákazníkmi: NIST CSF pre interný program, SOC 2 pre dôveru voči zákazníkovi.
Medzinárodný alebo veľký podnik: XPLZ6081 overiteľný ISO 2 dôveryhodnosť.
US federálny dodávateľ: Bez ohľadu na to, čo si zmluva vyžaduje – často NIST 800-171 alebo CMMC pre prácu DoD.
Zdravotná starostlivosť: Bezpečnostné pravidlo HIPAA je povinné; doplnok s NIST CSF alebo CIS.
Spracovanie platieb: PCI-DSS je povinné; doplňte podobne.

Väčšina vyspelých organizácií končí s viacerými rámcami – jedným pre internú programovú štruktúru, jedným pre certifikáciu pre zákazníkov, sektorovo špecifické požiadavky vrstvené.

Čo rámce nerobia

Nezabezpečia vás. Program v súlade s rámcovým programom so zle vykonanými kontrolami nie je o nič lepší ako program ad hoc s dobre vykonanými kontrolami. Rámec poskytuje štruktúru; vykonávanie poskytuje bezpečnosť.

Klasické zlyhanie: organizácie vytvárajú prepracovanú dokumentáciu, aby prešli auditmi, zatiaľ čo skutočné bezpečnostné operácie atrofujú. Rámce pomáhajú, keď organizujú skutočnú prácu; bolia, keď ho nahrádzajú.

Často kladené otázky

Potrebujem rámec?: Ak sa vás zákazníci, regulátori alebo členovia predstavenstva pýtajú, ako riadite kybernetickú bezpečnosť, áno – ak máte referenčný rámec, odpoveď je dôveryhodná. Pre čisto interné programy v malých organizáciách je CIS Controls IG1 minimálnou odpoveďou. Väčšina organizácií by mala používať aspoň jeden.
Je SOC 2 to isté ako ISO 27001?: Rôzne. SOC 2 vychádza z USA, v štýle atestácie (názor audítora na kontroly), často vyžadovaný podnikovými zákazníkmi v USA. ISO 27001 je medzinárodná, v štýle certifikácie (certifikované ISMS), prísnejšia a normatívnejšia. Mnoho spoločností robí oboje. SOC 2 je na začiatku rýchlejšie dosiahnuť; ISO 27001 pokrýva viac terénu.
Ktorý rámec mi poskytuje najaktuálnejšiu bezpečnosť?: Kontroly CIS podľa reputácie. Kontroly majú prioritu podľa dopadu, konkrétne a použiteľné. Ich implementácia v poradí prináša viditeľné zlepšenie. NIST CSF je užitočnejší pre riadenie; CIS pre operácie.
Ako dlho trvá certifikácia ISO 27001?: Zvyčajne 9-18 mesiacov od začiatku po certifikáciu. Zahŕňa analýzu nedostatkov, implementáciu kontroly, interný audit, audit certifikačného orgánu (1. a 2. etapa) a nápravu zistení. Menšie organizácie sa pohybujú rýchlejšie; komplexné pomalšie.
Je MITER ATT&CK rámcom kybernetickej bezpečnosti?: Technicky nie – je to taxonómia techník protivníka, ktoré sa používajú na meranie pokrytia detekciou. Často sa používa spolu s rámcami. CIS Controls a NIST CSF popisujú, čo robiť; ATT&CK popisuje, čo útočníci robia. Vyspelé programy používajú oboje.