2024關(guān)鍵基礎(chǔ)設(shè)施保護(hù)框架評(píng)價(jià)

PAGEPAGE11關(guān)鍵基礎(chǔ)設(shè)施保護(hù)框架評(píng)論建議NIST關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)框架升級(jí)研討問(wèn)題引薦2年8月7T全框架”或CSF）1.12.01003900NIST通過(guò)評(píng)論征集（RFI）100CSA等對(duì)框架的運(yùn)行和不足提出了諸CSA（143），一、CSA的分析建議1、云安全的忽略和應(yīng)通過(guò)整合云控制矩陣提升解決云安全的能力NIST安全框架中的五項(xiàng)功能框架能夠幫助組織開(kāi)展網(wǎng)絡(luò)安全工作，組織可以利用這五項(xiàng)功能進(jìn)行積極的風(fēng)險(xiǎn)管理，以降低現(xiàn)在和未來(lái)的風(fēng)險(xiǎn)。遵循NIST安全框架，將使組織更容易在未來(lái)實(shí)施（保護(hù)）時(shí)采用以CSF為基礎(chǔ)的安全程序。然而我們也認(rèn)為，云安全風(fēng)險(xiǎn)被（部分）忽略，或者未從明確的通用控制角度進(jìn)行解決。如果將CSA的云控制矩陣添加到框架中，將有助于解決這一關(guān)鍵問(wèn)題，實(shí)際上組織可能會(huì)發(fā)現(xiàn)有進(jìn)一步的機(jī)會(huì)修訂和完善這五項(xiàng)功能，以解決云安全問(wèn)題。2、使用NIST安全框架的當(dāng)前優(yōu)勢(shì)和CSA的報(bào)告發(fā)現(xiàn)（CSA開(kāi)展了研究，并發(fā)布了“云安全聯(lián)盟關(guān)于識(shí)別云計(jì)算快速采用的差距和風(fēng)險(xiǎn)的云風(fēng)險(xiǎn)管理報(bào)告”該文件列出了五個(gè)問(wèn)題，以激發(fā)討論并促進(jìn)可能的解決方案。?企業(yè)是否意識(shí)到云計(jì)算引入的共同責(zé)任模式，以及這些責(zé)任是否適當(dāng)?shù)胤从吃?/?/第?體業(yè)務(wù)改進(jìn)戰(zhàn)略至關(guān)重要。因此，這必須是一個(gè)頂層的、企業(yè)范圍內(nèi)的流程，而不是一3、可能阻礙組織使用NIST安全框架或更容易或更廣泛地使用該框架的挑戰(zhàn)（例如：資源考慮、信息共享限制、組織因素、勞動(dòng)力差距或復(fù)雜性）NIST安全框架中一個(gè)大議題，也是我們認(rèn)為的一個(gè)非常容易更新迭代的領(lǐng)域就是云計(jì)算。NIST目前更偏向本地部署。問(wèn)題是今天許多公司在確保云安全方面沒(méi)有管理或理解共同責(zé)任模式。事實(shí)上，許多公司甚至沒(méi)有保護(hù)自己的云基礎(chǔ)設(shè)施。相反，將SaaS或PaaS在這方面，NIST并沒(méi)有真正處理共同責(zé)任的問(wèn)題。該框架似乎假定了一種更為謹(jǐn)慎的工作方式。遵守NIST意味著組織正在設(shè)法解決自己管理的系統(tǒng)部分，但不幸的是可能沒(méi)有對(duì)那些遠(yuǎn)程管理的部分實(shí)施任何控制。CSA云控制矩陣分解了SSRM以及范圍適用性映射，以及典型的控制適用性和所有權(quán)。采用這種指導(dǎo)將極大地改進(jìn)框架，并填補(bǔ)我們認(rèn)為該框架中的一個(gè)巨大漏洞。此外，（）NIST?（BSI）為NISTCSF同的NIST4、NIST安全框架的任何特征都應(yīng)該（可以被）改變、增加或刪除和建議的式樣（3。建議增加的子類(lèi)別包括：識(shí)別：資產(chǎn)管理（ID.AM）——具體參照第三方、外部和云應(yīng)用程序和服務(wù)ID.AM-2:...包括云服務(wù)和SaaS應(yīng)用的第三方服務(wù)ID.AM-3:...包括映射到第三方和云供應(yīng)鏈的數(shù)據(jù)流ID.AM-4:...包括IaaS云、第三方對(duì)云的使用風(fēng)險(xiǎn)評(píng)估——風(fēng)險(xiǎn)評(píng)估頻率和節(jié)奏，如采購(gòu)、采購(gòu)后（評(píng)估）等。5NIST安全框架的可用性和向后兼容性的影響6、NIST可以改進(jìn)安全框架或使其更加完善的其他可行方式（此CSA（）。7、改進(jìn)NIST安全框架與其他NIST風(fēng)險(xiǎn)管理的資源這些資源包括：NIST風(fēng)險(xiǎn)管理框架、NIST隱私框架，以及集成網(wǎng)絡(luò)安全（NIST8286）。NISTNIST網(wǎng)絡(luò)（NICE）CSFCSF82868、結(jié)合NIST的框架和使用非NIST的方法或框架NISTNIST府機(jī)構(gòu)的其他框架、網(wǎng)絡(luò)安全相關(guān)任務(wù)或資源是否存在共性或沖突？是否有方法改進(jìn)NIST框架與其他框架的一致性或集成，例如像ISO/IEC2700、ISO/IECTS系列NISTCSF4CSA的CCM多數(shù)（標(biāo)準(zhǔn)）引用與框架對(duì)齊，例如ISO/IEC27000系列、NIST800-53、TSP9、框架的國(guó)際化應(yīng)用應(yīng)該考慮哪些步驟來(lái)確?國(guó)際上適用的調(diào)整有用更新包括在（數(shù)據(jù)）主權(quán)和隱私權(quán)的身份類(lèi)別覆蓋中增加數(shù)據(jù)保護(hù)元素，因此保護(hù)類(lèi)別可能需要包括使用中的數(shù)據(jù)保護(hù)。例如：識(shí)別：管理（ID.GV）：ID.GV-3包括隱私義務(wù)，但沒(méi)有涵蓋（數(shù)據(jù)）主權(quán)或數(shù)據(jù)位置的子類(lèi)別。保護(hù)：數(shù)據(jù)安全（PR.DS）：保護(hù)使用中的數(shù)據(jù)10、應(yīng)考慮納入NIST的在線信息計(jì)劃的參考資料NISTNIST各種文件之NISTNIST（NISTSP800-53）NTSTNIST就CSA（CCM）/CCM50/（包NIST800-53、FedRAMPCSF），CSA11、網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理與改善供應(yīng)鏈網(wǎng)絡(luò)安全的國(guó)家倡議（NIICS）在供應(yīng)鏈風(fēng)險(xiǎn)管理的網(wǎng)絡(luò)安全方面，NIICS面對(duì)的最大挑戰(zhàn)是什么?NIST如何在其?除了建立軟件材料清單（SBOM）SaaSBOM。數(shù)據(jù)識(shí)別和保護(hù)的部分?jǐn)?shù)據(jù)流可以知道SaaSCSA作為SaaSBOM12、管理供應(yīng)鏈中與網(wǎng)絡(luò)安全有關(guān)風(fēng)險(xiǎn)所需的方法、工具、標(biāo)準(zhǔn)、指南或其他資源NIST歡迎在狹義的領(lǐng)域（如硬件或軟件保證或保證的服務(wù)，或具體的服務(wù)）對(duì)此13、其他差距，以及開(kāi)源的考慮在現(xiàn)有的網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理指南和資源中是否觀察到差距，包括它們?nèi)绾芜m用于信息和通信技術(shù)、操作技術(shù)、物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)?此外，NIST的軟件和供應(yīng)鏈指導(dǎo)和資源是否適當(dāng)?shù)亟鉀Q了與開(kāi)放源碼軟件相關(guān)的NIST?就CSACSA針對(duì)云的CCM指南外，CSA還開(kāi)發(fā)了用于物聯(lián)網(wǎng)環(huán)境IoT（14、框架和網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理指南的整合NIST安全框架中，或者是否以及如何由NIST討論。二、CSA的整體建議在為NIST安全框架提供指導(dǎo)和框架修改方面，有關(guān)的風(fēng)險(xiǎn)管理考慮整體概述如下：1、目前的框架雖然針對(duì)關(guān)鍵基礎(chǔ)設(shè)施，但沒(méi)有提供指導(dǎo)或討論：當(dāng)該框架應(yīng)用于指定（def）以及相應(yīng)的風(fēng)險(xiǎn)偏好（def）。從風(fēng)險(xiǎn)的角度來(lái)看，確定關(guān)鍵部門(mén)的推論是該組織對(duì)風(fēng)險(xiǎn)的（ERMP）2、目前的NIST框架沒(méi)有識(shí)別也沒(méi)再討論與采用和/或使用基于云的服務(wù)和平臺(tái)有關(guān)的"冊(cè)3、以下給出旨在識(shí)別和討論組織采用云計(jì)算相關(guān)的大量固有風(fēng)險(xiǎn)（的示例）。云組件風(fēng)險(xiǎn)因素云戰(zhàn)略缺乏統(tǒng)一的云計(jì)算戰(zhàn)略，或與其他戰(zhàn)略不一致。供應(yīng)商或客戶(hù)缺乏/集中風(fēng)險(xiǎn)。針對(duì)云的管理效率低下。缺少執(zhí)行戰(zhàn)略的技能和經(jīng)驗(yàn)。共享服務(wù)模式（與責(zé)任分擔(dān)模式）SRM模式下的服務(wù)質(zhì)量、違約或賠償責(zé)任也應(yīng)在合同中預(yù)先約定。喪失對(duì)技術(shù)資產(chǎn)的控制或訪問(wèn)（能力）此外，還直接影響到保證和持續(xù)監(jiān)控的概念。同樣，CSF中也提到了這些要求，但在基于云的環(huán)境中，需要額外的指導(dǎo)。網(wǎng)絡(luò)安全在NISTCSF最初發(fā)布時(shí)，這種規(guī)模的風(fēng)險(xiǎn)（相對(duì)）不存在的，并（在當(dāng)時(shí)）也不以云服務(wù)為目標(biāo)。數(shù)據(jù)治理數(shù)據(jù)是許多基于云的產(chǎn)品和服務(wù)背后的“貨幣”（資產(chǎn)）。設(shè)計(jì)不當(dāng)?shù)膶?shí)業(yè)務(wù)在基于云的生態(tài)系統(tǒng)中，業(yè)務(wù)彈性和恢復(fù)成為一個(gè)關(guān)鍵問(wèn)題，雖然CSF中有這些概念，但沒(méi)有指導(dǎo)如何在基于云的環(huán)境中實(shí)現(xiàn)和測(cè)試。遵從（法律）（可適用應(yīng)該為任何CSF的更新制定相關(guān)的指導(dǎo)和要求，特別是供應(yīng)鏈風(fēng)險(xiǎn)，因?yàn)楹犀F(xiàn)性可能需要境外CSP為基于外國(guó)法律法規(guī)和/或要求提供服務(wù)。配置錯(cuò)誤Gartner202599%的云計(jì)算故障與客戶(hù)的錯(cuò)誤配置和錯(cuò)誤管理有關(guān)。NISTCSF的更新提供了一個(gè)理想的機(jī)會(huì)來(lái)加強(qiáng)框架，地管理他們的云服務(wù)提供商的組合。事件響應(yīng)與處置當(dāng)不存在對(duì)技術(shù)資產(chǎn)的控制和訪問(wèn)時(shí)，制定一個(gè)有效的事件響應(yīng)(IR)和管理計(jì)劃可能具有挑戰(zhàn)性和成本壓力。NIST的事件管理框架應(yīng)號(hào)CSF緊密結(jié)合。NIST計(jì)劃的準(zhǔn)備階段需要大供應(yīng)商的選擇與監(jiān)測(cè)獲取技術(shù)服務(wù)的便利性與確保所有云供應(yīng)商得到適當(dāng)審查的潛在困難相NIST