- Содержание
- NIST Cybersecurity Framework
NIST Cybersecurity Framework¶
Введение¶
В 2013 году президент США Барак Обама подписал исполнительный указ, обязавший Национальный институт стандартов и технологий (NIST) разработать фреймворк кибербезопасности для защиты критической инфраструктуры страны. Задача была нетривиальной: создать документ, применимый для организаций любого размера и отрасли, не превращая его в очередной жёсткий регуляторный стандарт.
Результат — NIST CSF, опубликованный в 2014 году и получивший широкое распространение далеко за пределами США. В 2024 году вышла версия CSF 2.0, существенно расширившая область применения и добавившая шестую функцию — Управлять.
NIST CSF принципиально отличается от ISO 27001: он не предназначен для сертификации и не содержит жёстких требований. Его цель — помочь организации понять где она находится в управлении кибербезопасностью и куда двигаться. Именно поэтому CSF особенно ценен как инструмент аудита зрелости, а не аудита соответствия.
Эта тема продолжает обзор стандартов из темы Обзор стандартов. CSF хорошо сочетается с ISO 27001 — первый даёт стратегический взгляд, второй — операционные требования.
Структура NIST CSF 2.0¶
CSF организован вокруг трёх компонентов: ядро, профили и уровни реализации.
Core — ядро фреймворка¶
Ядро описывает желаемые результаты кибербезопасности через шесть функций. Каждая функция разбита на категории и подкатегории — всего более 100 конкретных результатов.
GV (Управление) — новая функция CSF 2.0. Определяет контекст, стратегию и политику управления киберрисками на уровне организации. Охватывает: организационный контекст, стратегию управления рисками, политики и процедуры, надзор и подотчётность. Это «мета-функция», задающая условия для всех остальных.
ID (Идентификация) — понимание текущего состояния: инвентаризация активов, оценка рисков, понимание бизнес-контекста. Без чёткого понимания того, что защищать и от чего, все остальные функции работают вслепую.
PR (Защита) — реализация защитных мер: управление доступом, обучение персонала, защита данных, безопасность платформ. Цель — ограничить воздействие потенциального инцидента.
DE (Обнаружение) — выявление аномалий и инцидентов кибербезопасности в реальном времени. Непрерывный мониторинг, анализ событий, процессы обнаружения.
RS (Реагирование) — действия при обнаруженном инциденте: управление инцидентами, коммуникации, анализ, смягчение последствий, улучшение по итогам.
RC (Восстановление) — восстановление возможностей и сервисов после инцидента. Планирование восстановления, коммуникации, улучшение планов.
Profiles — профили¶
Профиль описывает выбранный организацией набор результатов CSF с учётом её бизнес-требований, рисков и ресурсов. Два типа профилей.
Текущий профиль — описывает фактическое состояние: какие результаты CSF организация достигает сегодня. Это «снимок» реального уровня зрелости.
Целевой профиль — описывает желаемое состояние: какие результаты организация хочет достичь с учётом приоритетов бизнеса и уровня риска.
Разрыв между текущим и целевым профилем — это GAP-анализ, план действий по улучшению. Именно здесь CSF становится инструментом планирования, а не только оценки.
Tiers — уровни реализации¶
Уровни описывают зрелость подхода организации к управлению киберрисками. Четыре уровня.
| Уровень | Название | Характеристика |
|---|---|---|
| Tier 1 | Частичный | Практики управления рисками не формализованы, применяются ситуативно. Организация не осознаёт свой уровень риска |
| Tier 2 | Риск-информированный | Процессы управления рисками существуют, но не внедрены как общеорганизационная практика. Осведомлённость есть, координации нет |
| Tier 3 | Повторяемый | Практики формализованы, регулярно обновляются, применяются последовательно. Организация понимает зависимости от партнёров и поставщиков |
| Tier 4 | Адаптивный | Организация непрерывно адаптирует практики на основе уроков, метрик и меняющегося ландшафта угроз. Кибербезопасность встроена в культуру |
Уровни — не «чем выше, тем лучше» в абсолютном смысле. Tier 4 требует значительных ресурсов и оправдан не для каждой организации. Нужный уровень определяется бизнес-требованиями и риск-аппетитом.
CSF как инструмент аудита¶
Два режима использования CSF в аудите¶
Аудит зрелости — оценка того, насколько систематично организация управляет киберрисками. Аудитор оценивает текущий профиль по каждой функции и подкатегории, определяет фактический Tier и выявляет разрыв с целевым профилем. Это не «соответствует / не соответствует», а «находится на уровне X, стремится к уровню Y».
Аудит как структурная карта — использование шести функций CSF для организации находок любого аудита. Даже если аудит проводится по ISO 27001, находки удобно классифицировать по функциям CSF: несоответствие в управлении уязвимостями попадает в Идентификация/Защита, слабость мониторинга — в Обнаружение, пробел в процедурах реагирования — в Реагировании.
Методика оценки по CSF¶
Для каждой подкатегории CSF аудитор определяет уровень реализации по пятибалльной шкале NIST (адаптированной для конкретного аудита):
| Оценка | Описание |
|---|---|
| 0 — Не реализовано | Результат не достигается, практика отсутствует |
| 1 — Частично | Практика существует, но применяется нерегулярно или неполно |
| 2 — В значительной мере | Практика реализована и применяется, но не задокументирована или не измеряется |
| 3 — Полностью | Практика реализована, задокументирована, применяется последовательно |
| 4 — Адаптивно | Практика реализована, измеряется, непрерывно улучшается |
Результат оценки — тепловая карта по функциям и категориям, которая наглядно показывает сильные стороны и пробелы.
Ключевые вопросы аудитора по каждой функции¶
Управление: Утверждена ли стратегия управления киберрисками руководством? Определены ли роли и ответственность за кибербезопасность? Интегрированы ли киберриски в корпоративный риск-менеджмент? Оцениваются ли риски цепочки поставок?
Идентификация: Существует ли актуальный реестр активов? Проводится ли регулярная оценка рисков? Понимает ли организация нормативные требования, применимые к её деятельности? Оценены ли риски от поставщиков и партнёров?
Защита: Реализовано ли управление доступом на основе принципа минимальных привилегий? Проходит ли персонал регулярное обучение по ИБ? Защищены ли данные при хранении и передаче? Управляются ли уязвимости в рамках установленного SLA?
Обнаружение: Настроен ли непрерывный мониторинг? Какое среднее время обнаружения аномалий (MTTD)? Анализируются ли журналы централизованно? Есть ли процедуры выявления аномального поведения?
Реагирование: Задокументированы ли процедуры реагирования на инциденты? Проводятся ли учения? Какое среднее время реагирования (MTTR)? Есть ли коммуникационный план для уведомления регуляторов и клиентов?
Восстановление: Есть ли планы восстановления с чёткими RTO/RPO? Тестировались ли планы в последние 12 месяцев? Есть ли процедура анализа уроков после инцидента?
Соответствие CSF другим стандартам¶
Одно из главных достоинств CSF — встроенные ссылки на другие стандарты. NIST поддерживает официальные таблицы соответствия.
| Функция CSF | ISO 27001:2022 | PCI DSS v4.0 | COBIT 2019 |
|---|---|---|---|
| Govern | 5.1, 5.2, 6.1, 9.3 | Требования 12.1, 12.4 | APO01, APO12, EDM01 |
| Identify | 4.1, 4.2, 6.1.2, 8.2 | Требования 1, 2, 9.7 | APO02, APO10, APO12 |
| Protect | 8.2–8.12, 8.15–8.23 | Требования 3, 4, 5, 6, 7, 8 | BAI03, BAI06, DSS05 |
| Detect | 8.15, 8.16, 8.23 | Требования 10, 11 | DSS03, MEA01 |
| Respond | 5.24–5.28 | Требование 12.10 | DSS02, DSS04 |
| Recover | 5.29, 5.30 | Требование 12.10 | DSS04 |
Это означает, что при комбинированном аудите по ISO 27001 и CSF аудитор не работает дважды: несоответствие контролю 8.16 ISO 27001 автоматически отражается как слабость в функции Detect CSF.
Практика: gap-анализ по CSF¶
Gap-анализ — наиболее распространённое применение CSF в аудиторской практике. Процесс состоит из четырёх шагов.
Шаг 1: Определение целевого профиля. Совместно с руководством организации определяется целевой уровень по каждой функции CSF с учётом бизнес-приоритетов, регуляторных требований и риск-аппетита.
Шаг 2: Оценка текущего профиля. Через интервью, анализ документов и технические проверки аудитор оценивает фактический уровень реализации по каждой подкатегории.
Шаг 3: Анализ разрыва. Сравнение текущего и целевого профилей выявляет области, требующие улучшения. Разрывы ранжируются по значимости: разрыв в функции Detect при высоком риске APT-атак критичнее разрыва в функции Восстановления для некритичной системы.
Шаг 4: Дорожная карта улучшений. Для каждого значимого разрыва определяются конкретные действия, ответственные, ресурсы и сроки. Дорожная карта становится входным документом для следующего цикла управления рисками.
CSF и российский контекст¶
NIST CSF не является обязательным требованием для российских организаций, однако активно используется в следующих контекстах:
Международные компании. Российские «дочки» международных корпораций нередко проходят аудит по CSF в рамках корпоративных требований материнской компании.
Зрелые ИБ-программы. Организации с развитой СУИБ используют CSF как дополнительный инструмент стратегической оценки — поверх обязательных требований ФСТЭК и ЦБ.
Методологические заимствования. Концепция шести функций и уровней зрелости активно используется в российских методиках оценки зрелости ИБ, даже без прямой ссылки на CSF.
Сопоставление с российскими требованиями: функции Идентификации и Защиты во многом перекрываются с требованиями приказов ФСТЭК №117/21/239 в части категорирования и защитных мер; функция Обнаружения соответствует требованиям ГосСОПКА для субъектов КИИ; функции Реагирования и Восстановления — требованиям по реагированию на инциденты в приказе №239 и ГОСТ 57580.
Что дальше¶
CSF даёт стратегический взгляд на кибербезопасность организации. Следующая тема рассматривает COBIT — фреймворк, который опускается на уровень управления ИТ-процессами и позволяет аудитору оценить, насколько корпоративное управление ИТ обеспечивает достижение бизнес-целей при приемлемом риске.
- Следующая тема: COBIT — аудит процессов управления ИТ
- Операционные требования: ISO 27001 — детализированные требования к СУИБ, дополняющие стратегический взгляд CSF
- Практика gap-анализа: Практика: программа, план, чек-листы — как включить CSF-оценку в программу аудита
Список литературы и стандартов¶
- NIST CSF 2.0 — официальная страница с документацией и ресурсами
- NIST SP 800-53 Rev.5 — каталог контролей безопасности, на который ссылается CSF
- NIST SP 800-30 Rev.1 — управление рисками (методология для функции Identify)
- CSF ↔ ISO 27001 crosswalk — официальные таблицы соответствия
- CISA — CSF Implementation Guidance — практические руководства по внедрению
- Tipton H., Nozaki M. — Information Security Management Handbook. 6th ed. Auerbach, 2012
Обновлено С. Антошкин около 11 часа назад · 1 изменени(я, ий)