• Содержание
• NIST Cybersecurity Framework
  • Введение
  • Структура NIST CSF 2.0
    • Core — ядро фреймворка
    • Profiles — профили
    • Tiers — уровни реализации
  • CSF как инструмент аудита
    • Два режима использования CSF в аудите
    • Методика оценки по CSF
    • Ключевые вопросы аудитора по каждой функции
  • Соответствие CSF другим стандартам
  • Практика: gap-анализ по CSF
  • CSF и российский контекст
  • Что дальше
  • Список литературы и стандартов

NIST Cybersecurity Framework¶

Введение¶

В 2013 году президент США Барак Обама подписал исполнительный указ, обязавший Национальный институт стандартов и технологий (NIST) разработать фреймворк кибербезопасности для защиты критической инфраструктуры страны. Задача была нетривиальной: создать документ, применимый для организаций любого размера и отрасли, не превращая его в очередной жёсткий регуляторный стандарт.

Результат — NIST CSF, опубликованный в 2014 году и получивший широкое распространение далеко за пределами США. В 2024 году вышла версия CSF 2.0, существенно расширившая область применения и добавившая шестую функцию — Управлять.

NIST CSF принципиально отличается от ISO 27001: он не предназначен для сертификации и не содержит жёстких требований. Его цель — помочь организации понять где она находится в управлении кибербезопасностью и куда двигаться. Именно поэтому CSF особенно ценен как инструмент аудита зрелости, а не аудита соответствия.

Эта тема продолжает обзор стандартов из темы Обзор стандартов. CSF хорошо сочетается с ISO 27001 — первый даёт стратегический взгляд, второй — операционные требования.

---

Структура NIST CSF 2.0¶

CSF организован вокруг трёх компонентов: ядро, профили и уровни реализации.

Core — ядро фреймворка¶

Ядро описывает желаемые результаты кибербезопасности через шесть функций. Каждая функция разбита на категории и подкатегории — всего более 100 конкретных результатов.

GV (Управление) — новая функция CSF 2.0. Определяет контекст, стратегию и политику управления киберрисками на уровне организации. Охватывает: организационный контекст, стратегию управления рисками, политики и процедуры, надзор и подотчётность. Это «мета-функция», задающая условия для всех остальных.
ID (Идентификация) — понимание текущего состояния: инвентаризация активов, оценка рисков, понимание бизнес-контекста. Без чёткого понимания того, что защищать и от чего, все остальные функции работают вслепую.
PR (Защита) — реализация защитных мер: управление доступом, обучение персонала, защита данных, безопасность платформ. Цель — ограничить воздействие потенциального инцидента.
DE (Обнаружение) — выявление аномалий и инцидентов кибербезопасности в реальном времени. Непрерывный мониторинг, анализ событий, процессы обнаружения.
RS (Реагирование) — действия при обнаруженном инциденте: управление инцидентами, коммуникации, анализ, смягчение последствий, улучшение по итогам.
RC (Восстановление) — восстановление возможностей и сервисов после инцидента. Планирование восстановления, коммуникации, улучшение планов.

Profiles — профили¶

Профиль описывает выбранный организацией набор результатов CSF с учётом её бизнес-требований, рисков и ресурсов. Два типа профилей.

Текущий профиль — описывает фактическое состояние: какие результаты CSF организация достигает сегодня. Это «снимок» реального уровня зрелости.

Целевой профиль — описывает желаемое состояние: какие результаты организация хочет достичь с учётом приоритетов бизнеса и уровня риска.

Разрыв между текущим и целевым профилем — это GAP-анализ, план действий по улучшению. Именно здесь CSF становится инструментом планирования, а не только оценки.

Tiers — уровни реализации¶

Уровни описывают зрелость подхода организации к управлению киберрисками. Четыре уровня.

Уровень	Название	Характеристика
Tier 1	Частичный	Практики управления рисками не формализованы, применяются ситуативно. Организация не осознаёт свой уровень риска
Tier 2	Риск-информированный	Процессы управления рисками существуют, но не внедрены как общеорганизационная практика. Осведомлённость есть, координации нет
Tier 3	Повторяемый	Практики формализованы, регулярно обновляются, применяются последовательно. Организация понимает зависимости от партнёров и поставщиков
Tier 4	Адаптивный	Организация непрерывно адаптирует практики на основе уроков, метрик и меняющегося ландшафта угроз. Кибербезопасность встроена в культуру

Уровни — не «чем выше, тем лучше» в абсолютном смысле. Tier 4 требует значительных ресурсов и оправдан не для каждой организации. Нужный уровень определяется бизнес-требованиями и риск-аппетитом.

---

CSF как инструмент аудита¶

Два режима использования CSF в аудите¶

Аудит зрелости — оценка того, насколько систематично организация управляет киберрисками. Аудитор оценивает текущий профиль по каждой функции и подкатегории, определяет фактический Tier и выявляет разрыв с целевым профилем. Это не «соответствует / не соответствует», а «находится на уровне X, стремится к уровню Y».

Аудит как структурная карта — использование шести функций CSF для организации находок любого аудита. Даже если аудит проводится по ISO 27001, находки удобно классифицировать по функциям CSF: несоответствие в управлении уязвимостями попадает в Идентификация/Защита, слабость мониторинга — в Обнаружение, пробел в процедурах реагирования — в Реагировании.

Методика оценки по CSF¶

Для каждой подкатегории CSF аудитор определяет уровень реализации по пятибалльной шкале NIST (адаптированной для конкретного аудита):

Оценка	Описание
0 — Не реализовано	Результат не достигается, практика отсутствует
1 — Частично	Практика существует, но применяется нерегулярно или неполно
2 — В значительной мере	Практика реализована и применяется, но не задокументирована или не измеряется
3 — Полностью	Практика реализована, задокументирована, применяется последовательно
4 — Адаптивно	Практика реализована, измеряется, непрерывно улучшается

Результат оценки — тепловая карта по функциям и категориям, которая наглядно показывает сильные стороны и пробелы.

Ключевые вопросы аудитора по каждой функции¶

Управление: Утверждена ли стратегия управления киберрисками руководством? Определены ли роли и ответственность за кибербезопасность? Интегрированы ли киберриски в корпоративный риск-менеджмент? Оцениваются ли риски цепочки поставок?

Идентификация: Существует ли актуальный реестр активов? Проводится ли регулярная оценка рисков? Понимает ли организация нормативные требования, применимые к её деятельности? Оценены ли риски от поставщиков и партнёров?

Защита: Реализовано ли управление доступом на основе принципа минимальных привилегий? Проходит ли персонал регулярное обучение по ИБ? Защищены ли данные при хранении и передаче? Управляются ли уязвимости в рамках установленного SLA?

Обнаружение: Настроен ли непрерывный мониторинг? Какое среднее время обнаружения аномалий (MTTD)? Анализируются ли журналы централизованно? Есть ли процедуры выявления аномального поведения?

Реагирование: Задокументированы ли процедуры реагирования на инциденты? Проводятся ли учения? Какое среднее время реагирования (MTTR)? Есть ли коммуникационный план для уведомления регуляторов и клиентов?

Восстановление: Есть ли планы восстановления с чёткими RTO/RPO? Тестировались ли планы в последние 12 месяцев? Есть ли процедура анализа уроков после инцидента?

---

Соответствие CSF другим стандартам¶

Одно из главных достоинств CSF — встроенные ссылки на другие стандарты. NIST поддерживает официальные таблицы соответствия.

Функция CSF	ISO 27001:2022	PCI DSS v4.0	COBIT 2019
Govern	5.1, 5.2, 6.1, 9.3	Требования 12.1, 12.4	APO01, APO12, EDM01
Identify	4.1, 4.2, 6.1.2, 8.2	Требования 1, 2, 9.7	APO02, APO10, APO12
Protect	8.2–8.12, 8.15–8.23	Требования 3, 4, 5, 6, 7, 8	BAI03, BAI06, DSS05
Detect	8.15, 8.16, 8.23	Требования 10, 11	DSS03, MEA01
Respond	5.24–5.28	Требование 12.10	DSS02, DSS04
Recover	5.29, 5.30	Требование 12.10	DSS04

Это означает, что при комбинированном аудите по ISO 27001 и CSF аудитор не работает дважды: несоответствие контролю 8.16 ISO 27001 автоматически отражается как слабость в функции Detect CSF.

---

Практика: gap-анализ по CSF¶

Gap-анализ — наиболее распространённое применение CSF в аудиторской практике. Процесс состоит из четырёх шагов.

Шаг 1: Определение целевого профиля. Совместно с руководством организации определяется целевой уровень по каждой функции CSF с учётом бизнес-приоритетов, регуляторных требований и риск-аппетита.

Шаг 2: Оценка текущего профиля. Через интервью, анализ документов и технические проверки аудитор оценивает фактический уровень реализации по каждой подкатегории.

Шаг 3: Анализ разрыва. Сравнение текущего и целевого профилей выявляет области, требующие улучшения. Разрывы ранжируются по значимости: разрыв в функции Detect при высоком риске APT-атак критичнее разрыва в функции Восстановления для некритичной системы.

Шаг 4: Дорожная карта улучшений. Для каждого значимого разрыва определяются конкретные действия, ответственные, ресурсы и сроки. Дорожная карта становится входным документом для следующего цикла управления рисками.

---

CSF и российский контекст¶

NIST CSF не является обязательным требованием для российских организаций, однако активно используется в следующих контекстах:

Международные компании. Российские «дочки» международных корпораций нередко проходят аудит по CSF в рамках корпоративных требований материнской компании.

Зрелые ИБ-программы. Организации с развитой СУИБ используют CSF как дополнительный инструмент стратегической оценки — поверх обязательных требований ФСТЭК и ЦБ.

Методологические заимствования. Концепция шести функций и уровней зрелости активно используется в российских методиках оценки зрелости ИБ, даже без прямой ссылки на CSF.

Сопоставление с российскими требованиями: функции Идентификации и Защиты во многом перекрываются с требованиями приказов ФСТЭК №117/21/239 в части категорирования и защитных мер; функция Обнаружения соответствует требованиям ГосСОПКА для субъектов КИИ; функции Реагирования и Восстановления — требованиям по реагированию на инциденты в приказе №239 и ГОСТ 57580.

---

Что дальше¶

CSF даёт стратегический взгляд на кибербезопасность организации. Следующая тема рассматривает COBIT — фреймворк, который опускается на уровень управления ИТ-процессами и позволяет аудитору оценить, насколько корпоративное управление ИТ обеспечивает достижение бизнес-целей при приемлемом риске.

• Следующая тема: COBIT — аудит процессов управления ИТ
• Операционные требования: ISO 27001 — детализированные требования к СУИБ, дополняющие стратегический взгляд CSF
• Практика gap-анализа: Практика: программа, план, чек-листы — как включить CSF-оценку в программу аудита

---

Список литературы и стандартов¶

• NIST CSF 2.0 — официальная страница с документацией и ресурсами
• NIST SP 800-53 Rev.5 — каталог контролей безопасности, на который ссылается CSF
• NIST SP 800-30 Rev.1 — управление рисками (методология для функции Identify)
• CSF ↔ ISO 27001 crosswalk — официальные таблицы соответствия
• CISA — CSF Implementation Guidance — практические руководства по внедрению
• Tipton H., Nozaki M. — Information Security Management Handbook. 6th ed. Auerbach, 2012