Аудит / Учебный курс

{{>TOC}}

h1. NIST Cybersecurity Framework

h2. Введение

В 2013 году президент США Барак Обама подписал исполнительный указ, обязавший Национальный институт стандартов и технологий (NIST(The National Institute of Standards and Technology)) разработать фреймворк кибербезопасности для защиты критической инфраструктуры страны. Задача была нетривиальной: создать документ, применимый для организаций любого размера и отрасли, не превращая его в очередной жёсткий регуляторный стандарт.

Результат — NIST CSF(Cybersecurity Framework), опубликованный в 2014 году и получивший широкое распространение далеко за пределами США. В 2024 году вышла версия CSF 2.0, существенно расширившая область применения и добавившая шестую функцию — Управлять.

bq. NIST CSF принципиально отличается от ISO 27001: он не предназначен для сертификации и не содержит жёстких требований. Его цель — помочь организации понять *где она находится* в управлении кибербезопасностью и *куда двигаться*. Именно поэтому CSF особенно ценен как инструмент аудита зрелости, а не аудита соответствия.

bq. Эта тема продолжает обзор стандартов из темы [[Стандарты_информационной_безопасности|Обзор стандартов]]. CSF хорошо сочетается с  [[ISO_27001|ISO 27001]] — первый даёт стратегический взгляд, второй — операционные требования.

---

h2. Структура NIST CSF 2.0

CSF организован вокруг трёх компонентов: ядро, профили и уровни реализации.

h3. Core — ядро фреймворка

Ядро описывает желаемые результаты кибербезопасности через шесть функций. Каждая функция разбита на категории и подкатегории — всего более 100 конкретных результатов.

*GV(Govern) (Управление)* — новая функция CSF 2.0. Определяет контекст, стратегию и политику управления киберрисками на уровне организации. Охватывает: организационный контекст, стратегию управления рисками, политики и процедуры, надзор и подотчётность. Это «мета-функция», задающая условия для всех остальных.

*ID(Identify) (Идентификация)* — понимание текущего состояния: инвентаризация активов, оценка рисков, понимание бизнес-контекста. Без чёткого понимания того, что защищать и от чего, все остальные функции работают вслепую.

*PR(Protect) (Защита)* — реализация защитных мер: управление доступом, обучение персонала, защита данных, безопасность платформ. Цель — ограничить воздействие потенциального инцидента.

*DE(Detect) (Обнаружение)* — выявление аномалий и инцидентов кибербезопасности в реальном времени. Непрерывный мониторинг, анализ событий, процессы обнаружения.

*RS(Respond) (Реагирование)* — действия при обнаруженном инциденте: управление инцидентами, коммуникации, анализ, смягчение последствий, улучшение по итогам.

*RC(Recover) (Восстановление)* — восстановление возможностей и сервисов после инцидента. Планирование восстановления, коммуникации, улучшение планов.

h3. Profiles — профили

Профиль описывает выбранный организацией набор результатов CSF с учётом её бизнес-требований, рисков и ресурсов. Два типа профилей.

*Текущий профиль* — описывает фактическое состояние: какие результаты CSF организация достигает сегодня. Это «снимок» реального уровня зрелости.

*Целевой профиль* — описывает желаемое состояние: какие результаты организация хочет достичь с учётом приоритетов бизнеса и уровня риска.

Разрыв между текущим и целевым профилем — это *GAP-анализ*, план действий по улучшению. Именно здесь CSF становится инструментом планирования, а не только оценки.

h3. Tiers — уровни реализации

Уровни описывают зрелость подхода организации к управлению киберрисками. Четыре уровня.

|_.Уровень|_.Название|_.Характеристика|

|Tier 1|Частичный|Практики управления рисками не формализованы, применяются ситуативно. Организация не осознаёт свой уровень риска|

|Tier 2|Риск-информированный|Процессы управления рисками существуют, но не внедрены как общеорганизационная практика. Осведомлённость есть, координации нет|

|Tier 3|Повторяемый|Практики формализованы, регулярно обновляются, применяются последовательно. Организация понимает зависимости от партнёров и поставщиков|

|Tier 4|Адаптивный|Организация непрерывно адаптирует практики на основе уроков, метрик и меняющегося ландшафта угроз. Кибербезопасность встроена в культуру|

bq. Уровни — не «чем выше, тем лучше» в абсолютном смысле. Tier 4 требует значительных ресурсов и оправдан не для каждой организации. Нужный уровень определяется бизнес-требованиями и риск-аппетитом.

---

h2. CSF как инструмент аудита

h3. Два режима использования CSF в аудите

*Аудит зрелости* — оценка того, насколько систематично организация управляет киберрисками. Аудитор оценивает текущий профиль по каждой функции и подкатегории, определяет фактический Tier и выявляет разрыв с целевым профилем. Это не «соответствует / не соответствует», а «находится на уровне X, стремится к уровню Y».

*Аудит как структурная карта* — использование шести функций CSF для организации находок любого аудита. Даже если аудит проводится по ISO 27001, находки удобно классифицировать по функциям CSF: несоответствие в управлении уязвимостями попадает в Идентификация/Защита, слабость мониторинга — в Обнаружение, пробел в процедурах реагирования — в Реагировании.

h3. Методика оценки по CSF

Для каждой подкатегории CSF аудитор определяет уровень реализации по пятибалльной шкале NIST (адаптированной для конкретного аудита):

|_.Оценка|_.Описание|

|0 — Не реализовано|Результат не достигается, практика отсутствует|

|1 — Частично|Практика существует, но применяется нерегулярно или неполно|

|2 — В значительной мере|Практика реализована и применяется, но не задокументирована или не измеряется|

|3 — Полностью|Практика реализована, задокументирована, применяется последовательно|

|4 — Адаптивно|Практика реализована, измеряется, непрерывно улучшается|

Результат оценки — тепловая карта по функциям и категориям, которая наглядно показывает сильные стороны и пробелы.

h3. Ключевые вопросы аудитора по каждой функции

*Управление:* Утверждена ли стратегия управления киберрисками руководством? Определены ли роли и ответственность за кибербезопасность? Интегрированы ли киберриски в корпоративный риск-менеджмент? Оцениваются ли риски цепочки поставок?

*Идентификация:* Существует ли актуальный реестр активов? Проводится ли регулярная оценка рисков? Понимает ли организация нормативные требования, применимые к её деятельности? Оценены ли риски от поставщиков и партнёров?

*Защита:* Реализовано ли управление доступом на основе принципа минимальных привилегий? Проходит ли персонал регулярное обучение по ИБ? Защищены ли данные при хранении и передаче? Управляются ли уязвимости в рамках установленного SLA?

*Обнаружение:* Настроен ли непрерывный мониторинг? Какое среднее время обнаружения аномалий (MTTD(Mean Time to Detect))? Анализируются ли журналы централизованно? Есть ли процедуры выявления аномального поведения?

*Реагирование:* Задокументированы ли процедуры реагирования на инциденты? Проводятся ли учения? Какое среднее время реагирования (MTTR(Mean Time to Respond))? Есть ли коммуникационный план для уведомления регуляторов и клиентов?

*Восстановление:* Есть ли планы восстановления с чёткими RTO/RPO? Тестировались ли планы в последние 12 месяцев? Есть ли процедура анализа уроков после инцидента?

---

h2. Соответствие CSF другим стандартам

Одно из главных достоинств CSF — встроенные ссылки на другие стандарты. NIST поддерживает официальные таблицы соответствия.

|_.Функция CSF|_.ISO 27001:2022|_.PCI DSS v4.0|_.COBIT 2019|

|Govern|5.1, 5.2, 6.1, 9.3|Требования 12.1, 12.4|APO01, APO12, EDM01|

|Identify|4.1, 4.2, 6.1.2, 8.2|Требования 1, 2, 9.7|APO02, APO10, APO12|

|Protect|8.2–8.12, 8.15–8.23|Требования 3, 4, 5, 6, 7, 8|BAI03, BAI06, DSS05|

|Detect|8.15, 8.16, 8.23|Требования 10, 11|DSS03, MEA01|

|Respond|5.24–5.28|Требование 12.10|DSS02, DSS04|

|Recover|5.29, 5.30|Требование 12.10|DSS04|

Это означает, что при комбинированном аудите по ISO 27001 и CSF аудитор не работает дважды: несоответствие контролю 8.16 ISO 27001 автоматически отражается как слабость в функции Detect CSF.

---

h2. Практика: gap-анализ по CSF

Gap-анализ — наиболее распространённое применение CSF в аудиторской практике. Процесс состоит из четырёх шагов.

*Шаг 1: Определение целевого профиля.* Совместно с руководством организации определяется целевой уровень по каждой функции CSF с учётом бизнес-приоритетов, регуляторных требований и риск-аппетита.

*Шаг 2: Оценка текущего профиля.* Через интервью, анализ документов и технические проверки аудитор оценивает фактический уровень реализации по каждой подкатегории.

*Шаг 3: Анализ разрыва.* Сравнение текущего и целевого профилей выявляет области, требующие улучшения. Разрывы ранжируются по значимости: разрыв в функции Detect при высоком риске APT-атак критичнее разрыва в функции Восстановления для некритичной системы.

*Шаг 4: Дорожная карта улучшений.* Для каждого значимого разрыва определяются конкретные действия, ответственные, ресурсы и сроки. Дорожная карта становится входным документом для следующего цикла управления рисками.

---

h2. CSF и российский контекст

NIST CSF не является обязательным требованием для российских организаций, однако активно используется в следующих контекстах:

*Международные компании.* Российские «дочки» международных корпораций нередко проходят аудит по CSF в рамках корпоративных требований материнской компании.

*Зрелые ИБ-программы.* Организации с развитой СУИБ используют CSF как дополнительный инструмент стратегической оценки — поверх обязательных требований ФСТЭК и ЦБ.

*Методологические заимствования.* Концепция шести функций и уровней зрелости активно используется в российских методиках оценки зрелости ИБ, даже без прямой ссылки на CSF.

Сопоставление с российскими требованиями: функции Идентификации и Защиты во многом перекрываются с требованиями приказов ФСТЭК №117/21/239 в части категорирования и защитных мер; функция Обнаружения соответствует требованиям ГосСОПКА для субъектов КИИ; функции Реагирования и Восстановления — требованиям по реагированию на инциденты в приказе №239 и ГОСТ 57580.

---

h2. Что дальше

CSF даёт стратегический взгляд на кибербезопасность организации. Следующая тема рассматривает COBIT — фреймворк, который опускается на уровень управления ИТ-процессами и позволяет аудитору оценить, насколько корпоративное управление ИТ обеспечивает достижение бизнес-целей при приемлемом риске.

* *Следующая тема:* [[COBIT|COBIT]] — аудит процессов управления ИТ

* *Операционные требования:* [[ISO_27001|ISO 27001]] — детализированные требования к СУИБ, дополняющие стратегический взгляд CSF

* *Практика gap-анализа:* [[Практика_аудита|Практика: программа, план, чек-листы]] — как включить CSF-оценку в программу аудита

---

h2. Список литературы и стандартов

* "NIST CSF 2.0":https://www.nist.gov/cyberframework — официальная страница с документацией и ресурсами

* "NIST SP 800-53 Rev.5":https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final — каталог контролей безопасности, на который ссылается CSF

* "NIST SP 800-30 Rev.1":https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final — управление рисками (методология для функции Identify)

* "CSF ↔ ISO 27001 crosswalk":https://www.nist.gov/cyberframework/framework — официальные таблицы соответствия

* "CISA — CSF Implementation Guidance":https://www.cisa.gov/cybersecurity-framework — практические руководства по внедрению

* Tipton H., Nozaki M. — Information Security Management Handbook. 6th ed. Auerbach, 2012