[資安 Vtuber 讀資安治理] Day1 NIST CSF 2.0 簡介

NIST CSF 2.0 簡介

NIST CSF 2.0 是一個資訊安全框架，重點關注組織應該達成的資安成果，而非強制規定特定的技術或方法。

這個框架的設計理念是提供一個通用的架構，適用於不同產業、國家和技術，並鼓勵組織持續改善其資安狀態。

NIST CSF 2.0 的核心概念和組成

核心概念:

• 結果導向： 強調組織應該達成哪些資安成果。
• 彈性： 適用於不同產業、國家和技術。
• 持續改善： 鼓勵組織持續評估和改進資安狀態。
• 風險管理： 將資安風險視為整體企業風險管理的一部分。
• 溝通合作： 提供共通語言，讓組織內外溝通資安風險。

架構組成:

• 核心架構： 提供一套資訊安全成果分類法，協助組織管理資訊安全風險，包含六大功能：
  • 識別 (IDENTIFY)：了解組織當前的資訊安全風險。
  • 保護 (PROTECT)：使用安全措施來管理組織的資訊安全風險。
  • 偵測 (DETECT)：發現並分析可能的資訊安全攻擊和危害。
  • 回應 (RESPOND)：針對已偵測到的資訊安全事件採取行動。
  • 復原 (RECOVER)：還原受資訊安全事件影響的資產和營運。
  • 治理 (GOVERN)：建立、傳達和監督組織的資訊安全風險管理策略、期望和政策。
• 組織設定檔： 描述組織目前和目標的資安狀態，並根據自身的需求調整成果。組織設定檔類型包含：
  • 目前設定檔：正在實現安全成果與成果實現程度。
  • 目標設定檔：為實現目標和優先考慮的預期結果。
  • 社群設定檔：針對特定產業、技術而建立的基準。
• 組織層級 (CSF Tier)： 描述組織資安風險治理和管理實務的成熟度，包含四個層級：
  • Tier 1 部分：資訊安全風險意識有限，管理方式零散缺乏整體策略。
  • Tier 2 風險知悉：組織開始意識到資訊安全風險，並開始以風險目標、威脅環境或業務需求決定作為與順序。
  • Tier 3 可重複：已建立正式、基於風險的管理方法於政策、流程和程序，並定期根據業務需求、威脅和技術環境的變化，更新細節。
  • Tier 4 適應性：已納入組織文化並積極更新，組織根據之前的教訓與預測更新與調整流程與管理方式。

知識內容

• 核心概念
  • 結果導向
    • 著重於組織應該達成的資安成果，而非規定特定的技術或方法
    • 資安成果具有「彈性」，可以適用於不同產業、國家和技術
  • 持續改善
    • 資安風險管理是一個持續的過程
    • 架構鼓勵組織持續評估和改進組織內的資安狀態
  • 風險管理
    • 鼓勵組織將資安風險視為整體企業風險管理的一部分
    • 並將其與組織的任務目標和風險承受能力相結合
  • 溝通合作
    • 提供共通語言，讓組織內和外之間溝通資安風險能力需求期望
    • 需要溝通的利害關係人，舉例
      • 高階主管、經理、技術人員
      • 供應廠商以及合作夥伴
• 架構組成
  • 核心架構
    • 提供一套資訊安全成果分類法，協助組織管理資訊安全風險
    • 包含六大功能，並進一步細分為不同的類別和子類別
      • 識別 (IDENTIFY)：了解組織當前的資訊安全風險。
      • 保護 (PROTECT)：使用安全措施來管理組織的資訊安全風險。
      • 偵測 (DETECT)：發現並分析可能的資訊安全攻擊和危害。
      • 回應 (RESPOND)：針對已偵測到的資訊安全事件採取行動。
      • 復原 (RECOVER)：還原受資訊安全事件影響的資產和營運。
      • 治理 (GOVERN)：建立、傳達和監督組織的資訊安全風險管理策略、期望和政策。
  • 組織
    設定檔
    • 描述組織目前和目標的資安狀態，根據自身的需求調整成果
    • 常見需求：自身目標、利害關係人期望、威脅環境和法規要求
    • 可以用於了解、調整、評估、優先排序和溝通核心架構的成果
    • 類型
      • 目前設定檔
        • 正在實現安全成果與成果實現程度
      • 目標設定檔
        • 為實現目標和優先考慮的預期結果
      • 社群設定檔
        • 針對特定產業、技術而建立的基準
  • 組織層級
    CSF Tier
    • 與上述應用，用於描述組織資安風險治理和管理實務的成熟度
    • 層級
      • Tier 1 部分
        • 針對資訊安全風險意識有限
        • 管理方式零散缺乏整體策略
        • 沒有流程共享資訊安全資訊
      • Tier 2 風險知悉
        • 組織開始意識資訊安全風險
        • 開始以風險目標、威脅環境
          或業務需求決定作為與順序
      • Tier 3 可重複
        • 已建立正式、基於風險的管理方法於政策、流程和程序
        • 定期根據業務需求、威脅和技術環境的變化，更新細節
      • Tier 4 適應性
        • 已納入組織文化並積極更新
        • 組織根據之前的教訓與預測
          更新與調整流程與管理方式

小試身手

• NIST CSF 2.0 的核心概念強調以下哪一點
  • a) 規定組織應採用特定的技術和方法來應對資訊安全風險。
  • b) 強調組織應達成的資安成果，並提供通用的指引架構。
  • c) 僅適用於特定產業，例如金融業或醫療保健業。
  • d) 只關注於資訊安全事件的應對，而不注重預防。
  • 解答
    • b
      • NIST CSF 2.0 並未強制規定組織必須採用哪些特定的技術或方法，而是強調組織應該達成哪些資安成果。此外，NIST CSF 2.0 的設計理念是提供一個通用的架構，可以適用於不同產業、國家和技術，並鼓勵組織持續改善其資安狀態。
• 以下哪一項 不屬於 NIST CSF 2.0 架構組成的組成部分？
  • a) 核心架構 (Core Framework)
  • b) 組織設定檔 (Organizational Profiles)
  • c) 風險評估框架 (Risk Assessment Framework)
  • d) 組織層級 (CSF Tiers)
  • 解答
    • c
      • NIST CSF 2.0 的架構組成包含核心架構、組織設定檔和組織層級。 風險評估框架並非 NIST CSF 2.0 架構組成的一部分，但風險評估是核心架構中「識別 (IDENTIFY)」功能中的一個重要環節。
• NIST CSF 2.0 的「組織設定檔」是什麼？
  • a) 描述組織當前和目標資安狀態的快照，並根據自身需求調整。
  • b) 僅描述組織當前的資安狀態，不包括目標狀態。
  • c) 由 NIST 統一制定，所有組織都必須採用相同的設定檔。
  • d) 與「組織層級 (CSF Tiers)」無關。
  • 解答
    • a
      • NIST CSF 2.0 的「組織設定檔」描述了組織當前和目標的資安狀態，並允許組織根據自身的需求和目標進行調整。組織設定檔可以幫助組織了解自身在核心架構中各個面向的落實程度，並制定相應的行動計畫。
• 以下哪個選項 不屬於 NIST CSF 2.0 的核心功能？
  • a) 識別 (IDENTIFY)
  • b) 驗證 (VERIFY)
  • c) 保護 (PROTECT)
  • d) 回應 (RESPOND)
  • 解答
    • b
      • 說明： NIST CSF 2.0 的核心架構包含六大功能：識別 (IDENTIFY)、保護 (PROTECT)、偵測 (DETECT)、回應 (RESPOND)、復原 (RECOVER) 和治理 (GOVERN)。驗證 (VERIFY) 並不屬於這六大核心功能。
• 某組織已經意識到資訊安全風險，並開始根據風險目標、威脅環境或業務需求來決定資訊安全活動和保護措施的優先順序，但其資訊安全風險管理方法尚未完全制度化和規範化。根據 NIST CSF 2.0 的「組織層級 (CSF Tiers)」，該組織最有可能處於哪個層級？
  • a) Tier 1 部分 (Partial)
  • b) Tier 2 風險知悉 (Risk Informed)
  • c) Tier 3 可重複 (Repeatable)
  • d) Tier 4 適應性 (Adaptive)
  • 解答
    • b
      • 說明： Tier 2 風險知悉 (Risk Informed) 層級的組織已經開始意識到資訊安全風險，並開始根據風險評估結果來決定資訊安全活動的優先順序，但其資訊安全風險管理方法尚未完全制度化和規範化。