NIST и еще 5 фреймворков доступно к поставке в СиММА версии 2.6

Cybersecurity - the process of protecting information by preventing, detecting, and responding to attacks - процесс защиты информации путем предотвращения, обнаружения и реагирования на атаки.

NIST - National Institute of Standards and Technology (USA) - поставщик фреймворка (референсной модели) для построения процессов, контролей и систем, обеспечивающих кибербезопасность. NIST публикует стандарты, одним из них является Framework for Improving Critical Infrastructure Cybersecurity. Фреймворк реализует risk-based approach для снижения рисков кибербезопасности и содержит функции кибербезопасности, ожидаемые результаты деятельности, контрольные процедуры. Фреймворк популярен среди архитекторов, отвечающих за безопасность критической инфраструктуры.

Framework также известен как “Cybersecurity Framework”. Фреймворк  состоит из трех частей:

• the Framework Core,
• the Framework Profile,
• the Framework Implementation Tiers. 

 

Содержание фреймворка по улучшению кибербезопасности критической инфраструктуры: 

• Framework Core:  a set of cybersecurity activities and references that are common across critical infrastructure sectors and are organized around particular outcomes. The Framework Core comprises four types of elements: Functions, Categories, Subcategories, and Informative References.
• Function: one of the main components of the Framework. Functions provide the highest level of structure for organizing basic cybersecurity activities into Categories and Subcategories. The five functions are Identify, Protect, Detect,  Respond, and Recover.
• Category: the subdivision of a Function into groups of cybersecurity outcomes, closely tied to programmatic needs and particular activities. Examples of Categories include “Asset Management,” “Identity Management and Access Control,” and “Detection Processes.”
• Subcategory: the subdivision of a Category into specific outcomes of technical and/or management activities. Examples of Subcategories include “External information systems are catalogued,” “Data-at-rest is protected,” and “Notifications from detection systems are investigated."
• Taxonomy: a scheme of classification.
  
  

---

Комментарий к схеме: в СиММА реализовано 6 фреймворков с их маппингом друг на друга:

• Information and Communications Technology (ICT) Risk Outcomes Framework (NIST SP 800-221A).
• NIST Cybersecurity Framework (CSF) 2.0 - руководство/методика по управлению киберрисками в организации.
• CRI Profile 2.0 (Методика оценки киберрисков в организации). Источник: Cyber Risk Institute (CRI).
• CIS Critical Security Controls - действия по обеспечению безопасности. Источник: Center for Internet Security (CIS).
• Security and Privacy Controls for Information Systems and Organizations (NIST SP 800-53 ) - действия по обеспечению безопасности и приватности в ИС и организациях.
• Secure Software Development Framework (SSDF) - рекомендации по снижению рисков в ПО (NIST Special Publication 800-218).

 

---

Для внесения собственных данных по организации киберзащиты в СиММА нужно расширить мета-модель, изложенную на этой странице >>>

---

Российская федерация зависит от надежного функционирования критически важной инфраструктуры. Угрозы кибербезопасности используют возросшую сложность и связанность критически важных инфраструктурных систем, ставя под угрозу безопасность, экономику, а также общественную безопасность и здоровье страны. Подобно финансовым и репутационным рискам, риск кибербезопасности влияет на прибыль компании. Это может привести к увеличению затрат и повлиять на снижение доходов. Это может нанести ущерб способности организации привлекать и удерживать клиентов, выводить на рынок новые продукты. Кибербезопасность может быть важным и усиливающим компонентом общего управления рисками организации.

Фреймворк фокусируется на рассмотрении рисков кибербезопасности как части процессов управления рисками организации. Структура фрейворка состоит из трех частей: ядра структуры (Framework Core), уровней реализации  (Framework Implementation Tiers) и профилей (Framework Profile). Framework Core — это набор действий/мероприятий, результатов и информационных ссылок по кибербезопасности, которые являются общими для всех отраслей и критической инфраструктуры. Элементы Core Framework предоставляет подробное руководство по разработке индивидуальных профилей организации. Благодаря использованию профилей фрейворк поможет организации согласовать и расставить приоритеты в своей деятельности по кибербезопасности с требованиями бизнеса, миссией, устойчивостью к рискам и ресурсами. Framework Implementation Tiers предоставляют организациям механизм просмотра и понимания характеристик их подхода к управлению рисками кибербезопасности, что поможет в определении приоритетов и достижении целей кибербезопасности.

Хотя этот документ был разработан для улучшения управления рисками кибербезопасности в критически важной инфраструктуре, его могут использовать организации любой отрасли. Фреймворк позволяет организациям – независимо от размера, степени риска или уровня сложности кибербезопасности  – применять принципы и передовой опыт управления рисками для повышения безопасности и устойчивости.