天天观热点：美国NIST《网络安全框架》2.0草案解析

2023年4月24日，NIST发布《网络安全框架2.0核心》（Cybersecurity Framework 2.0 Core，简称“CSF 2.0”）讨论草案，该草案确定了CSF 2.0核心的潜在功能、类别和子类别，旨在提高CSF 2.0更新过程的透明度并促进讨论，从而为完善CSF提供具体建议。

(资料图)

自2014年首次发布以来，NIST CSF已被广泛应用于解决网络安全风险，虽CSF 1.1仍然有效，但NIST认为有必要更新CSF以帮助组织更好地应对当前及未来的网络安全挑战。目前，NIST正在与社区合作，以确保CSF 2.0在未来十年内有效。

一、背景情况

2013年2月12日，美国总统签署了第13636号《增强关键基础设施网络安全性》（Improving Critical Infrastructure Cybersecurity）行政令，要求NIST与利益相关方合作，在现有标准、准则和实践的基础上，开发“网络安全框架”以减轻关键基础设施的网络安全风险。

2013年2月26日，NIST发布首个CSF信息请求（Request for Information，简称“RFI”），旨在通过收集信息，掌握相关标准在提高各行业网络安全方面的有效性。

2014年2月12日，NIST发布《改进关键基础设施网络安全框架》（the Framework for Improving Critical Infrastructure Cybersecurity）1.0版。该框架提供了创建、指导、评估或改进综合网络安全计划的结构。此次发布是美国网络安全史上具有里程碑意义的事件。至今，NIST仍在与相关行业协调发展CSF。

2014年12月18日，参众两院通过《网络安全增强法案》（Cybersecurity Enhancement Act），推动CSF的进一步实施。

2018年4月16日，NIST发布CSF 1.1版，1.1版与1.0版完全兼容，添加了更全面的身份管理和供应链网络安全管理描述。

2023年1月19日，NIST发布CSF 2.0概念文件，系统概述了NIST在制定时应考虑的一些重大和潜在调整，这些变化囊括了各界、各行业的广泛诉求。

2023年4月24日，NIST发布CSF 2.0核心讨论草案，力求征集利益相关方的反馈，从而更轻松有效地管理不断变化的网络安全风险。该草案演示了6个功能、21个类别以及112个子类别的网络安全结果。CSF 2.0增加对以下方面的关注：

（1）适用于所有组织的网络安全结果，删除了针对核心区关键基础设施的语言描述；

（2）通过治理、识别和保护功能中的结果来预防网络安全事件，并通过检测、响应和恢复功能来应对网络安全事件；

（3）新增治理功能进行网络安全治理，涵盖了组织背景、风险管理战略、政策和程序、角色和职责。要求组织制定网络安全风险管理策略，并审查、更新和传达该策略；

（4）网络安全供应链风险管理的结果；

（5）通过识别功能中的一个新的改进类别进行持续改进；

（6）充分利用人员、流程和技术，确保保护功能中所有类别的资产安全；

（7）通过一个新的保护功能类别实现技术基础设施的弹性；

（8）通过响应和恢复功能中新增的类别来进行网络安全事件响应管理。

二、CSF 2.0最新变化

本节将阐述CSF 2.0概念文件的最新变化，从六个部分进行讨论，包括：应用范围变更、与现有标准和资源的衔接、CSF 2.0实施指南更新、强调网络安全治理的重要性、网络安全供应链风险管理、网络安全度量和评估。表1显示了CSF 2.0核心功能和类别的名称，以及对应标识符。

表1 NISTCSF 2.0核心功能、类别及标识符

（一）应用范围变更

（1）修改CSF标题和文本。CSF 2.0将采用更广泛和常用的名称《网络安全框架》替换原名《提升关键基础设施网络安全框架》。旨在扩大CSF 2.0的应用范围，提升框架文本的适用性。CSF核心中关键基础设施的类别和子类别也将得到扩展，该变化不是为了削弱与关键基础设施组织的相关性，而是为了促进更广泛的使用。

（2）扩大CSF适用范围。自CSF 1.1发布以来，美国国会已明确要求NIST在CSF中考虑小型企业和高等教育机构的网络安全需求。

（3）加强国际合作和参与。国际合作和参与是CSF 2.0更新的一个重要主题。自2013年启动CSF以来，许多组织已明确表示CSF能够提高其网络安全工作的效率和效果。CSF 1.1常被一些国家在制定战略、政策和指南时所引用，一些国家认为应强制其公共和私营部门使用该框架。作为CSF 2.0开发的一部分，NIST将通过机构间合作，优先考虑与外国政府和行业展开深入交流，使CSF成为国际资源。此外，NIST将深入参与CSF的国际标准活动，并将其作为优先战略，持续参与国际网络安全风险管理标准和指南的编制修订，增加这些文件与CSF之间的联系。

（二）与现有标准和资源的衔接

（1）保留当前CSF的详细程度。NIST征集的意见反馈表示，CSF的关键属性（包括灵活、简单和易用的性质）对不同规模、类型和行业的组织的实施都有裨益，因此NIST将保持CSF 2.0版本的详细程度和具体水平，以确保CSF在组织内的可扩展性和灵活性。

（2）将CSF与NIST其他文件关联。NIST与网络安全和隐私相关的其他文件包括：风险管理框架、隐私框架、国家网络安全教育劳动力框架和安全软件开发框架等。每个框架都侧重于特定的主题，且与CSF明确关联。因此这些框架将在CSF 2.0或配套材料（如映射）中作为指南被引用。

（3）开发配套网络安全和隐私参考工具。CSF 2.0将通过NIST网络安全和隐私参考工具（CPRT）进行展示，提供一致的机器可读格式和用户界面，用于访问NIST网络安全和隐私标准、指南和框架中的参考数据，以更灵活的方法来描述标准、指南和框架以及各种应用和技术之间的关系。

（4）使用可更新的在线信息参考资料。CSF 1.1核心确定了一系列广泛的网络安全结果，这些结果关联到现有的、被广泛接受的网络安全标准、指南和实践中，以提供额外的实施指南。在CSF 2.0中，NIST将转向使用通过CPRT展示在线、可更新的参考资料。自CSF 1.1发布以来，除了CSF 1.1核心中包含的资源外，还有一些资源被映射到CSF中，例如，NIST SP 1800《网络安全实践指南》系列。

（5）为实施CSF提供更多指导。NIST将与社区合作，鼓励并促成支持CSF 2.0映射的产生。通过使用参考资料，CSF可以映射到具体资源以提供额外指导，例如用于保护受控非机密信息、云计算、物联网（IoT）和操作技术（OT）网络安全、零信任架构（ZTA）等的安全。此外，还可以在功能和类别级别映射CSF 2.0，支持CSF与其他资源的连接。

（6）保持技术和供应商中立。CSF 2.0将继续保持技术和供应商中立，通过审查CSF的技术描述和实现细节，使其结果能够继续被广泛利用。针对特定技术或应用，通过定制CSF样本配置文件、特定标准或指南的映射或实施示例来完成。例如，CSF和零信任架构（NIST SP 800-207）原则之间的映射。在网络安全态势方面，CSF 2.0将扩大CSF响应和恢复功能中对结果的考虑，增加与《计算机安全事件处理指南》的一致性，以及如何充分利用《网络安全事件恢复指南》。在身份管理方面，NIST正在修订数字身份指南（NIST SP 800-63），探讨CSF在身份管理、认证和访问控制类别（PRAC）的更新。更新包括潜在子类别的重新排序，以更清晰的反映数字身份模型的组成部分和数字身份生命周期的各个阶段。

（三）CSF 2.0实施指南更新

（1）添加CSF子类别的实施示例。CSF 2.0将包括简明、面向行动的流程和活动的概念性实施案例，以帮助实现CSF子类别的结果。概念性示例已成功应用在其他NIST框架文件中，例如，《安全软件开发框架》和《人工智能风险管理框架行动手册》草案。通过增加实例来扩大和改进CSF的实施指南有助于澄清每个子类别的含义和意图，并在CSF核心中为不熟悉信息参考资料和网络安全标准细节的人员提供实施理念。

（2）制定CSF概要文件模板。NIST将为CSF配置文件生成一个可选的基本模板，其中包括应考虑的格式和领域建议。组织可根据其具体需要继续使用不同的配置文件格式。目前，NIST已经为几个特定部门制作了概要范例，这使得组织更容易将CSF付诸实践。

（3）改进CSF网站突出实施资源。NIST的CSF网站包含大量关于实施CSF的附加指南。NIST将更新CSF网站，删除过时资源并增加最新资源，并在CSF 2.0更新过程中滚动更新。

（四）强调网络安全治理的重要性

（1）增加新的治理功能。CSF 2.0将增添一个新的“治理”功能，强调网络安全风险管理的治理效果。网络安全治理可以包括确定组织、客户和社会层面的优先级和风险承受能力、网络安全风险和影响评估、网络安全政策和程序，以及对网络安全角色和责任的理解。CSF 2.0中新的“治理”功能将为其他功能提供信息和支持。NIST表示治理结果将为当前各功能的优先顺序和实施提供信息。此外，NIST还将审查其他技术框架，以考虑相关类别是否适用于CSF 2.0。例如，此次审查将包括NIST隐私框架中的政府类别、网络风险研究概况、NIST信息和通信技术风险草案（SP 800-221A）以及人工智能风险管理框架（草案）等。

（2）改善对风险管理关系的讨论。NIST还借助对治理的深入讨论和修订，试图澄清CSF概要和核心中治理和网络安全风险管理之间的关系。CSF 2.0将描述基本风险管理流程将如何识别、分析、确定优先级、应对和监测风险，CSF结果将如何支持风险应对决策（接受、缓解、转移、避免），以及可用于支持CSF实施的各种风险管理流程示例（例如ISO 31000风险管理框架）。

（五）网络安全供应链风险管理

（1）扩大供应链覆盖范围。NIST征求的反馈意见普遍认为供应链和第三方网络安全风险是各组织所面临的首要风险。供应链网络安全也是CSF 1.1更新的主要内容之一。根据总统行政令“美国加强国家网络安全行政令”（EO 14028）等制定的指南，CSF 1.1增加了CSF“供应链风险管理”（ID.SC）类别；扩展了第3.3节“与利益相关方沟通网络安全要求”，以更好地理解供应链风险管理；增加了新的第3.4节“采购决策”，以强调使用该框架来理解与现有产品和服务相关的风险；并将供应链风险管理标准纳入CSF层级。

鉴于全球化、外包和技术服务（如云计算）使用面的扩大，CSF 2.0应明确组织识别、评估和管理第一和第三方风险的重要性。NIST认为CSF 2.0应包括提供额外指导和帮助组织解决各种风险。目前，NIST考虑的方案包括：1）进一步整合CSF核心功能的输出（整合可能包括单独的供应链或作为更广泛成果的一部分）；2）创建一个新的功能，重点关注与供应链风险管理的监督相关的结果；3）在识别功能中的 ID.SC 类别中扩展供应链风险管理的内容。

（2）开发并更新安全软件开发框架。自CSF 1.1发布以来，NIST已经开发了安全软件开发框架，并根据总统行政令“改善国家网络安全”（EO 14028）等进行了更新，这也将作为网络安全供应链风险管理结果的一部分。

（六）网络安全度量和评估

（1）阐明利用CSF如何支持对网络安全计划的度量和评估。CSF 2.0将利用CSF使得各组织在度量和评估工作结果方面采用通用的分类法和词汇表，而不考虑基本的风险管理流程。网络安全度量和评估的主要目标是确定组织对网络安全风险的管理程度，以及如何持续改进。支持度量和评估的活动（从系统级到整个组织）是确定成熟度和支持风险管理决策的重要依据。

（2）提供使用CSF进行度量和评估的示例。每个组织的风险、优先事项和系统都是独特的，因此，CSF对结果的度量和评估也因环境不同而不同。NIST不会在CSF 2.0中提出单一的评估方法，而将包括：组织如何使用CSF来评估和沟通其网络安全能力的示例；组织如何利用CSF，结合风险管理战略和成熟度模型，传达关于其网络安全有效性问题的答案的示例。（这些问题包括：向非网络安全受众传达组织网络安全态势的最佳方式是什么？该组织的网络安全成熟度是否在提高？该组织在哪些方面需要改进？该组织如何理解其在整体网络安全态势以及各系统中的整合？）

（3）更新NIST的信息安全绩效评估指南。NIST正在更新度量类指导文件《信息安全性能度量指南》（SP 800-55r2），为各组织提供指导以改善网络安全计划或信息系统决策、绩效和问责制。该指南适用于多种网络安全计划活动的度量。此外，网络安全度量流程和实施的基本原理将不包含在CSF中，而是包含在NIST SP 800-55中。

（4）为框架实施层提供额外指导。CSF层为组织提供了一个机制，用以查看和了解其对网络安全风险的处理方法以及为管理该风险而制定的程序和方案。这些层级在描述整体网络安全风险管理实践方面具有高严谨性和复杂性，网络安全风险管理实践包括：风险管理流程、风险管理计划集成以及对更广泛的网络安全生态系统的积极参与。征求的意见反馈表明，各组织正在按初步设计的各种方式和目的灵活地实施层级。例如，帮助设定内部目标和确定具体网络安全能力的优先级、传达组织网络安全态势、帮助衡量网络安全计划的成熟度，以及在CSF功能、类别和子类别层面实施CSF成果等。

三、小结

NIST CSF 2.0为各组织提供了关于理解、管理、减轻和沟通网络安全风险的指导。此次更新一方面反映了不断变化的网络安全环境和最新社会需求，另一方面凸显了NIST企图通过扩展适用范围、推动国际标准化和深耕生态体系的勃勃雄心。（完）

标签：