美国的国家与经济安全取决于关键基础设施是否可靠运行。越来越多的关键基础设施系统接入网络,日益复杂,成为网络安全威胁的利用因素,置国家安全、经济以及公共安全与健康于风险之中。与金融和信誉风险类似,网络安全风险会使公司成本上升,收入下降,最终影响公司的运营结果。它还会损害组织的创新能力,妨碍其争取并留住客户。

为了更好地应对这些风险,奥巴马总统于2013年2月12日颁布了13636号行政命令《提升关键基础设施网络安全》。
命令规定,“美国采取(这个)政策,以提升国家关键基础设施的安全与弹性,建立一个有助于提高效率、激发创新、促进经济繁荣的网络环境,同时保障安全、商业机密、隐私与公民自由。”为实施该政策,此行政命令要求制订一个针对此种风险的自愿实施的网络安全框架,以确定行业标准与最佳实践,帮助组织管理网络安全风险。在政府与私有部门的共同努力下,本框架出台,采用通用语言阐述了如何基于业务需求高效地应对并管理网络安全风险,但并未对企业提出额外的合规要求。

原文信息

  • 原文名称:Framework for Improving Critical Infrastructure Cybersecurity
  • 原文作者:Costin Raiu, Igor Soumenkov
  • 原文出处:www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf
  • 发布单位:National Institute of Standards and Technology
  • 发布时间:2014年2月

  • 文章译者:“安全加”社区小蜜蜂公益翻译组

    小蜜蜂公益译文

    美国·提升关键基础设施网络安全框架 - 图1
    小蜜蜂公益译文项目旨在分享国外先进网络安全理念,将网络安全战略性文档翻译为中文,促进国内安全组织在相关方面的思考和交流。该项目由“安全加”社区发起,“安全加”社区是国内的网络安全社区,社区欢迎网络安全人士的加入,并致力于交付网络安全问题的解决能力。

    主要目录

    执行摘要 3
    1. 框架介绍 5
    1.1 框架概况 5
    1.2 风险管理与网络安全框架 6
    1.3 文档构成 6
    2. 框架基本信息 7
    2.1 框架核心 7
    2.2 框架执行层级 8
    2.3 框架对齐结果 9
    2.4 协调框架实施 9
    3. 如何使用该框架 10
    3.1 对网络安全实践进行基础性评估 10
    3.2 制定或改进网络安全计划 10
    3.3 与利益主体沟通网络安全需求 11
    3.4 寻求机会识别新的或修订的参考资料 11
    3.5 保护隐私和公民自由 11
    附录 13

    框架内容

    该框架强调用业务驱动引导网络安全活动,将网络安全风险作为组织风险管理流程的一部分。
    框架包括三个部分:

  • 框架核心

  • 框架对齐结果
  • 框架执行层级

框架核心包括网络安全活动、结果以及关键基础设施领域内常见的参考文献,为各组织拟定对齐结果提供具体指导。通过使用对齐结果,组织可协调网络安全活动,使之与业务需求、风险容忍度及资源相匹配。框架执行层级是一种机制。利用这种机制,组织可审视并了解自身的网络安全风险管理特点。
行政命令还要求框架提供恰当方法,保证个人隐私与公民自由不受关键基础设施相关组织进行的网络安全活动的影响。流程与现实需求总会有分歧,因此,组织可根据框架制定综合网络安全计划,将隐私与公民自由包含其中。

网络安全风险治理

  • 组织对网络安全风险和潜在风险响应的评估考虑了其网络安全计划中涉及的隐私问题。
  • 负责网络安全隐私问题的员工训练有素,能够及时将发现的问题上报给管理人员。
  • 已制定相关流程,确保网络安全活动符合适用的隐私权法律、法规和宪法要求。
  • 已制定相关流程,对上述组织措施和控制措施的实施进行评估。
  • 对访问组织财产和系统的个人进行识别和认证的方法
  • 已采取措施识别和解决访问控制措施所导致的隐私问题。这些访问控制措施针对个人信息的采集、披露或使用。
  • 安全意识和培训措施。
  • 已将组织的隐私策略中的适用信息纳入了网络安全人员的培训和安全意识提升活动。
  • 已将组织适用的隐私策略传达给为其提供网络安全相关服务的服务供应商。
  • 异常活动检测以及系统和资产监控。
  • 已制定相关流程,对组织的异常活动检测和网络安全监控进行了隐私审查。
  • 响应活动,如信息共享或其他缓解措施。
  • 已制定流程,评估并解决以下问题:个人信息是否作为网络安全信息共享活动的一部分在组织外进行共享、何时共享、如何共享以及共享程度。- 已制定流程,对组织的网络安全风险缓解措施进行隐私审查。

    结论

    对于各种规模的组织、不同程度的网络安全风险以及网络安全形势,该框架都能提供风险管理原则和最佳实践,使其提升关键基础设施的安全与弹性。框架整合了当今业界普遍有效的标准、指南以及实践,为当今各种网络安全方法提供了大纲与架构。
    此外,框架引用了国际认可的网络安全标准,对海外组织也适用,国际合作亦可以此为指导增强关键基础设施的网络安全。

附件下载:Framework for Improving Critical Infrastructure Cybersecurity