NIST資訊安全框架(NIST Cybersecurity Framework)是美國國家標準與技術研究所(National Institute of Standards and Technology)所提出的一套資訊安全架構標準。1.0是在2014年正式落實,1.1在2018年公佈。與ISO27001、ISACA 的COBIT與及其他不同國家的標準成為很多機構和企業作為一個有效的資安框架的標準。筆者個人認為,NIST Cybersecurity Framework(簡稱NIST CSF)是一套比較容易達到,而且非常有效的標準(和ISO27001相比,NIST應該是比較容易遵循的了)。
最近,NIST CSF再次成為業界的話題,主要原因是2023年1月NIST公開了2.0的概念文件,並且預計會於2024年尾正式公佈這個新一代的框架。
繼承了1.0/1.1版本的五大範疇:1.識別 (Identify), 2.保護 (Protect), 3. 偵測試(Detect), 4. 回應(Respond), 5. 復原 (Recovery)外,加入6. 治理(Govern)擴展成六大範疇,從而更切合現有企業和機構的實際狀況。
同時,2.0亦強調網絡安全的重要性。過去數年,隨着互聯網的基建成熟、5G移動網路普及、雲端普及、CPU性能過剩、AI發展等等客觀因素,這些因素都是雙面刃,一方面令企業的基建更好,另一方面亦令駭客成本門檻更低。舉例說企業用雲端方案輕鬆擴展IT環境,但同時雲端計算亦方便了有心利用其強大和便宜簡單建構進行攻擊部署。因此網絡安全問題日漸令人關注,在2.0裡亦有更多方面的涵蓋。
很多人誤會,以為NIST的資安框架只對美國境內企業,或者屬於美國資本相關的企業才會使用,與ISO是一個全球性的中立公認標準不同。但其實因為NIST的實踐性和框架的開放高度,更多企業或機構是在沒有任何需要導循的法規或業界標準時,更樂於採用NIST作為他們的資安基底。
其實在很多在資安上未有很深紥根的機構,筆者一向不建議直接就去到ISO27001/31000等的標準,因為要投入的資源對機構負擔太重,文件可能太艱深也太抽象。反而使用NIST是一個很好的框架。除了前文提到NIST是比較容易遵循外,文件上會比較簡要也容易明白,同時出來的效果亦很好。同時間,因為它不是一個要去考證照的流程,也不是法規,所以亦展現了它一定程度上的彈性。
而事實上,不論機構使用何種資安框架,其實有很多共通性。有資源進行雙框架驗證固然是好,可以透過多於一個框架、不同角度去驗證機構的資安能力。如果起步階段,或者想以最少投入的人力和時間,NIST CSF無疑是一套容易實踐,並不需要具備太多資源而又能向做好資安方向前進的好框架。
