NIST的CSF与其他指南一起使用，可以帮助将风险映射到实际威胁，并更好地遵守安全授权，如美国的网络安全行政命令。

美国联邦政府在过去一年一直非常积极，特别是在网络安全行政令（EO）以及由此产生的相关任务和目标方面。NIST网络安全框架（CSF）是一个越来越受到关注的框架和行业来源。

CSF来自另一个EO 13636，该EO于2013年，指示NIST与利益相关者合作，制定一个降低关键基础设施风险的自愿框架。它是通过与工业和政府的协调努力产生的，这两个部门都广泛采用了该框架。

以下是CSF的组成，它的各个方面如何有助于实现最近的一些网络安全EO目标，以及任何组织如何使用它更好地将风险映射到威胁。

网络安全框架的组成部分是什么？

在其基础上，CSF有三个组成部分：

• 核心:核心本质上是一组期望的网络安全活动和结果。
• 实施层:在组织如何看待网络安全风险管理时，实施层被采用组织用来提供上下文。
• 框架概要:框架概要文件有助于在实现成果和降低组织乃至整个行业的风险时，提供与组织需求和目标的定制一致性。

在这三个组成部分中，还有其他领域，如职能中的类别和子类别，这些领域与网络安全计划的结果相关。NIST也已经制作了一些示例框架概要，例如制造业、选举和智能电网。

CSF最可识别的一个方面是它将活动分解为的功能：识别、保护、检测、响应和恢复。这些功能之所以得到广泛认可，是因为它们既实用又合乎逻辑。它们与组织安全计划中网络安全和风险管理的活动和生命周期保持一致。这些功能也适用于许多行业和垂直领域的组织，使CSF具有动态性和适应性。

由于CSF建立在现有标准、指南和实践的基础上，因此它包含了其他行业领先指南中常见的活动，如CIS关键控制。这一点在“确定关键企业流程和资产”等活动中很明显。为了更好地利用现有的标准、指导方针和实践，CSF还提供了所谓的“信息参考”，这些参考在每个功能下保持一致，并指向现有的框架安全控制和参考。

网络安全框架如何帮助实现EO合规性

CSF在最近的网络安全EO中没有明确引用，但NIST被广泛引用。由于CSF是其旗舰风险管理框架，它将与NIST作为EO的一部分开展的许多活动和任务联系起来。如上文所述，EO中定义的所有网络安全任务和活动可以映射到CSF功能类别。

为了促进CSF的进一步采用，NIST发布了指南，包括NISTIR 8170联邦机构使用网络安全框架的方法，以及NISTIR 8286整合网络安全和企业风险管理（ERM）。将本指南与《雇佣条例》相关的任务结合起来，将使联邦机构能够解决其现有的风险和安全缺陷。

EO的一个主要方面是推动机构采用零信任（提到11次）。这是机构和行业组织开始看到CSF和EO目标之间真正协同作用的地方。例如，当涉及到零信任时，NIST国家网络安全卓越中心（NCCoE）提供了将适用的零信任组件映射到CSF功能、类别和子类别的指南。这些是核心零信任组件，如策略引擎、管理员、实施点和更常见的安全组件，如SIEM。

联邦机构和行业组织可以利用上述示例中的CSF，在五个CSF功能、类别和子类别之间映射安全计划目标。这包括将技术堆栈的工具和方面映射到CSF标准。CSF的一个关键好处是它能够帮助指导决策，无论个人在组织中的位置如何。这适用于从高级管理人员到业务/流程、实施和运营。

根据威胁调整网络安全框架目标

组织、政府和行业都可以采取额外措施，使CSF目标与实际威胁相一致。一个很好的方法是利用MITRE的ATT&CK评估，该评估模拟了针对领先网络安全产品的对抗战术和技术。然后，这些信息将提供给行业最终用户，以查看产品的性能以及它们与组织安全目标的一致性。MITRE的另一个优秀资源来自威胁知情防御中心的映射MITRE ATT&CK和NIST 800-53。通过使用这些映射，组织可以潜在地将中心映射交叉引用到CSF中的信息参考，这些信息参考与特定功能和类别相关。

关于实际威胁，通过CSF的自我评估和衡量也可用于改进投资优先事项的决策。无论行业如何，有限的资源和资金都是所有安全领导者的现实。确定安全计划中的差距，并将投资推向风险最大的领域，可以带来巨大的好处。这就是为什么安全领导人必须确保安全控制和活动的实施与组织成果和业务目标挂钩。这样做可以确保与业务领导层保持一致，支持安全计划，并帮助企业安全运营。

NIST CSF是管理组织风险和安全计划成熟度的灵活框架。它的用例包括管理网络需求、报告网络安全风险以及整合和调整网络和采办流程。所有这些用例都适用于实现2021网络安全EO中提出的一系列任务和目标。

了解CSF

NIST的CSF可以成为组织提高其安全计划的成熟度、降低组织风险和覆盖关键安全功能的重要工具。从CSF开始，有许多资源，尤其是NIST本身。他们提供在线学习、演示和框架的详细文档。甚至有一本书专门介绍NIST CSF。随着组织不断改进其安全计划，映射到现有标准的动态和全面的框架非常有价值，这也是NIST CSF所发挥的作用。

更多关于企业风险管理

• 5 risk management mistakes CISOs still make
• ERM: Putting cybersecurity threats into a business context
• IT risk assessment frameworks: real-world experience

本文：https://cioctocdo.com/using-nist-cybersecurity-framework-address-organi…