Взгляните изнутри на функции кибербезопасности, которые стоят вашего времени, и те, которые нет.
Оценка готовности системы контроля обеспечивает ключевой стратегический вклад в программу кибербезопасности организации. С момента появления в 2014 году NIST Cybersecurity Framework стабильно стала самой популярной платформой, особенно для средних предприятий с менее зрелыми программами, чем у крупных. Но не все 5 функций, 23 категории и 108 подкатегорий обеспечивают одинаковые преимущества для организации — некоторые из них чрезвычайно важны, некоторые граничат с незначительными, а некоторые просто разочаровывают.
Вот мои «топ-5» номинаций за Хорошие (самые важные), Плохие (наименее важные) и Ужасные (самые разочаровывающие) подкатегории NIST CSF.
Хорошие: пять важнейших подкатегорий
Выбор пяти наиболее важных подкатегорий был самым сложным из трех: на самом деле для разработки и реализации сильной программы кибербезопасности действительно необходимо 20 или более категорий. Но я воспользуюсь некоторыми особенностями фреймворка, такими как слишком широкие подкатегории с неявными включениями, чтобы спасти положение.
1. [PR.AC-7] Пользователи, устройства и другие активы аутентифицируются соразмерно риску транзакции.
Аутентификация возглавляет список, потому что она включает в себя то, что большинство киберпрофессионалов считает наиболее эффективным средством контроля — многофакторную аутентификацию. А в сочетании с единой регистрацией, что является типичным в наши дни, организации могут легко использовать MFA для любых необходимых приложений. На этом этапе «соизмеримый» становится вторичным или условным решением, проводить повторную аутентификацию или нет.
2. [PR.IP-12] Разработан и внедрен план управления уязвимостями.
Не сомневайтесь, профессионалы в области кибербезопасности считают, что управление уязвимостями является ключевым компонентом любой программы, и это трудно отрицать. Хотя я считаю, что независимость от исправлений — похвальная цель для любой организации, легко увидеть ее известность в СМИ и регулирующих органах.
3. [RS.MI-2] Инциденты устранены.
Как я мог не включить это? Фактически, фаталисты в нашей области могут захотеть, чтобы это было номером один, но я все же надеюсь, что это не особенно распространенное упражнение для большинства компаний. Добавьте сюда все категории анализа (RS.AN) и смягчения последствий (RS.MI) как включающие, и это не составит труда.
4. [PR.DS-1] Неактивные данные защищены.
Опять же, я воспользуюсь широтой и двусмысленностью, чтобы заявить о многом в этой подкатегории. Некоторые профессионалы в области кибербезопасности могут предположить, что это единственная причина существования нашей области. Организации будут преследовать этот результат с помощью прав доступа, фильтров, ведения журналов и так далее. И да, нам нужно больше шифрования!
5. [PR.IP-4] Резервное копирование информации выполняется, поддерживается и тестируется.
Что касается этой подкатегории, я выйду из комфортного мира двусмысленности и сразу перейду к сути. Через год могут появиться более важные подкатегории, но прямо сейчас, когда программы-вымогатели представляют собой серьезную проблему, вызывающую реальные убытки, нам нужно вернуться к основам с резервными копиями.
Плохие: пять наименее важных подкатегорий
Более 50 элементов управления в структуре существуют исключительно в виде слов в документах, описывающих различные потребности программы. Честно говоря, это «фреймворк», но никакой лист бумаги не остановит последнюю атаку вымогателей. В соответствии с тем, как влияние на риск является основным фактором мотивации, вот 5 наименее важных подкатегорий для меня.
1. [ID.BE-2] Место организации в критической инфраструктуре и ее отраслевом секторе определяется и сообщается.
Это просто похоже на «Это была темная и бурная ночь» NIST CSF. Какая драма! Какая капризность! К счастью, нет необходимости читать этот роман, тем более что он написан на таком ужасном английском (пассивный залог и причастия прошедшего времени, тьфу).
2. [PR.DS-4] Достаточная мощность для поддержания доступности.
Я просто собираюсь заявить, что здесь выходит за рамки. Я полагаю, это не значит, что это несущественно, это просто настолько очевидно, что специалистам по кибербезопасности не имеет смысла тратить на это время. В данном случае разумный противник не является угрозой, поэтому он не подходит, а потенциал когнитивного диссонанса между этим элементом и необходимостью уничтожения данных (PR.IP-6) просто слишком велик.
3. [PR.DS-8] Механизмы проверки целостности используются для проверки целостности оборудования.
Если вы не занимаетесь проектированием оборудования. Вы почти наверняка можете проигнорировать это. Во многих отношениях это более важно, чем многие элементы управления в этой структуре, просто здесь особо нечего делать, и, как и в случае с номером 2 выше, это только граничит с традиционными обязанностями профессионалов в области кибербезопасности.
4. [DE.CM-5] Обнаружен несанкционированный мобильный код.
Будучи частью ряда инициатив сообщества, я представляю себе неприятного поставщика, который нарушает все неписаные правила приличия, настаивая на том, чтобы «мобильный код» выделялся отдельно от «вредоносного кода» до тех пор, пока организаторы не сдадутся. Вот он, увековеченный. Поставьте галочку прямо сейчас и двигайтесь дальше.
5. [RC.IM-1] или [RC.IM-2] Планы восстановления включают извлеченные уроки или обновляются стратегии восстановления.
Сделайте ваш выбор. Один — не конец света, но и то, и другое не нужно.
Ужасные: пять самых разочаровывающих подкатегорий
1. [ID.BE-2] Место организации в критической инфраструктуре и ее отраслевом секторе определяется и сообщается.
Номинация во второй раз! Я просто не мог не заметить, насколько странно для специалиста по кибербезопасности проповедовать руководству и совету директоров о своем месте. Да, это должно исходить от них; да, для тех компаний, которые имеют значение, это уже произошло.
2. [PR.IP-8] Эффективность технологий защиты разделяется.
Никто не измеряет эффективность технологий защиты, так как же ее разделить?
3. [RS.CO-5] Осуществляется добровольный обмен информацией с внешними заинтересованными сторонами для обеспечения более широкой ситуационной осведомленности о кибербезопасности.
«А теперь слово от нашего спонсора». Послушайте, я считаю себя человеком, который очень заботится о моем сообществе, и я в целом считаю, что организации должны делиться важной информацией, которая, как они знают, может повлиять на других. Но идея о том, что это должно быть включено в структуру контроля, предназначенную для защиты организации, абсурдна, не говоря уже о корысти. Компании регулярно хранят секреты, часто по очень веским причинам. Отношения между регулирующими органами и избирателями во многих случаях могут быть ненадежными. И это абсолютно нулевое влияние на позицию организации в отношении рисков.
4. [RC.CO-2] Репутация восстанавливается после инцидента.
Репутация непостоянна. Компаниям с хорошей репутацией часто не нужно ничего делать, чтобы «восстановить» свою репутацию после инцидента — они уже понимают, как общаться с ключевыми участниками, решать проблему и продолжать строить отношения. Но определение того, что репутация была восстановлена, находится вне контроля любой организации; это зависит от других вовлеченных сторон.
5. Каждая подкатегория, которая включает слово «понять».
«Назад, это ловушка!» В какой-то момент, если какая-либо из этих подкатегорий когда-либо будет подвергнута проверке, единственное, что они сделают — это продемонстрируют, как люди часто неправильно общаются. Независимо от того, используется ли это в качестве оправдания жертвой или как обвинительный акт профессионалу в области кибербезопасности, определение «кто что понял» всегда может быть оспорено задним числом.
Вне всякого сомнения, NIST CSF — важный компонент стратегий кибербезопасности большинства организаций. Лучший способ согласоваться с ним — это оценка готовности NIST CSF, которая определяет приоритетные подкатегории, объединенные в действенные проекты, и сравнивает программу с другими компаниями аналогичного размера в той же отрасли.
