NIST atbilstības sasniegšana mākonī: stratēģijas un apsvērumi
Pārvietošanās virtuālajā atbilstības labirintā digitālajā telpā ir īsts izaicinājums, ar ko saskaras mūsdienu organizācijas, īpaši attiecībā uz Nacionālā standartu un tehnoloģiju institūta (NIST) kiberdrošības sistēma.
Šī ievada rokasgrāmata palīdzēs jums labāk izprast NIST Kiberdrošība Ietvars un kā panākt NIST atbilstību mākonī. Lecam iekšā.
Kas ir NIST kiberdrošības sistēma?
NIST kiberdrošības ietvars sniedz organizācijām izklāstu, kā izstrādāt un uzlabot savas kiberdrošības riska pārvaldības programmas. Tas ir paredzēts kā elastīgs, un tas sastāv no dažādām lietojumprogrammām un pieejām, lai ņemtu vērā katras organizācijas unikālās kiberdrošības vajadzības.
Ietvars sastāv no trim daļām – pamata, ieviešanas līmeņiem un profiliem. Šeit ir pārskats par katru:
Ietvara kodols
Framework Core ietver piecas galvenās funkcijas, lai nodrošinātu efektīvu kiberdrošības risku pārvaldības struktūru:
- Identificēt: Ietver izstrādi un ieviešanu a kiberdrošības politika kurā ir izklāstīts organizācijas kiberdrošības risks, stratēģijas, lai novērstu un pārvaldītu kiberuzbrukumus, kā arī to personu lomas un pienākumi, kurām ir piekļuve organizācijas sensitīviem datiem.
- Aizsargāt: Ietver visaptveroša aizsardzības plāna izstrādi un regulāru ieviešanu, lai samazinātu kiberdrošības uzbrukumu risku. Tas bieži ietver kiberdrošības apmācību, stingru piekļuves kontroli, šifrēšanu, iespiešanās pārbaudeun programmatūras atjaunināšana.
- Noteikt: Ietver atbilstošu darbību izstrādi un regulāru ieviešanu, lai pēc iespējas ātrāk atpazītu kiberdrošības uzbrukumu.
- Atbildēt: Ietver visaptveroša plāna izstrādi, kurā izklāstīti pasākumi, kas jāveic kiberdrošības uzbrukuma gadījumā.
- Atgūt: Ietver atbilstošu darbību izstrādi un ieviešanu, lai atjaunotu incidenta ietekmi, uzlabotu drošības praksi un turpinātu aizsardzību pret kiberdrošības uzbrukumiem.
Šajās funkcijās ietilpst kategorijas, kas nosaka kiberdrošības darbības, apakškategorijas, kas sadala darbības precīzos rezultātos, un informatīvas atsauces, kas sniedz praktiskus piemērus katrai apakškategorijai.
Ietvara ieviešanas līmeņi
Ietvara ieviešanas līmeņi norāda, kā organizācija uztver un pārvalda kiberdrošības riskus. Ir četri līmeņi:
- 1. līmenis: daļēja: Maza informētība un tiek ieviesta kiberdrošības riska pārvaldība katrā gadījumā atsevišķi.
- 2. līmenis: informēts par risku: Kiberdrošības riska izpratnes un pārvaldības prakse pastāv, bet nav standartizēta.
- 3. līmenis: atkārtojams: Formālas uzņēmuma mēroga riska pārvaldības politikas un regulāri tās atjaunina, pamatojoties uz izmaiņām biznesa prasībās un draudu ainavā.
- 4. līmenis: adaptīvs: Proaktīvi nosaka un prognozē draudus un uzlabo kiberdrošības praksi, pamatojoties uz organizācijas pagātnes un pašreizējām darbībām un attīstās kiberdrošības draudi, tehnoloģijas un prakse.
Ietvara profils
Framework Profile izklāsta organizācijas pamatnostādņu saskaņošanu ar tās uzņēmējdarbības mērķiem, kiberdrošības riska toleranci un resursiem. Profilus var izmantot, lai aprakstītu pašreizējo un mērķa kiberdrošības pārvaldības stāvokli.
Pašreizējais profils parāda, kā organizācija pašlaik apstrādā kiberdrošības riskus, savukārt mērķa profilā ir sniegta informācija par rezultātiem, kas organizācijai ir nepieciešami, lai sasniegtu kiberdrošības riska pārvaldības mērķus.
NIST atbilstība mākonī salīdzinājumā ar lokālajām sistēmām
Lai gan NIST kiberdrošības sistēmu var piemērot visām tehnoloģijām, mākonis skaitļošanas ir unikāla. Izpētīsim dažus iemeslus, kāpēc NIST atbilstība mākonī atšķiras no tradicionālās lokālās infrastruktūras:
Atbildība par drošību
Izmantojot tradicionālās lokālās sistēmas, lietotājs ir atbildīgs par visu drošību. Mākoņdatniecībā drošības pienākumi tiek dalīti starp mākoņpakalpojumu sniedzēju (CSP) un lietotāju.
Tātad, lai gan CSP ir atbildīgs par mākoņa (piemēram, fizisko serveru, infrastruktūras) drošību, lietotājs ir atbildīgs par drošību mākonī (piemēram, dati, lietojumprogrammas, piekļuves pārvaldība).
Tas maina NIST Framework struktūru, jo tas prasa plānu, kurā abas puses ņem vērā, un uzticību CSP drošības pārvaldībai un sistēmai un tās spējai uzturēt NIST atbilstību.
Datu atrašanās vieta
Tradicionālajās lokālajās sistēmās organizācijai ir pilnīga kontrole pār tās datu glabāšanas vietu. Turpretim mākoņdati var tikt glabāti dažādās vietās visā pasaulē, kā rezultātā tiek noteiktas dažādas atbilstības prasības, pamatojoties uz vietējiem likumiem un noteikumiem. Organizācijām tas ir jāņem vērā, saglabājot NIST atbilstību mākonī.
Mērogojamība un elastība
Mākoņu vide ir veidota tā, lai tā būtu ļoti mērogojama un elastīga. Mākoņa dinamiskais raksturs nozīmē, ka arī drošības kontrolei un politikām jābūt elastīgām un automatizētām, padarot NIST atbilstību mākonī par sarežģītāku uzdevumu.
Daudzdzīvokļu īre
Mākonī CSP vienā serverī var glabāt datus no daudzām organizācijām (daudzuzņēmumi). Lai gan tā ir izplatīta prakse publiskajiem mākoņa serveriem, tā rada papildu riskus un sarežģījumus drošības un atbilstības uzturēšanai.
Mākoņpakalpojumu modeļi
Drošības pienākumu sadalījums mainās atkarībā no izmantotā mākoņpakalpojuma modeļa veida – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) vai Software as a Service (SaaS). Tas ietekmē to, kā organizācija ievieš ietvaru.
Stratēģijas NIST atbilstības sasniegšanai mākonī
Ņemot vērā mākoņdatošanas unikalitāti, organizācijām ir jāpiemēro īpaši pasākumi, lai panāktu NIST atbilstību. Šeit ir saraksts ar stratēģijām, kas palīdz jūsu organizācijai sasniegt un uzturēt atbilstību NIST kiberdrošības sistēmai.
1. Izprotiet savu atbildību
Atšķiriet CSP un savus pienākumus. Parasti CSP nodrošina mākoņa infrastruktūras drošību, kamēr jūs pārvaldāt savus datus, lietotāju piekļuvi un lietojumprogrammas.
2. Regulāri veiciet drošības novērtējumus
Periodiski novērtējiet savu mākoņa drošību, lai noteiktu potenciālu ievainojamības. Izmantojiet darbarīki nodrošina jūsu CSP, un apsveriet trešās puses auditu, lai iegūtu objektīvu skatījumu.
3. Nodrošiniet savus datus
Izmantojiet spēcīgus šifrēšanas protokolus datiem miera stāvoklī un pārsūtīšanas laikā. Pareiza atslēgu pārvaldība ir būtiska, lai izvairītos no nesankcionētas piekļuves. Jums arī vajadzētu iestatīt VPN un ugunsmūri, lai palielinātu tīkla aizsardzību.
4. Ieviesiet stabilus identitātes un piekļuves pārvaldības (IAM) protokolus
IAM sistēmas, piemēram, daudzfaktoru autentifikācija (MFA), ļauj jums piešķirt piekļuvi, pamatojoties uz nepieciešamību zināt, un neļauj nesankcionētiem lietotājiem iekļūt jūsu programmatūrā un ierīcēs.
5. Nepārtraukti pārraugiet savu kiberdrošības risku
Sviras Drošības informācijas un notikumu pārvaldības (SIEM) sistēmas un ielaušanās atklāšanas sistēmas (IDS) pastāvīgai uzraudzībai. Šie rīki ļauj ātri reaģēt uz visiem brīdinājumiem vai pārkāpumiem.
6. Izstrādājiet incidentu reaģēšanas plānu
Izstrādājiet precīzi definētu incidentu reaģēšanas plānu un pārliecinieties, ka jūsu komanda pārzina procesu. Regulāri pārskatiet un pārbaudiet plānu, lai pārliecinātos par tā efektivitāti.
7. Veiciet regulāras revīzijas un pārskatīšanas
Vest regulāras drošības pārbaudes neatbilst NIST standartiem un attiecīgi pielāgojiet savas politikas un procedūras. Tas nodrošinās, ka jūsu drošības pasākumi ir aktuāli un efektīvi.
8. Apmāciet savus darbiniekus
Apgādājiet savu komandu ar nepieciešamajām zināšanām un prasmēm par mākoņdrošības paraugpraksi un NIST atbilstības nozīmi.
9. Regulāri sadarbojieties ar savu CSP
Regulāri sazinieties ar savu CSP par viņu drošības praksi un apsveriet visus papildu drošības piedāvājumus.
10. Dokumentējiet visus mākoņa drošības ierakstus
Rūpīgi uzskaitiet visas ar mākoņa drošību saistītās politikas, procesus un procedūras. Tas var palīdzēt pierādīt NIST atbilstību auditu laikā.
HailBytes izmantošana NIST atbilstības nodrošināšanai mākonī
Kamēr ievērojot NIST kiberdrošības sistēmu ir lielisks veids, kā aizsargāties pret kiberdrošības riskiem un pārvaldīt tos, jo NIST atbilstības nodrošināšana mākonī var būt sarežģīta. Par laimi, jums nav jārisina mākoņu kiberdrošības sarežģītības un NIST atbilstības problēmas.
Kā mākoņu drošības infrastruktūras speciālisti, Hailbaiti ir šeit, lai palīdzētu jūsu organizācijai sasniegt un uzturēt NIST atbilstību. Mēs piedāvājam rīkus, pakalpojumus un apmācību, lai stiprinātu jūsu kiberdrošības pozīciju.
Mūsu mērķis ir padarīt atvērtā pirmkoda drošības programmatūru viegli iestatīt un grūti iefiltrēties. HailBytes piedāvā virkni kiberdrošības produkti pakalpojumā AWS lai palīdzētu jūsu organizācijai uzlabot mākoņa drošību. Mēs piedāvājam arī bezmaksas kiberdrošības izglītības resursus, lai palīdzētu jums un jūsu komandai izkopt spēcīgu izpratni par drošības infrastruktūru un riska pārvaldību.
autors
Zaks Nortons ir digitālā mārketinga speciālists un eksperts vietnē Pentest-Tools.com ar vairāku gadu pieredzi kiberdrošības, rakstīšanas un satura veidošanā.
