NIST 网络安全框架的优、劣、丑子类别
Posted: Thu Dec 05, 2024 4:35 am
要了解有关 NIST CSF 计划的更多信息并获得建立 NIST CSF 所需的可行项目的指导,请阅读新电子书:使用 NIST 网络安全框架构建全面的网络安全计划。
控制框架准备情况评估为组织的网络安全计划提供了关键的战 纳米比亚电话号码库 略投入。自 2014 年首次推出以来,NIST 网络安全框架已逐渐成为最受欢迎的框架,尤其是对于计划不如大型企业成熟的中型企业而言。但这 5 个功能、23 个类别和 108 个子类别并非都为组织提供了同等的益处 - 有些极其重要,有些则无关紧要,有些则令人沮丧不已。
以下是我对 NIST CSF 的好(最重要的)、坏(最不重要的)和丑陋(最令人沮丧的)子类别的“前 5 名”提名。
优点:五个最重要的子类别
在三个标签中,选择最重要的 5 个子类别是最有挑战性的——实际上,可能有 20 个或更多的子类别对于开发和运行强大的网络安全计划是真正必要的。但我将利用该框架的一些特性,例如带有隐含内容的过于宽泛的子类别来挽救局面。
1. [PR.AC-7] 用户、设备和其他资产的认证与交易风险相称
身份验证位居榜首,因为它融合了大多数网络专家认为最有效的控制措施——多因素身份验证。结合如今常见的单点登录,组织可以轻松地将 MFA 用于任何必要的应用程序。此时,“相称”成为是否重新进行身份验证的次要或有条件决定。
2. [PR.IP-12] 制定并实施漏洞管理计划
毫无疑问,网络安全专家认为漏洞管理是任何程序的关键组成部分,这一点很难否认。虽然我相信补丁独立性对于任何组织来说都是值得称赞的目标,但很容易看出它在媒体和监管机构中的重要性。
控制框架准备情况评估为组织的网络安全计划提供了关键的战 纳米比亚电话号码库 略投入。自 2014 年首次推出以来,NIST 网络安全框架已逐渐成为最受欢迎的框架,尤其是对于计划不如大型企业成熟的中型企业而言。但这 5 个功能、23 个类别和 108 个子类别并非都为组织提供了同等的益处 - 有些极其重要,有些则无关紧要,有些则令人沮丧不已。
以下是我对 NIST CSF 的好(最重要的)、坏(最不重要的)和丑陋(最令人沮丧的)子类别的“前 5 名”提名。
优点:五个最重要的子类别
在三个标签中,选择最重要的 5 个子类别是最有挑战性的——实际上,可能有 20 个或更多的子类别对于开发和运行强大的网络安全计划是真正必要的。但我将利用该框架的一些特性,例如带有隐含内容的过于宽泛的子类别来挽救局面。
1. [PR.AC-7] 用户、设备和其他资产的认证与交易风险相称
身份验证位居榜首,因为它融合了大多数网络专家认为最有效的控制措施——多因素身份验证。结合如今常见的单点登录,组织可以轻松地将 MFA 用于任何必要的应用程序。此时,“相称”成为是否重新进行身份验证的次要或有条件决定。
2. [PR.IP-12] 制定并实施漏洞管理计划
毫无疑问,网络安全专家认为漏洞管理是任何程序的关键组成部分,这一点很难否认。虽然我相信补丁独立性对于任何组织来说都是值得称赞的目标,但很容易看出它在媒体和监管机构中的重要性。