美國國家標準暨技術研究院(National Institute of Standards and Technology , NIST)針對資通安全框架改版於2022年2月進行意見徵集與分析,並於同年6月3日公布分析結果,以作為改版依據。NIST期望公私部門更能廣泛應用該安全框架2.0於網路安全風險管理,強化組織韌性,進一步提升國家經濟安全。
NIST向全球已導入安全框架之機構徵集使用心得,並就安全框架 2.0徵求相關建言,以改善框架實施的有效性。安全框架 1.0建立於2014年,被全球185國家所採用,企業可透過由識別(identify)、防護(protect)、偵測(detect)、回應(response)、復原(recover)形成的5大循環框架,配合實施層級建立自身的描述檔(profile),用以協助企業持續改善資通安全。安全框架於2018年首次改版為安全框架1.1,主要更新是為重新闡明部份安全用語以提升實施指引的精確性,2022年的2.0改版則是為因應持續演變的網路安全生態進行內容調整。
本次意見徵集結果總共獲得超過130則回覆,除了來自國際網路安全標準組織與各國政府機構之外,超過半數來自產業意見,尤其以IT科技業為大宗,包括Microsoft、IBM、Cisco等科技巨擘,其他則來自通訊、能源、金融、醫療等領域。
NIST將意見徵集歸納成7大主題:
- 主題1:聚焦於維護和建立安全框架更新時的關鍵屬性
- 主題2:維持安全框架與其他NIST既有架構的一致性
- 主題3:提供更多的安全框架實施指引
- 主題4:確保安全框架得以維持技術中立,但容許不同的技術議題,包含新技術的演進與實務
- 主題5:強調評估框架實施結果的方式與量測標準的重要性
- 主題6:供應鏈的網路安全風險納入框架之考量
- 主題7:透過國家改善供應鏈資通安全倡議(National Initiatives for Improving Cybersecurity in Supply Chains, NIICS)對應既有的實施措施,並提供有效的實作指引和工具,以強化網路安全供應鏈風險管理。
主題1到主題3針對安全框架內容調整的一般性建議。多數建議認為安全框架2.0應維持有其簡單、彈性且能適用於各產業之關鍵屬性,並確保新舊版本之相容性。另一方面則希望強化NIST與聯邦法制、國際安全標準等非NIST體系之研究資源與模型的一致性,如納入更多參考資源在國家線上資訊參考計畫(Online Informative References Program, OLIR)所提供的資料比對平臺上,來強化框架與其他實施指引之間的對應關係。
主題4特別指出安全框架2.0需反應現階段資訊科技/營運科技(IT/OT)匯流的技術趨勢,在網路風險管理層面,應考量橫跨IT、OT、物聯網(IoT)、容器(container)與雲端環境之資訊資產,或將工業控制系統(ICS)安全指引與框架對應等建議。意見普遍認為雲端運算與共享服務商業模式將是未來應新增的議題。
主題5指出安全框架2.0應強調評量工具會因不同評估對象(例如自評、供應商、產品或服務)而異,並提供額外指引。此外,資通安全指標應更細緻反映需求,例如新增特定安全指標的子類目(subcategory)與其對應的實施措施,以確保該措施之可衡量性及有效性;一般普遍認為安全框架仍需對應既有的成熟度評估機制。
主題6與主題7凸顯近年全球普遍重視的供應鏈安全管理問題。多數意見認為,與其新設立一個供應鏈風險管理(Supply Chain Risk Management, S-CRM)框架,不如將S-CRM納入既有的安全框架避免外界混淆。在資產管理的資訊上,建議NIST要強化對於物料清單,尤其是軟體物料清單(Software Bill of material, SBOM)的安全指引,
軟體物料清單在雲端服務供應鏈屬於重要環節。在開源軟體的使用上,則建議NIST可提供風險評估指引,並協助開源社群識別相對應的風險。
最後,多數評論認為,
NIST可以透過供應鏈資通安全倡議促使國內其他政府機構的政策倡議能彼此同調,例如以供應鏈資通安全倡議負責整合既有的聯邦倡議內容,或與部門單位合作推廣雲端、軟體或技術託管解決方案的益處。
各國政府與產業在重視資通安全的同時,亟需一個國際共通且能清楚解決複雜網路問題的風險溝通準則。NIST此次的安全框架 2.0意見徵集反映眾所關切的雲端服務、開源軟體使用、供應鏈風險管理等新興議題,將被納入未來框架的改版範圍,預期將對全球政府或產業資通安全政策造成一定的變動與影響。
本文轉載自財團法人電信技術中心。