现在,学区需要采用NIST网络安全框架(CSF)来管理他们的IT运营, 我们的地区行政和APP客户端团队刚刚开始负责确保每天在其IT运营中产生大约108个APP客户端或管理最佳实践结果. 虽然NIST CSF在告诉我们这些结果需要是什么方面做得很好, 例如:“静态数据受到保护,“CSF故意很少告诉我们如何完成它.
如何实现这一目标的工作留给了CSF引用的其他文档和来源. 最值得注意的是证金局的配套文件, NIST SP 800-53控制-信息系统和组织的安全和隐私控制. 这个庞大的文档包含了超过300个基本控件,其中包含的增强功能可能会增加到接近1000个控件,被认为是IT控件的主要参考.
但是,在实现NIST CSF合规性的过程中,一个可能更容易使用的NIST CSF参考文件是CIS Controls. 由互联网安全中心(CIS)发布, CIS控件v8, 刚刚在今年6月更新, 包含跨18个控制组的160个有效控制, 都与NIST的CSF进行了交叉比对. 许多学校发现,与完整的SP 800-53文件相比,使用CIS控件要轻松一些. So, 记住这一点, 我们将回顾CIS控件的上一个系列,并从CIS控件1 -设备-硬件资产的库存和控制开始,看看它们最新的V8 -实施组1更新:
这种控制要求组织“积极管理库存, track, 正确)所有企业资产(终端用户设备), including portable and mobile; 网络设备; non-computing/Internet of Things (IoT) devices; and 服务器) connected to the infrastructure physically, 几乎, 远程, 以及云环境中的那些, 准确地了解企业中需要监控和保护的资产总数. 这还将支持识别未授权和未管理的资产,以便删除或修复.”
该组的建议对照直接支持NIST CSF子类别ID所要求的结果.AM-1“组织内的物理设备和系统被编目”和PR.DS-3“资产在移除、转移和处置过程中得到正式管理”
CIS Controls根据一组来自全球的网络安全专家制定的最佳实践标准,就如何做到这一切提供了一些额外的建议. 初始IG1-Control 1.1是关于建立库存流程,它包括:
· 建立并保持一个准确的, 详细的, 以及具有存储或处理数据潜力的所有企业资产的最新库存, 包括:
o 终端用户设备(包括便携式和移动设备)
o 网络设备
o non-computing /物联网设备
o 服务器
· 确保库存记录:
o 网络地址(如果是静态的)
o 硬件地址
o 机器的名字
o 数据资产所有者
o 各资产所属部门
o 资产是否被批准接入网络.
o 对于移动终端用户设备,MDM类型工具可以在适当的情况下支持此过程.
· 该清单包括物理连接到基础设施的资产, 几乎, 远程, 以及云环境中的那些.
· 另外, 它包括定期连接到企业网络基础设施的资产, 即使他们不在企业的控制之下.
· 每两年或更频繁地审查和更新所有企业资产的清单.
IG1-Control 1.2 .处理未授权资产的地址:
· 确保每周都有处理未授权资产的流程.
· 企业可以选择将资产从网络中移除, 禁止资产远程连接网络, 或者隔离资产.
虽然CIS并没有回答关于如何以及在什么系统中可以进行这种盘点工作的所有问题, 它们确实通过控件提供了一些额外的颜色,围绕我们需要捕获信息的资产类型和我们应该为每个资产跟踪的最小信息类型. 将此信息作为讨论在您所在地区创建符合NIST CSF标准的库存系统和流程的起点.
在接下来的几周里,我将继续逐一介绍各种CIS Controls组. 如果您需要在实现我们在本系列中强调的任何控件方面的咨询帮助, 我们很乐意帮忙. 请APP客户端的办公室预约.
鲍勃·克纳普 |
最近的评论