CSA对CI保护框架的评论建议汇总

©2023国际云安全联盟大中华区版权所有1 @2023云安全联盟大中华区-保留所有权利。本文档英文版本发布在云安全联盟官网 （https://cloudsecurityalliance.org），中文版本发布在云安全联盟大中华区官网(http://www.c-csa.cn)。您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。 致谢 《CSA对CI保护框架的评论建议汇总》一文由CSA专家编写，CSA大中华区隐私与个人信息保护法律工作组组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：原浩 翻译组：高健凯贺志生黄鹏华邢海韬张元恺赵晔感谢以下单位对本文档的支持与贡献：北京奇虎科技有限公司 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅 正! 联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 《关键信息基础设施安全保护条例》施行一周年回顾： NIST关键基础设施安全保护框架升级研讨问题引荐 2022年8月17日，NIST举行了一次升级关键基础设施安全保护框架（本文统称“安 全框架”或CSF）研讨会，旨在将框架从1.1版本升级到2.0。全球100多国家的3900多位专家人士参加了会议建言献策。另NIST通过评论征集（RFI）的方式收集了100多家单位、个人的评论和建议，包括云安全联盟CSA等对框架的运行和不足提出了诸多建议。 本报告转引了CSA的评论建议（14条分析建议和3条整体建议），适逢中国《关键信息基础设施安全保护条例》施行一周年，也期待能为中国条例的落地和进一步细化、完善有所启示或参考。 一、CSA的分析建议 1、云安全的忽略和应通过整合云控制矩阵提升解决云安全的能力 NIST安全框架中的五项功能框架能够帮助组织开展网络安全工作，组织可以利用这五项功能进行积极的风险管理，以降低现在和未来的风险。遵循NIST安全框架，将使组织更容易在未来实施（保护）时采用以CSF为基础的安全程序。 然而我们也认为，云安全风险被（部分）忽略，或者未从明确的通用控制角度进行解决。 如果将CSA的云控制矩阵添加到框架中，将有助于解决这一关键问题，实际上组织可能会发现有进一步的机会修订和完善这五项功能，以解决云安全问题。 2、使用NIST安全框架的当前优势和CSA的报告发现 组织和实体（如供应链伙伴、客户或保险公司）内部和之间的沟通是否得到改善？该框架是否允许更好地评估风险，更有效地管理风险，和/或增加管理风险的潜在方法的数量？在实施该框架后，哪些可能是改进网络安全的相关指标?如上所述，我们认为该框架不足以解决云风险。 CSA开展了研究，并发布了“云安全联盟关于识别云计算快速采用的差距和风险的云风险管理报告” 该文件列出了五个问题，以激发讨论并促进可能的解决方案。 •目前可用的风险管理方法是否足以管理云风险? •企业是否意识到云计算引入的共同责任模式，以及这些责任是否适当地反映在风险管理流程和计划中? •企业是否意识到云计算所带来的间接/失去控制的概念和影响，以及其对风险缓解程序的设计和验证所带来的挑战? •企业是否充分认识到云计算对其供应链传播的影响，以及评估和监测第三方/第四方的综合剩余风险的难度? •当前的治理实践是否足以有效识别、评估并向利益相关者报告相关的云风险？ 风险管理应用于云计算运营时，在企业的所有流程中发挥着重要作用，对企业的整体业务改进战略至关重要。因此，这必须是一个顶层的、企业范围内的流程，而不是一个孤立的或部门性的工作。虽然不管是在云端还是在本地，风险管理的方法都是相同的，但在战术和实施上有很大的不同，这是必须要解决的问题。 有效的风险管理计划将解决与经济价值、流程改进、合规性、信息安全和隐私有关的问题，包括： •迁移到云所产生的新的运营安全风险 •与未能解决云计算合规性有关的成本 •与云计算市场增长有关的风险 •缓解措施 3、可能阻碍组织使用NIST安全框架或更容易或更广泛地使用该框架的挑战（例如：资源考虑、信息共享限制、组织因素、劳动力差距或复杂性） NIST安全框架中一个大议题，也是我们认为的一个非常容易更新迭代的领域就是云计算。NIST目前更偏向本地部署。问题是今天许多公司在确保云安全方面没有管理 或理解共同责任模式。事实上，许多公司甚至没有保护自己的云基础设施。相反，将SaaS或PaaS的使用外包给第三方公司，试图将风险转移给第三方，使其承担管理云的所有法律和运营责任，这往往事与愿违。在供应商、客户和第三方的责任之间虽然有明确的界限，但这些都没有明确的定义或解决方案。 在这方面，NIST并没有真正处理共同责任的问题。该框架似乎假定了一种更为谨慎的工作方式。遵守NIST意味着组织正在设法解决自己管理的系统部分，但不幸的是可能没有对那些远程管理的部分实施任何控制。 为什么这很重要？认真对待网络安全的公司可能缺乏内部资源来开发自己的系统，所以面临着相互矛盾的解决方案。安全往往是大企业关注云计算的首要原因，但同时大企业缺乏对共同责任的理解。 CSA云控制矩阵分解了SSRM以及范围适用性映射，以及典型的控制适用性和所有权。采用这种指导将极大地改进框架，并填补我们认为该框架中的一个巨大漏洞。 此外，（目前的框架）没有NIST认可的问责途径。我们如何知道各组织是否符合要求?英国标准协会（BSI）为NISTCSF创建了第一条认证途径，并在发布前的三个不同的NIST研讨会上进行了讨论，但认证或任何其他问责途径或有效性证明在文件中没有得到认可或鼓励。 4、NIST安全框架的任何特征都应该（可以被）改变、增加或删除和建议的式样 这些可能包括对以下内容的增加或修改：功能、类别或子类别；层级；配置模板；参考标准、框架、模型和指南；关于如何使用网络安全框架的指导；或对关键基础设施的引用与框架更广泛的使用（另见对第3条的回答）。 此外，框架中的层级需要被描述为是什么，并形成一个成熟度模型。假设一个组织在各层中的定位没有任何重要的声明，这是不能接受的。 建议增加的子类别包括： 识别：资产管理（ID.AM）——具体参照第三方、外部和云应用程序和服务 ID.AM-2:...包括云服务和SaaS应用的第三方服务 ID.AM-3:...包括映射到第三方和云供应链的数据流 ID.AM-4:...包括IaaS云、第三方对云的使用 风险评估——风险评估频率和节奏，如采购、采购后（评估）等。 5、对NIST安全框架的可用性和向后兼容性的影响 如果功能、类别、子类别等框架的结构修改或改变了，任何影响可能将转变为重大变化。这就需要一个采用框架的组织建立相应的过渡期，以免中断运营并允许系统化和有组织的过渡。 6、NIST可以改进安全框架或使其更加完善的其他可行方式 （需要）更多关于云安全的专门指导以及认证途径。附加信息参考：CSACCM（此参考还包括映射到多种法规和框架）；NIST安全框架与其他风险管理资源的关系。CSA评论（请参阅我们在供应链风险下的评论）。 7、改进NIST安全框架与其他NIST风险管理的资源 作为回复的一部分，单独使用这些资源或与安全框架结合使用这些资源同样面临益处和挑战。 这些资源包括： 风险管理资源，例如NIST风险管理框架、NIST隐私框架，以及集成网络安全和企业风险管理（NIST8286）。 值得信赖的技术资源，例如NIST安全软件开发框架、NIST物联网（IoT）网络安全能力基线，以及工业控制系统网络安全指南。 劳动力管理资源，例如国家网络安全倡议网络安全教育（NICE）劳动力框架。 CSF是一个用于快速风险评估的高级框架。映射CSF的子类别到8286、物联网和其他框架以允许进行更深入和更审慎的风险评估。 8、结合NIST的框架和使用非NIST的方法或框架 NIST框架与其他自愿的、共识的框架或资源是否存在共性或冲突？NIST与来自政府机构的其他框架、网络安全相关任务或资源是否存在共性或冲突？是否有方法改进NIST框架与其他框架的一致性或集成，例如像ISO/IEC2700、ISO/IECTS27110系列 等国际标准？NISTCSF作为高级别的框架，可以在多个类别中找到共性。但是，扩展的子类别（如问题4所示）和附加则需要其他参考资料和方法。CSA的CCM可以将大多数（标准）引用与框架对齐，例如ISO/IEC27000系列、NIST800-53、AICPATSP等等。 9、框架的国际化应用 国际上有许多国家对安全框架进行适用调整的例子。继续使用将重点放在互操作性、安全性、可用性和弹性上的网络安全的国际标准，可以提升创新和竞争力，同时使组织能够更容易和有效地整合新技术和服务。鉴于这种重要性，NIST应该考虑哪些步骤来确保任何更新都能增加安全框架的国际化使用? 国际上适用的调整有用更新包括在（数据）主权和隐私权的身份类别覆盖中增加数据保护元素，因此保护类别可能需要包括使用中的数据保护。例如： 识别：管理（ID.GV）： ID.GV-3包括隐私义务，但没有涵盖（数据）主权或数据位置的子类别。保护：数据安全（PR.DS）： 保护使用中的数据 10、应考虑纳入NIST的在线信息计划的参考资料 该计划旨在定义NIST和行业资源以及文件、产品和服务元素与NIST各种文件之间的标准化关系，如NIST安全框架、NIST隐私框架、信息系统和组织的安全和隐私控制（NISTSP800-53）、NTST安全软件开发框架以及NIST物联网（IoT）网络安全能力基线。 就CSA而言，云控制矩阵（CCM）/共识评估倡议问卷（CAIQ）是云安全领域控制措施和评估问题的框架。CCM还将云安全控制措施映射到50多个行业法规/框架（包括NIST800-53、FedRAMP和CSF），并对可审计性和实施性进行更新。这些是CSA安全、信任、保障和风险（STAR）计划的一部分，用于云供应商评估。 11、网络安全供应链风险管理与改善供应链网络安全的国家倡议（NIICS） 在供应链风险管理的网络安全方面，NIICS面对的最大挑战是什么?NIST如何在其 目前关于供应链安全工作的基础上，包括源于总统行政令（EO14028）的软件安全工作，来增加对技术产品、设备和服务的信任和保证? 除了建立软件材料清单（SBOM）外，还需要建立云服务的SaaSBOM。数据识别和保护的部分数据流可以知道SaaS和其他第三方应用程序的云供应链组件。参见CSA作为SaaSBOM考虑的参考。 12、管理供应链中与网络安全有关风险所需的方法、工具、标准、指南或其他资源 NIST欢迎在狭义的领域（如硬件或软件保证或保证的服务，或具体的服务）对此类资源的投入。潜在的低风险、高回报的资源可以在不同的学科、部门或利益相关者之间得到促进；以及在大规模和极度困难的领域更广泛地利用。 13、其他差距，以及开源的考虑 在现有的网络安全供应链风险管理指南和资源中是否观察到差距，包括它们如何适用于信息和通信技术、操作技术、物联网和工业物联网? 此外，NIST的软件和供应链指导和资源是否适当地解决了与开放源码软件相关的网络安全挑战?是否有其他方法、工具、标准、指南或其他资源需要NIST考虑，以实现整个软件供应链的更大保障，包括开源软件? 就CSA而言，除了CSA针对云的CCM指南外，CSA还开发了用于物联网环境中的安全控制矩阵：CSAIoT控制矩阵（物联网安全控制矩阵）。开源软件和云的漏洞也在全球安全数据库中统一跟踪。 14、框架和网络安全供应链风险管理指南的整合 是否以及如何将网络安全供应链风险管理的考虑因素进一步整合到更新的NIST安全框架中，或者是否以及如何由NIST制定一个