Ամպում NIST-ի համապատասխանության ձեռքբերում. ռազմավարություններ և նկատառումներ
Թվային տարածքում համապատասխանության վիրտուալ լաբիրինթոսում նավարկելը իրական մարտահրավեր է, որին բախվում են ժամանակակից կազմակերպությունները, հատկապես՝ կապված Ստանդարտների և տեխնոլոգիաների ազգային ինստիտուտի (NIST) կիբեռանվտանգության շրջանակ.
Այս ներածական ուղեցույցը կօգնի ձեզ ավելի լավ պատկերացում կազմել NIST-ի մասին Cybersecurity- ը Շրջանակ և ինչպես հասնել NIST-ի համապատասխանությանը ամպում: Եկեք ներս ցատկենք։
Ի՞նչ է NIST կիբերանվտանգության շրջանակը:
NIST Cybersecurity Framework-ը կազմակերպություններին տրամադրում է ուրվագիծ՝ մշակելու և բարելավելու իրենց կիբերանվտանգության ռիսկերի կառավարման ծրագրերը: Այն նախատեսված է լինել ճկուն, որը բաղկացած է մի շարք հավելվածներից և մոտեցումներից՝ հաշվի առնելու յուրաքանչյուր կազմակերպության կիբերանվտանգության եզակի կարիքները:
Շրջանակը բաղկացած է երեք մասից՝ հիմնական, իրականացման մակարդակներ և պրոֆիլներ: Ահա յուրաքանչյուրի ակնարկը.
Շրջանակային միջուկ
Շրջանակային միջուկը ներառում է հինգ հիմնական գործառույթ՝ կիբերանվտանգության ռիսկերը կառավարելու արդյունավետ կառուցվածք ապահովելու համար.
- ՃանաչելՆերառում է մշակում և կիրառում ա կիբերանվտանգության քաղաքականություն որը ուրվագծում է կազմակերպության կիբերանվտանգության ռիսկը, կիբերհարձակումները կանխելու և կառավարելու ռազմավարությունները, ինչպես նաև կազմակերպության զգայուն տվյալներին հասանելիություն ունեցող անձանց դերերն ու պարտականությունները:
- Պաշտպանեք ՝ Ներառում է համապարփակ պաշտպանության պլանի մշակում և կանոնավոր իրականացում կիբերանվտանգության հարձակումների ռիսկը նվազեցնելու համար: Սա հաճախ ներառում է կիբերանվտանգության ուսուցում, մուտքի խիստ վերահսկողություն, գաղտնագրում, ներթափանցման փորձարկում, և ծրագրակազմի թարմացում:
- Հայտնաբերել. Ներառում է համապատասխան գործողությունների մշակում և կանոնավոր իրականացում կիբերանվտանգության հարձակումը հնարավորինս արագ ճանաչելու համար:
- Պատասխանել. Ներառում է համապարփակ պլանի մշակում՝ ուրվագծելով կիբերանվտանգության հարձակման դեպքում ձեռնարկվելիք քայլերը:
- Վերականգնել: Ներառում է համապատասխան միջոցառումների մշակում և իրականացում՝ վերականգնելու այն, ինչի վրա ազդել է միջադեպը, բարելավել անվտանգության գործելակերպը և շարունակել պաշտպանվել կիբերանվտանգության հարձակումներից:
Այդ գործառույթների շրջանակում կան Կատեգորիաներ, որոնք նշում են կիբերանվտանգության գործունեությունը, Ենթակատեգորիաները, որոնք բաժանում են գործողությունները ճշգրիտ արդյունքների, և Տեղեկատվական հղումներ, որոնք գործնական օրինակներ են տալիս յուրաքանչյուր ենթակատեգորիայի համար:
Շրջանակների իրականացման մակարդակներ
Շրջանակների իրականացման մակարդակները ցույց են տալիս, թե ինչպես է կազմակերպությունը դիտում և կառավարում կիբերանվտանգության ռիսկերը: Կան չորս մակարդակներ.
- Մակարդակ 1: Մասնակի: Քիչ տեղեկացված է և իրականացնում է կիբերանվտանգության ռիսկերի կառավարում յուրաքանչյուր դեպքի հիման վրա:
- Մակարդակ 2. Տեղեկացված ռիսկի մասին. Կիբերանվտանգության ռիսկերի իրազեկման և կառավարման պրակտիկաները գոյություն ունեն, բայց ստանդարտացված չեն:
- Մակարդակ 3. Կրկնվող. Ընկերության ողջ տարածքում ռիսկերի կառավարման պաշտոնական քաղաքականությունը և պարբերաբար թարմացնում է դրանք՝ հիմնվելով բիզնեսի պահանջների և սպառնալիքների լանդշաֆտի փոփոխության վրա:
- Մակարդակ 4. Հարմարվողական. Ակտիվորեն հայտնաբերում և կանխատեսում է սպառնալիքները և բարելավում է կիբերանվտանգության պրակտիկան՝ հիմնվելով կազմակերպության նախկին և ներկա գործունեության և կիբերանվտանգության զարգացող սպառնալիքների, տեխնոլոգիաների և պրակտիկայի վրա:
Շրջանակային պրոֆիլ
Շրջանակային պրոֆիլը ուրվագծում է կազմակերպության Framework Core-ի համապատասխանությունը նրա բիզնես նպատակներին, կիբերանվտանգության ռիսկերի հանդուրժողականությանը և ռեսուրսներին: Պրոֆիլները կարող են օգտագործվել կիբերանվտանգության կառավարման ներկայիս և թիրախային վիճակը նկարագրելու համար:
Ընթացիկ պրոֆիլը ցույց է տալիս, թե ինչպես է կազմակերպությունը ներկայումս կառավարում կիբերանվտանգության ռիսկերը, մինչդեռ Թիրախային պրոֆիլը մանրամասնում է այն արդյունքները, որոնք անհրաժեշտ են կազմակերպությանը՝ կիբերանվտանգության ռիսկերի կառավարման նպատակներին հասնելու համար:
NIST-ի համապատասխանություն Cloud vs. On-Premise համակարգերում
Թեև NIST կիբերանվտանգության շրջանակը կարող է կիրառվել բոլոր տեխնոլոգիաների համար, ամպ Համակարգչային եզակի է. Եկեք ուսումնասիրենք մի քանի պատճառ, թե ինչու NIST-ի համապատասխանությունը ամպում տարբերվում է ավանդական ներքին ենթակառուցվածքից.
Անվտանգության պատասխանատվություն
Ավանդական ներքին համակարգերի դեպքում օգտագործողը պատասխանատու է ողջ անվտանգության համար: Ամպային հաշվարկում անվտանգության պարտականությունները բաշխվում են ամպային ծառայությունների մատակարարի (CSP) և օգտագործողի միջև:
Այսպիսով, մինչ CSP-ն պատասխանատու է ամպի «» անվտանգության համար (օրինակ՝ ֆիզիկական սերվերներ, ենթակառուցվածք), օգտատերը պատասխանատու է «ամպի» անվտանգության համար (օրինակ՝ տվյալներ, հավելվածներ, մուտքի կառավարում):
Սա փոխում է NIST Framework-ի կառուցվածքը, քանի որ այն պահանջում է ծրագիր, որը հաշվի կառնի երկու կողմերին և վստահում է CSP-ի անվտանգության կառավարմանն ու համակարգին, ինչպես նաև NIST-ի համապատասխանությունը պահպանելու նրա կարողությանը:
Տվյալների գտնվելու վայրը
Ավանդական ներքին համակարգերում կազմակերպությունն ունի ամբողջական վերահսկողություն, թե որտեղ են պահվում իր տվյալները: Ի հակադրություն, ամպային տվյալները կարող են պահպանվել գլոբալ տարբեր վայրերում, ինչը հանգեցնում է համապատասխանության տարբեր պահանջների՝ հիմնված տեղական օրենքների և կանոնակարգերի վրա: Կազմակերպությունները պետք է հաշվի առնեն դա, երբ պահպանում են NIST-ի համապատասխանությունը ամպում:
Ընդարձակություն և առաձգականություն
Ամպային միջավայրերը նախագծված են բարձր մասշտաբային և առաձգական լինելու համար: Ամպի դինամիկ բնույթը նշանակում է, որ անվտանգության վերահսկումն ու քաղաքականությունը նույնպես պետք է լինեն ճկուն և ավտոմատացված՝ դարձնելով NIST-ի համապատասխանությունը ամպում ավելի բարդ խնդիր:
Բազմավարձակալություն
Ամպում CSP-ն կարող է նույն սերվերում պահել բազմաթիվ կազմակերպությունների տվյալները (բազմաթիվ): Թեև սա սովորական պրակտիկա է հանրային ամպային սերվերների համար, այն ներկայացնում է լրացուցիչ ռիսկեր և բարդություններ անվտանգության և համապատասխանության պահպանման համար:
Ամպային ծառայության մոդելներ
Անվտանգության պարտականությունների բաշխումը փոխվում է՝ կախված օգտագործվող ամպային ծառայության մոդելի տեսակից՝ Ենթակառուցվածքը որպես ծառայություն (IaaS), Պլատֆորմը որպես ծառայություն (PaaS) կամ Ծրագրաշարը որպես ծառայություն (SaaS): Սա ազդում է, թե ինչպես է կազմակերպությունը իրականացնում Շրջանակը:
Ամպում NIST-ի համապատասխանության հասնելու ռազմավարություններ
Հաշվի առնելով ամպային հաշվարկների յուրահատկությունը՝ կազմակերպությունները պետք է կիրառեն հատուկ միջոցներ՝ NIST-ի համապատասխանությանը հասնելու համար: Ահա ռազմավարությունների ցանկը, որոնք կօգնեն ձեր կազմակերպությանը հասնել և պահպանել համապատասխանությունը NIST Կիբերանվտանգության շրջանակին.
1. Հասկացեք ձեր պատասխանատվությունը
Տարբերեք CSP-ի և ձեր պարտականությունների միջև: Սովորաբար, CSP-ները կառավարում են ամպային ենթակառուցվածքի անվտանգությունը, մինչ դուք կառավարում եք ձեր տվյալները, օգտվողների մուտքը և հավելվածները:
2. Անցկացնել կանոնավոր անվտանգության գնահատումներ
Պարբերաբար գնահատեք ձեր ամպային անվտանգությունը՝ պոտենցիալը բացահայտելու համար խոցելիություններ. Օգտագործեք գործիքներ տրամադրված ձեր CSP-ի կողմից և հաշվի առեք երրորդ կողմի աուդիտը անաչառ հեռանկարի համար:
3. Ապահովեք Ձեր տվյալները
Օգտագործեք գաղտնագրման ուժեղ արձանագրություններ հանգստի և փոխադրման ժամանակ տվյալների համար: Բանալների պատշաճ կառավարումը կարևոր է չարտոնված մուտքից խուսափելու համար: Դուք նույնպես պետք է տեղադրել VPN և firewalls՝ ձեր ցանցի պաշտպանությունը բարձրացնելու համար:
4. Իրականացնել ինքնության և հասանելիության կառավարման (IAM) կայուն արձանագրություններ
IAM համակարգերը, ինչպիսիք են բազմագործոն նույնականացումը (MFA), թույլ են տալիս Ձեզ տրամադրել մուտք՝ ըստ անհրաժեշտության և կանխել չարտոնված օգտվողների մուտքը ձեր ծրագրակազմ և սարքեր:
5. Շարունակաբար հետևեք ձեր կիբերանվտանգության ռիսկին
Լծակների սիստեմ Անվտանգության տեղեկատվության և իրադարձությունների կառավարման (SIEM) համակարգեր և ներխուժման հայտնաբերման համակարգեր (IDS)՝ շարունակական մոնիտորինգի համար: Այս գործիքները թույլ են տալիս արագ արձագանքել ցանկացած ահազանգի կամ խախտումների:
6. Մշակել միջադեպերի արձագանքման պլան
Մշակեք միջադեպերի արձագանքման հստակ սահմանված պլան և համոզվեք, որ ձեր թիմը ծանոթ է գործընթացին: Պարբերաբար վերանայեք և փորձարկեք ծրագիրը՝ դրա արդյունավետությունն ապահովելու համար:
7. Պարբերաբար ստուգումներ և ստուգումներ անցկացնել
Վարում կանոնավոր անվտանգության ստուգումներ դեմ NIST ստանդարտներին և համապատասխանաբար կարգավորեք ձեր քաղաքականությունն ու ընթացակարգերը: Սա կապահովի ձեր անվտանգության միջոցները ընթացիկ և արդյունավետ:
8. Վերապատրաստեք ձեր անձնակազմին
Ձեր թիմին զինեք անհրաժեշտ գիտելիքներով և հմտություններով ամպային անվտանգության լավագույն փորձի և NIST-ի համապատասխանության կարևորության վերաբերյալ:
9. Պարբերաբար համագործակցեք ձեր CSP-ի հետ
Պարբերաբար կապ հաստատեք ձեր CSP-ի հետ նրանց անվտանգության պրակտիկայի վերաբերյալ և հաշվի առեք ցանկացած լրացուցիչ անվտանգության առաջարկ, որը նրանք կարող են ունենալ:
10. Փաստաթղթավորեք Ամպային անվտանգության բոլոր գրառումները
Պահպանեք ամպային անվտանգության հետ կապված բոլոր քաղաքականության, գործընթացների և ընթացակարգերի մանրակրկիտ գրառումներ: Սա կարող է օգնել ցույց տալ NIST-ի համապատասխանությունը աուդիտի ընթացքում:
HailBytes-ի օգտագործումը NIST-ի համապատասխանության համար Cloud-ում
Ժամանակ պահպանելով NIST կիբերանվտանգության շրջանակը կիբերանվտանգության ռիսկերից պաշտպանվելու և կառավարելու հիանալի միջոց է, ամպում NIST-ի համապատասխանության հասնելը կարող է բարդ լինել: Բարեբախտաբար, դուք ստիպված չեք լինի միայնակ լուծել ամպային կիբերանվտանգության և NIST-ի համապատասխանության բարդությունները:
Որպես ամպային անվտանգության ենթակառուցվածքի մասնագետներ, HailBytes այստեղ է օգնելու ձեր կազմակերպությանը հասնել և պահպանել NIST-ի համապատասխանությունը: Մենք տրամադրում ենք գործիքներ, ծառայություններ և ուսուցում ձեր կիբերանվտանգության դիրքն ամրապնդելու համար:
Մեր նպատակն է դյուրին դարձնել բաց կոդով անվտանգության ծրագրակազմը կարգավորվող և դժվար ներթափանցելը: HailBytes-ն առաջարկում է մի շարք AWS-ում կիբերանվտանգության արտադրանք օգնել ձեր կազմակերպությանը բարելավել իր ամպային անվտանգությունը: Մենք նաև տրամադրում ենք անվճար կիբերանվտանգության կրթական ռեսուրսներ, որոնք կօգնեն ձեզ և ձեր թիմին զարգացնել անվտանգության ենթակառուցվածքների և ռիսկերի կառավարման վերաբերյալ ամուր պատկերացում:
հեղինակ
Զաք Նորթոնը թվային մարքեթինգի մասնագետ և փորձագետ գրող է Pentest-Tools.com-ում, կիբերանվտանգության, գրելու և բովանդակության ստեղծման մի քանի տարվա փորձով:
