[文章]美国NIST《关键基础设施网络安全框架》框架核心

作者: hackliu 分类: 技术文章 发布时间: 2018-01-29 18:17

功能

分类

子类

参考文献

识别

资产管理(ID.AM):识别能使组织达到商业目的的数据、人员、设备、系统和设施,并使其业务目标与企业风险战略保持一致。

ID.AM-1:组织内的物理设备和系统的盘点

CCS   CSC 1

COBIT   5 BAI09.01, BAI09.02

ISA   62443-2-1:2009 4.2.3.4

ISA   62443-3-3:2013 SR 7.8

ISO/IEC   27001:2013 A.8.1.1, A.8.1.2

NIST   SP 800-53 Rev. 4 CM-8

ID.AM-2:组织内的软件平台和应用的盘点

CCS   CSC 2

COBIT   5 BAI09.01, BAI09.02, BAI09.05

ISA   62443-2-1:2009 4.2.3.4

ISA   62443-3-3:2013 SR 7.8

ISO/IEC   27001:2013 A.8.1.1, A.8.1.2

NIST   SP 800-53 Rev. 4 CM-8

ID.AM-3:组织通信和数据流的映射

CCS   CSC 1

COBIT   5 DSS05.02

ISA   62443-2-1:2009 4.2.3.4

ISO/IEC   27001:2013 A.13.2.1

NIST   SP 800-53 Rev. 4 AC-4, CA-3, CA-9,PL-8

ID.AM-4:外部信息系统的编目

COBIT   5 APO02.02

ISO/IEC   27001:2013 A.11.2.6

NIST   SP 800-53 Rev. 4 AC-20, SA-9

ID.AM-5:资源(例如,硬件、设备、数据和软件)基于其分类、临界性和商业价值优先次序的划分。

COBIT   5 APO03.03, APO03.04, BAI09.02

ISA   62443-2-1:2009 4.2.3.6

ISO/IEC   27001:2013 A.8.2.1

NIST   SP 800-53 Rev. 4 CP-2, RA-2, SA-14

ID.AM-6:为全体员工和第三方利益相关者(如供应商、客户、合作伙伴)网络安全的角色和责任的建立。

COBIT   5 APO01.02, DSS06.03

ISA   62443-2-1:2009 4.3.2.3.3

ISO/IEC   27001:2013 A.6.1.1

NIST   SP 800-53 Rev. 4 CP-2, PS-7, PM-11

功能

分类

子类

参考文献

商业环境(ID.BE):该组织优先考虑和易被接受的使命,目标,利益相关者和行动;并且这些信息被协助用于网络安全角色、责任和风险的管理决策。

ID.BE-1:该组织的在供应链中的作用是识别和沟通

COBIT   5 APO08.04, APO08.05, APO10.03,APO10.04, APO10.05

ISO/IEC   27001:2013 A.15.1.3, A.15.2.1,A.15.2.2

NIST   SP 800-53 Rev. 4 CP-2, SA-12

ID.BE-2:组织重要基础设施和工业部门的地点的确定与通知

COBIT   5 APO02.06, APO03.01

NIST   SP 800-53 Rev. 4 PM-8

ID.BE-3:组织使命、目标和活动的优先次序的建立和沟通

COBIT   5 APO02.01, APO02.06, APO03.01

ISA   62443-2-1:2009 4.2.2.1, 4.2.3.6

NIST   SP 800-53 Rev. 4 PM-11, SA-14

ID.BE-4:关键业务提供的依赖关系和关键功能的建立

ISO/IEC   27001:2013 A.11.2.2, A.11.2.3,A.12.1.3

NIST   SP 800-53 Rev. 4 CP-8, PE-9, PE-11,PM-8, SA-14

ID.BE-5:对于支持提供关键业务的韧性要求的建立

COBIT   5 DSS04.02

ISO/IEC   27001:2013 A.11.1.4, A.17.1.1,A.17.1.2, A.17.2.1

NIST   SP 800-53 Rev. 4 CP-2, CP-11, SA-14

治理(ID.GV):管理和监控组织的监管,法律,风险,环境和业务要求的政策,程序和流程的意识;以及网络安全风险管理的通报。

ID.GV-1:组织信息安全策略的建立

COBIT   5 APO13.12

ISA   62443-2-1:2009 4.3.2.3.3

ISO/IEC   27001:2013 A.6.1.1, A.7.2.1

NIST   SP 800-53 Rev. 4 PM-1, PS-7

ID.GV-2:信息安全角色和职责的协调,内部角色和外部合作伙伴的一致

COBIT   5 MEA03.01, MEA03.04

ISA   62443-2-1:2009 4.4.3.7

ID.GV-3:关于网络安全的法律和监管要求,包括隐私和公民自由的义务的意识和管理。

COBIT   5 MEA03.01, MEA03.04

ISA   62443-2-1:2009 4.4.3.7

ISO/IEC   27001:2013 A.18.1

NIST   SP 800-53 Rev. 4 -1 controls from all families (except PM-1)

功能

分类

子类

参考文献

ID.GV-4:应对网络安全风险的治理与风险的管理流程,

COBIT   5 DSS04.02

ISA   62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8,4.2.3.9, 4.2.3.11, 4.3.2.4.3,   4.3.2.6.3

NIST   SP 800-53 Rev. 4 PM-9, PM-11

风险评估(ID.RA):组织对组织业务(包括使命,功能,形象,声誉或)、企业资产和个人关于网络安全风险方面的意识。

D.RA-1:资产漏洞的确定和记录

CCS   CSC 4

COBIT   5 APO12.01, APO12.02, APO12.03,APO12.04

ISA   62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9,4.2.3.12

ISO/IEC   27001:2013 A.12.6.1, A.18.2.3

NIST   SP 800-53 Rev. 4 CA-2, CA-7, CA-8,RA-3, RA-5, SA-5, SA-11, SI-2, SI-4,   SI-5

ID.RA-2:从信息共享论坛和渠道关于威胁和漏洞信息的获得

ISA   62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12

ISO/IEC   27001:2013 A.6.1.4

NIST   SP 800-53 Rev. 4 PM-15, PM-16, SI-5

ID.RA-3:内部和外部威胁的确定和记录

COBIT   5 APO12.01, APO12.02, APO12.03,APO12.04

ISA   62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12

NIST   SP 800-53 Rev. 4 RA-3, SI-5, PM-12,PM-16

ID.RA-4:潜在的业务影响和可能性的确定

COBIT   5 DSS04.02

ISA   62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12

NIST   SP 800-53 Rev. 4 RA-2, RA-3, PM-9,PM-11, SA-14

ID.RA-5:威胁、脆弱性、可能性和影响来确定风险

COBIT   5 APO12.02

ISO/IEC   27001:2013 A.12.6.1

NIST   SP 800-53 Rev. 4 RA-2, RA-3, PM-16

ID.RA-6:风险响应识别并优先级区分

COBIT   5 APO12.05, APO13.02

NIST   SP 800-53 Rev. 4 PM-4, PM-9

功能

分类

子类

参考文献

风险管理战略 (ID.RM): 组织的优先事项、 约束、 风险承受力与设想的建立,并用于支持操作风险决策。

ID.RM-1:由组织利益攸关者进行风险管理流程的建立、 管理和商定

COBIT   5 APO12.04, APO12.05, APO13.02,BAI02.03, BAI04.02

ISA   62443-2-1:2009 4.3.4.2

NIST   SP 800-53 Rev. 4 PM-9

ID.RM-2:组织风险承受能力的确定,并明确表示

COBIT   5 APO12.06

ISA   62443-2-1:2009 4.3.2.6.5

NIST   SP 800-53 Rev. 4 PM-9

ID.RM-3:通过对组织在重要基础设施中扮演的角色及行业特定风险分析展示的对风险承受能力的决心

NIST   SP 800-53 Rev. 4 PM-8, PM-9, PM-11,SA-14

保护

访问控制(PR.AC):授权的用户、 进程或设备、授权的活动和交易对于获得资产和相关的设施是有限制的。

PR.AC-1:  对经授权的设备和用户的身份的凭据管理

CCS   CSC 16

COBIT   5 DSS05.04, DSS06.03

ISA   62443-2-1:2009 4.3.3.5.1

ISA   62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3,SR 1.4, SR 1.5, SR 1.7, SR 1.8, SR   1.9

ISO/IEC   27001:2013 A.9.2.1, A.9.2.2, A.9.2.4,A.9.3.1, A.9.4.2, A.9.4.3

NIST   SP 800-53 Rev. 4 AC-2, IA Family

PR.AC-2:  对资产的物理访问的管理和保护

COBIT   5 DSS01.04, DSS05.05

ISA   62443-2-1:2009 4.3.3.3.2, 4.3.3.3.8

ISO/IEC   27001:2013 A.11.1.1, A.11.1.2,A.11.1.4, A.11.1.6, A.11.2.3

NIST   SP 800-53 Rev. 4 PE-2, PE-3, PE-4, PE­5, PE-6, PE-9

PR.AC-3:远程访问管理

COBIT   5 APO13.01, DSS01.04, DSS05.03

ISA   62443-2-1:2009 4.3.3.6.6

ISA   62443-3-3:2013 SR 1.13, SR 2.6

ISO/IEC   27001:2013 A.6.2.2, A.13.1.1,A.13.2.1

NIST   SP 800-53 Rev. 4 AC-17, AC-19, AC-20

功能

分类

子类

参考文献

PR.AC-4:结合最小特权原则和职责分工管理访问权限

CCS   CSC 12, 15

ISA   62443-2-1:2009 4.3.3.7.3

ISA   62443-3-3:2013 SR 2.1

ISO/IEC   27001:2013 A.6.1.2, A.9.1.2, A.9.2.3,A.9.4.1, A.9.4.4

NIST   SP 800-53 Rev. 4 AC-2, AC-3, AC-5,AC-6, AC-16

PR.AC-5:网络完整性的保护,酌情结合网络隔离

ISA   62443-2-1:2009 4.3.3.4

ISA   62443-3-3:2013 SR 3.1, SR 3.8

ISO/IEC   27001:2013 A.13.1.1, A.13.1.3,A.13.2.1

NIST   SP 800-53 Rev. 4 AC-4, SC-7

认识和培训(PR.AT):按照相关的政策、 程序和协议,组织对工作人员和合作伙伴提供网络安全意识教育和使其得到充分的培训,以执行其信息安全相关的职务及职责

PR.AT-1:所有人员都知情并培训

CCS   CSC 9

COBIT   5 APO07.03, BAI05.07

ISA   62443-2-1:2009 4.3.2.4.2

ISO/IEC   27001:2013 A.7.2.2

NIST   SP 800-53 Rev. 4 AT-2, PM-13

PR.AT-2:特权用户了解角色和职责

CCS   CSC 9

COBIT   5 APO07.02, DSS06.03

ISA   62443-2-1:2009 4.3.2.4.2, 4.3.2.4.3

ISO/IEC   27001:2013 A.6.1.1, A.7.2.2

NIST   SP 800-53 Rev. 4 AT-3, PM-13

PR.AT-3:第三方的利益相关者(如供应商,客户,合作伙伴)了解角色和职责

CCS   CSC 9

COBIT   5 APO07.03, APO10.04, APO10.05

ISA   62443-2-1:2009 4.3.2.4.2

ISO/IEC   27001:2013 A.6.1.1, A.7.2.2

NIST   SP 800-53 Rev. 4 PS-7, SA-9

PR.AT-4:高级管理人员了解角色和职责

CCS   CSC 9

COBIT   5 APO07.03

ISA   62443-2-1:2009 4.3.2.4.2

ISO/IEC   27001:2013 A.6.1.1, A.7.2.2,

NIST   SP 800-53 Rev. 4 AT-3, PM-13

功能

分类

子类

参考文献

PR.AT-5:物理和信息安全人员了解角色和职责

CCS   CSC 9

COBIT   5 APO07.03

ISA   62443-2-1:2009 4.3.2.4.2

ISO/IEC   27001:2013 A.6.1.1, A.7.2.2,

NIST   SP 800-53 Rev. 4 AT-3, PM-13

数据安全(PR.DS):信息和记录(数据)的管理与用以保护信息机密性、完整性和可用性的组织风险战略一致。

PR.DS-1:静态数据的保护

CCS   CSC 17

COBIT   5 APO01.06, BAI02.01, BAI06.01,DSS06.06

ISA   62443-3-3:2013 SR 3.4, SR 4.1

ISO/IEC   27001:2013 A.8.2.3

NIST   SP 800-53 Rev. 4 SC-28

PR.DS-2:传输过程中数据的保护

CCS   CSC 17

COBIT   5 APO01.06, DSS06.06

ISA   62443-3-3:2013 SR 3.1, SR 3.8, SR 4.1,SR 4.2

ISO/IEC   27001:2013 A.8.2.3, A.13.1.1,A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3

NIST   SP 800-53 Rev. 4 SC-8

PR.DS-3:资产在整个搬迁,转让和处置中的正式管理

COBIT   5 BAI09.03

ISA   62443-2-1:2009 4. 4.3.3.3.9, 4.3.4.4.1

ISA   62443-3-3:2013 SR 4.2

ISO/IEC   27001:2013 A.8.2.3, A.8.3.1, A.8.3.2,A.8.3.3, A.11.2.7

NIST   SP 800-53 Rev. 4 CM-8, MP-6, PE-16

PR.DS-4以确保有效性的足够的能力的维护

COBIT   5 APO13.01

ISA   62443-3-3:2013 SR 7.1, SR 7.2

ISO/IEC   27001:2013 A.12.3.1

NIST   SP 800-53 Rev. 4 AU-4, CP-2, SC-5

功能

分类

子类

参考文献

PR.DS-5:防止数据泄漏保护功能的实现

CCS   CSC 17

COBIT   5 APO01.06

ISA   62443-3-3:2013 SR 5.2

ISO/IEC   27001:2013 A.6.1.2, A.7.1.1, A.7.1.2,A.7.3.1, A.8.2.2, A.8.2.3, A.9.1.1,   A.9.1.2,A.9.2.3, A.9.4.1, A.9.4.4, A.9.4.5, A.13.1.3,A.13.2.1, A.13.2.3,   A.13.2.4, A.14.1.2, A.14.1.3

NIST   SP 800-53 Rev. 4 AC-4, AC-5, AC-6,PE-19, PS-3, PS-6, SC-7, SC-8, SC-13,   SC-31,SI-4

PR.DS-6:用于验证软件,固件,和信息完整性的完整性检查机制

ISA   62443-3-3:2013 SR 3.1, SR 3.3, SR 3.4,SR 3.8

ISO/IEC   27001:2013 A.12.2.1, A.12.5.1,A.14.1.2, A.14.1.3

NIST   SP 800-53 Rev. 4 SI-7

PR.DS-7:开发和测试环境与生产环境互相独立

COBIT   5 BAI07.04

ISO/IEC   27001:2013 A.12.1.4

NIST   SP 800-53 Rev. 4 CM-2

信息保护流程和程序(PR.IP):安全策略(目的地址,范围,角色,职责,管理承诺和组织机构之间的协调)、流程和程序的维护,并用于管理信息系统和资产的保护。

PR.IP-1:信息技术/工业控制系统的基本配置的创建和维护

CCS   CSC 3, 10

COBIT   5 BAI10.01, BAI10.02, BAI10.03,BAI10.05

ISA   62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3

ISA   62443-3-3:2013 SR 7.6

ISO/IEC   27001:2013 A.12.1.2, A.12.5.1,A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4

NIST   SP 800-53 Rev. 4 CM-2, CM-3, CM-4,CM-5, CM-6, CM-7, CM-9, SA-10

PR.IP-2:管理系统的系统开发生命周期的实施

COBIT   5 APO13.01

ISA   62443-2-1:2009 4.3.4.3.3

ISO/IEC   27001:2013 A.6.1.5, A.14.1.1,A.14.2.1, A.14.2.5

NIST   SP 800-53 Rev. 4 SA-3, SA-4, SA-8, SA­10, SA-11, SA-12, SA-15, SA-17,   PL-8

功能

分类

子类

参考文献

PR.IP-3:配置变更控制流程的到位

COBIT   5 BAI06.01, BAI01.06

ISA   62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3

ISA   62443-3-3:2013 SR 7.6

ISO/IEC   27001:2013 A.12.1.2, A.12.5.1,A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4

NIST   SP 800-53 Rev. 4 CM-3, CM-4, SA-10

PR.IP-4:运行、维护、并定期测试的信息备份

COBIT   5 APO13.01

ISA   62443-2-1:2009 4.3.4.3.9

ISA   62443-3-3:2013 SR 7.3, SR 7.4

ISO/IEC   27001:2013 A.12.3.1,A.17.1.2A.17.1.3, A.18.1.3

NIST   SP 800-53 Rev. 4 CP-4, CP-6, CP-9

PR.IP-5:关于满足组织资产的物理运行环境的政策和法规

COBIT   5 DSS01.04, DSS05.05

ISA   62443-2-1:2009 4.3.3.3.1 4.3.3.3.2,4.3.3.3.3, 4.3.3.3.5, 4.3.3.3.6

ISO/IEC   27001:2013 A.11.1.4, A.11.2.1,A.11.2.2, A.11.2.3

NIST   SP 800-53 Rev. 4 PE-10, PE-12, PE-13,PE-14, PE-15, PE-18

PR.IP-6:根据策略销毁的数据

COBIT   5 BAI09.03

ISA   62443-2-1:2009 4.3.4.4.4

ISA   62443-3-3:2013 SR 4.2

ISO/IEC   27001:2013 A.8.2.3, A.8.3.1, A.8.3.2,A.11.2.7

NIST   SP 800-53 Rev. 4 MP-6

PR.IP-7:不断完善的保护程序

COBIT   5 APO11.06, DSS04.05

ISA   62443-2-1:2009 4.4.3.1, 4.4.3.2, 4.4.3.3,4.4.3.4, 4.4.3.5, 4.4.3.6,   4.4.3.7, 4.4.3.8

NIST SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR­-8,   PL-2, PM-6

功能

分类

子类

参考文献

PR.IP-8:与相关各方共享的保护技术的有效性

ISO/IEC   27001:2013 A.16.1.6

NIST   SP 800-53 Rev. 4 AC-21, CA-7, SI-4

PR.IP-9:响应计划(事件响应和业务连续性)和恢复计划(事故恢复和灾难恢复)的到位与管理

COBIT   5 DSS04.03

ISA   62443-2-1:2009 4.3.2.5.3, 4.3.4.5.1

ISO/IEC   27001:2013 A.16.1.1, A.17.1.1,A.17.1.2

NIST   SP 800-53 Rev. 4 CP-2, IR-8

PR.IP-10:响应和恢复计划的测试

ISA   62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11

ISA   62443-3-3:2013 SR 3.3

ISO/IEC   27001:2013 A.17.1.3

NIST   SP 800-53 Rev.4 CP-4, IR-3, PM-14

PR.IP-11:在人力资源方面的做法(如撤销服务,人员筛选)的网络安全

COBIT   5 APO07.01, APO07.02, APO07.03,APO07.04, APO07.05

ISA   62443-2-1:2009 4.3.3.2.1, 4.3.3.2.2,4.3.3.2.3

ISO/IEC   27001:2013 A.7.1.1, A.7.3.1, A.8.1.4

NIST   SP 800-53 Rev. 4 PS Family

PR.IP-12:漏洞管理计划的制定和实施

ISO/IEC   27001:2013 A.12.6.1, A.18.2.2

NIST   SP 800-53 Rev. 4 RA-3, RA-5, SI-2

维护(PR.MA):符合政策和程序的工业控制与信息系统组件的维护和维修的执行。

PR.MA-1:组织资产维护与维修的及时执行与记录,需使用已获批准和管控的工具

COBIT   5 BAI09.03

ISA   62443-2-1:2009 4.3.3.3.7

ISO/IEC   27001:2013 A.11.1.2, A.11.2.4,A.11.2.5

NIST   SP 800-53 Rev. 4 MA-2, MA-3, MA-5

PR.MA-2:组织资产的远程维护被批准、记录与执行,并防止以未经授权的访问的方式进行

COBIT   5 DSS05.04

ISA   62443-2-1:2009 4.3.3.6.5, 4.3.3.6.6,

4.3.3.6.7,   4.4.4.6.8

ISO/IEC   27001:2013 A.11.2.4, A.15.1.1,A.15.2.1

NIST   SP 800-53 Rev. 4 MA-4

功能

分类

子类

参考文献

防护技术(PR.PT):技术安全解决方案的管理,以确保系统和资产的安全性和弹性符合相关的政策、程序和协定。

PR.PT-1:根据政策对审核/日志记录的确定、 记载、 实施、审查

CCS   CSC 14

COBIT   5 APO11.04

ISA   62443-2-1:2009 4.3.3.3.9, 4.3.3.5.8,4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4

ISA   62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10,SR 2.11, SR 2.12

ISO/IEC   27001:2013 A.12.4.1, A.12.4.2,A.12.4.3, A.12.4.4, A.12.7.1

NIST   SP 800-53 Rev. 4 AU Family

PR.PT-2:根据限制使用政策对移动媒体的保护

COBIT   5 DSS05.02, APO13.01

ISA   62443-3-3:2013 SR 2.3

ISO/IEC   27001:2013 A.8.2.2, A.8.2.3, A.8.3.1,A.8.3.3, A.11.2.9

NIST   SP 800-53 Rev. 4 MP-2, MP-4, MP-5,MP-7

PR.PT-3:结合功能最少的原则对系统和资产访问的控制,

COBIT   5 DSS05.02

ISA   62443-2-1:2009 4.3.3.5.1, 4.3.3.5.2,4.3.3.5.3, 4.3.3.5.4, 4.3.3.5.5,   4.3.3.5.6,4.3.3.5.7, 4.3.3.5.8, 4.3.3.6.1, 4.3.3.6.2,4.3.3.6.3, 4.3.3.6.4,   4.3.3.6.5, 4.3.3.6.6,4.3.3.6.7, 4.3.3.6.8, 4.3.3.6.9, 4.3.3.7.1,4.3.3.7.2,   4.3.3.7.3, 4.3.3.7.4

ISA   62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3,SR 1.4, SR 1.5, SR 1.6, SR 1.7, SR   1.8, SR 1.9,SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 2.1, SR2.2, SR 2.3, SR   2.4, SR 2.5, SR 2.6, SR 2.7

ISO/IEC   27001:2013 A.9.1.2

NIST   SP 800-53 Rev. 4 AC-3, CM-7

PR.PT-4:通信和控制网络的保护

CCS   CSC 7

COBIT   5 DSS05.02, APO13.01

ISA   62443-3-3:2013 SR 3.1, SR 3.5, SR 3.8,SR 4.1, SR 4.3, SR 5.1, SR 5.2, SR   5.3, SR 7.1, SR 7.6

ISO/IEC   27001:2013 A.13.1.1, A.13.2.1

NIST   SP 800-53 Rev. 4 AC-4, AC-17, AC-18,CP-8, SC-7

功能

分类

子类

参考文献

检测

异常和事件(DE.AE):及时检测到异常活动和事件的潜在影响的理解。

DE.AE-1:用户和系统的预期数据流和网络运营的基线的建立和管理

COBIT   5 DSS03.01

ISA   62443-2-1:2009 4.4.3.3

NIST   SP 800-53 Rev. 4 AC-4, CA-3, CM-2,SI-4

DE.AE-2:分析检测到的事件,以了解攻击目标和方法

ISA   62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7,4.3.4.5.8

ISA   62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10,SR 2.11, SR 2.12, SR 3.9, SR 6.1,   SR 6.2

ISO/IEC   27001:2013 A.16.1.1, A.16.1.4

NIST   SP 800-53 Rev. 4 AU-6, CA-7, IR-4, SI­4

DE.AE-3:聚合和关联来自多个源和传感器的事件数据

ISA   62443-3-3:2013 SR 6.1

NIST   SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR­5, IR-8, SI-4

DU.AE-4:事件影响的确定

COBIT   5 APO12.06

NIST   SP 800-53 Rev. 4 CP-2, IR-4, RA-3, SI ­4

DE.AE-5:事件警报阈值的建立

COBIT   5 APO12.06

ISA   62443-2-1:2009 4.2.3.10

NIST   SP 800-53 Rev. 4 IR-4, IR-5, IR-8

安全连续监测(DE.CM):不定时监测信息系统和资产,确保网络安全的落实和保护措施的有效性。

DE.CM-1:监测网络,以发现潜在的网络安全事件

CCS   CSC 14, 16

COBIT   5 DSS05.07

ISA   62443-3-3:2013 SR 6.2

NIST   SP 800-53 Rev. 4 AC-2, AU-12, CA-7,CM-3, SC-5, SC-7, SI-4

DE.CM-2:监测物理环境,以发现潜在的网络安全事件

ISA   62443-2-1:2009 4.3.3.3.8

NIST   SP 800-53 Rev. 4 CA-7, PE-3, PE-6, PE­20

功能

分类

子类

参考文献

DE.CM-3:监视人员的活动,以发现潜在的网络安全事件

ISA   62443-3-3:2013 SR 6.2

ISO/IEC   27001:2013 A.12.4.1

NIST   SP 800-53 Rev. 4 AC-2, AU-12, AU-13,CA-7, CM-10, CM-11

DE.CM-4:恶意代码的检测

CCS   CSC 5

COBIT   5 DSS05.01

ISA   62443-2-1:2009 4.3.4.3.8

ISA   62443-3-3:2013 SR 3.2

ISO/IEC   27001:2013 A.12.2.1

NIST   SP 800-53 Rev. 4 SI-3

DE.CM-5:未经授权的移动代码的检测

ISA   62443-3-3:2013 SR 2.4

ISO/IEC   27001:2013 A.12.5.1

NIST   SP 800-53 Rev. 4 SC-18, SI-4. SC-44

DE.CM-6:监测外部服务提供者的活动,以发现潜在的网络安全事件

COBIT   5 APO07.06

ISO/IEC   27001:2013 A.14.2.7, A.15.2.1

NIST   SP 800-53 Rev. 4 CA-7, PS-7, SA-4, SA­9, SI-4

DE.CM-7:对未经授权的人员、连接、设备和软件进行监控的执行

NIST   SP 800-53 Rev. 4 AU-12, CA-7, CM-3,CM-8, PE-3, PE-6, PE-20, SI-4

DE.CM-8:漏洞扫描的执行

COBIT   5 BAI03.10

ISA   62443-2-1:2009 4.2.3.1, 4.2.3.7

ISO/IEC   27001:2013 A.12.6.1

NIST   SP 800-53 Rev. 4 RA-5

检测过程(DE.DP):维护和测试过程和程序的检测,以确保对异常事件及时和充分的认识。

DE.DP-1:角色和责任检测的明确界定,以确保问责制

CCS   CSC 5

COBIT   5 DSS05.01

ISA   62443-2-1:2009 4.4.3.1

ISO/IEC   27001:2013 A.6.1.1

NIST   SP 800-53 Rev. 4 CA-2, CA-7, PM-14

功能

分类

子类

参考文献

DE.DP-2:检测活动符合所有相应要求

ISA   62443-2-1:2009 4.4.3.2

ISO/IEC   27001:2013 A.18.1.4

NIST   SP 800-53 Rev. 4 CA-2, CA-7, PM-14,SI-4

DE.DP-3:检测过程的测试

COBIT   5 APO13.02

ISA   62443-2-1:2009 4.4.3.2

ISA   62443-3-3:2013 SR 3.3

ISO/IEC   27001:2013 A.14.2.8

NIST   SP 800-53 Rev. 4 CA-2, CA-7, PE-3,PM-14, SI-3, SI-4

DE.DP-4:事件检测信息传达给相关方

COBIT   5 APO12.06

ISA   62443-2-1:2009 4.3.4.5.9

ISA   62443-3-3:2013 SR 6.1

ISO/IEC   27001:2013 A.16.1.2

NIST   SP 800-53 Rev. 4 AU-6, CA-2, CA-7,RA-5, SI-4

DE.DP-5:检测过程的不断完善

COBIT   5 APO11.06, DSS04.05

ISA   62443-2-1:2009 4.4.3.4

ISO/IEC   27001:2013 A.16.1.6

NIST   SP 800-53 Rev. 4, CA-2, CA-7, PL-2,RA-5, SI-4, PM-14

功能

分类

子类

参考文献

应急

应急预案(RS.RP):流程和程序应急的执行和维护,以确保网络安全检测事件的及时响应。

RS.RP-1:事件期间或之后执行应急预案

COBIT   5 BAI01.10

CCS   CSC 18

ISA   62443-2-1:2009 4.3.4.5.1

ISO/IEC   27001:2013 A.16.1.5

NIST   SP 800-53 Rev. 4 CP-2, CP-10, IR-4, IR­8

通信(RS.CO):应急措施与内外部利益相关者(酌情包括来自执法机关的外部支持)保持协调。

RS.CO-1:需要应急时职员知道自己的角色和操作流程

ISA   62443-2-1:2009 4.3.4.5.2, 4.3.4.5.3,4.3.4.5.4

ISO/IEC   27001:2013 A.6.1.1, A.16.1.1

NIST   SP 800-53 Rev. 4 CP-2, CP-3, IR-3, IR-8

RS.CO-2:事件报告与既定标准一致

ISA   62443-2-1:2009 4.3.4.5.5

ISO/IEC   27001:2013 A.6.1.3, A.16.1.2

NIST   SP 800-53 Rev. 4 AU-6, IR-6, IR-8

RS.CO-3:信息共享符合应急预案

ISA   62443-2-1:2009 4.3.4.5.2

ISO/IEC   27001:2013 A.16.1.2

NIST   SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR­4, IR-8, PE-6, RA-5, SI-4

RS.CO-4:利益相关者与应急预案保持协调

ISA   62443-2-1:2009 4.3.4.5.5

NIST   SP 800-53 Rev. 4 CP-2, IR-4, IR-8

RS.CO-5 自愿信息共享与外部利益相关者实现更广泛的网络安全态势感知

NIST   SP 800-53 Rev. 4 PM-15, SI-5

分析(RS.AN):进行分析,以确保有足够的响应并支持恢复活动。

NS.AND-1:检测系统的通知的调查

COBIT   5 DSS02.07

ISA   62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7,4.3.4.5.8

ISA   62443-3-3:2013 SR 6.1

ISO/IEC   27001:2013 A.12.4.1, A.12.4.3,A.16.1.5

NIST   SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR­ 5, PE-6, SI-4

功能

分类

子类

参考文献

RS.AND-2:事件的影响的了解

ISA   62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7,4.3.4.5.8

ISO/IEC   27001:2013 A.16.1.6

NIST   SP 800-53 Rev. 4 CP-2, IR-4

RS.AN-3:取证的执行

ISA   62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10,SR 2.11, SR 2.12, SR 3.9, SR 6.1

ISO/IEC   27001:2013 A.16.1.7

NIST   SP 800-53 Rev. 4 AU-7, IR-4

RS.AN-4:与应急方案相一致对事件进行分类

ISA   62443-2-1:2009 4.3.4.5.6

ISO/IEC   27001:2013 A.16.1.4

NIST   SP 800-53 Rev. 4 CP-2, IR-4, IR-5, IR-8

缓解(RS.MI):用以防止事件扩大、减轻其影响、并消除该事件的活动的执行。

RS.MI-1:事故遏制

ISA   62443-2-1:2009 4.3.4.5.6

ISA   62443-3-3:2013 SR 5.1, SR 5.2, SR 5.4

ISO/IEC   27001:2013 A.16.1.5

NIST   SP 800-53 Rev. 4 IR-4

RS.MI-2:事故缓解

ISA   62443-2-1:2009 4.3.4.5.6, 4.3.4.5.10

ISO/IEC   27001:2013 A.12.2.1, A.16.1.5

NIST   SP 800-53 Rev. 4 IR-4

RS.MI-3:新确定的漏洞的缓解或记录为接受的风险

ISO/IEC   27001:2013 A.12.6.1

NIST   SP 800-53 Rev. 4 CA-7, RA-3, RA-5

改进(RS.IM):通过汲取当前和以前的检测/响应活动中的教训完善组织应对活动。

RS.IN-1:应急计划整合的经验教训

COBIT   5 BAI01.13

ISA   62443-2-1:2009 4.3.4.5.10, 4.4.3.4

ISO/IEC   27001:2013 A.16.1.6

NIST   SP 800-53 Rev. 4 CP-2, IR-4, IR-8

RS.IM-2:应对策略更新

NIST   SP 800-53 Rev. 4 CP-2, IR-4, IR-8

恢复

恢复计划(RC.RP):恢复过程和程序的执行和维护,以确保受影响的网络安全事件、系统或资产的及时恢复。

RC.RP-1:事件期间或之后执行的恢复计划

CCS   CSC 8

COBIT   5 DSS02.05, DSS03.04

ISO/IEC   27001:2013 A.16.1.5

NIST   SP 800-53 Rev. 4 CP-10, IR-4, IR-8

功能

分类

子类

参考文献

改进(RC.IM):通过汲取在未来的活动的教训改善恢复规划和规程。

RC.IM-1:恢复计划结合吸取的经验教训

COBIT   5 BAI05.07

ISA   62443-2-1:2009 4.4.3.4

NIST   SP 800-53 Rev. 4 CP-2, IR-4, IR-8

RC.IM-2:恢复策略的更新

COBIT   5 BAI07.08

NIST   SP 800-53 Rev. 4 CP-2, IR-4, IR-8

通信(RC.CO):恢复活动与内部和外部各方(如协调中心、互联网服务提供商、攻击系统、被害人、其他CSIRT的业主)和供应商的协调

RC.CO-1:公共关系管理

COBIT   5 EDM03.02

RC.CO-2:事件后声誉的修复

COBIT   5 MEA03.02

RC.CO-3:恢复活动传达给内部利益相关者和执行管理团队

NIST   SP 800-53 Rev. 4 CP-2, IR-4

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注