Cos'è il framework NIST per la sicurezza informatica?Utilizzo di questo framework Passaggi successivi Risorse aggiuntive

NIST Cybersecurity Framework v1.1

AWS Audit Manager fornisce un framework predefinito che supporta il NIST Cybersecurity Framework (CSF) v1.1.

Nota

Per informazioni sul framework Audit Manager che supporta NIST SP 800-53, vedere. NIST SP 800-53 Rev. 5
Per informazioni sul framework Audit Manager che supporta NIST SP 800-171, vedere. NIST SP 800-171 Rev. 2

Argomenti

Cos'è il framework NIST per la sicurezza informatica?
Utilizzo di questo framework
Passaggi successivi
Risorse aggiuntive

Cos'è il framework NIST per la sicurezza informatica?

Il National Institute of Standards and Technology (NIST) è stato fondato nel 1901 e ora fa parte del Dipartimento del Commercio degli Stati Uniti. Il NIST è uno dei più antichi laboratori di scienze fisiche degli Stati Uniti. Il Congresso degli Stati Uniti istituì l'agenzia per migliorare quella che all'epoca era un'infrastruttura di misurazione di seconda categoria. L'infrastruttura rappresentava una sfida importante per la competitività industriale degli Stati Uniti, essendo rimasta indietro rispetto ad altre potenze economiche come il Regno Unito e la Germania.

Gli Stati Uniti dipendono dal funzionamento affidabile delle infrastrutture critiche. Le minacce alla sicurezza informatica sfruttano la maggiore complessità e interconnessione dei sistemi di infrastrutture critiche. Mettono a rischio la sicurezza, l'economia, la sicurezza e la salute pubblica degli Stati Uniti. Analogamente ai rischi finanziari e reputazionali, il rischio di sicurezza informatica influisce sui profitti di un'azienda. È in grado di far aumentare i costi e influire sui ricavi. Può danneggiare la capacità di un'organizzazione di innovare, conquistare e fidelizzare i clienti. In definitiva, la sicurezza informatica può amplificare la gestione complessiva del rischio di un'organizzazione.

Il framework NIST per la sicurezza informatica (CSF) è supportato da governi e industrie di tutto il mondo come base di riferimento consigliata per l'uso da parte di qualsiasi organizzazione, indipendentemente dal settore o dalle dimensioni. Il framework NIST per la sicurezza informatica è costituito da tre componenti principali: i principi fondamentali del framework, i profili e i livelli di implementazione. I principi fondamentali del framework contengono le attività e i risultati di sicurezza informatica desiderati organizzati in 23 categorie che coprono l'ampia gamma di obiettivi di sicurezza informatica per un'organizzazione. I profili contengono l'allineamento unico di un'organizzazione tra requisiti e obiettivi organizzativi, propensione al rischio e risorse, utilizzando i risultati desiderati del framework core. I livelli di implementazione descrivono il grado in cui le pratiche di gestione del rischio di sicurezza informatica di un'organizzazione presentano le caratteristiche definite nei principi fondamentali del framework.

Utilizzo di questo framework

È possibile utilizzare il NIST CSF v1.1 per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti NIST CSF. Audit Manager attualmente supporta il componente principale del framework. Gestione audit non supporta il profilo e i componenti di implementazione in questo framework.

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa in base ai controlli definiti nel NIST CSF. Quando è il momento di un audit, tu, o un delegato di tua scelta, potete esaminare le prove raccolte da Audit Manager. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto.

I dettagli del framework sono i seguenti:

Nome del framework in AWS Audit Manager	Numero di controlli automatici	Numero di controlli manuali	Numero di set di controllo
NIST Cybersecurity Framework (CSF) v1.1	49	59	22

Suggerimento

Per esaminare le AWS Config regole utilizzate come mappature delle sorgenti dati in questo framework standard, scaricate il file AuditManager_ ConfigDataSourceMappings _NIST-CSF-v1.1.zip.

I controlli offerti da Audit Manager non hanno lo scopo di verificare se i sistemi sono conformi al NIST CSF. Inoltre, non possono garantire il superamento di un audit NIST. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

È possibile trovare questo framework nella scheda Standard frameworks della libreria di framework in Audit Manager.

Passaggi successivi

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta Creazione di una valutazione in AWS Audit Manager.

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, consulta. Creazione di una copia modificabile di un framework esistente in AWS Audit Manager

Risorse aggiuntive

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

NIST SP800-53 R5

NIST SP800-171 R2