NIST (NIST)

Введение

NIST (National Institute of Standards and Technology) – Национальный институт стандартов и технологий США, агентство Министерства торговли. В сфере кибербезопасности NIST создаёт добровольные руководства, фреймворки и стандарты, применяемые по всему миру. Несмотря на американское происхождение, документы NIST де-факто стали международными стандартами ИБ-практики.

Главный документ для корпоративной ИБ – NIST Cybersecurity Framework (CSF). Для специалистов – серия специальных публикаций SP 800, охватывающая всё от криптографии до безопасности облачных вычислений.

История и контекст

NIST основан в 1901 году как Бюро стандартов. В 2014 году по инициативе Президента Обамы выпустил первую версию CSF для защиты критической инфраструктуры. CSF v1.1 (2018) получил широкое распространение не только в США, но и в Японии, Израиле, Италии. NIST CSF 2.0 опубликован в феврале 2024 года: добавлена шестая функция Govern, расширен охват с КИИ до всех организаций, акцент на управлении цепочками поставок.

Ключевые документы NIST по ИБ

• NIST CSF 2.0 – фреймворк управления киберрисками: 6 функций (Govern, Identify, Protect, Detect, Respond, Recover), категории, подкатегории.
• SP 800-53 Rev. 5 – каталог контролей безопасности для федеральных систем (свыше 1000 контролей); де-факто международный стандарт.
• SP 800-171 – защита CUI (неклассифицированной контролируемой информации) в нефедеральных системах; база для CMMC.
• SP 800-82 – руководство по безопасности промышленных систем управления (ICS/SCADA).
• SP 800-63 – стандарт цифровой идентификации и аутентификации.

Функции NIST CSF 2.0

1. Govern – управление киберрисками на уровне руководства.
2. Identify – инвентаризация активов, оценка рисков.
3. Protect – контроли доступа, обучение, защита данных.
4. Detect – мониторинг и обнаружение аномалий.
5. Respond – реагирование на инциденты.
6. Recover – восстановление после инцидентов.

Где применяется

• Международные корпорации и МНК – CSF как основа корпоративной программы кибербезопасности.
• Российские компании с зарубежными клиентами – совместимость с NIST упрощает B2B-продажи.
• Промышленные системы – SP 800-82 для АСУ ТП и КИИ.
• Сравнительный анализ – соответствие NIST часто используется как эталон зрелости ИБ.

Связь с другими понятиями

NIST CSF является аналогом и дополнением ISO 27001. Оба охватывают управление рисками, но NIST более детален технически. SP 800-53 содержит технические контроли, аналогичные Приложению A ISO 27001. Используется совместно с MITRE ATT&CK для оценки детектирующих возможностей.