nist 2 update blog

NIST se kuberveiligheidsraamwerk 2.0: Wat is nuut en hoe om te begin

Kuberrisikobestuur kan nie in 'n vakuum leef nie. En hoewel die beste praktyke op hoë vlak oor 'n tydperk van jare grootliks dieselfde kan bly, het beide die bedreigingslandskap en die uitdagings wat voldoeningspanne in die gesig staar die afgelope dekade aansienlik ontwikkel. Dit is hoekom een ​​van die gewildste riglyne daar buite is om 'n verversing te kry.

Die Nasionale Instituut vir Standaarde en Tegnologie (NIST) Kuberveiligheidsraamwerk (CSF) is vir die eerste keer in 2014 gepubliseer na aanleiding van 'n uitvoerende bevel van destydse president Barack Obama. Die eerste betekenisvolle verversing daarvan is nou gepubliseer. Die hoop is dat dit globale organisasies sal help om vandag en môre se uitdagings die hoof te bied, terwyl dit meer eenvoudig is om te gebruik as die oorspronklike CSF. Daar is baie om oor optimisties te wees.

'n Agtergrond tot die CSF

Die CSF is vrywillig en was aanvanklik bedoel vir kritieke nasionale infrastruktuur (CNI) organisasies. Die duidelikheid en deeglikheid daarvan om die beste praktyke vir kuberveiligheid uit te lig, het dit egter een van die gewildste raamwerke onder Amerikaanse en wêreldwye organisasies gemaak – ongeag hul sektor.

Dit is gebou rondom vyf sleutelfunksies:

Identifiseer:

Skep 'n rekord van die organisasie se hardeware, sagteware en databates. Publiseer a beleid uiteensetting van rolle en verantwoordelikhede vir enigiemand met toegang tot kritieke data, insluitend vennote en verskaffers. Skep ook 'n prosedure vir insidentreaksie en remediëring.

Beskerm:

Fisiese en tegniese kontroles vir die beveiliging van kritieke bates. Dit kan rugsteun, gebruikersopvoeding, enkripsie insluit, toegangskontroles en gereelde opdaterings.

Bespeur:

Monitor vir ongemagtigde toegang en ongewone netwerkaktiwiteit.

Reageer:

Bou 'n plan vir voorvalkennisgewing (aan kliënte, reguleerders, aandeelhouers, ens.), besigheids kontinuïteit en voorval ondersoek. Hierdie plan moet gereeld getoets word.

Herstel:

Herstel en herstel geaffekteerde bates/dienste na 'n oortreding en hou werknemers en kliënte op hoogte. Verbeter kuberveerkragtigheid deur leer.

As deel van die raamwerk het NIST ook vier vlakke geskep om firmas te help om hul volwassenheid te meet in die implementering van die CSF (Gedeeltelik, Risiko-ingelig, Herhaalbaar, Aanpasbaar). En dit het 'n stap-vir-stap-gids ingesluit vir die skep van 'n risiko bestuur program. In die breë gaan dit soos volg:

  • Omvang van die projek en identifiseer prioriteite
  • Oriënteer om relevante industrieregulasies en kuberbedreigings te verstaan
  • Skep 'n profiel om te illustreer hoe risiko tans in die organisasie hanteer word
  • Doen 'n risiko-evaluering om die waarskynlikheid en erns van 'n kuberveiligheidsgebeurtenis te verstaan ​​wat die organisasie kan beïnvloed
  • Skep 'n teikenprofiel wat as die einddoel van die sekuriteitspan sal dien
  • Identifiseer die gapings tussen die huidige en teikenprofiele om 'n aksieplan te skep, insluitend enige hulpbronne wat benodig word
  • Implementeer die aksieplan

Wat is nuut vir 2024?

Vrygestel in Augustus 2023, maak die konsepweergawe van die CSF (v 2.0) verskeie belangrike opdaterings aan die oorspronklike dokument. Sleutel hiervan is pogings om die gebruik van die raamwerk te verbreed, leiding oor implementering te verbeter en die belangrikheid van bestuur te beklemtoon:

'n Nuwe regeringspilaar

Dit dek organisatoriese konteks; risikobestuurstrategie; Kuber sekuriteit voorsieningskettingrisiko bestuur; rolle, verantwoordelikhede en owerhede; beleide, prosesse en prosedures; en toesig. Verder word leiding gegee oor die integrasie van die CSF met die NIST Privaatheidsraamwerk en NIST IR 8286.

Uitgebreide riglyne oor gebruik

CSF 2.0 stel meer voorbeelde van implementering bekend. Dit hersien ook raamwerkprofiele om dit makliker te maak tydens projekte. Nosionele sjablone is ingesluit, wat organisasies kan gebruik of aanpas om profiele en aksieplanne te skep.

Verbreding van die CSF

Die amptelike titel is verander van die Raamwerk vir die Verbetering van Kritiese Infrastruktuur Kuberveiligheid na die meer algemeen gebruikte CSF. Die omvang is opgedateer om gebruik deur alle organisasies te weerspieël, nie net dié wat CNI bedryf nie.

Daarbenewens is daar groter klem op voorsieningskettingsekuriteit, met nuwe skakels na NIST SP 800-55. Die belangrikheid van voortdurende verbetering word ook meer gewig gegee deur 'n nuwe "verbetering"-kategorie onder die Identifiseer-pilaar.

'N Stap in die regte rigting

Kenners verwelkom in die breë die CSF-verfrissing. Joseph Carson, hoofsekuriteitswetenskaplike en raadgewende CISO by Delinea, vertel aan ISMS.online dat na byna 'n dekade 'n nuwe weergawe nodig was om veranderinge in die bedreigingslandskap in ag te neem.

"Om dit uit te brei na meer organisasies is die regte benadering om veerkragtigheid te versterk teen die groot verskeidenheid kuberbedreigings wat hulle in die gesig staar," voeg hy by. Die vereenvoudiging van die CSF sal dit ook makliker maak om die raamwerk aan te neem, wat meer organisasies in staat stel om hul vlak van sekuriteitsbeskerming te verhoog.”
Netography se HUB, Martin Roesch, loof ook die nuwe “Govern”-pilaar.

"Die byvoeging van bestuur tot die NIST-kubersekuriteitsraamwerk is 'n sleutelstap om organisasies te help om bewys te lewer dat hul infrastruktuur op enige gegewe tydstip in lyn is met hul beleid, en dit stel sekuriteitspanne in staat om 'n manier te hê om te meet hoe doeltreffend hul stelsel werk," vertel hy. ISMS.aanlyn.

"Deur die omvang van die CSF uit te brei en die implementeringsriglyne te verbeter, bied NIST 'n groter reeks organisasies met 'n sterk padkaart om inligtingsekuriteit en risikobestuursukses te behaal, ongeag die grootte of bedryfsvertikaal."

Terselfdertyd voer Roesch egter aan dat sommige organisasies kan sukkel om bestuursbeginsels op hul omgewings toe te pas, "veral as hulle uiteenlopende tegnologieë, stelsels en prosesse het." Hy waarsku ook dat hulpbronbeperkings die deurlopende monitering wat nodig is om 'robuuste kuberveiligheidsbestuur te vestig en te handhaaf' kan verbied teen 'n agtergrond van vinnig ontwikkelende netwerksekuriteitargitekture. Hy beskryf sosiale media bestuur, veral, as 'n "Pandora's Box" van privaatheid en sekuriteit uitdagings.

Die implementering van selfs 'n vaartbelynde, meer gebruikersvriendelike CSF kan dus vir sommige organisasies uitdagend wees. Maar 'n inligtingsekuriteitbestuurstelsel (ISMS) kan help, sê Delinea se Carson.

“Dit kan voorbeelde uiteensit van hoe om die CSF 2.0 Verwysingsinstrument en gee 'n begrip van hoe werklike implementerings lyk,” sê hy. "Namate meer organisasies sien hoe hul eweknieë die CSF suksesvol ontplooi en implementeer, en hoe hulle na die verwysingsinstrument karteer, sal dit ander aanmoedig om vinnig te volg."

Laas geredigeer: 6 Maart 2024
skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!