nist 2 opdateringsblog

NIST's Cybersecurity Framework 2.0: Hvad er nyt, og hvordan man kommer i gang

Cyber-risikostyring kan ikke leve i et vakuum. Og selvom bedste praksis på højt niveau kan forblive stort set den samme over en årrække, har både trusselsbilledet og udfordringerne, som compliance-teams står over for, udviklet sig markant i løbet af det sidste årti. Det er derfor en af ​​de mest populære retningslinjer derude er at få en opfriskning.

National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) blev først offentliggjort i 2014 efter en bekendtgørelse fra daværende præsident Barack Obama. Dens første væsentlige opdatering er nu udgivet. Håbet er, at det vil hjælpe globale organisationer med at møde nutidens og morgendagens udfordringer og samtidig være mere ligetil at bruge end den originale CSF. Der er meget at være optimistisk over.

En baggrund for CSF

CSF er frivillig og var oprindeligt beregnet til organisationer med kritisk national infrastruktur (CNI). Men dens klarhed og grundighed i at fremhæve bedste praksis inden for cybersikkerhed gjorde det til et af de mest populære rammer blandt amerikanske og globale organisationer – uanset deres sektor.

Den er bygget op omkring fem nøglefunktioner:

Identificere:

Opret en registrering af organisationens hardware, software og dataaktiver. Udgiv en politik skitsere roller og ansvar for alle med adgang til kritiske data, herunder partnere og leverandører. Opret også en procedure for hændelsesberedskab og afhjælpning.

Beskytte:

Fysiske og tekniske kontroller til sikring af kritiske aktiver. Det kunne omfatte sikkerhedskopier, brugeruddannelse, kryptering, adgangskontroller og regelmæssige opdateringer.

Opdage:

Overvåg for uautoriseret adgang og usædvanlig netværksaktivitet.

Svare:

Opbyg en plan for hændelsesmeddelelse (til kunder, regulatorer, aktionærer osv.), business kontinuitet og hændelsesundersøgelse. Denne plan bør testes regelmæssigt.

Gendanne:

Reparer og genskab berørte aktiver/tjenester efter et brud og hold medarbejdere og kunder informeret. Forbedre cyberresiliens gennem læring.

Som en del af rammen oprettede NIST også fire niveauer for at hjælpe virksomheder med at måle deres modenhed i implementeringen af ​​CSF (Partial, Risk-informed, Repeatable, Adaptive). Og det inkluderede en trin-for-trin guide til at skabe en risikostyring program. Det går i store træk som følger:

  • Omfang projektet og identificer prioriteter
  • Orienter dig for at forstå relevante brancheregler og cybertrusler
  • Opret en profil for at illustrere, hvordan risiko i øjeblikket håndteres i organisationen
  • Udfør en risikovurdering for at forstå sandsynligheden for og alvoren af ​​en cybersikkerhedsbegivenhed, der kan påvirke organisationen
  • Opret en målprofil, der vil tjene som slutmålet for sikkerhedsteamet
  • Identificer hullerne mellem den nuværende profil og målprofilen for at skabe en handlingsplan, herunder eventuelle nødvendige ressourcer
  • Implementer handlingsplanen

Hvad er nyt for 2024?

Udgivet i august 2023, udkastet til versionen af ​​CSF (v 2.0) foretager flere vigtige opdateringer til det originale dokument. Nøgle blandt disse er forsøg på at udvide brugen af ​​rammen, forbedre vejledningen om implementering og understrege vigtigheden af ​​styring:

En ny regeringssøjle

Dette dækker organisatorisk kontekst; risikostyringsstrategi; cybersikkerhed forsyningskæderisiko ledelse; roller, ansvar og myndigheder; politikker, processer og procedurer; og tilsyn. Derudover tilbydes vejledning om integration af CSF med NIST Privacy Framework og NIST IR 8286.

Udvidet vejledning om brug

CSF 2.0 introducerer flere eksempler på implementering. Det reviderer også rammeprofiler for at gøre det nemmere at bruge dem under projekter. Der medfølger fiktive skabeloner, som organisationer kan bruge eller tilpasse til at oprette profiler og handlingsplaner.

Udvidelse af CSF

Den officielle titel er blevet ændret fra Framework for Improving Critical Infrastructure Cybersecurity til den mere almindeligt anvendte CSF. Omfanget er blevet opdateret, så det afspejler brugen af ​​alle organisationer, ikke kun dem, der driver CNI.

Derudover er der større vægt på forsyningskædesikkerhed med nye links til NIST SP 800-55. Vigtigheden af ​​løbende forbedringer tillægges også større vægt gennem en ny "forbedring"-kategori under Identify-søjlen.

Et skridt i den rigtige retning

Eksperter hilser i det store og hele velkommen til CSF-opdateringen. Joseph Carson, Chief Security Scientist og Rådgivende CISO hos Delinea, siger til ISMS.online, at der efter næsten et årti var behov for en ny version for at tage højde for ændringer i trusselslandskabet.

"At udvide det til flere organisationer er den rigtige tilgang til at styrke modstandskraften mod det store udvalg af cybertrusler, de står over for," tilføjer han. En forenkling af CSF vil også gøre det lettere at vedtage rammerne, hvilket gør det muligt for flere organisationer at hæve deres niveau af sikkerhedsbeskyttelse."
Netographys administrerende direktør, Martin Roesch, roser også den nye "Govern"-søjle.

"At tilføje styring til NIST Cybersecurity Framework er et vigtigt skridt i at hjælpe organisationer med at vise bevis på, at deres infrastruktur er i overensstemmelse med deres politikker til enhver tid, og det giver sikkerhedsteams mulighed for at have en måde at måle, hvor effektivt deres system fungerer," siger han. ISMS.online.

"Ved at udvide omfanget af CSF og forbedre implementeringsretningslinjerne giver NIST et større udvalg af organisationer med en stærk køreplan for at opnå informationssikkerhed og risikostyringssucces uanset størrelse eller branchevertikal."

Men samtidig argumenterer Roesch for, at nogle organisationer kan kæmpe for at anvende styringsprincipper til deres miljøer, "især hvis de har forskellige teknologier, systemer og processer." Han advarer også om, at ressourcebegrænsninger kan forhindre den kontinuerlige overvågning, der er nødvendig for at "etablere og opretholde robust cybersikkerhedsstyring" på baggrund af hurtigt udviklende netværkssikkerhedsarkitekturer. Han beskriver social media governance, især, som en "Pandora's Box" af privatlivs- og sikkerhedsudfordringer.

Derfor kan implementering af selv en strømlinet, mere brugervenlig CSF være en udfordring for nogle organisationer. Men en informationssikkerhedsstyringssystem (ISMS) kunne hjælpe, siger Delineas Carson.

"Den kan skitsere eksempler på, hvordan man bruger CSF 2.0 referenceværktøj og give en forståelse af, hvordan implementeringer i den virkelige verden ser ud,” siger han. "Efterhånden som flere organisationer observerer, at deres kolleger med succes implementerer og implementerer CSF, og hvordan de kortlægger sig på referenceværktøjet, vil det tilskynde andre til hurtigt at følge efter."

Sidst redigeret: 6. marts 2024
Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!