NIST Cybersecurity Framework genstartes med version 1.1
Indholdsfortegnelse:
NIST Cybersecurity Framework er den amerikanske standard, der reguleres af National Institute for Standards and Technology. Den originale version, der blev udgivet i februar 2014, er nu blevet opdateret til version 1.1. Lad os tage et kig på, hvad der er ændret.
Hvad er NIST Cybersecurity Framework?
Skabt af US National Institute of Standards and Technology, den NIST Cybersecurity Framework (NIST CSF) er et sæt politikker, som private organisationer skal følge for at vurdere deres cyberrisiko.
NIST CSF er opdelt i tre sektioner; Kerne, profil og niveauer. Framework Core involverer besvarelse af spørgsmål, der relaterer sig til organisationens tilgang til cybersikkerhed. Rammeprofiler er resultater, som organisationen ønsker, baseret på deres behov og risici. Og Framework Tiers er skabt af organisationen og inkluderer behov, der opstår fra risikovurderinger.
Hvad er opdateringerne til NIST Cybersecurity Framework?
"Vi ønskede ikke at ændre rammerne væsentligt, så de to rammer kunne arbejde sammen."
Matt Barrett – NIST Cybersecurity Framework Program Manager
Præcisering af begrebet "overholdelse"
NIST erkender, at begrebet 'compliance' kan betyde forskellige ting for forskellige mennesker på grund af de forskellige måder, hvorpå rammen kan bruges. De har udtalt, at Cybersecurity Framework fungerer som en "struktur og sprog til at organisere og udtrykke overholdelse af en organisations egen cybersikkerhed krav”".
Nyt afsnit om selvvurdering
NIST har tilføjet 'Afsnit 4.0 Self-assessing Cybersecurity Risk with the Framework', som beskriver, hvordan organisationer kan forstå, vurdere og måle deres risiko og handlinger.
Supply Chain Risk Management og købsbeslutninger
Afsnit 3.3 'Kommunikation af cybersikkerhedskrav med interessenter' er blevet udvidet til at gøre Cyber Supply Chain Risk Management (SCRM) lettere at forstå. NIST har også tilføjet et afsnit om købsbeslutninger (3.4) for at fremhæve, hvordan organisationer kan bruge Cybersecurity Framework til at forstå risiciene ved at købe kommercielle produkter og tjenester fra hylden.
Nye kriterier for Cyber Supply Chain Risk Management er blevet tilføjet til implementeringsniveauerne, og en Supply Chain Risk Management Kategori, (inklusive flere underkategorier), er blevet tilføjet til Framework Core.
Autentificering, autorisation og identitetsbevis
I Adgangskontrol Kategori, sproget er blevet opdateret for at gøre det tydeligere, at der tages hensyn til autentificering, autorisation og identitetsbevis. Det betyder, at der er tilføjet én underkategori for hver og er blevet omdøbt til 'Identity Management and Access Control (PR.AC).
Forholdet mellem implementeringsniveauer og profiler
Afsnit 3.2 'Etablering eller forbedring af et cybersikkerhedsprogram' er blevet opdateret med oplysninger om brug af Framework Tiers i Framework-implementering. Nedenstående grafik fra NIST illustrerer handlinger fra Framework Tiers.
Overvejelse af koordineret afsløring af sårbarhed
Endelig har NIST tilføjet en ny underkategori, der beskriver livscyklussen for afsløring af sårbarhed. Brugere af Cybersikkerhedsramme opfordres stadig til at tilpasse de fleksible rammer ud fra deres organisations behov og omfang.
Webcast: Cybersecurity Framework Version 1.1 Oversigt
ISMS.online kan hjælpe dig med det
