NIST সাইবারসিকিউরিটি ফ্রেমওয়ার্ক 2.0: 4 ধাপ শুরু করার জন্য

ইউএস ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) প্রকাশ করেছে এর সুপরিচিত সাইবারসিকিউরিটি ফ্রেমওয়ার্ক (CSF) এর সর্বশেষ খসড়া এই সপ্তাহে, নথিতে কয়েকটি উল্লেখযোগ্য পরিবর্তন কীভাবে তাদের সাইবার নিরাপত্তা প্রোগ্রামগুলিকে প্রভাবিত করে তা নিয়ে কোম্পানিগুলিকে চিন্তা করতে ছেড়েছে৷

সাইবার নিরাপত্তার বৃহত্তর এক্সিকিউটিভ এবং বোর্ড তত্ত্বাবধানকে অন্তর্ভুক্ত করার জন্য নতুন "গভর্ন" ফাংশনের মধ্যে, এবং সমালোচনামূলক শিল্পগুলির জন্য কেবলমাত্র সেইগুলির বাইরে সর্বোত্তম অনুশীলনের সম্প্রসারণের মধ্যে, সাইবার নিরাপত্তা দলগুলি তাদের জন্য তাদের কাজ বন্ধ করে দেবে, রিচার্ড ক্যারালি বলেছেন, সিনিয়র সাইবার নিরাপত্তা উপদেষ্টা Axio, একটি আইটি এবং অপারেশনাল প্রযুক্তি (OT) হুমকি ব্যবস্থাপনা সংস্থা।

"অনেক ক্ষেত্রে, এর অর্থ হবে যে সংস্থাগুলিকে কাঠামোগত পরিবর্তনের প্রভাব নির্ধারণের জন্য বিদ্যমান মূল্যায়ন, চিহ্নিত ফাঁক এবং প্রতিকার কার্যক্রমের প্রতি কঠোর নজর দিতে হবে," তিনি বলেছেন, "নতুন প্রোগ্রাম ফাঁকগুলি আবির্ভূত হবে যা আগে হতে পারে উপস্থিত ছিল না, বিশেষ করে সাইবার সিকিউরিটি গভর্নেন্স এবং সাপ্লাই চেইন রিস্ক ম্যানেজমেন্টের ক্ষেত্রে।

আসল CSF, সর্বশেষ আপডেট করা হয়েছিল 10 বছর আগে, যার লক্ষ্য সাইবার নিরাপত্তা নির্দেশিকা প্রদান করা জাতীয় ও অর্থনৈতিক নিরাপত্তার জন্য গুরুত্বপূর্ণ শিল্প. দ্য সর্বশেষ সংস্করণ সাইবারসিকিউরিটি পরিপক্কতা এবং ভঙ্গি উন্নত করতে ইচ্ছুক যে কোনও সংস্থার জন্য একটি কাঠামো তৈরি করতে সেই দৃষ্টিভঙ্গিটিকে ব্যাপকভাবে প্রসারিত করে। উপরন্তু, তৃতীয় পক্ষের অংশীদার এবং সরবরাহকারীরা এখন CSF 2.0-এ বিবেচনা করার জন্য একটি গুরুত্বপূর্ণ বিষয়।

অ্যাক্সোনিয়াসের সিনিয়র সাইবার সিকিউরিটি কৌশলবিদ কেটি টিটলার-স্যান্টুলো, একটি বিবৃতিতে বলেছেন, সংস্থাগুলিকে নিয়ম মেনে চলার জন্য এবং নথি থেকে সর্বোত্তম অনুশীলনগুলি বাস্তবায়নের জন্য সাইবার নিরাপত্তাকে আরও পদ্ধতিগতভাবে দেখতে হবে।

"এই নির্দেশিকাকে কার্যকর করার জন্য ব্যবসার থেকে একটি স্ব-চালিত প্রচেষ্টা হতে হবে," তিনি বলেছিলেন। “নির্দেশনা শুধুই নির্দেশনা, যতক্ষণ না এটি আইনে পরিণত হয়। শীর্ষ-কার্যকারি সংস্থাগুলি সাইবার-ঝুঁকিতে আরও ব্যবসা-কেন্দ্রিক পদ্ধতির দিকে এগিয়ে যাওয়ার জন্য এটি নিজেদের উপর নিয়ে নেবে।"

NIST সাইবারসিকিউরিটি ফ্রেমওয়ার্কের সর্বশেষ সংস্করণটি কার্যকর করার জন্য এখানে চারটি টিপস রয়েছে৷

1. সমস্ত NIST সংস্থান ব্যবহার করুন৷

NIST CSF শুধুমাত্র একটি নথি নয় বরং সংস্থানগুলি তাদের নির্দিষ্ট পরিবেশ এবং প্রয়োজনীয়তার জন্য কাঠামো প্রয়োগ করতে ব্যবহার করতে পারে এমন সংস্থানগুলির একটি সংগ্রহ। সাংগঠনিক এবং সম্প্রদায় প্রোফাইলগুলি, উদাহরণস্বরূপ, কোম্পানিগুলিকে তাদের সাইবার নিরাপত্তার প্রয়োজনীয়তা, সম্পদ এবং নিয়ন্ত্রণগুলি মূল্যায়ন - বা পুনরায় মূল্যায়ন করার জন্য ভিত্তি প্রদান করে৷ প্রক্রিয়াটি শুরু করা সহজতর করার জন্য, NIST নির্দিষ্ট শিল্প বিভাগের জন্য, যেমন ছোট ব্যবসা এবং নির্দিষ্ট ফাংশনের জন্য, যেমন সাইবারসিকিউরিটি সাপ্লাই চেইন রিস্ক ম্যানেজমেন্ট (C-SCRM) এর জন্য QuickStart গাইডও প্রকাশ করেছে। 

এনআইএসটি সংস্থানগুলি দলগুলিকে পরিবর্তনগুলি বুঝতে সাহায্য করতে পারে, নিক পুয়েটজ বলেছেন, একটি আইটি পরামর্শদাতা সংস্থা প্রোটিভিটির ব্যবস্থাপনা পরিচালক৷

"এগুলি অত্যন্ত মূল্যবান সরঞ্জাম হতে পারে যা সমস্ত আকারের সংস্থাগুলিকে সাহায্য করতে পারে তবে ছোট সংস্থাগুলির জন্য বিশেষভাবে দরকারী," তিনি বলেছেন, দলগুলিকে "আপনার সিনিয়র নেতৃত্ব দলকে নিশ্চিত করতে হবে - এমনকি আপনার পরিচালনা পর্ষদ - বুঝতে হবে এটি কীভাবে উপকৃত হবে প্রোগ্রাম [কিন্তু] স্বল্প মেয়াদে কিছু পরিপক্কতা স্কোরিং [বা] বেঞ্চমার্কিং অসঙ্গতি তৈরি করতে পারে।"

2. নেতৃত্বের সাথে "শাসন" ফাংশনের প্রভাব নিয়ে আলোচনা করুন

NIST CSF 2.0 একটি সম্পূর্ণ নতুন মূল ফাংশন যোগ করে: গভর্ন। নতুন ফাংশন একটি স্বীকৃতি যে সাইবার নিরাপত্তার সামগ্রিক সাংগঠনিক পদ্ধতির ব্যবসার কৌশলের সাথে মেলে, অপারেশন দ্বারা পরিমাপ করা এবং পরিচালনা পর্ষদ সহ নিরাপত্তা নির্বাহীদের দ্বারা পরিচালিত হওয়া প্রয়োজন।

নিরাপত্তা দলগুলির একটি কোম্পানির ব্যবসার গুরুত্বপূর্ণ উপাদানগুলির দৃশ্যমানতা প্রদানের জন্য সম্পদ আবিষ্কার এবং পরিচয় ব্যবস্থাপনার দিকে নজর দেওয়া উচিত এবং কীভাবে কর্মী এবং কাজের চাপ সেই সম্পদগুলির সাথে যোগাযোগ করে। সেই কারণে, গভর্ন ফাংশনটি CSF-এর অন্যান্য দিকগুলির উপর অনেক বেশি নির্ভর করে - বিশেষ করে, "আইডেন্টিফাই" ফাংশন৷ এবং "ব্যবসায়িক পরিবেশ" এবং "রিস্ক ম্যানেজমেন্ট স্ট্র্যাটেজি" এর মতো বেশ কয়েকটি উপাদান আইডেন্টিটি থেকে গভর্নে স্থানান্তরিত হবে, অ্যাক্সিও'র ক্যারালি বলেছেন।

“এই নতুন ফাংশন বিকশিত নিয়ন্ত্রক প্রয়োজনীয়তা সমর্থন করে, যেমন এসইসি [ডেটা-ব্রেচ ডিসক্লোজার] নিয়ম, যা 2023 সালের ডিসেম্বরে কার্যকর হয়েছিল, সম্ভবত অতিরিক্ত নিয়ন্ত্রক পদক্ষেপগুলি আসার সম্ভাবনার জন্য একটি সম্মতি," তিনি বলেছেন। "এবং এটি সাইবার নিরাপত্তা ঝুঁকি ব্যবস্থাপনা প্রক্রিয়ায় নেতৃত্ব যে বিশ্বস্ত ভূমিকা পালন করে তা হাইলাইট করে।"

3. আপনার সাপ্লাই চেইন নিরাপত্তা বিবেচনা করুন

CSF 2.0-এ সাপ্লাই চেইন ঝুঁকি আরও প্রাধান্য পেয়েছে। সংস্থাগুলি সাধারণত ঝুঁকি গ্রহণ করতে পারে, এটি এড়াতে পারে, ঝুঁকি প্রশমিত করার চেষ্টা করতে পারে, ঝুঁকি ভাগ করে নিতে পারে বা সমস্যাটি অন্য সংস্থায় স্থানান্তর করতে পারে। আধুনিক নির্মাতারা, উদাহরণস্বরূপ, সাধারণত তাদের ক্রেতাদের কাছে সাইবার-ঝুঁকি স্থানান্তর করে, যার মানে হল যে কোনও সরবরাহকারীর উপর সাইবার আক্রমণের ফলে সৃষ্ট বিভ্রাট আপনার কোম্পানিকেও প্রভাবিত করতে পারে, বলেছেন অলোক চক্রবর্তী, অংশীদার এবং তদন্তের সহ-সভাপতি, সরকারী প্রয়োগকারী, এবং আইন সংস্থা স্নেল অ্যান্ড উইলমারে হোয়াইট-কলার সুরক্ষা অনুশীলন গ্রুপ।

চক্রবর্তী বলেছেন, নিরাপত্তা দলগুলির সরবরাহকারীদের সাইবার নিরাপত্তা ভঙ্গি মূল্যায়ন করার জন্য একটি সিস্টেম তৈরি করা উচিত, সম্ভাব্য শোষণযোগ্য দুর্বলতাগুলি সনাক্ত করা এবং যাচাই করা উচিত যে সরবরাহকারীর ঝুঁকি তাদের ক্রেতাদের কাছে স্থানান্তরিত হচ্ছে না। 

"যেহেতু বিক্রেতার নিরাপত্তা এখন স্পষ্টভাবে হাইলাইট করা হয়েছে, অনেক বিক্রেতারা নিজেদেরকে মেনে চলার অনুশীলন হিসাবে বাজারজাত করতে পারে, কিন্তু কোম্পানিগুলি এই উপস্থাপনাগুলি যাচাই এবং চাপ-পরীক্ষা করার জন্য ভাল করবে," তিনি বলেছেন। "এই সাইবারসিকিউরিটি উপস্থাপনাগুলির চারপাশে অতিরিক্ত অডিট রিপোর্টিং এবং নীতিগুলি সন্ধান করা এই বিকাশমান বাজারের অংশ হয়ে উঠতে পারে।"

4. আপনার বিক্রেতাদের CSF 2.0 সমর্থন নিশ্চিত করুন৷

পরামর্শ পরিষেবা এবং সাইবার নিরাপত্তা ভঙ্গি ব্যবস্থাপনা পণ্য, অন্যদের মধ্যে, সাম্প্রতিক CSF সমর্থন করার জন্য সম্ভবত পুনর্মূল্যায়ন এবং আপডেট করা প্রয়োজন হবে। প্রথাগত শাসন, ঝুঁকি, এবং সম্মতি (GRC) সরঞ্জামগুলি, উদাহরণস্বরূপ, এনআইএসটি দ্বারা গভর্ন ফাংশনের উপর বর্ধিত জোরের আলোকে পুনর্বিবেচনা করা উচিত, Axio-এর Caralli বলেছেন।

অধিকন্তু, CSF 2.0 তাদের তৃতীয় পক্ষের ঝুঁকিগুলিকে আরও ভালভাবে সনাক্ত ও নিয়ন্ত্রণ করার জন্য সাপ্লাই চেইন ম্যানেজমেন্ট পণ্য এবং পরিষেবাগুলিতে অতিরিক্ত চাপ দেয়, Caralli বলেছেন।

তিনি যোগ করেছেন: "সম্ভবত বিদ্যমান সরঞ্জাম এবং পদ্ধতিগুলি প্রসারিত অনুশীলন সেটের সাথে আরও ভালভাবে সারিবদ্ধ করার জন্য তাদের পণ্য এবং পরিষেবা অফারগুলিকে উন্নত করার জন্য ফ্রেমওয়ার্ক আপডেটগুলিতে সুযোগগুলি দেখতে পাবে।"

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started