NIST küberturvalisuse raamistik 2.0: 4 sammu alustamiseks

USA riiklik standardite ja tehnoloogia instituut (NIST) avaldas selle hästi hinnatud küberturvalisuse raamistiku (CSF) viimane kavand Sel nädalal jätavad ettevõtted mõtlema, kuidas mõned olulised muudatused dokumendis nende küberjulgeolekuprogramme mõjutavad.

Küberjulgeoleku valdkonna vanemnõunik Richard Caralli ütleb uue funktsiooni „Valitsemise” vahel, mis hõlmab küberjulgeoleku üle suuremat tegevjuhtkonna ja juhatuse järelevalvet, ning parimate tavade laiendamise vahel, kui ainult kriitiliste valdkondade jaoks. Axio, IT- ja operatiivtehnoloogia (OT) ohujuhtimise ettevõte.

"Paljudel juhtudel tähendab see seda, et organisatsioonid peavad raamistiku muudatuste mõju kindlaksmääramiseks põhjalikult vaatama olemasolevaid hinnanguid, tuvastatud lünki ja heastamistegevusi," ütleb ta ja lisab, et "tekivad esile uued programmilüngad, mis varem võisid. ei ole kohal olnud, eriti seoses küberjulgeoleku juhtimise ja tarneahela riskijuhtimisega.

Algse CSF-i, mida värskendati viimati 10 aastat tagasi, eesmärk oli pakkuda küberturvalisusega seotud juhiseid riikliku ja majandusliku julgeoleku seisukohalt kriitilise tähtsusega tööstusharud. Viimane versioon laiendab oluliselt seda visiooni, et luua raamistik igale organisatsioonile, kes kavatseb parandada oma küberturvalisuse küpsust ja positsiooni. Lisaks on kolmandatest osapooltest partnerid ja tarnijad nüüd CSF 2.0 puhul oluline tegur.

Organisatsioonid peavad küberjulgeolekut süstemaatilisemalt vaatama, et järgida eeskirju ja rakendada dokumendi parimaid tavasid, ütles Axoniuse küberjulgeoleku vanemstrateeg Katie Teitler-Santullo avalduses.

"Selle juhise rakendatavaks muutmine peab olema ettevõtete iseliikuv jõupingutus," ütles ta. "Juhised on lihtsalt juhised, kuni sellest saab seadus. Parimad organisatsioonid võtavad enda peale selle, et liikuda küberriskide ärikesksema lähenemisviisi poole.

Siin on neli näpunäidet NIST küberturvalisuse raamistiku uusima versiooni kasutuselevõtuks.

1. Kasutage kõiki NIST-i ressursse

NIST CSF ei ole lihtsalt dokument, vaid ressursside kogum, mida ettevõtted saavad kasutada raamistiku rakendamiseks oma konkreetse keskkonna ja nõuetega. Näiteks organisatsiooni- ja kogukonnaprofiilid annavad ettevõtetele aluse oma küberturvalisuse nõuete, varade ja kontrollide hindamiseks või ümberhindamiseks. Protsessi käivitamise hõlbustamiseks on NIST avaldanud ka QuickStarti juhendid konkreetsete tööstusharu segmentide (nt väikeettevõtete) ja spetsiifiliste funktsioonide (nt küberturvalisuse tarneahela riskijuhtimine (C-SCRM)) jaoks. 

NIST-i ressursid võivad aidata meeskondadel muutusi mõista, ütleb IT-konsultatsioonifirma Protiviti tegevdirektor Nick Puetz.

"Need võivad olla väga väärtuslikud tööriistad, mis võivad aidata igas suuruses ettevõtteid, kuid on eriti kasulikud väiksematele organisatsioonidele," ütleb ta ja lisab, et meeskonnad peaksid "tagama, et teie kõrgem juhtkond ja isegi teie juhatus mõistavad, kuidas see ettevõttele kasulik on." programm [kuid] võib lühiajaliselt tekitada mõningaid küpsushinnangute [või] võrdlusuuringu ebakõlasid.

2. Arutage juhtimisfunktsiooni mõju juhtkonnale

NIST CSF 2.0 lisab täiesti uue põhifunktsiooni: valitsemine. Uus funktsioon on tõdemus, et üldine organisatsiooniline lähenemine küberturvalisusele peab vastama ettevõtte strateegiale, mida mõõdetakse tegevuste järgi ja mida juhivad turbejuhid, sealhulgas direktorite nõukogu.

Turvameeskonnad peaksid tegelema varade avastamisega ja identiteedihaldusega, et anda ülevaade ettevõtte äritegevuse kriitilistest komponentidest ning sellest, kuidas töötajad ja töökoormus nende varadega suhtlevad. Seetõttu tugineb funktsioon Halda suuresti CSF-i muudele aspektidele – eelkõige funktsioonile „Identifitseeri”. Ja mitmed komponendid, nagu "ärikeskkond" ja "riskijuhtimise strateegia", viiakse identiteedist üle valitsemisalasse, ütleb Axio Caralli.

„See uus funktsioon toetab arenevaid regulatiivseid nõudeid, nagu SEC [andmete rikkumise avalikustamine] reeglid, mis jõustus 2023. aasta detsembris, viitab tõenäoliselt võimalikele täiendavatele regulatiivsetele meetmetele, ”ütleb ta. "Ja see tõstab esile usaldusliku rolli, mida juhtkond küberjulgeoleku riskijuhtimise protsessis mängib."

3. Kaaluge oma tarneahela turvalisust

Tarneahela risk muutub CSF 2.0-s suuremaks. Organisatsioonid võivad tavaliselt riskiga nõustuda, seda vältida, proovida riski maandada, riski jagada või probleemi teisele organisatsioonile üle anda. Näiteks kaasaegsed tootjad annavad tavaliselt küberriskid üle oma ostjatele, mis tähendab, et tarnija vastu suunatud küberrünnakust põhjustatud katkestus võib mõjutada ka teie ettevõtet, ütles Aloke Chakravarty, uurimise partner ja kaasesimees. ja valgekraede kaitse praktikagrupp advokaadibüroos Snell & Wilmer.

Turvameeskonnad peaksid looma süsteemi tarnijate küberturvalisuse hindamiseks, potentsiaalselt kasutatavate nõrkuste tuvastamiseks ja kontrollimiseks, et tarnija risk ei kandu üle nende ostjatele, ütleb Chakravarty. 

"Kuna tarnija turvalisus on nüüd selgelt esile tõstetud, võivad paljud müüjad end turundada kui vastavaid tavasid, kuid ettevõtetel on hea neid esitusi kontrollida ja survet testida," ütleb ta. "Täiendavate auditiaruannete ja poliitikate otsimine nende küberturvalisuse esituste kohta võib saada selle areneva turu osaks."

4. Kinnitage, et teie tarnija toetab CSF 2.0

Konsultatsiooniteenused ja küberturvalisuse asendihaldustooted tuleb tõenäoliselt ümber hinnata ja värskendada, et toetada uusimat CSF-i. Näiteks tuleks traditsioonilisi juhtimis-, riski- ja vastavustööriistu (GRC) uuesti läbi vaadata, pidades silmas NISTi suuremat rõhku valitsemisfunktsioonile, ütleb Axio Caralli.

Lisaks avaldab CSF 2.0 täiendavat survet tarneahela juhtimise toodetele ja teenustele, et paremini tuvastada ja kontrollida nende kolmandate osapoolte riske, ütleb Caralli.

Ta lisab: "On tõenäoline, et olemasolevad tööriistad ja meetodid näevad raamistiku värskendustes võimalusi oma toodete ja teenuste pakkumise täiustamiseks, et need sobiksid paremini laiendatud tavade komplektiga."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started