موسسه ملی استاندارد و فناوری ایالات متحده (NIST) این را منتشر کرده است آخرین پیش نویس چارچوب امنیت سایبری مورد توجه آن (CSF) این هفته، شرکتها را وادار میکند تا در مورد اینکه چگونه چند تغییر مهم در سند بر برنامههای امنیت سایبری آنها تأثیر میگذارد، فکر کنند.
ریچارد کارالی، مشاور ارشد امنیت سایبری میگوید، بین عملکرد جدید «Govern» برای ترکیب نظارت بیشتر اجرایی و هیئتمدیره بر امنیت سایبری، و گسترش بهترین شیوهها فراتر از مواردی که فقط برای صنایع حیاتی هستند، کار خود را برای تیمهای امنیت سایبری انجام خواهند داد. Axio، یک شرکت مدیریت تهدیدات فناوری اطلاعات و عملیات (OT).
او میگوید: «در بسیاری از موارد، این بدان معناست که سازمانها باید به ارزیابیهای موجود، شکافهای شناساییشده، و فعالیتهای اصلاحی برای تعیین تأثیر تغییرات چارچوب نگاهی جدی بیندازند. وجود نداشته است، به ویژه با توجه به حاکمیت امنیت سایبری و مدیریت ریسک زنجیره تامین."
CSF اصلی که آخرین بار 10 سال پیش به روز شد، با هدف ارائه راهنمایی های امنیت سایبری به صنایع حیاتی برای امنیت ملی و اقتصادی. آخرین نسخه این چشم انداز را تا حد زیادی گسترش می دهد تا چارچوبی برای هر سازمانی ایجاد کند که قصد دارد بلوغ و وضعیت امنیت سایبری خود را بهبود بخشد. علاوه بر این، شرکا و تامین کنندگان شخص ثالث اکنون عامل مهمی هستند که باید در CSF 2.0 در نظر گرفته شوند.
کتی تیتلر-سانتولو، استراتژیست ارشد امنیت سایبری آکسونیوس در بیانیهای گفت: سازمانها باید به طور سیستماتیکتری به امنیت سایبری نگاه کنند تا از مقررات پیروی کنند و بهترین شیوههای این سند را اجرا کنند.
او گفت: «عملیکردن این راهنماییها باید یک تلاش خودگردان از سوی کسبوکارها باشد. «هدایت فقط هدایت است، تا زمانی که قانون شود. سازمانهای با عملکرد برتر این وظیفه را بر عهده خواهند گرفت که به سمت یک رویکرد تجاری محورتر برای ریسک سایبری حرکت کنند.
در اینجا چهار نکته برای عملیاتی کردن آخرین نسخه چارچوب امنیت سایبری NIST آورده شده است.
1. از همه منابع NIST استفاده کنید
NIST CSF فقط یک سند نیست، بلکه مجموعه ای از منابعی است که شرکت ها می توانند از آن برای اعمال چارچوب در محیط و الزامات خاص خود استفاده کنند. برای مثال، نمایههای سازمانی و اجتماعی، پایهای را برای شرکتها فراهم میکند تا الزامات، داراییها و کنترلهای امنیت سایبری خود را ارزیابی کنند - یا دوباره ارزیابی کنند. برای آسانتر کردن فرآیند شروع، NIST راهنماهای QuickStart را برای بخشهای خاص صنعت، مانند کسبوکارهای کوچک، و برای عملکردهای خاص، مانند مدیریت ریسک زنجیره تامین امنیت سایبری (C-SCRM) منتشر کرده است.
نیک پوتز، مدیر عامل Protiviti، یک شرکت مشاوره فناوری اطلاعات، می گوید: منابع NIST می توانند به تیم ها در درک تغییرات کمک کنند.
او میگوید: «اینها میتوانند ابزارهای بسیار ارزشمندی باشند که میتوانند به شرکتها در هر اندازه کمک کنند، اما به ویژه برای سازمانهای کوچکتر مفید هستند. برنامه [اما] میتواند در کوتاهمدت برخی ناسازگاریهایی در امتیازدهی بلوغ [یا] معیار ایجاد کند.»
2. درباره تأثیر عملکرد «حکومت» با رهبری بحث کنید
NIST CSF 2.0 یک عملکرد اصلی کاملاً جدید را اضافه می کند: Govern. عملکرد جدید به رسمیت شناختن این موضوع است که رویکرد کلی سازمانی به امنیت سایبری باید با استراتژی کسبوکار مطابقت داشته باشد که با عملیات اندازهگیری میشود و توسط مدیران امنیتی از جمله هیئت مدیره مدیریت میشود.
تیمهای امنیتی باید به دنبال کشف دارایی و مدیریت هویت باشند تا به اجزای حیاتی کسبوکار یک شرکت و نحوه تعامل کارگران و حجم کاری با آن داراییها دسترسی داشته باشند. به همین دلیل، عملکرد Govern به شدت بر سایر جنبههای CSF متکی است - به ویژه، عملکرد "شناسایی". و چندین مؤلفه، مانند «محیط کسبوکار» و «استراتژی مدیریت ریسک»، از Identity به Govern منتقل خواهند شد.
این عملکرد جدید از الزامات نظارتی در حال تحول پشتیبانی می کند، مانند قوانین SEC [افشای نقض اطلاعات]که در دسامبر 2023 اجرایی شد، احتمالاً اشاره ای به پتانسیل اقدامات نظارتی اضافی در آینده است. "و نقش امانتداری که رهبری در فرآیند مدیریت ریسک امنیت سایبری ایفا می کند را برجسته می کند."
3. امنیت زنجیره تامین خود را در نظر بگیرید
ریسک زنجیره تامین در CSF 2.0 اهمیت بیشتری پیدا می کند. سازمانها معمولاً میتوانند ریسک را بپذیرند، از آن اجتناب کنند، سعی کنند ریسک را کاهش دهند، ریسک را به اشتراک بگذارند یا موضوع را به سازمان دیگری منتقل کنند. آلوک چاکراورتی، شریک و رئیس تحقیقات، مجری دولت، میگوید، برای مثال، تولیدکنندگان مدرن معمولاً ریسک سایبری را به خریداران خود منتقل میکنند، به این معنی که قطعی ناشی از حمله سایبری به تأمینکننده میتواند شرکت شما را نیز تحت تأثیر قرار دهد. و گروه تمرین حفاظت یقه سفید در شرکت حقوقی Snell & Wilmer.
چاکراورتی میگوید، تیمهای امنیتی باید سیستمی برای ارزیابی وضعیت امنیت سایبری تامینکنندگان، شناسایی نقاط ضعف بالقوه قابل بهرهبرداری و بررسی اینکه ریسک تامینکننده به خریدارانشان منتقل نمیشود ایجاد کنند.
او میگوید: «از آنجایی که امنیت فروشنده اکنون به صراحت برجسته شده است، بسیاری از فروشندگان ممکن است خود را بهعنوان روشهای منطبق به بازار معرفی کنند، اما شرکتها بهخوبی این بازنماییها را بررسی و تحت فشار قرار میدهند.» جستوجوی گزارشهای ممیزی و سیاستهای اضافی پیرامون این نمایندگیهای امنیت سایبری ممکن است بخشی از این بازار در حال تحول شود.
4. تأیید کنید که فروشندگان شما از CSF 2.0 پشتیبانی می کنند
خدمات مشاوره و محصولات مدیریت وضعیت امنیت سایبری، در میان سایر موارد، احتمالاً نیاز به ارزیابی مجدد و به روز رسانی برای پشتیبانی از آخرین CSF دارند. بهعنوان مثال، ابزارهای حاکمیت سنتی، ریسک و انطباق (GRC) باید با توجه به تاکید فزایندهای که NIST بر عملکرد Govern میکند، مورد بازنگری قرار گیرد.
به گفته کارالی، علاوه بر این، CSF 2.0 فشار بیشتری را بر محصول و خدمات مدیریت زنجیره تامین وارد میکند تا ریسکهای شخص ثالث را بهتر شناسایی و کنترل کند.
او میافزاید: «احتمالاً ابزارها و روشهای موجود فرصتهایی را در بهروزرسانیهای چارچوب برای بهبود محصولات و خدمات ارائهشده برای همسویی بهتر با مجموعه تمرینی گستردهتر خواهند دید».
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- : دارد
- :است
- :نه
- 1
- 10
- 2023
- 7
- a
- پذیرفتن
- عملی
- اقدامات
- فعالیت ها
- اضافه کردن
- اضافه
- اضافی
- می افزاید:
- اثر
- پیش
- هدف
- تراز
- معرفی
- همچنین
- در میان
- an
- و
- دیگر
- هر
- درخواست
- روش
- هستند
- دور و بر
- AS
- جنبه
- ارزیابی کنید
- ارزیابی ها
- دارایی
- دارایی
- At
- کوشش
- حسابرسی
- اجتناب از
- BE
- زیرا
- شدن
- شود
- بوده
- بودن
- معیار
- سود
- بهترین
- بهترین شیوه
- بهتر
- خارج از
- تخته
- هيئت مدیره
- کسب و کار
- کسب و کار محور
- کسب و کار
- اما
- خریداران
- by
- CAN
- موارد
- ایجاد می شود
- زنجیر
- تبادل
- رئیس مشترک
- مجموعه
- بیا
- انجمن
- شرکت
- شرکت
- انطباق
- مطابق
- اجزاء
- تکرار
- در نظر بگیرید
- مشاوره
- کنترل
- گروه شاهد
- هسته
- میتوانست
- ایجاد
- بحرانی
- برش
- حمله سایبری
- امنیت سایبری
- دسامبر
- مشخص کردن
- مدیر
- مدیران
- افشاء
- کشف
- بحث و تبادل نظر
- do
- سند
- پیش نویس
- آسان تر
- اقتصادی
- اثر
- تلاش
- ظهور
- تاکید
- اجرای
- اطمینان حاصل شود
- به طور کامل
- محیط
- به خصوص
- ارزیابی
- حتی
- در حال تحول
- مثال
- اجرایی
- مدیران
- موجود
- منبسط
- گسترش می یابد
- توسعه
- عامل
- کمی از
- شرکت
- برای
- پایه
- چهار
- چارچوب
- از جانب
- تابع
- توابع
- عایدات
- شکاف
- دریافت کنید
- حکومت می کند
- حکومت
- دولت
- بیشتر
- تا حد زیادی
- گروه
- راهنمایی
- راهنما
- سخت
- آیا
- داشتن
- he
- به شدت
- کمک
- برجسته
- های لایت
- خیلی
- چگونه
- HTTPS
- شناسایی
- شناسایی
- هویت
- مدیریت هویت
- تأثیر
- انجام
- بهبود
- in
- از جمله
- تناقضات
- ترکیب کردن
- افزایش
- لوازم
- صنعت
- موسسه
- قصد داشتن
- تعامل
- به
- تحقیقات
- موضوع
- IT
- ITS
- JPG
- تنها
- نام
- آخرین
- قانون
- شرکت حقوقی
- رهبری
- ترک
- سبک
- احتمالا
- نگاه کنيد
- ساخت
- ساخت
- اداره می شود
- مدیریت
- مدیریت
- مدیر عامل
- تولید کنندگان
- بسیاری
- بازار
- مسابقه
- بلوغ
- ممکن است..
- متوسط
- به معنی
- روش
- کاهش
- مدرن
- بیش
- حرکت
- نقل مکان کرد
- ملی
- نیاز
- نیازهای
- جدید
- شکاف
- نیست
- اکنون
- of
- پیشنهادات
- on
- قابل استفاده
- عملیات
- فرصت ها
- or
- کدام سازمان ها
- سازمانی
- سازمان های
- اصلی
- دیگر
- دیگران
- خارج
- قطع شدن
- به طور کلی
- نظارت
- بخش
- ویژه
- شریک
- شرکای
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقش
- سیاست
- پتانسیل
- بالقوه
- تمرین
- شیوه های
- در حال حاضر
- فشار
- قبلا
- روند
- محصول
- محصولات
- پروفایل
- برنامه
- برنامه ها
- برجستگی
- حفاظت
- ارائه
- منتشر شده
- قرار می دهد
- به رسمیت شناختن
- مقررات
- تنظیم کننده
- منتشر شد
- تصفیه
- گزارش
- مورد نیاز
- منابع
- احترام
- ریچارد
- خطر
- مدیریت ریسک
- خطرات
- نقش
- s
- سعید
- می گوید:
- به ثمر رساندن
- SEC
- تیم امنیت لاتاری
- دیدن
- به دنبال
- بخش ها
- ارشد
- رهبری ارشد
- سرویس
- خدمات
- تنظیم
- چند
- اشتراک گذاری
- او
- کوتاه
- باید
- قابل توجه
- اندازه
- کوچک
- کسب و کار کوچک
- کوچکتر
- برخی از
- خاص
- حمایت مالی
- استانداردهای
- شروع
- آغاز شده
- بیانیه
- مراحل
- رزمارا
- استراتژی
- چنین
- تهیه کننده
- تامین کنندگان
- عرضه
- زنجیره تامین
- مدیریت زنجیره تامین
- پشتیبانی
- پشتیبانی از
- سیستم
- گرفتن
- تیم
- تیم ها
- پیشرفته
- مدت
- که
- La
- شان
- آنها
- خودشان
- اینها
- شخص ثالث
- این
- کسانی که
- تهدید
- نکات
- به
- در زمان
- ابزار
- نسبت به
- سنتی
- انتقال
- منتقل
- به طور معمول
- فهمیدن
- تا
- به روز شده
- به روز رسانی
- بر
- us
- استفاده کنید
- مفید
- ارزشمند
- فروشنده
- فروشندگان
- بررسی
- نسخه
- دید
- دید
- نقاط ضعف
- هفته
- خوب
- که
- اراده
- با
- مهاجرت کاری
- کارگران
- سال
- شما
- زفیرنت