NIST サイバーセキュリティ フレームワーク 2.0: 始めるための 4 つのステップ

米国国立標準技術研究所 (NIST) が発表しました。 評判の高いサイバーセキュリティ フレームワーク (CSF) の最新ドラフト 今週、企業はこの文書に対するいくつかの重要な変更が自社のサイバーセキュリティ プログラムにどのような影響を与えるかを検討することになる。

サイバーセキュリティに対する経営陣および取締役会の監視強化を組み込む新しい「ガバナンス」機能と、重要な業界のみを超えたベストプラクティスの拡大との間で、サイバーセキュリティチームは自らの仕事を割かれることになる、と同社のシニアサイバーセキュリティアドバイザー、リチャード・カラリ氏は語る。 Axio は、IT およびオペレーショナル テクノロジー (OT) の脅威管理会社です。

「多くの場合、これは、組織がフレームワーク変更の影響を判断するために、既存の評価、特定されたギャップ、修復活動を徹底的に検討する必要があることを意味します」と彼は言い、「以前は可能だった新たなプログラムのギャップが現れるだろう」と付け加えた。特にサイバーセキュリティガバナンスとサプライチェーンリスク管理に関しては存在していませんでした。」

オリジナルの CSF は 10 年前に最後に更新され、サイバーセキュリティに関するガイダンスを提供することを目的としていました。 国家および経済の安全保障に重要な産業を選択します。 最新バージョン そのビジョンを大幅に拡張し、サイバーセキュリティの成熟度と態勢を改善しようとするあらゆる組織のためのフレームワークを作成します。さらに、サードパーティのパートナーとサプライヤーは、CSF 2.0 で考慮すべき重要な要素となっています。

Axoniusのシニアサイバーセキュリティストラテジスト、Katie Teitler-Santullo氏は声明で、規制を遵守し、文書のベストプラクティスを実装するには、組織はサイバーセキュリティをより体系的に検討する必要があると述べた。

「このガイダンスを実行可能にするためには、企業による自走努力が必要だ」と彼女は述べた。 「法律になるまでは、指導は単なる指導です。上位の業績をあげている組織は、サイバーリスクに対してよりビジネス中心のアプローチに移行することになるでしょう。」

ここでは、NIST サイバーセキュリティ フレームワークの最新バージョンを運用するための 4 つのヒントを紹介します。

1. すべての NIST リソースを使用する

NIST CSF は単なる文書ではなく、企業がフレームワークを自社の特定の環境や要件に適用するために使用できるリソースのコレクションです。たとえば、組織およびコミュニティのプロファイルは、企業が自社のサイバーセキュリティ要件、資産、管理を評価、または再評価するための基盤を提供します。プロセスを開始しやすくするために、NIST は、中小企業などの特定の業界セグメントや、サイバーセキュリティ サプライ チェーン リスク管理 (C-SCRM) などの特定の機能向けのクイックスタート ガイドも公開しています。 

NIST のリソースは、チームが変化を理解するのに役立ちます、と IT コンサルティング会社 Protiviti のマネージング ディレクターである Nick Puetz 氏は言います。

「これらはあらゆる規模の企業を支援できる非常に価値のあるツールですが、特に小規模な組織に役立ちます」と彼は言い、チームは「これが組織にどのような利益をもたらすかを上級幹部チーム、さらには取締役会に理解させる必要がある」と付け加えた。このプログラムは[しかし]短期的には成熟度スコア[または]ベンチマークの不一致を引き起こす可能性があります。」

2. リーダーと「政府」機能の影響について話し合う

NIST CSF 2.0 では、まったく新しいコア機能である Govern が追加されています。この新しい機能は、サイバーセキュリティに対する組織全体のアプローチが、運用によって測定され、取締役会を含むセキュリティ幹部によって管理されるビジネス戦略と一致する必要があるという認識です。

セキュリティ チームは、企業のビジネスの重要なコンポーネントと、従業員とワークロードがそれらの資産とどのようにやり取りするかを可視化するために、資産の検出と ID 管理に注目する必要があります。そのため、統治機能は CSF の他の側面、特に「識別」機能に大きく依存しています。また、「ビジネス環境」や「リスク管理戦略」などのいくつかのコンポーネントは、アイデンティティからガバナンスに移行されるとAxioのCaralli氏は述べています。

「この新機能は、次のような進化する規制要件をサポートします。 SEC [データ侵害開示] 規則2023年XNUMX月に発効したこの法律は、今後追加の規制措置が講じられる可能性を示唆している可能性が高い」と彼は言う。 「そして、サイバーセキュリティのリスク管理プロセスにおいてリーダーシップが果たす受託者の役割を浮き彫りにしています。」

3. サプライチェーンのセキュリティを考慮する

CSF 2.0 では、サプライチェーンのリスクがさらに重要視されます。組織は通常、リスクを受け入れたり、リスクを回避したり、リスクを軽減したり、リスクを共有したり、問題を別の組織に移したりすることができます。たとえば、現代の製造業者は通常、サイバーリスクを買い手に移転する。つまり、サプライヤーに対するサイバー攻撃によって引き起こされる機能停止は、自社にも影響を与える可能性があることを意味する、と政府執行機関のパートナー兼調査共同議長のアローク・チャクラバーティ氏は言う。法律事務所スネル＆ウィルマーのホワイトカラー保護実践グループ。

セキュリティチームは、サプライヤーのサイバーセキュリティ体制を評価し、悪用される可能性のある弱点を特定し、サプライヤーのリスクが買い手に移転していないかを検証するシステムを構築する必要がある、とチャクラバーティ氏は言う。 

「現在、ベンダーのセキュリティが明示的に強調されているため、多くのベンダーが適合慣行を行っていると宣伝するかもしれませんが、企業はこれらの表現を精査し、プレッシャーテストを行うことが適切です」と彼は言います。 「これらのサイバーセキュリティに関する表明に関する追加の監査報告とポリシーを求めることは、この進化する市場の一部となる可能性があります。」

4. ベンダーが CSF 2.0 をサポートしていることを確認する

コンサルティング サービスやサイバーセキュリティ体制管理製品などは、最新の CSF をサポートするために再評価および更新する必要がある可能性があります。たとえば、従来のガバナンス、リスク、コンプライアンス (GRC) ツールは、NIST によるガバナンス機能の重要性の高まりを考慮して再検討されるべきである、と Axio の Caralli 氏は述べています。

さらに、CSF 2.0は、サードパーティのリスクをより適切に特定して制御するために、サプライチェーン管理の製品とサービスにさらなる圧力をかけるとカラリ氏は言います。

同氏はさらに、「既存のツールや手法は、フレームワークのアップデートで製品やサービスの提供を改善し、拡張された実践セットにさらに適合する機会が得られる可能性が高い。」と付け加えた。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started