米国国立標準技術研究所 (NIST) が発表しました。 評判の高いサイバーセキュリティ フレームワーク (CSF) の最新ドラフト 今週、企業はこの文書に対するいくつかの重要な変更が自社のサイバーセキュリティ プログラムにどのような影響を与えるかを検討することになる。
サイバーセキュリティに対する経営陣および取締役会の監視強化を組み込む新しい「ガバナンス」機能と、重要な業界のみを超えたベストプラクティスの拡大との間で、サイバーセキュリティチームは自らの仕事を割かれることになる、と同社のシニアサイバーセキュリティアドバイザー、リチャード・カラリ氏は語る。 Axio は、IT およびオペレーショナル テクノロジー (OT) の脅威管理会社です。
「多くの場合、これは、組織がフレームワーク変更の影響を判断するために、既存の評価、特定されたギャップ、修復活動を徹底的に検討する必要があることを意味します」と彼は言い、「以前は可能だった新たなプログラムのギャップが現れるだろう」と付け加えた。特にサイバーセキュリティガバナンスとサプライチェーンリスク管理に関しては存在していませんでした。」
オリジナルの CSF は 10 年前に最後に更新され、サイバーセキュリティに関するガイダンスを提供することを目的としていました。 国家および経済の安全保障に重要な産業を選択します。 最新バージョン そのビジョンを大幅に拡張し、サイバーセキュリティの成熟度と態勢を改善しようとするあらゆる組織のためのフレームワークを作成します。さらに、サードパーティのパートナーとサプライヤーは、CSF 2.0 で考慮すべき重要な要素となっています。
Axoniusのシニアサイバーセキュリティストラテジスト、Katie Teitler-Santullo氏は声明で、規制を遵守し、文書のベストプラクティスを実装するには、組織はサイバーセキュリティをより体系的に検討する必要があると述べた。
「このガイダンスを実行可能にするためには、企業による自走努力が必要だ」と彼女は述べた。 「法律になるまでは、指導は単なる指導です。上位の業績をあげている組織は、サイバーリスクに対してよりビジネス中心のアプローチに移行することになるでしょう。」
ここでは、NIST サイバーセキュリティ フレームワークの最新バージョンを運用するための 4 つのヒントを紹介します。
1. すべての NIST リソースを使用する
NIST CSF は単なる文書ではなく、企業がフレームワークを自社の特定の環境や要件に適用するために使用できるリソースのコレクションです。たとえば、組織およびコミュニティのプロファイルは、企業が自社のサイバーセキュリティ要件、資産、管理を評価、または再評価するための基盤を提供します。プロセスを開始しやすくするために、NIST は、中小企業などの特定の業界セグメントや、サイバーセキュリティ サプライ チェーン リスク管理 (C-SCRM) などの特定の機能向けのクイックスタート ガイドも公開しています。
NIST のリソースは、チームが変化を理解するのに役立ちます、と IT コンサルティング会社 Protiviti のマネージング ディレクターである Nick Puetz 氏は言います。
「これらはあらゆる規模の企業を支援できる非常に価値のあるツールですが、特に小規模な組織に役立ちます」と彼は言い、チームは「これが組織にどのような利益をもたらすかを上級幹部チーム、さらには取締役会に理解させる必要がある」と付け加えた。このプログラムは[しかし]短期的には成熟度スコア[または]ベンチマークの不一致を引き起こす可能性があります。」
2. リーダーと「政府」機能の影響について話し合う
NIST CSF 2.0 では、まったく新しいコア機能である Govern が追加されています。この新しい機能は、サイバーセキュリティに対する組織全体のアプローチが、運用によって測定され、取締役会を含むセキュリティ幹部によって管理されるビジネス戦略と一致する必要があるという認識です。
セキュリティ チームは、企業のビジネスの重要なコンポーネントと、従業員とワークロードがそれらの資産とどのようにやり取りするかを可視化するために、資産の検出と ID 管理に注目する必要があります。そのため、統治機能は CSF の他の側面、特に「識別」機能に大きく依存しています。また、「ビジネス環境」や「リスク管理戦略」などのいくつかのコンポーネントは、アイデンティティからガバナンスに移行されるとAxioのCaralli氏は述べています。
「この新機能は、次のような進化する規制要件をサポートします。 SEC [データ侵害開示] 規則2023年XNUMX月に発効したこの法律は、今後追加の規制措置が講じられる可能性を示唆している可能性が高い」と彼は言う。 「そして、サイバーセキュリティのリスク管理プロセスにおいてリーダーシップが果たす受託者の役割を浮き彫りにしています。」
3. サプライチェーンのセキュリティを考慮する
CSF 2.0 では、サプライチェーンのリスクがさらに重要視されます。組織は通常、リスクを受け入れたり、リスクを回避したり、リスクを軽減したり、リスクを共有したり、問題を別の組織に移したりすることができます。たとえば、現代の製造業者は通常、サイバーリスクを買い手に移転する。つまり、サプライヤーに対するサイバー攻撃によって引き起こされる機能停止は、自社にも影響を与える可能性があることを意味する、と政府執行機関のパートナー兼調査共同議長のアローク・チャクラバーティ氏は言う。法律事務所スネル&ウィルマーのホワイトカラー保護実践グループ。
セキュリティチームは、サプライヤーのサイバーセキュリティ体制を評価し、悪用される可能性のある弱点を特定し、サプライヤーのリスクが買い手に移転していないかを検証するシステムを構築する必要がある、とチャクラバーティ氏は言う。
「現在、ベンダーのセキュリティが明示的に強調されているため、多くのベンダーが適合慣行を行っていると宣伝するかもしれませんが、企業はこれらの表現を精査し、プレッシャーテストを行うことが適切です」と彼は言います。 「これらのサイバーセキュリティに関する表明に関する追加の監査報告とポリシーを求めることは、この進化する市場の一部となる可能性があります。」
4. ベンダーが CSF 2.0 をサポートしていることを確認する
コンサルティング サービスやサイバーセキュリティ体制管理製品などは、最新の CSF をサポートするために再評価および更新する必要がある可能性があります。たとえば、従来のガバナンス、リスク、コンプライアンス (GRC) ツールは、NIST によるガバナンス機能の重要性の高まりを考慮して再検討されるべきである、と Axio の Caralli 氏は述べています。
さらに、CSF 2.0は、サードパーティのリスクをより適切に特定して制御するために、サプライチェーン管理の製品とサービスにさらなる圧力をかけるとカラリ氏は言います。
同氏はさらに、「既存のツールや手法は、フレームワークのアップデートで製品やサービスの提供を改善し、拡張された実践セットにさらに適合する機会が得られる可能性が高い。」と付け加えた。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- :持っている
- :は
- :not
- 1
- 10
- 2023
- 7
- a
- 同意
- 実用的
- 行動
- 活動
- 追加
- 添加
- NEW
- 追加
- 影響を及ぼす
- 前
- 目的としました
- 整列する
- すべて
- また
- 間で
- an
- および
- 別の
- どれか
- 申し込む
- アプローチ
- です
- 周りに
- AS
- 側面
- 評価する
- アセスメント
- 資産
- 資産
- At
- 試み
- 監査
- 避ける
- BE
- なぜなら
- になる
- になる
- き
- さ
- ベンチマーク
- 恩恵
- BEST
- ベストプラクティス
- より良いです
- 越えて
- ボード
- 取締役会
- ビジネス
- ビジネス中心
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- バイヤー
- by
- 缶
- 例
- 生じました
- チェーン
- 変更
- 共同議長
- コレクション
- 来ます
- コミュニティ
- 企業
- 会社
- コンプライアンス
- 従う
- コンポーネント
- 確認します
- 検討
- コンサルティング
- コントロール
- controls
- 基本
- 可能性
- 作ります
- 重大な
- カット
- サイバー攻撃
- サイバーセキュリティ
- 12月
- 決定する
- 取締役
- 取締役
- 開示
- 発見
- 話し合います
- do
- ドキュメント
- ドラフト
- 容易
- 経済
- 効果
- 努力
- 出てくる
- 強調
- 執行
- 確保
- 完全に
- 環境
- 特に
- 評価する
- さらに
- 進化
- 例
- エグゼクティブ
- 幹部
- 既存の
- 拡大
- 拡大する
- 拡大
- 要因
- 少数の
- 会社
- Foundation
- 4
- フレームワーク
- から
- function
- 機能
- 利益
- ギャップ
- 取得する
- 支配する
- ガバナンス
- 政府・公共機関
- 大きい
- 大いに
- グループ
- ガイダンス
- ガイド
- ハード
- 持ってる
- 持って
- he
- 重く
- 助けます
- 強調表示された
- ハイライト
- 非常に
- 認定条件
- HTTPS
- 特定され
- 識別する
- アイデンティティ
- アイデンティティ管理
- 影響
- 実装する
- 改善します
- in
- 含めて
- 矛盾
- 組み込む
- 増加した
- 産業
- 産業を変えます
- 機関
- 意図している
- 対話
- に
- 調査
- 問題
- IT
- ITS
- JPG
- ただ
- 姓
- 最新の
- 法律
- 法律事務所
- リーダーシップ
- 残す
- 光
- 可能性が高い
- 見て
- make
- 作成
- マネージド
- 管理
- 管理する
- 取締役社長
- メーカー
- 多くの
- 市場
- 一致
- 満期
- 五月..
- 意味する
- 手段
- メソッド
- 軽減する
- モダン
- 他には?
- 移動
- 国民
- 必要
- ニーズ
- 新作
- ニック
- ニスト
- 今
- of
- オファリング
- on
- オペレーショナル
- 業務執行統括
- 機会
- or
- 組織
- 組織の
- 組織
- オリジナル
- その他
- その他
- でる
- 機能停止
- 全体
- 見落とし
- 部
- 特定の
- パートナー
- パートナー
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 演劇
- ポリシー
- 潜在的な
- :
- 練習
- プラクティス
- 現在
- 圧力
- 前に
- プロセス
- プロダクト
- 製品
- 対応プロファイル
- 演奏曲目
- プログラム
- 目立つ
- 保護
- 提供します
- 公表
- 置く
- 認識
- 規制
- レギュレータ
- リリース
- 改善
- 各種レポート作成
- 要件
- リソース
- 尊重
- リチャード
- リスク
- リスク管理
- リスク
- 職種
- s
- 前記
- 言う
- 得点
- SEC
- セキュリティ
- を求める
- セグメント
- シニア
- 上級指導者
- サービス
- サービス
- セッションに
- いくつかの
- シェアする
- 彼女
- ショート
- すべき
- 重要
- サイズ
- 小さい
- 中小企業
- より小さい
- 一部
- 特定の
- スポンサー
- 規格
- start
- 開始
- ステートメント
- ステップ
- 戦略家
- 戦略
- そのような
- サプライヤー
- サプライヤー
- 供給
- サプライチェーン
- サプライチェーンマネジメント
- サポート
- サポート
- 取る
- チーム
- チーム
- テクノロジー
- 期間
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- ボーマン
- サードパーティ
- この
- それらの
- 脅威
- ヒント
- 〜へ
- 取った
- 豊富なツール群
- に向かって
- 伝統的な
- 転送
- 転送
- 一般的に
- わかる
- まで
- 更新しました
- 更新版
- に
- us
- つかいます
- 便利
- 貴重な
- ベンダー
- ベンダー
- 確認する
- バージョン
- 視認性
- ビジョン
- 弱点
- 週間
- WELL
- which
- 意志
- 仕事
- 労働者
- 年
- あなたの
- ゼファーネット