NIST 사이버보안 프레임워크 2.0: 시작하기 위한 4단계

미국 국립표준기술연구소(NIST)가 발표한 내용이다. 잘 알려진 CSF(사이버보안 프레임워크)의 최신 초안 이번 주에는 기업들이 문서의 몇 가지 중요한 변경 사항이 사이버 보안 프로그램에 어떤 영향을 미치는지 고민하게 되었습니다.

사이버 보안에 대한 더 큰 경영진과 이사회의 감독을 통합하는 새로운 "거버넌스" 기능과 중요 산업에 대한 모범 사례를 넘어서는 모범 사례 확장 사이에서 사이버 보안 팀은 자신의 업무를 잘게 처리하게 될 것이라고 수석 사이버 보안 고문인 Richard Caralli가 말했습니다. IT 및 운영 기술(OT) 위협 관리 회사인 Axio.

"많은 경우 이는 조직이 프레임워크 변경의 영향을 판단하기 위해 기존 평가, 확인된 격차, 개선 활동을 면밀히 조사해야 함을 의미합니다."라고 그는 덧붙입니다. "이전에 나타날 수 있었던 새로운 프로그램 격차가 나타날 것입니다." 특히 사이버 보안 거버넌스 및 공급망 위험 관리와 관련하여 존재하지 않았습니다.”

10년 전에 마지막으로 업데이트된 원본 CSF는 다음에 대한 사이버 보안 지침을 제공하는 것을 목표로 했습니다. 국가 및 경제 안보에 중요한 산업. 그만큼 최신 버전 사이버 보안 성숙도와 태세를 개선하려는 모든 조직을 위한 프레임워크를 만들기 위해 비전을 크게 확장합니다. 또한 제2.0자 파트너 및 공급업체는 이제 CSF XNUMX에서 고려해야 할 중요한 요소입니다.

Axonius의 수석 사이버 보안 전략가인 Katie Teitler-Santullo는 성명서에서 조직이 규정을 준수하고 문서의 모범 사례를 구현하기 위해 사이버 보안을 보다 체계적으로 조사해야 한다고 말했습니다.

“이 지침을 실행 가능하게 만드는 것은 기업의 자체적인 노력이 필요할 것입니다.”라고 그녀는 말했습니다. “지침은 법이 되기 전까지는 지침일 뿐입니다. 최고의 성과를 내는 조직은 사이버 위험에 대해 보다 비즈니스 중심적인 접근 방식을 취하기 위해 스스로 노력할 것입니다.”

다음은 최신 버전의 NIST 사이버보안 프레임워크 운영을 위한 4가지 팁입니다.

1. 모든 NIST 리소스를 활용하세요

NIST CSF는 단순한 문서가 아니라 기업이 프레임워크를 특정 환경 및 요구 사항에 적용하는 데 사용할 수 있는 리소스 모음입니다. 예를 들어 조직 및 커뮤니티 프로필은 기업이 사이버 보안 요구 사항, 자산 및 통제를 평가하거나 재평가할 수 있는 기반을 제공합니다. 프로세스를 더 쉽게 시작할 수 있도록 NIST는 중소기업과 같은 특정 산업 부문과 사이버 보안 공급망 위험 관리(C-SCRM)와 같은 특정 기능을 위한 QuickStart 가이드도 게시했습니다. 

IT 컨설팅 회사인 Protiviti의 관리 이사인 Nick Puetz는 NIST 리소스가 팀이 변경 사항을 이해하는 데 도움이 될 수 있다고 말합니다.

"이러한 도구는 모든 규모의 회사에 도움이 될 수 있지만 특히 소규모 조직에 유용할 수 있습니다."라고 그는 말합니다. 그리고 팀은 "고위 리더십 팀은 물론 심지어 이사회까지 이것이 어떤 이점을 얻을 수 있는지 이해해야 합니다."라고 덧붙였습니다. 프로그램은 [그러나] 단기적으로 성숙도 점수 [또는] 벤치마킹 불일치를 일으킬 수 있습니다.”

2. 리더십과 함께 "통치" 기능의 영향에 대해 논의합니다.

NIST CSF 2.0에는 완전히 새로운 핵심 기능인 Govern이 추가되었습니다. 새로운 기능은 사이버 보안에 대한 전반적인 조직적 접근 방식이 운영별로 측정되고 이사회를 포함한 보안 임원이 관리하는 비즈니스 전략과 일치해야 한다는 인식입니다.

보안 팀은 자산 검색 및 ID 관리를 통해 회사 비즈니스의 중요한 구성 요소와 작업자 및 워크로드가 해당 자산과 상호 작용하는 방식에 대한 가시성을 제공해야 합니다. 따라서 관리 기능은 CSF의 다른 측면, 특히 "식별" 기능에 크게 의존합니다. Axio의 Caralli는 "비즈니스 환경" 및 "위험 관리 전략"과 같은 여러 구성 요소가 ID에서 Govern으로 이동될 것이라고 말했습니다.

“이 새로운 기능은 다음과 같이 진화하는 규제 요구 사항을 지원합니다. SEC [데이터 침해 공개] 규칙2023년 XNUMX월 발효된 협정은 향후 추가적인 규제 조치가 있을 가능성에 대한 동의일 가능성이 높습니다.”라고 그는 말합니다. "그리고 이는 사이버 보안 위험 관리 프로세스에서 리더십이 수행하는 신탁 역할을 강조합니다."

3. 공급망 보안을 고려하세요

공급망 위험은 CSF 2.0에서 더욱 두드러집니다. 조직은 일반적으로 위험을 수용하고, 이를 방지하고, 위험을 완화하려고 시도하고, 위험을 공유하거나, 문제를 다른 조직에 전달할 수 있습니다. 예를 들어, 현대 제조업체는 일반적으로 구매자에게 사이버 위험을 전달합니다. 이는 공급업체에 대한 사이버 공격으로 인한 가동 중단이 귀하의 회사에도 영향을 미칠 수 있음을 의미한다고 조사 파트너이자 정부 집행 기관인 Aloke Chakravarty는 말합니다. 법률 회사 Snell & Wilmer의 사무직 보호 실무 그룹.

차크라바티는 보안팀이 공급업체의 사이버 보안 태세를 평가하고 잠재적으로 악용 가능한 약점을 식별하며 공급업체의 위험이 구매자에게 전달되지 않는지 확인하는 시스템을 구축해야 한다고 말했습니다. 

그는 "이제 공급업체 보안이 명시적으로 강조되기 때문에 많은 공급업체가 규정 준수 관행을 갖추고 있다고 광고할 수 있지만 기업은 이러한 표현을 면밀히 조사하고 압력 테스트를 수행하는 것이 좋습니다"라고 말합니다. "이러한 사이버 보안 표현에 대한 추가 감사 보고 및 정책을 찾는 것은 진화하는 시장의 일부가 될 수 있습니다."

4. 공급업체가 CSF 2.0을 지원하는지 확인하세요.

특히 컨설팅 서비스와 사이버 보안 상태 관리 제품은 최신 CSF를 지원하기 위해 재평가되고 업데이트되어야 할 것입니다. 예를 들어, Axio의 Caralli는 NIST가 거버넌스 기능을 더욱 강조하고 있다는 점을 고려하여 전통적인 GRC(거버넌스, 위험 및 규정 준수) 도구를 재검토해야 한다고 말합니다.

게다가 CSF 2.0은 공급망 관리 제품과 서비스에 추가적인 압력을 가해 제XNUMX자 위험을 더 잘 식별하고 통제할 수 있도록 한다고 Caralli는 말합니다.

그는 "기존 도구와 방법은 프레임워크 업데이트에서 기회를 발견하여 확장된 관행 세트에 더 잘 부합하도록 제품 및 서비스 제공을 개선할 가능성이 높습니다."라고 덧붙였습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started