NIST Cybersecurity Framework 2.0: 4 шага для начала работы

Национальный институт стандартов и технологий США (NIST) опубликовал последний проект широко известной системы кибербезопасности (CSF) На этой неделе компаниям предстоит задуматься о том, как несколько существенных изменений в документе повлияют на их программы кибербезопасности.

По словам Ричарда Каралли, старшего советника по кибербезопасности компании Ричард Каралли, между новой функцией «управления», которая будет включать более строгий надзор за кибербезопасностью со стороны исполнительной власти и совета директоров, а также распространением лучших практик, выходящих за рамки только тех, которые предназначены для критически важных отраслей, командам по кибербезопасности придется много работать. Axio, компания по управлению угрозами в сфере ИТ и операционных технологий (ОТ).

«Во многих случаях это будет означать, что организациям придется внимательно изучить существующие оценки, выявленные пробелы и действия по исправлению, чтобы определить влияние изменений в системе», — говорит он, добавляя, что «появятся новые программные пробелы, которые ранее могли не присутствовали, особенно в отношении управления кибербезопасностью и управления рисками в цепочке поставок».

Первоначальный CSF, последний раз обновлявшийся 10 лет назад, был призван предоставить руководство по кибербезопасности для отрасли, имеющие решающее значение для национальной и экономической безопасности, Последняя версия значительно расширяет это видение, создавая основу для любой организации, намеревающейся улучшить свою зрелость и состояние кибербезопасности. Кроме того, сторонние партнеры и поставщики теперь являются важным фактором, который следует учитывать в CSF 2.0.

Организациям необходимо более систематически относиться к кибербезопасности, чтобы соблюдать правила и внедрять лучшие практики из документа, заявила в своем заявлении Кэти Тейтлер-Сантулло, старший стратег по кибербезопасности компании Axonius.

«Для того, чтобы это руководство стало действенным, потребуется самостоятельная работа со стороны бизнеса», — сказала она. «Руководство остается всего лишь руководством, пока оно не станет законом. Наиболее эффективные организации возьмут на себя задачу перейти к более бизнес-ориентированному подходу к киберрискам».

Вот четыре совета по внедрению последней версии NIST Cybersecurity Framework.

1. Используйте все ресурсы NIST.

NIST CSF — это не просто документ, а набор ресурсов, которые компании могут использовать для применения этой структуры к своей конкретной среде и требованиям. Например, профили организаций и сообществ предоставляют компаниям основу для оценки или переоценки своих требований к кибербезопасности, активов и средств контроля. Чтобы облегчить запуск процесса, NIST также опубликовал руководства QuickStart для конкретных сегментов отрасли, таких как малый бизнес, и для конкретных функций, таких как управление рисками в цепочке поставок кибербезопасности (C-SCRM). 

Ресурсы NIST могут помочь командам понять изменения, говорит Ник Пуетц, управляющий директор консалтинговой фирмы в области ИТ Protiviti.

«Это могут быть очень ценные инструменты, которые могут помочь компаниям любого размера, но особенно полезны для небольших организаций», — говорит он, добавляя, что команды должны «обеспечить, чтобы ваше высшее руководство — и даже ваш совет директоров — понимали, какую пользу это принесет программа, [но] может привести к некоторым несоответствиям в показателях зрелости [или] в сравнительном анализе в краткосрочной перспективе».

2. Обсудите влияние функции «управление» с руководством

В NIST CSF 2.0 добавлена ​​совершенно новая основная функция: управление. Новая функция является признанием того, что общий организационный подход к кибербезопасности должен соответствовать стратегии бизнеса, измеряемой операциями и управляемой руководителями службы безопасности, включая совет директоров.

Командам безопасности следует обратить внимание на обнаружение активов и управление идентификацией, чтобы обеспечить прозрачность важнейших компонентов бизнеса компании и того, как сотрудники и рабочие нагрузки взаимодействуют с этими активами. По этой причине функция управления во многом зависит от других аспектов CSF, в частности, от функции «Идентификация». А некоторые компоненты, такие как «Бизнес-среда» и «Стратегия управления рисками», будут перенесены из «Идентификация» в «Управление», говорит Каралли из Axio.

«Эта новая функция поддерживает меняющиеся нормативные требования, такие как правила SEC [раскрытие информации об утечке данных], который вступил в силу в декабре 2023 года, вероятно, является намеком на возможность принятия дополнительных регулирующих мер», — говорит он. «И это подчеркивает фидуциарную роль, которую руководство играет в процессе управления рисками кибербезопасности».

3. Подумайте о безопасности вашей цепочки поставок

Риск цепочки поставок приобретает большее значение в CSF 2.0. Организации обычно могут принять риск, избежать его, попытаться снизить риск, разделить риск или передать проблему другой организации. Современные производители, например, обычно перекладывают киберриски на своих покупателей, а это означает, что сбой, вызванный кибератакой на поставщика, может повлиять и на вашу компанию, говорит Алоке Чакраварти, партнер и сопредседатель расследований, правительственных правоохранительных органов, и группа практики по защите «белых воротничков» в юридической фирме Snell & Wilmer.

По словам Чакраварти, группы безопасности должны создать систему для оценки состояния кибербезопасности поставщиков, выявления потенциально уязвимых мест и проверки того, что риск поставщика не переносится на его покупателей. 

«Поскольку безопасности поставщиков теперь уделяется особое внимание, многие поставщики могут позиционировать себя как имеющие соответствующие практики, но компаниям следует тщательно изучить и протестировать эти заявления», — говорит он. «Потребность в дополнительных аудиторских отчетах и ​​политиках в отношении этих представлений о кибербезопасности может стать частью этого развивающегося рынка».

4. Убедитесь, что ваши поставщики поддерживают CSF 2.0.

Консалтинговые услуги и продукты по управлению кибербезопасностью, среди прочего, вероятно, потребуют переоценки и обновления для поддержки последней версии CSF. Например, традиционные инструменты управления, рисков и соблюдения требований (GRC) следует пересмотреть в свете повышенного внимания, уделяемого NIST функции управления, говорит Каралли из Axio.

Более того, CSF 2.0 оказывает дополнительное давление на продукты и услуги по управлению цепочками поставок, чтобы лучше выявлять и контролировать риски третьих сторон, говорит Каралли.

Он добавляет: «Вполне вероятно, что существующие инструменты и методы увидят возможности в обновлении структуры для улучшения своих продуктов и предложений услуг, чтобы лучше соответствовать расширенному набору практик».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started