Национальный институт стандартов и технологий США (NIST) опубликовал последний проект широко известной системы кибербезопасности (CSF) На этой неделе компаниям предстоит задуматься о том, как несколько существенных изменений в документе повлияют на их программы кибербезопасности.
По словам Ричарда Каралли, старшего советника по кибербезопасности компании Ричард Каралли, между новой функцией «управления», которая будет включать более строгий надзор за кибербезопасностью со стороны исполнительной власти и совета директоров, а также распространением лучших практик, выходящих за рамки только тех, которые предназначены для критически важных отраслей, командам по кибербезопасности придется много работать. Axio, компания по управлению угрозами в сфере ИТ и операционных технологий (ОТ).
«Во многих случаях это будет означать, что организациям придется внимательно изучить существующие оценки, выявленные пробелы и действия по исправлению, чтобы определить влияние изменений в системе», — говорит он, добавляя, что «появятся новые программные пробелы, которые ранее могли не присутствовали, особенно в отношении управления кибербезопасностью и управления рисками в цепочке поставок».
Первоначальный CSF, последний раз обновлявшийся 10 лет назад, был призван предоставить руководство по кибербезопасности для отрасли, имеющие решающее значение для национальной и экономической безопасности, Последняя версия значительно расширяет это видение, создавая основу для любой организации, намеревающейся улучшить свою зрелость и состояние кибербезопасности. Кроме того, сторонние партнеры и поставщики теперь являются важным фактором, который следует учитывать в CSF 2.0.
Организациям необходимо более систематически относиться к кибербезопасности, чтобы соблюдать правила и внедрять лучшие практики из документа, заявила в своем заявлении Кэти Тейтлер-Сантулло, старший стратег по кибербезопасности компании Axonius.
«Для того, чтобы это руководство стало действенным, потребуется самостоятельная работа со стороны бизнеса», — сказала она. «Руководство остается всего лишь руководством, пока оно не станет законом. Наиболее эффективные организации возьмут на себя задачу перейти к более бизнес-ориентированному подходу к киберрискам».
Вот четыре совета по внедрению последней версии NIST Cybersecurity Framework.
1. Используйте все ресурсы NIST.
NIST CSF — это не просто документ, а набор ресурсов, которые компании могут использовать для применения этой структуры к своей конкретной среде и требованиям. Например, профили организаций и сообществ предоставляют компаниям основу для оценки или переоценки своих требований к кибербезопасности, активов и средств контроля. Чтобы облегчить запуск процесса, NIST также опубликовал руководства QuickStart для конкретных сегментов отрасли, таких как малый бизнес, и для конкретных функций, таких как управление рисками в цепочке поставок кибербезопасности (C-SCRM).
Ресурсы NIST могут помочь командам понять изменения, говорит Ник Пуетц, управляющий директор консалтинговой фирмы в области ИТ Protiviti.
«Это могут быть очень ценные инструменты, которые могут помочь компаниям любого размера, но особенно полезны для небольших организаций», — говорит он, добавляя, что команды должны «обеспечить, чтобы ваше высшее руководство — и даже ваш совет директоров — понимали, какую пользу это принесет программа, [но] может привести к некоторым несоответствиям в показателях зрелости [или] в сравнительном анализе в краткосрочной перспективе».
2. Обсудите влияние функции «управление» с руководством
В NIST CSF 2.0 добавлена совершенно новая основная функция: управление. Новая функция является признанием того, что общий организационный подход к кибербезопасности должен соответствовать стратегии бизнеса, измеряемой операциями и управляемой руководителями службы безопасности, включая совет директоров.
Командам безопасности следует обратить внимание на обнаружение активов и управление идентификацией, чтобы обеспечить прозрачность важнейших компонентов бизнеса компании и того, как сотрудники и рабочие нагрузки взаимодействуют с этими активами. По этой причине функция управления во многом зависит от других аспектов CSF, в частности, от функции «Идентификация». А некоторые компоненты, такие как «Бизнес-среда» и «Стратегия управления рисками», будут перенесены из «Идентификация» в «Управление», говорит Каралли из Axio.
«Эта новая функция поддерживает меняющиеся нормативные требования, такие как правила SEC [раскрытие информации об утечке данных], который вступил в силу в декабре 2023 года, вероятно, является намеком на возможность принятия дополнительных регулирующих мер», — говорит он. «И это подчеркивает фидуциарную роль, которую руководство играет в процессе управления рисками кибербезопасности».
3. Подумайте о безопасности вашей цепочки поставок
Риск цепочки поставок приобретает большее значение в CSF 2.0. Организации обычно могут принять риск, избежать его, попытаться снизить риск, разделить риск или передать проблему другой организации. Современные производители, например, обычно перекладывают киберриски на своих покупателей, а это означает, что сбой, вызванный кибератакой на поставщика, может повлиять и на вашу компанию, говорит Алоке Чакраварти, партнер и сопредседатель расследований, правительственных правоохранительных органов, и группа практики по защите «белых воротничков» в юридической фирме Snell & Wilmer.
По словам Чакраварти, группы безопасности должны создать систему для оценки состояния кибербезопасности поставщиков, выявления потенциально уязвимых мест и проверки того, что риск поставщика не переносится на его покупателей.
«Поскольку безопасности поставщиков теперь уделяется особое внимание, многие поставщики могут позиционировать себя как имеющие соответствующие практики, но компаниям следует тщательно изучить и протестировать эти заявления», — говорит он. «Потребность в дополнительных аудиторских отчетах и политиках в отношении этих представлений о кибербезопасности может стать частью этого развивающегося рынка».
4. Убедитесь, что ваши поставщики поддерживают CSF 2.0.
Консалтинговые услуги и продукты по управлению кибербезопасностью, среди прочего, вероятно, потребуют переоценки и обновления для поддержки последней версии CSF. Например, традиционные инструменты управления, рисков и соблюдения требований (GRC) следует пересмотреть в свете повышенного внимания, уделяемого NIST функции управления, говорит Каралли из Axio.
Более того, CSF 2.0 оказывает дополнительное давление на продукты и услуги по управлению цепочками поставок, чтобы лучше выявлять и контролировать риски третьих сторон, говорит Каралли.
Он добавляет: «Вполне вероятно, что существующие инструменты и методы увидят возможности в обновлении структуры для улучшения своих продуктов и предложений услуг, чтобы лучше соответствовать расширенному набору практик».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- :имеет
- :является
- :нет
- 1
- 10
- 2023
- 7
- a
- Принять
- действенные
- действия
- активно
- добавить
- дополнение
- дополнительный
- Добавляет
- влиять на
- тому назад
- Нацеленный
- выравнивать
- Все
- причислены
- среди
- an
- и
- Другой
- любой
- Применить
- подхода
- МЫ
- около
- AS
- аспекты
- оценить
- оценки
- активы
- Активы
- At
- попытка
- аудит
- избежать
- BE
- , так как:
- становиться
- становится
- было
- не являетесь
- бенчмаркинг
- польза
- ЛУЧШЕЕ
- лучшие практики
- Лучшая
- Beyond
- доска
- совет директоров
- бизнес
- бизнес-ориентированный
- бизнес
- но
- покупателей
- by
- CAN
- случаев
- вызванный
- цепь
- изменения
- Сопредседатель
- лыжных шлемов
- как
- сообщество
- Компании
- Компания
- Соответствие закону
- соблюдать
- компоненты
- подтвердить
- Рассматривать
- консалтинг
- контроль
- контрольная
- Основные
- может
- Создайте
- критической
- Порез
- Кибератака
- Информационная безопасность
- Декабрь
- Определять
- директор
- Директора
- раскрытие
- открытие
- обсуждать
- do
- документ
- проект
- легче
- Экономические
- эффект
- усилие
- появляться
- акцент
- принуждение
- обеспечивать
- полностью
- Окружающая среда
- особенно
- оценивать
- Даже
- развивается
- пример
- исполнительный
- руководителей высшего звена.
- существующий
- расширенный
- раскрываться
- расширение
- фактор
- несколько
- Фирма
- Что касается
- Год основания
- 4
- Рамки
- от
- функция
- Функции
- Доходы
- пробелы
- получить
- регламентировать
- управление
- Правительство
- большой
- значительно
- группы
- руководство
- Гиды
- Жесткий
- Есть
- имеющий
- he
- сильно
- помощь
- Выделенные
- основной момент
- очень
- Как
- HTTPS
- идентифицированный
- определения
- Личность
- управление идентификацией
- Влияние
- осуществлять
- улучшать
- in
- В том числе
- несоответствия
- включать
- расширились
- промышленности
- промышленность
- Институт
- Намереваясь
- взаимодействовать
- в
- Исследования
- вопрос
- IT
- ЕГО
- JPG
- всего
- Фамилия
- последний
- закон
- юридическая фирма
- Наша команда
- уход
- легкий
- Вероятно
- посмотреть
- сделать
- Создание
- управляемого
- управление
- управления
- Управляющий директор
- Производители
- многих
- рынок
- Совпадение
- зрелость
- Май..
- значить
- означает
- методы
- смягчать
- Модерн
- БОЛЕЕ
- двигаться
- переехал
- национальный
- Необходимость
- потребности
- Новые
- зарубка
- NIST
- сейчас
- of
- Предложения
- on
- оперативный
- Операционный отдел
- Возможности
- or
- организация
- организационной
- организации
- оригинал
- Другое
- Другое
- внешний
- перебой в работе
- общий
- надзор
- часть
- особый
- партнер
- партнеры
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- играет
- сборах
- потенциал
- потенциально
- практика
- практиками
- представить
- давление
- предварительно
- процесс
- Продукт
- Продукция
- Профили
- FitPartner™
- Программы
- протуберанец
- защиту
- обеспечивать
- опубликованный
- Оферты
- признание
- правила
- регуляторы
- выпустил
- рекультивация
- Reporting
- Требования
- Полезные ресурсы
- уважение
- Ричард
- Снижение
- управление рисками
- рисках,
- Роли
- s
- Сказал
- говорит
- счет
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- безопасность
- посмотреть
- поиск
- сегментами
- старший
- высшее руководство
- обслуживание
- Услуги
- набор
- несколько
- Поделиться
- она
- Короткое
- должен
- значительный
- Размеры
- небольшой
- малый бизнес
- меньше
- некоторые
- конкретный
- Спонсоров
- стандартов
- Начало
- и политические лидеры
- заявление
- Шаги
- Стратег
- Стратегия
- такие
- поставщик
- поставщики
- поставка
- цепочками поставок
- система управления цепями поставок
- поддержка
- Поддержка
- система
- взять
- команда
- команды
- Технологии
- срок
- который
- Ассоциация
- их
- Их
- сами
- Эти
- сторонние
- этой
- те
- угроза
- Советы
- в
- приняли
- инструменты
- к
- традиционный
- перевод
- переданы
- типично
- понимать
- до
- обновление
- Updates
- на
- us
- использование
- полезный
- ценный
- продавец
- поставщики
- проверить
- версия
- видимость
- видение
- слабые
- неделя
- ЧТО Ж
- , которые
- будете
- Работа
- рабочие
- лет
- ВАШЕ
- зефирнет