Національний інститут стандартів і технологій США (NIST) випустив останній проект його добре оціненої основи кібербезпеки (CSF) цього тижня, що змусило компанії обміркувати, як кілька значних змін у документі вплинуть на їхні програми кібербезпеки.
Річард Караллі, старший радник з кібербезпеки в компанії, каже, що нова функція «Управління», яка включає більший нагляд за кібербезпекою, а також розширення найкращих практик за межі лише тих, що стосуються критичних галузей, у команд з кібербезпеки буде багато роботи. Axio, компанія з управління загрозами ІТ та операційних технологій (OT).
«У багатьох випадках це означатиме, що організації повинні уважно проаналізувати існуючі оцінки, виявлені прогалини та заходи щодо їх усунення, щоб визначити вплив змін у рамках», — говорить він, додаючи, що «з’являться нові прогалини в програмі, які раніше могли не були присутні, особливо щодо управління кібербезпекою та управління ризиками ланцюга поставок».
Початковий CSF, востаннє оновлений 10 років тому, мав на меті надати вказівки з кібербезпеки для галузі, критично важливі для національної та економічної безпеки, Остання версія значно розширює це бачення, створюючи структуру для будь-якої організації, яка має намір покращити свою зрілість у сфері кібербезпеки та стан. Крім того, сторонні партнери та постачальники тепер є важливим фактором, який слід враховувати в CSF 2.0.
Організаціям потрібно більш систематично дивитися на кібербезпеку, щоб відповідати нормам і впроваджувати найкращі практики з документа, сказала Кеті Тайтлер-Сантулло, старший стратег з кібербезпеки Axonius.
«Для того, щоб зробити ці вказівки дійсними, потрібно буде докласти власних зусиль від компаній», – сказала вона. «Керівництво – це лише керівництво, доки воно не стане законом. Найефективніші організації візьмуть на себе зобов’язання рухатися до більш орієнтованого на бізнес підходу до кіберризиків».
Ось чотири поради щодо введення в дію останньої версії NIST Cybersecurity Framework.
1. Використовуйте всі ресурси NIST
NIST CSF — це не просто документ, а набір ресурсів, які компанії можуть використовувати для застосування інфраструктури до свого конкретного середовища та вимог. Профілі організацій і спільнот, наприклад, забезпечують компанії основу для оцінки — або переоцінки — своїх вимог до кібербезпеки, активів і засобів контролю. Щоб спростити процес, NIST також опублікував посібники QuickStart для певних сегментів промисловості, таких як малий бізнес, і для конкретних функцій, таких як управління ризиками ланцюга постачання в кібербезпеці (C-SCRM).
Ресурси NIST можуть допомогти командам зрозуміти зміни, каже Нік Пуетц, керуючий директор IT-консалтингової фірми Protiviti.
«Це можуть бути дуже цінні інструменти, які можуть допомогти компаніям будь-якого розміру, але особливо корисні для невеликих організацій», — говорить він, додаючи, що команди повинні «переконуватися, що ваша команда вищого керівництва — і навіть ваша рада директорів — розуміють, яку користь це принесе програма [але] може спричинити деякі невідповідності оцінки зрілості [або] порівняльного аналізу в короткостроковій перспективі».
2. Обговоріть вплив функції «управління» з керівництвом
NIST CSF 2.0 додає абсолютно нову основну функцію: управління. Нова функція є визнанням того, що загальний організаційний підхід до кібербезпеки має відповідати стратегії бізнесу, яка вимірюється операціями та керується керівниками служби безпеки, включаючи раду директорів.
Команди безпеки повинні шукати виявлення активів і керування ідентифікацією, щоб забезпечити видимість критичних компонентів бізнесу компанії та того, як працівники та робоче навантаження взаємодіють із цими активами. Через це функція Govern значною мірою покладається на інші аспекти CSF — зокрема, функцію «Identify». За словами Караллі з Axio, кілька компонентів, таких як «Бізнес-середовище» та «Стратегія управління ризиками», буде перенесено з Identity в Govern.
«Ця нова функція підтримує нові нормативні вимоги, як-от правила SEC [розкриття порушень даних]., який набув чинності в грудні 2023 року, ймовірно, є підказкою щодо потенційних додаткових регулятивних заходів», — говорить він. «І це підкреслює фідуціарну роль, яку лідерство відіграє в процесі управління ризиками кібербезпеки».
3. Подумайте про безпеку свого ланцюжка поставок
У CSF 2.0 ризик ланцюжка поставок стає більш помітним. Зазвичай організації можуть прийняти ризик, уникнути його, спробувати зменшити ризик, розділити ризик або передати проблему іншій організації. Наприклад, сучасні виробники зазвичай перекладають кіберризик на своїх покупців, а це означає, що збій, спричинений кібератакою на постачальника, може також вплинути на вашу компанію, каже Алок Чакраварті, партнер і співголова розслідувань, державних правоохоронних органів, і групою практики захисту білих комірців в юридичній фірмі Snell & Wilmer.
Команди безпеки повинні створити систему для оцінки стану кібербезпеки постачальників, виявлення слабких місць, які потенційно можуть бути використані, і перевірки того, що ризик постачальника не перекладається на їхніх покупців, каже Чакраварті.
«Оскільки безпека постачальників зараз чітко підкреслюється, багато постачальників можуть рекламувати себе як такі, що мають відповідну практику, але компаніям буде добре уважно вивчити та перевірити ці заяви», — говорить він. «Пошук додаткової аудиторської звітності та політики щодо цих представництв кібербезпеки може стати частиною цього ринку, що розвивається».
4. Переконайтеся, що ваші постачальники підтримують CSF 2.0
Консалтингові послуги та продукти управління станом кібербезпеки, серед іншого, ймовірно, потребуватимуть переоцінки та оновлення для підтримки останньої CSF. Наприклад, традиційні інструменти управління, ризиків і відповідності (GRC) слід переглянути у світлі посиленого акценту, який NIST приділяє функції управління, каже Караллі з Axio.
Крім того, CSF 2.0 чинить додатковий тиск на продукти та послуги з управління ланцюгом поставок, щоб краще ідентифікувати та контролювати ризики третіх сторін, каже Караллі.
Він додає: «Цілком ймовірно, що існуючі інструменти та методи побачать можливості в оновленнях фреймворку для покращення своїх пропозицій продуктів і послуг, щоб краще відповідати розширеному набору практик».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- : має
- :є
- : ні
- 1
- 10
- 2023
- 7
- a
- Прийняти
- дієвий
- дії
- діяльності
- додати
- доповнення
- Додатковий
- Додає
- впливати
- назад
- спрямований
- вирівнювати
- ВСІ
- Також
- серед
- an
- та
- Інший
- будь-який
- Застосовувати
- підхід
- ЕСТЬ
- навколо
- AS
- аспекти
- оцінити
- оцінки
- активи
- Активи
- At
- спроба
- аудит
- уникнути
- BE
- оскільки
- ставати
- стає
- було
- буття
- бенчмаркінг
- користь
- КРАЩЕ
- передового досвіду
- Краще
- За
- рада
- рада директорів
- бізнес
- бізнес-центричний
- підприємства
- але
- покупців
- by
- CAN
- випадків
- викликаний
- ланцюг
- Зміни
- співголова
- збір
- Приходити
- співтовариство
- Компанії
- компанія
- дотримання
- дотримуватися
- Компоненти
- підтвердити
- Вважати
- консалтинг
- контроль
- управління
- Core
- може
- створювати
- критичний
- Вирізати
- Кібератака
- Кібербезпека
- Грудень
- Визначати
- Директор
- Директори
- розкриття
- відкриття
- обговорювати
- do
- документ
- проект
- легше
- Економічний
- ефект
- зусилля
- з'являтися
- акцент
- примус
- забезпечувати
- повністю
- Навколишнє середовище
- особливо
- оцінювати
- Навіть
- еволюціонує
- приклад
- виконавчий
- керівництво
- існуючий
- розширений
- розширюється
- розширення
- фактор
- кілька
- Фірма
- для
- фонд
- чотири
- Рамки
- від
- функція
- Функції
- прибуток
- прогалини
- отримати
- керувати
- управління
- Уряд
- великий
- значно
- Group
- керівництво
- Гід
- Жорсткий
- Мати
- має
- he
- сильно
- допомога
- Виділено
- основний момент
- дуже
- Як
- HTTPS
- ідентифікований
- ідентифікувати
- Особистість
- управління ідентифікацією
- Impact
- здійснювати
- удосконалювати
- in
- У тому числі
- невідповідності
- включати
- збільшений
- промисловості
- промисловість
- Інститут
- Маючи намір
- взаємодіяти
- в
- Дослідження
- питання
- IT
- ЙОГО
- JPG
- просто
- останній
- останній
- закон
- юридична фірма
- Керівництво
- догляд
- світло
- Ймовірно
- подивитися
- зробити
- Робить
- вдалося
- управління
- управління
- Директор
- Виробники
- багато
- ринок
- матч
- зрілість
- Може..
- значити
- засоби
- методика
- Пом'якшити
- сучасний
- більше
- рухатися
- переїхав
- National
- Необхідність
- потреби
- Нові
- зарубка
- nist
- зараз
- of
- Пропозиції
- on
- оперативний
- операції
- Можливості
- or
- організація
- організаційної
- організації
- оригінал
- Інше
- інші
- з
- відключення
- загальний
- Нагляд
- частина
- приватність
- партнер
- партнери
- plato
- Інформація про дані Платона
- PlatoData
- відіграє
- Політика
- потенціал
- потенційно
- практика
- практики
- представити
- тиск
- раніше
- процес
- Product
- Продукти
- Профілі
- програма
- програми
- видатність
- захист
- забезпечувати
- опублікований
- Ставить
- визнання
- правила
- регуляторні
- випущений
- відновлення
- Звітність
- Вимога
- ресурси
- повага
- Річард
- Risk
- управління ризиками
- ризики
- Роль
- s
- Зазначений
- говорить
- рахунок
- SEC
- безпеку
- побачити
- пошук
- сегменти
- старший
- вищого керівництва
- обслуговування
- Послуги
- комплект
- кілька
- Поділитись
- вона
- Короткий
- Повинен
- значний
- розміри
- невеликий
- малий бізнес
- менше
- деякі
- конкретний
- Рекламні
- стандартів
- старт
- почалася
- Заява
- заходи
- Стратег
- Стратегія
- такі
- постачальник
- постачальники
- поставка
- ланцюжка поставок
- робота з постачальниками
- підтримка
- Опори
- система
- Приймати
- команда
- команди
- Технологія
- термін
- Що
- Команда
- їх
- Їх
- самі
- Ці
- третя сторона
- це
- ті
- загроза
- Поради
- до
- прийняли
- інструменти
- до
- традиційний
- переклад
- передані
- типово
- розуміти
- до
- оновлений
- Updates
- на
- us
- використання
- корисний
- Цінний
- продавець
- постачальники
- перевірити
- версія
- видимість
- бачення
- недоліки
- week
- ДОБРЕ
- який
- волі
- з
- Work
- робочі
- років
- вашу
- зефірнет