NIST Cybersecurity Framework 2.0: 4 кроки для початку

Національний інститут стандартів і технологій США (NIST) випустив останній проект його добре оціненої основи кібербезпеки (CSF) цього тижня, що змусило компанії обміркувати, як кілька значних змін у документі вплинуть на їхні програми кібербезпеки.

Річард Караллі, старший радник з кібербезпеки в компанії, каже, що нова функція «Управління», яка включає більший нагляд за кібербезпекою, а також розширення найкращих практик за межі лише тих, що стосуються критичних галузей, у команд з кібербезпеки буде багато роботи. Axio, компанія з управління загрозами ІТ та операційних технологій (OT).

«У багатьох випадках це означатиме, що організації повинні уважно проаналізувати існуючі оцінки, виявлені прогалини та заходи щодо їх усунення, щоб визначити вплив змін у рамках», — говорить він, додаючи, що «з’являться нові прогалини в програмі, які раніше могли не були присутні, особливо щодо управління кібербезпекою та управління ризиками ланцюга поставок».

Початковий CSF, востаннє оновлений 10 років тому, мав на меті надати вказівки з кібербезпеки для галузі, критично важливі для національної та економічної безпеки, Остання версія значно розширює це бачення, створюючи структуру для будь-якої організації, яка має намір покращити свою зрілість у сфері кібербезпеки та стан. Крім того, сторонні партнери та постачальники тепер є важливим фактором, який слід враховувати в CSF 2.0.

Організаціям потрібно більш систематично дивитися на кібербезпеку, щоб відповідати нормам і впроваджувати найкращі практики з документа, сказала Кеті Тайтлер-Сантулло, старший стратег з кібербезпеки Axonius.

«Для того, щоб зробити ці вказівки дійсними, потрібно буде докласти власних зусиль від компаній», – сказала вона. «Керівництво – це лише керівництво, доки воно не стане законом. Найефективніші організації візьмуть на себе зобов’язання рухатися до більш орієнтованого на бізнес підходу до кіберризиків».

Ось чотири поради щодо введення в дію останньої версії NIST Cybersecurity Framework.

1. Використовуйте всі ресурси NIST

NIST CSF — це не просто документ, а набір ресурсів, які компанії можуть використовувати для застосування інфраструктури до свого конкретного середовища та вимог. Профілі організацій і спільнот, наприклад, забезпечують компанії основу для оцінки — або переоцінки — своїх вимог до кібербезпеки, активів і засобів контролю. Щоб спростити процес, NIST також опублікував посібники QuickStart для певних сегментів промисловості, таких як малий бізнес, і для конкретних функцій, таких як управління ризиками ланцюга постачання в кібербезпеці (C-SCRM). 

Ресурси NIST можуть допомогти командам зрозуміти зміни, каже Нік Пуетц, керуючий директор IT-консалтингової фірми Protiviti.

«Це можуть бути дуже цінні інструменти, які можуть допомогти компаніям будь-якого розміру, але особливо корисні для невеликих організацій», — говорить він, додаючи, що команди повинні «переконуватися, що ваша команда вищого керівництва — і навіть ваша рада директорів — розуміють, яку користь це принесе програма [але] може спричинити деякі невідповідності оцінки зрілості [або] порівняльного аналізу в короткостроковій перспективі».

2. Обговоріть вплив функції «управління» з керівництвом

NIST CSF 2.0 додає абсолютно нову основну функцію: управління. Нова функція є визнанням того, що загальний організаційний підхід до кібербезпеки має відповідати стратегії бізнесу, яка вимірюється операціями та керується керівниками служби безпеки, включаючи раду директорів.

Команди безпеки повинні шукати виявлення активів і керування ідентифікацією, щоб забезпечити видимість критичних компонентів бізнесу компанії та того, як працівники та робоче навантаження взаємодіють із цими активами. Через це функція Govern значною мірою покладається на інші аспекти CSF — зокрема, функцію «Identify». За словами Караллі з Axio, кілька компонентів, таких як «Бізнес-середовище» та «Стратегія управління ризиками», буде перенесено з Identity в Govern.

«Ця нова функція підтримує нові нормативні вимоги, як-от правила SEC [розкриття порушень даних]., який набув чинності в грудні 2023 року, ймовірно, є підказкою щодо потенційних додаткових регулятивних заходів», — говорить він. «І це підкреслює фідуціарну роль, яку лідерство відіграє в процесі управління ризиками кібербезпеки».

3. Подумайте про безпеку свого ланцюжка поставок

У CSF 2.0 ризик ланцюжка поставок стає більш помітним. Зазвичай організації можуть прийняти ризик, уникнути його, спробувати зменшити ризик, розділити ризик або передати проблему іншій організації. Наприклад, сучасні виробники зазвичай перекладають кіберризик на своїх покупців, а це означає, що збій, спричинений кібератакою на постачальника, може також вплинути на вашу компанію, каже Алок Чакраварті, партнер і співголова розслідувань, державних правоохоронних органів, і групою практики захисту білих комірців в юридичній фірмі Snell & Wilmer.

Команди безпеки повинні створити систему для оцінки стану кібербезпеки постачальників, виявлення слабких місць, які потенційно можуть бути використані, і перевірки того, що ризик постачальника не перекладається на їхніх покупців, каже Чакраварті. 

«Оскільки безпека постачальників зараз чітко підкреслюється, багато постачальників можуть рекламувати себе як такі, що мають відповідну практику, але компаніям буде добре уважно вивчити та перевірити ці заяви», — говорить він. «Пошук додаткової аудиторської звітності та політики щодо цих представництв кібербезпеки може стати частиною цього ринку, що розвивається».

4. Переконайтеся, що ваші постачальники підтримують CSF 2.0

Консалтингові послуги та продукти управління станом кібербезпеки, серед іншого, ймовірно, потребуватимуть переоцінки та оновлення для підтримки останньої CSF. Наприклад, традиційні інструменти управління, ризиків і відповідності (GRC) слід переглянути у світлі посиленого акценту, який NIST приділяє функції управління, каже Караллі з Axio.

Крім того, CSF 2.0 чинить додатковий тиск на продукти та послуги з управління ланцюгом поставок, щоб краще ідентифікувати та контролювати ризики третіх сторін, каже Караллі.

Він додає: «Цілком ймовірно, що існуючі інструменти та методи побачать можливості в оновленнях фреймворку для покращення своїх пропозицій продуктів і послуг, щоб краще відповідати розширеному набору практик».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started