Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã công bố bản dự thảo mới nhất của Khung An ninh mạng (CSF) được đánh giá cao trong tuần này, khiến các công ty phải cân nhắc xem một số thay đổi quan trọng đối với tài liệu này ảnh hưởng như thế nào đến các chương trình an ninh mạng của họ.
Richard Caralli, cố vấn an ninh mạng cấp cao tại cho biết, giữa chức năng “Chính phủ” mới nhằm kết hợp chặt chẽ hơn sự giám sát của ban điều hành và hội đồng quản trị đối với an ninh mạng, cũng như việc mở rộng các phương pháp thực hành tốt nhất ngoài những phương pháp dành cho các ngành quan trọng, các nhóm an ninh mạng sẽ được giao công việc riêng cho họ. Axio, một công ty quản lý mối đe dọa về CNTT và công nghệ vận hành (OT).
Ông nói: “Trong nhiều trường hợp, điều này có nghĩa là các tổ chức phải xem xét kỹ lưỡng các đánh giá hiện có, những khoảng trống đã xác định và các hoạt động khắc phục để xác định tác động của những thay đổi khung.” Ông nói thêm rằng “những khoảng trống chương trình mới sẽ xuất hiện mà trước đây có thể chưa có mặt, đặc biệt là liên quan đến quản trị an ninh mạng và quản lý rủi ro chuỗi cung ứng.”
CSF ban đầu, được cập nhật lần cuối cách đây 10 năm, nhằm cung cấp hướng dẫn về an ninh mạng cho Các ngành quan trọng đối với an ninh quốc gia và kinh tế. Các phiên bản mới nhất mở rộng đáng kể tầm nhìn đó để tạo ra một khuôn khổ cho bất kỳ tổ chức nào có ý định cải thiện sự trưởng thành và tư thế an ninh mạng của mình. Ngoài ra, các đối tác và nhà cung cấp bên thứ ba hiện là yếu tố quan trọng cần xem xét trong CSF 2.0.
Katie Teitler-Santullo, chiến lược gia an ninh mạng cấp cao của Axonius, cho biết các tổ chức cần xem xét an ninh mạng một cách có hệ thống hơn để tuân thủ các quy định và thực hiện các biện pháp thực hành tốt nhất từ tài liệu.
Bà nói: “Việc biến hướng dẫn này thành hiện thực sẽ cần phải là nỗ lực tự thân của các doanh nghiệp. “Hướng dẫn chỉ là hướng dẫn, cho đến khi nó trở thành luật. Các tổ chức hoạt động hiệu quả nhất sẽ tự mình hướng tới cách tiếp cận tập trung vào kinh doanh hơn đối với rủi ro mạng.”
Dưới đây là bốn mẹo để vận hành phiên bản mới nhất của Khung bảo mật mạng NIST.
1. Sử dụng tất cả tài nguyên của NIST
NIST CSF không chỉ là một tài liệu mà còn là tập hợp các tài nguyên mà các công ty có thể sử dụng để áp dụng khuôn khổ này cho môi trường và yêu cầu cụ thể của họ. Ví dụ: hồ sơ tổ chức và cộng đồng cung cấp nền tảng để các công ty đánh giá — hoặc đánh giá lại — các yêu cầu, tài sản và biện pháp kiểm soát an ninh mạng của họ. Để giúp quá trình bắt đầu dễ dàng hơn, NIST cũng đã xuất bản hướng dẫn QuickStart cho các phân khúc ngành cụ thể, chẳng hạn như doanh nghiệp nhỏ và cho các chức năng cụ thể, chẳng hạn như quản lý rủi ro chuỗi cung ứng an ninh mạng (C-SCRM).
Nick Puetz, giám đốc điều hành tại Protiviti, một công ty tư vấn CNTT, cho biết tài nguyên của NIST có thể giúp các nhóm hiểu được những thay đổi.
Ông nói: “Đây có thể là những công cụ có giá trị cao giúp các công ty thuộc mọi quy mô nhưng đặc biệt hữu ích cho các tổ chức nhỏ hơn”. Ông nói thêm rằng các nhóm nên “đảm bảo đội ngũ lãnh đạo cấp cao của bạn - và thậm chí cả ban giám đốc của bạn - hiểu điều này sẽ mang lại lợi ích như thế nào cho tổ chức.” chương trình [nhưng] có thể tạo ra một số điểm không nhất quán về điểm trưởng thành [hoặc] điểm chuẩn trong ngắn hạn.”
2. Thảo luận về Tác động của Chức năng “Quản trị” với Lãnh đạo
NIST CSF 2.0 bổ sung một chức năng cốt lõi hoàn toàn mới: Quản trị. Chức năng mới này là sự công nhận rằng cách tiếp cận tổng thể của tổ chức đối với an ninh mạng cần phải phù hợp với chiến lược của doanh nghiệp, được đo lường bằng hoạt động và được quản lý bởi các giám đốc điều hành an ninh, bao gồm cả ban giám đốc.
Các nhóm bảo mật nên xem xét việc phát hiện tài sản và quản lý danh tính để cung cấp khả năng hiển thị về các thành phần quan trọng trong hoạt động kinh doanh của công ty cũng như cách nhân viên và khối lượng công việc tương tác với những tài sản đó. Do đó, chức năng Quản trị phụ thuộc rất nhiều vào các khía cạnh khác của CSF - đặc biệt là chức năng “Xác định”. Và một số thành phần, chẳng hạn như “Môi trường kinh doanh” và “Chiến lược quản lý rủi ro”, sẽ được chuyển từ Bản sắc sang Quản trị, Caralli của Axio cho biết.
“Chức năng mới này hỗ trợ các yêu cầu pháp lý đang phát triển, chẳng hạn như quy định của SEC [tiết lộ vi phạm dữ liệu], có hiệu lực vào tháng 2023 năm XNUMX, có thể là một dấu hiệu cho thấy khả năng có các hành động quản lý bổ sung sắp tới,” ông nói. “Và nó nhấn mạnh vai trò ủy thác của lãnh đạo trong quy trình quản lý rủi ro an ninh mạng.”
3. Xem xét vấn đề an ninh chuỗi cung ứng của bạn
Rủi ro chuỗi cung ứng trở nên nổi bật hơn trong CSF 2.0. Các tổ chức thường có thể chấp nhận rủi ro, tránh nó, cố gắng giảm thiểu rủi ro, chia sẻ rủi ro hoặc chuyển vấn đề sang tổ chức khác. Ví dụ, các nhà sản xuất hiện đại thường chuyển rủi ro mạng cho người mua của họ, điều đó có nghĩa là việc ngừng hoạt động do một cuộc tấn công mạng vào nhà cung cấp cũng có thể ảnh hưởng đến công ty của bạn, Aloke Chakravarty, đối tác và đồng chủ tịch của cuộc điều tra, cơ quan thực thi chính phủ, cho biết. và nhóm hành nghề bảo vệ cổ trắng tại công ty luật Snell & Wilmer.
Chakravarty cho biết, các nhóm bảo mật nên tạo ra một hệ thống để đánh giá tình trạng an ninh mạng của nhà cung cấp, xác định các điểm yếu có thể bị khai thác và xác minh rằng rủi ro của nhà cung cấp không được chuyển sang người mua của họ.
Ông nói: “Bởi vì vấn đề bảo mật của nhà cung cấp hiện được nhấn mạnh rõ ràng, nhiều nhà cung cấp có thể tự tiếp thị là có các biện pháp tuân thủ, nhưng các công ty sẽ làm tốt việc xem xét kỹ lưỡng và kiểm tra áp lực những tuyên bố này”. “Việc tìm kiếm các chính sách và báo cáo kiểm toán bổ sung xung quanh các đại diện an ninh mạng này có thể trở thành một phần của thị trường đang phát triển này.”
4. Xác nhận nhà cung cấp của bạn hỗ trợ CSF 2.0
Các dịch vụ tư vấn và sản phẩm quản lý tình hình an ninh mạng, cùng với những sản phẩm khác, có thể sẽ cần được đánh giá lại và cập nhật để hỗ trợ CSF mới nhất. Ví dụ: các công cụ quản trị, rủi ro và tuân thủ (GRC) truyền thống cần được xem xét lại do NIST ngày càng chú trọng hơn đến chức năng Quản trị, Caralli của Axio cho biết.
Hơn nữa, CSF 2.0 gây thêm áp lực lên sản phẩm và dịch vụ quản lý chuỗi cung ứng để xác định và kiểm soát tốt hơn rủi ro của bên thứ ba, Caralli nói.
Ông cho biết thêm: “Có khả năng các công cụ và phương pháp hiện có sẽ nhìn thấy cơ hội trong các bản cập nhật khung để cải thiện sản phẩm và dịch vụ của họ để phù hợp hơn với tập hợp thực hành mở rộng”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- : có
- :là
- :không phải
- 1
- 10
- 2023
- 7
- a
- Chấp nhận
- hành động
- hành động
- hoạt động
- thêm
- Ngoài ra
- thêm vào
- Thêm
- ảnh hưởng đến
- cách đây
- nhằm vào
- sắp xếp
- Tất cả
- Ngoài ra
- trong số
- an
- và
- Một
- bất kì
- Đăng Nhập
- phương pháp tiếp cận
- LÀ
- xung quanh
- AS
- các khía cạnh
- đánh giá
- đánh giá
- tài sản
- Tài sản
- At
- nỗ lực
- kiểm toán
- tránh
- BE
- bởi vì
- trở nên
- trở thành
- được
- được
- điểm chuẩn
- hưởng lợi
- BEST
- thực hành tốt nhất
- Hơn
- Ngoài
- bảng
- ban giám đốc
- kinh doanh
- lấy doanh nghiệp làm trung tâm
- các doanh nghiệp
- nhưng
- người mua
- by
- CAN
- trường hợp
- gây ra
- chuỗi
- Những thay đổi
- Đồng chủ tịch
- bộ sưu tập
- Đến
- cộng đồng
- Các công ty
- công ty
- tuân thủ
- tuân theo
- các thành phần
- Xác nhận
- Hãy xem xét
- tư vấn
- điều khiển
- điều khiển
- Trung tâm
- có thể
- tạo
- quan trọng
- Cắt
- Tấn công mạng
- An ninh mạng
- Tháng mười hai
- Xác định
- Giám đốc
- Giám đốc
- công bố thông tin
- phát hiện
- thảo luận
- do
- tài liệu
- dự thảo
- dễ dàng hơn
- Kinh tế
- hiệu lực
- nỗ lực
- xuất hiện
- nhấn mạnh
- thực thi
- đảm bảo
- hoàn toàn
- Môi trường
- đặc biệt
- đánh giá
- Ngay cả
- phát triển
- ví dụ
- điều hành
- giám đốc điều hành
- hiện tại
- mở rộng
- mở rộng
- mở rộng
- yếu tố
- vài
- Công ty
- Trong
- Nền tảng
- 4
- Khung
- từ
- chức năng
- chức năng
- thu nhập
- khoảng trống
- được
- quản lý
- quản trị
- Chính phủ
- lớn hơn
- rất nhiều
- Nhóm
- hướng dẫn
- Hướng dẫn
- Cứng
- Có
- có
- he
- nặng nề
- giúp đỡ
- Nhấn mạnh
- nổi bật
- cao
- Độ đáng tin của
- HTTPS
- xác định
- xác định
- Bản sắc
- quản lý danh tính
- Va chạm
- thực hiện
- nâng cao
- in
- Bao gồm
- mâu thuẫn
- kết hợp
- tăng
- các ngành công nghiệp
- ngành công nghiệp
- Viện
- Dự định
- tương tác
- trong
- Điều tra
- vấn đề
- IT
- ITS
- jpg
- chỉ
- Họ
- mới nhất
- Luật
- công ty luật
- Lãnh đạo
- để lại
- ánh sáng
- Có khả năng
- Xem
- làm cho
- Làm
- quản lý
- quản lý
- quản lý
- Giám đốc điều hành
- Các nhà sản xuất
- nhiều
- thị trường
- Trận đấu
- trưởng thành
- Có thể..
- nghĩa là
- có nghĩa
- phương pháp
- Giảm nhẹ
- hiện đại
- chi tiết
- di chuyển
- chuyển
- quốc dân
- Cần
- nhu cầu
- Mới
- nick
- nắm tay
- tại
- of
- Cung cấp
- on
- hoạt động
- Hoạt động
- Cơ hội
- or
- cơ quan
- tổ chức
- tổ chức
- nguyên
- Nền tảng khác
- Khác
- ra
- mất điện
- tổng thể
- Giám sát
- một phần
- riêng
- đối tác
- Đối tác
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- đóng
- Chính sách
- tiềm năng
- có khả năng
- thực hành
- thực hành
- trình bày
- áp lực
- trước đây
- quá trình
- Sản phẩm
- Sản phẩm
- Profiles
- chương trình
- Khóa Học
- nổi bật
- bảo vệ
- cho
- công bố
- Puts
- công nhận
- quy định
- nhà quản lý
- phát hành
- khắc phục
- Báo cáo
- Yêu cầu
- Thông tin
- tôn trọng
- Richard
- Nguy cơ
- quản lý rủi ro
- rủi ro
- Vai trò
- s
- Nói
- nói
- ghi bàn
- SEC
- an ninh
- xem
- tìm kiếm
- phân đoạn
- cao cấp
- Nhà lãnh đạo cấp cao
- dịch vụ
- DỊCH VỤ
- định
- một số
- Chia sẻ
- chị ấy
- ngắn
- nên
- có ý nghĩa
- kích thước
- nhỏ
- doanh nghiệp nhỏ
- nhỏ hơn
- một số
- riêng
- Được tài trợ
- tiêu chuẩn
- Bắt đầu
- bắt đầu
- Tuyên bố
- Các bước
- Chiến lược
- Chiến lược
- như vậy
- nhà cung cấp
- nhà cung cấp
- cung cấp
- chuỗi cung ứng
- quản lý chuỗi cung ứng
- hỗ trợ
- Hỗ trợ
- hệ thống
- Hãy
- nhóm
- đội
- Công nghệ
- kỳ hạn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- tự
- Kia là
- của bên thứ ba
- điều này
- những
- mối đe dọa
- lời khuyên
- đến
- mất
- công cụ
- đối với
- truyền thống
- chuyển
- chuyển
- thường
- hiểu
- cho đến khi
- cập nhật
- Cập nhật
- trên
- us
- sử dụng
- hữu ích
- Quý báu
- nhà cung cấp
- nhà cung cấp
- xác minh
- phiên bản
- khả năng hiển thị
- tầm nhìn
- những điểm yếu
- tuần
- TỐT
- cái nào
- sẽ
- với
- Công việc
- công nhân
- năm
- trên màn hình
- zephyrnet