美国国家标准与技术研究院(NIST)发布了 其备受推崇的网络安全框架 (CSF) 的最新草案 本周,公司需要考虑该文件的一些重大变化将如何影响他们的网络安全计划。
高级网络安全顾问理查德·卡拉利 (Richard Caralli) 表示,新的“治理”职能将加强对网络安全的执行和董事会监督,以及将最佳实践扩展到关键行业之外,网络安全团队将面临艰巨的任务。 Axio,一家 IT 和运营技术 (OT) 威胁管理公司。
他说:“在许多情况下,这意味着组织必须认真审视现有的评估、发现的差距和补救活动,以确定框架变更的影响。”他补充说,“将会出现以前可能存在的新的计划差距”。还没有出现,特别是在网络安全治理和供应链风险管理方面。”
最初的 CSF 上次更新是在 10 年前,旨在为 对国家和经济安全至关重要的行业。 该 最新版本 极大地扩展了这一愿景,为任何想要提高网络安全成熟度和态势的组织创建一个框架。此外,第三方合作伙伴和供应商现在也是 CSF 2.0 中需要考虑的重要因素。
Axonius 高级网络安全策略师 Katie Teitler-Santullo 在一份声明中表示,组织需要更系统地审视网络安全,以遵守法规并实施该文件中的最佳实践。
她说:“要使这一指导意见具有可操作性,企业需要自行努力。” “指导只是指导,直到成为法律。表现最好的组织将采取更加以业务为中心的方法来应对网络风险。”
以下是操作最新版本 NIST 网络安全框架的四个技巧。
1. 使用所有 NIST 资源
NIST CSF 不仅仅是一份文档,而且是资源的集合,公司可以使用这些资源将该框架应用于其特定环境和要求。例如,组织和社区概况为公司评估或重新评估其网络安全要求、资产和控制提供了基础。为了使该过程更容易启动,NIST 还发布了针对特定行业领域(例如小型企业)和特定功能(例如网络安全供应链风险管理 (C-SCRM))的快速入门指南。
IT 咨询公司 Protiviti 的董事总经理 Nick Puetz 表示,NIST 资源可以帮助团队了解这些变化。
他说:“这些可能是非常有价值的工具,可以帮助各种规模的公司,但对小型组织尤其有用。”他补充说,团队应该“确保你的高级领导团队,甚至你的董事会,了解这将如何使公司受益”。计划[但]可能会在短期内造成一些成熟度评分[或]基准不一致。”
2. 讨论“治理”职能与领导力的影响
NIST CSF 2.0 添加了一个全新的核心功能:治理。新职能是一种认识,即网络安全的整体组织方法需要与业务战略相匹配,通过运营来衡量,并由包括董事会在内的安全高管进行管理。
安全团队应该关注资产发现和身份管理,以提供对公司业务关键组件以及工作人员和工作负载如何与这些资产交互的可见性。因此,治理功能严重依赖 CSF 的其他方面,特别是“识别”功能。 Axio 的 Caralli 表示,“业务环境”和“风险管理策略”等多个组件将从“身份”转移到“治理”。
“这一新功能支持不断变化的监管要求,例如 SEC [数据泄露披露]规则该法案于 2023 年 XNUMX 月生效,这可能是对未来可能采取的额外监管行动的认可。”他表示。 “它凸显了领导层在网络安全风险管理过程中所发挥的信托作用。”
3. 考虑您的供应链安全
供应链风险在 CSF 2.0 中更加突出。组织通常可以接受风险、避免风险、尝试减轻风险、分担风险或将问题转移给另一个组织。例如,现代制造商通常将网络风险转移给他们的买家,这意味着供应商受到网络攻击造成的中断也会影响您的公司,调查、政府执法、以及 Snell & Wilmer 律师事务所的白领保护实践小组。
Chakravarty 表示,安全团队应该创建一个系统来评估供应商的网络安全状况,识别潜在的可利用弱点,并验证供应商的风险没有转移给买家。
“由于现在明确强调了供应商的安全性,因此许多供应商可能会宣传自己具有合规的做法,但公司最好仔细检查和对这些陈述进行压力测试,”他说。 “围绕这些网络安全陈述寻求额外的审计报告和政策可能会成为这个不断发展的市场的一部分。”
4.确认您的供应商支持 CSF 2.0
咨询服务和网络安全态势管理产品等可能需要重新评估和更新,以支持最新的 CSF。例如,Axio 的 Caralli 表示,鉴于 NIST 对治理职能的日益重视,应该重新审视传统的治理、风险和合规 (GRC) 工具。
此外,CSF 2.0 给供应链管理产品和服务带来了额外的压力,以更好地识别和控制第三方风险,Caralli 说。
他补充道:“现有的工具和方法很可能会在框架更新中看到机会,以改进其产品和服务,以更好地适应扩展的实践集。”
- :具有
- :是
- :不是
- 1
- 10
- 2023
- 7
- a
- 接受
- 可行的
- 行动
- 活动
- 添加
- 增加
- 额外
- 添加
- 影响
- 前
- 针对
- 对齐
- 所有类型
- 还
- 其中
- an
- 和
- 另一个
- 任何
- 使用
- 的途径
- 保健
- 围绕
- AS
- 方面
- 评估
- 评估
- 财富
- 办公室文员:
- At
- 尝试
- 审计
- 避免
- BE
- 因为
- 成为
- 成为
- 很
- 作为
- 标杆
- 得益
- 最佳
- 最佳实践
- 更好
- 超越
- 板
- 董事会
- 商业
- 以业务为中心
- 企业
- 但是
- 买家
- by
- CAN
- 例
- 造成
- 链
- 更改
- 联席主席
- 采集
- 如何
- 社体的一部分
- 公司
- 公司
- 符合
- 执行
- 组件
- 确认
- 考虑
- 咨询
- 控制
- 控制
- 核心
- 可以
- 创建信息图
- 危急
- 切
- 网络攻击
- 网络安全
- 十二月
- 确定
- 副总经理
- 团队介绍
- 泄露
- 发现
- 讨论
- do
- 文件
- 草案
- 更容易
- 经济
- 效果
- 努力
- 出现
- 重点
- 强制
- 确保
- 完全
- 环境
- 特别
- 评估
- 甚至
- 演变
- 例子
- 执行
- 管理人员
- 现有
- 扩大
- 展开
- 扩张
- 因素
- 少数
- 公司
- 针对
- 基金会
- 四
- 骨架
- 止
- 功能
- 功能
- 收益
- 差距
- 得到
- 治理
- 治理
- 政府
- 更大的
- 非常
- 团队
- 指导
- 指南
- 硬
- 有
- 有
- he
- 严重
- 帮助
- 突出
- 亮点
- 高度
- 创新中心
- HTTPS
- 确定
- 鉴定
- 身分
- 身份管理
- 影响力故事
- 实施
- 改善
- in
- 包含
- 不一致
- 合并
- 增加
- 行业
- 行业中的应用:
- 研究所
- 打算
- 相互作用
- 成
- 调查
- 问题
- IT
- 它的
- JPG
- 只是
- (姓氏)
- 最新
- 法律
- 律师事务所
- 领导团队
- 离开
- 光
- 容易
- 看
- 使
- 制作
- 管理
- 颠覆性技术
- 管理的
- 总经理
- 制造商
- 许多
- 市场
- 匹配
- 到期
- 可能..
- 意味着
- 手段
- 方法
- 减轻
- 现代
- 更多
- 移动
- 移动
- National
- 需求
- 需要
- 全新
- 缺口
- NIST
- 现在
- of
- 供品
- on
- 操作
- 运营
- 机会
- or
- 组织
- 组织
- 组织
- 原版的
- 其他名称
- 其它
- 输出
- 停运
- 最划算
- 疏忽
- 部分
- 特别
- 合伙人
- 伙伴
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 扮演
- 政策
- 潜力
- 可能
- 在练习上
- 做法
- 当下
- 压力
- 先前
- 过程
- 产品
- 核心产品
- 简介
- 曲目
- 训练课程
- 突出
- 保护
- 提供
- 出版
- 认沽期权
- 承认
- 法规
- 监管
- 发布
- 整治
- 报告
- 岗位要求
- 资源
- 尊重
- 理查德
- 风险
- 变更管理
- 风险
- 角色
- s
- 说
- 说
- 得分
- 证券交易委员会
- 保安
- 看到
- 寻求
- 中模板
- 前辈
- 高层领导
- 服务
- 特色服务
- 集
- 几个
- Share
- 她
- 短
- 应该
- 显著
- 尺寸
- 小
- 小型企业
- 小
- 一些
- 具体的
- 赞助商
- 标准
- 开始
- 开始
- 个人陈述
- 步骤
- 战略家
- 策略
- 这样
- 供应商
- 供销商
- 供应
- 供应链
- 供应链管理
- SUPPORT
- 支持
- 系统
- 采取
- 团队
- 队
- 专业技术
- 术语
- 这
- 其
- 他们
- 他们自己
- 博曼
- 第三方
- Free Introduction
- 那些
- 威胁
- 秘诀
- 至
- 了
- 工具
- 对于
- 传统
- 转让
- 转移
- 一般
- 理解
- 直到
- 更新
- 最新动态
- 上
- us
- 使用
- 有用
- 有价值
- 供应商
- 厂商
- 确认
- 版本
- 能见度
- 愿景
- 弱点
- 周
- 井
- 这
- 将
- 工作
- 工人
- 年
- 您一站式解决方案
- 和风网