NISTin kyberturvallisuuskehys 2.0: Mitä uutta ja miten pääset alkuun
Sisällysluettelo:
Kyberriskien hallinta ei voi elää tyhjiössä. Ja vaikka korkean tason parhaat käytännöt saattavat pysyä pitkälti samoina vuosien ajan, sekä uhkakuva että vaatimustenmukaisuustiimien kohtaamat haasteet ovat kehittyneet merkittävästi viimeisen vuosikymmenen aikana. Siksi yksi suosituimmista ohjeista on päivityksen saaminen.
National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) julkaistiin ensimmäisen kerran vuonna 2014 silloisen presidentin Barack Obaman toimeenpanomääräyksen jälkeen. Sen ensimmäinen merkittävä päivitys on nyt julkaistu. Toivomme, että se auttaa globaaleja organisaatioita vastaamaan tämän päivän ja huomisen haasteisiin samalla, kun se on yksinkertaisempi käyttää kuin alkuperäinen CSF. On paljon aihetta olla optimistinen.
CSF:n tausta
CSF on vapaaehtoinen, ja se oli alun perin tarkoitettu kriittisen kansallisen infrastruktuurin (CNI) organisaatioille. Kuitenkin sen selkeys ja perusteellisuus kyberturvallisuuden parhaiden käytäntöjen esille tuomisessa teki siitä yhden suosituimmista viitekehyksestä yhdysvaltalaisten ja maailmanlaajuisten organisaatioiden keskuudessa – riippumatta niiden toimialasta.
Se on rakennettu viiden avaintoiminnon ympärille:
Tunnistaa:
Luo tietue organisaation laitteistoista, ohjelmistoista ja tietovaroista. Julkaise a politiikka hahmotellaan roolit ja vastuut kaikille, joilla on pääsy kriittisiin tietoihin, mukaan lukien kumppanit ja toimittajat. Luo myös menettely tapaturmiin reagoimista ja korjaamista varten.
Suojella:
Fyysiset ja tekniset tarkastukset kriittisten omaisuuserien suojaamiseksi. Se voi sisältää varmuuskopioita, käyttäjäkoulutusta, salausta, kulunvalvonta ja säännölliset päivitykset.
Havaita:
Valvo luvattoman käytön ja epätavallisen verkkotoiminnan varalta.
Vastata:
Laadi suunnitelma tapausilmoitusta varten (asiakkaille, sääntelyviranomaisille, osakkeenomistajille jne.), liiketoiminnan jatkuvuus ja tapahtuman tutkinta. Tätä suunnitelmaa tulee testata säännöllisesti.
Palauta:
Korjaa ja palauta asianomaiset omaisuus/palvelut rikkomuksen jälkeen ja pidä työntekijät ja asiakkaat ajan tasalla. Paranna kyberresilienssiä oppimisen avulla.
Osana viitekehystä NIST loi myös neljä tasoa auttaakseen yrityksiä arvioimaan kypsyyttään CSF:n täytäntöönpanossa (osittainen, riskitietoinen, toistettava, mukautuva). Ja se sisälsi vaiheittaisen oppaan a riskienhallinta ohjelmoida. Yleisesti ottaen tämä menee seuraavasti:
- Tarkkaile projektia ja määritä prioriteetit
- Suuntaudu ymmärtämään asiaankuuluvat alan säädökset ja kyberuhat
- Luo profiili havainnollistaaksesi, kuinka riskejä tällä hetkellä käsitellään organisaatiossa
- Suorita riskiarviointi ymmärtääksesi kyberturvallisuustapahtuman todennäköisyyden ja vakavuuden, joka voi vaikuttaa organisaatioon
- Luo kohdeprofiili, joka toimii turvallisuustiimin lopullisena tavoitteena
- Tunnista aukot nykyisen ja tavoiteprofiilin välillä toimintasuunnitelman laatimiseksi, mukaan lukien kaikki tarvittavat resurssit
- Toteuta toimintasuunnitelma
Mitä uutta vuodelle 2024?
Julkaistu elokuussa 2023, CSF:n luonnosversio (v 2.0) tekee useita tärkeitä päivityksiä alkuperäiseen asiakirjaan. Keskeisiä näistä ovat yritykset laajentaa kehyksen käyttöä, parantaa täytäntöönpanon ohjausta ja korostaa hallinnon merkitystä:
Uusi hallintopilari
Tämä kattaa organisaation kontekstin; riskienhallintastrategia; Kyberturvallisuus toimitusketjun riski hallinta; roolit, vastuut ja viranomaiset; politiikat, prosessit ja menettelyt; ja valvonta. Lisäksi tarjotaan ohjeita CSF:n integroimiseksi NIST Privacy Frameworkiin ja NIST IR 8286:een.
Laajennettu käyttöopas
CSF 2.0 esittelee lisää toteutusesimerkkejä. Se myös tarkistaa kehysprofiileja helpottaakseen niiden käyttöä projektien aikana. Mukana on kuvitteellisia malleja, joita organisaatiot voivat käyttää tai mukauttaa luodakseen profiileja ja toimintasuunnitelmia.
CSF:n laajentaminen
Virallinen nimi on muutettu Framework for Improving Critical Infrastructure Cybersecurity (Framework for Improving Critical Infrastructure Cybersecurity) yleisemmin käytetyksi CSF:ksi. Laajuus on päivitetty vastaamaan kaikkien organisaatioiden käyttöä, ei vain CNI:tä käyttävien.
Lisäksi toimitusketjun turvallisuuteen on kiinnitetty enemmän huomiota uusilla linkeillä NIST SP 800-55:een. Jatkuvan parantamisen tärkeyttä korostetaan myös uudella "parannus"-kategorialla Tunnista-pilarin alla.
Vaihe oikeaan suuntaan
Asiantuntijat ovat yleisesti ottaen tervetulleita CSF-päivitykseen. Joseph Carson, johtava turvallisuustutkija ja neuvoa-antava CISO Delineassa, kertoo ISMS.onlinelle, että lähes vuosikymmenen jälkeen tarvittiin uusi versio uhkaympäristön muutosten huomioon ottamiseksi.
"Sen laajentaminen useampaan organisaatioon on oikea tapa vahvistaa sietokykyä niiden kohtaamia lukuisia kyberuhkia vastaan", hän lisää. CSF:n yksinkertaistaminen helpottaa myös kehyksen käyttöönottoa, jolloin useammat organisaatiot voivat nostaa suojaustasoaan."
Myös Netographyn toimitusjohtaja Martin Roesch kehuu uutta "Govern" -pilaria.
"Hallinnan lisääminen NIST Cybersecurity Frameworkiin on keskeinen askel auttamalla organisaatioita osoittamaan, että niiden infrastruktuuri on linjassa niiden käytäntöjen kanssa milloin tahansa, ja se antaa tietoturvatiimeille mahdollisuuden mitata, kuinka tehokkaasti heidän järjestelmänsä toimii", hän kertoo. ISMS.online.
"Laajentamalla CSF:n soveltamisalaa ja parantamalla käyttöönottoohjeita NIST tarjoaa suuremmalle joukolle organisaatioita, joilla on vahva tiekartta tietoturvan ja riskienhallinnan menestyksen saavuttamiseksi koosta tai toimialan toimialasta riippumatta."
Samaan aikaan Roesch kuitenkin väittää, että joillakin organisaatioilla voi olla vaikeuksia soveltaa hallintoperiaatteita ympäristöönsä, "varsinkin jos niillä on erilaisia tekniikoita, järjestelmiä ja prosesseja". Hän varoittaa myös, että resurssirajoitukset voivat estää jatkuvan valvonnan, jota tarvitaan "vankan kyberturvallisuuden hallinnan luomiseksi ja ylläpitämiseksi" nopeasti kehittyvien verkkoturva-arkkitehtuurien taustalla. Hän kuvailee erityisesti sosiaalisen median hallintoa yksityisyyden ja turvallisuuden haasteiden "Pandoran lippaksi".
Näin ollen jopa virtaviivaistetun, käyttäjäystävällisemmän CSF:n käyttöönotto voi olla haastavaa joillekin organisaatioille. Mutta an tietoturvan hallintajärjestelmä (ISMS) voisi auttaa, sanoo Delinean Carson.
"Se voi hahmotella esimerkkejä siitä, kuinka käyttää CSF 2.0 -viitetyökalu ja antaa käsityksen siitä, miltä todelliset toteutukset näyttävät”, hän sanoo. "Kun yhä useammat organisaatiot havaitsevat kollegoitaan onnistuneesti ottavan CSF:n käyttöön ja ottavan käyttöön ja kuinka he yhdistävät vertailutyökalun, se rohkaisee muita seuraamaan nopeasti."
