NIST Cybersecurity Framework käynnistetään uudelleen versiolla 1.1
Sisällysluettelo:
NIST Cybersecurity Framework on Yhdysvaltain standardi, jota säätelee National Institute on Standards and Technology. Helmikuussa 2014 julkaistu alkuperäinen versio on nyt päivitetty versioon 1.1. Katsotaanpa, mikä on muuttunut.
Mikä on NIST Cybersecurity Framework?
Yhdysvaltain kansallisen standardi- ja teknologiainstituutin luoma NIST-verkkoturvallisuuskehys (NIST CSF) on joukko käytäntöjä, joita yksityisen sektorin organisaatiot noudattavat kyberriskinsä arvioimiseksi.
NIST CSF on jaettu kolmeen osaan; Ydin, profiili ja tasot. Framework Core sisältää vastaamisen kysymyksiin, jotka liittyvät organisaation lähestymistapaan kyberturvallisuuteen. Framework Profiilit ovat tuloksia, joita organisaatio haluaa tarpeidensa ja riskiensä perusteella. Ja Framework Tiers on organisaation luoma, ja ne sisältävät tarpeita, jotka syntyvät riskianalyysit.
Mitä päivityksiä NIST Cybersecurity Frameworkiin on tehty?
"Emme halunneet muuttaa viitekehystä olennaisesti, jotta nämä kaksi viitekehystä voisivat toimia keskenään."
Matt Barrett – NIST-verkkoturvallisuuskehys Program Manager
"vaatimustenmukaisuus"-termin selvennys
NIST ymmärtää, että termi "yhteensopivuus" voi tarkoittaa eri asioita eri ihmisille, koska puitteita voidaan käyttää eri tavoin. He ovat todenneet, että kyberturvallisuuskehys toimii "rakenteena ja kielenä organisaation oman kyberturvallisuuden järjestämiseen ja noudattamiseen". vaatimukset”".
Uusi itsearviointiosio
NIST on lisännyt osion 4.0 Self-Assessing Cyber Security Risk with the Framework, jossa kerrotaan, kuinka organisaatiot voivat ymmärtää, arvioida ja mitata riskejä ja toimia.
Toimitusketjun riskinhallinta ja ostopäätökset
Osaa 3.3 "Kyberturvallisuusvaatimuksista tiedottaminen sidosryhmien kanssa" on laajennettu kyberkäyttöön. Toimitusketjujen riskienhallinta (SCRM) on helpompi ymmärtää. NIST on myös lisännyt ostopäätöksiä käsittelevän osion (3.4) korostaakseen, kuinka organisaatiot voivat käyttää kyberturvallisuuskehystä ymmärtääkseen kaupallisten tuotteiden ja palveluiden ostamisen riskejä.
Uudet kybertoimitusketjun riskinhallintakriteerit on lisätty toteutustasoihin ja Supply Chain Risk Management -luokka (mukaan lukien useita alaluokkia) on lisätty kehyksen ytimeen.
Todennus, valtuutus ja henkilöllisyyden todentaminen
In Kulunvalvonta Luokka, kieli on päivitetty selvemmäksi, että todennus, valtuutus ja henkilöllisyyden todentaminen otetaan huomioon. Tämä tarkoittaa, että kullekin on lisätty yksi alaluokka, ja se on nimetty uudelleen nimellä "Identity Management and Access Control (PR.AC).
Toteutustasojen ja profiilien välinen suhde
Osio 3.2 'Kyberturvallisuusohjelman perustaminen tai parantaminen' on päivitetty tiedoilla Framework Tiersin käyttämisestä Frameworkin toteutuksessa. Alla oleva NIST:n grafiikka havainnollistaa kehystasojen toimia.
Koordinoidun haavoittuvuuden paljastamisen harkitseminen
Lopuksi NIST on lisännyt uuden alaluokan, joka kertoo haavoittuvuuden paljastamisen elinkaaren. Käyttäjät Kyberturvallisuuskehys kannustetaan edelleen mukauttamaan joustavaa viitekehystä organisaationsa tarpeiden ja laajuuden mukaan.
Webcast: Cybersecurity Framework version 1.1 yleiskatsaus
ISMS.online voi auttaa sinua tässä
