《電子技術(shù)應用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > NIST發(fā)布網(wǎng)絡安全框架2.0版本

NIST發(fā)布網(wǎng)絡安全框架2.0版本

十年來首次重大更新,!
2024-03-01
來源:51CTO
關(guān)鍵詞: NIST 網(wǎng)絡安全框架2.0

美國國家標準與技術(shù)研究院(NIST)近日發(fā)布了網(wǎng)絡安全框架(CSF)的2.0正式版本,,這是2014年該框架發(fā)布后十年來首次重大更新。新框架版本極大擴展了適用范圍,重點關(guān)注治理和供應鏈問題,,并提供了豐富的資源以加速框架實施,。

NIST正式發(fā)布的網(wǎng)絡安全框架(CSF)2.0版本比去年9月發(fā)布的2.0草案版本更加完善,,新版本的重大變化和升級如下:

適用范圍從關(guān)鍵基礎(chǔ)設施擴大到所有組織:新的2.0版本面向幾乎所有受眾,、行業(yè)部門和組織類型而設計,從最小的學校和非營利組織到最大規(guī)模的機構(gòu),、公司和國家關(guān)鍵基礎(chǔ)設施,,無論其網(wǎng)絡安全系統(tǒng)的復雜程度如何。

新增的“治理“成為核心功能:新框架版本將重點放在治理上,,包括組織如何制定和執(zhí)行有關(guān)網(wǎng)絡安全策略的決策,,并強調(diào)網(wǎng)絡安全是企業(yè)風險的主要來源,高級領(lǐng)導者應將網(wǎng)絡安全與財務和聲譽等其他風險一起考慮,。

提供實施框架所需的大量工具和指導資源:NIST擴展了CSF的核心指導并開發(fā)了相關(guān)資源,,以幫助用戶充分利用該框架。這些資源旨在為不同的受眾提供進入CSF的定制途徑,,并使該框架更容易付諸實施,。

從關(guān)鍵基礎(chǔ)設施擴大到所有組織

網(wǎng)絡安全框架2.0版本被美國總統(tǒng)拜登的《國家網(wǎng)絡安全戰(zhàn)略》和幾項新興政府網(wǎng)絡安全政策聲明引用,其關(guān)注范圍從保護關(guān)鍵基礎(chǔ)設施(例如醫(yī)院和發(fā)電廠)擴展到所有行業(yè)的組織,。

為此,,新框架版本放棄了之前版本使用的“改進關(guān)鍵基礎(chǔ)設施網(wǎng)絡安全框架”的名稱,改為“NIST網(wǎng)絡安全框架(CSF)2.0”,。

與2015年發(fā)布的原始版本和2018年發(fā)布的1.1版本相比,,2.0版本不再僅僅是一個靜態(tài)資源,而演變成了一套指導框架實施的資源包,?!熬W(wǎng)絡安全框架一直是許多組織的重要工具,幫助他們預測和應對網(wǎng)絡安全威脅,,”美國商務部標準與技術(shù)局副局長兼NIST局長Laurie E. Locascio表示,,“2.0版本以之前版本為基礎(chǔ),不僅僅涵蓋一份文檔,,而是一套可定制的資源,,隨著組織的網(wǎng)絡安全需求變化和能力發(fā)展,可以單獨或組合使用,?!?/p>

“治理”成為核心功能

1.png

網(wǎng)絡安全框架2.0最重要的結(jié)構(gòu)性變化是增加了第六個關(guān)鍵功能——“治理”,此前版本的五個關(guān)鍵功能“識別”,、“保護”,、“檢測”,、“響應”和“恢復”都圍繞著該功能展開(上圖)?!爸卫怼惫δ苤荚趲椭M織將網(wǎng)絡安全風險管理納入更廣泛的企業(yè)風險管理計劃中,,通過提供“成果”或期望狀態(tài)來指導組織如何實現(xiàn)和優(yōu)先考慮其他五個功能的成果。

NIST表示,,增加“治理”功能的目的是將所有網(wǎng)絡安全風險管理活動提升到組織的高管和董事會層面,?!拔艺J為2.0版本的一大亮點是將治理提升為一個功能,,”網(wǎng)絡安全公司CyberSaint的創(chuàng)始人兼首席創(chuàng)新官Padraic O’Reilly指出:“我認為現(xiàn)在業(yè)界已經(jīng)普遍認識到,如果沒有積極的治理參與,,網(wǎng)絡安全工作就只會原地打轉(zhuǎn),。”

供應鏈安全受到更多重視

網(wǎng)絡安全框架2.0還整合并擴展了1.1版本中的供應鏈風險管理成果,,并將其中大部分歸入“治理”功能之下,。框架指出,,“鑒于該生態(tài)系統(tǒng)復雜且相互關(guān)聯(lián),,供應鏈風險管理(SCRM)對組織至關(guān)重要。網(wǎng)絡安全供應鏈風險管理(C-SCRM)是一個系統(tǒng)化的過程,,用于管理整個供應鏈中的網(wǎng)絡安全風險暴露,,并制定適當?shù)捻憫呗浴⒄?、流程和程序,。網(wǎng)絡安全框架C-SCRM類別[GV.SC]下的子類別提供了一種將純粹關(guān)注網(wǎng)絡安全和關(guān)注C-SCRM的成果聯(lián)系起來的方式?!?/p>

將供應鏈風險管理納入“治理”功能只是解決網(wǎng)絡安全棘手問題邁出的第一步,。“供應鏈問題纏身,,”O(jiān)’Reilly說,,“之所以供應鏈安全問題如此復雜,是因為供應鏈本身就非常復雜,。我認為NIST將一部分供應鏈納入治理范疇,,是因為需要從上層進行更多管理。因為目前,,一些做法雖然勉強說得過去,,但只能解決大約一半的問題?!?/p>

完善的參考工具、資料,、指南和資源整合

網(wǎng)絡安全框架2.0版本還提供了更新的“參考資料”,,即現(xiàn)有的標準、指南和框架,,以幫助充實網(wǎng)絡安全框架包含的技術(shù)細節(jié)和步驟,為組織如何實施23個類別下的106個子類別提供進一步的指導,。

為了解決網(wǎng)絡安全框架可能帶來的實施困難,,NIST在2.0版本中加入了一系列關(guān)于不同主題的“快速入門指南”,包括如何創(chuàng)建網(wǎng)絡安全框架配置文件和層級,,以及如何開始管理供應鏈安全風險和創(chuàng)建社區(qū)配置文件,,以供擁有共同利益的社區(qū)描述共識觀點。

網(wǎng)絡安全框架2.0版本的參考工具簡化了組織實施框架的方式,,允許用戶以人類和機器可讀的格式瀏覽,、搜索和導出CSF核心指南中的數(shù)據(jù)和詳細信息。

為了提供更實用的框架實施指南,,網(wǎng)絡安全框架2.0還提供了“實施示例”,。這些實施示例代表了NIST將被動書寫的成果轉(zhuǎn)換為組織可以采取的更積極可操作步驟的努力。

網(wǎng)絡安全框架2.0版本還改進了與其他廣泛使用的NIST資源的集成,,這些資源處理企業(yè)風險管理,、ERM和ICT風險管理計劃,包括:

SP 800-221,,信息和通信技術(shù)風險對企業(yè)的影響:治理和管理企業(yè)風險組合中的ICT風險計劃

SP 800-221A,,信息和通信技術(shù)(ICT)風險結(jié)果:將ICT風險管理計劃與企業(yè)風險組合相集成

SP 800-37,信息系統(tǒng)和組織的風險管理框架

SP 800-30,,以及NIST風險管理框架(RMF)進行風險評估的指南


weidian.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:aet@chinaaet.com。