风险评估是一个健全的网络安全计划的关键组成部分。为了对风险评估和网络安全成熟度评估进行基准测试,公司通常会参考公认的行业标准,如美国国家标准与技术研究院网络安全框架(“NIST CSF”或“框架”)。在这篇Debevoise数据博客文章中,我们讨论了对框架的建议更改,并为使用该框架进行网络安全风险评估的公司提供了一些建议。
概念文件
最近更新于2018年,该框架概述了降低网络安全风险的最佳实践,并已成为各种规模组织评估网络安全成熟度的标准。虽然对大多数组织来说,遵守CSF是自愿的,但监管机构、保险公司和政策制定者已将该框架视为评估组织是否实施了合理安全性的方法之一。
2023年1月,NIST发布了一份概念文件详细介绍了NIST在起草对框架CSF 2.0的更新时考虑的更重要的变化。对框架的拟议更改是基于NIST在很长一段时间内从行业和其他利益相关者那里收到的反馈,包括通过其网络安全RFI这涉及到134个答复关于CSF 2.0的研讨会来自100多个国家的4000多名与会者出席了会议。概念文件就这些建议的修订,以及现有框架的一般情况,征询意见。意见必须在2023年3月17日之前提交cyberframework@nist.gov.在审查了对该概念文件的反馈意见并考虑了通过研讨会获得的见解后,NIST打算在未来几个月内发布其CSF 2.0草案,进行为期90天的公开审查。
对CSF的拟议更改
概念文件中建议对框架作出的最重要修改包括:
- 扩大覆盖范围.标题可能会从“改善关键基础设施网络安全框架”更改为“网络安全框架”,标志着CSF从解决关键基础设施的网络安全风险扩展到广泛适用于政府、行业和学术界的组织,无论规模、部门或管辖区如何。
- 关注治理。对该框架提出的最重要的变化可能是引入“治理”功能,该功能强调网络安全治理对于管理和降低网络安全风险至关重要。目前框架中涉及治理的部分将被转移到新的治理功能中。根据拟议的变更,网络安全治理可能包括以下内容:
- 确定组织、顾客和社会的优先事项和风险承受能力;
- 网络安全风险和影响评估;
- 建立网络安全政策和程序;而且
- 了解网络安全角色和职责。
根据NIST的说法,这些活动对于检测、响应和从整个组织的网络安全风险中恢复,以及监督为组织执行网络安全活动的其他人至关重要。将治理提升到CSF功能还将促进网络安全活动与企业风险和法律要求的一致。横切治理函数也与NIST草案中的治理函数一致人工智能风险管理框架和隐私框架.
- 加强供应链风险指导.NIST网络安全RFI受访者一致认为,供应链和第三方是最大的网络安全风险。CSF 2.0将明确组织识别、评估和管理这些风险的重要性,这可能涉及不同的评估和监督,通常由独立于内部网络安全团队的利益相关者处理。NIST认为CSF 2.0应包括额外的网络安全供应链风险管理(“C-SCRM”)成果,以帮助组织应对这些不同的风险,并就将C-SCRM整合到框架其他方面的若干建议征求反馈意见。
关键的外卖
- 更容易:随着新的治理功能和对第三方的更多关注,NIST CSF 2.0是所有部门的重要资源。新的模块使框架对其他业务功能和领导层更容易访问,也更有帮助。鉴于《条例》的修订建议,这些建议的修订恰逢其时NYDFS网络安全法规第500部分,CISA绩效目标而且美国证券交易委员会提出的注册投资顾问规则它们都有大量的网络安全治理需求。
- 法律和合规的角色:CSF 2.0(甚至超过1.0)确定了法律和合规性在管理网络安全风险方面的更大作用。随着新模块和第三方焦点的添加,法律和合规团队应该考虑将CSF 2.0映射到适用的法规。对于那些在金融服务领域的人来说网络风险研究所已经通过之前添加这样的模块为您完成了这项工作。例如,公司可以评估“这个概要文件由网络风险研究所开发,该研究所将法规映射到扩展的NIST框架。绘图工作将把法律、合规和信息安全团队聚集在一起,使他们能够在更新的框架下进行协作。
- 风险评估:证交会的针对上市公司的拟议规则可能会导致更大的网络安全功能的风险管理由高级管理层和董事会要求公司公开披露网络安全治理的这些方面。的对NYDFS网络安全规则提出了修正案做同样的事情。有了这些新模块,NIST CSF 2.0将为进行风险评估提供一个非常有用的框架。无论是在内部进行,还是通过聘请可以提供专业知识和基准测试的外部供应商进行,风险评估的结果都可以为董事会的陈述和网络安全成熟度战略奠定基础。
如欲订阅数据博客,请按在这里.
