Национальный институт стандартов и технологий (NIST) недавно опубликовал проект своей структуры кибербезопасности (CSF) 2.0.
Эта новая структура, которая должна быть официально выпущена в начале 2024 года, представляет собой значительный пересмотр существующей CSF, направленный на устранение изменений в технологии, рисках и общем ландшафте кибербезопасности.
Эволюция структуры кибербезопасности
Оригинальная CSF была впервые выпущена в 2014 году с целью снижения рисков кибербезопасности для критически важной инфраструктуры. Однако, несмотря на то, что ее часто рекламируют как золотой стандарт для создания надежной программы кибербезопасности, добровольное соблюдение этой платформы в значительной степени не привело к созданию эффективной кибербезопасности. Это сделало критически важную инфраструктуру и другие организации уязвимыми для серьезных киберугроз, таких как программы-вымогатели или атаки типа “отказ в обслуживании”.
Что нового в CSF 2.0?
Обновленная структура, CSF 2.0, расширяет сферу своей деятельности за пределы критической инфраструктуры и распространяется на организации любого размера и сектора. Она повышает важность управления кибербезопасностью и подчеркивает важность управления рисками в цепочке поставок в киберпространстве. Однако, как и первоначальная CSF, CSF 2.0 остается добровольной структурой, предлагающей высокоуровневые рекомендации по управлению киберрисками.
Расширенная сфера применения
CSF 2.0 расширяет сферу своей деятельности за пределы критической инфраструктуры и распространяется на организации любого размера и сектора. Это означает, что платформа теперь применима к более широкому кругу организаций, что делает ее более универсальным инструментом управления рисками кибербезопасности.
Акцент на управлении кибербезопасностью
Новая структура повышает важность управления кибербезопасностью. Это отражает растущее признание того, что эффективная кибербезопасность связана не только с технологиями, но и с политиками, процедурами и структурами, которые существуют в организации для управления киберрисками.
Управление рисками в цепочке киберпоставок
Еще одним значительным изменением в CSF 2.0 является акцент на управлении рисками в цепочке поставок в киберпространстве. Это сделано в ответ на растущее осознание того, что кибербезопасность организации настолько сильна, насколько сильно самое слабое звено в ее цепочке поставок.
Обновленное ядро CSF
CSF 2.0 включает обновленную версию ядра CSF, отражающую отзывы о предыдущей версии. Ядро CSF предоставляет набор желаемых результатов в области кибербезопасности, которые организации могут использовать для руководства своими усилиями в области кибербезопасности.
Примеры реализации и информативные ссылки
CSF 2.0 не содержит примеров реализации или информативных ссылок на ядро CSF 2.0, учитывая необходимость их частого обновления1. Вместо этого они будут храниться онлайн на веб-сайте NIST Cybersecurity Framework 1.
Отзывы сообщества
NIST активно ищет отзывы сообщества о проекте пересмотра CSF 2.0. Это включает отзывы о наилучшем способе представления изменений с CSF 1.1 на CSF 2.0 для поддержки перехода.
В заключение отметим, что NIST Cybersecurity Framework 2.0 представляет собой значительную эволюцию первоначальной структуры с изменениями, направленными на решение текущих и будущих проблем кибербезопасности. Однако она остается добровольной структурой, предоставляющей рекомендации высокого уровня, и ответственность за разработку и внедрение эффективных программ кибербезопасности по-прежнему лежит на отдельных организациях.
Предстоящие задачи
Хотя проект CSF 2.0 представляет собой улучшение по сравнению с текущей структурой кибербезопасности NIST, маловероятно, что он фундаментально улучшит состояние кибербезопасности Соединенных Штатов. Платформа оставляет отдельным организациям тяжелую работу по созданию эффективной программы кибербезопасности из набора часто сложных фреймворков, стандартов и руководств, на которые ссылаются в расширенном “руководстве по внедрению” обновленной платформы.
Заключение
В заключение, хотя NIST CSF 2.0 представляет собой шаг вперед в решении меняющегося ландшафта угроз кибербезопасности, очевидно, что необходимо сделать еще больше. Руководителям и лицам, принимающим решения, крайне важно не только понимать рекомендации, предоставляемые NIST, но и активно искать и внедрять надежные меры кибербезопасности, адаптированные к конкретным потребностям и рискам вашей организации.