近日,美国国家标准与技术研究院(NIST)更新了广泛使用的网络安全框架(CSF),这是其降低网络安全风险的里程碑式指导文件。新的2.0版本专为所有受众、行业部门和组织类型设计,从最小的学校和非营利组织到最大的机构和公司,无论其网络安全复杂程度如何。
针对收到的对草案版本的众多评论,NIST扩展了CSF的核心指南,并开发了相关资源,以帮助用户最大限度地利用框架。这些资源旨在为不同的受众提供进入CSF的量身定制的途径,并使框架更容易付诸实施。
负责标准与技术的商务部副部长兼NIST主任Laurie E.Locascio表示:“CSF一直是许多组织的重要工具,帮助他们预测和应对网络安全威胁。”。“基于以前版本的CSF 2.0不仅仅是一个文档。它是一套资源,随着组织网络安全需求的变化和能力的发展,这些资源可以单独或组合使用。”
CSF 2.0支持国家网络安全战略的实施,其范围已扩展到保护医院和发电厂等关键基础设施之外的任何部门的所有组织。它还将新的重点放在治理上,包括组织如何就网络安全战略做出和执行知情决策。CSF的治理部分强调,网络安全是企业风险的主要来源,高级领导人应与财务和声誉等其他方面一起考虑。
NIST应用网络安全部门负责人Kevin Stine表示:“这一更新是通过与利益相关者密切合作开发的,反映了最新的网络安全挑战和管理实践,旨在使该框架与美国和国外更广泛的用户更加相关。”。
根据总统行政命令,NIST于2014年首次发布了CSF,以帮助组织了解、减少和沟通网络安全风险。该框架的核心现在围绕六个关键功能组织:识别、保护、检测、响应和恢复,以及CSF 2.0新添加的Govern功能。综合考虑,这些功能提供了管理网络安全风险的生命周期的全面视图。
更新后的框架预计,各组织将带着不同的需求和实施网络安全工具的经验来到CSF。新采用者可以从其他用户的成功中学习,并从一组新的实施示例和快速入门指南中选择他们感兴趣的主题,这些示例和指南是为特定类型的用户设计的,例如小企业、企业风险经理和寻求保护其供应链的组织。
新的CSF 2.0参考工具现在简化了组织实施CSF的方式,允许用户以人类消耗品和机器可读格式浏览、搜索和导出CSF核心指南中的数据和详细信息。
此外,CSF 2.0提供了一个可搜索的信息参考目录,显示了他们当前的行动是如何映射到CSF上的。该目录允许组织将CSF的指南与50多个其他网络安全文件进行交叉引用,包括NIST的其他文件,如SP 800-53 Rev.5,这是一个用于实现特定网络安全结果的工具目录(称为控制)。
各组织还可以参考网络安全和隐私参考工具(CPRT),该工具包含一组相互关联、可浏览和可下载的NIST指导文件,这些文件将这些NIST资源(包括CSF)与其他流行资源结合起来。CPRT提供了将这些想法传达给技术专家和高管的方式,以便组织的各个层面都能保持协调。
Stine说,NIST计划继续增加其资源,使CSF成为对更广泛用户更有用的资源,来自社区的反馈将至关重要。
他说:“当用户定制CSF时,我们希望他们能分享他们的例子和成功,因为这将使我们能够扩大他们的经验并帮助他人。”。“这将有助于组织、部门甚至整个国家更好地了解和管理其网络安全风险。”
CSF在国际上应用广泛;1.1和1.0版本已被翻译成13种语言,NIST预计CSF 2.0也将由世界各地的志愿者翻译。这些翻译将被添加到NIST不断扩大的CSF资源组合中。在过去的11年里,NIST与国际标准化组织(ISO)以及国际电工委员会(IEC)的合作有助于协调多个网络安全文件。ISO/IEC资源现在允许组织建立网络安全框架,并使用CSF功能组织控制。NIST计划继续与ISO/IEC合作,以继续这一国际协调。
