Dokument CSF przedstawia zestaw wytycznych i najlepszych praktyk w zakresie zarządzania ryzykiem związanym z cyberbezpieczeństwem. Zostały one zaprojektowane tak, aby były elastyczne i proste we wdrożeniu, ale nie mają charakteru nakazowego. Są obecnie szeroko stosowane do tworzenia programów cyberbezpieczeństwa i mierzenia ich dojrzałości przez przedsiębiorstwa i instytucje rządowe, zarówno w Stanach Zjednoczonych, jak i w wielu innych krajach.

Poniżej zbiór najważniejszych proponowanych zmian, które w styczniu br. zostały przekazanie do konsultacji społecznych.

Poszerzona grupa odbiorców

Kongres Stanów Zjednoczonych wyraźnie nakazał instytutowi NIST uwzględnienie potrzeb małych firm i instytucji szkolnictwa wyższego w zakresie cyberbezpieczeństwa, poza pierwotnie zakładaną grupą docelową przedsiębiorstw zajmujących się krytyczną infrastrukturą narodową (w branży użyteczności publicznej, telekomunikacji, transportu, bankowości itp.). Istnieją również plany zwiększenia współpracy międzynarodowej i zachęcenia większej liczby krajów do przyjęcia ram, w całości lub częściowo.

Zarządzanie ryzykiem

Wcześniejsze wersje CSF definiowały pięć obszarów związanych z cyberbezpieczeństwem, które powinny zostać objęte regułami polityki: identyfikowanie zagrożeń, zabezpieczanie przed nimi, wykrywanie, reagowanie i przywracanie środowiska do stanu sprzed ataku. Do tych reguł dołączy szósta – zarządzanie ryzykiem związanym z cyberbezpieczeństwem w różnych obszarach, takich jak łańcuchy dostaw, chmura, sprzęt, oprogramowanie, infrastruktura sieciowa. Nowe reguły będą obejmowały określanie priorytetów oraz tolerancji na ryzyko przedsiębiorstwa, jego partnerów i klientów. Zdefiniowane zostaną także mechanizmy oceny ryzyka i jego wpływu na przyjętą politykę cyberbezpieczeństwa oraz sposoby przypisywania ról poszczególnym zespołom i osobom w zakresie ochrony cyfrowych danych.

Wymiana informacji

Jedną z kwestii pominiętych w dotychczasowych specyfikacjach CSF było zintegrowanie mechanizmów wymiany informacji z systemami stworzonymi w ramach innych programów bezpieczeństwa przyjętych przez NIST (i nie tylko), takich jak Risk Management Framework czy Workforce Framework for Cybersecurity. Branża domagała się również bardziej praktycznych wskazówek dotyczących stosowania tych ram, co doprowadziło do powstania nowego rozdziału zawierającego opisy przykładowych wdrożeń.

Pomiary i oceny

CSF 2.0 ma również zawierać więcej wytycznych dotyczących pomiarów i ocen różnych aspektów dotyczących bezpieczeństwa. Przyjęta zostanie wspólna taksonomia i leksykon do komunikowania ich wyników. Planowane jest dostarczenie dodatkowych wskazówek w jaki sposób oceniać poziom dojrzałości systemów bezpieczeństwa w przedsiębiorstwie – część z nich pojawi się w CSF 2.0, a niektóre w oddzielnych wytycznych.

Prywatność na razie oddzielnie

Po konsultacjach z interesariuszami NIST zdecydował się nie łączyć oddzielnego dokumentu dotyczącego ram prywatności użytkowników z CSF 2.0. Niemniej, nie jest to wykluczone w wersji 3.0 – przedstawiciele instytutu będą szczególnie uważnie przyglądali się metodologii Zero Trust, w ramach której zakłada się absolutny brak zaufania do wszystkich urządzeń, procesów i użytkowników.

Neutralność wobec dostawców

Kolejnym obszarem, który wciąż jest przedmiotem dyskusji, jest propozycja NIST, aby Cybersecurity Framework był neutralny pod względem technologicznym i rynkowej oferty dostawców. W tym aspekcie na razie nie ma zgody, niektórzy domagają się, aby dotyczył on konkretnych tematów, technologii i aplikacji. Część osób wręcz oczekuje, że powinny powstać konkretne wytyczne dla poszczególnych technik i systemów ochronnych.

Pobierz dokument zawierający pełną treść propozycji ram CSF 2.0 dostępny na stronie NIST.