NIST planuje największą w historii reformę ram cyberbezpieczeństwa
Amerykański Narodowy Instytut Standardów i Technologii (NIST) planuje wprowadzenie znaczących zmian w swoich ramach cyberbezpieczeństwa (Cybersecurity Framework, CSF). Zostały one opublikowane po raz pierwszy w 2014 r., a następnie zaktualizowane do wersji 1.1 w 2018 r. Obecnie, po pięciu latach prowadzone są prace nad wersją 2.0, która ma być opublikowana jeszcze w tym roku.
Dokument CSF przedstawia zestaw wytycznych i najlepszych praktyk w zakresie zarządzania ryzykiem związanym z cyberbezpieczeństwem. Zostały one zaprojektowane tak, aby były elastyczne i proste we wdrożeniu, ale nie mają charakteru nakazowego. Są obecnie szeroko stosowane do tworzenia programów cyberbezpieczeństwa i mierzenia ich dojrzałości przez przedsiębiorstwa i instytucje rządowe, zarówno w Stanach Zjednoczonych, jak i w wielu innych krajach.
Poniżej zbiór najważniejszych proponowanych zmian, które w styczniu br. zostały przekazanie do konsultacji społecznych.
Poszerzona grupa odbiorców
Kongres Stanów Zjednoczonych wyraźnie nakazał instytutowi NIST uwzględnienie potrzeb małych firm i instytucji szkolnictwa wyższego w zakresie cyberbezpieczeństwa, poza pierwotnie zakładaną grupą docelową przedsiębiorstw zajmujących się krytyczną infrastrukturą narodową (w branży użyteczności publicznej, telekomunikacji, transportu, bankowości itp.). Istnieją również plany zwiększenia współpracy międzynarodowej i zachęcenia większej liczby krajów do przyjęcia ram, w całości lub częściowo.
Zarządzanie ryzykiem
Wcześniejsze wersje CSF definiowały pięć obszarów związanych z cyberbezpieczeństwem, które powinny zostać objęte regułami polityki: identyfikowanie zagrożeń, zabezpieczanie przed nimi, wykrywanie, reagowanie i przywracanie środowiska do stanu sprzed ataku. Do tych reguł dołączy szósta – zarządzanie ryzykiem związanym z cyberbezpieczeństwem w różnych obszarach, takich jak łańcuchy dostaw, chmura, sprzęt, oprogramowanie, infrastruktura sieciowa. Nowe reguły będą obejmowały określanie priorytetów oraz tolerancji na ryzyko przedsiębiorstwa, jego partnerów i klientów. Zdefiniowane zostaną także mechanizmy oceny ryzyka i jego wpływu na przyjętą politykę cyberbezpieczeństwa oraz sposoby przypisywania ról poszczególnym zespołom i osobom w zakresie ochrony cyfrowych danych.
Wymiana informacji
Jedną z kwestii pominiętych w dotychczasowych specyfikacjach CSF było zintegrowanie mechanizmów wymiany informacji z systemami stworzonymi w ramach innych programów bezpieczeństwa przyjętych przez NIST (i nie tylko), takich jak Risk Management Framework czy Workforce Framework for Cybersecurity. Branża domagała się również bardziej praktycznych wskazówek dotyczących stosowania tych ram, co doprowadziło do powstania nowego rozdziału zawierającego opisy przykładowych wdrożeń.
Pomiary i oceny
CSF 2.0 ma również zawierać więcej wytycznych dotyczących pomiarów i ocen różnych aspektów dotyczących bezpieczeństwa. Przyjęta zostanie wspólna taksonomia i leksykon do komunikowania ich wyników. Planowane jest dostarczenie dodatkowych wskazówek w jaki sposób oceniać poziom dojrzałości systemów bezpieczeństwa w przedsiębiorstwie – część z nich pojawi się w CSF 2.0, a niektóre w oddzielnych wytycznych.
Prywatność na razie oddzielnie
Po konsultacjach z interesariuszami NIST zdecydował się nie łączyć oddzielnego dokumentu dotyczącego ram prywatności użytkowników z CSF 2.0. Niemniej, nie jest to wykluczone w wersji 3.0 – przedstawiciele instytutu będą szczególnie uważnie przyglądali się metodologii Zero Trust, w ramach której zakłada się absolutny brak zaufania do wszystkich urządzeń, procesów i użytkowników.
Neutralność wobec dostawców
Kolejnym obszarem, który wciąż jest przedmiotem dyskusji, jest propozycja NIST, aby Cybersecurity Framework był neutralny pod względem technologicznym i rynkowej oferty dostawców. W tym aspekcie na razie nie ma zgody, niektórzy domagają się, aby dotyczył on konkretnych tematów, technologii i aplikacji. Część osób wręcz oczekuje, że powinny powstać konkretne wytyczne dla poszczególnych technik i systemów ochronnych.
Pobierz dokument zawierający pełną treść propozycji ram CSF 2.0 dostępny na stronie NIST.
Podobne artykuły
GenAI odmieni podejście do bezpieczeństwa
Zanim zespoły ds. bezpieczeństwa w pełni skorzystają z mechanizmów sztucznej inteligencji do obrony infrastruktury i zasobów, będą musiały mierzyć się z nowymi typami ataków, prowadzonych przez cyberprzestępców właśnie z jej użyciem.
Gangi ransomware rozdają karty
Cyberprzestępcy przeszli do ofensywy, a nierzadko można odnieść wrażenie, że wykazują się większą kreatywnością i determinacją niż przedstawiciele „jasnej strony mocy”.
Przyszłość usług monitorowania bezpieczeństwa
Wobec wzrostu zagrożenia cyberatakami znaczenia nabiera ciągłe monitorowanie bezpieczeństwa. I wcale nie trzeba na to przeznaczać całego swojego budżetu na cyberbezpieczeństwo.