NIST启动史上最大规模网络安全框架改革,CSF 2.0蓝图公开征求意见

美国国家标准与技术研究院(NIST)正对其网络安全框架(CSF)进行五年来首次重大更新,CSF 2.0将扩展适用范围至所有组织,新增治理功能,并加强供应链风险管理与国际化协作。

NIST启动史上最大规模网络安全框架改革

Emma Woollacott
2023年2月23日 15:55 UTC

政策与立法 · 合规 · 隐私

美国国家标准与技术研究院(NIST)正计划对其网络安全框架(CSF)进行重大修订——这是五年来的首次更新,也是迄今为止规模最大的改革。

CSF最初于2014年发布,2018年更新至1.1版本,提供了一套管理网络安全风险的指南和最佳实践。该框架设计灵活、适应性强而非指令性,被美国内外众多组织和政府机构广泛用于创建网络安全项目并评估其成熟度。

经过长期咨询,NIST已发布CSF 2.0的概念文件(PDF),并开放供进一步审查。反馈意见将用于制定修订框架的最终草案,预计于今年夏季发布。

NIST高级技术政策顾问兼网络安全框架项目负责人Cherilyn Pascoe表示:“我们认为网络安全格局已发生足够变化,值得此次重大更新。包括NIST及其他机构发布的标准、风险格局和技术均有显著变化。尽管绝大多数受访者仍认可该框架,但许多人期待变革,因此我们认为现在是时候进行刷新。”

扩展受众范围

一个显著变化是框架的目标受众。自CSF 1.1发布以来,美国国会明确指示NIST考虑小型企业和高等教育机构的需求,超越最初的关键国家基础设施组织(如公用事业、电信、交通、银行等)目标群体。

Pascoe说:“范围最初是根据[美国总统]行政命令定义的关键基础设施,但随着时间的推移,许多组织开始使用它。我们不希望组织必须确定自己是否属于关键基础设施,这有时是一个带有额外负担的法律问题,因此我们提议将其扩展到所有组织。”

还有计划增加国际合作,鼓励更多国家全面或部分采用该框架。

新增治理功能

与此同时,新的“治理”功能将加入现有的五个原则——识别、保护、检测、响应和恢复——旨在将网络安全风险与其他企业风险(如财务稳定性威胁)并列。

新功能将包括确定组织、客户和更大社会的优先事项和风险容忍度;评估网络安全风险和影响;建立网络安全政策和程序;以及评估网络安全角色和责任。

Pascoe表示:“已有大量工作更好地理解如何将网络安全风险纳入其他企业风险,如财务风险;高级领导层需要意识到网络安全风险以及解决网络安全所需的政策和程序。”她补充道:“我认为人们越来越意识到网络安全不仅是技术问题,还需要组织高层解决。”

这一增加主要是对框架日益用于构建技术人员与高级管理人员之间网络安全风险讨论的回应。

协同思维

信息请求期间强调的一个问题是需要改进框架与其他NIST和非NIST安全计划(如风险管理框架和网络安全劳动力框架)的一致性。

受访者还呼吁提供更多关于应用框架的实用指导,导致新增一个专注于实施示例的部分。据Pascoe称,虽然框架仍专注于高层结果而非具体过程,“这些示例将帮助组织思考实现更高层次子类别结果的不同方式”。

风险管理

新框架将首次显著关注供应链风险管理,帮助和鼓励组织解决各种第三方风险,从云计算到计算机、软件和网络设备,以及非技术供应链。

然而,Pascoe表示,关于如何做到这一点存在不同意见:特别是,网络安全供应链管理应集成到框架的现有结构中还是作为单独功能拆分。

她说:“每个人都认为这是一个非常重要的问题,但反馈不一,因此我们表示需要进一步思考如何解决。有时按行业划分,有时基于现有监管要求;例如,金融行业在网络安全方面受到严格监管,他们希望框架中包含现有的第三方要求,因此他们可能是最强烈要求显著扩展第三方[责任]的。”

衡量与评估

CSF 2.0还将包括更多关于衡量和评估的指导,提供通用分类法和词汇表,以传达组织衡量和评估工作的结果,无论底层风险管理过程如何。

Pascoe说:“NIST是一个测量科学机构,因此我们始终努力开发测量工具——但网络安全测量可能是我们处理过的最困难的事情之一。组织正在问:‘既然我已经使用该框架十年了,我怎么知道我的网络安全态势正在改善,我所采取的行动有益于降低风险?’”

计划提供关于如何评估安全成熟度水平的额外指导——部分在CSF 2.0本身中,部分在单独指南中。

隐私、零信任难题

NIST在咨询利益相关者后决定不将其隐私框架与CSF合并,尽管Pascoe表示,鉴于两者之间的“重叠日益增加”,这可能是未来CSF 3.0的举措。

Pascoe预见到在诸如零信任在框架中的适用性等话题上存在分歧,或至少需要进一步讨论。零信任是一种网络安全概念,敦促组织默认不信任任何设备,无论其位于组织边界内外。

NIST的观点是,零信任无需纳入框架,尽管应用该架构是拜登政府的优先事项。

供应商中立?

另一个仍在讨论中的领域是NIST保持框架技术和供应商中立的提议,有些人呼吁其解决特定主题、技术和应用。

Pascoe说:“该框架一直是技术中立的,但组织在利用云、物联网或操作技术时寻求更多指导。因此,确保我们保持技术中立,同时不排除任何特定系统将是一个特别的挑战——但我认为有许多组织希望我们走得更远,为每种技术提供具体指导。”

关于提案的评论可在3月3日前提交至NIST的cyberframework@nist.gov,草案计划于夏季发布,随后进行公开审查。

Pascoe总结道:“因此,我们将尽可能寻求共识,但治理和供应链方面的一些变化确实很大。希望我们能够找到解决方案。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次