NIST启动网络安全框架史上最大规模改革

美国国家标准与技术研究院(NIST)正对其网络安全框架(CSF)进行五年来首次重大更新。CSF 2.0将扩大适用范围至所有组织,新增"治理"功能,强化供应链风险管理,并首次重点纳入测量评估指南。该框架目前面向公众征求意见。

NIST启动网络安全框架史上最大规模改革

Emma Woollacott
2023年2月23日 15:55 UTC

政策与立法 | 合规 | 隐私

CSF 2.0蓝图公开征求意见

美国国家标准与技术研究院(NIST)正计划对其网络安全框架(CSF)进行重大调整——这是五年来的首次更新,也是迄今为止规模最大的改革。

该框架最初于2014年发布,2018年更新至1.1版,提供了一套管理网络安全风险指南和最佳实践。该框架设计灵活且适应性强,而非规定性,被美国内外众多组织和政府机构广泛用于制定网络安全计划并评估其成熟度。

经过长期磋商,NIST发布了CSF 2.0的概念文件(PDF),并开放以供进一步审查。收到的反馈将用于制定修订框架的最终草案,预计将于今年夏季发布。

NIST高级技术政策顾问兼网络安全框架项目负责人Cherilyn Pascoe表示:“我们认为网络安全格局已经发生了足够多的变化,有必要进行此次重大更新。网络安全标准发生了变化,包括NIST发布的标准以及其他地方发布的标准;风险格局和技术也发生了重大变化。因此,尽管绝大多数受访者表示他们仍然喜欢该框架,但人们期待一些改变,所以我们认为是时候进行更新了。”

扩大受众范围

一个显著变化是框架的目标受众。自CSF 1.1发布以来,美国国会明确指示NIST除了最初的关键国家基础设施组织(公用事业、电信、交通、银行等)目标人群外,还要考虑小型企业和高等教育机构的需求。

Pascoe说:“最初的范围是根据[美国总统]行政命令定义的关键基础设施,但随着时间的推移,许多组织开始使用它。我们不希望组织必须确定自己是否属于关键基础设施,这有时是一个法律问题,会带来额外负担,因此我们提议将其扩大到所有组织。”

还有计划加强国际合作,鼓励更多国家全部或部分采用该框架。

新增"治理"功能

与此同时,一个新的"治理"功能将加入现有的五个核心功能——识别、保护、检测、响应和恢复——旨在将网络安全风险与其他企业风险(如对财务稳定的威胁)置于同等地位。

新功能将包括:确定组织、其客户和更大社会的优先事项和风险承受能力;评估网络安全风险和影响;建立网络安全政策和程序;以及评估网络安全角色和职责。

Pascoe说:“已经做了很多工作来更好地理解如何将网络安全风险作为其他企业风险(如财务风险)的一部分纳入;高层领导需要意识到网络安全风险以及需要制定的应对网络安全的政策和程序。我认为人们越来越意识到网络安全不仅仅是一个技术问题,而是需要组织高层解决的问题。”

这一增加主要是为了响应越来越多地使用该框架来构建技术人员和高级管理人员之间关于网络安全风险的讨论。

协同思维

信息请求过程中强调的一个问题是需要改进该框架与其他NIST及非NIST安全计划(如风险管理框架和网络安全劳动力框架)的一致性。

受访者还呼吁就应用该框架提供更实用的指导,这导致新增了一个专注于实施示例的部分。据Pascoe称,虽然该框架仍然专注于高层结果而非具体流程,“这些示例将帮助组织找到一个起点,思考实现更高层子类别结果的不同方式”。

风险管理

新版框架将首次重点关注供应链风险管理,帮助和鼓励组织处理各种类型的第三方风险,从云计算到计算机、软件和网络设备,以及非技术供应链。

然而,Pascoe表示,对于如何做到这一点存在不同意见:特别是,网络安全供应链管理应该整合到框架的现有结构中,还是作为单独的功能分离出来。

她说:“每个人都认为是的,这是一个非常重要的问题,但反馈意见不一,所以我们已经表示要再思考一下这个问题以及如何解决它。这有时因行业而异,有时基于他们现有的监管要求;例如,金融行业在网络安全方面受到严格监管,他们有现有的第三方要求,希望能在框架中看到这些要求,所以他们可能是最强烈要求显著扩展第三方[责任]的。”

衡量标准

CSF 2.0还计划包含更多关于测量和评估的指南,提供一个通用分类法和词汇表,用于传达组织测量和评估工作的结果,无论底层风险管理过程如何。

Pascoe说:“NIST是一个测量科学机构,所以我们一直在努力开发测量工具——但网络安全测量可能是我们处理过的最困难的事情之一。组织正在提出这个问题:‘既然我已经使用该框架十年了,我怎么知道我的网络安全状况正在改善,并且我采取的行动有利于降低风险?’”

计划是提供关于如何评估安全成熟度水平的额外指南——部分在CSF 2.0本身中,部分在单独的指南中。

隐私、零信任难题

在咨询利益相关者后,NIST决定不将其隐私框架与CSF合并,尽管Pascoe表示,鉴于两者之间的"重叠"越来越多,这可能是未来CSF 3.0的举措。

Pascoe预见到在诸如零信任在框架内的适用性等话题上会出现分歧,或至少是重要的进一步讨论。零信任是一种网络安全概念,敦促组织不要默认信任任何设备,无论其位于组织边界之外还是内部。

NIST的观点是,零信任不需要纳入框架,尽管应用该架构是拜登政府的优先事项。

供应商中立?

另一个仍在讨论中的领域是NIST保持框架技术和供应商中立的提议,一些人呼吁它解决特定主题、技术和应用问题。

Pascoe说:“该框架一直是技术中立的,但组织在利用云计算或物联网或运营技术时,希望获得更多指导。因此,确保我们在不排除任何特定系统的同时保持技术中立将是一个特别的挑战——但我认为有许多组织希望我们走得更远,并为每种技术提供具体指导。”

关于提案的评论可以在3月3日之前提交至NIST的cyberframework@nist.gov,草案计划于夏季发布,随后进行公开审查。

Pascoe总结道:“所以我们将在可能的地方尝试达成共识,但治理和供应链方面的一些变化确实很大。希望我们能够找到解决方案。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次