CSF 2.0 taslağı genel incelemeye sunuldu
ANALİZ ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Siber Güvenlik Çerçevesinde (CSF) beş yıl içinde ilk ve şimdiye kadarki en büyük reform olan önemli değişiklikler planlıyor.
İlk olarak 2014’te yayınlanan ve 2018’de 1.1 sürümüne güncellenen CSF, siber güvenlik risklerini yönetmek için bir dizi kılavuz ve en iyi uygulama sağlar. Çerçeve, kuralcı olmaktan çok esnek ve uyarlanabilir olacak şekilde tasarlanmıştır ve hem ABD içinde hem de dışında kuruluşlar ve devlet kurumları tarafından siber güvenlik programları oluşturmak ve bunların olgunluğunu ölçmek için yaygın olarak kullanılmaktadır.
Uzun bir istişarenin ardından NIST, CSF 2.0 için bir kavram belgesi (pdf) yayınladı ve daha fazla incelemeye açtı. Ortaya çıkan geri bildirim, bu yaz bir tarihte çıkacak olan gözden geçirilmiş çerçevenin son taslağını geliştirmek için kullanılacaktır.
NIST ve Siber Güvenlik Çerçeve Programı lideri kıdemli teknoloji politikası danışmanı Cherilyn Pascoe, “Siber güvenlik ortamında bu sefer önemli bir güncellemeyi gerektirecek kadar değişiklik olduğunu düşünüyoruz” diyor.
“NIST ve başka yerlerde yayınlananlar da dahil olmak üzere siber güvenlik standartlarında değişiklikler oldu; risk ortamında ve teknolojilerde önemli değişiklikler oldu. Bu nedenle, yanıt verenlerimizin büyük çoğunluğu çerçeveyi hâlâ beğendiklerini söylese de, insanların aradığı bir dizi değişiklik vardı ve bu nedenle, bizim için bir yenileme yapma zamanının geldiğini düşündük.”
NIST ve Siber Güvenlik Çerçeve Programı lideri kıdemli teknoloji politikası danışmanı Cherilyn Pascoe
Genişletilmiş hedef kitle
Dikkate değer bir değişiklik, çerçevenin kime yönelik olduğudur. CSF 1.1’in yayınlanmasından bu yana ABD Kongresi, NIST’i, kritik ulusal altyapı kuruluşlarının (kamu hizmetleri, telekomünikasyon, ulaşım, bankacılık vb.) orijinal hedef demografisinin ötesinde, küçük işletmelerin ve yüksek öğretim kurumlarının ihtiyaçlarını dikkate alması için açıkça yönlendirmiştir.
“Kapsam başlangıçta, altında tanımlandığı gibi kritik altyapı içindi. [a US President] Ancak zamanla birçok kuruluş bunu kullanmaya başladı” diyor Pascoe.
“Kuruluşların, bazen ek külfetler getiren yasal bir sorun olan kritik altyapı olup olmadığı konusunda bu kararı vermelerini istemiyoruz ve bu nedenle bunu tüm kuruluşlara genişletmeyi teklif ediyoruz.”
Uluslararası işbirliğini artırma ve daha fazla ülkeyi çerçeveyi tamamen veya kısmen benimsemeye teşvik etme planları da var.
Daily Swig Deserialized’e kaydolun, web güvenliği, böcek ödülleri ve bilgisayar korsanlığı kültürü haberleriyle ilgili iki haftalık yeni özetimiz
Bu arada, siber güvenlik riskini finansal istikrara yönelik tehditler gibi diğer kurumsal risklerin yanında konumlandırmak amacıyla yeni bir “Yönet” işlevi mevcut beş ilkeye (Tanımla, Koru, Tespit Et, Yanıt Ver ve Kurtar) katılacak.
Yeni işlev, kuruluşun, müşterilerinin ve daha geniş toplumun önceliklerinin ve risk toleranslarının belirlenmesini; siber güvenlik risklerinin ve etkilerinin değerlendirilmesi; siber güvenlik politikaları ve prosedürlerinin oluşturulması; ve siber güvenlik rollerinin ve sorumluluklarının değerlendirilmesi.
“Siber güvenlik riskinin diğer kurumsal risklerin bir parçası olarak nasıl dahil edilebileceğini daha iyi anlamak için çok çalışma yapıldı, yani finansal riskin yanı sıra; üst düzey liderliğin siber güvenlik risklerinin ve siber güvenliği ele almak için yürürlükte olması gereken politika ve prosedürlerin farkında olmasının önemi” diyor Pascoe.
“Siber güvenliğin sadece teknik bir konu olmadığı ve bunun organizasyonun üst seviyeleri tarafından ele alınması gereken bir konu olduğu konusunda çok daha fazla farkındalık oluştuğunu düşünüyorum” diye ekledi.
Bu ekleme, büyük ölçüde, teknoloji uzmanları ve üst düzey yöneticiler arasında siber güvenlik riskiyle ilgili tartışmaları yapılandırmak için çerçevenin artan kullanımına bir yanıttır.
Birleşik düşünme
Bilgi talebi sırasında vurgulanan bir konu, çerçevenin Risk Yönetimi Çerçevesi ve Siber Güvenlik için İşgücü Çerçevesi gibi diğer NIST ve NIST dışı güvenlik programlarıyla uyumunun iyileştirilmesi ihtiyacıydı.
Katılımcılar ayrıca, uygulama örneklerine odaklanan yeni bir bölümün açılmasına yol açan, çerçevenin uygulanması konusunda daha pratik rehberlik çağrısında bulundu. Pascoe’ya göre çerçeve, belirli süreçlerden ziyade üst düzey sonuçlara odaklanmaya devam ederken, “bu örnekler, kuruluşların üst düzey alt kategori sonuçlarını uygulayabilecekleri farklı yollar hakkında düşünmeleri için bir başlangıç noktası sağlamaya yardımcı olacaktır”.
Risk yönetimi
Yeni çerçeve ilk kez tedarik zinciri risk yönetimine önemli ölçüde odaklanacak ve kuruluşların bulut bilgi işlemden bilgisayarlara, yazılım ve ağ ekipmanına ve teknoloji dışı her türlü üçüncü taraf risklerini ele almasına yardımcı olacak ve teşvik edecektir. tedarik zinciri.
Bununla birlikte Pascoe, bunun nasıl yapılacağı konusunda karışık görüşler olduğunu söylüyor: özellikle siber güvenlik tedarik zinciri yönetiminin çerçevenin mevcut yapılarına mı entegre edilmesi yoksa ayrı bir işlev olarak mı ayrılması gerektiği.
“Herkes evet, bunun gerçekten önemli bir konu olduğunu düşünüyor, ancak geri bildirimler karışıktı, bu yüzden bu konuyu ve nasıl ele alınacağını biraz daha düşünelim dedik” diyor.
“Bazen sektöre göre gidiyor ve bazen mevcut düzenleyici gerekliliklere dayanıyor; bu nedenle, örneğin, finans sektörü siber güvenlik için çok sıkı bir düzenlemeye tabidir ve çerçeve içinde görmeyi umdukları mevcut üçüncü taraf gereksinimleri vardır, bu nedenle muhtemelen üçüncü taraf için önemli bir genişleme istemek konusunda en çok ses çıkaranlar onlardır. [responsibilities]”
ölçü için ölçü
CSF 2.0 ayrıca, altta yatan risk yönetimi sürecine bakılmaksızın, bir kuruluşun ölçüm ve değerlendirme çabalarının sonucunu iletmek için ortak bir taksonomi ve sözlük ile ölçüm ve değerlendirme hakkında daha fazla rehberlik içerecek şekilde ayarlanmıştır.
Pascoe, “NIST bir ölçüm bilimi ajansıdır ve bu nedenle her zaman bir şeyleri ölçmek için araçlar geliştirmeye çalışıyoruz – ancak siber güvenlik ölçümü muhtemelen şimdiye kadar üstesinden geldiğimiz en zor şeylerden biri” diyor.
En son siber güvenlik politikası ve mevzuat haberlerini takip edin
“Kuruluşlar şu soruyu soruyor: ‘Çerçeveyi on yıldır kullandığıma göre, siber güvenlik duruşumun geliştiğini ve aldığım önlemlerin riski azaltmak için faydalı olduğunu nasıl bilebilirim?””
Plan, güvenlik olgunluğu erişim düzeylerinin nasıl yapılacağı hakkında ek rehberlik sağlamaktır – bazıları CSF 2.0’ın kendisinde ve bazıları ayrı rehberlikte.
Gizlilik, sıfır güven bilmeceleri
NIST, paydaşlara danıştıktan sonra gizlilik çerçevesini CSF ile birleştirmemeye karar verdi, ancak Pascoe “ikisi arasında artan örtüşme” göz önüne alındığında bunun gelecekteki bir CSF 3.0 için bir hareket olabileceğini söylüyor.
Pascoe, sıfır güven çerçevesinde uygulanabilirlik gibi konularda anlaşmazlık veya en azından önemli daha fazla tartışma öngörüyor – bir ağ güvenliği konsepti, kuruluşları varsayılan olarak, bir kuruluşun çevresinin dışında veya içinde yer almasına bakılmaksızın herhangi bir cihaza güvenmemeye teşvik ediyor .
NIST’in görüşü, mimariyi uygulamak Biden yönetimi için bir öncelik olsa da, sıfır güvenin çerçeveye dahil edilmesine gerek olmadığı yönündedir.
Satıcı tarafsız mı?
Hâlâ tartışmaya açık olan bir başka alan da, NIST’in çerçeve teknolojisini ve satıcıyı tarafsız tutma önerisidir ve bazıları bunun belirli konuları, teknolojileri ve uygulamaları ele almasını ister.
Pascoe, “Çerçeve her zaman teknolojiden bağımsız olmuştur, ancak kuruluşlar, örneğin buluttan veya nesnelerin internetinden veya operasyonel teknolojilerden yararlanırken daha fazla rehberlik arıyor” diyor.
“Ve bu nedenle, herhangi bir belirli sistemi hariç tutmadan teknolojiden bağımsız kaldığımızdan emin olmak için gerçekten özel bir mücadele olacak – ancak bence bundan daha ileri gitmemizi isteyen birkaç kuruluş var. ve bu teknolojilerin her biri için özel rehberliğe sahip olun.”
Tekliflerle ilgili yorumlar, yaz için planlanan bir taslak ve ardından kamuya açık bir inceleme ile 3 Mart’a kadar NIST’e [email protected] adresinden gönderilebilir.
“Bu yüzden elimizden geldiğince fikir birliğine varmaya çalışacağız, ancak yönetişim ve tedarik zincirindeki bu değişikliklerin bazıları gerçekten çok büyük. Umarım bir çözüm bulabiliriz,” diye sözlerini tamamladı Pascoe.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Belçika, etik korsanları ülke çapında bir güvenli liman çerçevesi altında koruyacak