飞鱼博客 
自近10年前发布以来,世界领先的网络安全指南正在进行首次全面改版。
在考虑了一年多的社区反馈后,美国国家标准与技术研究院(NIST)发布了网络安全框架(CSF) 2.0的草案版本,这是2014年首次发布的工具的新版本,旨在帮助组织了解、减少和沟通网络安全风险。NIST已经发布了征求公众意见的更新草案,反映了网络安全领域的变化,并使CSF更容易在所有组织中付诸实践。
NIST的Cherilyn Pascoe是该框架的首席开发者,他说:“通过这次更新,我们试图反映网络安全框架的当前使用情况,并预测未来的使用情况。”“CSF是为银行和能源行业等关键基础设施开发的,但事实证明,从学校、小企业到地方和外国政府,它都很有用。我们希望确保它是一个对所有部门都有用的工具,而不仅仅是那些被指定为关键的部门。”
NIST将在2023年11月4日之前接受公众对该框架草案的意见。NIST不打算发布另一份草案。计划于秋季举行的研讨会将很快宣布,并将作为公众对草案提供反馈和评论的另一个机会。开发人员计划在2024年初发布CSF 2.0的最终版本。
CSF提供高级指导,包括通用语言和系统方法,用于管理跨部门的网络安全风险,并协助技术人员和非技术人员之间的沟通。它包括可以纳入网络安全计划的活动,并根据组织的特定需求进行定制。自首次发布以来的10年里,CSF已被超过185个国家的用户下载了200多万次,并被翻译成至少9种语言。
虽然对NIST 2022年2月关于CSF的信息请求的回应表明,该框架仍然是降低网络安全风险的有效工具,但许多受访者还表示,更新可以帮助用户适应技术创新以及快速发展的威胁环境。
帕斯科表示:“许多评论人士表示,我们应该保持和发展证金基金的关键属性,包括其灵活和自愿的性质。”“与此同时,他们中的许多人要求在实施CSF方面提供更多指导,并确保它能够解决新出现的网络安全问题,如供应链风险和广泛的勒索软件威胁。因为这些问题影响到很多组织,包括小企业,我们意识到我们必须提高我们的游戏。”
CSF 2.0草案反映了一些重大变化,包括:
f框架的范围已经明确地从保护关键基础设施(如医院和发电厂)扩展到为所有类型或规模的组织提供网络安全。这种差异反映在CSF的官方名称上,已改为“网络安全基金”“框架”,它的口语化名称,来自于比较局限的“框架”改善关键基础设施网络安全的框架。”
到目前为止,CSF已经描述了一个成功的整体网络安全计划的主要支柱,包括五个主要功能:识别、保护、检测、响应和恢复。在此基础上,NIST现在增加了第六个功能,即治理功能,它涵盖了组织如何制定和执行自己的内部决策,以支持其网络安全战略。它强调网络安全是企业风险的主要来源,排名也是如此承担法律、财务等风险对高层领导的考虑。
该草案对CSF的实施提供了改进和扩展的指导,特别是在创建概况方面,以便根据特定情况定制CSF。网络安全社区已要求协助使用它的具体生态经济部门和用例,其中E配置文件可以提供帮助。即时通讯重要的是,该草案现在包括了每个功能子类别的实现示例,以帮助组织,特别是较小的公司,使用framework有效。
CSF 2.0的一个主要目标是解释组织如何利用来自NIST和其他地方的其他技术框架、标准和指导方针来实施CSF。NIST计划在几周内发布CSF 2.0参考工具,以支持这一最后的努力。该在线资源将允许用户以人类可消费和机器可读的格式浏览、搜索和导出CSF Core数据。未来,该工具将提供“信息性参考”,以显示CSF与其他资源之间的关系,从而更容易将该框架与其他指导一起使用,以管理网络安全风险。
Pascoe表示,开发团队鼓励任何对更新后的CSF有建议的人在11月4日截止日期前发表评论。
她说:“这是用户参与CSF 2.0草案的一个机会。”“如果你还没有参与进来,现在是时候了。”
更多信息:草案:csrc.nist.gov/pubs/cswp/29/the…ity- framework20 /ipd由美国国家标准与技术研究所提供引文:NIST草案对其广泛使用的网络安全框架(2023,8月8日)进行重大更新,检索自https://techxplore.com/news/2023-08-nist-major-widely-cybersecurity-framework.html。除为私人学习或研究目的而进行的任何公平交易外,未经书面许可,不得转载任何部分。内容仅供参考之用。
