美國國家標準與技術研究院(NIST)近日發布了網絡安全框架(CSF)的2.0正式版本,這是2014年該框架發布后十年來首次重大更新。新框架版本極大擴展了適用范圍,重點關注治理和供應鏈問題,并提供了豐富的資源以加速框架實施。
NIST正式發布的網絡安全框架(CSF)2.0版本比去年9月發布的2.0草案版本更加完善,新版本的重大變化和升級如下:
適用范圍從關鍵基礎設施擴大到所有組織:新的2.0版本面向幾乎所有受眾、行業部門和組織類型而設計,從最小的學校和非營利組織到最大規模的機構、公司和國家關鍵基礎設施,無論其網絡安全系統的復雜程度如何。
新增的“治理“成為核心功能:新框架版本將重點放在治理上,包括組織如何制定和執行有關網絡安全策略的決策,并強調網絡安全是企業風險的主要來源,高級領導者應將網絡安全與財務和聲譽等其他風險一起考慮。
提供實施框架所需的大量工具和指導資源:NIST擴展了CSF的核心指導并開發了相關資源,以幫助用戶充分利用該框架。這些資源旨在為不同的受眾提供進入CSF的定制途徑,并使該框架更容易付諸實施。
從關鍵基礎設施擴大到所有組織
網絡安全框架2.0版本被美國總統拜登的《國家網絡安全戰略》和幾項新興政府網絡安全政策聲明引用,其關注范圍從保護關鍵基礎設施(例如醫院和發電廠)擴展到所有行業的組織。
為此,新框架版本放棄了之前版本使用的“改進關鍵基礎設施網絡安全框架”的名稱,改為“NIST網絡安全框架(CSF)2.0”。
與2015年發布的原始版本和2018年發布的1.1版本相比,2.0版本不再僅僅是一個靜態資源,而演變成了一套指導框架實施的資源包。“網絡安全框架一直是許多組織的重要工具,幫助他們預測和應對網絡安全威脅,”美國商務部標準與技術局副局長兼NIST局長Laurie E. Locascio表示,“2.0版本以之前版本為基礎,不僅僅涵蓋一份文檔,而是一套可定制的資源,隨著組織的網絡安全需求變化和能力發展,可以單獨或組合使用。”
“治理”成為核心功能
網絡安全框架2.0最重要的結構性變化是增加了第六個關鍵功能——“治理”,此前版本的五個關鍵功能“識別”、“保護”、“檢測”、“響應”和“恢復”都圍繞著該功能展開(上圖)。“治理”功能旨在幫助組織將網絡安全風險管理納入更廣泛的企業風險管理計劃中,通過提供“成果”或期望狀態來指導組織如何實現和優先考慮其他五個功能的成果。
NIST表示,增加“治理”功能的目的是將所有網絡安全風險管理活動提升到組織的高管和董事會層面。“我認為2.0版本的一大亮點是將治理提升為一個功能,”網絡安全公司CyberSaint的創始人兼首席創新官Padraic O’Reilly指出:“我認為現在業界已經普遍認識到,如果沒有積極的治理參與,網絡安全工作就只會原地打轉。”
供應鏈安全受到更多重視
網絡安全框架2.0還整合并擴展了1.1版本中的供應鏈風險管理成果,并將其中大部分歸入“治理”功能之下。框架指出,“鑒于該生態系統復雜且相互關聯,供應鏈風險管理(SCRM)對組織至關重要。網絡安全供應鏈風險管理(C-SCRM)是一個系統化的過程,用于管理整個供應鏈中的網絡安全風險暴露,并制定適當的響應策略、政策、流程和程序。網絡安全框架C-SCRM類別[GV.SC]下的子類別提供了一種將純粹關注網絡安全和關注C-SCRM的成果聯系起來的方式。”
將供應鏈風險管理納入“治理”功能只是解決網絡安全棘手問題邁出的第一步。“供應鏈問題纏身,”O’Reilly說,“之所以供應鏈安全問題如此復雜,是因為供應鏈本身就非常復雜。我認為NIST將一部分供應鏈納入治理范疇,是因為需要從上層進行更多管理。因為目前,一些做法雖然勉強說得過去,但只能解決大約一半的問題。”
完善的參考工具、資料、指南和資源整合
網絡安全框架2.0版本還提供了更新的“參考資料”,即現有的標準、指南和框架,以幫助充實網絡安全框架包含的技術細節和步驟,為組織如何實施23個類別下的106個子類別提供進一步的指導。
為了解決網絡安全框架可能帶來的實施困難,NIST在2.0版本中加入了一系列關于不同主題的“快速入門指南”,包括如何創建網絡安全框架配置文件和層級,以及如何開始管理供應鏈安全風險和創建社區配置文件,以供擁有共同利益的社區描述共識觀點。
網絡安全框架2.0版本的參考工具簡化了組織實施框架的方式,允許用戶以人類和機器可讀的格式瀏覽、搜索和導出CSF核心指南中的數據和詳細信息。
為了提供更實用的框架實施指南,網絡安全框架2.0還提供了“實施示例”。這些實施示例代表了NIST將被動書寫的成果轉換為組織可以采取的更積極可操作步驟的努力。
網絡安全框架2.0版本還改進了與其他廣泛使用的NIST資源的集成,這些資源處理企業風險管理、ERM和ICT風險管理計劃,包括:
SP 800-221,信息和通信技術風險對企業的影響:治理和管理企業風險組合中的ICT風險計劃
SP 800-221A,信息和通信技術(ICT)風險結果:將ICT風險管理計劃與企業風險組合相集成
SP 800-37,信息系統和組織的風險管理框架
SP 800-30,以及NIST風險管理框架(RMF)進行風險評估的指南
