Het NIST Cybersecurity Framework krijgt een reboot met versie 1.1
Inhoudsopgave:
Het NIST Cybersecurity Framework is de Amerikaanse standaard die wordt gereguleerd door het National Institute is Standards and Technology. De oorspronkelijke versie van februari 2014 is nu bijgewerkt naar versie 1.1. Laten we eens kijken wat er veranderd is.
Wat is het NIST Cybersecurity Framework?
Gemaakt door het Amerikaanse National Institute of Standards and Technology, de NIST-kader voor cyberbeveiliging (NIST CSF) is een reeks beleidsmaatregelen die organisaties uit de particuliere sector moeten volgen om hun cyberrisico's te beoordelen.
Het NIST CSF is verdeeld in drie secties; Kern, profiel en niveaus. De Framework Core omvat het beantwoorden van vragen die betrekking hebben op de aanpak van cybersecurity door de organisatie. Raamwerkprofielen zijn resultaten die de organisatie wil, op basis van hun behoeften en risico's. En de Framework Tiers worden door de organisatie gecreëerd en omvatten behoeften die daaruit voortkomen risicobeoordelingen.
Wat zijn de updates voor het NIST Cybersecurity Framework?
“We wilden het raamwerk niet substantieel veranderen, zodat de twee raamwerken met elkaar konden samenwerken.”
Matt Barrett – NIST-kader voor cyberbeveiliging Program Manager
Verduidelijking van het begrip ‘compliance’
NIST erkent dat de term 'compliance' verschillende dingen kan betekenen voor verschillende mensen vanwege de verschillende manieren waarop het raamwerk kan worden gebruikt. Ze hebben verklaard dat het Cybersecurity Framework werkt als een “structuur en taal voor het organiseren en uitdrukken van de naleving van de eigen cyberbeveiligingsregels van een organisatie. vereisten"'.
Nieuwe sectie Zelfevaluatie
NIST heeft 'Sectie 4.0 Zelfbeoordeling van cyberbeveiliging' toegevoegd Risk with the Framework', dat beschrijft hoe organisaties hun risico's en acties kunnen begrijpen, beoordelen en meten.
Risicobeheer van de toeleveringsketen en aankoopbeslissingen
Paragraaf 3.3 'Communiceren van cyberbeveiligingsvereisten met belanghebbenden' is uitgebreid met Cyber Risicobeheer van de toeleveringsketen (SCRM) gemakkelijker te begrijpen. NIST heeft ook een sectie over aankoopbeslissingen (3.4) toegevoegd om te benadrukken hoe organisaties het Cybersecurity Framework kunnen gebruiken om de risico's van het kopen van kant-en-klare commerciële producten en diensten te begrijpen.
Er zijn nieuwe Cyber Supply Chain Risk Management-criteria toegevoegd aan de implementatielagen en een Supply Chain Risk Management-categorie (inclusief meerdere subcategorieën) is toegevoegd aan de Framework Core.
Authenticatie, autorisatie en identiteitsbewijs
In het Access Controle Categorie, de taal is bijgewerkt om duidelijker te maken dat er rekening wordt gehouden met authenticatie, autorisatie en identiteitsbewijs. Dit betekent dat er voor iedere categorie één Subcategorie is toegevoegd, en deze is hernoemd naar 'Identiteitsbeheer en Toegangsbeheer (PR.AC).
De relatie tussen implementatielagen en profielen
Paragraaf 3.2 'Een cyberbeveiligingsprogramma opzetten of verbeteren' is bijgewerkt met informatie over het gebruik van Framework-lagen bij de implementatie van Framework. De onderstaande afbeelding van NIST illustreert acties van de Framework-lagen.
Overweging van gecoördineerde openbaarmaking van kwetsbaarheden
Ten slotte heeft NIST een nieuwe subcategorie toegevoegd die de levenscyclus van het openbaar maken van kwetsbaarheden beschrijft. Gebruikers van de Cyberbeveiligingskader worden nog steeds aangemoedigd om het flexibele raamwerk aan te passen aan de behoeften en reikwijdte van hun organisatie.
Webcast: Overzicht van Cybersecurity Framework versie 1.1
ISMS.online kan u daarbij helpen
