hacker ved en dataskjerm

NIST Cybersecurity Framework får en omstart med versjon 1.1

NIST Cybersecurity Framework er den amerikanske standarden regulert av National Institute for Standards and Technology. Den opprinnelige versjonen fra februar 2014 er nå oppdatert til versjon 1.1. La oss ta en titt på hva som er endret.

Hva er NIST Cybersecurity Framework?

Laget av US National Institute of Standards and Technology, den NIST Cybersecurity Framework (NIST CSF) er et sett med retningslinjer for organisasjoner i privat sektor å følge for å vurdere deres cyberrisiko.

NIST CSF er delt inn i tre seksjoner; Kjerne, profil og nivåer. Framework Core innebærer å svare på spørsmål som er knyttet til organisasjonens tilnærming til cybersikkerhet. Rammeprofiler er utfall som organisasjonen ønsker, basert på deres behov og risiko. Og Rammenivåene er skapt av organisasjonen og inkluderer behov som oppstår fra risikovurdering.

Hva er oppdateringene til NIST Cybersecurity Framework?

"Vi ønsket ikke å endre rammeverket vesentlig slik at de to rammeverkene kunne fungere med hverandre."

Matt Barrett - NIST Cybersecurity Framework Program Manager

 

Presisering av begrepet "overholdelse"

NIST erkjenner at begrepet "compliance" kan bety forskjellige ting for forskjellige mennesker på grunn av de forskjellige måtene rammeverket kan brukes på. De har uttalt at Cybersecurity Framework fungerer som en «struktur og språk for å organisere og uttrykke samsvar med en organisasjons egen cybersikkerhet krav"".

 

Ny egenvurderingsseksjon

NIST har lagt til 'Seksjon 4.0 Self-Evaluering Cybersecurity Risk with the Framework' som beskriver hvordan organisasjoner kan forstå, vurdere og måle risiko og handlinger.

 

Supply Chain Risk Management og kjøpsbeslutninger

Avsnitt 3.3 'Kommunikasjon av cybersikkerhetskrav med interessenter' er utvidet for å gjøre Cyber Risikostyring i forsyningskjeden (SCRM) lettere å forstå. NIST har også lagt til en del om kjøpsbeslutninger (3.4) for å fremheve hvordan organisasjoner kan bruke Cybersecurity Framework for å forstå risikoen ved å kjøpe kommersielle produkter og tjenester.

Nye kriterier for Cyber ​​Supply Chain Risk Management er lagt til i implementeringsnivåene, og en Supply Chain Risk Management-kategori (inkludert flere underkategorier) er lagt til i rammekjernen.

 

Autentisering, autorisasjon og identitetsbekreftelse

Access Control Kategori, språket har blitt oppdatert for å gjøre det tydeligere at autentisering, autorisasjon og identitetskontroll blir tatt i betraktning. Dette betyr at en underkategori er lagt til for hver, og har fått nytt navn til 'Identity Management and Access Control (PR.AC).

 

Forholdet mellom implementeringsnivåer og profiler

Avsnitt 3.2 'Etablere eller forbedre et cybersikkerhetsprogram' er oppdatert med informasjon om bruk av rammenivåer i rammeimplementering. Grafikken nedenfor fra NIST illustrerer handlinger fra Framework Tiers.

 

Vurdering av koordinert avsløring av sårbarhet

Til slutt har NIST lagt til en ny underkategori som beskriver livssyklusen for avsløring av sårbarhet. Brukere av Rammeverk for cybersikkerhet oppfordres fortsatt til å tilpasse det fleksible rammeverket basert på deres organisasjons behov og omfang.

Webcast: Cybersecurity Framework versjon 1.1 Oversikt

ISMS.online kan hjelpe deg med det

Sist redigert: 7. februar 2022
Forfatter

Julia Heron

Julia er ISMS.online Solutions Specialist for bedriftskunder og jobber med organisasjoner for å hjelpe dem med deres overholdelsesmål.

Se alle innlegg av Julia Heron

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer