NIST Cybersecurity Framework 2.0
Közel 10 évvel ezelőtt a Nemzeti Szabványügyi és Technológiai Intézet (NIST) kiadta öt pillérből álló kiberbiztonsági keretrendszerét (Cybersecurity Framework – CSF). A keretrendszer célja az volt, hogy segítsen a szervezeteknek megérteni, csökkenteni és kommunikálni kiberbiztonsági kockázataikat.
A kiberbiztonság változásai miatt azonban szükségesnek tartották egy hatodik pillér hozzáadását. Most már nem csak azt veszi jobban figyelembe, hogy a kiberbiztonsági világ hogyan változott az elmúlt 10 évben, de a szervezetek számára is könnyebbé teszi a CSF bevezetését a jelenlegi kiberbiztonsági irányelveikbe. A keretrendszer vezető fejlesztője, Cherilyn Pascoe elmondta: Ezzel a frissítéssel igyekszünk tükrözni a Kiberbiztonsági Keretrendszer jelenlegi használatát, és előre látni a jövőbeli használatot is.
A CSF-et eredetileg a kritikus infrastruktúrával foglalkozó szervezetek, például a bank- és az energiaipar számára fejlesztették ki. Most azonban már más iparágak is használják a keretrendszert, köztük az iskolákat és a kisvállalkozásokat, sőt egyes helyi és külföldi kormányokat is. Az ilyen szervezetek kiterjesztett lefedettségének kezelése érdekében a NIST szükségesnek tartotta egy hatodik pillér – a kormányzás (Govern) – hozzáadását. Az új pillér fő előfeltevése hangsúlyozza, hogy a kiberbiztonság a vállalati kockázatok egyik fő forrása, és a felső vezetés számára megfontolandó.
A CSF bővítésével – a hatodik pillér hozzáadásával – a kiberbiztonsági keretrendszer minden szervezet számára biztosítható, mérettől és iparágtól függetlenül. A frissítés előtt az öt pillér a következő volt: azonosítás, védelem, felderítés, reagálás és helyreállítás. A pillérrel való kiegészítéssel a szervezetek most már mind a hat pillért felhasználhatják a saját belső döntéseik meghozatalához és végrehajtásához, amelyek támogatják a vállalatuk aktuális kiberbiztonsági stratégiáját.
A frissítés másik része olyan profilok létrehozása volt, amelyek segítenek a kisvállalkozásoknak a CSF-stratégia hatékonyabb és eredményesebb végrehajtásában. A frissítésnek ez a része utasításokat tartalmaz majd arra vonatkozóan, hogy a szervezetek hogyan használhatják fel a technológiai keretrendszereket, szabványokat és iránymutatásokat, nemcsak a NIST-től, hanem más forrásokból is.