NIST CSF 2.0 шість функцій кібербезпеки

Майстер-клас: секрети випікання найсмачніших млинців!

05.04.2024
У світі, де кіберзагрози змінюються щодня, надійна кібербезпека стає як ніколи актуальною. Щоб надати організаціям будь-якого розміру та типу основу для впровадження захисту від кіберзагроз створено NIST CSF — універсальний фреймворк керування ризиками кібербезпеки. У 2022 році звіт Gartner показав, що NIST CSF став одним з найкращих фреймворків управління ризиками кібербезпеки. У лютому 2024 року стандарт оновили до версії 2.0 і у цій статті ми розглянемо усі значні нововведення.
NIST CSF — це фреймворк кібербезпеки, розроблений Національним інститутом стандартів і технологій США, метою якого є надання підтримки організаціям у процесі управління ризиками кібербезпеки.
Стандарт NIST CSF є необов’язковим для впровадження. Але якщо компанія хоче продемонструвати свою прихильність інформаційній безпеці або поліпшити реальний стан кібербезпеки, то аудит відповідності вимогам допоможе чітко зрозуміти, спланувати та пріоритезувати необхідні кроки для досягнення надійного рівня кіберзахисту.
Наприклад, USAID Cybersecurity Activity реалізовує Програму діагностики стану кібербезпеки операторів критичної інфраструктури за методологією NIST Cybersecurity Framework. 
З моменту появи у 2014 році та оновлення до версії 1.1 у 2018, NIST CSF зазнав вагомих змін. У лютому 2024 року NIST представили нову версію стандарту 2.0. Фактично це перше значне оновлення за десятиліття, що внесло суттєві доповнення та зміни. 
Новий формат NIST CSF передбачає уніфікацію функцій кібербезпеки так, щоб ними могли зручно користуватися для розвитку інформаційної безпеки організації різних галузей та розмірів. 

Illustration

NIST CSF 2.0 впроваджує нову функцію «Управління». Ця функція підкреслює важливість управлінських аспектів у керуванні ризиками, пов'язаними з кібербезпекою. Вона допомагає організаціям визначати пріоритети та досягати цілей, визначених іншими п’ятьма функціями «Ідентифікація», «Захист», «Виявлення», «Реагування», «Відновлення». Зосередження уваги на управлінні дасть змогу організаціям отримати цілісне уявлення про кібербезпеку. CSF 2.0 демонструє, як загрози впливають на ІТ-інфраструктуру та дані, а також на бізнес загалом, зокрема на фінансові та репутаційні ризики. 
Для ефективного впровадження функції Управління, CSF 2.0 пропонує такі категорії:● Організаційний контекст (GV.OC), який стосується рішень організації у сфері управління ризиками;● Нагляд (GV.OV), що дає змогу постійно вдосконалювати та налаштовувати стратегію управління ризиками організації; ● Стратегія управління ризиками (GV.RM), яка підтримує оперативні рішення з ризик-менеджменту, що ґрунтуються на толерантності організації до ризиків та інших чинниках;● Ролі, обов'язки та повноваження (GV.RR), що встановлюють чітко визначені ролі та обов'язки для стимулювання постійного вдосконалення та послідовної оцінки результативності.
Також, новий фреймворк включає останні настанови, опублікованими NIST та іншими джерелами, щодо новітніх загроз та технологій, наприклад, штучного інтелекту. CSF 2.0 може використовуватися разом із Фреймворком управління ризиками ШІ від NIST, опублікованим у січні 2023 року.

З оновленням до NIST CSF 2.0 також з’явилися помічні інструменти для впровадження стандарту.
NIST прагне спростити впровадження CSF 2.0, надаючи набір допоміжних інструментів та ресурсів. Особлива увага приділяється інструкції зі швидкого впровадження (QSG), щоб забезпечити актуальність та легкий доступ до NIST CSF для організацій будь-якого розміру.

Директор NIST Лорі Е. Локасіо зазначила у своїй заяві, що CSF 2.0 — це комплекс ресурсів, які можна підлаштувати під себе та використовувати окремо чи в комбінації, на кожному етапі розвитку організації відповідно до змін у її потребах з кібербезпеки.

Крім того, нова редакція NIST CSF пропонує приклади впровадження та інформаційний каталог, що регулярно оновлюються та доступний онлайн. Також, введення профілів організацій у фреймворку дає змогу швидше впроваджувати заходи безпеки, оскільки підприємства можуть визначити свій поточний та цільовий профілі кібербезпеки.