行业新闻与博客

美国国家标准与技术研究院 (NIST) 的网络安全框架 (CSF) 已实施近十年，为保护关键基础设施组织的安全提供了重要基础。

该框架由标准、指南和最佳实践组成，用于管理跨系统、数据和资产的网络安全风险。虽然私营部门组织仍然自愿这样做，但 2017 年 5 月签署的一项行政命令要求美国政府机构在对机构系统进行风险评估时使用 NIST CSF 或任何后续文件。

迄今为止，这些标准已被证明具有非常大的影响力。“CSF 是一份重要文件，可帮助组织（尤其是关键基础设施的组织）组织和协调其安全计划。该文档非常有用，以至于 CI 之外的许多组织都采用它作为核心参考框架。”Protect AI 的 CISO Diana Kelley 告诉Infosecurity。

该框架的新草案版本 CSF 2.0 于 2023 年 8 月发布，在网络安全社区内引起了广泛讨论。NIST 现在正在征求公众对该草案的意见，截止日期为 2023 年 11 月 4 日，即正式发布之前。 

NIST 框架的主要变化是什么？

“治理”支柱的引入是该框架的一个重要的新部分。添加“治理”以涵盖组织环境，特别是风险管理和供应链等领域的角色、职责和权限。

凯利评论道：“上一届 CSF 做得很好，详细说明了需要做什么，但没有解决谁应该监督这些任务和控制措施，或者管理这些控制措施的政策和程序。将‘治理’支柱作为一项新功能是一项非常重要的补充，完善了之前的核心功能（识别、保护、检测、响应和恢复）。”

RegScale 首席信息安全官兼 Cyversity 总裁 Larry Whiteside Jr 告诉Infosecurity，这一支柱是框架最重大的变化，治理日益支撑网络安全的各个方面。

“一个组织可以制定它想要的所有政策，但如果没有授权并专注于管理这些政策以及为启用和执行支持政策的职能而执行的行动，那么一切都不重要。将治理提升为 CSF 职能还将促进网络安全活动与企业风险和法律要求的结合。”他解释道。

此外，Kelley 对与其他相关 NIST 特别出版物的交叉链接表示欢迎，包括 NIST 隐私框架、安全软件开发框架 (SP 800-218) 和 NIST IR 8286。

“NIST 拥有丰富的资源，既然 CSF 中引用了这些资源，人们将更容易找到这些资源，”她概述道。

CSF 还通过涵盖特定部门和用例的配置文件提供额外的实施指导。CREST 美洲地区执行董事 Tom Brennan 认为这是非常必要的。

“一些企业指出，[NIST] 缺乏实施控制措施的具体指导，而且可能有些抽象，”布伦南指出。

总体而言，NIST 框架的范围已扩大到包括关键基础设施之外的所有部门。

怀特塞德认为，这是该指南的自然发展，他说该指南已经成为许多组织的“标准化组成部分”。

“它使我认识的许多 CISO 能够构建一个可以建模和衡量的框架。事实上，它在关键基础设施之外的扩张早在这个版本之前就发生了，”他告诉Infosecurity。

实施最佳实践

Kelley 表示，对于采用 CSF 第一个版本的组织来说，“实施 2.0 应该不会是一个很大的提升”。

然而，对于处于安全计划早期阶段的小型组织，她建议仔细阅读 CSF 2.0 文档以及交叉参考文档。

“由于大多数组织都有多种合规途径，包括监管、认证和部门，因此建议制定一个计划，在整个合规环境中交叉引用控制、政策和程序，以确保准确捕获和报告安全措施，而无需担心。重复的努力，”凯利概述道。

怀特塞德建议不太成熟的组织“从小处着手，专注于基础知识”。他特别表示，他们应该首先确定自己的所有资产、数据的保存位置以及谁可以访问哪些内容。

“当你开始识别这些事情时，先采取保护措施，然后采取治理措施，以确保行动得到正确执行，”他解释道。

布伦南还警告说，虽然 NIST 框架很全面，但组织应该意识到其潜在的局限性，例如没有充分涵盖新出现的威胁或快速发展的技术。

布伦南建议：“为了解决这些差距，使用该框架的企业应谨慎行事，并考虑根据其特定行业或技术环境制定更详细的指导方针来补充该框架。”

他补充说，组织应该考虑利用基于证据的成熟度模型来衡量要评分的 CSF。

“在商业上，我推荐映射到 NIST CSF 的互联网安全中心 V8 控件。它更深入、更实际，”布伦南评论道。