行业新闻与博客

美国国家标准与技术研究院 (NIST) 发布了其流行的最佳实践安全框架的新草案版本，旨在扩大其范围并提供更多实施指导。

NIST 网络安全框架 (CSF) 2.0 是自 2014 年推出以来的首次更新。该标准机构表示，它旨在帮助组织“理解、减少和沟通网络安全风险”。  

“通过这次更新，我们试图反映网络安全框架的当前使用情况，并预测未来的使用情况，”该框架的首席开发人员 Cherilyn Pascoe 说。

“CSF 是为银行和能源行业等关键基础设施开发的，但事实证明，从学校、小型企业到地方和外国政府，它在任何地方都很有用。我们希望确保它是一个对所有部门都有用的工具，而不仅仅是那些被指定为关键部门的部门。”

为此，2.0 版本正式将该框架的范围从关键基础设施扩展到所有组织，无论其类型或规模如何。它的正式名称现在是 CSF，而不是改善关键基础设施网络安全框架。

NIST 还为 CSF 添加了一个额外的支柱。除了识别、保护、检测、响应和恢复之外，现在还包括“治理”。这样做的目的是强调网络安全是企业风险的主要来源，并帮助组织更好地制定和执行支持安全策略的决策。

最后，新草案旨在通过涵盖特定部门和用例的简介，改进和扩展有关如何实施 CSF 的指导。希望这将有助于特别是较小的组织有效地使用该框架。

尽管不会发布进一步的草案，但 NIST 鼓励任何有建议的人在 2023 年 11 月 4 日之前回复评论。

Delinea 首席安全科学家 Joseph Carson 对此次更新表示欢迎。

他表示：“很高兴看到该框架不再仅仅关注关键基础设施组织，而是通过向所有部门提供指导来适应网络安全威胁。” “新的‘治理’支柱承认组织现在应对威胁的方式发生了变化，以支持其网络安全战略。”