Чего ждать организациям от версии 2.0?
Национальный институт стандартов и технологий США (NIST) разрабатывает обновление своих популярных Рамок кибербезопасности («Cybersecurity Framework»). Руководство разработали около десяти лет назад в качестве технических рекомендаций для крупных отраслей: энергетики, банковской сферы, здравоохранения, химической промышленности и др. Новая версия 2.0, которая пока находится на стадии проекта, расширяет этот список.
Помимо пяти базовых функций (идентификация, защита, обнаружение, реагирование и восстановление) новые Рамки включают шестую — управление. По замыслу NIST, дополнение подчеркивает, что кибербезопасность — серьезный источник риска для любого предприятия. Так же, как и юридические, финансовые и прочие риски, о которых должно задумываться руководство.
Появились рекомендации для государственного сектора и промышленности. Специалисты также добавили такие способы применения рамок, как оценка рисков, общение с поставщиками, аудит. Расширен раздел «идентификация», добавлены новые категории управления данными и конфигурациями.
Рамки 2.0 помогут организациям всех типов и масштабов, а не только критически важным инфраструктурам, для которых изначально создавались. По словам разработчика Черилин Паско, новая версия учитывает как существующую практику использования этого стандарта, так и перспективы его будущего применения в самых разных организациях — от школ и малого бизнеса до правительственных структур.
Поскольку сейчас есть только «черновая» версия документа, NIST принимает предложения и комментарии до 4 ноября 2023 года.
Источник: securitylab