hackare vid en datorskärm

NIST Cybersecurity Framework får en omstart med version 1.1

NIST Cybersecurity Framework är den amerikanska standarden som regleras av National Institute is Standards and Technology. Den ursprungliga versionen i februari 2014 har nu uppdaterats till version 1.1. Låt oss ta en titt på vad som har förändrats.

Vad är NIST Cybersecurity Framework?

Skapad av US National Institute of Standards and Technology, den NIST Cybersecurity Framework (NIST CSF) är en uppsättning policyer för organisationer inom den privata sektorn att följa för att bedöma sin cyberrisk.

NIST CSF är uppdelad i tre sektioner; Kärna, profil och nivåer. Framework Core innebär att besvara frågor som rör organisationens syn på cybersäkerhet. Ramprofiler är resultat som organisationen vill ha, baserat på deras behov och risker. Och ramnivåerna skapas av organisationen och inkluderar behov som uppstår ur riskbedömningar.

Vilka är uppdateringarna av NIST Cybersecurity Framework?

"Vi ville inte ändra ramverket väsentligt så att de två ramverken kunde fungera med varandra."

Matt Barrett – NIST Cybersecurity Framework Programansvarig

 

Förtydligande av termen "efterlevnad"

NIST inser att termen "efterlevnad" kan betyda olika saker för olika människor på grund av de olika sätt som ramverket kan användas på. De har uppgett att Cybersecurity Framework fungerar som en "struktur och ett språk för att organisera och uttrycka efterlevnad av en organisations egen cybersäkerhet krav"".

 

Nytt avsnitt för självbedömning

NIST har lagt till avsnitt 4.0 Självutvärdering av cybersäkerhet Risk with the Framework' som beskriver hur organisationer kan förstå, bedöma och mäta sina risker och handlingar.

 

Riskhantering i försörjningskedjan och köpbeslut

Avsnitt 3.3 "Kommunikation av cybersäkerhetskrav med intressenter" har utökats för att göra Cyber Riskhantering av försörjningskedjan (SCRM) lättare att förstå. NIST har också lagt till ett avsnitt om köpbeslut (3.4) för att belysa hur organisationer kan använda Cybersecurity Framework för att förstå riskerna med att köpa kommersiella produkter och tjänster från hyllan.

Nya kriterier för riskhantering av cyberförsörjningskedjor har lagts till i implementeringsnivåerna och en riskhanteringskategori för försörjningskedjor (inklusive flera underkategorier) har lagts till i ramverket.

 

Autentisering, auktorisering och identitetssäkring

I Åtkomstkontroll Kategori, språket har uppdaterats för att göra det tydligare att autentisering, auktorisering och identitetskontroll beaktas. Detta innebär att en underkategori har lagts till för varje och har bytt namn till 'Identity Management and Access Control (PR.AC).

 

Förhållandet mellan implementeringsnivåer och profiler

Avsnitt 3.2 "Etablera eller förbättra ett cybersäkerhetsprogram" har uppdaterats med information om hur man använder Framework Tiers i Framework-implementering. Grafiken nedan från NIST illustrerar åtgärder från ramnivåerna.

 

Övervägande av samordnad avslöjande av sårbarhet

Slutligen har NIST lagt till en ny underkategori som beskriver livscykeln för avslöjande av sårbarheter. Användare av Ram för cybersäkerhet uppmuntras fortfarande att anpassa det flexibla ramverket utifrån deras organisations behov och omfattning.

Webbsändning: Cybersecurity Framework Version 1.1 Översikt

ISMS.online kan hjälpa dig med det

Senast redigerad: 7 februari 2022
Författare

Julia Heron

Julia är ISMS.online Solutions Specialist för företagskunder och arbetar med organisationer för att hjälpa dem med deras efterlevnadsmål.

Visa alla inlägg av Julia Heron

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer