Das NIST Cybersecurity Framework erhält einen Neustart mit Version 1.1
Inhaltsverzeichnis:
Das NIST Cybersecurity Framework ist der US-Standard, der vom National Institute of Standards and Technology reguliert wird. Die ursprüngliche Version vom Februar 2014 wurde nun auf Version 1.1 aktualisiert. Schauen wir uns an, was sich geändert hat.
Was ist das NIST Cybersecurity Framework?
Erstellt vom US-amerikanischen National Institute of Standards and Technology NIST Cybersecurity Framework (NIST CSF) ist eine Reihe von Richtlinien, die privatwirtschaftliche Organisationen befolgen müssen, um ihr Cyberrisiko zu bewerten.
Das NIST CSF ist in drei Abschnitte unterteilt; Kern, Profil und Ebenen. Der Framework Core beinhaltet die Beantwortung von Fragen, die sich auf den Ansatz der Organisation zur Cybersicherheit beziehen. Rahmenprofile sind Ergebnisse, die die Organisation basierend auf ihren Bedürfnissen und Risiken wünscht. Und die Framework-Ebenen werden von der Organisation erstellt und umfassen die daraus resultierenden Anforderungen Risikobewertungen.
Was sind die Aktualisierungen des NIST Cybersecurity Framework?
„Wir wollten das Framework nicht wesentlich ändern, damit die beiden Frameworks zusammenarbeiten können.“
Matt Barrett – NIST Cybersecurity Framework Program Manager
Klarstellung des Begriffs „Compliance“
NIST erkennt an, dass der Begriff „Compliance“ für verschiedene Personen aufgrund der unterschiedlichen Verwendungsmöglichkeiten des Rahmenwerks unterschiedliche Bedeutungen haben kann. Sie haben erklärt, dass das Cybersecurity Framework als „Struktur und Sprache zur Organisation und zum Ausdruck der Einhaltung der eigenen Cybersicherheit einer Organisation“ fungiert Anforderungen"".
Neuer Abschnitt zur Selbsteinschätzung
NIST hat „Abschnitt 4.0 Selbstbeurteilung der Cybersicherheit“ hinzugefügt „Risk with the Framework“, in dem detailliert beschrieben wird, wie Organisationen ihre Risiken und Maßnahmen verstehen, bewerten und messen können.
Risikomanagement in der Lieferkette und Kaufentscheidungen
Abschnitt 3.3 „Kommunikation von Cybersicherheitsanforderungen mit Stakeholdern“ wurde um „Cyber“ erweitert Supply Chain Risikomanagement (SCRM) einfacher zu verstehen. NIST hat außerdem einen Abschnitt zu Kaufentscheidungen (3.4) hinzugefügt, um hervorzuheben, wie Unternehmen das Cybersecurity Framework nutzen können, um die Risiken des Kaufs kommerzieller Produkte und Dienstleistungen von der Stange zu verstehen.
Den Implementierungsebenen wurden neue Kriterien für das Cyber-Supply-Chain-Risikomanagement hinzugefügt, und dem Framework-Kern wurde eine Kategorie für das Supply-Chain-Risikomanagement (einschließlich mehrerer Unterkategorien) hinzugefügt.
Authentifizierung, Autorisierung und Identitätsnachweis
Im Access Control In der Kategorie wurde die Sprache aktualisiert, um klarer zu machen, dass Authentifizierung, Autorisierung und Identitätsnachweis berücksichtigt werden. Dies bedeutet, dass jeweils eine Unterkategorie hinzugefügt und in „Identitätsmanagement und Zugriffskontrolle (PR.AC)“ umbenannt wurde.
Die Beziehung zwischen Implementierungsebenen und Profilen
Abschnitt 3.2 „Einrichten oder Verbessern eines Cybersicherheitsprogramms“ wurde mit Informationen zur Verwendung von Framework-Stufen in der Framework-Implementierung aktualisiert. Die folgende Grafik von NIST veranschaulicht Aktionen aus den Framework-Stufen.
Berücksichtigung einer koordinierten Offenlegung von Sicherheitslücken
Schließlich hat NIST eine neue Unterkategorie hinzugefügt, die den Lebenszyklus der Offenlegung von Sicherheitslücken detailliert beschreibt. Benutzer der Cybersicherheits-Framework werden weiterhin ermutigt, das flexible Rahmenwerk an die Bedürfnisse und den Umfang ihrer Organisation anzupassen.
Webcast: Übersicht über das Cybersecurity Framework Version 1.1
ISMS.online kann Ihnen dabei helfen
