由美國國家標準與技術研究所(NIST)發布的NIST CSF網路安全框架,在今日(2月26日)正式釋出2.0版本,這一新版本擴展了其適用範圍,不僅涵蓋了最早重點關注的關鍵基礎設施,而且適用於各類型的組織,更關鍵的是,新版本框架在原有5個核心功能(識別、保護、偵測、回應、復原)的基礎上,增加了第6個功能 「治理」,可讓網路安全風險的生命週期管理更為健全。

基本上,若要有效實踐企業的網路安全防護,企業必須建立能夠觀照全局的資安策略,近年來,美國國家標準與技術研究所(NIST)所發布的NIST網路安全框架(Cybersecurity Framework,CSF),已成為各界強化資訊安全防禦的重要參考,因為該框架具有彈性且易於實施的特性,而且能夠適用於不同類型的組織。對於還未有完善資安規畫的企業而言,更是可以帶來明顯的幫助。事實上,NIST CSF 1.1版在2018年釋出後,已開始受到廣泛企業的關注

然而,儘管許多組織認為目前版本的CSF 1.1仍然有效應對網路安全風險,但NIST認為,考慮到技術與風險的變化,對這個框架進行一些改變仍是必要的。他們希望內容更加清晰明確,並移除複雜的術語,使框架能夠更適用於所有企業。因此,NIST在2023年4月首次公布NIST CSF 2.0的草案,對外徵詢意見。

如今,NIST CSF 2.0版正式發布後,該框架已演進為六大核心功能,也就是治理(Govern)、識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)、復原(Recover),這也意味著,將網路安全風險管理提升到組織營運戰略層面,確保高階主管對於網路安全風險的關注,如同企業對於財務、聲譽的重視。

基本上,這次框架的改版並未帶來重大改變,而是反映在不同產業和技術領域的廣泛應用,以及許多產業加強網路安全監管的趨勢。

值得我們注意的是,這次NIST為了幫助企業更容易實踐CSF,同時提供一系列的資源與工具,便於將CSF應用於組織內部。

其中有3項資源,最值得企業關注,包括:快速入門指南(CSF 2.0 Quick Start Guides)、參考工具(CSF 2.0 Reference Tool),以及CPRT網路安全與隱私參考工具(CSF 2.0 Dataset on CPRT)。

以快速入門指南為例,目前NIST在此提供5種類型的內容,包括:(一)小型企業(SMB)的快速入門指南,(二)建立與使用組織輪廓Profiles的使用指南,(三)使用CSF層級的指南,(四)網路安全供應鏈風險管理(C-SCRM)的快速入門指南,(五)企業風險管理(ERM)實踐者的快速入門指南。另外,還有一份關於建立社群的指南

在參考工具方面,新版內容簡化組織實施CSF的流程,用戶可瀏覽、搜尋與匯出CSF核心指南的資料和細節。另外還有一份資訊參考目錄,包含各種相關參考資料,企業也能透過這個目錄,將CSF的指南與其他50多份網路安全文件做交叉對比。

至於CPRT工具方面,最大特色是提供實踐範例,NIST針對6大功能、各項控制的子類別,提供較為具體的說明。例如,在治理功能下共有6大分類,包括:組織環境(GV.OC),風險管理策略(GV.RM),角色、責任與權限(GV.RR),政策(GV.PO),監督(GV.OV),網路安全供應鏈風險管理(GV.SC)。

而在網路安全供應鏈風險管理 (GV.SC)的分類下,有10個子類別,若以單一子類別GV.SC-06來看,就提供了4項實施範例說明,包括:組織應針對潛在供應商進行徹底的盡職調查,組織應評估潛在供應商的技術、資安能力與風險管理實務,組織應根據業務與適當網路安全要求進行供應商風險評估,以及組織應在採購與使用前需評估關鍵產品的真偽性、完整性與安全性。

NIST表示,他們鼓勵所有組織使用CSF 2.0,以提升網路安全防護能力,因為企業組織可用來了解、評估、確定優先順序與溝通網路安全風險。這個框架對於促進內部和外部溝通特別有用,可用於不同內部團隊,或高層管理層到中階的管理人員,以及執行日常網路安全職責的人員。而且,CSF還將改善與供應商與合作夥伴的溝通,幫助組織將網路安全相關問題,可與更廣泛的企業風險管理戰略相互結合。

在2024年2月發布的NIST CSF 2.0版中,其核心功能已演進為6大構面,分別是:治理、識別、保護、偵測、回應、復原。圖片來源/NIST

NIST針對CSF 2.0版新提供快速入門指南的資源,目的在為不同類型使用者提供可自行訂定的入門途徑,並使其更容易付諸實踐,像是針對小型企業提供專屬的指南,並從6大功能構面一一給予簡潔的入門建議。圖片來源/NIST

在NIST針對CSF 2.0提供的資源中,為了幫助企業更好實現CSF 2.0子類別,文件內還附上了實踐範例,讓使用者有易於理解的步驟或說明可以參照。

NIST CSF最早是在2014年發布,到了2018年釋出1.1版,如今2024年的2.0版,成為這份網路安全框架最大一次更新,NIST也針對這份文件提供更多資源,包括實踐範例、快速入門指南,以及與其他網路安全文件的對應。圖片來源/NIST

熱門新聞

Advertisement