NIST выпускает расширенную версию 2.0 Landmark Cybersecurity Framework для помощи организациям критической инфраструктуры

Национальный институт стандартов и технологий (NIST) представил версию 2.0 своей системы кибербезопасности (CSF), что стало важной вехой в стратегии кибербезопасности. Первоначально разработанный для организаций с критической инфраструктурой, CSF получил широкое распространение за пределами предполагаемого объема, что побудило NIST расширить его применимость в различных секторах и размерах организаций. Обновленная структура, основанная на отзывах о ее проекте, расширяет основные рекомендации и вводит важнейшую функцию «управления», устраняя пробелы в управлении рисками.

Новая структура, которая не обновлялась около 10 лет, появилась в критический момент, когда организации критической инфраструктуры сталкиваются с серьезными кибератаками , которые могут нанести вред повседневным функциям во многих аспектах жизни. Некоторые атаки привели к остановке операций по оказанию интенсивной терапии в медицинских организациях и во многих других отраслях, чему призвана помочь новая система.

Роберт Букер, директор по стратегии HITRUST, подчеркнул важность функции управления, подчеркнув ее ключевую роль в управлении рисками в сфере кибербезопасности. Примечательно, что CSF 2.0 предоставляет пользователям индивидуальные примеры реализации и краткие руководства, облегчающие его практическое применение. Кроме того, он включает в себя каталог ссылок с возможностью поиска, что упрощает сопоставление с более чем 50 документами по кибербезопасности.

Директор NIST Лори Э. Локаскио подчеркнула динамичный характер CSF 2.0, представив его как набор настраиваемых ресурсов, адаптируемых к меняющимся потребностям в области кибербезопасности и организационным возможностям. Кэтрин Ледесма из компании Dragos, занимающейся промышленной кибербезопасностью, подчеркнула значение этой структуры для организаций, имеющих системы промышленного контроля (ICS) и системы операционных технологий (OT). Она подчеркнула изменение восприятия, позиционируя инвестиции в кибербезопасность не просто как центр затрат, но и как стратегический фактор, способствующий бизнес-операциям, что особенно важно для таких отраслей, как производство и коммунальные услуги.

Ледесма также подчеркнула важность проведения различия между ИТ- и ОТ-средами в рамках CSF, предусмотрев тонкий подход к защите систем ICS/OT. Она подчеркнула необходимость постоянных обновлений и специализированных руководств для устранения уникальных рисков, связанных с этими системами, выступая за интеграцию конкретных соображений ОТ в более широкие документы по планированию и руководствам по кибербезопасности.

В целом выпуск CSF 2.0 знаменует собой значительный прогресс в стратегии кибербезопасности, предлагая комплексную структуру, адаптируемую к различным организационным контекстам, и подчеркивая решающую роль кибербезопасности в поддержке устойчивости и непрерывности бизнеса.