NIST випускає розширену версію 2.0 Landmark Cybersecurity Framework для допомоги організаціям критичної інфраструктури

Національний інститут стандартів і технологій (NIST) представив версію 2.0 своєї кібербезпеки Framework (CSF), що відзначає важливу віху в стратегії кібербезпеки. CSF, спочатку створений для організацій критичної інфраструктури, отримав широке поширення, що виходить за межі запланованого обсягу, спонукаючи NIST розширити його застосування в різних секторах і організаційних розмірах. Оновлена структура, на основі відгуків про її проект, розширює основні вказівки та вводить важливу функцію «Управління», усуваючи прогалини в управлінні ризиками.

Нова структура, яка не оновлювалася приблизно 10 років, з’явилася в критичний момент, коли організації критичної інфраструктури стикаються з серйозними кібератаками , які можуть порушити повсякденні функції в багатьох сферах життя. Деякі атаки викорінили діяльність інтенсивної медичної допомоги в групах охорони здоров’я та багатьох інших галузях, які нова структура має на меті зірвати.

Роберт Букер, директор зі стратегії HITRUST, підкреслив важливість урядової функції, наголосивши на її ключовій ролі в управлінні ризиками в сфері кібербезпеки. Примітно, що CSF 2.0 надає користувачам індивідуальні приклади реалізації та короткі посібники, що полегшує його практичне застосування. Крім того, він містить каталог посилань із можливістю пошуку, що спрощує узгодження з понад 50 документами з кібербезпеки.

Директор NIST Лорі Е. Локашіо підкреслив динамічну природу CSF 2.0, описуючи його як набір настроюваних ресурсів, які адаптуються до мінливих потреб кібербезпеки та організаційних можливостей. Кетрін Ледесма з фірми промислової кібербезпеки Dragos підкреслила наслідки інфраструктури для організацій із системами промислового управління (ICS) і системами операційних технологій (OT). Вона підкреслила зміну у сприйнятті, позиціонуючи інвестиції в кібербезпеку не просто як центр витрат, а як стратегічний інструмент для бізнес-операцій, особливо критичних для таких галузей, як виробництво та комунальні послуги.

Ледесма також наголосив на важливості розрізнення між ІТ-середовищем і ОТ-середовищем у рамках CSF, передбачаючи нюансований підхід до захисту систем ICS/OT. Вона наголосила на необхідності постійних оновлень і спеціалізованих вказівок для вирішення унікальних ризиків, пов’язаних із цими системами, виступаючи за інтеграцію конкретних міркувань OT у ширші плани кібербезпеки та керівні документи.

Загалом, випуск CSF 2.0 знаменує собою значний прогрес у стратегії кібербезпеки, пропонуючи комплексну структуру, адаптовану до різноманітних організаційних контекстів, і підкреслюючи критичну роль кібербезпеки в підтримці стійкості та безперервності бізнесу.