NIST网络安全框架（CSF）2.0草案

自近十年前发布以来，世界领先的网络安全指南正在进行首次全面改造。在考虑了一年多的社区反馈后，美国国家标准与技术研究所（NIST）发布了网络安全框架（CSF）2.0的草案，这是其于2014年首次发布的一个工具的新版本，旨在帮助组织了解、减少和沟通网络安全风险。NIST发布的更新草案供公众评论，反映了网络安全形势的变化，并使CSF更容易为所有组织付诸实践。NIST的CherilynPascoe是该框架的首席开发人员，她说：“通过这次更新，我们正在努力反映网络安全框架的当前使用情况，并预测未来的使用情况。”。“CSF是为银行和能源行业等关键基础设施开发的，但事实证明，从学校、小企业到地方和外国政府，它在任何地方都很有用。我们希望确保它是一个对所有部门都有用的工具，而不仅仅是那些被指定为关键的部门。”NIST将在2023年11月4日之前接受公众对框架草案的意见。NIST不打算发布另一份草案。计划于秋季举行的研讨会将很快宣布，这将是公众对草案提供反馈和意见的又一次机会。开发人员计划在2024年初发布CSF2.0的最终版本。CSF提供了高级别的指导，包括管理跨部门网络安全风险的通用语言和系统方法，以及帮助技术人员和非技术人员之间的沟通。它包括可以纳入网络安全计划并根据组织的特定需求进行定制的活动。自首次出版以来的十年里，CSF已被185多个国家的用户下载了200多万次，并被翻译成至少九种语言。虽然对NIST2022年2月关于CSF信息的请求的回应表明，该框架仍然是降低网络安全风险的有效工具，但许多受访者也表示，更新可以帮助用户适应技术创新以及快速演变的威胁形势。Pascoe说：“许多评论者说，我们应该保持和发展CSF的关键属性，包括其灵活性和自愿性。”。“与此同时，他们中的许多人要求提供更多关于实施CSF的指导，并确保它能够解决新出现的网络安全问题，如供应链风险和勒索软件的广泛威胁。因为这些问题影响到包括小企业在内的许多组织，我们意识到我们必须加大力度。CSF2.0草案反映了一些重大变化，包括：（1）该框架的范围已经明确扩大，从保护医院和发电厂等关键基础设施，到为所有组织提供网络安全，无论其类型或规模如何。这种差异反映在CSF的官方名称中，该名称从更具限制性的“改善关键基础设施网络安全框架”改为“网络安全框架，”其口语名称（2）到目前为止，CSF已经描述了一个成功的整体网络安全计划的主要支柱，该计划使用了五个主要功能：识别、保护、检测、响应和恢复。除此之外，NIST现在增加了第六个职能，即管理职能，涵盖组织如何制定和执行自己的内部决策，以支持其网络安全战略。它强调，网络安全是企业风险的主要来源，与法律、财务和其他风险并列为高级领导层的考虑因素。（3）草案提供了关于实施CSF的改进和扩展的指导，特别是关于创建概况的指导，这些概况针对特定情况定制CSF。网络安全界已请求协助将其用于特定的经济部门和用例，在这些部门和用例中，档案可以提供帮助。重要的是，草案现在包括了每个职能子类别的实施示例，以帮助组织，特别是小公司，有效地使用该框架。