NIST网络安全框架2.0如何应对风险管理

NIST 网络安全框架 2.0 (CSF) 正在进入 2024 年实施前的最后阶段。在五月结束的框架决策公开讨论期结束后，现在是时候更多地了解指南变化的预期了。

NIST 高级技术政策顾问 Cherilyn Pascoe 在 2023 年 RSA 会议上表示，更新后的 CSF 正在与拜登政府的国家网络安全战略保持一致。这建立了新的 CSF 来制定风险管理策略。

帕斯科说，当用作风险管理资源时，CSF 可以在国家网络安全战略的五个支柱的背景下应用。这些支柱是：

• 保卫关键基础设施
• 扰乱并消灭威胁行为者
• 塑造市场力量以推动安全性和弹性
• 投资一个有弹性的未来
• 建立国际伙伴关系以追求共同目标。

CSF 的主要目标之一是允许组织通过识别风险和改进风险管理流程来制定网络安全策略。更新后的框架将强调改进风险管理——这在现代网络安全领域至关重要。

治理职能

原始CSF有五个功能：识别、保护、检测、响应和恢复。CSF 2.0 将添加第六个功能：治理。

这一功能提高了网络安全风险管理在业务和合规结果中的重要性。治理职能将重点关注政策和程序以及安全团队的角色和职责。组织期望的结果是根据策略评估风险并确定风险的优先级，然后定义团队成员在解决潜在威胁方面的职责。

治理职能包括主要关注风险管理的部分。在 CSF 的早期版本中，风险管理涵盖在不同的职能（识别）下，而现在它更完全地涵盖在具有自己的子类别的治理职能下。CSF 2.0 的讨论草案版本列出了以下指令：

• GV.RM-01：网络安全风险管理目标由组织利益相关者制定并同意。
• GV.RM-02：网络安全供应链风险管理策略已制定、组织利益相关者同意并进行管理。
• GV.RM-03：风险偏好和风险承受能力声明是根据组织的业务环境确定和传达的。
• GV.RM-04：网络安全风险管理被视为企业风险管理的一部分。
• GV.RM-05：建立并传达描述适当风险应对选项的战略方向，包括网络安全风险转移机制（例如保险、外包）、缓解投资和风险接受。
• GV.RM-06：确定并传达责任和问责制，以确保风险管理策略和计划得到资源、实施、评估和维护。
• GV.RM-07：审查和调整风险管理策略，以确保覆盖组织要求和风险。
• GV.RM-08：
  组织领导者评估和审查网络安全风险管理策略和结果的有效性和充分性。

GV.RM-05 到 08 是 CSF 2.0 的新增内容，是为此新功能而创建的。

领导

明确定义的领导角色与治理职能密切相关。标准 GV.RR-01 在其角色和责任部分指出，“组织领导层对与网络安全风险相关的决策负责，并建立一种具有风险意识、以道德方式行事并促进持续改进的文化。”

供应链

一段时间以来，供应链及其安全风险成为热门话题。几年前，NIST 在 CSF 中添加了有关供应链安全的指南。在CSF 2.0中，指南将扩展至涵盖供应链风险管理。此前，政府还采取了其他措施来增强供应链的安全性。尽管 CSF 尚未提供供应链风险管理的具体参数，但不同的场景可能会提供旨在应对威胁的风险和功能的示例。

风险管理层级

CSF 的这些可能的变化和更新将增强四个框架实施层，NIST将其定义为“一个观察组织风险方法特征的透镜——组织如何看待网络安全风险以及管理该风险的流程” ”。

这些层级涵盖组织风险管理计划的四个不同级别：部分、风险知情、可重复和适应性。这些层级衡量组织如何将其围绕网络安全风险的决策整合到整体业务风险中。该框架的实施还着眼于公司如何与第三方共享风险信息。

组织对其风险管理过程进行自我管理。他们确定最适合满足业务目标的当前风险治理级别的层级。然而，这些层级不仅仅是网络安全成熟度的定义。相反，它们使公司能够更广泛地了解其整体网络安全风险承受能力。当组织遵循该框架时，它可以构建风险概况并制定要努力实现的目标概况。

CSF 2.0将如何继续发展？

更新后的CSF 2.0更加强调风险管理。通过强调供应链风险和安全，它还遵循联邦政府其他部门发布的指导方针。从表面上看，美国的网络安全方法似乎终于有了凝聚力，特别是为政府机构和私营行业的网络安全风险管理开辟了利基市场。

这并不意味着 CSF 2.0 是完美的。有些风险领域仍然需要关注，例如远程工作的治理。风险管理标准并不是为了解决完全远程或混合劳动力的问题而设计的。

正如 CSF 2.0 认识到供应链安全正在给组织带来更高级别的风险一样，它也需要加紧应对来自人工智能（特别是生成式 AI）的新兴威胁。在 CSF 2.0 进程顺利进行后，生成式 AI 突然出现。现在，这是不可能忽视的。

也许现在就人工智能的潜在风险提供明确的指导并提供安全框架为时已晚，但也不能搁置太久。潜在的威胁迫在眉睫，组织很快就会寻找有关如何管理这项新技术带来的风险的指南。