El marco de ciberseguridad del NIST se reinicia con la versión 1.1
Tabla de contenido:
El Marco de Ciberseguridad del NIST es el estándar estadounidense regulado por el Instituto Nacional de Estándares y Tecnología. La versión original publicada en febrero de 2014 ahora se ha actualizado a la Versión 1.1. Echemos un vistazo a lo que ha cambiado.
¿Qué es el marco de ciberseguridad del NIST?
Creado por el Instituto Nacional de Estándares y Tecnología de EE. UU., el Marco de Ciberseguridad NIST (NIST CSF) es un conjunto de políticas que deben seguir las organizaciones del sector privado para evaluar su riesgo cibernético.
El NIST CSF se divide en tres secciones; Núcleo, Perfil y Niveles. El Framework Core implica responder preguntas relacionadas con el enfoque de la organización hacia la ciberseguridad. Los perfiles marco son los resultados que la organización desea, en función de sus necesidades y riesgos. Y los niveles del marco son creados por la organización e incluyen las necesidades que surgen de evaluaciones de riesgo.
¿Cuáles son las actualizaciones del marco de ciberseguridad del NIST?
"No queríamos cambiar el marco sustancialmente para que los dos marcos pudieran funcionar entre sí".
Matt Barret – Marco de Ciberseguridad NIST Gerente del programa
Aclaración del término "cumplimiento"
El NIST reconoce que el término "cumplimiento" podría significar diferentes cosas para diferentes personas debido a las diferentes formas en que se puede utilizar el marco. Han afirmado que el Marco de Ciberseguridad funciona como una “estructura y lenguaje para organizar y expresar el cumplimiento de las normas de ciberseguridad propias de una organización”. requisitos”".
Nueva sección de Autoevaluación
NIST ha agregado la 'Sección 4.0 Autoevaluación de ciberseguridad Risk with the Framework' que detalla cómo las organizaciones pueden comprender, evaluar y medir sus riesgos y acciones..
Gestión de riesgos de la cadena de suministro y decisiones de compra
La Sección 3.3 'Comunicación de los requisitos de ciberseguridad con las partes interesadas' se ha ampliado para que Cyber Gestión de riesgos de la cadena de suministro (SCRM) más fácil de entender. El NIST también ha agregado una sección sobre Decisiones de compra (3.4) para resaltar cómo las organizaciones pueden utilizar el Marco de ciberseguridad para comprender los riesgos de comprar productos y servicios comerciales disponibles en el mercado.
Se agregaron nuevos criterios de gestión de riesgos de la cadena de suministro cibernético a los niveles de implementación y se agregó una categoría de gestión de riesgos de la cadena de suministro (que incluye múltiples subcategorías) al marco central.
Autenticación, autorización y prueba de identidad
En Control de Acceso Categoría, el idioma se ha actualizado para que quede más claro que se tienen en cuenta la autenticación, la autorización y la prueba de identidad. Esto significa que se agregó una subcategoría para cada una y se le cambió el nombre a 'Gestión de identidad y control de acceso (PR.AC).
La relación entre niveles de implementación y perfiles
La Sección 3.2 'Establecimiento o mejora de un programa de ciberseguridad' se actualizó con información sobre el uso de niveles del marco en la implementación del marco. El siguiente gráfico del NIST ilustra las acciones de los niveles del marco.
Consideración de la divulgación coordinada de vulnerabilidades
Finalmente, NIST ha agregado una nueva subcategoría que detalla el ciclo de vida de divulgación de vulnerabilidades. Usuarios del Marco de ciberseguridad Todavía se les anima a personalizar el marco flexible en función de las necesidades y el alcance de su organización.
Webcast: Descripción general del marco de ciberseguridad versión 1.1
ISMS.online puede ayudarle con eso
