NIST風險管理框架2.0更新網絡安全策略
責編:gltian |2018-12-27 13:36:08美國國家標準與技術研究所(NIST)推出風險管理框架(RMF) 2.0 更新最終版,為公司企業定義及管理風險提供全新詳細指南。
RMF 2.0 于12月20日正式發布,是歷經7個月咨詢與意見收集的成果。RMF 2.0 的正式名稱為“NIST特殊出版物 (SP) 800-37 修訂 2”,概述了聯邦機構和想要符合該標準的公司企業解決安全和隱私風險管理問題的方法。RMF 2.0 更新主要是與NIST網絡安全框架做了融合,該框架描述的是美國政府機構應采用的控制與過程。
RMF 2. 0 作者之一,NIST的 Ron Ross 在媒體通告中寫道:RMF 2.0 賦予了聯邦機構強有力的管理工具,使他們能以統一的框架管理安全和隱私風險。新框架的發布確保合規意味著真正的網絡安全和隱私風險管理,而不僅僅是照著靜態的控制措施列表劃勾。
RMF 2.0 本身是個長達183頁的報告,任何人都能免費下載。報告指出,實現該RMF的組織機構將能最大化自動化工具的使用,大幅提升安全分類管理和控制選擇、評估與監視的效率。
RMF中寫道:本框架為在充滿復雜高級威脅,職能使命及系統和組織性漏洞經常變化發展的動態環境中有效管理安全和隱私風險提供了動態而靈活的方法。本框架無關策略與技術,方便IT資源與IT現代化工作的持續升級,可支持并確保轉型期間基本任務與服務的持續提供。
RMF 2.0 包含多項任務,其中就有列出組織機構中所有風險管理角色及策略這一項。確定常用控制并實現持續監視策略是RMF的另一大重點。風險本身是 RMF 2.0 的核心,要求組織機構執行涵蓋所有需保護資產的風險評估。
作為風險評估的主要部分,資產基于其遺失后果加以優先排序。每種資產類型都要定義出遺失的含義以確定遺失后果(例如遺失的不利影響)。
行業反應
NIST的網絡安全指南已成為多家監管、風險及合規(GRC)供應商產品組合中的基本元素。多名業內專家對RMF的改良更新及其對網絡安全的促進作用滿腔熱忱。
RSA風險管理策略師 Steve Schlarma 表示:他們將 NIST RMF 視為NIST風險管理操作建議的進一步精煉,以及在企業安全、個人隱私和組織性風險管理領域持續指導的橋梁。他們一直以來都堅信,想要高效管理信息安全,企業必須采取基于風險的方法。
邁克菲首席策略官和政府事務主管 Tom Gann 也支持 RMF 2.0。他指出,NIST網絡安全框架呈現出的是識別及管理組織機構網絡安全風險的漸進式合理方法。
Fidelis Cybersecurity 首席數據科學家 Abdul Rahman 評論道,本次 RMF 2.0 更新重點強調了對個人敏感數據的保護。
組織機構光做好威脅預防是不夠的,我們已經見證了僅用預防性工具并不足以攔住動機強烈的高級攻擊者。
One Identity 產品市場營銷經理兼合規專家 Istvan Molnar 同樣認為 RMF 2.0 中對隱私的強調值得一提。Molnar稱, RMF 2.0 文檔特別指出了組織機構需考慮該如何推進并制度化隱私和信息安全項目之間的協作,確保這兩個領域的目標在過程中每一步都相輔相成。
Molnar表示:值得一提的是,該報告不僅僅提到了訪問,還有‘系統行為’,比僅僅關注數據訪問控制更進了一步。而且,該框架提倡在整個系統開發生命周期中將風險管理融入信息系統的安全及隱私功能中。
Forcepoint首席信息官 Meerah Rajavel 認為 RMF 2.0 有3個關鍵點,首先就是數字及網絡安全正成為董事會議程的中心議題。
RMF 2.0 聚焦與高管的聯系與溝通,對網絡安全&風險管理框架之間的協同效應提供了指導,有助提升CISO和CIO在董事會會議桌上的分量。
其次就是該框架重視IT/OT和供應鏈,這些都是關鍵基礎設施防御的重中之重。
最后一個重要元素就是將隱私與風險關聯了起來,有助于其他合規操作,比如GDPR、加州隱私法案等等。
RMF 2.0 報告:
上一篇:12款頂級SIEM工具比較與評級
下一篇:2018:加密貨幣劫持元年