24.04.2024
NIST Cybersecurity Framework 2.0 - довгоочікувана оновлена версія стандарту, опублікована 26 лютого 2024 року. Минуло 10 років після виходу першої версії NIST CSF 1.0, яка була випущена в лютому 2014 року. 
Постійно з’являються нові технології захисту критично важливої інфраструктури, і зрозуміло, що хакерські групи враховують усі зміни і готують більш продумані, потужні та цілеспрямовані атаки. 
Аудитори компанії IT Specialist успішно пройшли необхідні сертифікації з NIST CSF 1.1 та NIST CSF 2.0. Також, фахівці з кібербезпеки компанії IT Specialist мають успішний досвід реалізації проєктів, для об’єктів критичної інфраструктури, з впровадження фреймворку NIST CSF 1.1, який нині є офіційно затвердженим на державному рівні (Наказ Адміністрації Держспецзв’язку від 06.10.2021 № 601 «Про затвердження Методичних рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури» (зі змінами) (cip.gov.ua)).
У цій публікації ви дізнаєтеся про ключові зміни, які внесено в NIST CSF 2.0, та особливий вплив на конкретні сфери бізнесу. Наші аудитори поділяться корисними думками та порадами, які допоможуть вам здійснити успішну оцінку поточного та досягти цільового (бажаного) стану захищеності інфраструктури шляхом впровадження цього фреймворку.

Що таке NIST Cybersecurity Framework та навіщо він потрібний?

NIST Cybersecurity Framework - це широко визнаний набір керівних вказівок, найкращих практик і стандартів, які призначені для допомоги організаціям у підтримці та покращенні рівня кібербезпеки. Фахівці з інформаційної безпеки використовують цю структуру по всьому світу як систематизований підхід до оцінки та підвищення ефективності своїх засобів контролю та політики кібербезпеки з метою захисту від кіберзагроз та запобігання витокам даних.

Яким організаціям варто звернути увагу на оновлений фреймворк NIST CSF?

Стара версія фреймворку була спрямована на галузі критичної інфраструктури, такі як банківська сфера або підприємства енергетичної галузі. Вона виявилася настільки успішною, що її почали використовувати невеликі підприємства та організації. Цей факт послужив основою для розробки нової версії фреймворку, в якій будуть ураховані найрізноманітніші сфери діяльності. 
Нова версія 2.0 була розроблена для всіх категорій аудиторій, галузей та типів організацій, починаючи від малих компаній та неприбуткових організацій і закінчуючи великими корпораціями або промисловими гігантами.
Вимоги фреймворку NIST CSF 2.0 перекривають та доповнюють усі вимоги поточної затвердженої версії NIST CSF 1.1, що є обов’язковою для об’єктів критичної інфраструктури. Очікується, що з часом фреймворк NIST CSF 2.0 стане офіційно затвердженим.

У NIST CSF 2.0 з'явилася нова шоста функція, яка стала основою ефективного управління. Поява цієї функції є ключовою зміною в стандарті.

До лютого 2024 року NIST Cybersecurity Framework складався лише з 5 основних функцій. У новій версії стандарту з'являється нова та дуже важлива функція – управління. Тож коротко перерахуємо всі функції та їх значення.
● Управління: ця функція призначена для того, щоб допомогти організаціям приймати та виконувати власні внутрішні рішення відповідно до їх стратегії кібербезпеки. Оскільки доведено, що кібербезпека є основним ризиком для підприємств як у фінансовому, юридичному плані, так і поза їх межами, це підкреслює важливість стратегічного розгляду вищим керівництвом цих ризиків.● Визначення: ця функція сприяє організаціям у встановленні поточного рівня кібербезпекового ризику. Важлива відправна точка для побудови ефективного кіберхзахисту.● Захист: ця функція сприяє організаціям у захисті, запобіганні та зменшенні ризиків кібербезпеки шляхом використання контролю, політики та навчання.● Виявлення: ця функція сприяє організаціям у своєчасній ідентифікації та виявленні подій та інцидентів кібербезпеки через впровадження механізмів постійного моніторингу, виявлення та реагування.● Реагування: ця функція сприяє організаціям у створенні та впровадженні ефективного плану реагування на випадок інциденту кібербезпеки, щоб мінімізувати фінансові та репутаційні наслідки інциденту шляхом швидкого його пом'якшення.● Відновлення: ця функція сприяє організаціям у якнайшвидшому відновленні роботи після інцидентів кібербезпеки та відновленні нормального ведення бізнесу. Функція відновлення не лише надає вказівки щодо відновлення даних, систем та служб, але також ураховує отримані уроки для майбутніх покращень.

Які зміни виникли в результаті додавання нової функції управління до NIST CSF?

Введення функції управління в NIST Cybersecurity Framework (CSF) вказує на значну перебудову фундаментального підходу організацій до кібербезпеки. Ця нова ключова функція підкреслює важливість управління, організаційного контексту, стратегії управління ризиками, а також розподілу ролей і відповідальності в галузі кібербезпеки.
Враховуючи управління, NIST визнає, що кібербезпека є проблемою, яка стосується всієї організації, і вимагає комплексного підходу з чіткою увагою з боку вищого керівництва. Раніше кібербезпека не отримувала належної уваги з боку керівництва, особливо на підприємствах. Тепер усе зміниться.
Додавання функції управління – це підтвердження того, що ефективне управління кібербезпекою та залучення до цього всіх управлінських рівнів організації має важливе значення для керування та зменшення ризиків кібербезпеки, узгодження зусиль у сфері кібербезпеки із загальними бізнес-цілями та стратегіями розвитку. Загалом, має відбутись підвищення рівня безпеки в організації. 
Кібербезпека є ключовим пріоритетом у стратегії та важливою складовою системи управління ризиками організації, що передбачає інтеграцію кібербезпеки у всі сфери її діяльності.

Функція управління поділена на категорії:

1. Організаційний контекст (GV.OC): Обставини – місія, очікування зацікавлених сторін, юридичні, нормативні та договірні вимоги – які стосуються рішень щодо управління ризиками кібербезпеки організації (раніше ID.BE).
2. Стратегія управління ризиками (GV.RM): Пріоритети організації, обмеження, толерантність до ризику, заяви про бажання та припущення встановлюються, повідомляються та використовуються для підтримки рішень щодо операційного ризику (раніше ID.RM).
3. Ролі, обов’язки та повноваження (GV.RR): Ролі, обов’язки та повноваження з кібербезпеки встановлюються та повідомляються для сприяння підзвітності, оцінки ефективності та постійного вдосконалення (раніше ID.GV-02).
4. Політики, процеси та процедури (GV.PO): організаційні політики, процеси та процедури кібербезпеки встановлюються, передаються та застосовуються (раніше ID.GV-01).
5. Нагляд (GV.OV): результати загальноорганізаційної діяльності з управління ризиками кібербезпеки та ефективності використовуються для інформування, покращення та коригування стратегії управління ризиками.
6. Управління ризиками ланцюга постачання в кібербезпеці (GV.SC): процеси управління ризиками ланцюга кіберпостачання визначаються, встановлюються, керуються, контролюються та вдосконалюються зацікавленими сторонами організації (раніше ID.SC).

Ключова ідея оновленого NIST CSF 2.0, яку важливо усвідомити

Загалом, зміни в NIST CSF 2.0 відображають ширше визнання того, що кібербезпека стосується кожного, незалежно від напряму діяльності, галузі чи розміру організації. Крім того, вдосконалені інструкції щодо впровадження та гнучкість створення індивідуальних профілів пропонують практичний підхід до вирішення реальних проблем, щоб розширити можливості організацій для ефективного захисту своїх цифрових активів.

Що потрібно впровадити, щоб відповідати всім вимогам NIST CSF 2.0 на високому рівні?

Для впровадження фреймворку безпеки NIST CSF 2.0 організації необхідно пройти оціночний аудит для визначення поточного стану та виконати рекомендації з покращення поточних та/або впровадження нових механізмів кіберзахисту для досягнення цільового (бажаного) рівня відповідності NIST CSF 2.0.
Не існує єдиного контрольного списку, який можна використовувати як перший крок у налаштуванні або розширенні управління ризиками кібербезпеки організації. Існує перелік того, що необхідно впровадити або досягти. Отже, розробка стратегії та конкретне впровадження заходів кіберзахисту є унікальним для кожної окремої компанії.
Тому, намагаючись відповідати вимогам фреймворку NIST CSF 2.0, замовнику необхідно обирати компанію, де працюють справжні фахівці з кібербезпеки, і де впроваджено передові світові практики, а також вже існують реальні успішні кейси.
IT Specialist - та компанія, яка проведе аудит та допоможе здійснити всі необхідні заходи для впровадження та покращення рівня кібербезпеки у відповідності до вимог NIST CSF 2.0.