NIST針對聯(lián)邦機構(gòu)發(fā)布網(wǎng)絡(luò)安全框架草案

責(zé)任編輯:editor007

2017-05-23 21:22:27

摘自:E安全

美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布指南草案,就聯(lián)邦機構(gòu)如何實施NIST《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》提出指導(dǎo)。

5月23日訊美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布指南草案,就聯(lián)邦機構(gòu)如何實施NIST《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》提出指導(dǎo)。

奧巴馬政府于2014年發(fā)布了這份網(wǎng)絡(luò)安全框架,描述了關(guān)鍵基礎(chǔ)設(shè)施操作人員評估和提升防御能力、檢測并響應(yīng)網(wǎng)絡(luò)攻擊的流程。

特朗普上周簽署網(wǎng)絡(luò)安全行政令之前,NIST開始制定新指南草案“機構(gòu)間8170報告”,指導(dǎo)聯(lián)邦機使用該框架。

美國國家安全顧問湯姆·博塞特宣布這項網(wǎng)絡(luò)安全行政令時表示,私有部門被要求執(zhí)行該框架,但對聯(lián)邦機構(gòu)沒有強制要求。他建議聯(lián)邦部門和機構(gòu)應(yīng)踐行,并采用同樣的NIST框架管理以降低風(fēng)險。

框架作用何在?

NIST這份草案指出,聯(lián)邦機構(gòu)可以使用這份網(wǎng)絡(luò)安全框架補充現(xiàn)有的NIST安全和隱私風(fēng)險管理標(biāo)準(zhǔn),以及為響應(yīng)《聯(lián)邦信息安全管理法案》制定的指導(dǎo)方針和實踐。

華盛頓州健康保險交易所的首席信息官柯特·夸克表示,實施這份行政令是政府機構(gòu)一貫處理網(wǎng)絡(luò)安全的方式。他肯定了將某框架作為基準(zhǔn)是一件好事,尤其涉及到與NIST一致的要求時。

然而并非所有專家都認(rèn)為,框架是保護組織機構(gòu)數(shù)字資產(chǎn)的有效過程。

FBI網(wǎng)絡(luò)部前副助理總監(jiān)兼白宮無黨派國家網(wǎng)絡(luò)安全委員會委員史蒂文·查彬斯基指出,執(zhí)行框架相當(dāng)困難、并且成本昂貴。這并不是因為NIST框架不夠好,恰恰相反,面對如今不斷變化的威脅格局,美國政府缺乏指標(biāo)衡量NIST框架是否或在某種程度上能實現(xiàn)成本效益。如果漏洞緩解耗資少,并且易于實施,當(dāng)然他不會反對,然而事實卻并非如此。

八大用例

指南草案提供了八大政府用例,描述機構(gòu)如何使用該框架:

將企業(yè)和網(wǎng)絡(luò)安全風(fēng)險管理進行整合;

管理網(wǎng)絡(luò)安全要求;

整合并調(diào)整網(wǎng)絡(luò)安全和采集流程;

評估組織機構(gòu)的網(wǎng)絡(luò)安全;

管理網(wǎng)絡(luò)安全計劃;

全面了解網(wǎng)絡(luò)安全風(fēng)險;

報告網(wǎng)絡(luò)安全風(fēng)險;

通知適當(dāng)?shù)牧鞒蹋?/p>

NIST正在征求新草案意見,包括征求機構(gòu)使用該指南的方式的建議。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號