Что такое NIST Cybersecurity Framework?
NIST Cybersecurity Framework (CSF) был разработан в 2014 году Национальным институтом стандартов и технологий США в ответ на указ президента об улучшении кибербезопасности критической инфраструктуры. CSF 2.0, выпущенный в феврале 2024 года, является наиболее значительным обновлением с момента создания фреймворка — расширяет область применения с критической инфраструктуры на все организации и добавляет новую функцию Govern.
Функции NIST CSF 2.0
- Govern — (новая в версии 2.0) Определение стратегии, ожиданий и политики управления киберрисками.
- Identify — Понимание активов организации, рисков и состояния кибербезопасности.
- Protect — Внедрение защитных мер для обеспечения предоставления критических услуг.
- Detect — Своевременное обнаружение событий кибербезопасности.
- Respond — Принятие мер в связи с обнаруженным событием кибербезопасности.
- Recover — Восстановление возможностей или услуг, нарушенных в результате события кибербезопасности.
Кому полезно соответствие NIST CSF?
- Подрядчикам федерального правительства США и поставщикам государственных ведомств
- Организациям, стремящимся к CMMC (Cybersecurity Maturity Model Certification)
- Транснациональным компаниям, нуждающимся в универсальном базовом уровне кибербезопасности
- Организациям, использующим NIST CSF для отчётности по кибербезопасности на уровне совета директоров
- Компаниям, которым необходимо соответствие NIST наряду с ISO 27001 или SOC 2
NIST CSF и ISO 27001
NIST CSF и ISO 27001 имеют значительное концептуальное пересечение, но служат разным целям — NIST CSF является добровольным фреймворком управления рисками, тогда как ISO 27001 — сертифицируемым стандартом системы менеджмента. BALTUM проводит интегрированные оценки, сопоставляющие профиль NIST CSF с мерами контроля Приложения A ISO 27001, что позволяет реализовать единый проект внедрения, удовлетворяющий требованиям обоих фреймворков.