Het National Insti­tute of Standards and Techno­logy (NIST) heeft onlangs de 2.0‑versie van het veelge­bruikte Cyber­se­cu­rity Frame­work (CSF) gepubli­ceerd, een richt­lijn die ontworpen is om het risico op cyber­drei­gingen te vermin­deren. Deze nieuwe editie van het CSF is gericht op een breed publiek, varië­rend van de kleinste bedrijven en non-profit­or­ga­ni­sa­ties tot de grootste overheids­in­stel­lingen en concerns, ongeacht hun niveau van cyberbeveiligingskennis. 

Naar aanlei­ding van de vele reacties op de concept­versie heeft het NIST de kernricht­lijnen van het CSF uitge­breid en aanvul­lende middelen ontwik­keld om gebrui­kers te helpen het maximale uit het frame­work te halen. Deze middelen bieden verschil­lende doelgroepen op maat gemaakte toegangs­punten tot het CSF en vereen­vou­digen de imple­men­tatie ervan. 

Volgens Kevin Stine, hoofd van NIST’s Applied Cyber­se­cu­rity Division, is deze update ontwik­keld in nauwe samen­wer­king met stake­hol­ders en weerspie­gelt het de meest recente uitda­gingen en manage­ment­prak­tijken op het gebied van cyber­be­vei­li­ging. Het doel is om het frame­work nog relevanter te maken voor een breder inter­na­ti­o­naal publiek. 

Het CSF, dat in 2014 voor het eerst werd gepubli­ceerd naar aanlei­ding van een presi­den­tieel execu­tive order, is nu georga­ni­seerd rond zes kernfunc­ties: Identi­fi­ceren, Beschermen, Detec­teren, Reageren en Herstellen, met de nieuw toege­voegde functie Besturen. Deze functies bieden een alomvat­tende kijk op de levens­cy­clus voor het beheer van cyberbeveiligingsrisico’s. 

De bijge­werkte versie van het frame­work houdt rekening met organi­sa­ties die met uiteen­lo­pende behoeften en ervarings­ni­veaus in cyber­be­vei­li­ging naar het CSF komen. Nieuwe gebrui­kers kunnen leren van de successen van anderen en hun interes­se­ge­bied selec­teren uit een nieuwe set imple­men­ta­tie­voor­beelden en snelstart­gidsen, ontworpen voor speci­fieke gebrui­ker­s­types, zoals kleine bedrijven, risico­ma­na­gers van onder­ne­mingen en organi­sa­ties die hun toele­ve­rings­ke­tens willen beveiligen.

Een nieuw CSF 2.0‑referentiehulpmiddel vereen­vou­digt de imple­men­tatie van het CSF voor organi­sa­ties, door gebrui­kers in staat te stellen de kernricht­lijnen van het CSF te doorzoeken, te bekijken en te expor­teren in formaten die zowel voor mensen als machines leesbaar zijn. Daarnaast biedt CSF 2.0 een doorzoek­bare catalogus van infor­ma­tieve referen­ties die laat zien hoe huidige acties zich verhouden tot het CSF.

Organi­sa­ties kunnen ook het Cyber­se­cu­rity and Privacy Reference Tool (CPRT) raadplegen, dat een onder­ling gerela­teerde, doorzoek­bare en downlo­ad­bare set NIST-richt­lijn­do­cu­menten bevat. Dit hulpmiddel plaatst de CSF en andere populaire bronnen in context en biedt commu­ni­ca­tie­me­thoden voor zowel techni­sche experts als het hoger manage­ment, zodat alle niveaus binnen een organi­satie gecoör­di­neerd blijven. 

Het CSF wordt wereld­wijd gebruikt; versies 1.1 en 1.0 zijn vertaald in 13 talen en NIST verwacht dat ook CSF 2.0 door vrijwil­li­gers over de hele wereld zal worden vertaald. Deze verta­lingen zullen worden toege­voegd aan NIST’s groei­ende portfolio van CSF-middelen. Door samen te werken met de Inter­na­ti­onal Organi­za­tion for Standar­di­za­tion (ISO) en de Inter­na­ti­onal Electro­tech­nical Commis­sion (IEC) heeft NIST geholpen meerdere cyber­se­cu­ri­ty­do­cu­menten op elkaar af te stemmen. NIST is van plan deze inter­na­ti­o­nale afstem­ming voort te zetten in samen­wer­king met ISO/​IEC.

Foto: Kevin KU