NIST Cybersecurity Framework

Gli standard di sicurezza informatica sono esistiti da diversi decenni in quanto utenti e fornitori hanno collaborato in molti forum nazionali e internazionali per attuare le capacità, le politiche e le pratiche necessarie – in genere emerse dal lavoro del Consorzio Stanford per la ricerca sulla sicurezza e la politica dell’informazione negli anni ’90. Uno studio sull’adozione di un quadro di sicurezza statunitense del 2016 ha riportato che il 70% delle organizzazioni intervistate considera il NIS Cybersecurity Framework come la best practice più popolare per la sicurezza informatica (IT), ma molti osservano che richiede investimenti significativi.

Il NIS Cybersecurity Framework fornisce un quadro politico di linee guida sulla sicurezza informatica per come le organizzazioni del settore privato negli Stati Uniti possono valutare e migliorare la loro capacità di prevenire, rilevare e rispondere agli attacchi informatici. Il quadro è stato tradotto in molte lingue ed è usato, tra gli altri, dai governi di Giappone e Israele. Esso “fornisce una tassonomia di alto livello dei risultati della cibersicurezza e una metodologia per valutare e gestire tali risultati”.

La versione 1.0 è stata pubblicata dal National Institute of Standards and Technology nel 2014, inizialmente rivolta agli operatori di infrastrutture critiche. Viene utilizzato da una vasta gamma di aziende e organizzazioni e aiuta le organizzazioni di turno a essere proattivi nella gestione del rischio.

Nel 2017, una bozza di versione del framework, versione 1.1, è stata distribuita per un commento pubblico.

La versione 1.1 fu annunciata e resa disponibile al pubblico il 16 aprile 2018.

La versione 1.1 è ancora compatibile con la versione 1.0. Le modifiche comprendono indicazioni su come eseguire auto-valutazioni, ulteriori dettagli sulla gestione del rischio della supply chain e indicazioni su come interagire con gli stakeholder della supply chain.

Uno studio sull’adozione di un quadro di sicurezza ha riportato che il 70% delle organizzazioni intervistate considera la struttura del NIST come una best practice popolare per la sicurezza informatica, ma molti osservano che richiede investimenti significativi.

Include indicazioni su protezioni rilevanti per la privacy e le libertà civili .

Nel 2017, il NIST ha pubblicato il NIST Baldrige Cyber ​​Security Excellence Builder che sfrutta la struttura del 2014. Include un’autovalutazione più semplice.

Le domande sono divise in sei aree e una sezione risultati:

Comando
Strategia
Clienti
Misura, analisi e gestione della conoscenza
Workforce
Operazioni, e
Risultati.

Fonte