5月23日讯美国国家标准与技术研究院(NIST)发布指南草案,就联邦机构如何实施NIST《提升关键基础设施网络安全的框架》提出指导。
奥巴马政府于2014年发布了这份网络安全框架,描述了关键基础设施操作人员评估和提升防御能力、检测并响应网络攻击的流程。
特朗普上周签署网络安全行政令之前,NIST开始制定新指南草案“机构间8170报告”,指导联邦机使用该框架。
美国国家安全顾问汤姆·博塞特宣布这项网络安全行政令时表示,私有部门被要求执行该框架,但对联邦机构没有强制要求。他建议联邦部门和机构应践行,并采用同样的NIST框架管理以降低风险。
框架作用何在?
NIST这份草案指出,联邦机构可以使用这份网络安全框架补充现有的NIST安全和隐私风险管理标准,以及为响应《联邦信息安全管理法案》制定的指导方针和实践。
华盛顿州健康保险交易所的首席信息官柯特·夸克表示,实施这份行政令是政府机构一贯处理网络安全的方式。他肯定了将某框架作为基准是一件好事,尤其涉及到与NIST一致的要求时。
然而并非所有专家都认为,框架是保护组织机构数字资产的有效过程。
FBI网络部前副助理总监兼白宫无党派国家网络安全委员会委员史蒂文·查彬斯基指出,执行框架相当困难、并且成本昂贵。这并不是因为NIST框架不够好,恰恰相反,面对如今不断变化的威胁格局,美国政府缺乏指标衡量NIST框架是否或在某种程度上能实现成本效益。如果漏洞缓解耗资少,并且易于实施,当然他不会反对,然而事实却并非如此。
八大用例
指南草案提供了八大政府用例,描述机构如何使用该框架:
将企业和网络安全风险管理进行整合;
管理网络安全要求;
整合并调整网络安全和采集流程;
评估组织机构的网络安全;
管理网络安全计划;
全面了解网络安全风险;
报告网络安全风险;
通知适当的流程;
NIST正在征求新草案意见,包括征求机构使用该指南的方式的建议。
本文转自d1net(转载)