Home
topics
Cos'è il NIST Cybersecurity Framework?
Il NIST (National Institute of Standards and Technology) è un'agenzia non regulatoria che promuove l'innovazione attraverso il progresso della scienza, degli standard e della tecnologia delle misurazioni. Il NIST CSF (NIST Cybersecurity Framework) consiste in standard, linee guida e best practice per aiutare le organizzazioni a migliorare la logo gestione dei rischi per la sicurezza informatica.
Il NIST CSF è concepito per essere abbastanza elastico da integrarsi con i processi di sicurezza esistenti all'interno di qualsiasi organizzazione, in qualsiasi settore. Fornisce un ottimo punto di partenza per implementare la gestione della sicurezza delle informazioni e dei rischi per la sicurezza informatica praticamente in qualsiasi organizzazione del settore privato negli Stati Uniti.
Il 12 febbraio 2013, viene emanato l'ordine esecutivo 13636 sul miglioramento della sicurezza informatica delle infrastrutture critiche. Ciò segna l'inizio della collaborazione del NIST con il settore privato statunitense per identificare gli standard di consenso volontario e le best practice di settore esistenti da integrare in un quadro di sicurezza informatica, il cui risultato è il NIST Cybersecurity Framework versione 1.0.
Il CEA (Cybersecurity Enhancement Act) del 2014 amplia gli sforzi del NIST per lo sviluppo del Cybersecurity Framework. Oggi, il NIST CSF è ancora uno dei modelli di sicurezza più largamente adottati in tutti i settori statunitensi.
NIST Cybersecurity Framework include funzioni, categorie, sottocategorie e riferimenti informativi.
Le funzioni offrono una panoramica generale dei protocolli di sicurezza delle best practice. Le funzioni non sono da intendersi come fasi procedurali ma devono essere eseguite "contemporaneamente e continuamente per formare una cultura operativa che si occupi dei rischi dinamici per la sicurezza informatica". Le categorie e le sottocategorie forniscono dei piani d'azione più concreti per reparti o processi specifici all'interno di un'organizzazione.
Tra gli esempi di funzioni e categorie NIST è incluso quanto segue:
I riferimenti informativi del NIST CSF tracciano una correlazione diretta tra le funzioni, le categorie, le sottocategorie e i controlli di sicurezza specifici di altri quadri. Questi quadri includono il CIS (Center for Internet Security) Controls®, COBIT 5, ISA (International Society of Automation) 62443-2-1:2009, ISA 62443-3-3:2013, International Organization for Standardization e International Electrotechnical Commission 27001:2013 e NIST SP 800-53 Rev. 4.
Il NIST CSF non indica come inventariare dispositivi e sistemi fisici o piattaforme e applicazioni software e si limita a fornire un elenco di controllo delle attività da completare. Un'organizzazione può scegliere in autonomia come eseguire l'inventario. Se ha bisogno di ulteriori orientamenti, un'organizzazione può consultare i riferimenti informativi ai controlli correlati in altri standard complementari. Nel CSF, è possibile scegliere con ampia libertà gli strumenti che rispondono meglio alle esigenze di gestione dei rischi per la sicurezza informatica di un'organizzazione.
Per aiutare le organizzazioni del settore privato a misurare i loro progressi nell'implementazione del NIST Cybersecurity Framework, il quadro identifica quattro livelli di implementazione:
Il NIST Cybersecurity Framework fornisce una guida dettagliata su come istituire o migliorare un proprio programma di gestione dei rischi per la sicurezza delle informazioni:
I servizi di governance, rischi e conformità offerti da IBM ti aiutano a valutare la tua governance della sicurezza esistente rispetto ai tuoi requisiti e obiettivi di business.
A un livello basilare, la sicurezza di rete consiste nella protezione di dati, applicazioni, dispositivi e sistemi connessi alla rete.
La tecnologia e le best practice della sicurezza informatica proteggono i sistemi critici e le informazioni sensibili da un volume sempre crescente di minacce in continua evoluzione.