NIST针对联邦机构发布网络安全框架草案

  1. 云栖社区>
  2. 博客>
  3. 正文

NIST针对联邦机构发布网络安全框架草案

知与谁同 2017-07-03 11:14:00 浏览744
展开阅读全文

5月23日讯美国国家标准与技术研究院(NIST)发布指南草案,就联邦机构如何实施NIST《提升关键基础设施网络安全的框架》提出指导。

奥巴马政府于2014年发布了这份网络安全框架,描述了关键基础设施操作人员评估和提升防御能力、检测并响应网络攻击的流程。

特朗普上周签署网络安全行政令之前,NIST开始制定新指南草案“机构间8170报告”,指导联邦机使用该框架。

美国国家安全顾问汤姆·博塞特宣布这项网络安全行政令时表示,私有部门被要求执行该框架,但对联邦机构没有强制要求。他建议联邦部门和机构应践行,并采用同样的NIST框架管理以降低风险。

框架作用何在?
NIST这份草案指出,联邦机构可以使用这份网络安全框架补充现有的NIST安全和隐私风险管理标准,以及为响应《联邦信息安全管理法案》制定的指导方针和实践。

华盛顿州健康保险交易所的首席信息官柯特·夸克表示,实施这份行政令是政府机构一贯处理网络安全的方式。他肯定了将某框架作为基准是一件好事,尤其涉及到与NIST一致的要求时。

然而并非所有专家都认为,框架是保护组织机构数字资产的有效过程。

FBI网络部前副助理总监兼白宫无党派国家网络安全委员会委员史蒂文·查彬斯基指出,执行框架相当困难、并且成本昂贵。这并不是因为NIST框架不够好,恰恰相反,面对如今不断变化的威胁格局,美国政府缺乏指标衡量NIST框架是否或在某种程度上能实现成本效益。如果漏洞缓解耗资少,并且易于实施,当然他不会反对,然而事实却并非如此。

八大用例
指南草案提供了八大政府用例,描述机构如何使用该框架:

将企业和网络安全风险管理进行整合;

管理网络安全要求;

整合并调整网络安全和采集流程;

评估组织机构的网络安全;

管理网络安全计划;

全面了解网络安全风险;

报告网络安全风险;

通知适当的流程;

NIST正在征求新草案意见,包括征求机构使用该指南的方式的建议。

本文转自d1net(转载)

网友评论

登录后评论
0/500
评论
知与谁同
+ 关注