NIST đặt mục tiêu liên tục nâng cao mô hình CSF dựa trên phản hồi của cộng đồng các chuyên gia bảo mật, khuyến khích người dùng và các tổ chức chia sẻ kinh nghiệm của họ để nâng cao hiểu biết chung và quản lý rủi ro an ninh mạng. Sự thay đổi trong phiên bản này không chỉ là kết quả của sự đóng góp và phản hồi từ các chuyên gia và người dùng cuối, mà còn là biểu hiện của sự tương tác chặt chẽ với các bên liên quan. Sự kết nối mạnh mẽ với cộng đồng bảo mật đã giúp CSF 2.0 trở nên linh hoạt hơn, hiệu quả hơn và phản ánh đúng nhu cầu cải thiện tình hình an ninh mạng của các tổ chức trước các mối đe dọa ngày càng phức tạp.
Hình 1. Khung An ninh mạng phiên bản 2.0 của NIST
Hình 2. So sánh mô hình CSF phiên bản 1.1 (bên trái) và phiên bản 2.0 (bên phải)
Phiên bản 2.0 của CFS (Hình 1) đã có những thay đổi đáng kể, bao gồm việc đổi tên, cấu trúc lại và điều chỉnh các danh mục, được thiết kế cho mọi đối tượng, các ngành công nghiệp và loại hình tổ chức, từ các công ty nhỏ và các tổ chức phi lợi nhuận đến các cơ quan chính phủ và tập đoàn lớn - bất kể quy mô, nguồn lực hoặc mức độ phức tạp của từng tổ chức. So với phiên bản đầu tiên được công bố vào năm 2014, NIST đã bổ sung danh mục Quản trị (Govern) trở thành một chức năng chính, song song với 5 chức năng cơ bản khác (Hình 2): Xác định (Identify), Bảo vệ (Protect), Phát hiện (Detect), Phản hồi (Response) và Phục hồi (Recover). Sự kết hợp này tạo ra một góc nhìn tổng quát về quản lý rủi ro an ninh mạng. Đồng thời, NIST đã tổ chức lại và đổi tên mười danh mục và danh mục con từ phiên bản trước để chính xác hóa các chức năng tương ứng (Bảng 1). Điều này giúp các tổ chức hiểu rõ hơn về các biện pháp cần thiết khi áp dụng mô hình CSF vào thực tế.
- Quản trị (Govern): Thiết lập chiến lược và hướng dẫn quản lý rủi ro an ninh mạng, đảm bảo phù hợp với mục tiêu kinh doanh và tuân thủ pháp lý. Chức năng này tập trung vào việc thiết lập và giám sát chiến lược, kỳ vọng và chính sách quản lý rủi ro an ninh mạng của doanh nghiệp.
- Nhận dạng (Identify): Nâng cao hiểu biết của tổ chức về quản lý rủi ro an ninh mạng đối với hệ thống, tài sản, dữ liệu và khả năng phục hồi.
- Bảo vệ (Protect): Triển khai biện pháp bảo vệ phù hợp để đảm bảo cung cấp dịch vụ thiết yếu một cách an toàn.
- Phát hiện (Detect): Xác định và nhận biết các sự cố an ninh mạng.
- Phản hồi (Response): Lập kế hoạch và triển khai các hành động phản ứng khi xảy ra sự cố an ninh mạng.
- Khôi phục (Recover): Tập trung vào việc khôi phục các khả năng hoặc dịch vụ bị ảnh hưởng khi xảy ra sự cố an ninh mạng.
Bảng 1. Các chức năng chính của CFS 2.0
Phạm vi mở rộng của khung bảo mật
Trọng tâm của phiên bản cập nhật này chính là phạm vi mở rộng của khung bảo mật, không chỉ tập trung vào các cơ sở hạ tầng quan trọng mà còn được thiết kế để áp dụng cho các tổ chức khác nhau, từ các doanh nghiệp nhỏ, trường học, tổ chức phi lợi nhuận, các cơ quan chính phủ đến tập đoàn lớn. Phiên bản này cũng bao gồm việc kết hợp và mở rộng tốt hơn các quy trình quản lý rủi ro chuỗi cung ứng và giới thiệu một trọng tâm mới về quản trị, nêu bật an ninh mạng là một lĩnh vực quan trọng của doanh nghiệp với nhiều yếu tố phụ thuộc, đặc biệt quan trọng trong bối cảnh sự xuất hiện ngày càng phổ biến của trí tuệ nhân tạo.
NIST bổ sung thêm một số tài nguyên
CSF không chỉ là một tài liệu mà còn là tập hợp các tài nguyên mà các tổ chức có thể sử dụng để áp dụng phù hợp cho từng môi trường với các yêu cầu cụ thể. Để giúp việc triển khai CSF 2.0 trở nên dễ dàng hơn, NIST đã phát triển các hướng dẫn cho đa dạng các đối tượng, kèm theo các trường hợp nghiên cứu thực hiện thành công và một bộ sưu tập tài liệu tham khảo cho các lĩnh vực và ngành nghề cụ thể, chẳng hạn doanh nghiệp nhỏ và cho các chức năng cụ thể như quản lý rủi ro chuỗi cung ứng an ninh mạng (C-SCRM).
CSF 2.0 phù hợp với Chiến lược an ninh mạng quốc gia
CSF 2.0 phù hợp với Chiến lược an ninh mạng quốc gia và bao gồm một loạt công cụ để đáp ứng nhu cầu an ninh mạng ngày càng tăng, nhấn mạnh vào việc áp dụng một cách tiếp cận hoàn chỉnh trong quản lý rủi ro an ninh mạng. Các tổ chức mới áp dụng CSF 2.0 có thể dựa trên các ví dụ triển khai, hướng dẫn Quick-Start Guide phù hợp với những tổ chức cụ thể để dễ dàng tích hợp vào các hoạt động an ninh mạng. Công cụ Reference Tool CSF 2.0 đơn giản hóa việc triển khai, cho phép người dùng truy cập, tìm kiếm và xuất dữ liệu hướng dẫn ở định dạng dễ hiểu. Một bảng tra cứu tham khảo cho phép các tổ chức tham chiếu hành động của họ với CSF, liên kết với hơn 50 tài liệu an ninh mạng khác tạo điều kiện hỗ trợ quản lý rủi ro toàn diện. Công cụ Cybersecurity and Privacy Reference Tool (CPRT) giúp trực quan hóa các tài nguyên của NIST với các tài liệu tham khảo phổ biến khác, tạo điều kiện thuận lợi cho việc kết nối tất cả các cấp độ trong tổ chức.
Phiên bản CSF 2.0 của NIST không chỉ cải tiến về công cụ mà còn phản ánh sự đổi mới trong cách tiếp cận và quản lý rủi ro. NIST cam kết tiếp tục hoàn thiện CSF dựa trên phản hồi từ cộng đồng, khuyến khích người dùng chia sẻ kinh nghiệm của họ để nâng cao hiểu biết và quản lý tổng thể về rủi ro an ninh mạng. NIST hy vọng rằng CSF 2.0 sẽ được dịch sang nhiều ngôn ngữ hơn để mở rộng phạm vi tiếp cận toàn cầu. Hơn nữa, việc hợp tác giữa NIST và ISO/IEC sẽ hình thành các khung an ninh mạng một cách toàn cầu, cho phép các tổ chức kết hợp chức năng của CSF với các tài nguyên của ISO/IEC để quản lý an ninh mạng một cách thống nhất.
ThS. Trần Nhật Long - Trung tâm Công nghệ thông tin và Giám sát An ninh mạng
15:00 | 31/08/2023
15:00 | 03/09/2023
15:00 | 28/06/2023
07:00 | 29/06/2024
Trong thời kỳ đổi mới hội nhập của đất nước, với sự phát triển của khoa học - công nghệ, nhất là công nghệ thông tin và truyền thông, cuộc Cách mạng công nghiệp lần thứ tư, việc xây dựng, phát triển Chính phủ điện tử và Chuyển đổi số là vô cùng thiết yếu. Các sản phẩm dịch vụ mật mã dân sự không chỉ được sử dụng để bảo vệ thông tin thuộc bí mật nhà nước mà còn được dùng rộng rãi để bảo vệ thông tin trong Chính phủ điện tử và giao dịch điện tử.
17:00 | 22/12/2023
Bài viết giới thiệu tóm tắt nội dung tiêu chuẩn TCVN 11367-2:2016 đặc tả một số mật mã phi đối xứng, quy định các giao diện chức năng và các phương pháp đúng đắn sử dụng các mật mã phi đối xứng, cũng như chính xác hóa chức năng và định dạng bản mã cho một số mật mã phi đối xứng.
07:00 | 03/11/2023
Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh các kết quả của quá trình đánh giá, đó là người làm công tác đánh giá phải đảm bảo điều kiện kĩ thuật luôn đáp ứng khách quan và chủ quan. Do đó, năng lực của người đánh giá là rất quan trọng khi khả năng so sánh và tính lặp lại của các kết quả đánh giá là nền tảng để công nhận lẫn nhau. Bài viết sau giới thiệu tiêu chuẩn ISO/IEC 19896-3:2018 yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với đánh giá viên.
11:00 | 27/01/2023
Tháng 7/2020, Rainbow - một trong 3 thuật toán chữ ký số là ứng cử viên vào vòng 3 của quá trình tuyển chọn thuật toán hậu lượng tử của NIST. Tuy nhiên, vào tháng 2/2022, Ward Beullens đã phá được thuật toán này chỉ trong thời gian một dịp nghỉ cuối tuần trên một máy tinh xách tay. Vì thế, tháng 7/2022, trong danh sách các thuật toán chữ ký số hậu lượng tử sẽ được chuẩn hóa mà NIST công bố đã không có tên Rainbow.