NIST Cybersecurity Framework 2.0: киберрамка становится шире и ближе к бизнесу

В феврале 2024 года NIST выпустил вторую версию Cybersecurity Framework - документа, который с 2014 года является одним из главных ориентиров для построения программ кибербезопасности. Первая версия создавалась под влиянием президентского указа для защиты критической инфраструктуры США. Вторая версия адресована значительно шире.

Я хочу объяснить, что реально изменилось и почему это касается не только CISO, но и тех, кто принимает решения о рисках на уровне совета директоров или правления.

Что было в первой версии

CSF 1.0 и 1.1 строились вокруг пяти функций: Identify, Protect, Detect, Respond, Recover. Это интуитивно понятная рамка: знай, что у тебя есть, защити это, замечай проблемы, реагируй и восстанавливайся. Она была ориентирована на команды безопасности и технических специалистов.

Проблема была в том, что рамка плохо подходила для разговора на уровне руководства. Как связать "Protect" с бюджетными решениями? Как объяснить совету директоров, где компания находится на шкале рисков?

Что добавилось в версии 2.0

Главное изменение - шестая функция: Govern. Она стоит в центре обновлённой модели и охватывает то, что раньше подразумевалось, но не было явным: стратегию кибербезопасности, политики, роли и ответственность, интеграцию с корпоративным управлением рисками, коммуникацию с заинтересованными сторонами.

Это важный сдвиг. Функция Govern прямо говорит, что кибербезопасность - это не только технический вопрос. Это вопрос того, как организация принимает решения о рисках, кто за это отвечает и как эти решения соотносятся с бизнес-целями.

Второе изменение - явное расширение аудитории. NIST 2.0 адресован не только критической инфраструктуре, а любой организации любого размера. Документ стал значительно практичнее с точки зрения внедрения.

Третье - более явная интеграция с управлением цепочкой поставок. Риски от третьих сторон и поставщиков программного обеспечения теперь встроены в рамку более явно - что актуально с учётом нескольких громких инцидентов последних лет.

Почему это важно для руководителей, не только для безопасников

До сих пор в большинстве компаний кибербезопасность живёт как отдельная дисциплина, которую практически полностью делегируют ИТ-отделу или внешним подрядчикам. Руководство спрашивает "всё под контролем?" и получает ответ "да".

NIST CSF 2.0 задаёт другой стандарт. Функция Govern ставит вопросы, которые должны решаться на уровне правления: какой уровень киберриска приемлем для компании? Как решения о безопасности связаны с бизнес-стратегией? Как мы узнаем, что произошёл значимый инцидент, и как мы отреагируем?

Это не означает, что директор должен разбираться в технических деталях. Это означает, что вопросы управления рисками должны быть частью обычных управленческих процессов.

Практические следствия

Несколько вопросов, которые стоит задать своей организации после выхода NIST CSF 2.0:

1. Есть ли у нас явно сформулированная политика кибербезопасности, которую понимают не только безопасники, но и руководство?
2. Кто в компании отвечает за риски кибербезопасности - с конкретным именем и полномочиями?
3. Как мы оцениваем киберриски от наших ключевых поставщиков и подрядчиков?
4. Когда в последний раз совет директоров или правление рассматривало состояние кибербезопасности - не как отчёт по инцидентам, а как управленческий вопрос?
5. Знают ли первые лица компании, что они должны делать в первые часы значимого киберинцидента?

Обновление NIST - не повод немедленно переделывать программу безопасности. Это хороший повод использовать его как рамку для разговора о том, как кибербезопасность вписана в управление компанией.