NIST針對聯邦機構發布網路安全框架草案

E安全5月23日訊美國國家標準與技術研究院（NIST）發布指南草案，就聯邦機構如何實施NIST《提升關鍵基礎設施網路安全的框架》提出指導。

奧巴馬政府於2014年發布了這份網路安全框架，描述了關鍵基礎設施操作人員評估和提升防禦能力、檢測並響應網路攻擊的流程。

特朗普上周簽署網路安全行政令之前，NIST開始制定新指南草案「機構間8170報告」，指導聯邦機使用該框架。

美國國家安全顧問湯姆·博塞特宣布這項網路安全行政令時表示，私有部門被要求執行該框架，但對聯邦機構沒有強制要求。他建議聯邦部門和機構應踐行，並採用同樣的NIST框架管理以降低風險。

本文系E安全官網獨家編譯報道

框架作用何在？

NIST這份草案指出，聯邦機構可以使用這份網路安全框架補充現有的NIST安全和隱私風險管理標準，以及為響應《聯邦信息安全管理法案》制定的指導方針和實踐。

華盛頓州健康保險交易所的首席信息官柯特·夸克表示，實施這份行政令是政府機構一貫處理網路安全的方式。他肯定了將某框架作為基準是一件好事，尤其涉及到與NIST一致的要求時。

然而並非所有專家都認為，框架是保護組織機構數字資產的有效過程。

FBI網路部前副助理總監兼白宮無黨派國家網路安全委員會委員史蒂文·查彬斯基指出，執行框架相當困難、並且成本昂貴。這並不是因為NIST框架不夠好，恰恰相反，面對如今不斷變化的威脅格局，美國政府缺乏指標衡量NIST框架是否或在某種程度上能實現成本效益。如果漏洞緩解耗資少，並且易於實施，當然他不會反對，然而事實卻並非如此。

八大用例

指南草案提供了八大政府用例，描述機構如何使用該框架：

• 將企業和網路安全風險管理進行整合；

• 管理網路安全要求；

• 整合并調整網路安全和採集流程；

• 評估組織機構的網路安全；

• 管理網路安全計劃；

• 全面了解網路安全風險；

• 報告網路安全風險；

• 通知適當的流程；

NIST正在徵求新草案意見，包括徵求機構使用該指南的方式的建議。

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！