Il Cybersecurity Framework del NIST (National Institute of Standards and Technology) USA è pensato per supportare le agenzie governative e le organizzazioni private a gestire i rischi legati alla sicurezza informatica.
La versione 1.1 è un aggiornamento del Framework originale del NIST (del febbraio 2014), a conferma del fatto che il documento è in continuo aggiornamento sulla base delle trasformazioni che caratterizzano il mondo dei rischi cyber. Le nuove parti non invalidano la prima versione del Framework. “Non volevamo modificare sostanzialmente il framework in modo che i due documenti possano funzionare insieme”, ha commentato Matt Barrett, direttore del programma quadro per la sicurezza informatica del NIST presentando il nuovo documento.
Tra i cambiamenti più significativi, quelli rivolti alla gestione del rischio della Supply Chain: se ne parla sia nella sezione 3.3 (Section 3.3 – Communicating Cybersecurity Requirements with Stakeholders) sia in una nuova sezione dedicata (Section 3.4 – Buying Decisions), che include un processo di assessment per prodotti e servizi ICT.
Anche la categoria relativa al controllo degli accessi è stata modificata (per tenere maggiormente in conto gli aspetti di autenticazione, autorizzazione e verifica dell’identità). Un’altra sottocategoria che è stata aggiunta è stata quella relativa ai processi di Coordinated vulnerability disclosure.
Accedi qui alla versione 1.1 del Cybersecurity Framework del NIST USA.
