„Keretrendszerrel növelné az amerikai cégek kibervédelmét az Egyesült Államok kormánya. A keretrendszer hónapokon belül elkészülhet.
Az Egyesült Államok kormánya februárban felkérte a National Institute of Standards and Technologyt (NIST) egy ajánlásrendszer kidolgozására arról, hogy az amerikai szervezetek milyen lépésekkel erősíthetik meg informatikai infrastruktúrájuk védelmét. Az intézet munkatársai az első eredményeket – nagyjából a keretrendszer vázlatát – egy San Diego-i konferencián ismertették júliusban, de mostanra el is készült az első tervezet, amelyet vitára bocsátottak. A tervezet teljes szövege megtalálható az intézet oldalán.
Átfogóbb védelemre van szükség
Az új keretrendszer a szervezeteknek ahhoz ad támpontokat, hogy képesek legyenek átfogóan kezelni a kiberbiztonsági kockázatokat. A NIST ezt azokhoz a rendszerekhez hasonlította, mellyel a cégek a pénzügyi és a működési kockázataikat kezelik. A keretrendszer három nagy részre fog tagolódni: 1. rögzíti az alapvető feladatokat, 2. körvonalazza a megvalósítási lehetőségeket és 3. ajánlásokat fogalmaz meg a kiberbiztonsági stratégiák integrálási kérdésekről.A NIST persze nem akarta feltalálni a spanyolviszat, már csak azért sem, mert részben hozott anyagból is dolgozott: a már meglévő szabványokra támaszkodott. Így végül öt pontban határozza meg a védelmi feladatok gerincét: azonosítás, védelem, felismerés, reagálás és helyreállítás. Ehhez kapcsolódva jönnek a fontos tevékenységek: eszközmenedzsment, hozzáférés-szabályozás, fenyegetettségelemzés stb., valamint ezek további részletezésére különböző alkategóriák.
Nem csodafegyver
A szerzők hangsúlyozták is, hogy a keretrendszer nem helyettesíti vagy cseréli le a szervezetek által jelenleg is alkalmazott üzleti vagy kiberbiztonsági kockázatmenedzsment folyamatokat, hanem sokkal inkább kiegészíti azokat. Az új ajánlások révén a vállalatok, intézmények a jelenlegi folyamataik mentén azonosíthatják a kockázatokat, és ilyen módon erősíthetik meg a kockázatmenedzsmentet.Az NIST a tervek szerint a mostani verzióra érkező véleményeket is felhasználva októberre dolgozza ki a keretrendszer második, már jóval átfogóbb tervezetét. A végleges változat várhatóna jövő év februárjára készül el.”
Forrás:
Kiberbiztonsági keretrendszert fejleszt az USA; Kristóf Csaba; Bitport.hu; 2013. szeptember 5.
