NIST đặt mục tiêu liên tục nâng cao mô hình CSF dựa trên phản hồi của cộng đồng các chuyên gia bảo mật, khuyến khích người dùng và các tổ chức chia sẻ kinh nghiệm của họ để nâng cao hiểu biết chung và quản lý rủi ro an ninh mạng. Sự thay đổi trong phiên bản này không chỉ là kết quả của sự đóng góp và phản hồi từ các chuyên gia và người dùng cuối, mà còn là biểu hiện của sự tương tác chặt chẽ với các bên liên quan. Sự kết nối mạnh mẽ với cộng đồng bảo mật đã giúp CSF 2.0 trở nên linh hoạt hơn, hiệu quả hơn và phản ánh đúng nhu cầu cải thiện tình hình an ninh mạng của các tổ chức trước các mối đe dọa ngày càng phức tạp.
Hình 1. Khung An ninh mạng phiên bản 2.0 của NIST
Hình 2. So sánh mô hình CSF phiên bản 1.1 (bên trái) và phiên bản 2.0 (bên phải)
Phiên bản 2.0 của CFS (Hình 1) đã có những thay đổi đáng kể, bao gồm việc đổi tên, cấu trúc lại và điều chỉnh các danh mục, được thiết kế cho mọi đối tượng, các ngành công nghiệp và loại hình tổ chức, từ các công ty nhỏ và các tổ chức phi lợi nhuận đến các cơ quan chính phủ và tập đoàn lớn - bất kể quy mô, nguồn lực hoặc mức độ phức tạp của từng tổ chức. So với phiên bản đầu tiên được công bố vào năm 2014, NIST đã bổ sung danh mục Quản trị (Govern) trở thành một chức năng chính, song song với 5 chức năng cơ bản khác (Hình 2): Xác định (Identify), Bảo vệ (Protect), Phát hiện (Detect), Phản hồi (Response) và Phục hồi (Recover). Sự kết hợp này tạo ra một góc nhìn tổng quát về quản lý rủi ro an ninh mạng. Đồng thời, NIST đã tổ chức lại và đổi tên mười danh mục và danh mục con từ phiên bản trước để chính xác hóa các chức năng tương ứng (Bảng 1). Điều này giúp các tổ chức hiểu rõ hơn về các biện pháp cần thiết khi áp dụng mô hình CSF vào thực tế.
- Quản trị (Govern): Thiết lập chiến lược và hướng dẫn quản lý rủi ro an ninh mạng, đảm bảo phù hợp với mục tiêu kinh doanh và tuân thủ pháp lý. Chức năng này tập trung vào việc thiết lập và giám sát chiến lược, kỳ vọng và chính sách quản lý rủi ro an ninh mạng của doanh nghiệp.
- Nhận dạng (Identify): Nâng cao hiểu biết của tổ chức về quản lý rủi ro an ninh mạng đối với hệ thống, tài sản, dữ liệu và khả năng phục hồi.
- Bảo vệ (Protect): Triển khai biện pháp bảo vệ phù hợp để đảm bảo cung cấp dịch vụ thiết yếu một cách an toàn.
- Phát hiện (Detect): Xác định và nhận biết các sự cố an ninh mạng.
- Phản hồi (Response): Lập kế hoạch và triển khai các hành động phản ứng khi xảy ra sự cố an ninh mạng.
- Khôi phục (Recover): Tập trung vào việc khôi phục các khả năng hoặc dịch vụ bị ảnh hưởng khi xảy ra sự cố an ninh mạng.
Bảng 1. Các chức năng chính của CFS 2.0
Phạm vi mở rộng của khung bảo mật
Trọng tâm của phiên bản cập nhật này chính là phạm vi mở rộng của khung bảo mật, không chỉ tập trung vào các cơ sở hạ tầng quan trọng mà còn được thiết kế để áp dụng cho các tổ chức khác nhau, từ các doanh nghiệp nhỏ, trường học, tổ chức phi lợi nhuận, các cơ quan chính phủ đến tập đoàn lớn. Phiên bản này cũng bao gồm việc kết hợp và mở rộng tốt hơn các quy trình quản lý rủi ro chuỗi cung ứng và giới thiệu một trọng tâm mới về quản trị, nêu bật an ninh mạng là một lĩnh vực quan trọng của doanh nghiệp với nhiều yếu tố phụ thuộc, đặc biệt quan trọng trong bối cảnh sự xuất hiện ngày càng phổ biến của trí tuệ nhân tạo.
NIST bổ sung thêm một số tài nguyên
CSF không chỉ là một tài liệu mà còn là tập hợp các tài nguyên mà các tổ chức có thể sử dụng để áp dụng phù hợp cho từng môi trường với các yêu cầu cụ thể. Để giúp việc triển khai CSF 2.0 trở nên dễ dàng hơn, NIST đã phát triển các hướng dẫn cho đa dạng các đối tượng, kèm theo các trường hợp nghiên cứu thực hiện thành công và một bộ sưu tập tài liệu tham khảo cho các lĩnh vực và ngành nghề cụ thể, chẳng hạn doanh nghiệp nhỏ và cho các chức năng cụ thể như quản lý rủi ro chuỗi cung ứng an ninh mạng (C-SCRM).
CSF 2.0 phù hợp với Chiến lược an ninh mạng quốc gia
CSF 2.0 phù hợp với Chiến lược an ninh mạng quốc gia và bao gồm một loạt công cụ để đáp ứng nhu cầu an ninh mạng ngày càng tăng, nhấn mạnh vào việc áp dụng một cách tiếp cận hoàn chỉnh trong quản lý rủi ro an ninh mạng. Các tổ chức mới áp dụng CSF 2.0 có thể dựa trên các ví dụ triển khai, hướng dẫn Quick-Start Guide phù hợp với những tổ chức cụ thể để dễ dàng tích hợp vào các hoạt động an ninh mạng. Công cụ Reference Tool CSF 2.0 đơn giản hóa việc triển khai, cho phép người dùng truy cập, tìm kiếm và xuất dữ liệu hướng dẫn ở định dạng dễ hiểu. Một bảng tra cứu tham khảo cho phép các tổ chức tham chiếu hành động của họ với CSF, liên kết với hơn 50 tài liệu an ninh mạng khác tạo điều kiện hỗ trợ quản lý rủi ro toàn diện. Công cụ Cybersecurity and Privacy Reference Tool (CPRT) giúp trực quan hóa các tài nguyên của NIST với các tài liệu tham khảo phổ biến khác, tạo điều kiện thuận lợi cho việc kết nối tất cả các cấp độ trong tổ chức.
Phiên bản CSF 2.0 của NIST không chỉ cải tiến về công cụ mà còn phản ánh sự đổi mới trong cách tiếp cận và quản lý rủi ro. NIST cam kết tiếp tục hoàn thiện CSF dựa trên phản hồi từ cộng đồng, khuyến khích người dùng chia sẻ kinh nghiệm của họ để nâng cao hiểu biết và quản lý tổng thể về rủi ro an ninh mạng. NIST hy vọng rằng CSF 2.0 sẽ được dịch sang nhiều ngôn ngữ hơn để mở rộng phạm vi tiếp cận toàn cầu. Hơn nữa, việc hợp tác giữa NIST và ISO/IEC sẽ hình thành các khung an ninh mạng một cách toàn cầu, cho phép các tổ chức kết hợp chức năng của CSF với các tài nguyên của ISO/IEC để quản lý an ninh mạng một cách thống nhất.
ThS. Trần Nhật Long - Trung tâm Công nghệ thông tin và Giám sát An ninh mạng
15:00 | 31/08/2023
15:00 | 03/09/2023
15:00 | 28/06/2023
14:00 | 10/03/2025
Group Policy là chính sách nhóm tập hợp các thiết lập cấu hình cho máy tính và người dùng, tính năng này có thể được sử dụng để áp dụng cập nhật bản vá cho một hoặc nhiều máy trạm tự động, giám sát và kiểm soát các hành vi, thao tác người dùng trên hệ thống. Group Policy thường được áp dụng cho các đối tượng như Site, domain hay OU và triển khai trong môi trường Active Directory. Tuy nhiên, từ các phiên bản Windows gần đây, Microsoft đã phát triển Local Group Policy để áp dụng cho chính máy tính đó khi không tham gia vào domain. Bài viết này sẽ hướng dẫn tới quý độc giả một số tinh chỉnh thiết lập chính sách Local Group Policy nhằm tăng cường khả năng bảo mật trên Windows Client và Windows Server.
15:00 | 20/09/2023
Xác thực các đối tác truyền thông là một trong những dịch vụ mật mã quan trọng nhất. Truyền thông được xác thực ẩn danh liên quan đến việc ẩn định danh của một thực thể được xác thực với đối tác truyền thông của nó và/hoặc với bên thứ ba, trong khi vẫn có tài sản mà người xác minh có thể sử dụng để xác định một cách đáng tin cậy đối tác truyền thông của họ. Các cơ chế xác thực thực thể ẩn danh được thiết kế để hỗ trợ các truyền thông ẩn danh đó. Các cơ chế này được định nghĩa là sự trao đổi thông tin giữa các thực thể và khi cần là sự trao đổi với bên thứ ba đáng tin cậy. Nội dung bài báo sẽ giới thiệu tổng quan về kỹ thuật xác thực thực thể ẩn danh và các nội dung chính của Tiêu chuẩn TCVN 13178-1:2020 Công nghệ thông tin – Các kỹ thuật an toàn – Xác thực thực thể ẩn danh.
14:00 | 24/08/2023
Các chuyên gia nghiên cứu bảo mật thuộc Đại học Cornell (Vương quốc Anh) đã phát triển một hình thức lấy cắp mật khẩu đăng nhập tài khoản của người dùng theo cách ít ai ngờ đến.
09:00 | 19/07/2023
Ngày 09/6, Chính phủ ban hành Nghị định 32/2023/NĐ-CP sửa đổi bổ sung Nghị định số 53/2018/NĐ-CP ngày 16/4/2018 của Chính phủ sửa đổi, bổ sung Nghị định số 58/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự.
