Che cos'è il quadro di riferimento per la sicurezza informatica NIST?
L'Istituto nazionale per gli standard e la tecnologia (NIST) fa parte del Dipartimento del Commercio degli Stati Uniti e la sua missione è promuovere l'innovazione e la competitività industriale degli Stati Uniti tramite l'avanzamento della scienza, degli standard e della tecnologia delle misurazioni in modo da migliorare la sicurezza economica e la qualità della nostra vita.
Il quadro di riferimento per la sicurezza informatica NIST è progettato per aiutare le organizzazioni di tutte le dimensioni e di tutti i settori, tra cui industria, governo, mondo accademico e organizzazioni non profit, a gestire e ridurre i rischi relativi alla sicurezza informatica. È utile indipendentemente dal livello di maturità e dalla complessità tecnica dei programmi di sicurezza informatica di un'organizzazione. Tuttavia, il CSF non adotta un approccio unico per tutti. Ogni organizzazione presenta sia rischi comuni che specifici, nonché diverse propensioni e tolleranze al rischio, missioni specifiche e obiettivi per raggiungere tali missioni. Inevitabilmente, il modo in cui diverse organizzazioni implementano il CSF sarà diverso.
Che cos'è il quadro di riferimento per la sicurezza informatica del NIST versione 2.0?
Il quadro di riferimento per la sicurezza informatica (CSF) 2.0 del NIST è stato pubblicato il 26 febbraio 2024. Con un testo ispirato alle versioni precedenti, il CSF 2.0 del NIST contiene nuove funzionalità che evidenziano l'importanza della governance e delle catene di fornitura. Particolare attenzione è rivolta a garantire che il CSF sia pertinente e facilmente accessibile sia alle organizzazioni più piccole che alle loro controparti più grandi.
Il CSF 2.0 del NIST descrive i risultati di alto livello in materia di sicurezza informatica che possono essere utilizzati da qualsiasi organizzazione per comprendere, valutare, stabilire le priorità e comunicare meglio i propri sforzi in materia di sicurezza informatica. Il CSF non prescrive come raggiungere i risultati. Piuttosto, rimanda a risorse online che forniscono ulteriori indicazioni sulle pratiche e sui controlli che potrebbero essere utilizzati per raggiungere tali risultati.
Quali sono le funzioni principali del quadro di riferimento per la sicurezza informatica del NIST versione 2.0?
Le funzioni principali del quadro di riferimento per la sicurezza informatica 2.0 del NIST sono: governance, identificazione, protezione, rilevamento, risposta e ripristino. Queste sei funzioni forniscono un approccio strutturato alla gestione del rischio della sicurezza informatica nell'intero ciclo di vita di un'organizzazione.
Ecco uno sguardo più dettagliato a ciascuna funzione:
- GOVERNANCE (GV):
La strategia, le aspettative e i criteri di gestione del rischio della sicurezza informatica dell'organizzazione vengono stabiliti, comunicate e monitorate. La funzione GOVERNANCE fornisce risultati che informano quello che un'organizzazione può fare per raggiungere e dare priorità ai risultati delle altre cinque funzioni nel contesto della sua missione e delle aspettative delle parti interessate. Le attività di governance sono fondamentali per integrare la sicurezza informatica nella più ampia strategia di gestione dei rischi aziendali (ERM) di un'organizzazione. La GOVERNANCE affronta la comprensione del contesto organizzativo, l'istituzione di una strategia di sicurezza informatica e la gestione del rischio della catena di fornitura della sicurezza informatica, ruoli, responsabilità e autorità, criteri, e la supervisione della strategia di sicurezza informatica. - IDENTIFICAZIONE (ID):
Si chiariscono gli attuali rischi per la sicurezza informatica dell'organizzazione. Si cerca di comprendere le risorse (ad es. dati, hardware, software, sistemi, strutture, servizi, personale), i fornitori e i rischi correlati alla sicurezza informatica dell'organizzazione, il che consente di stabilire le priorità dei propri sforzi in linea con la propria strategia di gestione del rischio e con le esigenze della missione identificate durante la funzione GOVERNANCE. Questa funzione include anche l'identificazione di opportunità di miglioramento di politiche, piani, processi, procedure e pratiche dell'organizzazione che supportano la gestione del rischio della sicurezza informatica per informare gli sforzi in tutte e sei le funzioni. - PROTEZIONE (PR):
Si utilizzano misure di salvaguardia per gestire i rischi legati alla sicurezza informatica dell'organizzazione. Una volta identificati e prioritizzati risorse e rischi, la funzione PROTEZIONE supporta la capacità di proteggere tali risorse per prevenire o ridurre la probabilità e l'impatto di eventi avversi relativi alla sicurezza informatica, e per aumentare la probabilità e l'impatto dello sfruttamento delle opportunità. I risultati coperti da questa funzione includono gestione dell'identità, autenticazione e controllo degli accessi, consapevolezza e formazione, sicurezza dei dati, sicurezza della piattaforma (ovvero, protezione dell'hardware, del software e dei servizi delle piattaforme fisiche e virtuali), e resilienza dell'infrastruttura tecnologica. - RILEVAMENTO (RI):
Si individuano e analizzano possibili attacchi e compromissioni alla sicurezza informatica. La funzione RILEVAMENTO consente di individuare e analizzare tempestivamente anomalie, indicatori di compromissione e altri eventi potenzialmente avversi che potrebbero indicare che si stanno verificando attacchi e incidenti alla sicurezza informatica. Questa funzione supporta attività di risposta agli incidenti e di ripristino svolte con successo. - RISPOSTA (RS):
Si intraprendono azioni mirate a un incidente di sicurezza informatica rilevato. La funzione RISPOSTA supporta la capacità di arginare gli effetti degli incidenti di sicurezza informatica. I risultati di questa funzione riguardano gestione, analisi, mitigazione, segnalazione e comunicazione degli incidenti. - RIPRISTINO (RP):
Si ripristinano le risorse e le operazioni interessate da un incidente di sicurezza informatica. La funzione RIPRISTINO supporta il riavvio tempestivo delle normali operazioni per ridurre gli effetti degli incidenti di sicurezza informatica e consentire una comunicazione adeguata durante gli sforzi di ripristino.
Quali organizzazioni possono utilizzare il CSF 2.0 del NIST?
Il CSF 2.0 del NIST è stato sviluppato concentrandosi sui settori vitali per la sicurezza nazionale ed economica, che includono energia, banche, comunicazioni e difesa. Si è poi dimostrato sufficientemente flessibile da poter essere adottato volontariamente da aziende e organizzazioni grandi e piccole di tutti i settori industriali, nonché da governi federali, statali e locali.
Quali sono le sanzioni in caso di mancato rispetto del quadro di riferimento per la sicurezza informatica (CSF) 2.0 del NIST?
L'adesione al quadro di riferimento per la sicurezza informatica 2.0 del NIST è volontaria. Tuttavia, la prova che un'organizzazione segue le prassi delineate nel quadro di riferimento NIST può fornire un livello di difesa contro le sanzioni previste da normative come il GDPR, dimostrando gli sforzi compiuti in buona fede da un'organizzazione in materia di sicurezza informatica.
Come Thales contribuisce alla conformità al CSF 2.0 del NIST?
Thales contribuisce alla conformità da parte delle organizzazioni al CSF 2.0 del NIST affrontando i requisiti essenziali di sicurezza informatica e automatizzando la sicurezza, riducendo il carico di lavoro dei team che si occupano di sicurezza e conformità. Scopri di più qui.
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.