đặt mục tiêu liên tục nâng cao mô hình CSF dựa trên phản hồi của cộng đồng các chuyên gia bảo mật, khuyến khích người dùng và các tổ chức chia sẻ kinh nghiệm của họ để nâng cao hiểu biết chung và quản lý rủi ro an ninh mạng. Sự thay đổi trong phiên bản này không chỉ là kết quả của sự đóng góp và phản hồi từ các chuyên gia và người dùng cuối, mà còn là biểu hiện của sự tương tác chặt chẽ với các bên liên quan. Sự kết nối mạnh mẽ với cộng đồng bảo mật đã giúp CSF 2.0 trở nên linh hoạt hơn, hiệu quả hơn và phản ánh đúng nhu cầu cải thiện tình hình an ninh mạng của các tổ chức trước các mối đe dọa ngày càng phức tạp.
Hình 1. Khung An ninh mạng phiên bản 2.0 của NIST
Hình 2. So sánh mô hình CSF phiên bản 1.1 (bên trái) và phiên bản 2.0 (bên phải)
Phiên bản 2.0 của CFS (Hình 1) đã có những thay đổi đáng kể, bao gồm việc đổi tên, cấu trúc lại và điều chỉnh các danh mục, được thiết kế cho mọi đối tượng, các ngành công nghiệp và loại hình tổ chức, từ các công ty nhỏ và các tổ chức phi lợi nhuận đến các cơ quan chính phủ và tập đoàn lớn - bất kể quy mô, nguồn lực hoặc mức độ phức tạp của từng tổ chức. So với phiên bản đầu tiên được công bố vào năm 2014, NIST đã bổ sung danh mục Quản trị (Govern) trở thành một chức năng chính, song song với 5 chức năng cơ bản khác (Hình 2): Xác định (Identify), Bảo vệ (Protect), Phát hiện (Detect), Phản hồi (Response) và Phục hồi (Recover). Sự kết hợp này tạo ra một góc nhìn tổng quát về quản lý rủi ro . Đồng thời, NIST đã tổ chức lại và đổi tên mười danh mục và danh mục con từ phiên bản trước để chính xác hóa các chức năng tương ứng (Bảng 1). Điều này giúp các tổ chức hiểu rõ hơn về các biện pháp cần thiết khi áp dụng mô hình CSF vào thực tế.
- Quản trị (Govern): Thiết lập chiến lược và hướng dẫn quản lý rủi ro an ninh mạng, đảm bảo phù hợp với mục tiêu kinh doanh và tuân thủ pháp lý. Chức năng này tập trung vào việc thiết lập và giám sát chiến lược, kỳ vọng và chính sách quản lý rủi ro an ninh mạng của doanh nghiệp.
- Nhận dạng (Identify): Nâng cao hiểu biết của tổ chức về quản lý rủi ro an ninh mạng đối với hệ thống, tài sản, dữ liệu và khả năng phục hồi.
- Bảo vệ (Protect): Triển khai biện pháp bảo vệ phù hợp để đảm bảo cung cấp dịch vụ thiết yếu một cách an toàn.
- Phát hiện (Detect): Xác định và nhận biết các sự cố an ninh mạng.
- Phản hồi (Response): Lập kế hoạch và triển khai các hành động phản ứng khi xảy ra sự cố an ninh mạng.
- Khôi phục (Recover): Tập trung vào việc khôi phục các khả năng hoặc dịch vụ bị ảnh hưởng khi xảy ra sự cố an ninh mạng.
Bảng 1. Các chức năng chính của CFS 2.0
Phạm vi mở rộng của khung bảo mật
Trọng tâm của phiên bản cập nhật này chính là phạm vi mở rộng của khung bảo mật, không chỉ tập trung vào các cơ sở hạ tầng quan trọng mà còn được thiết kế để áp dụng cho các tổ chức khác nhau, từ các doanh nghiệp nhỏ, trường học, tổ chức phi lợi nhuận, các cơ quan chính phủ đến tập đoàn lớn. Phiên bản này cũng bao gồm việc kết hợp và mở rộng tốt hơn các quy trình quản lý rủi ro chuỗi cung ứng và giới thiệu một trọng tâm mới về quản trị, nêu bật an ninh mạng là một lĩnh vực quan trọng của doanh nghiệp với nhiều yếu tố phụ thuộc, đặc biệt quan trọng trong bối cảnh sự xuất hiện ngày càng phổ biến của .
NIST bổ sung thêm một số tài nguyên
CSF không chỉ là một tài liệu mà còn là tập hợp các tài nguyên mà các tổ chức có thể sử dụng để áp dụng phù hợp cho từng môi trường với các yêu cầu cụ thể. Để giúp việc triển khai CSF 2.0 trở nên dễ dàng hơn, NIST đã phát triển các hướng dẫn cho đa dạng các đối tượng, kèm theo các trường hợp nghiên cứu thực hiện thành công và một bộ sưu tập tài liệu tham khảo cho các lĩnh vực và ngành nghề cụ thể, chẳng hạn doanh nghiệp nhỏ và cho các chức năng cụ thể như quản lý rủi ro chuỗi cung ứng an ninh mạng (C-SCRM).
CSF 2.0 phù hợp với Chiến lược an ninh mạng quốc gia
CSF 2.0 phù hợp với Chiến lược an ninh mạng quốc gia và bao gồm một loạt công cụ để đáp ứng nhu cầu an ninh mạng ngày càng tăng, nhấn mạnh vào việc áp dụng một cách tiếp cận hoàn chỉnh trong quản lý rủi ro an ninh mạng. Các tổ chức mới áp dụng CSF 2.0 có thể dựa trên các ví dụ triển khai, hướng dẫn Quick-Start Guide phù hợp với những tổ chức cụ thể để dễ dàng tích hợp vào các hoạt động an ninh mạng. Công cụ Reference Tool CSF 2.0 đơn giản hóa việc triển khai, cho phép người dùng truy cập, tìm kiếm và xuất dữ liệu hướng dẫn ở định dạng dễ hiểu. Một bảng tra cứu tham khảo cho phép các tổ chức tham chiếu hành động của họ với CSF, liên kết với hơn 50 tài liệu an ninh mạng khác tạo điều kiện hỗ trợ quản lý rủi ro toàn diện. Công cụ Cybersecurity and Privacy Reference Tool (CPRT) giúp trực quan hóa các tài nguyên của NIST với các tài liệu tham khảo phổ biến khác, tạo điều kiện thuận lợi cho việc kết nối tất cả các cấp độ trong tổ chức.
Phiên bản CSF 2.0 của NIST không chỉ cải tiến về công cụ mà còn phản ánh sự đổi mới trong cách tiếp cận và quản lý rủi ro. NIST cam kết tiếp tục hoàn thiện CSF dựa trên phản hồi từ cộng đồng, khuyến khích người dùng chia sẻ kinh nghiệm của họ để nâng cao hiểu biết và quản lý tổng thể về rủi ro an ninh mạng. NIST hy vọng rằng CSF 2.0 sẽ được dịch sang nhiều ngôn ngữ hơn để mở rộng phạm vi tiếp cận toàn cầu. Hơn nữa, việc hợp tác giữa NIST và ISO/IEC sẽ hình thành các khung an ninh mạng một cách toàn cầu, cho phép các tổ chức kết hợp chức năng của CSF với các tài nguyên của ISO/IEC để quản lý an ninh mạng một cách thống nhất.
ThS. Trần Nhật Long - Trung tâm Công nghệ thông tin và Giám sát An ninh mạng
15:00 | 31/08/2023
15:00 | 03/09/2023
15:00 | 28/06/2023
14:00 | 26/02/2024
Khi dữ liệu được gửi từ nơi này đến nơi khác thì cần phải bảo vệ dữ liệu trong quá trình đang được gửi. Tương tự như vậy, khi dữ liệu được lưu trữ trong một môi trường mà các bên không được phép cập thì cần thiết phải có các biện pháp bảo vệ dữ liệu đó. Bài báo sẽ giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 19772:2020 về an toàn thông tin – mã hóa có sử dụng xác thực. Xác định các cách thức xử lý một chuỗi dữ liệu theo các mục tiêu an toàn bao gồm 5 cơ chế mã hóa có sử dụng xác thực.
09:00 | 05/02/2024
Ngày 24/01, Ban Cơ yếu Chính phủ ban hành kế hoạch triển khai thực hiện Thông tư 96/2023/TT-BQP ngày 29/11/2023 của Bộ trưởng Bộ Quốc phòng về “Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ”.
15:00 | 24/10/2023
Mục tiêu chính của các kỹ thuật mã hóa là bảo vệ tính bí mật của dữ liệu được lưu trữ hoặc truyền đi. Thuật toán mã hóa được áp dụng vào dữ liệu (bản rõ), từ đó nhận được dữ liệu được mã hóa (bản mã), quá trình này được gọi là mã hóa. Thuật toán mã hóa cần được thiết kế sao cho bản mã không cung cấp thông tin về bản rõ. Gắn liền với thuật toán mã hóa là thuật toán giải mã, biến đổi ngược bản mã thành bản rõ gốc. Bài viết sẽ giới thiệu tóm tắt nội dung tiêu chuẩn TCVN 11367-1:2016. Nội dung của tiêu chuẩn này xác định các hệ mật nhằm mục đích bảo mật dữ liệu. Việc đưa các hệ mật vào tiêu chuẩn này nhằm đẩy mạnh việc sử dụng chúng với chất lượng tốt nhất hiện nay trong các kỹ thuật mật mã.
09:00 | 13/10/2023
Đánh giá năng lực được sử dụng khá nhiều trong các hoạt động của Quản lý nguồn nhân lực. Là thông tin giá trị để phục vụ cho nhiều nghiệp vụ khác nhau. Đánh giá năng lực đối với đánh giá viên thường được lựa chọn dựa theo phương pháp, cách thức, quy trình. Điều này được thực hiện bởi các chuyên gia hay cá nhân có thẩm quyền đánh giá. Từ đó, tổ chứng đánh giá sự phù hợp có thể thu thập thông tin về thực trạng năng lực về kiến thức, kĩ năng, xác định tiềm năng phát triển của cá nhân người được đánh giá. Dựa trên kết quả năng lực của cá nhân đó có thể phân loại nhân viên theo mức độ đáp ứng yêu cầu về năng lực. Từ đó có thể đề ra các phương án phù hợp để phân công giao việc, đào tạo một cách hợp lý. Việc thống kê, phân loại trong quản lý nhân lực vô cùng quan trọng. Mỗi nhóm đối tượng khác nhau sẽ có cách thức, biện pháp quản lý, nâng cao hay khai thác khác nhau. Do đó, các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu hiệu quả của các cá nhân trong dự thảo tiêu chuẩn này nhằm đáp ứn
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
