近日,英国国家网络安全中心(NCSC)发布了网络安全评估框架(CAF)3.2版本。
网络安全评估框架(CAF)是一个目标导向的评估体系,提供了一种系统、全面的方法,用于评估组织网络安全风险管理的成熟度和“网络弹性”。CAF框架的核心是4个高级目标和14个原则,全部都用结果来表述(即需要达到的目标),而不是需要完成的清单。
CAF3.1版本发布以来的两年间,该框架因其实用性而在全球迅速流行,应用范围已经远远超出了最初的监管范畴;同时,针对关键国家基础设施(CNI)的网络威胁也逐年呈上升趋势,这促使NCSC做出更新CAF框架的决定。
在CAF3.2版本中,NCSC通过分析全球关键基础设施遭受的各种网络攻击,对CAF3.1版本中有关远程访问、特权操作、用户访问级别和多因素认证的使用(均包含在框架的B2a和B2c原则中)的部分进行了重大修订。
熟悉CAF框架的读者会意识到,该指南的原则、目标和“良好实践指标”(IGP)是相互关联的,这意味着IGP的变化会影响到CAF框架的其他部分。NCSC还改进了CAF与网络基本要素(CE)的对齐度,并在适当情况下复制了一些CE要求,同时确保保留CAF现有的以结果为导向的方法。
本次CAF版本修订中,NCSC与英国国家基础设施信息系统(NIS)监管机构和其他利益相关方进行了全面磋商。
NCSC表示,尽管新版本CAF刚刚发布,但NCSC已经在规划未来的迭代版本。重点是确保CAF的发展充分反映网络弹性法规的变化(例如政府扩大NIS监管范围以涵盖数字托管服务提供商的提案)。
另一个可能产生重大影响的发展是人工智能(AI)技术的日益普及。目前,CAF框架中涵盖的“自动化功能”和“自动化决策技术”部分仅覆盖了有限的AI相关网络安全风险,NCSC期望未来的CAF迭代版本能更全面细致地评估AI安全风险。
参考链接:
https://www.ncsc.gov.uk/static-assets/documents/cyber-assessment-framework-v3.2.pdf
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。