前言
近日,英国国家网络安全中心(NCSC)发布了网络安全评估框架(CAF)3.2版本。网络安全评估框架(CAF)是一个目标导向的评估体系,提供了一种系统、全面的方法,用于评估组织网络安全风险管理的成熟度和“网络弹性”。
CAF框架的核心是4个高级目标和14个原则,全部都用结果来表述(即需要达到的目标),而不是需要完成的清单。
一、NCSC做出更新CAF框架的决定
CAF3.1版本发布以来的两年间,该框架因其实用性而在全球迅速流行,应用范围已经远远超出了最初的监管范畴;同时,针对关键国家基础设施(CNI)的网络威胁也逐年呈上升趋势,这促使NCSC做出更新CAF框架的决定。
在CAF3.2版本中,NCSC通过分析全球关键基础设施遭受的各种网络攻击,对CAF3.1版本中有关远程访问、特权操作、用户访问级别和多因素认证的使用(均包含在框架的B2a和B2c原则中)的部分进行了重大修订。
熟悉CAF框架的读者会意识到,该指南的原则、目标和“良好实践指标”(IGP)是相互关联的,这意味着IGP的变化会影响到CAF框架的其他部分。NCSC还改进了CAF与网络基本要素(CE)的对齐度,并在适当情况下复制了一些CE要求,同时确保保留CAF现有的以结果为导向的方法。
二、人工智能(AI)技术的日益普及需要更加细致的评估风险
本次CAF版本修订中,NCSC与英国国家基础设施信息系统(NIS)监管机构和其他利益相关方进行了全面磋商。
NCSC表示,尽管新版本CAF刚刚发布,但NCSC已经在规划未来的迭代版本。重点是确保CAF的发展充分反映网络弹性法规的变化(例如政府扩大NIS监管范围以涵盖数字托管服务提供商的提案)。
另一个可能产生重大影响的发展是人工智能(AI)技术的日益普及。目前,CAF框架中涵盖的“自动化功能”和“自动化决策技术”部分仅覆盖了有限的AI相关网络安全风险,NCSC期望未来的CAF迭代版本能更全面细致地评估AI安全风险。
148
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
