Evolution of cybersecurity risk management standardization: Comparison of the NIST Cybersecurity Framework version 1.1 and 2.0

Thumbnail Image

Files

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Bachelor's thesis
Electronic archive copy is available locally at the Harald Herlin Learning Centre. The staff of Aalto University has access to the electronic bachelor's theses by logging into Aaltodoc with their personal Aalto user ID. Read more about the availability of the bachelor's theses.
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2024-05-14

Department

Major/Subject

Tietotekniikka

Mcode

SCI3027

Degree programme

Teknistieteellinen kandidaattiohjelma

Language

en

Pages

36

Series

Abstract

The National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) is a document that provides organizations information and guidance regarding cybersecurity risks. The first iteration, CSF 1.0, was published in 2014, with an update to CSF 1.1 in 2018. The CSF 1.0 and 1.1 was aimed at providing guidance to organization within the U.S. critical infrastructure. In 2022, the NIST started the process of a substantial revision of the framework and CSF 2.0 was released in February 2024. The framework includes a Core, which is divided into six Functions that describe outcomes that the organizations should strive to achieve. The comparison of the version 1.1 and 2.0 of the Core analyses substantial changes while discussing viewpoint from organizations that submitted comments regarding draft versions of the 2.0 version, along with several articles. In summary, the update includes revisions that have been made due to evolved cybersecurity threats and practices since the release of version 1.1 in 2018 and revisions due to the NIST’s decision to widen the target audience from organizations within U.S. critical infrastructure to any type of organization. Therefore, CSF 1.1 and CSF 2.0 cannot be directly compared based on how evolved cybersecurity threats and practices have impacted the changes made, since the NIST’s decision to widen the target audience has influenced the revisions substantially.

Cybersäkerhet är en domän som påverkar alla företag och organisationer. Då nya teknologier och svagheter uppkommer i digitala system måste organisationer implementera övergripande cyberriskhanteringsprogram för att säkra sina resurser. Cybersäkerhetsramverket från The National Institute of Standards and Technology (NIST) är ett dokument som ger organisationer en helhetsbild av cybersäkerhetsrisker. Den första iterationen, version 1.0, publicerades år 2014 och uppdaterades sedermera till version 1.1 år 2018. Syftet med versionerna 1.0 och 1.1 var att ge vägledning om cybersäkerhet till organisationer inom den amerikanska kritiska infrastrukturen. I februari 2024, efter två år av revidering av dokumentet, publicerade NIST version 2.0 av ramverket. Processen bakom revideringen var iterativ, med seminarier och workshoppar där åsikter och synpunkter från företag och organisationer togs i beaktande samt inskickade kommentarer om utkast av ramverket. Ramverket inkluderar en kärna, som är uppdelad i sex funktioner. Vidare är funktionerna är indelade i kategorier och dessa i underkategorier. Underkategorierna beskriver mål som organisationer ska sträva efter att uppnå. Ramverkets syfte är därmed inte att ge organisationer konkreta steg att följa, utan mål att uppnå genom att beakta deras egna verksamhet. En av de största förändringarna i kärnan är tillägget av den sjätte funktionen, ’Ledning’, som inte varit inkluderad i de tidigare iterationerna. En jämförelse av ramverkets kärna i version 1.1 och 2.0 påvisar betydande förändringar, i stort sett på grund av två olika orsaker. För det första har cybersäkerhet utvecklats betydligt sedan version 1.1 publicerades, och för det andra på grund av NIST:s beslut att vidga dokumentets målgrupp från organisationer inom den amerikanska kritiska infrastrukturen till alla typer av organisationer. På grund av ändringen i dokumentets målgrupp har ramverket tvingats bli alltmer allmänt och teknologineutralt. Organisationers kommentarer har delvis tagits i beaktande men även flera kommentarer med utförliga motiveringar har försummats, främst på grund av att ramverket varit tvunget att förbli på en allmän och tillgänglig nivå för alla typer av organisationer. Sammanfattningsvis kan version 1.1 och 2.0 inte direkt jämföras baserat på hur cybersäkerhetens utveckling har påverkat uppdateringen, eftersom NIST:s beslut att utöka målgruppen har påverkat revideringarna avsevärt.

Description

Supervisor

Savioja, Lauri

Thesis advisor

Kiviharju, Mikko

Keywords

cybersecurity, cybersecurity framework, cybersecurity threat, cybersecurity risk, cybersecurity risk management

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202405283907

Collections

[kand] Perustieteiden korkeakoulu / SCI