Le secteur privé devrait surveiller les vastes travaux du NIST sur les directives en matière de confidentialité et de cybersécurité | JD Supra

Priorité à la confidentialité®

Le NIST continue de travailler sur plusieurs axes de travail sur la cybersécurité et la confidentialité intéressant le secteur privé. Bien que le NIST ait traditionnellement soutenu la sécurité informatique des agences fédérales, au cours des dernières années, il a pris en charge (et a été délégué) plusieurs axes de travail en vertu de décrets exécutifs et de la législation pour traiter de multiples aspects de la confidentialité et de la sécurité, y compris les domaines clés de l’innovation technologique. Voici des exemples de flux de travail ouverts susceptibles d’avoir un impact sur le secteur privé :

• Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems, les commentaires étaient dus le 16 septembre 2022. Le NIST a plusieurs efforts en cours pour examiner les aspects des technologies émergentes, y compris l’intelligence artificielle et l’apprentissage automatique. De plus, le NIST développe un cadre de gestion des risques de l’IA (RMF), et les commentaires sur le dernier projet de RMF de l’IA sont attendus le 29 septembre. ML dans le secteur privé.
• Mise en œuvre d’une architecture Zero Trust (avant-projet), les commentaires devaient être déposés le 9 septembre 2022. Ce flux de travail est l’un des nombreux efforts visant à mettre en œuvre les concepts de sécurité « zéro confiance » ou à aider les agences à répondre aux directives de la branche exécutive sur l’utilisation de la confiance zéro, qui peuvent avoir des répercussions sur les entrepreneurs fédéraux et d’autres organisations.
• Internet des objets (IdO). NIST IR 8425, le profil de la base de référence IoT Core pour les produits IoT grand public, a été publié en version préliminaire le 17 juin 2022, avec Ideas for the Future of IoT Cybersecurity at NIST: IoT Risk Identification Complexity. La sécurité de l’IoT reste au centre de plusieurs agences fédérales préoccupées par la sécurité des appareils, et le NIST et d’autres agences se sont vu confier des tâches liées aux communications avec les consommateurs, à la sécurité et à la confidentialité qui devraient intéresser quiconque dans l’espace IoT.
• Les entrepreneurs gouvernementaux doivent porter une attention particulière aux travaux du NIST sur le cyber, y compris ses publications spéciales pour les systèmes d’information fédéraux ainsi que ses révisions de la série SP 800-171, y compris l’avant-projet d’appel à commentaires : Protéger les informations contrôlées non classifiées dans les systèmes non fédéraux et Organisations, sur lesquelles les commentaires étaient attendus le 16 septembre 2022. Nous nous attendons à ce que le travail du gouvernement sur ce document et les documents connexes façonne les attentes des entrepreneurs dans les domaines des limites du système, de la gouvernance des données et des domaines connexes.

Peut-être d’une importance plus critique et plus répandue, le NIST révise son cadre fondamental pour la cybersécurité des infrastructures critiques, créé en 2014 et révisé en 2018 en tant que version 1.1. Les commentaires publics sur la révision en cours ont suggéré une variété de voies, certaines modestes et d’autres transformationnelles. Le NIST a vanté son premier atelier sur la mise à jour du NIST Cybersecurity Framework, « Beginning our Journey to the NIST Cybersecurity Framework 2.0 », qui s’est tenu virtuellement le 17 août 2022 avec près de 4 000 participants de 100 pays. Compte tenu du rôle fondamental du cadre NIST dans les cyberstratégies de nombreuses organisations privées, les changements majeurs doivent être surveillés attentivement pour détecter d’éventuels besoins d’ajustements du programme de conformité.

Il existe une myriade d’autres projets en cours au NIST et au National Cybersecurity Center of Excellence (NCCoE) qui examinent les applications pratiques dans la confidentialité, la sécurité des réseaux, l’identité numérique et d’autres éléments importants des stratégies de gestion des risques des organisations. Le personnel du NIST et du NCCoE est accessible et intéressé par une contribution privée significative pour informer leurs flux de travail.

© 2022 Wiley Rein LLP

[View source.]