Обновить framework до последней версии: Установить обновления .NET Framework

Содержание

Накопительные обновления .NET Framework для Windows 10 — Сетевое администрирование

by adminОпубликовано

Microsoft планы чтобы изменить способ доставки и развертывания обновлений .NET Framework на устройствах под управлением Windows 10 в ближайшем будущем.

Начиная с Windows 10 версии 1809, октябрьского обновления 2018, обновления .NET Framework будут предоставляться в накопительном формате аналогично тому, как предоставляются обновления для Windows 10. Новые накопительные обновления также предоставляются для Windows Server 2019.

Обновления Net Framework поставляются либо как отдельные обновления, если установлена операционная система Windows 7 или Windows 8.1, либо как часть накопительного обновления на устройствах с Windows 10.

Интеграция обновлений .NET Framework в кумулятивные обновления для Windows 10 временами ставила администраторов между скалами и наковальнями. Обновления за июль 2018 г. для .NET Framework продемонстрировать это очевидно, поскольку они вызывали всевозможные проблемы в системах, на которых были установлены обновления.

Накопительные обновления .NET Framework будут предоставляться только для систем под управлением Windows 10 версии 1809 или более поздней.

Microsoft отмечает, что будет доступно только одно накопительное обновление и не будет отдельного обновления безопасности для .NET Framework на поддерживаемых устройствах.

Пользователи, использующие Центр обновления Windows для установки обновлений, заметят, что новое накопительное обновление для .NET Framework будет предлагаться вместе с накопительными обновлениями для операционной системы. Эти обновления устанавливаются автоматически в фоновом режиме или по запросу пользователя.

Системные и ИТ-администраторы, использующие WSUS или другие платформы развертывания, увидят новые накопительные обновления .NET Framework при проверке наличия обновлений для Windows 10 версии 1809 или Windows Server 2019. Обновления будут отображаться в разделе «Продукты Windows» в WSUS, и если обновления включают безопасность обновления, они также будут иметь классификацию обновлений безопасности.

Обновления, не содержащие исправлений безопасности, вместо этого отображаются как «обновления» или «критические обновления».

Накопительные обновления для .NET Framework также доступны на веб-сайте каталога Центра обновления Майкрософт, откуда их можно загрузить.

Накопительные обновления не обновят .NET Framework до более новой версии, согласно Microsoft, поскольку они обновят только уже установленные версии платформы до последней версии.

Обновления предоставляются во вторник исправлений, поскольку они следуют той же периодичности обслуживания, что и обновления Windows 10. Каждое обновление заменяет последнее накопительное обновление для .NET Framework.

Microsoft планирует выпустить предварительные версии через одну или две недели после полного выпуска во вторник исправлений, чтобы системные администраторы и пользователи могли протестировать предстоящие обновления, прежде чем они станут доступными через Центр обновления Windows, WSUS и другие средства.

Второй вторник каждого месяца: выпускаются новые накопительные обновления для . NET Framework.
Третий или четвертый вторник каждого месяца: предварительные версии накопительных обновлений .NET Framework доступны для тестирования.
Внеполосные обновления могут быть выпущены в любое время, например чтобы исправить критические проблемы.

Вывод

Разделение обновлений .NET Framework в Windows 10 версии 1809 и более поздних — назревший шаг. Хотя, безусловно, привлекательно установить одно обновление и завершить его вместе с обновлением, прошлое показало, что одно неработающее обновление может помешать установке всех обновлений в этих сценариях.

Учитывая, что кумулятивные обновления включают исправления безопасности, это было довольно проблематично для системных администраторов, поскольку им приходилось решать, устанавливать ли обновление и, возможно, бороться с неисправностями, или блокировать обновление и решать потенциальные проблемы безопасности. (через Вуди)

Posted in Ошибки

Январская починка дыр в .NET Framework и Core / Хабр

Аккурат к концу новогодних каникул в России, 9-го января, Microsoft выпустили обновления, исправляющие CVE-2018-0786 и CVE-2018-0764. Починили так, что кое-где ещё и сломали. В этом коротком посте мы ещё раз вспомним, что это такое и что нам теперь делать.

Для иллюстрации этого хабрапоста я попытался изобразить решето. Как видите, у меня не получилось. К сожалению, сделать решето в коде — гораздо проще, чем изобразить его, в первый раз взяв в руки графический планшет.

Если вы используете .NET Framework, нужно удостовериться, что у вас установлена версия 4.7.1, а Windows установил обновление .NET Framework January 2018 Security and Quality Rollup (KB4055002). Или, как минимум, Security-Only Update (KB4054183).

Если это не так — у вас проблемы.

Проверить версию самого .NET Framework можно с помощью инструкции по ссылке. Чтобы не проверять каждый раз руками, есть скрипт для Power Shell.

Если вы используете .NET Core, то нужно пойти на файловую систему и посмотреть, какая версия рантайма установлена. Если там нет директории 1.0.9, 1.1.6 или 2.0.5, то у вас проблемы!

Где смотреть:

Windows	C:\Program Files\dotnet\shared\Microsoft. NETCore.App\
macOS	/usr/local/share/dotnet/shared/Microsoft.NETCore.App/
GNU/Linux	/usr/share/dotnet/shared/Microsoft.NETCore.App/

Точный список уязвимых версий .NET Core:

Версия рантайма	Исправлено в версии
1.0.0, 1.0.1, 1.0.2, 1.0.3, 1.0.4, 1.0.5, 1.0.7, 1.0.8	1.0.9
1.1.0, 1.1.1, 1.1.2, 1.1.4, 1.1.5	1.1.6
2.0.0, 2.0.3, 2.0.4	2.0.5

Что делать?

Разработчикам придётся обновить .NET Framework до 4.7.1 и обновить Windows самыми свежими обновлениями. Не на всех версиях Windows это обновление работает хорошо (читайте статью до конца).

.NET Core SDK необходимо обновить до версий 2.1.4 или 1.1.7. Сисадминам нужно обновить .NET Core до версий 1.0.9, 1.1.6 или 2.0.5.

Self-contained приложения придётся пересобрать, в остальных случаях достаточно обновления рантайма и SDK.

Официальные ссылки

Github: .NET Foundation

Common Vulnerabilities and Exposures Database

.NET Framework и Core плохо парсят XML, пользуясь чем, хакер может устроить DDOS-атаку на ваше приложение.

В обновлении это починили. Эксплоиты публично не распространялись.

Официальные ссылки

Github: .NET Foundation

Common Vulnerabilities and Exposures Database

Что случилось?

В общедоступных версиях .NET Framework и Core есть уязвимость, позволяющая хакеру подсунуть сертификат, помеченный невалидным для конкретного способа использования, и тем не менее использовать его по этому назначению. Это позволяет игнорировать Enhanced Key Usage.

В обновлении это починили. Эксплоиты публично не распространялись.

Уязвимости подвержен пакет Microsoft.NETCore.UniversalWindowsPlatform.

Версия пакета указана вместе с соответствующей ему версией .NET Native.

NuGet / .NET Native	Исправлено в версии
5.2.* / 1.4.*	5.2.4
5.3.* / 1.6.*	5.3.5
5.4.* / 1.7.*	5.4.2
6.0.* / 2.0.*	6.0.6

Как починить моё приложение, если я использую .NET Core?

Для этого бага важен тип приложения:

Обычное

Self-contained

Native

Обычные приложения можно починить, просто установив нужную версию SDK или рантайма, на которых вы запускаетесь. Скачать можно здесь.

Self-contained приложения придётся пересобрать со свежеобновлённым SDK и передеплоить.

Дальше поговорим о нативных приложениях. Нужно снова обработать его нативным компилятором обновлённого SDK и результат перевыложить в Windows Store.

MS рекомендует обновить UWP-приложения до самой последней минорной версии NuGet-пакета Microsoft.NETCore.UniversalWindowsPlatform, чтобы можно было пересобрать приложение и понять, что оно не развалилось. Можно, конечно, обновиться сразу и на более свежую мажорную версию, но это не обязательно — обновление выпускается для всех мажорных версий, которые пострадали от бага.

Вне зависимости от того, обновили ли вы свои NuGet-пакеты, все приложения, залитые в стор после 9-го января, будут автоматически чиниться прямо в ходе выкладывания в стор.

Если же вы не обновите своё приложение в сторе, его всё равно автоматически обработают и разошлют через Windows Update в течение ближайших недель. Все, у кого не отключены автообновления, получат обновлённую версию без необходимости в ручном вмешательстве кого-либо. А вот для sideloaded-приложений придётся самостоятельно обновить NuGet-пакеты, пересобрать их и доставить пользователям.

Согласно вот этому всё еще открытому багу, патч не только лечит, но ещё и калечит. Проблема возникает только при использовании Windows 7 Service Pack 1 и Windows Server 2008 R2 Service Pack 1.

Достаточно установить обновления или .NET Framework 4.7.1, как WPF-приложения, запрашивающие fallback font (или символ, не включенный в текущий шрифт), отвалятся со следующей ошибкой:

System.TypeInitializationException
“FileFormatException: No FontFamily element found in FontFamilyCollection 
that matches current OS or greater: Win7SP1”.
Inner exception originates from: CompositeFontParser

Проблема в том, что инсталлятор неверно обрабатывает взаимодействие установщика обновлений (.NET Framework January 2018 Rollup — KB4055002) и уже установленного .NET Framework 4.7.1. Установщик Rollup случайно переписывает файл GlobalUserInterface.CompositeFont, пришедший с версией 4. 7.1, отчего WPF-приложения начинают падать.

Существует три способа решения.

Способ первый: удалить январские обновления

Нужно удалить: «January .NET Framework Security and Quality Rollup (KB4055002)».

И вместо этого установить: » January .NET Framework Security-Only Update (KB4054183)».

Чтобы сделать это, нужно выполнить следующие шаги:

Control Panel → Windows Update → View update history

В списке «Review your update history» найти и выделить «Security Update for Microsoft .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 (KB4055002)». Нажать Uninstall.

Когда спросят, действительно ли удалять — соглашайтесь.

Обязательно перезапустите компьютер, если вас об этом попросили.

Скачайте и установите патч безопасности нужной вам версии:
- Security Only update for .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, and 4.7.1 for Windows 7 SP1 and Windows Server 2008 R2 SP1 for x86 systems (KB4054183)
- Security Only update for . NET Framework 4.6, 4.6.1, 4.6.2, 4.7, and 4.7.1 on Windows 7 SP1 and Windows Server 2008 R2 SP1 for x64 systems (KB4055269)

Делайте всё, о чём вас просят, а в конце — обязательно перезагрузите компьютер.

Способ второй: удалить .NET Framework 4.7.1, установить .NET Framework 4.7

Control Panel → Programs and Features

В списке «Uninstall or change a program», выделите «Microsoft .NET Framework 4.7.1» и нажмите Uninstall/Change.

Выберите «Remove .NET Framework 4.7.1 from this computer», и нажмите Next.

Нажмите continue и дождитесь удаления.

Нажмите Finish, когда удаление завершится.

Обязательно Перезапустите компьютер, если вас об этом попросят.

Установите .NET Framework 4.7.

Способ третий: замените

GlobalUserInterface.CompositeFont на правильный файл

Скачайте GlobalUserInterface. CompositeFont (для Windows 7, стандартный путь установки — %USERPROFILE%\Downloads)

Откройте cmd, перейдите в %windir%\Microsoft.NET\Framework\v4.0.30319\WPF\Fonts и запустите:
xcopy /y %USERPROFILE%\Downloads\GlobalUserInterface.CompositeFont.

(или просто скопипастите файл GlobalUserInterface.Composite в это место)

Откройте cmd, перейдите в %windir%\Microsoft.NET\Framework64\v4.0.30319\WPF\Fonts и запустите:
xcopy /y %USERPROFILE%\Downloads\GlobalUserInterface.CompositeFont.

(или ещё раз воспользуйтесь копипастой файла в Проводнике).

Перезапустите WPF-приложение.

Если всё ещё не помогло, перезагрузите компьютер и снова перезапустите WPF-приложение.

Даже очень хорошие и качественные проекты содержат ошибки. Чтобы не попасть впросак, нужно вовремя обновляться, читать официальные новости и изучать современные тенденции на конференциях типа DotNext, конечно. Спасение утопающих — дело рук самих утопающих!

Лучшие фреймворки для обновления Windows 10 и 7

Об автоматических обновлениях

Цель ясна: как разработчик, вы хотите, чтобы ваше программное обеспечение обновлялось в системах ваших пользователей. Но когда дело доходит до фактической реализации, необходимо учитывать несколько моментов. Является ли ваше приложение программой с графическим интерфейсом или службой Windows, работающей в фоновом режиме? Хотите уведомлять пользователей об обновлениях и позволять им решать, когда их применять? Или вы хотите, чтобы обновления применялись прозрачно в фоновом режиме? Насколько для вас важна безопасность? Желают ли системные администраторы, устанавливающие ваше программное обеспечение, иметь возможность «придерживать» новую версию до тех пор, пока она не будет протестирована? Должно ли ваше программное обеспечение обновляться только для текущего пользователя или для всех пользователей текущего компьютера? Все эти вопросы, вероятно, повлияют на ваше решение относительно того, какую платформу обновления использовать.

1. Google Омаха

Когда вы спросите: «Какая программа имеет лучший фреймворк для обновления?», многие ответят: «Google Chrome». Об этом также свидетельствует тот факт, что практически все другие решения явно пытаются внедрить систему обновлений «так же хорошо, как в Chrome». Что менее известно, так это то, что вы можете использовать механизм обновления Chrome для своих собственных приложений. Это связано с тем, что Google открыл исходный код своей клиентской реализации в проекте GitHub под названием

Омаха

. Если вы хотите получить краткий обзор этой технологии, вы можете, например, увидеть это

Учебник по Google Омахе

На момент написания этой статьи в мире насчитывается 1 миллиард ПК с Windows. Доля рынка браузеров Chrome на этих машинах составляет 63%. Это означает, что Chrome и, следовательно, Omaha установлены на сотнях миллионов машин. Эти машины варьируются от простых ПК для конечных пользователей до устройств в средах с жесткими ограничениями, таких как корпоративные банковские системы. У них также есть очень естественное разделение между Windows 7 и Windows 10.

Из-за такого широкого использования Омаха является самой мощной, стабильной и безопасной системой обновлений. Это не становится лучше, особенно с превосходными инженерами Google. Короче говоря, Omaha — это золотой стандарт для корпоративного развертывания программного обеспечения Windows.

Как упоминалось ранее, Омаха имеет открытый исходный код, поэтому вы можете настроить ее самостоятельно. Однако у его мощности есть недостаток: его сложно настроить. Как только он запущен, он

стабильно и без проблем

. Но для того, чтобы туда добраться, нужно потрудиться. Это наша ниша

агентство

fills: у нас есть многолетний опыт работы с Google Omaha в различных клиентских проектах. Это позволяет нам внедрять Омаху более экономично и более качественно, чем организации, которые делают это сами. Если вам нужна наша помощь в игре в Омаху, воспользуйтесь кнопкой ниже. Связаться с нами можно бесплатно, и обычно мы отвечаем в течение одного рабочего дня.

Омаха должна подойти, если вы являетесь стартапом, желающим масштабироваться, или более крупным предприятием. Если вы небольшая компания с меньшим количеством пользователей, вам может подойти одна из приведенных ниже альтернативных платформ обновлений.

2. Белка

белка

менее мощная, чем Омаха, но ее проще настроить. В последние годы наблюдается дополнительный интерес, потому что

Электрон

использует его. Однако обратите внимание, что технологическая основа Electron, Chromium, по-прежнему использует Omaha. Как и во многих других платформах обновлений, в документации Squirrel в качестве яркого примера упоминается система обновлений Chrome, то есть Google Omaha.

Помимо стремления к мощи Омахи, Белка стремится улучшить там, где

ClickOnce

терпит неудачу. Это фреймворк и набор инструментов для установки и обновления вашего приложения на машинах ваших пользователей. Squirrel фокусируется на простоте, и в целом ей это удается. Он в основном предназначен для приложений C#, но также может управлять приложениями, написанными на других языках.

Как и Omaha, Squirrel поддерживает несколько каналов (например, альфа/бета/стабильная версия) и дельта-обновления. Одним из ограничений Squirrel по сравнению с Omaha является то, что он работает только во время работы вашего приложения. Он также более оптимизирован для

на пользователя

чем для

машинный

установки. В частности, в отличие от Omaha, Squirrel может обновляться только тогда, когда ваше приложение запускается под учетной записью пользователя, установившего его.

Вопросительный знак о Белке — ее будущее. Проект был

устарело в апреле 2019 г.

когда официальный сопровождающий

ушел в отставку

. На момент написания этой статьи кажется, что сообщество получает ложные коммиты. Однако ни один человек не взял на себя полное сопровождение проекта.

Помимо неясного будущего, Squirrel в том виде, в каком он существует, хорошо работает и его относительно легко настроить, особенно для приложений C#. Это может подойти вам, если безопасность и соглашения об уровне обслуживания менее важны, чем дешевые и быстрые решения.

3. ВинСпаркл

WinSparkle

является портом для Windows популярного

Сверкающая структура

для обновления приложений Mac. Его архитектура очень похожа на Squirrel в том, что он проверяет наличие обновлений во время работы вашего приложения. Как и его тезка, WinSparkle использует

Приложение

XML-файл для получения информации о доступных версиях. Чтобы использовать WinSparkle, вы создаете этот XML-файл и загружаете его на сервер. XML содержит список версий и ссылки для скачивания установщика для каждой версии. Это похоже на Squirrel, который использует файл с именем

РЕЛИЗЫ

.

Один аспект, в котором Squirrel и WinSparkle различаются, носит философский характер: Squirrel не предлагает интеграции с графическим интерфейсом и рекомендует, чтобы обновления были автоматическими и полностью бесшумными. С другой стороны, WinSparkle ставит графический интерфейс на первое место. Когда доступно обновление, WinSparkle показывает подсказку:

Вот еще несколько плюсов и минусов WinSparkle против Squirrel:

— WinSparkle в настоящее время не поддерживает дельта-обновления.

+ WinSparkle по-прежнему активно поддерживается первоначальным автором.

— WinSparkle кажется менее зрелым и менее широко используемым: 850 звезд на GitHub против 5300 у Squirrel.

В конце концов, WinSparkle и Squirrel очень похожи с точки зрения их возможностей и ограничений. Если вы выбираете между ними, то важным фактором в вашем решении, вероятно, будет то, предпочитаете ли вы графический подход WinSparkle или бесшумный подход Squirrel.

4. Автообновление.NET

Как следует из названия,

AutoUpdater.NET

предназначен для приложений, созданных с помощью платформы .NET. Это похоже на комбинацию Squirrel и WinSparkle, поскольку предлагает как графические, так и автоматические обновления. Он также использует специальный файл XML для перечисления доступных обновлений. Он более популярен, чем WinSparkle, имеет 1200 звезд на GitHub и (на момент написания этой статьи) активно поддерживается. Вы можете выбрать его вместо WinSparkle из-за его большей пользовательской базы и лучшей поддержки .NET. (Для использования WinSparkle из .NET требуется немного дополнительной работы. )

В целом, из трех рассмотренных выше альтернатив, отличных от Омахи, Squirrel кажется наиболее стабильной и технически зрелой. Его недостаток (если вы так считаете) заключается в том, что он не предлагает графическую реализацию. Если вам нужен графический интерфейс, лучше всего подойдет AutoUpdater.NET, если вы используете .NET, и WinSparkle в противном случае.

5. обновление

wyUpdate

является частью коммерческого инструмента упаковки wyBuild. Он направлен на то, чтобы «соответствовать качеству Google Chrome Updater». Он оптимизирован для приложений .NET, но также может обновлять программы, написанные на других языках. Он поддерживает дельта-обновления и, в отличие от описанных выше решений, отличных от Omaha, также может обновлять установку на уровне компьютера при запуске от имени пользователя без прав администратора. (Он делает это, запрашивая пароль, если это необходимо.) В прошлом некоторые люди

пожаловались, что wyUpdate глючит, и сказали, что предпочитают Омаху

. Но есть и другие люди, которые, кажется, счастливы, используя его.

wyUpdate поддерживает автоматические обновления для всех языков и графические обновления для приложений .NET. Его философское отличие от Squirrel, WinSparkle и AutoUpdater.NET заключается в том, что wyBuild предоставляет вам графический мастер для упаковки новых версий вашего приложения. Если вам нравится этот более высокоуровневый, но менее ориентированный на код подход, а коммерческая лицензия wyBuild вас не смущает, то wyUpdate может быть хорошим решением.

Краткое содержание

С точки зрения мощности и стабильности Google Omaha — лучшая платформа для обновления Windows. Он должен подойти вам, если вы являетесь крупной корпоративной организацией, разрабатываете браузер на основе Chromium или являетесь стартапом, желающим масштабироваться. В противном случае на ваш выбор повлияют личные предпочтения и язык, на котором написано ваше основное приложение. Если вы используете C# и хотите получать автоматические обновления, вам может подойти Squirrel. Если вы используете .NET и хотите получать графические обновления, выберите AutoUpdater.NET или коммерческий wyUpdate. Наконец, если вы не используете .NET, но все же хотите графических обновлений, WinSparkle может быть вашим лучшим решением.

Если вы сейчас рассматриваете Омаху и хотели бы узнать больше о том, как она работает или как мы можем вам помочь, не стесняйтесь связаться с нами! Обычно мы отвечаем на ваши вопросы в течение одного рабочего дня.

Последние обновления | НИСТ

NCCoE опубликовал окончательную версию NIST IR 8406, профиль кибербезопасности для сжиженного природного газа.
NCCoE опубликовал для комментариев Проект NIST IR 8441, Профиль системы кибербезопасности для гибридных спутниковых сетей (HSN). Период общественного обсуждения этого проекта открыт до 23:59. 5 июля 2023 г. по восточному времени.
Только что выпущено: Дискуссионный черновик ядра NIST CSF 2.0 — отзывы об этом дискуссионном черновике можно отправить в любое время. Тем не менее, комментарии для включения в предстоящий полный черновик NIST CSF 2.0 должны быть представлены до 31 мая.0025 17 марта 2023 г. .
NIST выпустил NIST IR 8323, редакция 1 | Основополагающий профиль PNT: применение концепции кибербезопасности для ответственного использования услуг PNT.
NIST выпустил «Концептуальный документ Cybersecurity Framework 2.0: Возможные значительные обновления в Cybersecurity Framework», в котором излагаются потенциальные значительные изменения в Cybersecurity Framework для публичного рассмотрения и комментариев. Пожалуйста, предоставьте отзыв до 3 марта 2023 г. . Документ будет обсуждаться на предстоящем семинаре № 2 CSF 2.0 15 февраля 2023 г. и на рабочих заседаниях CSF 2.0 22–23 февраля 2023 г.
ЛИЧНЫЕ РАБОЧИЕ СЕССИИ CSF 2. 0 | 22 или 23 февраля 2023 г. (мероприятия на полдня). Участники должны зарегистрироваться только на ОДНУ сессию.
ВИРТУАЛЬНАЯ МАСТЕРСКАЯ №2 | 15 февраля 2023 г. (9:00–17:30 по восточному поясному времени). Присоединяйтесь к нам, чтобы обсудить потенциальные значительные обновления CSF, описанные в концептуальном документе CSF, который скоро будет выпущен.
Запись неофициального обсуждения Framework Version 2.0, организованного NIST и Департаментом. казначейства OCCIP от 12 сентября 2022 года.
Проект NIST IR 8406, Профиль системы кибербезопасности для сжиженного природного газа – открыт для общественного обсуждения до 17 ноября.
NISTIR 8286C, Постановка рисков кибербезопасности для управления корпоративными рисками и государственного надзора , теперь выпущен как окончательный. Этот отчет продолжает подробное обсуждение концепций, представленных в NISTIR 8286, Интеграция кибербезопасности и управления корпоративными рисками и предоставляет дополнительные сведения о корпоративном применении информации о рисках кибербезопасности.
Отвечая на предложения участников недавнего семинара CSF 2.0, NIST улучшил свою веб-страницу CSF, обратив внимание на примеры профилей фреймворка. Страница, которую теперь легче найти, содержит ссылки на более дюжины профилей, созданных NIST или другие.
Первый семинар по обновлению NIST Cybersecurity Framework «Начало нашего пути к NIST Cybersecurity Framework 2.0» прошел виртуально 17 августа 2022 г. с участием 3900+ участников из 100 стран. Подробности можно найти здесь ( t он полный событие запись это N OW AVAILABLE ).
Проект профиля CSF «Проект базового профиля PNT: применение концепции кибербезопасности для ответственного использования служб позиционирования, навигации и синхронизации (PNT)» (проект NISTIR 8323, редакция 1) доступен для общественного обсуждения до 12 августа 2022 г. . Эта редакция включает пять новых подкатегорий Cybersecurity Framework и два новых приложения.
Проект профиля CSF, проект профиля кибербезопасности для гибридных спутниковых сетей (HSN), проект аннотированного плана (проект технического документа NIST CSWP 27), доступен для общественного обсуждения до 9 августа 2022 г. В этом профиле будет учитываться кибербезопасность всех взаимодействующих систем, образующих HSN, а не традиционный подход правительства, приобретающего всю спутниковую систему, включая спутниковую шину, полезную нагрузку и наземную систему.
3 июня 2022 года NIST объявил, что продолжит обновление Cybersecurity Framework до CSF 2.0. Сообщение в блоге сотрудника NIST Черилин Паско описывает, что заинтересованные стороны могут ожидать от обновления. Вы также можете отслеживать процесс обновления на веб-странице CSF 2.0. В рамках этого объявления NIST опубликовал краткий анализ комментариев, полученных в ответ на запрос информации о кибербезопасности, выпущенный в феврале 2022 года. Все полученные комментарии RFI также доступны на веб-сайте.
Проект NISTIR 8286D, Использование анализа воздействия на бизнес для информирования о приоритизации рисков и реагировании , доступен для общественного обсуждения до 18 июля 2022 г. Этот отчет продолжает подробное обсуждение концепций, представленных в NISTIR 8286, Интеграция кибербезопасности и предприятия. Управление рисками и предоставляет дополнительные сведения о корпоративном применении информации о рисках кибербезопасности.
Ознакомьтесь с серией выступлений, организованной NCCoE, посвященной разработке рамочного профиля для отрасли сжиженного природного газа 24 мая 2022 г.
Профиль управления рисками программ-вымогателей: Управление рисками программ-вымогателей: профиль Cybersecurity Framework утвержден, и доступно краткое руководство.
Мы рады сообщить, что платформа переведена на украинский язык!
NIST запрашивает материалы для обновления платформы кибербезопасности, руководства по цепочке поставок
NIST выпустил RFI для оценки и улучшения ресурсов кибербезопасности NIST — ответы должны быть получены до 25 апреля 2022 г.
Мы рады сообщить, что платформа переведена на французский язык!
Проект NISTIR 8286C, Постановка рисков кибербезопасности для управления корпоративными рисками и государственного надзора , теперь доступен для общественного обсуждения! В этом отчете продолжается подробное обсуждение концепций, представленных в документах NISTIR 8286, «Интеграция кибербезопасности и управления корпоративными рисками» , и приводятся дополнительные сведения о корпоративном применении информации о рисках кибербезопасности.
Ознакомьтесь с нашей последней историей успеха, рассказывающей о том, как Администрация Нижнего Колорадо (LCRA) [nist.gov] внедрила риск-ориентированный подход к CSF и адаптировала его для удовлетворения своих уникальных потребностей.
NIST выпустил Белую книгу по кибербезопасности, Преимущества обновленного сопоставления между NIST Cybersecurity Framework и стандартами защиты критической инфраструктуры NERC, , в которой описывается недавняя инициатива по сопоставлению между стандартами NERC CIP и NIST Cybersecurity Framework. Кроме того, доступно сопоставление, показывающее, какие подкатегории Cybersecurity Framework могут помочь организациям достичь более зрелой программы соответствия требованиям CIP.
NIST выпустил проект профиля управления рисками программ-вымогателей, Профиль платформы кибербезопасности для управления рисками программ-вымогателей, проект NISTIR 8374, который теперь открыт для комментариев до 8 октября 2021 года.
Проект NISTIR 8286B, Приоритизация рисков кибербезопасности для управления корпоративными рисками , теперь доступен для общественного обсуждения! В этом отчете продолжается подробное обсуждение концепций, представленных в стандартах NISTIR 8286, «Интеграция кибербезопасности и управления корпоративными рисками 9».0026 с упором на использование корпоративных целей для определения приоритетов, оптимизации и реагирования на риски кибербезопасности.
NIST только что выпустил документ «Меры безопасности для критически важного для ЭО программного обеспечения», используемый в соответствии с исполнительным распоряжением (EO) 14028 , в котором излагаются меры безопасности, предназначенные для лучшей защиты использования развернутого критически важного для ЭО программного обеспечения в операционных средах агентств.
Доступен второй общедоступный проект NISTIR 8286A : «Выявление и оценка рисков кибербезопасности для управления корпоративными рисками». Период комментариев открыт до 6 августа 2021 г.
NIST выпустил черновую версию стандарта NISTIR 8374 — Профиль платформы кибербезопасности для управления рисками программ-вымогателей. Этот профиль можно использовать в качестве руководства по управлению рисками программ-вымогателей. Пожалуйста, присылайте свои комментарии до 9 июля.
Чтобы подчеркнуть наше постоянное международное сотрудничество, мы собрали серию видеороликов, которые показывают, как наши партнеры по всему миру смотрят на различные проблемы кибербезопасности и конфиденциальности, которые мы в NIST также отслеживаем. Посмотрите эти видео ЗДЕСЬ!
Приступить к работе с Cybersecurity Framework стало еще проще благодаря этому новому Краткому руководству!

Конференция

RSA 2021 была уникальной в этом году, поскольку она была виртуальной, но она по-прежнему успешно объединяла сообщество кибербезопасности благодаря многочисленным сессиям, проводимым экспертами NIST. Темы сессий включали: технологии с поддержкой ИИ, утечки данных, кибербезопасность телемедицины, PNT. услуги и Интернет вещей. Полный список наших сессий RSAC 2021 года см. на странице https://www.nccoe.nist.gov/events/rsa-conference-2021[nccoe.nist.gov].
Международная организация по стандартизации (ИСО) совместно с Международной электротехнической комиссией (МЭК) опубликовала ISO/IEC 27110: Информационные технологии, кибербезопасность и защита конфиденциальности. Руководство по разработке основы кибербезопасности . Этот документ определяет рекомендации по разработке структуры кибербезопасности. В руководящих принципах указывается, что все системы кибербезопасности должны иметь следующие концепции: идентификация, защита, обнаружение, реагирование, восстановление.
NIST рад объявить о выпуске Основного профиля NISTIR 8323 PNT: применение концепции кибербезопасности для ответственного использования служб позиционирования, навигации и синхронизации (PNT). Профиль PNT был создан с использованием NIST Cybersecurity Framework и может использоваться как часть программы управления рисками, чтобы помочь организациям управлять рисками для систем, сетей и активов, использующих службы PNT.
Ознакомьтесь с последним блогом Кевина Стайна (2021: Что ждет NIST в области кибербезопасности и конфиденциальности?), в котором подчеркивается решение NIST сосредоточиться на девяти приоритетных областях в течение следующих нескольких лет.
Ознакомьтесь с NISTIR 8286A (проект) — Идентификация и оценка рисков кибербезопасности для управления рисками предприятия (ERM), в котором более подробно рассматриваются концепции, представленные в NISTIR 8286, и подчеркивается, что управление рисками кибербезопасности (CSRM) является неотъемлемой частью часть ЭРМ.
NIST рад объявить о выпуске стандартов NISTIR 8278 и 8278A для онлайн-программы информационных ссылок. Эти отчеты сосредоточены на 1) обзоре и использовании программы OLIR (NISTIR 8278) и 2) руководстве по отправке для разработчиков OLIR (NISTIR 8278A).
NIST рад объявить о выпуске профиля кибербезопасности NISTIR 8323 (проект) для ответственного использования служб позиционирования, навигации и синхронизации (PNT). Период подачи комментариев открыт до 23 ноября 2020 г. Инструкции по отправке комментариев доступны ЗДЕСЬ.
NIST только что опубликовал NISTIR 8286, Интеграция кибербезопасности и управления рисками предприятия (ERM). Этот отчет способствует лучшему пониманию взаимосвязи между управлением рисками кибербезопасности и ERM, а также преимуществам интеграции этих подходов.
Ознакомьтесь с новой страницей NIST «Измерения кибербезопасности для информационной безопасности»!
Посетите страницу ресурсов критической инфраструктуры Cybersecurity Framework, где мы добавили новый производственный профиль версии 1.1.
22-24 сентября 2020 г. IAPP проведет виртуальный семинар по развитию рабочей силы, способной управлять рисками конфиденциальности. NIST присоединится к IAPP для проведения рабочих сессий, на которых заинтересованные стороны смогут поделиться своими отзывами о ролях, задачах, знаниях и навыках, необходимых для достижения результатов и деятельности Privacy Framework.
NIST провел виртуальный семинар NIST Profile по ответственному использованию служб позиционирования, навигации и синхронизации (PNT) 15–16 сентября 2020 г. Чтобы узнать больше об этом мероприятии, посетите домашнюю страницу мероприятия ЗДЕСЬ.
Ознакомьтесь с двумя последними проектами NISTIR 8278 и 8278A для программы информационных ссылок в Интернете. Предварительные отчеты сосредоточены на 1) обзоре и использовании программы OLIR (NISTIR 8278) и 2) руководстве по отправке для разработчиков OLIR (NISTIR 8278A).
Спасибо тем, кто отправил комментарии ко второму проекту стандарта NISTIR 8286 «Интеграция кибербезопасности и управления корпоративными рисками (ERM)».
Последний блог Рона Росса Keeping the Lights On опубликован!
Посетите последний веб-семинар «Недостающее звено: интеграция кибербезопасности и ERM», чтобы узнать, как группа экспертов использовала принципы ERM в ведущих платформах кибербезопасности и методах для учета рисков кибербезопасности на уровне предприятия.
Ознакомьтесь с новейшим дополнением Cybersecurity Framework Ресурсы критической инфраструктуры, Белой книгой по политике стимулирования кибербезопасности Федеральной комиссии по регулированию энергетики (ПРОЕКТ), белой книгой о потенциальных стимулах для поощрения коммунальных предприятий выходить за рамки обязательных мер кибербезопасности.
Новые истории успеха демонстрируют, как несколько разных организаций по-разному используют Cybersecurity Framework для улучшения управления рисками кибербезопасности.
Мы рады сообщить, что платформа переведена на болгарский язык!
Ознакомьтесь с блогом Эми Ман из NIST о международном участии в поддержке Framework!
Посетите страницу «Международные ресурсы системы кибербезопасности» [nist.gov], где мы добавили новую категорию ресурсов (Дополнительные рекомендации) и еще один ресурс (Коалиция по снижению киберрисков, обеспечивающая беспрепятственную безопасность: повышение уровня управления глобальными киберрисками с помощью интероперабельных структур [static1. Squarespace.com]).
NIST выпустил Draft NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) для общественного обсуждения. Этот отчет способствует лучшему пониманию взаимосвязи между управлением рисками кибербезопасности и ERM, а также преимуществам интеграции этих подходов. Период общественного обсуждения заканчивается 20 апреля 2020 года. Копию проекта и инструкции по отправке комментариев см. в подробностях публикации.
NIST опубликовал NISTIR 8170, Подходы федеральных агентств к использованию платформы кибербезопасности . В нем содержится руководство о том, как Cybersecurity Framework можно использовать в федеральном правительстве США в сочетании с текущим и планируемым набором публикаций NIST по безопасности и управлению рисками конфиденциальности.
Учитывая растущую глобальную озабоченность по поводу распространения коронавируса (COVID-19), в интересах участников, выступающих и сотрудников отменить конференцию NIST Advancing Cybersecurity Risk Management Conference этого года. Пожалуйста, следите за обновлениями, чтобы узнать о будущих возможностях участия, включая потенциальные виртуальные мероприятия.
Был разработан черновой вариант NISTIR 8183, производственного профиля Cybersecurity Framework (CSF), который включает усовершенствования подкатегорий, установленные в NIST Framework версии 1.1 . Период общественного обсуждения этого документа заканчивается 4 мая 2020 г.
Спасибо всем, кто посетил #RSAC2020 и имел возможность пообщаться/пообщаться с нашей командой #NISTatRSAC! Если вы не смогли присутствовать, обязательно ознакомьтесь с краткими отчетами о заседаниях NCCoE: https://www.nccoe.nist.gov/events/rsa-conference-2020
Если вы пропустили это, ознакомьтесь с записью мероприятия «Содействие киберсовместимости: путь вперед», организованного CSIS
.
Только что выпущена версия 1.0 добровольной платформы @NIST #Privacy Framework ! Проверьте это и рассмотрите возможность принятия сегодня.
Рассмотрите возможность регистрации на вебинар Privacy Framework 29 января, на котором будет рассказано о его связи с Cybersecurity Framework. Также обратите внимание на предстоящий вебинар NICE, который также состоится 29 января.th, в котором будет рассказано об обучении принципам кибербезопасности практика
Спасибо тем, кто принял участие в вебинаре SMB 10 декабря. Для тех, кто пропустил, запись уже доступна!
Ознакомьтесь с последним блогом о взаимодействии Framework с международным сообществом ЗДЕСЬ!
Ознакомьтесь с нашей новейшей Историей успеха, подготовленной Национальным кибердиректором Израиля, ознакомьтесь с ней ЗДЕСЬ!
Сохранить дату: NIST планирует провести семинар по информационным онлайн-справочникам по кибербезопасности в Национальном центре передового опыта в области кибербезопасности (NCCoE), 9700 Great Seneca Highway, Rockville, Maryland, 3 декабря ^rd, 2019. Щелкните здесь, чтобы просмотреть уведомление о конференции!
Национальный месяц осведомленности о кибербезопасности (NCSAM) 2019 подошёл к концу. В NIST весь октябрь мы работали над тем, чтобы отпраздновать кибербезопасность посредством повышения осведомленности о наших публикациях и работе, новостях и специальных мероприятиях. Спасибо, что отпраздновали вместе с нами!
OAS и AWS недавно выпустили Белую книгу по усилению потенциала кибербезопасности в Северной и Южной Америке с помощью NIST Cybersecurity Framework 9.0090
16–17 августа Эми Ман из отдела прикладной кибербезопасности приняла участие в семинаре, организованном Управлением международной торговли (ITA) на тему «Содействие торговле путем соблюдения всемирно признанных стандартов и передового опыта в области кибербезопасности» в рамках Азиатско-Тихоокеанского Встреча старших должностных лиц по экономическому сотрудничеству (АТЭС) в Пуэрто-Варасе, Чили.
Эми Ман, специалист по международной политике в NIST, подчеркивает важность международного сотрудничества и согласованности усилий по разработке концепции кибербезопасности в новой статье «Набирая темпы разработки системы кибербезопасности на международном уровне». См.: https://www.nist.gov/cyberframework/picking-frameworks-pace-internationally.
На серии заседаний Палаты США по кибербезопасности в Сиэтле 19 июня Адам Седжвик из NIST обсудил, как малые предприятия могут использовать платформу для управления рисками кибербезопасности.
Для управления рисками кибербезопасности для производителей был разработан проект руководства по внедрению (NISTIR 8183A) для производственного профиля Cybersecurity Framework с низким уровнем безопасности.
Мы рады сообщить, что платформа переведена на португальский язык!
Дорожная карта для Cybersecurity Framework версии 1.1 только что была выпущена, ознакомьтесь с ней ЗДЕСЬ!

Выпущен номер

NISTIR 8204, ознакомьтесь с ним ЗДЕСЬ!
Запись нашего веб-семинара от 26 апреля: «Далее! Веб-трансляция Cybersecurity Framework: взгляд назад, взгляд вперед» доступна ЗДЕСЬ.
Только что выпущена версия 1.1 Baldrige Cybersecurity Excellence Builder, ознакомьтесь с ней ЗДЕСЬ!
Замечания директора NIST об обновлениях кибербезопасности и конфиденциальности RSA теперь доступны
Приходите проверить нас в RSA!
Ознакомьтесь с нашей новой инфографикой, в которой показано влияние Framework на отрасль.
С годовщиной! Прошло пять лет с момента выпуска концепции повышения кибербезопасности критической инфраструктуры, и организации во всех секторах экономики творчески применяют этот добровольный подход для более эффективного управления рисками, связанными с кибербезопасностью.
В настоящее время Framework загружено более полумиллиона раз, а версия 1.1 затмила более четверти миллиона загрузок всего за девять месяцев!
Новые истории успеха – демонстрируют, как несколько различных организаций по-разному используют платформу Cybersecurity Framework для улучшения управления рисками кибербезопасности.
Конференция по управлению рисками кибербезопасности в Балтиморе, штат Мэриленд, с более чем 900 зарегистрированными участниками и насыщенной повесткой дня имела большой успех! Если вы еще этого не сделали, дайте нам знать, что вы думаете о конференции с помощью опроса участников и рейтингов Путеводителя. Слайды презентации будут доступны в ближайшие недели, следите за обновлениями.
Новые истории успеха продемонстрировали, как несколько разных организаций по-разному используют платформу Cybersecurity Framework для улучшения управления рисками кибербезопасности.
Видеозапись акции «Далее!» Теперь доступна веб-трансляция, в которой основное внимание уделялось недавним многоотраслевым рабочим продуктам, иллюстрирующим передовой опыт управления рисками кибербезопасности с использованием Framework.
Всего за шесть месяцев с момента выпуска в апреле 2018 года версию 1.1 Cybersecurity Framework скачали уже более 205 000 раз. Это сопоставимо с примерно 262 000 загрузок версии 1.0 за четыре года!
Мы приближаемся к конференции по управлению рисками кибербезопасности!
Открыта регистрация на конференцию NIST по управлению рисками кибербезопасности 2018 года, которая состоится 7–9 ноября 2018 года в отеле Renaissance Baltimore Harbourplace Hotel в Балтиморе, штат Мэриленд. Ожидается, что трехдневная конференция, спонсируемая NIST, привлечет лидеров промышленности, научных кругов и правительства на всех уровнях, включая международных участников.
Доступна запись веб-трансляции от 9 июля: «Уроки, извлеченные при использовании Baldrige Cybersecurity Excellence Builder с Cybersecurity Framework». Он может быть найден здесь.
Сохранить дату: NIST планирует провести конференцию по управлению рисками кибербезопасности, вероятно, в Балтиморе, штат Мэриленд, в течение недели 4 ноября. Это мероприятие расширит возможности предыдущих семинаров Framework и включит другие элементы управления рисками кибербезопасности. Следите за обновлениями!
Версия 1.1 платформы была опубликована 16 апреля 2018 года. Документ стал еще более информативным, полезным и всеобъемлющим для всех видов организаций. Версия 1.1 полностью совместима с версией 1.0 и остается гибкой, добровольной и экономичной. Помимо других уточнений и улучшений, документ обеспечивает более полное рассмотрение управления идентификацией и дополнительное описание того, как управлять кибербезопасностью цепочки поставок.
Доступна запись веб-трансляции от 27 апреля.
На сайт добавлено
Истории успеха, касающиеся использования/внедрения Framework! Наша первая история успеха исходит от Чикагского университета, ознакомьтесь с ней ЗДЕСЬ!
Начните использовать Baldrige Cybersecurity Tool: Справка. Во-первых, группа по информационной безопасности Медицинского центра Университета Канзаса (KUMC) начала использовать Baldrige Cybersecurity Excellence Builder (BCEB) — инструмент добровольной самооценки, основанный на Cybersecurity Framework. Узнайте об их опыте по адресу: https://www.nist.gov/blogs/blogrige/start-using-baldrige-cybersecurity-tool-heres-help
Кроме того, следующий семинар Baldrige Cybersecurity Excellence Builder Workshop, 8 апреля, с 20:30 до 15:30, в Балтиморе, штат Мэриленд. Это практический интерактивный семинар по использованию Baldrige Cybersecurity Excellence Builder (BCEB). Подробности на: https://www.nist.gov/baldrige/qe/baldrige-cybersecurity-excellence-builder-workshop
.
Комментарии
RFC, полученные к черновику 2 версии Framework 1.1 и дорожной карте, сейчас рассматриваются. Все ответы будут опубликованы в ближайшие недели. NIST благодарит вас за отзывы и, как всегда, любые дополнительные комментарии можно направлять в Cyberframework [по адресу] nist.gov ((ссылка отправляется по электронной почте)).
Две веб-трансляции от декабря 2017 года, посвященные основам Framework и предлагаемым обновлениям Framework и Roadmap, теперь доступны для воспроизведения.
Недавно было опубликовано сопоставление Framework Core с NIST SP 800-171 Revision 1. Это можно найти в Приложении D публикации(внешняя ссылка).
В блоге опубликована запись о защите критической инфраструктуры. Платформа для защиты нашей критической инфраструктуры.
Обновление платформы кибербезопасности 1 июля 2015 г.
Обновление платформы кибербезопасности 5 декабря 2014 г.
Обновление платформы кибербезопасности 31 июля 2014 г.