[ This article was originally published here ]
John E. Dunn tarafından
NIST’in Siber Güvenlik Çerçevesinin 1.1 revizyonundan bu yana yaklaşık yedi yıl geçti. 2.0 sürümünde neler gelebilir?
2014 yılında piyasaya sürülmesinden bu yana, NIST’in Siber Güvenlik Çerçevesi (CSF), en iyi uygulama ve planlama için dünyanın en etkili siber güvenlik referanslarından biri haline geldi.
Ocak ayında, dünya nihayet taslağı gördü bu, 2023 ortalarında piyasaya sürülecek olan bir sonraki sürüm 2.0 revizyonunun temelini oluşturacak.
Bu taslaktan, CSF’nin 2016’daki 1.1 sürümünün yenilenmesinden bu yana yeni ve çok daha geniş hedefler üstlenerek hızla geliştiği açıktır. Bunlardan ilki ve belki de en önemlisi, NIST’in “artan uluslararası işbirliği katılımı” dediği şeydir. Bu biraz ciddi geliyorsa, satır aralarını okursanız bundan daha fazlası var gibi görünüyor.
“2013’te CSF’nin geliştirilmesine başlanmasından bu yana birçok kuruluş, CSF’nin uluslararası kullanımının siber güvenlik çabalarının verimliliğini ve etkinliğini artıracağını açıkça belirtti.”
NIST, Çerçevenin birden fazla dile çevrilmesini ve CSF’yi ISO gibi küresel standart kuruluşlarıyla bütünleşmek ve onları etkilemek için kullanmayı planladığını söyledi.
CSF doğası gereği bir dizi resmi standarttan ziyade bir çerçeve olsa da, NIST’in başarısını daha geniş bir küresel etkinin habercisi olarak gördüğü açıktır. Bir şeye ihtiyaç var. Bu, hızlı bir şekilde en iyi uygulama için fiili rehber haline gelirse, bunun anavatanları olan ABD’nin çok ötesindeki CISO’lar için sonuçları olacaktır.
Sıfır Güven
NIST ayrıca 2.0 sürümünün sunduğu tavsiyeleri siber güvenlikteki diğer gelişmelerle, özellikle de sıfır güven mimarisi (ZTA), 5G Siber Güvenlik, Kuantum Sonrası Kriptografi (PQC) geçişi ile eşleştirmesini istiyor.
CSF ile ilgili bir sorun, en iyi uygulamayı uygulamayla ilişkilendirmek olmuştur. NIST 2.0 sürümünün, Çerçevenin farklı kuruluşlar tarafından nasıl kullanıldığına dair bir örnek sunan ‘başarı öyküleri’ listesini genişleteceğini vaat ediyor.
Tedarik zinciri
2016 sürüm 1.1 güncellemesi, tedarik zinciri yönetimini bir kategori olarak ekledi ve NIST, 2021’de ABD Hükümeti tarafından yönlendirildiği üzere, sürüm 2.0’ın bu konuda nasıl genişleyebileceği konusunda endüstri girdisi arıyor.
“Artan küreselleşme, dış kaynak kullanımı ve teknoloji hizmetlerinin kullanımının yaygınlaşması göz önüne alındığında, CSF 2.0, kuruluşların hem birinci hem de üçüncü taraf risklerini tanımlamasının, değerlendirmesinin ve yönetmenin önemini açıkça ortaya koymalıdır.”
Başka bir deyişle, kuruluşların bir çerçeve aracılığıyla yalnızca kendi risklerini değil, ortaklarının risklerini nasıl değerlendirdiği, gelecekteki güncellemelerde büyük bir tema haline gelebilecek bir şey.
KOBİ Siber Güvenlik
Kritik altyapıya odaklanan ilk sürüm 1.0’dan bu yana, örneğin KOBİ’ler ve eğitim sektörü gibi diğer sektörlere artan bir odaklanma olmuştur. Kavram Belgesi, bunun CSF’yi nasıl etkileyebileceği konusunda biraz muğlaktır, ancak NIST’in mevcut ABD yönetimi tarafından buna bakmaya teşvik edilmesi, işleri fazladan hızlandırmış gibi görünüyor.
Sürüm 2.0 ayarlanmaktan çok uzak. NIST, 3 Mart 2023’e kadar e-posta göndererek sektör taraflarından yorum ve geri bildirim almaya devam ediyor. siber çerç[email protected].
reklam