Birleşik Krallık hükümetine ve Kritik Ulusal Altyapıya yönelik giderek artan siber saldırı tehdidiyle birlikte siber güvenlik her zamankinden daha fazla önem taşıyor.
GovAssure, giderek artan tehdit dalgası göz önünde bulundurularak, Birleşik Krallık hükümeti tarafından Nisan 2023’te başlatıldı. Bu, hükümetin BT sistemlerinin siber saldırılara karşı tamamen korunmasını sağlamayı amaçlayan bir siber güvenlik programıdır.
Yeni siber güvenlik planı, Ulusal Siber Güvenlik Merkezi’nin (NCSC) girdileriyle Kabine Ofisi Devlet Güvenlik Grubu (GSG) tarafından yürütülüyor. Bu yeni plan kapsamında, tüm merkezi hükümet departmanlarının siber sağlıkları yeni ve daha sağlam kriterler aracılığıyla yıllık olarak incelenecek.
Yeni ve daha sağlam planın lansmanında Hükümet Baş Güvenlik Görevlisi Vincent Devine, GovAssure’u hükümetin karşı karşıya olduğu ortak siber güvenlik zorluklarına ilişkin çok daha fazla görünürlük elde etme şansı ve aynı zamanda “güvenlik savunuculuğu için güçlü bir araç” olarak tanımladı: ve siber güvenlik profesyonellerinin güvenlik değişimi ve yatırımı durumunu güçlendirmelerini sağlayacak.
GovAssure, hükümet departmanlarını (ve belirli muvazzaf kurumları) ve siber güvenliğe yönelik yaklaşımları gözden geçirmeyi amaçlamaktadır. Şu anda yalnızca resmi sistemler için tasarlanmıştır ve gizli veya daha yüksek sistemler için geçerli değildir.
Devlet dairelerinin ve bağımsız kuruluşların siber güvenlik duruşu ve kapasitesi hakkında daha iyi bir anlayış geliştirilmesine yardımcı olacaktır. Departmanların artık güçlü yıllık güvenlik denetimleri aracılığıyla, NCSC’nin Siber Değerlendirme Çerçevesinde (CAF) belirtildiği şekilde siber güvenlik güvence önlemlerini doğrulamaları gerekiyor.
CAF, güvenlik riskinin yönetilmesi ve siber saldırılara karşı korunmaya yönelik iyi uygulama göstergelerini ortaya koymaktadır.
NCSC’nin CAF’si, AB genelinde siber güvenlik seviyelerini ve kilit sistemlerin dayanıklılığını artırmayı amaçlayan Ağ ve Bilgi Sistemleri (NIS) düzenlemeleriyle bağlantılı olarak Kritik Ulusal Altyapı (CNI) içindeki operatörler tarafından kullanılmak üzere tasarlandı. NIS, Mayıs 2018’de İngiltere’de yürürlüğe girdi.
GovAssure, bakanlıkların gözden geçirilmek üzere Kabine Ofisine sunması gereken mevcut ‘Bakanlık Güvenlik Sağlık Kontrollerinin’ yerini alıyor. Bu, siber dayanıklılığı artırmaya ve devlet kurumlarının kendilerini artan düşman siber tehditlere karşı korumalarına yardımcı olmaya yönelik Hükümetin Siber Güvenlik Stratejisinin önemli bir parçasıdır.
GovAssure beş aşamalı bir süreçtir:
- Organizasyonel iletişim ve hizmetler
- Kapsam içi sistemler ve Devlet CAF profiline atama
- CAF öz değerlendirmesi
- Bağımsız güvence incelemesi
- Nihai değerlendirme ve hedeflenen iyileştirme planı
1. Aşama
GovAssure’un ilk aşaması bir kapsam belirleme çalışmasıdır. Burada kuruluşların kendi stratejik bağlamlarına ilişkin tam bir anlayış geliştirmeleri ve siber güvenlik tehdit ortamını anlamaları gerekmektedir.
Kapsam, bakanlığın CNI veya Temel Hizmetlerin Operatörleri (OES) ile ilgili olarak sağladığı temel hizmetlere göre tanımlanacaktır.
2. aşama
Temel hizmetler belirlendikten sonra, kritik Daha sonra sistemler tanımlanır. Bunlar, belirlenen temel hizmetler için operasyonel ve destek sistemlerinin bir karışımı olabilir.
İki Devlet Siber Değerlendirme Çerçevesi (CAF) profili vardır: Temel ve Gelişmiş. Bu profiller GSG, NCSC ve Kabine Ofisi ile görüşülerek belirlenecek. Geliştirilmiş profil otomatik olarak devlet CNI’sına uygulanacaktır.
Sahne 3
CAF öz değerlendirmesinin dört hedefi vardır: güvenlik riskini yönetmek, siber saldırılara karşı koruma sağlamak, siber güvenlik olaylarını tespit etmek ve siber güvenlik olaylarının etkisini en aza indirmek.
Departmanlar, kuruluş içindeki ilgili kilit paydaşlardan gelen girdilerle öz değerlendirmeyi tamamlamalıdır. CAF, ISO 27001 ve NIST SP 800-53 dahil olmak üzere çeşitli endüstri standardı çerçevelerle eşlenmiştir.
Aşama 4
Daha sonra akredite üçüncü taraflar, departmanın öz değerlendirmesini doğrulamak için bağımsız incelemeler gerçekleştirecek. Bu inceleme, ilgili CAF profiline ulaşma düzeyini değerlendirecek, öz değerlendirme bulgularının sonuçlarını doğrulayacak ve mevcut siber güvenlik kontrollerinin ne kadar etkili olduğunu belirleyecektir.
Bu değerlendirme, bölümün WebCAF gönderimlerini ve gönderimde atıfta bulunulan destekleyici belgeleri inceleyerek CAF düzeyine ulaşmayı değerlendirecektir.
Üçüncü taraf incelemeci aynı zamanda yanıtları objektif olarak incelemek için kilit paydaşlarla görüşmeler de yapacaktır. İncelemeler, iyi uygulamaya ilişkin destekleyici göstergelerin ne ölçüde başarıldığını, kısmen gerçekleştirildiğini veya gerçekleştirilemediğini değerlendirecektir.
Aşama 5
Son olarak, bağımsız inceleme tamamlandıktan sonra nihai değerlendirme raporu oluşturulur ve bağımsız güvence sağlayıcı tarafından kuruluşa sunulur. GSG daha sonra kuruluşla birlikte çalışarak iyileştirme yapılacak alanların öncelikli listesinin ana hatlarını çizerek hedefli bir iyileştirme planı geliştirecek.
Bu süreç göz korkutucu veya karmaşık görünebilir ancak birçok şirket yardımcı olabilir. AMR CyberSecurity, örneğin GovAssure’un 4. Aşama gerekliliklerini ilgili kuruluşlara sağlayabilen bir GovAssure Bağımsız Güvence İncelemecisidir. Yüksek vasıflı, kalifiye güvence danışmanları, kuruluşlara Bağımsız Güvence İncelemesinin yanı sıra siber güvenlikle ilgili diğer güvence faaliyetlerini yürütmede yardımcı olabilir.