NIST Siber Güvenlik Çerçevesi (CSF), özel ve kamu sektörlerine, devlet kurumlarına ve diğer kuruluşlara siber güvenlik risk yönetimi rehberliği sağlamak üzere tasarlanmış bir çerçevedir. Büyüklüğü, ölçeği, yaşı veya sektörü ne olursa olsun her türlü kuruluşun kullanımına uygun olması amaçlanmıştır.
Siber güvenlik çerçevesinin 2.0 sürümü, temel kılavuzuyla çok daha kapsamlıdır ve ek alt kategorilerin yanı sıra bu hedeflere ulaşmaya yönelik uygulamalar hakkında daha fazla rehberlik sunan çevrimiçi kaynaklara bağlantılar listeler. Kılavuz altı odak alanına bölünmüştür: tanımlama, koruma, tespit etme, yanıt verme, kurtarma ve yönetme.
Bu makale NIST Siber Güvenlik Çerçevesini, CSF 2.0’da özetlenen önemli değişiklikleri ve bunun benimsenebileceği bazı yolları ortaya koymaktadır.
NIST Siber Güvenlik Çerçevesi
Genel Bakış
NIST Siber Güvenlik Çerçevesi (NIST CSF) ilk olarak 2014 yılında Ulusal Standartlar ve Teknoloji Enstitüsü tarafından Amerika Birleşik Devletleri’ndeki altyapının güvenliğini desteklemek amacıyla tanıtıldı. Siber saldırıların riskini ve etkisini azaltmak için ortak bir standartlar, hedefler ve terminoloji kümesi oluşturarak.
NIST CSF, paylaşılan çerçeveyi teşvik ederek daha iyi karar almaya yardımcı olur ve kimlik avı ve fidye yazılımı gibi tehditlere karşı güvenlik standartlarını teşvik eder.
İlk sürüm 2018’de Sürüm 1.1’e güncellendi ve Temel Tanımlama işlevinin eklenmesi, ek alt kategoriler ve iyileştirilmiş netlik gibi önemli değişiklikler benimsendi. Çerçevenin 2.0 sürümünün taslak kopyası, kamuoyunun geri bildirimini almak amacıyla Ağustos 2023’te yayınlandı ve Kasım 2023’te yorumlara kapatıldı; Sürüm 2.0’ın son sürümü Şubat 2024’te yayınlandı.
Yeni çerçeve, çeşitli durumlara karşı artan esneklik gösterdiğinden, NIST, bu çerçevenin her büyüklükteki kuruluş tarafından gönüllü olarak benimsenmesini tavsiye etti.
Hedef kitle
Çerçevenin birincil hedef kitlesi, kuruluşlar içinde siber güvenlik planlaması ve stratejisinin geliştirilmesinden ve denetlenmesinden sorumlu kişilerden oluşur.
Aynı zamanda yöneticiler, yönetim kurulu, satın alma uzmanları, teknoloji uzmanları, risk yöneticileri, hukuk uzmanları, insan kaynakları uzmanları ve siber güvenlik ve risk yönetimi konusunda uzmanlaşmış denetçiler gibi risk yönetimiyle ilgili diğer roller için de geçerlidir.
Ek olarak CSF, siber güvenlik risk yönetimine ilişkin öncelikleri belirleyen ve ileten özel ve kamu politikalarının oluşturulması ve etkilenmesinde rol oynayanlar (örn. dernekler, mesleki kuruluşlar, düzenleyiciler) için yararlı bir varlık olarak hizmet edebilir.
NIST Siber Güvenlik Çerçevesi 2.0’da Büyük Değişiklikler
Şubat 2024’te yayınlanan NIST Siber Güvenlik Çerçevesi 2.0, çerçevenin en son revizyonudur.
‘Yönetim’ Temel İşlevinin Dahil Edilmesi
Önceki çerçeve, uygulamadaki temel işlevlerin ‘Tanımla, Koru, Tespit Et, Yanıtla ve Kurtar’ olduğunu belirtirken, yeni çerçeve ‘Yönet’i de içeriyor.
Hükümet, siber güvenlik stratejisinin oluşturulmasını ve siber güvenlik tedarik zinciri riskini ele almayı amaçlıyor
yönetim, roller, sorumluluklar, yetkiler, politika ve kurumsal bağlamda siber güvenlik stratejisinin gözetimi.
Temel Fonksiyonlar İçerisinde Daha Kapsamlı Alt Kategoriler ve Referanslar
CSF 2.0 sürümü, listelenen temel işlevler dahilinde siber güvenlik hedeflerinin ve standartlarının ek kategorilerini ve alt kategorilerini ve ayrıca okuyuculara yardımcı olacak yüzlerce başka yararlı referansı içerir. Yeni çerçeve, tanımları ve kaynaklarıyla çok daha kapsamlıdır.
Genişletilmiş Kapsam
Yeni çerçevenin kapsamı, su tesisleri ve enerji santralleri gibi kritik altyapıların korunmasının ötesinde, sektör veya büyüklükten bağımsız olarak tüm kuruluşlar için güvenlik standartlarının sağlanmasına kadar genişledi.
Bu genişletilmiş kapsam, CSF’nin resmi başlığının daha önceki “Kritik Altyapı Siber Güvenliğini İyileştirme Çerçevesi” yerine “Siber Güvenlik Çerçevesi” olarak değiştirilmesinde yansıtılmaktadır.
Bu, ABD Kongresi’nin çerçevenin küçük işletmelere yardım edecek şekilde kılavuzunun genişletilmesi yönündeki daha önceki talebini yansıtıyor.
Çerçeve Katmanları
Yeni katmanlar, bir şirketin siber güvenlik risklerini nasıl ele aldığını tanımlayarak, hedeflerini en iyi şekilde karşılayan katmanı benimsemelerine, uygulamadaki zorlukları hesaba katarken siber riski arzu edilen bir düzeye düşürmelerine olanak tanıyor.
Katmanlar, artan karmaşıklık düzeyiyle birlikte uygulama konusunda ek çabalarla birlikte 1’den (“Kısmi”) 4’e (“Uyarlanabilir”) kadar ilerleme sunar.
Çerçeve Profilleri
CSF profilleri, şirketlerin siber güvenlik risklerini azaltmak için kendileri için doğru yolu bulmalarına yardımcı olur. Her profil, bir kuruluşun “mevcut” ve “hedef” konumlarını ve bir profilden diğerine geçiş kriterlerini karşılama durumunu ortaya koyar.
Tedarik Zinciri ve Üçüncü Taraf Riskine Odaklanma
Çerçeve, temel ‘Yönetim’ işlevinin bir parçası olarak yeni tedarik zinciri yönergelerini içeriyor ve bir kuruluşun işlevlerini yerine getirirken yazılım tedarik zincirlerindeki siber güvenlik risklerinin dikkate alınmasını bekliyor.
Ayrıca NIST çerçevesi, kuruluşlara tedarikçi veya diğer üçüncü taraf yüklenicilerle anlaşma yapmadan önce riskleri azaltmak için gerekli özeni planlamaları ve yürütmeleri gerektiğini hatırlatır.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.