Ulusal Standartlar ve Teknoloji Enstitüsü, 2014’ten bu yana kurumun risk kılavuzunun ilk büyük güncellemesi olan Siber Güvenlik Çerçevesi 2.0’ın uzun zamandır beklenen bir taslak sürümünü Salı günü yayınladı.
Başlangıçta risk rehberliğini kritik altyapıya odakladıktan sonra, güncellenen çerçeve, küçük ve orta ölçekli işletmeler, yerel okullar ve diğer kuruluşlar dahil olmak üzere daha geniş bir kuruluş yelpazesini içerir.
Gözden geçirilmiş çerçeve aynı zamanda kurumsal yönetişimin rolünü ve üçüncü taraf ilişkileri yoluyla dijital ağlara yönelik artan riskleri de ele alıyor.
Çerçevenin baş geliştiricisi Cherilyn Pascoe, “NIST, tehditler, teknolojiler ve standartlardaki değişiklikler de dahil olmak üzere siber güvenlik ortamındaki değişiklikleri hesaba katmak için Çerçeveyi güncelliyor” dedi. “Siber güvenlik yönetişimi ve tedarik zinciri siber güvenliğine odaklanılması gibi Çerçevedeki bazı değişiklikler, son on yılda siber güvenlik ortamındaki bu değişikliklere yanıt olarak geldi.”
Dünyanın dört bir yanındaki kuruluşlar, son on yılda orijinal CSF’yi kullandı ve çerçeve NIST’e göre 2 milyondan fazla indirildi.
CSF 2.0, dijital tehdit ortamındaki büyük değişiklikleri yansıtan, çeşitli paydaşlardan gelen bir yılı aşkın geri bildirimi takip ediyor.
NIST, Şubat 2022’de çerçevenin nasıl revize edileceği ve tedarik zinciri risk yönetiminin nasıl iyileştirileceği hakkında bir bilgi talebinde bulundu. Microsoft, American Airlines, Carnegie Mellon Üniversitesi ve Rapid 7 liderliğindeki iki düzineden fazla siber güvenlik kuruluşunun ortak yanıtı dahil olmak üzere çeşitli şirketlerden ve diğer kuruluşlardan 130’dan fazla yanıt aldı.
Kılavuz beş ana işleve ayrılmıştır: Siber saldırıları veya veri ihlallerini belirleme, koruma, tespit etme, yanıt verme ve bunlardan kurtulma.
Kılavuz, kuruluşlara, özellikle iç kaynakları olmayan küçük ve orta ölçekli firmalara, sağlam güvenlik programları geliştirmelerine ve sonuçları ölçmelerine yardımcı olmayı amaçlamaktadır.
Critical Insight’ın CISO’su Mike Hamilton’a göre kılavuz, kuralcı olacak şekilde değil, sonuca yönelik olacak şekilde tasarlandı.
Hamilton, “Uzaktan erişim yönetiliyor,” diye örnek veriyor. “Bunu nasıl yaptığının bir önemi yok. Bunu senin yapman önemli.”
Yeni kılavuz, sektör analistlerinin, özellikle hızlı açıklama ve istihbarat paylaşımına yapılan yeni vurgu ışığında, çerçevede kritik bir değişiklik olarak değerlendirdiği bir kuruluş içindeki yönetişime ilişkin altıncı bir işlevi içermektedir.
Forrester’da kıdemli güvenlik ve risk analisti Cody Scott e-posta yoluyla, “Güvenlik ekipleri teknik kontrollerle yaşıyor ve nefes alıyor, ancak yönetimin önderliğindeki kontrolleri uygulamak genellikle daha zor,” dedi. “CSF 2.0’daki yönetme adımı, güvenlik ekiplerine, etkin iş yönetimi sağlamadaki rollerini göstermek için iş liderliğiyle bir açılım sağlıyor.”
NIST, kullanıcıların verileri makine tarafından okunabilir bir biçimde taramasına, aramasına ve dışa aktarmasına yardımcı olmak için birkaç hafta içinde bir CSF 2.0 referans aracı yayınlayacak. Ayrıca, ek kamu görüşleri için sonbaharda bir çalıştay düzenleyecek.
Herkese açık yorumlar için son tarih 4 Kasım ve NIST, 2024’ün başlarında CSF 2.0’ın son sürümünü yayınlamayı planlıyor.