Bu Help Net Security röportajında, TIA İş Performansından Sorumlu Başkan Yardımcısı Mike Regan, kuruluşların NIST’i ve diğer hükümet yönergelerini ve çerçevelerini işlevselleştirmesine yardımcı olmak için hazırlanmış, onaylanabilir bir standart olan SCS 9001 Sürüm 2.0’ı tartışıyor.
Önceki standardı geliştiren SCS 9001 2.0 standardı, endüstriler ve sektörler arasındaki çeşitli iletişim ağlarına uyarlanabilen daha kapsamlı bir küresel siber güvenlik ve tedarik zinciri güvenliği çerçevesi sunuyor. Tasarımı, BİT pazarına, artırılmış hükümet mevzuatına ve genişleyen endüstri girişimlerine uyum sağlar.
SCS 9001 2.0 standardının siber güvenlik ve tedarik zinciri güvenliği açısından selefinden farkı nedir?
SCS 9001 2.0, önceki sürüm olan SCS 9001’i genişleterek donanım kaynağı ve geliştirme, bulut tabanlı hizmetler, satın alma ve sevkiyat/lojistik konularını ana örnekler olarak iyileştirilmiş kapsama alanıyla genişletiyor. Güvenli yazılım geliştirme, siber ve tedarik zinciri güvenliği risk yönetimi ve malzeme listelerinin oluşturulması gibi bazı hükümet girişimlerine yönelik ek iyileştirmeler yapılmıştır. Son olarak, CSA Cloud Controls Matrix 4.0 ve ISO 27001/2’nin yeni yayınlanan kontrollerini güncellemek ve bunlara daha yakın uyum sağlamak için geliştirmeler yapıldı.
Ayrıca SCS 9001 2.0, diğer tamamlayıcı standartlarla entegre yönetim sistemleri oluşturmayı kolaylaştırmak için Annex SL formatıyla uyumludur.
Standardın özellikle tedarik zinciri satın alma, nakliye ve lojistik alanlarındaki küresel erişimini tartışabilir misiniz?
Mevcut yeniden destek veya yakın destek girişimlerine rağmen, BİT endüstrisindeki modern tedarik zincirleri, birçok ulusal sınırı aşan malzeme ve yazılım bileşenleriyle doğası gereği küreseldir. SCS 9001 2.0, küresel çapta benimsenmeyi teşvik etmek amacıyla ulusal veya bölgesel önyargılar olmaksızın küresel bir standart olarak tasarlanmıştır. BİT tedarik zincirlerinin küresel doğası göz önüne alındığında, SCS 9001 2.0, tedarik zincirine hileli veya kusurlu bileşenlerin kurcalanması veya eklenmesi potansiyelini azaltmak için tedarik, nakliye ve lojistik gerekliliklerini içerir.
SCS 9001 2.0 kendisini diğer operasyonel siber güvenlik standartlarından hangi yönlerden ayırıyor?
SCS 9001, konseptinden itibaren BİT endüstrisi için tedarik zinciri güvenliğine odaklanmıştır. Tedarikçilerin, işlerini yürüttükleri dürüstlük ve şeffaflık düzeyi de dahil olmak üzere güvenlik uygulamalarının değerlendirilmesi yoluyla tüketici ile tedarikçi arasındaki ilişkide güven ve itimat oluşturmak için kullanılır.
Pek çok çağdaş yayın ve standart, şüphesiz önemli olan siber ve operasyonel güvenliğe odaklanmıştır. Ancak TIA’nın duruşu, güvenliğin daha bütünsel bir şekilde ele alınması gerektiği ve gelişmiş güvenlik hedeflerinin, kurumsal uygulamaların tüm yönlerindeki iyileştirmeleri hesaba katması gerektiği ve birbirini dışlamaması gerektiği yönünde. Bununla birlikte SCS 9001, gerekli daha geniş koruma setini sağlamak için her biri kendi ana odağına sahip olan diğer popüler standartlarla uyum içinde kullanılabilir.
SCS 9001 2.0’da ürün menşei, bileşen izlenebilirliği ve menşe özgünlüğüne ilişkin genişletilmiş kapsamı detaylandırabilir misiniz?
Bir üründe kullanılan her yazılım ve donanım bileşeninin kaynağına ilişkin kanıt sağlama yeteneği, tedarik zinciri güvenliğinin iyileştirilmesindeki en önemli ve zor hedeflerden biridir. Üreticiler, ürünlerinde kullanılan her yazılım ve donanım bileşeninin menşeini ve versiyonlarını gösteren malzeme listeleriyle tedarik zincirlerinin tam kontrolünü gösterebilmelidir.
Bu zorluğun üstesinden gelmek için, SCS 9001 2.0’da özetlendiği gibi kaynak gereksinimlerini otomatikleştiren ve destekleyen araçlar geliştiren yenilikçi yazılım şirketleri ortaya çıktı. Bu araçlar, menşele ilgili standartları karşılamak için gerekli kanıtları üretir.
SCS 9001 2.0, özellikle kritik ağ altyapısının korunmasında, hükümetlerin ve düzenleyicilerin artan siber güvenlik gereksinimlerine nasıl uyum sağlıyor?
TIA, Hükümet Savunuculuğu ekibinin yardımıyla, gelişmiş siber ve tedarik zinciri güvenliğini teşvik etmek için yeni mevzuat olmasa da rehberlik sunmayı amaçlayan küresel hükümet faaliyetlerini ve girişimlerini yakından takip ediyor. SCS 9001 standardı gelişmeye devam ettikçe, bu faaliyetleri desteklemek için sürekli olarak geliştirilecek ve hükümet girişimleri ve yeni uygulanan düzenleyici yetkilerle uyumu operasyonel hale getirmek ve göstermek için kullanılabilecek belgelenebilir bir standart sağlayacaktır.
Buna ek olarak, siber saldırılardaki hızlı artışla birlikte dünya çapındaki hükümetler ve düzenleyiciler, özellikle kritik ağ altyapısının korunması söz konusu olduğunda, kuruluşlara yönelik siber güvenlik gereksinimleri konusunda daha kuralcı hale geliyor.
Örnek olarak, Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) yakın zamanda ABD Ticaret Bakanlığı’nın 42,5 milyar dolarlık Geniş Bant Eşitlik Erişimi ve Dağıtımı (BEAD) program kuralları için yeni siber güvenlik ve tedarik zinciri risk yönetimi (SCRM) gerekliliklerini içeren bir önlemi kabul etti.
Uluslararası alanda Kosta Rika, 2022 yılında kritik ağ altyapısına yönelik yıkıcı bir saldırının ardından satıcıların TIA SCS 9001 standardına sertifika vermesini zorunlu kılan Latin Amerika’daki ilk hükümet oldu.
SCS 9001 2.0 standardının geliştirilmesinde ve uygulanmasında kilit paydaşlar kimlerdir?
TIA, kendini adamış gönüllülerin sektördeki ilerlemeleri desteklemek için zamanlarını ve uzmanlıklarını katkıda bulunduğu, üye odaklı bir kuruluştur. Endüstri standartlarımız, BİT endüstrisinin üyeleri tarafından geliştirilmekte ve bunların bir bütün olarak endüstriye fayda sağlayacak şekilde uyarlanması sağlanmaktadır. SCS 9001 2.0, çeşitli kuruluşlardan çok sayıda konu uzmanının katkılarının ve uzmanlığının sonucudur. Bu kuruluşlar, modern ağlar kurma ve işletme, bu ağlarda kullanılan en son ürünleri ve hizmetleri sağlama konusunda ön saflarda yer almaktadır.
SCS 9001 2.0’a katkıda bulunanlar arasında liderlik, güvenlik, kalite, ağ tasarımı, mühendislik, ürün testi, satın alma ve lojistikten sorumlu profesyoneller yer almaktadır. SCS 9001 2.0, geleneksel kamu hizmeti sağlayıcılarının ötesine geçiyor ve bulut platformları, veri merkezleri, IoT, uydu iletişimleri ve işletmeler gibi çeşitli modern ağların operatörlerine faydalar sağlıyor.