Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), siber güvenlik risklerini azaltmak için önemli bir belge olan, yaygın olarak kullanılan Siber Güvenlik Çerçevesini (CSF) güncelledi. En son sürüm olan 2.0, küçük okullar ve kar amacı gütmeyen kuruluşlardan büyük kurum ve kuruluşlara kadar çeşitli endüstri sektörlerini ve organizasyon boyutlarını kapsayan geniş bir kitleye hitap edecek şekilde tasarlandı. Bu güncelleme, siber güvenlik konusundaki uzmanlık düzeylerine bakılmaksızın herkesi ilgilendiriyor.
NIST, kullanıcıların çerçeveden en iyi şekilde yararlanmasına yardımcı olmak için CSF’nin temel kılavuzunu genişletti ve ilgili kaynakları geliştirdi. Bu kaynaklar, farklı hedef kitlelere CSF’ye özel yollar sağlamak ve çerçevenin uygulanmasını kolaylaştırmak için tasarlanmıştır.
“NIST CSF 2.0 güncellemesi, açık kaynak, ticari bileşenler, kurum içi geliştirilen yazılım ve Ticari Kullanıma Hazır (COTS) ürünlerin entegrasyonunu ele alarak yazılım tedarik zincirlerinin güvenliğini önemli ölçüde etkiliyor. NIST CSF 2.0, CISO’ların güvenlik sonuçlarını iyileştirecek kontrolleri daha iyi tanımlamasına ve oluşturmasına yardımcı olacak, kritik varlık korumasına yönelik yön sağlayacak, maddi etki riskini azaltacak veya ortadan kaldıracak ve kurallara uymamaktan kaynaklanan herhangi bir görev ihlalini önleyecek önemli bir araç olabilir. düzenleyici ve uyumluluk düzenlemeleri,” ReversingLabs Güven Müdürü (CTRO) Saša Zdjelar, Help Net Security’ye söyledi.
Zdjelar bunun sonuçlarına ilişkin kısa bir genel bakış sunuyor:
Kapsamlı risk yönetimi: CSF 2.0, yazılım bileşenlerinin çeşitli doğasına hitap eden sağlam risk yönetimi stratejilerine olan ihtiyacı vurgulamaktadır. Bu yaklaşım, açık kaynak kitaplıklar, ticari yazılımlar, şirket içi geliştirmeler ve COTS ürünleri genelindeki tehditleri, kusurları ve daha fazlasını tanımlamak ve azaltmak için kritik öneme sahiptir ve potansiyel güvenlik risklerinin kapsamlı bir şekilde kapsanmasını sağlar.
Entegre yönetişim: Güncelleme, yazılım tedarik zinciri güvenliğinin daha geniş kurumsal risk çerçevesine entegre edilmesini savunuyor. Bu, tüm yazılım bileşenlerine ilişkin güvenlik hususlarının kuruluşun genel risk yönetimi stratejisiyle uyumlu olmasını sağlayarak yönetişime yönelik birleşik bir yaklaşımı kolaylaştırır.
Uyarlanabilir risk yönetimi: Yazılım tedarik zincirlerinin dinamik manzarasını tanıyan CSF 2.0, uyarlanabilir risk yönetimi uygulamalarının önemini vurgulamaktadır. Bu esneklik, açık kaynak projelerini, ticari teklifleri veya özel gelişmeleri etkileyip etkilemediğine bakılmaksızın, kuruluşların ortaya çıkan tehditlere ve güvenlik açıklarına hızlı bir şekilde yanıt vermesine olanak tanır.
Güvenlik bilincine sahip kültür: Çerçeve, siber güvenlikte organizasyon kültürünün rolünün altını çiziyor. Kuruluşlar, güvenlik bilincine sahip bir ortamı teşvik ederek, tüm paydaşları faaliyetlerinde güvenliğe öncelik vermeye teşvik eder; bu, açık kaynak, ticari, şirket içi ve COTS bileşenlerinin bir karışımını kullanan yazılım tedarik zincirlerinin korunması için gereklidir.
Çerçeveyi daha alakalı hale getirmek
Ulusal Siber Güvenlik Stratejisinin uygulanmasını destekleyen CSF 2.0, hastaneler ve enerji santralleri gibi kritik altyapıların herhangi bir sektördeki tüm kuruluşlara korunmasının ötesine geçen genişletilmiş bir kapsama sahiptir. Ayrıca kuruluşların siber güvenlik stratejisine ilişkin bilinçli kararları nasıl aldığını ve yürüttüğünü kapsayan yönetişime de yeni bir odak noktası var.
CSF’nin yönetişim bileşeni, siber güvenliğin, üst düzey liderlerin finans ve itibar gibi diğer konularla birlikte dikkate alması gereken önemli bir kurumsal risk kaynağı olduğunu vurguluyor.
NIST şefi Kevin Stine’a göre, “Paydaşlarla yakın işbirliği içinde çalışarak ve en son siber güvenlik zorluklarını ve yönetim uygulamalarını yansıtarak geliştirilen bu güncelleme, çerçeveyi Amerika Birleşik Devletleri ve yurtdışındaki daha geniş bir kullanıcı grubu için daha da alakalı hale getirmeyi amaçlıyor.” Uygulamalı Siber Güvenlik Bölümü.
NIST CSF 2.0 çekirdeği
Çerçevenin çekirdeği artık altı temel işlev etrafında düzenlenmiştir: Tanımlama, Koruma, Tespit Etme, Yanıtlama ve Kurtarma ile CSF 2.0’ın yeni eklenen Yönetme işlevi. Birlikte ele alındığında bu işlevler, siber güvenlik riskinin yönetilmesine ilişkin yaşam döngüsüne ilişkin kapsamlı bir görünüm sağlar.
Güncellenen çerçeve, kuruluşların CSF’ye siber güvenlik araçlarını uygulama konusunda değişen ihtiyaçlar ve deneyim dereceleriyle geleceğini öngörüyor. Yeni benimseyenler, diğer kullanıcıların başarılarından öğrenebilir ve küçük işletmeler, kurumsal risk yöneticileri ve tedariklerini güvence altına almak isteyen kuruluşlar gibi belirli kullanıcı türleri için tasarlanmış yeni uygulama örnekleri ve hızlı başlangıç kılavuzları dizisinden ilgilendikleri konuyu seçebilirler. zincirler.
Yeni CSF 2.0 Referans Aracı artık kuruluşların CSF’yi uygulama biçimini basitleştirerek kullanıcıların CSF’nin temel kılavuzundaki insan tarafından tüketilebilen ve makine tarafından okunabilen formatlardaki verilere ve ayrıntılara göz atmasına, arama yapmasına ve dışa aktarmasına olanak tanıyor.
Aranabilir katalog ve Siber Güvenlik ve Gizlilik Referans Aracı
Ek olarak, CSF 2.0, mevcut eylemlerinin CSF ile nasıl eşleştiğini gösteren, bilgilendirici referanslardan oluşan aranabilir bir katalog sunar. Bu katalog, bir kuruluşun CSF kılavuzuna, belirli siber güvenlik sonuçlarına ulaşmak için araçlardan oluşan (kontroller olarak adlandırılan) bir katalog olan SP 800-53 Rev.5 gibi NIST’in diğer belgeleri de dahil olmak üzere 50’den fazla başka siber güvenlik belgesine çapraz referans vermesine olanak tanır.
Kuruluşlar ayrıca, CSF de dahil olmak üzere bu NIST kaynaklarını diğer popüler kaynaklarla bağlamsallaştıran birbiriyle ilişkili, göz atılabilir ve indirilebilir bir dizi NIST kılavuz belgesi içeren Siber Güvenlik ve Gizlilik Referans Aracına (CPRT) başvurabilir. Ve CPRT, bu fikirleri hem teknik uzmanlara hem de üst düzey yöneticilere iletmenin yollarını sunar, böylece bir organizasyonun tüm seviyeleri koordineli kalabilir.
Devamını oku: