NIST 2.0 Siber Güvenlik Çerçevesi Taslağı Yayınlandı!

NIST 2.0 Siber Güvenlik Çerçevesi Taslağı Yayınlandı!

Cyber Security Framework kritik altyapıya sahip her türlü organizasyona uyum sağlayabilen siber güvenlik risk yönetim aracıdır. Uygulandığı kurumda sürdürülebilir performans sağlamayı amaçlayan CSF, siber güvenlik ekosisteminde endüstri tarafından kabul edilmiş standartları (NIST SP 800-53 Rev.4, ISO/IEC 27001:2013, COBIT 5, CIS CSC, ISA 62443-2-1:2009, ISA 62443-3-3:2013) esas alarak 2014 yılında yayınlanmıştır.

5ana kategori halinde düzenlenen ve kategorilerin kabul görülen standartlarla ilişkilendirildiği bu bölüm, siber güvenlik risk yönetim yaşam döngüsüne ilişkin üst düzey bir stratejik görüş sağlamaktadır.

- Identify: Sistemlerin, insanların, varlıkların ve verilerin siber güvenlik riskini yönetmek için kurumsal bir anlayış geliştirilmesine yardımcı olmaktadır.

- Protect: Kritik servislerin korunmasını sağlamak ve potansiyel bir siber güvenlik olayının etkisini sınırlamak için uygun önlemleri içermektedir.

- Detect: Siber güvenlik olaylarının zamanında keşfedilmesini sağlamak için uygun faaliyetler geliştirmekte ve uygulamaktadır.

- Respond: Tespit edilen bir siber güvenlik olayına karşı harekete geçmek için uygun faaliyetleri içermektedir.

- Recover: Esneklik planlarını sürdürmek ve siber güvenlik olayı nedeniyle bozulmuş olan tüm hizmetleri geri yüklemek için uygun aktiviteler geliştirmekte ve uygulamaktadır.

Çerçeve, 2014'teki ilk yayınından bu yana siber güvenlik risklerini azaltmak için yaygın olarak kullanılmaktadır. NIST CSF 1.1'in siber güvenlik risklerini ele almada etkili bir çerçeve olmaya devam etmektedir. Anacak mevcut ve gelecekteki siber güvenlik sorunlarına çözüm bulmak ve kuruluşların Çerçeveyi kullanmasını kolaylaştırmak için değişikliklerin gerekli olduğu konusunda da yaygın bir fikir birliği bulunmaktaydı. Bu nedenlerle NIST, 8 Ağustos tarihinde  NIST Siber Güvenlik Çerçevesi 2.0 Taslağını yayınladı.

 CSF 2.0 taslağı, aşağıdaki verilen değişiklikleri kapsamaktadır.

-Eski kapsamı kritik altyapı kurumları olan çerçevenin yeni kapsamı ürü veya büyüklüğü ne olursa olsun tüm kuruluşlar olarak genişledi. CSF'nin resmi başlığının, daha sınırlayıcı olan "Kritik Altyapı Siber Güvenliğini İyileştirme Çerçevesi" yerine halk dilindeki adı olan "Siber Güvenlik Çerçevesi" olarak değişmesi

-NIST 5 kategoriye, bir kuruluşun siber güvenlik stratejisini desteklemek için kendi iç kararlarını nasıl alabileceğini ve uygulayabileceğini kapsayan altıncı kategori olarak yönetim (govern) başlığı eklendi.  Böylece siber güvenliğin kurumsal risklerin önemli bir kaynağı olduğunu vurgulayarak üst yönetim için dikkate alınması gereken yasal, finansal ve diğer risklerle beraber dikkate alınması gerektiğini belirtti.

Govern: Kuruluşun siber güvenlik risk yönetimi stratejisini, beklentilerini ve politikasını oluşturun ve takip edin. YÖNETİM Fonksiyonu kesişen bir fonksiyondur ve bir kuruluşun misyonu ve paydaş beklentileri bağlamında diğer beş Fonksiyonun sonuçlarını nasıl başaracağı ve önceliklendireceği hakkında bilgi veren sonuçlar sağlar. Yönetişim faaliyetleri, siber güvenliği bir kuruluşun daha geniş kurumsal risk yönetimi stratejisine dahil etmek için kritik öneme sahiptir. YÖNETİM örgütsel bağlamın anlaşılmasını yönlendirir; siber güvenlik stratejisinin oluşturulması ve siber güvenlik tedarik zinciri risk yönetimi; roller, sorumluluklar ve yetkiler; politikalar, süreçler ve prosedürler; ve siber güvenlik stratejisinin gözetimi.

- Yeni çerçevede kurumlar kendi profillerini oluşturmalarına rehberlik eder. Profil, kuruluşların siber güvenlik riskini azaltmak için kurumsal ve sektör hedefleriyle uyumlu, yasal/düzenleyici gereklilikleri ve sektördeki en iyi uygulamaları dikkate alan ve risk yönetimi önceliklerini yansıtan bir yol haritası oluşturmasına olanak tanır.

Ayrıca kamuya açık yorumlar 4 Kasım 2023 Cuma gününe kadar cyberframework@nist.gov adresi üzerinden kabul edilmektedir.

İlginizi çekebilecek diğer makaleler:

NIST Cyber Security Framework Nedir?

Yazar: Nazlıcan TANIN/ Bilgi Sistemleri Denetim Uzmanı