EN

NIST Cyber Security Framework Nedir?

10 Şubat 2020


Cyber Security Framework kritik altyapıya sahip her türlü organizasyona uyum sağlayabilen siber güvenlik risk yönetim aracıdır. Uygulandığı kurumda sürdürülebilir performans sağlamayı amaçlayan CSF, siber güvenlik ekosisteminde endüstri tarafından kabul edilmiş standartları (NIST SP 800-53 Rev.4, ISO/IEC 27001:2013, COBIT 5, CIS CSC, ISA 62443-2-1:2009, ISA 62443-3-3:2013) esas alarak 2014 yılında yayınlanmıştır.

CSF Yapısının Geliştirilme Nedenleri Nelerdir?

- Kritik altyapıya sahip tüm sektörlerde uygulanabilir güvenlik standartları ve kuralları belirlemek
- Performans ve verimliliğe dayalı esnek ve tekrarlanabilir bir yapı sağlamak
- Siber risklerin belirlenmesi, değerlendirilmesi ve yönetilmesine yardımcı olmak
- Mevcut siber riskler için iyileştirme alanları belirlemek
- Yayınlanmış standartların karşılamadığı güvenlik boşluklarını belirlemek ve bu boşluklar için eylem planları geliştirmek

Core
Kategoriler halinde düzenlenen ve kategorilerin kabul görülen standartlarla ilişkilendirildiği bu bölüm, siber güvenlik risk yönetim yaşam döngüsüne ilişkin üst düzey bir stratejik görüş sağlamaktadır.

- Identify: Sistemlerin, insanların, varlıkların ve verilerin siber güvenlik riskini yönetmek için kurumsal bir anlayış geliştirilmesine yardımcı olmaktadır.
- Protect: Kritik servislerin korunmasını sağlamak ve potansiyel bir siber güvenlik olayının etkisini sınırlamak için uygun önlemleri içermektedir.
- Detect: Siber güvenlik olaylarının zamanında keşfedilmesini sağlamak için uygun faaliyetler geliştirmekte ve uygulamaktadır.
- Respond: Tespit edilen bir siber güvenlik olayına karşı harekete geçmek için uygun faaliyetleri içermektedir.
- Recover: Esneklik planlarını sürdürmek ve siber güvenlik olayı nedeniyle bozulmuş olan tüm hizmetleri geri yüklemek için uygun aktiviteler geliştirmekte ve uygulamaktadır.

Implementation Tiers

Siber güvenlik riskinin nasıl yönetileceği ve kuruluşun hangi bölümlerinin daha yüksek güvenlik önceliğine sahip olduğu konusunda kurumsal karar vermeyi desteklemektedir. Partial, Risk Informed, Repeatable, Adaptive aşamalarını içermektedir. Daha yüksek aşamalara ilerlendikçe maliyet etkin ve karmaşık risk yönetim yaklaşımı ortaya çıkmaktadır.

 

 
 

 

 

 

 

 

 

 

 

 

Profiles

Profil, belirli bir uygulama senaryosunda standartların, kılavuzların ve uygulamaların ‘Core’ bölümünde bulunan fonksiyonlar ile uygun hale getirilmesi olarak tanımlanabilir. 

Mevcut ve Hedef Profil olarak iki başlık altında incelenebilmektedir. Mevcut profilin tanımlanması, kurumların siber güvenlik programlarının CSF'e karşı objektif bir incelemesini yapmalarını ve mevcut güvenlik durumlarının ne olduğunu tam olarak bilmelerini sağlar. Hedef Profil, istenen siber güvenlik risk yönetimi hedeflerine ulaşmak için gereken sonuçları belirtir.  

Profiller, mevcut profili ve hedef profili karşılaştırarak siber güvenlik duruşunu iyileştirme fırsatlarını belirlemek için kullanılabilir.

CSF Nasıl Kullanılır?

Bir siber güvenlik programının oluşturulması 7 adımda gerçekleşmektedir. Bu adımlar, siber güvenliği sürekli olarak iyileştirmek ve değerlendirmek için gerekli olduğunda tekrarlanmalıdır.

Adım 1: Önceliklendirme ve Kapsam

Kuruluş, hedeflerini ve üst düzey önceliklerini belirler. Siber güvenlik programında hangi işin ve hangi süreçlerin ele alınacağı kararlaştırılır.

Adım 2: Yönlendirme

Kuruluş; kapsam, yasal veya düzenleyici şartlar ve genel risk yaklaşımı ile ilgili sistemleri ve varlıkları tanımlar.

Adım 3: Mevcut Profil Oluşturma

Kuruluş, ‘Core’  bölümündeki hangi kategori sonuçlarına şu anda ulaşıldığını gösteren Mevcut Profil’i oluşturur.

Adım 4: Risk Değerlendirmesi Yürütme

Kuruluş, bir siber güvenlik olayının olasılığını ve olayın organizasyon üzerindeki etkisini anlamak için operasyon ortamını analiz eder.

Adım 5: Hedef Profil Oluşturma

Kuruluş, istenen siber güvenlik sonuçlarını tanımlayan kategorileri, kuruluş hedeflerini ve yasal uyumluluk ile ilgili gereklilikleri dikkate alarak değerlendirir ve Hedef Profil oluşturur.

Adım 6: Fark Belirleme, Analiz Etme ve Önceliklendirme

Kuruluş; Mevcut Profil ile Hedef Profil’i karşılaştırarak farkları ele alır, Hedef Profil’e ulaşmak için farklara yönelik eylem planı hazırlar ve kaynakları belirler.

Adım 7: Eylem Planını Uygulama

Kuruluş, önceki adımda belirtilen açıkları gidermek için hangi önlemlerin alınacağını belirler ve daha sonra Hedef Profil’e ulaşmak için mevcut siber güvenlik uygulamalarını ayarlar.

Sonuçlar

- Siber güvenlik tehditleri, kategorileri veya büyüklükleri ne olursa olsun, tüm kuruluşları etkilemeye devam etmektedir.
- CSF, yeni bir siber güvenlik programı oluşturmak veya mevcut siber güvenlik programlarındaki boşluğu analiz etmek ve iyileştirmek için bir araç olarak kullanılabilmektedir. Siber güvenliğin yönetimine kapsamlı bir yaklaşım getirerek iş gereksinimlerini kolayca karşılayacak şekilde yapılandırılmıştır.
- CSF kategorileri endüstri standartlarının kontrolleri ile eşleştirilmiş, standartların birleştirilmeleri kolaylaştırılmış ve siber güvenlik yönetimine esnek ve net bir yaklaşım sağlanmıştır.

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog