İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

NIST Cybersecurity Framework 2.0 Yayınlandı!


NIST (Ulusal Standartlar ve Teknoloji Enstitüsü), siber güvenlik riskini azaltmaya yönelik dönüm noktası niteliğindeki kılavuz belgesi olan ve yaygın olarak kullanılan Siber Güvenlik Çerçevesini (CSF) 2014 yılında yayınlandıktan sonra 2.0 sürümünü geçtiğimiz şubat ayında yayınladı.

NIST Siber Güvenlik Çerçevesi (NIST CSF), kuruluşların siber güvenlik risklerini yönetmesine ve azaltmasına yardımcı olmak için NIST tarafından geliştirilen bir dizi yönerge ve en iyi uygulamalardan oluşur.

Çerçeve, bir kuruluşun özel ihtiyaçlarını karşılamak üzere özelleştirilebilen, siber güvenliğe yönelik esnek, risk temelli bir yaklaşım sunar. Siber güvenlik risk yönetimi için her büyüklük ve türdeki kuruluşun kullanabileceği ortak bir dil sağlar. NIST CSF, siber güvenlik risklerinin yönetilmesine ve azaltılmasına yardımcı olmak için devlet kurumları, işletmeler ve diğer kuruluşlar tarafından yaygın olarak kullanılmaktadır.

NIST Siber Güvenlik Çerçevesi çekirdek, katman/işlev ve profiller olmak üzere üç ana bileşenden oluşmaktadır.

 

NIST CSF 2.0 da Neler Değişti?

Güncelleme ile beraber bir dizi değişiklik sunuldu.

Kapsam Genişledi

NIST CSF 2.0 artık yalnızca kritik altyapı için değil, tüm kuruluşlar için geçerli. Yeni 2.0 sürüm, siber güvenlik gelişmişlik derecelerine bakılmaksızın, en küçük okullardan ve kâr amacı gütmeyen kuruluşlardan en büyük kurum ve kuruluşlara kadar tüm hedef kitleler, sektörler ve kuruluş türleri için tasarlandı. 

Yeni başlayanlar için başlık, "Kritik Altyapı Siber Güvenliğini İyileştirme Çerçevesi"nden "Siber Güvenlik Çerçevesi" olarak kısaltıldı.

Yeni Bir İşlev

Siber Güvenlik Çerçevesi 2.0, siber güvenliği kurumsal risk yönetimine entegre etmek için bir 'Yönetim' işlevi sunarak tüm sektörleri kapsayacak şekilde gelişti.

YÖNETİM (GOVERN-GV): Kuruluşun siber güvenlik risk yönetimi stratejisi, beklentileri ve politikası oluşturulur, iletilir ve izlenir. Yönetim Fonksiyonu, bir kuruluşun misyonu ve paydaş beklentileri bağlamında diğer beş Fonksiyonun sonuçlarını başarmak ve önceliklendirme için neler yapabileceğine dair bilgi sağlayan sonuçlar sağlar. Yönetişim faaliyetleri, siber güvenliği bir kuruluşun daha geniş kurumsal risk yönetimi (ERM) stratejisine dahil etmek için kritik öneme sahiptir. Yönetim organizasyonel bağlam anlayışını ele alır; siber güvenlik stratejisinin oluşturulması ve siber güvenlik tedarik zinciri risk yönetimi; roller, sorumluluklar ve yetkiler; politika; ve siber güvenlik stratejisinin gözetimi.

Organizasyonel Bağlam (GV.OC):Kuruluşun siber güvenlik risk yönetimi kararlarını çevreleyen koşullar (misyon, paydaş beklentileri, bağımlılıklar ve yasal, düzenleyici ve sözleşmeye bağlı gereksinimler) anlaşılır

Risk Yönetimi Stratejisi (GV.RM): Kuruluşun öncelikleri, kısıtlamaları, risk toleransı ve iştah beyanları ve varsayımları oluşturulur, iletilir ve operasyonel risk kararlarını desteklemek için kullanılır.

Roller, Sorumluluklar ve Yetkiler (GV.RR): Hesap verebilirliği, performans değerlendirmesini ve sürekli iyileştirmeyi teşvik etmeye yönelik siber güvenlik rolleri, sorumlulukları ve yetkileri oluşturulur ve iletilir.

Politika (GV.PO): Kurumsal siber güvenlik politikası oluşturulur, iletilir ve uygulanır

Gözetim (GV.OV): Kuruluş çapındaki siber güvenlik risk yönetimi faaliyetlerinin ve performansının sonuçları, risk yönetimi stratejisini bilgilendirmek, iyileştirmek ve ayarlamalara olanak tanır

Siber Güvenlik Tedarik Zinciri Risk Yönetimi (GV.SC): Siber tedarik zinciri risk yönetimi süreçleri kurumsal paydaşlar tarafından tanımlanır, oluşturulur, yönetilir, izlenir ve iyileştirilir

NIST 1.1

NIST 2.0

Çok Sayıda Yeni NIST CSF 2.0 Aracı Artık Mevcut

NIST, yönetişim ve tedarik zincirlerine daha fazla önem vererek, tüm kuruluşların siber güvenlik hedeflerine ulaşmalarına yardımcı olacak bir kaynak paketi oluşturdu. Bu kaynaklar, farklı hedef kitlelere CSF'ye özel yollar sağlamak ve çerçevenin daha kolay kullanılmasını sağlamak için tasarlanmıştır.

- CSF 2.0 Referans Aracı
- CSF 2.0 Profilleri
- Uygulama örnekleri
- Hızlı Başlangıç ​​Kılavuzları

NIST CSF'yi Uygulamış Kuruluşlar Ne Yapmalı?

- NIST CSF'yi rehber alarak mevcut ve hedef profillere göre düzeltilmesi gereken boşluklar olup olmadığını belirlemek için Yönetim İşlevi incelenmelidir.
- Organizasyonel profilin kapsamı yeniden gözden geçirilmelidir.
- Kullanılacak yeni bir rehber olup olmadığını belirlemek için tüm alt kategorilere yönelik uygulama rehberi incelenebilir.
- Mevcut kategorilerin ve alt kategorilerin yeniden düzenlenmesi ve birleştirilmesiyle uyum sağlamak için kurumsal profil belgeleri güncellenmelidir.
- Mevcut ve Hedef Profiller arasındaki boşlukları analiz edin ve bir eylem planı oluşturun.

Kaynak: CSF 2.0

Yazar: Nazlıcan TANIN/ Bilgi Sistemleri Denetim K. Uzman

İlginizi çekebilecek diğer içerikler:

NIST Cyber Security Framework Nedir?

NIST Siber Güvenlik Çerçevesinde Gerçekleşecek Muhtemel Önemli Güncellemeler

NIST 2.0 Siber Güvenlik Çerçevesi Taslağı Yayınlandı!