İLETİŞİM
.png){kind=logo}
İLETİŞİM
DESTEK
ISA/IEC 62443 Endüstriyel Otomasyon ve Kontrol Sistemlerinin Güvenliği
SearchInform Çözümleri ile Kurumsal Bilgi Güvenliği
Veri Merkezi 
Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı
DİĞER 
NIST Risk Yönetim Çerçevesi
Risk Yönetimi Çerçevesi (RMF), güvenlik, mahremiyet ve siber tedarik zinciri risk yönetimi faaliyetlerini sistem geliştirme yaşam döngüsüne entegre eden bir süreç sağlar. Kontrol seçimi ve spesifikasyonuna yönelik risk tabanlı yaklaşım, politikalar, standartlar veya düzenlemeler nedeniyle etkinliği, verimliliği ve kısıtlamaları dikkate alır.
Kurumsal riski yönetmek, etkili bilgi güvenliği ve mahremiyeti sağlamak için çok önemlidir; RMF yaklaşımı yeni ve eski sistemlere, her türlü sistem veya teknolojiye (örneğin, IoT, kontrol sistemleri) ve boyut veya sektörden bağımsız olarak her türlü organizasyona uygulanabilir.
NIST Risk Yönetim Çerçevesi 7 adımlı bir süreçten oluşur.
Hazırlık: Bu adımın amacı RMF’yi kullanarak kuruluşun tüm seviyelerinin güvenlik ve mahremiyet risklerini yönetmeye hazırlanmasına yardımcı olmak için gerekli faaliyetleri yürütmektir.
Bu adımın sonucu olarak;
- Temel risk yönetimi rolleri belirlenir.
- Kurumsal risk yönetimi stratejisi oluşturulur ve risk toleransı belirlenir.
- Kuruluş çapında risk değerlendirmesi yapılır.
- Sürekli izleme için kuruluş çağında strateji geliştirilir ve uygulanır.
- Ortak kontroller belirlenir.
Kategorize Etme: Bu adımın amacı sistemlerin ve bu sistemler tarafından işlenen, saklanan ve iletilen bilgilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin kaybıyla ilgili olumsuz etkiyi belirleyerek kurumsal risk yönetimi süreçlerini ve görevlerini bilgilendirmektir.
Bu adımın sonucu olarak;
- Sistem özellikleri dokümante edilir.
- Sistemin ve bilginin güvenlik kategorizasyonu tamamlanır.
- Kategorizasyon kararı yetkili makam tarafından incelenir ve onaylanır.
Seçme: Bu adımın amacı sistemi ve organizasyonu riske göre korumak için gerekli kontrolleri seçmek, uyarlamak ve dokümante etmektir.
Bu adımın sonucu olarak;
- Kontrol üsleri seçilir ve uyarlanır.
- Sisteme özel, hibrit veya ortak kontroller belirlenir.
- Kontroller belirli sistem bileşenlerine tahsis edilir.
- Sistem düzeyince sürekli izleme stratejisi geliştirilir.
- Kontrol seçimini, atamasını ve tahsisini yansıtan güvenlik ve mahremiyet planları incelenir ve onaylanır.
Uygulama: Bu adımın amacı sistem ve organizasyon için güvenlik ve mahremiyet planlarındaki kontrolleri uygulamaktır.
Bu adımın sonucu olarak;
- Güvenlik ve mahremiyet planlarında belirtilen kontroller uygulanır.
- Güvenlik ve mahremiyet planları, uygulanan kontrolleri yansıtacak şekilde güncellenir.
Değerlendirme: Bu adımın amacı kontrollerin doğru bir şekilde uygulanıp uygulanmadığını, amaçlandığı gibi çalışıp çalışmadığını ve sistem ve kuruluş için güvenlik ve mahremiyet gereksinimlerinin karşılanması açısından istenen sonucu üretip üretmediğini belirlemektir.
Bu adımın sonucu olarak;
- Değerlendirme Ekibi/Değerlendirici seçilir.
- Güvenlik ve mahremiyet değerlendirme planları geliştirilir.
- Değerlendirme planları incelenir ve onaylanır.
- Kontrol değerlendirmeleri değerlendirme planlarına uygun olarak yürütülür.
- Güvenlik ve mahremiyet değerlendirme raporları geliştirilir.
- Kontrollerdeki eksiklikleri gidermek için iyileştirme eylemleri gerçekleştirilir.
- Güvenlik ve mahremiyet planları, değerlendirmelere ve düzeltme eylemlerine dayalı olarak kontrol uygulama değişikliklerini yansıtacak şekilde güncellenir.
- Eylem planı ve kilometre taşları geliştirilir.
Yetkilendirme: Bu adımın amacı üst düzey bir yetkilinin, bir sistemin işletimine veya ortak kontrollerin kullanımına dayalı güvenlik ve mahremiyet riskinin kabul edilebilir olup olmadığını belirlemesini gerektirerek hesap verebilirlik sağlamaktır.
Bu adımın sonucu olarak;
- Yönetici özeti, sistem güvenliği ve mahremiyet planı, değerlendirme raporu(ları), eylem planı ve kilometre taşlarını içeren yetkilendirme paketi oluşturulur.
- Risk tespiti yapılır.
- Risk yanıtları sağlanır.
- Sistem veya ortak kontroller için yetkilendirme onaylanır veya reddedilir.
İzleme: Bu adımın amacı risk yönetimi kararlarını desteklemek için sistemin ve organizasyonun güvenlik ve mahremiyet duruşu hakkında sürekli durum farkındalığını sürdürmektir.
Bu adımın sonucu olarak;
- Sistem ve çalışma ortamı sürekli izleme stratejisine uygun olarak izlenir.
- Yürütülen kontrol etkinliğinin değerlendirmesi sürekli izleme stratejisine uygun olarak devam eder.
- Sürekli izleme faaliyetlerinin çıktıları analiz edilir ve yanıtlanır.
- Yönetime güvenlik ve mahremiyet durumunun raporlanması için süreç oluşturulur.
- Yetkilendirmeler sürekli izleme faaliyetlerinin sonuçları kullanılarak devam eder.
Bilgi güvenliği ve mahremiyet risklerini içeren Risk Yönetimi her boyuttaki kuruluş için kurumsal dayanıklılığın sağlanması amacıyla kritik öneme sahiptir. NIST Risk Yönetim Çerçevesinin yanında ISO/IEC 27001, NIST CSF, CIS Kontroleri, PCI DSS gibi standartlar ve çerçeveler de risk yaklaşımını gerektirmektedir.
Daha fazla bilgi almak veya standart ve çerçevelerle uyumluluğunuzu sağlamak için beyaz@beyaz.net adresi üzerinden bizimle iletişime geçebilirsiniz.
Kaynak: https://csrc.nist.gov/projects/risk-management/