NIST Siber Güvenlik Çerçevesinde Gerçekleşecek Muhtemel Önemli Güncellemeler

Bu makale, NIST'in CSF 2.0'ı geliştirirken düşündüğü önemli potansiyel değişiklikleri özetlemektedir.

NIST Siber Güvenlik Çerçevesi (CSF veya Framework/Çerçeve), kuruluşlara siber güvenlik risklerini daha iyi anlamaları, yönetmeleri, azaltmaları ve bildirmeleri için rehberlik sağlar. Dünyadaki tüm sektörler tarafından kullanılan temel ve gerekli bir kaynaktır.

CSF’in zaman içinde arıtılan ve iyileştirilen yaşayan bir bir doküman olması amaçlanmıştır. CSF, çalıştaylar, kamu incelemesi ve yorumları ve diğer katılım biçimleri dahil olmak üzere hükümet, akademi ve endüstriden gelen girdilerle açık bir şekilde güncellenmektedir.

CSF 2.0'ın kapsamı, kritik altyapı dahil ancak bunlarla sınırlı olmamak üzere hükümet, endüstri ve akademi genelindeki tüm kuruluşları kapsayacaktır. CSF Core’un Kategorileri ve Alt Kategorileri genişletilecektir. Bu değişikliğin amacı, kritik altyapıların güvenliğini ve dayanıklılığını sağlamanın önemi de dahil olmak üzere, CSF'in kritik altyapı kuruluşlarıyla olan ilgisini artırmak ve daha geniş kullanımını benimsemek ve geliştirmektir.

NIST, Çerçevenin sektör, tür veya boyuttan bağımsız olarak kuruluşlara siber güvenlik sorunlarını ele almada yardımcı olmasını sağlamak için çabalarını artıracak ve ilgili tüm tarafları sürece katılmaya teşvik edecektir. CSF 1.1'e, diğer ülkeler tarafından geliştirilen stratejiler, politikalar ve kılavuzlarda sıklıkla başvurulur. Uluslararası iş birliğini ve katılımı kolaylaştırmak için NIST, CSF 2.0 geliştirmesinin bir parçası olarak diğer hükümetler ve endüstri ile iletişime öncelik verecektir. NIST, CSF'in uluslararası bir kaynak olarak tanınmaya devam edebilmesi için CSF kullanımının faydalarını paylaşmak ve potansiyel değişiklikler hakkında girdi istemek için doğrudan ve kurumlar arası ortaklıklar aracılığıyla çalışmaya devam edecektir. NIST, CSF için uluslararası çevirilerin, uyarlamaların ve diğer kaynakların sunulmasını teşvik edecektir.

Çerçeve, küresel olarak kabul görmüş standartlar ve kılavuzlardan yararlanarak ve bunlara bağlanarak ancak bunların yerini almayarak siber güvenliğe yönelik çoklu yaklaşımlar için ortak bir düzenleme yapısı sağlamaya devam edecektir. CSF’in diğer NIST çerçeveleriyle açıkça ilişkilendirilmesi sürdürülecektir. PDF ve Excel biçimlerine ek olarak, CSF 2.0, yakın zamanda kullanıma sunulan NIST Siber Güvenlik ve Gizlilik Referans Aracı (CPRT) aracılığıyla sergilenecektir. CPRT, NIST siber güvenlik ve gizlilik standartlarından, yönergelerinden ve çerçevelerinden gelen referans verilerine erişmek için makine tarafından okunabilir tutarlı bir biçim ve kullanıcı arayüzünün yanı sıra standartlar, yönergeler ve çerçeveler ile çeşitli uygulamalar arasındaki ilişkileri karakterize etmek için esnek bir yaklaşım sunacaktır. CSF’in Bilgilendirici Referanslarından bazıları, bu kaynak belgeler değiştikçe güncelliğini yitirdi. CSF 2.0'da NIST, CPRT aracılığıyla gösterilen çevrimiçi, güncellenebilir referansların kullanımına doğru ilerleyecektir. Çevrimiçi referansların kullanılmasıyla CSF, kontrollü sınıflandırılmamış bilgilerin güvenliğini sağlamak, Cloud Computing, Nesnelerin İnterneti (IoT) ve operasyonel teknoloji (OT) siber güvenliği, sıfır güven mimarisi gibi daha spesifik kaynaklarla eşlenerek ek bir rehberlik sağlayabilir.

CSF'in ilk yayınlanmasından bu yana teknoloji ortamının önemli ölçüde değiştiği kabul edilmektedir. CSF 2.0, teknolojiden ve tedarikçiden bağımsız kalmaya devam edecektir.

Siber güvenlik olay yanıtının önemi göz önüne alındığında, CSF 2.0, CSF Yanıt Verme ve Kurtarma İşlevlerindeki sonuçların değerlendirilmesini genişletecektir. CSF, dayanıklılığı sürdürmek ve hizmetlerin eski haline getirilmesi için olay müdahale ve kurtarmanın önemini vurgulamaya devam edecektir. CSF 2.0’ın, Bilgisayar Güvenliği Olayını Yönetme Kılavuzu ile uyumu artırmanın yanı sıra Siber Güvenlik Olayını Kurtarma Kılavuzundan yararlanarak müdahale ve kurtarma planlaması sonuçlarının daha fazla dikkate alınmasını içermesi bekleniyor.

NIST, CSF'in Kimlik Yönetimi, Kimlik Doğrulama ve Erişim Kontrolü Kategorilerinde (PR.AC), dijital kimlik modelinin bileşenlerini ve dijital kimlik yaşam döngüsünün aşamalarını daha net bir şekilde yansıtmak için Alt Kategorilerin olası bir yeniden sıralaması dahil olmak üzere güncellemeler yapacaktır.

CSF kullananların bazıları, Çerçevenin temel bileşenlerinin basit, daha genel açıklamalarından faydalanırken, diğerleri NIST ve diğer kuruluşlardan belirli siber güvenlik kılavuzlarına bağlantılar ve eşlemeler gibi ayrıntılı bilgiler talep eder. CSF 2.0'ın geliştirilmesiyle bağlantılı olarak NIST, çeşitli yaklaşımlar kullanarak her iki ihtiyacı da ele alacaktır. Ayrıca NIST, CSF Profilleri için Profillerde dikkate alınması gereken format ve alanları öneren isteğe bağlı bir temel şablon üretecektir. NIST, içeriği yenilemek ve kullanılabilirliği artırmak için CSF web sitesini yenileyecektir. Devam eden güncelleme sürecinin bir parçası olarak, NIST web sitesinden mevcut güncel olmayan kaynakları kaldıracak ve güncel kaynaklar ekleyecektir. Site, CSF 2.0 güncelleme işlemi sırasında periyodik olarak güncellenecektir.

CSF 2.0, siber güvenlik yönetişiminin önemini vurgulayacaktır. Siber güvenlik yönetişimi şu anda CSF 1.1'de "Tanımlama" İşlevinde ve "Çerçeve Nasıl Kullanılır" bölümünde ele alınmaktadır. CSF 2.0, bu konuların ele alınmasını genişletecektir. Siber güvenlik yönetişimi, sadece bunlarla sınırlı olmamak üzere kuruluşun ve müşterilerin önceliklerinin ve risk toleranslarının belirlenmesini, siber güvenlik risklerinin ve etkilerinin değerlendirilmesini, siber güvenlik politikaları ve prosedürlerinin oluşturulmasını ve siber güvenlik rolleri ve sorumluluklarının anlaşılmasını içerecektir.

CSF 2.0, siber güvenlik tedarik zinciri risk yönetiminin (C-SCRM) önemini vurgulayacaktır.

Siber güvenlik risk yönetimi programlarının ve stratejilerinin ölçülmesi ve değerlendirilmesi, CSF'in kullanımında önemli bir alan olmaya devam etmektedir. RFI yanıtları, katılımcıların bir kuruluşun CSF kullanımının ölçülmesini ve değerlendirilmesini desteklemek için ek CSF rehberliği ve kaynakları aradığını göstermektedir. Bununla ilgili bir istek de, CSF'in kuruluşların Implementation Tiers’ı nasıl kullanabileceklerini ve bunların ölçümle nasıl ilişkili olduğunu açık bir şekilde açıklamasıdır. Bu konularda da CSF 2.0 ile birlikte geliştirmeler mevcut olacaktır.

Yazar: Merve Köse/BeyazNet Bilgi Sistemleri Denetim Uzmanı