NIST Siber Güvenlik Çerçevesi (CSF)
ABD Ticaret Bakanlığına bağlı Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından oluşturulan Cyber-Security Framework (CSF), uygulandığı kritik altyapıya sahip her türlü kuruluş/organizasyona uyum sağlayabilen, uygulandığında siber saldırıları önleme, tespit etme ve bunlara yanıt verme becerilerinin nasıl değerlendirileceği ve geliştirilebileceğine yönelik politika seviyesinde çerçevesi sağlamaktadır.
Uygulandığı kurumda sürdürülebilir performans sağlamayı amaçlayan CSF, siber güvenlik ekosisteminde endüstri tarafından kabul edilmiş standartları esas alarak 2014 yılında yayınlanmıştır.
Çerçeve, kuruluşlar için aşağıda belirtilen başlıklarda ortak bir metodoloji sağlamaktadır:
- Mevcut siber güvenlik duruşunu tanımlar,
- Siber güvenlik için hedef durumların tanımlanmasını sağlar,
- Sürekli ve tekrarlanabilir bir süreç bağlamında iyileştirme fırsatlarını belirler ve önceliklendirir,
- Hedef duruma doğru ilerlemeyi ölçümler ve değerlendirir
- İç ve dış paydaşlar arasında siber güvenlik riskleri hakkında iletişim kurulmasını sağlar.
CSF’nin üç ana bileşeni vardır;
CORE: Kategoriler halinde düzenlenen ve kategorilerin kabul görülen standartlarla ilişkilendirildiği bu bölüm, siber güvenlik risk yönetim yaşam döngüsüne ilişkin üst düzey bir stratejik görüş sağlamaktadır.
- Identify: Sistemlerin, insanların, varlıkların ve verilerin siber güvenlik riskini yönetmek için kurumsal bir anlayış geliştirilmesine yardımcı olmaktadır.
- Protect: Kritik servislerin korunmasını sağlamak ve potansiyel bir siber güvenlik olayının etkisini sınırlamak için uygun önlemleri içermektedir.
- Detect: Siber güvenlik olaylarının zamanında keşfedilmesini sağlamak için uygun faaliyetler geliştirmekte ve uygulamaktadır.
- Respond: Tespit edilen bir siber güvenlik olayına karşı harekete geçmek için uygun faaliyetleri içermektedir.
- Recover: Esneklik planlarını sürdürmek ve siber güvenlik olayı nedeniyle bozulmuş olan tüm hizmetleri geri yüklemek için uygun aktiviteler geliştirmekte ve uygulamaktadır.
TIERS: Siber güvenlik riskinin nasıl yönetileceği ve kuruluşun hangi bölümlerinin daha yüksek güvenlik önceliğine sahip olduğu konusunda kurumsal karar vermeyi desteklemektedir. Partial, Risk Informed, Repeatable, Adaptive aşamalarını içermektedir. Daha yüksek aşamalara ilerlendikçe maliyet etkin ve karmaşık risk yönetim yaklaşımı ortaya çıkmaktadır.
PROFILE: Profil, belirli bir uygulama senaryosunda standartların, kılavuzların ve uygulamaların ‘Core’ bölümünde bulunan fonksiyonlar ile uygun hale getirilmesi olarak tanımlanabilir.
Mevcut ve Aim Profil olarak iki başlık altında incelenebilmektedir.
Mevcut profilin tanımlanması, kurumların siber güvenlik programlarının CSF’e karşı objektif bir incelemesini yapmalarını ve mevcut güvenlik durumlarının ne olduğunu tam olarak bilmelerini sağlar.
Hedef Profil, istenen siber güvenlik risk yönetimi hedeflerine ulaşmak için gereken sonuçları belirtir.
Profiller, mevcut profili ve hedef profili karşılaştırarak siber güvenlik duruşunu iyileştirme fırsatlarını belirlemek için kullanılabilir.
NIST CSF Uyum Denetimi Hizmetimiz
Bu hizmet kapsamında sertifikalı uzmanlarımız tarafından işletmenizin NIST CSF uygun olarak çalışıp çalışmadığı ayrıntılı şekilde kontrol edilmektedir. Yapılacak denetim sonucunda uygulamalarınızın eksiklikleri belirlenir, işletmenizdeki izleme ve denetim mekanizmaları ve bunlarda olası aksaklıklar tespit edilir, iyileştirme süreçleri kontrol edilerek detaylı olarak raporlanır.
NIST CSF Denetim Hizmet Adımlarımız:
NIST CSF Uyum Danışmanlığı Hizmetimiz
Bu hizmet kapsamında kuruluş için Çerçeveyi yeni bir Siber Güvenlik Programı oluşturmak veya mevcut bir programı iyileştirmek için nasıl kullanabileceğine yönelik adımlar gerçekleştirilecektir. Bu adımlar;
Uygulama Öncesi Dikkate Alınacak Hususlar
- Uygulama öncesi paydaşlarla siber güvenlik gereksinimlerinin görüşülmesi, lojistik hususlar ve ulusal/uluslararası standart ve regülasyonlara uyum gibi hususlar değerlendirilecektir.
Önceliklendirme ve Kapsam Belirleme:
- Organizasyon, iş/misyon hedeflerini ve üst düzey organizasyonel önceliklerin tanımlanması.
- Siber güvenlik risklerinin tanımlanması.
- Kuruluş içindeki farklı iş gereksinimlerine ve ilgili risk toleransına sahip olabilen farklı iş kolları veya süreçlerinin belirlenmesi.
Yönlendirme, Hizalama
- Varlıkları, gereksinimleri ve risk yönetim yaklaşımları/metodolojilerinin tanımlanması
Mevcut Profilin Belirlenmesi
- Mevcut siber güvenlik ve risk yönetim uygulamalarının Çerçeve Uygulama Katmanlarına haritalanması.
Risk Analizi Gerçekleştirme
- Siber güvenlik risklerinin tanımlanması
- Risklerin analiz edilmesi ve değerlendirilmesi
- Kabul edilebilir risk seviyelerinin ve kalan risklerin belirlenmesi.
Hedef Profil Oluşturulması
- Beklenen siber güvenlik hedeflerinin tanımlanması.
- Benzersiz kurumsal risklerin belirlenmesi ve bu çerçevede gerekmesi halinde ek Kontrol Kategorilerinin ve Alt Kategorilerinin geliştirilmesi.
- Hedef Profili geliştirilmesi.
- Hedef Uygulama Katmanına uygun kontrollerin belirlenmesi.
Gap Analysis
- Mevcut Profil ve Hedef Profilin karşılaştırılması.
- Hedef Profildeki sonuçlara ulaşmak için görev dinamiklerini, maliyetleri ve faydaları ve riskleri yansıtan boşlukları gidermek için önceliklendirilmiş işlem maddelerine havi bir eylem planı oluşturulması.
Eylem Planı Uygulaması
- Belirlenen işlem maddelerini gerçekleştirecek proje planlarının oluşturulması.
- Görevlerin atanması.
NIST CSF Uyum Danışmanlığı Hizmet Adımlarımız:
NIST CSF Sürdürülebilirlik Danışmanlığı Hizmetimiz
CSF, kuruluşun siber güvenlik riskinin yönetimini kurumsal hedeflere göre iyileştirerek bu riski azaltmak için tasarlanmıştır. İdeal olarak, Çerçeveyi kullanan kuruluşların, risklerini kabul edilebilir seviyelere indirmek için atılan adımların maliyet ve faydaları ile risklerine ilişkin değerleri belirleyebilmesi (öz-değerlendirme) ve ölçebilmesi beklenmektedir. Bir kuruluş, siber güvenlik stratejileri ve adımlarının risklerini, maliyetlerini ve faydalarını ne kadar iyi ölçebilirse, siber güvenlik yaklaşımı ve yatırımları o kadar akılcı, etkili ve değerli olacaktır.