1901 yılında kurulan NIST (National Institute of Standarts and Technology), endüstriyel standartlardan ziyade ölçüm metot ve standartları yayınlayan bir ABD federal devletlerinin standart enstitüsüdür.  

NIST

NIST Framework

NIST Framework, kuruluşların siber güvenlik risk yönetimini daha iyi anlamak, siber güvenlik çözümlerini kurmak, yönetmek ve iyileştirmek için yardımcı bir standarttır. 

  • Güvenliği ölçmenin etkili bir yoludur. 
  • Siber güvenliği etkin bir şekilde yönetmek, mantıklı ve bütünleşen resmi bir süreç oluşturmayı sağlar. 
  • Tekrarlanabilir, adapte edilebilir. 
  • Güvenlik önlem süreçleri 
  • Risk yönetiminin temelleri 
  • Kritik altyapıdan sorumlu kuruluşların siber güvenlik riskini belirlemek, değerlendirmek ve yönetmektedir. 

Framework, siber güvenlik risklerini azaltmayı ve daha iyi yönetmeyi amaçlamaktadır. NIST siber güvenlik kaynaklarını değerlendirmek ve geliştirmek için çalışmalarını sürdürmektedir. Son olarak 26 Ocak 2022 de “Kurumsal Risk Yönetimi ve Yönetişim Gözetimi için Siber Güvenlik Risklerini Aşamalandırma” dokümanını yayınlamıştır.

Her kuruluşun riskleri, öncelikleri ve sistemleri benzersiz olduğundan, Framework tarafından tanımlanan sonuçlara ulaşmak için kullanılan araçlar ve yöntemler farklılık gösterecektir. 

NIST Framework Implementation Tiers (Uygulama Katmanları) 

Bir kuruluşun siber güvenlik riskini nasıl gördüğüne ve bu riski yönetmek için yürürlükte olan süreçlere ilişkin bağlamı sağlar. Katmanlar, bir kuruluşun siber güvenlik risk yönetimi uygulamalarının Framework’te tanımlanan özellikleri sergileme derecesini tanımlar (örneğin, risk ve tehdide duyarlı, tekrarlanabilir ve uyarlanabilir). Kademe 1’den Kademe 4’e kadar çeşitlilik gösterirler.  

NIST Framework

  1. Partial (Kısmen): Kuruluşların risk yönetimi yöntemleri etkisiz kabul edilir. Sistematik olmayan risk yönetimi süreçleri ve güvenilmez riskleri bulunur.
  2. Risk Informed (Bilgilendirilmiş Risk): Kuruluşların; tamamlanmamış risk yönetimi süreçleri, gelişmemiş risk yönetimi programları ve eksik risk yönetimi katılımları vardır.
  3. Repeatable (Tekrarlanabilir): Bu katmanda kuruluşlar, yapılandırılmış risk yönetimi yöntemlerine sahiptirler. Düzenli risk yönetimi süreçlerine, sağlam risk yönetimi programlarına ve rutin risk yönetimi katılımı mevcuttur.
  4. Adaptive (Uyarlanabilir): Uyarlanabilir risk yönetimi yöntemlerine sahiptir. Dinamik risk yönetimi süreçlerine, duyarlı risklere sahiptirler. Yönetim programları ve etkileşimli risk yönetimi katılımı vardır. 

Kuruluşlar katman seçimi sürecinde; bir kuruluş mevcut risk yönetimi uygulamalarını, tehdit ortamını, yasal ve düzenleyici gereklilikleri, kullanışlılık / görev hedeflerini ve organizasyonel kısıtlamaları dikkate almalıdır.