NIST Güvenlik Standartları Nelerdir?
Yayınlanan: 2021-01-07Günümüzde işletmeler kendilerini “NIST güvenlik standartları nelerdir ve bunlara nasıl uygulanabilir?” diye sorarken buluyorlar.
Bu büyük bir sürpriz olmamalı—şu anda siber suç tehdidine karşı tutumlarda çarpıcı bir değişim yaşıyoruz ve kuruluşlar arasında ağ güvenliğindeki güvenlik standartlarının sadece modern bir şirketin önemli bir yönü değil, aynı zamanda hayati olduğu konusunda giderek artan bir kabul var. onun hayatta kalmasına.
IBM'e göre, şirketlerin yalnızca %23'ü işlerinde bir olay müdahale planı uyguladıklarını belirtirken, pandemi öncesinde şirketler kendi kabulleriyle siber saldırılara karşı hazırlıksızdı.
Pek çok şirket, modern siber saldırıların sayısı ve ciddiyeti için hazır değil ve bu hiç de küçük bir mesele değil - büyük bir veri felaketine maruz kalan, olağanüstü durum kurtarma planına sahip olmayan şirketlerin %93'ü bir yıl içinde işini kaybediyor.
Pandemi ve getirdiği değişiklikler nedeniyle siber saldırılar şu anda her zamankinden daha yüksek seviyelerde ve işletmelerin kendilerini ve müşterilerini korumak için müdahale etmesi gerekiyor.
İşte burada NIST gibi çerçeveler devreye giriyor; şirketler siber güvenlikleri konusunda rehberlik arıyor ve NIST gibi standartların bunu sağlayabileceğini umuyor.
Bu blogda, NIST güvenlik standartlarının ne olduğuna bir göz atacağız, bunları parçalayacağız ve ülke çapında iş güvenliğini desteklemek isteyen kuruluşlara ne kadar uygulanabilir olduğunu belirleyeceğiz.
NİST nedir?
1988 yılına kadar bilindiği gibi Ulusal Standartlar Bürosu, üretim, çevre bilimi, kamu güvenliği, nanoteknoloji, bilgi teknolojisi ve daha fazlası dahil olmak üzere çeşitli endüstrilerde standartlar sağlamak için düzenleyici olmayan bir kurum olarak 1901'de kuruldu.
Kuruluşundan bu yana geçen yıllar boyunca, NIST'in görev alanı, siber güvenliğin (BT kapsamında) yalnızca bir tanesi olduğu, giderek artan sayıda sektöre yayılmıştır.
NIST çerçevelerinin, siber güvenlik çerçevesi de dahil olmak üzere, bunlara uyması gereken devlet sözleşmeleriyle uğraşanlar dışındaki tüm kuruluşlar için gönüllü kılavuzlar olması amaçlanmıştır.
NIST Siber Güvenlik Çerçevesi (CSF) Nedir?
NIST Siber Güvenlik Çerçevesi veya kısaca CSF, kritik hükümet ve kamu altyapı sistemlerine yönelik riski azaltmak amacıyla siber güvenliğe yaklaşmak için bir çerçeve fikir birliği oluşturmak amacıyla Başkan Obama döneminde 2013 yılında yürütme emriyle kuruldu.
CSF'nin ilk versiyonu 2014'te yayınlandı ve Kongre kısa bir süre sonra aşağıdaki belirtilen amaçla 2014 Siber Güvenlik Geliştirme Yasası'nı kabul etti:
BİR EYLEM Siber güvenliği iyileştirmek ve siber güvenlik araştırma ve geliştirmesini, işgücü geliştirme ve eğitimini ve kamu bilincini ve hazırlığını güçlendirmek ve diğer amaçlar için sürekli, gönüllü bir kamu-özel ortaklığı sağlamak.
Başkan Trump tarafından 2017 yılında yayınlanan ve tüm federal kurumları çerçeveyi kullanmaya yönlendiren başka bir yürütme emri.
2015'te ABD işletmelerinin tahmini %30'u CSF'yi kullandı ve 2020'de %50'ye daha yükseldi. Çerçevenin başarısı, çerçevenin yalnızca Amerika Birleşik Devletleri'nde değil, tüm dünyada, Amerika Birleşik Devletleri'nde benimsenmesine yol açtı. Krallık İsrail'e.
NIST Çerçeve Özeti
Peki, NIST güvenlik standartları nelerdir?
NIST Siber Güvenlik Çerçevesi üç ayrı bileşene ayrılmıştır: "Çekirdek", "Uygulama Katmanları" ve "Profiller".
Çekirdek
Çerçeve Çekirdeği, NIST standartlarında istenen en iyi siber güvenlik sonuçlarını elde etmek için tasarlanmış faaliyetler dizisidir.
Bu faaliyetler bir kontrol listesi değil, paydaşlar tarafından siber güvenlik riskinin yönetiminde önemli olarak tanımlanan kilit sonuçlardır.
NIST Güvenlik Standartları Unsurları Nelerdir?
Çerçeve Çekirdeği'ni oluşturan dört temel unsur vardır. Bunlar:
- İşlevler: İşlevler, NIST siber güvenlik çerçevesinin en tanınabilir yönlerinden bazılarıdır. Temel güvenlik faaliyetlerini üst düzey bir perspektiften özetliyorlar ve kuruluşların siber güvenliğin en önemli unsurlarını ele almasına yardımcı oluyorlar. İşlevler Tanımla, Koru, Algıla, Yanıtla ve Kurtarmayı içerir.
- Kategoriler: Kategoriler, iş sonuçlarına odaklanır ve biraz daha derinlemesine olup, temel işlevlerdeki hedefleri kapsar.
- Alt Kategoriler: Alt kategoriler, Çekirdekteki en ayrıntılı soyutlama düzeyidir. Tipik olarak sonuç odaklı olan ve bir siber güvenlik programı oluşturmaya veya geliştirmeye yönelik değerlendirmeleri sağlamak üzere tasarlanmış toplam 108 alt kategori vardır.
- Bilgilendirici Referanslar: Bilgilendirici referanslar, her bir alt kategoriyle ilgili mevcut standartlara, yönergelere ve uygulamalara atıfta bulunur.
Siber Güvenlik Çerçevesinin Beş Temel İşlevinin NIST Kategorileri
Belirttiğimiz gibi, temel İşlevlerin her biri NIST Kategorileri ve NIST Alt Kategorilerine ayrılmıştır.
NIST Kategorileri aşağıdaki gibidir:
Tanımlamak
- Varlık Yönetimi
- İş çevresi
- Yönetim
- Risk değerlendirmesi
- Risk Yönetimi Stratejisi
- Tedarik Zinciri Risk Yönetimi
İlgili Yazı: Siber Güvenlik Risk Denetimi Sırasında Ne Olur?
Korumak
- Kimlik Yönetimi ve Erişim Kontrolü
- Farkındalık ve Eğitim
- Veri güvenliği
- Bilgi Koruma Süreçleri ve Prosedürleri
- Bakım onarım
- Koruyucu Teknoloji
Tespit etmek
- Anomaliler ve Olaylar
- Güvenlik Sürekli İzleme
- Tespit İşlemleri
Cevap vermek
- Müdahale Planlaması
- iletişim
- analiz
- Azaltma
- İyileştirmeler
İyileşmek
- Kurtarma Planlaması
- İyileştirmeler
- iletişim
Katmanlar
Çerçeve Uygulama Aşamaları, bir kuruluşun Çerçeve Fonksiyonları ve Kategorilerinde ana hatlarıyla belirtilen özellikleri etkin bir şekilde karşılayabildiğini göstermeye yardımcı olur.
Bu Uygulama Katmanları, siber güvenlik olgunluk seviyeleri olarak kabul edilmez ve böyle olması amaçlanmamıştır.
Bununla birlikte, en yüksek katmanlar için standartları karşılayan kuruluşlar, kaçınılmaz olarak siber olgun şirketleri tanımlayan özelliklerin çoğuna sahip olacaktır.
Katman 1 (Kısmi)
Risk Yönetim Süreci: Risk yönetimi uygulamaları resmileştirilmemiştir ve risk geçici olarak yönetilmektedir.
Entegre Risk Yönetimi Programı: Kurumsal düzeyde siber güvenlik riskine ilişkin sınırlı farkındalık.
Dış Katılım: Kuruluş, diğer varlıklarla işbirliği yapmaz veya daha büyük ekosistemdeki rolünü anlamaz.
2. Aşama (Risk Bilgili)
Risk Yönetim Süreci: Risk yönetimi uygulamaları yönetim tarafından onaylanır ve organizasyonel risk hedeflerine göre önceliklendirilir.
Entegre Risk Yönetimi Programı: Kurumsal düzeyde siber güvenlik riskinin farkındalığı, ancak bu riski yönetmek için şirket çapında bir yaklaşımdan yoksun.
Dış Katılım: Kuruluş, iş ekosistemindeki rolünü, her ikisine birden değil, bağımlılıkları veya bağımlıları açısından tanır. Bazı işbirliği, ancak sunulan riskler üzerinde tutarlı veya resmi olarak hareket etmeyebilir.
Aşama 3 (Tekrarlanabilir)
Risk Yönetim Süreci: Risk yönetimi uygulamaları resmi olarak onaylanır ve politika aracılığıyla ifade edilir. Siber güvenlik uygulamaları, resmi risk yönetimi sürecinin uygulanmasına dayalı olarak düzenli olarak güncellenmektedir.
Entegre Risk Yönetimi Programı: Güvenlik riski yönetimine kurum çapında yaklaşım ve personel, güvenlik risklerini yönetmek için bilgi ve becerilere sahiptir.
Dış Katılım: Kuruluşun daha büyük ekosistemdeki rolü, diğer şirketlerle ilgili olduğu ve topluluğun daha geniş risk anlayışına katkıda bulunabileceği anlaşılmaktadır. Düzenli olarak başkalarıyla işbirliği yapar ve onlardan bilgi alır.
4. Aşama (Uyarlanabilir)
Risk Yönetim Süreci: Siber güvenlik uygulamaları, önceki ve mevcut faaliyetler ile öngörü göstergelerine dayalı olarak uyarlanır ve geliştirilir. Gelişmiş teknolojilerin ve uygulamaların dahil edilmesi yoluyla süreçlerin sürekli iyileştirilmesi beklenmektedir.
Entegre Risk Yönetimi Programı: Güvenlik riski ile organizasyonel hedefler arasındaki ilişki net bir şekilde anlaşılmaktadır. Güvenlik riski yönetimi, organizasyon kültürünün bir parçasıdır ve risk yönetimine yaklaşımdaki değişiklikler hızlı ve etkili bir şekilde iletilir.
Dış Katılım: Kuruluş, daha geniş ekosistemdeki rolünü tam olarak anlar ve topluluğun riskleri anlamasına katkıda bulunur. Risklerin sürekli analizini bildiren bilgileri alır, üretir ve önceliklendirir. Gerçek zamanlı veri analizinden yararlanılır ve iletişim, kullanılan ürün ve hizmetlerle ilişkili risklerle ilgili olduğu için proaktiftir.
Profil
Çerçeve Profili, İşlevler, Kategoriler ve Alt Kategorilerin kuruluşun iş gereksinimleri, risk toleransı ve kaynakları ile genel uyumunu ifade eder.
Farklı işletmelerin farklı öncelikleri olduğundan, iki profil aynı olmayacaktır ve bu nedenle şirkete en uygun benzersiz Çerçeve Profilini belirlemek NIST standartlarının son önemli yönüdür.
Mevcut Profil ve Hedef Profil
İşletmeler siber güvenlik standartları için profiller oluşturduğunda, nerede olduklarını ve nerede olmak istediklerini anlamanın yaygın ve etkili bir yolu iki profil oluşturmaktır: mevcut profil ve hedef profil.
Mevcut profil, organizasyonun alt kategori faaliyetlerini yürütme kabiliyeti değerlendirilerek oluşturulur.
Alt kategorilere örnek olarak, "Kuruluş içindeki fiziksel cihazlar ve sistemler envantere alınır" (ID.AM-1) ve "Geçişteki veriler korunur" (PR.DS-2)" gibi şeyler verilebilir.
Bunlar toplam 108 Alt Kategorinin sadece iki örneğidir, ancak değerlendirilen faaliyet türlerinin bir göstergesidir.
Mevcut profil, şirketin her bir alt kategoriyi yerine getirme kabiliyetini sıralayarak oluşturulduktan sonra, hedef profili oluşturma zamanı gelir.
Hedef profil, istenen risk yönetimi hedeflerini ve önceliklerini karşılamak için şirketin siber güvenliği ile etkili bir şekilde nerede olması gerektiğidir.
Hedef profil oluşturulduktan sonra, kuruluş ikisini karşılaştırabilir ve işletmenin risk yönetimi hedeflerini nerede karşıladığını ve nerede iyileştirmelerin yapılması gerektiğini net bir şekilde anlayabilir.
Bu, NIST güvenlik standartlarının ne olduğunu ve protokollerini geliştirme ve NIST'in CSF tavsiyelerine uyum sağlama açısından bir kuruluşa ne kadar doğrudan uygulanabilir olduklarını tam olarak anlamanın en etkili yollarından biridir.
NIST Siber Güvenlik Çerçevesini Kimler Kullanır?
Belirttiğimiz gibi, NIST, her şeyden önce, ana yükleniciler, alt yükleniciler veya NIST ile uyumlu olması gereken başka bir kuruluş olsun, federal tedarik zincirindeki bu şirketleri hedefleyen bir çerçeve olarak tasarlanmıştır.
Bununla birlikte, NIST'in standartları hemen hemen her işletmeye uygulanabilir ve bir şirketin mevcut siber güvenlik faaliyetlerini ve bunları kabul edilebilir bir standartta gerçekleştirme yeteneklerini belirlemek için son derece değerli bir kaynaktır ve ayrıca yeni ve bilinmeyen öncelikleri ortaya çıkarır.
NIST'in nihai amacı, yalnızca federal olarak ilişkili kuruluşlar için değil, genel olarak iş dünyası için bir çerçeve sağlamaktır.
Bu amaçla, NIST, özellikle NIST CSF uyumluluğuna ihtiyaç duyup duymadığına bakılmaksızın, siber güvenlik çerçevesini yeni ve herkes için uygulanabilir kılmak için sürekli olarak güncellemeyi planlamaktadır.
Şimdi ne var?
Bu blog gönderisinin, NIST güvenlik standartlarının ne olduğunu ve kuruluşlarda nasıl kullanıldığını anlamanıza yardımcı olduğunu umuyoruz.
NIST CSF uyumluluğu, devlet tarafından sözleşme yapılmayan veya bir devlet yüklenicisi tarafından alt yükleniciye verilmeyen kuruluşlar için gerekli olmasa da, faaliyetlerinin ve protokollerinin çoğu, HIPAA, PCI, PII gibi uyulması gereken diğer birçok uyum düzenlemesi için geçerlidir.
Bu düzenlemelere (ve diğerlerine) uyum için, faaliyetlerin doğru bir şekilde izlenebilmesi ve sürdürülebilmesi için bir yönetişim risk ve uyumluluk (GRC) çözümünün kullanılması önerilir.
Impact'te, risk değerlendirmesini gerçekleştirecek ve siber güvenlik politikalarınızın uyumluluğu sürdürmek için tam olarak olması gereken yerde olduğundan emin olacak uzmanlarımızdan GRC'nin hibrit veya tam yönetimi seçenekleriyle böyle bir çözüm sunuyoruz.
Daha fazla bilgi için Uyumluluk Hizmetleri sayfamıza göz atın ve Impact'in kuruluşunuzun uyumluluğunu bugün nasıl rayına oturtabileceğini görmek için bir uzmanla bağlantı kurun.