NIST CSF Uyum Danışmanlığı

NIST CSF Uyum Danışmanlığı

NIST CSF UYUM DANIŞMANLIĞI 

NIST, ABD’deki Bilim ve Teknoloji Bakanlığı’na bağlı ve resmi olarak “Ulusal Standartlar ve Teknoloji Enstitüsü” (Ulusal Standartlar ve Teknoloji Enstitüsü) olarak listelenen federal bir kurumdur. NIST, bilim ve teknolojiyi geliştirmeyi teşvik etmek ve teşvik etmek, endüstri standartlarını belirlemek ve ulusal güvenlikle ilgili bir dizi standart ve tanıtım gibi görevlere sahiptir. 

NIST CYBER SECURITY FRAMEWORK

Amerika Birleşik Devletleri’ndeki Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen NIST Siber Güvenlik Çerçevesi, kuruluşların siber güvenlik duruşlarını yönetmek ve geliştirmek için kullanabileceği bir dizi kılavuz, en iyi uygulama ve standarttır. Çerçeve, kuruluşların özellikle kritik altyapı sektörlerinde siber güvenlik riskini daha iyi anlamalarına, yönetmelerine ve azaltmalarına yardımcı olmak için oluşturuldu. NIST Siber Güvenlik Çerçevesi beş temel işlevden oluşur.

TANIMLAMA (IDENTIFY)

Sistemler, varlıklar, veriler ve yeteneklere yönelik siber güvenlik risklerini anlayın ve yönetin

KORUMA (PROTECT)

Kritik altyapı hizmetlerinin sunulmasını sağlamak için güvenlik önlemleri uygulayın.

TESPİT ETME (DETECT)

Bir siber güvenlik olayının meydana geldiğini tespit etmeye yönelik faaliyetler geliştirin ve uygulayın.

KARŞILIK VER (RESPOND)

Tespit edilen bir siber güvenlik olayının etkisini azaltmak için harekete geçin.

KURTAR (RECOVER)

Bir siber güvenlik olayından etkilenen yetenekleri geri yükleyin ve iyileştirin.

NIST SP 800- 53   BİLGİ SİSTEMLERİ – KURULUŞLAR İÇİN GÜVENLİK VE MAHREMİYET KONTROLLERİ (SECURITY AND PRIVACY CONTROLS FOR INFORMATION SYSTEMS AND ORGANIZATIONS)

“Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Denetimleri” başlıklı NIST Özel Yayını 800-53, Amerika Birleşik Devletleri’ndeki Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan bir yayındır. Federal kurumların ve diğer kuruluşların bilgi sistemlerini ve işledikleri verileri korumak için kullanılabilecek kapsamlı bir dizi güvenlik ve gizlilik kontrolü sağlar. NIST SP 800-53 yayını, bilgi güvenliği ve siber güvenlik standartları ve yönergelerine odaklanan daha geniş NIST Özel Yayın 800 serisinin bir parçasıdır.

Rehberin içeriği şu şekildedir. 

  • 20 KONTROL AİLESİ (ERİŞİM KONTROLÜ, FARKINDALIK, KİMLİK DOĞRULAMA RİSK DEĞERLENDİRMESİ, PERSONEL DEĞERLENDİRME, KONFİGÜRASYON YÖNETİMİ )
  • 275 KONTROL LİSTESİ
  • 635 İYİLEŞTİRME 
  • 910 KONTROL VE İYİLEŞTİRME
  • NIST SP 800-70 ULUSAL KONTROL LİSTELERİ (NCP)

Amerika Birleşik Devletleri’ndeki Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan bir belgedir. Bilgi teknolojisi (BT) ürünleri için güvenlik yapılandırması kontrol listelerinin oluşturulması, kullanılması ve yönetimine ilişkin yönergeler sağlar.

NIST SP 800-70 ile ilgili önemli noktalar şunlardır:

IST SP 800-70, güvenlik yapılandırma kontrol listeleri sağlayarak BT ürünlerinin güvenliğini artırmak için tasarlanan NCP’ye (National Checklist Program) odaklanır. Güvenlik profilleri veya kıyaslamalar olarak da bilinir. Bu kontrol listeleri kuruluşların ve kullanıcıların BT ürünlerini güvenli bir şekilde yapılandırmasına ve dağıtmasına yardımcı olur.

CDM – SÜREKLİ TEŞHİS VE TEHLİKE AZALTMA (CONTINIOUS DIAGNOSTICS AND MITIGATION)

Sürekli Teşhis ve Azaltma” (CDM), Amerika Birleşik Devletleri’nde Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından uygulanan bir siber güvenlik programıdır. DM programı, sürekli izleme, güvenlik açığı yönetimi ve olaylara müdahale için bir çerçeve sağlayarak federal hükümet kurumlarının ve departmanlarının siber güvenlik duruşunu geliştirmek üzere tasarlanmıştır. CDM programının temel bileşenleri ve hedefleri şunlardır: 

Güvenlik tehditlerini ve güvenlik açıklarını neredeyse gerçek zamanlı olarak tespit etmek.

Tespit edilen açıklara yanıt vermek için bilgi sistemlerinin, ağların ve verilerin sürekli izlenmesini sağlamak.

Sürekli izleme yaklaşımının, kuruluşların güvenlik risklerini hızlı bir şekilde tanımlamasına ve azaltmasına yardımcı olması.