Merhaba,
NIST CSF konusundaki önceki yazıma aşağıdaki link aracılığı ile ulaşabilirsiniz.
https://mturan.net/blog/nist-cyber-security-framework-v-1-1/
İlk yazıda bahsettiğim CSF giriş konusunu özetle hatırlayacak olursak, standardın genelden, özele doğru nasıl bir yapıda olduğunu incelemiştik. Beş fonksiyon/grup altıda 26 tane alt kategorinin olduğunu görmüştük. (Bkz. Tablo 1) Bu ana fonksiyon ve alt kategori tablosunu Tablo 1 de İngilizce ve Türkçe olarak inceleyebilirsiniz.
Tablo 1: NIST CSF Fonksiyon ve Kategori Eşleştirmesi (EN – TR)
NIST CSF kendisini beş ana kategoride sınıflandırmıştı hatırladığınız gibi, bunlardan birincisi ise IDENTIFY (ID) – TANIMLA olarak isimlendirilmektedir. Bu ana kategori altında ise altı tane alt kategori bulunmaktadır. (Bkz. Tablo 2)
IDENTIFY (ID) – TANIMLA bölümünde yer alan her bir alt kategoriyi ve amaçlarını inceleyelim.
Tablo 2: IDENTIFY (ID) TANIMLA Kategorisi ve Alt Kategorileri Tablosu (EN – TR)
IDENTIFY (ID) – TANIMLA
Asset Management (ID.AM):
Varlık Yönetimi
Varlık Yönetimi, ülkemizde genellikle envanter olarak isimlendirilir, şirketin somut ve soyut varlıklarının tümünü kapsar. Şirketin işlerini yaparken, hedeflerine ulaşmak için ihtiyaç duyduğu veriler, çalışanlar, cihazlar, sistemler, tesisler, tedarikçiler vb. bileşenlerin tamamını kapsamaktadır.
Business Environment (ID.BE):
İş Çevresi
Kuruluşun misyonu, amaçları, paydaşları ve faaliyetleri bu bölümde tanımlanır, anlaşılır ve önceliklendirilir; buradan elde edilen bilgiler siber güvenlik rollerini, sorumluluklarını ve risk yönetimi ile ilgili kararların verilmesinde girdi olarak kullanılır.
Governance (ID.GV):
Yönetişim
Kuruluşun yasal, mevzuatsal, risk, çevresel ve operasyonel ihtiyaçlarını yönetmek ve izlemek için ihtiyaç duyulan politika, prosedür ve süreçlerin, siber güvenlik risklerinin yönetilmesi için kullanılmasıdır yönetişim. Özellikle kurumdaki konusunda en üst düzey yetkililer tarafından yürütülen faaliyetleri tanımlar.
Risk Assessment (ID.RA):
Risk Değerlendirme
Kuruluş; şirket operasyonları, varlıkları ve bireyler için siber güvenlik risklerini bu bölümde ele alır. (misyon, iş fonksiyonları, imaj veya itibar dahil)
Risk Management Strategy (ID.RM):
Risk Yönetimi Stratejisi
Kuruluşun öncelikleri, sınırları, risk toleransları ve tahminlerinin oluşturularak, operasyonel risk kararları için bu verilerin kullanılmasıdır.
Supply Chain Risk Management (ID.SC):
Tedarik Zinciri Risk Yönetimi
Kuruluşun öncelikleri, sınırları, risk toleransları ve tahminlerinden oluşturulmuş bilgilerin, tedarik zinciri riskini yönetmekle ilişkili risk kararlarını desteklemek için kullanılmasıdır. Kuruluş, tedarik zinciri risklerini tanımlamak, değerlendirmek ve yönetmek için süreçler oluşturmuş ve işletmiştir.
IDENTIFY (ID) – TANIMLA isimli CSF fonksiyonunda tanımlanmış olan altı tane kategoriyi inceledik. Her bir kategori siber güvenlikte bir süreç olarak ele alınmaktadır. Buradaki iş süreçleri aracılığı ile alt güvenlik kontrolleri belirlenmekte ve işletilmektedir. Buradaki bir süreç, başka bir süreç için girdi veya çıktı olabilmektedir.
Sağlıklı günler dilerim.
Mustafa TURAN
