CSF giriş konusunu özetle hatırlayacak olursak, standardın genelden, özele doğru nasıl bir yapıda olduğunu incelemiştik. Beş fonksiyon/grup altıda 26 tane alt kategorinin olduğunu görmüştük. (Bkz. Tablo 1) Bu ana fonksiyon ve alt kategori tablosunu Tablo 1 de İngilizce ve Türkçe olarak inceleyebilirsiniz.
Tablo 1: NIST CSF Fonksiyon ve Kategori Eşleştirmesi (EN – TR)
NIST CSF kendisini beş ana kategoride sınıflandırmıştı hatırladığınız gibi, bunlardan ikincisi ise PROTECT (PR) – KORU olarak isimlendirilmektedir. Bu ana kategori altında ise altı tane alt kategori bulunmaktadır. (Bkz. Tablo 2)
PROTECT (PR) – KORU bölümünde yer alan her bir alt kategoriyi ve amaçlarını inceleyelim.
Tablo 2: PROTECT (PR) – KORU Kategorisi ve Alt Kategorileri Tablosu (EN – TR)
PROTECT (PR) – KORU
Identity Management, Authentication and Access Control (PR.AC):
Kimlik Yönetimi, Doğrulama ve Erişim Kontrolü
Somut ve soyut varlıklara ve ilişkili tesislere erişim, yetkili kullanıcılar, süreçler ve cihazlarla sınırlıdır. Bu konulardaki yetkili faaliyetler ve işlemlerin, yetkisiz erişim riskine uygun olarak yönetilmesidir.
Awareness and Training (PR.AT):
Farkındalık ve Eğitim
Kuruluşun personeline ve paydaşlarına siber güvenlik bilinci eğitimi verilir. Siber güvenlikle ilgili görev ve sorumlulukları ilgili politikalar, prosedürler ve sözleşmelerle uyumlu olarak gerek duyulan eğitimler sağlanır.
Data Security (PR.DS):
Veri Güvenliği
Kuruluştaki bilgi ve kayıtlar (veriler) gizlilik, bütünlük ve erişilebilirlik açısından korunmak üzere kuruluşun risk stratejisine uygun olarak yönetilir.
Information Protection Processes and Procedures (PR.IP):
Bilgi Koruma Süreçleri ve Prosedürleri
Güvenlik politikaları (amaç, kapsam, roller, sorumluluklar, yönetim taahhüdü ve kuruluşlar arasındaki koordinasyonu ele alan), süreçler, prosedürler, bilgi sistemleri ve bunlara ait varlıkların korunmasını yönetmek için kullanılır.
Maintenance (PR.MA):
Bakım
Endüstriyel kontrol ve bilgi sistemi bileşenlerinin bakım ve onarımı politika ve prosedürlere uygun olarak gerçekleştirilir.
Protective Technology (PR.PT):
Koruyucu Teknoloji
Teknik güvenlik çözümleri, kuruluştaki varlıkların güvenliğini ve dayanıklılığını sağlamak için ilgili politikalar, prosedürler ve anlaşmalarla tutarlı olarak yönetilmesidir.
PROTECT (PR) – KORU isimli CSF fonksiyonunda tanımlanmış olan altı tane kategoriyi inceledik. Her bir kategori siber güvenlikte bir süreç olarak ele alınmaktadır. Buradaki iş süreçleri aracılığı ile alt güvenlik kontrolleri belirlenmekte ve işletilmektedir. Buradaki bir süreç, başka bir süreç için girdi veya çıktı olabilmektedir.
Sağlıklı günler dilerim.
Mustafa TURAN
