NIST – Siber Güvenlik Çerçeve Dokümanı – Sürüm 1.1
Merhaba arkadaşlar,
Uzun bir yazı dizisine başlıyoruz. Sizlerle birlikte Amerika Ulusal Standartlar Enstitüsü olan NIST’in yayınladığı Siber Güvenlik Çerçeve Dokümanı’nı (NIST – Cyber Security Framework) detaylı bir şekilde inceleyeceğiz. Yazıyı uzatmamak ve okuyanların da canını sıkmamak için standardın ismini kısaca CSF olarak isimlendireceğim. Genel görünümden başlayarak yavaş yavaş detaylarına gireceğiz ve her kategori ve alt kategoriyi incelemeye çalışacağız.
NIST CSF dünyada kabul gören bir standarttır, aynı zamanda 2020 yılında yaşadığımız Covid-19 salgını nedeniyle kurumların ve bireylerin alışkanlıklarında köklü değişiklikler yaşanmaya başlandı, bu etkinin artacağı ve internet aracılığı ile sunulan hizmetlerde bir sıçrama olduğu, bu sıçramadan sonra da büyümenin devam edeceği öngörülmektedir. Böyle bir ortamda NIST CSF tüm dünyada daha popüler ve kabul gören bir standart haline gelecektir.
İlk olarak NIST kurumuna özetle bir bakalım, kimdir, nedir?
NIST kısaltmasıyla isimlendirilen ve tam adı; National Institute of Standards and Technology olan kurum, ülkemizdeki TSE – Türk Standartları Enstitüsü kurumuna denk gelmektedir. 1901 yılında Amerikan Ticaret Bakanlığı tarafından kurulmuştur. O dönemlerde sanayileşme hız kazanmaya başlamıştı ve Avrupa’nın gerisinde kalmak istemeyen Amerika ülkedeki sanayi kuruluşlarını desteklemek için NIST’i kurmaya karar vermiştir. NIST çok geniş bir alanda günümüzde hizmetlerini sürdürmeye devam etmektedir. Hizmet alanlarından bir tanesi de Bilgi Sistemleri ve Güvenlik konularıdır. Hazırladığı diğer standartlar yanında siber güvenlik alanındaki ihtiyaca doğrultusunda da bir güvenlik standardı oluşturmuştur. Amerikan devlet kurumlarının %50’sinin 2020 yılı itibariyle bu standarda uyumlu olması hedeflenmektedir.
NIST ile ilgili detaylı bilgi için www.nist.gov adresini ziyaret edebilirsiniz.
Şimdi de CSF için özet bir inceleme yapalım;
Tablo 1: NIST CSF Özet Tablo
| Orijinal Adı | Cybersecurity Framework |
| İlk Sürüm | 1 ( Şubat 2014 ) |
| Güncel Sürüm | 1.1 ( Nisan 2018 ) |
| Bölüm Sayısı | 5 |
| Kategori Sayısı | 23 |
| Alt Kategori | 108 |
| Kontrol Sayısı | 504 |
| Link | nist.gov/cyberframework |
Resim 1: NIST Cyber Security Framework Ana Domain’leri / Fonksiyonları
Aslında 5 ana domain’den oluşan CSF, aşağıya doğru bu alanlar açıldıkça detayları iyice ortaya çıkmakta ve aslında ne kadar çok güvenlik kontrolü istediği yukarıdaki özet tablodaki rakamlarda görülmektedir. Standardı tanımanın ilk yolu bir özetini çıkarmaktır, bu şekilde nasıl bir lokma yutmaya çalışacağımız hakkında bir bilgimiz olur ve nasıl yememiz gerektiğine dair bir plan yapabiliriz. Bir Afrika atasözünde söylendiği gibi, “Bir fili nasıl yersiniz? Tabii ki parçalara bölerek” o sebeple gözümüz korkmasın bu kadar fazla kontrolden, hepsini küçük lokmalara bölerek iyice çiğneyerek yutacak ve üzerimizde ağırlık yapmadan hazmedeceğiz. Sonuçta CSF’i kurmaya çalışan, etki alanı içinde kalan personel, projeye destek olan bilgi teknolojileri ekipleri ve tabi ki tedarikçilerimiz de aynı yemekten paylarını alacaklardır, aynı sofrada dostlar ile paylaşılan, sohbet ve muhabbet eşliğindeki bir yemekten alınan keyfi bizler de projemizden almış olacağız.
Fonksiyon / Bölüm /Alan Adları
IDENTIFY (ID) TANIMLA
PROTECT (PR) KORU
DETECT (DE) TESPİT ET
RESPOND (RS) MÜDAHALE ET
RECOVER (RC) KURTAR
Tablo 2: NIST CSF Fonksiyon ve Kategori Eşleştirmesi (EN – TR)
Resim 2: NIST CSF Güvenlik Kontrolleri Dağılımı
NIST CSF oluşturulurken aşağıdaki altı adet farklı standarttan faydalanılmıştır. Bu altı standart içinden ilgili kontroller seçilerek yukarıdaki Alt-Kategori alanındaki başlıkların düzenlenmesi için kullanılmışlardır.
Bir tane örnek ile açıklamak gerekirse ilk sıradaki beklentiden başlayabiliriz; Identify başlığında ele alacağımız ilk konu Asset Management (Envanter / Varlık Yönetimi) olarak belirlenmiş, Alt Kategori’de de bu alt başlıktaki ilk beklentiyi özetlemiş, (Organizasyondaki fiziksel cihazlar ve sistemlerin envanteri çıkartılmalıdır), bunu yapmak için de hangi standarttan faydalanılabileceği, Informative References başlığı altında ilgili standart ve maddesi olarak ilişkilendirilmiştir. Özet tablo aşağıdadır;
| Fonksiyon | IDENTIFY (ID) TANIMLA |
| Kategori | Asset Management (ID.AM) |
| Alt-Kategori | ID.AM-1: Physical devices and systems within the organization are inventoried |
| Bilgilendirici Referans(lar) | CIS CSC 1 COBIT 5 BAI09.01, BAI09.02 ISA 62443-2-1:2009 4.2.3.4 ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 NIST SP 800-53 Rev. 4 CM-8, PM-5 |
Tablo 3: NIST Cyber Security Framework Bilgilendirici Referanslar Tablosu
| Standart | Tam Adı |
| CIS CSC | The CIS Critical Security Controls for Effective Cyber Defense |
| COBIT 5 | Control Objectives for Information and Related Technology (COBIT) |
| ISA 62443-2-1:2009 | Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program |
| ISA 62443-3-3:2013 | Security for industrial automation and control systems Part 3-3: System security requirements and security levels |
| ISO/IEC 27001:2013 | Information technology — Security techniques — Information security management systems — Requirements |
| NIST SP800-53 Rev.4 | Security and Privacy Controls for Federal Information Systems and Organizations |
CSF’de referans verilen dokümanara aşağıdaki bilgiler ile ulaşabilirsiniz. Bilgilendirici Referanslar yalnıza kontrol seviyesinde eşleştirilmiştir,
· Control Objectives for Information and Related Technology (COBIT): http://www.isaca.org/COBIT/Pages/default.aspx
· CIS Critical Security Controls for Effective Cyber Defense (CIS Controls): https://www.cisecurity.org
· American National Standards Institute/International Society of Automation (ANSI/ISA)-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program: https://www.isa.org/templates/one-column.aspx?pageid=111294&productId=116731
· ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and Control Systems: System Security Requirements and Security Levels: https://www.isa.org/templates/one-column.aspx?pageid=111294&productId=116785
· ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements: https://www.iso.org/standard/54534.html
· NIST SP 800-53 Rev. 4 – NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations, April 2013 (including updates as of January 22, 2015). https://doi.org/10.6028/NIST.SP.800-53r4
İlk bölümüzü tamamladık, bu yazımızda NIST Cyber Security Framework isimli siber güvenlik standardı hakkında genel bir çerçeve çizdik, NIST kurumunu tanıdık, standardın bölümleri hakkında bilgi edindik, referans verdiği kontrollerdeki diğer standartları görmüş olduk ve rakamlar ile standardın büyüklüğünü birazcık tartmaya çalıştık.
Bir sonraki yazımda görüşmek üzere, sağlıcakla kalın.
Saygılarımla,
Mustafa TURAN
