Merhaba,
Bildiğiniz gibi NIST’in Cybersecurity Framework (CSF) standardı başlangıçta Amerika’daki kamu kurumları ve özel şirketleri için yapılandırılmış olsa da, tüm dünyada kabul edilen ve geniş uygulama alanına sahip bir siber güvenlik standardı olmuştur. NIST ile ilgili birçok yazıyı bloğumda bulabilirsiniz. Bu yazıda ise NIST’in her bir kategorisinin birbirini nasıl desteklediğini inceleyeceğiz.
NIST CSF’in her bir kategorisi kurumda siber güvenliğin beklenen seviyede sağlanması için bir süreç olarak işletilmelidir. Güvenlik süreçlerini bu çerçevede yapılandırmak kurumsal, başarılı ve sürdürülebilir güvenlik seviyesi için siber güvenlik sorumlularına, kurumdaki çalışanlara, paydaşlara ve hisse sahiplerine güvence sağlayacaktır.
NIST CSF içinde bulunan 5 ana fonksiyon siber güvenliğin sağlanmasındaki her bir fazı işaret etmektedir. Bu fazlar arasında birbirini destekleyici bir çok siber güvenlik kategorisi bulunmaktadır (Bkz Resim 2). Sağlıklı ve sürdürülebilir bir siber güvenlik yapısı için buradaki kategorilerin birbirleri ile etkileşimde bulunması gerekmektedir. Her bir kategori ayrı bir süreç olarak ele alınmalı, her sürece ait girdiler, kategori içindeki işlemler ve bu işlemler sonucunda elde edilen çıktılar diğer bir süreci ve süreçleri besleyerek birbirleri ile uyum içinde çalışmalıdırlar.
NIST Cybersecurity Framework standardının içindeki kategorilerin süreç olarak nasıl kullanılabileceği ve bu süreçlerin birbirlerini nasıl destekledikleri ile ilgili oluşturmuş olduğum süreç diyagramını Resim 3’de incelyebilir ve kurumsal süreçlerinizde buradaki ilişkilerden faydalanabilirsiniz.
Diyagramın orjinal boyutlu sürümüne ulaşmak için üzerine tıklayın.
Esenlikler dilerim.
Mustafa TURAN
