Bir siber güvenlik çerçevesi, esas olarak, dijital dünyada ortaya çıkan riskleri yönetmek için bir standartlar, yönergeler ve en iyi uygulamalar sistemidir. Genellikle, bir kullanıcı adı ve parola isteme gibi kontroller, yetkisiz sistem erişimi gibi güvenlik ihlalinin tespiti hedefleriyle eşleşirler.
Bu kafa karıştırıcıysa, öncelikle bir çerçevenin genel olarak ne olduğunu anlamak yardımcı olabilir. Fiziksel dünyada çerçeve, bir binayı tutan kirişler sistemidir. Fikirler dünyasında çerçeve, bir sistemi veya kavramı destekleyen bir yapıdır. Çerçeve, bilgileri ve çoğu durumda ilgili görevleri düzenlemenin bir yoludur.
Çerçeveler uzun zamandır heryede kullanılmaktadır. Örneğin finansal muhasebede çerçeveler, muhasebecilerin finansal işlemleri takip etmelerine yardımcı olur. Varlıklar, yükümlülükler, maliyetler ve kontroller gibi kavramlar etrafında bir muhasebe çerçevesi oluşturulmuştur. Siber güvenlik çerçeveleri, dijital varlıkları güvence altına alma çalışmalarına çerçeve yaklaşımını benimser. Çerçeve, ortam ne kadar karmaşık olursa olsun, güvenlik yöneticilerine siber riski azaltmak için güvenilir ve sistematik bir yol sağlamak üzere tasarlanmıştır.
Siber güvenlik çerçeveleri, devlete, sektöre ve uluslararası siber güvenlik düzenlemelerine uymak isteyen şirketler için genellikle zorunludur veya en azından şiddetle teşvik edilir. Örneğin, kredi kartı işlemlerini yürütmek için bir işletme, Ödeme Kartı Sektörü Veri Güvenliği Standartları (PCI DSS) çerçevesine uygunluğunu tasdik eden bir denetimden geçmelidir.
Siber Güvenlik Çerçevelerinin Türleri
İçinde son RSA konferansı SANS enstitüsünün önceki CISO'su ve en iyi siber güvenlik uzmanlarından biri olan Frank Kim, bu çeşitli çerçeve türleri için harika bir açıklama yaptı. Bunları üç kategoriye ayırdı ve amaçlarını özetledi – Kontrol Çerçeveleri :
▪ Güvenlik ekibi için temel bir strateji geliştirin
▪ Temel kontroller seti sağlayın
▪ Mevcut teknik durumu değerlendirin
▪ Kontrol uygulamasına öncelik verin
Program Çerçeveleri:
▪ Güvenlik programının durumunu değerlendirin
▪ Kapsamlı bir güvenlik programı oluşturun
▪ Program güvenliğini/rekabet analizini ölçün
▪ Güvenlik ekibi ve iş liderleri arasındaki iletişimi basitleştirin
Risk Çerçeveleri:
▪ Riski değerlendirmek/yönetmek için temel süreç adımlarını tanımlayın
▪ Risk yönetimi için yapı programı
▪ Riski tanımlayın, ölçün ve ölçün
▪ Güvenlik faaliyetlerine öncelik verin
En İyi Siber Güvenlik Çerçeveleri
Birçok farklı çerçeve var. Ancak, birkaçı piyasaya hakim. PCI DSS'ye ek olarak, popüler çerçeveler şunları içerir:
▪ bu ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Çerçevesi f veya Kritik Altyapı Siber Güvenliğini İyileştirme (NIST CSF)
▪ İnternet Güvenliği Kritik Güvenlik Kontrolleri Merkezi (CIS)
▪ Uluslararası Standartlar Organizasyonu (ISO) ISO/IEC 27001 ve 27002 çerçeveleri
NIST Siber Güvenlik Çerçevesi
Bazen sadece “NIST siber güvenlik çerçevesi” olarak adlandırılan Kritik Altyapı Siber Güvenliğini Geliştirmek için NIST Çerçevesi, adından da anlaşılacağı gibi, enerji santralleri ve barajlar gibi kritik altyapıları siber saldırılara karşı korumak için kullanılmak üzere tasarlanmıştır. Ancak ilkeleri, daha iyi güvenlik arayan herhangi bir kuruluş için geçerli olabilir. Siber güvenliği kapsayan birkaç NIST standardından biridir.
Çoğu çerçeve gibi, NIST siber güvenlik çerçevesi de karmaşık ve kapsamlıdır. Bunu açıklayan temel belge 41 sayfadır. Çerçevenin fiili uygulaması, binlerce kişi-saat ve yüzlerce sayfa belge, prosedür, kontrol vb. içerebilir.
Çerçevenin özü, siber savunmanın temel modelini izleyen siber güvenlik işlevlerinin bir listesidir: tanımlama, koruma, algılama, yanıt verme ve kurtarma. Çerçeve, koruma gerektiren riskleri ve varlıkları belirlemek için organize bir mekanizma sağlar. Kuruluşun riskleri tespit ederek, tehditlere yanıt vererek ve ardından bu varlıkları koruması gereken yolları listeler.
Örneğin, Koruma - Veri Güvenliğini Koru" anlamına gelen PR.DS olarak bilinen bir kategori içerir. Çerçevenin daha derinlerine inildiğinde, PR.DS, her biri verilerin korunmasını sağlamaya yönelik yedi alt kategoriye sahiptir. Bunlar, hareketsiz verileri koruma (PR.DS1), aktarım halindeki verileri koruma (PR.DS-2) vb. için kontrolleri içerir. Örneğin, PR.DS-1'e uymak için kuruluş, bekleyen verilerin şifrelenmesini zorunlu kılabilir.
CIS
CIS, şirketleri siber güvenlik tehditlerinden korumak için bir çerçeve oluşturmak üzere gönüllü-uzman koalisyonu tarafından 2000'lerin sonlarında inşa edildi. Sürekli olarak modern ve siber güvenlik tehditlerinin üstünde olmak için tüm alanlardan (hükümet, akademi ve endüstri) uzmanlar tarafından düzenli olarak güncellenen 20 kontrolden oluşur.
CIS, işe küçük adımlarla başlamak isteyen kuruluşlar için iyi sonuç verir. Onların süreci üç gruba ayrılır. Temel bilgilerle başlarlar, ardından temel ve son olarak örgütsel hale gelirler. CIS, sektöre özel diğer uyumluluk standartlarıyla (HIPAA ve NIST gibi) bir arada bulunabilecek ek bir çerçeve istiyorsanız da harika bir seçenektir.
Bu kuruluş, NIST ve HIPAA gibi yaygın olarak kullanılan standartları temel alan ve yalnızca şirketlerin bunlara uymasına yardımcı olmak için güvenlik standartlarını haritalamakla kalmayan, aynı zamanda uyumluluk gerektirmeyen ancak geliştirmek isteyenler için alternatif temel güvenlik yapılandırmaları sunan kıyaslamalarla veya yönergelerle çalışır.
Bu kriterler iki seviyeye ayrılır. Birincisi , hizmetleri performansta etkilemeyen temel güvenlik yapılandırmaları için önerilerdir; ve olası bir etkilenen performans maliyetiyle birlikte daha yüksek düzeyde güvenlik yapılandırma önerileri sunan ikinci, daha gelişmiş seviye karşılaştırmalar. ISO/IEC 27001
ISO 27K olarak da bilinen ISO 27001/27002, siber güvenlik için uluslararası kabul görmüş standarttır.
Çerçeve, ISO 27001'i benimseyen bir kuruluşun bir Bilgi Güvenliği Yönetim Sistemine (BGYS) sahip olacağını zorunlu kılar (varsayılır). ISO/IEC 27001, yönetimin, tehditleri ve güvenlik açıklarını dikkate alarak kuruluşun bilgi güvenliği risklerini sistematik olarak yönetmesini gerektirir.
Çerçeve daha sonra kuruluşun hem tutarlı hem de kapsamlı bilgi güvenliği (InfoSec) kontrolleri tasarlamasını ve uygulamasını gerektirir. Bu kontrollerin amacı, tanımlanmış riskleri azaltmaktır. Oradan çerçeve, kuruluşun devam eden bir risk yönetimi sürecini benimsemesini önerir. ISO 27001 uyumlu olarak sertifika almak için, bir kuruluşun denetçiye ISO'nun “PDCA Döngüsü” olarak adlandırdığı şeyi kullandığını göstermesi gerekir.
PDCA Döngüsü
PDCA döngüsü nedir?
şirkette değişim düşünüldüğünde sürekli uygulanması gereken 4 ana adıma odaklanan bir iş yönetimi yöntemidir . Dört adım şunlardır:
▪ Planla — risk yönetimi için politikalar, hedefler, süreçler ve prosedürler ile birlikte BGYS'nin kendisini oluşturmak anlamına gelir.
▪ Yap — InfoSec politikalarının, prosedürlerinin ve benzerlerinin uygulanması da dahil olmak üzere fiili işleyen BGYS'nin uygulanması anlamına gelir.
▪ Kontrol Et — BGYS'nin izlenmesini ve gözden geçirilmesini, politika ve hedeflere kıyasla süreç performansının ölçülmesini içerir.
▪ Eylem - BGYS'yi güncelleme ve iyileştirme sürecidir. Bu, iç denetim ve yönetimin gözden geçirmesi temelinde düzeltici ve önleyici faaliyetlerde bulunmak anlamına gelebilir.
Şirketler ve devlet kurumları, uygunluk sertifikası almak için ISO 27001'i benimser. Aksi takdirde, çaba için gösterilecek çok şey olmadan çok iş olur. ISO, onaylı denetim firmalarının çalışmaları aracılığıyla uygunluğu onaylar. Bir şirket, genellikle daha sonra denetçi ve sertifika yetkilisi olarak hareket edebilecek deneyimli bir danışmanla çalışmayı içeren ISO ile sertifika başvurusu sürecinden geçer.
Diğer Önemli Çerçeveler
Belirli bir endüstri veya güvenlik senaryosu için bazı çerçeveler mevcuttur.
▪ Örneğin COBIT, finansal muhasebede kullanılan BT sistemleri için bir kontrol çerçevesidir. Sarbanes Oxley Yasasına uyumun temel bir parçasıdır.
▪ Hastaların mahremiyetini korumak için tasarlanmış bir yasa olan HIPAA, hem bir dizi düzenlemeyi hem de bir çerçeveyi içerir. PCI DSS'ye benzer. Uyumluluğu kanıtlamak için bir sertifikasyon süreciyle birleştirilen belirli bir kontrol gereksinimleri dizisidir.
▪ bu AB GDPR kişisel bilgileri koruyan kurallar, doğası gereği biraz daha yumuşaktır. Kurallar oldukça açıktır, ancak uygunluk herhangi bir özel kuruluş tarafından onaylanmamıştır.
Çoklu Siber Güvenlik Düzenlemelerine Nasıl Uyum Sağlanır?
Çoğu işletme, özellikle uluslararası çalışanlar, farklı siber güvenlik düzenlemeleri koleksiyonuna uymak zorundadır. Çerçeveler, bu karmaşık zorluğun üstesinden gelmenin harika bir yolu olabilir. Size birden fazla uyumluluk rejiminde kontrolleri tanımlamanın, zorlamanın ve izlemenin bir yolunu sunarlar.
İyi haber şu ki, güvenlik sağlayıcıları ve danışmanlıkları, düzenlemelere uyum konusunda kapsamlı rehberlik yayınlıyor. Örneğin HIPAA ile bulmak mümkündür. iyi kaynaklar yasanın külfetli gereksinimlerini karşılamak . Bunlara idari önlemler, fiziksel önlemler ve diğer kontroller dahildir.
Siber güvenlik çerçeveleri, güçlü bir güvenlik duruşu elde etmek için bir temel sağlar. Bazı durumlarda, bir kuruluşun belirli bir düzenlemeyle uyumlu olarak sertifikalandırılmasını sağlarlar. Bir çerçeveyi benimsemek, projeye zaman ve kaynak ayırma kararını gerektirir. Ancak doğru yapılırsa, buna değer! Çerçeve, güvenli hale gelmek ve ardından çerçeve tarafından oluşturulan güvenlik kontrollerinin etkinliğini sürekli olarak ölçmek için organize bir yol sunar.
Kaynak : https://www.linkedin.com/pulse/siber-g%25C3%25BCvenlik-framework-nedir-ibrahim-aslanbakan/?trackingId=uOmAVGGcQTeTKzHoSp99YQ%3D%3D