NIST CSF Nedir? Siber Güvenlik Çerçevesi 2.0
NIST CSF (NIST Cybersecurity Framework), ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen, kuruluşların siber güvenlik risklerini anlamasına, değerlendirmesine, önceliklendirmesine ve yönetmesine yardımcı olan gönüllü ve risk temelli bir siber güvenlik çerçevesidir. Bir sertifikasyon değil; ortak bir dil ve esnek bir yol haritası sunan rehber niteliğinde bir yapıdır.
Özetle:
- Ne işe yarar: Siber güvenlik risklerini yönetmek için ortak dil ve risk temelli yol haritası sunar
- Güncel sürüm: NIST CSF 2.0 (Şubat 2024). İlk sürüm 2014 (1.0), ardından 2018 (1.1)
- 6 temel fonksiyon: Govern, Identify, Protect, Detect, Respond, Recover
- Yeni eklenen: Govern (Yönetişim) fonksiyonu 2.0 ile geldi
- Kapsam: 2.0 ile artık sadece kritik altyapı değil, her ölçek ve sektörde kuruluş için
- Niteliği: Gönüllü ve risk temelli bir çerçevedir; ISO 27001 gibi standartlarla birlikte kullanılabilir
NIST CSF Nedir ve Neden Önemlidir?
NIST CSF, kuruluşların mevcut siber güvenlik duruşlarını değerlendirmeleri, eksikleri görmeleri ve hedeflerine doğru sistematik bir şekilde ilerlemeleri için tasarlanmış bir çerçevedir. Belirli bir teknolojiyi veya ürünü dayatmaz; bunun yerine "ne yapılması gerektiğini" tanımlayan, ancak "nasıl yapılacağını" kuruluşun kendi risk profiline bırakan esnek bir yaklaşım benimser.
Çerçevenin en güçlü yanlarından biri, teknik ekipler ile üst yönetim arasında ortak bir dil kurmasıdır. Siber güvenlik artık yalnızca bilgi teknolojileri departmanının değil, bir kurumsal risk konusudur. NIST CSF, bu riski iş hedefleriyle ilişkilendirerek karar vericilerin anlayabileceği bir çerçeveye oturtur.
NIST CSF'nin Tarihçesi ve Sürümleri
Çerçeve, ilk olarak kritik altyapıların korunması ihtiyacından doğmuştur ve zaman içinde kapsamı genişlemiştir.
| Sürüm | Yıl | Öne Çıkan Özellik |
|---|---|---|
| CSF 1.0 | 2014 | İlk sürüm; öncelikle kritik altyapı odaklı, 5 temel fonksiyon |
| CSF 1.1 | 2018 | Tedarik zinciri risk yönetimi ve öz değerlendirme vurgusu güçlendirildi |
| CSF 2.0 | 2024 (Şubat) | Govern fonksiyonu eklendi (6 fonksiyon), kapsam tüm sektörlere genişletildi |
CSF 2.0 ile çerçeve, artık yalnızca kritik altyapı kuruluşları için değil, her ölçekte ve her sektörde faaliyet gösteren kuruluşlar için tasarlanmış bir hâle gelmiştir. Bu, küçük işletmelerden büyük kuruluşlara kadar geniş bir kullanıcı kitlesine hitap etmesini sağlar.
NIST CSF 2.0'ın 6 Temel Fonksiyonu
Çerçevenin kalbinde, siber güvenlik faaliyetlerini üst düzeyde gruplayan altı fonksiyon yer alır. CSF 2.0 ile birlikte, diğer beş fonksiyonu kapsayan ve yöneten Govern fonksiyonu eklenmiştir.
| Fonksiyon | Türkçe | Açıklama |
|---|---|---|
| Govern | Yönetişim | 2.0 ile eklenen yeni fonksiyon. Kuruluşun siber güvenlik risk yönetimi stratejisini, beklentilerini, rollerini ve politikalarını belirler; diğer beş fonksiyonu yönlendirir |
| Identify | Tanımla | Varlıkları, sistemleri, verileri ve bunlara yönelik riskleri anlamayı sağlar |
| Protect | Koru | Olası tehditlere karşı uygun koruyucu önlemleri (erişim kontrolü, eğitim, veri güvenliği) uygular |
| Detect | Tespit Et | Siber güvenlik olaylarını zamanında fark etmek için izleme ve tespit faaliyetlerini içerir |
| Respond | Yanıtla | Tespit edilen bir olaya müdahale etmek için gereken eylemleri kapsar |
| Recover | Kurtar | Olaydan etkilenen yetenekleri ve hizmetleri eski hâline getirmeye yönelik faaliyetleri içerir |
Bu fonksiyonlar doğrusal bir sıra değil, sürekli ve eş zamanlı işleyen bir döngü olarak düşünülmelidir. Govern fonksiyonu ise diğerlerini bağlamlandıran ve önceliklendiren üst katmanı oluşturur.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
NIST CSF'nin Temel Bileşenleri
Çerçeve, üç ana bileşen üzerine kuruludur. Bu bileşenler birlikte çalışarak kuruluşun siber güvenlik yolculuğunu yapılandırır.
Core (Çekirdek)
Çekirdek; fonksiyonlar, kategoriler ve alt kategorilerden oluşan hiyerarşik yapıdır. Yukarıda anlatılan altı fonksiyon, çekirdeğin en üst seviyesidir. Her fonksiyon, daha ayrıntılı sonuçlara işaret eden kategorilere ayrılır. Çekirdek, "neyin başarılması gerektiğini" tanımlar.
Tiers (Uygulama Katmanları)
Tiers, bir kuruluşun siber güvenlik risk yönetimi uygulamalarının ne kadar olgun ve titiz olduğunu betimleyen dört seviyeden oluşur. Bunlar bir "olgunluk modeli" olmaktan çok, risk yönetimi yaklaşımının niteliğini tanımlamaya yarar.
| Katman | İsim | Tanım |
|---|---|---|
| Tier 1 | Kısmi (Partial) | Risk yönetimi büyük ölçüde reaktif ve düzensizdir, kurumsal farkındalık sınırlıdır |
| Tier 2 | Risk Bilgili (Risk Informed) | Risk yönetimi uygulamaları onaylanmış ancak kurum genelinde tutarlı şekilde yaygınlaşmamıştır |
| Tier 3 | Tekrarlanabilir (Repeatable) | Uygulamalar resmî olarak tanımlanmış, politikalarla desteklenmiş ve düzenli olarak güncellenir |
| Tier 4 | Uyarlanabilir (Adaptive) | Kuruluş, geçmiş deneyim ve göstergelerden öğrenerek uygulamalarını sürekli iyileştirir |
Profiles (Profiller)
Profiller, çekirdek sonuçlarının kuruluşun ihtiyaçları, riskleri ve kaynaklarıyla hizalanmasını sağlar. İki tür profil kullanılır: mevcut durum profili (kuruluşun bugün nerede olduğu) ve hedef durum profili (kuruluşun ulaşmak istediği yer). İkisi arasındaki fark, bir eylem planı ve önceliklendirme için yol haritası sunar.
NIST CSF ile ISO 27001 Arasındaki Fark
Her ikisi de bilgi güvenliği alanında yaygın olarak kullanılsa da, doğaları farklıdır ve sıklıkla birbirini tamamlayacak şekilde birlikte uygulanırlar.
| Kriter | NIST CSF | ISO 27001 |
|---|---|---|
| Niteliği | Gönüllü çerçeve (rehber) | Sertifikalandırılabilir standart |
| Sertifikasyon | Resmî bir sertifikası yoktur | Akredite belgelendirme mümkündür |
| Yapısı | Fonksiyonlar, kategoriler, profiller | BGYS gereksinimleri ve Annex A kontrolleri |
| Yaklaşım | Risk temelli ve esnek | Risk temelli, yönetim sistemi odaklı |
| Birlikte kullanım | ISO 27001 ile birlikte uygulanabilir | NIST CSF ile birlikte uygulanabilir |
Pratikte birçok kuruluş, ISO 27001 ile resmî bir yönetim sistemi kurarken NIST CSF'yi risk değerlendirme ve iletişim çerçevesi olarak kullanır.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
NIST CSF, "NIST Cybersecurity Framework" yani NIST Siber Güvenlik Çerçevesi demektir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından geliştirilen, kuruluşların siber güvenlik risklerini yönetmesine yardımcı olan gönüllü ve risk temelli bir çerçevedir.
NIST CSF 2.0'ın altı temel fonksiyonu şunlardır: Govern (Yönetişim), Identify (Tanımla), Protect (Koru), Detect (Tespit Et), Respond (Yanıtla) ve Recover (Kurtar). Bunlardan Govern, 2.0 sürümüyle eklenen ve diğer beş fonksiyonu yönlendiren yeni fonksiyondur.
En önemli değişiklik, Govern (Yönetişim) fonksiyonunun eklenmesiyle fonksiyon sayısının beşten altıya çıkmasıdır. Ayrıca çerçevenin kapsamı genişletilmiş; artık yalnızca kritik altyapı için değil, her ölçekte ve sektörde kuruluş için tasarlanmıştır.
NIST CSF gönüllü bir çerçevedir ve resmî bir sertifikası yoktur; ISO 27001 ise akredite belgelendirmeye tabi tutulabilen sertifikalandırılabilir bir standarttır. İkisi birbirinin alternatifi olmak zorunda değildir; birçok kuruluş bunları birlikte kullanır.
Hayır, NIST CSF gönüllü bir çerçevedir. Kuruluşlara dayatılan zorunlu bir uyum gereksinimi değil, siber güvenlik risklerini yönetmek için benimsenebilecek esnek bir rehberdir. Bununla birlikte, bazı sektörlerde veya sözleşmelerde referans olarak kullanılabilir.
