Kritik altyapıya sahip her türlü organizasyona uyum sağlayabilen Cyber Security Framework bir siber güvenlik risk yönetim aracıdır. Kısaltması "CSF" dir, kullanılan kurumda sürdürülebilir performans sağlamayı amaçlamaktadır.

CSF'nin siber güvenlik ekosisteminde endüstri tarafından kabul edilmiş standartları vardır, bunlar:

- NIST SP 800-53 Rev. 4

- ISO/IEC 27001:2013

- COBIT 5, CIS CSC

- ISA 62443-2-1:2009

- ISA 62443-3-3:2013


Bu standartlar 2014 yılında yayına sunulmuştur.




CSF Yapısı Neden Geliştirilir?

- Verimli ve performanslı esnek ve tekrarlı bir altyapı sağlamak

- Kritik derecede altyapısı olan sektörlerde uygulanabilecek kuralları ve güvenlik standartlarını belirlemek

- Bulunan siber riskler için iyileştirme alanları belirlemek

- Siber risklerin belirlenmesi, değerlendirilmesi ve yönetilmesi

- Standartların karşılamadığı güvenlik boşluklarını belirlemek ve bu boşluklar için eylem planları geliştirmek için CSF yapısı geliştirilir.




Core

Kategorik bir şekilde düzenlenen ve kategorilerin uygun görülen standartlarla ilişkilendirildiği bölümdür. Ayrıca bu bölüm siber güvenlik risk yönetim yaşam döngüsüne ilişkin üst düzey bir stratejik görüş sağlamaktadır.

- Identify: İnsanların, sistemlerin, varlıkların ve verilerin siber güvenlik riskini yönetmesini amaçlayarak kurumsal bir anlayış
geliştirilmesini sağlamaktadır.

- Protect: Kritik derecede ki servislerin korunmasını sağlamak ve potansiyel bir siber güvenlik olayının etkisini sınırlı düzeye getirmek
için uygun önlemleri içermektedir.

- Detect: Siber güvenlik olaylarının zamanında keşfedilebilmesi için uygun faaliyetler geliştirmekte ve uygulamaktadır.

- Respond: Tespiti yapılmış olan bir siber güvenlik olayına karşı zamanında harekete geçmek için uygun faaliyetleri içermektedir.

- Recover: Esneklik planlarını sürdürmek ve siber güvenlik olayı nedeniyle bozulmuş olan tüm hizmetlerin geri yüklenebilmesi için uygun aktiviteler geliştirmekte ve uygulamaktadır.


Profiles

Belirli bir uygulama senaryosunda kılavuzların, standartların ve uygulamaların "Core" bölümünde bulunan fonksiyonlar ile uygun hale getirilmesi olarak açıklanabilir.

Mevcut ve Hedef Profil olmak üzere iki başlık altında incelenebilir. Profil tanımlaması, kurumlara ait siber güvenlik programlarının CSF'e karşı objektif bir incelemesini yapmalarını ve mevcut güvenlik durumlarının ne olduğunun net bir şekilde anlaşılabilmesini sağlar. Hedef Profil, istenen siber güvenlik risk hedeflerine ulaşabilmek için gereken sonuçları belirtir.

CSF Nasıl Kullanılır?

Bir siber güvenlik programının oluşturabilmek için 7 adımı tamamlamanız gerekmektedir.
Bu adımlar, siber güvenliği sürekli olarak iyileştirmek ve değerlendirmek için gerekli olduğunda tekrarlanması gerekmektedir.


1. Adım: Önceliklendirme ve Kapsam

Kuruluş Hedeflerini ve üst düzey önceliklerini belirler. Siber güvenlik programında hangi işin ve hangi süreçlerin ele alınacağı kesinleştirilir.

2. Adım: Yönlendirme

Kapsam, yasal veya düzenleyici şartlar ve genel risk yaklaşımı ile ilgili sistemleri ve varlıkları tanımlamaktadır.

3. Adım: Mevcut Profil Oluşturma

"Core" bölümündeki hangi kategori sonuçlarına anlık olarak ulaşıldığını gösteren Mevcut Profil?i oluşturur.

4. Adım: Risk Değerlendirmesi Yürütme

Bir siber güvenlik olayının olasılığını ve organizasyon üzerindeki etkisini ölçebilmek için operasyon ortamını analiz eder.

5. Adım: Hedef Profil Oluşturma

İstenen siber güvenlik sonuçlarını tanımlayan kategorileri, kuruluş hedeflerini ve yasal uyumluluk ile ilgili gerekçeleri dikkate
alarak değerlendirir ve akabinde Hedef Profil oluşturur.

6. Adım: Fark Belirleme, Analiz Etme ve Önceliklendirme

Mevcut Profil ile Hedef Profil?i karşılaştırarak farkları tespit eder, Hedef Profil?e ulaşmak için farklara yönelik eylem planı hazırlar ve kaynakları belirler.

7. Adım: Eylem Planını Uygulama

Önceki adımda belirtilmiş olduğu üzere açıkları gidermek için hangi önlemlerin alınacağını belirlenir ve daha sonra
Hedef Profil?e ulaşabilmek için mevcut siber güvenlik uygulamalarını ayarlar.