Bilişim Evreni Framework, standartlar bütünüdür. Türkçe’ye çerçeve olarak çevrilse de, İngilizce’de taşıdığı anlam belirli standartların oluşturulduğu yapı anlamına gelmektedir. Bilgi Güvenliği alanında da belirli standartların oluşturularak kullanıma sunulan birden çok framework mevcuttur. Yazılım camiasında da sıkça karşılaşılan framework kavramı, aynı şekilde kullanılmakta ve yazılım kodlarının standartlaştırılmış bir yapı üzerine kullanıma sunulması anlamı taşımaktadır. Framework’ler uygulayıcılara kolaylık ve bütünlük sağlar.
Dünyada Siber Riskleri Azaltmak İçin Kullanılan Siber Güvenlik Çerçeveleri
ISO27001
Ülkemizde en çok duyduğumuz framework ISO27001’dir. Uluslararası Standardizasyon Örgütü (ISO) tarafından oluşturulan ISO 27001 ve ISO 27002 sertifikaları, dahili ve üçüncü taraflar genelinde bir siber güvenlik programını bü uluslararası standart olarak kabul edilir.
ISO sertifikası ile şirketler, yönetim kuruluna, müşterilere, ortaklara ve hissedarlara siber riski yönetmek için sistemli ve doğru yolda olduklarını gösterirler. Aynı şekilde, bir satıcının ISO 27001/2 sertifikasına sahip olması, olgun siber güvenlik uygulamalarına ve kontrollerine sahip olduğunun iyi bir göstergesi olarak kabul edilir.
Dezavantajı ise sürecin zaman ve yoğun bir kaynak gerektirmesidir. Çünkü kuruluşlar, yalnızca yeni bir iş kazanma yöneliminde oldukları için maddi bir fayda varsa ilerler. Sertifikasyon aynı zamanda anlık bir prosedür olmasından dolayı sürekli risk takibi yapılmalıdır.
NIST
NIST (National Institute of Standards and Technology), bilgi güvenliği alanında önemli bir rehber olan “NIST Bilgi Güvenliği Standartları ve Rehberlikleri”ni (NIST Special Publication 800-xx serisi) yayınlar. Bu standartlar ve rehberlikler, özellikle Amerika Birleşik Devletleri’nde federal hükümet kurumları için tasarlanmış olsa da, dünya genelinde birçok organizasyon ve kuruluş tarafından benimsenmiş ve referans alınmıştır.
NIST Bilgi Güvenliği Standartlarının temel amacı, bilgi sistemlerinin ve verilerinin güvenliğini artırmak ve korumak için rehberlik ve standartlar sağlamaktır. Bu standartlar, bilgi güvenliği uygulamalarını geliştirmek, bilgi güvenliği politikalarını oluşturmak ve uygulamak, riskleri yönetmek ve bilgi güvenliği programlarını değerlendirmek için kullanılır
SOC 2
Uluslararası arenada yaygın olarak kullanılan SOC (Servis Organizasyon Kontrolü), satıcıların ve iş ortaklarının müşteri verilerini güvenli bir şekilde yönettiğini doğrulamaya yardımcı olmak için Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından geliştirilen güvene dayalı bir siber güvenlik çerçevesi ve denetim standardıdır.
SOC 2, üçüncü taraf sistemler ve kontroller için 60’tan fazla uyumluluk gereksinimi ve kapsamlı denetim süreçleri belirtir. Denetimlerin tamamlanması bir yıl sürebilir. Bu noktada, satıcının siber güvenlik pozisyonunu doğrulayan bir rapor düzenlenir. Kapsamlı olması nedeniyle SOC 2, uygulanması oldukça zor çerçevelerden biridir. Genellikle finans veya bankacılık sektöründe kullanılır.
KVKK
Kişisel Verileri Koruma Kanunu (KVKK), Türkiye’de tüm şahıs ve tüzel kişiliklerin kişisel verilerini korumak ve güvence altına almak amacıyla 2016 tarihinde TBMM’de kabul edilmiştir.
Çerçeve, veri sorumlusu ile verisi işlenen taraf arasında belirli prosedürler ortaya koyar. Verinin işlenmesi hususunda kişisel verilerin silinmesi, düzeltilmesi veya anonimleştirilmesi, aydınlatma yükümlülüğü, veri sorumluları siciline kayıt zorunluluğu gibi veri sorumlularının yerine getirmesi gereken birçok yükümlülük yer alır. Şirketler herhangi bir veri ihlali olması durumunda Kişisel Verileri Koruma Kurulu’na bildirmek zorundadır.
KVKK, 33 maddeden oluşmakta ve yaptırım konusunda Avrupa Birliği’nde olduğu gibi küçük ve orta ölçekli şirketleri ele alırsak katı bir durum sergilememektedir.
GDPR
Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği (AB) vatandaşları için veri koruma prosedürlerini ve uygulamalarını güçlendirmek amacıyla 2016 yılında kabul edilmiştir. GDPR, AB’de faaliyet gösteren tüm kuruluşları veya ABD işletmeleri dahil olmak üzere AB vatandaşlarının özel verilerini toplayan ve depolayan tüm işletmeleri kapsar.
Çerçeve, tüketicinin veri erişim hakları, veri koruma politikaları ve prosedürleri, veri ihlali bildirim gereklilikleri (şirketler ihlali keşfettikten sonra 72 saat içinde ulusal mercilere bildirmekle yükümlüdür) ve daha fazlası dahil olmak üzere bir şirketin uyumluluk sorumluluklarına ilişkin 99 madde içerir. Buradan GPDR Türkçe metinlerine ulaşabilirsiniz.
Uyumsuzluk cezaları oldukça katı ve yüksektir. 20.000.000 €’ya kadar veya küresel gelirin %4’üne kadar yaptırım uygulama hakkına sahiptir.
GDPR Risk Yöneticileri Kılavuzu, GDPR stratejisi geliştirme ve sürekli uyumluluğu sürdürme için en iyi rehberdir.
NERC-CIP
ABD kritik altyapısına yönelik saldırılardaki artışı ve artan üçüncü taraf riskini azaltmak için tanıtılan North American Electric Reliability Corporation – Critical Infrastructure Protection (NERC CIP), kamu hizmeti ve enerji sektöründekilerin siber saldırıları azaltmasına yardımcı olmak için tasarlanmış bir dizi siber güvenlik standardıdır. Risk ve toplu elektrik sistemlerinin güvenilirliğini sağlar.
HIPAA
Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA), sağlık kuruluşlarının elektronik sağlık bilgilerinin gizliliğini güvence altına almak ve korumak için kontroller uygulamasını gerektiren bir siber güvenlik çerçevesidir. HIPAA uyarınca, sektördeki şirketler, çalışanların eğitimi gibi siber risk en iyi uygulamalarına uyum göstermenin yanı sıra, ortaya çıkan riski yönetmek ve belirlemek için risk değerlendirmeleri de yapmalıdır. Sağlık kuruluşlarını tehdit eden büyük siber risklerine karşı uygulanması gereken önemli standartlardan birisidir. Ülkemizde siber risk açısından oldukça kritik seviyede olan sağlık ve sigortacılık sektörlerinin uygulaması gereken standartlardan biri olarak görülebilir.
CCPA ve CPRA
Sıkça adına rastlanılan CCPA ve CPRA olmak üzere iki veri güvenlik yasası ABD’de yürürlüğe giren çerçevelerdendir. California Gizlilik Hakları Yasası olan CPRA, Kaliforniya’yı ilgilendiren ve tüketici verilerinin gizliliği haklarını güçlendiren bir yasadır CCPA, Kaliforniya Başsavcısına uygulama yetkisi verir.
Kaliforniya Tüketici Gizliliği Yasası anlamına gelen CPRA ise tüketicileri kişisel verilerinin kötü yönetilmesinden koruyan ve tüketiciye neyin ne olduğu konusunda kontrol sağlayan bir yasadır. CCPA’yın alanını genişleten bir yasadır.
Bu yasalar bir güvenlik çerçevesi niteliği taşıması ve çoğu ülkede örnek alınması nedeni ile bu konu başlığımız içerisinde yer almasına istedik.
