Bilişim Evreni NIST (National Institute of Standards and Technology), Türkçe’de “Ulusal Standartlar ve Teknoloji Enstitüsü” olarak çevrilebilecek ABD merkezli bir federal hükümet ajansıdır.
901 yılında kurulmuş ve bilim, teknoloji ve endüstri alanlarında standartlar oluşturma, ölçüm ve test metotları geliştirme, teknolojiyi ilerletme ve ABD’deki bilimsel araştırma ve geliştirmeyi teşvik etme misyonuna sahiptir.
NIST (National Institute of Standards and Technology), bilgi güvenliği alanında önemli bir rehber olan “NIST Bilgi Güvenliği Standartları ve Rehberlikleri”ni (NIST Special Publication 800-xx serisi) yayınlar. Bu standartlar ve rehberlikler, özellikle Amerika Birleşik Devletleri’nde federal hükümet kurumları için tasarlanmış olsa da, dünya genelinde birçok organizasyon ve kuruluş tarafından benimsenmiş ve referans alınmıştır.
NIST Bilgi Güvenliği Standartlarının temel amacı, bilgi sistemlerinin ve verilerinin güvenliğini artırmak ve korumak için rehberlik ve standartlar sağlamaktır. Bu standartlar, bilgi güvenliği uygulamalarını geliştirmek, bilgi güvenliği politikalarını oluşturmak ve uygulamak, riskleri yönetmek ve bilgi güvenliği programlarını değerlendirmek için kullanılır.
NIST Bilgi Güvenliği Standartları ve Rehberlikleri, geniş bir yelpazede bilgi güvenliği konularını kapsar. Başlıca konu başlıkları şunlar içerebilir:
- Risk Yönetimi: Bilgi güvenliği risklerini tanımlama, değerlendirme ve yönetme.
- Güvenlik Kontrolleri: Bilgi sistemlerini ve altyapıyı korumak için kullanılan teknik ve yönetim kontrolleri.
- Kimlik Doğrulama ve Yetkilendirme: Kullanıcıların kimliklerini doğrulama ve sistemlere erişimlerini yetkilendirme.
- Şifreleme: Hassas verilerin korunması için veri şifreleme standartları.
- Güvenlik İzleme ve Olay İnceleme: Bilgi sistemlerindeki etkinlikleri izleme ve güvenlik ihlallerini tespit etme.
- Fiziksel Güvenlik: Bilgisayar altyapısının fiziksel güvenliği ve erişim kontrolü.
- İnternet Güvenliği: İnternet üzerinden iletişim ve veri transferi için güvenlik uygulamaları.
- Mobil ve Bulut Güvenliği: Mobil cihazlar ve bulut hizmetleri için güvenlik yönergeleri.
- Uygulama Güvenliği: Yazılım geliştirme süreçlerinde güvenlik uygulamaları.
- Kriz Yönetimi ve İş Sürekliliği: Olay sonrası toparlanma ve iş sürekliliği planlama.
NIST Bilgi Güvenliği Standartları ve Rehberlikleri, özellikle SP 800-53, SP 800-37, SP 800-30 gibi belgelere ayrılır. Her bir belge, belirli bir konuyu veya süreci ele alır ve ayrıntılı rehberlik, kontroller ve öneriler içerir. Örneğin, SP 800-53, federal bilgi sistemleri için güvenlik kontrollerini tanımlar ve kataloglar.
NIST Bilgi Güvenliği Standartları, organizasyonların bilgi güvenliği programlarını geliştirmelerine, güçlendirmelerine ve uyumlarını sağlamalarına yardımcı olur. Bu standartlar ayrıca bilgi güvenliği alanında iyi uygulamalara sahip olmayı hedefleyen her türlü organizasyon için önemli bir kaynak niteliğinde olduğunu belirtmek gerekir.
Ülkemizde pek duyulmamış olsa da uluslararası firmaların kaynak olarak kullandığı ve takip ettiği standartlar arasında geldiğini de söylemek gerekir. Güvenli günler dileriz…
