SecHard
5.6.2. NIST 800-207A Compliance
- seda peker
- Abdullah Can Çakar
Zero Trust Architecture (ZTA) çerçevesine uyumluluk anlamına gelir. NIST 800-207A, ZTA'nın temel kavramlarını ve bu kavramları uygulamak için kullanılabilecek bir dizi teknik kontrolünü tanımlayan bir çerçevedir.
NIST 800-207A Compliance'ın amacı, kuruluşların ZTA'yı benimseyerek siber güvenlik risklerini azaltmasına yardımcı olmaktır. ZTA, her kullanıcının ve her cihazın, yalnızca ihtiyaç duydukları kaynaklara erişebildiği ve yalnızca izin verilen eylemleri gerçekleştirebildiği bir yaklaşımdır.
NIST 800-207A Compliance, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından çıkarılmıştır. NIST 800-207A, 2023 yılında yayınlanmıştır.
NIST 800-207A Compliance, aşağıdaki kuruluşlar için zorunludur:
· ABD Federal Hükümeti ile sözleşme imzalayan kuruluşlar
· Kritik altyapıya sahip kuruluşlar
· Önemli veri işleyen kuruluşlar
Bu kuruluşlar, NIST 800-207A'nın gerekliliklerini yerine getirmek için bir plan geliştirmek ve bu planı uygulamak zorundadır.
NIST 800-207A Compliance'ın sağladığı faydalar şunlardır:
· Siber güvenlik risklerini azaltır.
· Kritik altyapıyı ve önemli verileri korur.
· Yasal yükümlülükleri yerine getirir.
· Kurumsal itibarı güçlendirir.
NIST 800-207A Compliance'a uyum sağlamak için, kuruluşların aşağıdaki adımları atmaları gerekmektedir:
NIST 800-207A'yı inceleyin ve kuruluşunuz için önemli olan gereklilikleri belirleyin.
Bu gereklilikleri yerine getirmek için bir plan geliştirin.
Planı uygulayın ve etkinliğini değerlendirin.
NIST 800-207A Compliance, kuruluşların ZTA'yı benimseyerek siber güvenlik risklerini azaltmalarına ve kritik altyapıyı ve önemli verileri korumalarına yardımcı olacak önemli bir araçtır.
NIST 800-207A Compliance'ın temel gereksinimleri şunlardır:
· Risk yönetimi: Kuruluşların siber güvenlik risklerini tanımlaması, değerlendirmesi ve azaltması gerekir.
· Politikalar ve prosedürler: Kuruluşların siber güvenlik politikaları ve prosedürleri geliştirmesi gerekir.
· Teknik kontroller: Kuruluşların siber güvenlik risklerini azaltmak için teknik kontroller uygulaması gerekir.
· İnsan kaynakları: Kuruluşların siber güvenlik konusunda farkındalığı artırmak için insan kaynaklarına yatırım yapması gerekir.
· Sürekli gelişim: Kuruluşların siber güvenlik risklerini azaltmak için sürekli olarak geliştirme yapması gerekir.
NIST 800-207A Compliance, kuruluşların ZTA'yı benimseyerek siber güvenlik risklerini azaltmalarına yardımcı olacak çeşitli araç ve kaynakları da sağlamaktadır. Bu araçlar ve kaynaklar arasında, NIST 800-207A kılavuzları, eğitim materyalleri ve denetim hizmetleri yer almaktadır.
NIST 800-207A Compliance'ın, diğer siber güvenlik çerçevelerinden farkı, ZTA'nın temel kavramlarını ve bu kavramları uygulamak için kullanılabilecek bir dizi teknik kontrolünü tanımlamasıdır. ZTA, geleneksel güvenlik yaklaşımlarından farklı bir yaklaşımdır ve bu nedenle, ZTA'ya uyum sağlamak için özel bir çerçeve gereklidir.
Madde | Uygulanabilirlik |
|---|---|
2.1 - Tenets of Zero Trust | Uygulanabilir |
2.2 - A Zero Trust View of a Network | Uygulanabilir |
3.1 - Variations of Zero Trust Architecture Approaches | Uygulanabilir Değil |
3.1.1 - ZTA Using Enhanced Identity Governance | Uygulanabilir Değil |
3.1.2 - ZTA Using Micro-Segmentation | Uygulanabilir Değil |
3.1.3 - ZTA Using Network Infrastructure and Software Defined Perimeters | Uygulanabilir Değil |
3.2 - Deployed Variations of the Abstract Architecture | Uygulanabilir Değil |
3.2.1 - Device Agent/Gateway-Based Deployment | Uygulanabilir Değil |
3.2.2 - Enclave-Based Deployment | Uygulanabilir Değil |
3.2.3 - Resource Portal-Based Deployment | Uygulanabilir Değil |
3.2.4 - Device Application Sandboxing | Uygulanabilir Değil |
3.3 - Trust Algorithm | Uygulanabilir Değil |
3.3.1 - Trust Algorithm Variations | Uygulanabilir Değil |
3.4 - Network/Environment Components | Uygulanabilir Değil |
3.4.1 - Network Requirements to Support ZTA | Uygulanabilir Değil |
4.1 - Enterprise with Satellite Facilities | Uygulanabilir Değil |
4.2 - Multi-cloud/Cloud-to-Cloud Enterprise | Uygulanabilir Değil |
4.3 - Enterprise with Contracted Services and/or Nonemployee Access | Uygulanabilir Değil |
4.4 - Collaboration Across Enterprise Boundaries | Uygulanabilir Değil |
4.5 - Enterprise with Public- or Customer-Facing Services | Uygulanabilir Değil |
5.1 - Subversion of ZTA Decision Process | Uygulanabilir Değil |
5.2 - Denial-of-Service or Network Disruption | Uygulanabilir Değil |
5.3 - Stolen Credentials/Insider Threat | Uygulanabilir Değil |
5.4 - Visibility on the Network | Uygulanabilir Değil |
5.5 - Storage of System and Network Information | Uygulanabilir Değil |
5.6 - Reliance on Proprietary Data Formats or Solutions | Uygulanabilir Değil |
5.7 - Use of Non-person Entities (NPE) in ZTA Administration | Uygulanabilir Değil |
6.1 - ZTA and NIST Risk Management Framework | Uygulanabilir |
6.2 - Zero Trust and NIST Privacy Framework | Uygulanabilir |
6.3 - ZTA and Federal Identity Credential and Access Management Architecture | Uygulanabilir Değil |
6.4 - ZTA and Trusted Internet Connections 3.0 | Uygulanabilir Değil |
6.5 - ZTA and EINSTEIN (NCPS – National Cybersecurity Protection System) | Uygulanabilir Değil |
6.6 - ZTA and DHS Continuous Diagnostics and Mitigations (CDM) Program | Uygulanabilir Değil |
6.7 - ZTA Cloud Smart and the Federal Data Strategy | Uygulanabilir Değil |
7.1 - Pure Zero Trust Architecture | Uygulanabilir Değil |
7.2 - Hybrid ZTA and Perimeter-Based Architecture | Uygulanabilir Değil |
7.3 - Steps to Introducing ZTA to a Perimeter-Based Architected Network | Uygulanabilir Değil |
7.3.1 - Identify Actors on the Enterprise | Uygulanabilir Değil |
7.3.2 - Identify Assets Owned by the Enterprise | Uygulanabilir |
7.3.3 - Identify Key Processes and Evaluate Risks Associated with Executing Process | Uygulanabilir |
7.3.4 - Formulating Policies for the ZTA Candidate | Uygulanabilir Değil |
7.3.5 - Identifying Candidate Solutions | Uygulanabilir Değil |
7.3.6 - Initial Deployment and Monitoring | Uygulanabilir Değil |
7.3.7 - Expanding the ZTA | Uygulanabilir Değil |
SecHard