NIST SP 800 Serisi Danışmanlığı

NIST SP 800 Serisi Nedir?

National Institute of Standards and Technology (NIST), ABD Ticaret Bakanlığı’na bağlı federal bir araştırma ve standart geliştirme kurumudur. Bilgi güvenliği yayınlarını Special Publication 800 serisi başlığı altında ücretsiz erişime açar. Yayınlar 1990’lı yıllardan bu yana federal bilgi sistemlerinin güvenliğini sağlamak amacıyla hazırlanır; zamanla özel sektör tarafından da küresel ölçekte benimsenmiştir.

Federal Information Security Modernization Act gereği, ABD federal kurumları SP 800 yayınlarına uymakla yükümlüdür. ABD Savunma Bakanlığı tedarik zincirinde DFARS 252.204-7012 ve Cybersecurity Maturity Model Certification (CMMC) çerçeveleri SP 800-171’i sözleşmesel zorunluluk haline getirir. Özel sektörde ise SP 800-53 kontrol kütüphanesi ve SP 800-30 risk değerlendirme metodolojisi, ISO/IEC 27001 yönetim sistemi sertifikasyonunun teknik temelini güçlendiren tamamlayıcı çerçeveler olarak kullanılır.

SP 800 serisi yüzlerce yayından oluşur. Türkiye pazarında en sık başvurulan, kurumsal yükümlülükler kapsamında talep edilen yayınlar şunlardır: SP 800-30 (risk değerlendirme), SP 800-53 (güvenlik ve gizlilik kontrolleri), SP 800-60 (bilgi türü sınıflandırma), SP 800-82 (operasyonel teknoloji güvenliği), SP 800-171 (CUI koruması) ve FIPS 199 / FIPS 200 (zorunlu federal sınıflandırma standartları).

Türkiye’deki Kuruluşlar İçin NIST’in Anlamı

NIST yayınları yalnızca ABD federal kurumları için doğrudan zorunluluk taşır. Ancak Türkiye’deki kuruluşların önemli bir kısmı çeşitli yollarla NIST gereksinimleriyle karşılaşır:

Doğrudan Sözleşmesel Yükümlülük

ABD Savunma Bakanlığı tedarikçi zincirinde yer alan Türk savunma sanayi şirketleri, DFARS 252.204-7012 maddesi gereği SP 800-171 gereksinimlerini karşılamak ve sistem güvenlik planı ile eylem-kilometre taşları planı hazırlamakla yükümlüdür. Federal müşteriye doğrudan veya alt yüklenici sıfatıyla hizmet veren teknoloji şirketleri için CMMC Level 2 sertifikasyonu ihale ön şartı haline gelmektedir.

Tedarikçi Denetimi Kaynaklı Yükümlülük

Çok uluslu şirketlerin tedarikçi güvenlik denetimleri günümüzde NIST CSF (Cybersecurity Framework) ve SP 800-53 kontrol setlerini standart referans olarak kullanır. Türk tedarikçilerin doldurduğu öz değerlendirme formları tipik olarak SP 800-53 Rev. 5 kontrol numaralarına atıfta bulunan sorulardan oluşur.

Sigorta ve Finansman Kaynaklı Yükümlülük

Siber sigorta poliçe değerlendirmelerinde ve uluslararası finansman kuruluşlarının (EBRD, IFC) çevresel ve sosyal eylem planlarında, bilgi güvenliği değerlendirmesi NIST CSF ve SP 800-53 üzerinden yapılır. Finansman süreçlerinde NIST uyum durumu doğrudan ekonomik etki yaratabilir.

İyi Uygulama Referansı

Yurt içinde KVKK 12. madde teknik ve idari tedbirleri ile ISO/IEC 27001:2022 Annex A kontrolleri için NIST yayınları, en geniş kapsamlı ve ücretsiz erişilebilir teknik uygulama referansını sağlar. Kurumlar, Türkçe regülasyonların soyut tedbir tanımlarını NIST’in ayrıntılı kontrol metinleri üzerinden somutlaştırır.

SP 800-30 Rev. 1: Risk Değerlendirme Rehberi

NIST SP 800-30 Revision 1, Eylül 2012’de yayımlanan ve federal kurumların bilgi güvenliği risk değerlendirmelerinde başvurduğu yapılandırılmış metodoloji rehberidir. Yayın, riski tehdit olayının olabilirliği ile etkisinin fonksiyonu olarak tanımlar ve bu fonksiyonu beş seviyeli kalitatif veya yarı-kantitatif ölçeklerde değerlendiren bir hesaplama çerçevesi sunar.

Metodolojinin Dört Temel Adımı

1. Hazırlık: Değerlendirme amacının, kapsamının, varsayımlarının, kısıtlarının ve risk modelinin tanımlanması.
2. Değerlendirmenin Yürütülmesi: Tehdit kaynaklarının, tehdit olaylarının, zafiyetlerin, olabilirliğin ve olası etkinin sırasıyla belirlenmesi.
3. Sonuçların İletilmesi: Risk değerlendirme raporunun hazırlanması ve karar alıcılara sunulması.
4. Sürdürülmesi: Risk değerlendirmesinin düzenli aralıklarla güncellenmesi ve sürekli izleme programıyla desteklenmesi.

Yurt İçi Uygulama Alanları

Bu metodoloji; KVKK 12. madde kapsamında veri sorumlularının yapması gereken risk analizinde, ISO/IEC 27001:2022 madde 6.1.2 risk değerlendirme süreçlerinde ve BDDK Bilgi Sistemleri Yönetmeliği kapsamında bankaların yapması gereken yıllık risk değerlendirmelerinde doğrudan uyarlanabilir. SP 800-30, ISO/IEC 27005 ile çelişmez; aksine ISO 27005’in yapı taşlarını daha somut tablolar ve ek matrislerle destekler.

SP 800-53 Rev. 5: Güvenlik ve Gizlilik Kontrolleri

SP 800-53, NIST’in en kapsamlı yayını olarak federal bilgi sistemlerinin güvenlik ve gizlilik kontrol kütüphanesini oluşturur. Revision 5 (Eylül 2020) ile birlikte kontrol seti yeniden yapılandırılmış; gizlilik kontrolleri ana kontrol ailelerine entegre edilmiş, tedarik zinciri risk yönetimi ayrı bir aile olarak eklenmiştir.

20 Kontrol Ailesi

• AC: Access Control
• AT: Awareness and Training
• AU: Audit and Accountability
• CA: Assessment, Authorization, and Monitoring
• CM: Configuration Management
• CP: Contingency Planning
• IA: Identification and Authentication
• IR: Incident Response
• MA: Maintenance
• MP: Media Protection
• PE: Physical and Environmental Protection
• PL: Planning
• PM: Program Management
• PS: Personnel Security
• PT: PII Processing and Transparency
• RA: Risk Assessment
• SA: System and Services Acquisition
• SC: System and Communications Protection
• SI: System and Information Integrity
• SR: Supply Chain Risk Management

Kontrol Baseline’ları

Kontroller, SP 800-53B (Control Baselines) yayını ile birlikte düşük etki, orta etki ve yüksek etki seviyelerine göre baseline setlerine ayrılır. Bir kuruluş, FIPS 199 sınıflandırma sonucuna göre uygun baseline’ı seçer ve gerektiğinde özelleştirme (tailoring) yaparak kuruma özgü kontrol setini oluşturur.

ISO/IEC 27001:2022 Annex A ile Eşleşme

SP 800-53 Rev. 5 kontrolleri ile ISO/IEC 27001:2022 Annex A kontrolleri kavramsal düzeyde büyük ölçüde örtüşür. NIST, iki çerçeve arasındaki resmi eşleme tablosunu SP 800-53’ün eklerinde (CSRC) yayımlar. İki çerçeve birbirini ikame etmez: ISO/IEC 27001 yönetim sistemi sertifikasyonu sağlar, SP 800-53 ise daha ayrıntılı teknik kontrol gereksinimleri içerir.

SP 800-60 Rev. 1: Bilgi Türü Sınıflandırma Rehberi

SP 800-60, FIPS 199 ile zorunlu hale getirilen güvenlik sınıflandırmasının nasıl uygulanacağını gösteren iki ciltlik rehberdir. Volume I metodolojiyi açıklar; Volume II, federal kurumların standart bilgi türleri için önerilen etki seviyelerini içeren ek kitabıdır.

Sınıflandırma Süreci

1. Kuruluşun işlediği bilgi türlerinin envanterinin çıkarılması.
2. Her bilgi türünün gizlilik, bütünlük ve erişilebilirlik boyutlarında etki seviyesinin belirlenmesi.
3. Bir bilgi sisteminin barındırdığı tüm bilgi türlerinin etki seviyelerinin yüksek su işareti yaklaşımıyla birleştirilmesi.
4. Sistem için sonuçlanan üçlü etki kategorisinin FIPS 200 minimum gereksinimleri ile SP 800-53 baseline seçimine girdi olarak kullanılması.

KVKK Veri Envanteri ile İlişki

SP 800-60 yapısı, veri sorumlularının çıkarması gereken kişisel veri envanteri ve VERBİS bildirimi süreçleriyle yapısal olarak uyumludur. Veri kategorileri için belirlenen gizlilik etki seviyesi, KVKK’nın özel nitelikli kişisel veri ayrımıyla ve Kurul’un Kişisel Veri Güvenliği Rehberi’nde tanımlanan tedbir seviyesi ayrımıyla doğrudan eşleştirilebilir.

SP 800-82 Rev. 3: Operasyonel Teknoloji (OT) Güvenliği Rehberi

SP 800-82’nin Eylül 2023’te yayımlanan üçüncü revizyonu, önceki sürümlerden önemli ölçüde ayrılır. Yayının kapsamı Industrial Control Systems Security başlığından Operational Technology Security başlığına genişletilmiş; SCADA, DCS, PLC sistemlerinin yanında bina otomasyonu, ulaşım sistemleri, fiziksel erişim kontrol sistemleri ve Endüstriyel Nesnelerin İnterneti ortamları kapsama dahil edilmiştir.

OT Ortamlarının IT’den Farkları

OT sistemleri, kurumsal IT ortamlarından temel farklarla ayrılır: gerçek zamanlı işletim gereksinimleri, on yılları aşan ekipman ömürleri, mevcut donanımın yamalanamaması, üretim duruşunun yarattığı yüksek maliyet ve insan güvenliği boyutu. IT için optimize edilmiş güvenlik kontrolleri, OT ortamlarına doğrudan uygulandığında işletim güvenilirliğini ve hatta personel güvenliğini riske atabilir.

Rev. 3’ün Temel Bileşenleri

• Tipik OT sistem topolojileri ve mimari modelleri (Purdue Enterprise Reference Architecture).
• OT’ye özgü tehditler, zafiyetler ve risk yönetimi yaklaşımı.
• SP 800-53 Rev. 5 kontrollerinin OT için uyarlanmış overlay’i (düşük, orta, yüksek etki seviyeleri).
• NIST Cybersecurity Framework’ün OT’ye uygulanma rehberi.
• ISA/IEC 62443 standart serisi ile uyumluluk haritası.

SP 800-171 Rev. 3: Kontrollü Sınıflandırılmamış Bilgi Koruması

SP 800-171, federal olmayan sistemlerde işlenen, depolanan veya iletilen Kontrollü Sınıflandırılmamış Bilgi’nin (Controlled Unclassified Information, CUI) korunmasına yönelik güvenlik gereksinimlerini tanımlar. Yayın, ABD federal müşterilerine hizmet veren tedarikçilerin bu bilgileri nasıl koruyacağını şart koşar.

Rev. 2 ve Rev. 3 Karşılaştırması

Hazırlık Süreci ve Gereken Dokümantasyon

SP 800-171 uyumu için her tedarikçi iki temel dokümanı hazırlamak zorundadır:

1. System Security Plan (SSP): Sistem sınırı tanımı, varlık envanteri, her güvenlik gereksiniminin nasıl karşılandığını gösteren uygulama açıklaması.
2. Plan of Action and Milestones (POA&M): Henüz karşılanmayan gereksinimlerin ne zaman, hangi kaynaklarla ve hangi adımlarla karşılanacağına dair eylem planı.

Tedarikçiler ayrıca DFARS 252.204-7019 kapsamında öz değerlendirme skorlarını Supplier Performance Risk System (SPRS) üzerinden DoD’a bildirmek zorundadır.

FIPS 199 ve FIPS 200

FIPS yayınları, NIST SP serisinin aksine, Federal Information Processing Standards olarak ABD federal kurumları için zorunlu standartlardır. SP 800 yayınları rehber niteliğindeyken, FIPS yayınları standart olarak tanımlanır.

FIPS 199: Güvenlik Sınıflandırma Standardı

Şubat 2004’te yayımlanan FIPS 199, bilgi ve bilgi sistemlerinin gizlilik, bütünlük, erişilebilirlik boyutlarında üç seviyeli (Düşük, Orta, Yüksek) sınıflandırılması için zorunlu federal standarttır. Standardın getirdiği temel ilke yüksek su işareti yaklaşımıdır: bir sistemin sınıflandırması, içerdiği bilgi türleri arasından her boyutta en yüksek etki seviyesine sahip olanın seviyesi olarak belirlenir.

FIPS 200: Minimum Güvenlik Gereksinimleri

Mart 2006’da yayımlanan FIPS 200, federal sistemler için 17 güvenlik alanında minimum gereksinim seviyelerini tanımlar. FIPS 199 sınıflandırma sonucu ile FIPS 200 minimum gereksinimleri birleştiğinde, kuruluş SP 800-53 kontrol kütüphanesinden uygun baseline’ı seçerek kontrol uygulama sürecine başlar.

Hizmet Kapsamı ve Çıktılar

NIST danışmanlık hizmetimiz dokümantasyon hazırlamakla sınırlı kalmaz; saha çalışması, teknik uygulama, sızma testi ile doğrulama ve sürekli izleme bileşenlerini birleştirir.

Boşluk Analizi

• Kontrol bazında uyum durumu matrisi (Karşılanmış / Kısmen / Karşılanmamış / Uygulanabilir Değil).
• Önceliklendirilmiş yol haritası (kritiklik ve uygulama eforuna göre).
• Yönetici özet raporu ve teknik ek raporlar.
• Tahmini efor ve kaynak planı.

Kontrol Tasarımı ve Dokümantasyon

• Bilgi güvenliği politikası ve alt politikaları (erişim, yapılandırma, olay müdahale).
• Standart İşletim Prosedürleri seti.
• Teknik kontrol uygulama rehberleri (firewall, IAM, log yönetimi).
• ISO/IEC 27001:2022 Annex A ve KVKK çapraz eşleme matrisi.

Risk Değerlendirmesi

• Tehdit kaynağı kataloğu, zafiyet envanteri, olabilirlik-etki matrisi.
• Risk tepki stratejisi (kabul, azalt, transfer, kaçın).
• Yönetim kuruluna sunulabilir raporlama.

OT/ICS Güvenlik Değerlendirmesi

• OT varlık envanteri ve mimari diyagramı.
• Purdue modeli segmentasyon değerlendirmesi.
• OT’ye özgü tehdit modeli.
• SP 800-53 OT overlay kontrolleri uygulama planı.
• ISA/IEC 62443 ile çapraz uyum analizi.

SP 800-171 / DFARS / CMMC Hazırlık

• CUI sınırı tanımı ve veri akış haritası.
• System Security Plan (SSP).
• Plan of Action and Milestones (POA&M).
• SPRS skor hesaplama ve raporlama desteği.
• CMMC Level 2 hazırlık ve C3PAO denetim öncesi mock assessment.

Bilgi Sınıflandırma Programı

• Veri envanteri ve bilgi türü tanımlamaları.
• FIPS 199 metodolojisiyle gizlilik-bütünlük-erişilebilirlik etki değerlendirmesi.
• Sınıflandırma şeması ve etiketleme rehberi.
• KVKK kişisel veri envanteri ile entegrasyon.

Sızma Testi ile Doğrulama

SP 800-53 Rev. 5’te CA-8 (Penetration Testing) ve RA-5 (Vulnerability Monitoring and Scanning) kontrolleri sızma testi ve zafiyet taramasını gerektirir. SP 800-171 Rev. 3’te de eşdeğer gereksinim bulunur. NIST kontrollerinin etkililiği SP 800-115 metodolojisine uygun sızma testleriyle doğrulanır.

Çalışma Metodolojisi

Tipik bir NIST danışmanlık projesi altı fazda yürütülür. Süreler kapsam ve mevcut olgunluk seviyesine göre değişir.

NIST ile ISO 27001 ve KVKK Uyumunun Birlikte Yönetimi

Türkiye’deki kuruluşların büyük çoğunluğu eş zamanlı olarak birden fazla uyum yükümlülüğüne tabi olduğundan, NIST çerçevesi tek başına değil; ISO/IEC 27001:2022, KVKK ve sektörel düzenlemelerle birlikte konumlandırılmalıdır.

SP 800-53 ve ISO/IEC 27001:2022

İki çerçeve aynı amaca hizmet etmez: ISO/IEC 27001 yönetim sistemi sertifikasyonu sağlar; akredite belgelendirme kuruluşları tarafından denetlenir. SP 800-53 ise ayrıntılı teknik kontrol kütüphanesidir; sertifikasyon sağlamaz, kontrollerin nasıl uygulanacağına ilişkin operasyonel rehberlik sunar. Pratikte iki çerçeve birleşik kullanılır: ISO/IEC 27001 yönetim çatısını oluşturur, SP 800-53 ise Annex A kontrollerinin teknik gereksinim referansı olur.

SP 800-30 ve KVKK 12. Madde

6698 sayılı KVKK’nın 12. maddesi, veri sorumlusuna kişisel verilerin hukuka aykırı işlenmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak yükümlülüğü getirir. KVKK Kişisel Veri Güvenliği Rehberi bu yükümlülüğün somut çerçevesini çizer; ancak risk analizinin yöntemsel olarak nasıl yapılandırılacağı açık bırakılmıştır. SP 800-30 metodolojisi, bu boşluğu yapılandırılmış bir çerçeveyle doldurur.

Çoklu Uyum İçin Birleşik Kontrol Matrisi

Kurumsal projelerde aşağıdaki çerçeveler tek matriste birleştirilir:

• NIST SP 800-53 Rev. 5 (teknik kontrol referansı)
• ISO/IEC 27001:2022 Annex A (yönetim sistemi sertifikasyonu)
• ISO/IEC 27701 (gizlilik bilgi yönetim sistemi)
• KVKK 12. madde teknik ve idari tedbirleri
• GDPR Article 32 güvenlik gereksinimleri
• BDDK Bilgi Sistemleri Yönetmeliği gereksinimleri (finansal kuruluşlar için)

Bu yaklaşım, çoklu denetim hazırlık yükünü belirgin biçimde azaltır ve kontrol sahiplerinin tek bir kanıt seti üzerinden çalışmasını sağlar.

Sektörel Uygulama Örnekleri

Savunma Sanayi

ABD savunma tedarik zincirinde alt yüklenici sıfatıyla yer alan Türk savunma sanayi şirketleri için DFARS 252.204-7012 ve gelecekte CMMC Level 2 zorunluluğu doğacaktır. Hazırlık çalışması tipik olarak 6-9 ay sürer ve System Security Plan, POA&M ve SPRS skoru çıktılarını içerir.

Enerji ve Kritik Altyapı

Elektrik üretim, iletim, dağıtım şirketleri ile doğalgaz iletim sistemleri için SP 800-82 Rev. 3 ve ISA/IEC 62443 birlikte uygulanır. EPDK Bilgi ve Endüstriyel Kontrol Sistemleri Güvenliği Yönetmeliği gereksinimleri NIST OT overlay’iyle çapraz eşleştirilebilir.

Üretim ve İmalat

Otomotiv, kimya, gıda ve ilaç sektöründe SCADA/PLC tabanlı üretim hatları için SP 800-82 Rev. 3 risk değerlendirmesi yürütülür. TISAX (otomotiv) ve uluslararası tedarikçi denetimleri için NIST kontrol seti kanıt tabanı oluşturur.

Finans ve Bankacılık

BDDK Bilgi Sistemleri Yönetmeliği ve TCMB Ödeme Hizmetleri Yönetmeliği gereksinimleri, NIST SP 800-53 ve PCI DSS v4.0 ile birlikte konumlandırılır. Yıllık risk değerlendirmesi SP 800-30 metodolojisine göre yürütülür.

Sağlık

Hastane bilgi sistemleri, kişisel sağlık verisi işleme ortamları ve medikal cihaz ağları için NIST SP 800-66 (HIPAA Security Rule rehberi) ve SP 800-53 birlikte uygulanır. KVKK özel nitelikli kişisel veri tedbirleri ile entegre çalışma yürütülür.

Bulut ve SaaS

SaaS şirketleri için müşteri tedarikçi denetimlerinde sıkça istenen SOC 2 raporu, NIST SP 800-53 kontrolleri üzerine inşa edilebilir. FedRAMP yetkisi almak isteyen Türk bulut sağlayıcıları için SP 800-53 zorunluluk halini alır.

Sıkça Sorulan Sorular

Resmi Kaynaklar

• NIST Computer Security Resource Center — SP 800 Serisi
• SP 800-53 Rev. 5 — Security and Privacy Controls
• SP 800-171 Rev. 3 — Protecting CUI
• SP 800-82 Rev. 3 — Guide to OT Security
• SP 800-30 Rev. 1 — Risk Assessment
• SP 800-60 Vol. 1 Rev. 1 — Information Type Mapping
• FIPS 199 — Security Categorization
• FIPS 200 — Minimum Security Requirements
• KVKK — Kişisel Veri Güvenliği Rehberi