DDO Bilgi ve İletişim Güvenliği Rehberi

Bilgi ve İletişim Güvenliği Rehberi Uyum Denetim Hizmetimiz

T.C. Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi denetimleri için Türk Standartları Enstitüsü tarafından yürütülen “Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Sağlayan Personel ve Firma” belgelendirme programı kapsamında CyberArts Bilişim Denetim Hizmeti Sağlayan Firma olarak yetkilendirilmiştir. Siber dünyada sıradanlık değil sanat talep eden kurumlarımızın siber dayanaklılığını artırmak için; mesleki itibar ve saygınlığını koruyarak her zaman titizlikle çalışmayı ilke edinmiş, yetkilendirilmiş denetçi ekibimiz TSE den aldığı firma yeterliliği ile değer katan denetim hizmetleri vermeye başlamıştır.

Bilindiği üzere; Bilgi ve İletişim Güvenliği Rehberine uyum çalışmalarını tamamlayan kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerin 27 Temmuz 2022 tarihinden itibaren Bilgi ve İletişim Güvenliği Rehberi denetimini planlaması ve gerçekleştirmesi  beklenmektedir.

Denetim Süreçlerimiz:

Denetim Süreçlerimiz

CyberArts Bilişim AŞ. olarak yetkin, tarafsız, deneyimli denetçi kadromuzla kurumlarımıza değer katan denetimler için hazır olduğumuzu bilmenizi isteriz. Bilgi ve İletişim Güvenliği Denetimleri ile ilgili herhangi bir sorunuz olur ise buradan bize her zaman ulaşabilirsiniz.

Bilgi ve İletişim Güvenliği Rehberi Uyum Danışmanlık Hizmetimiz

CyberArts olarak ülkemizin “Elektronik Haberleşme”, “Enerji” “Finans”, “Ulaştırma”, “Su Yönetimi” olarak tanımlanan kritik altyapı sektörleri başta olmak üzere tüm kamu hizmetlerinin siber tehditlere karşı korunması ve dayanıklılığının artırılmasına büyük önem vermekteyiz. Bilgi ve İletişim Güvenliği rehberine uyumlulukta sıradanlık değil sanat talep eden tüm kurumlarımıza titizlikle aşağıdaki kapsamda danışmanlık hizmetleri sunmaktayız. Bilgi ve İletişim Güvenliği rehberinde yer alan tedbirlerin uygulanabilmesini sağlamak için aşağıdaki gibi uygulama süreci tamamlanmıştır. Rehber temel olarak mevcut yönetim süreçlerine teknik olarak katkı sağlayacak tedbirleri ve faaliyetleri içermektedir.

Bilgi ve İletişim Güvenliği Rehberi Uyum Proje Danışmanlığı Hizmet Adımlarımız:

Bilgi-ve-İletisim-Guvenligi-Rehberi -Uyum-Proje-Danısmanlıgı-Hizmet-adimlarimiz2

  • Varlık Grubu Belirleme:

Rehber kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir. Rehber; elektronik ortamda yer alan bilgi/verinin depolandığı, aktarıldığı, işlendiği bilgi işleme olanakları, bilgi işleme olanaklarını kullanan personel ile bilgi işleme olanaklarını barındıran fiziksel ortamlara ilişkin varlıkları kapsamaktadır. Rehberde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:

    • Ağ ve Sistemler
    • Uygulamalar
    • Taşınabilir Cihaz ve Ortamlar
    • Nesnelerin İnterneti (IoT) Cihazları
    • Fiziksel Mekânlar
    • Personel
  • Varlık Grubu Kritiklik Derecesi Belirleme:

Her bir varlık grubu için Delfi metoduna göre varlıkların sahipleri, sistem yöneticileri, geliştiriciler, kullanıcı temsilcileri, yöneticileri ve kurumun sahip olduğu en yetkin personel katılım ile kritiklik derecesinin belirleneceği anket gerçekleştirilmelidir.   

Anket Soruları İşlenen Veri Açısından;

    • Gizlilik 
    • Bütünlük
    • Erişilebilir

Etki Alanı Açısından;

    • Etkilenen Kişi Sayısı
    • Toplumsal Sonuçlar
    • Kurumsal Sonuçlar
    • Sektörel Etki
    • Bağımlı Varlıklar

Boyutları ile anketten almış oldukları puanlar toplanarak varlık grubu için anket puanı tespit edilmiş olur. 

  • Mevcut Durum ve Boşluk Analizi:

Varlık gruplarının kritiklik dereceleri dikkate alınarak güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Rehberde güvenlik tedbirleri üç ana başlık altında sınıflandırılmıştır.

  1. Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:
  2. Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları:
  3. Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları:
  • Rehber Uygulama Yol Haritasının Hazırlanması:

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır. Rehber uygulama yol haritası kapsamında yapılacak çalışmalar bu aşamada belirlenir. Çalışmalar, aşağıdaki gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:

    • Yetkinlik kazanımı ve eğitimler
    • Ürün tedariki
    • Hizmet alımı
    • Danışmanlık
    • Geliştirme / yeniden geliştirme
    • Tasarlama / yeniden tasarlama
    • Sıkılaştırma
    • Sürüm güncelleme
    • Dokümantasyon
    • Kurumsal süreç iyileştirme
  • Rehber Uygulama Yol Haritası Hayata Geçirme

Rehber uygulama yol haritası, dönemsel olarak belirlenen hedefler dikkate alınarak planlanan şekilde kurum personeli tarafından hayata geçirilecektir. Bu kapsamda yol haritasında belirlenen tedarik, hizmet alımı, yeniden tasarım vb. tüm çalışmaların gerekli kaynak ihtiyaçlarının tahsis faaliyetleri önceliklendirilmelidir. Uygulamada dikkat edilecek temel prensipler ise aşağıdaki gibidir.

    • Güvenlik Temelli Tasarım (Security by Design)
    • Mahremiyet Temelli Tasarım (Privacy by Design)
    • Derinlemesine Savunma (Defence in Depth)
    • Saldırı Yüzeyinin Azaltılması
    • Asgari Yetki Tanımlama
    • En Zayıf Halkanın Tespiti
    • Güvenlik Hedeflerinin İş Hedefleriyle Uyumu
    • Yerli ve Milli Ürünlerin Tercih Edilmesi
    • Mükerrer Çalışma ve Yatırımların Önlenmesi
    • Bilmesi Gereken Prensibi
  • Rehber Uygulama Yol Haritasının izlenmesi ve Kontrol edilmesi

Rehber uygulama yol haritası çalışmalarının ilerleme durumlarının takibi ve hazırlanan plandan sapmaların tespit edilerek gerekli önlemlerin alınması ile ilgili faaliyetlerin yürütülmesi gerekmektedir. Ayrıca uygulama yol haritası çalışmaları yürütülürken karşılaşılacak sorun ve risklerin yönetimi de gerçekleştirilmelidir. Dönem sonlarında uygulama yol haritasında yürütülen çalışmalar, planlanan hedeflerden sapmalar, sorun ve riskler, alınan önlemler hakkında bilgileri içeren yol haritası ilerleme raporları hazırlanmalıdır. Bilgi ve İletişim Güvenliği Uyum çalışmaları ile ilgili herhangi bir sorunuz olur ise bize buradan her zaman ulaşabilirsiniz.

Bilgi ve İletişim Güvenliği Rehberi Uyum Sürdürülebilirlik Danışmanlık Hizmetimiz

Denetim süreci boyunca kontrollerin tasarımı ve işletimine dair tespit edilen bulguların Kurumun bilgi güvenliğinde yaratacağı risk faktörlerinin etkin Yönetimi için uyum süreci sürdürülebilirlik danışmanlık hizmetini aşağıdaki proje adımları ile vermekteyiz. Bulguların kritiklik derecesi, kurumda ortaya çıkaracağı Güvenlik riskinin bilgi güvenliğine olan etkisi ve gerçekleşme olasılığı dikkate alınarak, kurumun siber dayanaklılığının artırılması ancak tedbirlerin sürdürülebilir olması ile mümkün olacaktır.

Bilgi ve İletişim Güvenliği Rehberi Uyum Sürdürülebilirlik Danışmanlığı Hizmet Adımlarımız:

uyum-surdurebilirlik-danismanligi-hizmetleri-1

Bilgi ve İletişim Güvenliği Uyum sürdürülebilirlik çalışmaları ile ilgili herhangi bir sonunuz olur ise bize buradan her zaman ulaşabilirsiniz.

Diğer Hizmetlerimiz