Bilgi ve İletişim Güvenliği Rehberi Uyum ve Denetim Danışmanlık Hizmetimiz

CyberArts olarak ülkemizin “Elektronik Haberleşme”, “Enerji” “Finans”, “Ulaştırma”, “Su Yönetimi” olarak tanımlanan kritik altyapı sektörleri başta olmak üzere tüm kamu hizmetlerinin siber tehditlere karşı korunması ve dayanıklılığının artırılmasına büyük önem vermekteyiz.

Bilgi ve İletişim Güvenliği rehberine uyumlulukta sıradanlık değil sanat talep eden tüm kurumlarımıza titizlikle aşağıdaki kapsamda danışmanlık hizmetleri sunmaktayız. Bilgi ve İletişim Güvenliği rehberinde yer alan tedbirlerin uygulanabilmesi sağlamak için aşağıdaki gibi uygulama süreci tamamlanmıştır.  Rehber temel olarak mevcut yönetim süreçlerine teknik olarak katkı sağlayacak tedbirleri ve faaliyetleri içermektedir.

Bilgi ve İletişim Güvenliği Rehberi Uyum Proje Danışmanlığı Hizmet Adımlarımız

1  Organizasyon
1.1  Açılış Toplantısı
1.2  Roller ve Sorumluluklar
1.3  Sorumluluk Atama Matrisinin Hazırlanması
2  Planlama
2.1  Varlık Gruplarının Belirlenmesi (EK-C.1)
2.2  Varlıkların Kritiklik Bakımından Sınıflandırılması (EK-C.2)
2.3  Mevcut Durum ve Boşluk Analizi (EK-C.3)
2.4  Rehber Uygulama Yol Haritası (EK-C.4)
2.5  Telafi Edici Kontrolerin tanımlanması (Ek-C.5)
3  Tedbirlerin Planlaması
3.1  Seviye 1 Tedbirlerin Planlanması
3.2  Seviye 2 Tedbirlerin Planlanması
3.3  Seviye 3 Tedbirlerin Planlanması
4  Kontrol Et
4.1  Periyodik İlerleme Raporları
4.2  Bilgi ve İletişim Güvenliği Denetimi
5  İyileştir
5.1  Bilgi ve İletişim Güvenliği Denetimi Raporlanması ve Bulgularının Takibi

Rehber kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir. Rehber; elektronik ortamda yer alan bilgi/verinin depolandığı, aktarıldığı, işlendiği bilgi işleme olanakları, bilgi işleme olanaklarını kullanan personel ile bilgi işleme olanaklarını barındıran fiziksel ortamlara ilişkin varlıkları kapsamaktadır.

Varlık Grubu Belirleme

Rehberde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:

  • Ağ ve Sistemler
  • Uygulamalar
  • Taşınabilir Cihaz ve Ortamlar
  • Nesnelerin İnterneti (IoT) Cihazları
  • Fiziksel Mekânlar
  • Personel

Varlık Grubu Kritiklik Derecesi Belirleme

Her bir varlık grubu için Delfi metoduna göre varlıkların sahipleri, sistem yöneticileri, geliştiriciler, kullanıcı temsilcileri, yöneticileri ve kurumun sahip olduğu en yetkin personel katılım ile kritiklik derecesinin belirleneceği anket gerçekleştirilmelidir.   

Anket Soruları İşlenen Veri Açısından;

  • Gizlilik 
  • Bütünlük
  • Erişilebilir

Etki Alanı Açısından;

  • Etkilenen Kişi Sayısı
  • Toplumsal Sonuçlar
  • Kurumsal Sonuçlar
  • Sektörel Etki
  • Bağımlı Varlıklar

Boyutları ile anketten almış oldukları puanlar toplanarak varlık grubu için anket puanı tespit edilmiş olur. 

Mevcut Durum ve Boşluk Analizi

Varlık gruplarının kritiklik dereceleri dikkate alınarak güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Rehberde  güvenlik tedbirleri üç ana başlık altında sınıflandırılmıştır.

  1. Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:
  2. Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları:
  3. Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları:

Rehber Uygulama Yol Haritasının Hazırlanması

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır.

Rehber uygulama yol haritası kapsamında yapılacak çalışmalar bu aşamada belirlenir. Çalışmalar, aşağıdaki gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:

  • Yetkinlik kazanımı ve eğitimler
  • Ürün tedariki
  • Hizmet alımı
  • Danışmanlık
  • Geliştirme / yeniden geliştirme
  • Tasarlama / yeniden tasarlama
  • Sıkılaştırma
  • Sürüm güncelleme
  • Dokümantasyon
  • Kurumsal süreç iyileştirme

Rehber Uygulama Yol Haritası Hayata Geçirme

Rehber uygulama yol haritası, dönemsel olarak belirlenen hedefler dikkate alınarak planlanan şekilde kurum personeli tarafından hayata geçirilecektir. Bu kapsamda yol haritasında belirlenen tedarik, hizmet alımı, yeniden tasarım vb. tüm çalışmaların gerekli kaynak ihtiyaçlarının tahsis faaliyetleri önceliklendirilmelidir.

Uygulamada dikkat edilecek temel prensipler ise aşağıdaki gibidir:

  • Güvenlik Temelli Tasarım (Security by Design)
  • Mahremiyet Temelli Tasarım (Privacy by Design)
  • Derinlemesine Savunma (Defence in Depth)
  • Saldırı Yüzeyinin Azaltılması
  • Asgari Yetki Tanımlama
  • En Zayıf Halkanın Tespiti
  • Güvenlik Hedeflerinin İş Hedefleriyle Uyumu
  • Yerli ve Milli Ürünlerin Tercih Edilmesi
  • Mükerrer Çalışma ve Yatırımların Önlenmesi
  • Bilmesi Gereken Prensibi

Rehber Uygulama Yol Haritasının İzlenmesi ve Kontrol Edilmesi

Rehber uygulama yol haritası çalışmalarının ilerleme durumlarının takibi ve hazırlanan plandan sapmaların tespit edilerek gerekli önlemlerin alınması ile ilgili faaliyetlerin yürütülmesi gerekmektedir. Ayrıca uygulama yol haritası çalışmaları yürütülürken karşılaşılacak sorun ve risklerin yönetimi de gerçekleştirilmelidir.

Dönem sonlarında uygulama yol haritasında yürütülen çalışmalar, planlanan hedeflerden sapmalar, sorun ve riskler, alınan önlemler hakkında bilgileri içeren yol haritası ilerleme raporları hazırlanmalıdır.

Bilgi ve İletişim Güvenliği Denetimi

Kurumlara Rehberin yayım tarihi olan 27 Temmuz 2020 itibarıyla 24 aylık bir uyum süresi verilmiştir. İlk yıl denetimlerinde Kurumlar denetim faaliyetleri ile ilgili hazırlık çalışmalarına en geç 24 aylık sürenin sonunda başlamalıdır. Ancak uyum çalışmalarını 24 aydan önce tamamlayan Kurumlar denetim faaliyetleri için gerekli hazırlık çalışmalarına uyum süresinin dolmasını beklemeden başlayabilir. 

Denetim ekibi en az 2 denetçiden oluşmalıdır. Personel aşağıda yer verilen yetkinliklerin en az birini sağlamalıdır.

  • ISO/IEC 27001 Başdenetçi sertifikasına sahip olmak
  • CISA sertifikasına sahip olmak
  • Belgelendirme Programı kapsamında yetkilendirilmiş denetçi veya başdenetçi olmak

CyberArts Bilişim A.Ş. olarak yetkin, tarafsız, deneyimli denetçi kadromuzla kurumlarımıza değer katan denetimler için hazır olduğumuzu bilmenizi isteriz.