Secure Fors olarak, T.C. Dijital Dönüşüm Ofisi (DDO) Bilgi ve İletişim Güvenliği (BİG) Rehberine uyum çalışmalarınızda yanınızdayız. “Elektronik Haberleşme”, “Enerji” “Finans”, “Ulaştırma”, “Su Yönetimi” olarak tanımlanan kritik altyapı sektörleri başta olmak üzere tüm kamu hizmetlerinin siber tehditlere karşı korunması ve dayanıklılığının artırılmasına yönelik etkin bir destek sağlıyoruz.
Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında genel olarak alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır.
Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.
DDO Bilgi ve İletişim Güvenliği danışmanlığı kapsamında kurumuna özgü çalışmaları iki ana başlık altında değerlendiriyoruz.
1- DDO BİG REHBERİ OLGUNLUK ÇALIŞMASI
Kurumunuzun daha öncesinde DDO BİG Rehber uyumluluğu tarafında hiçbir çalışma olmaması durumunda öncelikle olgunluk çalışması yaparak sürece sizleri hazırlıyoruz. Bu kapsamda yapacağımız çalışma başlıkları şunlardır:
Varlık gruplarının belirlenmesi,
Varlık gruplarının kritiklik derecesinin belirlenmesi,
Rehber uygulama yol haritasının hazırlanması,
Dokümantasyon eksikliklerinin tespiti,
Kurumunuzun uygunluk durumunun raporlanması.
Olgunluk çalışmasındaki amaç henüz yeterli seviyede çalışma yapılmamış kurumların boşluklarını tespit edip, gerekli aksiyonları almaktır. Bu adımlar sonrası kurumunuzun T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberine uygun hale gelmesi için gerekli adımlar atılacaktır.
Varlık Gruplarının Belirlenmesi
DDO BİG Rehberine uygunluk çalışmalarınızı doğru konumlandırmak için öncelikle varlık gruplarınızın doğru tanımlanması gerekir. Kritiğine ve rehberine beklentisine göre çalışmalarını planlıyoruz.
DDO Bilgi ve İletişim Güvenliği Rehberinde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir. Kurumunuzdaki çalışmaları bu gruplamayı referans alarak gerçekleştireceğiz.
• Ağ ve Sistemler
• Uygulamalar
• Taşınabilir Cihaz ve Ortamlar
• Nesnelerin İnterneti (IoT) Cihazları
• Fiziksel Mekânlar
• Personel
Varlık Grubu Kritiklik Derecesinin Belirlenmesi
Kurumuzda tanımlı varlık gruplarını belirledikten sonra gizlilik, bütünlük ve erişebilirlik esasına göre varlık gruplarınızın kritiklik derecesini tanımlıyoruz. EK-C1 formuna göre bir puanlama yapılacaktır. Varlık kritiklik derecelendirmesinde 8 boyut ele alınacaktır.
- İşlenen veri ile ilgili boyutlar
- Gizlilik: Bilginin yetkisiz kişilerin erişimine karşı korunması
- Bütünlük: Bilginin tam ve doğru olma durumunun korunması
- Erişilebilirlik: Bilginin yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olması
- Etki alanı ile ilgili boyutlar
- Bağımlı Varlıklar: Varlık grubuna bağımlı olan diğer varlıklar üzerindeki etkisi
- Etkilenen Kişi Sayısı: Bilgi güvenliği ihlal olayı meydana geldiğinde etkilenebilecek kişi sayısı
- Kurumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak durum
- Sektörel Etki: Varlık grubunun hizmet verdiği sektöre etkisi
- Toplumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak toplumsal durum.
Her varlık grubu için doldurulan anket sorularının cevapları için anket formunda yer alan puanlar toplanarak anket puanı hesaplanır. Aşağıda iletilen tablo kullanılarak anket puanına karşılık gelen kritiklik derecesi belirlenir. Belirlenen derece, varlık grubunun kritiklik derecesi olarak kullanılır.
- Anket puanı 18’den küçük ise Derece 1
- Anket puanı 18 (dâhil) ile 28 arasında ise Derece 2
- Anket puanı 28 ve daha yüksek ise Derece 3
Varlık grubu içinde yer alan tüm varlıklara aynı güvenlik tedbirlerinin uygulanacağı dikkate alınarak anket sonuçları tekrar değerlendirilir. Gerekli görülmesi durumunda varlık grupları güncellenerek anket çalışmaları tekrarlanacaktır.
Mevcut Durum ve Boşluk Analizi
Bu bölümde varlık kritiklik dereceleri belirlendikten sonra DDO Bilgi ve İletişim Güvenliği Rehberindeki tedbir etkinlik durumu netleştirilerek boşluk analizi çalışması yapılacaktır.
Temelde uygulanacak olan varlık gruplarına yönelik tedbirler üç ana başlık altında değerlendirilecektir.
Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları:
• İşletim Sistemi Sıkılaştırma Tedbirleri
• Veri Tabanı Sıkılaştırma Tedbirleri
• Sunucu Sıkılaştırma Tedbirleri
Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:
• Ağ ve Sistem Güvenliği
• Uygulama ve Veri Güvenliği
• Taşınabilir Cihaz ve Ortam Güvenliği
• Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği
• Personel Güvenliği
• Fiziksel Mekânların Güvenliği
Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları:
• Kişisel Verilerin Güvenliği
• Anlık Mesajlaşma Güvenliği
• Bulut Bilişim Güvenliği
• Kripto Uygulamaları Güvenliği
• Kritik Altyapılar Güvenliği
• Yeni Geliştirmeler ve Tedarik Varlık grupları için belirlenen tüm tedbirler ile ilgili mevcut durum analiz edilir ve varlık grubu mevcut durum analiz raporu hazırlanır. Mevcut durum analizi çalışmaları kapsamında teknik çalışma, toplantı, otomatik araç ile durum tespiti, dokümantasyon inceleme vb. faaliyetler gerçekleştirilebilir. Varlık grubuna bir tedbirin uygulanıp uygulanmadığı tespit edilirken öncelikle aşağıdaki sınıflandırmaya göre uygulama durumuna karar verilir ve mevcut durum ile ilgili açıklayıcı bilgi yazılır.
- Tedbir varlık grubunda yer alan tüm varlıklara uygulanmakta ise “tamamen”
- Tedbir varlık grubunda yer alan varlıkların çoğuna uygulanmakta fakat bazı varlıklara kısmen uygulanmakta veya henüz uygulanmamakta ise “çoğunlukla”
- Tedbir varlık grubunda yer alan bir kısım varlığa uygulanmakta veya tedbir kısmen uygulanmakta ise “kısmen”
- Tedbir hiç uygulanmamakta ise “hiç”
- Tedbirin teknik olarak uygulanma ihtimali bulunmuyorsa “uygulanamaz”
Her bir varlık grubu için yapılan değerlendirmelerin Bilgi ve İletişim Güvenliği Rehberinde bulunan EK-C.3’te yer alan form ile kayıt altına alınacaktır.
2- DDO BİG REHBERİ İÇ DENETİM ÇALIŞMALARI
Bu iş başlığı altında sizler için denetim koçluğu yapacağız. DDO BİG Rehberine mevcut yapınızın ne kadar uygun olduğu analiz edilecektir. Tedbir maddeleriyle ilgili uygunsuzluklarınız nesnel kanıtlara dayandırılarak tespit edilecektir.
Rehber uyum denetiminde uygulanacak metodoloji; denetimin planlanması, denetim prosedürlerinin uygulanması ve denetim sonuçlarının raporlanması olmak üzere üç ana süreç
ekseninde ilerlemektedir. Denetimin temel hedefi aşağıda yer verilen kriterlerin ölçülmesidir.
a) Rehber uygulama sürecinin etkinliği
b) Varlık gruplarına uygulanan tedbirlerin etkinliği
Rehbere uyumunuzu sağlamak ve siber risklerinizi doğru yönetmek için sizinle çalışmaktan keyif duyacağız.
