Optimate Solutions - CBDDO Bilgi ve İletişim Güvenliği
Uyumluluk Yönetimi Yazılımı
CBDDO BİG Rehberi uyumluluk süreçlerinizi tek noktadan yönetin.
Optimate Solutions Bilgi ve İletişim Güvenliği Rehberi uyumluluk yazılımı içerisinde söz konusu rehbere uyum konusunda gerçekleştirilmesi gereken çalışmaların ilki olan;
-
Varlık gruplarının belirlenmesi,
-
Varlık gruplarının kritiklik derecesinin belirlenmesi,
-
Mevcut durum ve boşluk analizi,
-
Rehber uygulama yol haritasının hazırlanması,
konuları yer almaktadır.
Varlık gruplarının belirlenmesi
CBDDO Bilgi ve İletişim Güvenliği Uyumluluk Yazılımı içerisinde varlık grupları tanımlanmaktadır. Varlık grupları için grup ismi, grup açıklaması, bağlı olduğu varlık ana grubu, gerçekleştirilecek ankete yönelik periyot ve ilk anket zamanı belirlenmektedir. Ankete katılacak katılımcılar ve ilgili varlık grubu kritiklik değerlendirmesine onay verecek yönetici tanımlanmaktadır. Yazılım tanımlı bilgilere göre otomatik olarak anket oluşturmakta ve varlık grubu kritiklik analizi çalışmasını başlatmaktadır.
Varlık Grubu Kritiklik Derecesinin Belirlenmesi
Her bir varlık grubu için bu anket formu uyumluluk yazılımı tarafından ilgili varlık grubunun kritiklik derecesi belirlenir. “Varlık Grubu Kritiklik Derecelendirme Anketi” olarak tanımlanan anket her bir varlık grubu özelinde rehber uyumluluk denetimi kapsamında kontrol edilir. İlgili varlık grubu için uygulanması gereken tedbir maddeleri, varlık grubu için belirlenmiş olan kritiklik derecesi göz önünde bulundurularak belirlenmelidir.
Her varlık grubu için doldurulan anket sorularının cevapları için anket formunda yer alan puanlar toplanarak anket puanı hesaplanır. Aşağıda iletilen tablo kullanılarak anket puanına karşılık gelen kritiklik derecesi belirlenir. Belirlenen derece, varlık grubunun kritiklik derecesi olarak kullanılır.
-
Anket puanı 18’den küçük ise Derece 1
-
Anket puanı 18 (dâhil) ile 28 arasında ise Derece 2
-
Anket puanı 28 ve daha yüksek ise Derece 3
Varlık grubu içinde yer alan tüm varlıklara aynı güvenlik tedbirlerinin uygulanacağı dikkate alınarak anket sonuçları tekrar değerlendirilir. Gerekli görülmesi durumunda varlık grupları güncellenerek anket çalışmaları tekrarlanır.
Kritiklik derecesi tanımlanan her bir varlık grubu için kritiklik dereceleri ile uygulama ve teknoloji alanlarına yönelik güvenlik tedbirlerinin uygulanma durumlarının kayıt altına alındığı Bİlgi ve İletişim Güvenliği Rehberinde tanımlanan EK-C.2’de yer alan form doldurulur.
EK-C.2’de yer alan formlar uyumluluk yazılımında hazır olarak bulunmaktadır.
Mevcut Durum ve Boşluk Analizi
Varlık grupları için belirlenen tüm tedbirler ile ilgili mevcut durum analiz edilir ve varlık grubu mevcut durum analiz raporu hazırlanır. Mevcut durum analizi çalışmaları kapsamında teknik çalışma, toplantı, otomatik araç ile durum tespiti, dokümantasyon inceleme vb. faaliyetler gerçekleştirilebilir. Varlık grubuna bir tedbirin uygulanıp uygulanmadığı tespit edilirken öncelikle aşağıdaki sınıflandırmaya göre uygulama durumuna karar verilir ve mevcut durum ile ilgili açıklayıcı bilgi yazılır.
-
Tedbir varlık grubunda yer alan tüm varlıklara uygulanmakta ise “tamamen”
-
Tedbir varlık grubunda yer alan varlıkların çoğuna uygulanmakta fakat bazı varlıklara kısmen uygulanmakta veya henüz uygulanmamakta ise “çoğunlukla”
-
Tedbir varlık grubunda yer alan bir kısım varlığa uygulanmakta veya tedbir kısmen uygulanmakta ise “kısmen”
-
Tedbir hiç uygulanmamakta ise “hiç”
-
Tedbirin teknik olarak uygulanma ihtimali bulunmuyorsa “uygulanamaz”
Her bir varlık grubu için yapılan değerlendirmelerin Bilgi ve İletişim Güvenliği Rehberinde bulunan EK-C.3’te yer alan form ile kayıt altına alınması gereklidir. Form uyumluluk yazılımında hazır olarak bulunmaktadır.
Rehber Uygulama Yol Haritasının Hazırlanması
Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır. Uygulama yol haritası yazılım üzerinde hazırlanabilir ve takibi gerçekleştirilebilir.
Uygulama yol haritası kapsamında yapılan planlamalar Bilgi ve İletişim Güvenliği Rehberi EK-C.4’te yer alan form ile kayıt altına alınır. Form yazılım üzerinde hazır olarak bulunmaktadır.
Kurum, boşluk analizi sonucunda uygulanması gereken ilave tedbirler kapsamındaki herhangi bir gereksinimi; üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı rehberde tanımlandığı şekli ile karşılayamaması durumunda telafi edici kontroller uygulayabilir. Telafi edici kontroller, yerine uygulandıkları tedbir maddeleri ile aynı amaç ve etkiye sahip olmaları durumunda kullanılabilir olarak kabul edilecektir. Uygulanmasına karar verilen her bir telafi edici kontrol Bilgi ve İletişim Güvenliği Rehberi EK-C.5’te yer alan form ile kayıt altına alınır.
Optimate Bilgi Güvenliği Yönetimi Yazılımını incelemek için e-posta ve iletişim numaramızdan veya İletişim Formu üzerinden bizlere ulaşabilirsiniz.