CBDDO Bilgi ve İletişim Güvenliği Rehberi Nedir?
Bilgi ve İletişim Güvenliği Rehberi, TC. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanarak 27 Temmuz 2020 tarihinde yayınlanmıştır. Rehberin Kapsamı: Devlet teşkilatı içerisinde bilgi işlem birimi barındıran kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeler yer almaktadır.
2020 – 2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda kritik altyapı sektörleri;
Elektronik Haberleşme
Enerji
Su Yönetimi
Kritik Kamu Hizmetleri
Ulaştırma
Bankacılık ve Finans olarak yer almaktadır.
Bilgi ve İletişim Güvenliği Rehber İçeriği
1. Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci
Rehber uygulama süreci, bilgi güvenliği yönetim süreçlerine alternatif olarak uygulanacak bir süreç olarak hazırlanmamış olup mevcut bilgi güvenliği yönetim süreçlerine teknik olarak katkı sağlayacak tedbirleri ve faaliyetleri içermektedir. Kurumlar rehber uygulama süreci ile tanımlanan faaliyetleri, mevcut bilgi güvenliği yönetim süreçleri kapsamında ve uyarlama yaparak yürütmelidir.
2. Varlık Gruplarına Yönelik Güvenlik Tedbirleri
Tanımlanan her bir varlık grubuna dâhil olduğu ana başlığa göre uygulanacak olan asgari güvenlik tedbirleri belirlenmiş ve detaylandırılmıştır.
3. Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri
Varlık grupları özelinde tanımlanan güvenlik tedbirlerine ek olarak, uygulama ve teknoloji alanlarına özel güvenlik tedbirleri tanımlanmış ve detaylandırılmıştır. Her bir varlık grubu için ilgili uygulama ve teknoloji alanları belirlenmeli ve belirlenen alanlar için tanımlanan güvenlik tedbirleri de ilgili varlık gruplarına uygulanmalıdır.
4. Sıkılaştırma Tedbirleri
İşletim sistemi, veri tabanı ve sunucular için sıkılaştırma tedbirlerini içermektedir.
Bilgi ve İletişim Güvenliği Rehber Uyum Planı
0-6 Ay: Kritiklik Derecelendirme ve Boşluk Analizi
Varlık gruplarının belirlenmesi, varlık grubu kritiklik derecesinin belirlenmesi, mevcut durum boşluk analizi, rehber uygulama yol haritasının hazırlanması
6-18 Ay: 1. Seviye Tedbirlerin Uygulanması
Kritiklik derecesi 1 olarak belirlenen varlık grupları özelinde uygulanması gereken temel seviye tedbirler için çalışmaların gerçekleştirilmesi
6-21 Ay: 2. Seviye Tedbirlerin Uygulanması
Kritiklik derecesi 2 olarak belirlenen varlık grupları özelinde uygulanması gereken temel seviye tedbirler için çalışmaların gerçekleştirilmesi
6-24 Ay: 3. Seviye Tedbirlerin Uygulanması
Kritiklik derecesi 3 olarak belirlenen varlık grupları özelinde uygulanması gereken temel seviye tedbirler için çalışmaların gerçekleştirilmesi
Bilgi ve İletişim Güvenliği Rehber Uygulama Süreci
1. Planlama
Varlık Gruplarını Belirle
Varlık Grubu Kritiklik Derecesi Belirle
Mevcut Durum ve Boşluk Analizi Yap
Rehber Uygulama ve Yol Haritası Belirle
2. Uygulama
Tedbirlerin Uygulanması
3. Kontrol Etme ve Önlem Alma
Bilgi ve İletişim Güvenliği Denetimini Yap
Rehber Uygulama Yol Haritasını İzle ve Kontrol Et
4. Değişiklik Yönetimi
Bilgi ve İletişim Güvenliği Rehber Değişikliklerini Yönet
Varlık Gruplarının Değişikliklerini Yönet
Comments