EPDK Uyumu süreci

EPDK Siber Güvenlik Yetkinlik Modeli (EPDK Yetkinlik Modeli) Nasıl Uygulanır?

/ Siber Güvenlik / Yazan

EPDK Siber Güvenlik Yetkinlik Modeli, enerji sektöründeki kuruluşların siber güvenlik olgunluğunu değerlendirmek için oluşturulmuş bir çerçevedir. Bu model sadece teknik kontrolleri ele almaz. Süreçleri, organizasyonel yapıyı ve sürdürülebilirliği birlikte değerlendirir.

Uygulamada en çok karşılaşılan durum şudur: Kurum EPDK bilgilendirmesini alır. Kritiklik seviyesi belirlenir. Böylece “ne yapılması gerektiği” genel hatlarıyla ortaya çıkar. Asıl ihtiyaç ise bu gereksinimlerin kurum içinde nasıl uygulanacağını netleştirmektir. Hangi adımdan başlanacağı ve denetime nasıl hazırlanılacağı bu noktada önem kazanır.

Kritiklik seviyesi ve kapsamınıza göre kısa bir ön değerlendirme ile hızlıca netleştirebiliriz.

EPDK SİBER GÜVENLİK YETKİNLİK MODELİ DANIŞMANLIĞIMIZ HAKKINDA BİLGİ ALMAK İÇİN BURAYA TIKLAYIN

Kısaca: EPDK Siber Güvenlik Yetkinlik Modeli Ne İçin Var?

Enerji sektörü, operasyonel sürekliliğin en hassas olduğu alanlardan biridir. Bu nedenle siber güvenlik yaklaşımı yalnızca “önlem almak” değildir. Olayları erken tespit edebilmek de işin parçasıdır. Etkiyi azaltmak ve sistemleri güvenli şekilde çalışır tutmak da aynı şekilde önemlidir.

EPDK Yetkinlik Modeli, kurumların mevcut durumunu görünür hale getirir. Geliştirme alanlarını ölçülebilir biçimde ortaya koyar. Böylece çalışmalar rastgele ilerlemez. Planlı bir yol haritası üzerinden yürür. Bu yaklaşım denetim hazırlığını da kolaylaştırır. Çünkü kurum “neyi nasıl göstereceğini” daha net görür.

İsterseniz bu adımı sizin kurumunuza göre birlikte planlayabiliriz.

Uygulama Nereden Başlar? (EPDK Yetkinlik Modeli Süreci, Bildirim ve Kritiklik Seviyesi)

EPDK Yetkinlik Modeli çalışması çoğu zaman “biz bu kapsamda mıyız?” sorusuyla başlamaz. Kurum EPDK’dan resmi bilgilendirmeyi alır. Ardından kritiklik seviyesi belirlenir. Böylece izlenmesi beklenen yaklaşım netleşir. Bu aşamada kritik olan şey, gereksinimleri kurumun operasyonuna doğru şekilde uyarlamaktır.

Kritiklik seviyesi, kapsamı ve öncelikleri doğrudan etkiler. Bu nedenle ilk adım sadece doküman listesi çıkarmak değildir. Kurumun mevcut yapısının beklentilerle nerede örtüştüğünü görmek gerekir. Eksikler de gerçekçi bir sırayla ele alınmalıdır. Uygulamada başarıyı belirleyen şey, doğru adımları doğru sırayla yürütmektir.

Denetime hazırlanırken en doğru sırayı birlikte çıkarabiliriz.

EPDK Uyumu için Adım Adım Uygulama Süreci (7 Adım)

EPDK Yetkinlik Modeli uyum sürecini yönetilebilir hale getirmenin en pratik yolu, çalışmayı adımlara bölmektir. Böylece hem ekipler ne yapacağını bilir hem de ilerleme ölçülebilir hale gelir. Aşağıdaki 7 adım, sahada en sık uygulanan ve denetim hazırlığını kolaylaştıran bir yol haritasıdır.

1) Kapsamın Netleştirilmesi

Süreç, EPDK bildirimi ve kritiklik seviyesi üzerinden başlar. İlk olarak çalışmanın kapsamı netleştirilir. Hangi tesisler, sistemler ve ekipler sürece dahil edilecek belirlenir. Bu adım, gereksiz iş yükünü azaltır. Aynı zamanda sürecin baştan doğru ilerlemesini sağlar.

Kritiklik seviyesi ve kapsamınıza göre kısa bir ön değerlendirme ile hızlıca netleştirebiliriz.

2) Mevcut Durum Fotoğrafının Çıkarılması

Bu aşamada “şu anda neredeyiz?” sorusunun cevabı aranır. Kurumun siber güvenlik yapısı bütüncül şekilde değerlendirilir. Organizasyon yapısı incelenir. Süreçlerin gerçekten işleyip işlemediğine bakılır. Teknik kontrollerin durumu da gözden geçirilir. İzleme ve müdahale kabiliyeti ayrıca ele alınır.

3) Boşluk Analizi (Gap Analysis)

Mevcut durum, Yetkinlik Modeli beklentileriyle karşılaştırılır. Eksik kalan alanlar netleştirilir. Burada amaç yalnızca “var / yok” demek değildir. Kontrollerin olgunluk seviyesi de değerlendirilir. Çünkü bazı kontroller kağıt üzerinde vardır. Ancak operasyonel olarak sürdürülebilir değildir.

4) Önceliklendirme ve Aksiyon Planı

Her eksik aynı önemde değildir. Bu yüzden boşluklar önceliklendirilir. Kritiklik seviyesi burada belirleyicidir. Risk etkisi ve uygulanabilirlik de dikkate alınır. Sonuçta yapılacak işler sıralanır. Kimin ne yapacağı da netleşir. Böylece iş listesi “büyüyen bir karmaşa” olmaktan çıkar.

İsterseniz bu adımı sizin kurumunuza göre birlikte planlayabiliriz.

5) Dokümantasyon ve Kanıt Setlerinin Hazırlanması

EPDK uyum süreci sadece doküman yazmak değildir. Denetim yaklaşımı “uygulanıyor mu?” sorusunu da görmek ister. Bu nedenle dokümanlarla birlikte kanıt üretmek gerekir. Politika ve prosedürler hazırlanır veya güncellenir. Buna ek olarak kayıtlar, raporlar ve izler oluşturulur. Örnek olarak envanter kayıtları, aksiyon takipleri ve raporlama çıktıları bu gruba girer.

6) Teknik İyileştirmelerin Uygulanması

İhtiyaca göre teknik tarafta iyileştirmeler yapılır. Erişim kontrolü sıkılaştırılır. Ağ ayrıştırma (segmentasyon) değerlendirilebilir. Loglama ve izleme yaklaşımı güçlendirilir. Zafiyet yönetimi düzenli hale getirilir. Yedekleme ve süreklilik pratikleri gözden geçirilir. Amaç “en pahalı çözüm” değil, sürdürülebilir bir yapı kurmaktır.

Denetime hazırlanırken en doğru sırayı birlikte çıkarabiliriz.

7) Denetim Öncesi Son Kontroller ve Hazırlık

Son aşamada yapılan çalışmalar gözden geçirilir. Eksikler tamamlanır. Sunulacak kanıt setleri kontrol edilir. Dokümanlar ve uygulama çıktıları tutarlı hale getirilir. Böylece denetime daha kontrollü girilir. Sürpriz riskler azalır. Süreç daha öngörülebilir olur.

EPDK uyum sürecinizi birlikte planlayalım

Kurumların En Çok Takıldığı Noktalar

EPDK Yetkinlik Modeli çalışmaları, yalnızca teknik bir proje değildir. Bu nedenle kurumların takıldığı noktalar da genellikle teknik eksikten çok “operasyonel gerçekler” üzerinden ortaya çıkar. Sahada en sık karşılaştığımız başlıklar şunlardır:

  • Kontrollerin dokümanda var görünmesi ama pratikte işletilememesi

  • Roller ve sorumluluklar netleşmediği için işin “ortada kalması”

  • Loglama ve izleme tarafının yetersiz kalması (kanıt üretilememesi)

  • Varlık envanteri güncel olmadığı için kapsamın sürekli kayması

  • İyileştirme adımlarının önceliklendirilmemesi ve sürecin uzaması

Bu noktaların ortak özelliği, hızlı ve net bir planla yönetilebilir olmalarıdır. Önemli olan, “her şeyi aynı anda düzeltmeye çalışmak” yerine doğru sırayı oluşturmaktır.

Hangi Çıktılar Beklenir?

Yetkinlik Modeli uyum sürecinde beklenti, yalnızca politika ve prosedür dokümanlarının hazırlanması değildir. Denetim yaklaşımı çoğu zaman “bu kontrol uygulanıyor mu?” sorusunu da cevaplamak ister. Bu nedenle sürecin çıktıları iki katmanda düşünülmelidir:

  1. Dokümantasyon katmanı: Politika ve prosedürler, görev tanımları, süreç akışları ve ilgili kayıtlar

  2. Kanıt katmanı: Raporlar, log örnekleri, envanter kayıtları, test sonuçları, aksiyon takip çıktıları ve uygulama izleri

Bu iki katman birlikte yürütüldüğünde denetim hazırlığı çok daha kontrollü ilerler. Sadece doküman üretmek, genellikle “uygulama kanıtı” tarafında zorlanmaya neden olur.

Uygulamada En Çok İşe Yaran Yaklaşım: Hızlı Kazanımlar + Planlı İyileştirme

Birçok kurum bu sürece başladığında aynı şeye takılıyor: yapılacak iş çok görünüyor. Burada en iyi çalışan yaklaşım, çalışmayı ikiye bölmek:

  • Kısa vadede hızlı kazanımlar: Denetim için en çok etki eden ve en sık eksik kalan alanları hızla toparlamak

  • Orta vadede planlı iyileştirme: Kurumun olgunluğunu kalıcı şekilde artıracak adımları gerçekçi bir takvimle yürütmek

Bu yöntem hem iç ekiplerin motivasyonunu korur hem de ilerlemeyi görünür hale getirir. En önemlisi de şudur: “uyum” tek seferlik bir iş değil, sürdürülebilir bir yapı kurma sürecidir.

İsterseniz bu adımı sizin kurumunuza göre birlikte planlayabiliriz.

Sparta Siber Güvenlik EPDK Yetkinlik Modeli Sürecini Nasıl Yürütür?

Sparta Siber Güvenlik, EPDK bildirimi ve kritiklik seviyesi esas alınarak kurumun mevcut siber güvenlik yapısını bütüncül şekilde değerlendirir. Organizasyon, süreçler, teknik kontroller ve operasyonel kabiliyetler üzerinden yapılan bu çalışma; beklentileri netleştirir, eksik alanları ortaya koyar ve uygulanabilir bir yol haritasının oluşturulmasını sağlar.

Bu yaklaşım sayesinde süreç “doküman teslimi” ile sınırlı kalmaz; kurumun günlük operasyonlarına uyumlu, ölçülebilir ve denetime hazır bir yapı ortaya çıkar. Uyum ihtiyaçları ile gerçekçi uygulama adımlarını aynı çerçevede ele alarak ilerleriz.

Kritiklik seviyesi ve kapsamınıza göre kısa bir ön değerlendirme ile hızlıca netleştirebiliriz.

Hızlı ön değerlendirme için bize ulaşın

Resmî Kaynaklar

EPDK Siber Güvenlik Yetkinlik Modeli ile ilgili resmî duyuru ve bilgilendirmeler için EPDK’nın yayımladığı sayfayı inceleyebilirsiniz:
https://www.epdk.gov.tr/Detay/Icerik/4-13050/enerji-sektorunde-siber-guvenlik-yetkinlik-modeli

Modelin yayımlandığı mevzuat metni için Resmî Gazete’deki yayına buradan ulaşabilirsiniz:
https://www.resmigazete.gov.tr/eskiler/2023/06/20230606-2.htm

Biz Ne Yapıyoruz ?

Sparta Siber Güvenlik, kurumların bilgi teknolojileri ve siber güvenlik ekiplerine destek olarak, onların bir parçası gibi çalışır. Uluslararası sertifikalı ve sürekli eğitim alan uzman kadromuzla sızma testleri ve ileri düzey siber güvenlik hizmetleri sunarız.

Bize Ulaşın:

+90 (312) 909 33 02