BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ DANIŞMANLIK AŞAMALARI
Danışmanlık süreci “Bilgi ve İletişim Güvenliği Rehberi” (Rehber) kapsamında tanımlanan süreçlere uygun olarak, aşağıdaki adımlarla yürütülür:
Varlık gruplarının belirlenmesi
- Kuruluş envanterinin güncellenmesi ve (varsa) mevcut envanter listesinin teyit edilmesi.
- Kuruluş envanterinde bulunan varlıkların, Rehbere uygun olarak, gruplandırılması.
Bu aşamada, aşağıdaki ana başlıklar kategori olarak değerlendirilir;
- Ağ ve sistemler
- Uygulamalar
- Taşınabilir cihaz ve ortamlar
- Nesnelerin interneti (IoT) cihazları
- Fiziksel mekanlar
- Personel
Varlık grubu kritiklik derecesinin belirlenmesi
- Varlık gruplarının kritiklik derecesi belirlenir, bu çalışma sırasında aşağıdaki boyutlar ele alınır;
- İşlenen verinin gizlilik, bütünlük ve erişilebilirlik açısından değerlendirilmesi,
- İşlenen verinin etki alanının belirlenmesi.
- Varlık gruplarının kritiklik derecesinin belirlenmesi için gerekli anket, mülakat ve teknik çalışmaların yürütülmesi,
- Varlık grubu kritiklik derecelendirme sonuçları Rehber ekinde yer alan tablolara uygun format ve düzende raporlanır.
Mevcut durum ve boşluk analizi
- Belirlenen kritiklik derecesine bağlı olarak, varlık grupları için alınması gereken teknik tedbirlerin belirlenmesi,
- Güvenlik tedbirleri, Rehber’e uygun olarak, üç ana başlık altında sınıflandırılır;
- Varlık gruplarına yönelik güvenlik tedbirleri,
- Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri,
- Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri.
- Varlık grubuna göre uygulanacak tedbir sınıfının belirlenmesi.
Bu sınıflar, Rehber’e uygun olarak, aşağıda belirlenen, üç seviyeye ayrılır:
- Kritiklik derecesi 1 olan varlıklar için birinci seviye tedbirler,
- Kritiklik derecesi 2 olan varlıklar için birinci seviye tedbirler,
- Kritiklik derecesi 3 olan varlıklar için birinci seviye tedbirler.
- Her varlık grubu için yapılan değerlendirme Rehber’in EK-C.3’te yer alan forma uygun olarak kayıt altına alınır.
Rehber uygulama yol haritasının hazırlanması
- Önceki adımlarda yapılan çalışmalara uygun olarak bir “Rehber uygulama yol haritası” raporu hazırlanır.
Rapor en az aşağıdaki başlıkları içerir;
- Mevcut durumun analizi,
- Rehber’e uyum açısından boşluk analizi,
- Kuruluş personeline yetkinlik kazandırmaya yönelik çalışmalar,
- Rehber uyumluluğu için kuruluş personelinin ihtiyaç duyduğu eğitimler,
- Ürün tedariki ihtiyaçları,
- Hizmet alımı ihtiyaçları,
- Danışmanlık ihtiyaçları,
- Gerekli geliştirme / yeniden geliştirme çalışmaları,
- Gerekli tasarlama / yeniden tasarlama,
- Sıkılaştırma gereksinimleri,
- Sürüm güncelleme ihtiyaçları,
- Dokümantasyon gereksinimleri,
- Kurumsal süreç iyileştirmeye yönelik ihtiyaçlar.
Sparta Siber Güvenlik ürün/yazılım satışı yapmayan bir siber güvenlik firması olduğu için, ortaya çıkması muhtemel yazılım ve donanım gereksinimlerinin giderilmesi için ÖNCELİKLE kuruluş envanterinde bulunan varlıkların etkin kullanılmasına yönelik öneriler sunulur.
Belirlenen yol haritasının ve önceki adımlarda ortaya çıkan raporların ve sonuçların değerlendirilmesi ve kuruluş personelinin bilgilendirilmesi için bir çalıştay (workshop) düzenlenir.
Uyum çalışmalarının, yol haritasında sunulan plana uygun ilerlediğinin teyit edilmesi ve gerekli durumlarda uyum sürecinin hızlandırılmasını sağlayacak önerilerin sunulması için yol haritasında belirlenen sürenin sonuna kadar her hafta online bir toplantı düzenlenir.
Uygulama ve Değişiklik Yönetimi
- Rehber’e uyum için belirlenen yol haritasının uygulanması sırasında kuruluş personelinin ihtiyaç duyacağı becerilerin kazandırılması için gerekli eğitimler verilir.
- Uyum çalışmalarının yol haritasına uygun olarak ilerlemesini sağlamak için yapılacak haftalık görüşmelere ek olarak, kuruluş personeline proje yönetimi eğitimi verilir.
Rehbere uygun bir değişiklik yönetimi süreci oluşturulur ve uygulanması için gerekli eğitimler verilir.
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ DENETİM AŞAMALARI
Kuruluşun Bilgi ve İletişim Güvenliği Rehberi’ne uyumunu değerlendirmek üzere denetim çalışmaları yürütülür.
Denetim Kapsamı
Denetim en az aşağıdaki başlıklarda yürütülür;
- Donanım Varlıklarının Envanter Yönetimi
- Yazılım Varlıklarının Envanter Yönetimi
- Tehdit ve Zafiyet Yönetimi
- E-Posta Sunucusu ve İstemcisi Güvenliği
- Zararlı Yazılımlardan Korunma
- Ağ Güvenliği
- Veri Sızıntısı Önleme
- İz ve Denetim Kayıtlarının Tutulması ve İzlenmesi
- Sanallaştırma Güvenliği
- Siber Güvenlik Olay Yönetimi
- Sızma Testleri ve Güvenlik Denetimleri
- Kimlik Doğrulama ve Erişim Yönetimi
- Felaket Kurtarma ve İş Sürekliliği Yönetimi
- Uzaktan Çalışma
- Kimlik Doğrulama
- Oturum Yönetimi
- Yetkilendirme
- Dosyaların ve Kaynakların Güvenliği
- Güvenli Kurulum ve Yapılandırma
- Güvenli Yazılım Geliştirme
- Veri Tabanı ve Kayıt Yönetimi
- Hata Ele Alma ve Kayıt Yönetimi
- İletişim Güvenliği
- Kötücül İşlemleri Engelleme
- Dış Sistem Entegrasyonlarının Güvenliği
- Akıllı Telefon ve Tablet Güvenliği
- Taşınabilir Bilgisayar Güvenliği
- Taşınabilir Ortam Güvenliği (CD/DVD, Taşınabilir Bellek Ortamları)
- Ağ Servisleri ve İletişimi
- Dâhili Veri Depolama
- Kimlik Doğrulama ve Yetkilendirme
- API ve Bağlantı Güvenliği
- Diğer Güvenlik Tedbirleri
- Genel Güvenlik Tedbirleri
- Eğitim ve Farkındalık Faaliyetleri
- Tedarikçi İlişkileri Güvenliği
- Genel Güvenlik Tedbirleri
- Sistem Odası/Veri Merkezine Yönelik Güvenlik Tedbirleri
- Elektromanyetik Bilgi Kaçaklarından Korunma Yöntemleri (TEMPEST)
- Kayıt Yönetimi
- Erişim Kayıtları Yönetimi
- Yetkilendirme
- Şifreleme
- Yedekleme, Silme, Yok Etme ve Anonim Hale Getirme
- Aydınlatma Yönetimi
- Açık Rıza Yönetimi
- Kişisel Veri Yönetim Sürecinin İşletilmesi
- Anlık mesajlaşma güvenliği
- Bulut bilişim güvenliği
- Kripto uygulamaları güvenliği
- Enerji sektörü özelinde güvenlik tedbirleri
- Genel Sıkılaştırma Tedbirleri
- Linux İşletim Sistemi Sıkılaştırma Tedbirleri
- Windows İşletim Sistemi Sıkılaştırma Tedbirleri
- Veri Tabanı Sıkılaştırma Tedbirleri
- Web Sunucusu Sıkılaştırma Tedbirleri
- Sanallaştırma Sunucusu Sıkılaştırma Tedbirleri
SPARTA SİBER GÜVENLİK - TSE Onaylı BİG Rehber Denetim ve Danışmanlık Firmasıdır.
15 yılı aşkın Siber Güvenlik deneyimiyle, SPARTA Bilgi ve İletişim Güvenliği Rehber Denetim ve Danışmanlık ihtiyaçlarınız için hizmetinizde.
- DENEYİM: SPARTA, 15 yılı aşkın süredir kamu kurumları, kritik altyapı işletmeleri ve daha birçok sektörde uzman kadrosuyla hizmet sunmaktadır.
Bilgi ve İletişim Güvenliği (BİG) Rehberi'ne uygunluk sağlama, denetim ve danışmanlık hizmetleri konularında deneyim sahibiyiz.
- SERTİFİKALI UZMANLARIMIZLA YANINIZDAYIZ: Sparta ekibi, TSE Sızma Testi Uzmanı ve TSE BİG Baş Denetçi sertifikalarına sahip deneyimli profesyonellerden oluşur. Danışmanlık, denetim, eğitim, sızma testleri, DDoS testleri, güvenlik mimarisi analizi, sunucu denetimleri ve regülasyon uyumluluğu gibi geniş bir yelpazede hizmet sunmaktayız.
SPARTA, TSE Onaylı BİG Rehber Denetim firması olarak sektörde güven ve kalite standartlarını temsil eder.
ISO 9001, ISO 27001, ve ISO 22301 sertifikalarımızla işimizi ve müşteri memnuniyetini bir adım öteye taşıyoruz.
Kaliteli hizmet ve profesyonel yaklaşımımızla, siber güvenlik alanında size en iyi desteği sunmak için buradayız.