Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823 sayılı Resmi Gazete ’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı DDO (Dijital Dönüşüm Ofisi) koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır.

Rehber ile Kurumlar; karşılaşabilecekleri güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizlilik, bütünlük ve erişilebilirliği bozulduğunda ortaya çıkabilecek kamu düzenini riske atabilecek kritik verilerin güvenliğini ve gizliliğini sağlamak amacıyla güvenlik tedbirlerini uygulamak ile yükümlü kılınmıştır

BİG Danışmanlık olarak; CD DDO Bilgi ve İletişim Güvenliği Rehberi D1-D2 Sertifikalarına sahip Baş denetçi kadromuzla  BİG Rehberine uyumluluğun sağlanmasında hizmet vermekteyiz.

Çalışmamız ile kurumların sadece denetime hazırlanması değil aynı zaman bilgi ve iletişim güvenliği süreçlerini kültür olarak ele almasını ve içselleştirmesini de sağlamaktayız.

Amaç:

Bilgi güvenliğine sistematik bir yaklaşım getirip kurumunuzun mali, idari, kişisel, fikri mülkiyet veya 3. taraf bilgi varlıkların güvenliğini sağlamaktadır. Ayrıca güvenlik ihlallerinin etkilerini proaktif bir şekilde sınırlandırarak siber saldırılara karşı riskin azaltılması ve iş sürekliliğinin sağlanması amaçlanmıştır.

BİGR Kapsamı:

Yazılımlar, Ağ ve Sistemler, IoT Cihazlar, Mobil Cihazlar, Fiziksel Varlıklar ve Çalışanlar kapsam dahilindedir. Söz konusu varlık grupları Bilgi ve İletişim rehberindeki usul ve esaslara ve tedbirlere göre değerlendirilecek ve gerekli aksiyonların alınması sağlanacaktır.

Kurumunuzun Rehbere uyumluluğun sağlanması için Danışmanlık ve Yazılım hizmetinin sunulması proje kapsamındadır.

BİGR Planlama ve Uyumluluk Süreci:

Kurumunuzun planlama çalışmaları 4-6 ay arasında tamamlanabilmekte olup olgunluk seviyesine göre uyumluluk süresi değişebilmektedir.

BİGR Faydaları :

  • Bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliği açısından güvenliğini sağlar
  • Bilgi varlıklarınızı ve kritiklik değerlerini tanımlayarak bilgi güvenliği risklerinizi azaltmak için bilinçli kararlar vermenizi sağlar
  • Tehdit ve riskler belirlenerek etkin bir risk yönetiminin yapılmasını sağlar
  • Bilgi güvenliğinizi sürekli olarak gözden geçirmek ve iyileştirmek için bir sisteme sahip olduğunuzu kanıtlar
  • İş sürekliliğini sağlar
  • Geçerli yasa ve düzenlemelere uygun davranıldığının bağımsız bir şekilde ortaya koyar
  • BİGR üzerinde düzenli ve sürekli değerlendirme yapılmasıyla kurumsal performansı geliştirir
  • Tedarikçilerle olan ilişkilerde sağlıklı bir yapının kurulmasını sağlar
  • Kurumlar ve personel nezdinde güvenilirliğinizi ve itibarınızı artırır.

BİGR Kurulum Aşamaları:

  1. Bilgi Güvenlik Yönetim Sistemi organizasyon yapısının oluşturulması
  2. BGYS Temel politika ve prosedürlerin oluşturulması
  • Varlıkların Belirlenmesi ve gruplandırılması
  1. Varlıkların kritiklik derecesinin belirlenmesi
  2. Mevcut durum ve boşluk analizinin yapılması
  3. Telafi edici kontrollerin ve yol haritasının oluşturulması
  • Sistem iç tetkiki, Düzeltici ve Önleyici Faaliyetler ve Yönetimin gözden geçirilmesi yapılması

Bilgi Güvenliği Rehberi Uyum Danışmanlığı:

Danışmanlık, Rehber uygulama süreci ile ilişkili hizmetleri kapsamaktadır. Bilgi ve İletişim Güvenliği Denetim Rehberi  “Tablo 5. Rehber Uygulama Süreci ile İlişkili Denetim Unsurları” kapsamında yer alan aşağıdaki başlıklar danışmanlık hizmeti kapsamındadır:

  • Kurum varlık gruplarının, Rehberde yer alan varlık grubu ana başlıkları ile uyumlu olacak şekilde tanımlanması (U01)
  • Kurum bilgi varlıklarının mutlaka bir varlık grubu altında tanımlanması (U02)
  • Varlık grupları tanımlama çalışmalarının varsa bilgi güvenliği yönetim sistemi kapsamında oluşturulan varlık envanteri ile ilişkilendirilmesi (U03)
  • Varlık grupları kritiklik derecelerinin Rehbere uygun olarak belirlenmesi (U04)
  • Varlık gruplarının kritiklik derecesine uygun tedbirlerin belirlenmesi (U05)
  • Uygulama ve teknoloji alanına yönelik tedbirler ve sıkılaştırma tedbirlerinin varlık grubu ile uygun bir şekilde eşleştirilmesi (U06)
  • Her bir varlık grubu için mevcut durum ve boşluk analizi çalışmalarının yapılması (U07)
  • Telafi edici kontrollerin dokümante edilmesi (U08)
  • Rehber uygulama yol haritasının oluşturulması (U08)

Bilgi ve İletişim Güvenliği Denetim Rehberi  “Tablo 6. Varlık Gruplarına Uygulanan Tedbirlerin Etkinliği ile İlişkili Denetim Unsurları” kapsam dışındadır. Danışmanlık kapsamında mülakat yöntemiyle hizmet verilecek olup gözden geçirme, güvenlik denetimi, sızma testi ve kod gözden geçirme faaliyetleri yer almayacaktır.