EPDK Siber Güvenlik Yetkinlik Modeli Bağımsız Denetim Hizmeti

Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Nedir?

Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli, enerji sektöründe faaliyet gösteren kuruluşların siber güvenlik seviyelerinin ölçülmesi, geliştirilmesi ve sürdürülebilir hale getirilmesi amacıyla oluşturulmuştur.

Model kapsamında kuruluşlar;

- Siber güvenlik yönetişimi

- Risk yönetimi

- Varlık yönetimi

- Ağ güvenliği

- Erişim yönetimi

- Güvenlik izleme

- Olay yönetimi

- Zafiyet yönetimi

- İş sürekliliği

- Endüstriyel kontrol sistemleri (ICS/SCADA) güvenliği

- Tedarikçi güvenliği

gibi alanlarda değerlendirilmektedir.

Amaç yalnızca mevzuata uyumun sağlanması değil, enerji sektörünün siber dayanıklılığının artırılmasıdır.

‍

Hangi Kuruluşlar Denetime Tabi?

Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği kapsamında;

- Elektrik üretim şirketleri

- Elektrik iletim kuruluşları

- Elektrik dağıtım şirketleri

- Doğal gaz iletim şirketleri

- Doğal gaz dağıtım şirketleri

- Petrol ve LPG sektöründe faaliyet gösteren kuruluşlar

- EPDK tarafından yükümlü olarak belirlenen diğer enerji kuruluşları

belirlenen kritiklik seviyelerine göre denetime tabi tutulmaktadır.

Kuruluşlar A, B veya C kritiklik seviyelerinde değerlendirilmekte ve her seviye için farklı kontrol gereklilikleri uygulanmaktadır.

‍

BTYÖN Bağımsız Denetim Hizmeti Kapsamında Neler Yapıyor?

BTYÖN olarak denetim sürecini yalnızca bir kontrol listesi çalışması olarak değil, kuruluşun gerçek siber güvenlik olgunluğunu ortaya koyan kapsamlı bir değerlendirme faaliyeti olarak ele alıyoruz.

Denetimlerimiz aşağıdaki aşamalardan oluşmaktadır.

1. Denetim Planlama ve Kapsam Belirleme

Denetim süreci açılış toplantısı ile başlatılır.

Bu aşamada;

- Kuruluşun kritiklik seviyesi

- Organizasyon yapısı

- BT ve OT ortamları

- SCADA sistemleri

- Uzak erişim altyapıları

- Yardımcı tesisler

- Veri merkezleri

- Kritik bilgi sistemleri

değerlendirilerek denetim kapsamı belirlenir.

Denetim rehberi doğrultusunda OT ağları, uzak bağlantılar, harici sistemler ve bu sistemler arasındaki haberleşmeler bütüncül şekilde değerlendirilmektedir.

2. Doküman ve Süreç İncelemeleri

Denetim faaliyetlerinin ilk bölümünde kuruluşun yönetsel ve operasyonel siber güvenlik yapısı incelenir.

Bu kapsamda;

- Siber güvenlik politikaları

- Risk değerlendirme çalışmaları

- Ağ mimarisi dokümanları

- Erişim yönetimi süreçleri

- Olay müdahale prosedürleri

- İş sürekliliği planları

- Felaket kurtarma planları

- Tedarikçi güvenliği süreçleri

- Varlık envanterleri

değerlendirilmektedir.

EPDK rehberine uygun olarak doküman incelemeleri uzaktan gerçekleştirilebilmektedir.

3. Teknik Siber Güvenlik Kontrolleri

Yetkinlik modelinin en kritik bölümlerinden biri teknik kontrollerdir.

BTYÖN denetçileri tarafından;

- Güvenlik duvarı yapılandırmaları

- Ağ segmentasyonu

- Uzak erişim mekanizmaları

- Active Directory güvenliği

- Ayrıcalıklı kullanıcı yönetimi

- Log yönetimi

- SIEM sistemleri

- Yedekleme altyapıları

- Uç nokta güvenliği çözümleri

- Sunucu güvenlik yapılandırmaları

- Endüstriyel kontrol sistemleri güvenlik önlemleri

değerlendirilmektedir.

Denetimler sırasında sistemlere doğrudan erişim sağlanmaz. Kontroller kuruluş personeli tarafından canlı ortamda gösterilir ve değerlendirmeler sunulan kanıtlar üzerinden gerçekleştirilir.

4. OT ve SCADA Güvenlik Değerlendirmeleri

Enerji sektörünü diğer sektörlerden ayıran en önemli unsur operasyonel teknoloji (OT) sistemleridir.

Bu nedenle denetimlerimizde;

- SCADA altyapıları

- RTU sistemleri

- PLC cihazları

- IED bileşenleri

- Kontrol merkezleri

- Trafo merkezleri

- RMS istasyonları

- Endüstriyel haberleşme ağları

özel olarak değerlendirilmektedir.

Örnekleme çalışmaları EPDK denetim rehberinde belirtilen yöntemlere uygun şekilde yürütülmektedir.

5. Yerinde Saha Denetimleri

EPDK denetim rehberi kapsamında teknik ve fiziksel güvenlik kontrolleri yerinde gerçekleştirilmektedir.

Kuruluşun kritiklik seviyesine göre asgari saha denetim süreleri:

Kritiklik Seviyesi Asgari Saha Süresi‍

C Seviyesi 2 Gün

B Seviyesi 3 Gün

A Seviyesi 3 Gün

Denetimler biri başdenetçi olmak üzere en az iki denetçi tarafından gerçekleştirilmektedir.

6. Bulguların Değerlendirilmesi ve Raporlama

Denetim sonucunda her kontrol maddesi;

- Tam Uyum

- Kısmen Uyum

- Uyumsuz

- Kapsam Dışı

şeklinde değerlendirilmektedir.

BTYÖN tarafından hazırlanan raporlar;

- EPDK'ya sunulacak resmi denetim raporu

- Denetim Mutabakat Belgesi

olmak üzere ilgili mevzuata uygun şekilde oluşturulmaktadır.

‍

Neden BTYÖN?

Enerji sektöründe gerçekleştirilen siber güvenlik denetimleri yalnızca bilgi güvenliği bilgisiyle yürütülebilecek çalışmalar değildir. Denetçilerin aynı zamanda enerji sektörünün operasyonel süreçlerini, endüstriyel kontrol sistemlerini ve kritik altyapı güvenliğini anlamaları gerekir.

BTYÖN olarak;

- Siber güvenlik alanında uzun yıllara dayanan tecrübemiz,

- Enerji sektöründeki proje deneyimimiz,

- Kritik altyapı güvenliği uzmanlığımız,

- İş sürekliliği ve risk yönetimi yetkinliğimiz,

- OT ve SCADA güvenliği konusundaki bilgi birikimimiz,

- Bağımsız ve tarafsız denetim yaklaşımımız

ile enerji sektöründeki kuruluşlara profesyonel denetim hizmeti sunuyoruz.

‍

BTYÖN'ün Enerji Sektörüne Sağladığı İlave Katkılar

Bağımsız denetim hizmetlerinin yanı sıra BTYÖN;

- Siber Güvenlik Yetkinlik Modeli fark analizi çalışmaları,

- Siber güvenlik olgunluk değerlendirmeleri,

- Risk analizleri,

- İş sürekliliği danışmanlığı,

- ISO 27001 danışmanlığı,

- Teknik sızma testleri,

- Zafiyet yönetimi hizmetleri,

- Güvenlik mimarisi değerlendirmeleri,

- Kurumsal risk yönetimi çalışmaları

gibi alanlarda da enerji sektörüne destek sağlamaktadır.

‍

“Kabul Et” seçeneğine tıklayarak sitede gezinmeyi geliştirmek, site kullanımını analiz etmek ve pazarlama çabalarımıza yardımcı olmak amacıyla tüm çerezlerin cihazınızda saklanmasını kabul etmiş olursunuz.

Tercihler Reddet Kabul Et