Bilgi ve İletişim Güvenliği Denetimi & BIGDES Bildirimi
DGRNET BIGREY Yanınızda!
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CDDO) tarafından, her sene periyodik olarak Kamudaki siber ve dijital güvenlik denetleme raporları aracılığıyla değerlendirmektedir.
2024-2025 denetleme raporu bildirimleri, 16.09.2024 – 31.03.2025 arasında yapılacak.
Bu tarihler arasında kurumlar, çıkan denetleme sonuçlarını BIGDES (Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi) üzerinde bildirmekle yükümlüdür.
Özellikle Kurum içi denetleme mekanizması olan kurumların kendi bünyelerinde veya Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Sağlayan Personel/Firma Sorgulama sayfasında yetkinliği sorgulanmış kişi veya kurum tarafından; denetlenmesi ve raporlanması gerekmektedir.
Özellikle Ulusal Siber Güvenlik Stratejisi ve Eylem Planı içerisinde yer alan; Elektronik Haberleşme, Enerji, Su Yönetimi, Kritik Kamu Hizmetleri, Ulaştırma, Bankacılık ve Finans alanında faaliyet gösteren kurum ve kuruluşlar bu konuda daha çok fazla sorumluluk ve risk altında olduğundan; DGRNET BIGREY gibi tüm rehber kriterlerine %100 uyumlu bir rehber yazılımı ile bu denetlemeye hazırlanırsa, kritik zafiyet ve siber saldırılara karşı tam anlamıyla hazır hale gelecek.
DGRNET, Bilgi ve İletişim Güvenliği söz konusu olduğundan CDDO’nun tüm güncel mevzuat ve kriterlerine, siber saldırı ve risklere karşı hazır hale gelmeniz için en kapsamlı denetim rehberi yazılımı olduğu konusunda iddialı ve referanslarıyla kendini kanıtlamış bir yazılım.
20 Soruda DGRNET
DGRNET yazılımı, kendi alanında kullanımı en basit, CDDO bilgi ve iletişim güvenliği güncel mevzuat ve standartlarına en uygun rehber yazılımı olarak fark yaratmaya devam ediyor. Bilgi ve İletişim Güvenliği rehber yazılımı seçim aşamasında olan kurumlar için 20 soruda, tüm merak edilenleri sizler için derledik.
1. DGRNET Nedir, Ne Amaçla Tasarlanmıştır?
Dgrnet, Cumhurbaşkanlığı bilgi ve İletişim güvenliği rehberi kapsamında; devlet kurumlarının uyumakla zorunlu olduğu planlama, uygulama ve denetim süreçlerinin yönetimini ve izlenmesini sağlayan rehber yazılımdır.
Dgrnet ile rehberin isteklerini, hepsini çok kısa bir süre içerisinde yerine getirebilmekteyiz.
Dgrnet, manuel olarak yapılması güçlük taşıyan excel, word gibi dokümanlarla yapılmaya çalışılan ama bir şekilde yapılamayan bütün süreçlerin otomatik olarak yapılmasını sağlar.
2. Bilgi ve İletişim Güvenliği Rehber yazılımı olarak, özellikle kurumları nelere karşı korur?
Aslında yazılımdan ziyade rehber; kurumları siber saldırı düzeyinin azaltılması, kurumdaki zafiyetlerin ortaya çıkartılması, kullanılan ve kullanılmayan bütün ürünlerin, donanımların, yazılımların, güvenlik ürünlerinin belirlenmesi, kullanılmayanların özellikle ortaya çıkarılması gibi süreçleri ortaya çıkarmaktadır.
Rehberdeki tedbirlerin kolaylıkla uygulanabilmesi, tedbirlere faaliyet eklenebilmesi, faaliyetlerin bilgi işlem personeli tarafından görevlendirilmesi, bu görev yönetimi ile kurumdaki bütün eksiklerin giderilmesini çok hızlı bir şekilde tamamlayabildiği için, rehberin isteklerini oldukça hızlı yerine getirebilen bir yazılımdır diyebiliriz.
3. Kurumların hangi konulardaki eksik ve zafiyetlerini giderir?
Kurumların;
IT,
Sistem uygulamaları,
IOT cihazları,
Personel,
Fiziksel mekan,
Taşınabilir cihazlar,
başlıklarıyla toplam 6 tane başlıkta zafiyetlerini giderecektir.
Biraz daha detaya inecek olursak; sunucular, network cihazları, UTM ürünleri, güvenlik ürünleri, sanallaştırma teknolojileri, veri tabanları, işletim sistemleri, kritik bilgisayarlar, son kullanıcı bilgisayarları, yazıcılar, kameralar, tarayıcılar, projeksiyon cihazları ve yazılımlardaki kritik konuları da düşündüğümüzde, buradaki eksik ve zafiyetleri gidermeye yarar.
4. Bu zafiyetler giderilmezse, ne gibi sonuçlar doğurur?
Bu zafiyetler için rehber içerisinde yer alan tedbirler aslında, hassas bir şekilde hazırlanmış tedbirlerdir.
Bu tedbirler alınmadığı zaman, kurumda kritik siber saldırı yüzeyi açığa çıkmış olur.
Regülasyonlara (CDDO ve Bilişim Sistemleri Entegrasyonları) uyumsuzluklar ortaya çıkmış olabilir. Daha önce saydığımız tüm varlık gruplarındaki, eksikliklerin yapılamamasına sebep olur. Bunlar yapılamadığı veya tamamlanamadığı zaman, siber saldırıya hazırlıksız yakalanırız. Erişilebilirlik, bütünlük ve gizlilik büyük zarara uğramış olabilir.
Bu ayrıca, bilgi daha doğrusu veri sızıntısına sebep olabilir. Bu esnada işlemlerin kayıt altına alınmaması, doğru şekilde loglanmaması daha sonraki bir zafiyette doğru kişiye, veriye, kayda ulaşamamamız anlamına gelir. Kısacası, doğru bir bilgi işlem ortamı yönetemememize neden olur.
5. Ağırlıklı olarak hangi kurumlar saldırı ve tehdit altındadır?
Aslında; günümüzde dijital dünyada bütün birey, kurum ve kuruluşlar saldırı altındadır.
“Tamamen güvendeyiz.” gibi bir cümle, oldukça iddialı ve maalesef doğru olmayan bir cümledir.
Satın alınan cihazlar, ürünler ve teknik çalışmalar da bunları tamamen ortadan kaldırmaya yönelik değildir.
Tüm tehditlere karşı bir savunma mekanizması kurmak içindir.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin yayınladığı Bilgi ve İletişim Güvenliği Rehberi ve DGRNET yazılımımız üzerinden yapabildiğimiz işlemlerle de saldırı ihtimallerini ortadan kaldırmayı amaçlıyoruz.
Kamu kurumları özelinde, gelebilecek saldırı ve tehditleri daha doğmadan ortadan kaldırmayı amaçlıyoruz.
Ülkemizde, WAF cihazlarıyla yaptığımız kontrollerde, özellikle GOV.TR ve EDU.TR uzantılı sitelere, özellikle yurtdışından sürekli ve uzun süreli saldırılar yapıldığını biliyoruz.
6. Kurumlara gelen saldırı ve tehditler, özellikle hangi birim / alanları tehlikeye sokar?
Bu saldırıların, doğrudan sunuculara ve güvenlik duvarına yapıldığını düşünürsek, başarılı olan bir saldırı aslında bilgi işlemden başlayarak kurum bünyesindeki her birimi tehlike altına sokacaktır. Özellikle bu kurumun hizmet verdiği paydaşlarını.
Örneğin; bir üniversiteyse öğrencileri, velileri. Belediye ise yine tüm iştirakleri, saha ve yönetim operasyonlarını tehlikeye sokacağını söyleyebiliriz.
Hedefler genellikle; bilgi işlem sistemleri, muhasebe sistemleri ve kişisel veri çalma amacıyla personel bilgi sistemleri diyebiliriz.
7. Bu konularda iyileştirme / hata giderme veya sıfırdan sorun çözme işlemleri için kimlerden destek alınmalı?
Bilişim şirketlerinden, bizler gibi siber güvenlik şirketlerinden destek alınmalıdır. Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi de aslında bu sorunlara zemin hazırlamamak için, bu sorunları daha başlamadan çözmek için değerli bir rehberdir.
Yetkinlik ve yetkilendirme niteliklerine sahip firmaların tercih edilmesi, hem tedbirlerin uygulanması hem de raporun hazırlanmasında teknik ve danışmanlık konusunda uygun kişileri / firmaları buradaki adresten sorgulamakta fayda var.
Resmi Sorgulama Sayfası:
https://basvuruportal.tse.org.tr/Genel/BigDenetciPersonelFirmaSorgulama.aspx#open
8. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, Kamu’da Güvenliği Neden Önemsemektedir?
Kamu artık hızlı bir dijital dönüşüm sürecinde ve ülkemizde özellikle bu dönüşüm ivmelendi. Kamudaki bütün işlem ve sistemlerin artık birbiriyle entegre (birleşik) olduğunu görmekteyiz. E-devlet bu açıdan en güzel ve en büyük örneklerden birisi. Ayrıca, kamu da büyük ölçekli bilgi işlem altyapısına sahip olunduğu için hızlı bir personel sirkülasyonu olmakta.
Özel sektörde, çalışma şartları ve koşulların bilişim personeli için daha iyi olması, özel sektöre kamudan geçişleri de sürdürmektedir.
Bu yüzden kalifiye eleman, yetkin ve bilgili personel ihtiyacı her geçen gün artmaktadır. Hem bu durumu doğru görebilmek hem de kamuda yapılan yatırımların, hangi kurumda hangi cihaz ve yatırımlar var gibi neyin nerede olduğunu bilmek, röntgenini çekebilmek adına kamuda bilgi güvenliği önemsenmektedir.
Ayrıca, ülkemizde de siyaset ve devlet politikası olarak, dijital dönüşüm ve siber güvenliğe son yıllarda önem vermekte ve ciddi yatırımlar yapmaktadır.
9. Kamu kurumlarında, dijital dönüşüm kapsamında ne gibi geliştirme veya geçişler yapıldı?
Öncelikle hem kâğıt tasarrufu, toner tasarrufu, elektrik tasarrufu olsun diye birçok rutin geleneksel işler dijitalleştirildi. Dijitale çeşitli destekler verildiği için bu desteklerden faydalanıldı. Hem hizmet tarafı, kamunun vatandaş olduğu için vatandaşa verilen hizmetin kolaylaştırılması sağlandı.
Yani önceden yazılı bir dilekçe vermek gerekiyorken, artık birçok kuruma e-devlet üzerinden dilekçe iletebiliyoruz. Kurumun kendi web sayfası üzerinden de kendi uygulamalarından da iletiyoruz.
Bir de dijitalleşmede arşive çok önem veriyor kurumlar. İlk başlangıcı aslında, dijital dönüşümün dijital arşiv çalışmaları oldu diyebiliriz.
10. Bilgi işlem birim veya bölümlerinin, kamu kurumlarındaki en önemli rolleri nedir?
Kamu kurumlarındaki en önemli rolü, kurumun beyni ve kalbi olmasıdır.
Bilgi işlem; sunucular, internet bağlantıları, BT çevre birimleri, network ve bilgi işleme bağlı operasyonların tüm aksiyonları olmazsa, kamudaki hiçbir çalışma aslında yürümeyecektir diyebiliriz.
11. Bilgi ve İletişim Güvenliği için istihdam edilecek elemanlar için yetkinlik ve yeterlilik standartları nedir?
Bu konuda belli başlı bir standart yok, birden fazla standart var diyebiliriz. Tabii ki ihtiyaca yönelik, talebe yönelik standartlar belirleniyor diyebiliriz.
Ama kamudaki büyük ölçekli bilgi işlem organizasyonları dışında, bilişim personeli istihdamı için memur olması yetiyor. Başka bir şarta bakılmıyor ne yazık ki.
KPSS ile atanmışsa teknik hiçbir bilgisine bakılmıyor. Ama onun dışında sözleşmeli olarak girecekse; lisans mezunu olması, mühendislik fakültelerinden veya fakültelerden mezuniyeti, sektörde en az 3 veya 5 yıl tecrübeyi belgeliyor olabilmesi, çeşitli alanlarda ülkemizde ve dünyada geçerli olan sertifikalara sahip olması yeterlidir diyebiliriz.
12. BIGDES (Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi) nedir?
BIGDES; rehber kapsamındaki denetimlerin yapılıp denetim sonuçlarının yüklendiği online (çevrimiçi) bir sistemdir. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin bünyesinde, resmi bir web sayfası olarak yayın yapar. DGRNET BİGREY yazılımımız ile denetimi gerçekleştirdikten sonra, BIGDES’ e yüklenmesi gereken dokümanları istenen dosya formatlarında bir dakika içerisinde indirip, %100 uyumlu çok pratik bir şekilde BIGDES’ e yükleyebilirsiniz.
13. BIGDES ‘e aktarılacak değerlendirme sonuçları hangi formatta olmalıdır?
BIGDES‘e aktarılacak değerlendirme sonuçları, Excel, Word ve PDF formatlarındadır. DGRNET BIGREY yazılımımızda, ilgili dokümanları oluşturduktan sonra bu formatlarda indirme imkânı sağlanıyor.
14. BIGDES ‘e aktarılacak değerlendirmeler için denetleme ekibi kimlerden, hangi niteliklere sahip olarak seçilir?
BIGDES’e aktarılacak değerlendirmeler için denetim ekibi, kamu kurumlarında iç denetçiler varsa kamu iç denetçiliği sertifikasına sahip olurlar. İlgili kurumun kendi personeli olabilir ve denetimi kendi bünyelerinde de yapabiliyorlar. Ancak, teknik bilgiye sahip olmadıkları için bilgi işlem ile soru cevap şeklinde bu denetimi yapıyorlar.
Orada da denetim kılavuzundan yararlanıyorlar. İç denetimlerde, kendileri için hazırlanmış olan bir kılavuz var.
Bunun dışında ISO 27001 Baş Denetçilik Sertifikası ‘na sahip kişiler denetim yapabiliyor.
Özel sektörden hizmet alımı yoluyla denetim yapılacaksa, TSE tarafından D1- D2 sertifikalı kişiler denetim yapabiliyor.
15. Özellikle hangi kriterlerde değerlendirme ve denetim yapılır?
Kriterler denetim rehberinde (Bilgi ve İletişim Güvenliği Rehberi) belirtilir. Denetçiler, rehbere göre denetimlerini gerçekleştirirler. Her varlık grubundan, birer tane kritiklik seviyesi yüksek olanlar seçilir. Alt varlık grubu seçilir ve ona yönelik olarak, kurumların boşluk analizinde ortaya çıkan zafiyetleri, nasıl kapattıklarının denetimi yapılır.
16. Bilgi ve İletişim Güvenliği Denetim Rehberi, özellikle kurumların güvenliği açısından neden önemlidir?
Bilgi ve İletişim Güvenliği Denetim Rehberi, tüm bu bahsettiğimiz süreçlerin artık uygulanmaya başlandığında; neyin nasıl olduğunu görmek için yapılan denetimdir. Bu rehber de denetimle alakalı esasları içerir. Kurumların güvenliği açısından önemi de A’dan Z’ye bütün bilgi işlem operasyonlarını içeren çok detaylı bir rehber olmasıdır.
17. DGRNET, Bilgi ve İletişim Güvenliği Denetim Rehberi ile ilgili formların formatlarına uygun mu?
DGRNET, rehberle ilgili formların formatlarına %100 uyumludur.
BIGDES’e aktarılacak Excel, Word ve PDF formatlarının tümü, DGRNET BIGREY’ den Export ( dışa aktarım) şeklinde çıkartılabilir.
BIGDES tarafında bir değişiklik yapıldığında, anında DGRNET tarafında da bir güncelleme yapılarak sorunsuz bir denetim süreci yapılmış olur.
18. Bu formların BIGDES’e yüklenmesinden önce ne tip onay ve denetimlere tabi tutulması gerekiyor?
Denetçiler, denetimi yaptıktan sonra kendileri de denetim sonuçlarını BIGDES’e girebilir. Ayrıca, bilgi işlemden bir personel BIGDES için görevlendirildiyse, o da yükleyebilir.
Son onayı, kurumdaki üst yöneticilerden birisi BIGDES üzerinden yapabildiği için onay ve değerlendirmeyi de kendisi bakıp yapabilir.
19. DGRNET, bu formların hazırlanması sağladığı gibi iletimini de (BIGDES Entegrasyonu) sağlıyor mu?
Teknik özellikleri ve gelişmiş alt yapısı gereği, DGRNET bu formların yüklenmesinde bir entegrasyon sağlayabilir. Ancak BIGDES tarafı, sistem güvenliğini tehlikeye sokabileceği, zafiyete neden olabileceği nedeniyle dışarıdan 3.parti entegrasyonlara (API’s) izin vermiyor. Dolayısıyla biz yüklenmesi gereken; PDF, Word veya Excel dosyalarını %100 uyumlu bir formatta hazır hale getiriyoruz.
Bir tıkla sistemden Export (Dışa Aktarım) ediliyor ve BIGDES’e İmport (İçe Aktarım) ediliyor.
20. Kurum ve işletmelerin, ekstradan bilmesi ve dikkat etmesi gereken konular, durumlar nelerdir?
Aslında rehberi özümseyerek, başarılı bir rehber uyum ve denetim süreci geçirdiyse ekstra bir konu yoktur diyebiliriz. Hem planlama hem de uygulama aşamasında, danışmanlık desteği almak için bizlerle iletişime geçebilirler.
Bilgi ve İletişim Güvenliği Denetim Rehberi Planlama & Uygulama Danışmanlığı
Satış & Pazarlama departmanımız ile iletişime geçerek, hizmet konusunda tüm detaylara erişebilirsiniz.