BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

EK-C.1: VARLIK GRUBU KRİTİKLİK DERECELENDİRME ANKETİ

Bu anket, Rehber’de yer alan varlık grubu ana başlıkları altında yer alan ve Kurum tarafından belirlenen tüm
varlık grupları için tek tek doldurulmalıdır.

Varlık Grupları Tanımlanırken Dikkat Edilecek Hususlar:

Kurum bilgi güvenliği yönetim sistemi kapsamında yer alan varlıkların, aşağıda listelenen altı varlık grubu ana
başlığı altında gruplandırılması gerekmektedir.

1. Ağ ve Sistemler
2. Uygulamalar
3. Taşınabilir Cihaz ve Ortamlar
4. IoT Cihazları
5. Personel
6. Fiziksel Mekânlar

Aşağıda varlık grubu ana başlıkları altında bulunabilecek varlıklara örnekler verilmektedir. Varlık grubu ana
başlıkları altında yer alan varlıklar gruplandırılarak bir veya daha fazla sayıda varlık grupları tanımlanmalıdır. Bu
kapsamda varlık grubunda yer alan varlıkların envanteri yönetilmelidir. Tüm varlıkların en az bir varlık grubunda
yer alması sağlanmalıdır.

 Ağ ve Sistemler:
o Ağ: Yönlendirici, modem, gateway, kablosuz erişim noktası, ağ erişim kontrol cihazı, 3G
haberleşme cihazları, sanal ağ, iç ağ, internet ağı vb.
o BT Sistemleri: Kullanıcı bilgisayarları, sunucular, güvenlik duvarları, saldırı tespit/önleme
sistemleri vb.
o OT Sistemleri: SCADA sistemleri, RTU (Uzak Terminal Birimi) ve PLC (Programlanabilir
Mantıksal Kontrolör) vb.
 Uygulamalar: Personel yazılımı, EBYS, kurum içi portal, e-Devlet uygulaması, ana hizmet uygulaması vb.
 Taşınabilir Cihaz ve Ortamlar: Kurum bilgisine erişebilen akıllı telefon, tablet, dizüstü bilgisayar, USB
bellek, taşınabilir sabit disk, CD/DVD vb.
 Nesnelerin İnterneti (IoT) Cihazları: Kamera, sensör (nem, gaz, sıcaklık) vb.
 Personel: Üst yöneticiler, idari yöneticiler, sistem yöneticileri, yazılım geliştiriciler, son kullanıcılar,
altyüklenici personeli vb.
 Fiziksel Mekânlar: Merkez veri merkezi, felaket kurtarma merkezi, taşra veri merkezi, personel odası,
yönetici odası, kat anahtarlarının (switch) bulunduğu odalar vb.

1
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Anket Doldurulurken Dikkat Edilecek Hususlar

Anket, ilgili varlık grubuyla alakalı paydaşların, Kurumun sahip olduğu en yetkin personelin ve yöneticilerin
katılımı ile doldurulur. Anket doldurma çalışmasında delfi metodunun kullanılması önerilir.

Ankette her bir soru için sadece bir şık işaretlenebilir. Sorular, varlık grubu içerisinde yer alan en kritik ve en
etkili varlık dikkate alınarak yanıtlanmalıdır. Soruların Kurumunuzla ilişkili birden fazla doğru cevabı varsa en
yüksek puanlı olan şık seçilmelidir. Cevaplandırdığınız her seçeneğin gerekçesi de ayrıntılı olarak yazılmalıdır.

Varlık Grubu No / Adı:

Varlık Grubu için Anket Soruları
A) Varlık Grubunun İşlediği Veri Açısından Değerlendirilmesi
Gizlilik Boyutu:
1. Varlık grubunuzun işlediği en kritik bilginin açığa çıkması veya yetkisiz kişiler tarafından ele geçirilmesi
durumunda;
a. Herhangi bir zarar oluşmaz, Kurum ve kişiler işlerine devam edebilir.
b. Kurumun ya da ilgili kişilerin işlerini ve çıkarlarını etkileyecek zararlar gelir.
c. Milli güvenlik ve ulusal çıkarlara saygınlık anlamında zararlar gelir. Söz konusu zararın telafisi
mümkündür.
d. Milli güvenlik ve ulusal çıkarlara yaşamsal zararlar gelir. Söz konusu zararın telafisi mümkün
olamaz.
Bütünlük Boyutu:
2. Varlık grubunuzun işlediği en kritik bilginin içeriğinin yetkisiz kişiler tarafından değiştirilmesi
durumunda;
a. Herhangi bir zarar oluşmaz. Kurum ve kişiler işlerine devam edebilir.
b. Kurumun ya da ilgili kişilerin işlerini ve çıkarlarını etkileyecek zararlar gelir.
c. Milli güvenlik ve ulusal çıkarlara saygınlık anlamında zararlar gelir. Söz konusu zararın telafisi
mümkündür.
d. Milli güvenlik ve ulusal çıkarlara yaşamsal zararlar gelir. Söz konusu zararın telafisi mümkün
olamaz.
Erişilebilirlik Boyutu:
3. Varlık grubunuzdaki varlıklara bağımlılığı bulunan hizmetlerde, hizmetin en yoğun olarak kullanıldığı
periyodu göz önünde bulundurduğunuzda en fazla tolere edebildiğiniz devre dışı kalma süresi nedir?
a. 24 (yirmi dört) saatten fazla
b. 8 (sekiz) – 24 (yirmi dört) saat arası
c. 1 (bir) – 8 (sekiz) saat arası
d. 1 (bir) saatten az
B) Varlık Grubunun Etki Alanı Açısından Değerlendirilmesi
Etkilenen Kişi Sayısı:
4. Varlık grubunuzda yer alan varlıklar üzerinde gizlilik, bütünlük ve erişilebilirlik boyutlarının tamamını
etkileyecek, olası en kötü senaryoya sahip bir bilgi güvenliği ihlal olayı meydana geldiğinde doğrudan
etkilenebilecek kişi sayısı;
a. Binden azdır.
b. Binden fazla, 10 binden azdır.
c. 10 binden fazla, 100 binden azdır.
d. 100 binden fazla, 1 milyondan azdır.
e. 1 milyondan fazladır.

2
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Toplumsal Sonuçlar:
5. Varlık grubunuzda yer alan varlıklar üzerinde gizlilik, bütünlük ve erişilebilirlik boyutlarının tamamını
etkileyecek, olası en kötü senaryoya sahip bir bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılan
durum aşağıdaki sonuçlardan hangisine yol açar?
a. Toplumsal kargaşa olmaz, yazılı görsel basına intikal etmez.
b. Toplumsal kargaşa olmaz, fakat olay yazılı görsel basına intikal eder.
c. Toplumsal kargaşa meydana gelir.
d. Can kaybı meydana gelir.
e. Diğer (a, b, c, d seçeneklerinden daha yüksek etkili bir sonuç doğurması durumu)
Kurumsal Sonuçlar:
6. Varlık grubunuzda yer alan varlıklar üzerinde gizlilik, bütünlük ve erişilebilirlik boyutlarının tamamını
etkileyecek, olası en kötü senaryoya sahip herhangi bir bilgi güvenliği ihlal olayı olduğunda söz konusu
olayın Kuruma etkisi ne olur?
a. Kuruma etkisi olmaz, Kurum mevcut organizasyonu ve itibarını devam ettirir.
b. Kurumun itibarı olumsuz etkilemez, fakat bilgi güvenliği organizasyon yapısını etkiler ya da
personel değişikliğine gidilir.
c. Kurumun itibarı olumsuz etkilenir.
Sektörel Etki:
7. Varlık grubunun hizmet verdiği sektöre etkisi nedir?
a. Varlık grubu kurumun ana fonksiyonuna/sektöre doğrudan hizmet vermemektedir.
b. Kamu kurum ve kuruluşları ana fonksiyonlarını yerine getirir ve sektöre doğrudan hizmet eder.
c. Düzenleyici ve denetleyici kurum ve kuruluşlar, büyük ölçekli sanayi ve ticari kurumlar, AR-GE
kurumlarının ana fonksiyonlarını yerine getirir ve sektöre doğrudan hizmet eder.
d. Enerji, su yönetimi, bankacılık ve finans, ulaştırma, elektronik haberleşme, sağlık ve milli
güvenlik/savunma sektörlerindeki ana fonksiyonlardan birini yerine getirir ve sektöre
doğrudan hizmet eder.
Bağımlı Varlıklar:
8. Diğer varlıkların (entegre olan diğer yazılımlar, sunucular vb.) yönetiminizdeki varlığa olan bağımlılığı
göz önünde bulundurulduğunda, varlığınızın işlediği verinin (uygulanabilir durumlarda) gizlilik,
bütünlük veya erişilebilirliğine zarar gelmesi durumunda;
a. Bağımlılığı olan varlıkların çalışması etkilenmez.
b. Bağımlı varlıkların çalışmasını etkileyecek zararlar oluşur ancak ana faaliyet devam eder.
c. Bağımlı varlıkların çalışmasını etkileyecek zararlar oluşur ve ana faaliyette aksamalar meydana
gelir.
d. Bağımlı varlıkların çalışmasını etkileyecek zararlar oluşur ve ana faaliyet durur.
e. Diğer (a, b, c, d seçeneklerinden daha yüksek etkili bir sonuç doğurması durumu)

3
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Anket Özeti
Varlık Grubu No / Adı:
a) Anket çalışmasına katılan ve anketi dolduran kişilerle ilgili bilgiyi aşağıdaki tabloya yazınız.

No. Anket Katılımcısı Görevi / Unvanı Birimi / Kurumu İrtibat Tarih

b) Her soru için anket cevaplarını aşağıdaki tabloya işaretleyerek anket puanını hesaplayınız.

Şıkların Puanları
Soru Soru
Boyut
No. Puanı
a b c d e

İşlenen Veri Açısından

Gizlilik 1 1 puan 2 puan 3 puan 5 puan

Bütünlük 2 1 puan 2 puan 3 puan 5 puan

Erişilebilirlik 3 1 puan 2 puan 3 puan 5 puan

Etki Alanı Açısından

Etkilenen Kişi Sayısı 4 1 puan 2 puan 3 puan 4 puan 5 puan

Toplumsal Sonuçlar 5 1 puan 2 puan 3 puan 5 puan 6 puan

Kurumsal Sonuçlar 6 1 puan 2 puan 3 puan

Sektörel Etki 7 1 puan 2 puan 3 puan 5 puan

Bağımlı Varlıklar 8 1 puan 2 puan 3 puan 5 puan 6 puan

4
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Anket Puanı (Tüm soruların puanlarının toplamı)

5
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

c) Her soru için işaretlediğiniz cevap şıkkını, olası senaryoyu da belirterek, gerekçelendiriniz.
Soru
Açıklama/Gerekçe
No.

6
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

d) Anket puanına göre varlık grubunun kritiklik derecesini aşağıdaki tablodan faydalanarak
belirleyiniz.

Anket Puanı Varlık Grubu Kritiklik Derecesi

Anket puanı 18’den küçük ise Derece 1

Anket puanı 18 (dâhil) ile 28 arasında ise Derece 2

Anket puanı 28 ve daha yüksek ise Derece 3

e) Varlık Grubu için Kritiklik Derecelendirme Anketi sonuçlarını aşağıdaki tabloda özetleyiniz.

Varlık Grubu No/Adı

Anket Tamamlanma Tarihi

Anket Çalışması Koordinatörü

Anket Puanı (Tüm soruların puanlarının

toplamı)
Derece 1 Derece 2 Derece 3
Varlık Grubu Kritiklik Derecesi
⃝ ⃝ ⃝

f) Anket sonuçlarını onaylayan yetkililerin bilgilerini yazınız.

Anket Sonucu Onay Tarihi

Anket Sonuçlarını Onaylayan Yetkili

Anket Sonuçlarını Onaylayan Yetkilinin

İmzası