Professional Documents
Culture Documents
Ek-C.1: Varlik Grubu Kritiklik Derecelendirme Anketi: Varlık Grupları Tanımlanırken Dikkat Edilecek Hususlar
Ek-C.1: Varlik Grubu Kritiklik Derecelendirme Anketi: Varlık Grupları Tanımlanırken Dikkat Edilecek Hususlar
1. Ağ ve Sistemler
2. Uygulamalar
3. Taşınabilir Cihaz ve Ortamlar
4. IoT Cihazları
5. Personel
6. Fiziksel Mekânlar
Aşağıda varlık grubu ana başlıkları altında bulunabilecek varlıklara örnekler verilmektedir. Varlık grubu ana
başlıkları altında yer alan varlıklar gruplandırılarak bir veya daha fazla sayıda varlık grupları tanımlanmalıdır. Bu
kapsamda varlık grubunda yer alan varlıkların envanteri yönetilmelidir. Tüm varlıkların en az bir varlık grubunda
yer alması sağlanmalıdır.
Ağ ve Sistemler:
o Ağ: Yönlendirici, modem, gateway, kablosuz erişim noktası, ağ erişim kontrol cihazı, 3G
haberleşme cihazları, sanal ağ, iç ağ, internet ağı vb.
o BT Sistemleri: Kullanıcı bilgisayarları, sunucular, güvenlik duvarları, saldırı tespit/önleme
sistemleri vb.
o OT Sistemleri: SCADA sistemleri, RTU (Uzak Terminal Birimi) ve PLC (Programlanabilir
Mantıksal Kontrolör) vb.
Uygulamalar: Personel yazılımı, EBYS, kurum içi portal, e-Devlet uygulaması, ana hizmet uygulaması vb.
Taşınabilir Cihaz ve Ortamlar: Kurum bilgisine erişebilen akıllı telefon, tablet, dizüstü bilgisayar, USB
bellek, taşınabilir sabit disk, CD/DVD vb.
Nesnelerin İnterneti (IoT) Cihazları: Kamera, sensör (nem, gaz, sıcaklık) vb.
Personel: Üst yöneticiler, idari yöneticiler, sistem yöneticileri, yazılım geliştiriciler, son kullanıcılar,
altyüklenici personeli vb.
Fiziksel Mekânlar: Merkez veri merkezi, felaket kurtarma merkezi, taşra veri merkezi, personel odası,
yönetici odası, kat anahtarlarının (switch) bulunduğu odalar vb.
1
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ
Ankette her bir soru için sadece bir şık işaretlenebilir. Sorular, varlık grubu içerisinde yer alan en kritik ve en
etkili varlık dikkate alınarak yanıtlanmalıdır. Soruların Kurumunuzla ilişkili birden fazla doğru cevabı varsa en
yüksek puanlı olan şık seçilmelidir. Cevaplandırdığınız her seçeneğin gerekçesi de ayrıntılı olarak yazılmalıdır.
2
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ
Toplumsal Sonuçlar:
5. Varlık grubunuzda yer alan varlıklar üzerinde gizlilik, bütünlük ve erişilebilirlik boyutlarının tamamını
etkileyecek, olası en kötü senaryoya sahip bir bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılan
durum aşağıdaki sonuçlardan hangisine yol açar?
a. Toplumsal kargaşa olmaz, yazılı görsel basına intikal etmez.
b. Toplumsal kargaşa olmaz, fakat olay yazılı görsel basına intikal eder.
c. Toplumsal kargaşa meydana gelir.
d. Can kaybı meydana gelir.
e. Diğer (a, b, c, d seçeneklerinden daha yüksek etkili bir sonuç doğurması durumu)
Kurumsal Sonuçlar:
6. Varlık grubunuzda yer alan varlıklar üzerinde gizlilik, bütünlük ve erişilebilirlik boyutlarının tamamını
etkileyecek, olası en kötü senaryoya sahip herhangi bir bilgi güvenliği ihlal olayı olduğunda söz konusu
olayın Kuruma etkisi ne olur?
a. Kuruma etkisi olmaz, Kurum mevcut organizasyonu ve itibarını devam ettirir.
b. Kurumun itibarı olumsuz etkilemez, fakat bilgi güvenliği organizasyon yapısını etkiler ya da
personel değişikliğine gidilir.
c. Kurumun itibarı olumsuz etkilenir.
Sektörel Etki:
7. Varlık grubunun hizmet verdiği sektöre etkisi nedir?
a. Varlık grubu kurumun ana fonksiyonuna/sektöre doğrudan hizmet vermemektedir.
b. Kamu kurum ve kuruluşları ana fonksiyonlarını yerine getirir ve sektöre doğrudan hizmet eder.
c. Düzenleyici ve denetleyici kurum ve kuruluşlar, büyük ölçekli sanayi ve ticari kurumlar, AR-GE
kurumlarının ana fonksiyonlarını yerine getirir ve sektöre doğrudan hizmet eder.
d. Enerji, su yönetimi, bankacılık ve finans, ulaştırma, elektronik haberleşme, sağlık ve milli
güvenlik/savunma sektörlerindeki ana fonksiyonlardan birini yerine getirir ve sektöre
doğrudan hizmet eder.
Bağımlı Varlıklar:
8. Diğer varlıkların (entegre olan diğer yazılımlar, sunucular vb.) yönetiminizdeki varlığa olan bağımlılığı
göz önünde bulundurulduğunda, varlığınızın işlediği verinin (uygulanabilir durumlarda) gizlilik,
bütünlük veya erişilebilirliğine zarar gelmesi durumunda;
a. Bağımlılığı olan varlıkların çalışması etkilenmez.
b. Bağımlı varlıkların çalışmasını etkileyecek zararlar oluşur ancak ana faaliyet devam eder.
c. Bağımlı varlıkların çalışmasını etkileyecek zararlar oluşur ve ana faaliyette aksamalar meydana
gelir.
d. Bağımlı varlıkların çalışmasını etkileyecek zararlar oluşur ve ana faaliyet durur.
e. Diğer (a, b, c, d seçeneklerinden daha yüksek etkili bir sonuç doğurması durumu)
3
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ
Anket Özeti
Varlık Grubu No / Adı:
a) Anket çalışmasına katılan ve anketi dolduran kişilerle ilgili bilgiyi aşağıdaki tabloya yazınız.
b) Her soru için anket cevaplarını aşağıdaki tabloya işaretleyerek anket puanını hesaplayınız.
Şıkların Puanları
Soru Soru
Boyut
No. Puanı
a b c d e
4
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ
5
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ
c) Her soru için işaretlediğiniz cevap şıkkını, olası senaryoyu da belirterek, gerekçelendiriniz.
Soru
Açıklama/Gerekçe
No.
6
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ
d) Anket puanına göre varlık grubunun kritiklik derecesini aşağıdaki tablodan faydalanarak
belirleyiniz.
e) Varlık Grubu için Kritiklik Derecelendirme Anketi sonuçlarını aşağıdaki tabloda özetleyiniz.