EN
EN

Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı Hizmeti


Bilgi ve İletişim Güvenliği Rehberi (BİGRehber) nedir?

Siber Güvenlikte Büyük Adım!
Bilgi ve İletişim Güvenliği Rehberi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı tarafından siber saldırılara karşı ülkemizin mukavemetinin arttırılması, bilgi güvenliği ve siber güvenlikte ülke seviyesinin uluslararası platformda yükselmesi amacıyla, kamu kurum/kuruluşlarının ve kritik altyapıdaki işletmelerin uyması gereken tedbirleri içerir. Detaylar Rehber ve Denetim Rehberi dokümanlarından incelenebilir.
BİG Rehber Danışmanlığı
Neden Yaptırmalısınız?

Farklılıklarımız

BİGRehber Akreditasyonlarımız
Yetkin Denetim Ekibi
Yetkin Teknik Ekip
Regülasyon Denetim Tecrübeleri
BİGRehber Sunucu Kontrol Yazılımı
BİGRehber Varlık Grubu Yönetim Yazılımı
Farklı Ortamlarda Tecrübe
Teknik Analizler
Lisanslı Analiz Ürünleri
Dokümanların Güvenliği
Rehber Hazır, Doğru Rehberle Yola Çıkın!

BeyazNet’in 25+ yıllık iş tecrübesinde bilişim güvenliği ve bilişim güvenliğine destek olan alanlarda ilerledi. Tecrübe ve sertifikasyon olarak siber güvenlikte bilinen öncü firmalardandır

İhtiyaç duyulan alanlarda gerekli donanım ve yazılımlar alınmakta, ekibin kendilerini sürekli geliştirmeleri için yeni teknolojiler ve saldırı yöntemleri ile ilgili sürekli eğitim ve sertifika desteğin verilmektedir. Çok farklı sektörlerdeki yüzlerce kurumda, çok sayıda sistem üzerinde gerçekleştirilen başarılı çalışmaların tecrübesi yeni personellere de aktarılarak ekip büyütülmektedir.

BİG Rehber Danışmanlığı Aşamaları

Nereden Başlayacağımızı Biliyoruz.
1

Varlık Gruplarının Belirlenmesi ve Bu Grupların Kritiklik Derecelerinin Belirlenmesi

Rehber kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir.

Rehberde tanımlanan varlık grubu aşağıda belirtilen ana başlıklar altında listelenir:

  • Ağ ve Sistemler
  • Uygulamalar
  • Taşınabilir Cihaz ve Ortamlar
  • Nesnelerin İnterneti (IoT) Cihazları
  • Fiziksel Mekânlar
  • Personel

Varlık gruplarının belirlenmesinin ardından bu varlık gruplarının hangi kritiklik derecesine sahip olduğu belirlenir. Her bir varlık grubunun kritiklik derecesi, işlenen verinin gizlilik, bütünlük ve erişilebilirlik açısından kritikliği ile oluşabilecek güvenlik ihlallerinin etki alanları dikkate alınarak belirlenir.

2

Mevcut Durum ve Boşluk Analizi

Varlık gruplarının kritiklik dereceleri dikkate alınarak belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılır. Rehberde tanımlanan güvenlik tedbirleri aşağıda yer alan üç ana başlık altında sınıflandırılır.

  • Varlık gruplarına yönelik güvenlik tedbirleri
  • Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri
  • Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri
3

Rehber Uygulama Yol Haritasının Hazırlanması

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınarak planlama yapılır. Rehber uygulama yol haritası kapsamında yapılacak çalışmalar aşağıdaki şekilde gruplandırılabilir.

  • Yetkinlik kazanımı ve eğitimler
  • Ürün tedariki
  • Hizmet alımı
  • Danışmanlık
  • Geliştirme / yeniden geliştirme
  • Tasarlama / yeniden tasarlama
  • Sıkılaştırma
  • Sürüm güncelleme
  • Dokümantasyon
  • Kurumsal süreç iyileştirme
4

Bilgi ve İletişim Güvenliği Temel Prensiplerine Uyumluluk

Gerçekleştirilecek tüm çalışmalarda aşağıdaki yer alan temel prensipler dikkate alınır.

5

Rehber Uygulama Yol Haritasının İzlenmesi ve Kontrol Edilmesi

Uygulama yol haritasında yürütülen çalışmalar, planlanan hedeflerden sapmalar, sorun ve riskler, alınan önlemler hakkında bilgileri içeren yol haritası ilerleme raporları hazırlanır.

6

Bilgi ve İletişim Güvenliği Denetimi

Rehberin uygulanmasına ilişkin denetimler, gerekli mekanizmalar oluşturularak, yılda en az bir kez olmak üzere iç denetim yolu ile gerçekleştirilir.

7

Rehber ve Varlık Gruplarının Değişikliklerinin Yönetimi

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından rehberde yapılacak değişiklikler sürekli izlenerek kurum tarafından mevcut rehber uygulama yol haritası güncellenir veya yeni bir yol haritası hazırlanması için çalışmalar yürütülür. Kurumun varlık grupları ile uygulama ve teknoloji alanlarında oluşabilecek değişiklikler aşağıdaki başlıklar altında sürekli izlenmelidir.

  • Yeni varlık gruplarının oluşturulması
  • Varlık gruplarında yer alan varlıkların değişmesi
  • Mevcut varlık grupları yerine farklı varlık gruplarının tanımlanması
  • Varlık gruplarının kritiklik derecelerinin değişmesi
  • Varlık gruplarına uygulanacak uygulama ve teknoloji alanlarının değişmesi
  • Varlık gruplarını etkileyen mevzuat, standart veya ikincil düzenlemelerin değişmesi

Kurumsal ihtiyaçlar ve gelişmeler dikkate alınarak varlık grupları ile uygulama ve teknoloji ya da sıkılaştırma tedbirleri kapsamında gerçekleşecek bir değişiklik tespit edildiğinde tekrar planlama yapılarak yeni yol haritasının oluşturulması veya mevcut yol haritasının güncellenmesi yapılır.

Bizimle Daha Kolay!

TaliaOppy (Regülasyon Kontrol Yazılımı)

TaliaOppy ürünü sunucular üzerindeki BİG Rehber kontrollerini otomatik yaparak kontrollerin sağlıklı ve hızlı bir şekilde yapılmasını sağlar.

TaliaOppy ile
Diğer Yöntemler
Otomatik Tarama
Diğer YöntemlerManuel Tarama
Tek Uygulama ile farklı sistemlerin taranması
Diğer YöntemlerHer bir sistem için farklı bir araç, script ya da insan gücü kullanılması
Farklı web sunucuları (IIS, Apache, Tomcat, Nginx) tarama otomatik yapılıyor
Diğer YöntemlerFarklı web sunucuları (IIS, Apache, Tomcat, Nginx) tarama için yetkin personel bulmak gerekiyor
Farklı işletim sistemlerini (Windows, Debian, Ubuntu, Redhat, Centos) tarama otomatik yapılıyor
Diğer YöntemlerFarklı işletim sistemlerini (Windows, Debian, Ubuntu, Redhat, Centos) tarama için yetkin personel bulmak gerekiyor
Farklı veri tabanlarını (Oracle, MSSQL, MySQL, PostgreSQL) tarama otomatik yapılıyor
Diğer YöntemlerFarklı veri tabanlarını (Oracle, MSSQL, MySQL, PostgreSQL) tarama için yetkin personel bulmak gerekiyor
Vmware ESXI sanallaştırma platformunun otomatik analizi
Diğer YöntemlerVmware ESXI sanallaştırma platformunun analizi için ayrı uygulamalar
Hata (atlama) payı yok
Diğer YöntemlerHata (atlama) payı var
Tek tek BİGR maddelerine karşılık gelecek şekilde rapor üretme
Diğer YöntemlerFarklı ortamlardan bilgi toplama
Detaylı rapor
Diğer YöntemlerBasit rapor
500 sunucu için tüm sunucuları tarama yaklaşık 3 gün
Diğer Yöntemler500 sunucu için tüm sunucuları tarama yaklaşık 20 gün

VAYY (Varlık Grubu Yönetim Yazılımı)

BİG Rehber; varlıkların risklerini varlık grupları bazında yönetmektedir. Varlık grupları risk seviyesine göre ayrıştırılır ve her bir varlık grubu içinde çok sayıda denetim başlığı incelenir. Toplam 661 denetim başlığından ilgili varlık grubuna hangilerinin uygulanabileceğini belirlemek ve denetimleri yapmak çok vakit alan bir dokümantasyon süreci gerektirmektedir.

VAYY; varlık gruplarının belirlenmesi, risk seviyelerinin ölçülmesi ve ilgili denetim başlıklarının yönetimi için kolay bir arayüz sağlar.

VAYY ile
Diğer Yöntemler
Varlık Grupları için denetim tedbir maddeleri otomatik belirlenir
Diğer YöntemlerVarlık Grupları için denetim tedbir maddeleri tek tek genelde Excel ile yönetilir
Tedbir denetim maddelerinden uygulanabilir olmayanlar otomatik işaretlenir
Diğer YöntemlerTedbir denetim maddelerinden uygulanabilir olmayanlar tek tek denetçiler tarafından belirlenir
EK-C2 otomatik oluşturulur
Diğer YöntemlerEK-C2 tek tek manuel oluşturulur
EK-C3 otomatik oluşturulur
Diğer YöntemlerEK-C3 tek tek manuel oluşturulur
Varlık grubu kritiklik seviyesi belirleme anketi yazılım ile yönetilir
Diğer YöntemlerVarlık grubu kritiklik seviyesi belirleme anketi manuel yapılır
Tedbir maddeleri sadece ilgili denetçilere gösterilir
Diğer YöntemlerTedbir maddeleri denetçilere manuel ayrıştırılır

BİG Rehber Danışmanlığı

BeyazNet; bu kapsamda kamu kurum/kuruluşlarının ve kritik altyapıdaki işletmelerin Bilgi ve İletişim Güvenliği Rehberine tam uyumluluk sağlaması için gerekli danışmanlık hizmetini yetkin personeli ile sunmaktadır.

BeyazNet olarak bilgi ve iletişim güvenliği rehberine uyum sürecinden bilgi ve iletişim güvenliği denetim sürecine kadar her aşamada baş denetçi, denetçi, uzman mühendis ve hukuk kadromuzla yanınızdayız. Tedbirlerin uygulanması aşamasında ürün, danışmanlık, farkındalık ve bilinçlendirme eğitimleri, sızma testi, yük testi, sunucu denetimi, standart ve regülasyon uyumluluğu gibi geniş yelpazede hizmet vermekteyiz.

Neden Bilgi ve İletişim Güvenliği Rehberi (BİGR) Uyum Danışmanlığı hizmeti almalısınız?

Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.

Kurumlar rehber uygulama sürecini, yürüttükleri bilgi güvenliği yönetim süreçlerine entegre etmeli ve bilgi güvenliği risk yönetimi faaliyetleri kapsamında rehberde tanımlanan tedbirleri uygulamalıdır. Bu kapsamda devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmelere Bilgi ve İletişim Güvenliği Rehberine uyumluluk zorunlu kılınmıştır.

BİGRehber Akreditasyonlarımız

Firmamız TSE Onaylı BİG Rehber Denetim firmasıdır. Bünyesinde beş adet BİG Rehber Denetçi sertifikalı personel bulunmaktadır. Ayrıca aşağıdaki akreditasyonlara sahiptir.

  • TSE Onaylı BİG Rehber Denetim Firması
  • TSE Onaylı A Sızma Testi Firması
  • Siber Küme Üyesi
  • Nato Tesis Güvenlik Belgesi
  • Kalite Belgeleri (ISO 27001, ISO 9001, ISO 22302, ISO 20000-1)

Yetkin Denetim Ekibi

BeyazNet’in almış olduğu çok sayıda BGYS, KVKK, Cobit projelerini başarıyla tamamlamasını sağlayan yetkin ve tecrübeli bir Bilgi Sistemleri Denetim Ekibi bulunmaktadır. Bu ekip bünyesinde sertifikalı beş BİG Rehber Denetçi, yirmi beş 27001 Lead Auditor, bir DPO bulunmaktadır.

Yetkin Teknik Ekip

BİG Rehber hem regülasyon kontrollerini hem de teknik detay kontrolleri içermektedir. Bu nedenle BİG Rehber projelerini yapabilmek için denetim ekiplerinin yanında denetlenen her bir başlık için alanında uzman teknik ekiplere ihtiyaç vardır. 1995 yılında kurulan BeyazNet, 90 kişilik yetkin ekibi ile Bilişim Güvenliği, Network (Ağ), Yazılım, Linux, Açık Kaynak konularında hizmet vermektedir. Birçok Veri Merkezi, Bilişim Güvenliği Altyapısı, Yazılım ve Otomasyon projelerini başarı ile tamamlamıştır. BeyazNet bünyesinde BİG Rehber projelerinin her bir alt başlığında çalışan aşağıdaki ekipler bulunmaktadır.

  • Ağ (Network) Uzmanları
  • Ağ Güvenliği Uzmanları
  • Microsoft Sunucu Sistemleri Uzmanları
  • Linux Sunucu Sistemleri Uzmanları
  • Sızma Testi Uzmanları

Regülasyon Denetim Tecrübeleri

BeyazNet Geçmişte yaklaşık elli projede Cobit, ISO 27001, ISO 22301, TOGAF benzeri standartlarla ilgili danışmanlıklar vermiştir. Regülasyon boşluk analizleri ile teknik analizleri birleştiren Türkiye’deki tek çözüm Digital Maturity Assessment hizmeti BeyazNet tarafından onlarca kuruma verilmiştir. NIST CSF çerçevesi BeyazNet ekipleri tarafından tercüme edilerek tüm başlıklar çalışılmıştır. Ayrıca BeyazNet’in tamamlanmış BİGRehber Danışmanlığı referansı bulunmakta ve farklı sektörlerde çok sayıda danışmanlık projesi devam etmektedir.

BİGRehber Sunucu Kontrol Yazılımı

BeyazNet tarafından geliştirilen TaliaOppy Regülasyon Kontrol Yazılımı sunucular üzerinde yapılması gereken BİG Rehber kontrollerinin otomatik yapılmasını sağlamaktadır. Bu da kurumların çok vakit alarak yaptığı teknik kontrollerin çok kısa sürede yapılmasını sağlamaktadır.

Detay için >

BİGRehber Varlık Grubu Yönetim Yazılımı

BeyazNet tarafından BİG Rehber’e özel geliştirilen Varlık Grubu Yönetim yazılımı ile varlık grupları, varlık gruplarının kritiklik seviyeleri ve her bir varlık grubu için denetim başlıkları kolaylıkla yönetilebilmektedir.

Detay için >

Farklı Ortamlarda Tecrübe

BİG Rehber Danışmanlığı ve Denetimi konusunda farklı altyapılara ve disiplinlere sahip çok sayıda kurumda başarılı projeler gerçekleştirmiştir.

  • Üniversiteler
  • Savunma Sanayi Firması
  • Büyükşehir Belediyesi
  • İlçe Belediyesi
  • Kamu Kurumları

BİG Rehber Danışmanlık ve Denetim hizmeti referanslarımız gizlilik nedeniyle müşterilerimizden izin alınarak paylaşılmaktadır.

Teknik Analizler

BİG Rehber birçok teknik kontrol içermektedir. Microsoft Sunucular, Linux Sunucular, Veri tabanları, Web Sunucular, Mail sunucular, İletişim Protokolleri, Uzak Erişim Yöntemleri vb birçok başlık için istenen şartları sağlayabilmek için teknik kontroller gerekmektedir. Bu kontrollerin yapılabilmesi için aşağıdaki analizler uzman ekiplerimiz tarafından yapılmaktadır:

  • Network Analizi
  • Ayrıntılı Network Analizi
  • Network Trafiğinin İzlenmesi
  • Sunucuların Analizi
  • Sistem Odası Analizi
  • Siber Güvenlik Ürünleri Analizi
  • İçerik Tarama (Dosya Sunucu, DB)
  • Temel Zafiyet Taraması
  • SIEM Analizi
  • Siber Tehdit İstihbaratı
  • Veri Tabanı Analizi
  • Web Sitesi Analizi
  • ISO 27001 BGYS GAP Analizi
  • ISO 27701 & KVKK GAP Analizi

Lisanslı Analiz Ürünleri

Rehber denetim başlıklarında sadece soru sorarak analiz yapılmamakta çok sayıda ürün kullanılarak kontroller sağlanmaktadır:
Kullandığımız bazı ürünler:

  • TaliaOppy
  • Nessus
  • Netsparker
  • FortiDB
  • FortiAnalyser
  • FortiTester

Dokümanların Güvenliği

Bilgi ve İletişim Güvenliği Rehberi Uyum Danışmanlığı raporları kurumlar için risk oluşturabilecek çok gizli bilgiler içerir. Firmamızın raporların güvenli iletilmesi için şifreli rapor iletim altyapısı mevcuttur. Rapor erişimi ve dosya her zaman şifrelidir. Rapor linki mail ile, şifreler SMS ile iletilir. Tüm raporlar doğrulama testlerinden belirli bir süre sonra silinir. Uzmanlarımızın bilgisayarlarında çalıştığı aktif projeler dışında hiç bir dosya tutulmaz ve sistem sürekli denetlenir. Raporlar bizde de kalmadığı için kurum tarafından çok dikkatli bir şekilde tutulmalıdır.

Daha Fazlası İçin Bizimle İletişime Geçin