DDO Uyum süreçlerinizi tek bir noktadan yönetin. Djital dönüşümünüzü tamamlayın.
DDO Bilgi ve İletişim Güvenliği Uyumluluk Yazılımı içerisinde varlık grupları tanımlanmaktadır. Varlık grupları için grup ismi, grup açıklaması, bağlı olduğu varlık ana grubu, gerçekleştirilecek ankete yönelik periyot ve ilk anket zamanı belirlenmektedir. Ankete katılacak katılımcılar ve ilgili varlık grubu kritiklik değerlendirmesine onay verecek yönetici tanımlanmaktadır. Yazılım tanımlı bilgilere göre otomatik olarak anket oluşturmakta ve varlık grubu kritiklik analizi çalışmasını başlatmaktadır.
Her bir varlık grubunun kritiklik derecesi, işlenen verinin gizlilik, bütünlük ve erişilebilirlik açısından kritikliği ile oluşabilecek güvenlik ihlallerinin etki alanları dikkate alınarak belirlenmelidir. Bu boyutlar dikkate alınarak gerçekleştirilen analizde DDO Bilgi ve İletişim Güvenliği Rehberinde sunulan EK-C.1 formu kullanılır. Her bir varlık grubu için bu anket formu uyumluluk yazılımı tarafından ilgili varlık grubunun kritiklik derecesi belirlenir. “Varlık Grubu Kritiklik Derecelendirme Anketi” olarak tanımlanan anket her bir varlık grubu özelinde rehber uyumluluk denetimi kapsamında kontrol edilir. İlgili varlık grubu için uygulanması gereken tedbir maddeleri, varlık grubu için belirlenmiş olan kritiklik derecesi göz önünde bulundurularak belirlenmelidir. Kritiklik derecesi tanımlanan her bir varlık grubu için kritiklik dereceleri ile uygulama ve teknoloji alanlarına yönelik güvenlik tedbirlerinin uygulanma durumlarının kayıt altına alındığı Bİlgi ve İletişim Güvenliği Rehberinde tanımlanan EK-C.2’de yer alan form doldurulur.EK-C.2’de yer alan formlar uyumluluk yazılımında hazır olarak bulunmaktadır.
Varlık gruplarının kritiklik dereceleri dikkate alınarak DDO Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5’te yer alan güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Varlık grupları için belirlenen tüm tedbirler ile ilgili mevcut durum analiz edilir ve varlık grubu mevcut durum analiz raporu hazırlanır. Mevcut durum analizi çalışmaları kapsamında teknik çalışma, toplantı, otomatik araç ile durum tespiti, dokümantasyon inceleme vb. faaliyetler gerçekleştirilebilir. Varlık grubuna bir tedbirin uygulanıp uygulanmadığı tespit edilirken öncelikle aşağıdaki sınıflandırmaya göre uygulama durumuna karar verilir ve mevcut durum ile ilgili açıklayıcı bilgi yazılır. Her bir varlık grubu için yapılan değerlendirmelerin Bilgi ve İletişim Güvenliği Rehberinde bulunan EK-C.3’te yer alan form ile kayıt altına alınması gereklidir. Form uyumluluk yazılımında hazır olarak bulunmaktadır.
Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır. Uygulama yol haritası yazılım üzerinde hazırlanabilir ve takibi gerçekleştirilebilir.Uygulama yol haritası kapsamında yapılan planlamalar Bilgi ve İletişim Güvenliği Rehberi EK-C.4’te yer alan form ile kayıt altına alınır. Form yazılım üzerinde hazır olarak bulunmaktadır.Kurum, boşluk analizi sonucunda uygulanması gereken ilave tedbirler kapsamındaki herhangi bir gereksinimi; üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı rehberde tanımlandığı şekli ile karşılayamaması durumunda telafi edici kontroller uygulayabilir. Telafi edici kontroller, yerine uygulandıkları tedbir maddeleri ile aynı amaç ve etkiye sahip olmaları durumunda kullanılabilir olarak kabul edilecektir. Uygulanmasına karar verilen her bir telafi edici kontrol Bilgi ve İletişim Güvenliği Rehberi EK-C.5’te yer alan form ile kayıt altına alınır.