Esbilgi (Esmer Bilgi Teknolojileri) TSE tarafından TSE-STF-038 numaralı belge ile Sızma Testi Yapan Firma olarak yetkilendirilmiştir. Hizmetlerimiz hakkında daha detaylı bilgi almak için bize info@esbilgi.com e-posta adresinden veya 0 216 606 02 87 numaralı telefondan ulaşabilirsiniz.
EPDK Denetimine Hazırlık Hizmetlerimiz: Enerji Sektöründe Siber Güvenliğin Teminatı
Enerji Piyasası Düzenleme Kurumu (EPDK) denetimleri, enerji sektöründe faaliyet gösteren firmalar için stratejik bir öneme sahiptir. 13/07/2023 tarihli ve 11956 sayılı Kurul Kararı ile Resmi Gazete'de yayımlanan "Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları" bu denetimlerin kapsamını ve ciddiyetini açıkça ortaya koymaktadır. Bu Usul ve Esaslar, enerji sektöründe kullanılan Endüstriyel Kontrol Sistemlerinde (EKS) yetkisiz erişim veya hassas bilgilere ulaşılmasını önlemek, sistem sürekliliğini sağlamak amacıyla güvenlik açıklarının tespit edilip giderilmesini amaçlamaktadır.
EPDK Siber Güvenlik Denetimi Kimler İçin Zorunludur?
6/6/2023 tarihli ve 32213 sayılı Resmî Gazete’de yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’ne göre, aşağıdaki kuruluşlar siber güvenlik yetkinlik modeli denetimine tabidir:
- Elektrik Piyasası:
- Üretim lisansı sahibi tüzel kişilerden, yenilenebilir enerji kaynaklarına dayalı lisanssız elektrik üretim faaliyeti ve otoprodüktör lisansı sahibi olanlar hariç olmak üzere, kurulu gücü 100 MW ve üzerinde olan üretim tesislerini işleten tüzel kişiler.
- İletim lisansı sahibi tüzel kişiler.
- Dağıtım lisansı sahibi tüzel kişiler.
- Piyasa işletim lisansı sahibi tüzel kişiler.
- Üretim lisansı sahibi tüzel kişilerden, yenilenebilir enerji kaynaklarına dayalı lisanssız elektrik üretim faaliyeti ve otoprodüktör lisansı sahibi olanlar hariç olmak üzere, kurulu gücü 100 MW ve üzerinde olan üretim tesislerini işleten tüzel kişiler.
- Doğal Gaz Piyasası:
- İletim ve dağıtım lisansı sahibi tüzel kişiler.
- Sıkılaştırılmış doğal gaz (SDG) ve sıvılaştırılmış doğal gaz (LNG) depolama lisansı sahibi tüzel kişiler.
- Organize doğal gaz toptan satış piyasası işletim lisansı sahibi tüzel kişiler.
- İletim ve dağıtım lisansı sahibi tüzel kişiler.
- Petrol Piyasası:
- Rafinerici, taşıma ve boru hattı iletim lisansı sahibi tüzel kişiler.
- Rafinerici, taşıma ve boru hattı iletim lisansı sahibi tüzel kişiler.
- LPG Piyasası:
- İletim lisansı sahibi tüzel kişiler.
- İletim lisansı sahibi tüzel kişiler.
Şirket olarak, yukarıda belirtilen ve EPDK denetimine tabi olan tüm firmaların bu kritik denetimlere eksiksiz bir şekilde hazırlanması için kapsamlı ve mevzuata uygun hizmetler sunuyoruz. Hizmetlerimizin temelini, mevcut durumun detaylı analizi ve EPDK'nın belirlediği kapsam doğrultusunda özelleştirilmiş bir yol haritasının oluşturulması oluşturur.
Mevcut Durum Analizi ve Yol Haritası Oluşturulması
Amaç: Bu hizmetimizle, kuruluşunuzun "Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları"nda belirtilen EPDK gerekliliklerine ne düzeyde uyumlu olduğunu tespit etmeyi ve her bir başlık için size özel bir yol haritası hazırlamayı hedefliyoruz. Böylece denetim sürecine hazırlıklı ve stratejik bir yaklaşımla girmenizi sağlıyoruz.
Teslimatlar:
- Mevcut Durum Analiz Raporu: Kuruluşunuzun mevcut durumunu detaylı bir şekilde ortaya koyan, EPDK Usul ve Esasları çerçevesinde değerlendirilmiş bir rapor sunuyoruz.
- EPDK Uyum Durumu: EPDK denetim başlıkları altında (EKS ağının ve mimari yapının incelenmesi analizi , sosyal mühendislik testleri , zafiyet tarama analizi , zararlı yazılım analizi , kablosuz ağ ve bileşenleri testleri , sömürü testleri gibi), madde madde uyum durumunuzu belirtiyoruz.
- Kritik ve Öncelikli Alanların Belirlenmesi: Risk bazlı bir yaklaşımla, EPDK'nın belirttiği "acil, kritik, yüksek, orta ve düşük" önem derecelerine göre, denetim öncesinde öncelik verilmesi gereken kritik alanları tespit ediyoruz.
- Detaylı Yol Haritası: Aşağıdaki bilgileri içeren kapsamlı bir yol haritası sunuyoruz:
- Hangi denetim başlığında ne gibi eksiklikler bulunduğu (örneğin, "Erişim Kontrolü Politikası" eksikliği).
- Bu eksikliklerin giderilmesi için ne gibi ihtiyaçların olduğu.
- Hangi birimin veya kişilerin sorumlu olduğu.
- Önerilen zaman planı.
Örnek Uygulama (EPDK Kapsamına Göre Detaylandırılmış):
Denetim Başlığı: Erişim Kontrolü Politikası (EKS Ağının ve Mimari Yapının İncelenmesi Analizi kapsamında)
Mevcut Durum: Kurumunuza ait sistemlerde erişimlerin nasıl yönetileceğine dair yazılı bir Erişim Kontrol Politikası bulunmamaktadır. Kullanıcı yetkilendirme süreçleri, personel inisiyatifine bağlı olarak yürütülmektedir. Ayrıca, mevcut erişim izinlerinin "bilmesi gereken prensibine" uygunluğu denetlenmemiştir.
Çıktı ve Öneri:
- Öncelikle yazılı bir Erişim Kontrol Politikası oluşturulmalıdır.
- Erişim kontrolü kapsamında kullanıcı rolleri, sistem türleri (örneğin; ERP, e-posta, SCADA) ve yetkilendirme düzeyleri detaylı olarak belirlenmelidir.
- Kurum içi mevcut uygulamalar, dış kaynaklı erişimler (örneğin; bakım firması), geçici erişimler ve uzak bağlantılar gibi farklı erişim senaryoları bu politikada ayrı ayrı ele alınmalıdır.
- Yetkili hesap yönetiminde, EKS'de kullanılmakta olan hesapların yetkilendirmesi, parola yönetimi ve "bilmesi gereken prensibinin" uygulanıp uygulanmadığı denetlenmeli ve eksiklikler giderilmelidir.
Bu yaklaşımımızla, EPDK'nın zorunlu kıldığı denetime yönelik hazırlık sürecinizi daha düzenli, kapsamlı ve etkili hale getiriyoruz. Unutulmamalıdır ki, işletmeye yeni başlayacak kuruluşlar faaliyete geçtikten sonra on sekiz ay içerisinde, mevcut kuruluşlar ise en geç üç yılda bir bu testleri yaptırmakla yükümlüdür. Ayrıca, bu Usul ve Esasların yürürlüğe girdiği tarihten itibaren yirmi dört ay içerisinde EKS üzerinde güvenlik analizleri ve testleri yaptırılması gerekmektedir. EPDK tarafından talep edildiği takdirde, güvenlik analiz ve test sonuçlarının yer aldığı rapor kuruma sunulmak üzere saklanmalıdır.
Referanslarımız
