EPDK Siber Güvenlik Yetkinlik Modeli

EPDK Siber Güvenlik Olgunluk Modeli Ynetmeliği

Enerji sektrünün siber güvenliğini sağlamak, hem ulusal security hem de ekonomik istikrar açısından büyük nem taşımaktadır. Gelişen teknoloji ile birlikte siber tehditlerin çeşitlenmesi ve artması, enerji sektründeki firmaların securitylerini sürekli olarak gzden geçirmelerini ve güncellemelerini gerektirmektedir. EPDK (Enerji Piyasası Düzenleme Kurumu) tarafından geliştirilen Siber Güvenlik Olgunluk Modeli, bu ihtiyacı karşılamak amacıyla oluşturulmuştur.

Amaç

Bu ynetmeliğin amacı, enerji sektründe kullanılan endüstriyel kontrol sistemlerinin (EKS) siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere gre iyileştirmek, minimum kabul edilebilir security seviyesini tanımlamak ve siber dayanıklılığı ve olgunluğu sağlamaktır.

Kapsam

Ynetmelik, elektrik iletim lisansı sahipleri, elektrik dağıtım lisansı sahipleri, kurulu gücü 100 MWe ve üzeri olan elektrik üretim tesisleri sahipleri, doğal gaz iletim lisansı sahipleri, doğal gaz dağıtım ve depolama lisansı sahipleri, ham petrol iletim lisansı sahipleri ve rafinerici lisansı sahiplerini kapsar. Bu kuruluşların endüstriyel kontrol sistemlerinin güvenliği ve güvenilirliğinin sağlanması için uygulanacak usul ve esasları belirler.

Hukuki Dayanak

Ynetmelik, 4628 sayılı Enerji Piyasası Düzenleme Kurumunun Teşkilat ve Grevleri Hakkında Kanun ve Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’na dayanılarak hazırlanmıştır.

Tanımlar ve Kısaltmalar

Ynetmelikte geçen bazı temel tanımlar:

  • Başkan: Enerji Piyasası Düzenleme Kurumu Başkanı.
  • Bilgi ve Contact Güvenliği Rehberi: Cumhurbaşkanlığı Dijital Dnüşüm Ofisi tarafından hazırlanan, kamu kurum ve kuruluşları ile kritik altyapıların uyması gereken bilişim güvenliği tedbirlerini içeren rehber.
  • EKS: Enerji üretimi, iletimi ve dağıtımını izleyen ve yneten sistemler (SCADA, DKS, APC, PLC, RTU vb.).

Olgunluk Modelinin Geliştirilme Sebebi

Enerji sektrü, ulusal security ve ekonomik istikrar için kritik neme sahiptir. Bu sektrde meydana gelebilecek bir siber saldırı, geniş çaplı enerji kesintilerine, ekonomik zararlara ve toplumsal huzursuzluklara yol açabilir. EPDK Siber Güvenlik Olgunluk Modeli, bu riskleri en aza indirmek ve enerji sektrünün siber dayanıklılığını artırmak amacıyla geliştirilmiştir.

Olgunluk Modelinin Faydaları

Olgunluk modeli, enerji sektründeki firmalar için birçok fayda sağlar:

  1. Güvenlik Seviyesinin Artırılması: Firmalar, mevcut security seviyelerini değerlendirerek iyileştirmeler yapabilir ve siber tehditlere karşı daha dirençli hale gelebilir.
  2. Düzenleyici Uyum: Firmalar, ulusal ve uluslararası düzenlemelere uyum sağlayarak yasal yükümlülüklerini yerine getirebilirler.
  3. Operational Continuity: Güçlü siber security nlemleri sayesinde, operasyonel aksaklıklar en aza indirilir ve hizmet sürekliliği sağlanır.
  4. Güven Artışı: Güvenliğe yapılan yatırımlar, paydaşların ve müşterilerin firmaya duyduğu güveni artırır.
  5. Competitive Advantage: Siber securityteki olgunluk, firmalara rekabet avantajı sağlar ve sektrdeki liderlik konumlarını güçlendirir.

Olgunluk Modeli Ana Controlleri

  1. Endüstriyel Ağ Güvenliği: Yerel ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği ve entegrasyon güvenliği.
  2. Endüstriyel İstemci ve Sunucu Güvenliği: İstemci ve sunucuların mantıksal ve fiziksel güvenliği.
  3. Endüstriyel Tehdit ve Zafiyet Ynetimi: Tehdit ve zafiyet ynetimi kontrolleri.
  4. Endüstriyel Siber Güvenlik Risk Ynetimi: Risk ynetimi kontrolleri.
  5. Endüstriyel Varlık Değişim ve Konfigürasyon Ynetimi: Varlık ynetimi, bileşen değişim ve konfigürasyon kontrolleri.
  6. Endüstriyel Kimlik ve Erişim Ynetimi: Kimlik doğrulama ve kimlik ynetimi.
  7. Endüstriyel Olay Ynetimi ve Süreklilik: Olay ynetimi, süreklilik ve yedeklilik kontrolleri.
  8. Akıllı Cihaz Güvenliği: Sayaç ve IoT security kontrolleri.
  9. Endüstriyel Operasyon Güvenliği: Operasyon güvenliği kontrolleri.
  10. İnsan Kaynakları Güvenliği: Personel security kontrolleri.
  11. Fiziksel Güvenlik: Fiziksel ortamların security kontrolleri.
  12. Tedarikçi Ynetimi: Tedarikçilere ilişkin siber security kontrolleri.
  13. PLC Güvenliği: PLC security kontrolleri.

Olgunluk Seviyeleri

Olgunluk modeli, üç temel olgunluk seviyesinden oluşur:

  1. Seviye 1: Giriş seviyesi kontroller.
  2. Seviye 2: İkinci aşama kontroller.
  3. Seviye 3: Üçüncü seviye kontroller.
  4. Ek Control: Uygulanması zorunlu olmayan, faydalı kontroller.

Sektrel Kritiklik Derecesi Belirleme

Kuruluşların zorunlu kontrol maddeleri, sektrel kritiklik derecelerine gre belirlenir. Elektrik dağıtım sektrü için minimum seviye 2, doğal gaz dağıtım sektrü için minimum seviye 1 olarak belirlenmiştir. Kritiklik dereceleri A, B ve C sınıfı olarak sınıflandırılır.

Uygulama ve Uyumluluk

Kuruluşların olgunluk modeli uygulama yükümlülükleri, kritiklik dereceleri belirlenip tebliğ edildikten sonra başlar. Uyumluluk değerlendirmesi tam uyum, kısmen uyum, uyumsuz ve uygulanabilir değil olarak sınıflandırılır.

Denetim

Uyumluluk üç aşamada denetlenir:

  1. Öz Denetim/Fark Analizi: Kuruluşların kendi iç denetimlerini gerçekleştirmeleri.
  2. Sektrel Denetim: Bağımsız firmalar tarafından gerçekleştirilen denetimler.
  3. Kurum Denetimleri: EPDK’nın kendi denetimlerini gerçekleştirmesi.

Denetçi Firma ve Personel Yetkinlikleri

Denetim yapacak firmaların ve personelin yetkinlikleri, Bilgi ve Contact Güvenliği Denetim Rehberi ve Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimlerine dayalı olarak belirlenir.

Yaptırımlar

Yükümlülüklerini yerine getirmeyen kuruluşlar hakkında ilgili kanunlar uygulanır.

Yürürlük ve Yürütme

Bu Ynetmelik yayımı tarihinde yürürlüğe girer ve Enerji Piyasası Düzenleme Kurumu Başkanı tarafından yürütülür.

Secure Fors Siber Güvenlik Çzümleri

Enerji sektründeki firmalar için EPDK Siber Güvenlik Olgunluk Modeline uyum sağlamak, security seviyelerini artırmak ve düzenleyici gereksinimlere uyum sağlamak için kritik neme sahiptir. Secure Fors olarak, bu konuda consulting hizmetleri sunuyoruz. Firmaların siber security olgunluk seviyelerini artırmaları, security açıklarını kapatmaları ve sürdürülebilir bir security yapısı kurmaları için profesyonel destek sağlıyoruz. Daha fazla bilgi için bizimle iletişime geçebilirsiniz:

📞 0850 305 4223

🌐 www.securefors.com

📩 bilgi@securefors.com

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram