Avrupa A\u011f ve Bilgi Güvenli\u011fi Ajans\u0131 (“ENISA”), 13 Eylül 2021 tarihinde sektörel çok payda\u015fl\u0131 bili\u015fim ve ileti\u015fim teknolojileri (“ICT”) sistemlerinin siber güvenlik sertifikasyonu için bir Sektörel Siber Güvenlik De\u011ferlendirmeleri Metodolojisi (“SCSA Metodolojisi”) yay\u0131mlam\u0131\u015ft\u0131r. ENISA, özellikle, SCSA Metodolojisi’nin, sektörel ICT altyap\u0131lar\u0131 ve ekosistemleri için Avrupa Birli\u011fi (“AB”) siber güvenlik sertifikasyon planlar\u0131n\u0131n haz\u0131rlanmas\u0131n\u0131 sa\u011flamak amac\u0131yla geli\u015ftirildi\u011fini belirtmi\u015ftir. SCSA'n\u0131n, özellikle ICT uzmanlar\u0131, ICT güvenlik uzmanlar\u0131 ve sektörel çok payda\u015fl\u0131 sistemlerden sorumlu karar vericiler ve tedarikçiler olmak üzere uzman düzeyinde bir izleyici kitlesini hedefledi\u011fi ve ilgili pazar sektörlerinin örneklerinin mobil a\u011flar\u0131, elektronik kimlik, elektronik sa\u011fl\u0131k hizmetleri, ödemeler, hizmet olarak mobilite, otomotiv ve 5G'yi içerdi\u011fi vurgunlam\u0131\u015ft\u0131r.<\/p>\n
CSA kapsam\u0131ndaki siber güvenlik sertifikasyon çerçevesinin \u015femalar\u0131 aras\u0131nda verimlili\u011fi ve tutarl\u0131l\u0131\u011f\u0131 hedefleyen özel gereksinimler öngörülmektedir. Bu gereksinimler ICT hizmetleri, ICT süreçleri veya ICT ürünleri için güvenlik ve güvence gereksinimlerinin, amaçlanan kullan\u0131mlar\u0131yla ili\u015fkili riske dayal\u0131 olarak tan\u0131mlanmas\u0131n\u0131, güvence seviyelerinin, planlar aras\u0131nda tutarl\u0131 bir \u015fekilde uygulanmas\u0131n\u0131 ve tasar\u0131m gere\u011fi güvenlik deste\u011fini içermektedir.<\/p>\n
Bu kapsamda SCSA Metodolojisi’nin, siber güvenlik sertifikas\u0131 da\u011f\u0131t\u0131mlar\u0131n\u0131n pazarda kabul görmesini amaçlad\u0131\u011f\u0131 ve pazar payda\u015flar\u0131 ile Avrupa Birli\u011fi Siber Güvenlik Yasas\u0131'n\u0131n (“CSA”) gereksinimlerini destekledi\u011fi aç\u0131klanm\u0131\u015ft\u0131r. Ayr\u0131ca ENISA, SCSA Metodolojisi'nin belirli ICT ürünleri, hizmetleri ve süreçlerinin “amaçlanan kullan\u0131m\u0131” ile ili\u015fkili risklere dayal\u0131 olarak güvenlik ve sertifika gereksinimlerinin tan\u0131mlanmas\u0131n\u0131 onaylad\u0131\u011f\u0131n\u0131 belirtmi\u015ftir. Bununla birlikte, SCSA Metodolojisi’nin, ENISA payda\u015flar\u0131na sektörel ICT sistemleriyle ilgili tüm yönleri içeren kapsaml\u0131 bir ICT güvenlik de\u011ferlendirme arac\u0131 ve ICT güvenli\u011fi ile siber güvenlik sertifikasyonu uygulanmas\u0131 için kapsaml\u0131 içerik sa\u011flad\u0131\u011f\u0131 vurgulanm\u0131\u015ft\u0131r.<\/p>\n
SCSA Metodolojisi’nin, özellikle ISO\/IEC 270xx ve ISO\/IEC 15408 serisi olmak üzere geni\u015f çapta kabul görmü\u015f standartlardan yararlan\u0131rken, önerilen geli\u015ftirmelerin, çok payda\u015fl\u0131 sistemleri ve ICT ürünleri, süreçleri ve siber güvenlik sertifika \u015femalar\u0131yla ilgili özel güvenlik ve güvence seviyesi gerekliliklerini ele ald\u0131\u011f\u0131 belirtilmi\u015ftir. Bu özelliklere ve i\u015flevlere dayal\u0131 olarak, SCSA Metodolojisi, CSA taraf\u0131ndan \u015fart ko\u015fulan yukar\u0131da belirtilen gereksinimleri tam olarak destekleme ve siber güvenlik sertifikas\u0131n\u0131n piyasada kabulünü aç\u0131klanan \u015fekillerde te\u015fvik etme potansiyeline sahiptir; (i)<\/strong> \u0130\u015f süreçleri, sektörel payda\u015flar\u0131n rolleri ve i\u015f hedefleri, bireysel payda\u015flar\u0131n ICT alt sistemlerini kapsayarak ekosistem düzeyinde belgelenir. Payda\u015flar, i\u015f hedeflerini etkileyebilecek ICT güvenlik risklerinin belirlenmesine ve derecelendirilmesine aktif olarak katk\u0131da bulunmaya davet edilir. (ii) <\/strong>CSA'n\u0131n gerektirdi\u011fi gibi, planlar aras\u0131nda güvence seviyelerinin uygulanmas\u0131nda tutarl\u0131l\u0131k sa\u011flanabilir. Bu, bir plan bak\u0131m\u0131ndan verilen sertifikalar\u0131n di\u011fer planlarda yeniden kullan\u0131lmas\u0131na izin verecek, böylece hem ürün ve altyap\u0131 hizmet sa\u011flay\u0131c\u0131lar\u0131n\u0131n ticari ç\u0131karlar\u0131 hem de mü\u015fterileri için önemli bir fayda sa\u011flayacakt\u0131r. Ayn\u0131 zamanda, metodolojinin tutarl\u0131l\u0131k yakla\u015f\u0131m\u0131, farkl\u0131 pazarlardan belirli gereksinimlerin bir sonucu olarak ortaya ç\u0131kabilecek yeni tür siber güvenlik sertifika programlar\u0131n\u0131n entegrasyonunu destekleyebilmek maksad\u0131yla esnek tutulmu\u015ftur. (iii)<\/strong> Güvenlik seviyeleri için ortak bir kavram\u0131n tan\u0131t\u0131lmas\u0131, kat\u0131lan \u015femalarda yayg\u0131n olarak kullan\u0131labilecek kontrollerin tan\u0131m\u0131n\u0131 kolayla\u015ft\u0131r\u0131r. Bunlar\u0131n mevcudiyeti, ICT ürünlerinde, süreçlerinde ve sistemlerinde tan\u0131mlanm\u0131\u015f güvenlik seviyelerinin uygulanmas\u0131n\u0131n yan\u0131 s\u0131ra tasar\u0131mla güvenli\u011fin getirilmesini önemli ölçüde te\u015fvik edilmesine katk\u0131 sa\u011flayabilecektir.<\/p>\n SCSA Metodolojisi’nin çok yönlü yakla\u015f\u0131m\u0131 beraberinde birtak\u0131m faydalar da getirmektedir. Bu kapsamda öncelikle, ürün ve hizmet sa\u011flay\u0131c\u0131lar\u0131n, ürün ve hizmetlerinin kullan\u0131m amac\u0131 ile sektörel güvenlik ve güvence gereklilikleri hakk\u0131nda güvenilir bilgilerden yararlanacaklar\u0131 ve bunun, ürünlerini ve pazar eri\u015fimlerini optimize etmelerini sa\u011flayaca\u011f\u0131 belirtilmi\u015ftir. Ayr\u0131ca güvenlik önlemlerinin, kritik bile\u015fenlere odaklanarak sektörel sistemin güvenlik mimarisini optimize ederek güvenlik maliyetini en aza indirebilece\u011fi de vurgulanm\u0131\u015f, SCSA Metodolojisi’nde önerilen risk, güvenlik ve güvence aras\u0131ndaki tan\u0131mlanm\u0131\u015f ili\u015fkilerin, çe\u015fitli sektörlere hizmet edebilecek yatay ürün ve hizmetlerin tan\u0131m\u0131n\u0131 destekledi\u011fi dile getirilmi\u015ftir. Ek olarak, SCSA Metodolojisi’nin, ilgili tüm ICT alt sistemleri, bile\u015fenleri veya süreçleri için güvenlik ve sertifika düzeyi gereksinimleri hakk\u0131nda do\u011fru ve tutarl\u0131 bilgiler üretti\u011fi ve bu kapsamda, tedarikçilerin ürünlerini mü\u015fterilerinin gereksinimleriyle e\u015fle\u015ftirebilece\u011fi de faydalar aras\u0131nda say\u0131lm\u0131\u015ft\u0131r. Ayr\u0131ca, tutarl\u0131 bir güvence düzeyleri tan\u0131m\u0131 olmas\u0131 sebebiyle, di\u011fer siber güvenlik sertifika programlar\u0131ndan al\u0131nan sertifikalar\u0131n yeniden kullan\u0131m\u0131n\u0131n desteklendi\u011fi belirtilmi\u015ftir.<\/p>\n Simge K\u0131l\u0131ç, Esra Temur<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":"