IDA olarak hedefimiz
; son yıllardaki gelişmeler ile özellikle IT/OT sistemlerinin iç içe geçmesinden kaynaklanan riskleri
belirlemek ve bu konuda dünyada kabul görmüş güvenlik çerçeveleri ve standartları kullanarak bu risklerin
yönetilebilmesine yardımcı olmaktır. Bu çalışmalar aynı zamanda OT sistemlerinin ve sistem altyapılarının da güvenlik
ve görünülürlük seviyelerini arttıracak çözümleri de içerir.
Tüm süreç “NIST Cyber Security Framework” çerçevesi içinde IEC62443 standartları ve iyi uygulamaları temel alarak
yapılır. Bu çalışma kuruluşlar için bir yol haritası olarak düşünülebilir. NIST Çerçevesi ile, bir Mevcut Profil ve bir Hedef
Profil tanımlanır. Mevcut Profil, kuruluşun siber güvenlik faaliyetlerinin mevcut durumunu gösterirken, Hedef Profil,
kuruluşun ulaşmak istediği siber güvenlik seviyesini tanımlar.
NIST Çerçevesi, bir kuruluşun mevcut siber güvenlik geliştirmelerine dahil edilebilecek tüm sistemlerin risk yönetimine
dayalı bir yaklaşım kılavuz olarak düşünülmelidir. Her sektördeki ve her büyüklükteki kuruluşa uygulanabilecek,
mevcut siber güvenlik durumundaki boşlukları belirlemek ve bu boşlukları zaman içinde kapatmak için stratejiler
geliştirmek için kullanılabilecek esnek bir yol haritası ve yapı olmayı amaçlamaktadır.
Bu çalışmalar NIST temelinde aşağıdaki adımlar izlenerek yapılır ;
1 Kapsam; Hedefler ve üst düzey öncelikler belirlenir. Siber güvenlik programında hangi sistemler ve hangi süreçlerin
ele alınacağı kararlaştırılır.
2 Envanterin Çıkarılması; Kapsam dahilinde, yasal veya düzenleyici şartlar ve genel risk yaklaşımı ile ilgili sistemler ve
varlıklar tanımlanır. Bu çalışma risk değerlendirme aşamasına hazır olacak formatta yapılır.
3 Mevcut Durum Analizi; Yapılan çalışmalar sonrasında ilgili kategori sonuçlarına göre şu anki durumu gösteren
Mevcut Profil oluşturulur.
4 Risk Değerlendirme; İlgili sistemler ve varlıklar, düzenleyici gereksinimleri ve belirlenen risk yaklaşımına göre
tanımlanır ve ardından bu sistemlere ve varlıklara yönelik tehditler ve güvenlik açıkları belirlenir.
5 Hedef Profil Oluşturma; Hedeflenen siber güvenlik sonuçlarını tanımlayan kategoriler, kuruluş hedefleri ve yasal
uyumluluk ile ilgili gereklilikler dikkate alınarak değerlendirir ve Hedef Profil oluşturulur.
6 Fark Belirleme, Analiz Etme ve Önceliklendirme; Mevcut Profil ile Hedef Profil karşılaştırarak farklar ele alınır, Hedef
Profil’e ulaşmak için farklara yönelik eylem planı hazırlanır ve kaynaklar belirlenir.
7 Eylem Planını Uygulama; Önceki adımda belirtilen açıkları gidermek için hangi önlemlerin alınacağı belirlenir ve
daha sonra Hedef Profil’e ulaşmak için gerekli uygulama ve süreçler tanımlanarak aksiyon planı oluşturulur.