Enerji Piyasası Düzenleme Kurulunun 13/07/2023 tarihli toplantısında; aşağıdaki “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları"nın Resmi Gazete’de yayımlanmak üzere Cumhurbaşkanlığına gönderilmesine,
karar verilmiştir.
Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul Ve Esasları
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
(1) Bu Usul ve Esasların amacı, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinde (EKS) yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına ve sistem sürekliliğinin aksamasına neden olabilecek güvenlik açıklıklarının sömürülmeden önce tespit edilip giderilmesinin sağlanmasıdır.
Kapsam
(1) Bu Usul ve Esaslar aşağıda belirtilen hususlarla sınırlı olmamak kaydıyla:
a) EKS ağının ve mimari yapının incelenmesi analizini,
b) EKS yapılarında görevli personele yönelik sosyal mühendislik testlerini,
c) EKS ağında zafiyet tarama analizini,
ç) EKS ağında zararlı yazılım analizini,
d) EKS kablosuz ağ ve bileşenleri testlerini,
e) EKS ağında sömürü testlerini, kapsar.
Hukuki dayanak
(1) Bu Usul ve Esaslar; 6/6/2023 tarihli ve 32213 sayılı Resmi Gazetede yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğinin 15 inci maddesinin birinci fıkrasına dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
(1) Bu Usul ve Esaslarda geçen;
a) Aktif tarama: Genellikle otomatize edilmiş araçlarla gerçekleştirilen ve ortamda mevcut cihazlara da gerektiğinde erişim sağlanan taramayı,
b) APN: Mobil iletişim altyapısı üzerinde sanal özel ağ kurulmasını sağlayan teknolojiyi,
c) Bilmesi gereken prensibi: Herhangi bir konu veya işi, ancak görev ve sorumlulukları gereği öğrenmekle, incelemekle, gereğini yerine getirmekle ve korumakla sorumlu bulunanların yetkisi düzeyinde bilgi sahibi olması ve nüfuz etmesini,
ç) DKS: EKS’lerin "dağıtık kontrol sistemi” bileşenini,
d) EKS: Endüstriyel Kontrol Sistemlerini,
e) Gömülü Sistem: Bir bilgisayardan farklı olarak, kendisi için önceden özel olarak tanımlanmış görevleri yerine getirmek üzere tasarlanmış, çekirdeği belirli bir sayıda görevi yerine getirmek için programlanan mikroişlemcilerden ya da mikro denetleyicilerden oluşan, üzerinde güncellenebilir yazılımların çalıştığı RTU, PLC, MTU gibi sistemleri,
f) Güvenlik duvarı: EKS’lerin bulunduğu ağı korumaya yönelik konumlandırılan ve erişim kontrolü yapmak için kullanılan bileşeni,
g) HMI: EKS’lerin “insan-makine arayüzü” bileşenini,
ğ) IDS: EKS’lerin bulunduğu ağı korumaya yönelik konumlandırılan “saldırı tespit sistemi” bileşenini,
h) IED: Bir veya birden fazla işlemciye sahip, harici bir kaynaktan veri alma veya gönderme özelliğine sahip akıllı elektronik cihazları,
ı) IP: Internet Protokolünü,
i) IPS: EKS’lerin bulunduğu ağı korumaya yönelik konumlandırılan “saldın önleme sistemi” bileşenini,
j) İlgili mevzuat: Enerji piyasasına ilişkin kanun, yönetmelik, tebliğ, genelge ve Kurul kararlarını,
k) KBS: Kurumsal Bilişim Sistemlerini,
l) Kurul: Enerji Piyasası Düzenleme Kurulunu,
m) Kuruluş:6/6/2023 tarihli ve 32213 sayılı Resmî Gazetede yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğinin 2 nci maddesinde tanımlanan sorumlu tüzel kişileri,
n) Kurum: Enerji Piyasası Düzenleme Kurumunu,
o) MTU: EKS’lerin “ana telemetri birimi” bileşenini,
ö) OSI: Açık sistemler bağlantısını,
p) OSINT: Açık kaynak istihbaratını,
r) Pasif tarama: Cihazlara erişim sağlanmadan sadece ağ trafiğinin analizi ile yapılan taramayı,
s) PLC: EKS'lerin “programlanabilir mantık denetleyici” bileşenini,
ş) PERA: Purdue Kurumsal Referans Mimarisini,
t) RF: Radyo frekansını,
u) RTU: EKS'lerin “uzak terminal birimi” bileşenini,
ü) SCADA: EKS'lerin “merkezi denetim ve veri toplama” bileşenini,
v) Sömürü Testi: Bir uygulamada veya sistemdeki bir güvenlik açığından yararlanarak hedef sistem veya uygulama üzerinde yetki elde etme işlemini,
y) Zafiyet tarama: Ağ altyapılarındaki güvenlik açıklarının belirlenmesi ve sınıflandırılması işlemini,
z) Kritik Altyapılar Ulusal Test Yatağı Merkezi: Sakarya Üniversitesi bünyesinde kurulan kritik enerji altyapılarının modellenmesi, güvenliği ile alakalı koruyucu ve önleyici çözümlerin araştırılması ve geliştirilmesi amacıyla kurulan merkezi,
aa) VoIP: IP üzerinden video, ses ya da mesaj gönderilmesini, ifade eder.
(2) Bu Usul ve Esaslarda geçen ve birinci fıkrada yer almayan tanım ve kısaltmalar için ilgili mevzuatta geçen tanım ve kısaltmalar esas alınır.
İKİNCİ BÖLÜM
Güvenlik Analiz ve Test Metodolojisi
EKS ağının ve mimari yapının incelenmesi analizi
(1) Bu analizde EKS’nin bulunduğu mevcut ağ yapısı incelenerek güvenlik pratikleri açısından değerlendirilmesi sağlanır. Bu amaçla, incelenen yapıların mantıksal topolojisi, uzak saha bağlantılarını da içerecek şekilde analizi gerçekleştiren kişi tarafından oluşturulur. Eğer kuruluş tarafından bir topoloji bilgisi sağlanır ise, bunun güncel olup olmadığı ve mevcut durumu yansıtıp yansıtmadığı doğrulanır. Yapılan analiz ile EKS’yi oluşturan IP’ye sahip MTU, RTU, HMI, SCADA/DKS sunucu, yönlendirici, anahtar gibi bileşenlerin ağ üzerindeki konumları belirlenir. Analiz sonucunda, ilgili bileşenlerin topolojideki konumlarına istinaden EKS’leri etkileyebilecek, erişilebilirlik, bütünlük ve gizlilik açılarından tehdit unsura oluşturan riskler bulgu olarak ortaya konulur.
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
