Enerji Piyasası Düzenleme Kurulunun 25/04/2019 tarihli toplantısında: ekteki “Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları’nın kabul edilerek Resmi Gazetede yayımlanmak üzere Cumhurbaşkanlığına gönderilmesine,
karar verilmiştir.
Ek
Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul Ve Esasları
BİRİNCİ BÖLÜM
Amaç, Kapsam, Hukuki Dayanak, Tanımlar ve Kısaltmalar
Amaç
(1) Bu usul ve esasların amacı, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinde (EKS) yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına ve sistem sürekliliğinin aksamasına neden olabilecek güvenlik açıklıklarının sömürülmeden önce tespit edilip giderilmesinin sağlanmasıdır.
Kapsam
(1) Bu usul ve esaslar bunlarla sınırlı olmamak kaydıyla:
a) EKS ağının ve mimari yapının incelenmesi analizini,
b) EKS yapılarında görevli personele yönelik sosyal mühendislik testlerini,
c) EKS ağında zafiyet tarama analizini,
ç) EKS ağında zararlı yazılım analizini,
d) EKS kablosuz ağ ve bileşenleri testlerini,
e) EKS ağında sömürü testlerini,
kapsar.
(2) Testler üç yılda bir tekrarlanır. İşletmeye yeni girecek olan tesisler için işletmenin aktif duruma gelmesinden itibaren on sekiz ay içerisinde testler yaptırılır.
(3) Teste tabi kuruluş test esnasında envanterinde bulunan EKS bileşenlerine hâkim en az bir uzman personel ve test sürecine refakat edecek bir personel bulundurur.
Hukuki dayanak
(1) Bu usul ve esaslar; 13/07/2017 tarih ve 30123 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinin 8 inci maddesinin ikinci fıkrasına dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
(1) Bu usul ve esaslarda geçen;
a) Aktif tarama: Çoğunlukla otomatize edilmiş araçlarla gerçekleştirilen ve ortamda mevcut cihazlara da gerektiğinde erişim sağlanan taramayı,
b) APN: Mobil iletişim altyapısı üzerinde sanal özel ağ kurulmasını sağlayan teknolojiyi,
c) Bilmesi gereken prensibi: Herhangi bir konu veya işi, ancak görev ve sorumlulukları gereği öğrenmekle, incelemekle, gereğini yerine getirmekle ve korumakla sorumlu bulunanların yetkisi düzeyinde bilgi sahibi olması ve nüfuz etmesini,
ç) DKS: EKS'lerin "dağıtık kontrol sistemi” bileşenini.
d) EKS: Endüstriyel Kontrol Sistemlerini,
e) Gömülü Sistem: Bir bilgisayardan farklı olarak, kendisi için önceden özel olarak tanımlanmış görevleri yerine getirmek üzere tasarlanmış, çekirdeği belirli bir sayıda görevi yerine getirmek için programlanan mikroişlemcilerden ya da mikro denetleyicilerden oluşan, üzerinde güncellenebilir yazılımların koştuğu RTU, PLC, MTU gibi sistemleri.
f) Güvenlik duvarı: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan ve erişim kontrolü yapmak için kullanılan bileşeni,
g) HMI: EKS'lerin “insan-makine arayüzü” bileşenini,
ğ) IDS: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan “saldırı tespit sistemi" bileşenini,
h) IED: Bir veya birden fazla işlemciye sahip, harici bir kaynaktan veri alma veya gönderme özelliğine sahip akıllı elektronik cihazları.
ı) IP: Internet Protokolünü,
i) IPS: EKS'lerin bulunduğu ağı korumaya yönelik konumlandırılan “saldırı önleme sistemi” bileşenini,
j) İlgili mevzuat: Enerji piyasasına ilişkin kanun, yönetmelik, tebliğ, genelge ve Kurul kararlarını,
k) KBS: Kurumsal Bilişim Sistemlerini,
l) Kurul; Enerji Piyasası Düzenleme Kurulunu.
m) Kuruluş: 13/07/2017 tarihli ve 30123 sayılı Resmi Gazetede yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bitişim Güvenliği Yönetmeliğinin 6 ncı maddesinin birinci fıkrasında belirtilen lisans sahipleri tüzel kişileri,
n) Kurum: Enerji Piyasası Düzenleme Kurumunu,
o) MTU: EKS'lerin “ana telemem birimi” bileşenini,
ö) OSI: Açık sistemler bağlantısını,
p) OSINT: Açık kaynak istihbaratını,
r) Pasif tarama: Cihazlara erişim sağlanmadan sadece ağ trafiğinin analizi ile yapılan taramayı,
s) PLC: EKS'lerin “programlanabilir mantık denetleyici” bileşenini,
ş) PERA: Purdue Kurumsal Referans Mimarisini,
t) RF: Radyo frekansı,
u) RTU: EKS’lerin “uzak terminal birimi” bileşenini.
ü) SCADA: EKS'lerin “merkezi denetim ve veri toplama” bileşenini,
v) Sömürü Testi: Bir uygulamada veya sistemdeki bir güvenlik açığından yararlanarak hedef sistem veya uygulama üzerinde yetki elde etme işlemini,
y) Zafiyet tarama: Ağ altyapılarındaki güvenlik açıklarının belirlenmesi ve sınıflandırılması işlemini ifade eder.
(2) Bu usul ve esaslarda geçen ve birinci fıkrada yer almayan tanım ve kısaltmalar için ilgili mevzuatta geçen tanım ve kısaltmalar geçerlidir.
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
