ULUSAL ELEKTRONK VE KRPTOLOJ

ARATIRMA ENSTTS

Dokman Kodu: BGYS-0008

BLG GVENL
BLNLENDRME SREC
OLUTURMA KILAVUZU

SRM 1.00
22.02.2008

Hazrlayan: Diner nel

1

P.K. 74, Gebze, 41470 Kocaeli, TRKYE

Tel: (0262) 648 1000
Faks: (0262) 648 1100
http://www.bilgiguvenligi.gov.tr
bilgi@bilgiguvenligi.gov.tr

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

NSZ
Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik
bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas
dzeyde kabul grm altyaps ile, bilimsel ve teknolojik zmler retmek ve
uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda yeni teknolojilerin
gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi
olmak"

vizyonuna

ulalabilmesi

ve

lkenin

ihtiyac

olan teknolojilerin

gelitirilmesi iin Enstit'nn akredite test ortam ve laboratuarlarnda temel ve

uygulamal aratrmalar yaplmakta ve ihtiya sahiplerine teknik destek
salanmaktadr.

Bu dokman, BGYS (Bilgi Gvenlii Ynetim Sistemi) kurmak isteyen kurumlar

iin yardmc kaynak olarak hazrlanmtr. Tm kurum ve kurulular bu
dokmandan faydalanabilir.

Bu dokmanda anlatlanlar tamamen tavsiye niteliindedir.

UEKAE, yaplan uygulamalardan doabilecek zararlardan sorumlu
deildir. Bu dokman UEKAEnin izni olmadan deitirilemez.

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

BLGLENDRME

Bu dokmann oluturulmasnda emei geen A Gvenlii personeline ve dokman gzden

geirip fikirlerini ne srerek dokmann olgunlamasna katkda bulunan Doan Eskiyrke
teekkr bor biliriz.

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

NDEKLER

1. GR .................................................................................................................................................... 5

1.1 Ama ve Kapsam .................................................................................................................5

1.2 Hedeflenen Kitle ..................................................................................................................6
1.3 Ksaltmalar...........................................................................................................................6
2. GREV VE SORUMLULUKLAR .................................................................................................... 7

2.1 st ynetim..........................................................................................................................7
2.2 Bilgi Gvenlii Yneticisi ...................................................................................................7
2.3 Bilgi Gvenlii Bilinlendirme Sreci Yrtcs ............................................................8
2.4 Blm Yneticileri ..............................................................................................................8
2.5 Kullanclar ..........................................................................................................................9
3. SRECN OLUTURULMASI .......................................................................................................... 9

3.1 Srecin Planlanmas ve Tasarlanmas ...............................................................................10

3.1.1 Srecin Yaplandrlmas .................................................................................... 10
3.1.2 htiya Analizi ve Deerlendirmesi .................................................................... 12
3.1.3 Bilinlendirme Strateji ve Plannn Gelitirilmesi .............................................. 14
3.1.4 nceliklerin Belirlenmesi ................................................................................... 15
3.1.5 eriklerin Bilgi Dzeyinin Belirlenmesi ............................................................ 16
3.1.6 Bilinlendirme Programnn Finansman ............................................................ 16
3.2 Bilinlendirme ve Eitim Materyalinin Gelitirilmesi ......................................................17
3.2.1 Bilinlendirme Materyallerinin Gelitirilmesi .................................................... 18
3.2.1.1 Bilinlendirme Konularnn Seimi ............................................................. 18
3.2.1.2 Bilinlendirme Materyali Kaynaklar .......................................................... 19
3.2.2 Eitim Materyallerinin Gelitirilmesi ................................................................. 19
3.2.2.1 Eitim Materyali Kaynaklar........................................................................ 19
3.3 Bilinlendirme ve Eitim Srecinin Uygulanmas ............................................................20
3.3.1 Bilinlendirme Materyali Sunum Teknikleri ...................................................... 20
3.3.2 Eitim Materyali Sunum Teknikleri ................................................................... 21
KAYNAKA .......................................................................................................................................... 22
4

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

1. GR
Bilgiyi ileme ve kullanma faaliyetlerinin byk ksmnn bilgi alar zerinde gerekletii
gnmz i dnyasnda, kurumlarn sahip olduklar bilginin gizliini, btnln ve
kullanlabilirliini koruyabilmeleri iin BT kullanan ve yneten kurum alanlarnn:
Kurumun misyonu dorultusunda grev ve sorumluluklarn anlamalar
Kurumun bilgi gvenlii politika, prosedr ve uygulamalarn anlamalar
Sorumlu olduklar bilgi (biliim) kaynaklarn korumaya ynelik ynetimsel,
operasyonel ve teknik adan gerekli asgari bilgi seviyesine sahip olmalar
gerekmektedir.
Bilgi Gvenlii denetim raporlar, makaleler veya konferans sunularnda da ifade edildii ve
BT gvenlii uzmanlarnca da kabul edildii zere, bilgi gvenliinin salanmasndaki en
zayf halka insandr. nsan faktr uygun ve yeterli seviyede gvenliin salanmasnda
anahtar role sahiptir. Bu sebeplerden tr bir kurum varl olarak insan zerinde daha
byk bir dikkatle durulmas gerekmektedir. Bu balamda, Bilgi Gvenlii Ynetim
Sistemi (BGYS) kapsamnda her seviyedeki kurum alann bilgi gvenlii konusundaki
sorumluluklarn kavramasn salayacak bir bilinlendirme srecinin oluturulmas
zaruridir.
1.1 Ama ve Kapsam
Bu dokman bir BGYS kapsamnda bilgi gvenlii bilinlendirme ve eitim sreci
oluturma ve yrtme konusunda yol gsterici bilgiler vermeyi hedeflemektedir.
Bilinlendirme sreci tasarlama (planlama), gelitirme, uygulama ve iyiletirme
admlarndan oluan bir yaam dngs iinde sunulmaktadr. Bu dokman ayrca
bilinlendirme sreci gereksinimlerinin nasl belirlenecei, bir eitim plannn nasl
gelitirilecei ve sre iin finansal destein nasl salanacan anlatmaktadr. Bu
dokmanda aadaki hususlar da ele alnmaktadr:
Bilinlendirme ve eitim konularnn seilmesi
Bilinlendirme ve eitim materyalleri iin kaynak bulunmas
Farkl metotlar izleyerek eitim materyallerinin hazrlanmas
Bilinlendirme srecinin etkinliinin deerlendirilmesi
Deien teknoloji ve kurum ncelikleri karsnda gncel kalnmas
TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

1.2 Hedeflenen Kitle

Bu dokman ncelikli olarak BGYS kurulumu gerekletiren veya gerekletirmi
kurumlarn Bilgi Gvenlii sorumlular, BT yneticileri, sorumlu dier yneticileri ve bu
kurumlarn hizmet aldklar eitim kurulular ve eitmenleri iin yol gsterici bir rehber
olarak hazrlanmtr.
1.3 Ksaltmalar

BGYS

: Bilgi Gvenlii Ynetim Sistemi

BT

: Bilgi Teknolojileri

UEKAE

: Ulusal Elektronik ve Kriptoloji Aratrma Enstits

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

2. GREV VE SORUMLULUKLAR
Baarl ve etkin ileyen bir bilgi gvenlii bilinlendirme sreci oluturulabilmesi iin bu
alandaki grev ve sorumluluklarn ak ve net bir biimde belirlenmesi gerekmektedir.
Olgunlam bir bilinlendirme sreci, bu grev ve sorumluluklarn sahipleri tarafndan doru
anlalmas, bilinmesi ve uygulanmas ile mmkndr. Bilgi gvenlii bilinlendirme sreci
kurum iinde en st seviyeden en alt seviyeye kadar alanlarn katlmn gerektirmektedir.
2.1 st ynetim
st ynetim bilgi gvenlii bilinlendirme srecinden nihai olarak sorumlu olan taraftr.
Kurumun st ynetimi etkin bir bilinlendirme sreci oluturulmasna ynelik kararlln
ortaya koymaldr. Bilinlendirme srecinin baarya ulamasnda st ynetimin tutum ve
yaklam son derece nemlidir. Bu alanda st ynetime den grev ve sorumluluklar u
ekilde sralanabilir:
Kurum iinde bir Bilgi Gvenlii Yneticisi atanmas
Kurum apnda ileyen bir bilgi gvenlii bilinlendirme srecinin oluturulmas, yeterli
kaynak ve bte ile desteklenmesi
Kurumun bilgi varlklarnn korunmasn salayabilecek seviyede bilinli ve eitimli bir
personel kadrosunun bulunmas
2.2 Bilgi Gvenlii Yneticisi
Bilgi Gvenlii Yneticisi kurum st ynetimi tarafndan bilgi gvenlii bilinlendirme
srecinin oluturmasn ynetmekle grevlendirilen kiidir. Etkin bir bilinlendirme sreci iin
Bilgi Gvenlii Yneticisinin, Bilgi Sistemleri Yneticisi (BT Yneticisi veya direktr CIO)
ile birlikte almas gerekmektedir. Bilgi Gvenlii Yneticisinin grev ve sorumluluklar u
ekilde sralanabilir:
Bilgi gvenlii bilinlendirme sreci iin genel stratejinin belirlenmesi
Kurum iinde bir bilgi gvenlii bilinlendirme sreci yrtcs atanmas
st ynetimin, blm yneticilerinin, dier seviyedeki yneticilerin, alanlarn ve dier
personelin bilinlendirme srecinin temel kavramlarn ve hedeflerini anlamalarn
salamak, onlar srecin geliimi ve ilerlemesi konusunda bilgilendirmek
Bilinlendirme srecinin yeterli seviyede finanse edilmesini salamak
TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Kurum personeline bilgi gvenlii sorumluluklarnn eitimler ile retilmesi

Kurumun bilgi kaynaklarna erien tm kullanclarn bilgi gvenlii sorumluluklarn
bildiklerinden emin olunmas
Bilgi gvenlii bilinlendirme srecinin takip edilmesi ve uygunsuzluklar tespit edecek
mekanizmalarn devreye alnm olmas
2.3 Bilgi Gvenlii Bilinlendirme Sreci Yrtcs
Bilgi

gvenlii

bilinlendirme

sreci

yrtcs taktik

ve

uygulama

seviyesinde

bilinlendirme srecinin hayata geirilmesinden sorumlu olan kiidir. Bu roldeki kiinin grev
ve sorumluklar u ekilde sralanabilir:
Her seviyedeki personel iin uygun bilinlendirme ve eitim materyalinin zamannda
gelitirilmi olmasn salamak
Her seviyedeki personel iin uygun bilinlendirme ve eitim materyalinin planlanan
kiilere etkin bir ekilde datlmasn salamak
Bilinlendirme ve eitim materyalleri ile bunlarn sunumlar hakknda personel ve
yneticilerin grlerini iletebilmelerine imkan veren uygun bir geri besleme ynteminin
salanmas
Bilinlendirme ve eitim materyallerinin periyodik olarak gzden geirilmesini ve
gereksinim halinde gncellenmesini salamak
Bilgi gvenlii bilinlendirme srecinin takip edilmesi ve uygunsuzluklarn rapor
edilmesinde Bilgi Gvenlii Yneticisine yardmc olmak
2.4 Blm Yneticileri
Yneticiler bilgi gvenlii bilinlendirme ve eitimi srecinin gereklerine personelinin
uymasn salamakla sorumludurlar. Dier grev ve sorumluklar u ekilde sralanabilir:
Bilgi gvenlii bilinlendirme sreci kapsamnda ortak sorumluluklar yerine getirmek
amacyla Bilgi Gvenlii Yneticisi ve Bilgi Gvenlii Bilinlendirme Sreci Yrtcs
ile birlikte almak
Bilgi gvenlii alannda grev ve sorumlulua sahip personelinin mesleki anlamda
bireysel geliimine katkda bulunmak

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Yar zamanl personel, stajyer alan ve yklenici firma personeli dahil olmak zere tm
kullanclarn eriimde bulunmadan nce bilgi gvenlii sorumluluklarn yerine
getirebilmeleri iin uygun eitimleri almalarn salamak
Yar zamanl personel, stajyer alan ve yklenici firma personeli dahil olmak zere tm
kullanclarn kullandklar sistem ve uygulamann, ilgili politika veya prosedrle
belirtilen kurallarn bilmelerini ve anlamalarn salamak
Eitim ve bilinlendirme eksiklii sebebiyle kullanclarn yaptklar hata veya
ihmallerden kaynaklanabilecek, bilgi varlklarndaki her trl kayp ve zarar azaltmaya
almak
2.5 Kullanclar
Kullanclar bilgi gvenlii bilinlendirme srecindeki en byk ve nemli hedef kitledir.
Kurum iindeki iler yrtlrken istemeden yaplan hatalar ve bilgi sisteminde oluabilecek
aklklar en aza indirmek onlarn elindedir. Kurum alanlar, yklenici firma personeli, yar
zamanl personel, stajyerler, dier kurum alanlar, ziyaretiler, i ortaklarnn alanlar,
destek alnan firmalarn personeli, ksaca kurumun bilgi varlklarna eriim gereksinimi olan
herkes kullanc kategorisine girmektedir. Kullanclarn sorumluluklar u ekilde sralanabilir:
Gvenlik politika ve prosedrlerini anlamak, gereklerine uymak
Eriim hakknn bulunduu bilgi varlklarnn kullanm ve gvenlik kurallarn reten
eitimleri almak
Bilinlendirme ve eitim ihtiyalarnn giderilmesi iin ynetimle birlikte almak
Kullandklar yazlm ve uygulamalarn gvenlik yamalarnn gncel tutulmasn
salamak
Gl parola kullanm, antivirs yazlm kullanlmas, pheli olay ve ihlal durumlarnn
rapor edilmesi, veri yedeklemesi, sosyal mhendislik saldrlarna kar koyulan kurallara
uyulmas vb. gibi kurum bilgisini daha iyi korumaya ynelik uygulama ve faaliyetlerin
farknda ve bilincinde olmak
3. SRECN OLUTURULMASI
Bilgi

gvenlii

bilinlendirme

ve

eitim

sreci

oluturulmas

ana

admda

gereklemektedir:
1. Srecin planlanmas ve tasarlanmas
TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

2. Bilinlendirme ve eitim materyalinin gelitirilmesi

3. Srecin uygulanmas
3.1 Srecin Planlanmas ve Tasarlanmas
Bilgi gvenlii bilinlendirme programlar tasarlanrken kurumun misyonu, stratejik hedefleri
ve i gereksinimlerine uyumlu olmas srekli gz nnde bulundurulmaldr. Ayrca
bilinlendirme srecinin kurum kltrne ve kurumun bilgiyi ileme yapsna uygun olmas
nemlidir. Baarl bir bilinlendirme program kullanclara (katlmclar) normal alma
seyirleri iinde yaptklar ilerle alakal ierikler sunar.
Bilinlendirme sreci oluturulmasnn planlama ve tasarlama aamasnda kurumun bilgi
gvenlii alanndaki eitim ve bilinlendirme ihtiyalar saptanr, etkin bir eitim ve
bilinlendirme plan gelitirilir, kurum ii finansman konusu sorgulanr ve ncelikler ortaya
konur.
Bu blmde:
Bilinlendirme ve eitim faaliyetinin nasl yaplandrlaca
htiya analizi ve deerlendirmesinin nasl yaplaca
Bilinlendirme ve eitim plannn nasl gelitirilecei
nceliklerin nasl belirlenecei
eriklerin bilgi dzeyinin nasl belirlenecei
Bilinlendirme programnn nasl finanse edilecei
anlatlacaktr.
3.1.1 Srecin Yaplandrlmas
Bir bilgi gvenlii bilinlendirme sreci ok deiik biimlerde tasarlanp gelitirilebilir.
Bilinlendirme sreci yaplandrlmasnda yaygn olarak benimsenen farkl yaklam ve
ynetim modeli bulunmaktadr. Bunlar:
Model 1: Merkezi ynetim modeli
Model 2: Yar merkezi ynetim modeli
Model 3: Datk ynetim modeli
Seilecek modelin ne olacana karar verilirken aadaki kriterlere baklmaldr:
10

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Kurumun bykl ve corafik dalm

Tanml kurumsal rol ve sorumluluklar
denek ayrlmas ve yetki
Model 1: Merkezi Program Ynetim Modeli
Bu modelde bilgi gvenlii bilinlendirme ve eitim programnn tm sorumluluu ve btesi
merkezi ynetime aittir. Bilinlendirme sreci ile ilgili btn politikalar, stratejiler, planlar,
talimatlar ve yntemler merkezi ynetim tarafndan gelitirilir. Merkezde bulunan Bilgi
Gvenlii Yneticisi ve Bilgi Gvenlii Bilinlendirme Sreci Yrtcs programn btn
aamalarn koordine etmekle ykmldr. htiya analizinin yaplmas ve gerekli eitim
materyallerinin gelitirilmesi ve salanmas da yine merkezi ynetimin grevidir. Kurum
iindeki organizasyonel birimler gelitirilen programa uymakla ve istenilen bilgileri merkezi
ynetime sunmakla sorumludurlar. Bu modelde organizasyonel birimler ayrca programn
etkinlii ve performans ile ilgili deerlendirmelerini merkezi ynetime bildirirler.
Merkezi model u zelliklere sahip kurumlar tarafndan tercih edilmektedir:
Nispeten kk ve merkezi olarak ynetilen
Gerekli kayna ve uzmanl merkezi olarak salayabilen
Birbirine benzer grevleri yrten organizasyonel birimleri olan
Model 2: Yar Merkezi Program Ynetim Modeli
Bu modelde bilgi gvenlii bilinlendirme ve eitim program ile ilgili politika ve stratejiler
merkezi ynetim tarafndan gelitirilirken, programn uygulanmas ve hayata geirilmesi
organizasyonel birimlerce bireysel olarak yrtlr. Btelendirme ve ihtiya analizi merkezi
olarak gerekleir. Merkez tarafndan belirlenen stratejiye uygun olarak organizasyonel
birimler kendi eitim planlarn olutururlar. Bilinlendirme ve eitim materyallerinin
gelitirilmesi ve salanmas ile bunlarn kullanclara sunulmas organizasyonel birimlerin
sorumluluundadr.
Bu modelde merkezi ynetim organizasyonel birimlerden yaplan harcamalar, eitim
planlarnn durumu, bilinlendirme faaliyetleri hakknda ayrntl bilgi ieren raporlar
isteyebilir. Ksacas yar merkezi modelde ynlendirme ve izleme merkezi olarak, gelitirme ve
uygulama da birimlerce yaplr.
Yar merkezi model:

TBTAK UEKAE

11

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Nispeten byk ve geni bir corafik alana dalm olan

Kurumsal rol ve sorumluluklarn merkez ve birimler tarafndan paylald
Birbirinden farkl grevleri yrten organizasyonel birimlere sahip, bu sebeple de eitim
ihtiyalarnn birimden birime farkllat
gibi zelliklere sahip kurumlar tarafndan tercih edilmektedir.
Model 3: Datk Program Ynetim Modeli
Bu modelde merkezi ynetim sadece genel bilinlendirme politikasn ve beklentileri ortaya
koyar. Bilinlendirme programnn planlanmas, gelitirilmesi ve uygulamaya geirilmesi ile
ilgili

btn

sorumluluklar

organizasyonel

birimlere

braklmaktadr.

Bu

modelde

bilinlendirme sreci ile ilgili yetki dalm yaplmaktadr. Alt seviye Bilgi Gvenlii
Yneticilii ve Bilinlendirme Sreci Yrtcl merkez dndaki birimlerde de oluturulur
ve merkezdeki stlerine balanrlar. htiya analizi organizasyonel birimlerce yapldndan
bilinlendirme ve eitimlerle ilgili stratejiler de buralarda gelitirilir. Ayrca program iin
btenin belirlenmesi de birimlerin sorumluluundadr. Ksacas bu modelde merkezi ynetim
bilinlendirme faaliyetiyle ilgili kurum misyonuna uygun genel ereveyi belirler, geri kalan
admlarla ilgili btn sorumluluklar birimlere kalmaktadr.
Datk modelin uygulanabilecei kurumlarn:
Uluslar aras seviyede faaliyet gsteren ve olduka byk
Kurum idaresi ve ynetimsel sorumluluklar asndan olduka datk bir yapya sahip
Birbirinden olduka farkl alanlarda grevleri yrten birimlere sahip
gibi karakteristik zellikleri bulunmaktadr.
3.1.2 htiya Analizi ve Deerlendirmesi
Kurumun bilgi gvenlii bilinlendirme ve eitim ihtiyalarnn belirlenmesi ilemidir. htiya
analizi ve deerlendirmesinden elde edilecek sonular bilinlendirme faaliyeti iin gerekli
kaynaklarn salanmas konusunda st ynetim onaynn alnmasnda yardmc olur. Ayrca
ihtiya analizi, bilinlendirme program iin izlenecek stratejinin de belirlenmesinde yol
gsterici role sahiptir.
Bilgi gvenlii bilinlendirme ihtiyalar belirlenirken personelin kurum iinde stlenmekte
olduu farkl seviyedeki rol ve grevler dikkate alnmas gerekir. Bilinlendirme ihtiyalar
zellikle belirlenmesi gereken kritik personel unlardr:
12

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Yneticiler: crac ynetim (executive management), blm (birim) yneticileri, ksm

amirleri vb.
Gvenlik personeli: Bilgi Gvenlii Yneticileri, Bilinlendirme Program Yrtcleri
Gelitiriciler: Sistem ve yazlm gelitiriciler
Bilgi Sistemleri personeli: BT yneticileri, sistem yneticileri, sistem destek personeli
letmenler ve kullanclar
htiyalar kurum iindeki alanlarn grev ve sorumluluklarna uygun olacak ekilde
belirleyebilmek iin pek ok farkl kaynaa bavurulabilir. htiyalar doru tespit etme
amacyla bilgi toplamak iin eitli yntemler ve aralar mevcuttur. Bunlardan bazlar unlar
olabilir:
Kurumsal anketler
Belirlenen tm kritik personel gruplaryla yz yze yaplacak grmeler ile personelin
gnlk grevleri kapsamnda gerekletirdii aktivitelerin ve bilgi sistemini hangi
amalarla kullandklarnn renilmesi
Kurum apnda bugne kadar dzenlenmi bilgi gvenlii eitim faaliyetlerinin gzden
geirilmesi, kullanlan materyallerin incelenmesi
Gemite yaanm gvenlik ihlali olaylarnn incelenmesi (servis d braklma, web
sayfasnn deitirilmesi, sisteme yaplan yetkisiz giriler, baarl virs saldrlar vb.)
Bilgi sistemine eriimi olan kullanc hesaplarnn dkmnn alnmas
Gemite yaplm denetimlere (i denetim veya bamsz denetim) ait raporlardaki
bulgularn incelenmesi
Bilgi sisteminde yaplan teknik ve altyapsal deiikliklerin srekli takip edilmesi
Akademik evrelerde ve eitim kurumlarndaki bilgi gvenlii alannda takip edilen son
gelimelerden ve eilimlerden haberdar olunmas
Bu ve bunlara benzer yntemlerle elde edilecek bilgiler ihtiyalarn detayl bir ekilde ortaya
kmasna ve stratejinin ekillenmesine yardmc olur. Bunlarn yannda aadaki ekilde
gsterilen bilgiler de bu aamada girdi olarak kullanlmaldr.

TBTAK UEKAE

13

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Misyon ve
Ynergeler

Vizyon

Rol ve

Bilinlendirme

Bilinlendirme ve

Sorumluluklar

htiya Analizi

Eitim Program Plan

Gzlem ve

Kullanc geri

Tavsiyeler

bildirimleri
ekil 1 - htiya Analizi Girdileri

htiya analizi srecinde toplanan bilgiler aadaki u sorulara cevap verebilmelidir:

Ne tr bilinlendirme ve eitime ihtiya duyulmaktadr?
u ana kadar bu ihtiyalar karlanmas iin neler yaplmtr?
Mevcut durumda bu ihtiyalar nasl karlanmakta?
htiya duyulanla yaplan arasnda hangi alanlarda ve ne seviye aklk bulunmakta
En kritik ihtiyalar hangileridir?
htiya analizinin nemli bir paras bilinlendirme ve eitime programnn uygulamaya
konulmasna ynelik teknik gereksinimlerin ortaya karlmasdr. rnein, bilinlendirme
ierikleri bilgisayar ortamnda sunulacak ise bunun iin gerekli teknik altyapnn zellikleri
(yerel alan a, terminaller, grafik kartlar, ses kartlar, hoparlr vb.) nceden belirlenmelidir.
Ayrca snf eitimleri iin gereksinim duyulacak oda ve malzemenin zellikleri ve miktar bu
aamada tespit edilmelidir.
3.1.3 Bilinlendirme Strateji ve Plannn Gelitirilmesi
htiya analizi tamamlandktan sonra kurum, bilinlendirme programnn oluturulmasnda
izlenecek plan ve stratejiyi belirlemelidir. Plan gelitirilirken belirlenen ihtiyalarn
karlanldndan emin olunmaldr. Program plan bilinlendirme sreci gelitirme
almalarnn bavuru dokman olacaktr. Bilinlendirme plan aadaki hususlar ele
almaldr:
14

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Kurum bilgi gvenlii politikasndaki bilinlendirme ve eitim programn ilgilendiren

maddeler
Bilinlendirme ve eitim programnn kapsam
Bilinlendirme materyallerini gelitirecek ve sunacak personel ile bilinlendirme
aktivitelerine katlacak personelin rol ve sorumluluklar
Bilinlendirme ve eitim programyla ulalmak istenen kurumsal hedefler
Programn hedef kitlesi
Her bir hedef kitle grubu iin zorunlu veya istee bal kurs ve materyaller
Her bir faaliyet ile ulalmas istenen bilgi ve farkndalk seviyesi
Her bir eitim ve bilinlendirme aktivitesinde ilenecek konular
Program hayata geirmede kullanlacak uygulama yntemleri
Dokmantasyon, geri bildirim ve bilgisel kazanmlarn takibi1
Eitim materyallerinin dzenli aralklarla gzden geirilmesi ve gerekirse gncellenmesi
Her bir hedef kitle grubuna uygulanacak eitim ve bilinlendirmenin tekrarlanma skl2
3.1.4 nceliklerin Belirlenmesi
Bilinlendirme plannn hazrlandktan sonra bir uygulama takviminin belirlenmesi
gerekmektedir. Plan uygulamaya geirme ilemi aamalar halinde olacaksa nelerin nce
nelerin sonra yaplacann belirlenmesi gerekmektedir. ncelikler belirlenirken dikkate
alnmas gereken faktrler aada listelenmektedir:

Eitim materyallerinin durumu

Kurumsal rol ve risk (yksek sorumluluk ve yksek risk alanlarnda eitime ncelik
verilmesi)

Bu madde, kurum iinde kimlerin bilgi gvenli konusunda baaryla eitildii, kimlerin hala eitime ihtiya

duyduu, katlmclarn eitim materyallerini nasl deerlendirecei ve kurumun katlmclarn eitim ve dier
faaliyetlerden gerekten bir kazanm salayp salamadklarn nasl tespit edecei ile ilgilidir
2

Hedef kitleye bilinlendirme ve eitim uygulamas ylda en az bir kere yaplmaldr. Programn hedefine

ulamas asndan sreklilik gereklidir. Bilgi gvenlii konusunda daha ok sorumlulua sahip personel (sistem
yneticileri, a yneticileri, bilgi gvenlii sorumlular vb.) iin bu periyot daha sk olmaldr.
TBTAK UEKAE

15

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Gvenlik bilincinin az olduu birimlerde ncelii arttrmak

Eitime ihtiya duyan kritik projeler

3.1.5 eriklerin Bilgi Dzeyinin Belirlenmesi

Eitim materyallerinin ierii eitimi alacak personele uygun seviyede ayarlanmaldr.
Personelin anlamas mmkn olmayacak derecede karmak bilgiler sunulmas veya zaten
bildii eylerin verilmesi, eitim materyallerinin bilgi dzeyinin yanl ayarlanmasnn
sonucudur.
Eitim materyalleri iki nemli kriter gz nnde bulundurularak gelitirilmelidir:
1. Eitimi alacak hedef kitlenin kurum iindeki pozisyonu
2. Bu pozisyon iin gerekli gvenlik bilgisinin seviyesi
Bilgi gvenlii bilinlendirme ve eitim faaliyetlerinin temel amac alanlara grev ve
sorumluluklaryla dorudan alakal ve sadece gerekli olan bilgi ve kabiliyetlerin
kazandrlmasdr. Bu bilgiler nda hazrlanacak bilinlendirme materyalleri giri seviyesi
(greve yeni balayanlar iin), orta seviye (alannda belli derece deneyim sahibi olanlar iin) ve
ileri seviye (yksek gvenlik gereksinimli kritik grev ve sorumluluklara sahip personel iin)
gibi farkl dzeylerde olabilir.
3.1.6 Bilinlendirme Programnn Finansman
Bu aamada bilinlendirme programna ynelik bte gereksinimleri belirlenmeli ve
bilinlendirme sreci planna eklenmelidir. Blm 3.1.1de bahsedilen uygulama modelleri
temel alnarak gerekli finansmann miktar hakknda bir karar verilmelidir. Bilgi Teknolojileri
Direktrnn (CIO) bu konuda beklentinin ne derece olduunu st ynetime aka sunmas
gerekmektedir. Belirlenen ncelikler dikkate alnarak mevcut ve ngrlen bte zerinden
finansman kaynaklarn belirlemeye ynelik yaklamlar ilgili birimlerce karlanmaya
allmaldr. Bilinlendirme srecine ait finansman kaynaklarnn ve gereksinimlerin
belirlenmesine ynelik yaklamlar:

Toplam eitim btesinin belli bir yzdesi

Toplam BT btesinin belli bir yzdesi

Rol tabanl masraf ve btelendirme (yksek gvenlik gereksinimli rollere verilecek

eitimler genel gvenlik eitimlerinden daha masrafl olacaktr)

16

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

gibi olabilir.
3.2 Bilinlendirme ve Eitim Materyalinin Gelitirilmesi
Bilinlendirme ve eitim materyallerinin gelitirilmesi adm geni kapsaml olarak
anlalmaldr. Bu admda bilinlendirme ve eitim faaliyetleriyle verilecek ierik detaylaryla
belirlenir ve temin edilir. Bilinlendirme ve eitim materyalinin temin edilmesi farkl
biimlerde gerekleebilir:

Kurum iinde kurumun kendi imkanlaryla gelitirilebilir

Dier kurumlarn veya profesyonel kurulularn almalarndan uyarlanabilir

Eitim kurulularndan hazr olarak satn alnabilir

Hangi yolla temin edilirse edilsin materyaller gelitirilirken srekli aklda tutulmas gereken iki
nemli husus bulunmaktadr:

Personele nasl bir davran biimi kazandrlmaldr ? (Bilinlendirme)

Hedef kitleye hangi kabiliyetler kazandrlmaldr ? (Eitim)

Bilinlendirme ve eitim faaliyetleri ierik ve bilgi dzeyi anlamnda birbirinden

ayrlmaktadr. Bilinlendirmenin amac basite bilgi gvenlii konusuna dikkatlerin
ekilmesidir. Bilinlendirme faaliyetleri bireylerin bilgi gvenliinin nemi anlamasn ve
iinde buna uygun davranmasn salamaya alr. Bilinlendirme, eitim faaliyetlerine gre
daha geni bir kapsamda uygulanr. Eitim ise daha ok belli bir kitleye ilerine ynelik zel
alanlarda verilir. Eitimde ama, basite, belli zel gvenlik kabiliyetlerinin kazandrlmasdr.
Eitimde katlmclara grevlerini yerine getirirken bilgi gvenlii ile ilgili bilmesi gereken her
ey verilir ve bunlar uygulayabilmesi beklenir. Bu balamda materyal gelitirilmesi safhasnda
bunun bir eitim materyali mi yoksa bir bilinlendirme materyali mi olduu iyi bilinmelidir.
Gelitirilen materyaller mutlaka hedef kitlenin grev ve sorumluluklaryla dorudan ilgili
olmaldr. Personel materyal ile verilen bilgiyi ii ile btnletirebilmelidir. Geni kapsaml ve
genel konularn ilendii sunumlar bireylerin ilgisini ekmede baarsz kalrlar. Bir
bilinlendirme ve eitim sreci, hedef kitlenin ilgisini ekebildii ve gncel konular ele
alabildii takdirde baarl olur.

TBTAK UEKAE

17

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

3.2.1 Bilinlendirme Materyallerinin Gelitirilmesi

Bilinlendirme materyallerini gelitirmeye balamadan nce u sorunun cevaplanmas gerekir:
Personelin bilgi gvenlii ile ilgili nelerden haberdar olmasn istiyoruz? Bilinlendirme
materyalinde kullanlacak konularn belirlenmesi gerekir. Bu konuda bilgi gvenlii
eilimlerini takip eden web sayfalarndan, dergilerden, e-posta bilgilendirmelerinden
faydalanlabilir. Ayrca kurum politikalar, dzenli yaplan denetimler ve i kontroller de
bilinlendirmeye gereksinim duyulan alanlar tespit etmede yardmc olurlar.
3.2.1.1 Bilinlendirme Konularnn Seimi

Bir bilinlendirme materyalinde veya oturumunda ele alnabilecek nemli pek ok farkl konu
seilebilir. Bu konular unlar olabilir:

18

Parola kullanm ve ynetimi

Virsten, arka kap programlar ve zararl yazlmlardan korunma

Politikalar

Bilinmeyen e-posta eklentileri

Web kullanm, uygunsuz kullanm ekillerine kar uyarma

Veri depolama ve yedekleme

Sosyal mhendislik

Acil durum mdahale

Bilgi sisteminin tantm

El cihazlar gvenlii

Gizli bilginin Internet zerinden iletimi (ifreleme)

Dizst bilgisayar gvenlii

Yazlm yamalarnn uygulanmas

Yazlm lisans konular

Kurum sisteminde izin verilen yazlm trleri

Eriim kontrol konular

Ziyareti kontrol ve fiziksel eriim kurallar

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Masast gvenlii, temiz ekran temiz masast

Bask ve basl dokman gvenlii

3.2.1.2 Bilinlendirme Materyali Kaynaklar

Bir bilinlendirme program kapsamnda bavurulabilecek pek ok kaynak bulunmaktadr. Bu

kaynaklar belli bir gvenlik konusu hakknda olabilecei gibi bilinlendirme sreci
oluturmaya ynelik de olabilir. Kullanlabilecek gncel kaynaklar:

Sektr ile ilgili haber gruplarnn e-postalar, akademik enstitlerin yaynlar

Profesyonel eitim ve bilgi gvenlii kurulular

Bilgi gvenlii web siteleri

Sreli yaynlar, dergiler

Konferans, seminer ve kurslar

3.2.2 Eitim Materyallerinin Gelitirilmesi

Eitim materyallerini gelitirmeye balamadan nce u sorunun cevaplanmas gerekir: lgili
personele ne gibi bilgi gvenlii yetenekleri kazandrmak istiyoruz? Eitim materyalinde
kullanlacak konularn belirlenmesi gerekir. Ayrca her materyalin hedef kitlesine uygun
olmas salanmaldr. Seilecek eitim konularnn daha ok belli bir alan zerinde
younlam

olmasna,

katlmclara

ihtiya

duyulan

konularda

belli

kabiliyetleri

kazandrabilmesine dikkat etmek gerekmektedir.

3.2.2.1 Eitim Materyali Kaynaklar

Bir eitim program kapsamnda bavurulabilecek kaynaklar tespit ederken atlacak ilk adm
materyalin kurum iinde mi gelitirilecei yoksa dardan m alnacana karar verilmesidir.
Eer kurum eitim materyalinin gelitirilmesi iin gerekli kaynaklar ieriden temin edebilecek
yetkinlie sahipse bunu kendisi yapabilir. Aada eitim materyali gelitirilmesi konusunda
d kaynak kullanm kararnn alnmasnda deerlendirilmesi gereken kriterler verilmektedir:

Kurum olarak yeterli kaynaa sahip miyiz? Uygun kabiliyet ve tecrbeye sahip
personele sahip miyiz?

Materyalin kurum iinde gelitirilmesi d kaynak kullanmna oranla daha maliyet

etkin bir zm m?

TBTAK UEKAE

19

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Eitim materyali gelitirmenin maliyetini karlamak iin mevcut bir mekanizma var
m? Bu i iin ayrlan bte ne kadar olmaldr?

Eitim materyali dardan bir kurulu tarafndan gelitirilecekse, bunu takip ve kontrol
edebilecek kaynaklara sahip miyiz?

Gelitirilecek eitim materyali ieriinin gizlilik derecesi d kaynak kullanmn

engeller mi?

Kritik eitimlerin takvimi d kaynak kullanm ile gelitirilecek materyal ile planlanan
zamanda salanabilir mi?

3.3 Bilinlendirme ve Eitim Srecinin Uygulanmas

Srecin uygulamaya konmas aamasnda ilk olarak yeterli kaynak ve destein temin edilmesi
amacyla plann kuruma anlatlmas ve ayrntl olarak aklanmas gerekir. Bilinlendirme ve
eitim srecine kurumun neden ihtiyac olduu ynetime izah edilmeli ve sreten elde
edilecek kazanmlara vurgu yaplmaldr. Bte ile ilgili konularn mutlaka akla kavumu
olmas salanmaldr. Srecin maliyeti hangi bte ile karlanaca belirlenmelidir. Srecin
uygulanmaya konmasnda grev alacak personelin rol ve sorumluluklar net bir ekilde
belirlenmeli ve ilgililere duyurulmaldr.
Srecin uygulanmasnda izlenecek plann ynetim tarafndan onaylanmasnn ardndan
uygulama srecine balanabilir. Bilgi gvenlii bilinlendirme ve eitim materyalinin kurum
apnda nasl sunulaca ve datlacana ilikin ok sayda yntem mevcuttur.
3.3.1 Bilinlendirme Materyali Sunum Teknikleri
Bilinlendirme materyalinin personele sunumunda bavurulabilecek pek ok farkl teknik ve
yntem bulunmaktadr. Bunlardan bazlar aada verilmektedir:

Kalem, not kad, kahve fincan, fare altl gibi nesneler zerine yazlabilecek uyarc
mesajlar

Uyarc ve bilgilendirici posterler (unu yapn, unu yapmayn ierikli mesajlar)

Ekran koruyucularnda veya sisteme girite ekrana gelebilecek bilgi gvenliine

ynelik mesajlar

Kurum gazetesi ve dergisinde yaynlanabilecek bilgi gvenliine ynelik yazlar,

yaanm ykler

20

TBTAK UEKAE

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

Her masaya braklacak renkli katlara basl bltenler

Belli zaman aralklarnda tm kurum apnda gnderilecek e-postalar

nteraktif sunumlar

Bilgi gvenlii uzmanlarnn verecei seminerler

Bilgi gvenlii gnleri veya benzeri aktiviteler

dl programlar (bilgi gvenliine tevik edici davranlar dllendirme)

3.3.2 Eitim Materyali Sunum Teknikleri

Eitim materyalinin personele sunumunda bavurulabilecek pek ok farkl teknik ve yntem
bulunmaktadr. Bunlardan bazlar aada verilmektedir:

nteraktif video tabanl eitimler

Web tabanl eitimler

Bilgisayar tabanl eitimler

Snf ii eitmen nderliinde eitimler

TBTAK UEKAE

21

Bilgi Gvenlii Bilinlendirme Sreci Oluturma Klavuzu

KAYNAKA
[1]. NIST Special Publication 800-50 Building an Information Technology Security
Awareness and Training Program
[2]. NIST Special Publication 800-16 Information Technology Security Training
Requirements: A Role- and Performance-Based Model
[3]. Dancho Danchev, Building and Implementing a Successful Information Security
Policy, http://www.windowssecurity.com
[4]. Douglas
Alred,
Awareness,
http://www.sans.org/reading_room
[5]. Michelle
Johnston,
Security
http://www.sans.org/reading_room

Never

Awareness

Ending

Training

and

Struggle,
Privacy,

[6]. David Sustaita, Security Awareness Training Quiz - Finding the WEAKEST link!,
http://www.sans.org/reading_room
[7]. Chris Garrett , Developing a Security-Awareness Culture Improving Security
Decision Making, http://www.sans.org/reading_room
[8]. Chelsa Russell, Security Awareness Implementing an Effective Strategy,
http://www.sans.org/reading_room
[9]. Fred Hinchcliffe, Creating the effective Security Awareness Program and
Demonstration, http://www.sans.org/reading_room
[10]. Information Security and ISO27001 An Introduction,
www.itgovernance.co.uk/files/Infosec_101v1.1.pdf
[11]. How to Establish an ISMS Management Framework ,
http://www.isms.jipdec.jp/en/isms/frame.html

22

TBTAK UEKAE