ARD Sistem - eng.bahcesehir.edu.tr

BAHÇEŞEHİR ÜNİVERSİTESİ
Fen Bilimleri Enstitüsü – Bilgi Teknolojileri Yüksek Lisans Programı
YZM5604 Bilgi Güvenliği Yönetimi
Dönem Projesi (2014-2015 Güz YY)
ARD Sistem
Şirket İncelemesi ve BGYS Kurma Çalışmaları
(sürüm 1.57)
Önemli Uyarı : “ARD Sistem” tamamen kurgulanmış bir şirkettir ve gerçek dünyadaki herhangi bir oluşumla hiç bir ilgisi yoktur. Kurgu içinde verilen tüm bilgiler
gerçek dışıdır ve sadece YZM5604 dersi dönem proje uygulaması oluşturmak için senaryolaştırılmıştır. Bu ödev metni, yazarından izin alınmadan kullanılamaz.
(C) Orhan Gökçöl – Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü, Bilgi Teknolojileri Y. Lisans Programı – [email protected]
1
ARD Sistem
Şirket Profili
ARD Sistem, iki ayrı alanda uzmanlaşmış bir yüksek teknoloji şirketidir: 1) çeşitli oyun konsolları için oyun
programları geliştirmek, 2) Modelleme ve benzetim (simülasyon) sistemleri geliştirmek.
ARD Sistem’in ana faaliyet alanları olarak şunlar sayılabilir:






oyun teknolojileri araştırma ve geliştirme,
oyun geliştirme,
modelleme ve simülasyon sistemleri geliştirme,
ürün destek,
satış ve pazarlama,
eğitim
1993 yılında kurulmuş olan ARD Sistem, 2006 yılında İstanbul Çekmeköy’deki yeni milenyumu çağrıştıran
teknolojik altyapısı ve görünümü ile farklılaşan, 20 katlı ve toplam 15,000m2 kullanım alanı olan (içinde genel
müdürlüğün de olduğu) yeni yerleşkesine taşındı.
1993-2001 yılları arasında kişisel bilgisayar oyunları geliştirme konusunda çalışan ARD Sistem, 2001-2008 yılları
içerisinde, Nintendo Wii, Sony Playstation ve Microsoft Xbox gibi oyun konsolları üreten ve bu konsollara çeşitli
aksesuarlar tedarik eden büyük piyasa oyuncuları için çeşitli oyunlar ve oyun geliştirme kütüphaneleri üreterek
kendine kârlı bir pazar oluşturdu.
ARD Sistem, 2006 yılına gelindiğinde, üniversitelerdeki Yazılım Mühendisliği Bölümleri’nde
“Oyun
Programlama” içerikli seçmeli derslere destek vererek ve aktiviteler düzenleyerek geliştirdiği oyun
programlama kütüphanelerinin geniş kitlelerce öğrenilip kullanılmasını sağladı. Aynı yıl, grafik donanımları için
sürücü (driver) yazılımları geliştirme ve kritik sistemler için müşteriye özel yazılım çözümleri üretme şeklinde
tanımlanabilecek iki yeni pazara daha girdi.
2006 yılı sonunda, modelleme ve simülasyon alanında ciddi altyapı yatırımları yaparak bu alanda çalışacak bir
birim oluşturdu. 2006-2008 arasında, haptik arayüzlerle de kullanılabilen genel amaçlı bir simülasyon motoru
geliştirdi. Bu motoru kullanarak; bir dalış okulu için su altı benzetim yazılımı ve sistemi, Deniz Kuvvetleri eğitim
faaliyetlerinde kullanılmak üzere bir denizaltı simülatörü, yabancı bir havayolu şirketi için ise uçuş simülatörü
geliştirdi. Çeşitli askeri ve emniyet birimleri için küçük çapta silah sistemleri simülasyonları oluşturdu. Bu alanda
edindiği tecrübe ve başarılardan sonra NATO bünyesinde silah sistemlerinin öğretilmesi ile ilgili oluşturulacak
simülasyonlar için çeşitli yazılım ve sistem geliştirme ihaleleri aldı. ARD Sistem, sadece benzetim (simülasyon)
yazılımları yapmaktadır. Ancak, simülasyon donanımlarının tasarım ve geliştirilmesi konusunda bazı donanım
üreticileri ile de çok yakın işbirlikleri bulunmaktadır.
ARD Sistem’in Türkiye’deki yerleşkesi dışında, İTÜ Teknokent yapılanması içinde bir araştırma birimi
bulunmaktadır.
ARD Sistem’in ayrıca; Kanada, Almanya, Azerbeycan, Çin ve Hindistan’da satış ve pazarlama ofisleri
bulunmaktadır. Tüm üretim Çekmeköy yerleşkesinde yapılmaktadır.
Önemli Uyarı : “ARD Sistem” tamamen kurgulanmış bir şirkettir ve gerçek dünyadaki herhangi bir oluşumla hiç bir ilgisi yoktur. Kurgu içinde verilen tüm bilgiler
gerçek dışıdır ve sadece YZM5604 dersi dönem proje uygulaması oluşturmak için senaryolaştırılmıştır. Bu ödev metni, yazarından izin alınmaksızın kullanılamaz.
(C) Orhan Gökçöl – Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü, Bilgi Teknolojileri Y. Lisans Programı – [email protected]
2
Şirket, ISO9001 Kalite Güvence Sistemine sahiptir ve yakın bir tarihte uluslararası bir akreditasyon kurumundan
belgesini yenilemiştir. Şirketin ürettiği ürünler için CC (Common Criteria) belgesi vardır. ARD Sistem, yazılım
geliştirme konusunda çok tecrübelidir ve SPICE (ISO15504) belgesine sahiptir.
Şirket, her türlü müşteri ve ürün kayıtlarını elektronik ortamlarda saklamaktadır. Ayrıca, yeni ürün geliştirme ile
ilgili çalışmalar, sözleşmeler ve yazışmalar hem elektronik hem de kâğıt ortamında tutulmakta ve
saklanmaktadır.
Şirket, yurt içi ve yurt dışındaki birimleri arasında çalışan etkin bir ağ altyapısına sahiptir. Tüm haberleşme
“güvenlikli” olarak ve IP tabanlı yapılmaktadır.
Şirket Vizyonu:
Yurtiçinde ve yurtdışında ulaşılan başarılı konumu sürekli geliştirerek oyun programlama ve simülasyonlar
geliştirme konularında dünyada en iyi olmak, üniversiteler ile her geçen gün artan işbirliklerine devam etmek
ve ileri teknoloji bilgisi, dinamik ve yetkin kadrosuyla, girişimci, sağduyulu, müşteri odaklı yaklaşımıyla tüm
dünyada “mükemmel ve lider bir teknoloji şirketi olmak” tır.
Şirket Misyonu:
Oyun programlama ve benzetimler konusundaki uzmanlığını ar-ge’ye yaptığı yatırımlarla ve üniversitelerle
yaptığı yakın işbirlikleriyle güçlendiren ARD Sistem’in misyonu, oyun teknolojileri, simülasyonlar ve
programlama konusunda müşterilerin ihtiyaçlarını dinleyerek ürünler ortaya çıkarmak ve teknolojik altyapısını
yaymak ve güçlendirmek için üniversitelerle işbirliği içinde hareket etmektir.
Kalite Belgesi:
Oyun programlama konusunda çıkarttığı ürünler ve geliştirdiği sistemlerle gerek yurtiçinde gerekse yurtdışında
sektörde adından saygınlıkla söz ettiren ARD Sistem, verdiği hizmetlerin her zaman bir adım daha kaliteli olması
hedefiyle organizasyonel düzenlemelere de giderek ARD Sistem Kalite Yönetim Sistemini kurdu. QSCInc
(Quality Systems Corporation ) tarafından yapılan ISO 9001Kalite Yönetim Sistemi Denetimini başarıyla
tamamlayan ARD Sistem, ISO 9001 Kalite Belgesini SIFIR HATA ile 2004 yılında aldı. Belge en son, 2012 yılında
yenilendi.
ARD Sistem Kalite Politikası:
ARD Sistem’in üst yönetimi ve tüm çalışanları olarak şirketin Kalite Politikası, müşterilerini ve Pazar ihtiyaçlarını
dinleyen ve müşterilerinin isteklerini ve beklentilerini zamanında ve eksiksiz karşılayan; ürün geliştirme ve
üretim ile ilgili tüm süreçlerine hâkim bir şekilde kaliteli ürün çıkartan; ar-ge sonuçlarını ürün ve hizmet
kalitesini arttırmada kullanan bir hizmeti üstün kalitede sunmaktır.
Önemli Uyarı : “ARD Sistem” tamamen kurgulanmış bir şirkettir ve gerçek dünyadaki herhangi bir oluşumla hiç bir ilgisi yoktur. Kurgu içinde verilen tüm bilgiler
gerçek dışıdır ve sadece YZM5604 dersi dönem proje uygulaması oluşturmak için senaryolaştırılmıştır. Bu ödev metni, yazarından izin alınmaksızın kullanılamaz.
(C) Orhan Gökçöl – Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü, Bilgi Teknolojileri Y. Lisans Programı – [email protected]
3
Şirket Birimleri:
Genel Merkez:
Genel merkezde 1000 civarında kişi çalışmaktadır. Bu kişilerin iş tanımlarına göre dağılımları şöyledir:

Kuruluşun küresel fonksiyonunu desteklemek için: 100 kişi (hukuk, insan kaynakları ve diğer destek
kadrosu)

Yazılım geliştirme: 600 kişi (oyun programlama, oyun kütüphaneleri geliştirme, yazılım test vb gibi,
yazılım geliştirme hayat döngüsündeki bütün kademelerde çalışanlar bu sayıya dahildir).

Çağrı Merkezi / ürün destek: 100 kişi

Bilgi İşlem Merkezi Genel Merkez bünyesinde bulunmaktadır ve üç vardiyalı, 7/24 çalışan toplam 50
kişi istihdam edilmektedir.

Satış ve pazarlama biriminde 150 kişi çalışmaktadır.

Ar-Ge biriminde 25 kişi çalışmaktadır. Şirketin asıl Ar-Ge kaynağı, Teknokent’teki birimleridir. Bu
kişilerin belli bir çalışma saati yoktur ve mobil olarak da çalışabilmektedirler.

Oyun Konsolu Üreticileri İle Koordinasyon Birimi: 15 kişi çalışmaktadır. Çeşitli oyun konsolu üreticileri
ile ilişkileri (ürün uyumluluğu, ürün sertifikası vb) denetleyen bir birimdir.

Modelleme ve Simülasyon Birimi: 40 kişi çalışmaktadır. Çeşitli senaryolar dâhilinde sistem modellemesi
ve benzetim senaryoları geliştirmektedirler. Yazılım geliştirme ve Ar-Ge bölümleriyle ortak
çalışmaktadırlar.
Üniversite İlişkileri Birimi: ARD Sistem, özellikle üniversitelerle olan ilişkilerine büyük önem vermektedir. Bu
birimde çalışan, tamamı doktoralı 20 kişi vardır. Üniversitelerle ortak projeler gerçekleştirilmesi, üniversitelere
ders içeriği desteği, laboratuvar desetği, staj vb gibi alanlarda stratejiler üretilmekte ve uygulanmaktadır.
Üniversite İlişkileri Birimi de genel müdürlük yerleşkesindedir. Ancak, çeşitli üniversitelerde bazı araştırma
ofisleri de bulunmaktadır. Bu ofislerde çalışanlar ARD Sistem çalışanı değil, ilgili üniversitelerle yapılan
anlaşmalar gereği proje temelli çalışmalar yapan akademisyenler ve üniversite destek personelidir.
Tüm birimlerde yüksek hızlı ağ bağlantısına sahip (masaüstü) kişisel bilgisayarlar bulunmaktadır. Ayrıca,
özellikle Ar-Ge ve yazılım geliştirme birimlerinde taşınabilir bilgisayarlar da yaygın olarak kullanılmaktadır.
İTÜ Teknokent Araştırma Birimi: Teknokent bünyesinde, tamamı yüksek lisans ya da doktora yapan kişilerden
oluşan 100 kişilik bir araştırma birimi vardır. Modelleme ve benzetim, ARD'nin çok önem verdiği bir araştırma
alanıdır. Özellikle Matematik altyapısı olan araştırıcılar; matematiksel modelleme, algoritma geliştirme gibi
konularda çalışmakta ve özgün teknolojiler üreterek (yazılım, model) patent ve faydalı model belgesi
almaktadırlar. Ayrıca, çeşitli üniversitelerden danışman olarak destek veren 25 tane de doktoralı öğretim üyesi
bulunmaktadır.
Yurt Dışı Satış ve Pazarlama Ofisleri: Her bir ofiste 10 kişi çalışmaktadır. Sadece satış ve pazarlama
yapılmaktadır. Satışı yapılan ürünlerle ilgili destekler Türkiye'den telefon ve elektronik kanallarla verilmektedir.
Tüm ofislerin Genel Merkez ile ağ bağlantıları mevcuttur.
Önemli Uyarı : “ARD Sistem” tamamen kurgulanmış bir şirkettir ve gerçek dünyadaki herhangi bir oluşumla hiç bir ilgisi yoktur. Kurgu içinde verilen tüm bilgiler
gerçek dışıdır ve sadece YZM5604 dersi dönem proje uygulaması oluşturmak için senaryolaştırılmıştır. Bu ödev metni, yazarından izin alınmaksızın kullanılamaz.
(C) Orhan Gökçöl – Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü, Bilgi Teknolojileri Y. Lisans Programı – [email protected]
4
SONUÇ:
ARD Sistem için, “İstikrarlı büyüme ve değer yaratımı ile sektörünün tartışmasız lideri haline gelme,
müşterilerin ve çalışanların ilk tercihi olma”, vizyonunu gerçekleştirebilmenin en önemli koşulu, müşterilerine
ve şirkete ait bilgi varlıklarını en üst düzeyde korumaktadır. ARD Sistem'in yazılım geliştirme süreçleri ISO15504
(SPICE)'a uygundur ve kuruluşun sertifikası vardır. Ayrıca, geliştirdiği bazı ürünlerin güvenli çalışması ile ilgili
olarak, ISO15408 (Common Criteria) sertifikalarına sahiptir.
ARD Sistem, Bilgi Güvenliği Yönetim Sistemini ISO27001:2014’e göre tesis etmek istemektedir. Bunun için,
öncelikle, şirket içinde bir ön çalışma yapılıp bir yol haritası belirlenecektir. Genel Müdür ve üst yönetim
ISO27001’e büyük önem vermektedir, çünkü NATO’nun gelecek sene açacağını duyurduğu ve yaklaşık bedeli
500Milyon USD olan çeşitli yazılım ve sistem geliştirme ihaleleri için ön şartlardan birisi de, kuruluşun iyi çalışan
bir BGYS’i olmasıdır. İhalelerin açılmasına yaklaşık 16 ay vardır ve genel müdürlük 13-15 ay içerisinde ISO27001
belgelendirmesinin yapılmasını istemektedir.
Şirket içerisinde, bu proje için yeterince eleman ayrılması ve gerekirse yeni eleman alınması veya dışardan
destek/servis, eğitim vb alınması konusunda yönetimin tam desteği bulunmaktadır.
Bilgi Teknolojilerinden sorumlu genel müdür yardımcısı, ISO27001’e uygun bir BGYS hazırlanması konusunda
yetkilendirilmiştir.
Önemli Uyarı : “ARD Sistem” tamamen kurgulanmış bir şirkettir ve gerçek dünyadaki herhangi bir oluşumla hiç bir ilgisi yoktur. Kurgu içinde verilen tüm bilgiler
gerçek dışıdır ve sadece YZM5604 dersi dönem proje uygulaması oluşturmak için senaryolaştırılmıştır. Bu ödev metni, yazarından izin alınmaksızın kullanılamaz.
(C) Orhan Gökçöl – Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü, Bilgi Teknolojileri Y. Lisans Programı – [email protected]
5
Yukarıda verilen bilgileri dikkatlice okuyup değerlendirdikten sonra aşağıdaki sorulara cevap vermeniz
gerekmektedir:
a) ARD Sistem İçin Bir Organizasyon Şeması çiziniz.
b) BGYS kurulumu için nasıl bir ekip oluşturmak gerekir? Mevcut organizasyon yapısında değişiklik
gerekiyorsa bunun için de bir öneri yapınız.
c) Sizce, ARD Sistem için Bilgi Güvenliği Projesi yapılacak pilot kapsam neresi olabilir? Kapsam Dokümanı
hazırlayınız. Kapsam dokümanında pilot olarak seçilen bölümün neden seçildiğini (Bu bölümün Bilgi
Güvenliği için neden öncelikli olduğunu) anlatınız. Kapsam dışı bırakılan bölümlerin seçilmeme
sebeplerini açıklayınız.
d) ISO27001 alanlarını ve şirketin genel işleyiş yapısını da göz önüne alarak yapılması gereken hazırlıkları
değerlendiriniz ve BGYS kurulması için bir yol haritası (yaklaşık zamanlarla birlikte) çıkartınız. Bu bir
Gantt diyagramı olabilir. Yol haritasının sonunda, belgelendirme başvurusu da olacaktır.
e) ARD Sistem'in ISO9001 Kalite Güvence Sistemi ve bazı ürünler bazında CC'a sahip olması ISO27001
BGYS kurulum çalışmaları sırasında ne gibi avantajlar sağlayabilir?
f) ARD Sistem için bir “Bilgi Güvenliği Politika Dökümanı” hazırlayınız (Dokümanınız en fazla 1 A4 sayfası
uzunluğunda olacaktır).
g) Varlık Yönetimi (Asset Management) Süreci ile ilgili dokümanı (prosedür) hazırlayınız. Bu doküman
içinde “Varlıkların Sınıflandırması”nın nasıl yapılacağını, varlıkların nasıl kayıt altına alınacağını (bunun
için bir form oluşturulabilir) yazınız.
h) Risk Değerlendirme Süreci için bir doküman (prosedür) hazırlayınız. Hangi varlıklar için risk
değerlendirme yapılacağını bu dokümanda anlatınız. ARD Sistem şirketi hangi seviyedeki varlıklar için
risk değerlendirme yapılmasını istiyor ve kabul edilebilir risk seviyesi nedir? Gerekiyorsa destekleyici
dökümanları hazırlayınız (Risk Özet Tablosu, Risk seviyesini belirleyici soruların yer aldığı form ,Risk
analizinden çıkan aksiyonlar için kimden onay alınacak? Aksiyon listesi vb.) .
i) ARD Sistem’de, Bilgi Güvenliği İhlal Olaylarının nasıl ele alınacağını belirleyiniz ve dokümante ediniz.
(Bilgi Güvenliği olaylarında kime haber verilecek vb.)
j) Bilgi Sistemlerin sürecindeki dokümantasyon işlerinin kimler tarafından yapılacağını belirleyiniz ve
yazılması gereken dokümanlara en az 2 örnek veriniz (yedekleme süreci, anti virüs, sistem kurulum,
sistem bakımı vb.)?
k) ISO27001 belgelendirme sürecini göz önüne aldığınızda, yukarıdakilere (a..j) ek olarak, başka neler
yapılması gerekir? Maddeler halinde yazınız.
l) Dışardan destek alınması gereken alanlar (varsa) neler olabilir? Nerelerden destek alınabilir? Kısaca
açıklayınız.
m) Sertifika denetiminden önce İç Denetim yapılması gerekmektedir. İç denetimi kime yaptıracağınızı
belirleyiniz (Şirket içi denetimle ilgili bir bölüme mi? dışardan danışman bir firmaya mı? Neden?)
n) Sertifikasyon için kime ve nasıl başvurmak gerekir? Kısaca anlatınız.
o) Kendinizi ARD Sistemi denetleyecek denetim firmasının baş denetçisi olarak düşünüp "sertfikasyon
denetiminde ziyaret edilecek kapsam ve kapsama destek sağlayacak bölümler için plan yapınız". Hangi
saatte kimlerle görüşülecek, vb ile ilgili bir taslak çıkartınız.
Önemli Uyarı : “ARD Sistem” tamamen kurgulanmış bir şirkettir ve gerçek dünyadaki herhangi bir oluşumla hiç bir ilgisi yoktur. Kurgu içinde verilen tüm bilgiler
gerçek dışıdır ve sadece YZM5604 dersi dönem proje uygulaması oluşturmak için senaryolaştırılmıştır. Bu ödev metni, yazarından izin alınmaksızın kullanılamaz.
(C) Orhan Gökçöl – Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü, Bilgi Teknolojileri Y. Lisans Programı – [email protected]
6
ÖNEMLİ: Cevaplarınızda herhangi bir ek bilgiye ihtiyaç duyuyorsanız, bununla ilgili bir varsayımda bulunup
çözümünüze devam edebilirsiniz. Örneğin, tüm sunucuların Windows 2008 Server olduğu, kartlı geçiş sistemi
olduğu, uzaktan erişim için VPN olduğu vb gibi. Ancak, kullandığınız her türlü varsayımı mutlaka belirtmelisiniz.
ÖNEMLİ: Senaryoya küçük çaplı ilaveler yapabilirsiniz.
ÖNEMLİ: Tüm cevaplarınızı tek bir dökümanda birleştirerek hazırlayınız ve spiral cilt ile ciltletiniz. Dökümanın en
başında grup üyelerini tanıtıcı tek bir sayfanın da olması zorunludur.
ÖNEMLİ: Projeyi hazırlarken yararlandığınız kaynakları dökümanın en sonunda vermeniz gerekmektedir.
DİKKAT! BU BİR GRUP PROJESİDİR. GRUPLAR 2-4 KİŞİLİK OLUŞTURULACAKTIR. 26 KASIM 2014’E
KADAR GRUPLARIN OLUŞTURULMASI VE BANA E-POSTA İLE BİLDİRİLMESİ GEREKMEKTEDİR.
PROJE TESLİMİ ve DEĞERLENDİRME: 6/13 Ocak 2015 Salı günleri; 18:45-21:30 arası projelerinizi “yazılı
olarak” teslim etmeniz gerekmektedir. Dijital kopyasını da dersin eposta adresine göndereceksiniz. Her grup
aynı gün projesini sınıfta sunacaktır. Sunum için 20 dakika süre verilecektir. Proje sunumunda tüm grup
üyelerinin hazır bulunması gerekmektedir.
Ayrıca, projelerinizle ilgili bir ara değerlendirmeyi de 31 Aralık 2014 tarihinden önce (ofisime gelerek) bana
anlatmanızı istiyorum.
DEĞERLENDİRME:





ARA DEĞERLENDİRME : %10
TÜM EKİBİN PROJEYE KATKISININ OLMASI : %10
SUNUM : %20
PROJE DOKÜMANI : %20
KAPSAM DEĞERLENDİRMESİ : %40 (sorulan herşeyi yapmış olma)
Önemli Uyarı : “ARD Sistem” tamamen kurgulanmış bir şirkettir ve gerçek dünyadaki herhangi bir oluşumla hiç bir ilgisi yoktur. Kurgu içinde verilen tüm bilgiler
gerçek dışıdır ve sadece YZM5604 dersi dönem proje uygulaması oluşturmak için senaryolaştırılmıştır. Bu ödev metni, yazarından izin alınmaksızın kullanılamaz.
(C) Orhan Gökçöl – Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü, Bilgi Teknolojileri Y. Lisans Programı – [email protected]