06 Temmuz 2019’da yayımlanan bilgi ve iletişim güvenliği tedbirlerini içeren Cumhurbaşkanlığı Genelgesi’nden yaklaşık bir yıl sonra Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda “Bilgi ve İletişim Güvenliği Rehberi” yayımlandı. Söz konusu rehberin hazırlık aşamalarında ulusal ve uluslararası akademik çalışmalardan faydalanıldığı, bir çalıştay gerçekleştirildiği, uzman görüşlerinin alındığı belirtildi. 16 bakanlık ile 51 kurum ve kuruluştan 240 uzmanın katkı sağladığı çalıştayda, 70’in üzerinde çalışma toplantısı yapıldığı, 2660 görüş ve önerinin değerlendirildiği bildirildi.
Bu rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması adına alınması gereken asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.
Rehberin uygulanması sonucu elde edilmesi beklenenler somutlaştırılarak 12 hedef tanımlanmıştır. Hedefler aşağıda listelenmiştir:
1. Yerli ve milli ürün kullanımının teşvik edilmesi,
2. Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi,
3. Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması,
4. Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde yapılandırılması,
5. Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması,
6. Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi,
7. Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde gruplandırılması ve rehberin modülerliğinin sağlanması,
8. Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması,
9. İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin sağlanması,
10. Rehberin format ve içeriğinin özgün olması,
11. Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi,
12. Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile ulusal/uluslararası standartlara uyumlu olması.
Rehber, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmelere yöneliktir. İçeriği; amaç ve hedefler doğrultusunda, ulusal/uluslararası standartlar ve rehberler, iyi uygulama örnekleri ile güncel mevzuat göz önünde bulundurularak oluşturulmuş ve aşağıda listelenen dört ana bölümden oluşmaktadır:
• Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci: Önerilen tedbirlerin uygulanabilmesini sağlamak amacı ile bir uygulama süreci tanımlanmıştır. Rehber uygulama süreci, bilgi güvenliği yönetim süreçlerine alternatif olarak uygulanacak bir süreç olarak hazırlanmamış olup mevcut bilgi güvenliği yönetim süreçlerine teknik olarak katkı sağlayacak tedbirleri ve faaliyetleri içermektedir. Kurumlar rehber uygulama süreci ile tanımlanan faaliyetleri, mevcut bilgi güvenliği yönetim süreçleri kapsamında ve uyarlama yaparak yürütmelidir.
• Varlık Gruplarına Yönelik Güvenlik Tedbirleri: Tanımlanan her bir varlık grubuna dâhil olduğu ana başlığa göre uygulanacak olan asgari güvenlik tedbirleri belirlenmiş ve detaylandırılmıştır.
• Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri: Varlık grupları özelinde tanımlanan güvenlik tedbirlerine ek olarak, uygulama ve teknoloji alanlarına özel güvenlik tedbirleri tanımlanmış ve detaylandırılmıştır. Her bir varlık grubu için ilgili uygulama ve teknoloji alanları belirlenmeli ve belirlenen alanlar için tanımlanan güvenlik tedbirleri de ilgili varlık gruplarına uygulanmalıdır.
• Sıkılaştırma Tedbirleri: İşletim sistemi, veri tabanı ve sunucular için sıkılaştırma tedbirlerini içermektedir. Rehber, yaşayan bir doküman olacak şekilde; ihtiyaçlar, gelişen teknoloji ve değişen şartlar göz önünde bulundurularak sürekli güncellenecektir.
Rehberin güncellenmesi için Şekil 2’de tanımlanan sürecin işletilmesi planlanmaktadır.
Rehbere https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf adresinden erişim sağlanmaktadır.
Demet Güven