CBDDO Bilgi ve İletişim Güvenliği Rehberi Uyum Sürecinin Yönetilmesi

Bilgi ve İletişim Güvenliği Rehberi (Rehber), 10 Temmuz 2020 tarihinde Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CBDDO) tarafından yayımlanarak yürürlüğe girmiştir. Rehber, “bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanmasını”* amaçlayarak; Bilgi ve İletişim Güvenliği tedbirlerini tanımlamıştır.

Rehber Kapsamı

Rehber, kamu kurumları ve kritik altyapı hizmeti veren işletmeleri (bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan) kapsamaktadır.

Kritik Altyapı Sektörleri: Elektronik Haberleşme, Enerji, Bankacılık ve Finans, Kritik Kamu Hizmetleri, Ulaştırma, Su Yönetimi.

Rehber temel olarak kuruluşlara;

  • Bilgi varlıklarını tanımlamalarını,
  • Varlıklarının kritiklik seviyelerini değerlendirmelerini,
  • İçinde bulundukları sektörlere, varlık türlerine ve varlık kritiklik seviyelerine göre uygun güvenlik tedbirlerini almalarını ve
  • Var ise mevcut bilgi güvenliği yönetim sistemi yapıları ile entegre olacak şekilde bu çalışmaları gerçekleştirmelerini önermektedir.

CBDDO tarafından kapsam dahilindeki kuruluşlara yönelik olarak tanımlanan kademeli uyum süreci, Temmuz 2022 itibari ile tamamlanmıştır. Bu tarihten sonra, ilgili kuruluşların gerekli güvenlik tedbirlerini almış olmaları ve Rehber’e uyumlu şekilde çalışmalarını gerçekleştirmeleri beklenmektedir.

Rehbere Uyum Aşamaları

Rehber’e tamamen uyumlu hale gelebilmek için, yukarıda tanımlanan temel adımları detaylandıracak olursak:

PLANLAMA

  • Bilgi ve iletişim varlıkları gruplarını belirlenmesi
  • Varlık grubu kritiklik derecesinin belirlenmesi
  • Mevcut durum ve boşluk analizi gerçekleştirilmesi
  • Uygulama yol haritasının oluşturulması

UYGULAMA

  • Kuruluşlar tarafından Rehber’de tanımlanan tedbirlerin (ya da amaç ve aynı etkiye sahip telafi edici diğer tedbirlerin) işletilmesi

KONTROL ETME & ÖNLEM ALMA

  • Rehber uygulama yol haritasının gerçekleşme durumunun takip edilmesi
  • Bilgi ve iletişim güvenliği denetimlerinin gerçekleştirilmesi

DEĞİŞİKLİK YÖNETİMİ

  • Bilgi ve İletişim Güvenliği Rehber değişikliklerinin yönetilmesi
  • Varlık gruplarının değişikliklerinin yönetilmesi

Denetim

Denetim hizmeti, yılda en az bir kez olmak üzere, kurum içi kaynaklarla ya da hizmet alımı yoluyla gerçekleştirilebilmektedir. Yalnız bu denetimlere yönelik CBDDO Bilgi ve İletişim Güvenliği Denetim Rehberi’nde belirli şartlar tanımlanmıştır.

Kuruluş içi denetimlerde, denetim ekibi üyelerinin sertifikalandırılmış belirli yetkinliklere sahip olması; hizmet alımı yolu ile yapılacak denetimlerde ise denetleyecek firmanın ve denetçilerinin TSE tarafından belgelendirilerek yetkilendirilmiş olması gerekmektedir.

Ek olarak görevler ayrılığı ilkesinin gözetilmesi adına, kuruluşların denetim hizmetini son iki yıl içerisinde Rehber uyum süreçleri kapsamında danışmanlık hizmeti almadığı firmalardan edinebilmesi şart koşulmuştur.

Son Tarih 31 Mart 2023!

Yakın zaman içerisinde yapılan resmi duyuruya istinaden ilgili kuruluşların 31 Mart 2023 tarihine kadar Denetim Raporlarını Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi’ne (BİGDES) yüklemeleri, CBDDO tarafından beklenmektedir.

Uyum sürecinizin genelinde ya da denetim çalışmalarınız özelinde desteğe ihtiyacınız olması durumunda bizimle iletişime geçebilirsiniz.

*https://cbddo.gov.tr/bigrehber/