Bilgi ve İletişim Güvenliği Rehberi (Temmuz 2020)

Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında genel olarak alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır. 

<br />

Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.

<br />

Rehber, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır.

<br />

Rehberin uygulanması sonucu elde edilmesi beklenenler somutlaştırılarak 12 hedef tanımlanmıştır. Hedefler arasında; ''yerli ve milli ürün kullanımının teşvik edilmesi, rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi, güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması, rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde yapılandırılması, güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması, güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi, güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde gruplandırılması ve rehberin modülerliğinin sağlanması, tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması, ihtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin sağlanması, rehberin format ve içeriğinin özgün olması, rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi, rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile ulusal/uluslararası standartlara uyumlu olması'' gibi maddeler yer almaktadır.<br />

Rehberin içeriği; amaç ve hedefler doğrultusunda, ulusal/uluslararası standartlar ve rehberler, iyi uygulama örnekleri ile güncel mevzuat göz önünde bulundurularak oluşturulmuştur. EK-B’de rehber içeriğinin uluslararası standartlar ve yayımlı kılavuzlar ile eşleştirilmesini gösteren tablo yer almaktadır.

<br />

Rehberin içeriği aşağıda listelenen dört ana bölümden oluşmaktadır:

<br />

• Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci: Rehberde yer alan tedbirlerin uygulanabilmesini sağlamak amacı ile rehber uygulama süreci tanımlanmıştır. Rehber uygulama süreci, bilgi güvenliği yönetim süreçlerine alternatif olarak uygulanacak bir süreç olarak hazırlanmamış olup mevcut bilgi güvenliği yönetim süreçlerine teknik olarak katkı sağlayacak tedbirleri ve faaliyetleri içermektedir. Kurumlar rehber uygulama süreci ile tanımlanan faaliyetleri, mevcut bilgi güvenliği yönetim süreçleri kapsamında ve uyarlama yaparak yürütmelidir.

<br />

• Varlık Gruplarına Yönelik Güvenlik Tedbirleri: Tanımlanan her bir varlık grubuna dâhil olduğu ana başlığa göre uygulanacak olan asgari güvenlik tedbirleri belirlenmiş ve detaylandırılmıştır.

<br />

• Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri: Varlık grupları özelinde tanımlanan güvenlik tedbirlerine ek olarak, uygulama ve teknoloji alanlarına özel güvenlik tedbirleri tanımlanmış ve detaylandırılmıştır. Her bir varlık grubu için ilgili uygulama ve teknoloji alanları belirlenmeli ve belirlenen alanlar için tanımlanan güvenlik tedbirleri de ilgili varlık gruplarına uygulanmalıdır.

<br />

• Sıkılaştırma Tedbirleri: İşletim sistemi, veri tabanı ve sunucular için sıkılaştırma tedbirlerini içermektedir. 

<br />

Rehber, yaşayan bir doküman olacak şekilde; ihtiyaçlar, gelişen teknoloji ve değişen şartlar göz önünde bulundurularak sürekli güncellenecektir. Rehberin güncellenmesi için Şekil 2’de tanımlanan sürecin işletilmesi planlanmaktadır. Rehberin eski sürümlerine ve güncel sürümüne https://www.cbddo.gov.tr adresinden erişilebilir olması sağlanacaktır.

<br />

<a href="https://cbddo.gov.tr/SharedFolderServer/Genel/File/BG_REHBER.pdf" target="_blank"><strong>Bilgi ve İletişim Güvenliği Rehberi</strong></a><strong> </strong>