DDO Bilgi ve İletişim Güvenliği Rehberi

Kurum ve kuruluşların veri bütünlüğünü korumak ve oluşacak risklere karşı alınacak güvenlik tedbirlerini içeren Bilgi ve iletişim güvenliği rehberi 30823 sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır.

Bilgi ve iletişim güvenliği rehberi temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.

Bilgi ve iletişim güvenliği rehberi uyum süreci kritik altyapı hizmeti veren işletmelerin ve tüm kamu kuruluşların rehbere uyması zorunlu hale getirilmiş uyum süreci için 24 aylık süre tanınmıştır. Kontrol etme ve önlem alma sürecinin bir parçası olan denetimin yılda en az bir kez gerçekleştirilmesi amacıyla kurumlar tarafından gerekli planlamalar yapılması ve işletilmesi öngörülmüştür.

Uyum süreci sonunda hedeflenenler

1. Yerli ve milli ürün kullanımının teşvik edilmesi.
2. Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi.
3. Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması.
4. Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde yapılandırılması.
5. Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması.
6. Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi.
7. Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde gruplandırılması ve rehberin modülerliğinin sağlanması.
8. Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması.
9. İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin sağlanması.
10. Rehberin format ve içeriğinin özgün olması.
11. Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi.
12. Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile ulusal/uluslararası standartlara uyumlu olması.

bilgi ve iletişim güvenliği rehberi

Güvenlik tedbiri temel, orta ve ileri seviye olarak derecelendirilmiştir. Varlık grubuna uygulanacak tedbirler aşağıdaki sınıflandırmaya göre belirlenir.

• 1. Seviye Tedbirler: Kritiklik derecesi 1 olan varlık gruplarında yer alan tüm varlıklara temel seviye güvenlik tedbirleri uygulanır.
• 2. Seviye Tedbirler: Kritiklik derecesi 2 olan varlık gruplarında yer alan tüm varlıklara temel seviye güvenlik tedbirlerine ek olarak orta seviye güvenlik tedbirleri uygulanır.
• 3. Seviye Tedbirler: Kritiklik derecesi 3 olan varlık gruplarında yer alan tüm varlıklara temel ve orta seviye güvenlik tedbirlerine ek olarak ileri seviye güvenlik tedbirleri uygulanır.

Mevcut Durum ve Boşluk Analizi

Varlık gruplarının kritiklik dereceleri dikkate alınarak  güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Rehberde tanımlanan güvenlik tedbirleri  üç ana başlık altında sınıflandırılmıştır.

Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:

• Ağ ve Sistem Güvenliği
• Uygulama ve Veri Güvenliği
• Taşınabilir Cihaz ve Ortam Güvenliği
• Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği
• Personel Güvenliği
• Fiziksel Mekânların Güvenliği

Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları:

• Kişisel Verilerin Güvenliği
• Anlık Mesajlaşma Güvenliği
• Bulut Bilişim Güvenliği
• Kripto Uygulamaları Güvenliği
• Kritik Altyapılar Güvenliği
• Yeni Geliştirmeler ve Tedarik

Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları:

• İşletim Sistemi Sıkılaştırma Tedbirleri
• Veri Tabanı Sıkılaştırma Tedbirleri
• Sunucu Sıkılaştırma Tedbirleri

Rehber Uygulama Yol Haritasının Hazırlanması

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır.

Rehber uygulama yol haritası kapsamında yapılacak çalışmalar belirlenir. Çalışmalar, aşağıdaki gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:

o Yetkinlik kazanımı ve eğitimler
o Ürün tedariki
o Hizmet alımı
o Danışmanlık
o Geliştirme / yeniden geliştirme
o Tasarlama / yeniden tasarlama
o Sıkılaştırma
o Sürüm güncelleme
o Dokümantasyon
o Kurumsal süreç iyileştirme

Yapılacak çalışmalar belirlendikten sonra her çalışma için 2-3 aylık dönemler halinde hedefler belirlenir ve gerekli kaynak tahsisi (personel, bütçe, fiziksel ortam vb.) için planlama yapılır. Uygulama yol haritası kapsamında yapılan planlamalar rehber içerisinde yer alan formlar ilekayıt altına alınır. Kurum, boşluk analizi sonucunda uygulanması gereken ilave tedbirler kapsamındaki herhangi bir gereksinimi; üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı rehberde tanımlandığı şekli ile karşılayamaması durumunda telafi edici kontroller uygulayabilir. Telafi edici kontroller, yerine uygulandıkları tedbir maddeleri ile aynı amaç ve etkiye sahip olmaları durumunda kullanılabilir olarak kabul edilecektir. Uygulanmasına karar verilen her bir telafi edici kontrol rehber içerisinde yer alan form ile kayıt altına alınmalıdır.

Bilgi güvenliğinde en zayıf halkanın insan faktörü olduğu göz önünde bulundurulduğunda, hem güvenlik tedbirlerinin uygulanmasında hem de uygulanan güvenlik tedbirlerinin denetlenmesinde
görev alacak kurum personelinin belirli bir yetkinliğe sahip olması önem arz etmektedir. Bu çerçevede, bilgi güvenliği ile ilgili eğitimler kaynaklar dâhilinde planlanmalı ve personelin gelişimi hakkında ışık tutacak ölçüm mekanizmaları hayata geçirilmelidir. Eğitimlerin sadece teorik bilgi vermekten ziyade, personelin ilgili alanda pratik becerisini arttıracak uygulamaları içermesi önemlidir. Bu kapsamda planlanacak eğitimlerde, laboratuvar ortamının bulunması ve bu ortamda katılımcıların öğrendikleri bilgiyi beceriye dönüştürmesi sağlanmalıdır.

Bilgi ve İletişim Güvenliği Temel Prensipleri
Yol haritasının planlanması ve uygulanması aşamalarında gerçekleştirilecek tüm çalışmalarda  temel prensipler dikkate alınmalıdır.

Bilgi ve İletişim Güvenliği Temel Prensipleri

• Yetkin Personel: Yol haritasını uygulayacak ve denetim faaliyetlerini yürütecek personel bilgi güvenliği, siber güvenlik veya kişisel verilerin korunması konularında temel eğitimleri almış olmalıdır.
• Güvenlik Temelli Tasarım (Security by Design): Güvenlik tasarım aşamasında dikkate alınmalı ve tasarım aşamasında güvenlik tasarımı yapılmalıdır.
• Mahremiyet Temelli Tasarım (Privacy by Design): Kişisel veri güvenliği tasarım aşamasında dikkate alınmalı ve tasarım aşamasında güvenlik tasarımı yapılmalıdır.
• Derinlemesine Savunma (Defence in Depth): Varlıkların güvenliği ihtiyaçlar dikkate alınarak birden fazla savunma katmanı ile sağlanmalıdır.
• Saldırı Yüzeyinin Azaltılması: Saldırıya maruz kalınabilecek alanların en aza indirilmesi sağlanmalıdır.
• Asgari Yetki Tanımlama: Bir işin gerçekleştirilmesi için yeterli ve en az yetkiyle çalıştırılması sağlanmalıdır.
• En Zayıf Halkanın Tespiti: Yapılan çalışmalarda ve tasarımlarda en zayıf halkanın tespit edilerek güçlendirilmesi için planlama yapılmalıdır.
• Güvenlik Hedeflerinin İş Hedefleriyle Uyumu: Güvenlik hedefleriyle iş hedeflerinin birbirleriyle uyumu sağlanmalıdır.
• Yerli ve Milli Ürünlerin Tercih Edilmesi: İhtiyaç duyulan güvenlik gereksinimlerinin karşılanması durumunda yerli ve milli ürünler tercih edilmelidir.
• Mükerrer Çalışma ve Yatırımların Önlenmesi: Mükerrer çalışma ve yatırımların önüne geçilecek şekilde çalışmalar yürütülmelidir.
• Bilmesi Gereken Prensibi: Herhangi bir konu veya işi, görev ve sorumlulukları gereği; öğrenme, inceleme, gereğini yerine getirme ve koruma sorumluluğu bulunanlar yetkileri düzeyinde bilgi sahibi olmalıdır.

Ağ ve Sistem Güvenliği Amacı

Bu güvenlik tedbiri ana başlığının amacı, ağ ve sistem güvenliği çerçevesinde ele alınan tedbir listeleri ve denetim sorularını belirlemektir. “Ağ ve Sistem Güvenliği” ana başlığı kapsamında ele alınan güvenlik tedbirleri alt başlıkları aşağıda yer almaktadır.

Donanım Varlıklarının Envanter Yönetimi
Yazılım Varlıklarının Envanter Yönetimi
Tehdit ve Zafiyet Yönetimi
E-Posta Sunucusu ve İstemcisi Güvenliği
Zararlı Yazılımlardan Korunma
Ağ Güvenliği
Veri Sızıntısı Önleme
İz ve Denetim Kayıtlarının Tutulması ve İzlenmesi
Sanallaştırma Güvenliği
Siber Güvenlik Olay Yönetimi
Sızma Testleri ve Güvenlik Denetimleri
Kimlik Doğrulama ve Erişim Yönetimi
Felaket Kurtarma ve İş Sürekliliği Yönetimi
Uzaktan Çalışma

DDO Bilgi ve İletişim Güvenliği Rehberi kapsamlı bilgilerine resmi sitesinden erişerek daha detaylı bilgi alabilirsiniz.

DDO Bilgi ve İletişim Güvenliği Rehberi uyum süreci hizmetimiz ile kuruluşların ilgili yasa kapsamında veri güvenliğini ve iş sürekliliğini sağlamaktayız.

Bilgi ve Destek için  [email protected] adresine mail atabilir veya 0850 308 0025 nolu telefondan bize ulaşabilirsiniz.

MENÜYÜ KAPAT