Teknolojinin hızlı gelişimi ile günlük hayatta kurumlar, kişiler, devletler ve hatta teknolojiyi kullanan endüstriyel ürünler topladıkları, işledikleri ve barındırdıkları veriler ile potansiyel siber saldırıların hedefleri olmuş durumdadırlar. Bu saldırılar neticesinde elde edilen verinin kritiklik derecelerine göre kimi zaman milli güvenliği tehdit, toplumsal düzenin bozulması, firmaların ve kişilerin itibarlarını ve ekonomik geleceklerini yıkıcı ölçüde zarara uğratma potansiyelleri yüksek olmaktadır. Ne geçmişte, ne şu an ne de gelecekte yüzde yüz güvenlikten bahsedilmesi mümkün olmamakla beraber, bu alanda uzun uğraşlar ve tecrübelerin ışığında hazırlanmış regülasyonların harfiyen uygulanması ile zararların en az etki ile atlatılması veya zarardan kaçınılması mümkün olabilir.
Bu kapsamda kamu kurumları ve kritik altyapı hizmeti veren (enerji, elektronik haberleşme sektörleri) işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren, 06.07.2019 tarih ve 30823 sayılı Resmi Gazete ’de yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yasal düzenleme boyutunda ülke çapında bilgi güvenliği seviyesini artırmaya yönelik önemli bir adım olmuştur.
Genelge ile birlikte T.C. CUMHURBAŞKANLIĞI Dijital Dönüşüm Ofisi tarafından uzun süreli ve geniş kapsamlı bir çalışmanın ardından Bilgi ve İletişim Güvenliği Rehberi (BİGR) hazırlanmış ve duyurusu yapılmıştır. https://cbddo.gov.tr/bgrehber
Her ne kadar rehberin uygulanması için Kamu kurumları ve kritik altyapı hizmeti veren sektörler işaret edilmiş ve sorumluluk yüklenmişse de bu rehber, kritik veri barındıran tüm bilgi sistemleri altyapısına sahip kurum ve kuruluşlar tarafından uygulanması veri güvenliği için önem arz etmektedir.
Rehberin 1.1 Amaç ve Kapsam başlıklı kısmında temel amaç olarak;
Bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanması tanımı yapılmıştır.
Rehber, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır.
Rehberin uygulanması sonucu elde edilmesi beklenenler somutlaştırılarak 12 hedef tanımlanmıştır.
1. Yerli ve milli ürün kullanımının teşvik edilmesi
2. Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi
3. Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması
4. Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde yapılandırılması
5. Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması
6. Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi
7. Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde gruplandırılması ve rehberin modülerliğinin sağlanması
8. Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması
9. İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin sağlanması
10. Rehberin format ve içeriğinin özgün olması
11. Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi
12. Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile ulusal/uluslararası standartlara uyumlu olması
Rehber uygulama yol haritasında öncelikle varlıkların belirlenmesi ve altı ana varlık grubu altında sınıflandırılması, ardından anket yapılarak varlıkların kritiklik seviyelerinin 3 derece ile belirlenmesi gerekiyor.
Ana Varlık Grupları;
1. Ağ ve Sistemler
2. Uygulamalar
3. Taşınabilir Cihaz ve Ortamlar
4. Nesnelerin İnterneti (IoT) Cihazları
5. Fiziksel Mekânlar
6. Personel
Bu ana varlık gruplarına yapılacak anket çalışması ile 1., 2. ve 3. seviye kritiklik seviyeleri belirleniyor. Bu seviyelere göre de rehberde yer alan toplam 661 tedbir maddelerinden ilgili kritiklik derecelerine göre uygulanması gerekenler belirlenip tedbirlerin mevcutta uygulanıp uygulanmadığı veya kısmen uygulandığı tespit ediliyor. Alınan sonuçlara göre de bilgi ve iletişim güvenliği için alınması gereken tedbirler, iyileştirmeler vs belirlenebiliyor.
Toplamda 661 adet olan tedbir maddeleri çok geniş bir alanı içermektedir. Envanter yönetiminden başlayarak, tehdit ve zafiyet yönetimi, E-posta sunucusu ve istemcisi güvenliği, zararlı yazılımlardan korunma, ağ güvenliği, veri sızıntısı önleme, iz ve denetim kayıtları, sanallaştırma güvenliği, siber güvenlik olay yönetimi, sızma testleri, kimlik doğrulama ve erişim yönetimi, felaket kurtarma ve iş sürekliliği, uzaktan çalışma, oturum yönetimi, yetkilendirme, dosyaların ve kaynakların güvenliği, güvenli kurulum ve yapılandırma, güvenli yazılım geliştirme, veri tabanı ve kayıt yönetimi, kata ele alma ve kayıt yönetimi, iletişim güvenliği, kötücül işlemleri engelleme, dış sistem entegrasyon güvenliği, akıllı telefon ve tablet güvenliği, taşınabilir bilgisayar güvenliği, taşınabilir ortam güvenliği, API ve bağlantı güvenliği, eğitim ve farkındalık faaliyetleri, tedarikçi ilişkileri güvenliği, sistem odası/veri merkezi güvenliği, elektro manyetik bilgi kaçaklarından korunma (TEMPEST), kişisel verilerin güvenliği, kayıt yönetimi, erişim hakları, yetkilendirme, şifreleme, yedekleme, silme, yok etme, anonim hale getirme, aydınlatma, açık rıza yönetimi, anlık mesajlaşma, bulut bilişim güvenliği, kriptografik algoritmalar, anahtar yönetimi, enerji ve elektronik haberleşme sektörüne özel güvenlik tedbirleri, işletim sistemi sıkılaştırma tedbirleri, veri tabanı sıkılaştırma tedbirleri, web ve sanallaştırma sunucularına yönelik sıkılaştırma tedbirleri gibi konulardan oluşur.
Görüldüğü gibi veri güvenliğine konu olabilecek hemen hemen her konunun hassas bir şekilde ele alınarak hazırlanan Bilgi ve İletişim Güvenliği Rehberi, teknolojik gelişmelerin getireceği yeni tedbirleri de sıkı bir şekilde takip ederek dinamik bir yapıda güncellenmesi hedeflenmiştir.
Creative Commons Atıf 4.0 Uluslararası lisansı (https://creativecommons.org/licenses/by/4.0/deed.tr) ile lisanslanmış olan ve bilgi ve iletişim güvenliği alanında ülkemize özgün ilk referans doküman olma özelliği taşıyan rehberimizin bilgi ve iletişim güvenliği alanında riskleri en aza indirgeyecek sonuçlara ulaşmada tüm sektörün temel bilgi kaynağı olması önem arz etmektedir.
Hakan ALTAY
TRSİBER Bilişim ve Danışmanlık A.Ş.
DDO BİGR D1/D2 Baş Denetçi
Comments