07 Eki, 2022

Bilgi ve İletişim Güvenliği Rehberi ile Bilgi ve İletişim Güvenliği Denetim Rehberi Hakkında Sık Sorulan Sorular

İçinde bulunduğumuz çağda bilginin klasik ortamlardan dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi halleri veriyi korunması gereken kıymetli bir hale getirmiştir. Bu kapsamda ülkemizde bilginin korunabilmesi ve siber dayanıklılığın artırılabilmesi gibi amaçlarla Bilgi ve İletişim Güvenliği Tedbirleri konulu, 2019/12 sayılı Cumhurbaşkanlığı Genelgesi, 6 Temmuz 2019 tarihinde, 30823 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. İlgili genelgeye uygun olarak. Kısaca açıklanan amaçlara uygun şekilde bilginin güvenliğinin sağlanabilmesi hususunda ilgili kamu kurum ve kuruluşları ile kritik altyapı sektörlerinde faaliyet gösteren işletmelerin uyması gereken tedbirleri detaylıca gösteren hazırlanan Bilgi ve İletişim Güvenliği Rehberi (“Rehber”) Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (“DDO”) tarafından hazırlanarak 27 Temmuz 2020 tarihinde kamuoyuyla paylaşılmıştır. Rehber’e uyum aşamalarından birisi olan denetim faaliyetlerinde uyulacak usul ve esasları gösteren Bilgi ve İletişim Güvenliği Denetim Rehberi (“Denetim Rehber”) ise DDO tarafından hazırlanarak 27 Ekim 2021 tarihinde kamuoyuyla paylaşılmıştır. Bu içerikte Rehber ve Denetim Rehberi hakkında sık sorulan soruları sizin için derledik.

Bilgi ve İletişim Güvenliği Rehberi’nin kapsamında hangi kurum ve kuruluşlar yer almaktadır?

Bilgi ve İletişim Güvenliği Rehberi’nin kapsamı;

  • Devlet teşkilatı içerisinde yer alan kamu kurum ve kuruluşları,
  • Kritik altyapı sektörleri olan “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma”, “Bankacılık ve Finans” sektörlerinde hizmet sunan işletmeler şeklindedir.

Varlık grubu kritiklik derecesi nasıl belirlenir?

Rehber kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir.

Rehberde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:

  • Ağ ve Sistemler
  • Uygulamalar
  • Taşınabilir Cihaz ve Ortamlar
  • Nesnelerin İnterneti (IoT) Cihazları
  • Fiziksel Mekânlar
  • Personel

Varlıkların kritiklik derecesini belirlemek için öncelikli olarak varlık grupları Rehber’in 22. sayfasında yer alan hususlara uygun olarak tanımlanmalıdır. Her bir varlık grubu başlığı özelinde birden çok varlık grubu tanımlanabilmektedir.

Varlık gruplarının belirlenmesinin ardından bu varlık gruplarının hangi kritiklik derecesine sahip olduğu belirlenmelidir. Her bir varlık grubunun kritiklik derecesi, işlenen verinin gizlilik, bütünlük ve erişebilirlik açısından kritikliği ile oluşabilecek güvenlik ihlallerinin etki alanları dikkate alınarak belirlenmelidir. 

Varlık grubu kritiklik derecesi belirleme aşamasında aşağıdaki adımlar takip edilir:

  • Her bir varlık grubu için EK-C.1’de yer alan anket formu ilgili paydaşların katılımı ile doldurulur. Anket çalışması kapsamında varlıkların sahipleri, sistem yöneticileri, geliştiriciler, kullanıcı temsilcileri, yöneticileri ve kurumun sahip olduğu en yetkin personel katılım sağlamalıdır. Anket doldurma çalışmalarında Delfi metodunun kullanılması önerilmektedir. Anket çalışması aşağıda yer alan Delfi metodu uygulama adımları izlenerek gerçekleştirilmelidir.
  • 1. Anketin uygulanacağı uzman kişiler belirlenir.
  • 2. Anket uzman kişiler tarafından doldurulur.
  • 3. Anket sonuçları değerlendirilir.
  • 4. Tüm katılımcılar bir fikir üzerinde ortak karar verene kadar anket uygulanmaya devam edilir ve 2. adıma dönülür.
  • 5. Tüm anket sonuçlarına göre uzlaşılan karar uygulanır.
  • Her varlık grubu için doldurulan anket sorularının cevapları için anket formunda yer alan puanlar toplanarak anket puanı hesaplanır. Rehber’de bulunan Tablo 3’e göre derece belirlenir.

Rehber’de yer alan “Gizlilik Dereceli Bilgi/Veri” ile “Kritik Bilgi/Veri”nin farkı nedir?

Rehber kapsamında Gizlilik Dereceli Bilgi/Veri, “Bilmesi gereken dışındakilere açıklanması veya verilmesi milli güvenlik ve ülke menfaatleri bakımından sakıncalı görülen ve haiz olduğu önem derecelerine “ÇOK GİZLİ”, “GİZLİ”, “ÖZEL” veya “HİZMETE ÖZEL” şeklinde sınıflandırılan bilgi/veri.” şeklinde tanımlanmıştır.
Burada yapılan sınıflandırmada bilgi ve verinin gizlilik derecesi temel kriterdir.

Rehberde Kritik Bilgi/Veri;

  • “Güvenlik zafiyeti oluşması durumunda yasal yaptırımlara neden olabilecek, içeriğinin yetkisiz personel veya kişiler tarafından görülmesinin kuruma çok ciddi maddi veya manevi zarar vereceği her türlü bilgi/veri,
  • Kritiklik derecesi 3 olarak hesaplanan varlıkların işlediği veriler,
  • 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan özel nitelikli kişisel veriler.” şeklinde tanımlanmıştır.

Kritik bilgi ve verinin belirlenmesinde temel kriter gizlilik derecesi değildir. Kritik bilgi/verinin belirlenmesinde, işlenen verinin gizliliği, bütünlüğü ve erişilebilirliği ile etki alanı boyutu önemlidir. Etki alanı boyutunda bilgi/veri ile ilgili; bağımlı varlıklar, etkilenen kişi sayısı, kurumsal sonuçlar, sektörel etki ve toplumsal sonuçlar yer almaktadır.

Bilgi ve İletişim Güvenliği Rehberi kapsamında yer alan kurum, kuruluş ve işletmelere hizmet sağlayan üçüncü taraflar Rehber’e uyum sağlamakla yükümlü müdür?

Bilgi ve İletişim Güvenliği Rehberi kapsamında yer alan kurum, kuruluş ve işletmelere hizmet sağlayan üçüncü taraflar Rehber’e uyum sağlamakla doğrudan yükümlü değildir. Ancak, kapsam dâhilindekiler, Rehber’in gerekliliklerine hizmet ve ürünlerin temini ve işletiminde uymakla yükümlü olduğundan üçüncü taraflarda dolaylı olarak hizmet ve ürünlerinde bu gereksinimlere uyum sağlayacaktır.

Rehberde Elektronik Haberleşme sektörü ve Enerji sektörü için ayrı bir bölüm var. Bu iki sektör sadece bu bölümde yer alan tedbirleri uygulamakla mı yükümlüdür?

Kritik altyapı sektörlerinde faaliyet gösteren kurum ve kuruluşlar Rehber’de yer alan tüm tedbirleri uygulamakla yükümlü olmakla birlikte ilaveten uygulanmak üzere Rehber’de sektör özelindeki güvenlik tedbirlerine de yer verilmiştir.

Denetim faaliyetlerini gerçekleştirmekle yükümlü kurum ve kuruluşlar hangileridir?

Milli güvenliğin sağlanması kapsamında görev ve faaliyet yürüten kurum ve kuruluşlar hariç olmak üzere bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşların tamamı denetim faaliyetlerini gerçekleştirmekle yükümlüdür.  İlk denetimler 31 Aralık 2022 tarihine kadar tamamlanması gerekmektedir. 2022 yılı denetim kapsamına ilçe belediyeleri ve kaymakamlıklar dahil edilmemiştir. 

Kamu kurum ve kuruluşlarında hizmet alım yoluyla denetim ekibi nasıl oluşturulur?

Denetim ekibi en az 2 denetçiden oluşmalıdır. Denetimin kapsamı ve denetlenen sistemlerin karmaşıklığına bağlı olarak denetim ekibindeki denetçi sayısı artırılabilir. 

Denetim ekibi hizmet alım yolu ile oluşturuluyor ise;

  • Ekipte, TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında yetkilendirilen en az bir başdenetçi ve denetçi bulunmak zorundadır. Ekipteki başdenetçi aynı zamanda Denetim Koordinatörü’dür. Ekipte birden fazla başdenetçi olması durumunda başdenetçilerden biri Denetim Koordinatörü olarak görevlendirilir.

Kritik altyapı hizmeti veren işletmelerde hizmet alım yoluyla denetim ekibi nasıl oluşturulur?

Denetim ekibi en az 2 denetçiden oluşmalıdır. Denetimin kapsamı ve denetlenen sistemlerin karmaşıklığına bağlı olarak denetim ekibindeki denetçi sayısı artırılabilir. 

Denetim ekibi hizmet alım yolu ile oluşturuluyor ise;

  • Ekipte, TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında yetkilendirilen en az bir başdenetçi ve denetçi bulunmak zorundadır. Ekipteki başdenetçi aynı zamanda Denetim Koordinatörü’dür. Ekipte birden fazla başdenetçi olması durumunda başdenetçilerden biri Denetim Koordinatörü olarak görevlendirilir.

CyberArts; TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında TSE-BİG-0010 koduyla denetim faaliyeti gerçekleştirme konusunda TSE tarafından yetkilendirilmiştir.

Denetim faaliyetlerini gerçekleştirmeyen kurum ve kuruluşlara yaptırım uygulanacak mıdır?

  • Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi üzerinden kurum ve kuruluşların yaptıkları beyan ve bildirimlere ilişkin bilgiler esas alınarak Dijital Dönüşüm Ofisi Başkanlığı tarafından gözetim faaliyetleri gerçekleştirilecektir. 
  • Rehber uyum faaliyetlerinin ve denetimlerin gerçekleştirilmemesi nedeniyle bir zafiyet oluşması durumunda hâlihazırda ilgili mevzuatta belirlenen yaptırımlar geçerli olacaktır. Oluşabilecek zararın boyutu ve etkisi göz önünde bulundurularak kurum içi adli veya idari soruşturma süreçleri işletilebilecektir.
  • Kritik altyapı hizmeti veren işletmeler için ilgili olduğu düzenleyici ve denetleyici kurumlar birincil ve ikincil mevzuatları kapsamında belirleyeceği usul ve esaslar çerçevesinde yaptırım uygulayabilecektir.

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram