İnsan faktörü, güvenlik sistemlerinin en zayıf noktasını oluşturmaktadır.

Kullanıcıların yaptıkları bir ihmal, sistemin bütün güvenlik önlemlerini boşa çıkarabilmektedir. Bu amaçla, kullanıcıların bilgi güvenliği, sistemlerin maruz kalabileceği tehdit ve saldırılar konusunda bilgilendirilmeleri, güvenlik unsurlarını tanımaları ve güvenli kullanım konusunda eğitilmeleri için Bilgi ve İletişim Güvenliği Rehberinin 3.5 bölümünde Personel Güvenliğine ilişkin tedbirler tanımlanmıştır. 

Bildiğiniz gibi kurumlara Bilgi ve İletişim Güvenliği Rehberinin yayım tarihi olan 27 Temmuz 2020 itibarıyla 24 aylık bir uyum süresi verilmiştir. İlk yıl denetimlerinde Kurumlar denetim faaliyetleri ile ilgili hazırlık çalışmalarına en geç 24 aylık sürenin sonunda başlanmalıdır.  27 Temmuz 2022 tarihinde Bilgi ve İletişim Güvenliği Rehberi denetiminin planlamasının, 31 Aralık 2022 tarihine kadar gerçekleştirilmesi gerekmektedir.

Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında uyum çalışmalarını tamamlamalarına sayılı günler kala personel güvenliği konusundaki tedbirlere dikkatinizi çekmek istedik.

Bu güvenlik tedbiri ana başlığının amacı, personel güvenliği çerçevesinde ele alınan tedbir listeleri ve denetim sorularını belirlemektir. “Personel Güvenliği” ana başlığı kapsamında ele alınan güvenlik tedbirleri alt başlıkları aşağıda yer almaktadır.

GENEL GÜVENLİK TEDBİRLERİ

• Güvenlik Soruşturmalarının Yapılması
• Varlıkların Kabul Edilebilir Kullanım Kurallarının Tanımlanması
• Temiz Masa Temiz Ekran Politikasının Tanımlanması
• Sözleşmelerde Bilgi Güvenliği Hususlarının Yer Alması
• Sosyal Medya Kullanım Politikasının Uygulanması
• Bilgi Güvenliği İhlal Olayına Yönelik Disiplin Sürecinin Tanımlanması
• Rol, Sorumluluk ve Asgari Yetkinliklerin Tanımlanması
• İstihdam Sorumluluklarının Sonlandırılması veya Değiştirilmesi
• Gizlilik ile İlgili Gereksinimlerin Personele Tebliğ Edilmesi

Tedbirlerdeki denetim yöntemi mülakat ve gözden geçirmedir. 

3.5.1.1 Güvenlik Soruşturmalarının Yapılması 

İşe alım aşamasında, yasal düzenlemeler ve iş gereksinimleri göz önünde bulundurularak tüm aday personel için akademik bilgilerin ve geçmiş iş tecrübelerinin doğruluğunun yapılması. 

Referanslar ve sahip olunan sertifikaların geçerliliği kontrol edilmesi ve  adli sicil kaydı sorgulaması yapılmasıdır. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• İşe başvuru yapan personel tarafından beyan edilen akademik bilgilerin ve sertifikaların geçerliliği nasıl kontrol edilmektedir? 
• Doğrulama kontrolleri kapsamında adli sicil kaydı, geçmiş iş tecrübeleri ve ilişkili referansların kontrolü yapılmakta mıdır? 
• Doğrulama kontrollerine yönelik değerlendirme sonuçları nasıl ve nerede tutulmaktadır?

3.5.1.2 Varlıkların Kabul Edilebilir Kullanım Kurallarının Tanımlanması

Kurum varlıklarının kabul edilebilir kullanım politikası belirlenmesi

Kurum personelinin ve yüklenicilerin bu kurallara uyum sağlamasının taahhüt altına alınmasıdır.

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Varlıkların kabul edilebilir kullanım politikası belirlenmiş midir? 
• Varlıkların kabul edilebilir kullanım politikası kurum personeli ve yüklenicilere duyurulmuş mudur? 
• Kurum personeli ve yüklenicilerin varlıkların kabul edilebilir kullanım politikasına uyum sağlamaları hususu taahhüt altına alınmış mıdır?

3.5.1.3 Temiz Masa Temiz Ekran Politikasının Tanımlanması

Fiziksel ortam, taşınabilir bilgi/veri depolama ortamları ve diğer bilgi işleme olanaklarını kapsayan temiz masa temiz ekran politikası tanımlanması ve uygulanmasıdır. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Fiziksel ortam, taşınabilir bilgi/veri depolama ortamları ve diğer bilgi işleme olanaklarını kapsayan temiz masa temiz ekran politikası tanımlanmış mıdır? 
• Temiz masa temiz ekran politikası personel ve yüklenicilere nasıl bildirilmektedir? 
• Temiz masa temiz ekran politikasının ihlal edilmesi durumunda işletilecek süreç tanımlanmış mıdır?

3.5.1.4 Sözleşmelerde Bilgi Güvenliği Hususlarının Yer Alması

Personel ve yüklenicilerin kurum varlıklarına erişimi sağlanmadan önce, kendileriyle yapılan sözleşmelerde bilgi güvenliği sorumlulukları belirtilmesidir. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• İşe yeni başlayan personel ve yüklenicilerle yapılan sözleşme içeriklerinde bilgi güvenliği hususları yer almakta mıdır? 
• Sözleşme içerikleri kapsamında bilgi güvenliği ile ilgili gerekliliklerin yeterli düzeyde ele alındığının kontrolü düzenli olarak yapılmakta mıdır?

3.5.1.5 Sosyal Medya Kullanım Politikasının Uygulanması

Sosyal medya kullanım politikası oluşturulması 

Bu kapsamda personel tarafından sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmamasının garanti altına alınmasıdır. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Sosyal medya kullanım politikası oluşturulmuş mudur? 
• Sosyal medya kullanım politikası içeriğinde hangi konular ele alınmıştır? 
• Gizlilik dereceli verinin personel tarafından sosyal medya üzerinden paylaşılmaması hususu nasıl garanti altına alınmaktadır?

3.5.1.6 Bilgi Güvenliği İhlal Olayına Yönelik Disiplin Sürecinin Tanımlanması

Bilgi güvenliği ihlal olaylarını yönetmek amacıyla ilgili yasalar, iş sözleşmeleri vb. unsurlar göz önünde bulundurularak bir disiplin süreci tanımlanması ve uygulanmasıdır. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Bilgi güvenliği ihlal olayını gerçekleştiren personel/yükleniciye yönelik ilgili yasalar, iş sözleşmeleri vb. unsurlar göz önünde bulundurularak oluşturulmuş bir disiplin süreci var mıdır?

3.5.1.7 Rol, Sorumluluk ve Asgari Yetkinliklerin Tanımlanması

Kurum personeli tarafından gerçekleştirilen işin tanımı ve gereklilikleri göz önünde bulundurularak, ilgili personelin kurum bünyesindeki bilgi güvenliği rolü, sorumlulukları ve sahip olması gereken asgari yetkinlikler tanımlanması ve yazılı hale getirilmesidir. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Kurum personeli tarafından gerçekleştirilen işin tanımı ve gereklilikleri göz önünde bulundurularak, personelin kurum bünyesindeki bilgi güvenliği rolü, sorumlulukları ve sahip olması gereken asgari yetkinlikler tanımlanmakta mıdır?

3.5.1.8 İstihdam Sorumluluklarının Sonlandırılması veya Değiştirilmesi

İstihdam sorumlulukları değişen personel/yükleniciye yeni bilgi güvenliği sorumlulukları ve görevleri; istihdamı sonlandırılan personel/yükleniciye ise istihdamın sona ermesinden sonra devam edecek bilgi güvenliği sorumlulukları bildirilmelidir. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Personel ve yüklenici sözleşmelerinde, istihdamın sona ermesinden sonra da geçerli olacak hükümlere yer verilmiş midir? 
• İstihdamın sonlandırılmasından sonra veya istihdam koşullarının değiştirilmesinden sonra ilgili personele/yükleniciye, uymaları gereken bilgi güvenliği sorumlulukları nasıl bildirilmektedir?

3.5.1.9 Gizlilik ile İlgili Gereksinimlerin Personele Tebliğ Edilmesi

Kurumun bilgi güvenliği gereksinimleri göz önünde bulundurularak personel veya yüklenicilerin uyması gereken politika, prosedür, talimat gibi dokümanlar ilgili personel/yükleniciye tebliğ edilmesidir. 

İlgili dokümanların içeriği bilgi güvenliği gereksinimlerinde değişiklik olması durumunda güncellenmesidir. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Personel veya yüklenicilerin uyması gereken bilgi güvenliği politikaları, prosedürleri, talimatları tanımlanarak tebliğ edilmiş midir? 
• İlgili dokümanlar kurumun bilgi güvenliği gereksinimlerini karşılamakta mıdır? 
• Bilgi güvenliği gereksinimlerinde herhangi bir değişiklik olması durumunda dokümanlar güncellenmekte midir?

EĞİTİM VE FARKINDALIK FAALİYETLERİ

• Farkındalık Eğitimleri Verilmesi
• Olayların Tespiti ve Raporlanmasına Yönelik Eğitimlerin Verilmesi
• Yetenek İhtiyaç Analizi Yapılması

3.5.2.1 Farkındalık Eğitimleri Verilmesi 

Tüm kurum personeline düzenli aralıklarla;

Yukarıdaki tabloda belirtilen konulardaki gibi temel ve güncel konuları içerecek şekilde bilgi güvenliği ve siber güvenlik farkındalık eğitimleri verilmesi çok önemlidir. 

Farkındalık eğitimlerinin etkinliğine yönelik ölçümler (eğitim öncesi ve sonrası yazılı sınav, sosyal mühendislik saldırıları vb.) yapılmalı ve ölçüm sonucu doğrultusunda aksiyonlar planlanmalıdır. 

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Kurum personeline bilgi güvenliği ve siber güvenlik farkındalık eğitimleri verilmekte midir? 
• Eğitim içeriğinde hangi konular ele alınmaktadır? 
• Eğitim içerikleri periyodik olarak güncellenmekte midir? 
• Eğitimin etkinliği nasıl değerlendirilmektedir?

3.5.2.2 Olayların Tespiti ve Raporlanmasına Yönelik Eğitimlerin Verilmesi

Bilgi güvenliği ve SOME personeline, siber olay veya bilgi güvenliği ihlal olayı tespiti ve raporlanması konularında eğitim verilmelidir.

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Bilgi güvenliği ve SOME personeline, siber olay veya bilgi güvenliği ihlal olayı tespiti ve raporlamasının nasıl yapılacağına yönelik eğitim verilmekte midir? 
• Verilen eğitimlerde hangi konular ele alınmaktadır?

3.5.2.3 Yetenek İhtiyaç Analizi Yapılması

Bilgi güvenliği ve siber güvenlik alanında görev yapan personel için yetenek ihtiyaç analizi yapılmalıdır. 

Yetenek ihtiyaç analizi çıktıları doğrultusunda eğitim yol haritası çıkarılmalı ve uygulamaya alınmalıdır.

Denetim Yapılırken Sorulması Gereken Soru Örnekleri; 

• Bilgi güvenliği ve siber güvenlik alanında görev yapan personele yönelik yetenek ihtiyaç analizleri yapılmakta mıdır? 
• Analiz sonuçları göz önünde bulundurularak personel için eğitim yol haritası hazırlanmakta mıdır? 
• Eğitim yol haritası doğrultusunda kurum çalışanlarına düzenli olarak eğitimler verilmekte midir?

TEDARİKÇİ İLİŞKİLERİ GÜVENLİĞİ

Rehber’de Personel güvenliği kapsamında Tedarikçi İlişkileri Güvenliği tedbirleri;

• Tedarikçi İlişkilerinde Bilgi Güvenliği Politikasının Tanılanması,
• Demo ve Kavram İspatı Çalışmalarında Gizlilik Taahhütnamesi,
• Tedarikçi Sözleşmelerinde Bilgi Güvenliğinin Ele Alınması,
• Tedarik Zinciri Güvenliği,
• Kabul Kriterlerinin Belirlenmesi,
• İletişim Metotlarının Belirlenmesi,
• Yüklenici Tarafından Tedarik Edilen Ürün/Hizmet Değişikliklerinin Yönetimi,
• Ana Yüklenici ve Alt Yüklenici Sorumluluklarının Netleştirilmesi,
• Tedarikçi Hizmetlerinin İzlenmesi,
• Tedarik Zinciri İzleme Sürecinin Oluşturulması, başlıkları altında açıklanmıştır.

Tedarikçi İlişkilerinde Bilgi Güvenliği Politikasının Tanımlanması

3.5.3.1 tedbir numaralı Tedarik İlişkilerinde Bilgi Güvenliği Politikasının Tanımlanması kısaca “Tedarikçiler tarafından erişilen kurum varlıklarının korunmasını sağlamak, tedarikçilerin kurumun bilgi varlıklarına erişimi ile ilgili riskleri azaltmak ve bilgi güvenliği gereksinimlerini karşılamak amacıyla politika tanımlanmalı ve uygulanmalıdır” şeklinde tanımlanmıştır.

Rehber’de bu tedbirin; denetimi için mülakat ve gözden geçirme yöntemlerini önerilmiş olup ayrıca,

• “Tedarikçi ilişkilerinde bilgi güvenliği gereksinimlerini karşılamak amacıyla bir politika tanımlanmış mıdır?
• Bilgi güvenliği politikası hangi hususları içermektedir?” şeklinde denetim sorularını önerilmiştir.

Demo ve Kavram İspatı Çalışmalarında Gizlilik Taahhütnamesi

3.5.3.2 tedbir numaralı Demo ve Kavram İspatı Çalışmalarında Gizlilik Taahhütnamesi tedbiri; Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin gereksinimleri göz önünde bulundurularak üçüncü taraflar ile yapılan demo ve kavram ispatı (PoC) çalışmalarında, üçüncü tarafın sorumluluklarını içeren gizlilik taahhütnamesi hazırlanmalı ve imza altına alınmalıdır. İlgili taahhütname içeriği periyodik olarak gözden geçirilmesi şeklinde tanımlanabilir.

Rehber’de bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca,

• “Üçüncü taraflar ile yapılan demo ve kavram ispatı (PoC) çalışmalarında, üçüncü taraflara gizlilik taahhütnamesi imzalatılmakta mıdır?
• Taahhütname kurumun bilgi güvenliği gereksinimlerine uygun olarak hazırlanmış mıdır?” şeklinde denetim sorularını önerilmiştir.

Tedarikçi Sözleşmelerinde Bilgi Güvenliğinin Ele Alınması

3.5.3.3 tedbir numaralı Tedarikçi Sözleşmelerinde Bilgi Güvenliğinin Ele Alınması tedbiri; Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin varlıklarına erişebilen, işletilebilen, depolayabilen, iletilebilen veya kurumun bilgi teknolojileri altyapı bileşenlerini temin eden tedarikçilerin her biri ile yapılacak sözleşmelere bilgi güvenliğinin gereksinimlerinin eklenmesi şeklinde tanımlanabilir.

Rehber’de bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca, 

• “Tedarikçiler ile yapılan sözleşmelere bilgi güvenliği gereksinimleri eklenmiş midir?
• Sözleşmelerde yer alan bilgi güvenliği gereksinimleri hangi hususları içermektedir?” tarzında denetim soruları önerilmiştir.

Tedarik Zinciri Güvenliği

3.5.3.4 tedbir numaralı Tedarik Zinciri Güvenliği Tedbiri kısaca “Yükleniciler ile yapılan sözleşmelerde, tedarik edilen bilgi ve iletişim teknolojileri ürün ve hizmetleri için tedarik zinciri ile ilişkili riskler göz önünde bulundurulmalı ve ilgili güvenlik gereksinimleri sözleşme içeriklerine eklenmelidir. Bu kapsamda, birlikte çalışılacak kişi ve/veya kuruluşlardan tedarik zinciri güvenliğinin temin edileceğine dair yazılı belge alınmalıdır” şeklinde tanımlanmıştır.

Rehber’de bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca, 

• “Yükleniciler ile yapılan sözleşmelerde, tedarik zinciri güvenliğine yönelik maddeler yer almakta mıdır?”  tarzında denetim sorusu önerilmiştir.

Kabul Kriterlerinin Belirlenmesi

3.5.3.5 tedbir numaralı Kabul Kriterlerinin Belirlenmesi tedbiri; “Tedarik edilen ürünün istenilen güvenlik kriterleri dâhilinde teslim edilmiş olduğunun doğrulanabilmesi için kabul kriterleri belirlenmeli, izleme ve doğrulama metotları tanımlanmalı ve yüklenici ile üzerinde anlaşılmalıdır” şeklinde gereksinim belirterek tanımlanmıştır.

Rehber’de bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca, 

• “Tedarik edilecek ürüne yönelik kabul kriterleri belirlenmekte midir?
• Tedarik edilen ürünün istenilen güvenlik kriterleri ile uyumlu şekilde teslim edilmiş olduğunun doğrulanabilmesi için nasıl bir yöntem izlenmektedir?” şeklinde denetim soruları önerilmiştir.

İletişim Metotlarının Belirlenmesi

3.5.3.6 tedbir numaralı İletişim Metotlarının Belirlenmesi tedbiri kısaca “Garanti süreci dâhil tedarik sürecinin tamamında bilgilendirme amaçlı ya da olası herhangi bir anormal durum ile ilgili olarak kimler ile nasıl iletişime geçileceği, hangi kuralların geçerli olacağı tanımlanmalı ve yüklenici ile üzerinde anlaşılmalıdır” şeklinde tanımlanmıştır.

Rehber’de belirtilen bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca,

• “Garanti süreci dâhil tedarik sürecinin tamamında olası herhangi bir anormal durum ile ilgili nasıl iletişime geçileceği ve hangi kuralların geçerli olacağı tanımlanmakta mıdır?” şeklinde denetim sorusu önerilmiştir.

Yüklenici Tarafından Tedarik Edilen Ürün/Hizmet Değişikliklerinin Yönetimi

3.5.3.7 tedbir numaralı Yüklenici Tarafından Tedarik Edilen Ürün/Hizmet Değişikliklerinin Yönetimi tedbiri Rehber’de “Yüklenici tarafından sağlanan hizmet ve ürün tedariki kapsamında bir değişiklik olması durumu göz önünde bulundurularak hizmet alınan faaliyetin kritikliği ve riskleri gözden geçirilmelidir. Bu değerlendirme hesaba katılarak, yüklenici ile yapılan sözleşmeye gereklilikler yansıtılmalı, bu gibi değişiklik durumlarının nasıl ele alınacağı net bir şekilde tanımlanmalıdır” şeklinde açıklanmıştır.

Rehber’de belirtilen bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca,

• “Yüklenici tarafından sağlanan hizmet ve ürün tedarik süreci kapsamında yaşanan değişikliklerin yönetimi nasıl yapılmaktadır?
• Yüklenici ile yapılan sözleşmelerde ürün/hizmet değişikliklerinin yönetimine ilişkin gereklilikler yer almakta mıdır?” şeklinde denetim soruları önerilmiştir.

Ana Yüklenici ve Alt Yüklenici Sorumluluklarının Netleştirilmesi

3.5.3.8 tedbir numaralı Ana Yüklenici ve Alt Yüklenici Sorumluluklarının Netleştirilmesi tedbiri Rehber’de “Ana yüklenicinin, tedarik edilen ürün ve hizmetleri sunabilmek için tedarik süresince bir alt yüklenici kullanması durumunda; ana yüklenici ile alt yüklenici rol ve sorumluluklarının belgelendiği, bilgi güvenliği gereksinimlerine tedarik sürecinin tamamında alt yüklenici tarafından da uyulacağının taahhüdü ana yükleniciden alınmalıdır” şeklinde tanımlanmıştır.

Rehber’de belirtilen bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca,

• “Ana yüklenicinin, tedarik süresince alt yüklenici kullanması durumunda; ilgili tüm tarafların rol ve sorumluluklarının tanımlandığı, alt yüklenici tarafından bilgi güvenliği gerekliliklerinin yerine getirileceğini garanti altına alan taahhüt ana yükleniciden alınmakta mıdır?”  tarzında denetim soruları önerilmiştir.

Tedarikçi Hizmetlerinin İzlenmesi

3.5.3.9 tedbir numaralı Tedarikçi Hizmetlerinin İzlenmesi tedbiri tedarikçilerin bilgi güvenliğini şartlarının sağladığını garanti altına almak amacıyla düzenli aralıklarla gözden geçirilmesi ve belgelenmesi şeklinde tanımlanabilir.

Rehber’de belirtilen bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca,

• “Bilgi güvenliği şartlarının sağlandığını garanti altına almak amacıyla tedarikçi hizmetleri düzenli aralıklarla gözden geçirilmekte midir?” şeklinde denetim sorusu önerilmiştir.

Tedarik Zinciri İzleme Sürecinin Oluşturulması

3.5.3.10 tedbir numaralı Tedarik Zinciri İzleme Sürecinin Oluşturulması tedbiri Rehber’de “Yüklenici tarafından güvenlik gereksinimlerine uyumun garanti altına alınması amacıyla; tedarik zinciri süresince, tedarik edilen hizmet/ürüne yönelik kritik bileşenlerin durumunun izlenebilirliği sağlanmalıdır.” şeklinde tanımlanmıştır.

Rehber’de belirtilen bu tedbirin denetimi için mülakat ve gözden geçirme yöntemleri önerilmiş olup ayrıca,

• “Tedarik zinciri süresince, tedarik edilen hizmet/ürüne yönelik kritik bileşenlerin durumu izlenebilmekte midir?” şeklinde denetim sorusu önerilmiştir.

Rehberin tamamına buradan ulaşabilirsiniz: https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf

---

---