Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından “Bilgi ve İletişim Güvenliği Rehberi”nin yayınlanmasının üzerinden 7 ayı aşkın bir süre geçmiş bulunuyor. Kapsam dahilindeki kurumların şubat ayı itibarıyla tedbirleri uygulama safhasına geçmiş olmaları gerekiyor.
Hangi Kurumları Kapsıyor?
Rehberin kapsamı: “bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır.” şeklinde belirtilmiştir. Dijital Dönüşüm Ofisi kapsamı: Genelge, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık”, alanlarında kamu hizmeti veren işletmeleri kapsamaktadır şeklinde ayrıntılandırmıştır.
Neler Yapılması Gerekiyor?
Varlıkların Kritikliklerinin Belirlenmesi.
Rehber kurumlardan ilk 6 ay içerisinde sahip oldukları varlıkları “Ek C.1: Varlık Grubu Kritiklik Derecelendirme Anketi” ile bilgi varlıklarını aşağıdaki gibi gruplaması beklenmektedir.
Anket sonucu 18’den küçük ise: 1. Derece Varlık.
Anket sonucu 18 ve 28 arasında ise 2. Derece Varlık.
Anket sonucu 28’den yüksek ise 3. Derce Varlık.
Boşluk Analizi
Varlık gruplarının belirlenmesinden sonra varlıklara mevcutta uygulanan tedbirler rehberde belirtilen tedbirlerle karşılaştırılarak rehberde belirtilen “EK-C.3: Mevcut Durum ve Boşluk Analizini” formu üzerinde GAP analizi yapılması beklenmektedir. Mevcut Durum ve Boşluk Analizinin Temmuz 2020’den itibaren 6 ay içerisinde yapılması gerekmektedir.
Rehber Uygulama Yol Haritası
Boşluk analizini sonucuna göre uygulanması gereken tedbirler “Ek C.4: Rehber Uygulama Yol Haritası Belirleme Formu” ile planlanması beklenmektedir.
Tedbirlerin Hayata Geçirilmesi
Uygulanacak tedbirler belirlendikten sonra:
⦁ Kritiklik derecesi 1 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 18 Ay
⦁ Kritiklik derecesi 2 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 21 Ay
⦁ Kritiklik derecesi 3 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 24 Ay
Süre tanınmıştır. Tedbir uygulanmaya başlandıktan sonra periyodik olarak proje ilerleme raporlarının hazırlanması beklenmektedir.
Bilgi ve İletişim Güvenliği İç Denetimi
Tedbirler hayata geçirildikten sonra yıllık Bilgi ve İletişim Güvenliği İç Denetimi yapılması ve denetim raporlarının Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’ne iletilmesi gerekmektedir.
Zaman Daralıyor
Rehberin uygulanması kapsamlı ve zaman isteyen tedbirler içermektedir, aksiyona henüz geçmeyen kurumların rehbere uyumluluk konusunda termini yakalamama riski her geçen gün artmaktadır.
