6 Temmuz 2019 tarihinde yayımlanarak yürürlüğe giren Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi uyarınca, kamu kurumları ve kritik altyapı hizmeti veren işletmeler; karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla belirli güvenlik tedbirlerini uygulamakla yükümlü kılınmıştır.
Bu kapsamda CyberArts olarak ülkemizin “Elektronik Haberleşme”, “Enerji” “Finans”, “Ulaştırma”, “Su Yönetimi” olarak tanımlanan kritik altyapı sektörleri başta olmak üzere tüm kamu hizmetlerinin siber tehditlere karşı korunması ve dayanıklılığının artırılmasına büyük önem vermekteyiz.
Bilgi ve İletişim Güvenliği rehberine uyumlulukta sıradanlık değil sanat talep eden tüm kurumlarımıza titizlikle aşağıdaki kapsamda danışmanlık hizmetleri sunmaktayız. Bilgi ve İletişim Güvenliği Rehberi’nde yer alan tedbirlerin uygulanabilmesini sağlamak için aşağıdaki gibi uygulama süreci tamamlanmıştır. Rehber temel mevcut yönetim süreçlerine teknik olarak katkı sağlayacak tedbirleri ve faaliyetleri içermektedir.
Varlık Grubu Belirleme:
Rehber kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir. Rehber; elektronik ortamda yer alan bilgi/verinin depolandığı, aktarıldığı, işlendiği bilgi işleme olanakları, bilgi işleme olanaklarını kullanan personel ile bilgi işleme olanaklarını barındıran fiziksel ortamlara ilişkin varlıkları kapsamaktadır.
Rehberde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:
- Ağ ve Sistemler
- Uygulamalar
- Taşınabilir Cihaz ve Ortamlar
- Nesnelerin İnterneti (IoT) Cihazları
- Fiziksel Mekânlar
- Personel
Varlık Grubu Kritiklik Derecesi Belirleme:
Her bir varlık grubu için Delfi metoduna göre varlıkların sahipleri, sistem yöneticileri, geliştiriciler, kullanıcı temsilcileri, yöneticileri ve kurumun sahip olduğu en yetkin personel katılım ile kritiklik derecesinin belirleneceği anket gerçekleştirilmelidir.
Anket Soruları İşlenen Veri Açısından;
- Gizlilik
- Bütünlük
- Erişilebilir
Etki Alanı Açısından;
- Etkilenen Kişi Sayısı
- Toplumsal Sonuçlar
- Kurumsal Sonuçlar
- Sektörel Etki
- Bağımlı Varlıklar
Boyutları ile anketten almış oldukları puanlar toplanarak varlık grubu için anket puanı tespit edilmiş olur. Anket puanına göre varlık grubunun kritiklik derecesi aşağıdaki gibi belirlenir.
Mevcut Durum ve Boşluk Analizi:
Varlık gruplarının kritiklik dereceleri dikkate alınarak güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Rehberde güvenlik tedbirleri üç ana başlık altında sınıflandırılmıştır.
- Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları
- Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları
- Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları
Rehber Uygulama Yol Haritasının Hazırlanması:
Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır.
Rehber uygulama yol haritası kapsamında yapılacak çalışmalar bu aşamada belirlenir. Çalışmalar, aşağıdaki gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:
- Yetkinlik kazanımı ve eğitimler
- Ürün tedariki
- Hizmet alımı
- Danışmanlık
- Geliştirme / yeniden geliştirme
- Tasarlama / yeniden tasarlama
- Sıkılaştırma
- Sürüm güncelleme
- Dokümantasyon
- Kurumsal süreç iyileştirme
Rehber Uygulama Yol Haritası Hayata geçirme
Rehber uygulama yol haritası, dönemsel olarak belirlenen hedefler dikkate alınarak planlanan şekilde kurum personeli tarafından hayata geçirilecektir. Bu kapsamda yol haritasında belirlenen tedarik, hizmet alımı, yeniden tasarım vb. tüm çalışmaların gerekli kaynak ihtiyaçlarının tahsis faaliyetleri önceliklendirilmelidir.
Uygulamada dikkat edilecek temel prensipler ise aşağıdaki gibidir.
- Güvenlik Temelli Tasarım (Security by Design)
- Mahremiyet Temelli Tasarım (Privacy by Design)
- Derinlemesine Savunma (Defence in Depth)
- Saldırı Yüzeyinin Azaltılması
- Asgari Yetki Tanımlama
- En Zayıf Halkanın Tespiti
- Güvenlik Hedeflerinin İş Hedefleriyle Uyumu
- Yerli ve Milli Ürünlerin Tercih Edilmesi
- Mükerrer Çalışma ve Yatırımların Önlenmesi
- Bilmesi Gereken Prensibi
Rehber Uygulama Yol Haritasının izlenmesi ve Kontrol Edilmesi
Rehber uygulama yol haritası çalışmalarının ilerleme durumlarının takibi ve hazırlanan plandan sapmaların tespit edilerek gerekli önlemlerin alınması ile ilgili faaliyetlerin yürütülmesi gerekmektedir. Ayrıca uygulama yol haritası çalışmaları yürütülürken karşılaşılacak sorun ve risklerin yönetimi de gerçekleştirilmelidir.
Dönem sonlarında uygulama yol haritasında yürütülen çalışmalar, planlanan hedeflerden sapmalar, sorun ve riskler, alınan önlemler hakkında bilgileri içeren yol haritası ilerleme raporları hazırlanmalıdır.
Bilgi ve İletişim Güvenliği Denetimi
Kurumlara, Rehberin yayım tarihi olan 27 Temmuz 2020 itibarıyla 24 aylık bir uyum süresi verilmiştir. İlk yıl denetimlerinde kurumlar denetim faaliyetleri ile ilgili hazırlık çalışmalarına en geç 24 aylık sürenin sonunda başlamalıdır. Ancak uyum çalışmalarını 24 aydan önce tamamlayan kurumlar denetim faaliyetleri için gerekli hazırlık çalışmalarına uyum süresinin dolmasını beklemeden başlayabilir.
Denetim ekibi en az 2 denetçiden oluşmalıdır. Personel aşağıda yer verilen yetkinliklerin en az birini sağlamalıdır.
- ISO/IEC 27001 Başdenetçi sertifikasına sahip olmak
- CISA sertifikasına sahip olmak
- Belgelendirme Programı kapsamında yetkilendirilmiş denetçi veya başdenetçi olmak
CyberArts Bilişim A.Ş. olarak yetkin, tarafsız, deneyimli denetçi kadromuzla kurumlarımıza değer katan denetimler için hazır olduğumuzu bilmenizi isteriz.
