Kritik altyapı sektörleri 2020 – 2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma”, “Bankacılık ve Finans” olarak yer almaktadır.
Elektronik Haberleşme sektörünün kritik altyapı olarak ilan edilmesiyle birlikte İnternet Hizmet Sağlayıcıları (ISP) sektörü CB Dijital Dönüşüm Ofisi (DDO) Bilgi ve İletişim Güvenliği Rehberi (BİGR) Uyum Denetimine resmi olarak tabi durumdadır ve yılda 1 kez söz konusu denetim çalışmasını kendi bünyesinde ya da akredite bir kurumdan alacağı hizmetle gerçekleştirmekle mükelleftir.
Bilgi ve İletişim Güvenliği Rehberi Bölüm 4.5’i Kritik Altyapılar Güvenliği’ne ayırmıştır ve yalnızca 2 sektör özelinde güvenlik tedbirleri tanımlanmıştır: Enerji Sektörü ve Elektronik Haberleşme Sektörü.
Alt Bölüm 4.5.3.’te bulunan Hizmet Güvenliği ve Sürekliliği, Üçüncü Taraflara İlişkin Güvenlik Gereksinimleri, Altyapı Servislerinin Güvenliği, Sahtecilik İşlemlerini Tespit ve Önleme, Sinyalleşme Trafiğinin Güvenliği, Güvenilir İletişimin Tesisi, Sıkılaştırma Faaliyetleri, Ekipman Arızalarının İzlenmesi, Ekipman Güvenliğinin Sağlanması, Tehdit İstihbaratı Yönetimi, Otoritelerle İletişim, Arayan Hat Bilgisi Kullanımı, İnternet Değişim Noktası ve Kritik Haberleşme Güvenliği başlıklarından oluşan 14 adet Elektronik Haberleşme Sektörü Özelinde Güvenlik Tedbirleri, kritiklik seviyeleri doğrultusunda tüm ISP’ler tarafından denetim çalışması kapsamına alınmaktadır.
Kurumlar hâlihazırda yürüttükleri bilgi güvenliği yönetim sistemi (BGYS) süreçlerini varlık – kontrol veya süreç – kontrol temelli bir yaklaşımla ele almaktadır. BGYS’de yer alan varlık veya süreçlerin bilgi güvenliğine mevcut etkisi ve bilgi güvenliği kapsamında belirlenen risklerin gerçekleşme olasılığı tanımlanarak risk analizi faaliyeti gerçekleştirilir. Risk analizi sonucunda kurum, kuruluş ve işletmeler kabul edebileceği risk değerini belirleyerek, bu değerin üzerinde kalan risklere yönelik düzeltici, önleyici ve iyileştirici faaliyetler gerçekleştirir. Bilgi ve İletişim Güvenliği Rehberi’nde, varlık grupları oluşturularak bunların bilgi güvenliğine olan etkisini belirlemek üzere anket çalışması yapılır. Anket çalışmasında Delfi metodu kullanılır. Anket çalışması sonucunda ortaya çıkan puan varlık grubunun kritiklik derecesini belirler. Belirlenen kritiklik derecesine karşılık gelen tedbirler varlık grubuna uygulanır. Dolayısıyla BGYS’de varlık özelinde yapılan çalışmalar, Rehber’de varlık grupları üzerinden yapılmaktadır. Rehber, BGYS’deki risk analiz faaliyetleri sonrasında uygulanacak kontrollere, her varlık grubu ve kritiklik derecesi özelinde tedbirler sunarak daha güvenilir ve ayakları yere basan bir bilgi güvenliği yönetim sistemi kurulmasını sağlar. Bunlarla birlikte Rehber’de yer alan denetim soruları BGYS kapsamında gerçekleştirilecek iç tetkik faaliyetlerini destekleyerek kurumlar için daha güvenilir bir iç kontrol ortamı oluşturulmasına zemin hazırlar
Öte yandan tüm ISP’ler için zorunlu olan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) belgelendirilme işlemlerini tamamlamış durumda olan ISP’ler Bilgi ve İletişim Güvenliği Rehberi’nde bulunan birçok tedbirin gerekliliklerini de büyük ölçüde yerine getirmiş durumdadır ve bu sayede CB DDO BİGR Uyum Denetimlerinde, BGYS bulunmayan kurumlara göre çok daha başarılı sonuçlar elde etmektedir.
