T.C. Cumhurbaşkanlığı Dijital Ofis Bilgi ve İletişim Güvenliği Rehberi

Kamu kurum ve kuruluşlarıyla kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında genel olarak alması gereken tedbirleri belirlemek için 6 Temmuz 2019 tarihinde ‘Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’ yayımlandı. 21 maddeden oluşan Genelge içeriğinde; kritik bilgi ve verilerin saklanma esaslarından kodlu ve kriptolu haberleşmeye, sosyal medya üzerinden gizlilik dereceli verilerin paylaşımından elektromanyetik yayılım güvenliğine, endüstriyel kontrol sistemleri güvenliğinden internet değişim noktasına kadar birçok konuda alınması gereken tedbirler yer almakta. Yayımlanan Genelge doğrultusunda kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken ‘Bilgi ve İletişim Güvenliği Rehberi’ hazırlama çalışmaları Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından tamamlandı ve Rehber 24 Temmuz 2020 tarihinde de onaylandı. Bilgi ve İletişim Güvenliği Rehberi’ sürekli geliştirilerek uzun vadede ülkemiz için kılavuz olacak. 3 Mart 2021’de düzenleyeceğimiz ‘Bilgi ve İletişim Güvenliği Rehberi’ etkinliğimizin açılış konuşmasını Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Dr. Ali Taha Koç gerçekleştirecek.

Standartlar hayatı kolaylaştırır, bir de elinizde ne yapmanız gerektiğini anlatan rehber varsa yolun yarısı aşılır. İşte bu nedenle Rehberin çıkış amacı Kamu kurumları ve kritik altyapılar olsa da bence herkes için anlamlı.

Sürekli bir şekilde geliştirilmesi düşünülen Rehber’den kısa bir özet çıkarmaya çalıştım.

Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren Genelge, yasal düzenleme boyutunda ülke çapında bilgi güvenliği seviyesini artırmaya yönelik önemli bir adım olmuştur.

Genelgenin yürürlüğe girmesiyle birlikte, Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, Bilgi ve İletişim Güvenliği Rehberi hazırlama çalışmaları başlatılmıştır. Yaklaşık 1 yıl süren çalışmalar kapsamında; 5 günlük bir çalıştay gerçekleştirilmiş, 16 Bakanlık ile 51 Kurum ve Kuruluştan 240 uzmanın katkısı alınmış, 200 saati aşan 70’in üzerinde çalışma toplantısında 2660 görüş ve öneri değerlendirilmiş, ulusal ve uluslararası yayınlar incelenmiştir.

Bilgi ve iletişim güvenliği alanında ülkemize özgün ilk referans doküman olma niteliği taşıyan ve geniş bir katılımla ilgili tüm paydaşların katkısı alınarak hazırlanan Bilgi ve İletişim Güvenliği Rehberi; ihtiyaçlar, gelişen teknoloji, değişen şartlar ile ulusal politika ve stratejiler göz önünde bulundurularak güncellenmeye devam edecektir.

Rehberin uygulanması sonucu elde edilmesi beklenen 12 hedef şöyle:

1. Yerli ve milli ürün kullanımının teşvik edilmesi
2. Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi
3. Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması
4. Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde yapılandırılması
5. Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması
6. Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi
7. Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde gruplandırılması ve rehberin modülerliğinin sağlanması
8. Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması
9. İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin sağlanması
10. Rehberin format ve içeriğinin özgün olması
11. Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi
12. Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile ulusal/uluslararası standartlara uyumlu olması.

Yazdım…