Kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren 06.07.2019 tarih ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Başkanlığımız koordinasyonunda başlatılan "Bilgi ve İletişim Güvenliği Rehberi" hazırlama çalışmaları 10.07.2020 tarihinde de yayımlanmış ve 24.07.2020 tarihinde onaylanmıştır.
Bilgi ve İletişim Güvenliği Rehberi ile Ne Amaçlanmaktadır?
İçinde bulunduğumuz çağın en kıymetli unsurlarından biri olan veriyi hem korumak hem de işleyip değere dönüştürmek ülkemizin öncelikli meseleleri arasındadır. Veri güvenliğine yönelik son dönemde yaşanan hadiseler, ülkelerin sınırları kadar verilerini ve dijital altyapılarını da korumasının önemini göstermiştir. Siber güvenlik ülkeler için ulusal güvenliğin ayrılmaz ve en önemli bileşeni olarak değerlendirilmektedir.
Bu kapsamda,
Bilgi ve İletişim Güvenliği Rehberi ile; ülkemizin verisinin ülkemizde kalması, kurumların, şirketlerin ve hatta bireylerin veri mahremiyeti konusunda riskli yaklaşımlara karşı bilinçli olması, yerli ve milli çözümler geliştirilmesi ve kullanılması, karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amaçlanmış ve uygulamada görülen aksaklıklara yönelik genel prensip mahiyetinde bazı tedbirlerin alınması uygun görülmüştür.
Genelgenin ve Hazırlanacak Olan Rehberin Yasal Bir Dayanağı Var mıdır?
1 sayılı Cumhurbaşkanlığı kararnamesinin 527 ve 527/B Maddeleri, 5809 sayılı Elektronik Haberleşme Kanunu, 4045 sayılı Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun, Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik ile Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği Genelge ve Rehberin yasal dayanağını oluşturmaktadır.
Genelge Kapsamında Denetimleri Kim Yapacaktır, Yaptırımlar Neler Olacaktır?
Genelgede ve yayımlanacak olan Bilgi ve İletişim Güvenliği Rehberi içerisinde yer alan güvenlik tedbirlerinin uygulanmasına ilişkin denetimler, en az yılda bir kere olmak üzere, kurum ve kuruluşların iç denetim mekanizmaları yoluyla yapılır. Gerek görülmesi halinde ilgili mevzuat hükümleri çerçevesinde bu konuda halihazırda yetkili kurumlarca ve Dijital Dönüşüm Ofisi tarafından da yapılır veya yaptırılır. Denetim sonuçları ile yapılan düzeltici faaliyetleri içeren raporlar Dijital Dönüşüm Ofisi’ne iletilecektir.
Genelge ve Bilgi ve İletişim Güvenliği Rehberi içerisinde yer alan tedbirlerin uygulanmasına yönelik yapılacak denetimler bilgi güvenliğini sağlamaya yönelik olmakla birlikte, söz konusu tedbirlere uyulmaması nedeniyle bir zafiyet oluşması durumunda halihazırda ilgili mevzuatta belirlenen yaptırımlar geçerlidir. Oluşabilecek zararın boyutuna göre gerek duyulması durumunda kurum içi adli veya idari soruşturma süreçleri işletilebilecektir.
Gizli Veri, Kritik Veri, Kritik Kurum Gibi İfadelerin Tanımı Nedir?
Genelgede yer alan terimlere ait tanımlamalara hazırlanmakta olan ve 2019 sonunda ilk versiyonunun yayınlanması planlanan Bilgi ve İletişim Güvenliği Rehberi içerisinde yer verilecektir.
“Kamu Kurum ve Kuruluşlarında Yer Alan Kritik Veriler, İnternete Kapalı ve Fiziksel Güvenliği Sağlanmış Bir Ortamda Bulunan Güvenli Ağda Tutulacak” İfadesi ile Anlatılmak İstenen Nedir?
Ağ, sistem ve veri güvenliği kapsamında, internetten sunulma zorunluluğu bulunmayan ve Bilgi ve İletişim Güvenliği Rehberi içerisinde yer alacak “kritik veri” tanımı kapsamına giren verilerin internet ağından yalıtılmış, fiziksel güvenlik tedbirleri alınmış, erişim yetkileri sınırlandırılmış bir ağda bulundurulması amacıyla alınmış bir tedbirdir.
Genelge ile Bulut Hizmetleri Yasaklanmakta mıdır? “Kurum Kontrolündeki Yerli Hizmet Sağlayıcılar” Cümlesinde Belirtilen “Kurum Kontrolü” İfadesi Ne Anlama Gelmektedir?
Genelgenin ilgili maddesi bulut teknolojisinin kullanımına dair bir çerçeve çizmekte, ülke verisinin ülkede kalmasını hedeflemektedir. Bulut hizmeti alınırken verilerin ülke içindeki veri merkezlerinde depolanması ve güvenlik kontrollerinin sağlanması kaydıyla yerli veya yabancı bulut servislerinden yer, sunucu veya hizmet kullanımına yönelik bir yasaklama getirmemektedir. “Kurum kontrolü”, bulut hizmeti veren sistemlere erişen personel ve yetki düzeyleri, sunucuların kuruma tahsisli olup olmadığı, erişim ve işlem loglarının izlenebilmesi gibi veri güvenliğine yönelik kontrolleri ifade etmektedir.
Üretici ve Tedarikçilerden Taahhütname Alınması ile İlgili Nasıl Bir Yol İzlenecektir?
Genelgenin ilgili maddesi, bazı ülkelerin, üreticilerine istihbarat amaçlı arka kapı bırakma zorunluluğu getirme girişimleri de göz önünde bulundurularak, uygulama, veri ve sistem güvenliği kapsamında, yazılım ve donanımlarda kasıtlı oluşturulan arka kapı zafiyetlerine karşı alınan bir tedbirdir.
Kurum ve kuruluşlarca yapılacak yazılım ve donanım teminleri için hazırlanacak şartnamelerde bu konuda hassasiyet gösterilmesi, mümkünse ürünün arka kapı içermediğine dair taahhütname alınması istenmektedir.
Taahhütname alınsın veya alınmasın, arka kapı tespiti durumunda, mevcut mevzuat çerçevesinde adli ve idari soruşturma süreçlerinin işletilmesi, arka kapı zafiyetinin duyurularak alımın iptali ve firmanın yasaklı duruma düşürülmesi gibi yaptırımlar uygulanabilecektir.
Milli Güvenliği Doğrudan Etkileyen Stratejik Önemi Haiz Kurum ve Kuruluşların Üst Yöneticileri ile Personeli Hakkında Güvenlik Soruşturması veya Arşiv Araştırması Yapılması ile İlgili Madde Kapsamında, Mevcut Çalışanlara Tekrar Güvenlik Soruşturması Yapılması Gerekecek mi?
Söz konusu madde kapsamına giren görevleri nedeniyle halihazırda hakkında güvenlik soruşturması veya arşiv araştırması yapılmış bulunan ilgili üst yönetici veya personel için gerekli görülmedikçe güvenlik soruşturması ve arşiv araştırmasının yenilenmesine ihtiyaç bulunmamaktadır. Ancak ilgili yönetmelik çerçevesinde, gerekli görülen hallerde güvenlik soruşturması ve arşiv araştırmasının yenilenmesi mümkündür.
21.Maddede Belirtilen Tedbirin Kapsamı Nedir?
Telekomünikasyon hizmeti veren işletmelerce yerine getirilmek üzere, Cumhurbaşkanlığı ve milli güvenliğin sağlanması kapsamında görev yürüten kamu kurum ve kuruluşlarında iletişimin gizliliği ve güvenliğini artırmak amacıyla, doğrudan bu kurumlara haberleşme hizmeti sağlayan baz istasyonlarının ve diğer haberleşme sistemlerinin transmisyon altyapısında ilk toplama noktasına kadar radyolink bağlantısı kullanılmaması, kullanımın zorunlu olduğu durumlarda milli kripto sistemleriyle kriptolanarak kullanılması söz konusu maddenin kapsamını oluşturmaktadır.
İnternet Değişim Noktasını Kimler Kurmak Zorundadır?
Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmecilerce yerine getirilmek üzere, veri güvenliği, iletişim güvenliği ve yurt içi iletişim trafiğinin yurt dışına çıkarılmamasına yönelik genel çerçeveyi belirten düzenleyici bir tedbirdir. Söz konusu tedbirin uygulanmasına ilişkin teknik, hukuki ve ticari hususlar yetkili düzenleyici ve denetleyici kurum tarafından yapılacak düzenlemeyle belirlenecektir.
Comments