Kamu Güvenliği’nde Tamamen ‘Yerli’ Dönemi
“Bilgi ve İletişim Güvenliği Tedbirleri” Cumhurbaşkanlığı
Genelgesi 6 Temmuz 2019 tarihli Resmi Gazete’de yayımlandı. 2019/12 sayılı Genelge,
kamu kurum kuruluşları ile her kesimden kuruluş ve işletmelerin uymaları
gereken bazı güvenlik tedbirlerine değiniyor.
Kamu kurum ve kuruluşlarında bilgi ve iletişim
güvenliğinin tamamen “yerli yazılım”lara devredileceğinin belirtildiği genelge,
adeta yerli yazılımcıların yüzünün artık
güleceğini müjdeliyor…
Bu genelge, yıllardır yazılım üreten ve ihraç etme çabası
içerisinde olan, tüm zorluklara katlanan yerli yazılımcıları; “Ekonomide Yerli
Yazılım’ın Payını Artırma” amacına ulaştıracak gibi görünüyor…
Genelge kapsamında, kamu kurum ve kuruluşlarında yer alan kritik veriler,
internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli
bir ağda tutulacak.
Bulut hizmetlerinin tamamen dışarıda bırakıldığının gözlendiği genelgede, “Kamu
kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum
kontrolündeki yerli hizmet sağlayıcılar hariç, bulut depolama hizmetlerinde
saklanmayacaktır” ifadesi yer alıyor.
Genelgede, işletmecilerin, kritik kurumların bulunduğu bölgelerdeki verileri,
radyolink ve benzeri yöntemlerle taşıyamayacakları vurgulanırken, verilerin fiber
optik kablolar üzerinden iletileceğinin altı çiziliyor. Radyolink haberleşmesinin
kullanımının zorunlu olduğu durumlarda ise verilerin, milli kripto sistemlerine
sahip cihazlar kullanılarak kriptolanacağı belirtiliyor.
Kamu e-posta sistemlerinin ayarlarının güvenli olacak biçimde
yapılandırılacağının aktarıldığı genelgede, e-posta sunucularının, ülkemizde ve
kurumun kontrolünde bulundurulacağı, sunucular arasındaki iletişimin şifreli
olarak yapılmasının sağlanacağı kaydediliyor.
Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacağının
altının çizildiği genelgede, kurumsal e-postaların şahsi amaçlarla (özel
iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacağı dile getiriliyor.
Genelgede, yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil
uygulamalar hariç, mobil uygulamalar üzerinden, gizlilik dereceli veri
paylaşımı ve haberleşme yapılmayacağına işaret ediliyor.
Sosyal medyada
‘gizlilik’ önlemi
Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşmenin
yapılmayacağının değinildiği genelgede, sosyal medya ve haberleşme
uygulamalarına ait yerli uygulamaların kullanımının tercih edileceği
belirtiliyor.
Genelgede, yazılımların güvenli olarak geliştirilmesiyle ilgili tüm tedbirlerin
alınacağından sözedilirken, temin edilen veya geliştirilen yazılımların
kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacağı
vurgulanıyor.
Bilgi
ve İletişim Güvenliği Rehberi
Genelgede, güvenlik risklerinin azaltılması, etkisiz kılınması
ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli
güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek
kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve
uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, kamu kurum
ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde
uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği
Rehberi”nin hazırlanacağı ifade ediliyor. Genelgenin, Cumhurbaşkanlığı Dijital
Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları
tarafından hazırlanacağı dile getirilerek, www.cbddo.gov.tr adresinde
yayımlanacağı belirtiliyor. Rehberin, ihtiyaçlar, gelişen teknoloji, değişen
şartlar ile Ulusal Siber Güvenlik Stratejisi ve Eylem Planları’nda yapılacak
değişiklikler göz önünde bulundurularak güncelleneceğinin altı çiziliyor.
Genelgede, tüm kamu kurum ve kuruluşları ile kritik
altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde
yer verilen usul ve esaslara uyulmasının zorunluluğundan sözediliyor. Rehberin,
mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate
alınarak yayımlanacağı vurgulanıyor..
Bilgi
ve İletişim Güvenliği Tedbirleri Genelgesi maddeleri:
-Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik
veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde
depolanacaktır.
-Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve
fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu
ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları
değiştirilmeye karşı önlem alınarak saklanacaktır.
-Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri
veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama
hizmetlerinde saklanmayacaktır.
-Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar
tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar
üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
-Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme
yapılmayacaktır.
-Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların
kullanımı tercih edilecektir.
-Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği
yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
-Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin
gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri
transferi özelliğine sahip cihazlar bulundurulmayacaktır.
-Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve
belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan
cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.)
bulundurulmayacaktır.
-Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin
olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici
bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli
verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal
ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek;
bu amaçla kullanılan cihazlar kayıt altına alınacaktır.
-Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek,
kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden
gerçekleştirilmesi sağlanacaktır.
-Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların
kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların
bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti)
açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde
taahhütname alınacaktır.
-Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler
alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce
güvenlik testlerinden geçirilerek kullanılacaktır.
-Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli
tedbirleri alacaktır.
-Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim
yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak
yapılması sağlanacaktır.
-Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması
sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu
durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme
yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
-Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve
kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev
alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik
soruşturması veya arşiv araştırması yaptırılacaktır.
-Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde
yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde
bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması
sağlanacaktır.
-Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim
yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel
sosyal medya hesapları vb.) kullanılmayacaktır.
-Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de
internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken
yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler
alınacaktır.
-İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler,
radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden
taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak;
ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine
sahip cihazlar kullanılarak kriptolanacaktır.
Yorumlar
Yorum Gönder