Kamu Güvenliği’nde Tamamen ‘Yerli’ Dönemi

-

“Bilgi ve İletişim Güvenliği Tedbirleri” Cumhurbaşkanlığı Genelgesi 6 Temmuz 2019 tarihli Resmi Gazete’de yayımlandı. 2019/12 sayılı Genelge, kamu kurum kuruluşları ile her kesimden kuruluş ve işletmelerin uymaları gereken bazı güvenlik tedbirlerine değiniyor.
Kamu kurum ve kuruluşlarında bilgi ve iletişim güvenliğinin tamamen “yerli yazılım”lara devredileceğinin belirtildiği genelge, adeta  yerli yazılımcıların yüzünün artık güleceğini müjdeliyor…
Bu genelge, yıllardır yazılım üreten ve ihraç etme çabası içerisinde olan, tüm zorluklara katlanan yerli yazılımcıları; “Ekonomide Yerli Yazılım’ın Payını Artırma” amacına ulaştıracak gibi görünüyor…   
Genelge kapsamında, kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak.
Bulut hizmetlerinin tamamen dışarıda bırakıldığının gözlendiği genelgede, “Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç, bulut depolama hizmetlerinde saklanmayacaktır” ifadesi yer alıyor.
Genelgede, işletmecilerin, kritik kurumların bulunduğu bölgelerdeki verileri, radyolink ve benzeri yöntemlerle taşıyamayacakları vurgulanırken, verilerin fiber optik kablolar üzerinden iletileceğinin altı çiziliyor. Radyolink haberleşmesinin kullanımının zorunlu olduğu durumlarda ise verilerin, milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacağı belirtiliyor.
Kamu e-posta sistemlerinin ayarlarının güvenli olacak biçimde yapılandırılacağının aktarıldığı genelgede, e-posta sunucularının, ülkemizde ve kurumun kontrolünde bulundurulacağı, sunucular arasındaki iletişimin şifreli olarak yapılmasının sağlanacağı kaydediliyor.
Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacağının altının çizildiği genelgede, kurumsal e-postaların şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacağı dile getiriliyor. Genelgede, yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacağına işaret ediliyor.

Sosyal medyada ‘gizlilik’ önlemi

Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşmenin yapılmayacağının değinildiği genelgede, sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımının tercih edileceği belirtiliyor.

Genelgede, yazılımların güvenli olarak geliştirilmesiyle ilgili tüm tedbirlerin alınacağından sözedilirken, temin edilen veya geliştirilen yazılımların kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacağı vurgulanıyor.

Bilgi ve İletişim Güvenliği Rehberi

Genelgede, güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi”nin hazırlanacağı ifade ediliyor. Genelgenin, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları tarafından hazırlanacağı dile getirilerek, www.cbddo.gov.tr adresinde yayımlanacağı belirtiliyor. Rehberin, ihtiyaçlar, gelişen teknoloji, değişen şartlar ile Ulusal Siber Güvenlik Stratejisi ve Eylem Planları’nda yapılacak değişiklikler göz önünde bulundurularak güncelleneceğinin altı çiziliyor.
Genelgede, tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulmasının zorunluluğundan sözediliyor. Rehberin, mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak yayımlanacağı vurgulanıyor..

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi maddeleri:
-Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
-Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
-Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.
-Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
-Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
-Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.
-Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
-Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.
-Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.
-Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.
-Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.
-Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.
-Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.
-Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.
-Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.
-Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
-Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.
-Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
-Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.
-Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
-İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

e-Ticaret Yönetmeliği’ne Danıştay Ayarı

-
Resim
Danıştay 10’uncu Dairesi, e-Ticaret Yönetmeliği’nde yürütmenin durdurulması talebini değerlendirdi ve oy birliğiyle çok sayıda maddenin yürütmesini durdurdu.  Ticaret Bakanlığı tarafından Elektronik Ticaret Aracı Hizmet Sağlayıcı Ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik 29 Aralık 2022  tarihli Resmi Gazete’de  yayımlandı  ve maddelerinin büyük bir bölümü 1 Ocak 2023’te yürürlüğe girdi . Elektronik ticaret (e-ticaret) platformlarının büyük bir bölümünün bu yönetmeliğin bazı maddelerinden olumsuz yönde etkilendikleri gündeme geldi. Yönetmeliğin yayımlanmasının hemen ardından yürütmenin durdurulması ve iptali için açılan dava nedeniyle Danıştay 10’uncu Dairesi, yürütmenin durdurulması talebini değerlendirdi ve oy birliğiyle çok sayıda maddenin yürütmesini durdurdu. Yönetmeliğin yürütülmesinin tümden iptali hakkında Anayasa Mahkemesi’ne açılan davanın ise önümüzdeki dönemde sonuçlanması bekleniyor. Yönetmeliğin, Bankacılık Kanunu, Sigortacılık Kanunu, Sermaye
Devamı

Veri Depolamanın Geleceği

-
Resim
Huawei tarafından düzenlenen ve dijital dönüşümün geleceğini keşfetmek üzere, küresel fikir liderlerini, iş dünyasının önemli isimlerini, teknoloji sektörünün lider şirketlerini ve ekosistem iş ortaklarını bir araya getiren IDI Forum, 23-24 Mayıs tarihlerinde Almanya’nın Münih kentinde gerçekleştirilmişti. Bu yılki etkinliğin teması ise ‘Yeni Veri, Yeni Uygulamalar ve Yeni Esneklik’ olarak belirlenmişti. “2023 Innovative Data Infrastructure Forum (IDI Day- Yenilikçi Veri Altyapısı Forumu)”, dijital altyapının geleceğini keşfetmek üzere, küresel endüstri uzmanlarını ve ortaklarını bir araya getirdi. Huawei etkinliği kapsamında; veri depolama endüstrisinin evrimine doğru yol alınırken, verinin değerini ortaya çıkarmak için gelişmekte olan uygulama ekosistemini anlamak, yapılandırılmamış veri yığınlarını verimli bir şekilde ele almak ve veri esnekliğini kapsamlı bir şekilde iyileştirmek gibi bir dizi farklı konuyu ele aldı. Şirketin dijital dönüşümün geleceğini de ele aldığı küresel
Devamı

Sanal Dünyanın Bilgi Avcıları

-
Resim
Bilgiye ulaşmak hiç bu kadar kolay olmamıştı…Orta çağdan, 1980’li yıllara kadar neredeyse pırlanta değerinde saklanan ve ulaşımı zor olan bilgi; internetteki arama motorları sayesinde; herkesce edinilir hale geldi. Hepimiz internet ile daha meraklıyız, ilgiliyiz ve de bilgiliyiz. Tabi oldukça da bilgi kirliliğiyle de karşı karşıyayız. Tam da bu iklim ortamında çocukluğumuzda edinebilmek için canhıraş çırpındığımız ansiklopediler;   tozlu raflarda nostaljik öğeler olarak dururken; artık “arama motorları” yanıbaşımızda hızla bilgi taramaya devam ediyor. Arama motorları, dünya üzerindeki tüm web sitelerini gezen, arşivleyen ve sonuçları kullanıcılara listeleyen güçlü algoritmalara sahip yazılımlar olarak nitelendiriliyor. Arama motorları, sadece araştırma araçları değil, aynı zamanda tanıtma mecraları olma özelliği taşıyor. Her türlü bilgiye ulaşmanın en hızlı, rahat ve kolay yolu olan arama motoru; dijital ansiklopedi niteliği taşıyor. İşlevlerine göre farklılık göst
Devamı