Cumhurbaşkanlığı Bilgi ve İletişim Rehberi’nde ‘Sosyal Medya’ Uyarısı
Geçen yıl 6 Temmuz 2019 tarihli Resmi Gazete’de yayımlanan Cumhurbaşkanlığı “Bilgi ve İletişim Güvenliği Rehberi” Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu’ndan 29 Temmuz 2020 tarihinde geçerek, kanunlaşan sosyal medyaya ilişkin düzenlemeleri içeren kanuna (İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun) da bir anlamda rehberlik ediyor. Güvenlik Rehberi, en önemli yanıyla da yerli ve milli ürün kullanımının teşvik erilmesini sağlıyor.
Cumhurbaşkanlığı Dijital Dönüşüm
Ofisi’nce hazırlanan “Bilgi ve İletişim Güvenliği Tedbirleri” konulu Cumhurbaşkanlığı
genelgesi rehberi doğrultusunda kamuda yerli ve milli ürün kullanımı
desteklenerek; kritik bilgi ve veri güvenliği risklerinin ortadan kaldırılması
ve azaltılması hedefleniyor.
Cumhurbaşkanı
Recep Tayyip Erdoğan imzasıyla yayımlanan rehber, kamu kurum ve kuruluşları ile
kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim
güvenliği kapsamında genel olarak alması gereken tedbirleri belirliyor. “Bilgi ve İletişim Güvenliği Tedbirleri” genelgesi doğrultusunda,
yayımlanan rehberle; bilgi güvenliği risklerinin azaltılması, ortadan
kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği
bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına
yol açabilecek kritik bilgi ya da verinin güvenliğinin sağlanması için asgari
güvenlik tedbirleri sıralanıyor. Belirlenen tedbirlerin uygulanması için
yürütülecek faaliyetler rehberde tanımlanıyor.
Rehberle
ayrıca, rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer
çalışmaların ve yatırımların önüne geçilmesi amaçlanıyor. Rehber, siber güvenlikte ülke seviyesinin
yükselmesinde önemli rol alacak.
Hazırlıklar
1 Yıl Sürdü
Yaklaşık
1 yıl süren Bilgi ve İletişim Güvenliği Rehberi hazırlama çalışmaları kapsamında
5 günlük bir çalıştay gerçekleştirildi. 16 Bakanlık ile 51 kurum ve kuruluştan
240 uzmanın katkısı alındı, 200 saati aşan 70’in üzerinde çalışma toplantısında
2 bin 660 görüş ve öneri değerlendirildi. Hazırlama çalışmalarında çok sayıda
ulusal ve uluslararası yayınlar incelendi. Bilgi ve iletişim güvenliği alanında
ülkemize özgün ilk referans doküman olma niteliği taşıyan ve geniş bir
katılımla ilgili tüm paydaşların katkısı alınarak hazırlanan Bilgi ve İletişim
Güvenliği Rehberi; ihtiyaçlar, gelişen teknoloji, değişen şartlar ile ulusal
politika ve stratejiler göz önünde bulundurularak güncellenmeye devam edilecek.
Güçlü ekonomiler için güçlü teknolojilerin önem kazandığı günümüzde teknolojiyi
takip eden değil teknolojiye yön veren bir ülke olabilmemiz için rehber, yerli
ve milli siber güvenlik ürün ve çözümlerinin kullanımının yaygınlaştırılmasını
sağlayarak, Türkiye’nin üretim gücüne destek olacak. Ve Türkiye’nin siber
güvenlik alanında dünya ile rekabet edebilecek teknoloji üretebilmesinin önünü
açacak.
Rehberin,
bilgi ve iletişim güvenliği alanındaki büyük bir boşluğu doldurması
beklenirken, siber güvenlikte ülke seviyesinin uluslararası arenada
yükselmesinde önemli bir rol alması hedefleniyor.
Bilginin Dijital Ortamlara Taşınması
Bilginin dijital ortamlara taşınması ve bilgiye
erişimin kolaylaşması noktasında; Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu’ndan 29 Temmuz 2020 tarihinde
geçerek, kanunlaşan sosyal medyaya ilişkin düzenlemeleri
içeren kanun teklifine de bir anlamda rehberlik eden “Bilgi ve
İletişim Güvenliği Rehberi”, “Sosyal medya
üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır” ile “Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların
kullanımı tercih edilecektir” maddeleriyle sosyal medya düzenlemesine ilişkin kanunla
bir anlamda adeta örtüşüyor.
Rehber
niteliğinde olduğu her fırsatta vurgulanan “Cumhurbaşkanlığı
Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi”nde şu ifadelere yer
veriliyor:
“Bilginin
dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların
dijital hale gelmesi ve bilgi yönetim sistemlerinin yaygın olarak kullanılması,
ciddi güvenlik risklerini beraberinde getirmektedir. Karşılaşılan güvenlik
risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü
veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu
düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin
sağlanması amacıyla aşağıdaki tedbirlerin alınması uygun görülmüştür;
.Nüfus,
sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi
kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
.Kamu kurum
ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel
güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda
kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları
değiştirilmeye karşı önlem alınarak saklanacaktır.
.Kamu kurum
ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum
kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde
saklanmayacaktır.
.Mevzuatta
kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından
geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar
üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
.Sosyal
medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
.Sosyal
medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih
edilecektir.
.Kamu kurum
ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma
güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
.Kritik
veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği
çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine
sahip cihazlar bulundurulmayacaktır.
.Gizlilik
dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal
olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü
bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.
.Kişisel
olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan
taşınabilir cihazlar (dizüstü bilgisayar mobil cihazlar, harici bellek/disk,
CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin
saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya
yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla
kullanılan cihazlar kayıt altına alınacaktır.
.Yerli ve
milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait
gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi
sağlanacaktır.
.Kamu kurum
ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına
uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın
sistemlere erişim imkanı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair
üretici ve/veya tedarikçilerden imkanlar ölçüsünde taahhütname alınacaktır.
.Yazılımların
güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen
veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden
geçirilerek kullanılacaktır.
.Kurum ve
kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.
.Üst düzey
yöneticiler de dahil olmak üzere, personelin sistemlere erişim
yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak
yapılması sağlanacaktır.
.Endüstriyel
kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu
sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli
güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri,
yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
.Milli
güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst
yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi
haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya
arşiv araştırması yaptırılacaktır.
.Kamu
e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak,
e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve
sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
.Kurumsal
olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal
e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.)
kullanılmayacaktır.
.Haberleşme
hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet
değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi
iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
.İşletmeciler
tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve
benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır.
Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak
kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip
cihazlar kullanılarak kriptolanacaktır.
.Güvenlik
risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü
veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu
düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin
sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği
kriterleri çerçevesinde, kamu kurum ve kuruluşları ile kritik altyapı
niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik
seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı
Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve
kuruluşları tarafından gereken katkı sağlanarak hazırlandı ve www.cbddo.gov.tr
adresinde yayımlanıyor. Rehber ihtiyaçlar, gelişen teknoloji, değişen şartlar
ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak
değişiklikler göz önünde bulundurularak güncellenecektir.
.Tüm kamu
kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni
kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması
zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri
dikkate alınarak yayımlanmasını müteakip Rehberde yer alacak plan çerçevesinde
kademeli olarak bu esaslara uyumlu hale getirilecektir. Uyum çalışmalarında ve
yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan güncel sürüm
dikkate alınacaktır.
.Milli
güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve
faaliyetler hariç olmak üzere kurum ve kuruluşlar, Rehberin uygulanmasına
ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı
denetleyecektir. Denetim sonuçları ile yapılan düzeltici ve önleyici
faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde
Dijital Dönüşüm Ofisine iletilecektir.”
Yorumlar
Yorum Gönder