Cumhurbaşkanlığı Bilgi ve İletişim Rehberi’nde ‘Sosyal Medya’ Uyarısı

-

Geçen yıl 6 Temmuz 2019 tarihli Resmi Gazete’de yayımlanan Cumhurbaşkanlığı “Bilgi ve İletişim Güvenliği Rehberi” Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu’ndan 29 Temmuz 2020 tarihinde geçerek, kanunlaşan sosyal medyaya ilişkin düzenlemeleri içeren kanuna (İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun) da bir anlamda rehberlik ediyor. Güvenlik Rehberi, en önemli yanıyla da yerli ve milli ürün kullanımının teşvik erilmesini sağlıyor.

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nce hazırlanan “Bilgi ve İletişim Güvenliği Tedbirleri” konulu Cumhurbaşkanlığı genelgesi rehberi doğrultusunda kamuda yerli ve milli ürün kullanımı desteklenerek; kritik bilgi ve veri güvenliği risklerinin ortadan kaldırılması ve azaltılması hedefleniyor.

Cumhurbaşkanı Recep Tayyip Erdoğan imzasıyla yayımlanan rehber, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında genel olarak alması gereken tedbirleri belirliyor. “Bilgi ve İletişim Güvenliği Tedbirleri” genelgesi doğrultusunda, yayımlanan rehberle; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi ya da verinin güvenliğinin sağlanması için asgari güvenlik tedbirleri sıralanıyor. Belirlenen tedbirlerin uygulanması için yürütülecek faaliyetler rehberde tanımlanıyor.

Rehberle ayrıca, rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi amaçlanıyor. Rehber, siber güvenlikte ülke seviyesinin yükselmesinde önemli rol alacak.

Hazırlıklar 1 Yıl Sürdü

Yaklaşık 1 yıl süren Bilgi ve İletişim Güvenliği Rehberi hazırlama çalışmaları kapsamında 5 günlük bir çalıştay gerçekleştirildi. 16 Bakanlık ile 51 kurum ve kuruluştan 240 uzmanın katkısı alındı, 200 saati aşan 70’in üzerinde çalışma toplantısında 2 bin 660 görüş ve öneri değerlendirildi. Hazırlama çalışmalarında çok sayıda ulusal ve uluslararası yayınlar incelendi. Bilgi ve iletişim güvenliği alanında ülkemize özgün ilk referans doküman olma niteliği taşıyan ve geniş bir katılımla ilgili tüm paydaşların katkısı alınarak hazırlanan Bilgi ve İletişim Güvenliği Rehberi; ihtiyaçlar, gelişen teknoloji, değişen şartlar ile ulusal politika ve stratejiler göz önünde bulundurularak güncellenmeye devam edilecek. Güçlü ekonomiler için güçlü teknolojilerin önem kazandığı günümüzde teknolojiyi takip eden değil teknolojiye yön veren bir ülke olabilmemiz için rehber, yerli ve milli siber güvenlik ürün ve çözümlerinin kullanımının yaygınlaştırılmasını sağlayarak, Türkiye’nin üretim gücüne destek olacak. Ve Türkiye’nin siber güvenlik alanında dünya ile rekabet edebilecek teknoloji üretebilmesinin önünü açacak.

Rehberin, bilgi ve iletişim güvenliği alanındaki büyük bir boşluğu doldurması beklenirken, siber güvenlikte ülke seviyesinin uluslararası arenada yükselmesinde önemli bir rol alması hedefleniyor.

Bilginin Dijital Ortamlara Taşınması

Bilginin dijital ortamlara taşınması ve bilgiye erişimin kolaylaşması noktasında; Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu’ndan 29 Temmuz 2020 tarihinde geçerek, kanunlaşan sosyal medyaya ilişkin düzenlemeleri içeren kanun teklifine de bir anlamda rehberlik eden Bilgi ve İletişim Güvenliği Rehberi”, “Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır” ile “Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir” maddeleriyle sosyal medya düzenlemesine ilişkin kanunla bir anlamda adeta örtüşüyor.

Rehber niteliğinde olduğu her fırsatta vurgulanan “Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi”nde şu ifadelere yer veriliyor:

“Bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi yönetim sistemlerinin yaygın olarak kullanılması, ciddi güvenlik risklerini beraberinde getirmektedir. Karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla aşağıdaki tedbirlerin alınması uygun görülmüştür;

.Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.

.Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.

.Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.

.Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.

.Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.

.Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.

.Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.

.Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.

.Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.

.Kişisel olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.

.Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.

.Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkanı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkanlar ölçüsünde taahhütname alınacaktır.

.Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.

.Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.

.Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.

.Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.

.Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.

.Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.

.Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.

.Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.

.İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

.Güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları tarafından gereken katkı sağlanarak hazırlandı ve www.cbddo.gov.tr adresinde yayımlanıyor. Rehber ihtiyaçlar, gelişen teknoloji, değişen şartlar ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecektir.

.Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak yayımlanmasını müteakip Rehberde yer alacak plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir. Uyum çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan güncel sürüm dikkate alınacaktır.

.Milli güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, Rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir. Denetim sonuçları ile yapılan düzeltici ve önleyici faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisine iletilecektir.”


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

e-Ticaret Yönetmeliği’ne Danıştay Ayarı

-
Resim
Danıştay 10’uncu Dairesi, e-Ticaret Yönetmeliği’nde yürütmenin durdurulması talebini değerlendirdi ve oy birliğiyle çok sayıda maddenin yürütmesini durdurdu.  Ticaret Bakanlığı tarafından Elektronik Ticaret Aracı Hizmet Sağlayıcı Ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik 29 Aralık 2022  tarihli Resmi Gazete’de  yayımlandı  ve maddelerinin büyük bir bölümü 1 Ocak 2023’te yürürlüğe girdi . Elektronik ticaret (e-ticaret) platformlarının büyük bir bölümünün bu yönetmeliğin bazı maddelerinden olumsuz yönde etkilendikleri gündeme geldi. Yönetmeliğin yayımlanmasının hemen ardından yürütmenin durdurulması ve iptali için açılan dava nedeniyle Danıştay 10’uncu Dairesi, yürütmenin durdurulması talebini değerlendirdi ve oy birliğiyle çok sayıda maddenin yürütmesini durdurdu. Yönetmeliğin yürütülmesinin tümden iptali hakkında Anayasa Mahkemesi’ne açılan davanın ise önümüzdeki dönemde sonuçlanması bekleniyor. Yönetmeliğin, Bankacılık Kanunu, Sigortacılık Kanunu, Sermaye
Devamı

Veri Depolamanın Geleceği

-
Resim
Huawei tarafından düzenlenen ve dijital dönüşümün geleceğini keşfetmek üzere, küresel fikir liderlerini, iş dünyasının önemli isimlerini, teknoloji sektörünün lider şirketlerini ve ekosistem iş ortaklarını bir araya getiren IDI Forum, 23-24 Mayıs tarihlerinde Almanya’nın Münih kentinde gerçekleştirilmişti. Bu yılki etkinliğin teması ise ‘Yeni Veri, Yeni Uygulamalar ve Yeni Esneklik’ olarak belirlenmişti. “2023 Innovative Data Infrastructure Forum (IDI Day- Yenilikçi Veri Altyapısı Forumu)”, dijital altyapının geleceğini keşfetmek üzere, küresel endüstri uzmanlarını ve ortaklarını bir araya getirdi. Huawei etkinliği kapsamında; veri depolama endüstrisinin evrimine doğru yol alınırken, verinin değerini ortaya çıkarmak için gelişmekte olan uygulama ekosistemini anlamak, yapılandırılmamış veri yığınlarını verimli bir şekilde ele almak ve veri esnekliğini kapsamlı bir şekilde iyileştirmek gibi bir dizi farklı konuyu ele aldı. Şirketin dijital dönüşümün geleceğini de ele aldığı küresel
Devamı

Sanal Dünyanın Bilgi Avcıları

-
Resim
Bilgiye ulaşmak hiç bu kadar kolay olmamıştı…Orta çağdan, 1980’li yıllara kadar neredeyse pırlanta değerinde saklanan ve ulaşımı zor olan bilgi; internetteki arama motorları sayesinde; herkesce edinilir hale geldi. Hepimiz internet ile daha meraklıyız, ilgiliyiz ve de bilgiliyiz. Tabi oldukça da bilgi kirliliğiyle de karşı karşıyayız. Tam da bu iklim ortamında çocukluğumuzda edinebilmek için canhıraş çırpındığımız ansiklopediler;   tozlu raflarda nostaljik öğeler olarak dururken; artık “arama motorları” yanıbaşımızda hızla bilgi taramaya devam ediyor. Arama motorları, dünya üzerindeki tüm web sitelerini gezen, arşivleyen ve sonuçları kullanıcılara listeleyen güçlü algoritmalara sahip yazılımlar olarak nitelendiriliyor. Arama motorları, sadece araştırma araçları değil, aynı zamanda tanıtma mecraları olma özelliği taşıyor. Her türlü bilgiye ulaşmanın en hızlı, rahat ve kolay yolu olan arama motoru; dijital ansiklopedi niteliği taşıyor. İşlevlerine göre farklılık göst
Devamı