Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında alması gereken tedbirleri belirlemek için 06.07.2019 tarihli ve 30823 sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı DDO (Dijital Dönüşüm Ofisi) koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanarak, uygulamaya sunulmuştur.

Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi ve verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.

 CONSULTA tarafından sunulan Bilgi ve İletişim Güvenliği Rehberi uyumluluk danışmanlığı içerisinde söz konusu rehbere uyum konusunda gerçekleştirilmesi gereken çalışmaların ilki olan; Varlık gruplarının belirlenmesi,

·         Varlık gruplarının kritiklik derecesinin belirlenmesi

·         Mevcut durum ve boşluk analizi

·         Rehber uygulama yol haritasının hazırlanması

Varlık Gruplarının Belirlenmesi

DDO Bilgi ve İletişim Güvenliği Rehberi kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir. Rehber; elektronik ortamda yer alan bilgi/verinin depolandığı, aktarıldığı, işlendiği bilgi işleme olanakları, bilgi işleme olanaklarını kullanan personel ile bilgi işleme olanaklarını barındıran fiziksel ortamlara ilişkin varlıkları kapsamaktadır.

DDO Bilgi ve İletişim Güvenliği Rehberinde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:

·         Ağ ve Sistemleri

·         Uygulamalar

·         Taşınabilir Cihaz ve Ortamlar

·         Nesnelerin İnterneti (IoT) Cihazları

·         Fiziksel Mekanlar

·         Personel

Varlık Grubu Kritiklik Derecesinin Belirlenmesi

Varlık gruplarının belirlenmesinin ardından bu varlık gruplarının hangi kritiklik derecesine sahip olduğu belirlenecektir. Her bir varlık grubunun kritiklik derecesi, işlenen verinin gizlilik, bütünlük ve erişilebilirlik açısından kritikliği ile oluşabilecek güvenlik ihlallerinin etki alanları dikkate alınarak belirlenecektir. CONSULTA varlık grubu kritikliklerinin belirlenmesi için gerekli eğitim, koordinasyon, örnek çalışma ve alınan verilerin tutarlılık kontrollerini gerçekleştirecektir. Kurumunuzun verilen danışmanlık hizmetine göre varlık grubu kritikliklerini belirlemesi gereklidir.

Kritiklik derecesi belirleme derecesi

İşlenen veri ile ilgili boyutlar

•  Gizlilik: Bilginin yetkisiz kişilerin erişimine karşı korunması
• Bütünlük: Bilginin tam ve doğru olma durumunun korunması
• Erişilebilirlik: Bilginin yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olması 

Etki alanı ile ilgili boyutlar

·         Bağımlı Varlıklar: Varlık grubuna bağımlı olan diğer varlıklar üzerindeki etkisi

·         Etkilenen Kişi Sayısı: Bilgi güvenliği ihlal olayı meydana geldiğinde etkilenebilecek kişi sayısı

·         Kurumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak durum

·         Sektörel Etki: Varlık grubunun hizmet verdiği sektöre etkisi

·         Toplumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak toplumsal durum

 Bu boyutlar dikkate alınarak gerçekleştirilecek analizde DDO Bilgi ve İletişim Güvenliği Rehberinde sunulan EK-C.1 formu kullanılır. Her bir varlık grubu için bu anket formu doldurularak ilgili varlık grubunun kritiklik derecesi belirlenir. “Varlık Grubu Kritiklik Derecelendirme Anketi” olarak tanımlanan anket her bir varlık grubu özelinde rehber uyumluluk denetimi kapsamında kontrol edilir. İlgili varlık grubu için uygulanması gereken tedbir maddeleri, varlık grubu için belirlenmiş olan kritiklik derecesi göz önünde bulundurularak belirlenmelidir. 

Mevcut Durum ve Boşluk Analizi 

Varlık gruplarının kritiklik dereceleri dikkate alınarak DDO Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5’te yer alan güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Bilgi ve İletişim Güvenliği Rehberinde tanımlanan güvenlik tedbirleri aşağıda yer alan üç ana başlık altında sınıflandırılmıştır. CONSULTA mevcut durum analizi için gerekli çalışmaları aktaracak, örnek gerçekleştirecek ve kalan çalışmalar kurumunuzdan beklenecektir.

Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:

·         Ağ ve Sistem Güvenliği

·         Uygulama ve Veri Güvenliği

·         Taşınabilir Cihaz ve Ortam Güvenliği

·         Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği

·         Personel Güvenliği

·         Fiziksel Mekânların Güvenliği

 Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri: 

·         Kişisel Verilerin Güvenliği

·         Anlık Mesajlaşma Güvenliği

·         Bulut Bilişim Güvenliği

·         Kripto Uygulamaları Güvenliği

·         Kritik Altyapılar Güvenliği

·         Yeni Geliştirmeler ve Tedarik

 Sıkılaşma Faaliyetlerine Yönelik Güvenlik Tedbirleri: 

• İşletim Sistemi Sıkıştırma Tedbirleri
• Veri Tabanı Sıkıştırma Tedbirleri
• Sunucu Sıkıştırma Tedbirleri

Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5 ana başlıklarının altında yer alan her bir güvenlik tedbiri temel, orta ve ileri seviye olarak derecelendirilmektedir. Varlık grubuna uygulanacak tedbirlerin aşağıdaki sınıflandırmaya göre belirleneceği Bilgi ve İletişim Güvenliği Rehberinde belirtilmiştir.

Rehber Uygulama Yol Haritasının Hazırlanması

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır. CONSULTA uygulama yol haritasının hazırlanması için gerekli koordinasyon, eğitim, örnek çalışma ve verilerin kontrolünü gerçekleştirecektir. Verilen danışmanlık hizmeti kapsamında kurumunuzun uygulama yol haritası için gerekli verileri hazırlaması gereklidir.

Rehber uygulama yol haritası kapsamında yapılacak çalışmalar belirlenir. Çalışmalar, aşağıdaki gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:

         Yetkinli Kazanımları ve Eğitimler

·         Ürün Tedariği

·         Hizmet Alımı

·         Danışmanlık

·         Geliştirme / Yeniden Geliştirme

·         Tasarlama / Yeniden Tasarlama

·         Sıkılaştırma

·         Sürüm Güncelleme

·         Dökümantasyon

·         Kurumsal Süreç İyileştirme

Yapılacak çalışmalar belirlendikten sonra her çalışma için 2-3 aylık dönemler halinde hedefler belirlenmeli ve gerekli kaynakların tahsisi (personel, bütçe, fiziksel ortam vb.) için planlama yapılmalıdır. Uygulama yol haritası kapsamında yapılan planlamalar Bilgi ve İletişim Güvenliği Rehberi EK-C.4’te yer alan form ile kayıt altına alınmalıdır

Kurum, boşluk analizi sonucunda uygulanması gereken ilave tedbirler kapsamındaki herhangi bir gereksinimi; üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı rehberde tanımlandığı şekli ile karşılayamaması durumunda telafi edici kontroller uygulayabilir. Telafi edici kontroller, yerine uygulandıkları tedbir maddeleri ile aynı amaç ve etkiye sahip olmaları durumunda kullanılabilir olarak kabul edilecektir. Uygulanmasına karar verilen her bir telafi edici kontrol Bilgi ve İletişim Güvenliği Rehberi EK-C.5’te yer alan form ile kayıt altına alınmalıdır.