Bilgi ve İletişim Güvenliği Rehberi

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi

Bilgi ve İletişim Güvenliği Rehberi

Bilgi ve İletişim Güvenliği Rehberi’nin mevzuatsal dayanağı nedir?

06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Mezkûr Genelge’de “Güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları tarafından gereken katkı sağlanarak hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacaktır. Rehber ihtiyaçlar, gelişen teknoloji, değişen şartlar ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecektir.” ibaresi yer almakta ve Bilgi ve İletişim Güvenliği Rehberi’ne dayanak teşkil etmektedir.

Bilgi ve İletişim Güvenliği Rehberi’nin kapsamında hangi kurum ve kuruluşlar yer almaktadır?

Bilgi ve İletişim Güvenliği Rehberi, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmelerden bilgi işlem birimi barındıranları veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alanları kapsamaktadır.

Bilgi ve İletişim Güvenliği Rehberi’nde yer alan uyum planı için esas alınacak başlangıç tarihi nedir?

Rehber’in yayım tarihi olan 27 Temmuz 2020, uyum planı için esas alınacak başlangıç tarihidir. 

Bilgi ve İletişim Güvenliği Rehberi’nde bahsi geçen kritik altyapı sektörleri hangileridir?

Kritik altyapı sektörleri 2020 – 2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı'nda  “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma”, “Bankacılık ve Finans” olarak yer almaktadır.

Bilgi ve İletişim Güvenliği Rehberi’ne uyum sağlanması amacıyla oluşturulmuş bir plan var mıdır?

Bilgi ve İletişim Güvenliği Rehberi kapsamındaki kurum, kuruluş ve işletmeler için Rehber’de bir uyum planı* oluşturulmuştur.
Rehber uyum planı kapsamında yapılacak çalışmalara aşağıda yer verilmiştir:

  • 1 – 6 ay arasında: Varlık Grubu Kritiklik Derecesi Belirleme ve Boşluk Analizi Çalışmaları
  • 6 – 18 ay arasında: 1. Seviye Tedbirlerin Uygulanması
  • 6 – 21 ay arasında: 2. Seviye Tedbirlerin Uygulanması
  • 6 – 24 ay arasında: 3. Seviye Tedbirlerin Uygulanması

Kapsam dâhilindeki kurum, kuruluş ve işletmelerin uyum planındaki takvimi dikkate alması, uyum sürecinin planlı yürütülmesi ve zamanında tamamlanması bakımından önem arz etmektedir. Bununla birlikte ilk 6 aylık çalışmaların bitiş tarihi olan 31.01.2021 tarihinde kurumlardan herhangi bir çıktı veya geri dönüş beklenmemektedir.

* Bilgi ve İletişim Güvenliği Rehberi Sayfa 13, Şekil 3

Bilgi Güvenliği Yönetim Sistemi ile Bilgi ve İletişim Güvenliği Rehberi arasındaki etkileşim nasıl olmalıdır?

Kurumlar hâlihazırda yürüttükleri bilgi güvenliği yönetim sistemi (BGYS) süreçlerini varlık – kontrol veya süreç – kontrol temelli bir yaklaşımla ele almaktadır. BGYS’de yer alan varlık veya süreçlerin bilgi güvenliğine mevcut etkisi ve bilgi güvenliği kapsamında belirlenen risklerin gerçekleşme olasılığı tanımlanarak risk analizi faaliyeti gerçekleştirilir. Risk analizi sonucunda kurum, kuruluş ve işletmeler kabul edebileceği risk değerini belirleyerek, bu değerin üzerinde kalan risklere yönelik düzeltici, önleyici ve iyileştirici faaliyetler gerçekleştirir.

Bilgi ve İletişim Güvenliği Rehberi’nde, varlık grupları oluşturularak bunların bilgi güvenliğine olan etkisini belirlemek üzere anket çalışması yapılır. Anket çalışmasında Delfi metodu kullanılır. Anket çalışması sonucunda ortaya çıkan puan varlık grubunun kritiklik derecesini belirler. Belirlenen kritiklik derecesine karşılık gelen tedbirler varlık grubuna uygulanır. Dolayısıyla BGYS’de varlık özelinde yapılan çalışmalar, Rehber’de varlık grupları üzerinden yapılmaktadır.

Rehber, BGYS’deki risk analiz faaliyetleri sonrasında uygulanacak kontrollere, her varlık grubu ve kritiklik derecesi özelinde tedbirler sunarak daha güvenilir ve ayakları yere basan bir bilgi güvenliği yönetim sistemi kurulmasını sağlar. Bunlarla birlikte Rehber’de yer alan denetim soruları BGYS kapsamında gerçekleştirilecek iç tetkik faaliyetlerini destekleyerek kurum, kuruluş ve işletmeler için daha güvenilir bir iç kontrol ortamı oluşturulmasına zemin hazırlar.

Varlık grubu kritiklik derecesi nasıl belirlenir?

Rehber’de yer alan varlık grupları altı temel başlık altında tanımlanmıştır ve ilgili başlıklar aşağıda yer almaktadır.

  1. Ağ ve Sistemler
  2. Uygulamalar
  3. Taşınabilir Cihaz ve Ortamlar
  4. IoT Cihazları
  5. Personel
  6. Fiziksel Mekânlar

Varlıkların kritiklik derecesini belirlemek için öncelikli olarak varlık grupları Rehber’in 22. sayfasında yer alan hususlara uygun olarak tanımlanmalıdır. Her bir varlık grubu başlığı özelinde birden çok varlık grubu tanımlanabilmektedir.

Örneğin; Uygulamalar varlık grubu çerçevesinde Uygulamalar 1, Uygulamalar 2, … , Uygulamalar N gibi birden fazla varlık grubu tanımlanabilmekte ve Uygulamalar 1, Uygulamalar 2, … , Uygulamalar N varlık grubu içeresinde ise birden çok uygulama varlık olarak tanımlanabilmektedir.

Bir başka deyişle; Uygulamalar 1 varlık grubuna kurumun dışarıya açık olan uygulamaları (Web Tabanlı Uygulama 1, Web Tabanlı Uygulama 2, … , Web Tabanlı Uygulama N) tanımlanabilirken, Uygulamalar 2 varlık grubuna kurumun dışarıya açık olmayan uygulamaları (Web Tabanlı Uygulama 1, Masaüstü Uygulaması 1, … ,Web Tabanlı Uygulama N) tanımlanabilir.

Bu şekilde bir tanımlamada Uygulamalar 1 in varlık grubu kritiklik derecesi belirlenirken anket soruları bu grup içerisinde tanımlı olan en kritik ve en etkili varlık dikkate alınarak yanıtlanmalıdır. Anket çalışmasına varlıkların sahipleri, sistem yöneticileri, geliştiriciler, kullanıcı temsilcileri, yöneticileri ve kurumun sahip olduğu en yetkin personel katılım sağlamalıdır. Aynı süreç Uygulamalar 2 içinde benzer şekilde yürütülmelidir.

Bilgi ve İletişim Güvenliği Rehberi çerçevesinde mevcut durum ve boşluk analizi nasıl yapılır?

Varlık grupları ve kritiklik dereceleri belirlendikten sonra Rehber’in Varlık Gruplarına Yönelik Güvenlik Tedbirleri’nden (3. Bölüm) varlık grubuna ve kritiklik derecesine uygun tedbirler belirlenir, daha sonra Uygulama ve Teknoloji Alanına Yönelik Güvenlik Tedbirleri (4. Bölüm) ile Sıkılaştırma Tedbirleri’nden (5. Bölüm) varlık grubu ile ilgili olan alt başlıklar ve bu alt başlıklardan varlık grubunun kritiklik derecesine uygun olan tedbirler belirlenir.Mevcut durum analizi; varlık grupları için belirlenen tüm tedbirlerin mevcut durumda uygulanıp uygulanmadığı, uygulanıyor ise varlık grubunda yer alan varlıkların tamamına, çoğuna ya da bir kısmına uygulandığının tespit edilmesi ve Mevcut Durum Analizi ve Boşluk Analizi Formu’na (EK - C.3) işlenmesi ile gerçekleştirilir.Varlık grubuna uygulanmak üzere belirlenen tedbirlerden; uygulanmayan veya kısmen uygulananlar listelenerek boşluk analizi çalışması gerçekleştirilir. Hedeflenen duruma erişmek için yapılması gereken çalışmalar Mevcut Durum Analizi ve Boşluk Analizi Formu’na (EK-C.3) işlenir.
Mevcut durum analizi çalışmaları kapsamında teknik çalışma, toplantı, otomatik araç ile durum tespiti, dokümantasyon inceleme vb. faaliyetlerden yararlanılabilir.

Bilgi ve İletişim Güvenliği Rehberi çerçevesinde varlık gruplarının kritiklik derecesini belirleyen kriterler nelerdir?

Bilgi ve İletişim Güvenliği Rehberi’nde yer alan her bir varlık grubunun kritiklik derecesi; işlenen verinin gizlilik, bütünlük ve erişilebilirlik açısından kritikliği ile olası güvenlik ihlallerinin etki alanları yani varlık grubuna bağımlı varlıklar, etkilenen kişi sayısı, kurumsal sonuçlar, sektörel etki ve toplumsal sonuçlar dikkate alınarak oluşturulan (EK- C.1) anket sorularına göre belirlenmektedir.

Her bir varlık grubu için bu anket formu doldurularak ilgili varlık grubunun kritiklik derecesi belirlenir.

Rehber’de yer alan “Gizlilik Dereceli Bilgi/Veri” ile “Kritik Bilgi/Veri”nin farkı nedir?
Rehber kapsamında Gizlilik Dereceli Bilgi/Veri, “Bilmesi gereken dışındakilere açıklanması veya verilmesi milli güvenlik ve ülke menfaatleri bakımından sakıncalı görülen ve haiz olduğu önem derecelerine “ÇOK GİZLİ”, “GİZLİ”, “ÖZEL” veya “HİZMETE ÖZEL” şeklinde sınıflandırılan bilgi/veri.” şeklinde tanımlanmıştır.
Burada yapılan sınıflandırmada bilgi ve verinin gizlilik derecesi temel kriterdir.

Rehberde Kritik Bilgi/Veri;

  • “Güvenlik zafiyeti oluşması durumunda yasal yaptırımlara neden olabilecek, içeriğinin yetkisiz personel veya kişiler tarafından görülmesinin kuruma çok ciddi maddi veya manevi zarar vereceği her türlü bilgi/veri,
  • Kritiklik derecesi 3 olarak hesaplanan varlıkların işlediği veriler,
  • 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan özel nitelikli kişisel veriler.” şeklinde tanımlanmıştır.

Kritik bilgi ve verinin belirlenmesinde temel kriter gizlilik derecesi değildir. Kritik bilgi/verinin belirlenmesinde, işlenen verinin gizliliği, bütünlüğü ve erişilebilirliği ile etki alanı boyutu önemlidir. Etki alanı boyutunda bilgi/veri ile ilgili; bağımlı varlıklar, etkilenen kişi sayısı, kurumsal sonuçlar, sektörel etki ve toplumsal sonuçlar yer almaktadır.
 
Bilgi ve İletişim Güvenliği Rehberi kapsamında yer alan kurum, kuruluş ve işletmelere hizmet sağlayan üçüncü taraflar Rehber’e uyum sağlamakla yükümlü müdür?

Bilgi ve İletişim Güvenliği Rehberi kapsamında yer alan kurum, kuruluş ve işletmelere hizmet sağlayan üçüncü taraflar Rehber’e uyum sağlamakla doğrudan yükümlü değildir. Ancak, kapsam dâhilindekiler, Rehber’in gerekliliklerine hizmet ve ürünlerin temini ve işletiminde uymakla yükümlü olduğundan üçüncü taraflarda dolaylı olarak hizmet ve ürünlerinde bu gereksinimlere uyum sağlayacaktır.

Bilgi ve İletişim Güvenliği Rehberi ile kamu personelinin kullandığı anlık mesajlaşma uygulamalarına herhangi bir kısıtlama getirilmekte midir?

Bilgi ve İletişim Güvenliği Rehberi’nin Anlık Mesajlaşma Güvenliği başlığı altında yer alan 4.2.1.1 tedbir maddesinde “Kurumsal haberleşme amacıyla sunucuları kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır. Kurumun kendine ait bir haberleşme uygulaması yoksa mesajlaşma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir.” ibaresi yer almaktadır. Tedbir maddesi sadece gizlilik içeren kurumsal haberleşme ve belge paylaşımına yöneliktir. Kamu personelinin kişisel haberleşme özelinde kullandığı anlık mesajlaşma uygulamalarına yönelik herhangi bir düzenleme ve kısıtlama bulunmamaktadır.

Bilgi ve İletişim Güvenliği Rehberi’nin güncel sürümüne nereden erişilebilir?

Bilgi ve İletişim Güvenliği Rehberi’nin güncel sürümüne https://cbddo.gov.tr/bgrehber adresinden erişilebilir.

Bilgi ve İletişim Güvenliği Rehberi ile ilgili görüş, öneri ve sorular nasıl iletebilir? 

Bilgi ve İletişim Güvenliği Rehberi ile ilgili her türlü soru, görüş ve öneri e-posta adresine iletebilir.

Bilgi ve İletişim Güvenliği Rehberi uygulama sürecinde sorumlu olan personel birden fazla pozisyonda görevlendirilebilir mi?

Bilgi ve İletişim Güvenliği Rehberi uygulama sürecinde görev alacak personele ilişkin roller, Rehber içeriğindeki Sorumluluk Atama Matrisi’nde yer almaktadır. Örneğin; Bilgi Sistemleri Yöneticisi rolüne mümkün olduğu ölçüde bilgi işlem biriminin yönetiminden sorumlu amirin atanması gerekmektedir. Ancak bilgi işlem biriminin amiri aynı zamanda Kurumsal SOME Yöneticisi rolüne de üstleniyor ise bu durumda görevler ayrılığı prensibi uygulanarak her iki role farklı personel atanması uygun olacaktır. Özetle, Bilgi ve İletişim Güvenliği Rehberi uyum sürecinde yer alacak personelin yeterliliği ve yetkinliği de göz önünde bulundurularak, insan kaynağı ile ilgili bir eksiklik olmadığı sürece personelin birden fazla rolde görevlendirilmemesi tercih edilmelidir.

Varlıkların gruplanması nasıl yapılmalıdır?

Bilgi ve İletişim Güvenliği Rehberi’nde altı temel varlık grubu bulunmaktadır. Bunlar:

  • Ağ ve Sistemler
  • Uygulamalar
  • Taşınabilir Cihazlar ve Ortamlar
  • Nesnelerin İnterneti (IoT) Cihazları
  • Fiziksel Mekânlar
  • Personel

Kurumlar öncelikle sahip olduğu bilgi varlıklarının yukarıda belirtilen varlık gruplarından hangisi ile ilgili olduğunu belirlemelidir. Varlık grubu ile ilgili olduğu düşünülen kurumsal varlıklar kendi içinde güvenlik gereksinimleri, teknolojik özellikleri, hangi kurumsal ihtiyaçlara hizmet ettiği gibi kriterler göz önünde bulundurularak sınıflandırılmalıdır. Dolayısıyla yapılan sınıflandırma sonucu bir varlık grubunun altında varlık grubu ile ilgili birden fazla alt varlık grubu oluşabilir. Ancak tedbirlerin uygulanması noktasında daha etkin bir yaklaşımın sağlanması amacıyla varlık grubu ana başlığı altında yer alan varlık gruplarının sayılarının yönetilebilecek sayıda olması önemlidir.

Bir varlığın birden fazla varlık grubuna dâhil olması durumunda hangi kritiklik derecesi dikkate alınmalıdır?

Birden fazla varlık grubu ile ilgili olduğu düşünülen kurumsal varlıklar, kritiklik derecesi en yüksek olan varlık grubu üzerinden değerlendirilmeli ve dâhil edildiği tüm varlık grupları ile ilgili tedbir maddeleri varlık için ele alınmalıdır.

Rehberde Elektronik Haberleşme sektörü ve Enerji sektörü için ayrı bir bölüm var. Bu iki sektör sadece bu bölümde yer alan tedbirleri uygulamakla mı yükümlüdür? 

Kritik altyapı sektörlerinde faaliyet gösteren kurum ve kuruluşlar Rehberde yer alan tüm tedbirleri uygulamakla yükümlü olmakla birlikte ilaveten uygulanmak üzere Rehberde sektör özelindeki güvenlik tedbirlerine de yer verilmiştir.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesinin 21. Maddesinde belirtilen “kritik kurum” ifadesi Rehberde nasıl tanımlanmıştır?

Genelge'nin 21'inci maddesindeki tedbire ilişkin uygulama detayı Rehber’de  "Elektronik Haberleşme Sektörü Özelinde Güvenlik Tedbirleri"  başlığının 4.5.3.14 maddesinde; "Telekomünikasyon hizmeti veren işletmelerce yerine getirilmek üzere, Cumhurbaşkanlığı ve milli güvenliğin sağlanması kapsamında görev yürüten kamu kurumlarında iletişimin gizliliği ve güvenliğini artırmak amacıyla, bu kurumların merkez birimlerine ve talep edeceği diğer birimlerine doğrudan hizmet sağlayan haberleşme ve transmisyon altyapısında ilk toplama noktasına kadar radyolink vb. kablosuz teknolojiler kullanılmamalı, kullanımın zorunlu olması durumunda ihtiyaç duyulan gizlilik seviyesine uygun donanımsal veya yazılımsal milli kripto sistemleriyle birlikte kullanılmalıdır." ifadesi ile yer almaktadır.

Genelge'nin 21. maddesinde belirtilen  "kritik kurum" ifadesi Rehber'de "Cumhurbaşkanlığı ve milli güvenliğin sağlanması kapsamında görev yürüten kamu kurumları"  olarak tanımlanmış olup,  bu tanıma uymayan kurum ve kuruluşlar 21. madde kapsamına girmemektedir.