|

Bilgi ve İletişim Güvenliği Genelgesi

Genelgenin amacı nedir?

İçinde bulunduğumuz çağın en kıymetli unsurlarından biri olan veriyi, hem korumak hem de işleyip değere dönüştürmek ülkemizin öncelikli meseleleri arasındadır. Veri güvenliğine yönelik son dönemde yaşanan hadiseler, ülkelerin sınırları kadar verilerini ve dijital altyapılarını da korumasının önemini göstermiştir. Siber güvenlik ülkeler için ulusal güvenliğin ayrılmaz ve en önemli bileşeni olarak değerlendirilmektedir.

Bu kapsamda, 

Ülkemizin verisinin ülkemizde kalması, kurumların, şirketlerin ve hatta bireylerin veri mahremiyeti konusunda riskli yaklaşımlara karşı bilinçli olması, yerli ve milli çözümler geliştirilmesi ve kullanılması, karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amaçlanmış ve uygulamada görülen aksaklıklara yönelik genel prensip mahiyetinde bazı tedbirlerin alınması uygun görülmüştür.

Genelge hangi kurumları kapsamaktadır? 

Genelge, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”,  “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık”, alanlarında kamu hizmeti veren işletmeleri kapsamaktadır. Kritik altyapı işleten özel hukuk tüzel kişiler hariç olmak üzere, diğer özel hukuk tüzel kişileri kapsamamakla beraber genelgede yer alan tedbirlerin uygulanması bu kurumların yararına olacaktır.

Genelgenin yürürlük tarihi nedir?

Genelgenin yürürlük tarihi Resmi Gazetede yayınlandığı tarih olan 06.07.2019 dur. Genelgede yer verildiği üzere, mevcut bilgi teknolojisi altyapılarının, belirtilen tedbirlere uyumlu hale getirilmesi, yayımlanmasını müteakip rehberde yer alacak plan çerçevesinde, güvenlik seviyesi öncelikleri dikkate alınarak ve kademeli olarak sağlanacaktır.

Genelgenin ve hazırlanacak olan Rehberin yasal bir dayanağı var mıdır?

1 sayılı Cumhurbaşkanlığı kararnamesinin 527 ve 527/B Maddeleri, 5809 sayılı Elektronik Haberleşme Kanunu, 4045 sayılı Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun, Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik ile Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği Genelge ve Rehberin yasal dayanağını oluşturmaktadır.

Genelge kapsamında denetimleri kim yapacaktır, yaptırımlar neler olacaktır?

Genelgede ve yayımlanacak olan Rehberde yer alan güvenlik tedbirlerinin uygulanmasına ilişkin denetimler, en az yılda bir kere olmak üzere, kurum ve kuruluşların iç denetim mekanizmaları yoluyla yapılır. Gerek görülmesi halinde ilgili mevzuat hükümleri çerçevesinde bu konuda halihazırda yetkili kurumlarca ve Dijital Dönüşüm Ofisi tarafından da yapılır veya yaptırılır. Denetim sonuçları ile yapılan düzeltici faaliyetleri içeren raporlar Dijital Dönüşüm Ofisi’ne iletilecektir.Genelge ve Rehberde yer alan tedbirlerin uygulanmasına yönelik yapılacak denetimler bilgi güvenliğini sağlamaya yönelik olmakla birlikte, söz konusu tedbirlere uyulmaması nedeniyle bir zafiyet oluşması durumunda halihazırda ilgili mevzuatta belirlenen yaptırımlar geçerlidir. Oluşabilecek zararın boyutuna göre gerek duyulması durumunda kurum içi adli veya idari soruşturma süreçleri işletilebilecektir.

Gizli veri, kritik veri, kritik kurum gibi ifadelerin tanımı nedir?

Genelgede yer alan terimlere ait tanımlamalara hazırlanmakta olan, ve 2019 sonunda ilk versiyonunun yayınlanması planlanan Bilgi ve İletişim Güvenliği Rehberinde yer verilecektir.

“Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli ağda tutulacak” ifadesi ile anlatılmak istenen nedir?

Ağ, sistem ve veri güvenliği kapsamında, internetten sunulma zorunluluğu bulunmayan ve rehberde yer alacak “kritik veri” tanımı kapsamına giren verilerin internet ağından yalıtılmış, fiziksel güvenlik tedbirleri alınmış, erişim yetkileri sınırlandırılmış bir ağda bulundurulması amacıyla alınmış bir tedbirdir.

Genelge ile Bulut hizmetleri yasaklanmakta mıdır? “Kurum kontrolündeki yerli hizmet sağlayıcılar” cümlesinde belirtilen “kurum kontrolü” ifadesi ne anlama gelmektedir?

Genelgenin ilgili maddesi bulut teknolojisinin kullanımına dair bir çerçeve çizmekte, ülke verisinin ülkede kalmasını hedeflemektedir. Bulut hizmeti alınırken verilerin ülke içindeki veri merkezlerinde depolanması ve güvenlik kontrollerinin sağlanması kaydıyla yerli veya yabancı bulut servislerinden yer, sunucu veya hizmet kullanımına yönelik bir yasaklama getirmemektedir. “Kurum kontrolü”, bulut hizmeti veren sistemlere erişen personel ve yetki düzeyleri, sunucuların kuruma tahsisli olup olmadığı, erişim ve işlem loglarının izlenebilmesi gibi veri güvenliğine yönelik kontrolleri ifade etmektedir.

Üretici ve tedarikçilerden taahhütname alınması ile ilgili nasıl bir yol izlenecektir?

Genelgenin ilgili maddesi, bazı ülkelerin, üreticilerine istihbarat amaçlı arka kapı bırakma zorunluluğu getirme girişimleri de göz önünde bulundurularak, uygulama,veri ve sistem güvenliği kapsamında, yazılım ve donanımlarda kasıtlı oluşturulan arka kapı zaafiyetlerine karşı alınan bir tedbirdir. Kurum ve kuruluşlarca yapılacak yazılım ve donanım teminleri için hazırlanacak şartnamelerde bu konuda hassasiyet gösterilmesi, mümkünse ürünün arka kapı içermediğine dair taahhütname alınması istenmektedir. Taahhütname alınsın veya alınmasın, arka kapı tespiti durumunda, mevcut mevzuat çerçevesinde adli ve idari soruşturma süreçlerinin işletilmesi, arka kapı zaafiyetinin duyurularak alımın iptali ve firmanın yasaklı duruma düşürülmesi gibi yaptırımlar uygulanabilecektir.

Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile personeli hakkında güvenlik soruşturması veya arşiv araştırması yapılması ile ilgili madde kapsamında, mevcut çalışanlara tekrar güvenlik soruşturması yapılması gerekecek mi?

Söz konusu madde kapsamına giren görevleri nedeniyle halihazırda hakkında güvenlik soruşturması veya arşiv araştırması yapılmış bulunan ilgili üst yönetici veya personel için gerekli görülmedikçe güvenlik soruşturması ve arşiv araştırmasının yenilenmesine ihtiyaç bulunmamaktadır. Ancak ilgili yönetmelik çerçevesinde, gerekli görülen hallerde güvenlik soruşturması ve arşiv araştırmasının yenilenmesi mümkündür.

21.Maddede belirtilen tedbirin kapsamı nedir?

Telekomünikasyon hizmeti veren işletmelerce yerine getirilmek üzere, Cumhurbaşkanlığı ve milli güvenliğin sağlanması kapsamında görev yürüten kamu kurum ve kuruluşlarında iletişimin gizliliği ve güvenliğini artırmak amacıyla, doğrudan bu kurumlara haberleşme hizmeti sağlayan baz istasyonlarının ve diğer haberleşme sistemlerinin transmisyon altyapısında ilk toplama noktasına kadar radyolink bağlantısı kullanılmaması, kullanımın zorunlu olduğu durumlarda milli kripto sistemleriyle kriptolanarak kullanılması söz konusu maddenin kapsamını oluşturmaktadır.

İnternet değişim noktasını kimler kurmak zorundadır?

Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmecilerce yerine getirilmek üzere, veri güvenliği, iletişim güvenliği ve yurt içi iletişim trafiğinin yurt dışına çıkarılmamasına yönelik genel çerçeveyi belirten düzenleyici bir tedbirdir. Söz konusu tedbirin uygulanmasına ilişkin teknik, hukuki ve ticari hususlar yetkili düzenleyici ve denetleyici kurum tarafından yapılacak düzenlemeyle belirlenecektir.