Bilgi ve İletişim Güvenliği Uyumluluk Yazılımı

Dijital Dönüşüm Ofisi - Bilgi ve İletişim Güvenliği Rehberine Uyumluluk Yazılımı

DDO BİGR Uyum Danışmanlığı Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı DDO (Dijital Dönüşüm Ofisi) koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır.

Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.

BTYÖN tarafından sunulan Bilgi ve İletişim Güvenliği Rehberi uyumluluk yazılımı içerisinde söz konusu rehbere uyum konusunda gerçekleştirilmesi gereken çalışmaların ilki olan;

     - Varlık gruplarının belirlenmesi,

     - Varlık gruplarının kritiklik derecesinin belirlenmesi,

     - Mevcut durum ve boşluk analizi,

     - Rehber uygulama yol haritasının hazırlanması,

konuları yer almaktadır.

Varlık gruplarının belirlenmesi

DDO Bilgi ve İletişim Güvenliği Rehberi kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir. Rehber; elektronik ortamda yer alan bilgi/verinin depolandığı, aktarıldığı, işlendiği bilgi işleme olanakları, bilgi işleme olanaklarını kullanan personel ile bilgi işleme olanaklarını barındıran fiziksel ortamlara ilişkin varlıkları kapsamaktadır.

DDO Bilgi ve İletişim Güvenliği Rehberinde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:

     • Ağ ve Sistemler

     • Uygulamalar

     • Taşınabilir Cihaz ve Ortamlar

     • Nesnelerin İnterneti (IoT) Cihazları

     • Fiziksel Mekânlar

     • Personel

DDO Bilgi ve İletişim Güvenliği Uyumluluk Yazılımı içerisinde varlık grupları tanımlanmaktadır. Varlık grupları için grup ismi, grup açıklaması, bağlı olduğu varlık ana grubu, gerçekleştirilecek ankete yönelik periyot ve ilk anket zamanı belirlenmektedir. Ankete katılacak katılımcılar ve ilgili varlık grubu kritiklik değerlendirmesine onay verecek yönetici tanımlanmaktadır. Yazılım tanımlı bilgilere göre otomatik olarak anket oluşturmakta ve varlık grubu kritiklik analizi çalışmasını başlatmaktadır.

Varlık Grubu Kritiklik Derecesinin Belirlenmesi

Her bir varlık grubunun kritiklik derecesi, işlenen verinin gizlilik, bütünlük ve erişilebilirlik açısından kritikliği ile oluşabilecek güvenlik ihlallerinin etki alanları dikkate alınarak belirlenmelidir.

Bilgi ve İletişim Güvenliği Uyumluluk yazılımında bulunan kritiklik derecesi belirleme boyutları aşağıda özetlenmiştir:

     • İşlenen veri ile ilgili boyutlar

           Gizlilik: Bilginin yetkisiz kişilerin erişimine karşı korunması

           Bütünlük: Bilginin tam ve doğru olma durumunun korunması

           Erişilebilirlik: Bilginin yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olması

     • Etki alanı ile ilgili boyutlar

           Bağımlı Varlıklar: Varlık grubuna bağımlı olan diğer varlıklar üzerindeki etkisi

           Etkilenen Kişi Sayısı: Bilgi güvenliği ihlal olayı meydana geldiğinde etkilenebilecek kişi sayısı

           Kurumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak durum

           Sektörel Etki: Varlık grubunun hizmet verdiği sektöre etkisi

           Toplumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak toplumsal durum

Bu boyutlar dikkate alınarak gerçekleştirilen analizde DDO Bilgi ve İletişim Güvenliği Rehberinde sunulan EK-C.1 formu kullanılır. Her bir varlık grubu için bu anket formu uyumluluk yazılımı tarafından ilgili varlık grubunun kritiklik derecesi belirlenir. “Varlık Grubu Kritiklik Derecelendirme Anketi” olarak tanımlanan anket her bir varlık grubu özelinde rehber uyumluluk denetimi kapsamında kontrol edilir. İlgili varlık grubu için uygulanması gereken tedbir maddeleri, varlık grubu için belirlenmiş olan kritiklik derecesi göz önünde bulundurularak belirlenmelidir.

Her varlık grubu için doldurulan anket sorularının cevapları için anket formunda yer alan puanlar toplanarak anket puanı hesaplanır. Aşağıda iletilen tablo kullanılarak anket puanına karşılık gelen kritiklik derecesi belirlenir. Belirlenen derece, varlık grubunun kritiklik derecesi olarak kullanılır.

     - Anket puanı 18’den küçük ise Derece 1

     - Anket puanı 18 (dâhil) ile 28 arasında ise Derece 2

     - Anket puanı 28 ve daha yüksek ise Derece 3

Varlık grubu içinde yer alan tüm varlıklara aynı güvenlik tedbirlerinin uygulanacağı dikkate alınarak anket sonuçları tekrar değerlendirilir. Gerekli görülmesi durumunda varlık grupları güncellenerek anket çalışmaları tekrarlanır.

Kritiklik derecesi tanımlanan her bir varlık grubu için kritiklik dereceleri ile uygulama ve teknoloji alanlarına yönelik güvenlik tedbirlerinin uygulanma durumlarının kayıt altına alındığı Bİlgi ve İletişim Güvenliği Rehberinde tanımlanan EK-C.2’de yer alan form doldurulur.

EK-C.2’de yer alan formlar uyumluluk yazılımında hazır olarak bulunmaktadır.

Mevcut Durum ve Boşluk Analizi

Varlık gruplarının kritiklik dereceleri dikkate alınarak DDO Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5’te yer alan güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Bilgi ve İletişim Güvenliği Rehberi nde tanımlanan güvenlik tedbirleri aşağıda yer alan üç ana başlık altında sınıflandırılmıştır.

Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:

     • Ağ ve Sistem Güvenliği

     • Uygulama ve Veri Güvenliği

     • Taşınabilir Cihaz ve Ortam Güvenliği

     • Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği

     • Personel Güvenliği

     • Fiziksel Mekânların Güvenliği

Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları:

     • Kişisel Verilerin Güvenliği

     • Anlık Mesajlaşma Güvenliği

     • Bulut Bilişim Güvenliği

     • Kripto Uygulamaları Güvenliği

     • Kritik Altyapılar Güvenliği

     • Yeni Geliştirmeler ve Tedarik

Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları:

     • İşletim Sistemi Sıkılaştırma Tedbirleri

     • Veri Tabanı Sıkılaştırma Tedbirleri

     • Sunucu Sıkılaştırma Tedbirleri

Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5 ana başlıklarının altında yer alan her bir güvenlik tedbiri temel, orta ve ileri seviye olarak derecelendirilmektedir. Varlık grubuna uygulanacak tedbirlerin aşağıdaki sınıflandırmaya göre belirleneceği Bilgi ve İletişim Güvenliği Rehberinde belirtilmiştir.

     1. Seviye Tedbirler: Kritiklik derecesi 1 olan varlık gruplarında yer alan tüm varlıklara temel seviye güvenlik tedbirleri uygulanmalıdır.

      2. Seviye Tedbirler: Kritiklik derecesi 2 olan varlık gruplarında yer alan tüm varlıklara temel seviye güvenlik tedbirlerine ek olarak orta seviye güvenlik tedbirleri uygulanmalıdır.

      3. Seviye Tedbirler: Kritiklik derecesi 3 olan varlık gruplarında yer alan tüm varlıklara temel ve orta seviye güvenlik tedbirlerine ek olarak ileri seviye güvenlik tedbirleri uygulanmalıdır.

Her bir varlık grubu kapsamında mevcut durum tespiti için analiz çalışmaları gerçekleştirilmelidir. Bu kapsamda aşağıdaki adımların takip edilmesi gereklidir:

     • Her bir varlık grubu için öncelikle Bölüm 3’ten ilgili güvenlik tedbirleri ana başlığı seçilir. Seçilen başlıkta yer alan tedbirlerden varlık grubunun kritiklik derecesine uygun olan tedbirler belirlenir.

     • Her varlık grubunda yer alan varlıklar dikkate alınarak Bölüm 4 ve 5’te yer alan güvenlik tedbiri ana başlıkları seçilir. Seçilen başlıklarda yer alan tedbirlerden, varlık grubunun kritiklik derecesine uygun olan tedbirler belirlenir.

     Varlık grupları için belirlenen tüm tedbirler ile ilgili mevcut durum analiz edilir ve varlık grubu mevcut durum analiz raporu hazırlanır. Mevcut durum analizi çalışmaları kapsamında teknik çalışma, toplantı, otomatik araç ile durum tespiti, dokümantasyon inceleme vb. faaliyetler gerçekleştirilebilir. Varlık grubuna bir tedbirin uygulanıp uygulanmadığı tespit edilirken öncelikle aşağıdaki sınıflandırmaya göre uygulama durumuna karar verilir ve mevcut durum ile ilgili açıklayıcı bilgi yazılır.

          - Tedbir varlık grubunda yer alan tüm varlıklara uygulanmakta ise “tamamen”

          - Tedbir varlık grubunda yer alan varlıkların çoğuna uygulanmakta fakat bazı varlıklara kısmen uygulanmakta veya henüz uygulanmamakta ise “çoğunlukla”

          - Tedbir varlık grubunda yer alan bir kısım varlığa uygulanmakta veya tedbir kısmen uygulanmakta ise “kısmen”

          - Tedbir hiç uygulanmamakta ise “hiç”

          - Tedbirin teknik olarak uygulanma ihtimali bulunmuyorsa “uygulanamaz”

     • Her bir varlık grubu için yapılan değerlendirmelerin Bilgi ve İletişim Güvenliği Rehberinde bulunan EK-C.3’te yer alan form ile kayıt altına alınması gereklidir. Form uyumluluk yazılımında hazır olarak bulunmaktadır.

Rehber Uygulama Yol Haritasının Hazırlanması

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır. Uygulama yol haritası yazılım üzerinde hazırlanabilir ve takibi gerçekleştirilebilir.

Uygulama yol haritası kapsamında yapılan planlamalar Bilgi ve İletişim Güvenliği Rehberi EK-C.4’te yer alan form ile kayıt altına alınır. Form yazılım üzerinde hazır olarak bulunmaktadır.

Kurum, boşluk analizi sonucunda uygulanması gereken ilave tedbirler kapsamındaki herhangi bir gereksinimi; üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı rehberde tanımlandığı şekli ile karşılayamaması durumunda telafi edici kontroller uygulayabilir. Telafi edici kontroller, yerine uygulandıkları tedbir maddeleri ile aynı amaç ve etkiye sahip olmaları durumunda kullanılabilir olarak kabul edilecektir. Uygulanmasına karar verilen her bir telafi edici kontrol Bilgi ve İletişim Güvenliği Rehberi EK-C.5’te yer alan form ile kayıt altına alınır.

İlgili diğer hizmetler