Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin yayınladığı rehbere uyumluluğunuzun denetimine hazırlanın.
Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı DDO (Dijital Dönüşüm Ofisi) koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır.
Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır. BTYÖN tarafından sunulan Bilgi ve İletişim Güvenliği Rehberi uyumluluk danışmanlığı içerisinde söz konusu rehbere uyum konusunda gerçekleştirilmesi gereken çalışmaların ilki olan;
-Varlık gruplarının belirlenmesi
- Varlık gruplarının kritiklik derecesinin belirlenmesi
- Mevcut durum ve boşluk analizi
- Rehber uygulama yol haritasının hazırlanması
başlıklarında danışmanlık hizmeti sağlanmaktadır.
DDO Bilgi ve İletişim Güvenliği Rehberi kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir. Rehber; elektronik ortamda yer alan bilgi/verinin depolandığı, aktarıldığı, işlendiği bilgi işleme olanakları, bilgi işleme olanaklarını kullanan personel ile bilgi işleme olanaklarını barındıran fiziksel ortamlara ilişkin varlıkları kapsamaktadır. DDO Bilgi ve İletişim Güvenliği Rehberinde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:
• Ağ ve Sistemler
• Uygulamalar
• Taşınabilir Cihaz ve Ortamlar
• Nesnelerin İnterneti (IoT) Cihazları
• Fiziksel Mekânlar
• Personel
DDO Bilgi ve İletişim Güvenliği Rehberine göre varlık grupları belirlenirken aşağıdaki hususların dikkate alınması önerilmektedir:
• Tüm kurumsal varlıkların hangi varlık grubu ana başlığı altında yer alacağının belirlenmesi
• Tüm kurumsal varlıkların mümkün olduğunca tek bir varlık grubunda yer almasının sağlanması(Birden fazla varlık grubu tarafından adreslenmesi gereken kurumsal varlıklar, kritiklik derecesi en yüksek olan varlık grubu üzerinden değerlendirilmeli ve dâhil edildiği tüm varlık grupları ile ilgili tedbir maddeleri kurumsal varlık için ele alınmalıdır.)
• Varlık gruplarının tanımlanması için kullanılacak alt kırılımların kurumsal ihtiyaçlar doğrultusunda belirlenmesi (kurum hizmet alanları, kurum organizasyon yapısı, teknolojiler, uluslararası iyi örnekler, BT altyapıları vb.)
• Aynı güvenlik izolasyonunda yer alan varlıkların mümkün olduğunca aynı varlık grubuna dâhil edilmesi
• Farklı güvenlik seviyesine sahip olması gereken varlıkların farklı varlık gruplarında olacak şekilde gruplandırılması
• Aynı seviyede güvenlik tedbirlerinin uygulanacağı düşünülen varlık gruplarının birleştirilerek varlık grubu sayısının azaltılması
• Her bir varlık grubu ana başlığı altında yer alan varlık gruplarının sayılarının yönetilebilecek sayıda olması.
Tanımlanan her bir varlık grubu için ilişkili uygulama ve teknoloji alanına yönelik güvenlik tedbiri ana başlıkları seçilmelidir. Uygulama ve teknoloji alanı ana başlıkları altındaki tedbirler için ilgili varlık grubuna atanan kritiklik derecesi göz önünde bulundurlmalıdır.
Varlık gruplarının belirlenmesinin ardından bu varlık gruplarının hangi kritiklik derecesine sahip olduğu belirlenecektir. Her bir varlık grubunun kritiklik derecesi, işlenen verinin gizlilik, bütünlük ve erişilebilirlik açısından kritikliği ile oluşabilecek güvenlik ihlallerinin etki alanları dikkate alınarak belirlenecektir. BTYÖN varlık grubu kritikliklerinin belirlenmesi için gerekli eğitim, koordinasyon, örnek çalışma ve alınan verilerin tutarlılık kontrollerini gerçekleştirecektir. Kurumunuzun verilen danışmanlık hizmetine göre varlık grubu kritikliklerini belirlemesi gereklidir. Kritiklik derecesi belirleme boyutları aşağıda özetlenmiştir:
İşlenen veri ile ilgili boyutlar;
Gizlilik: Bilginin yetkisiz kişilerin erişimine karşı korunması
Bütünlük: Bilginin tam ve doğru olma durumunun korunması
Erişilebilirlik: Bilginin yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olması
• Etki alanı ile ilgili boyutlar;
Bağımlı Varlıklar: Varlık grubuna bağımlı olan diğer varlıklar üzerindeki etkisi
Etkilenen Kişi Sayısı: Bilgi güvenliği ihlal olayı meydana geldiğinde etkilenebilecek kişi sayısı
Kurumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak durum
Sektörel Etki: Varlık grubunun hizmet verdiği sektöre etkisi
Toplumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak toplumsal durum
Bu boyutlar dikkate alınarak gerçekleştirilecek analizde DDO Bilgi ve İletişim Güvenliği Rehberinde sunulan EK-C.1 formu kullanılır. Her bir varlık grubu için bu anket formu doldurularak ilgili varlık grubunun kritiklik derecesi belirlenir. “Varlık Grubu Kritiklik Derecelendirme Anketi” olarak tanımlanan anket her bir varlık grubu özelinde rehber uyumluluk denetimi kapsamında kontrol edilir. İlgili varlık grubu için uygulanması gereken tedbir maddeleri, varlık grubu için belirlenmiş olan kritiklik derecesi göz önünde bulundurularak belirlenmelidir.
Her varlık grubu için doldurulan anket sorularının cevapları için anket formunda yer alan puanlar toplanarak anket puanı hesaplanır. Aşağıda iletilen tablo kullanılarak anket puanına karşılık gelen kritiklik derecesi belirlenir. Belirlenen derece, varlık grubunun kritiklik derecesi olarak kullanılır.
- Anket puanı 18’den küçük ise Derece 1
- Anket puanı 18 (dâhil) ile 28 arasında ise Derece 2
- Anket puanı 28 ve daha yüksek ise Derece 3
Varlık grubu içinde yer alan tüm varlıklara aynı güvenlik tedbirlerinin uygulanacağı dikkate alınarak anket sonuçları tekrar değerlendirilir. Gerekli görülmesi durumunda varlık grupları güncellenerek anket çalışmaları tekrarlanır. Kritiklik derecesi tanımlanan her bir varlık grubu için kritiklik dereceleri ile uygulama ve teknoloji alanlarına yönelik güvenlik tedbirlerinin uygulanma durumlarının kayıt altına alındığı Bİlgi ve İletişim Güvenliği Rehberinde tanımlanan EK-C.2’de yer alan form doldurulur.
Varlık gruplarının kritiklik dereceleri dikkate alınarak DDO Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5’te yer alan güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Bilgi ve İletişim Güvenliği Rehberi nde tanımlanan güvenlik tedbirleri aşağıda yer alan üç ana başlık altında sınıflandırılmıştır. BTYÖN mevcut durum analizi için gerekli çalışmaları aktaracak, örnek gerçekleştirecek ve kalan çalışmalar kurumunuzdan beklenecektir.
Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:
• Ağ ve Sistem Güvenliği
• Uygulama ve Veri Güvenliği
• Taşınabilir Cihaz ve Ortam Güvenliği
• Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği
• Personel Güvenliği
• Fiziksel Mekânların Güvenliği
Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları:
• Kişisel Verilerin Güvenliği
• Anlık Mesajlaşma Güvenliği
• Bulut Bilişim Güvenliği
• Kripto Uygulamaları Güvenliği
• Kritik Altyapılar Güvenliği
• Yeni Geliştirmeler ve Tedarik
Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları:
• İşletim Sistemi Sıkılaştırma Tedbirleri
• Veri Tabanı Sıkılaştırma Tedbirleri
• Sunucu Sıkılaştırma Tedbirleri
Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5 ana başlıklarının altında yer alan her bir güvenlik tedbiri temel, orta ve ileri seviye olarak derecelendirilmektedir. Varlık grubuna uygulanacak tedbirlerin aşağıdaki sınıflandırmaya göre belirleneceği Bilgi ve İletişim Güvenliği Rehberinde belirtilmiştir.
1. Seviye Tedbirler: Kritiklik derecesi 1 olan varlık gruplarında yer alan tüm varlıklara temel seviye güvenlik tedbirleri uygulanmalıdır.
2. Seviye Tedbirler: Kritiklik derecesi 2 olan varlık gruplarında yer alan tüm varlıklara temel seviye güvenlik tedbirlerine ek olarak orta seviye güvenlik tedbirleri uygulanmalıdır.
3. Seviye Tedbirler: Kritiklik derecesi 3 olan varlık gruplarında yer alan tüm varlıklara temel ve orta seviye güvenlik tedbirlerine ek olarak ileri seviye güvenlik tedbirleri uygulanmalıdır.
Her bir varlık grubu kapsamında mevcut durum tespiti için analiz çalışmaları gerçekleştirilmelidir. Bu kapsamda aşağıdaki adımların takip edilmesi gereklidir:
• Her bir varlık grubu için öncelikle Bölüm 3’ten ilgili güvenlik tedbirleri ana başlığı seçilir. Seçilen başlıkta yer alan tedbirlerden varlık grubunun kritiklik derecesine uygun olan tedbirler belirlenir.
• Her varlık grubunda yer alan varlıklar dikkate alınarak Bölüm 4 ve 5’te yer alan güvenlik tedbiri ana başlıkları seçilir. Seçilen başlıklarda yer alan tedbirlerden, varlık grubunun kritiklik derecesine uygun olan tedbirler belirlenir.
Varlık grupları için belirlenen tüm tedbirler ile ilgili mevcut durum analiz edilir ve varlık grubu mevcut durum analiz raporu hazırlanır. Mevcut durum analizi çalışmaları kapsamında teknik çalışma, toplantı, otomatik araç ile durum tespiti, dokümantasyon inceleme vb. faaliyetler gerçekleştirilebilir. Varlık grubuna bir tedbirin uygulanıp uygulanmadığı tespit edilirken öncelikle aşağıdaki sınıflandırmaya göre uygulama durumuna karar verilir ve mevcut durum ile ilgili açıklayıcı bilgi yazılır.
- Tedbir varlık grubunda yer alan tüm varlıklara uygulanmakta ise “tamamen”
- Tedbir varlık grubunda yer alan varlıkların çoğuna uygulanmakta fakat bazı varlıklara kısmen uygulanmakta veya henüz uygulanmamakta ise “çoğunlukla”
- Tedbir varlık grubunda yer alan bir kısım varlığa uygulanmakta veya tedbir kısmen uygulanmakta ise “kısmen”
- Tedbir hiç uygulanmamakta ise “hiç”
- Tedbirin teknik olarak uygulanma ihtimali bulunmuyorsa “uygulanamaz”
• Her bir varlık grubu için yapılan değerlendirmelerin Bilgi ve İletişim Güvenliği Rehberinde bulunan EK-C.3’te yer alan form ile kayıt altına alınması gereklidir.
Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır. BTYÖN uygulama yol haritasının hazırlanması için gerekli koordinasyon, eğitim, örnek çalışma ve verilerin kontrolünü gerçekleştirecektir. Verilen danışmanlık hizmeti kapsamında kurumunuzun uygulama yol haritası için gerekli verileri hazırlaması gereklidir. Rehber uygulama yol haritası kapsamında yapılacak çalışmalar belirlenir. Çalışmalar, aşağıdaki gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:
- Yetkinlik kazanımı ve eğitimler
- Ürün tedariki
- Hizmet alımı
- Danışmanlık
- Geliştirme / yeniden geliştirme
- Tasarlama / yeniden tasarlama
- Sıkılaştırma
- Sürüm güncelleme
- Dokümantasyon
- Kurumsal süreç iyileştirme
Yapılacak çalışmalar belirlendikten sonra her çalışma için 2-3 aylık dönemler halinde hedefler belirlenmeli ve gerekli kaynakların tahsisi (personel, bütçe, fiziksel ortam vb.) için planlama yapılmalıdır. Uygulama yol haritası kapsamında yapılan planlamalar Bilgi ve İletişim Güvenliği Rehberi EK-C.4’te yer alan form ile kayıt altına alınmalıdır.
Kurum, boşluk analizi sonucunda uygulanması gereken ilave tedbirler kapsamındaki herhangi bir gereksinimi; üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı rehberde tanımlandığı şekli ile karşılayamaması durumunda telafi edici kontroller uygulayabilir. Telafi edici kontroller, yerine uygulandıkları tedbir maddeleri ile aynı amaç ve etkiye sahip olmaları durumunda kullanılabilir olarak kabul edilecektir. Uygulanmasına karar verilen her bir telafi edici kontrol Bilgi ve İletişim Güvenliği Rehberi EK-C.5’te yer alan form ile kayıt altına alınmalıdır.
Bilgi güvenliğinde en zayıf halkanın insan faktörü olduğu göz önünde bulundurulduğunda, hem güvenlik tedbirlerinin uygulanmasında hem de uygulanan güvenlik tedbirlerinin denetlenmesinde görev alacak kurum personelinin belirli bir yetkinliğe sahip olması önem arz etmektedir. Bu çerçevede, bilgi güvenliği ile ilgili eğitimler kaynaklar dâhilinde planlanmalı ve personelin gelişimi hakkında ışık tutacak ölçüm mekanizmaları hayata geçirilmelidir. Eğitimlerin sadece teorik bilgi vermekten ziyade, personelin ilgili alanda pratik becerisini arttıracak uygulamaları içermesi önemlidir. Bu kapsamda planlanacak eğitimlerde, laboratuvar ortamının bulunması ve bu ortamda katılımcıların öğrendikleri bilgiyi beceriye dönüştürmesi sağlanmalıdır.
Rehberin uygulanması için yürütülecek çalışmalara dâhil olacak personele yetkinlik kazandırmak amacıyla rehberde bulunan uygulama adımları ve denetim tablolarının nasıl ele alınacağıyla ilgili olarak çeşitli uygulama çalıştaylarının düzenlenmesi veya bu kapsamda gerçekleştirilecek çalışmalara katılım sağlanması gerekmektedir. Bu kapsamda gerçekleştirilen tüm çalışmalar rehber uygulama yol haritası olarak dokümante edilecektir.