Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında genel olarak alması gereken tedbirleri belirlemek için, 6 Temmuz 2019 tarihinde Resmi Gazete’de, Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi yayımlanmıştı.
Yayımlanan genelge doğrultusunda, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda Bilgi ve İletişim Güvenliği Rehberi hazırlandı.
Rehberin amacı, bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve uygulanması olarak tanımlandı.
Rehberin tamamına ulaşmak için tıklayınız
12 hedef belirlendi
Rehberde bilgi güvenliği için 12 hedef belirlendi. Bunlardan bazıları ise şöyle sıralanıyor:
- Yerli ve milli ürün kullanımının teşvik edilmesi,
- Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi,
- Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması,
- Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi,
- Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması,
- Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi.
Rehbere göre, verilerin gizlilik, bütünlük ve erişilebilirlik açısından güvenliği için anket düzenlenecek. Ankete, kurumda çalışan personel katılacak. Kurumun tüm bilgi ve iletişim envanteri ve varlıkları çıkarılacak. Daha sonra bir puanlama sistemiyle, kimlerin kritik bilgiye sahip olduğu belirlenecek. Bu çalışma ile tüm kamu kurumlarının siber saldırılar, bilgi sızdırılması gibi durumlara karşı kontrollü olması hedefleniyor.
Rehberde yer alan diğer maddeler
- Kuruma dışarıdan gelen e-posta ekleri çok katmanlı güvenlik analizinden geçirilmelidir. Bu aşamadan sonra hala kategorilendirilmemiş e-posta ekleri kum havuzunda çalıştırılmalıdır. Kum havuzu çözümlerinde dosyalar yurt içinde yerleşik olan sunucularda taranmalıdır.
- Kurumdaki tüm bilgisayarlar, taşınabilir ortamlarda otomatik kod çalıştırılmasına izin vermeyecek şekilde yapılandırılmalıdır.
Kurum içi kaynaklara kontrol dışı erişim engellenmeli
- İnternet ortamından kurum içi kaynaklara kontrol dışı erişim engellenmelidir. İnternet ortamından kurum içi kaynaklara erişim gerekli ise VPN teknolojileri kullanılmalıdır. Uzaktan erişimlerin kurum politika ve prosedürlerine uygun olarak, kısıtlı süre ve yetkilerle yapılması sağlanmalıdır.
- Kurum ağının uygulama seviyesi saldırılara karşı korunması için gerekli yapılar (WAF, IPS, DDoS vb.) uygun şekilde konumlandırılmalı, test edilmeli ve sürekli iyileştirilmelidir. Bu amaçla bir servis sağlayıcıdan hizmet temin edilmiş ise; servis sağlayıcıdan yukarıdaki şartlara göre hizmet verildiğine dair taahhüt alınmalı, tedarik şartname ve sözleşmelerinde bu hususlar belirtilmelidir.
Felaket kurtarma planları oluşturulmalı
- Siber olayların yönetimi aşamalarında görev alacak personelin rol ve sorumlulukları tanımlanmalı, olay müdahale için gerekli teknik alt yapı personele sağlanmalı ve belirlenen personel ilgili taraflara bildirilmelidir. Siber olay yönetimi kapsamında görev alacak personel "Kurumsal SOME Kurulum ve Yönetim Rehberi" kriterlerine uygun olmalıdır.
- Sızma testleri ve güvenlik denetimleri gerçekleştirilmeden önce testi gerçekleştirecek taraftan, test süresince elde edilen hiçbir verinin yetkisiz kişilere verilmemesi, aktarılmaması ve ifşa edilmemesine yönelik taahhüt alınmalıdır.
- İş sürekliliği planları göz önünde bulundurularak kritik bilgi sistemleri bileşenlerine yönelik felaket kurtarma planları oluşturulmalıdır.
Yerli ve milli uygulamalar tercih edilmeli
- Mobil cihazların kurum içinde kullanılabilmesi için taşınabilir cihazların kullanımı, uygunluğu ve uzaktan yönetimi ile ilgili aşağıdaki hususları içeren mobil cihaz kullanım politikası hazırlanmalı ve uygulanmalıdır.
- Taşınabilir cihazlar için parola politikaları belirlenmeli ve ekran kilitleri için bu politikanın uygulanması zorunlu tutulmalıdır.
- Kurumsal haberleşme amacıyla sunucuları kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır. Kurumun kendine ait bir haberleşme uygulaması yoksa mesajlaşma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir.
- Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmamalıdır.
Güçlü parola
- Uzaktan çalışan kurum personeline özellikle güçlü parola kullanımı, sosyal mühendislik ve kimlik avı/oltalama saldırıları gibi konularda farkındalık eğitimleri verilmelidir.
- Bilgi güvenliği gereksinimleri göz önünde bulundurularak, kullanımına ihtiyaç kalmayan veya farklı alanlarda kullanılacak cihazlar üzerindeki kritik veri geri döndürülemeyecek şekilde silinmelidir. Kritik verinin cihaz üzerinden güvenli silinmesinin mümkün olmadığı durumlarda cihaz ulusal/uluslararası kabul görmüş yöntemlere uygun şekilde imha edilmelidir.