CBDDO Bilgi ve İletişim Güvenliği Rehberi Uyum Süreci ve Denetimi
Bilgi ve iletişim güvenliği hem bireyler hem de işletmeler ve devlet organları açısından oldukça önemlidir. Bu doğrultuda resmî kurumlar, söz konusu hedefe yönelik düzenlemeler gerçekleştirir. Örneğin Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CBDDO) tarafından yayımlanan bilgi ve iletişim güvenliği rehberi, kamu kurumlarını ve bazı işletmeleri ilgilendiren maddeler içerir. Yazının devamında bilgi sistemlerindeki güvenlik risklerini önlemeye yardımcı standartlara yer veren bu rehbere dair detayları ele aldık.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CBDDO) Bilgi ve İletişim Güvenliği Rehberi Nedir?
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (CBDDO); gelişen teknolojiler, toplumsal talepler ve kamu sektöründeki reform eğilimleri doğrultusunda 10 Temmuz 2018 tarihli ve 30474 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 1 Sayılı Cumhurbaşkanlığı Kararnamesi ile kurulmuştur. Bu sayede farklı kurumlar altında ayrı ayrı sürdürülen dijital dönüşüm, siber güvenlik, milli teknolojiler, büyük veri ve yapay zekâ faaliyetleri tek çatı altında toplanmıştır.
“Dijital Türkiye” sloganıyla yola çıkan dönüşüm ofisi, bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması ve olası veri kayıplarının önlenmesi için bir genelge yayımlamıştır. 06.07.2019 tarihli ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Bilgi ve İletişim Güvenliği Rehberi hazırlama çalışmaları da tamamlanmıştır. Ardından ilgili rehber, 24.07.2020 tarihinde onaylanarak kamuoyuna sunulmuştur.
Bilgi ve İletişim Güvenliği Rehberi Hangi Kurumları ve İşletmeleri Kapsar?
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi, kurumları ve kritik altyapı niteliğinde hizmet veren işletmeleri kapsar. Kritik altyapı sektörlerine örnek olarak elektronik haberleşme, enerji, kritik kamu hizmetleri, ulaştırma, su yönetimi, bankacılık ve finans gösterilebilir. Bilgi işlem birimi faaliyetlerine yönelik kendi birimi olan ya da bu doğrultuda sözleşmeler çerçevesinde üçüncü taraflardan hizmet alan kurumlar ve işletmeler, siber güvenlik süreçlerinde CBDDO tarafından yayımlanan rehbere göre hareket etmelidir.
Rehberin Kuruluşlara Tanımladığı Temel Sorumluluklar Nelerdir?
Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi, sanal dünyadaki verilerin korunmasına ilişkin standartlara yer verir. Genel veri güvenliğini artıran bu rehber, kapsadığı kuruluşlara ve şirket türlerine bazı yükümlülükler getirir. Kurumlara ve işletmelere yönelik Bilgi ve İletişim Güvenliği Rehberi sorumlulukları şunlardır:
- Bilgi varlıklarını tanımlama
- Varlıklarının kritiklik seviyelerini değerlendirme
- Faaliyet gösterilen sektörlere, varlık türlerine ve kritiklik seviyelerine uygun güvenlik tedbirlerini alma
- Mevcut bilgi güvenliği yönetim sistemi yapıları ile entegre olacak şekilde bu çalışmaları gerçekleştirme
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, ilgili kuruluşların kademeli bir uyum sürecinden geçirilmesini planlamıştır. Bu planlama, Temmuz 2022 tarihi itibarıyla sona ermiştir. Bu tarih itibarıyla kapsam dâhilindeki kuruluşların gerekli güvenlik tedbirlerini almış olması ve rehbere uyumlu hareket etmesi beklenir.
Bilgi ve İletişim Güvenliği Rehberi’ne Uyum Sağlama Planı Nedir?
Bilgi ve İletişim Güvenliği Rehberi, kapsadığı kurumlara ve işletmelere maksimum 24 aylık bir uyum süresi tanır. Uyum sağlama planı süresi; birinci, ikinci ve üçüncü seviye tedbirlerine göre değişiklik gösterir. Kuruluşlara, sayılan tedbirlere uygun adımları izlemesi için sırasıyla 6-18, 6-21 ve 6-24 ay arası zaman verilir. Ayrıca ilk 1-6 ay içinde varlık grubu kritiklik derecesi belirleme ve boşluk analizi işlemleri yapılır. Bahsi geçen sürelerde takip edilen aşamalar özetle aşağıdaki gibidir.
- Varlık gruplarının ve kritiklik derecelerinin belirlenmesi
- Mevcut durum ve boşluk analizi
- Rehber uygulama yol haritasının tespit edilmesi
Kurum ve kuruluşlar, mevcut durum analizi çalışmalarının ardından güvenlik boşluklarını belirleyerek bir yol haritası çizer. Bu bağlamda 2-3 aylık dönemlerde geliştirilmek üzere iş paketleri tespit edilir. Personele, bütçeye ve fiziksel ortama yönelik kaynak tahsis planlanması da gerçekleştirilir. Çalışanlara ilgili rehberde yer alan sorumluluk atama standartlarına uygun olacak şekilde rolleri ve görevleri bildirilir. Son olarak, personele bilgi ve iletişim güvenliği alanında yetkinlik kazandırmak için eğitimler verilir.
Bilgi ve İletişim Güvenliği Rehberi’ne Uyum Süreci Nasıl İlerletilir?
Bilgi ve İletişim Güvenliği Rehberi uyum sürecinde izlemeniz gereken bazı adımlar bulunur. Bu aşamalar sırasıyla planlama, uygulama, kontrol etme ve değişiklik yönetimi olarak ilerler. Planlama esnasında varlık grupları belirlenir. Ardından kritiklik derecesine göre tedbirler uygulanır. Kontrol gerçekleştirme, önlem alma ve değişikliklerin idare edilmesi gibi işlemlerden sonra süreç tamamlanır.
Planlama Aşaması
Cumhurbaşkanlığı Bilgi ve İletişim Rehberi kapsamında varlıkların belirlenen başlıklar altında toplanması ve gruplandırılması gerekir. Belirlenen gruplar göz önünde bulundurularak ilgili tedbirler uygulanır. Rehber, elektronik ortamda yer alan verilerin depolandığı, aktarıldığı, işlendiği bilgi sistemlerine ilişkin varlıklardan bahseder. Bilgi ve İletişim Güvenliği Rehberi kapsamında yer alan varlık grupları şunlardır:
- Ağ ve Sistemler
- Uygulamalar
- Taşınabilir Cihaz ve Ortamlar
- Nesnelerin İnterneti (IoT) Cihazları
- Fiziksel Mekânlar
- Personel
Bu kapsamda tanımlanan her bir varlık grubu için ilgili uygulama ve teknoloji alanına yönelik güvenlik önlemleri ana başlıkları tercih edilir. Söz konusu tedbirler için ilgili varlık grubuna atanan kritiklik derecesi dikkate alınır. Örneğin e-Devlet üzerinden erişilebilen G2G türündeki, kritik verileri işleyen ve işlemeyen kurum içi uygulamalar, planlama aşamasında aynı başlık altında toplanabilir.
Uygulama Süreci
CBDDO Bilgi ve İletişim Güvenliği Rehberi uyum süreci, dönemsel hedeflere göre planlanan şekilde kurum personeli tarafından hayata geçirilir. Bu bağlamda yol haritasında belirlenen tedarik, hizmet alımı ve yeniden tasarım gibi işlemlere öncelik sırasına göre kaynak tahsisi yapılır. Uygulama aşamasında baz alınan temel prensipler ise şöyledir:
- Yol haritasını uygulayacak ve denetim faaliyetlerini yürütecek personel; bilgi güvenliği ya da kişisel verilerin korunması gibi konularda bilgi sahibi olmalıdır.
- Tasarım aşamasında güvenlik ve mahremiyet temelli tasarımlar yapılmalıdır.
- Varlıkların güvenliği, birden fazla savunma katmanı ile sağlanmalıdır.
- Bir işin gerçekleştirilmesi için ilgili birimlere yeterli düzeyde ve asgari yetki tanınmalıdır.
- Saldırıya maruz kalınabilecek alanların minimuma indirilmesi sağlanmalıdır.
- Çalışmalarda ve tasarımlarda tespit edilen zayıf halkalar, kurgulanan planlarla güçlendirilmelidir.
- Güvenlik ve iş hedefleri, birbiriyle uyumlu hâle getirilmelidir.
- Belirlenen güvenlik ihtiyaçları, yerli ve milli ürünlerle karşılanmalıdır.
- Mükerrer çalışmaları ve yatırımları önleyen süreçler yürütülmelidir.
Görev tanımı itibarıyla herhangi bir konu ya da işi; öğrenme, inceleme, gereğini yerine getirme ve koruma sorumluluğu bulunanların yetkisi düzeyinde bilgi sahibi olması önemlidir. Sayılan prensipler, Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi uygulama sürecinin prosedürlerine uygun şekilde ilerlemesini mümkün kılar.
Kontrol Etme ve Önlem Alma
Bilgi ve İletişim Güvenliği Rehberi yol haritası çalışmalarının ilerleme durumlarını takip etmek için bir kontrol aşaması gerçekleştirilir. Bu aşamada hazırlanan plandan sapmalar tespit edilir ve gerekli önlemler alınır. Ayrıca karşılaşılacak sorun ve risklerin yönetimi de gerçekleştirilir. Dönem sonlarında ise tüm bu detaylara yer veren yol haritası ilerleme raporları hazırlanır.
Değişiklik Yönetimi
CBDDO Bilgi ve İletişim Güvenliği Rehberi; ihtiyaçlar, gelişen teknoloji ve yeni stratejiler kapsamında yapılacak değişikliklere göre güncellenir. Bu rehberin güncellenmesini gerektiren durumlar özetle şunlardır:
- Yeni varlık gruplarının oluşturulması
- Varlık gruplarında yer alan varlıkların değişmesi
- Mevcutların yerine farklı varlık gruplarının tanımlanması
- Varlık gruplarının kritiklik derecelerinin değişmesi
- Varlıklara yönelik uygulama ve teknoloji alanlarının değişmesi
- Varlıkları etkileyen mevzuatların, standartların ya da ikincil düzenlemelerin değişmesi
Kurumsal ihtiyaçlar ve gelişmelere yönelik bir değişiklik tespit edildiğinde tekrar planlama yapılarak yeni yol haritasının hazırlanması ya da mevcut olanın güncellenmesi gerekir. Yani kurumlar ve işletmeler, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından rehberde yapılacak değişiklikleri sürekli takip ederek gerekli değişikleri gerçekleştirmelidir.
Düzenli Uyumluluk Denetiminin Gerçekleştirilmesi
Kurum ve kuruluşlar, Bilgi ve İletişim Güvenliği Rehberi’ne uyum sağlamak için gerekli tedbirleri aldıktan sonra yılda en az 1 kez denetimden geçer. Kontrol faaliyetleri, CBDDO Bilgi ve İletişim Güvenliği Denetim Rehberi esas alınarak yürütülür. Bu doküman, ana rehberdeki denetim süreçlerinde izlenmesi gereken adımları detaylandırır. Böylece kurumlar, kendi kontrol mekanizmasından ya da dışarıdan hizmet alarak Bilgi ve İletişim Güvenliği Rehberi uyum denetimini tamamlayabilir.
CBDDO Bilgi ve İletişim Güvenliği Rehberi Sürecinde ve Denetiminde Neden Profesyonel Yardım Almalısınız?
Bilgi ve İletişim Güvenliği Rehberi uyum ya da denetim sürecinde profesyonellerden destek alabilirsiniz. Örneğin TSE onaylı sızma testi firması inventiv, rehber uyum sürecinin ilk döneminde risklerin belirlenmesi amacıyla yapılacak penetrasyon testleri konusunda size destek verir. Ayrıca rehberdeki denetim maddeleri arasında yazılan varlıkların yılda en az 1 kere test edilmesine de yardımcı olur. Böylece inventiv, Securvent hizmeti kapsamında rehber uyum sürecinde risklerinizin farkında olmanızı sağlar. Bilgi ve iletişim güvenliği standartlarını eksiksiz yerine getirmek için inventiv ile tanışabilirsiniz.
- Geri Dön
- 17 dk okuma
-
Securvent