Makaleler

Bilgi ve İletişim Güvenliği Rehberi Uyumluluk Süreci

“ELEKTRONİK HABERLEŞME”, “ENERJİ”, “SU YÖNETİMİ”, “ULAŞTIRMA”, “BANKACILIK VE FİNANS”, “SAĞLIK” SEKTÖRLERİNDE HİZMET VEREN KURULUŞLARIN DİKKATİNE!

Bilgi ve İletişim Güvenliği

Rehberi Kapsamında Uyumluluk Süreci Nedir?

Kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren 06.07.2019 tarih ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından “Bilgi ve İletişim Güvenliği Rehberi” 24.07.2020 tarihinde yayınlanmıştır.

Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren Genelge ile, yasal düzenleme boyutunda ülke çapında bilgi güvenliği seviyesinin arttırılması amaçlanmıştır.

Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayınlanan “Bilgi ve İletişim Güvenliği Rehberi” nin yayınlanmasının üzerinden 7 ayı aşkın bir süre geçmiş bulunuyor ve kapsam dahilindeki kurumların şubat ayı itibarıyla tedbirleri uygulama safhasına geçmiş olmaları gerekiyor.

  • Bilgi ve İletişim Güvenliği Rehberi Hangi Kurumları Kapsıyor?

Rehberin kapsamı

“bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır.”

şeklinde belirtilmiştir.

Dijital Dönüşüm Ofisi kapsamı

Genelge, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık” alanlarında kamu hizmeti veren işletmeleri kapsamaktadır, şeklinde detaylandırılmıştır.

  • Neler Yapılması Gerekiyor?

Varlıkların Kritiklik Derecelerinin Belirlenmesi

 

Rehber kurumlardan ilk 6 ay içerisinde sahip oldukları varlıkları “Ek C.1: Varlık Grubu Kritiklik Derecelendirme Anketi” ile bilgi varlıklarını aşağıdaki gibi gruplaması beklenmektedir.

  • Anket sonucu 18’den küçük ise: 1. Derece Varlık.
  • Anket sonucu 18 ve 28 arasında ise 2. Derece Varlık.
  • Anket sonucu 28’den yüksek ise 3. Derce Varlık.

 

Boşluk Analizi

Varlık gruplarının belirlenmesinden sonra varlıklara mevcutta uygulanan tedbirler rehberde belirtilen tedbirlerle karşılaştırılarak rehberde belirtilen “EK-C.3: Mevcut Durum ve Boşluk Analizini” formu üzerinde GAP analizi yapılması beklenmektedir. Mevcut Durum ve Boşluk Analizinin Temmuz 2020’den itibaren 6 ay içerisinde yapılması gerekmektedir.

Rehber Uygulama Yol Haritası

Boşluk analizini sonucuna göre uygulanması gereken tedbirler “Ek C.4: Rehber Uygulama Yol Haritası Belirleme Formu” ile planlanması beklenmektedir.

Tedbirlerin Hayata Geçirilmesi

Uygulanacak tedbirler belirlendikten sonra:

  • Kritiklik derecesi 1 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 18 Ay
    • Kritiklik derecesi 2 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 21 Ay
    • Kritiklik derecesi 3 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 24 Ay

    Süre tanınmıştır. Tedbir uygulanmaya başlandıktan sonra periyodik olarak proje ilerleme raporlarının hazırlanması beklenmektedir.

Bilgi ve İletişim Güvenliği İç Denetimi

Tedbirler hayata geçirildikten sonra yıllık Bilgi ve İletişim Güvenliği İç Denetimi yapılması ve denetim raporlarının Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’ne iletilmesi gerekmektedir.

Uygulamaya Geçmek İçin Geç Kalınmamalı

Rehberin uygulanması kapsamlı ve zaman isteyen tedbirler içermektedir, aksiyona henüz geçmeyen kurumların rehbere uyumluluk konusunda termini yakalamama riski her geçen gün artmaktadır. Bu bakımından Genelge kapsamındaki sektörlerde faaliyet gösteren kurumların ilgili düzenlemede belirlenen rehbere uyumluluk sürecini bir an önce başlatmaları önerilmektedir.