“ELEKTRONİK HABERLEŞME”, “ENERJİ”, “SU YÖNETİMİ”, “ULAŞTIRMA”, “BANKACILIK VE FİNANS”, “SAĞLIK” SEKTÖRLERİNDE HİZMET VEREN KURULUŞLARIN DİKKATİNE!
Bilgi ve İletişim Güvenliği
Rehberi Kapsamında Uyumluluk Süreci Nedir?
Kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren 06.07.2019 tarih ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından “Bilgi ve İletişim Güvenliği Rehberi” 24.07.2020 tarihinde yayınlanmıştır.
Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren Genelge ile, yasal düzenleme boyutunda ülke çapında bilgi güvenliği seviyesinin arttırılması amaçlanmıştır.
Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayınlanan “Bilgi ve İletişim Güvenliği Rehberi” nin yayınlanmasının üzerinden 7 ayı aşkın bir süre geçmiş bulunuyor ve kapsam dahilindeki kurumların şubat ayı itibarıyla tedbirleri uygulama safhasına geçmiş olmaları gerekiyor.
Rehberin kapsamı
“bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır.”
şeklinde belirtilmiştir.
Dijital Dönüşüm Ofisi kapsamı
Genelge, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık” alanlarında kamu hizmeti veren işletmeleri kapsamaktadır, şeklinde detaylandırılmıştır.
Varlıkların Kritiklik Derecelerinin Belirlenmesi
Rehber kurumlardan ilk 6 ay içerisinde sahip oldukları varlıkları “Ek C.1: Varlık Grubu Kritiklik Derecelendirme Anketi” ile bilgi varlıklarını aşağıdaki gibi gruplaması beklenmektedir.
Boşluk Analizi
Varlık gruplarının belirlenmesinden sonra varlıklara mevcutta uygulanan tedbirler rehberde belirtilen tedbirlerle karşılaştırılarak rehberde belirtilen “EK-C.3: Mevcut Durum ve Boşluk Analizini” formu üzerinde GAP analizi yapılması beklenmektedir. Mevcut Durum ve Boşluk Analizinin Temmuz 2020’den itibaren 6 ay içerisinde yapılması gerekmektedir.
Rehber Uygulama Yol Haritası
Boşluk analizini sonucuna göre uygulanması gereken tedbirler “Ek C.4: Rehber Uygulama Yol Haritası Belirleme Formu” ile planlanması beklenmektedir.
Tedbirlerin Hayata Geçirilmesi
Uygulanacak tedbirler belirlendikten sonra:
Bilgi ve İletişim Güvenliği İç Denetimi
Tedbirler hayata geçirildikten sonra yıllık Bilgi ve İletişim Güvenliği İç Denetimi yapılması ve denetim raporlarının Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’ne iletilmesi gerekmektedir.
Uygulamaya Geçmek İçin Geç Kalınmamalı
Rehberin uygulanması kapsamlı ve zaman isteyen tedbirler içermektedir, aksiyona henüz geçmeyen kurumların rehbere uyumluluk konusunda termini yakalamama riski her geçen gün artmaktadır. Bu bakımından Genelge kapsamındaki sektörlerde faaliyet gösteren kurumların ilgili düzenlemede belirlenen rehbere uyumluluk sürecini bir an önce başlatmaları önerilmektedir.