SiberSAN Bilgi Teknolojileri, Petrolis Mah. Batman Sk. No:28/17 34862 Kartal/Istanbul TURKEY, Tel: +90 850 885 0437, Fax: +90 850 202 91 55, IST: +90 216 488 6705, info@sibersan.com
SiberSAN
  • ANASAYFA
  • EĞİTİM
    • KVKK (Kişisel Verilerin Korunması Kanunu) Eğitimleri
    • SiberSAN Linux Eğitimleri
    • SiberSAN pfSense Firewall Eğitimi
    • ISO 27001 (BGYS) Eğitimleri
    • ISO 22301 (İSYS) Eğitimleri
    • SIEM ve Log Yönetim Sistemi Eğitimleri
    • SiberSAN IPv6 Eğitimi
  • DANIŞMANLIK
    • Bilgi ve İletişim Güvenliği Rehberi Uyum Danışmanlığı
    • KVKK Danışmanlığı
    • ISO 27001 (BGYS) Danışmanlık Hizmetleri
      • ISO 27001 Danışmanlığı Mevcut Durum Analizi (MDA)
      • ISO 27001 BGYS ANA POLİTİKASININ TANIMLANMASI AŞAMASI
      • ISO 27001 BİLGİ VARLIĞI ENVANTERİNİN OLUŞTURULMA AŞAMASI
      • ISO 27001 RİSK ANALİZİ AŞAMASI
      • ISO 27001 RİSK İŞLEME AŞAMASI
      • ISO 27001 DOKÜMANTASYON AŞAMASI
      • ISO 27001 İŞ SÜREKLİLİĞİ YÖNETİMİ AŞAMASI
      • ISO 27001 EĞİTİM AŞAMASI
      • ISO 27001 İÇ TETKİK AŞAMASI
    • Yetkilendirilmiş Yükümlü (AEO) Danışmanlığı
    • ISO 15408 Danışmanlık Hizmetleri
    • ISO 15504 (SPICE) Danışmanlık Hizmetleri
    • IT Audit Check For Financial
    • Bilgi Sistemleri Yönetim Danışmanlığı
    • Bilgi Sistemleri Mühendislik Danışmanlığı
  • ÇÖZÜM
    • SIEM Çözümleri
    • Yönetim Sistem Yazılımları
    • Vulnerability Assessment
    • Mail Gateway Çözümü
    • 5651 Çözümleri
    • :: LİNUX SİSTEM YÖNETİM ÇÖZÜMLERİ
    • Ağ ve Sistem İzleme Araçları
    • STORAGE Çözümleri
    • Özel Yazılım & Tasarım Çözümleri
    • Firewall Çözümleri
    • RiskBMS
    • DLP Çözümleri
    • End Point Security
    • Hotspot Çözümleri
    • SiberSAN VPN Çözümleri
  • HAKKIMIZDA
    • SiberSAN Hakkında
    • Adres & Telefon
    • İletişim
  • BLOG
  • İK

Blog

:: Bilgi ve İletişim Güvenliği Genelgesi, Bilgi ve İletişim Güvenliği Rehberi.

Tem 28, 2020S2Genel:: Bilgi ve İletişim Güvenliği Genelgesi, Bilgi ve İletişim Güvenliği Rehberi. için yorumlar kapalı

Bilgi ve İletişim Güvenliği Genelgesi 06/07/2019 tarihinde Resmi Gazetede yayınlanmıştı.

Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisinden genelgenin önemli eki olan Bilgi ve İletişim Güvenliği Rehberi Temmuz 2020 tarihi itibariyle yayınlandı.

  • Genelgeye https://www.resmigazete.gov.tr/eskiler/2019/07/20190706-10.pdf adresinden ulaşabilirsiniz.
  • Rehbere https://cbddo.gov.tr/SharedFolderServer/Genel/File/BG_REHBER.pdf adresinden ulaşabilirsiniz.

Genelgenin amacı;

Ülkemizin verisinin ülkemizde kalması, kurumların, şirketlerin ve hatta bireylerin veri mahremiyeti konusunda riskli yaklaşımlara karşı bilinçli olması, yerli ve milli çözümler geliştirilmesi ve kullanılması, karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması

Genelgenin kapsamı;

Genelge, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık”, alanlarında kamu hizmeti veren işletmeleri kapsamaktadır. Kritik altyapı işleten özel hukuk tüzel kişiler hariç olmak üzere, diğer özel hukuk tüzel kişileri kapsamamakla beraber genelgede yer alan tedbirlerin uygulanması bu kurumların yararına olacaktır.

Genelgenin yürürlük tarihi nedir?

Genelgenin yürürlük tarihi Resmi Gazetede yayınlandığı tarih olan 06.07.2019 dur. Genelgede yer verildiği üzere, mevcut bilgi teknolojisi altyapılarının, belirtilen tedbirlere uyumlu hale getirilmesi, yayımlanmasını müteakip rehberde yer alacak plan çerçevesinde, güvenlik seviyesi öncelikleri dikkate alınarak ve kademeli olarak sağlanacaktır.

Genelgenin ve hazırlanacak olan Rehberin yasal bir dayanağı var mıdır?

1 sayılı Cumhurbaşkanlığı kararnamesinin 527 ve 527/B Maddeleri, 5809 sayılı Elektronik Haberleşme Kanunu, 4045 sayılı Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun, Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik ile Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği Genelge ve Rehberin yasal dayanağını oluşturmaktadır.

Genelge kapsamında denetimleri kim yapacaktır, yaptırımlar neler olacaktır?

Genelgede ve yayımlanacak olan Rehberde yer alan güvenlik tedbirlerinin uygulanmasına ilişkin denetimler, en az yılda bir kere olmak üzere, kurum ve kuruluşların iç denetim mekanizmaları yoluyla yapılır. Gerek görülmesi halinde ilgili mevzuat hükümleri çerçevesinde bu konuda halihazırda yetkili kurumlarca ve Dijital Dönüşüm Ofisi tarafından da yapılır veya yaptırılır. Denetim sonuçları ile yapılan düzeltici faaliyetleri içeren raporlar Dijital Dönüşüm Ofisi’ne iletilecektir.Genelge ve Rehberde yer alan tedbirlerin uygulanmasına yönelik yapılacak denetimler bilgi güvenliğini sağlamaya yönelik olmakla birlikte, söz konusu tedbirlere uyulmaması nedeniyle bir zafiyet oluşması durumunda halihazırda ilgili mevzuatta belirlenen yaptırımlar geçerlidir. Oluşabilecek zararın boyutuna göre gerek duyulması durumunda kurum içi adli veya idari soruşturma süreçleri işletilebilecektir.

Gizli veri, kritik veri, kritik kurum gibi ifadelerin tanımı nedir?

Genelgede yer alan terimlere ait tanımlamalara hazırlanmakta olan, ve 2019 sonunda ilk versiyonunun yayınlanması planlanan Bilgi ve İletişim Güvenliği Rehberinde yer verilecektir.

“Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli ağda tutulacak” ifadesi ile anlatılmak istenen nedir?

Ağ, sistem ve veri güvenliği kapsamında, internetten sunulma zorunluluğu bulunmayan ve rehberde yer alacak “kritik veri” tanımı kapsamına giren verilerin internet ağından yalıtılmış, fiziksel güvenlik tedbirleri alınmış, erişim yetkileri sınırlandırılmış bir ağda bulundurulması amacıyla alınmış bir tedbirdir.

Genelge ile Bulut hizmetleri yasaklanmakta mıdır? “Kurum kontrolündeki yerli hizmet sağlayıcılar” cümlesinde belirtilen “kurum kontrolü” ifadesi ne anlama gelmektedir?

Genelgenin ilgili maddesi bulut teknolojisinin kullanımına dair bir çerçeve çizmekte, ülke verisinin ülkede kalmasını hedeflemektedir. Bulut hizmeti alınırken verilerin ülke içindeki veri merkezlerinde depolanması ve güvenlik kontrollerinin sağlanması kaydıyla yerli veya yabancı bulut servislerinden yer, sunucu veya hizmet kullanımına yönelik bir yasaklama getirmemektedir. “Kurum kontrolü”, bulut hizmeti veren sistemlere erişen personel ve yetki düzeyleri, sunucuların kuruma tahsisli olup olmadığı, erişim ve işlem loglarının izlenebilmesi gibi veri güvenliğine yönelik kontrolleri ifade etmektedir.

Üretici ve tedarikçilerden taahhütname alınması ile ilgili nasıl bir yol izlenecektir?

Genelgenin ilgili maddesi, bazı ülkelerin, üreticilerine istihbarat amaçlı arka kapı bırakma zorunluluğu getirme girişimleri de göz önünde bulundurularak, uygulama,veri ve sistem güvenliği kapsamında, yazılım ve donanımlarda kasıtlı oluşturulan arka kapı zaafiyetlerine karşı alınan bir tedbirdir. Kurum ve kuruluşlarca yapılacak yazılım ve donanım teminleri için hazırlanacak şartnamelerde bu konuda hassasiyet gösterilmesi, mümkünse ürünün arka kapı içermediğine dair taahhütname alınması istenmektedir. Taahhütname alınsın veya alınmasın, arka kapı tespiti durumunda, mevcut mevzuat çerçevesinde adli ve idari soruşturma süreçlerinin işletilmesi, arka kapı zaafiyetinin duyurularak alımın iptali ve firmanın yasaklı duruma düşürülmesi gibi yaptırımlar uygulanabilecektir.

Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile personeli hakkında güvenlik soruşturması veya arşiv araştırması yapılması ile ilgili madde kapsamında, mevcut çalışanlara tekrar güvenlik soruşturması yapılması gerekecek mi?

Söz konusu madde kapsamına giren görevleri nedeniyle halihazırda hakkında güvenlik soruşturması veya arşiv araştırması yapılmış bulunan ilgili üst yönetici veya personel için gerekli görülmedikçe güvenlik soruşturması ve arşiv araştırmasının yenilenmesine ihtiyaç bulunmamaktadır. Ancak ilgili yönetmelik çerçevesinde, gerekli görülen hallerde güvenlik soruşturması ve arşiv araştırmasının yenilenmesi mümkündür.

21.Maddede belirtilen tedbirin kapsamı nedir?

Telekomünikasyon hizmeti veren işletmelerce yerine getirilmek üzere, Cumhurbaşkanlığı ve milli güvenliğin sağlanması kapsamında görev yürüten kamu kurum ve kuruluşlarında iletişimin gizliliği ve güvenliğini artırmak amacıyla, doğrudan bu kurumlara haberleşme hizmeti sağlayan baz istasyonlarının ve diğer haberleşme sistemlerinin transmisyon altyapısında ilk toplama noktasına kadar radyolink bağlantısı kullanılmaması, kullanımın zorunlu olduğu durumlarda milli kripto sistemleriyle kriptolanarak kullanılması söz konusu maddenin kapsamını oluşturmaktadır.

Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmecilerce yerine getirilmek üzere, veri güvenliği, iletişim güvenliği ve yurt içi iletişim trafiğinin yurt dışına çıkarılmamasına yönelik genel çerçeveyi belirten düzenleyici bir tedbirdir. Söz konusu tedbirin uygulanmasına ilişkin teknik, hukuki ve ticari hususlar yetkili düzenleyici ve denetleyici kurum tarafından yapılacak düzenlemeyle belirlenecektir.

Güncel bilgi için: https://cbddo.gov.tr/sss/bilgi-iletisim-guvenligi/

Tags: MEVZUAT

Written by S2

Related Posts
← VERBİS’E KAYIT SÜRESİNİN UZATILMASI HAKKINDA DUYURU 23/06/2020
KVKK SİCİLE KAYIT YÜKÜMLÜLÜĞÜ HAKKINDA KAMUOYU DUYURUSU →

SiberSAN Blog

  • :: Kamuda Açık Kaynak Kodlu Yazılım (AKKY) Kullanımı
  • VERBİS Kayıt Zorunluluğu Kimler için geçerli.
  • :: ISO 27001:2022 ve ISO 27002:2022 standart güncellemeleri
  • Veri Koruma Personeli | KVKK Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ
  • :: İZİNLİ GÖNDERİCİ | GÜMRÜK GENEL TEBLİĞİ (TRANSİT REJİMİ) (SERİ NO: 14)
  • Twitter
  • Facebook
  • LinkedIn
© Tüm Hakları Saklıdır | 2012 - 2024 | SiberSAN