KAMUNET AĞINA BAĞLANMA VE KAMUNET AĞININ DENETİMİNE İLİŞKİN USUL VE ESASLAR HAKKINDA TEBLİĞ
21 Haziran 2017 Tarih ve 30103 sayılı “KAMUNET AĞINA BAĞLANMA VE KAMUNET AĞININ DENETİMİNE İLİŞKİN USUL VE ESASLAR HAKKINDA TEBLİĞ” resmi gazete yayınlandı.
Tebliğin amacı: KamuNet’e dâhil edilecek ve dâhil olan kamu kurumlarının KamuNet’e bağlı bilgi ve iletişim sistemlerine ilişkin olarak karşılaması gereken asgari gereklilikler ile bu kurumların denetlenmesine ilişkin usul ve esasların belirlenmesidir.
Tebliğ kapsamında;
- KamuNet’e bağlantı yapacak birimlerini ve sistemlerini kapsayacak BGYS’sini kurması ve işletmesi,
- Kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgesini alması ve güncelliğini sağlaması. Bu belgeleri, TS ISO/IEC 27001 veya ISO/IEC 27001 standardı kapsamında Türk Akreditasyon Kurumu tarafından akredite edilen belgelendirme kuruluşları veya Uluslararası Akreditasyon Forumu Karşılıklı Tanınma Antlaşmasında yer alan ulusal akreditasyon kurumlarınca akredite edilmiş belgelendirme kuruluşlarından temin etmesi,
- Kurum yönetimi tarafından onaylanmış bilgi güvenliği yönetim sistemi politikasına uygun olarak KamuNet ile ilgili politika tanımlaması, dokümante etmesi, ilgili çalışanlarının ve tarafların söz konusu politikaya ilişkin farkındalığını sağlaması,
- Bilgi güvenliği ihtiyaçlarını karşılayacak şekilde bilgi varlıklarının gizlilik dereceleri sınıflandırılmasını Türk Standartları Enstitüsü tarafından Kritere Uygunluk Belgesi TSEK 523 Kriteri olarak yayınlanan Bilgi Varlıklarının Gizlilik Derecelerine Göre Sınıflandırılması Dokümanına uygun olarak yapması. Sınıflandırılan gizlilik derecelerine göre şifreleme tekniklerini kullanabilir,
- KamuNet’e dâhil olan birimlerinde çalışan personeline yönelik BGYS ile birlikte siber güvenlik de dâhil olacak şekilde bilgilendirme ve eğitimler vermesi,
- Sunucu ve istemci ağlarında internet üzerinden ve yerel ağ içerisinden düzenli zafiyet taramaları yapması, var olan zafiyetleri tespit ederek gerekli önlemleri alması,
- KamuNet için kurum içi envanter ve topoloji oluşturması ve güncel tutması,
- KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması,
- KamuNet’e bağlı sistemlere ait iz kayıtlarını herhangi bir anomaliye karşı sürekli olarak incelemesi,
- Sistem güvenliği için sunucu ve istemci ağlarını ayırması,
- Sunucu ve istemci ağlarının birbirine erişiminde mutlaka bir güvenlik katmanı oluşturması,
- KamuNet ağından gelebilecek tehditlere karşı kendilerini korumak ve KamuNet’e ilişkin bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla (bilgisayar virüsleri, solucanlar, truva atları gibi zararlı yazılımlara ve benzeri) yazılımsal ve donanımsal önlemleri alması. Bu kapsamda güvenlik cihazları (güvenlik duvarı, saldırı önleme sistemi, içerik filtreleme, anti virüs veya birleşik tehdit yönetimi) kullanması,
- İnternete açık servislerinin bulunması halinde bu servislerden gelen saldırıların KamuNet ağını da olumsuz etkilememesi için siber saldırılara (DDoS ve benzeri) karşı koruma ve güvenlik hizmetlerini alması,
- İstemci ağı içerisinde dizin hizmetini kullanır ve kullanıcı bilgisayarlarını dizin hizmetine dâhil etmesi,
- Dizin hizmeti üzerinde kullanıcı bilgisayarlarının KamuNet ağını olumsuz etkilememesi için işletim sistemi dâhil yüklü tüm programların güncellemelerini takip etmesi ve yapması,
- KamuNet ağını olumsuz etkilememesi için dizin hizmeti üzerinde kullanılabilecek programları belirler ve kullanıcıların programlar üzerinde yetkisini (kurma, kaldırma) sınırlandırılması,
- KamuNet ağını olumsuz etkilememesi için Ağ Erişim Kontrolü (NAC-Network Access Controller) çözümleri ile kullanıcıların yapılandırmasının güvenli olduğunu kontrol ederek kendi ağlarına dâhil etmesi,
- KamuNet ağında, bilmesi gereken prensibine göre sadece ilgili kurumlar ile veri paylaşır ve ilgisiz kurumların bilgiye erişimini kısıtlaması,
- KamuNet ağını olumsuz etkilememesi için kablosuz erişimi sağlayan modem veya erişim noktalarının yazılımlarını güncel tutması ve bu cihazların dizin hizmeti ile entegrasyonunu yapması,
- Sunucuların bulunduğu sistem odalarını güncel ISO/IEC 27001 standardına uygun hale getirir, giriş ve çıkışları kontrol altında tutması ve bu konularda yetkilendirme yapması,
- Sunuculardaki bilgi ve yazılımların kurtarılmasına imkân verecek şekilde yedek alınmasını,
- Sunucular üzerindeki kullanılmayan uygulamaları ve servisleri kapatması,
- Sunucular üzerindeki işletim sistemleri ve uygulama yazılımlarını güncel tutması,
- KamuNet’e bağlantı sağlayacak birimde görevlendirdiği çalışanlarıyla ve söz konusu birime ve ilgili sistemlere ilişkin mal veya hizmet alış verişinde bulunduğu üçüncü taraflarla yapacağı sözleşmelerde gizlilik hükümlerine yer verir ve imzalanan sözleşmeleri muhafaza etmesi,
- Kurumsal SOME Kurulum ve Yönetim Rehberine uygun şekilde Kurumsal SOME’sini kurar ve ulusal siber güvenliğin sağlanması amacıyla Bakanlık ve varsa bağlı olduğu Sektörel SOME’nin belirlediği esaslar çerçevesinde gerekli tedbirleri alması,
- KamuNet’e ilişkin yapılan çalışmalarda Bakanlıkça hazırlanan Kurumsal SOME Kurulum ve Yönetim Rehberini esas alması,
- İşletmeci ile arasındaki KamuNet ağı erişimini mümkünse farklı santrallerden ve farklı güzergâhlar ile yedeklemesi beklenmekte.
İlgili tebliğ ISO 27001:2013 Kontrollerinin bir bütün olarak uygulanmasını istemekte,
İlgili Tebliğ kapsamında SiberSAN olarak Bilgi Güvenliği Yönetim Sistemi ve Kontrollerini kurup, uygulanmasını sağlamakta, 2012 yılından günümüze ISO 27001:2005, ISO 27001:2013, ISO 31001:2009, ISO 22301:2013 eğitim ve danışmanlık hizmetleri vermekteyiz.
Bize https://www.sibersan.com/hakkimizda/iletisim/ adresinden ulaşabilirsiniz.
Ek Bilgi;
KamuNet (Kamu Sanal Ağı); Kamu kurum ve kuruluşları tarafından içerik güvenliği sağlanan veri iletişiminin, kurumlar arası internete kapalı olan daha güvenli sanal bir ağ üzerinden yapılarak siber güvenlik risklerinin minimize edilmesi, mevcut ve kurulacak olan güvenli kapalı devre çözümlere standart sağlanması, ortak uygulamalar için uygun alt yapının tesis edilmesi ve oluşturulması, planlanan ortak veri merkezi/merkezlerinin dâhil edilmesi amacıyla oluşturulmuştur.
KamuNet Ağı kurulmasına ilişkin KamuNet İşbirliği Protokolü Ulaştırma Bakanlığı / Haberleşme Genel Müdürlüğü ile Türk Telekomünikasyon A.Ş. arasında imzalanmıştır.
Kaynak: https://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm