T.C. CUMHURBAŞKANLIĞI BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ (BİGR) UYUM DANIŞMANLIĞI
06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesinin uygulanması konusunda yol gösterici olan Bilgi ve İletişim Güvenliği Rehberi 27/07/2020 tarihinde yayınlanmıştır.
Bilgi ve İletişim Güvenliği Rehberinin temel amacı; “Bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.”
Rehberin Kapsamı; “Bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır.”
Rehber 4 ana bölümden oluşmaktadır;
Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci: Rehberde yer alan tedbirlerin uygulanabilmesini sağlamak amacı ile rehber uygulama süreci tanımlanmıştır. Rehber uygulama süreci, bilgi güvenliği yönetim süreçlerine alternatif olarak uygulanacak bir süreç olarak hazırlanmamış olup mevcut bilgi güvenliği yönetim süreçlerine teknik olarak katkı sağlayacak tedbirleri ve faaliyetleri içermektedir. Kurumlar rehber uygulama süreci ile tanımlanan faaliyetleri, mevcut bilgi güvenliği yönetim süreçleri kapsamında ve uyarlama yaparak yürütmelidir.
Varlık Gruplarına Yönelik Güvenlik Tedbirleri: Tanımlanan her bir varlık grubuna dâhil olduğu ana başlığa göre uygulanacak olan asgari güvenlik tedbirleri belirlenmiş ve detaylandırılmıştır.
Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri: Varlık grupları özelinde tanımlanan güvenlik tedbirlerine ek olarak, uygulama ve teknoloji alanlarına özel güvenlik tedbirleri tanımlanmış ve detaylandırılmıştır. Her bir varlık grubu için ilgili uygulama ve teknoloji alanları belirlenmeli ve belirlenen alanlar için tanımlanan güvenlik tedbirleri de ilgili varlık gruplarına uygulanmalıdır.
Sıkılaştırma Tedbirleri: İşletim sistemi, veri tabanı ve sunucular için sıkılaştırma tedbirlerini içermektedir.
Rehber, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından riskler ve kontrollerin değişim durumuna göre güncellenecektir.
Rehber Uyum Planı;
Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmeler tarafından, Bilgi ve
İletişim Güvenliği Rehberi Uygulama Süreci’nin ve tanımlanan güvenlik tedbirlerinin uyum planı çerçevesinde ele alınması gerekmektedir.
SiberSAN olarak, rehberle uyumlu 4 fazda uyum çalışmasını gerçekleştirmekteyiz;
- Kritik Derecelendirme ve boşluk analiz çalışması;
* Varlık gruplarının belirlenmesi,
* Varlık grubu kritiklik derecesinin belirlenmesi,
* Mevcut durum ve boşluk analizi,
* Rehber uygulama yol haritasının hazırlanması, - 1. Seviye Tedbirlerin Uygulanması;
* Kritiklik derecesi 1 olarak belirlenen varlık grupları özelinde uygulanması gereken temel seviye tedbirleri için çalışmaların gerçekleştirilmesi - 2. Seviye Tedbirlerinin Uygulanması;
* Kritiklik derecesi 2 olarak belirlenen varlık grupları özelinde uygulanması gereken temel seviye tedbirleri için çalışmaların gerçekleştirilmesi - 3. Seviye Tedbirlerin Uygulanması;
* Kritiklik derecesi 3 olarak belirlenen varlık grupları özelinde uygulanması gereken temel seviye tedbirler için çalışmaların gerçekleştirilme çalışması yapılmaktadır.
Rehber kapsamındaki tahmin edilen süreler (Kurum, yapı, büyüklük ve varlık seviyelerine göre planlanacaktır);
Rehber uygulama sürecinde, kuruluş bünyesinde bilgi güvenliği yönetim süreçlerine/sistemlerine (BGYS) entegre edilmekte ve bilgi güvenliği risk yönetimi faaliyetleri kapsamında rehberde tanımlanan tedbirler/kontroller uygulanmaktadır. Bu kapsamda SiberSAN olarak ISO 27001 ve ISO 27002 teknik kontrolleri ile Rehber, tedbir/kontrolleri ilişkilendirilerek kontrollerin sürekliliği sağlanarak sürece dönüştürülmektedir.
Rehber kapsamında gerçekleştirilecek proje adımları;
Proje adımlarımız ile ilgili detaylı bilgi ve teklif almak için, kurumsal e-posta adresiniz ile info@sibersan.com üzerinden bize ulaşabilirsiniz.
MEVZUAT VE DOKÜMANLAR
- 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi
- Bilgi ve İletişim Güvenliği Rehberi
- Bilgi ve İletişim Güvenliği Tedbirleri Rehber ve Ekleri
- Bilgi ve İletişim Güvenliği Denetim Rehberi
- TS ISO/IEC 27001:2017 Kontrolleri ile Bilgi ve İletişim Güvenliği Rehberi Eşleştirme Tablosu
- Bilgi ve İletişim Güvenliği Denetim Rehberi Ekleri