İlter Danışmanlık

Bilgi ve İletişim Güvenliği Rehberi
Bilgi ve İletişim Güvenliği Rehberi

Bilgi ve İletişim Güvenliği Rehberi (Dijital Dönüşüm Ofisi)

Bilgi sistemlerinde meydana gelen güvenlik risklerinin belirtilen kasamlar doğrultusunda azaltılması, olası veri kayıplarının veya milli güvenliği tehdit edebilecek kritik türde olan verilerin korunması kapsamında kamu kurumları ve kritik türdeki veri tarafında hizmet veren işletmelerce gerekli güvenlik adımlarının belirlenmesi adına Bilgi ve İletişim güvenliği rehberi tedbirlerini içeren Cumhurbaşkanlığı genelgesi yayınlanmıştır.

Bilgi ve iletişim güvenliği tedbirlerini barındıran 06.07.2019 tarih ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital dönüşüm Ofisi açısından bilgi ve iletişim güvenliği rehberi hazırlama ile ilgili çalışmalar tamamlanmıştır. 24.07.2020 tarihinde ise onaylaması gerçekleşmiştir.

Bilgi Ve İletişim Güvenliği Rehberi Kapsamı Nedir?

Kurum ve kuruluşlar ile alakalı 24 aylık uyum süreçleri de tamamlanmıştır. Tedbir seviyelerine göre uyum süreçleri;

  • Seviye tedbirler 6 ile 18 ay
  • Seviye tedbirler 6 ile 21 ay
  • Seviye tedbirler ise 6 ile 24 ay şeklindedir.

Rehberin tanımlanması açısından başlıkların tanımlanması adına 6 aylık bir süre verilir. Bu başlıklar;

  • Rehber uygulama yol haritalarının oluşumu
  • Varlık gruplarının ve kritiklik derecelerinin belirlenmesi
  • Mevcut durumlar ile boşluk analiz işlemlerinin gerçekleştirilmesi
Bilgi ve İletişim Güvenliği Rehberi - Planlama Aşamaları
Bilgi ve İletişim Güvenliği Rehberi – Planlama Aşamaları

Bilgi Ve İletişim Güvenliği Rehberinde Planlama Aşamaları

Varlık Grupları ve Kritik Derecelerin Belirlenmesi

Öncelikle kurumda bulunan birtakım varlık gruplarının belirlenmesi sağlanır.

  • Uygulamalar
  • Ağ ve sistemler
  • Fiziksel mekanlar
  • Nesnelerin interneti
  • Personel
  • Taşınabilir cihazlar ve ortamlar

Varlık grubu sahipleri, geliştiriciler ve yöneticiler, sistem yöneticiler gibi varlık grupları ile alakalı etkileşimde bulunan kişilerin belirlenmesi sağlanır. Belirlenme ardından bu kişilere anket yapılır ve ortak karar elde edilene kadar bu anketler devam eder. Devamında ise alınan ortak kararlar neticesinde varlık gruplarının kritik derecesinin belirlenmesi açısından çalışmalar sürdürülür.

Mevcut Durum ve Boşluk Analizi

Mevcut durum analizi işlemi ile belirlenen varlık gruplarına bilgi güvenliklerinin sağlanması bakımından hangi tür tedbirlerin uygulanacağı ile alakalı tespit işlemleri gerçekleştirilir. Bu aşamada verilen yöntemlerden bazıları kullanılabilir. Ardından da boşluk analizi çalışmaları gerçekleştirilir.

  • Toplantı
  • Teknik Çalışma
  • Doküman İncelemeleri
  • Otomatik araçlar ile durum tespitleri

Boşluk analizlerinde ise her bir varlık grubu adına rehber içeriğinde bulunan tedbirlerden uygulanmayanların belirlenmesi sağlanır.

Rehber Uygulama Yol Haritalarının Belirlenmesi

Kurum ve kuruluşlar, mevcut durumlar ile boşluk analizi çalışmalarını göz önünde bulundurarak rehbere uyum sağlamak bakımından yol haritası oluşturulur. Yol haritası belirleme aşamasında takip edilmesi gereken adımlar bulunur. Bunlar;

  • Personele yetkinlik kazandırılması bakımından eğitimler ile çalıştaylar düzenlenir.
  • 2-3 aylık dönemlerde geliştirilmek adına iş paketleri belirlenir.
  • Personele rehberde bulunan sorumluluk atama matrisine göre rolleri ve görevlerinin bildirilmesi sağlanır.
  • Personel bütçe ve fiziksel ortam başlıklarında kaynak tahsislerinin planlanması adına işlemler gerçekleştirilir.

Bilgi ve Güvenlik Tedbirleri Nasıl Uygulanır?

Varlıkların riskine bağlı olarak rehberde bulunan tedbir seviyelerinin belirlenmesi ve uygulaması gerçekleştirilir.

  • Kritik derece 1. Seviyede 1. Seviye tedbirlerin uygulanması sağlanır.
  • Kritik derecesi 2. Seviye olması halinde 1. ve 2. Seviye tedbirler uygulanır.
  • Kritik derecenin 3. Seviye olması halinde 1. Seviye, 2. Seviye ve 3. Seviye tedbirlerin uygulanması adına çalışmalar yapılır.

Rehberin 4. Bölümünde, 3. Bölümde yer alan varlık grupları ile alakalı uygulama ve teknoloji alanına yönelik güvenlik tedbirleri, 5. Bölümde ise sıkılaştırma tedbirleri bulunur. 3. Bölümde bulunan varlık gruplarına 4. Ve 5. Bölümde yer alan tedbirlerin uygulanması aşamasında yapıya uygun bir şekilde alt başlık tercih edilmesine özen gösterilmelidir.

Bilgi ve İletişim Güvenlik Tedbirleri Nasıl Uygulanır
Bilgi ve İletişim Güvenlik Tedbirleri Nasıl Uygulanır

Değişiklik Yönetimi Nedir?

Değişiklik yönetimi konusunda çeşitli değişikliklerin dikkate alınması önemli bir konudur. Uygulanacak faaliyetler de bu kapsama uygun şekilde belirlenir. Bunlar;

  • Varlık gruplarını etkileyen mevzuatlar, standart veya ikincil olan düzenleme durumları
  • Bilgi ve iletişim güvenlik rehberi
  • Varlık grubu ile alakalı teknoloji alanları
  • Kurumların varlık grupları

Kontrol Etme ve Önlem Alma Çalışmaları

Rehberde bulunan tedbirlerin uygulanması aşamasında rehber uygulama yol haritasına uygun şekilde ilerlenip ilerlenmediğinin kontrolleri sağlanmalıdır. Bu süreçte durum analizlerini belirleyen yol haritaları ilerleme raporlarının oluşturulmasına yardımcı olur. Raporda yol haritası ile yürütülen çalışmalar ve bunun yanında planlanan hedeflerden sapmalar ile sorun ve riskler ve alınan önlemlerle alakalı bilgiler bulunmalıdır.

Denetim

Kurum ve kuruluşların rehberde yer alan tedbirlere uyum sağlamasının ardından yılda en az 1 defa bilgi ve iletişim güvenliği denetimini iç denetim yoluyla ya da hizmet alımı ile gerçekleştirmeleri gerekir. Denetim faaliyetleri dijital dönüşüm tarafından hazırlanmalı ve bunun yanında bilgi ve iletişim güvenliği denetim rehberi esas alınarak yürütme işlemleri gerçekleştirilmelidir.

Bilgi ve iletişim güvenliği denetim rehberi, kurum ve kuruluşların bilgi ve iletişim güvenliği rehberine uyumluluklarının denetlenmesi amacıyla gerçekleştirilir. Bilgi ve iletişim güvenliği rehberinde gerçekleştirilecek herhangi bir değişiklik gereken durumlar başta olmak üzere ihtiyaçlar ve değişen şartlar göz önünde bulundurularak Denetim Rehberi DDO tarafından güncellemeler sağlanır.

Bilgi ve İletişim Güvenliği Rehberi - Kontrol Etme ve Önlem
Bilgi ve İletişim Güvenliği Rehberi – Kontrol Etme ve Önlem

Bilgi Güvenliği Yönetim Sistemi ile Bilgi ve İletişim Güvenliği Rehberi Arasındaki Etkileşim Nasıldır?

Kurumlar, yürüttükleri bilgi güvenliği yönetim sistemi süreçlerini varlık-kontrol ya da süreç-kontrol temelli yaklaşım ile ele alırlar. Bilgi Güvenliği Yönetim Sisteminde bulunan varlık ya da süreçlerin bilgi güvenliğine mevcut etkisi ve bilgi güvenliği kapsamında belirlenen risklerin gerçekleşmesi ile ilgili olasılıklar tanımlanarak risk analiz faaliyetlerinin gerçekleştirilmesi sağlanır.

Bilgi Güvenliği Yönetim Sistemi ile ilgili detaylı bilgi için www.isodanisman.com/iso-27001-bilgi-guvenligi-yonetim-sistemi/ linkinden ulaşabilirsiniz.

Risk analizi sonucunda kurum, kuruluş ve işletmeler kabul edebilecekleri risk değerlerini belirleyerek, bu değerlerin üzerindeki risklere yönelik önleyici, düzeltici ve iyileştirici faaliyetlerin gerçekleştirilmesi adına çalışmalar yapar.

Bilgi ve iletişim güvenliği rehberinde, varlık grupları oluşturularak bunların bilgi güvenliğine etkilerini belirlemek adına anket çalışmaları yapılır. Anket çalışmaları gerçekleştirilirken Delfi Metodu kullanılır. Anket çalışmalarının sonucunda elde edilen puan varlık gruplarının kritiklik derecelerini belirleme özelliğine sahiptir. Belirlenen bu kritiklik derecelerine karşılık gelen tedbirler de varlık gruplarına uygulanmalıdır. Bu nedenle BGYS’de varlık özelinde gerçekleştirilen çalışmalar, Rehberde varlık grupları üzerinde gerçekleştirilir.

Rehber, BGYS’de yer alan risk analiz faaliyetleri sonrasında uygulanacak olan kontrollere, her varlık grubu ve kritiklik derecelerinin özelinde tedbirler sunulur. Bu sayede daha güvenilir bir bilgi güvenliği sistemi kurulması sağlanır. Bunun yanında rehberde yer alan denetim soruları BGYS kapsamında gerçekleştirilir. İç tetkik faaliyetlerini destekleyen kurum, kuruluş ve işletmeler için çok daha güvenilir bir iç kontrol ortamının oluşturulması da mümkün olur.

Bir Varlığın Birden Fazla Varlık Grubuna Dahil Olması Durumunda Hangi Kritiklik Derecesi Ele Alınmalıdır?

Birden fazla varlık grubu ile alakalı olan kurumsal varlıklar kritiklik derece en yüksek olan varlık gruplarına göre değerlendirilmelidir. Dahil edildiği tüm varlık grupları ile alakalı tedbir maddelerinin varlıkla için ele alınması gerekir.

Kritik altyapı sektörlerinde faaliyet gösteren kurum ve kuruluşlar rehberde yer alan tüm tedbirleri uygulamakla yükümlüdür. Bununla birlikte ilave uygulanmak için rehberde sektör özelinde güvenlik tedbirlerine de yer verilmesi gerekir.

Genelgenin 21. Maddesinde yer alan kritik kurum ifadesi rehberde Cumhurbaşkanlığı ve milli güvenliğin sağlanması görev yürüten kamu kurumları şeklinde tanımlanmıştır. Bu tanıma uymayan kurum ve kuruluşlar 21. Madde kapsamına girmeyecektir. Daha detaylı bilgi almak adına firmamız İlter Danışmanlık ile iletişime geçebilirsiniz.

İLTER DANIŞMANLIK

Ücretsiz bilgilendirme için bizimle iletişime geçin.