Cumhurbaşkanı Erdoğan’ın imzasıyla Resmi Gazete’de yayımlanan genelgede, bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi idare sistemlerinin yaygın olarak kullanılmasının önemli güvenlik risklerini beraberinde getirdiği belirtildi.
Bu kapsamda karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve bilhassa kapalılığı, bütünlüğü yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek yahut kamu sisteminin bozulmasına yol açabilecek kritik cinsteki bilgilerin güvenliğinin sağlanması emeliyle alınacak önlemler belirlendi.
Genelgeye nazaran, 21 unsurdan oluşan önlemler şöyle:
“Nüfus, sıhhat ve irtibat kayıt bilgileri ile genetik ve biyometrik bilgiler üzere kritik bilgi ve datalar, yurt içinde inançlı bir biçimde depolanacak.
Kamu kurum ve kuruluşlarında yer alan kritik bilgiler, internete kapalı ve fizikî güvenliği sağlanmış bir ortamda bulunan inançlı bir ağda tutulacak. Bu ağda kullanılacak aygıtlara erişim denetimli olarak sağlanacak ve log kayıtları değiştirilmeye karşı tedbir alınarak saklanacak.
KAMU BİLGİLERİ BULUTTA SAKLANMAYACAK
Kamu kurum ve kuruluşlarına ilişkin bilgiler, kurumların kendi özel sistemleri yahut kurum denetimindeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacak.
Mevzuatta kodlu yahut kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli taşınabilir uygulamalar hariç olmak üzere, taşınabilir uygulamalar ve toplumsal medya üzerinden kapalılık dereceli data paylaşımı ve haberleşme yapılmayacak. Toplumsal medya ve haberleşme uygulamalarına ilişkin yerli uygulamaların kullanımı tercih edilecek.
Kamu kurum ve kuruluşlarınca kapalılık dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) yahut gibisi güvenlik tedbirleri alınacak. Kritik bilgi, doküman ve dokümanların bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında, ortamlarında taşınabilir aygıtlar ve data transferi özelliğine sahip aygıtlar bulundurulmayacak. Saklılık dereceli yahut kurumsal mahremiyet içeren bilgi, doküman ve evraklar kurumsal olarak yetkilendirilmemiş yahut ferdî olarak kullanılan dizüstü bilgisayar, taşınabilir aygıt, harici bellek ve gibisi aygıtlar da bulundurulmayacak.
YERLİ VE ULUSAL KRİPTO SİSTEMLERİ TEŞVİK EDİLECEK
Kişisel olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan dizüstü bilgisayar, taşınabilir aygıtlar, harici bellek/disk, CD/DVD ve gibisi taşınabilir aygıtların, kurum sistemlerine bağlanmayacağının da belirtildiği genelgeye nazaran, saklılık dereceli bilgilerin saklandığı aygıtlar fakat içerisinde yer alan datalar donanımsal yahut yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek. Bu gayeyle kullanılan aygıtlar da kayıt altına alınacak.
Ayrıca, yerli ve ulusal kripto sistemlerinin geliştirilmesi teşvik edilerek kurumlara ilişkin zımnilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacak.
Kamu kurum ve kuruluşlarınca temin edilecek yazılım yahut donanımların kullanım maksadına uygun olmayan bir özellik ve art kapı (kullanıcıların bilgisi, müsaadesi olmaksızın sistemlere erişim imkanı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici yahut tedarikçilerden imkanlar ölçüsünde taahhütname alınacak.
Yazılımların inançlı olarak geliştirilmesi ile ilgili önlemler alınacak. Temin edilen yahut geliştirilen yazılımlar kullanılmadan evvel güvenlik testlerinden geçirilerek kullanılacak. Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli önlemleri alacak. Üst seviye yöneticiler de dahil olmak üzere, çalışanın sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve gereksinimler nazara alınarak yapılması sağlanacak.
KAMU E-POSTA SİSTEMLERİNİN AYARLARI İNANÇLI OLACAK BİÇİMDE YAPILANDIRILACAK
Endüstriyel denetim sistemlerinin internete kapalı pozisyonda tutulması sağlanacak. Bu sistemlerin internete açık olmasının zarurî olduğu durumlarda ise güvenlik duvarı, uçtan uca tünelleme yolları, yetkilendirme ve kimliklendirme sistemleri üzere gerekli güvenlik tedbirleri alınacak.
Milli güvenliği direkt etkileyen stratejik kıymeti haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde vazife alacak kritik değeri haiz işçi hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması yahut arşiv araştırması yaptırılacak.
Kamu e-posta sistemlerinin ayarları inançlı olacak biçimde yapılandırılacak, e-posta sunucuları, Türkiye’de ve kurumun denetiminde bulundurulacak. Sunucular ortasındaki bağlantının ise şifreli olarak yapılması sağlanacak.
Kurumsal olmayan şahsi e-posta adreslerinden kurumsal bağlantı yapılmayacak, kurumsal e-postalar, özel irtibat, şahsî toplumsal medya hesapları ve gibisi şahsi hedeflerle kullanılmayacak.
Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler, Türkiye’de internet değişim noktası kurmakla yükümlü olacak. Yurt içinde değiştirilmesi gereken yurt içi bağlantı trafiğinin yurt dışına çıkarılmamasına yönelik de önlemler alınacak.
İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki datalar ise radyolink ve gibisi tekniklerle taşınmayacak, fiber optik kablolar üzerinden taşınacak. Kritik bilgi irtibatında, radyolink haberleşmesi kullanılmayacak lakin kullanımın mecburî olduğu durumlarda ise datalar ulusal kripto sistemlerine sahip aygıtlar kullanılarak kriptolanacak.
“BİLGİ VE BAĞLANTI GÜVENLİĞİ REHBERİ” HAZIRLANACAK
Öte yandan, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı uyumunda, ilgili kamu kurum ve kuruluşlarının katkılarıyla güvenlik risklerinin azaltılması, etkisiz kılınması ve bilhassa kapalılığı, bütünlüğü yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek yahut kamu sisteminin bozulmasına yol açabilecek kritik çeşitteki bilgilerin güvenliğinin sağlanması hedefiyle, “Bilgi ve İrtibat Güvenliği Rehberi” hazırlanacak.
Ulusal ve memleketler arası standartlar ve bilgi güvenliği kriterleri çerçevesinde hazırlanacak rehber, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik düzeylerini içerecek.
“www.cbddo.gov.tr” adresinde yayımlanacak rehber, gereksinimler, gelişen teknoloji, değişen kaideler ile Ulusal Siber Güvenlik Stratejisi ve hareket planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecek.
Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerin de yeni kurulacak bilgi sistemlerinde, rehberde yer verilen tarz ve temellere uyulması zarurî olacak.
Mevcut bilgi teknolojisi altyapıları, güvenlik düzeyi öncelikleri dikkate alınarak, yayımlanmasını müteakip rehberde yer alacak plan çerçevesinde, kademeli olarak bu asıllara uyumlu hale getirilecek. Ahenk çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan yeni sürüm dikkate alınacak.
Milli güvenliğin sağlanması ve saklılığın korunması kapsamında yürütülen vazife ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, rehberin uygulanmasına ait kontrol sistemlerini oluşturacak ve yılda en az bir kere uygulamayı denetleyecek. Kontrol sonuçları ile yapılan düzeltici ve önleyici faaliyetler, rehberde belirtilen yol ve temellere nazaran bir rapor halinde Dijital Dönüşüm Ofisine iletilecek.
haberturk.com
Erdoğan’dan “Bilgi ve Bağlantı Güvenliği Tedbirleri” genelgesi
