19Temmuz2019

KAMUDA BİLGİ GÜVENLİĞİNE İLİŞKİN YENİ GELİŞMELER

KAMUDA BİLGİ GÜVENLİĞİNE İLİŞKİN YENİ GELİŞMELER

Kamu Kurum ve Kuruluşlarında Bilgi Güvenliğine İlişkin Genelge Resmî Gazetede Yayımlandı

6 Temmuz 2019 tarihli 30823 sayılı Resmî Gazetede kamu düzeni ve milli güvenliğe etki edebilecek verilerin güvenliğinin sağlanması amacıyla bir dizi tedbirin yer aldığı 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi yayımlandı. 21 maddeden oluşan Genelge, içeriğindeki birçok madde ile merak uyandırmaktadır. İlgili yayım ile öne çıkan konuları aşağıdaki başlıklar altında sınıflandırabiliriz.

SAKLAMA

Kritik veriler yurtiçinde, fiziksel güvenliği sağlanmış güvenli ağlar üzerinde, değiştirilmeye karşı Log kayıtları ile önlem alınarak depolanacak ve saklanacaktır. Ayrıca bu saklama işlemleri için kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetleri kullanılmayacaktır.

ŞİFRELEME

Yerli ve milli şifreleme sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır. Ülkemizde bulunacak ve Kurum’un kontrolünde bulundurulacak olan sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır. Kritik veri iletişiminde radyolink kullanımının zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak şifrelenecektir.

KULLANILACAK SİSTEMLER

Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar ve sosyal medya üzerinden gizlilik dereceli veri paylaşımı veya haberleşme yapılmayacaktır. Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir. Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik veya kullanıcıların bilgisi/izni olmadan sistemlere erişim imkânı sağlayan güvenlik zafiyeti içermediğine dair üçüncü taraflardan imkanlar ölçüsünde taahhütname alınacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanım veya yazılım açısından şifrelenmek suretiyle kurum dışına çıkarılacak ve bu amaçla kullanılan cihazlar kayıt altına alınacaktır. Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları ülkemizde ve kurumun kontrolünde bulundurulacaktır. Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak ve kurumsal e-postalar şahsi amaçlar ile kullanılmayacaktır. İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayarak, fiber optik kablolar üzerinden taşınacaktır.

CİHAZLAR

Kritik verilerin bulunduğu veya görüşmelerin gerçekleştirildiği çalışma ortamlarında mobil ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır. Gizlilik dereceli veya kurumsal mahremiyet içeren veriler kurumsal olarak yetkilendirilmemiş, kişisel olarak kullanılan cihazlarda bulundurulmayacaktır. Ayrıca kişisel olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar kurum sistemlerine bağlanmayacaktır.

DİĞER TEDBİRLER

Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) uygulanacak, güvenli yazılım geliştirme ile ilgili tedbirler alınarak, temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilecektir. Kurum ve kuruluşlar siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacak ve erişim yetkilendirmeleri fiilen yürütülen işler ve ihtiyaçlar dikkate alınarak yapılacaktır.

Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları gibi gerekli güvenlik önlemleri alınacaktır. Milli güvenliği doğrudan etkileyen kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak personel hakkında güvenlik soruşturması veya arşiv araştırması yapılacaktır. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi liderliğinde ilgili kamu kurum ve kuruluşlarının katkılarıyla güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, "Bilgi ve İletişim Güvenliği Rehberi” hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacak olan rehber, gelişen teknoloji ile de güncellenecek ve ilgili kamu kuruluşlarının rehberdeki hususlara uyumlu olması beklenecektir. Ayrıca Milli güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir.

Konu hakkında Resmî Gazetede yayımlanan Genelge’ye buradan ulaşabilirsiniz.

Written by Kübra Özkahraman, Posted in Kişisel Verilerin Korunması Kanunu

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlıdır. Bu duyuru CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® Üye Ağı Şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup; bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz. Her bir somut olaya ilişkin olarak her koşulda, özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir.

    Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

About the Author

Kübra Özkahraman

Quality Assurance & Training Responsible
Bu web sitesi çerez kullanıyor.
Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.
x