Cumhurbaşkanı Erdoğan’ın imzasıyla Resmi Gazete’de yayımlanan genelgede, bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi idare sistemlerinin yaygın olarak kullanılmasının önemli güvenlik risklerini beraberinde getirdiği belirtildi.
Bu kapsamda karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve bilhassa kapalılığı, bütünlüğü yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek yahut kamu sisteminin bozulmasına yol açabilecek kritik cinsteki bilgilerin güvenliğinin sağlanması hedefiyle alınacak önlemler belirlendi.
Genelgeye nazaran, 21 husustan oluşan önlemler şöyle:
“Nüfus, sıhhat ve bağlantı kayıt bilgileri ile genetik ve biyometrik datalar üzere kritik bilgi ve bilgiler, yurt içinde inançlı bir biçimde depolanacak.
Kamu kurum ve kuruluşlarında yer alan kritik bilgiler, internete kapalı ve fizikî güvenliği sağlanmış bir ortamda bulunan inançlı bir ağda tutulacak. Bu ağda kullanılacak aygıtlara erişim denetimli olarak sağlanacak ve log kayıtları değiştirilmeye karşı tedbir alınarak saklanacak.
KAMU BİLGİLERİ BULUTTA SAKLANMAYACAK
Kamu kurum ve kuruluşlarına ilişkin bilgiler, kurumların kendi özel sistemleri yahut kurum denetimindeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacak.
Mevzuatta kodlu yahut kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli taşınabilir uygulamalar hariç olmak üzere, taşınabilir uygulamalar ve toplumsal medya üzerinden kapalılık dereceli data paylaşımı ve haberleşme yapılmayacak. Toplumsal medya ve haberleşme uygulamalarına ilişkin yerli uygulamaların kullanımı tercih edilecek.
Kamu kurum ve kuruluşlarınca kapalılık dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) yahut gibisi güvenlik tedbirleri alınacak. Kritik bilgi, doküman ve dokümanların bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında, ortamlarında taşınabilir aygıtlar ve data transferi özelliğine sahip aygıtlar bulundurulmayacak. Saklılık dereceli yahut kurumsal mahremiyet içeren bilgi, doküman ve evraklar kurumsal olarak yetkilendirilmemiş yahut ferdî olarak kullanılan dizüstü bilgisayar, taşınabilir aygıt, harici bellek ve gibisi aygıtlar da bulundurulmayacak.
YERLİ VE ULUSAL KRİPTO SİSTEMLERİ TEŞVİK EDİLECEK
Kişisel olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan dizüstü bilgisayar, taşınabilir aygıtlar, harici bellek/disk, CD/DVD ve gibisi taşınabilir aygıtların, kurum sistemlerine bağlanmayacağının da belirtildiği genelgeye nazaran, kapalılık dereceli dataların saklandığı aygıtlar lakin içerisinde yer alan bilgiler donanımsal yahut yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek. Bu maksatla kullanılan aygıtlar da kayıt altına alınacak.
Ayrıca, yerli ve ulusal kripto sistemlerinin geliştirilmesi teşvik edilerek kurumlara ilişkin kapalılık dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacak.
Kamu kurum ve kuruluşlarınca temin edilecek yazılım yahut donanımların kullanım emeline uygun olmayan bir özellik ve art kapı (kullanıcıların bilgisi, müsaadesi olmaksızın sistemlere erişim imkanı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici yahut tedarikçilerden imkanlar ölçüsünde taahhütname alınacak.
Yazılımların inançlı olarak geliştirilmesi ile ilgili önlemler alınacak. Temin edilen yahut geliştirilen yazılımlar kullanılmadan evvel güvenlik testlerinden geçirilerek kullanılacak. Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli önlemleri alacak. Üst seviye yöneticiler de dahil olmak üzere, çalışanın sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve gereksinimler nazara alınarak yapılması sağlanacak.
KAMU E-POSTA SİSTEMLERİNİN AYARLARI İNANÇLI OLACAK BİÇİMDE YAPILANDIRILACAK
Endüstriyel denetim sistemlerinin internete kapalı pozisyonda tutulması sağlanacak. Bu sistemlerin internete açık olmasının zarurî olduğu durumlarda ise güvenlik duvarı, uçtan uca tünelleme sistemleri, yetkilendirme ve kimliklendirme düzenekleri üzere gerekli güvenlik tedbirleri alınacak.
Milli güvenliği direkt etkileyen stratejik kıymeti haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde misyon alacak kritik ehemmiyeti haiz işçi hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması yahut arşiv araştırması yaptırılacak.
Kamu e-posta sistemlerinin ayarları inançlı olacak biçimde yapılandırılacak, e-posta sunucuları, Türkiye’de ve kurumun denetiminde bulundurulacak. Sunucular ortasındaki bağlantının ise şifreli olarak yapılması sağlanacak.
Kurumsal olmayan şahsi e-posta adreslerinden kurumsal irtibat yapılmayacak, kurumsal e-postalar, özel irtibat, ferdî toplumsal medya hesapları ve gibisi şahsi maksatlarla kullanılmayacak.
Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler, Türkiye’de internet değişim noktası kurmakla yükümlü olacak. Yurt içinde değiştirilmesi gereken yurt içi irtibat trafiğinin yurt dışına çıkarılmamasına yönelik de önlemler alınacak.
İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki bilgiler ise radyolink ve gibisi usullerle taşınmayacak, fiber optik kablolar üzerinden taşınacak. Kritik bilgi bağlantısında, radyolink haberleşmesi kullanılmayacak lakin kullanımın zarurî olduğu durumlarda ise datalar ulusal kripto sistemlerine sahip aygıtlar kullanılarak kriptolanacak.
“BİLGİ VE BAĞLANTI GÜVENLİĞİ REHBERİ” HAZIRLANACAK
Öte yandan, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı uyumunda, ilgili kamu kurum ve kuruluşlarının katkılarıyla güvenlik risklerinin azaltılması, etkisiz kılınması ve bilhassa kapalılığı, bütünlüğü yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek yahut kamu nizamının bozulmasına yol açabilecek kritik tıptaki dataların güvenliğinin sağlanması hedefiyle, “Bilgi ve Bağlantı Güvenliği Rehberi” hazırlanacak.
Ulusal ve memleketler arası standartlar ve bilgi güvenliği kriterleri çerçevesinde hazırlanacak rehber, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik düzeylerini içerecek.
“www.cbddo.gov.tr” adresinde yayımlanacak rehber, muhtaçlıklar, gelişen teknoloji, değişen koşullar ile Ulusal Siber Güvenlik Stratejisi ve hareket planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecek.
Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerin de yeni kurulacak bilgi sistemlerinde, rehberde yer verilen tarz ve temellere uyulması zarurî olacak.
Mevcut bilgi teknolojisi altyapıları, güvenlik düzeyi öncelikleri dikkate alınarak, yayımlanmasını müteakip rehberde yer alacak plan çerçevesinde, kademeli olarak bu asıllara uyumlu hale getirilecek. Ahenk çalışmalarında ve yeni kurulacak bilgi sistemlerinde, belirtilen adreste yayımlanan aktüel sürüm dikkate alınacak.
Milli güvenliğin sağlanması ve kapalılığın korunması kapsamında yürütülen misyon ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, rehberin uygulanmasına ait kontrol düzeneklerini oluşturacak ve yılda en az bir kere uygulamayı denetleyecek. Kontrol sonuçları ile yapılan düzeltici ve önleyici faaliyetler, rehberde belirtilen yol ve asıllara nazaran bir rapor halinde Dijital Dönüşüm Ofisine iletilecek.
haberturk.com
Erdoğan’dan “Bilgi ve Bağlantı Güvenliği Tedbirleri” genelgesi