Bilgi ve İletişim Güvenliği Rehberi Uyum ve Denetim Hizmetleri

2019/12 Sayılı Bilgi ve İletişim Güvenliği Tedbirlerine İlişkin Cumhurbaşkanlığı Genelgesi Sayılı Resmi Gazete'de yayımlandı. Yayınlanan Genelge doğrultusunda Cumhurbaşkanlığı DTO koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlandı ( Dijital Dönüşüm Ofisi).

Kılavuzun temel amacı; Ulusal güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına neden olabilecek kritik bilgi/verilerin güvenliğini sağlamak için bilgi güvenliği risklerini azaltmak ve ortadan kaldırmak ve asgari güvenlik önlemlerinin belirlenmesi ve belirlenen önlemlerin uygulanması için yapılacak faaliyetlerin tanımıdır, özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda.

National Keep'in sunduğu Bilgi ve İletişim Güvenliği Rehberi, uyum danışmanlığı kapsamında söz konusu rehbere uyum konusunda yapılacak çalışmaların ilki olup;

- Varlık gruplarının belirlenmesi,

- Varlık gruplarının kritiklik düzeylerinin belirlenmesi,

- Mevcut durum ve boşluk analizi,

- Rehber uygulama yol haritasının hazırlanması,

danışmanlık hizmetleri verilmektedir.

DTO Bilgi ve İletişim Güvenliği Kılavuzunda tanımlanan varlık grubunun ana başlıkları aşağıda listelenmiştir:

• Ağ ve Sistemler

• Uygulamalar

• Taşınabilir Cihazlar ve Medya

• Nesnelerin İnterneti (IoT) Cihazları

• Fiziksel Mekanlar

• Çalışan

Bilgi ve İletişim Güvenliği Rehberinin Faydaları Nelerdir?
Kamu kurumları ve özel sektör kuruluşlarında yerli ve milli ürün kullanımının teşvik edilmesi
Bilgi ve iletişim güvenliği kılavuzuna uygun olarak hak kazanacak kurum ve kuruluşlara gereksiz yatırımların yapılmasının önüne geçilmesi
Güvenlik önlemlerinin seviyelerini belirlemek ve segmentasyonlarını sağlamak. Varlık gruplarına güvenlik derecelerine göre üç seviyeli derecelendirme ve minimum güvenlik önlemleri uygulama
Kılavuza uygunluk marka ve üründen bağımsız olarak uygulanabilir.
Alınacak güvenlik önlemleri ile ilgili detaylı izleme ve ölçüm faaliyetleri sağlanabilir.
Alınacak tedbirlerin uygulanıp uygulanmadığının denetlenmesi
Kurum ve kuruluşların elindeki altyapı üzerindeki hakimiyetinin artması
Kullanılan envanterin analizi sonucunda maksimum fayda sağlayacak şekilde tasarlanabilmektedir.
Güvenlik önlemlerinin gruplandırılması ve kılavuzun modülerliğinin sağlanması
Kamu kurum ve kuruluşlarına siber güvenlik açısından bir standart getirebilmek
İhtiyaçlar, gelişen ve değişen koşullar dikkate alınarak kılavuzun sürdürülebilirliğinin sağlanması
Uygulanması halinde, kamu kurum ve kuruluşlarında ilgili personelin yetkinliğinin artırılmasını sağlamak.
Rehberin bilgi güvenliği çerçevesinde oluşturulmuş birçok ulusal/uluslararası standarttan yararlanmış olması
Bilgi ve İletişim Güvenliği İlkelerine Uygun Olarak Yapılan İşlemler

1 - Mevcut Durum ve Boşluk Analizi
• Ağ ve Sistem Güvenliği

• Uygulama ve Veri Güvenliği

• Taşınabilir Cihaz ve Medya Güvenliği

• Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği

• Personel Güvenliği

• Fiziksel Mekanların Güvenliği

2- Uygulama ve Teknoloji Güvenliği
• Kişisel Verilerin Güvenliği

• Anında Mesajlaşma Güvenliği

• Bulut Bilişim Güvenliği

• Kripto Uygulamaları Güvenliği

• Kritik Altyapı Güvenliği

• Yeni Gelişmeler ve Satın Alma

3- Sıkılaştırma Önlemleri
• İşletim Sistemi Sıkma Önlemleri

• Veritabanı Konsolidasyon Önlemleri

• Sunucu Sıkılşatırma Önlemleri

Bilgi ve İletişim Güvenliği Kılavuzu'nun 3, 4 ve 5. bölümlerinde yer alan her bir güvenlik önlemi, temel, orta ve ileri düzey olarak derecelendirilmiştir. Bilgi ve İletişim Güvenliği Rehberinde varlık grubuna uygulanacak tedbirlerin aşağıdaki sınıflandırmaya göre belirleneceği belirtilmiştir.

Seviye 1 Önlemler: Kritiklik seviyesi 1 olan varlık gruplarındaki tüm varlıklara temel seviye güvenlik önlemleri uygulanmalıdır.

Seviye 2 Önlemler: Temel seviye güvenlik tedbirlerine ek olarak, kritiklik seviyesi 2 olan varlık gruplarındaki tüm varlıklara orta seviye güvenlik tedbirleri uygulanmalıdır.

Seviye 3 Önlemler: Temel ve orta düzey güvenlik önlemlerinin yanı sıra, kritiklik düzeyi 3 olan varlık gruplarındaki tüm varlıklara ileri düzey güvenlik önlemleri uygulanmalıdır.

4- Yol Haritasının Hazırlanması
- Yetkinlik kazanımı ve eğitimler

- Ürün tedariği

- Hizmet alımı

- Danışmanlık

- Gelişim

- Tasarım

- Sıkılaştırma

- Sürüm güncellemesi

- Belgeler

- Kurumsal süreç iyileştirme

5- CYBERMATH Ürünümüz ile Raporlama ve Analiz

Tüm çalışmalar ve Uyumluluk Hizmetinin sonuçları, CYBERMATH ürünü ile analiz edilir ve puanlanır.