Bu blogun amacı Bilgi ve İletişim Güvenliği Rehberi’nin bölümleri hakkında fazla detaya inmeden sizlere bilgi vermektir. Rehber tasnif dışı yayınlanmış olmakla beraber, rehberin kesintisiz ve tam haline https://cbddo.gov.tr/sss/bilgi-iletisim-guvenligi/ adresinden ulaşmanız mümkündür. Bu metinde geçen bilgilerin her biri Bilgi ve İletişim Güvenliği Rehberi’nin Temmuz 2020 sayısından alınmıştır. Her gün büyük bir hızla gelişen teknoloji ve sürekli değişen sosyal yaşantı dinamiklerimizin getirisi olarak güvenlik anlayışımız da büyük bir hızla evrim geçirmektedir. İnsanların günlük hayatta sürekli kullandıkları teknolojik aletler ve internetin yaygınlaşması sebebiyle her birimiz sürekli data üretmekte ve gerek sosyal gerek iş amaçlı profesyonel platformlarda kişisel verilerimizi depolamaktayız. Depolanan bu verilerin güvenliğinden ise İnvekor ailesi ve bizimle aynı rolü üstlenen diğer şirketler sorumlu tutulurken, bizler alanımızın en iyi siber güvenlik hizmetlerini sizlere sunmak için çalışıyoruz. Dijitalleşen dünyada siber güvenlik saldırıları git gide artarken, bu saldırılara karşı önlem olarak çıkartılan uluslararası alanda ISO 27001 ve Türkiye’deki karşılığı Kişisel Verilerin Korunumu Kanunu zaman zaman kafa karıştırıcı olabilmektedir. Bu sebepten ötürüdür ki 2020’nin Temmuz ayında Türkiye Cumhuriyeti Dijital Dönüşüm Ofisi, Bilgi ve İletişim Güvenliği Rehberi’nin ilk versiyonu yayınlamıştır. Rehberin ilk iki bölümü Kişisel Verilerin Korunumu Kanunu’nu özetler nitelikte olmakla beraber, ISO 27001 ile benzerliklerini de gözlemlemek de mümkündür. Rehberin geri kalan bölümlerinde ise spesifik durumlar ve bu durumların gerçekleşmemesi için alınması gereken önlemler örneklerle gösterilmiş bir şekilde okuyucuya sunulmuştur. Bu bölümleri daha detaylı inceleyecek olursak, ilk bölümde rehberin amaç ve kapsamı, rehberin içeriği ve güncelleme süreci ile beraber rehber uyum planı yer almakta.
Rehberin ana amacının kamu güvenliğini korumak ve kritik bilgilerin çalınmasını önlemek hedefiyle asgari bilgi koruması önlemlerini belirtmek olduğu yazmakta. Rehberde, bu amacı gerçekleştirmek için ise 12 tane hedef belirlenmiştir. Bu hedeflerin bir çoğu siber güvenlik önlemlerinin uygulanması ve bu önlemlerin Kişisel Verilerin Korunumu Kanunu ve ISO 27001 gibi ulusal/uluslararası standartlara uygun olması üzerinden olsa da, en dikkat çeken ve 1 numaralı hedef olarak gösterilen amaç yerli ve milli ürünlerin kullanımının teşvikidir.
Rehberin içeriği 4 farklı kategoriye ayrılmış olmakla beraber bunlar sırasıyla aşağıdaki gibidir.
Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci
Varlık Gruplarına Yönelik Güvenlik Tedbirleri
Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri
Sıkılaştırma Tedbirleri
Bu alt bölümde, rehberde yer alan tedbirlerin uygulanabilirliğini artırmak için bir rehber uygulama süreci tanımlanmıştır ve mevcut siber güvenlik önlemlerine teknik katkılarda bulunması hedeflenmiştir. Benzer şekilde, rehberde farklı varlık gruplarına yönelik asgari güvenlik tedbirleri belirtilmiş ve bunlara yönelik alınması gereken uygulama ve teknoloji alanlarının sınırları detaylandırılarak çekilmiştir.
Rehberin bu alt bölümünde kritik altyapı niteliğinde hizmet sunan şirketlerin güvenlik önlemlerini uygularken ele alması gereken uyum planı şematik bir şekilde okuyucuya sunulmuştur. Aynı şemada bahsi geçen önlemlerin alınması gereken zaman aralıklarını görmek de mümkündür.
Bu alt bölümde aynı zamanda rehberde bahsedilen güvenlik önlemlerinin uygulanıp uygulanmadığının kontrolünü yapabilmek için kullanılabilecek denetim yöntemleri de sıralanmıştır. Bu yöntemler sırasıyla mülakat, gözden geçirme, güvenlik denetimi, sızma testi ve kaynak kod analizinden oluşmaktadır.
Rehberin 2. Bölümünde rehber uygulama süreci açıklanmıştır.(…) Bölüm 3’te varlık gruplarına yönelik tedbirlere, Bölüm 4’te de uygulama ve teknoloji alanına yönelik tedbirlere yer verilmiştir. Bölüm 3, 4 ve 5’te yer alan güvenlik tedbirleri açıklanırken tedbirler gruplandırılmış ve tedbir alt başlıkları oluşturulmuştur.
-Bilgi ve İletişim Güvenliği Rehberi (Temmuz, 2020)
Yukarıdaki alıntıdan da görülebileceği üzere rehberin 2. bölümü tamamiyle rehber uygulama sürecine ayrılmıştır. Bu uygulama süreci ana hatlarıyla planlama, uygulama, kontrol etme ve önlem alma ile beraber değişiklik yönetimi şeklinde belirlenmiştir.
Planlama bölümünde kurum varlıkları rehbere uygun şekilde gruplandırılır ve bahsi geçen grupların kritiklik derecelendirilmesi yapılır. Hemen sonrasında ise gruplandırılan varlıkların kritiklik derecelerine göre uygulanması gereken güvenlik tedbirlerinin analizi ve boşluk analizi yapılarak yol haritası çizilir.
Uygulama bölümünde ise rehbere uygun şekilde çizilen yol haritasına göre faaliyete geçecek çalışmalar yürütülür.
Bu sürecin kontrol etme ve önlem alma ayağında ise rehberde yazan tedbirlerin uygunluğu ve uygulanabilirliğinin ölçümü için iç ve dış denetim yürütülür.
Değişiklik yönetimi ise rehberde olabilecek potansiyel güncellemelerden sonra, kurulan sistemin rehbere uygun bir şekilde değiştirilmesi için yapılan değişiklikleri içinde barındırır.
Bu alt bölümde yukarıdaki bilgilerin yanı sıra; bahsi geçen uygulama sürecinin işleyişi, uygulama süreci için sorumluluk atama matrisi ve SAM rollerinin açıklamasının bir örneğini gösteren tabloları açıklamaları ile beraber görmek mümkündür.
Rehbere uygun bir şekilde varlık gruplarının belirlenmesi ve uygun tedbirlerin alınması gerekmektedir. Rehberde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:
Ağ ve Sistemler
Uygulamalar
Taşınabilir Cihaz ve Ortamlar
Nesnelerin İnterneti (IoT)
Cihazları
Fiziksel Mekânlar
Personel
Rehbere uygun varlık grupları belirlenirken aşağıdaki faktörler göz önüne alınmalıdır:
Kurumsal varlıkların hangi varlık grubu ana başlığı altında yer alacağının belirlenmesi.
Tüm kurumsal varlıkların mümkün olduğunca az varlık grubunda yer almasının sağlanması.
Varlık gruplarının tanımlanması için kullanılacak alt kırılımların kurumsal ihtiyaçlar doğrultusunda belirlenmesi.
Aynı güvenlik izolasyonunda yer alan varlıkların mümkün olduğunca aynı varlık grubuna dahil edilmesi ve aynı şekilde farklı güvenlik izolasyonunda yer alan varlıkların ise mümkün olduğunca farklı varlık gruplarına dahil edilmesi.
Aynı seviyede güvenlik tedbirlerinin uygulanacağı düşünülen varlık gruplarının birleştirilerek varlık grubu sayısının azaltılması.
Her bir varlık grubu ana başlığı altında yer alan varlık gruplarının sayılarının yönetilebilecek sayıda olması.
Her bir varlık grubu için uygun güvenlik ve uygulama tedbir ana başlıkları seçilir, kritiklik seviyeleri göz önünde bulundurularak hayata geçirilir. Rehberde bu konu ile ilgili örnek bir çalışma görmek mümkündür.
Varlık gruplarının kritiklik derecesinin rehbere uygun bir şekilde belirlenmesi bahsi geçen varlık gruplarının olası bir tehlike altında olması durumunda nasıl müdahale edileceği ve bu tehlike durumlarının gerçekleşmesini önlemek için uygulanabilecek tedbirleri kararlaştırmak için gerekmektedir.
Rehberde kritiklik derecesi belirleme boyutları ikiye ayrılmaktadır. Bunlar işlenen veri ile ilgili boyutlar ve etki alanı ile ilgili boyutlar olarak ikiye ayrılmaktadır. İşlenen veri ile ilgili boyutları gizlilik, bütünlük ve erişilebilirlik olarak belirtebiliriz. Benzer şekilde etki alanı ile ilgili boyutları da bağımlı varlıklar, etkilenen kişi sayısı, kurumsal sonuçlar, sektörel etki ve toplumsal sonuçlar başlıkları altında inceleyebiliriz.
Rehberde bu boyutlar göz önünde bulundurularak düzenlenmiş bir anket formu, boyutların detaylı açıklamaları ve varlık grubu kritiklik derecesi belirleme aşamasında takip edilen adımları detaylı bir şekilde bulmak mümkündür.
Varlık gruplarının kritiklik derecelerine göre, rehbere uygun bir şekilde Bölüm 3, 4 ve 5’te belirtilen güvenlik tedbirlerinin uygulanması ve durum tespiti çalışmaları yapılmalıdır. Rehberde tanımlanan güvenlik tedbirleri üç ana başlığa ayrılmıştır.
Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:
Ağ ve Sistem Güvenliği
Uygulama ve Veri Güvenliği
Taşınabilir Cihaz ve Ortam Güvenliği
Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği
Personel Güvenliği
Fiziksel Mekânların Güvenliği
Kişisel Verilerin Güvenliği
Anlık Mesajlaşma Güvenliği
Bulut Bilişim Güvenliği
Kripto Uygulamaları Güvenliği
Kritik Altyapılar Güvenliği
Yeni Geliştirmeler ve Tedarik
İşletim Sistemi Sıkılaştırma Tedbirleri
Veri Tabanı Sıkılaştırma Tedbirleri
Sunucu Sıkılaştırma Tedbirleri
Rehberin ileriki bölümlerinde örnekleri verilmiş senaryolardaki güvenlik tehdit seviyeleri 1, 2 ve 3. seviye olarak belirtilmektedir ve bunlar sırasıyla temel, orta ve ileri seviye olarak derecelendirilmiştir. Rehberin bu alt bölümünde her bir varlık grubu kapsamında mevcut durum tespiti gerçekleştirilmesi gereken analiz çalışmasının bir örneğini adım adım görmek mümkündür.
Boşluk analizi sonucunda bulunan, potansiyel tehdit unsurları veya eksikliklerin giderilmesi için alınması gereken tedbirler rehbere göre belirlendikten sonra planlama aşamasına geçilir. Planlama aşaması boyunca yapılan her türlü eylem yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır.
Rehber uygulama yol haritası kapsamında yapılacak çalışmalar belirlenir. Çalışmalar, aşağıdaki gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:
Yetkinlik kazanımı ve eğitimler
Ürün tedariki
Hizmet alımı
Danışmanlık
Geliştirme / yeniden geliştirme
Tasarlama / yeniden tasarlama
Sıkılaştırma
Sürüm güncelleme
Dokümantasyon
Kurumsal süreç iyileştirme
Yapılacak çalışmalar belirlendikten sonra her bir çalışma ve bu çalışmalara gereken kaynakların sağlanması için yaklaşık 2-3 aylık dönemler belirlenir ve rehbere uygun bir planlama oluşturulur. Uygulama yol haritası kapsamında yapılan planları takip etmek için kullanılması gereken form(lar) rehberde sunulmuştur. Boşluk analizi sonrasında keşfedilen herhangi bir potansiyel tehdit ve onların üstesinden gelme amacı ile rehbere uygun bir şekilde hayata geçirilmesi amaçlanan tedbirleri üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı rehberde tanımlandığı şekli ile gerçekleştirilememesi durumunda telafi edici kontroller uygulayabilir. Bahsi geçen bu telafi edici kontrollerin, rehberin ekler kısmındaki bir formun yardımıyla kayıt altına alınması gerekmektedir. Siber güvenlik ve bilgi güvenliği alanlarındaki en zayıf güvenlik halkası insan faktörü olduğundan ötürü, hem güvenlik tedbirlerinin uygulanmasında hem de denetlenmesinde görev alan bireylerin sürekli bir eğitim sürecine dahil olması gerekmektedir. Yalnıza teorik bilgi yetersiz kalabileceğinden ötürü, bahsi geçen insanların pratik bilgisini de geliştirmek kurumun sorumluluğundadır. Bu kapsamda gerçekleştirilen tüm çalışmalar rehber uygulama yol haritası olarak belgelendirilmelidir.
Rehber uygulama yol haritası, dönemsel olarak belirlenen hedefler dikkate alınarak planlanan şekilde kurum personeli tarafından hayata geçirilmelidir ve yol haritasında belirlenen tedarik, hizmet alımı, yeniden tasarım vb. tüm çalışmaların gerekli kaynak ihtiyaçlarının sağlanmasına dair yapılacak çalışmalar öncelikli olmalıdır.
Yol haritasının planlanması ve uygulanması basamaklarında gerçekleştirilecek olan tüm çalışmalarda aşağıdaki temel prensipler göz önünde olmalıdır. Aşağıdaki temel prensiplerin açıklamaları rehberde yazmaktadır.
Yetkin Personel
Güvenlik Temelli Tasarım (Security by Design)
Mahremiyet Temelli Tasarım (Privacy by Design)
Derinlemesine Savunma (Defence in Depth)
Saldırı Yüzeyinin Azaltılması
Asgari Yetki Tanımlama
En Zayıf Halkanın Tespiti
Güvenlik Hedeflerinin İş Hedefiyle Uyumu
Yerli ve Milli Ürünlerin Tercih Edilmesi
Mükerrer Çalışma ve Yatırımların Önlenmesi
Bilmesi Gereken Prensibi
Rehber uygulama yol haritası çalışmalarının ilerlemelerinin takibi ve hazırlanan plandan sapmaların tespit edilerek olabildiğince önüne geçmeye çalışılmalı ve buna yönelik faaliyetler yönetilmelidir. Ayırca bahsi geçen çalışmalar yürütülürken gerçekleşebilecek potansiyel sorun ve risklerin yönetimine dair çalışmalar da bu sürece dahil olmalıdır. Dönem sonlarında yürütülen çalışmalar, plandan sapmalar, sorun ve riskler, alınan önlemler hakkında bilgiler içeren bir yol haritası raporu hazırlanmalıdır.
Rehberin uygulanmasına dair denetimler, gerekli mekanizmalar oluşturularak, yılda en az bir kere olmak üzere iç denetim yolu ile gerçekleştirilmelidir. Denetim faaliyetleri Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanan ve https://www.cbddo.gov.tr adresinde yayımlanan Bilgi ve İletişim Güvenliği Denetim Rehberi esas alınarak yürütülür.
Bu rehber sürekli değişen ihtiyaçlar ve şartların yanı sıra gelişen teknoloji göz önünde bulundurularak Ulusal Siber Güvenlik Stratejisi göz önünde bulundurularak güncellenecektir. Kurumlar bu değişiklikleri takip ederek, rehbere uygun bir şekilde uygulama yol haritasını değiştirmekle sorumludur.
Kurumun varlık grupları ile uygulama ve teknoloji alanlarında oluşabilecek değişiklikler aşağıdakilerle sınırlı olmamakla birlikte sürekli izlenmelidir.
Yeni varlık gruplarının oluşturulması
Varlık gruplarında yer alan varlıkların değişmesi
Mevcut varlık grupları yerine farklı varlık gruplarının tanımlanması
Varlık gruplarının kritiklik derecelerinin değişmesi
Varlık gruplarına uygulanacak uygulama ve teknoloji alanlarının değişmesi
Varlık gruplarını etkileyen mevzuat, standart veya ikincil düzenlemelerin değişmesi
Varlık grupları ile uygulama ve teknoloji ya da sıkılaştırma tedbirleri kapsamında gerçekleşecek bir değişiklik gerçekleştiğinde kurumsal ihtiyaçlar ve gelişmeler dikkate alınarak tekrar planlama yapılarak yol haritasının güncellenmesi gerekmektedir. Bilgi ve İletişim Güvenliği Rehberi’nin en güncel haline https://cbddo.gov.tr/sss/bilgi-iletisim-guvenligi/ sitesinden ulaşabilirsiniz. Detaylı bilgi almak için başvurabileceğiniz en güvenilir kaynak rehberin kendisidir.