BİGR Uyum Ve Denetim Hizmetleri

Türkiye de kamu kurum ve kuruluşları ile kritik altyapı niteliğini barındıran ve hizmet veren kuruluşların bilgi ve iletişim güvenliği kapsamında alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823 sayılı Resmî Gazete ’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır.

Yayımlanan Genelge kapsamında Cumhurbaşkanlığı DDO (Dijital Dönüşüm Ofisi) ve TSE iş birlikteliği ile sektör temsilcisi özel şirket paydaşlarının katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır.

Rehberin Temel Amacı;

Bilgi güvenliği ve siber güvenlik risklerinin azaltılarak ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozularak büyük infiallere yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için en uygun güvenlik tedbirlerin alınması ve belirlenen tedbirlerin uygulanmasına yönelik faaliyetlerin tanımlanmasıdır.

National Keep tarafından sunulan Bilgi ve İletişim Güvenliği Rehberi uyumluluk danışmanlığı içerisinde BİGR rehberine uyum aşamasında gerçekleştirilmesi gereken çalışmalar;

  • Varlık gruplarının belirlenmesi,
  • Varlık gruplarının kritiklik derecesinin belirlenmesi,
  • Mevcut durum ve boşluk analizi,
  • Rehber uygulama yol haritasının hazırlanması,

Başlangıç seviyesindeki çalışmalardır.

Varlık Gruplarının Belirlenmesi

BİGR- Bilgi ve İletişim Güvenliği Rehberi kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanması, gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin önce gözden geçirilmesi ve sonrasında uygulanması gerekmektedir. Rehber; elektronik ortamda yer alan bilgi/verinin depolandığı, aktarıldığı, işlendiği bilgi işleme olanakları, ile bilgi işleme olanaklarını kullanan personel ve bilgi işleme olanaklarını barındıran fiziksel tüm ortamlarda bulunan varlıkları kapsamaktadır.

BİGR- Bilgi ve İletişim Güvenliği Rehberinde tanımlanan varlık grubu ana başlıkları aşağıda sıralanmıştır. Bu sıra BİGR rehberinde yer alan ana varlık grupları olup değişmemesi gerekmektedir.

• Ağ ve Sistemler

• Uygulamalar

• Taşınabilir Cihaz ve Ortamlar

• Nesnelerin İnterneti (IoT) Cihazları

• Fiziksel Mekânlar

• Personel

BİGR- Bilgi ve İletişim Güvenliği Rehberine göre varlık grupları tespit edilirken aşağıdaki konulara dikkat edilmesi gerekmektedir.

  • Tüm kurumsal varlıkların hangi varlık grubu ana başlığı altında yer alacağının belirlenmesi
  • Tüm kurumsal varlıkların mümkün olduğunca tek bir varlık grubunda yer almasının sağlanması (Birden fazla varlık grubu tarafından adreslenmesi gereken kurumsal varlıklar, kritiklik derecesi en yüksek olan varlık grubu üzerinden değerlendirilmeli ve dâhil edildiği tüm varlık grupları ile ilgili tedbir maddeleri kurumsal varlık için ele alınmalıdır.)
  • Varlık gruplarının tanımlanması için kullanılacak alt kırılımların kurumsal ihtiyaçlar doğrultusunda belirlenmesi (kurum hizmet alanları, kurum organizasyon yapısı, teknolojiler, uluslararası iyi örnekler, BT altyapıları vb.)
  • Aynı güvenlik izolasyonunda yer alan varlıkların mümkün olduğunca aynı varlık grubuna dâhil edilmesi
  • Farklı güvenlik seviyesine sahip olması gereken varlıkların farklı varlık gruplarında olacak şekilde gruplandırılması
  • Aynı seviyede güvenlik tedbirlerinin uygulanacağı düşünülen varlık gruplarının birleştirilerek varlık grubu sayısının azaltılması
  • Her bir varlık grubu ana başlığı altında yer alan varlık gruplarının sayılarının yönetilebilecek sayıda olması.
  • Tanımlanan her bir varlık grubu için ilişkili uygulama ve teknoloji alanına yönelik güvenlik tedbiri ana başlıkları seçilmelidir. Uygulama ve teknoloji alanı ana başlıkları altındaki tedbirler için ilgili varlık grubuna atanan kritiklik derecesi göz önünde bulundurulmalıdır.

Varlık Grubu Kritiklik Derecesinin Belirlenmesi

Varlık gruplarının tespit edilmesinin ardından bu varlık gruplarının hangi kritiklik derecesine sahip olduğu belirlenmesi büyük önem taşımaktadır. Her bir varlık grubunun kritiklik derecesi, işlenen verinin gizlilik, bütünlük ve erişilebilirlik açısından kritikliği ile oluşabilecek güvenlik ihlallerinin etkisi dikkate alınarak belirlenecektir. National Keep varlık grubu kritikliklerinin belirlenmesi için bilgi birikimi ile gerekli eğitim, koordinasyon ve örnek çalışmalarla gerekli çalışmaları gerçekleştirecektir. Kurumunuz sadece denetim hizmeti alacaksa uyum çalışmasının içeriğini net olarak belirlemesi gerekmektedir. Buna göre;

Kritiklik derecesi belirleme boyutları aşağıda özetlenmiştir:

İşlenen veri ile ilgili boyutlar

Gizlilik            : Bilginin yetkisiz kişilerin erişimine karşı korunması

Bütünlük        : Bilginin tam ve doğru olma durumunun korunması

Erişilebilirlik    : Bilginin yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olması

  Etki alanı ile ilgili boyutlar

Bağımlı Varlıklar        : Varlık grubuna bağımlı olan diğer varlıklar üzerindeki etkisi

Etkilenen Kişi Sayısı    : Bilgi güvenliği ihlal olayı olduğunda etkilenebilecek kişi sayısı

Kurumsal Sonuçlar     : Bilgi güvenliği ihlal olayı olduğunda karşılaşılacak durum

Sektörel Etki             : Varlık grubunun hizmet verdiği sektöre etkisi

Toplumsal Sonuçlar    : Bilgi güvenliği ihlalinde olduğunda olabilecek toplumsal durum

Bu boyutları dikkate alınarak gerçekleştireceğimiz analizde DDO Bilgi ve İletişim Güvenliği Rehberinde sunulan EK-C.1 formu kullanılır. Her bir varlık grubu için bu anket formu doldurularak ilgili varlık grubunun kritiklik derecesi belirlenir. “Varlık Grubu Kritiklik Derecelendirme Anketi” olarak tanımlanan anket her bir varlık grubu özelinde rehber uyumluluk denetimi kapsamında kontrol edilir. İlgili varlık grubu için uygulanması gereken tedbir maddeleri, varlık grubu için belirlenmiş olan kritiklik derecesi göz önünde bulundurularak belirlenmelidir.

Her varlık grubu için doldurulan anket sorularının cevapları için anket formunda yer alan puanlar toplanarak anket puanı hesaplanır. Aşağıda iletilen tablo kullanılarak anket puanına karşılık gelen kritiklik derecesi belirlenir. Belirlenen derece, varlık grubunun kritiklik derecesi olarak kullanılır.

  • Anket puanı 18’den küçük ise Derece 1
  • Anket puanı 18 (dâhil) ile 28 arasında ise Derece 2
  • Anket puanı 28 ve daha yüksek ise Derece 3

Varlık grubu içinde yer alan tüm varlıklara aynı güvenlik tedbirlerinin uygulanacağı dikkate alınarak anket sonuçları tekrar değerlendirilir. Gerekli görülmesi durumunda varlık grupları güncellenerek anket çalışmaları tekrarlanır.

Kritiklik derecesi tanımlanan her bir varlık grubu için kritiklik dereceleri ile uygulama ve teknoloji alanlarına yönelik güvenlik tedbirlerinin uygulanma durumlarının kayıt altına alındığı Bilgi ve İletişim Güvenliği Rehberinde tanımlanan EK-C.2’de yer alan form doldurulur.

Mevcut Durum ve Boşluk Analizi

Varlık gruplarının kritiklik dereceleri dikkate alınarak DDO Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5’te yer alan güvenlik tedbirlerinin hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut durumun tespiti için detaylı çalışma yapılmalıdır. Bilgi ve İletişim Güvenliği Rehberinde tanımlanan güvenlik tedbirleri aşağıda yer alan üç ana başlık altında sınıflandırılmıştır. National Keep mevcut durum analizi için gerekli çalışmaları aktaracak, örnek gerçekleştirecek ve kalan çalışmalar kurumunuzdan beklenecektir.

Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:

• Ağ ve Sistem Güvenliği

• Uygulama ve Veri Güvenliği

• Taşınabilir Cihaz ve Ortam Güvenliği

• Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği

• Personel Güvenliği

• Fiziksel Mekânların Güvenliği

Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları:

• Kişisel Verilerin Güvenliği

• Anlık Mesajlaşma Güvenliği

• Bulut Bilişim Güvenliği

• Kripto Uygulamaları Güvenliği

• Kritik Altyapılar Güvenliği

• Yeni Geliştirmeler ve Tedarik

Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları:

• İşletim Sistemi Sıkılaştırma Tedbirleri

• Veri Tabanı Sıkılaştırma Tedbirleri

• Sunucu Sıkılaştırma Tedbirleri

Bilgi ve İletişim Güvenliği Rehberi bölüm 3, 4 ve 5 ana başlıklarının altında yer alan her bir güvenlik tedbiri temel, orta ve ileri seviye olarak derecelendirilmektedir. Varlık grubuna uygulanacak tedbirlerin aşağıdaki sınıflandırmaya göre belirleneceği Bilgi ve İletişim Güvenliği Rehberinde belirtilmiştir.

1. Seviye Tedbirler: Kritiklik derecesi 1 olan varlık gruplarında yer alan tüm varlıklara temel seviye güvenlik tedbirleri uygulanmalıdır.

2. Seviye Tedbirler: Kritiklik derecesi 2 olan varlık gruplarında yer alan tüm varlıklara temel seviye güvenlik tedbirlerine ek olarak orta seviye güvenlik tedbirleri uygulanmalıdır.

3. Seviye Tedbirler: Kritiklik derecesi 3 olan varlık gruplarında yer alan tüm varlıklara temel ve orta seviye güvenlik tedbirlerine ek olarak ileri seviye güvenlik tedbirleri uygulanmalıdır.

Her bir varlık grubu kapsamında mevcut durum tespiti için analiz çalışmaları gerçekleştirilmelidir. Bu kapsamda aşağıdaki adımların takip edilmesi gereklidir:

• Her bir varlık grubu için öncelikle Bölüm 3’ten ilgili güvenlik tedbirleri ana başlığı seçilir. Seçilen başlıkta yer alan tedbirlerden varlık grubunun kritiklik derecesine uygun olan tedbirler belirlenir.

• Her varlık grubunda yer alan varlıklar dikkate alınarak Bölüm 4 ve 5’te yer alan güvenlik tedbiri ana başlıkları seçilir. Seçilen başlıklarda yer alan tedbirlerden, varlık grubunun kritiklik derecesine uygun olan tedbirler belirlenir.

Varlık grupları için belirlenen tüm tedbirler ile ilgili mevcut durum analiz edilir ve varlık grubu mevcut durum analiz raporu hazırlanır. Mevcut durum analizi çalışmaları kapsamında teknik çalışma, toplantı, otomatik araç ile durum tespiti, dokümantasyon inceleme vb. faaliyetler gerçekleştirilebilir. Varlık grubuna bir tedbirin uygulanıp uygulanmadığı tespit edilirken öncelikle aşağıdaki sınıflandırmaya göre uygulama durumuna karar verilir ve mevcut durum ile ilgili açıklayıcı bilgi yazılır.

  • Tedbir varlık grubunda yer alan tüm varlıklara uygulanmakta ise “tamamen”
  • Tedbir varlık grubunda yer alan varlıkların çoğuna uygulanmakta fakat bazı varlıklara kısmen uygulanmakta veya henüz uygulanmamakta ise “çoğunlukla”
  • Tedbir varlık grubunda yer alan bir kısım varlığa uygulanmakta veya tedbir kısmen uygulanmakta ise “kısmen”
  • Tedbir hiç uygulanmamakta ise “hiç”
  • Tedbirin teknik olarak uygulanma ihtimali bulunmuyorsa “uygulanamaz”
  • Her bir varlık grubu için yapılan değerlendirmelerin Bilgi ve İletişim Güvenliği Rehberinde bulunan EK-C.3’te yer alan form ile kayıt altına alınması gereklidir.

Rehber Uygulama Yol Haritasının Hazırlanması

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler dikkate alınır. National Keep uygulama yol haritasının hazırlanması için gerekli koordinasyon, eğitim, örnek çalışma ve verilerin kontrolünü gerçekleştirecektir. Verilen danışmanlık hizmeti kapsamında kurumunuzun uygulama yol haritası için gerekli verileri hazırlaması gereklidir.

Rehber uygulama yol haritası kapsamında yapılacak çalışmalar belirlenir. Çalışmalar, aşağıdaki gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:

  • Yetkinlik kazanımı ve eğitimler
  • Ürün tedariki
  • Hizmet alımı
  • Danışmanlık
  • Geliştirme / yeniden geliştirme
  • Tasarlama / yeniden tasarlama
  • Sıkılaştırma
  • Sürüm güncelleme
  • Dokümantasyon
  • Kurumsal süreç iyileştirme

Yapılacak çalışmalar belirlendikten sonra her çalışma için 2-3 aylık dönemler halinde hedefler belirlenmeli ve gerekli kaynakların tahsisi (personel, bütçe, fiziksel ortam vb.) için planlama yapılmalıdır. Uygulama yol haritası kapsamında yapılan planlamalar Bilgi ve İletişim Güvenliği Rehberi EK-C.4’te yer alan form ile kayıt altına alınmalıdır.

Kurum, boşluk analizi sonucunda uygulanması gereken ilave tedbirler kapsamındaki herhangi bir gereksinimi; üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı rehberde tanımlandığı şekli ile karşılayamaması durumunda telafi edici kontroller uygulayabilir. Telafi edici kontroller, yerine uygulandıkları tedbir maddeleri ile aynı amaç ve etkiye sahip olmaları durumunda kullanılabilir olarak kabul edilecektir. Uygulanmasına karar verilen her bir telafi edici kontrol Bilgi ve İletişim Güvenliği Rehberi EK-C.5’te yer alan form ile kayıt altına alınmalıdır.

Bilgi güvenliğinde en zayıf halkanın insan faktörü olduğu göz önünde bulundurulduğunda hem güvenlik tedbirlerinin uygulanmasında hem de uygulanan güvenlik tedbirlerinin denetlenmesinde görev alacak kurum personelinin belirli bir yetkinliğe sahip olması önem arz etmektedir. Bu çerçevede, bilgi güvenliği ile ilgili eğitimler kaynaklar dâhilinde planlanmalı ve personelin gelişimi hakkında ışık tutacak ölçüm mekanizmaları hayata geçirilmelidir. Eğitimlerin sadece teorik bilgi vermekten ziyade, personelin ilgili alanda pratik becerisini arttıracak uygulamaları içermesi önemlidir. Bu kapsamda planlanacak eğitimlerde, laboratuvar ortamının bulunması ve bu ortamda katılımcıların öğrendikleri bilgiyi beceriye dönüştürmesi sağlanmalıdır.

Rehberin uygulanması için yürütülecek çalışmalara dâhil olacak personele yetkinlik kazandırmak amacıyla rehberde bulunan uygulama adımları ve denetim tablolarının nasıl ele alınacağıyla ilgili olarak çeşitli uygulama çalıştaylarının düzenlenmesi veya bu kapsamda gerçekleştirilecek çalışmalara katılım sağlanması gerekmektedir. Bu kapsamda gerçekleştirilen tüm çalışmalar rehber uygulama yol haritası olarak dokümante edilecektir.