Bilgi ve İletişim Güvenliği Rehberi

Bilgi ve İletişim Güvenliği Rehberi

6 Temmuz 2020’de Resmî Gazete ’de Cumhurbaşkanı imzalı “Bilgi ve İletişim Güvenliği Tedbirleri” konulu genelge yayımlanmıştır. Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kalınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren genelge, yasal düzenleme boyutunda ülke çapında bilgi güvenliği seviyesini artırmaya yönelik önemli bir adım olmuştur. Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde bulunan mevcut ve yeni kurulacak bilgi sistemlerinde rehberde yer verilen tedbirlere uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak rehberde yer alan plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir.

Rehberin Amacı Nedir?

Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır. Rehber, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır. Rehberin uygulanması sonucu elde edilmesi beklenenler somutlaştırılarak 12 hedef tanımlanmıştır.

Bilgi ve İletişim Güvenliği Rehberi İle ISO 27001 Arasındaki İlişki

Rehberin Temel Amacı: Bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması özellikle gizliliği ve bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Amacı: Kurumun en değerli varlığı olan bilginin kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir.

Bilgi ve iletişim Güvenliği Rehberi ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamında birçok benzerlik ve ilişki bulunmaktadır.

Bilgi Güvenliğinin ve Dijital Dönüşümün temel hedefi:

1. Bilgi güvenliği alanında temel riskleri azaltma, ortadan kaldırma,

2. Gizliliği, bütünlüğü ve erişebilirliği bozulduğunda milli güvenliği tehdit edebilecek kamu düzeninin bozulmasına yol açabilecek kritik/bilgi veri güvenliğinin sağlanması için asgari güvenlik şartlarının belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır. Ayrıca belirtilen amaç ve hedeflerde içerisinde bilgi güvenliği maddelerine de atıf yapılmış ve bilgi güvenliği yönetim sistemi standartlarında geçen EK-A maddeleri içerisinde yapılması gerekenler belirtilmiştir. Bu yüzden; Bilgi ve İletişim Güvenliği Rehberine Uyum Uluslararası en büyük sertifika olan ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulumundan geçmektedir.

Bilgi ve iletişim Güvenliği Rehberi s.12’de rehberin içeriğinin iyi anlaşılması ve içeriğinin oluşturabilmesi için amaç ve hedefler doğrultusunda, ulusal/uluslararası standartlar ve rehberler iyi uygulama örnekleri ile güncel mevzuat göz önünde bulundurarak oluşturduğunu yine rehberde sayfa 12’de kurumlar rehber uygulama süreci ile faaliyetleri mevcut ISO 27001 Bilgi Güvenliği Yönetim Sistemi uyarlama yaparak çalışmalarını yürütmelidir.

T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin yayınlamış olduğu videoda: 2023 yılı için endişe duyulan siber saldırılar arasında fidye yazılımı ve veri ihlalleri başı çekiyor. Bu durum ISO 27001 standardına ve KVKK’ ya uyumun önemini bir kez daha ortaya koyuyor.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kurulması, yönetilmesi ve uluslararası sertifikaya sahip olunması ile birlikte Bilgi ve İletişim Güvenliği Rehberine, KVKK Teknik süreçlerin yürütülmesine olanak sağlamaktadır.

Optimum Siber Güvenlik olarak firmalarımıza ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulmasından, uluslararası standart denetimlerine girilmesine, farkındalık eğitimlerinden kişisel verilerin idari ve hukuksal teknik çalışmaların yürütülmesi ile birlikte bilgi ve iletişim güvenliğinin sağlanmasına kadar detaylı raporlama yaparak süreçleri yürütmekteyiz.