Bilindiği gibi T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (DDO) tarafından 6 Temmuz 2019 tarihinde yayımlanarak yürürlüğe giren Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi uyarınca, kamu kurumları ve kritik altyapı hizmeti veren işletmeler veri güvenliğinin sağlanması amacıyla belirli güvenlik tedbirlerini uygulamakla yükümlü kılınmıştır. Tebliği takiben 10 Temmuz 2020 de Bilgi ve İletişim Güvenliği Rehberi yayınlanmış ve son olarak bu rehbere göre yapılacak denetimler için 27 Ekim 2021 tarihinde Bilgi ve İletişim Güvenliği Denetim Rehberi yayınlanmıştır. Öncelikli olarak Kurum içi personel ve İç Denetim Birimlerinden sağlanmak kaydı ile Kurumların yılda en az bir kez olacak şekilde denetimi yerine getirmesi ve sonuçların DDO’ya gönderilmesi gerekiyor.

Denetim Ekibi Kimlerden Oluşmalı

Denetim ekibi öncelikle kurum içi insan kaynağı ile kurulmalı. Doğal olarak İç Denetim Başkanlıkları aracılığı ile yapılmalı. Ekibin İç Denetim Başkanlığından oluşması durumunda denetçilerin bilgi sistemleri denetimi alanında tecrübeli ve bu konuda eğitim almış olması gerekmektedir. İç Denetimin dışında kurum içi personel veya diğer kamu kurum ve kuruluşlarından görevlendirilecek personelden oluşuyor ise personel aşağıdaki özelliklere sahip olmalıdır;

• ISO/IEC27001Başdenetçi sertifikasına sahip olmak
• CISA sertifikasına sahip olmak
• TSE’nin bu denetim kapsamında hazırladığı belgelendirme programını tamamlayarak yetkilendirilmiş denetçi veya başdenetçi olmak

Denetim çalışmalarında, denetim ekibindeki denetçilere ilave olarak özel uzmanlık veya ihtisas gerektiren alanlarda tecrübesinden faydalanılmak üzere uzman personel görevlendirilebilir. Denetim ekibinde uzman yer alması durumunda, uzmanın yapacağı çalışmalar denetçi refakatinde gerçekleştirilmelidir. Uzmanın; hangi varlık grupları, tedbirler ya da süreçler üzerinde çalışma yapacağı, çalışmaların denetçiye nasıl raporlanacağı denetçiler tarafından belirlenmelidir.

TSE Firma ve Personel Belgelendirme Programı

Kurum içerisinde uygun kaynağı olmayan kurumlar bu hizmeti dış kaynaktan hizmet alım yöntemi ile de yapabilecekler. Bu amaçla Türk Standartları Enstitüsü Uyum denetim hizmeti sağlayan personel ve firma belgelendirme rehberi yayınlandı.

Buna göre; Denetçiler için

• Kurumun yapacağı sınavdan 100 üzerinden 70 almak kaydıyla
• ISO/IEC 27001 başdenetçi sertifikasına veya CISA sertifikasına sahip olmak ve sertifikayı korumaya yönelik gereklilikleri yerine getirmek.

Başdenetçiler için yukarıdaki şartlara ek olarak

• Bilgi sistemleri denetimi, yönetimi, geliştirilmesi veya güvenliği konularından herhangi birinde ya da birkaçında en az 10 yıllık tam zamanlı mesleki tecrübeye sahip olduğunu belgelendirmek,

şartları konuldu.

Dış Denetim Yapacak firmalar için ise

• Firmanın bilgi varlıklarını (denetimde elde ettiği bilgi ve belgeleri de içerecek şekilde) kapsam dahiline alan ISO/IEC 27001 uyumlu Bilgi Güvenliği Yönetim Sistemi kurulum ve işletim sürecinin tamamlanmış̧ olması ve IAF üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş̧ ve akreditasyon kapsamında ISO/IEC 27001 olan belgelendirme kuruluşları aracılığıyla sistemin belgelendirilmiş̧ olması,
• Firma bünyesinde TSE tarafından yetkilendirilmiş en az bir baş denetçinin ve denetçinin tam zamanlı olarak çalışıyor olması,

gerekmekte.

TSE-TÜBİTAK iş birliği ile eğitim ve sınav içerikleri hazırlanarak aralık (2021) sonunda ilk eğitimler ve sertifikalar verildi. Eğitim, sınav ve sertifika ücretleri ise şu şekilde;

Tablo 1. TSE Denetçi Eğitim ve Sertifika Ücretleri

 

TSE’den D1 (Ağ ve Sistem Denetçisi) ve D2 (Uygulama Denetçisi) türü iki alanda da eğitimleri alan ve sınavlarına girip iki alanda da sertifika talep eden (3 yıl için geçerli) bir kişinin ödeyeceği tutar: 13.750 TL + KDV’dir. Ancak yetkilendirilebilmek için buna ilaveten CISA veya ISO27001 sertifika sahibi olmak gerekiyor.

Tablo 2. TSE Firma Belgelendirme Ücretleri

Firmaların belgelendirmesinde ise TSE tarafından yapılacak denetimler 2 adam/gün olacak şekilde planlandığından denetim sonunda (ilk belgelendirmede) firmanın ödeyeceği ücret toplamı: 12.000 TL + KDV olarak belirlenmiş. Senelik yapılacak ara kontrol denetimlerinde ise firmaların ödeyeceği tutar: 7.500 TL + KDV. Ayrıca her sene sonunda 4.000 TL + KDV tutarında yıllık Belge ve Marka Kullanım ücreti faturalandırılacak.

Kamu kurumları ve kritik altyapı barındıran işletmeler

Genelgeye göre kapsama bilgi işlem barındıran Kamu Kurumlarının yanı sıra kritik altyapı barındıran işletmeler de dahil. Kritik altyapı sektörleri: 20/06/2013 tarih, 2 sayılı BTK Siber Güvenlik Kurulu kararı uyarınca Elektronik-Haberleşme, Enerji-Su Yönetimi, Kritik Kamu Hizmetleri, Ulaştırma ve Bankacılık ve Finans sektörleri kastediliyor.

2016-2019 Ulusal Siber Güvenlik Strateji Belgesine göre kritik altyapılar ise: İşlediği bilgi/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda,

• • Can kaybına,
  • Büyük ölçekli ekonomik zarara,
  • Ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapıları,

ifade etmekte.

Bu sektörlerde olup ben kritik altyapı veren işletmemiyim diye merak eden organizasyonlar ilgili düzenleyici ve denetleyici kurumlara, bu kurumların yetki alanı dışında kalan kritik sektörlerde ise ilgili olduğu Bakanlığa bu sorularını iletebilirler.

Bilgi Güvenliği Yönetim Sistemi (BGYS)

ISO 27001 ile hemen hemen aynı olan standardı bir Bilgi Güvenliği Yönetim Sistemi (BGYS) olarak düşünmek lazım. ISO 27001’in KVKK eklenmiş hali de diyebiliriz (Şekil 1 de ISO 27001 ve rehberin karşılaştırması). BGYS Siber güvenlik denetimlerini iki ayrı iş yükü olarak düşünmemek gerekir (dediğim gibi hemen hemen aynı içeriğe sahip). Bununla beraber BGYS’yi kurumsal süreçlerimize çapalayarak sürdürülebilir olmasını sağlamak gerekir. Tabi bunun için de kapsamı sadece bilgi işlem ile sınırlamadan satın alma ve insan kaynakları süreçleri gibi bilgi işlem dışındaki birimleri de içeren geniş bir kapsam belirlemek gerekiyor.

Şekil 1. ISO 27001 ile Bilgi ve İletişim Güvenliği Rehberinin karşılaştırılması

 

Denetim Aşamaları

27 Ekim 2021 de yayınlanan Denetim Rehberine göre denetim aşamaları aşağıdaki şekilde verilmiş.

1. Varlık gruplarını belirle
2. Varlıkların kritiklik derecesini belirle
3. Mevcut durum ve boşluk analizi yap
4. Rehber uygulama yol haritasını belirle
5. Yol haritasına uygun şekilde aksiyon al
6. Rehbere uygun bilgi ve iletişim güvenliği denetimi yaptır
7. Rehber uygulama yol haritasını izle ve kontrol et
8. Rehberde varsa değişiklikleri yönet
9. Varlık gruplarındaki değişiklikleri yönet

Varlık gruplarına yönelik güvenlik tedbirleri, uygulama ve teknoloji alanına yönelik güvenlik tedbirleri ve sıkılaştırma tedbirleri olarak 3 grupta sınıflandırılan 600’ün üzerinde tedbirin kritiklik seviyesine göre aşağıda belirtilen süreler içerisinde uygulanması gerekmekte,

1. Seviye tedbirler 27.02022 tarihine kadar uygulanmalı
2. Seviye tedbirler 27.04.2022 tarihine kadar uygulanmalı
3. Seviye tedbirler 27.07.2022 tarihine kadar uygulanmalı

İlk rehbere uyum denetiminin ise 31.12.2022 tarihine kadar yapılması gerekmekte.

Rehbere sürdürülebilir şekilde uyum sağlamak

Tedbirleri yerine getirmek için azami seviyede yerli ürünleri kullanılmasını öneren rehbere sürdürülebilir şekilde uyum sağlamak için klasik güvenlik duvarı, antivirus ve saldırı önleme sistemlerine ek olarak (ISP tarafında DDOS engelleme sistemi gibi hizmetleri almak kaydıyla) aşağıdaki sistemlerin organizasyonda bulunması gerekiyor.

• Envanter Yönetim Yazılımı (Inventory Management)
• Bilişim Yönetim Sistemi (ITSM)
• Veri Sınıflandırma (Data Classification)
• Veri Sızıntılarını Önleme (DLP)
• İhlal ve Saldırı Simülasyon Yazılımı (Breach and Attack Simulation)
• Güvenli Yazılım Geliştirme (Static and Dynamic Code Analyzer)
• Zafiyet Tarama Sistemi (Vulnerability Management)
• Veritabanı Güvenlik Duvarı (Database Firewall)
• Ayrıcalıklı Hesap Yönetimi (PAM)
• Uygulama Firewall (Web Application Firewall
• API/XML Gateway
• Merkezi Log Sistemi (SIEM)
• Ağ Güvenlik Sistemi (NAC)
• Yama Yönetimi (Patch Management)
• Ağ ve Son kullanıcı Gelişmiş Tehdit Koruma Sistemi (Advanced Thread Protection, Sandbox)

Denetimlerde denetçiler mülakat, gözden geçirme, güvenlik denetimi, sızma testi ve kaynak kod analizi tekniklerini kullanabilecekler. Bununla beraber rehber kapsamındaki çalışmalarda ve denetimlerde aşağıdaki konuların değerlendirilmesinde ve göz önünde bulundurulmasında fayda var;

• Kurum misyon, vizyon, faaliyet alanı ve servis kataloğu
• Kurum stratejik planı, faaliyet raporu, performans programı ve eylem planları
• Kurum organizasyon yapısı ve bilgi işlem biriminin organizasyondaki yeri ve sorumlulukları
• Kurum dış paydaşları (fiziki ya da webservis/API ile veri alınan/verilen) ve protokolleri
• Önceki İç Denetim, Sayıştay, ISO 27001 gibi denetim bulguları
• Kurum Bilgi Güvenliği Yönetim Sistemi ve SOME prosedür ve uygulamaları
• 2020-2023 Ulusal Siber Güvenlik Stratejisi
• Kurumsal ve Sektörel SOME Kurulum ve Yönetim Rehberleri
• KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Tebliği,
• 6698 sayılı KVKK kanunu
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

Son Söz

Denetim yapılacak olan birimdeki çalışanlara; Önyargısız olun, denetimi eksiklerinizi tamamlamak için iyi bir fırsat olarak görün ve denetçiler ile iş birliği içinde olun. Kazanan siz ve kurumunuz olacak.

Denetim elemanlarına; İyi uygulama örneklerinin altını çizin ve tedbirlerin sürdürülebilir şekilde alındığından emin olun. Biliyoruz ki denetime yönelik yapılan, kalıcı olmayan (palyatif) çözümler kurumsal süreçlere çapalanmadığından denetimden sonra sürdürülemeyecektir.

Üst Yöneticilerimize; Rehbere uyum sağlayan ile sağlamayan arasında çalışan ile çalışmayan arasında bir adalet mekanizması geliştirin. Üst yönetimin hiçbir şey yapmaması ve konuya ilgisiz kalması (rehber kapsamında çalışanlara ve kurumlara herhangi bir yaptırım öngörülmediğinden) risk alarak yatırım kararlarına imza atan, gece gündüz çalışarak bu tedbirleri hayata geçiren personel ve alt düzey yöneticilerin zımni olarak cezalandırılması anlamına gelir.