21.06.2017 tarihinde Resmi Gazete’de yayımlanan Tebliğ’e göre; KamuNet’e giren ve dâhil edilecek kamu kurumlarının bilgi ve iletişim sistemlerine ilişkin karşılaması gereken asgari şartlarla bu kurumların denetlenmesine ilişkin usul ve esaslar düzenlenmiştir.
1- KAMU KURUMU (KamuNet’e dâhil olan KURUM) KAMUNET’E AİT HANGİ GEREKSİNİMLERİ KARŞILAR VE KAYIT ALTINA ALIR?
Kamu kurumu, KamuNet’e ilişkin aşağıda yer alan asgari gereksinimleri karşılar ve kayıt altına alır;
1.1- KamuNet’e bağlantı yapacak birimlerini ve sistemlerini kapsayacak BGYS’sini kurar ve işletir,
1.2- Kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgesini alır ve güncelliğini sağlar. Bu belgeleri, TS ISO/IEC 27001 veya ISO/IEC 27001 standardı kapsamında Türk Akreditasyon Kurumu tarafından akredite edilen belgelendirme kuruluşları veya Uluslararası Akreditasyon Forumu Karşılıklı Tanınma Antlaşmasında yer alan ulusal akreditasyon kurumlarınca akredite edilmiş belgelendirme kuruluşlarından temin eder,
1.3- Kurum yönetimi tarafından onaylanmış bilgi güvenliği yönetim sistemi politikasına uygun olarak KamuNet ile ilgili politika tanımlar, dokümante eder, ilgili çalışanlarının ve tarafların söz konusu politikaya ilişkin farkındalığını sağlar,
1.4- Bilgi güvenliği ihtiyaçlarını karşılayacak şekilde bilgi varlıklarının gizlilik dereceleri sınıflandırılmasını Türk Standartları Enstitüsü tarafından Kritere Uygunluk Belgesi TSEK 523 Kriteri olarak yayınlanan Bilgi Varlıklarının Gizlilik Derecelerine Göre Sınıflandırılması Dokümanına uygun olarak yapar. Sınıflandırılan gizlilik derecelerine göre şifreleme tekniklerini kullanabilir,
1.5- KamuNet’e dâhil olan birimlerinde çalışan personeline yönelik BGYS ile birlikte siber güvenlik de dâhil olacak şekilde bilgilendirme ve eğitimler verir,
1.6- KamuNet’ten sorumlu bir ekip oluşturur. Bu ekibin iletişim bilgilerini Bakanlık ve İşletmeci ile paylaşır ve güncel tutar,
1.7- Sunucu ve istemci ağlarında internet üzerinden ve yerel ağ içerisinden düzenli zafiyet taramaları yapar, var olan zafiyetleri tespit ederek gerekli önlemleri alır,
1.8- KamuNet için kurum içi envanter ve topoloji oluşturur ve güncel tutar,
1.9- KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapar,
1.10- KamuNet’e bağlı sistemlere ait iz kayıtlarını herhangi bir anomaliye karşı sürekli olarak inceler,
1.11- Sistem güvenliği için sunucu ve istemci ağlarını ayırır,
1.12- Sunucu ve istemci ağlarının birbirine erişiminde mutlaka bir güvenlik katmanı oluşturur,
1.13- KamuNet ağından gelebilecek tehditlere karşı kendilerini korumak ve KamuNet’e ilişkin bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla (bilgisayar virüsleri, solucanlar, truva atları gibi zararlı yazılımlara ve benzeri) yazılımsal ve donanımsal önlemleri alır. Bu kapsamda güvenlik cihazları (güvenlik duvarı, saldırı önleme sistemi, içerik filtreleme, anti virüs veya birleşik tehdit yönetimi) kullanır,
1.14- İnternete açık servislerinin bulunması halinde bu servislerden gelen saldırıların KamuNet ağını da olumsuz etkilememesi için siber saldırılara (DDoS ve benzeri) karşı koruma ve güvenlik hizmetlerini alır,
1.15- İstemci ağı içerisinde dizin hizmetini kullanır ve kullanıcı bilgisayarlarını dizin hizmetine dâhil eder,
1.16- Dizin hizmeti üzerinde kullanıcı bilgisayarlarının KamuNet ağını olumsuz etkilememesi için işletim sistemi dâhil yüklü tüm programların güncellemelerini takip eder ve yapar,
1.17- KamuNet ağını olumsuz etkilememesi için dizin hizmeti üzerinde kullanılabilecek programları belirler ve kullanıcıların programlar üzerinde yetkisini (kurma, kaldırma) sınırlandırır,
1.18- KamuNet ağını olumsuz etkilememesi için Ağ Erişim Kontrolü (NAC-Network Access Controller) çözümleri ile kullanıcıların yapılandırmasının güvenli olduğunu kontrol ederek kendi ağlarına dâhil eder,
1.19- KamuNet ağında, bilmesi gereken prensibine göre sadece ilgili kurumlar ile veri paylaşır ve ilgisiz kurumların bilgiye erişimini kısıtlar,
1.20- KamuNet ağını olumsuz etkilememesi için kablosuz erişimi sağlayan modem veya erişim noktalarının yazılımlarını güncel tutar ve bu cihazların dizin hizmeti ile entegrasyonunu yapar,
1.21- Sunucuların bulunduğu sistem odalarını güncel ISO/IEC 27001 standardına uygun hale getirir, giriş ve çıkışları kontrol altında tutar ve bu konularda yetkilendirme yapar,
1.22- Sunuculardaki bilgi ve yazılımların kurtarılmasına imkân verecek şekilde yedek alınmasını sağlar,
1.23- Sunucular üzerindeki kullanılmayan uygulamaları ve servisleri kapatır,
1.24- Sunucular üzerindeki işletim sistemleri ve uygulama yazılımlarını güncel tutar,
1.25- KamuNet’e bağlantı sağlayacak birimde görevlendirdiği çalışanlarıyla ve söz konusu birime ve ilgili sistemlere ilişkin mal veya hizmet alış verişinde bulunduğu üçüncü taraflarla yapacağı sözleşmelerde gizlilik hükümlerine yer verir ve imzalanan sözleşmeleri muhafaza eder,
1.26- Kurumsal SOME Kurulum ve Yönetim Rehberine uygun şekilde Kurumsal SOME’sini kurar ve ulusal siber güvenliğin sağlanması amacıyla Bakanlık ve varsa bağlı olduğu Sektörel SOME’nin belirlediği esaslar çerçevesinde gerekli tedbirleri alır,
1.27- KamuNet’e ilişkin yapılan çalışmalarda Bakanlıkça hazırlanan Kurumsal SOME Kurulum ve Yönetim Rehberini esas alır,
1.28- İşletmeci ile arasındaki KamuNet ağı erişimini mümkünse farklı santrallerden ve farklı güzergâhlar ile yedekler.
2- ULAŞTIRMA, DENİZCİLİK VE HABERLEŞME BAKANLIĞININ YÜKÜMLÜLÜKLERİ NELERDİR?
Ulaştırma, Denizcilik ve Haberleşme Bakanlığının yükümlülükleri şunlardır;
2.1- KamuNet’e dâhil olacak kamu kurumlarını belirler,
2.2- KamuNet üzerindeki veri iletişiminin daha güvenli bir ortamda yapılabilmesini teminen gerekli hizmetleri ve çözümleri belirler,
2.3- KamuNet’e dâhil olmak isteyen kamu kurumlarını bu usul ve esaslar kapsamında uygunluk denetimini yapar veya yaptırır. Denetimin üçüncü tarafa yaptırılması durumunda gizlilik sözleşmesi imzalar,
2.4- Uygunluk denetimi sonucunda asgari gereklilikleri sağlayan kamu kurumunun KamuNet’e dâhil olma sürecini başlatır. Asgari gereklilikleri sağlayamayan kamu kurumlarının, eksiklerini tamamlamalarına müteakip yeniden değerlendirme yapılır,
2.5- Periyodik denetim sürelerini belirler,
2.6- Periyodik denetimler sırasında tespit edilen eksikliklerini zamanında gidermeyen veya ağ güvenliğini tehdit eden durumlarda ilgili kamu kurumlarının KamuNet erişimini askıya alır veya çıkarır.
3- DENETLENEN KAMU KURUMU VE İŞLETMECİNİN YÜKÜMLÜLÜKLERİ NELERDİR?
Denetlenen kamu kurumu ve işletmeci:
3.1- Denetimle ilgili elverişli bir çalışma ortamı sağlar ve KamuNet’e ilişkin her türlü bilgi, belge ve yazılı açıklamayı belirlenen süre içerisinde verir,
3.2- Denetime ilişkin gerekli altyapıyı temin eder ve denetim süresince çalışır vaziyette bulundurur,
3.3- KamuNet’e ilişkin faaliyetler ve denetim süreci ile ilgili irtibat kurulabilecek personel bilgilerini Bakanlığa iletir,
3.4- İşletmeci, KamuNet altyapısının kesintisiz, yedekli, fiziksel ve siber saldırılara karşı uluslararası standartlara uygun hizmet sürekliliğinin sağlanması için gerekli tedbirleri alır.
4- DENETİM FAALİYETLERİ NASIL GERÇEKLEŞTİRİLİR?
Denetim faaliyetleri aşağıdaki maddeler kapsamında gerçekleştirilir;
4.1- Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından belirlenen periyodik sürede KamuNet’e dâhil olan kamu kurumları ile işletmeci denetlenir veya denetlettirilir,
4.2- İşletmeci ve her bir kamu kurumu için denetim raporu hazırlanır,
4.3- Denetim raporunu ilgili kamu kurumu ve işletmeci ile paylaşır, varsa eksikliklerin süresi içerisinde tamamlanması istenir,
4.4- Denetlenen kamu kurumundan ve işletmeciden denetim ile ilgili KamuNet’e ilişkin her türlü bilgi, belge ve yazılı açıklama istenir,
4.5- Denetlenen kamu kurumu ve işletmecinin yönetim ve yürütme işlerini aksatmayacak şekilde denetim gerçekleştirilir,
4.6- Denetim sürecinde edinilen bilgi ve belgelerin gizliliği sağlanır, gizli bilgiler, ticari sırlar ve benzeri bu konuda kanunen yetkili kılınanlardan başkasına açıklanamaz ve doğrudan veya dolaylı şekilde kendisi ya da üçüncü kişilerin yararına kullanılamaz,
4.7- Denetim ekibi gerekli teknik bilgiye ve mesleki yeterliliğe sahip en az üç personelden oluşur,
4.8- Denetim esnasında, KamuNet ağını ve ulusal siber güvenliği olumsuz yönde etkileyebilecek hususların tespit edilmesi durumunda bunların ivedilikle giderilmesi istenir.
Not: Tebliğin aşağıdaki bentlerine ilişkin hükümleri yayımı tarihinden 2 yıl sonra, diğer hükümleri ise yayımı tarihinde yürürlüğe girer.
– KamuNet’e bağlantı yapacak birimlerini ve sistemlerini kapsayacak BGYS’sini kurar ve işletir,
– Kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgesini alır ve güncelliğini sağlar. Bu belgeleri, TS ISO/IEC 27001 veya ISO/IEC 27001 standardı kapsamında Türk Akreditasyon Kurumu tarafından akredite edilen belgelendirme kuruluşları veya Uluslararası Akreditasyon Forumu Karşılıklı Tanınma Antlaşmasında yer alan ulusal akreditasyon kurumlarınca akredite edilmiş belgelendirme kuruluşlarından temin eder,
– Kurum yönetimi tarafından onaylanmış bilgi güvenliği yönetim sistemi politikasına uygun olarak KamuNet ile ilgili politika tanımlar, dokümante eder, ilgili çalışanlarının ve tarafların söz konusu politikaya ilişkin farkındalığını sağlar)
Kaynak: Resmi Gazete (21.06.2017 – 30103)
Yasal Uyarı: Bu yazıdaki bilgiler sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen bilgilerden yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgilerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.
