Cumhurbaşkanlığı tarafından Bilgi ve İletişim Güvenliği Tedbirlerine ilişkin 2019/2 sayılı genelge ("Genelge") 6 Temmuz 2019 tarihli ve 30823 sayılı Resmî Gazete'de yayımlandı. Genelge ile güvenlik risklerinin azaltılması ve etkisiz kılınmasının yanı sıra, milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla alınması gereken güvenlik tedbirleri belirlendi.

Genelge ile getirilen önemli düzenlemeler aşağıda özetlenmiştir:

  • Yerli bulut hizmetlerinin, yerli ve milli kripto sistemlerinin kullanımının yaygınlaştırılması ve geliştirilmesi amacıyla;
    • Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik, biyometrik, kritik bilgi ve verilerin yurt içinde depolanmasına,
    • Kamu kurum ve kuruluşlarında yer alan kritik verilerin, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan bir ağda tutulmasına,
    • Kamu kurum ve kuruluşlarına ait verilerin, yalnızca kurumların kendi özel sistemleri veya kurum kontrolündeki yerli bulut depolama hizmetlerinde saklanmasına,
    • Kurumlara ait gizlilik dereceli haberleşmenin yalnızca yerli ve milli kripto sistemleri üzerinden gerçekleştirilmesine,

karar verilmiştir.

  • Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı teşvik edilmiş, sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmaması gerektiğine değinilmiştir. Aynı zamanda mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli uygulamalar hariç, mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmaması gerektiği belirtilmiştir.
    • Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacak, temin edilen veya geliştirilen yazılımlar kullanılmadan önce gerekli güvenlik testleri yapılacaktır. Bu kapsamda;
    • Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların, kullanım amacına uygun olmayan ve kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti içermediğine dair üretici ve/veya tedarikçiden imkânlar ölçüsünde taahhütname alınacaktır.
    • Siber güvenlik tehditleri ile ilgili gerekli tedbirler alınacaktır.
    • Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
  • Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında, ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır. Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan dizüstü bilgisayar, mobil cihaz, harici bellek ve benzeri cihazlarda bulundurulmayacaktır.
  • Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, bu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları gibi gerekli güvenlik önlemleri alınacaktır.
  • Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik önemi haiz personel hakkında güvenlik soruşturması veya arşiv araştırması yapılması gerektiği belirtilmiştir.
  • Kamu e-posta sistemlerinin ayarları güvenli olacak şekilde yapılandırılacak, e-posta sunucuları ülke sınırları içinde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli gerçekleştirilmesi sağlanacaktır. Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar, özel iletişim, kişisel sosyal medya hesapları ve benzeri şahsi amaçlarla kullanılmayacaktır.
  • Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmecilerin, Türkiye'de internet değişim noktası kurmakla yükümlü olduğu belirtilmiş, yurt içinde değiştirilmesi gereken yurt içi iletişim trafiğinin yurt dışına çıkarılmamasına yönelik de tedbirler alınacağı düzenlenmiştir.
  • Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren Bilgi ve İletişim Güvenliği Rehberi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda hazırlanacaktır. Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerin de yeni kurulacak bilgi sistemlerinde, rehberde yer verilen usul ve esaslara uyulması zorunlu olacaktır.

6 Temmuz 2019 tarihli ve 30823 sayılı Resmî Gazete'de yayımlanan Genelge'nin tam metnine, bu linkten ulaşabilirsiniz.

Yazı ilk olarak, Moroğlu Arseven'in iki haftada bir yayımlanan bülteni MA | Gazette'de yer almıştır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.