Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından kamu için hazırlanan ve bilgi sistemlerindeki önlemlerin uygulanması mecburî olan güvenlik rehberinde yerli sistemlere geçiş önceliği istendi. Rehberde, WhatsApp, Telegram üzere yabancı iletileşme programları yerine yerli iletileşme programlarının kullanılması mecburilik haline getirildi.
Milliyet'ten Kıvanç El'in haberine nazaran kamu işçisi özel hayatında bu programları kullanabilecek, lakin kurumsal süreçlerde kullanmayacak. Kamuda “bilmesi gerekenler prensibi” ile evraklara ulaşımın hedeflendiği rehberle tüm kamu kurumlarında siber taarruzların engellenmesi, bilgi sızdırılmasının denetiminin sağlanması hedefleniyor.
ÜÇ DÜZEY ÖNLEM
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, kamu kurumlarının bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması gayesiyle başlattığı çalışmayı tamamlayarak, “Bilgi ve Bağlantı Güvenliği Rehberi” yayımladı.
Rehberle “Yerli ve ulusal eser kullanımının teşvik edilmesi”, “Mükerrer çalışmaların ve yatırımların önüne geçilmesi”, “Güvenlik önlemlerinin üç düzeyli olacak halde derecelendirilmesi”, “Güvenlik önlemlerinin uygulanıp uygulanmadığının denetlenebilmesi” üzere 12 başlıkta maksatlar ortaya konuldu.
“KURUMLARIN GÜVENLİK ALT YAPILARI DEĞERLENDİRİLECEK”
Kapalılığı yahut erişilebilirliği bozulduğunda ulusal güvenliği tehdit edebilecek kritik çeşitteki bilgilerin güvenliğinin sağlanması gayesiyle hazırlanan rehbere nazaran, kurumun tüm bilgi ve irtibat envanteri ve varlıkları çıkarılacak.
Her bir çalışan hazırlanan özel bir anketi dolduracak ve ne kadar kritik bilgiye sahip olduğu ile kimlerin erişim imkanı olduğu tespit edilecek. Buradaki puanlamalara nazaran, kurumların güvenlik altyapıları da derecelendirilecek. Kurumlar derecelere nazaran bir altyapı çalışması yapacak ve tüm bilgi süreç altyapıları taarruzlara hazır ve korunaklı olacak.
Bu çalışma ile kurumdaki tüm “bilmesi gerekenler prensibi”, “zayıf noktalar”, “asgari yetkiler”, “yetkin personel” başlıklarında tespitler yapılacak. Bu çalışma ile tüm kamu kurumlarının siber akınlar, bilgi sızdırılması ile evrakların denetiminin sağlanması hedefleniyor.
YERLİ UYGULAMALARA ÖNCELİK
Rehberde kurumsal haberleşme gayesiyle WhatsApp ve gibisi yabancı iletileşme uygulamaları yerine sunucuları kurum denetiminde olan iletileşme uygulamalarının kullanılması da istendi.
Rehberde, “Kurumun kendine ilişkin bir haberleşme uygulaması yoksa iletileşme hedefiyle sunucuları yurt içinde bulunan yerli ve ulusal uygulamalar tercih edilmelidir. Mevzuatta kodlu yahut kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli taşınabilir uygulamalar hariç olmak üzere taşınabilir uygulamalar üzerinden zımnilik dereceli bilgi paylaşımı ve haberleşme yapılmamalıdır” denildi.
“BİLGİSAYARLARDA KARMAŞIK PAROLA KULLANIN” TALİMATI
Rehberde kurum tarafından satın alınan kullanıcı bilgisayarlarının sabit disklerinin data kurtarmaya imkân sağlamayacak formda inançlı silme sürecine tabi tutulduktan sonra sistemlere dahil edilmesi de istendi.
Kuruma dışarıdan gelen e-posta eklerinin çok katmanlı güvenlik tahlilinden geçirilmesi istenen rehberde, bu içeriklerin, “beyaz liste/kara liste” olarak listelenmesi ve imza tabanlı anti-virüs testinde geçirilmesi istendi. Rehberde, “Bu kademeden sonra hala kategorilendirilmemiş e-posta ekleri kum havuzunda çalıştırılmalıdır. Kum havuzu tahlillerinde evraklar yurt içinde yerleşik olan sunucularda taranmalıdır” denildi.
Kuruma uzaktan bağlanacak aygıtların; ziyanlı yazılımdan korunma, işletim sistemi ve uygulama yeniliği üzere konularda kontrolden geçirilmesi de istenirken kurum siyasetlerine uygunluğu inançlı uzaktan irtibat sağlayan sistemler üzerinden denetim edilmesi belirtildi.
Parola giriş alanlarının uzun ve karmaşık olması istenirken rehberde, “Parola cümle kullanımına müsaade vermeli ya da teşvik etmelidir. Kurumlar güvenlik ihtiyaçlarına nazaran parola siyaseti belirlemelidir. Ayrıyeten parolalar için bir en uzun geçerlilik mühleti tanımlanmış olmalıdır. Değişen parola işlevi eski parolayı, yeni parolayı ve bir parola onayını kapsamalıdır” denildi.
Karar
