BİLGİ VE İLETİŞİM GÜVENLİĞİ TEDBİRLERİ HAKKINDA GENELGE

6 TEMMUZ 2019

Cumhurbaşkanlığının, 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi (“Genelge”), 6 Temmuz 2019 tarihli, 30823 sayılı Resmi Gazete’de yayımlanmıştır.

Genelgede; veri güvenliğiyle ilgili karşılaşılan risklerinin azaltılması, gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla bazı tedbirlerin alınması gerekliliğinin ortaya çıktığı belirtilmiştir. Bu çerçevede alınacak tedbirlerden bazıları aşağıdaki gibidir;

* Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurt içinde güvenli bir şekilde depolanacaktır.

* Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.

* Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.

* Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacak; sosyal medya ve haberleşme uygulamalarına ait yerli uygulamalar tercih edilecektir.

* Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.

* Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.

* Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.

* Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.

* Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.

* Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası[1] kurmakla yükümlü olacaklardır.

* Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

* Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda “Bilgi ve İletişim Güvenliği Rehberi” hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacaktır. Rehber ihtiyaçlar, gelişen teknoloji, değişen şartlar ile Ulusal Siber Güvenlik Stratejisi ve eylem planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecektir.

* Milli güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, Rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir. Denetim sonuçlan ile yapılan düzeltici ve önleyici faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisine iletilecektir.

İlgili Genelgenin tam metnine buradan ulaşabilirsiniz.

 

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr


[1] İnternet değişim noktası ( Internet Exchange Point – IXP ), farklı internet servis sağlayıcılarının ( Internet Service Provider – ISP ), karşılıklı denklik anlaşmalarına göre, kendi ağları arasında internet trafiği değişimini ücretsiz olarak gerçekleştirmelerini sağlayan fiziksel bir altyapıdır (Wikipedia).

__

* gerekli alanlar

__ (0)