2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi

Cumhurbaşkanlığı · Bilgi ve İletişim Güvenliği · 2019/12 Genelgesi

2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Rehberin Önemi

2019/12 sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi, Türkiye’de kamu kurum ve kuruluşlarının, kritik altyapıların ve stratejik öneme sahip işletmelerin bilgi ve iletişim güvenliğini güçlendirmek amacıyla yayımlanmış kapsamlı bir çerçeve metindir. Bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hâle gelmesi ve bilgi yönetim sistemlerinin yaygınlaşması, önemli avantajlar sağlarken aynı zamanda ciddi güvenlik risklerini de beraberinde getirmektedir.

Genelge ile birlikte hazırlanan ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda yayımlanan Bilgi ve İletişim Güvenliği Rehberi, milli güvenlik, kamu düzeni ve kritik verilerin güvenliği için uyulması zorunlu usul ve esasları belirlemektedir. Bu rehber; kritik verilerin yurtiçinde ve güvenli ağlarda depolanması, bulut hizmetleri, sosyal medya ve mobil uygulama kullanımı, milli kripto sistemleri, TEMPEST, e-posta ve altyapı güvenliği gibi pek çok alanda detaylı tedbirler öngörür.

Genelgeye Genel Bakış Kritik Verilerin Korunması

İçindekiler 1. Genelgeye Genel Bakış ve Amaç 2. Kritik Veri ve Depolama İlkeleri 3. Bulut, Sosyal Medya ve Mobil Uygulama Tedbirleri 4. Fiziksel Güvenlik, Cihaz Politikaları ve TEMPEST 5. Yerli Kripto, Yazılım/Donanım Güvenliği ve Siber Tehditler 6. Erişim Yetkilendirme, E-posta ve İletişim Altyapısı 7. Bilgi ve İletişim Güvenliği Rehberi, Uyum ve Denetim 8. Sık Sorulan Sorular

Hızlı Özet

Odak: Kamu kurumları ve kritik altyapılarda bilgi ve iletişim güvenliğinin ulusal düzeyde güçlendirilmesi.
Ana araç: Farklı güvenlik seviyeleri içeren Bilgi ve İletişim Güvenliği Rehberi.
Temel ilkeler: Kritik verilerin yurtiçinde saklanması, güvenli ağlar, milli kripto, TEMPEST, erişim yetkisi, güvenli e-posta, yerli yazılım ve donanım.
Uyum: Rehberdeki usul ve esaslara uyum zorunlu olup, kurumlar yılda en az bir kez kendilerini denetlemekle yükümlüdür.

2019/12 Genelgesi Bilgi ve İletişim Güvenliği Rehberi Kritik Veri Milli Kripto

Not: Bu içerik, 2019/12 sayılı Genelge ve Bilgi ve İletişim Güvenliği Rehberi çerçevesinde genel bilgilendirme amacı taşır. Kurumunuz için uygulanacak somut teknik ve idari tedbirler, kurumun kritiklik seviyesi, altyapısı ve mevzuat yükümlülükleri dikkate alınarak ayrıca tasarlanmalıdır.

Category: Blog · KVKK | Yazar: Aydın Uygar | Yayın Tarihi: 6 Nisan 2021

1. 2019/12 Sayılı Genelgeye Genel Bakış ve Amaç

Dijital dönüşümün hızlanmasıyla birlikte; nüfus, sağlık, iletişim, genetik ve biyometrik veriler gibi kritik bilgi türleri büyük ölçüde dijital ortamlarda işlenmekte ve saklanmaktadır. Bilgiye erişimin kolaylaşması, altyapıların dijital hâle gelmesi ve bilgi yönetim sistemlerinin yaygınlaşması, bir yandan verimlilik ve hizmet kalitesini artırırken, diğer yandan ulusal güvenlik, kamu düzeni ve kurumsal mahremiyet açısından ciddi riskler ortaya çıkarmaktadır.

2019/12 sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi, bu risklerin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek ve kamu düzeninin bozulmasına yol açabilecek türdeki verilerin güvenliğinin sağlanması amacıyla yayımlanmıştır.

Genelge ile birlikte kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmeler için, ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde farklı güvenlik seviyeleri içeren bir Bilgi ve İletişim Güvenliği Rehberi hazırlanmış ve bu rehberde yer alan usul ve esaslara uyulması zorunlu tutulmuştur.

2. Kritik Veri ve Depolama İlkeleri

Genelge kapsamında, özellikle kritik veri olarak tanımlanabilecek nüfus, sağlık, iletişim kayıt bilgileri, genetik ve biyometrik veriler gibi veri türlerinin korunmasına özel vurgu yapılmıştır. Bu kapsamda öne çıkan bazı temel ilkeler şunlardır:

Kritik verilerin yurtiçinde depolanması: Nüfus, sağlık, iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
Güvenli ağ zorunluluğu: Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacaktır.
Bulut hizmeti sınırlaması: Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.

Alan	İlke	Hedeflenen Güvenlik Etkisi
Kritik Veri Depolama	Kritik verilerin yurtiçinde güvenli depolanması	Veri egemenliğinin korunması, yabancı yargı yetkisi riskinin azaltılması
Ağ Mimarisi	İnternete kapalı, güvenli ve fiziksel olarak korunan ağlar	Saldırı yüzeyinin daraltılması, yetkisiz dış erişimin engellenmesi
Bulut Kullanımı	Kurumsal kontrol dışı bulut hizmetlerinin sınırlandırılması	Veri sızıntısı, arka kapı ve yabancı servis bağımlılığı risklerinin azaltılması

Önemli: Kritik verilerin yurt dışındaki veri merkezlerinde veya kurum kontrolü dışında çalışan bulut altyapılarında saklanması, hem milli güvenlik hem de veri egemenliği bakımından ciddi riskler doğurabileceğinden, Genelge bu alanda çok net sınırlamalar getirmiştir.

3. Bulut, Sosyal Medya ve Mobil Uygulama Tedbirleri

Genelge, yalnızca veri merkezleri ve ağ mimarilerini değil; aynı zamanda sosyal medya, haberleşme uygulamaları ve mobil uygulamalar üzerinden gerçekleştirilen iletişim faaliyetlerini de kapsamaktadır.

3.1. Sosyal Medya ve Mobil Uygulamalar

Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.

3.2. Bulut Hizmetleri Sınırlaması

Kamu kurum ve kuruluşlarına ait veriler açısından, genel amaçlı ve kurum kontrolü dışında kalan bulut depolama hizmetlerinin kullanımı, kritik verilerin yetkisiz erişim, yabancı yargı ve veri sızıntısı risklerine açık olması nedeniyle açıkça sınırlandırılmıştır. Yalnızca:

Kurumların kendi özel sistemleri,
Kurumun kontrolü altındaki yerli hizmet sağlayıcılar

bu kapsam dışında tutulmaktadır.

4. Fiziksel Güvenlik, Cihaz Politikaları ve TEMPEST Önlemleri

Bilgi güvenliği yalnızca yazılım ve ağ bileşenlerinden ibaret değildir; fiziksel ortam ve cihaz kullanımı da kritik öneme sahiptir. Genelge bu kapsamda aşağıdaki tedbirleri öngörmektedir:

Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.
Gizlilik dereceli veya kurumsal mahremiyet içeren veri, yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda bulundurulmayacaktır.
Gizlilik dereceli verilerin saklandığı cihazlar kayıt altına alınacak ve bu amaçla kullanılan cihazlar için özel bir envanter yönetimi sağlanacaktır.

Bu tedbirler, özellikle elektromanyetik sızıntı, ortam dinlemesi, mobil cihazlar üzerinden veri sızdırma gibi fiziksel ve teknik riskleri azaltmayı hedeflemektedir.

5. Yerli Kripto Sistemleri, Yazılım/Donanım Güvenliği ve Siber Tehdit Bildirimleri

Genelge, yerli ve milli kripto sistemlerinin geliştirilmesini teşvik ederken, yazılım ve donanım temininde de güvenlik odaklı bir yaklaşım benimsenmesini zorunlu kılmaktadır.

5.1. Yerli ve Milli Kripto Sistemleri

Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilecek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.
Kritik veri iletişiminde radyolink haberleşmesi kullanılmayacak; kullanımın zorunlu olduğu durumlarda ise veriler, milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

5.2. Yazılım ve Donanım Güvenliği

Kamu kurum ve kuruluşlarınca temin edilecek yazılım ve donanımların, kullanım amacına uygun olmayan bir özellik ve arka kapı açıklığı içermediğine dair üretici ve tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.
Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacak; temin edilen veya geliştirilen yazılımlar, kullanılmadan önce güvenlik testlerinden geçirilerek devreye alınacaktır.

5.3. Siber Tehdit Bildirimleri

Kurum ve kuruluşlar, kendilerine veya sektöre yönelen siber tehdit bildirimleri ile ilgili gerekli tedbirleri almakla yükümlüdür. Bu kapsamda:

İlgili ulusal otoritelerle koordinasyon,
Saldırı göstergelerinin (IoC) izlenmesi ve uygulanması,
Olay müdahale süreçlerinin işletilmesi

büyük önem taşımaktadır.

6. Erişim Yetkilendirme, Kurumsal E-posta ve İletişim Altyapısı

Genelge, hem erişim yetkilendirmeleri hem de kurum içi/dışı haberleşmede kullanılan altyapılar için detaylı güvenlik çerçevesi çizer.

6.1. Erişim Yetkilendirmeleri ve İnternet Açıklığı

Üst düzey yöneticiler de dâhil olmak üzere, personelin sistemlere erişim yetkilendirmeleri, fiilen yürütülen işler ve ihtiyaçlar dikkate alınarak yapılacaktır (en az yetki ilkesi).
Söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda, gerekli güvenlik önlemleri (güvenlik duvarları, ağ segmentasyonu, izleme vb.) alınacaktır.
Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı ve projelerde görev alacak personel hakkında, ilgili mevzuat çerçevesinde güvenlik soruşturması ve arşiv araştırması yaptırılacaktır.

6.2. Kurumsal E-posta Güvenliği

Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla kullanılmayacaktır.

6.3. İletişim Trafiği ve Altyapı

Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle değil, fiber optik kablolar üzerinden taşınacaktır.
Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

7. Bilgi ve İletişim Güvenliği Rehberi, Uyum ve Denetim Mekanizmaları

2019/12 sayılı Genelge ile birlikte, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” hazırlanmıştır. Bu rehber:

Ulusal ve uluslararası bilgi güvenliği standartlarını,
Kritik altyapılar için güvenlik kriterlerini,
Kademeli uyum planlarını

içeren kapsamlı bir kılavuz niteliğindedir.

7.1. Uyum Yükümlülüğü

Rehberde yer verilen usul ve esaslara uyulması zorunludur.
Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak rehberde yer alacak plan çerçevesinde kademeli olarak bu esaslara uyumlu hâle getirilecektir.

7.2. Denetim ve Sorumluluk

Milli güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere, kurum ve kuruluşlar rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacaktır.
Kurumlar, yılda en az bir defa uygulamayı denetleyecek; tespit edilen eksiklik ve zafiyetler için iyileştirme planları oluşturacaktır.

Özet: 2019/12 sayılı Genelge ve Bilgi ve İletişim Güvenliği Rehberi, kamu kurum ve kuruluşları ile kritik altyapı işletmeleri için “asgari güvenlik çerçevesi”ni tanımlar. Bu çerçeveye uyum, hem milli güvenlik hem de kurumsal sürdürülebilirlik açısından stratejik öneme sahiptir.

8. Sık Sorulan Sorular

2019/12 sayılı Bilgi ve İletişim Güvenliği Genelgesi kimleri kapsıyor?

Genelge başta kamu kurum ve kuruluşları ile milli güvenliği doğrudan etkileyen stratejik öneme haiz kurum ve kuruluşları ve kritik altyapı niteliğinde hizmet veren işletmeleri hedeflemektedir. Ancak rehberde belirlenen iyi uygulama prensipleri, özel sektör için de yol gösterici niteliktedir.

Bilgi ve İletişim Güvenliği Rehberi’ne uymak zorunlu mu?

Evet. Genelgede açıkça belirtildiği üzere, rehberde yer verilen usul ve esaslara uyulması zorunludur. Kurumlar mevcut altyapılarını kademeli olarak bu esaslara uyumlu hâle getirmek ve kendi iç denetim mekanizmalarını kurmakla yükümlüdür.

Kamu verilerini yabancı bir bulut hizmetinde tutmak mümkün mü?

Genelgeye göre, kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır. Bu nedenle, genel amaçlı ve kurum kontrolü dışındaki yabancı bulut hizmetleri üzerinde kamu verisi barındırılması, ciddi güvenlik ve mevzuat riski taşır.

Kurumsal yazılımlar için arka kapı taahhüdü neden isteniyor?

Yazılım ve donanımlarda yer alabilecek arka kapı (backdoor) ve kullanım amacına aykırı özellikler, hem kurumsal hem de ulusal güvenlik açısından büyük risk oluşturur. Bu nedenle, üretici ve tedarikçilerden imkânlar ölçüsünde arka kapı içermediğine ilişkin taahhütname alınması, sorumluluğun paylaşılması ve risklerin azaltılması açısından kritik bir tedbirdir.

Genelge ile KVKK arasında nasıl bir ilişki var?

KVKK, kişisel verilerin korunmasına yönelik birey odaklı bir çerçeve sunarken, 2019/12 sayılı Genelge ve Bilgi ve İletişim Güvenliği Rehberi, daha çok ulusal güvenlik, kamu düzeni ve kritik altyapı güvenliği perspektifinden hareket eder. Ancak her iki düzenleme de pratikte büyük ölçüde aynı teknik ve idari güvenlik tedbirlerini destekler ve birbirini tamamlar.

2019/12 Bilgi Güvenliği Genelgesi Bilgi ve İletişim Güvenliği Rehberi Kritik Veri Güvenliği Milli Kripto Sistemleri Kamu Kurumları Bilgi Güvenliği