BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
(1) Bu Tebliğin amacı; KamuNet’e dâhil edilecek ve dâhil olan kamu kurumlarının KamuNet’e bağlı bilgi ve iletişim sistemlerine ilişkin olarak karşılaması gereken asgari gereklilikler ile bu kurumların denetlenmesine ilişkin usul ve esasların belirlenmesidir.
Dayanak
(1) Bu Tebliğ, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 5 inci maddesinin birinci fıkrasının (h) bendine dayanılarak hazırlanmıştır.
Tanımlar
(1) Bu Tebliğde geçen;
a) Bakanlık: Ulaştırma, Denizcilik ve Haberleşme Bakanlığını,
b) Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere; sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, kurumun yönetimince kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütününü,
c) Bütünlük: Varlıkların doğruluğunu ve tamlığını koruma özelliğini,
ç) Erişilebilirlik: Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğini,
d) Gizlilik: Bilginin yetkisiz kişiler, varlıklar ya da süreçlere kullanılabilir yapılmama ya da açıklanmama özelliğini,
e) İşletmeci: KamuNet’e ait altyapıyı işleten işletmeciyi,
f) Kamu kurumu: KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşunu,
g) KamuNet: Kamu kurum ve kuruluşları tarafından özel ağ ile internet ortamından yalıtılmış şekilde hizmet, işlem ve veri trafiğinin aktarılacağı, fiziksel ve siber saldırılara karşı daha güvenli kapalı devre, kamu sanal ağı altyapısını,
ğ) Kurumsal SOME: Kamuda ve ilgili Sektörel Siber Olaylara Müdahale Ekibi tarafından belirlenen kritik altyapı işleten kurumlarda kurulan Siber Olaylara Müdahale Ekibini,
h) Sektörel SOME: Kritik sektörlerde, varsa sektörü düzenleyici ve denetleyici kurumlar, yoksa ilgili bakanlıklar bünyesinde kurulan Siber Olaylara Müdahale Ekibini,
ı) SOME: Siber Olaylara Müdahale Ekibini,
i) USOM: Ulusal Siber Olaylara Müdahale Merkezini,
j) Varlık: KamuNet için değeri olan herhangi bir şeyi,
ifade eder.
(2) Bu Tebliğde geçen ve birinci fıkrada yer almayan tanımlar için elektronik haberleşme mevzuatında yer alan tanımlar geçerlidir.
İKİNCİ BÖLÜM
Kamu Kurumu Yükümlülükleri ve Asgari Gereksinimler
Kamu kurumu yükümlülükleri ve asgari gereksinimler
(1) Kamu kurumu, KamuNet’e ilişkin aşağıda yer alan asgari gereksinimleri karşılar ve kayıt altına alır:
a) KamuNet’e bağlantı yapacak birimlerini ve sistemlerini kapsayacak BGYS’sini kurar ve işletir,
b) Kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgesini alır ve güncelliğini sağlar. Bu belgeleri, TS ISO/IEC 27001 veya ISO/IEC 27001 standardı kapsamında Türk Akreditasyon Kurumu tarafından akredite edilen belgelendirme kuruluşları veya Uluslararası Akreditasyon Forumu Karşılıklı Tanınma Antlaşmasında yer alan ulusal akreditasyon kurumlarınca akredite edilmiş belgelendirme kuruluşlarından temin eder,
c) Kurum yönetimi tarafından onaylanmış bilgi güvenliği yönetim sistemi politikasına uygun olarak KamuNet ile ilgili politika tanımlar, dokümante eder, ilgili çalışanlarının ve tarafların söz konusu politikaya ilişkin farkındalığını sağlar,
ç) Bilgi güvenliği ihtiyaçlarını karşılayacak şekilde bilgi varlıklarının gizlilik dereceleri sınıflandırılmasını Türk Standartları Enstitüsü tarafından Kritere Uygunluk Belgesi TSEK 523 Kriteri olarak yayınlanan Bilgi Varlıklarının Gizlilik Derecelerine Göre Sınıflandırılması Dokümanına uygun olarak yapar. Sınıflandırılan gizlilik derecelerine göre şifreleme tekniklerini kullanabilir,
d) KamuNet’e dâhil olan birimlerinde çalışan personeline yönelik BGYS ile birlikte siber güvenlik de dâhil olacak şekilde bilgilendirme ve eğitimler verir,
e) KamuNet’ten sorumlu bir ekip oluşturur. Bu ekibin iletişim bilgilerini Bakanlık ve İşletmeci ile paylaşır ve güncel tutar,
f) Sunucu ve istemci ağlarında internet üzerinden ve yerel ağ içerisinden düzenli zafiyet taramaları yapar, var olan zafiyetleri tespit ederek gerekli önlemleri alır,
g) KamuNet için kurum içi envanter ve topoloji oluşturur ve güncel tutar,
ğ) KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapar,
h) KamuNet’e bağlı sistemlere ait iz kayıtlarını herhangi bir anomaliye karşı sürekli olarak inceler,
ı) Sistem güvenliği için sunucu ve istemci ağlarını ayırır,
i) Sunucu ve istemci ağlarının birbirine erişiminde mutlaka bir güvenlik katmanı oluşturur,
j) KamuNet ağından gelebilecek tehditlere karşı kendilerini korumak ve KamuNet’e ilişkin bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla (bilgisayar virüsleri, solucanlar, truva atları gibi zararlı yazılımlara ve benzeri) yazılımsal ve donanımsal önlemleri alır. Bu kapsamda güvenlik cihazları (güvenlik duvarı, saldırı önleme sistemi, içerik filtreleme, anti virüs veya birleşik tehdit yönetimi) kullanır,