Kurumsal Siber Güvenlik Standartları, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi Güvenliği Rehberi, BDDK BS Yönetmeliği

Ülkemizde siber güvenliğin sağlanması konusunda kaynak arayanlar için yeterli kaynak bulunmayıp, farklı yabancı dokümanlardan yararlanılıyordu. Fakat son dönemde ülkemizde de yerli kaynak oluşturmak için çalışmalar başlatılmış ve bunun neticesinde kılavuz olabilecek dokümanlar yayımlanmıştır. Bu yazıda bilgi güvenliği konusunda farklı uluslararası standartlar ve ülkemizde yayımlanan rehber dokümanlar incelenecektir.

 

 

A) Faydalanılan Kaynaklar

Ülkemizde ISO27001, NIST(ABD Ulusal Standartlar ve Teknolojiler Enstitüsü) belgeleri, CIS gibi yabancı dokümanlardan da yararlanılıyor. Bu kaynaklardan bazılarını kısaca aşağıdaki şekilde tanımlayabiliriz:

 

A.1) ISO 27001

BGYS sisteminin kurulmasını ve bilgi güvenliği için uygulanması gereken kontrolleri içeren bir standarttır.

ISO 27001, özellikle Avrupa bölgesinde yaygın uygulanan bir standart olup belge ve diğer destek dokümanlarını satın almanız gerekir. Ülkemizde kurumsal şirketler 27001 standardını genelde uygularlar. Standart içerik olarak bilgi güvenliği yönetim sisteminin kurulumu için oldukça yeterlidir. Kontrolleri de genel kontroller anlamında tanım olarak zengindir. Ancak; ISO 27001 biraz da fikri mülkiyet nedeniyle rahat bir şekilde paylaşılıp üzerinde konuşulabilen bir standart değildir. Kontrollerin farklı varlıklar üzerinde uygulanması ile ilgili bir metodoloji de sunmamaktadır..

 

A.2) NIST Belgeleri

NIST Belgeleri ABD’de kamu kurumları ve kamuya iş yapan firmaların ve kritik sektör firmalarının uyması gereken bir çok belgeyi içeren standartlar kümesidir. CSF (Cyber Security Framework) ve 800-53 (Federal Organizasyon ve Bilgi Sistemler için Güvenlik ve Mahremiyet Kontrolleri) en çok kullanılan ana dokümanlardır. CSF 5 ana alanda 108 genel özet kontrol içerir diğer standartlara referans verir. Referans verdiği ana standart 800-53 dokümanıdır. Genel kontrol taslağı olarak CSF kullanıp kontrol detayı için referans standartlardan faydalanabilirsiniz. NIST belgeleri tüm dünyaya açık dilediğiniz gibi kullanabileceğiniz zengin içeriğe sahiptir. Bunlarda da bir çok kontrol bulunur. Ancak NIST belgelerinde de kontrollerin farklı varlıklar üzerinde uygulanması ile ilgili bir metodoloji bulunmamaktadır.

A.3) CIS

Siber güvenlikle ilgili daha teknik detayda 20 başlık ve özet şeklinde bir kontrol kümesinden oluşmaktadır. Özellikle orta ve küçük ölçekli işletmelerde uygulayarak hızlı bir şekilde riskler azaltılabilir.

 

B) Ülkemizdeki Çalışmalar

Özellikle son 10 yılda siber güvenlik, ulusal güvenlik için önemli bir cephe haline geldi. Her ülke kendisi, ya da ülkeler birlikte hareket ederek vatandaşlarını, kamu kurumlarını, kritik sektördekiler başta olmak üzere özel şirketlerini ve diğer kurumsal altyapılarını (özetle varlıklarını) siber tehditlerden korumak amaçlı çalışmalar yapıyorlar. Bu çalışmaların en önemlilerinden birisi de siber güvenliği sağlamak için neler yapılması gerektiğinin anlatıldığı bir rehber oluşturulmasıdır. Oluşturulan rehber hem kurum ve kişilerde siber güvenlik farkındalığı oluşturulmasını sağlıyor, hem de yetişmiş elemanın az olduğu siber güvenlik sektöründe kişi ve kurumları neler yapmaları gerektiği konusunda yönlendiriyor.

Ülkemizde de Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından Bilgi ve İletişim Güvenliği Rehberi yayınlandı. Rehber içerik olarak 3 alanda 15 ana başlık altında 62 alt başlıkta 659 tedbir ve denetim sorularından oluşuyor. Rehber kontrol detayları açısından zengin bir içeriğe sahip. Ayrıca kontrollerin farklı varlıklar üzerinde uygulanması için de etkili bir metodoloji sunmaktadır.

Bildiğiniz gibi siber güvenlik, yukarıdan aşağıya (top-down) doğru yönlendirilmesi gereken bir süreçtir. Yani kurum yöneticileri siber güvenlik kontrollerinin uygulanması konusunda güvenlik ekiplerini desteklemeli, kurum çalışanlarını yönlendirmelidir. Bu sebeple ülkemizin en üst seviyedeki kurumu tarafından bu şekilde bir rehberin oluşturulması ve rehbere uyumun kamu kurumları ve kritik sektörler için zorunlu tutulması kurum yöneticilerinin siber güvenlik farkındalığını arttıracak ve siber güvenlik fonksiyonunun daha fazla yönetim desteği almasını sağlayacaktır.

Ayrıca kurumlar rehberi uyguladıkça sektör çalışanları arasında rehberdeki kontrollerin uygulanması için en iyi uygulamalar konuşulmaya çalışılacak, bu şekilde paylaşımlarla ülkedeki tüm güvenlik seviyesi yükselecektir.

Rehber içinde farklı standartlara genel olarak referanslar verilmiştir.

Türkiye’deki bankalar BDDK‘nin Bilgi Sistemleri Yönetmeliği‘ne tabi olup bu yönetmelikte de bir çok bilgi güvenliği maddesi bulunmaktadır. Bu maddeler de yine ISO 27001 maddeleri ile benzerlik göstermektedir. 24.07.2020 tarihinde onaylanan Cumhurbaşkanlığı Dijital Dönüşüm Ofisi bilgi güvenliği rehberi sunulmuştur. Elimizde uygulanması gereken yığınla kontrol ve bunların çoğu birbiriyle çakışıyor. Tüm sektörler aynı işi tekrar tekrar yapmasın diye, ekip olarak yaptığımız eşleştirmeyi aşağıda paylaşıyorum.

BDDK BS yönetmeliği, ISO 27001 ve DDO BG rehberi birlikte uygulaması gereken kurumlar 3 belgedeki kontrollerin eşleştirilmiş haline bağlantıdaki dokümandan ulaşabilirsiniz.

 

Önemli olanın kontrolleri en kısa sürede uygulamak olduğunu unutmayalım!