Bilgi ve İletişim Güvenliği Rehberi PDF

Summary

Bilgi ve İletişim Güvenliği Rehberi, dijital çağda siber güvenliğin önemini vurguluyor. Siber tehditlerin artan doğası ve yıkıcı etkileri nedeniyle, bilgi sistemlerinde güvenlik risklerinin azaltılması ve kritik verilerin korunması konularında rehberlik sağlanıyor. Rehber, ülke çapında bilgi güvenliği seviyesinin artırılmasına yönelik önemli bir adım. Ulusal ve uluslararası işbirliğini de vurgulayan rehber, yerli siber güvenlik ürün ve çözümlerinin geliştirilmesini ve kullanılmasını teşvik ediyor.

Full Transcript

 BELGE ADI: Bilgi ve İletişim Güvenliği Rehberi

SÜRÜM NO: 2020 / 1.0

SÜRÜM TARİHİ: 10.07.2020

GİZLİLİK DERECESİ: Tasnif Dışı

https://www.cbddo.gov.tr/bgrehber

Bilgi ve İletişim Güvenliği Rehberi hakkındaki
görüş ve öneriler aşağıda yer alan elektronik posta adresine iletilebilir.
Elektronik Posta: [email protected]

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanan Bilgi ve İletişim Güvenliği Rehberi,
Creative Commons Atıf 4.0 Uluslararası lisansı ile lisanslanmıştır. Lisansın bir kopyası için
https://creativecommons.org/licenses/by/4.0/deed.tr bağlantısı ziyaret edilebilir.

I
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

II
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

III
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

SUNUŞ

Günümüz dünyasında dijital teknolojilerin baş döndürücü bir hızla gelişimi, ekonomik ve sosyal hayatın
yanında güvenlik tanım ve kavramlarını da etkileyerek geleceğe dönük güvenlik bakış açılarını kökten
değiştirmiştir.
Toplumların hayatına yön verebilme potansiyeli bulunan verinin dijital ortama taşınmasıyla, siber tehdit ve
saldırıların doğası da değişmiştir. Geçmişte daha sade yöntemler, basit amaçlar ve belirli yetkinlikte kişiler
tarafından gerçekleştirilen siber saldırılar artık devletler düzeyinde, otomatize edilmiş, daha sık, karmaşık,
yıkıcı, tespiti zor ve hedef odaklı olmaya başlamıştır. Son dönemde yaşanan hadiseler, ülkenin sınırlarını
korumak kadar ülkenin verisinin ve dijital altyapılarının korunmasının önemini bize göstermiştir.
Şüphesiz dünyanın hiçbir yerinde bu alanda yüzde yüz güvenlikten bahsetmek mümkün değildir. Ancak
insan, teknoloji, organizasyon yapısı, yasal düzenleme ile ulusal ve uluslararası işbirliği boyutlarının her
birinde atılacak doğru ve bilinçli adımlarla yıkıcı etkilerden korunmak mümkündür. Bilgi sistemlerinde
karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya
erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol
açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti
veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren, 06.07.2019 tarih ve 30823
sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yasal
düzenleme boyutunda ülke çapında bilgi güvenliği seviyesini artırmaya yönelik önemli bir adım olmuştur.
Genelgenin yürürlüğe girmesini müteakiben, Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, Bilgi ve
İletişim Güvenliği Rehberi hazırlama çalışmaları başlatılmıştır. Yaklaşık 1 yıl süren çalışmalar kapsamında; 5
günlük bir çalıştay gerçekleştirilmiş, 16 Bakanlık ile 51 Kurum ve Kuruluştan 240 uzmanın katkısı alınmış, 200
saati aşan 70’in üzerinde çalışma toplantısında 2660 görüş ve öneri değerlendirilmiş, ulusal ve uluslararası
yayınlar incelenmiştir.
Bilgi ve iletişim güvenliği alanında ülkemize özgün ilk referans doküman olma niteliği taşıyan ve geniş bir
katılımla ilgili tüm paydaşların katkısı alınarak hazırlanan Bilgi ve İletişim Güvenliği Rehberi; ihtiyaçlar,
gelişen teknoloji, değişen şartlar ile ulusal politika ve stratejiler göz önünde bulundurularak güncellenmeye
devam edecektir.
Güçlü ekonomiler için güçlü teknolojilerin önem kazandığı çağımızda bugünden atacağımız adımlar ve
alacağımız önlemler yarının dünyasında teknolojiyi takip eden değil teknolojiye yön veren bir ülke
olabilmemiz için oldukça önemlidir. Bu bağlamda Rehber, yerli ve milli siber güvenlik ürün ve çözümlerinin
kullanımının yaygınlaştırılmasını sağlayarak üretim gücümüze destek olacak, siber güvenlik alanında dünya
ile rekabet edebilecek teknoloji üretebilmenin önünü açacaktır.

Rehber, bilgi ve iletişim güvenliği alanındaki büyük bir boşluğu doldurmakla birlikte, siber saldırılara karşı
mukavemetimizi artıracak, bilgi güvenliği ve siber güvenlikte ülke seviyesinin uluslararası arenada
yükselmesinde önemli bir rol alacaktır. Bunula birlikte ulusal verimizin güvenliğine, kritik altyapı ve
sistemlerimizin sürdürülebilirliğine katkı sağlayacak, milli güvenlik stratejilerimiz ve hedeflerimizi
gerçekleştirmek için doğru adımlarla yol almamızı sağlayacaktır.

Dr. Ali Taha KOÇ
Dijital Dönüşüm Ofisi Başkanı

IV
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

V
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

İÇİNDEKİLER
Sayfa

KISALTMALAR......................................................................................................................................................... 5

TANIMLAR............................................................................................................................................................... 7

GİRİŞ................................................................................................................................................................. 11
Amaç ve Kapsam..................................................................................................................................11
Rehberin İçeriği ve Güncelleme Süreci....................................................................................................12
Rehber Uyum Planı...............................................................................................................................13
BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ UYGULAMA SÜRECİ.................................................................................. 19
Planlama.............................................................................................................................................21
2.1.1. Varlık Gruplarının Belirlenmesi................................................................................................................................ 21
2.1.2. Varlık Grubu Kritiklik Derecesinin Belirlenmesi....................................................................................................... 24
2.1.3. Mevcut Durum ve Boşluk Analizi.............................................................................................................................. 27
2.1.4. Rehber Uygulama Yol Haritasının Hazırlanması...................................................................................................... 29
Uygulama............................................................................................................................................30
2.2.1. Bilgi ve İletişim Güvenliği Temel Prensipleri............................................................................................................ 30
Kontrol Etme ve Önlem Alma.................................................................................................................31
2.3.1. Rehber Uygulama Yol Haritasının İzlenmesi ve Kontrol Edilmesi........................................................................... 31
2.3.2. Bilgi ve İletişim Güvenliği Denetimi.......................................................................................................................... 31
Değişiklik Yönetimi..............................................................................................................................32
2.4.1. Rehber Değişikliklerinin Yönetilmesi....................................................................................................................... 32
2.4.2. Varlık Gruplarının Değişikliklerinin Yönetilmesi...................................................................................................... 32
VARLIK GRUPLARINA YÖNELİK GÜVENLİK TEDBİRLERİ......................................................................................... 35
Ağ ve Sistem Güvenliği..........................................................................................................................35
3.1.1. Donanım Varlıklarının Envanter Yönetimi............................................................................................................... 36
3.1.2. Yazılım Varlıklarının Envanter Yönetimi................................................................................................................... 38
3.1.3. Tehdit ve Zafiyet Yönetimi........................................................................................................................................ 40
3.1.4. E-Posta Sunucusu ve İstemcisi Güvenliği................................................................................................................ 44
3.1.5. Zararlı Yazılımlardan Korunma................................................................................................................................ 47
3.1.6. Ağ Güvenliği.............................................................................................................................................................. 49
3.1.7. Veri Sızıntısı Önleme................................................................................................................................................. 57
3.1.8. İz ve Denetim Kayıtlarının Tutulması ve İzlenmesi.................................................................................................. 59
3.1.9. Sanallaştırma Güvenliği........................................................................................................................................... 61
3.1.10. Siber Güvenlik Olay Yönetimi................................................................................................................................. 64
3.1.11. Sızma Testleri ve Güvenlik Denetimleri................................................................................................................. 66
3.1.12. Kimlik Doğrulama ve Erişim Yönetimi.................................................................................................................... 68
3.1.13. Felaket Kurtarma ve İş Sürekliliği Yönetimi........................................................................................................... 74
3.1.14. Uzaktan Çalışma..................................................................................................................................................... 79
Uygulama ve Veri Güvenliği...................................................................................................................84
3.2.1. Kimlik Doğrulama..................................................................................................................................................... 84

1
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

3.2.2. Oturum Yönetimi...................................................................................................................................................... 89
3.2.3. Yetkilendirme........................................................................................................................................................... 91
3.2.4. Dosyaların ve Kaynakların Güvenliği........................................................................................................................ 92
3.2.5. Güvenli Kurulum ve Yapılandırma........................................................................................................................... 95
3.2.6. Güvenli Yazılım Geliştirme........................................................................................................................................ 98
3.2.7. Veri Tabanı ve Kayıt Yönetimi................................................................................................................................. 100
3.2.8. Hata Ele Alma ve Kayıt Yönetimi............................................................................................................................ 104
3.2.9. İletişim Güvenliği.................................................................................................................................................... 106
3.2.10. Kötücül İşlemleri Engelleme................................................................................................................................ 107
3.2.11. Dış Sistem Entegrasyonlarının Güvenliği............................................................................................................. 111
Taşınabilir Cihaz ve Ortam Güvenliği.................................................................................................... 114
3.3.1. Akıllı Telefon ve Tablet Güvenliği........................................................................................................................... 114
3.3.2. Taşınabilir Bilgisayar Güvenliği.............................................................................................................................. 118
3.3.3. Taşınabilir Ortam Güvenliği (CD/DVD, Taşınabilir Bellek Ortamları).................................................................... 120
Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği................................................................................... 121
3.4.1. Ağ Servisleri ve İletişimi.......................................................................................................................................... 121
3.4.2. Dâhili Veri Depolama.............................................................................................................................................. 123
3.4.3. Kimlik Doğrulama ve Yetkilendirme....................................................................................................................... 124
3.4.4. API ve Bağlantı Güvenliği........................................................................................................................................ 125
3.4.5. Diğer Güvenlik Tedbirleri........................................................................................................................................ 126
Personel Güvenliği............................................................................................................................. 128
3.5.1. Genel Güvenlik Tedbirleri....................................................................................................................................... 128
3.5.2. Eğitim ve Farkındalık Faaliyetleri........................................................................................................................... 131
3.5.3. Tedarikçi İlişkileri Güvenliği................................................................................................................................... 132
Fiziksel Mekânların Güvenliği.............................................................................................................. 134
3.6.1. Genel Güvenlik Tedbirleri....................................................................................................................................... 135
3.6.2. Sistem Odası/Veri Merkezine Yönelik Güvenlik Tedbirleri..................................................................................... 141
3.6.3. Elektromanyetik Bilgi Kaçaklarından Korunma Yöntemleri (TEMPEST)............................................................... 146
UYGULAMA VE TEKNOLOJİ ALANLARINA YÖNELİK GÜVENLİK TEDBİRLERİ............................................................ 149
Kişisel Verilerin Güvenliği.................................................................................................................... 149
4.1.1. Kayıt Yönetimi......................................................................................................................................................... 149
4.1.2. Erişim Kayıtları Yönetimi........................................................................................................................................ 152
4.1.3. Yetkilendirme......................................................................................................................................................... 153
4.1.4. Şifreleme................................................................................................................................................................. 155
4.1.5. Yedekleme, Silme, Yok Etme ve Anonim Hale Getirme......................................................................................... 156
4.1.6. Aydınlatma Yönetimi.............................................................................................................................................. 157
4.1.7. Açık Rıza Yönetimi.................................................................................................................................................. 158
4.1.8. Kişisel Veri Yönetim Sürecinin İşletilmesi.............................................................................................................. 160
Anlık Mesajlaşma Güvenliği................................................................................................................. 161
4.2.1. Genel Güvenlik Tedbirleri....................................................................................................................................... 161
Bulut Bilişim Güvenliği........................................................................................................................ 163
4.3.1. Genel Güvenlik Tedbirleri....................................................................................................................................... 164

2
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Kripto Uygulamaları Güvenliği............................................................................................................. 168
4.4.1. Kriptografik Algoritmalar ve Kullanımı.................................................................................................................. 168
4.4.2. Şifreleme ve Anahtar Yönetimi............................................................................................................................... 170
4.4.3. Kriptografik Uygulamalar....................................................................................................................................... 176
Kritik Altyapılar Güvenliği................................................................................................................... 178
4.5.1. Genel Güvenlik Tedbirleri....................................................................................................................................... 178
4.5.2. Enerji Sektörü Özelinde Güvenlik Tedbirleri.......................................................................................................... 179
4.5.3. Elektronik Haberleşme Sektörü Özelinde Güvenlik Tedbirleri.............................................................................. 182
Yeni Geliştirmeler ve Tedarik............................................................................................................... 185
4.6.1. Genel Güvenlik Tedbirleri....................................................................................................................................... 185
SIKILAŞTIRMA TEDBİRLERİ............................................................................................................................... 189
İşletim Sistemi Sıkılaştırma Tedbirleri.................................................................................................. 189
5.1.1. Genel Sıkılaştırma Tedbirleri.................................................................................................................................. 189
5.1.2. Linux İşletim Sistemi Sıkılaştırma Tedbirleri......................................................................................................... 193
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri................................................................................................... 196
Veri Tabanı Sıkılaştırma Tedbirleri....................................................................................................... 198
5.2.1. Genel Sıkılaştırma Tedbirleri.................................................................................................................................. 198
Sunucu Sıkılaştırma Tedbirleri............................................................................................................ 202
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri................................................................................................................... 203
5.3.2. Sanallaştırma Sunucusu Sıkılaştırma Tedbirleri................................................................................................... 207

KAYNAKÇA.......................................................................................................................................................... 210

EKLER................................................................................................................................................................. 211

EK-A: GENELGE MADDELERİ EŞLEŞTİRME TABLOSU............................................................................................... 211

EK-B: ULUSLARARASI STANDARTLAR VE YAYIMLI KILAVUZLAR EŞLEŞTİRME TABLOSU............................................. 215
EK-C: BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ UYGULAMA SÜRECİ KAPSAMINDA
KULLANILACAK FORMLAR, ŞABLONLAR VE ÖRNEK DOKÜMANLAR.................................................................. 217

EK-C.1: VARLIK GRUBU KRİTİKLİK DERECELENDİRME ANKETİ................................................................................. 217

EK-C.2: VARLIK GRUBU VE KRİTİKLİK DERECESİ TANIMLAMA FORMU...................................................................... 223

EK-C.3: MEVCUT DURUM VE BOŞLUK ANALİZ FORMU............................................................................................. 224

EK-C.4: REHBER UYGULAMA YOL HARİTASI BELİRLEME FORMU.............................................................................. 226

EK-C.5: TELAFİ EDİCİ KONTROL KAYIT FORMU....................................................................................................... 227

EK-C.6: TAAHHÜTNAME ÖRNEĞİ........................................................................................................................... 228

3
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

ŞEKİLLER
Şekil 1. Bilgi ve İletişim Güvenliği Rehberinin Hedefleri........................................................................................... 12
Şekil 2. Rehber Güncelleme Süreci............................................................................................................................ 13
Şekil 3. Rehber Uyum Planı........................................................................................................................................ 13
Şekil 4. Rehber ve Bilgi Güvenliği Yönetim Sistemi İlişkisi........................................................................................ 14
Şekil 5. Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci.................................................................................... 19
Şekil 6. Varlıklar, Varlık Grupları ve Varlık Ana Başlıkları.......................................................................................... 22
Şekil 7. Kritiklik Derecesi Belirlemek için Kullanılan Boyutlar.................................................................................. 24
Şekil 8. Temel Prensipler........................................................................................................................................... 30

TABLOLAR
Tablo 1. SAM Rolleri Açıklamaları.............................................................................................................................. 20
Tablo 2. Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci için Sorumluluk Atama Matrisi................................ 20
Tablo 3. Anket Puanına Karşılık Gelen Kritiklik Derecesi.......................................................................................... 25
Tablo 4. Varlık Grubu Kritiklik Derecesinin Belirlenmesi.......................................................................................... 26
Tablo 5. Alt Varlık Gruplarının Kritiklik Derecesinin Belirlenmesi............................................................................ 26
Tablo 6. Varlık Gruplarına Yönelik Tedbir Uygulanabilirlik Örnek Çalışması........................................................... 27

4
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

KISALTMALAR
Kısaltma Açıklama
API Application Programming Interface / Uygulama Programlama Arayüzü
ASLR Address Space Layout Randomization / Adres Alanı Düzeni Rastgele Seçimi
BDDK Bankacılık Düzenleme ve Denetleme Kurumu
BT Bilgi Teknolojisi
BTK Bilgi Teknolojileri ve İletişim Kurumu
Completely Automated Public Turing Test to Tell Computers and Humans Apart / İnsan ve Bilgisayar Ayrımı Amaçlı Tam
CAPTCHA
Otomatik Genel Turing Test
COMSEC Communication Security / Haberleşme Güvenliği
CORS Cross-Origin Resource Sharing / Kökler Arası Kaynak Paylaşımı
CSRF Cross-Site Request Forgery / Siteler Arası İstek Sahteciliği
DEP Data Execution Prevention / Veri Yürütme Engellemesi
DDO Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
DHCP Dynamic Host Configuration Protocol / Dinamik Bilgisayar Yapılandırma Protokolü
DKIM Domain Keys Identified Mail / Alan Adı Anahtarıyla Tanımlanmış E-Posta
DMZ Demilitarized Zone / Sivil Bölge
DNS Domain Name System / Alan Adı Sistemi
DoS Denial of Service / Hizmet Engelleme
DDoS Distributed Denial of Service / Dağıtık Hizmet Engelleme
EAP Extensible Authentication Protocol / Genişletilebilir Kimlik Doğrulama Protokolü
EBYS Elektronik Belge Yönetim Sistemi
EKS Endüstriyel Kontrol Sistemi
EPDK Enerji Piyasası Düzenleme Kurumu
FTP File Transfer Protocol / Dosya Transfer Protokolü
G2B Government to Business / Devletten Kuruma
G2G Government to Government / Devletten Devlete
GPS Global Positioning System / Küresel Konumlama Sistemi
HDD Hard Disk Drive / Sabit Disk Sürücüsü
HIDS Host Intrusion Detection System / Bilgisayar Tabanlı Saldırı Tespit Sistemi
HIPS Host Intrusion Prevention System / Bilgisayar Tabanlı Saldırı Önleme Sistemi
HMI Human Machine Interface / Makine ile İnsan Arasında Bilgi Aktarımı Sağlayan Arayüz
HSTS HTTP Strict Transport Security / HTTP Sıkı Aktarım Güvenliği
HSM Hardware Security Module / Donanımsal Güvenlik Modülü
HTML Hypertext Markup Language / Standart Metin İşaretleme Dili
HTTP Hypertext Transfer Protocol / Bağlantılı Metin Aktarım Protokolü
HTTPS Hypertext Transfer Protocol Secure / Güvenli Bağlantılı Metin Aktarım Protokolü
IEC International Electrotechnical Commission / Uluslararası Elektroteknik Komisyonu
IED Intelligent Electronic Device / Akıllı Elektronik Cihaz
IMAPs Internet Message Access Protocol Secure / Güvenli İnternet Mesaj Erişim Protokolü
IoT Internet of Things / Nesnelerin İnterneti
IP Internet Protocol / İnternet Protokolü
IPS Intrusion Prevention System / Saldırı Önleme Sistemi
IPSec IP Security / İnternet Protokolü Güvenliği
ISO International Organization for Standardization / Uluslararası Standartlar Örgütü
LAN Local Area Network / Yerel Ağ Bağlantısı
LDAP Lightweight Directory Access Protocol / Hafif Dizin Erişim Protokolü
LUN Logical Unit Number / Mantıksal Birim Numarası
MAC Media Access Control Address / Ortam Erişim Kontrol Adresi
MMS Manufacturing Message Specification / Üretim Mesaj Spesifikasyonu

5
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Kısaltma Açıklama
NAC Network Access Control / Ağ Erişim Kontrolü
NES Nitelikli Elektronik Sertifika
NFC Near Field Communication / Yakın Alan İletişimi
NTP Network Time Protocol / Ağ Zaman Protokolü
OCSP Online Certificate Status Protocol / Çevrimiçi Sertifika Durum Protokolü
OT Operasyonel Teknolojiler
PCMCIA Personal Computer Memory Card International Association / Kişisel Bilgisayar Bellek Kartı Uluslararası Birliği
PLC Programmable Logic Controller / Programlanabilir Mantıksal Denetleyici
PoC Proof of Concept / Demo ve Kavram İspatı
POP3 Post Office Protocol / Posta İleti Protokolü
PRNG Pseudo Random Numerator Generator / Varsayımsal Rastsal Sayı Üreteci
SAM Sorumluluk Atama Matrisi
REST Representational State Transfer / Temsili Durum Transferi
RTU Remote Terminal Unit / Uzak Terminal Ünitesi
SAN Storage Area Network / Depolama Alanı Ağı
SCADA Supervisory Control And Data Acquisition / Merkezi Kontrol ve Veri Toplama
SCAP Security Content Automation Protocol / Güvenlik İçeriği Otomasyon Protokolü
SFTP Secure File Transfer Protocol / Güvenli Dosya Transfer Protokolü
SMB Server Message Block / Sunucu İleti Bloğu
SMS Short Message Service / Kısa Mesaj Hizmeti
SMTP Simple Mail Transfer Protocol / Basit Posta Aktarım Protokolü
SMTPS Secure Simple Mail Transfer Protocol / Güvenli Basit Posta Aktarım Protokolü
SOME Siber Olaylara Müdahale Ekibi
SPF Sender Policy Framework / Gönderen Politika Çerçevesi
SPK Sermaye Piyasası Kurulu
SQL Structured Query Language / Yapısal Sorgulama Dili
SSD Solid State Disk / Katı Hal Sürücüsü
SSH Secure Shell / Güvenli Kabuk
SSL Secure Sockets Layer / Güvenli Soket Katmanı
TCP Transmission Control Protocol / Gönderi Kontrol Protokolü
TEE Trusted Execution Environment / Güvenilir İşletim Ortamı
Telecommunications Electronics Material Protected from Emanating Spurious Transmissions / Elektromanyetik
TEMPEST
İletimlerin Yayılımından Korunan Telekomünikasyon Elektronik Malzemesi
TLS Transport Layer Security / Taşıma Katmanı Güvenliği
TRNG True Random Number Generator / Gerçek Rassal Sayı Üreteci
TRSM Tamper Resistant Security Module / Kurcalamaya Dayanıklı Güvenlik Modülü
TS Türk Standardı
UDP User Datagram Protocol / Kullanıcı Veri Bloğu Protokolü
UPS Uninterruptible Power Supply / Kesintisiz Güç Kaynağı
URL Uniform Resource Locator / Tek Düzen Kaynak Konum Belirleyicisi
USB Universal Serial Bus / Evrensel Seri Veri Yolu
USOM Ulusal Siber Olaylara Müdahale Merkezi
VLAN Virtual Local Area Network / Sanal Yerel Alan Ağı
VPN Virtual Private Network / Sanal Özel Ağ
WAF Web Application Firewall / Uygulama Güvenlik Duvarı
WebDAV Web Distributed Authoring and Versioning / Web Dağıtımlı Yayın ve Sürümleme
WiFi Wireless Fidelity / Kablosuz Bağlantı Alanı
XML Extensible Markup Language / Genişletilebilir İşaretleme Dili
XSS Cross Site Scripting / Siteler Arası Betik Çalıştırma

6
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

TANIMLAR

Tanım Açıklama

Bir karar alma durumuna ilişkin uzman görüşlerinin sistematik ve etkileşimli bir şekilde ele
Delfi Metodu
alınmasını sağlayan bir yöntem

Bir bilgi varlığına kimin eriştiğini veya erişmeye çalıştığını ve erişim sağlayan kullanıcının
Denetim Kaydı
hangi işlemleri gerçekleştirdiğini gösteren kayıtlar

06.07.2019 Tarihli ve 30823 Sayılı Resmi Gazete’de yayımlanan 2019/12 Sayılı
Genelge
Cumhurbaşkanlığı Genelgesi

Bilmesi gereken kişiler dışındakilere açıklanması veya verilmesi, millî güvenlik ve ülke
Gizlilik Dereceli Bilgi/Veri menfaatleri bakımından sakıncalı görülen ve haiz olduğu önem derecelerine göre “ÇOK
GİZLİ”, “GİZLİ”, “ÖZEL” veya “HİZMETE ÖZEL” şeklinde sınıflandırılan bilgi/veri

İlgili Kişi 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan kişisel verisi işlenen gerçek kişi

Operasyonel bir işlemin başlangıcından bitişine kadar adım adım takip edilmesini
İz Kaydı
sağlayacak kayıtlar

Güvenlik zafiyeti oluşması durumunda yasal yaptırımlara neden olabilecek, içeriğinin
yetkisiz personel veya kişiler tarafından görülmesinin kuruma çok ciddi maddi veya
manevi zarar vereceği her türlü bilgi/veri,
Kritik Bilgi/Veri
Kritiklik derecesi 3 olarak hesaplanan varlıkların işlediği veriler,

24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan özel
nitelikli kişisel veriler

Kurum Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmeler

Kurumsal SOME Kurulum ve Ulaştırma ve Altyapı Bakanlığı tarafından yayımlanmış en güncel “Kurumsal SOME Kurulum
Yönetim Rehberi ve Yönetim Rehberi” dokümanı

Rehber Bilgi ve İletişim Güvenliği Rehberi

Elektronik ve/veya fiziksel ortamlarda yer alan; iletişim yoluyla aktarılabilen bilgiyi içeren;
Varlık kurumun iş süreçleri açısından değer taşıyan tüm bilgi ve bilgi işleme olanakları, bilgiyi
kullanan ve taşıyan personel ile bilgiyi barındıran fiziksel mekânlar

Varlıkların içerdiği verinin kritikliği göz önünde bulundurularak, aynı grup altında
Varlık Grubu
değerlendirilmek üzere sınıflandırılan varlıklar bütünü

Varlık Grubu Ana Başlığı Her varlık grubunun özelliği dikkate alınarak yapılan sınıflandırma

İşlediği bilgi/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına,
Kritik Altyapı büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına
yol açabilecek bilişim sistemlerini barındıran altyapılar

Kritik Altyapı Sektörleri Ulusal Siber Güvenlik Stratejisinde belirlenen kritik altyapı sektörleri

7
GİRİŞ
GİRİŞ

1. BÖLÜM

15
16
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

GİRİŞ
Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim
güvenliği kapsamında genel olarak alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823
sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı
Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır.
Genelge kapsamında yer alan maddelerin Rehberde yer alan tedbirlerle eşleştirilmesini gösteren tablo
EK-A’da sunulmuştur.

Amaç ve Kapsam
Rehberin temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği,
bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin
bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin
belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.
Rehber, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü
taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren
işletmeleri kapsamaktadır.
Rehberin uygulanması sonucu elde edilmesi beklenenler somutlaştırılarak 12 hedef tanımlanmıştır.
Şekil 1’de gösterilen hedefler aşağıda listelenmiştir:

1. Yerli ve milli ürün kullanımının teşvik edilmesi

2. Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların
önüne geçilmesi

3. Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik
dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması

4. Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde
yapılandırılması

5. Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması

6. Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi

7. Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde
gruplandırılması ve rehberin modülerliğinin sağlanması

8. Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması

9. İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin sağlanması

10. Rehberin format ve içeriğinin özgün olması

11. Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp
uygulanmadığını kontrol edecek denetçilere hitap etmesi

12. Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile
ulusal/uluslararası standartlara uyumlu olması

11
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Şekil 1. Bilgi ve İletişim Güvenliği Rehberinin Hedefleri

Rehberin İçeriği ve Güncelleme Süreci

Rehberin içeriği; amaç ve hedefler doğrultusunda, ulusal/uluslararası standartlar ve rehberler, iyi
uygulama örnekleri ile güncel mevzuat göz önünde bulundurularak oluşturulmuştur. EK-B’de rehber
içeriğinin uluslararası standartlar ve yayımlı kılavuzlar ile eşleştirilmesini gösteren tablo yer almaktadır.
Rehberin içeriği aşağıda listelenen dört ana bölümden oluşmaktadır:

Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci: Rehberde yer alan tedbirlerin
uygulanabilmesini sağlamak amacı ile rehber uygulama süreci tanımlanmıştır. Rehber
uygulama süreci, bilgi güvenliği yönetim süreçlerine alternatif olarak uygulanacak bir süreç
olarak hazırlanmamış olup mevcut bilgi güvenliği yönetim süreçlerine teknik olarak katkı
sağlayacak tedbirleri ve faaliyetleri içermektedir. Kurumlar rehber uygulama süreci ile
tanımlanan faaliyetleri, mevcut bilgi güvenliği yönetim süreçleri kapsamında ve uyarlama
yaparak yürütmelidir.

Varlık Gruplarına Yönelik Güvenlik Tedbirleri: Tanımlanan her bir varlık grubuna dâhil olduğu
ana başlığa göre uygulanacak olan asgari güvenlik tedbirleri belirlenmiş ve detaylandırılmıştır.

Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri: Varlık grupları özelinde
tanımlanan güvenlik tedbirlerine ek olarak, uygulama ve teknoloji alanlarına özel güvenlik
tedbirleri tanımlanmış ve detaylandırılmıştır. Her bir varlık grubu için ilgili uygulama ve
teknoloji alanları belirlenmeli ve belirlenen alanlar için tanımlanan güvenlik tedbirleri de ilgili
varlık gruplarına uygulanmalıdır.

Sıkılaştırma Tedbirleri: İşletim sistemi, veri tabanı ve sunucular için sıkılaştırma tedbirlerini
içermektedir.

12
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Rehber, yaşayan bir doküman olacak şekilde; ihtiyaçlar, gelişen teknoloji ve değişen şartlar göz önünde
bulundurularak sürekli güncellenecektir. Rehberin güncellenmesi için Şekil 2’de tanımlanan sürecin
işletilmesi planlanmaktadır. Rehberin eski sürümlerine ve güncel sürümüne https://www.cbddo.gov.tr
adresinden erişilebilir olması sağlanacaktır.

Şekil 2. Rehber Güncelleme Süreci

Rehber Uyum Planı

Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmeler tarafından, Bilgi ve
İletişim Güvenliği Rehberi Uygulama Süreci’nin ve tanımlanan güvenlik tedbirlerinin uyum planı
çerçevesinde ele alınması gerekmektedir. Uyum planı kapsamında yapılacak çalışmalar ve zaman
planlamaları Şekil 3’te yer almaktadır. Uygulama yol haritası, uyum planında tanımlanan zaman
dilimleri çerçevesinde oluşturulmalıdır.

Şekil 3. Rehber Uyum Planı

13
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Kurumlar rehber uygulama sürecini, yürüttükleri bilgi güvenliği yönetim süreçlerine entegre etmeli ve
bilgi güvenliği risk yönetimi faaliyetleri kapsamında rehberde tanımlanan tedbirleri uygulamalıdır. Bilgi
ve İletişim Güvenliği Rehberi Uygulama Süreci kapsamında gerçekleştirilmesi gereken çalışmalar ile
Bilgi Güvenliği Yönetim Sistemi ana maddeleri arasındaki ilişki Şekil 4’te yer almaktadır.

Şekil 4. Rehber ve Bilgi Güvenliği Yönetim Sistemi İlişkisi

14
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Rehberin 2. Bölümünde rehber uygulama süreci açıklanmıştır. Bu süreç kapsamında kullanılacak anket
EK-C.1 olarak sunulmuştur. Bölüm 3’te varlık gruplarına yönelik tedbirlere, Bölüm 4’te de uygulama ve
teknoloji alanına yönelik tedbirlere yer verilmiştir. Bölüm 3, 4 ve 5’te yer alan güvenlik tedbirleri
açıklanırken tedbirler gruplandırılmış ve tedbir alt başlıkları oluşturulmuştur.

Tedbir ana başlıkları; amacı, önemi ve uygulama adımları ile açıklanmış olup, tedbir alt başlıkları ise
aşağıdaki başlıklarda detaylandırılmıştır:

Tedbirler: Alınması gereken tedbirleri seviyelendirerek listeler.

Denetim Maddeleri: Grupta yer alan güvenlik tedbirlerinin uygulanıp uygulanmadığının
kontrolü için kullanılabilecek denetim yöntemlerini ve soru örneklerini içerir. Tedbir maddeleri
özelinde tanımlanan denetim yöntem önerileri; mülakat, gözden geçirme, güvenlik denetimi,
sızma testi ve kaynak kod analizi yöntemlerini içermektedir. Denetim yöntemlerine ilişkin
açıklamalar aşağıda yer almaktadır.
o Mülakat: Denetim yapılan birim kapsamında söz konusu çalışmaların nasıl
gerçekleştirildiği bilgisinin ilgili kurum personeli ile yüz yüze görüşülerek edinilmesidir.
Gerekli görülmesi durumunda dokümantasyon inceleme çalışması ile
desteklenmektedir.
o Gözden Geçirme: Denetim yapılan birim kapsamında söz konusu çalışmalara yönelik
güvenlik gereksinimleri göz önünde bulundurularak detaylı ve sistematik olarak
yapılan incelemedir.
o Güvenlik Denetimi: Bilgi teknolojileri ve güvenlik sistemlerine ait kuralların, sıkılaştırma
ve yapılandırma çalışmalarının teknik olarak denetlenmesidir. Gerekli görülmesi
durumunda otomatik araç kullanımı ile desteklenmektedir.
o Sızma Testi: Bilgi teknolojileri ve güvenlik sistemleri kapsamında güvenlik açıklarının
tespit edilmesini sağlayan, yetkin kişiler tarafından ve yasalara uygun olarak
gerçekleştirilen güvenlik testleridir.
o Kaynak Kod Analizi: Güvenli yazılım geliştirme konusunda uzman kişiler tarafından
kaynak kodların incelenmesi ve güvenlik açıklarının tespit edilmesini sağlayan denetim
çalışmasıdır. Gerekli görülmesi durumunda otomatik araç kullanımı ile
desteklenmektedir.

15
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

BİLGİ VE
İLETİŞİM
GÜVENLİĞİ
REHBERİ
UYGULAMA
SÜRECİ

2. BÖLÜM

23
24
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ UYGULAMA SÜRECİ
Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci Şekil 5’te tanımlanmıştır. Süreç; planlama,
uygulama, kontrol etme ve önlem alma ile değişiklik yönetimi alt süreçlerinden oluşmaktadır.

Şekil 5. Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci

Planlama kapsamında özet olarak; kurum varlıklarının gruplandırılması, gruplama sonucu elde edilen
varlık gruplarının kritiklik derecelendirmesinin yapılması, bu varlık grubuna uygulanması gereken
güvenlik tedbirlerinin mevcut durumunun analizi ve boşluk analizinin yapılarak yol haritasının
hazırlanması faaliyetleri yürütülür. Yol haritasına uygun olarak yürütülecek çalışmalar uygulama alt
sürecinde gerçekleştirilir. Rehber kapsamında yürütülen çalışmaların izlenmesi ve kontrolü faaliyetleri,
kontrol etme ve önlem alma süreci kapsamında gerçekleştirilir. Kontrol etme ve önlem alma fazında
ayrıca, rehberde yer alan tedbirlerin uygulanma durumunu tespit edebilmek için iç ve dış denetim
faaliyetleri yürütülür. Rehberdeki güncellemelere uyum için yapılacak değişikliklerin belirlenmesi,
kurum varlık gruplarında gerçekleşecek değişikliklerin (varlık grubu içeriğinin değişmesi, yeni varlık

19
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

gruplarının tanımlanması, varlık grubu kritiklik derecesinin değişmesi vb.) rehberde tanımlanan
tedbirlerle uyumunun sağlanması çalışmaları değişiklik yönetimi kapsamında ele alınır.
Sonraki alt başlıklarda Şekil 5’te tanımlanan fazlar ve bu süreçler kapsamında yürütülecek faaliyetler
açıklanmaktadır. Tablo 1’de SAM rollerine ilişkin kısaltmaların açıklamaları yer almaktadır. Alt süreçler
kapsamında gerçekleştirilecek faaliyetler ve her bir faaliyet için örnek roller özelinde tanımlanmış
sorumluluklar Tablo 2’deki SAM tablosu ile belirtilmektedir.

Tablo 1. SAM Rolleri Açıklamaları

Kısaltma Açıklaması

S Sorumlu: Görevi gerçekleştiren personel

O Onaylayan: Görevi durdurabilen, devam ettirebilen, son kararı verebilen ve hesap veren personel

D Danışılan: Görev yapılmadan önce bilgisine başvurulması gereken personel

B Bilgilendirilen: Görev yapıldıktan sonra görevin bittiği konusunda bilgilendirilen personel

Tablo 2’de roller; iç paydaş ve dış paydaş olmak üzere iki kategori altında ele alınmakta olup, ilgili
personelin üstlendiği veya o kişiye atanan görev olarak ifade edilmektedir. Alt süreçler doğrultusunda
gerçekleştirilecek çalışmalar ise faaliyet olarak tanımlanmakta olup, her bir rolün faaliyetler özelinde
tanımlanan sorumluluk ve yetki alanları yer almaktadır.

Tablo 2. Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci için Sorumluluk Atama Matrisi

ROL ADI
İÇ PAYDAŞLAR DIŞ PAYDAŞLAR

İlgili Düzenleyici ve Denetleyici Kurum
Kurumun En Üst Düzey Yöneticisi

Bağlı/İlgili/İlişkili Üst Kurum
İlgili Birim Uzman Personeli

Varlık Grubu Koordinatörü
Kurumsal SOME Yöneticisi

FAALİYET ADI
Bilgi Sistemleri Yöneticisi
Bilgi Güvenliği Yöneticisi

No.
İlgili Birim Yöneticileri

Dış Denetim Personeli

Teknik Danışman
İç Denetçi

DDO

1 Varlık Gruplarını Belirle O S S B S S B D D

2 Varlık Grubu Kritiklik Derecesi Belirle O S S S S B D D

3 Mevcut Durum ve Boşluk Analizi Yap O S S B S S S D D

4 Rehber Uygulama Yol Haritası Belirle O S S B S S D D

5 Rehber Uygulama Yol Haritasını Hayata Geçir O S S S S S B

6 Bilgi ve İletişim Güvenliği Denetimi Yap O B B S B B D S S,B B B

7 Rehber Uygulama Yol Haritasını İzle ve Kontrol Et O S S S S S B D

8 Bilgi ve İletişim Güvenliği Rehber Değişikliklerini Yönet O S S B S S B D D

9 Varlık Gruplarının Değişikliklerini Yönet O S S B S S B D D

20
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Tablo 2’de adı geçen rollerin açıklamaları aşağıda verilmiştir:
Kurumun En Üst Düzey Yöneticisi: Kurum hiyerarşisinde bilgi güvenliğinin sağlanmasından ve
yönetiminden sorumlu en üst mevkide yer alan kişi.
Bilgi Güvenliği Yöneticisi: Kurumda bilgi güvenliğinin sağlanmasından ve yönetiminden sorumlu
personel.
Bilgi Sistemleri Yöneticisi: Kurumda bilgi sistemlerinin yönetiminden sorumlu personel/birim
yöneticisi.
İç Denetçi: Kurumda iç denetimi gerçekleştiren personel.
İlgili Birim Yöneticileri: Kurumda, Rehber uygulama sürecinde yer alan aşamaları gerçekleştirme
hususunda sorumluluk alacak birim yöneticileri.
İlgili Birim Uzman Personeli: Rehber uygulama sürecinde yer alan aşamaları gerçekleştirme
hususunda sorumluluk alacak birim personeli.
Kurumsal SOME Yöneticisi: Kurumda bulunan siber olaylara müdahale ekibinin yöneticisi.
Varlık Grubu Koordinatörü: Rehber uygulama sürecinde yer alan aşamalarda bilgi birikimine danışılan
ve bu aşamaları koordine eden personel.
Dış Denetim Personeli: Rehber uygulama sürecinin ve güvenlik tedbirlerinin kurumda uygulanıp
uygulanmadığını denetleyen üçüncü taraf denetçiler.
DDO: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
Bağlı/İlgili/İlişkili Üst Kurum: Kurumun bağlı/ilgili/ilişkili olduğu üst kurum (Ör. Bakanlıklar).
İlgili Düzenleyici ve Denetleyici Kurum: BDDK, EPDK, SPK ve BTK gibi düzenleyici/denetleyici
kurumlar.
Teknik Danışman: Rehber uygulama sürecinde bilgi birikimine danışılan üçüncü taraf personel.

Planlama

2.1.1. Varlık Gruplarının Belirlenmesi

Rehber kapsamında yürütülen çalışmalarda varlıkların belirlenen başlıklar altında toplanarak
gruplandırılması ve bu gruplar dikkate alınarak tedbirlerin uygulanması gerekmektedir. Rehber;
elektronik ortamda yer alan bilgi/verinin depolandığı, aktarıldığı, işlendiği bilgi işleme olanakları, bilgi
işleme olanaklarını kullanan personel ile bilgi işleme olanaklarını barındıran fiziksel ortamlara ilişkin
varlıkları kapsamaktadır.
Rehberde tanımlanan varlık grubu ana başlıkları aşağıda listelenmiştir:

Ağ ve Sistemler
Uygulamalar
Taşınabilir Cihaz ve Ortamlar
Nesnelerin İnterneti (IoT) Cihazları
Fiziksel Mekânlar
Personel
Rehberde tanımlanan varlık grubu başlıkları, kurumların tanımlayacakları varlık grupları ve bilgi
güvenliği kapsamında yönetilen varlıklar arasındaki ilişki Şekil 6’da tanımlanmıştır.

21
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Şekil 6. Varlıklar, Varlık Grupları ve Varlık Ana Başlıkları

Hâlihazırda, kurumlar tarafından bilgi güvenliği yönetim süreci kapsamında tüm varlıklar belirlenmekte
ve bu varlıklar için alınması gereken güvenlik önlemleri uygulanmaktadır. Varlık grupları belirlenirken
aşağıdaki hususların dikkate alınması önerilmektedir:
Tüm kurumsal varlıkların hangi varlık grubu ana başlığı altında yer alacağının belirlenmesi

Tüm kurumsal varlıkların mümkün olduğunca tek bir varlık grubunda yer almasının sağlanması
(Birden fazla varlık grubu tarafından adreslenmesi gereken kurumsal varlıklar, kritiklik derecesi
en yüksek olan varlık grubu üzerinden değerlendirilmeli ve dâhil edildiği tüm varlık grupları ile
ilgili tedbir maddeleri kurumsal varlık için ele alınmalıdır.)

Varlık gruplarının tanımlanması için kullanılacak alt kırılımların kurumsal ihtiyaçlar
doğrultusunda belirlenmesi (kurum hizmet alanları, kurum organizasyon yapısı, teknolojiler,
uluslararası iyi örnekler, BT altyapıları vb.)

Aynı güvenlik izolasyonunda yer alan varlıkların mümkün olduğunca aynı varlık grubuna dâhil
edilmesi

Farklı güvenlik seviyesine sahip olması gereken varlıkların farklı varlık gruplarında olacak
şekilde gruplandırılması

Aynı seviyede güvenlik tedbirlerinin uygulanacağı düşünülen varlık gruplarının birleştirilerek
varlık grubu sayısının azaltılması

Her bir varlık grubu ana başlığı altında yer alan varlık gruplarının sayılarının yönetilebilecek
sayıda olması
Tanımlanan her bir varlık grubu için ilişkili uygulama ve teknoloji alanına yönelik güvenlik tedbiri ana
başlıkları seçilir. Uygulama ve teknoloji alanı ana başlıkları altındaki tedbirler için ilgili varlık grubuna
atanan kritiklik derecesi göz önünde bulundurulur. Aşağıda örnek bir kurumda varlık grubu belirleme
çalışmaları sonucu elde edilebilecek varlık grubu listesi yer almaktadır:

22
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Ağ ve Sistem varlık grubu ana başlığı
o Merkez bina açık ağ ve BT sistemi (1 adet)
o Felaket kurtarma merkezi ağ ve BT sistemi (1 adet)
o Kapalı ağ ve BT sistemi (1 adet)
o Test ağ ve BT sistemi (1 adet)
o OT sistemi (1 adet)
o A tipi taşra ağ ve BT sistemi (5 adet)
o B tipi taşra ağ ve BT sistemi (8 adet)

Uygulama varlık grubu ana başlığı
o E-devlet üzerinden erişilebilen G2G uygulama (5 adet)
o Kritik veri işleyen G2B uygulama (15 adet)
o Kritik veri işleyen kurum içi uygulama (20 adet)
o Kritik veri işlemeyen kurum içi uygulama (60 adet)

Taşınabilir Cihaz ve Ortam varlık grubu ana başlığı
o İdari yöneticilerin kullandığı tablet ve cep telefonları (40 adet)
o Sistem yöneticilerin kullandığı dizüstü bilgisayarlar (20 adet)
o Yazılım geliştiricilerin kullandığı dizüstü bilgisayarlar (30 adet)
o Personelin kullandığı taşınabilir ortamlar (USB cihazı) (400 adet)

Nesnelerin İnterneti (IoT) Cihazları varlık grubu ana başlığı
o Sistem odası kameraları (10 adet)
o Ortam sensör cihazları (nem, gaz, sıcaklık) (30 adet)

Fiziksel Mekânlar varlık grubu ana başlığı
o Merkez bina veri merkezi (1 adet)
o Felaket kurtarma merkezi (1 adet)
o A tipi taşra veri merkezi (5 adet)
o B tipi taşra veri merkezi (8 adet)
o İdari yönetici odası (2 adet)
o Sistem yöneticisi odası (3 adet)
o Personel odası (100 adet)

Personel varlık grubu ana başlığı
o Üst yönetici (5 personel)
o Birim yöneticisi ve daire başkanı (40 personel)
o Sistem yöneticisi (20 personel)
o Yazılım geliştirici (40 personel)
o Son kullanıcı (1500 personel)
o Altyüklenici personeli (10 personel)

23
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

2.1.2. Varlık Grubu Kritiklik Derecesinin Belirlenmesi

Varlık gruplarının belirlenmesinin ardından bu varlık gruplarının hangi kritiklik derecesine sahip olduğu
belirlenmelidir. Her bir varlık grubunun kritiklik derecesi, işlenen verinin gizlilik, bütünlük ve
erişilebilirlik açısından kritikliği ile oluşabilecek güvenlik ihlallerinin etki alanları dikkate alınarak
belirlenecektir. Bu kapsamda kullanılacak boyutlar Şekil 7’de tanımlanmıştır.

Şekil 7. Kritiklik Derecesi Belirlemek için Kullanılan Boyutlar

Kritiklik derecesi belirleme boyutları aşağıda özetlenmiştir:

İşlenen veri ile ilgili boyutlar
o Gizlilik: Bilginin yetkisiz kişilerin erişimine karşı korunması
o Bütünlük: Bilginin tam ve doğru olma durumunun korunması
o Erişilebilirlik: Bilginin yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olması

Etki alanı ile ilgili boyutlar
o Bağımlı Varlıklar: Varlık grubuna bağımlı olan diğer varlıklar üzerindeki etkisi
o Etkilenen Kişi Sayısı: Bilgi güvenliği ihlal olayı meydana geldiğinde etkilenebilecek kişi
sayısı
o Kurumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak
kurumsal durum

24
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

o Sektörel Etki: Varlık grubunun hizmet verdiği sektöre etkisi
o Toplumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak
toplumsal durum
Bu boyutlar dikkate alınarak bir anket formu oluşturulmuş ve EK-C.1’de sunulmuştur. Her bir varlık
grubu için bu anket formu doldurularak ilgili varlık grubunun kritiklik derecesi belirlenmelidir. “Varlık
Grubu Kritiklik Derecelendirme Anketi” olarak tanımlanan anket her bir varlık grubu özelinde rehber
uyumluluk denetimi kapsamında kontrol edilecektir. İlgili varlık grubu için uygulanması gereken tedbir
maddeleri, varlık grubu için belirlenmiş olan kritiklik derecesi göz önünde bulundurularak belirlenir.
Varlık grubu kritiklik derecesi belirleme aşamasında aşağıdaki adımlar takip edilir:

Her bir varlık grubu için EK-C.1’de yer alan anket formu ilgili paydaşların katılımı ile doldurulur.
Anket çalışması kapsamında varlıkların sahipleri, sistem yöneticileri, geliştiriciler, kullanıcı
temsilcileri, yöneticileri ve kurumun sahip olduğu en yetkin personel katılım sağlamalıdır.
Anket doldurma çalışmalarında Delfi metodunun kullanılması önerilmektedir. Anket çalışması
aşağıda yer alan Delfi metodu uygulama adımları izlenerek gerçekleştirilmelidir.
1. Anketin uygulanacağı uzman kişiler belirlenir.
2. Anket uzman kişiler tarafından doldurulur.
3. Anket sonuçları değerlendirilir.
4. Tüm katılımcılar bir fikir üzerinde ortak karar verene kadar anket uygulanmaya devam
edilir ve 2. adıma dönülür.
5. Tüm anket sonuçlarına göre uzlaşılan karar uygulanır.

Her varlık grubu için doldurulan anket sorularının cevapları için anket formunda yer alan
puanlar toplanarak anket puanı hesaplanır. Tablo 3 kullanılarak anket puanına karşılık gelen
kritiklik derecesi belirlenir. Belirlenen derece, varlık grubunun kritiklik derecesi olarak
kullanılır.
Tablo 3. Anket Puanına Karşılık Gelen Kritiklik Derecesi

Anket Puanı Varlık Grubu Kritiklik Derecesi

Anket puanı 18’den küçük ise Derece 1

Anket puanı 18 (dâhil) ile 28 arasında ise Derece 2

Anket puanı 28 ve daha yüksek ise Derece 3

Varlık grubu içinde yer alan tüm varlıklara aynı güvenlik tedbirlerinin uygulanacağı dikkate
alınarak anket sonuçları tekrar değerlendirilir. Gerekli görülmesi durumunda varlık grupları
güncellenerek anket çalışmaları tekrarlanır.

Kritiklik derecesi tanımlanan her bir varlık grubu için kritiklik dereceleri ile uygulama ve
teknoloji alanlarına yönelik güvenlik tedbirlerinin uygulanma durumlarının kayıt altına alındığı
EK-C.2’de yer alan form doldurulur.

25
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Aşağıdaki maddelerde kritiklik derecesinin belirlenmesi ile ilgili çeşitli örnekler verilmektedir.

Tablo 4’te örnek iki varlık grubu için uygulanan anketler sonucunda elde edilen puanlar ve
toplam anket puanları verilmiştir. Tablo 3 kullanılarak varlık grubu 1’in kritiklik derecesinin
“Derece 2” ve varlık grubu 2’nin kritiklik derecesinin “Derece 3” olduğu belirlenir.

Tablo 4. Varlık Grubu Kritiklik Derecesinin Belirlenmesi

Anket Sorusu Varlık Grubu 1 İçin Puan Varlık Grubu 2 İçin Puan

1. Soru 3 5

2. Soru 3 5

3. Soru 3 5

4. Soru 2 4

5. Soru 3 5

6. Soru 3 3

7. Soru 3 5

8. Soru 2 6

22 (Anket Puanı) 38 (Anket Puanı)

Tablo 5’te örnek bir kuruma ait varlık gruplarının anket çalışmaları sonucunda elde edilen
kritiklik derecelerine ve varlık grubu ana başlıklarına göre dağılımı gösterilmektedir.

Tablo 5. Alt Varlık Gruplarının Kritiklik Derecesinin Belirlenmesi

Varlık Grubu Sayıları
Varlık Grubu Ana Başlıkları
Derece 1 Derece 2 Derece 3 Toplam

Ağ ve Sistemler 2 1 4 7

Uygulamalar - 2 2 4

Taşınabilir Cihaz ve Ortamlar 1 - 3 4

Nesnelerin İnterneti (IoT) Cihazları - 2 - 2

Fiziksel Mekânlar 2 3 3 8

Personel - 3 3 6

26
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Tablo 6’da varlık grubu 1, varlık grubu 2’ye ait varlık grupları ile uygulama ve teknoloji alanlarına
ve sıkılaştırma tedbirlerine yönelik uygulanması gereken tedbir ana başlıkları ve tedbir
maddeleri için ilgili seviyeler yer almaktadır.

Tablo 6. Varlık Gruplarına Yönelik Tedbir Uygulanabilirlik Örnek Çalışması
Sıkılaştırma Tedbirleri
Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri (Her varlık grubu için aşağıdaki
(Her varlık grubu için aşağıdaki başlıkların uygulanabilir (U) / başlıkların uygulanabilir (U) /
Varlık Uygulanabilir Değil (UD) olduğunu belirtiniz.) Uygulanabilir Değil (UD) olduğunu Kritiklik
Varlık Varlık belirtiniz.) Derecesi
Grubu Grubu Grubu (Derece 1/
Ana No Adı Derece 2/
İşletim Derece 3)
Başlığı Kişisel Anlık Bulut Kripto Kritik Yeni Veri Tabanı Sunucu
Sistemi
Verilerin Mesajlaşma Bilişim Uygulamaları Altyapılar Geliştirmeler Sıkılaştırma Sıkılaştırma
Sıkılaştırma
Güvenliği Güvenliği Güvenliği Güvenliği Güvenliği ve Tedarik Tedbirleri Tedbirleri
Tedbirleri

Kritik
Verileri
Derece
1 İşlemeyen U U U U UD U U UD U
Kurum İçi 2
Uygulama

Uygulamalar
Kritik
Verileri
U U Derece
2 İşleyen U UD UD U U UD U
Kurum İçi 3
Uygulama

2.1.3. Mevcut Durum ve Boşluk Analizi

Varlık gruplarının kritiklik dereceleri dikkate alınarak Bölüm 3, 4 ve 5’te yer alan güvenlik tedbirlerinin
hangilerinin uygulanması gerektiğinin belirlenmesi ve belirlenen güvenlik tedbirlerine göre mevcut
durumun tespiti için detaylı çalışma yapılmalıdır. Rehberde tanımlanan güvenlik tedbirleri aşağıda yer
alan üç ana başlık altında sınıflandırılmıştır.
Varlık gruplarına yönelik güvenlik tedbirleri ana başlıkları:
Ağ ve Sistem Güvenliği
Uygulama ve Veri Güvenliği
Taşınabilir Cihaz ve Ortam Güvenliği
Nesnelerin İnterneti (IoT) Cihazlarının Güvenliği
Personel Güvenliği
Fiziksel Mekânların Güvenliği
Uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ana başlıkları:

Kişisel Verilerin Güvenliği
Anlık Mesajlaşma Güvenliği
Bulut Bilişim Güvenliği
Kripto Uygulamaları Güvenliği
Kritik Altyapılar Güvenliği
Yeni Geliştirmeler ve Tedarik
Sıkılaştırma faaliyetlerine yönelik güvenlik tedbirleri ana başlıkları:

İşletim Sistemi Sıkılaştırma Tedbirleri
Veri Tabanı Sıkılaştırma Tedbirleri
Sunucu Sıkılaştırma Tedbirleri

27
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Bölüm 3, 4 ve 5 ana başlıklarının altında yer alan her bir güvenlik tedbiri temel, orta ve ileri seviye olarak
derecelendirilmiştir. Varlık grubuna uygulanacak tedbirler aşağıdaki sınıflandırmaya göre belirlenir.

1. Seviye Tedbirler: Kritiklik derecesi 1 olan varlık gruplarında yer alan tüm varlıklara temel
seviye güvenlik tedbirleri uygulanır.

2. Seviye Tedbirler: Kritiklik derecesi 2 olan varlık gruplarında yer alan tüm varlıklara temel
seviye güvenlik tedbirlerine ek olarak orta seviye güvenlik tedbirleri uygulanır.

3. Seviye Tedbirler: Kritiklik derecesi 3 olan varlık gruplarında yer alan tüm varlıklara temel ve
orta seviye güvenlik tedbirlerine ek olarak ileri seviye güvenlik tedbirleri uygulanır.
Her bir varlık grubu kapsamında mevcut durum tespiti için analiz çalışmaları gerçekleştirilir. Bu
kapsamda aşağıdaki adımlar takip edilir:

Her bir varlık grubu için öncelikle Bölüm 3’ten ilgili güvenlik tedbirleri ana başlığı (Ağ ve Sistem
Güvenliği, Uygulama ve Veri Güvenliği, Personel Güvenliği vb.) seçilir. Seçilen başlıkta yer alan
tedbirlerden varlık grubunun kritiklik derecesine uygun olan tedbirler belirlenir.

Her varlık grubunda yer alan varlıklar dikkate alınarak Bölüm 4 ve 5’te yer alan güvenlik tedbiri
ana başlıkları (Bulut Bilişim Güvenliği, Kişisel Verilerin Güvenliği, İşletim Sistemi Sıkılaştırma,
Veri Tabanı Sıkılaştırma vb.) seçilir. Seçilen başlıklarda yer alan tedbirlerden, varlık grubunun
kritiklik derecesine uygun olan tedbirler belirlenir.

Varlık grupları için belirlenen tüm tedbirler ile ilgili mevcut durum analiz edilir ve varlık grubu
mevcut durum analiz raporu hazırlanır. Mevcut durum analizi çalışmaları kapsamında teknik
çalışma, toplantı, otomatik araç ile durum tespiti, dokümantasyon inceleme vb. faaliyetler
gerçekleştirilebilir. Varlık grubuna bir tedbirin uygulanıp uygulanmadığı tespit edilirken
öncelikle aşağıdaki sınıflandırmaya göre uygulama durumuna karar verilir ve mevcut durum ile
ilgili açıklayıcı bilgi yazılır.
o Tedbir varlık grubunda yer alan tüm varlıklara uygulanmakta ise “tamamen”
o Tedbir varlık grubunda yer alan varlıkların çoğuna uygulanmakta fakat bazı varlıklara
kısmen uygulanmakta veya henüz uygulanmamakta ise “çoğunlukla”
o Tedbir varlık grubunda yer alan bir kısım varlığa uygulanmakta veya tedbir kısmen
uygulanmakta ise “kısmen”
o Tedbir hiç uygulanmamakta ise “hiç”
o Tedbirin teknik olarak uygulanma ihtimali bulunmuyorsa “uygulanamaz”

Her bir varlık grubu için yapılan değerlendirmeler EK-C.3’te yer alan form ile kayıt altına alınır.

Varlık grupları için hazırlanan mevcut durum analizi raporlarından faydalanılarak varlık
grubunun kritiklik derecesi ile uyumlu tedbirler seçilir. Seçilen tedbirlerden uygulanmayan veya
kısmen uygulananlar listelenerek boşluk analizi çalışması gerçekleştirilir.
Örnek olarak, bir kurumda “kurum iç uygulamaları” olarak tanımlanan bir varlık grubunun kritiklik
derecesinin “Derece 2” olduğu görülmüştür. Bu varlık grubu için mevcut durum analizi çalışması için
aşağıdaki adımlar gerçekleştirilir:

Bu varlık grubu Uygulama Varlık Grubu Ana Başlığı altında olduğu için Bölüm 3’ten “Uygulama
ve Veri Güvenliği” başlığı seçilir. Bu başlık altında yer alan tüm tedbirlerden 1. ve 2. seviye
tedbirler listelenir.

Bu varlık grubunda yer alan uygulamalar kişisel veri işlediği ve bulut servisleri kullandığı
düşünüldüğünde Bölüm 4’ten “Kişisel Verilerin Güvenliği” ve “Bulut Bilişim Güvenliği” başlıkları
seçilir. Seçilen bu başlıklar altında yer alan tedbirlerden 1. ve 2. seviye tedbirler listelenir.

28
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Bu varlık grubunda yer alan uygulamaların; işletim sistemi, veri tabanı ve web sunucusu
kullandığı düşünüldüğünde Bölüm 5’ten “İşletim Sistemi Sıkılaştırma Tedbirleri”, “Veri Tabanı
Sıkılaştırma Tedbirleri” ve “Sunucu Sıkılaştırma Tedbirleri” başlığı seçilerek, bu başlıklar
altında yer alan tedbirlerden 1. ve 2. seviye tedbirler listelenir.

Önceki adımlarda belirlenen tedbirlerin tümü için mevcut durumuna karar verilir. Bu kapsamda
her bir tedbirin varlık grubunda yer alan tüm varlıklara uygulanıp uygulanmadığı tespit edilerek
raporlanır. Çalışma sonucunda varlık grubu mevcut durum analizi raporu hazırlanır.
Varlık grupları için hazırlanan mevcut durum analiz raporlarından faydalanılarak boşluk analizi
gerçekleştirilir. 1. ve 2. seviye tedbirleri içeren ilgili uygulama adımlarından
gerçekleştirilmeyenler veya kısmen gerçekleştirilenler listelenerek raporlanır.

2.1.4. Rehber Uygulama Yol Haritasının Hazırlanması

Boşluk analizi sonucunda tespit edilen eksikliklerin giderilmesi için gereken faaliyetler belirlendikten
sonra planlama yapılır. Planlamalar kapsamında ilgili tüm yasal, düzenleyici ve sözleşmeden doğan
gereksinimler dikkate alınır.
Rehber uygulama yol haritası kapsamında yapılacak çalışmalar belirlenir. Çalışmalar, aşağıdaki
gruplarla sınırlı olmamakla birlikte şu şekilde gruplandırılabilir:
o Yetkinlik kazanımı ve eğitimler
o Ürün tedariki
o Hizmet alımı
o Danışmanlık
o Geliştirme / yeniden geliştirme
o Tasarlama / yeniden tasarlama
o Sıkılaştırma
o Sürüm güncelleme
o Dokümantasyon
o Kurumsal süreç iyileştirme
Yapılacak çalışmalar belirlendikten sonra her çalışma için 2-3 aylık dönemler halinde hedefler belirlenir
ve gerekli kaynak tahsisi (personel, bütçe, fiziksel ortam vb.) için planlama yapılır. Uygulama yol haritası
kapsamında yapılan planlamalar EK-C.4’te yer alan form ile kayıt altına alınır.
Kurum, boşluk analizi sonucunda uygulanması gereken ilave tedbirler kapsamındaki herhangi bir
gereksinimi; üst yönetim tarafından onaylanmış teknik kısıtlamalar ve iş gereksinimlerinden dolayı
rehberde tanımlandığı şekli ile karşılayamaması durumunda telafi edici kontroller uygulayabilir. Telafi
edici kontroller, yerine uygulandıkları tedbir maddeleri ile aynı amaç ve etkiye sahip olmaları
durumunda kullanılabilir olarak kabul edilecektir. Uygulanmasına karar verilen her bir telafi edici
kontrol EK-C.5’te yer alan form ile kayıt altına alınmalıdır.
Bilgi güvenliğinde en zayıf halkanın insan faktörü olduğu göz önünde bulundurulduğunda, hem
güvenlik tedbirlerinin uygulanmasında hem de uygulanan güvenlik tedbirlerinin denetlenmesinde
görev alacak kurum personelinin belirli bir yetkinliğe sahip olması önem arz etmektedir. Bu çerçevede,
bilgi güvenliği ile ilgili eğitimler kaynaklar dâhilinde planlanmalı ve personelin gelişimi hakkında ışık
tutacak ölçüm mekanizmaları hayata geçirilmelidir. Eğitimlerin sadece teorik bilgi vermekten ziyade,
personelin ilgili alanda pratik becerisini arttıracak uygulamaları içermesi önemlidir. Bu kapsamda
planlanacak eğitimlerde, laboratuvar ortamının bulunması ve bu ortamda katılımcıların öğrendikleri
bilgiyi beceriye dönüştürmesi sağlanmalıdır.

29
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Rehberin uygulanması için yürütülecek çalışmalara dâhil olacak personele yetkinlik kazandırmak
amacıyla rehberde bulunan uygulama adımları ve denetim tablolarının nasıl ele alınacağıyla ilgili olarak
çeşitli uygulama çalıştaylarının düzenlenmesi veya bu kapsamda gerçekleştirilecek çalışmalara katılım
sağlanması gerekmektedir.
Bu kapsamda gerçekleştirilen tüm çalışmalar rehber uygulama yol haritası olarak dokümante
edilecektir.

Uygulama

Rehber uygulama yol haritası, dönemsel olarak belirlenen hedefler dikkate alınarak planlanan şekilde
kurum personeli tarafından hayata geçirilecektir. Bu kapsamda yol haritasında belirlenen tedarik,
hizmet alımı, yeniden tasarım vb. tüm çalışmaların gerekli kaynak ihtiyaçlarının tahsis faaliyetleri
önceliklendirilmelidir.

2.2.1. Bilgi ve İletişim Güvenliği Temel Prensipleri

Yol haritasının planlanması ve uygulanması aşamalarında gerçekleştirilecek tüm çalışmalarda Şekil
8’de yer alan temel prensipler dikkate alınmalıdır.

Şekil 8. Temel Prensipler

30
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Yetkin Personel: Yol haritasını uygulayacak ve denetim faaliyetlerini yürütecek personel bilgi
güvenliği, siber güvenlik veya kişisel verilerin korunması konularında temel eğitimleri almış
olmalıdır.

Güvenlik Temelli Tasarım (Security by Design): Güvenlik tasarım aşamasında dikkate
alınmalı ve tasarım aşamasında güvenlik tasarımı yapılmalıdır.

Mahremiyet Temelli Tasarım (Privacy by Design): Kişisel veri güvenliği tasarım aşamasında
dikkate alınmalı ve tasarım aşamasında güvenlik tasarımı yapılmalıdır.

Derinlemesine Savunma (Defence in Depth): Varlıkların güvenliği ihtiyaçlar dikkate alınarak
birden fazla savunma katmanı ile sağlanmalıdır.

Saldırı Yüzeyinin Azaltılması: Saldırıya maruz kalınabilecek alanların en aza indirilmesi
sağlanmalıdır.

Asgari Yetki Tanımlama: Bir işin gerçekleştirilmesi için yeterli ve en az yetkiyle çalıştırılması
sağlanmalıdır.

En Zayıf Halkanın Tespiti: Yapılan çalışmalarda ve tasarımlarda en zayıf halkanın tespit
edilerek güçlendirilmesi için planlama yapılmalıdır.
Güvenlik Hedeflerinin İş Hedefleriyle Uyumu: Güvenlik hedefleriyle iş hedeflerinin
birbirleriyle uyumu sağlanmalıdır.
Yerli ve Milli Ürünlerin Tercih Edilmesi: İhtiyaç duyulan güvenlik gereksinimlerinin
karşılanması durumunda yerli ve milli ürünler tercih edilmelidir.

Mükerrer Çalışma ve Yatırımların Önlenmesi: Mükerrer çalışma ve yatırımların önüne
geçilecek şekilde çalışmalar yürütülmelidir.

Bilmesi Gereken Prensibi: Herhangi bir konu veya işi, görev ve sorumlulukları gereği; öğrenme,
inceleme, gereğini yerine getirme ve koruma sorumluluğu bulunanlar yetkileri düzeyinde bilgi
sahibi olmalıdır.

Kontrol Etme ve Önlem Alma

2.3.1. Rehber Uygulama Yol Haritasının İzlenmesi ve Kontrol Edilmesi

Rehber uygulama yol haritası çalışmalarının ilerleme durumlarının takibi ve hazırlanan plandan
sapmaların tespit edilerek gerekli önlemlerin alınması ile ilgili faaliyetlerin yürütülmesi gerekmektedir.
Ayrıca uygulama yol haritası çalışmaları yürütülürken karşılaşılacak sorun ve risklerin yönetimi de
gerçekleştirilmelidir.
Dönem sonlarında uygulama yol haritasında yürütülen çalışmalar, planlanan hedeflerden sapmalar,
sorun ve riskler, alınan önlemler hakkında bilgileri içeren yol haritası ilerleme raporları hazırlanmalıdır.

2.3.2. Bilgi ve İletişim Güvenliği Denetimi

Rehberin uygulanmasına ilişkin denetimler, gerekli mekanizmalar oluşturularak, yılda en az bir kez
olmak üzere iç denetim yolu ile gerçekleştirilir. Denetim faaliyetleri Cumhurbaşkanlığı Dijital Dönüşüm
Ofisi tarafından hazırlanan ve https://www.cbddo.gov.tr adresinde yayımlanan Bilgi ve İletişim
Güvenliği Denetim Rehberi esas alınarak yürütülür.

31
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

Değişiklik Yönetimi

2.4.1. Rehber Değişikliklerinin Yönetilmesi

Bilgi ve İletişim Güvenliği Rehberi; ihtiyaçlar, gelişen teknoloji, değişen şartlar ile Ulusal Siber Güvenlik
Stratejisi ve Eylem Planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecektir.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından rehberde yapılacak değişiklikler sürekli izlenerek
kurum tarafından mevcut rehber uygulama yol haritası güncellenir veya yeni bir yol haritası
hazırlanması için çalışmalar yürütülür.

2.4.2. Varlık Gruplarının Değişikliklerinin Yönetilmesi

Kurumun varlık grupları ile uygulama ve teknoloji alanlarında oluşabilecek değişiklikler aşağıdakilerle
sınırlı olmamakla birlikte sürekli izlenmelidir.

Yeni varlık gruplarının oluşturulması
Varlık gruplarında yer alan varlıkların değişmesi
Mevcut varlık grupları yerine farklı varlık gruplarının tanımlanması
Varlık gruplarının kritiklik derecelerinin değişmesi
Varlık gruplarına uygulanacak uygulama ve teknoloji alanlarının değişmesi
Varlık gruplarını etkileyen mevzuat, standart veya ikincil düzenlemelerin değişmesi
Kurumsal ihtiyaçlar ve gelişmeler dikkate alınarak varlık grupları ile uygulama ve teknoloji ya da
sıkılaştırma tedbirleri kapsamında gerçekleşecek bir değişiklik tespit edildiğinde tekrar planlama
yapılarak yeni yol haritasının oluşturulması veya mevcut yol haritasının güncellenmesi gerekmektedir.

32
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

VARLIK
GRUPLARINA
YÖNELİK
GÜVENLİK
TEDBİRLERİ

3. BÖLÜM

39
40
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

VARLIK GRUPLARINA YÖNELİK GÜVENLİK TEDBİRLERİ
Varlık grubuna yönelik güvenlik tedbirleri, varlık grubu ana başlık gruplarına uygun olarak başlıklara
ayrılarak tanımlanmıştır. Rehberde tanımlanan varlık grubu ana başlıkları ve varlık gruplarında yer
alabilecek örnek varlıklar aşağıda listelenmiştir:

Ağ ve Sistemler: Kurumsal ağ, sunucu, donanım, güvenlik cihazı, kimlik yönetim ve doğrulama
sistemi, veri sızıntısı önleme sistemi vb. varlıkların oluşturduğu mantıksal / fiziksel gruplar

Uygulamalar: Kurumsal olarak geliştirilen veya tedarik edilen yazılımların oluşturduğu
mantıksal gruplar

Taşınabilir Cihaz ve Ortamlar: Kurumsal olarak kullanılan taşınabilir dizüstü bilgisayar, tablet,
telefon vb. cihazlar ile taşınabilir ortam (CD, USB disk vb.) grupları

Nesnelerin İnterneti (IoT) Cihazları: Kurumsal ortamlarda kullanılan sensör, kamera vb. cihaz
grupları

Personel: Kurum bünyesinde görev yapan personel / uzman grupları

Fiziksel Mekânlar: Bilgi güvenliği kapsamında yönetilen kurumsal sunucu odası, felaket
kurtarma merkezi, personel odası vb. fiziksel mekânların grupları

Ağ ve Sistem Güvenliği

Amaç

Bu güvenlik tedbiri ana başlığının amacı, ağ ve sistem güvenliği çerçevesinde ele alınan tedbir listeleri
ve denetim sorularını belirlemektir. “Ağ ve Sistem Güvenliği” ana başlığı kapsamında ele alınan
güvenlik tedbirleri alt başlıkları aşağıda yer almaktadır.

Donanım Varlıklarının Envanter Yönetimi
Yazılım Varlıklarının Envanter Yönetimi
Tehdit ve Zafiyet Yönetimi
E-Posta Sunucusu ve İstemcisi Güvenliği
Zararlı Yazılımlardan Korunma
Ağ Güvenliği
Veri Sızıntısı Önleme
İz ve Denetim Kayıtlarının Tutulması ve İzlenmesi
Sanallaştırma Güvenliği
Siber Güvenlik Olay Yönetimi
Sızma Testleri ve Güvenlik Denetimleri
Kimlik Doğrulama ve Erişim Yönetimi
Felaket Kurtarma ve İş Sürekliliği Yönetimi
Uzaktan Çalışma

35
 BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ

3.1.1. Donanım Varlıklarının Envanter Yönetimi

Tedbirler

Tedbir Tedbir
Tedbir Adı Tedbir Tanımı
No. Seviyesi

Veri saklama, işleme ve iletme yeteneği olan tüm
donanımların güncel bir envanteri tutulmalı, yalnızca
3.1.1.1 1 Donanım Envanterinin Yönetimi
yetkilendirilmiş personelin varlık envanterine erişimi
mümkün kılınmalıdır.

Donanım envanteri en az; her bir donanımın ağ adresini,
donanım adresini, makine adını, seri numarasını,
markasını, modelini, destek alınan tedarikçi sözleşme
Donanım Envanter İçeriğinin bilgilerini (bakım süresi, kapsamı vb.), donanımın
3.1.1.2 1 sorumlusunu, sorumlu kişinin birimini ve donanımın
Yönetimi
kurum tarafından onaylı olup olmadığı bilgisini içermelidir.

Donanım envanter içeriğinde yapılan değişiklikler kayıt
altına alınmalıdır.

Yeni tedarik edilen ya da ağa yeni bağlanacak
Donanım Envanterine
donanımların, donanım varlık envanterine kaydı
3.1.1.3 1 Kaydedilmemiş Donanımların
yapılmadan kurum ağına bağlanmamasına yönelik politika
Yönetimi
ve prosedürler oluşturulmalı ve uygulanmalıdır.

Kurum ağına bağlı cihazları tanımlamak ve donanım varlık
3.1.1.4 2 Aktif Keşif Araçlarının Kullanılması envanterindeki değişiklikleri takip etmek için aktif keşif
araçları kullanılmalıdır.

Kurumun donanım envanterini güncel tutmak için tüm
DHCP Kayıt Mekanizması ile Yeni
3.1.1.5 2 DHCP sunucularında ya da IP adres yönetim araçlarında
Donanımların Tespiti
kayıt mekanizmasının kullanımı sağlanmalıdır.

Kullanım ömrünü tamamlayan cihazların veri depolam