Kamu kurumlarında KamuNet tedbiri

Ulaştırma, Denizcilik ve Haberleşme Bakanlığınca hazırlanan KamuNet Ağına Bağlanma ve Kamunet Ağının Deneti̇mi̇ne İli̇şki̇n Usul ve Esaslar Hakkında Tebli̇ğ, Resmi Gazete'de yayımlandı.

Tebliğle KamuNet'e giren ve dahil edilecek kamu kurumlarının bilgi ve iletişim sistemlerine ilişkin karşılaması gereken asgari şartlarla bu kurumların denetlenmesine ilişkin usul ve esaslar düzenlendi.

Buna göre, kamu kurumları KamuNet’e bağlantı yapacak birimlerini ve sistemlerini kapsayacak Bilgi Güvenliği Yönetim Sistemi (BGYS) kurup işletecek. Kurulan BGYS için TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belge alınacak ve güncelliği sağlanacak. Kurum yönetimi tarafından onaylanmış bilgi güvenliği yönetim sistemi politikasına uygun olarak KamuNet ile ilgili politika tanımlanacak, dokümantasyona tabi tutulacak, ilgili çalışanların ve tarafların söz konusu politikaya ilişkin farkındalığı sağlanacak. Bu konulara dair hükümler 2 yıllık dönemde hayata geçirilecek.

Bilgi güvenliği ihtiyaçlarını karşılayacak şekilde bilgi varlıklarının gizlilik dereceleri sınıflandırılacak. Sınıflandırılan gizlilik derecelerine göre şifreleme teknikleri kullanılabilecek.

KamuNet'e dahil olan birimlerdeki personele, siber güvenlik de dahil olmak üzere BGYS ile ilgili bilgilendirme ve eğitimler verilecek.

KamuNet’ten sorumlu bir ekip oluşturulacak. Bu ekibin iletişim bilgileri Bakanlık ve işletmeciyle paylaşılarak güncel tutulacak.

Sunucu ve istemci ağlarında internet üzerinden ve yerel ağ içinden düzenli zafiyet taramaları yapılacak, var olan açıklar tespit edilerek gerekli önlemler alınacak.

Kurum ve kuruluşlar, KamuNet'in bağlı olduğu sistemlerde sızma ve penetrasyon testleri gerçekleştirerek tespit ettikleri açıkların giderilmesi için çalışmalar yapacak ve KamuNet'e bağlı sistemlere ait iz kayıtlarını herhangi bir anomaliye karşı sürekli inceleyecek.

Ağdan gelebilecek tehditlere karşı kurum ve kuruluşlar kendilerini korumak ve KamuNet’e ilişkin bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla (bilgisayar virüsleri, solucanlar, truva atları gibi zararlı yazılımlara ve benzeri) yazılımsal ve donanımsal önlemleri alacak, internete açık servislerinin bulunması halinde bu servislerden gelen saldırıların KamuNet ağını da olumsuz etkilememesi için siber saldırılara (DDoS ve benzeri) karşı koruma ve güvenlik hizmetlerine başvuracak. KamuNet ağında, "bilmesi gereken" prensibine göre sadece ilgili kurumlarla veri paylaşılacak, kurumsal Siber Olaylara Müdahale Ekibi oluşturulacak.

KamuNet’e dahil olacak kamu kurumlarını Bakanlık belirleyecek. Uygunluk denetimi sonucu asgari gereklilikleri sağlayan kamu kurumunun KamuNet’e dahil olma süreci başlatılacak.

Bakanlık tarafından belirlenen periyodik sürede KamuNet'e dahil olan kamu kurumlarıyla işletmeci denetlenecek veya denetlettirilecek.