Bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için asgari güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanması temel amacında olan rehber, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır.
Yerli ve milli ürün kullanımının teşvik edilmesi, Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve yatırımların önüne geçilmesi, Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması, Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde yapılandırılması, Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması, Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi, Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde gruplandırılması ve rehberin modülerliğinin sağlanması, Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması, İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin sağlanması, Rehberin format ve içeriğinin özgün olması, Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi, Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile ulusal/uluslararası standartlara uyumlu olması; rehberin uygulanması sonucunda beklenen hedeflerdendir.
Rehberin içeriği; Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci, Varlık Gruplarına Yönelik Güvenlik Tedbirleri, Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri, Sıkılaştırma Tedbirleri olmak üzere dört ana bölümden oluşmaktadır.
Kamuda, WhatsApp, Telegram, Messenger gibi mesajlaşma programları yerine yerli mesajlaşma programlarının kullanılması artık zorunlu. Bahsi geçen mesajlaşma programlarını kamu personeli özel hayatında kullanabilecek, ancak kurumsal işlemlerde kullanmayacak..
Rehberde, “Kurumun kendine ait bir haberleşme uygulaması yoksa mesajlaşma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir. Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmamalıdır” denildi.
Kurum tarafından satın alınan kullanıcı bilgisayarlarının sabit disklerinin veri kurtarmaya imkân sağlamayacak şekilde güvenli silme işlemine tabi tutulduktan sonra sistemlere dahil edilmesi de istendiği rehberde ayrıca kuruma dışarıdan gelen e-posta eklerinin çok katmanlı güvenlik analizinden geçirilmesi, bu içeriklerin, “beyaz liste/kara liste” olarak listelenmesi ve imza tabanlı anti-virüs testinde geçirilmesi istendi ve “Bu aşamadan sonra hala kategorilendirilmemiş e-posta ekleri kum havuzunda çalıştırılmalıdır. Kum havuzu çözümlerinde dosyalar yurt içinde yerleşik olan sunucularda taranmalıdır. Parola cümle kullanımına izin vermeli ya da teşvik etmelidir. Kurumlar güvenlik gereksinimlerine göre parola politikası belirlemelidir. Ayrıca parolalar için bir en uzun geçerlilik süresi tanımlanmış olmalıdır. Değişen parola fonksiyonu eski parolayı, yeni parolayı ve bir parola onayını kapsamalıdır” denildi.
Rehbere https://cbddo.gov.tr/SharedFolderServer/Genel/File/BG_REHBER.pdf linkinden ulaşabilirsiniz.