Resmi Gazete’de yayımlanan genelgede; bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi idare sistemlerinin yaygın olarak kullanılmasının önemli güvenlik risklerini beraberinde getirdiği belirtildi. Genelgeye nazaran, kritik dokümanların bulunduğu yahut görüşmelerin gerçekleştirildiği ortamlara taşınabilir aygıtlarla girilemeyecek. Zımnilik dereceli bilgiler ferdî bilgisayar, harici bellek üzere aygıtlarda bulundurulamayacak. Taşınabilir uygulamalar ve toplumsal medya üzerinden saklılık dereceli bilgi paylaşımı yapılmayacak. 21 husustan oluşan genelgedeki önlemler şöyle:
– Kritik nüfus, sıhhat, bağlantı kayıtları ile genetik ve biyometrik datalar yurt içinde inançlı bir halde depolanacak.
– Kamu kurum ve kuruluşlarında yer alan kritik bilgiler, internete kapalı ve fizikî güvenliği sağlanmış bir ortamda bulunan inançlı bir ağda tutulacak. Bu ağda kullanılacak aygıtlara erişim denetimli sağlanacak ve log kayıtları değiştirilmeye karşı tedbir alınarak saklanacak.
– Mevzuatta kodlu yahut kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli taşınabilir uygulamalar hariç olmak üzere, taşınabilir uygulamalar ve toplumsal medya üzerinden zımnilik dereceli data paylaşımı ve haberleşme yapılmayacak.
– Kamu kurum ve kuruluşlarınca saklılık dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) yahut gibisi güvenlik tedbirleri alınacak. Kritik bilgi, doküman ve dokümanların bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında, ortamlarında taşınabilir aygıtlar ve bilgi transferi özelliğine sahip aygıtlar bulundurulmayacak. Ferdî olarak kullanılan dizüstü bilgisayar, taşınabilir aygıt, harici bellek ve gibisi aygıtlar da bulundurulmayacak.
Güvenlik soruşturması
– Ulusal güvenliği direkt etkileyen stratejik değere haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde misyon alacak kritik ehemmiyeti haiz işçi hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması yaptırılacak. Bu ortada Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı uyumunda “Bilgi ve Bağlantı Güvenliği Rehberi” hazırlanacak. Rehber, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik düzeylerini içerecek. “www.cbddo.gov.tr” adresinde yayımlanacak rehber, muhtaçlıklar, gelişen teknoloji, değişen kaideler ile Ulusal Siber Güvenlik Stratejisi ve hareket planlarında yapılacak değişiklikler göz önünde bulundurularak güncellenecek.
Taahhütname alınacak
– Kaynağından emin olunmayan dizüstü bilgisayar, taşınabilir aygıtlar kurum sistemlerine bağlanmayacak. Saklılık dereceli dataların saklandığı aygıtlar lakin içerisinde yer alan bilgiler donanımsal yahut yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek.
– Yerli ve ulusal kripto sistemlerinin geliştirilmesi teşvik edilerek kurumlara ilişkin zımnilik dereceli haberleşmenin bu sistemler üzerinden yapılacak.
– Kamu kurumlarınca temin edilecek yazılım yahut donanımların kullanım gayesine uygun olmayan özellik ve art kapı açıklığı içermediğine dair üretici yahut tedarikçilerden taahhütname alınacak.