Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, kamuda uygulanacak dijital güvenlik tedbirleri için Bilgi ve Bağlantı Güvenliği Rehberi hazırladı, Milliyet'ten Kıvanç El'in haberine nazaran, tüm kamu çalışanı için zarurî olacak uygulamalar hayata geçirilecek.
Kamu çalışanlarının uyacağı önlemler şöyle:
“Her kamu kurumu için kullanılacak programlar belirlenecek ve bir 'beyaz liste' oluşturulacak.
Işçinin beyaz listede bulunan uygulamalar haricinde uygulama kurması engellenecek. Program kurulmaya çalışıldığı vakit ikaz verecek bir sistem kurulacak.
AĞ ERİŞİMLERİ SONLANDIRILACAK
Birebir halde internet ağında da 'kara liste' yahut 'beyaz liste' belirlenecek. Ağ erişimleri sonlandırılacak. Kurum sistemleri tümünü kapsayacak biçimde; port, servis ve protokol taramaları gerçekleştirecek. Ziyanlı IP adreslerine erişimin denetlenmesi için tüm DNS sorguları kayıt altına alınacak.
Kamuda sıkça kullanılan IP telefonlar ile ilgili de yeni tedbirler alınacak. IP telefon, altyapı sağlayıcısı yahut kurum tarafından güvenlik duvarları ile korunacak. IP telefon sistemlerinin iz kayıtları tutulacak.
KAYIT SISTEMLERI OLUŞTURULACAK
Kurum tarafından 'gerekli görülen durumlarda' belirlenen kaynaklar ve maksatlar ortasındaki tüm ağ trafiği izlenebilecek. Kayıt düzenekleri oluşturulacak. Muhtaçlık duyulması durumunda ilgili trafik kaydı incelenebilecek.
Kurumdaki kritik sistemler taşınabilir depolama ünitelerini desteklemeyecek formda yapılandırılacak. Taşınabilir depolama üniteleri takıldığında ihtar verilecek bir sistem kurulacak. Bu ikazlar kayıt altına alınıp izlenebilecek.
GÜVENLİK TESTLERİ YAPILACAK
Şahsî data barındıran bilgi tabanının dışarıya transferi konusunda da tedbirler alınacak. Çalışanın ferdî datalarının yer aldığı bilgisayara yalnızca yetkilendirilmiş kullanıcı ulaşabilecek.
Kurum ağına bağlı yetkisiz kablosuz erişim noktalarının tespit edilmesini ve alarm üretilmesini sağlayan ağ tabanlı keşif araçları kullanılacak. Tüm sızma testleri ve güvenlik kontrolleri yılda en az bir kere yapılacak.
Görüntü konferans uygulamaları kurum içerisinde barındırılacak. Kurum içerisinde barındırılmayan üçüncü taraf bir uygulama kullanılacak ise uygulama açık kaynak kodlu olacak. Yönetici onayıyla ekran paylaşımı ve belge paylaşım özelliği engellenecek.
BULUT DEPOLAMA HİZMETLERİ KULLANILMAYACAK
Kurumsal kritik bilgilerin saklanması/depolanması maksadıyla bulut depolama hizmetleri kullanılmayacak. Kritik bilgilerin yurt içinde depolandığı ve yurt dışında barındırılmayacağı garanti altına alınacak.
Kurum bünyesinde geliştirilen uygulamaların, rootlanmış/jailbreak yapılmış aygıtlarda çalışmayı reddedeceği sistem kurulacak. Kurum tarafından sağlanan telefon ve tabletler üzerinde jailbreak yahut rootlama süreci yapılmaması konusunda işçi uyarılacak.
ŞARJ İSTANYONLARI UYARISI
Kritik misyonlarda çalışanlar, taşınabilir aygıtlarını halka açık şarj istasyonlarında şarj etmemeleri konusunda uyarılacak. Kaybolması ve çalınmasına karşı aygıtı uzaktan fabrika ayarlarına döndürüp içindeki veriyi silebilecek bir sistem kullanılacak.
Onarım/tadilat için üçüncü şahıslara verilecek aygıtların, fabrika ayarlarına döndürülmesi ve içindeki kurumsal dataların silinmesi uyarısı yapılacak. Aygıt içindeki bilgi silinemeyecek durumda ise aygıt imha edilecek.
HARİCİ DEPOLAMA ORTAM MÜSAADELERI DEVRE DIŞI BIRAKILACAK
Kurum bünyesinde kullanılacak aygıtların listesi çıkartılacak ve bu liste dışında bulunan aygıtların kurum sistemlerine erişimi engellenecek. Taşınabilir bilgisayarlara, çalınma ve kaybolma riskine karşı disk şifreleme uygulanacak. Kullanıcıların disk şifreleme özelliğini devre dışı bırakmaları engellenecek.
Taşınabilir bilgisayarlarda, harici depolama ortamlarının müsaadeleri devre dışı bırakılacak. İş ihtiyaçları doğrultusunda gerekli onayların alınması durumunda harici bellek kullanılabilecek fakat yapılan süreçler izlenecek.
SİBER HÜCUMLARA KARŞI ÜNITE OLUŞTURULACAK
Siber hadiselerin idaresi basamaklarında vazife alacak çalışanın rol ve sorumlulukları tanımlanıp, hadiseye müdahale için gerekli teknik alt yapı çalışana sağlanacak. Siber hadise idaresi kapsamında vazife alacak işçi Kurumsal SOME (Siber Vakalara Müdahale Ekibi) kriterlerine uygun seçilecek.”
Karar