Haber Detayı
KamuNet NEDİR?
KamuNet (Kamu Sanal Ağı); kamu kurum ve kuruluşları tarafından içerik güvenliği sağlanan veri iletişiminin, kurumlar arası internete kapalı olan daha güvenli sanal bir ağ üzerinden yapılarak siber güvenlik risklerinin minimize edilmesi, mevcut ve kurulacak olan güvenli kapalı devre çözümlere standart sağlanması, ortak uygulamalar için uygun alt yapının tesis edilmesi ve oluşturulması, planlanan ortak veri merkezi/merkezlerinin dâhil edilmesi amacıyla oluşturulmuştur.
Resmi Gazete Tebliği için;
http://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm
KamuNet Ağı’na Dahil Olmak İçin Asgari Gereksinimler
Kamu kurumu, KamuNet’e ilişkin aşağıda yer alan asgari gereksinimleri karşılar ve kayıt altına alır;
1) KamuNet’e bağlantı yapacak birimlerini ve sistemlerini kapsayacak BGYS’sini kurar ve işletir,
2) Kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgesini alır ve güncelliğini sağlar. Bu belgeleri, TS ISO/IEC 27001 veya ISO/IEC 27001 standardı kapsamında Türk Akreditasyon Kurumu tarafından akredite edilen belgelendirme kuruluşları veya Uluslararası Akreditasyon Forumu Karşılıklı Tanınma Antlaşmasında yer alan ulusal akreditasyon kurumlarınca akredite edilmiş belgelendirme kuruluşlarından temin eder,
3) Kurum yönetimi tarafından onaylanmış bilgi güvenliği yönetim sistemi politikasına uygun olarak KamuNet ile ilgili politika tanımlar, dokümante eder, ilgili çalışanlarının ve tarafların söz konusu politikaya ilişkin farkındalığını sağlar,
4) Bilgi güvenliği ihtiyaçlarını karşılayacak şekilde bilgi varlıklarının gizlilik dereceleri sınıflandırılmasını Türk Standartları Enstitüsü tarafından Kritere Uygunluk Belgesi TSEK 523 Kriteri olarak yayınlanan Bilgi Varlıklarının Gizlilik Derecelerine Göre Sınıflandırılması Dokümanına uygun olarak yapar. Sınıflandırılan gizlilik derecelerine göre şifreleme tekniklerini kullanabilir,
5) KamuNet’e dâhil olan birimlerinde çalışan personeline yönelik BGYS ile birlikte siber güvenlik de dâhil olacak şekilde bilgilendirme ve eğitimler verir,
6) KamuNet’ten sorumlu bir ekip oluşturur. Bu ekibin iletişim bilgilerini Bakanlık ve İşletmeci ile paylaşır ve güncel tutar,
7) Sunucu ve istemci ağlarında internet üzerinden ve yerel ağ içerisinden düzenli zafiyet taramaları yapar, var olan zafiyetleri tespit ederek gerekli önlemleri alır,
8) KamuNet için kurum içi envanter ve topoloji oluşturur ve güncel tutar,
9) KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapar,
10) KamuNet’e bağlı sistemlere ait iz kayıtlarını herhangi bir anomaliye karşı sürekli olarak inceler,
11) Sistem güvenliği için sunucu ve istemci ağlarını ayırır,
12) Sunucu ve istemci ağlarının birbirine erişiminde mutlaka bir güvenlik katmanı oluşturur,
13) KamuNet ağından gelebilecek tehditlere karşı kendilerini korumak ve KamuNet’e ilişkin bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla (bilgisayar virüsleri, solucanlar, truva atları gibi zararlı yazılımlara ve benzeri) yazılımsal ve donanımsal önlemleri alır. Bu kapsamda güvenlik cihazları (güvenlik duvarı, saldırı önleme sistemi, içerik filtreleme, anti virüs veya birleşik tehdit yönetimi) kullanır,
14) İnternete açık servislerinin bulunması halinde bu servislerden gelen saldırıların KamuNet ağını da olumsuz etkilememesi için siber saldırılara (DDoS ve benzeri) karşı koruma ve güvenlik hizmetlerini alır,
15) İstemci ağı içerisinde dizin hizmetini kullanır ve kullanıcı bilgisayarlarını dizin hizmetine dâhil eder,
16) Dizin hizmeti üzerinde kullanıcı bilgisayarlarının KamuNet ağını olumsuz etkilememesi için işletim sistemi dâhil yüklü tüm programların güncellemelerini takip eder ve yapar,
17) KamuNet ağını olumsuz etkilememesi için dizin hizmeti üzerinde kullanılabilecek programları belirler ve kullanıcıların programlar üzerinde yetkisini (kurma, kaldırma) sınırlandırır,
18) KamuNet ağını olumsuz etkilememesi için Ağ Erişim Kontrolü (NAC-Network Access Controller) çözümleri ile kullanıcıların yapılandırmasının güvenli olduğunu kontrol ederek kendi ağlarına dâhil eder,
19) KamuNet ağında, bilmesi gereken prensibine göre sadece ilgili kurumlar ile veri paylaşır ve ilgisiz kurumların bilgiye erişimini kısıtlar,
20) KamuNet ağını olumsuz etkilememesi için kablosuz erişimi sağlayan modem veya erişim noktalarının yazılımlarını güncel tutar ve bu cihazların dizin hizmeti ile entegrasyonunu yapar,
21) Sunucuların bulunduğu sistem odalarını güncel ISO/IEC 27001 standardına uygun hale getirir, giriş ve çıkışları kontrol altında tutar ve bu konularda yetkilendirme yapar,
22) Sunuculardaki bilgi ve yazılımların kurtarılmasına imkân verecek şekilde yedek alınmasını sağlar,
23) Sunucular üzerindeki kullanılmayan uygulamaları ve servisleri kapatır,
24) Sunucular üzerindeki işletim sistemleri ve uygulama yazılımlarını güncel tutar,
25) KamuNet’e bağlantı sağlayacak birimde görevlendirdiği çalışanlarıyla ve söz konusu birime ve ilgili sistemlere ilişkin mal veya hizmet alış verişinde bulunduğu üçüncü taraflarla yapacağı sözleşmelerde gizlilik hükümlerine yer verir ve imzalanan sözleşmeleri muhafaza eder,
26) Kurumsal SOME Kurulum ve Yönetim Rehberine uygun şekilde Kurumsal SOME’sini kurar ve ulusal siber güvenliğin sağlanması amacıyla Bakanlık ve varsa bağlı olduğu Sektörel SOME’nin belirlediği esaslar çerçevesinde gerekli tedbirleri alır,
27) KamuNet’e ilişkin yapılan çalışmalarda Bakanlıkça hazırlanan Kurumsal SOME Kurulum ve Yönetim Rehberini esas alır,
28) İşletmeci ile arasındaki KamuNet ağı erişimini mümkünse farklı santrallerden ve farklı güzergâhlar ile yedekler.
 |
Kaynaklar:
http://www.udhb.gov.tr/doc/siberg/KamuNetweb.pdf
https://www.fonhavuzu.com/haber/guvenli-internet-kamunet-icin-kurumlara-2-yil-sure
http://aa.com.tr/tr/turkiye/siber-guvenlik-kurulu-ve-kamunet-kuruldu/698229
http://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm