Bilgi ve İletişim Güvenliği Rehberi
Bilgi ve İletişim Güvenliği Rehberi (BİG‑RE) Uyum Danışmanlığı
Bilgi ve İletişim Güvenliği Rehberi (BİG‑RE), 2019 yılında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanmış; kamu kurumları ve kritik altyapılarda bilgi ve iletişim sistemlerinin güvenliğini sağlamak amacıyla hazırlanmış resmi bir dokümandır. Rehber, kamu kurumlarının yanı sıra enerji, telekom, finans, ulaştırma, sağlık, veri merkezi ve bulut hizmeti sağlayıcıları dâhil olmak üzere kritik altyapı hizmeti sunan özel sektör kuruluşlarının güvenlik seviyesini ulusal standartlarla uyumlu hâle getirmeyi hedefler.
Hukuki Dayanak ve Kapsam
- Cumhurbaşkanlığı Genelgesi (2019/12) – “Bilgi ve İletişim Güvenliği Tedbirleri”
- 5651 ve 5809 sayılı kanunlar, 6698 KVKK, ISO/IEC 27001 ve 22301 gibi standartlar
- BTK, Dijital Dönüşüm Ofisi ve TÜBİTAK BİLGEM tarafından desteklenen uygulama rehberleri
Bu çerçevede rehber; bilgi varlıklarının korunması, siber tehditlere karşı önlem alınması ve kurumsal farkındalığın artırılması için uygulanması gereken teknik ve idarikontrolleri tanımlar.
Kimler BİG‑RE’ye Uyum Sağlamalı?
- Kamu kurumları ve belediyeler
- BTK yetkilendirme rejimine tabi ISS’ler, sabit telefon operatörleri, e‑posta hizmet sağlayıcılar
- Enerji üretim/dağıtım şirketleri (EPDK lisanslı)
- Veri merkezleri ve bulut hizmeti sağlayıcıları
- Bankalar, finans ve ödeme kuruluşları
- Kamuya hizmet veren yazılım/teknoloji firmaları
- Savunma, ulaştırma ve sağlık sektörleri
BİG‑RE → ISO/IEC 27001 İlişkisi
BİG‑RE, ISO/IEC 27001:2022 ile doğrudan paraleldir; birçok başlık Annex A kontrolleriyle örtüşür. 27001 belgesine sahip kurumlar BİG‑RE gerekliliklerinin önemli bir kısmını karşılamış sayılır; ancak ulusal siber güvenlik politikaları, kritik sistem envanteri, log yönetimi, veri yerelleştirme ve kamu ağ erişimi gibi başlıklarda ek yükümlülükler bulunur.
| BİG‑RE Maddesi | ISO/IEC 27001:2022 Referansı |
|---|---|
| Kurumsal Bilgi Güvenliği Yönetimi | A.5.1 – Bilgi güvenliği politikaları |
| Varlık Yönetimi | A.5.9 – Envanter oluşturma |
| Erişim Kontrolleri | A.5.15 – Kimlik ve erişim yönetimi |
| Yedekleme, Log, Olay Yönetimi | A.8.12, A.5.23, A.5.25 |
| Tedarikçi Yönetimi | A.5.19 |
| Süreklilik ve Yedeklilik | A.5.29 – İş sürekliliği yönetimi |
| Eğitim ve Farkındalık | A.6.3 – Farkındalık ve eğitim |
BİG‑RE’de Yer Alan Temel Gereklilikler
- Bilgi güvenliği politikası ve organizasyonu
- Varlık envanteri, sınıflandırma ve etiketleme
- Kritik sistemlerin belirlenmesi ve yedeklilik
- Kullanıcı erişim yönetimi ve yetkilendirme
- Olay yönetimi ve ihlal bildirim süreçleri
- Log, yedekleme, izleme, test ve yama yönetimi
- Bulut, dış kaynak ve tedarikçi güvenliği
- Eğitim, farkındalık ve yetkinlik planları
- Sistemlerin ulusal siber güvenlik politikalarıyla uyumu
BİG‑RE’ye Uyum Sağlamamanın Riskleri
- BTK veya bağlı denetimlerde uygunsuzluk tespiti
- Kamu ihaleleri / kritik tedarikçi seçimlerinde elenme
- KVKK ve 27001 denetimlerinde “yetersiz teknik tedbir” bulguları
- Siber olaylarda idari, hukuki ve itibari riskler
BİG‑RE Uyum Danışmanlığı Süreci
Kurumun mevcut bilgi güvenliği düzeyi, BİG‑RE maddeleriyle karşılaştırılır; olgunluk ve risk profili çıkarılır.
Bilgi güvenliği politikası, olay yönetimi prosedürü, varlık envanteri, erişim yönetimi gibi dokümantasyon hazırlanır ve kurum kültürüne uyarlanır.
Loglama, yedekleme, ağ güvenliği, kimlik ve erişim, yama yönetimi, test/izleme gibi başlıklar için uygulanabilir yol haritaları devreye alınır.
Tüm personel için rol tabanlı eğitimler ve farkındalık kampanyaları planlanır; ölçme‑değerlendirme uygulanır.
Uygulama sonrası iç denetim gerçekleştirilir; bulgular için düzeltici/önleyici faaliyetler ve kanıt kayıtları oluşturulur.
Denetimlerde istenen doküman, kayıt ve teknik kanıtlar hazırlanır; denetim simülasyonları ve prova oturumları yapılır.
Rehberin güncellenen versiyonlarına ve değişen risk ortamına göre süreçler düzenli olarak güncellenir ve izlenir.
Sonuç
BİG‑RE yalnızca teknik bir doküman değil; ulusal siber güvenlik politikasının omurgasıdır. Uyum, kurumların denetimlerden başarıyla geçmesini sağladığı gibi siber tehditlere karşı dayanıklı ve sürdürülebilir bir yapı inşa edilmesini de sağlar. Profesyonel danışmanlık desteğiyle, ISO/IEC 27001 ve BİG‑RE süreçleri entegre biçimde yönetilerek hem ulusal hem de uluslararası gereklilikler tek çatı altında karşılanabilir.