Bilgi ve İletişim Güvenliği Rehberi (BİG-RE) Nedir, Kimleri Kapsar?
Giriş
Türkiye’de kamu kurumları ve kritik altyapı işletmeleri için bilgi güvenliği sadece bir tercih değil, yasal bir zorunluluktur.
Bilgi ve İletişim Güvenliği Rehberi (BİG-RE), Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanmış, kurumların bilgi varlıklarını korumak için uyması gereken teknik ve idari esasları belirleyen rehberdir.
Bu yazıda BİG-RE’nin ne olduğunu, kimleri kapsadığını, ISO 27001 ile ilişkisini ve işletmelerin nasıl uyum sağlaması gerektiğini açıklıyoruz.
BİG-RE Nedir?
BİG-RE (Bilgi ve İletişim Güvenliği Rehberi); kamu kurumları ve kritik altyapı hizmeti sunan kuruluşların, bilgi sistemlerini güvenli şekilde yönetebilmesi amacıyla hazırlanmıştır.
İlk olarak 2019 yılında yayımlanmış, daha sonra 2020 ve 2022’de güncellenmiştir.
Rehber üç temel amacı taşır:
- Kritik bilgi varlıklarının korunması,
- Siber olaylara karşı dayanıklılığın artırılması,
- Kurumlar arasında standart güvenlik seviyesinin oluşturulması.
Kimleri Kapsar?
BİG-RE;
- Tüm kamu kurum ve kuruluşlarını,
- Enerji, finans, haberleşme, ulaştırma, sağlık, su ve gıda gibi kritik altyapı sektörlerinde faaliyet gösteren özel işletmeleri kapsar.
Kısacası: Devlet kurumları ve kamu hizmeti yürüten özel kuruluşlar, BİG-RE yükümlüsüdür.
Bununla birlikte, veri merkezi işletmecileri, erişim sağlayıcılar, yer sağlayıcılar ve bulut hizmeti sunan şirketler de rehberin dolaylı kapsamındadır.
BİG-RE ve ISO 27001 İlişkisi
BİG-RE, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı ile büyük ölçüde paraleldir.
Ancak ISO 27001 bir “belgelendirme standardı”, BİG-RE ise “uyum rehberi”dir.
| Kriter | BİG-RE | ISO/IEC 27001 | |--------|--------|---------------| | Hukuki Durum | Kamu zorunluluğu | Uluslararası standart | | Kapsam | Kurum bazlı rehber | Yönetim sistemi yaklaşımı | | Denetim | Kamu veya BTK denetimleri | Akredite kuruluşlar | | Belgelendirme | Belge vermez | Belge alınır | | Odak | Asgari güvenlik kontrolleri | Süreç temelli iyileştirme |
Bu nedenle birçok kurum, ISO 27001 kurulumunu BİG-RE uyumunun temeli olarak kullanır.
Rehberde Yer Alan Temel Güvenlik Kontrolleri
BİG-RE, kurumların aşağıdaki alanlarda tedbir almasını zorunlu kılar:
- Ağ ve sistem güvenliği (firewall, loglama, erişim kontrolü)
- Veri sınıflandırma ve şifreleme
- Yedekleme ve iş sürekliliği
- Siber olay müdahale ekipleri (SOME)
- Zafiyet yönetimi ve USOM bildirim süreçleri
- Kritik varlıkların yerli/milli çözümlerle korunması
Bu kontrollerin uygulanıp uygulanmadığı, kurumların kendi iç denetimlerinde ve BTK denetimlerinde değerlendirilir.
USOM ve Zafiyet Bildirimleri
BİG-RE’ye göre, kurumlar USOM (Ulusal Siber Olaylara Müdahale Merkezi) ekosistemine kayıtlı olmalıdır.
Siber olay ve güvenlik zafiyetleri, SİP (Siber İhlal Paylaşım) Platformu üzerinden bildirilir.
Bu sistem sayesinde, kurumlar olası saldırı ve zafiyetleri ulusal ölçekte paylaşabilir ve erken uyarı mekanizmalarından faydalanır.
Bu süreç yalnızca uyum değil, ulusal siber dayanıklılığın bir parçasıdır.
BİG-RE Uyum Süreci Nasıl İlerler?
- Mevcut Durum Analizi
- Kurumun mevcut bilgi güvenliği altyapısı incelenir.
- Varlık ve Risk Yönetimi
- ISO 27001 yaklaşımıyla varlık ve risk envanteri çıkarılır.
- Politika ve Prosedürlerin Hazırlanması
- BİG-RE’de tanımlı kontroller dokümante edilir.
- Teknik Önlemlerin Uygulanması
- Loglama, yedekleme, ağ güvenliği, SOME yapısı oluşturulur.
- USOM Kaydı ve Raporlama
- SİP platformu üzerinden düzenli bildirimler yapılır.
- İzleme ve Denetim
- Kurum içi denetimlerle kontrollerin sürdürülebilirliği sağlanır.
Sonuç
BİG-RE, kamu kurumlarının ve kritik altyapı işletmelerinin bilgi güvenliğini standardize eden en önemli ulusal çerçevedir.
Bu rehbere uyum, sadece yasal bir yükümlülük değil, kurumsal güvenin teminatıdır.
💬 BİG-RE, ISO 27001 ve BTK uyum süreçlerinde profesyonel danışmanlık desteği almak için bizimle iletişime geçebilirsiniz.
İlgili Yazılar
- BTK Yer Sağlayıcı ve Erişim Sağlayıcılar İçin Uyum Süreçleri
- USOM Bildirimleri Nedir, SİP Platformu Nasıl Kullanılır?
- ISO/IEC 27001:2022 Nedir, Kurumlar İçin Neden Zorunlu Hale Geldi?
#BİGRE #BilgiGüvenliğiRehberi #SiberGüvenlik #BTK #USOM #SOME #SİPPlatformu #ISO27001 #BGYS #KritikAltyapı #BilgiGüvenliğiDanışmanlık