Professional Documents
Culture Documents
2016 2019guvenlik PDF
2016 2019guvenlik PDF
NDEKLER
1
Giri
1.2 2016-2019 Ulusal Siber Gvenlik Stratejisi ve Eylem Plannn Hazrlk Sreci
1.3 Tanmlar
1.4 Misyon
1.5 Vizyon
1.6 Ama
1.7 Kapsam
1.8 Gncelleme
10
10
lkeler
11
12
13
14
14
14
14
14
16
16
17
1 Giri
Bilgi ve iletiim teknolojileri toplumun ve ekonominin ayrlmaz bileenleri olmutur ve
kalknmaya nemli katk salamaktadr. lkemizde bilgi ve iletiim sistemlerinin kullanm
kamu kurumlarnda, zel sektrde ve vatandalara ilave olarak; enerji, su kaynaklar,
salk, ulam, haberleme ve finansal hizmetler gibi kritik altyap sektrlerinde faaliyet
gsteren kurum ve kurulularda da hzla yaygnlamaktadr. Bilgi ve iletiim teknolojileri ve
zellikle de internet kullanm siber uzaydaki tm bileenlerin birbiriyle balantl olmasn
ve bununla birlikte de siber gvenlik risklerini ve belirsizlikleri beraberinde getirmektedir.
Kurum ve kurulularmzn hizmet sunumlarnda bilgi ve iletiim sistemlerini her geen gn
daha fazla kullanmalar ile birlikte, sz konusu bilgi ve iletiim sistemlerinin gvenliinin
salanmas hem ulusal gvenliimizin, hem de rekabet gcmzn nemli bir boyutu
haline gelmitir. Bilgi ve iletiim sistemlerinde bulunan gvenlik zafiyetleri, bu sistemlerin
hizmet d kalmasna veya ktye kullanlmasna, can kaybna, byk lekli ekonomik
zarara, kamu dzeninin bozulmasna ve/veya ulusal gvenliin ihlaline neden olabilecektir.
Siber saldrlar dolays ile ortaya kan maddi zarar olaanst boyutlara ulamtr. Hem
Dnya Ekonomik Forumunun, hem de gvenlik firmalarnn raporlar bu gerei aka
ortaya koymaktadr.
Siber uzayn biliim sistemlerine ve bilgi/veriye yaplan saldrlar iin anonimlik ve inkr
edilebilirlik gibi frsatlar sunduu bir gerektir. Biliim sistem ve verilerini hedef alan
srarc ve gelimi siber saldrlarn kimler tarafndan finanse ve organize edildiinin tespiti
ise zordur. Bu durum ve zellikler siber uzaydaki risk ve tehditlerin asimetrik karakterini
ortaya koymakta, tehditlerle mcadeleyi gletirmektedir.
Byle bir ortamda artk siber gvenliin mutlak olarak salanmasndan bahsedilmemekte,
bunun yerine siber gvenlik risklerinin ynetilebilir ve kabul edilebilir dzeylerde
tutulmas hedeflenmektedir. nternet gibi ak ve balantl bir ortamda bulunmann artan
eriilebilirlikle birlikte baz riskleri de getirecei kabul edilmektedir. Bu risklerin tm
paydalar ieren btncl bir yaklamla ynetilerek siber olaylara kar hazrlkl olunmas
ve bu olaylardan en az zararla klarak srekliliin temini esas alnmaldr.
1.1 Ulusal Siber Gvenlik Stratejisi ve 2013-2014 Eylem Plan
Tm bu bilgiler nda, 20/10/2012 tarih, 28447 sayl Resmi Gazetede yaynlanan
Ulusal Siber Gvenlik almalarnn Yrtlmesi, Ynetilmesi ve Koordinasyonuna
likin Bakanlar Kurulu Karar ve 5809 sayl Elektronik Haberleme Kanunu gereince
ulusal siber gvenliin salanmasna ilikin politika, strateji ve eylem planlarn hazrlamak
ve koordinasyonunu salamak grevi Ulatrma, Denizcilik ve Haberleme Bakanlna
verilmitir.
Btn kamu kurum ve kurulular ile gerek ve tzel kiiler, Siber Gvenlik Kurulu (Ek-A)
tarafndan belirlenen politika, strateji ve eylem planlar erevesinde kendilerine verilen
grevleri yerine getirmek ve belirlenen usul, esas ve standartlara uymakla ykmldr.
Bu kapsamda hazrlanan, 2013-2014 dneminde gerekletirilmesi planlanan ilere ilave
olarak bu yllar aan periyodik faaliyetler ile eitim ve bilinlendirme almalar gibi
srekli yrtlmesi gereken faaliyetlere de yer veren Ulusal Siber Gvenlik Stratejisi ve
2013-2014 Eylem Plan 20/06/2013 tarih, 28683 sayl Resmi Gazetede yaynlanarak
yrrle girmitir.
1.2 2016-2019 Ulusal Siber Gvenlik Stratejisi ve Eylem Plannn Hazrlk Sreci
Gelien bilgi ve iletiim teknolojileri, artan gvenlik gereksinimi ve edinilen tecrbeler
dorultusunda, Ulatrma, Denizcilik ve Haberleme Bakanl tarafndan ulusal siber
gvenlik stratejisinin gncellenmesi ve 2016-2019 dnemini kapsayan eylemlerin
belirlenmesi ihtiyac domutur. Bu kapsamda ncelikle eski eylem plannda sorumlu veya
ilgili olarak yer alan kurumlarla 10 Mart - 7 Nisan 2015 tarihlerinde yedi adet deerlendirme
toplants yaplmtr. Toplantlarda eski eylem plannda yer alan faaliyetlerin gerekleme
dereceleri ve karlalan glklere ek olarak ileriye dnk deerlendirmeler ve siber
gvenlik kapsamnda gerekletirilmesi gereken faaliyetler de detayl olarak belirlenmi ve
kaydedilmitir.
Toplantlarn ardndan kamu kurumlar, kritik altyap iletmecileri, biliim sektr,
niversiteler ve sivil toplum kurumlarn temsilen 73 kurum ve kurulutan toplam 126
uzmann katlm ile Ortak Akl Platformu gerekletirilmitir. ki gn sren platform
almalar kapsamnda; Trkiyenin siber gvenlik boyutunda gl ve zayf ynlerinden
hareketle stratejik amalar ve gerekletirmesi gereken eylemler belirlenmitir.
Siber Gvenlik konusu zellikle 2008 ylndan itibaren AB (Avrupa Birlii), OECD
(Ekonomik birlii ve Kalknma Tekilat), NATO (Kuzey Atlantik ttifak) gibi uluslararas
kurululara ilave olarak tm gelimi lkelerin gndemine girmitir. 2016-2019 Ulusal
Siber Gvenlik Stratejisi ve Eylem Plan hazrlanrken paydalarla birlikte gerekletirilen
almalara ilave olarak geri planda kaynak taramas da yaplm, Amerika, Avrupa ve Uzak
Doudan ok sayda lkenin siber gvenlik stratejileri gzden geirilmi, lkelerin siber
gvenlik alannda kapsam, hedefler, ncelikler, organizasyon yaps, kaynak tahsisi, Ar-Ge
(Aratrma ve Gelitirme) koordinasyonu, kamu-zel sektr ibirlii, eitim gibi balklarda
retmeye alt zmler deerlendirilmitir.
Tm bu almalar kapsamnda retilen bilginin toplanmas, incelenmesi ve deerlendirilmesi
sonucunda 2016-2019 Ulusal Siber Gvenlik Stratejisi ve 2016-2019 Ulusal Siber
Gvenlik Eylem Plan hazrlanmtr.
1.3 Tanmlar
Bu belgede geen kavramlardan,
Tehdit: Bir kurumun veya sistemin zarar grmesi ile sonulanabilecek istenmeyen bir
olayn potansiyel nedenini,
Risk: Tehditlerin bir veya birden ok bilgi varlndaki akl kullanarak zarar yaratma
potansiyelini,
Biliim sistemleri: Bilgi ve iletiim teknolojileri vastasyla salanan her trl hizmetin,
ilemin ve bilgi/verinin sunumunda yer alan sistemleri,
Endstriyel Kontrol Sistemleri: Geleneksel biliim teknolojileri dnda, programlanabilir
mantksal denetleyiciler aracl ile retim, rn ileme ve datm kontrolleri gibi
endstriyel ilemler iin kullanlan, SCADA (Supervisory Control and Data Acquisition)
ve Dank Kontrol Sistemleri eklinde gruplanan bilgi sistemlerini,
Siber uzay: Tm dnyaya ve uzaya yaylm durumda bulunan biliim sistemlerinden
ve bunlar birbirine balayan alardan oluan veya bamsz bilgi sistemlerinden oluan
saysal ortam,
Kamu biliim sistemleri: Trkiye Cumhuriyeti kamu kurum ve kurulularna ait olan ve/
veya kamu kurum ve kurulular tarafndan iletilen biliim sistemlerini,
Gerek ve tzel kiilere ait biliim sistemleri: Trkiye Cumhuriyeti kanunlarna tabi
olarak gerek ve tzel kiilere ait olan ve/veya gerek ve tzel kiilerce iletilen biliim
sistemlerini,
Ulusal siber uzay: Kamu biliim sistemleri ile gerek ve tzel kiilerce iletilen/kullanlan
biliim sistemlerinden oluan ortam,
Gizlilik: Bilginin yetkisiz kiiler, varlklar ya da srelere kullanlabilir yaplmama ya da
aklanmama zelliini,
Btnlk: Varlklarn doruluunu ve tamln koruma zelliini,
Eriilebilirlik: Yetkili bir varlk tarafndan talep edildiinde eriilebilir ve kullanlabilir
olma zelliini,
Kritik hizmet: Verilememesi halinde,
- Can kaybna,
- Ulusal gvenlik aklarna veya kamu dzeninin bozulmasna yol aabilecek
hizmetleri,
- Can kaybna,
Kritik altyap sektrleri: 20/06/2013 tarih, 2 sayl Siber Gvenlik Kurulu karar uyarnca
kritik altyaplar barndrmakta olan Elektronik Haberleme, Enerji, Su Ynetimi,
Kritik Kamu Hizmetleri, Ulatrma ve Bankaclk ve Finans sektrlerini,
Kurum: Kamu kurumlar ve kritik altyap ileten kamu ya da zel sektr kurulularn,
Siber olay: Biliim ve endstriyel kontrol sistemlerinin veya bu sistemler tarafndan ilenen
bilgi/verinin gizlilik, btnlk veya eriilebilirliinin ihlal edilmesini veya teebbste
bulunulmasn,
Siber saldr: Ulusal siber uzayda bulunan biliim sistemlerinin gizlilik, btnlk veya
eriilebilirliini ortadan kaldrmak amacyla, siber uzayn her hangi bir yerindeki kii ve/
veya biliim sistemleri tarafndan kastl olarak yaplan ilemleri,
Snr gvenlii: Biliim sistemlerinin gvenlik duvar ve saldr engelleme sistemleri
gibi eriim kontrol salayan sistemler aracl ile d alardan gelebilecek saldrlardan
korunmasn,
Siber gvenlik: Siber uzay oluturan biliim sistemlerinin saldrlardan korunmasn,
bu ortamda ilenen bilgi/verinin gizlilik, btnlk ve eriilebilirliinin gvence altna
alnmasn, saldrlarn ve siber gvenlik olaylarnn tespit edilmesini, bu tespitlere kar
tepki mekanizmalarnn devreye alnmasn ve sonrasnda ise sistemlerin yaanan siber
gvenlik olay ncesi durumlarna geri dndrlmesini,
Ulusal siber gvenlik: Ulusal siber uzay oluturan bilgi ve iletiim teknolojileri vastasyla
salanan her trl hizmet, ilem, bilgi/verinin ve bunlarn sunumunda yer alan donanm ve
yazlm sistemlerinin ulusal lekte salanan siber gvenliini, ifade eder.
1.4 Misyon
Ulusal siber gvenliin salanmas amacyla, etkin ve srdrlebilir politikalar belirlemek,
koordinasyonu salamak ve uygulanmasn gerekletirmektir.
1.5 Vizyon
Toplumun refah ve gvenlii ile lke ekonomisinin bymesine ve verimliliine katk
salamak zere bilgi ve iletiim teknolojilerinden en etkin ekilde faydalanlabilmesi iin,
siber gvenlikle ilgili tm paydalarn ibirlii iinde siber uzaydaki riskleri yetkin bir
biimde ynettikleri, siber gvenlik alannda uluslararas rekabet gcne sahip bir ekosistemin olumasdr.
1.6 Ama
2016-2019 Ulusal Siber Gvenlik Stratejisi ve Eylem Plannn ana amac; siber gvenliin
ulusal gvenliin ayrlmaz bir paras olduu anlaynn tm kesimlerde yerlemesi,
ulusal siber uzayda bulunan sistem ve paydalarn tamamnn gvenliini salamak zere
idari ve teknolojik nlemlerin alnmasn salayacak yetkinliin eksiksiz bir ekilde
kazanlmasdr. Bu ana amac gerekletirmek zere, hedeflerin ve alt eylem maddelerinin
belirlenmesi, bunlarn gerekletirilmesinin salanmas ve denetlenmesi de bu dokmann
amalarndandr.
Bu amalar dorultusunda:
Ulusal siber uzayn tamamn kapsamak artyla, bilgi teknolojileri zerinden salanan
her trl hizmet, ilem ve bilgi/veri ile bunlarn sunumunda kullanlan sistemlerin
gvenliinin, gizliliinin ve mahremiyetinin salanmasna,
Siber gvenlik olaylarnn etkilerinin en dk dzeyde kalmasna, olaylarn ardndan
sistemlerin en ksa srede normal almalarna dnmesine ynelik stratejik siber gvenlik
eylemlerinin belirlenmesine ve oluan suun adli makam ve kolluk kuvvetlerince daha
etkin aratrlmasnn ve soruturulmasnn salanmasna,
Siber gvenliin, gizliliin ve mahremiyetin salanmasnda kritik teknolojilerin ve
rnlerin lkemizde retilmesine, retilemiyorsa, dardan alnan teknoloji ve rnlerin
salt bu maksatla ve gvenle kullanlabilmesini salayacak nlemlerin alnmasna
ynelik bileenler bu planda yer almaktadr.
1.7 Kapsam
2016-2019 Ulusal Siber Gvenlik Stratejisi ve Eylem Plan, kamu biliim sistemlerine ve
kamu ya da zel sektr tarafndan iletilen kritik altyaplara ait biliim sistemlerine ilave
olarak kk ve orta lekli sanayi, tm zel ve tzel kiiler de dhil olmak zere ulusal
siber uzayn lkemiz leindeki btn bileenlerini kapsar.
1.8 Gncelleme
Ulusal Siber Gvenlik Stratejisi gelien teknoloji, deien koullar ve gereksinimler gz
nnde bulundurularak, kamu ve zel sektrden gelecek talepler dorultusunda, ulusal
dzeyde salanacak egdm ile gncellenecektir.
Bu eylem plannda yer alan ve 2019 sonunda tamamlanmayan eylemler bir sonraki eylem
planna aktarlacaktr.
1.9 Dnyada Siber Gvenlik Stratejileri ve Eylem Planlar
Bu blmde farkl lkeler tarafndan yaynlanan Siber Gvenlik Strateji dokmanlarnda
dikkat eken hususlara yer verilmitir.
2016-2019 Ulusal Siber Gvenlik Stratejisi ve Eylem Plannda olduu gibi dier lkelerin
strateji dokmanlarnda da olas siber gvenlik risklerine ve riskleri ortadan kaldracak
eylemler uygulanrken gz nnde bulundurulacak ilkelere yer verilmekte, risklerin ve
ilkelerin lkeden lkeye ok fazla deiiklik arz etmedii gzlemlenmitir.
Bu kapsamda dikkat eken ilkeler unlardr:
a. Siber gvenliin salanmasnda birey, kurum, toplum ve devletin tm hukuki ve
sosyal sorumluluklarn yerine getirmeleri,
b. Kamu, zel sektr, niversiteler ve sivil toplum rgtleri koordinasyonu, mterek
katlm, i birlii ve bilgi paylam,
c. Uluslararas Siber Gvenlik Operasyon Merkezleri arasnda gelimi siber olay
ynetimi ibirlii.
ncelenen dokmanlarda dikkat eken riskler ise unlardr:
a. Toplumun sosyal alara bamll,
b. Kritik kurum ve kurulularn siber uzaydaki konumlar,
c. eitli siber casusluk almalar ve hedefli saldrlar,
. Personel ve yetkinlik balamnda yetersizlik,
d. Kurumlar aras koordinasyon eksiklii,
e. Siber uzayda faaliyet gsteren farkl leklerdeki sektrlere ynelik ekonomik kayglar.
Bu ilkeler ve riskler de gz nnde bulundurularak ulusal siber gvenlik ilkeleri, riskleri,
stratejik siber gvenlik amalar ve eylem plan belirlenmitir.
10
2 lkeler
Ulusal siber gvenliin salanmasnda gz nnde bulundurulacak ilkeler unlardr:
1. Siber gvenlik, risk ynetimini esas alan etkin ve srekli deerlendirmeye ve
iyiletirmeye dayal yntemler araclyla salanr. Oluturulan risk ynetimi
metotlarnn tehdit ve aklklar ele alarak bunlardan dolay ortaya kacak riskleri
belirlemesi, bu riskleri kabul edilebilir dzeye indirmek iin yntemler sunmas
hedeflenir.
2. Siber gvenliin salanmas iin tm paydalarn siber gvenlik risklerini bilmeleri,
bu risklerin ynetilmesine ilikin yaklamlarnn kendileri kadar bakalarn
da etkileyebileceinin bilincinde olmalar gerekir. Bu farkndalk ve yetkinliin
salanmas iin tm paydalarn gerekli eitim ve deneyimi kazanmalar salanr.
Teknik boyutun yan sra; hukuki, idari, ekonomik, politik ve sosyal boyutlar da
ieren btncl bir yaklam benimsenir.
3. Risk ynetimi, teknik zaaflarn hzla giderilmesini, saldr ve tehditlerin nlenmesini,
fark edilmesini, yantlanmasn ve muhtemel zararn en aza indirgenmesini ierir.
Zararlarn asgari dzeyde tutulmas iin siber olaylara kar bir hazrlk ve sreklilik
plannn bulunmasna ve uygulanmasna nem verilir.
4. Siber uzay gvenliinin salanmas ve srdrlmesinde; kamu, zel sektr,
niversiteler, sivil toplum kurulular ve bireyler dhil tm paydalar arasnda
ibirliinin yan sra uluslararas ibirlii ve bilgi paylam esas kabul edilir ve gven
ina edilir.
5. Tm paydalar, siber uzay gvenliinin salanmas iin alrken, hukukun stnl,
ifade zgrl, temel insan hak ve hrriyetleri ile mahremiyetin korunmas ilkelerini
gzetir.
6. Paydalar siber uzaydaki risklerin ynetimi ile ilgili sorumluluklarn yerine getirirken
effaflk, hesap verilebilirlik ve etik deerleri gz nnde bulundurur.
7. Alnan siber gvenlik nlemlerinin ilgili risklerle orantl olmas, olumlu ve olumsuz
etkilerinin deerlendirilmesi ve dengelenmesi salanr.
8. Siber gvenlik gereksinimlerinin karlanmasnda yerli rn ve hizmet kullanm
tevik edilir, bunlarn gelitirilmesi iin aratrma ve gelitirme projeleri desteklenir,
yenilikilik anlay esas kabul edilir.
11
12
8. Toplumun internete ve sosyal alara olan bamll, siber gvenlik alannda yeterli
dzeyde bilgi ve bilin seviyesine sahip olmamas, mobil ve sabit bilgi sistemlerinde
kiisel gvenlik nlemlerini almamas gibi nedenlerle ktcl yazlm ve oltalama
saldrlarna, dolandrclk ve kimlik hrszlna maruz kalmas, kiisel bilgilerin ve
cihazlarn saldrganlar tarafndan ele geirilmesi, deitirilmesi veya yok edilmesi,
sahte ilem yaplmas.
9. Her trl kurum ve kuruluta yn posta, ktcl yazlm ve benzeri saldrlar
sonucunda dolandrclkla kar karya kalnmas.
10. Her trl kurum ve kuruluta, kullanc hatalar ya da doal afetler sonucunda biliim
sistemleri aracl ile verilen hizmet ve faaliyetlerin kesintiye uramas.
13
14
15
2. Dileri Bakanl
3. ileri Bakanl
7. Genelkurmay Bakanl
16
1. ileri Bakanl
2. Adalet Bakanl
3. Maliye Bakanl
8. Salk Bakanl
17