top of page
UB-Blog.png

Gizlilik Dereceli Belgelerde Güvenlik Tedbirleri

GİZLİLİK DERECELİ BELGELERDE UYGULANACAK USUL VE ESASLAR HAKKINDA YÖNETMELİK


Gizlilik Dereceli Belgelerde Uygulanacak Usul ve Esaslar Hakkında Yönetmelik, 7315 Sayılı Güvenlik Soruşturması ve Arşiv Araştırması Kanunu ile Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesine dayanılarak hazırlanmıştır.


Yönetmelik, kamu kurum ve kuruluşlarını kapsamaktadır. Yönetmeliğin amacı, muhteviyatına veya güncelliğine göre gizlilik dereceli belgeler için uygulanacak usul ve esasları belirlemek ve gizlilik dereceli belgelerde uygulama birliğini sağlamaktır.


MİLLİ GİZLİLİK DERECESİ


Gizlilik Dereceli Belgelerde Uygulanacak Usul ve Esaslar Hakkında Yönetmelik kapsamında 3 (üç) adet milli gizlilik derecesi bulunmaktadır.


Çok Gizli: Açıklanması veya yetkisiz kişilerce öğrenilmesi halinde Devletin dış ilişkilerine, milli savunmasına, milli güvenliğine ve müttefiklerle olan faaliyetlerine önemli derecede zarar verebilecek belgeler için kullanılır.


Gizli: İzinsiz açıklanması veya yetkisiz kişilerce öğrenilmesi halinde Devletin menfaatlerine, güvenlik, istihbarat ve teknoloji faaliyetlerine zarar verebilecek belgeler için kullanılır.


Hizmete Özel: İzinsiz açıklanması veya yetkisiz kişilerce öğrenilmesi halinde herhangi bir idari faaliyete, gerçek veya tüzel kişiye, idari soruşturmaya, adli soruşturmaya ve kovuşturmaya zarar verebilecek belgeler için kullanılır.


GENEL GÜVENLİK TEDBİRLERİ


1) Gizlilik dereceli belgeye erişim bilmesi gereken prensibine göre sınırlandırılmalıdır.


İletişim ve bilgi sistemlerini barındıran alanlar da dâhil olmak üzere gizlilik dereceli belgelerin oluşturulduğu, üzerinde çalışıldığı veya muhafaza edildiği bina, ofis, oda, dolap, kasa ve diğer alanlar için ilgili gizlilik derecesine göre gerekli fiziksel ve teknik güvenlik önlemleri alınır.


Gizlilik dereceli belgenin bilmesi gereken prensibi kapsamında toplantı ve benzeri nedenlerle çalışma mekânı dışına taşınması gerektiğinde gizlilik derecesinin gerektirdiği güvenlik önlemleri alınır.


Çok Gizli ve Gizli belgelere erişim, belge hazırlama, taşıma (kurye) veya teslim alma yetkisine sahip personel, yalnızca bilmesi gerekenler tarafından bilinir ve yetkisiz kişilerin personele ait bilgileri öğrenmesi engellenir.


2) Gizlilik dereceli belgelerin bütünlüğü korunmalıdır.


Gizlilik dereceli belgenin ilgileri, ekleri ve ilişkili belgeleriyle beraber bütünlüğü korunarak muhafaza edilir, belgenin özniteliği bozulmaz.


3) Gizlilik dereceli belgelerin fiziksel güvenliği sağlanmalıdır.


Gizlilik dereceli belgelerin muhafaza edildiği dolap, kasa ve odaların anahtarları, manyetik kartları veya şifreleri de gizlilik dereceli belge niteliğinde muhafaza edilir. Kilit mekanizmasını açan söz konusu anahtar, manyetik kart ve şifrelerin üretilmesi süreçleri de gizlilik içinde yürütülür.


4) Bilgi ve İletişim Güvenliği Rehberine uygun güvenlik tedbirleri alınmalıdır.


Gizlilik dereceli belgeler için kullanılacak olan bilgisayarlardaki yazılım ve donanım bileşenleri, Dijital Dönüşüm Ofisi Başkanlığınca hazırlanan Bilgi ve İletişim Güvenliği Rehberi’nde ve kurumsal bilgi güvenliği yönetim sistemlerinde belirtilen temel prensiplere uygun olarak kullanılır.


5) Çok Gizli ve Gizli belgeler için kullanılan cihazlarda gerekli güvenlik tedbirleri alınmalıdır.


Bilgisayarda, yazıcıda ve fotokopi cihazında kablolu veya kablosuz ağ bağlantısını sağlayacak herhangi bir donanım bileşeni bulunmamalıdır.


Bilgisayarda yazıcı, klavye ve fare ile gerekli durumlarda kullanılabilen kriptolu veri depolama cihazı için bağlantı noktası bulunmalıdır. Belirtilen cihazlar haricinde başka bir cihazın bağlanması engellenmelidir.


Bilgisayarın fiziksel portlarına erişim sağlayacak cihazlarda yazılımsal olarak erişim kontrolü için gerekli tedbirler alınmalıdır. Temel giriş-çıkış sistemi yazılımı üzerinden harici donanım bileşenlerine erişim engellenmelidir.


Bilgisayarın değiştirilmesi durumunda disk, yetkili kişi gözetiminde içerdiği veriler geri alınamayacak şekilde güvenli derin silme yazılımları ile temizlenmeli ve fiziksel olarak imha edilmelidir.


Yazılım uygulamalarının kurulumu herhangi bir ağa bağlı olmadan gerçekleştirilmeli ve güncelleme işlemleri zorunlu durumlarda yapılmalıdır.


Kullanılan cihazların açılma noktaları, sökülebilir donanım parçalarına yetkisiz erişimin anlaşılabilmesi için güvenlik bandı ya da mühür ile işaretlenmelidir.


Cihazlarda kullanılan ve atıl duruma gelen sarf malzemeleri yetkili kişi gözetiminde imha edilmelidir.


6) Gizlilik dereceli belgelere ilişkin işlemler gerekli güvenlik tedbirleri alınarak kapalı ağa bağlı cihazlarda gerçekleştirilmelidir.


Elektronik haberleşme hizmeti içinde kodlu veya kriptolu haberleşme yapmaya yetkili Dışişleri Bakanlığı, Türk Silahlı Kuvvetleri, Milli İstihbarat Teşkilatı Başkanlığı, Emniyet Genel Müdürlüğü, Jandarma Genel Komutanlığı ve Sahil Güvenlik Komutanlığı ile bu kurumlara ait kodlu veya kriptolu elektronik haberleşme sistemlerinin kullanıldığı kamu kurum ve kuruluşları, gizlilik dereceli belgelere ilişkin işlemleri gerekli güvenlik tedbirlerini almak şartıyla kapalı ağa bağlı cihazlarda gerçekleştirebilir.


7) Personele ilişkin güvenlik soruşturması ve arşiv araştırması yapılmalıdır.


Çok Gizli ve Gizli belgelerle ilgili yetki verilecek veya görevlendirme yapılacak kişilere güvenlik soruşturması ve arşiv araştırması birlikte yapılır. Gizlilik dereceli belgenin güvenliği ve belgeye ilişkin süreçlerin gizlilik içinde yürütülmesi yetkilendirilmiş personelin sorumluluğundadır.


ÇOK GİZLİ BELGELERE İLİŞKİN GÜVENLİK TEDBİRLERİ


Çok Gizli belgenin kaydedilmesi, gönderilmesi, teslim alınması, havale edilmesi, saklanması işlemlerinin gerçekleştirilmesinden, takibinden ve kontrolünden sorumlu büro oluşturulur. Büro; Çok Gizli belgenin çoğaltılmasına, tercüme edilmesine, erişimine, gizlilik derecesinin düşürülmesine, imhasına, arşive devredilmesine ve belgeden alıntı yapılmasına ilişkin ilgili birimlerle yürütülecek müşterek faaliyetleri gerçekleştirir, kayıtları tutar ve kayıtların takibini yapar. Büroda uygulanacak güvenlik tedbirleri:

  1. Büro, güvenlik kontrolü ile girilen yerleşkeler veya binalar içerisinde yer alır. Büroya ait yerler sadece bilmesi gereken personel tarafından bilinir.

  2. Büronun su baskını ve yangın gibi durumlardan zarar görmemesi için gerekli tedbirler alınır ve büroda gazlı yangın söndürme sistemi kullanılır. Olası yangın, su baskını, saldırı ve benzeri risklere karşı tahliye planları hazırlanır.

  3. Büroda elektronik cihazların kullanımı sırasında işlenen bilginin sızmasına, dinlemeye ve elektromanyetik yayılımın önlenmesine yönelik elektronik ve fiziki önlemler alınır.

  4. Kripto haberleşme cihazları bürolar dışında aynı standartlarda başka büroda da kullanılır. Ancak bu cihazların bürolarda yer alması gerektiği durumlarda sadece bu cihaz için kullanılacak özel bir hat çekilir.

  5. Çok Gizli belgenin hazırlanması esnasında oluşan taslakların saklanması gerektiği durumlarda kriptolu veri depolama cihazı kullanılır. Kriptolu veri depolama cihazı Çok Gizli belge ile aynı şekilde saklanır. Çok Gizli belge hazırlandıktan sonar ihtiyaç halinde bilgisayarın hafızası güvenli derin silme yazılımları ile temizlenir.

  6. Büronun temizlik ve tadilat işlemleri ile Çok Gizli belgenin hazırlanması esnasında kullanılan cihazların yazılım ve donanım gereksinimleri büro görevlisi gözetiminde ve denetiminde gerçekleştirilir.

  7. Büroda kullanılacak donanım için yetecek sayıda elektrik prizi duvarda veya masada sabitlenerek bulundurulur. Sayısal telefon, internet ve benzeri veri ve görüntü aktarımı sağlayacak iletişim sağlayıcı prize yer verilmez.

  8. Büroda sadece ses iletişimini sağlayan ve belirlenmiş numaraları aramakla sınırlı telefon bulundurulabilir.

  9. Büroya girişte cep telefonu, fotoğraf makinesi, kopyalama cihazları, bilgisayar, tablet gibi veri ve bilgi transferi sağlayabilecek cihazlar ile güvenlik zafiyetine sebep olabilecek silah alınmaz.

  10. Büro girişleri, güncel teknolojiye uygun kilit, alarm ve kamera sistemiyle korunur. Alarm ve kamera sistemi idarenin güvenlik birimlerine bağlanarak takip edilir. Kamera sistemi ile 24 saat izlenemeyen büroların kapılarında güvenlik soruşturması ve arşiv araştırması birlikte yapılmış nöbetçi personel görevlendirilir.

  11. Çok Gizli belgenin muhafaza edildiği çelik kasa/dolap, içindeki belgeyle birlikte taşınıp götürülme ihtimalini en aza indirecek ağırlık ve büyüklükte olur, gerekli görülmesi halinde zemin veya duvara sabitlenir. Çelik kasalar/dolaplar kolay açılmaya, parçalanmaya ve benzeri tehlikelere karşı dayanıklı olur.

  12. Büronun giriş kapısının ve çelik kasanın/dolabın varsa şifre ve anahtarları büroda kontrol altında tutulur. Giriş kapısı ve çelik kasa/dolap kilit şifresi:

    • Kilit veya çelik kasa/dolap ilk tedarik edildiğinde,

    • Şifreyi bilen büro personelinin görevden ayrılması halinde,

    • Şifrenin başkaları tarafından öğrenildiği şüphesi ve kanaati oluştuğunda,

    • Kilit arıza sonucu bakım ve onarımdan geldiğinde,

    • Altı ayda bir düzenli olarak,

değiştirilir.


13. Büro personeline, Çok Gizli Belge Yetki Kartı düzenlenir. Büro ile varsa tali büro, belge teslim etme ve alma işlemlerinde kullanılmak üzere büroda görevli olmayan işlem personeli için kurye kartı ile teslim alma yetkilisi kartı hazırlar.


14. Büroda, büro ve işlem personelinin, muhatap idarenin büro ve kurye personelinin imza örnekleri ile ad-soyadı, unvanı ve iletişim bilgilerini içeren yetki listesi tutulur. Yetki değişikliği veya iptalinde yetki listesi güncellenir.


15. Büro personeli ile kurye ve teslim alma yetkisi bulunan görevlilerin imza örnekleri ile ad-soyadı, unvanı ve iletişim bilgileri idarelerin bürolarıyla her yılın aralık ayında bir sonraki yılı kapsayacak şekilde paylaşılır. Yeni personel görevlendirmesi veya yetki değişikliğinde imza örnekleri ve diğer bilgiler güncellenerek muhataplara bildirilir.


16. Büro personeli mesai veya çalışma bitiminde, gizlilik dereceli hiçbir belgenin açıkta bırakılmadığını, büroda bulunan kasa, masa ve dolapların kilitli olup olmadığını kontrol eder ve açık olanları kilitler.


GİZLİ VE HİZMETE ÖZEL BELGELERE İLİŞKİN GÜVENLİK TEDBİRLERİ

  1. Gizli belge, yetkili kişilerin erişebileceği güvenli odalarda veya muhafaza edeceği kilitli dolaplarda saklanır.

  2. Gizli belgenin saklandığı güvenli odalarda sadece yetkili kişilerin girebilmesi için güncel teknolojiye uygun mekanizmalar kullanılır ve güvenli odaların kapısını dışarıdan gösteren kamera kaydı tutulur.

  3. Gizli belgenin saklanması için kilit mekanizması anahtar, manyetik kart veya şifre ile açılan, dışarıdan bakıldığında içinde ne olduğu anlaşılmayan ve kolaylıkla taşınamayan dolaplar kullanılır.

  4. Hizmete Özel belge, EBYS’lerde (Elektronik Belge Yönetim Sistemi) şifreli veya kriptolu olarak saklanır. Hizmete Özel belgenin tutulduğu ve işlendiği yerlerde yayma Güvenliği önlemleri alınır. Olağanüstü durumlarda fiziksel ortamda hazırlanan Hizmete Özel belge, gizli belge için belirtilen koşullara uygun olarak saklanır.

  5. Hizmete Özel belgenin üretildiği ve saklandığı EBYS’lere ait uygulama ve veri depolama için kullanılan sunucular, sıcaklık, yangın, sel, deprem, manyetik bozulma, yetkisiz erişim gibi risklere karşı gerekli önlemlerin alındığı, kesintisiz olarak hizmet verebilecek şekilde tasarlanmış yurt içinde bulunan sunucu odalarında muhafaza edilir. EBYS’lerde saklanan verilerin veri kaybına neden olmayacak şekilde düzenli olarak yedeklenmesi sağlanır.

  6. Hizmete Özel belge ile ilgili işlemler için birim veya alt birim yöneticisinin talebiyle ilgili personele EBYS’de yetki verilir. Yetkisi olmayan personelin Hizmete Özel belgeye erişimi engellenir. Hizmete Özel belge ile ilgili işlemler, EBYS’nin günlük raporlarında kayıt altına alınır.

Son Yazılar

Hepsini Gör

6698 Sayılı Kişisel Verilerin Korunması Kanunu

6698 Sayılı Kişisel Verilerin Korunması Kanunu Nedir? Kimleri Kapsar? Kişilerin başta özel hayatının gizliliği olmak üzere temel hak ve...

CBDDO Bilgi ve İletişim Güvenliği Rehberi

CBDDO Bilgi ve İletişim Güvenliği Rehberi Nedir? ​ Bilgi ve İletişim Güvenliği Rehberi, TC. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi...

Comentários


bottom of page