Kamu ve kurumsal uyum, uygulamayla
KVKK, ISO 27001 ve Bilgi ve İletişim Güvenliği Rehberi uyumu
KVKK m.12 teknik tedbirlerini, ISO 27001 bilgi güvenliği yönetim sistemini ve Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi (BİGR) gereksinimlerini; rapor yazıp bırakan bir danışman gibi değil, uygulayarak devreye alırız. Açık kaynak araçlarla ve kurumun kendi sunucularında. Veriniz kurumdan çıkmaz; uyum yerinde işler.
Uyum danışmanlığı nedir?
Kamu kurumları ve kurumsal işletmeler için bilgi güvenliği; artık bir tercih değil, birden fazla yasal çerçevenin dayattığı bir yükümlülüktür. KVKK teknik tedbirleri, ISO 27001, Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi (BİGR) ve Kurumsal SOME yükümlülükleri iç içe geçer. Kritik soru genellikle "hangi belge" değil, tedbirlerin fiilen kim tarafından uygulanacağıdır. Rapor yazan danışman ile bu raporu sisteme geçiren ekip çoğu zaman aynı değildir.
C3T bu boşluğu kapatır. Uyum için gereken log, izleme, erişim yönetimi ve sıkılaştırma altyapısını açık kaynak araçlarla ve kurumun kendi sunucularında hayata geçirir; denetim ve belgelendirme kuruluşunu rakip değil, tamamlayan bir uygulayıcı olarak çalışır.
KVKK, ISO 27001 ve BİGR uyumu nasıl sağlanır?
Uyum, dört adımda ilerler: (1) varlık envanteri ve kritiklik seviyelendirme, (2) mevcut durumun boşluk (gap) analizi, (3) yol haritasına göre teknik tedbirlerin uygulanması — erişim yetkilendirme, loglama, şifreleme, izleme — ve (4) denetime hazırlık. C3T bu adımları açık kaynak araçlarla ve kurumun kendi sunucularında, istenirse internete kapalı uygular. Kamuda ayrıca 2023/13 Genelgesi kapsamında açık kaynağa (AKKY) geçiş analizi ve uygulaması yapılır. Log, kişisel veri ve envanter kurumdan çıkmaz; veri egemenliği korunur.
Uyum kapsamında ne yapıyoruz?
Dört ana uyum başlığını uçtan uca uygularız: BİGR uyumlaştırma, KVKK m.12 teknik tedbirler, ISO 27001 yönetim sistemi ve Kurumsal SOME. Her biri yerinde ve denetlenebilir çalışır.
BİGR uyumlaştırma
Bilgi ve İletişim Güvenliği Rehberi gereksinimlerini uçtan uca uygular hale getirir.
- Varlık gruplama ve envanter çıkarma
- Kritiklik seviyelendirme
- Boşluk (gap) analizi
- Uygulama yol haritası
- Denetime hazırlık
KVKK m.12 teknik tedbirler
Kişisel veri güvenliğinin teknik önlemlerini rapor değil, uygulama olarak hayata geçirir.
- Erişim yetkilendirme ve loglama
- Şifreleme ve veri maskeleme
- Zafiyet yönetimi entegrasyonu
- İhlal tespiti ve bildirim süreci
- Yerinde işlenen kişisel veri
ISO 27001 BGYS kurulumu
Bilgi güvenliği yönetim sistemini kurar ve belgelendirmeye hazır hale getirir.
- BGYS politika ve prosedürleri
- Risk işleme planı
- Kontrol setinin uygulanması
- Belgelendirmeye hazırlık
- İç denetim desteği
Kurumsal SOME kurulum ve işletim
Kurumsal Siber Olaylara Müdahale Ekibi altyapısını devreye alır ve işletir.
- SOME organizasyon ve süreç
- USOM ile koordinasyon
- Olay müdahale prosedürleri
- Log ve izleme altyapısı bağı
- Sürekli işletim ve destek
Kamuda açık kaynak (AKKY) geçiş analiz raporu
2023/13 sayılı Cumhurbaşkanlığı Genelgesi, kamuda açık kaynak kodlu yazılım (AKKY) kullanımını resmi politika olarak belirledi ve kurumları geçiş analizi hazırlamaya yönlendirdi. C3T, kurumun ticari lisanslardan açık kaynağa geçiş fizibilitesini değerlendirir; teknik ve mali analiz raporunu hazırlar ve ardından geçişi uygular. Bu süreç 7545 kritik-altyapı kısıtından bağımsız, Dijital Dönüşüm Ofisi (DDO) çerçevesinde ilerler. Açık kaynak konumumuz artık bir alternatif değil, devlet politikasıyla uyumlu bir yaklaşımdır.
Hangi yükümlülüğü karşılar?
Uygulamalarımız birden fazla mevzuat çerçevesini aynı anda karşılayacak biçimde tasarlanır.
BİGR (CBDDO)
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi; tüm kamu ve kritik altyapı için zorunlu. Varlık gruplama, kritiklik seviyelendirme ve tedbir uygulaması gerektirir.
KVKK 6698 · m.12
Kişisel verilerin güvenliğine ilişkin teknik ve idari tedbirler. Erişim kontrolü, loglama, şifreleme ve ihlal bildirimi (72 saat) gibi somut yükümlülükler içerir.
ISO 27001
Bilgi güvenliği yönetim sistemi (BGYS) standardı. Risk temelli kontrol seti ve süreç yönetimiyle uluslararası kabul gören bir uyum çerçevesi sunar.
USOM / Kurumsal SOME
Bağımsız bilgi işlem birimi olan kamu kurumları için Kurumsal SOME yükümlülüğü. Olayların USOM ile koordineli tespiti, müdahalesi ve raporlanmasını kapsar.
7545 sayılı Siber Güvenlik Kanunu hakkında: Kanun çerçeveyi ve yetkilendirilmiş sağlayıcı kavramını getirdi; başvuru kriterlerini belirleyecek ikincil mevzuat henüz olgunlaşıyor. C3T "yetkiliyiz" iddiasında bulunmaz. Kanunun çizdiği yerlilik ve veri lokalizasyonu ilkeleriyle uyumlu mimari kurar; kritik altyapılar için yetkilendirme süreci netleştikçe uyum ve entegrasyon desteği sağlamaya hazırdır.
Neden C3T?
Uyumu üç ilkeyle ele alırız: uygulayıcı olmak, yerinde çalışmak ve belgelendiriciyi tamamlamak.
Danışman değil, uygulayıcı
Rapor yazıp bırakmayız. Uyum için gereken teknik altyapıyı kurar, mevcut sistemlere entegre eder ve sürdürürüz.
Yerinde ve veri egemenliğiyle
Uyum altyapısı kurumun kendi sunucularında, istenirse internete kapalı çalışır. Log, kişisel veri ve envanter kurumdan çıkmaz.
Belgelendiriciyi tamamlar
Denetçi ve belgelendirme kuruluşuyla rekabet etmeyiz; onları tamamlarız. Belge alan kurumun ihtiyaç duyduğu güvenlik altyapısını biz uygularız.
Uyum, tüm güvenlik katmanlarını tetikler
Bir uyum yükümlülüğü, genellikle birden fazla teknik önlemi gerektirir. Belge alan kurumun ihtiyaç duyduğu sızma testi, SIEM, kimlik yönetimi ve log altyapısını da C3T uygular.
Sızma testi ve zafiyet yönetimi
ISO 27001 A.12.6.1 · KVKK teknik tedbir
SOC · SIEM / XDR
BİGR log/izleme · 5651 · ISO 27001 A.12.4
Olay müdahale ve ransomware
KVKK ihlal bildirimi · Kurumsal SOME
Ağ ve sunucu güvenliği
5651 log · BİGR ağ güvenliği
Kimlik ve erişim yönetimi
ISO 27001 A.9 · KVKK erişim yetkilendirme
Veri ve e-posta güvenliği
KVKK veri sızıntısı önleme (DLP)
Eğitim ve phishing simülasyonu
ISO 27001 A.7.2.2 · KVKK personel eğitimi
Yerinde yapay zeka
Yerinde yapay zeka ile düşük bütçeli uyum analizi
Politika uyumu
Devlet politikasıyla uyumlu bir yaklaşım
Açık kaynak ve yerinde çalışma yaklaşımımız, 2023/13 sayılı Cumhurbaşkanlığı Genelgesi ile çizilen "kamuda açık kaynak kodlu yazılım (AKKY) kullanımı" politikasıyla ve Bilgi ve İletişim Güvenliği Rehberi (BİGR) ile örtüşür. Kurumların hassas verisini kendi sınırları içinde tutarak, düşük bütçeyle ve yerli/açık teknolojilerle uyum sağlamasını mümkün kılar. 7545 sayılı Siber Güvenlik Kanunu çerçevesinde de yerlilik ve veri lokalizasyonu ilkeleriyle uyumlu mimari kurarız.
Mevzuat, yükümlülük ve C3T'nin tedbiri
Hangi mevzuatın hangi yükümlülüğü getirdiğini ve C3T'nin bunu karşılayan tedbirini özetler.
| Mevzuat | Getirdiği yükümlülük | C3T'nin karşılayan tedbiri |
|---|---|---|
| KVKK m.12 | Kişisel veride teknik/idari tedbir | Erişim denetimi (IAM/PAM), log/izleme (SIEM), şifreleme, DLP — yerinde |
| BİGR (CBDDO) | Varlık gruplama + kritiklik + kontrol seti | Gap analizi + uyumlaştırma + açık kaynak araçlarla uygulama |
| 7545 Siber Güvenlik Kanunu | Veri yerliliği + (kritik altyapıda) yetkili sağlayıcı | %100 TR veri lokalizasyonu, yerlilik ilkeli mimari (yetkilendirmeye hazır) |
| ISO 27001 | BGYS + kontrol uygulaması | BGYS kurulum + teknik kontrol + belgelendirmeye hazırlık |
| 5651 | Erişim/işlem loglarının tutulması | Zaman damgalı log altyapısı (açık kaynak) |
| 2023/13 Genelge | Kamuda açık kaynağa geçiş + analiz raporu | AKKY geçiş fizibilitesi + teknik/mali rapor + uygulama |
Sık sorulan sorular
BİGR uyumu kimler için zorunlu?
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi (BİGR), tüm kamu kurumları ve kritik altyapı işletmecileri için zorunlu bir uyum çerçevesidir. Kurum, varlıklarını gruplar, kritiklik seviyesine göre önlem uygular ve denetime hazır hale gelir. C3T bu adımların teknik tarafını uygular.
C3T belgelendirme kuruluşu mu?
Hayır. C3T denetim yapan veya belge veren bir kuruluş değildir; danışman ve belgelendiriciyi tamamlayan uygulayıcıdır. Belge alan ya da almaya hazırlanan kurumun ihtiyaç duyduğu log, izleme, erişim yönetimi ve sunucu sıkılaştırma altyapısını kurumun kendi sunucularında devreye alır ve işletir.
KVKK teknik tedbirlerini yalnızca raporluyor musunuz?
Hayır. Rapor yazıp bırakan bir danışmanlık değiliz. KVKK m.12 teknik tedbirlerini (erişim yetkilendirme, loglama, şifreleme, veri maskeleme, ihlal tespiti) fiilen uygular, mevcut sistemlere entegre eder ve sürdürürüz. Uygulama açık kaynak araçlarla ve yerinde yapılır.
Kamuda açık kaynağa (AKKY) geçiş için ne yapıyorsunuz?
2023/13 sayılı Cumhurbaşkanlığı Genelgesi kapsamında kurumun ticari lisanslardan açık kaynağa geçiş fizibilitesini değerlendirir; teknik ve mali analiz raporunu hazırlar; ardından geçişi uygular ve işletiriz. Bu süreç 7545 kritik-altyapı kısıtından bağımsız, DDO süreci olarak ilerler.
Uyum sürecinde verilerimiz kurum dışına çıkar mı?
Hayır. Uyum altyapısını ve analiz araçlarını kurumun kendi sunucularında, istenirse internete tamamen kapalı (air-gapped, yani internete hiç bağlanmadan) kurarız. Loglar, kişisel veri ve varlık envanteri kurumdan çıkmaz; böylece KVKK ve veri egemenliği gereklilikleri korunur.
7545 sayılı Siber Güvenlik Kanunu bizi nasıl etkiliyor?
7545 sayılı Kanun çerçeveyi ve yetkilendirilmiş sağlayıcı kavramını getirdi; başvuru kriterlerini belirleyecek ikincil mevzuat henüz olgunlaşıyor. C3T "yetkiliyiz" iddiasında bulunmaz; kanunun çizdiği yerlilik ve veri lokalizasyonu ilkeleriyle uyumlu mimari kurar ve yetkilendirme sürecine hazırdır.
Uyum yükümlülükleriniz nereden başlıyor?
Mevcut durumunuzu ve hangi mevzuatın sizi kapsadığını birlikte değerlendirelim. Boşluk analizinden başlayarak, veriniz kurumdan çıkmadan uyumun nasıl uygulanacağını ücretsiz değerlendirmede netleştirelim.