Bakanlar Kurulunca alınan 11/6/2012 tarihli ve 2012/3842 sayılı Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Karar, 20/10/2012 tarihli ve 28447 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi. Söz konusu Bakanlar Kurulu Kararı uyarınca; “Siber güvenlikle ilgili olarak alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla; Ulaştırma, Denizcilik ve Haberleşme Bakanının başkanlığında, Dışişleri, İçişleri, Milli Savunma, Ulaştırma, Denizcilik ve Haberleşme bakanlıkları müsteşarları, Kamu Düzeni ve Güvenliği Müsteşarı, Milli İstihbarat Teşkilatı Müsteşarı, Genelkurmay Başkanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı, Bilgi Teknolojileri ve İletişim Kurumu Başkanı, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu Başkanı, Mali Suçları Araştırma Kurulu Başkanı, Telekomünikasyon İletişim Başkanı ile Ulaştırma, Denizcilik ve Haberleşme Bakanınca belirlenecek bakanlık ve kamu kurumlarının üst düzey yöneticilerinden oluşan Siber Güvenlik Kurulu kuruldu.
5809 sayılı Kanun maddesine aşağıdaki Siber güvenlik Kurulu ile ilgili “EK MADDE 1” eklenmiş ve 19/02/2014 tarihli ve 28918 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi.
(1) Siber güvenlikle ilgili olarak kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler tarafından alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla; Bakanın başkanlığında Siber Güvenlik Kurulu kurulmuştur. Siber Güvenlik Kurulunda yer alacak bakanlık ve kamu kurum ve kuruluşları ile üyelerinin temsil düzeyi Bakanlar Kurulu tarafından belirlenir.
(2) Kurulun görevleri şunlardır:
a. Siber güvenlik ile ilgili politika, strateji ve eylem planlarını onaylamak ve ülke çapında etkin şekilde uygulanmasına yönelik gerekli kararları almak.
b. Kritik altyapıların belirlenmesine ilişkin teklifleri karara bağlamak.
c. Siber güvenlikle ilgili hükümlerin tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek.
ç. Kanunlarla verilen diğer görevleri yapmak.
(3) Siber Güvenlik Kurulunun çalışma usul ve esasları Başbakanlıkça çıkartılacak yönetmelikle belirlenir.”
Strateji Eylem Planı
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı”nın kabulü; Ulaştırma, Denizcilik ve Haberleşme Bakanlığının 18/2/2013 tarihli ve 412 sayılı yazısı üzerine, Bakanlar Kurulu’nca 25/3/2013 tarihinde kararlaştırılmıştır. Strateji Eylem Planına http://www.resmigazete.gov.tr/eskiler/2013/06/20130620-1-1.pdf adresinden ulaşılabilir.
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planının amacı;
a. Kamu kurum ve kuruluşlarınca bilgi teknolojileri üzerinden sağlanan her türlü hizmet, işlem ve veri ile bunların sunumunda kullanılan sistemlerin güvenliğinin sağlanmasına,
b. Kamu ya da özel sektör tarafından işletilen kritik altyapılara ait bilişim sistemlerinin güvenliğinin sağlanmasına,
c. Siber güvenlik olaylarının etkilerinin en düşük düzeyde kalmasına, olayların ardından sistemlerin en kısa sürede normal çalışmalarına dönmesine yönelik stratejik siber güvenlik eylemlerinin belirlenmesine ve oluşan suçun adli makam ve kollukça daha etkin araştırılmasının ve soruşturulmasının sağlanmasına yönelik bir altyapı oluşturmaktır.
Siber Güvenlik Kurulu Toplantıları
Bakanlar Kurulu Kararı ile oluşturulan Siber Güvenlik Kurulu’nun ilk toplantısı 21/12/2012 tarihinde; Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım’ın başkanlığında yapılmıştır. Toplantıya; Dışişleri, İçişleri, Milli Savunma, Ulaştırma, Denizcilik ve Haberleşme Bakanlıkları Kamu Düzeni ve Güvenliği ile MİT müsteşarları, Genelkurmay Bakanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı, Bilgi Teknolojileri ve İletişim Kurumu Başkanı, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu Başkanı, Mali Suçları Araştırma Kurulu Başkanı, Telekomünikasyon İletişim Başkanı İle Ulaştırma, Denizcilik ve Haberleşme Bakanlığı yetkilileri katılmıştır.
20.12.2012 tarih ve 2012/1 sayılı Kararda “Siber Güvenlik Kurulunun Görevleri, Çalışma Usul ve Esasları Yönergesi” ile “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı”nın yürürlüğe konulmuştur. Kararın ekinde 5 karar yer almıştır:
1.Kamu kurum ve kuruluşlarının güvenli bir ağ üzerinden haberleşmesi konusunda, Haberleşme Genel Müdürlüğü tarafından çalışma başlatılması,
2.İnternet Değişim Noktalarının yurtiçinde oluşturulması için alınması gereken tedbirleri ve çözüm önerilerini de içeren hususlarda Haberleşme Genel Müdürlüğü ile Bilgi Teknolojileri ve İletişim Kurumu tarafından bir raporun hazırlanması,
3.2007 yılında NATO ile TÜBİTAK arasında imzalanan Siber Savunma Mutabakat Muhtırasının Genelkurmay Başkanlığı tarafından güncellenerek Bakanlığımız koordinasyonu ile imzalanması,
4.Siber güvenlik terminolojisi ve sözlüğünün oluşturulmasının Eylem Planı içerisinde yer alması,
5.Siber Güvenlik Kurulunca oluşturulacak alt çalışma gruplarında kurumların karar almaya yetkili temsilcilerinin katılımının sağlanması.
Siber Güvenlik Kurulu’nun ikinci toplantısı 20/06/2013 tarihinde Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım başkanlığında toplanmıştır.
Geçen altı aylık süre içerisinde Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM) kurulduğu ve 15 Mayıs itibarıyla USOM’un faaliyet göstermeye başladığı bildirilmiştir.
Siber Güvenlik Kurulu’nun üçüncü toplantısı 19/12/2013 tarihinde; Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım’ın başkanlığında yapılmıştır.
Siber Güvenlik İnisiyatifi
Siber Güvenlik İnisiyatifi; İnternet Geliştirme Kurulu çatısı altında, sektör paydaşlarının katılım sağladığı ve hedefi siber güvenlik alanında çalışmalar yaparak, tüm paydaşların görüşlerini toplayarak, kurumlar arasında fikir alışverişini ve işbirliğini sağlayarak, ortak fikirler ortaya çıkararak, yaptığı çalışmaları Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’na sunmaktır. Siber Güvenlik İnisiyatifinin faaliyetlerinden bazıları; vatandaş ve küçük işletmeleri siber güvenlik konusunda bilinçlendirme, farkındalık oluşturma, koruma tedbirlerini oluşturma ve anlatma, pozitif içerik üretimi, veri merkezlerinin ISS’lerin minimum güvenlik kriterlerini belirleme, sektörel risk analizi, siber güvenlik standartlarını belirleme, raporlar ve kılavuzlar yayınlamak olarak sıralanabilir.
Siber Güvenlik İnisiyatifi Çalışma Grupları
1. Farkındalık, Eğitim ve Rapor Çalışma Grubu
a. Ev Kullanıcıları için Farkındalık ve Eğitim
b. Öğrenciler için Farkındalık ve Eğitim
c. KOBİ’ler için Farkındalık ve Eğitim
d. Kamu Kurumları ve Kurumsal İşletmeler için Farkındalık
e. ISS ve Veri Merkezleri için Farkındalık
2. Siber Olaylarla ilgili Mevzuat ve Koordinasyon Çalışma Grubu
a. Mevzuat
b. Kamu, Özel Sektör İşbirliği ve Uluslararası Koordinasyon
c. Adli Bilişim ve Delillendirme (auditing)
d. Adli Makamlar ve Kolluk Kuvvetleri ile Koordinasyon
3. Ulusal Siber Olaylara Müdahale Organizasyonu Çalışma Grubu
a. SOME’lerin Yapısı ve Buralarda Çalışacak Personel Nitelikleri
b. Kritik Altyapılarda Bilgi Güvenliği Yönetimi
c. Risk Analizi ve Acil Eylem Planları Hazırlanması
d. Siber Tatbikatlar
4. Teknik Araştırmalar ve Standartlar Çalışma Grubu
a. Network Güvenliği ve Ürünlerin Sertifikasyonu
b. İşletim Sistemleri ve Güvenlik Seviyesinin Belirlenmesi
c. Yazılım Güvenliği ve Standartlarının Belirlenmesi
d. Mobil Cihazlar Güvenlik
e. Bulut Bilişim Standartları
f. Veri Merkezleri İçin Standardizasyon Çalışması Yapılması
5. Siber Tehditlerle Mücadele Çalışma Grubu
Kaynak : 