Türkiye savunma sanayinde herhangi bir projede yer almak isteyen Tier-2 ve Tier-3 alt yüklenicilerin atlatması gereken ilk eşik MSY 317-2 (Milli Savunma Sanayii Güvenlik Yönetmeliği) uyumudur. ASELSAN, ROKETSAN, TUSAŞ, HAVELSAN, STM, BAYKAR gibi ana yükleniciler her 1-2 yılda alt yüklenicilerini denetler — eksik bulunan kontroller projeden çıkarılma sebebidir.

MSY 317-2 sadece teknolojik kontrolleri değil, fiziksel güvenlik, personel kontrolleri, prosedürel uyumu da kapsar. Bu rehber yönetmeliğin bilgi sistemleri tarafındaki 19 ana kontrol noktasının Microsoft 365 ile nasıl karşılandığını, Compliance Manager kullanımını ve tedarikçi denetimine pragmatik hazırlığı içerir.

1. MSY 317-2 Kapsamı ve Tier Yapısı

1.1 Yönetmeliğin Yapısı

MSY 317-2 (Milli Savunma Sanayii Güvenlik Yönetmeliği) Savunma Sanayii Başkanlığı (SSB) tarafından yayımlanmış, savunma sanayi projelerinde yer alan firmaların güvenlik yapısını düzenleyen ana mevzuattır. Yönetmelik 5 ana güvenlik alanını kapsar:

  • Personel Güvenliği — Kişi Güvenlik Belgesi (KGB), background kontrolleri
  • Fiziki Güvenlik — tesise giriş kontrolü, izolasyon, fiziksel ayrım
  • Doküman Güvenliği — gizlilik dereceleri, etiketleme, saklama
  • Bilgi Sistemleri Güvenliği — bu rehberin odak noktası
  • Kriptografi Yönetimi — şifreleme anahtarları, sertifikalar

1.2 Tier Yapısı ve MSY Yükümlülüğü

Tier SeviyesiTipik MSY Yükümlülük
Tier-1 (Ana Yüklenici)Tam MSY 317-2 + ek SSB özel kontrolleri
Tier-2 (Sistem Bileşeni)MSY 317-2 zorunlu (denetim sıkı)
Tier-3 (Yan Parça)MSY 317-2 temel (bilgi sistemleri kısmı en kritik)
Tier-4 (Tedarikçi)Sınırlı, bağlamsal

2. Bilgi Sistemleri 19 Ana Kontrol Noktası

MSY 317-2'nin bilgi sistemleri bölümü 19 ana kontrol noktası içerir. Microsoft 365 E5 + Compliance Manager bu kontrollerin önemli kısmını sağlar:

2.1 Bilgi Varlık Yönetimi (Madde 1)

MSY Gereği: Tüm bilgi varlıkları envanterlenmiş, sınıflandırılmış ve sorumlusu atanmış olmalıdır.

Microsoft 365 Karşılığı: Microsoft Purview Compliance Manager içinde bilgi varlık envanteri otomatik tutulur. Information Protection ile veri sınıflandırma, SharePoint metadata ile sorumlu atama.

2.2 Personel Güvenlik Kontrolleri (Madde 2)

MSY Gereği: KGB'li personel ayrı yetki yapısına tabi, KGB iptal olduğunda erişim kaldırılmalı.

Microsoft 365 Karşılığı: Azure AD + Identity Governance ile KGB'li personel için özel grup. KGB iptal olduğunda Power Automate akışı tetiklenir, tüm yetkiler otomatik kaldırılır.

2.3 Erişim Yetkilendirme — Need-to-Know (Madde 3)

MSY Gereği: Personele sadece görevini yapması için gerekli erişim verilmeli, geniş yetkiler kontrollü olmalı.

Microsoft 365 Karşılığı: Conditional Access + Role-Based Access Control (RBAC) + Privileged Identity Management (PIM). Yetki devri Just-in-Time (JIT) ile sınırlı süre.

2.4 Çok Faktörlü Kimlik Doğrulama (Madde 4)

MSY Gereği: Kullanıcı kimlik doğrulaması en az 2 faktörlü olmalı (parola + token/biyometri).

Microsoft 365 Karşılığı: Microsoft Authenticator (mobil app) + FIDO2 anahtar (donanım) + Windows Hello (biyometri). Conditional Access ile MFA zorunlu hale getirilir.

2.5 Veri Sınıflandırma (Madde 5)

MSY Gereği: Belgeler 4 dereceli sınıflandırılmalı (Tasnif Dışı / Hizmete Özel / Özel / Gizli).

Microsoft 365 Karşılığı: Information Protection ile 4 dereceli etiket yapısı. Information Protection P2 ile makine öğrenmesi destekli otomatik etiketleme.

2.6 Veri Kaybı Önleme — DLP (Madde 6)

MSY Gereği: Hassas verinin yetkisiz dış paylaşımı engellenmelidir.

Microsoft 365 Karşılığı: DLP politikaları — TC kimlik, ASELSAN proje numarası, GTB GTİP kodu, askeri terim pattern'leri tespit edilirse dış e-posta engellenir, USB kopyalama engellenir.

2.7 Şifreleme — Depolama ve İletim (Madde 7)

MSY Gereği: Veriler hem depolamada hem iletimde şifrelenmelidir.

Microsoft 365 Karşılığı: BitLocker (depolama AES-256), TLS 1.2+ (iletim), Microsoft 365 native şifreleme. Customer Key (BYOK) ile anahtar firmada.

2.8 Anahtar Yönetimi (Madde 8)

MSY Gereği: Şifreleme anahtarları güvenli yönetilmeli, periyodik rotasyon yapılmalı.

Microsoft 365 Karşılığı: Azure Key Vault + Customer Key. Anahtarlar Hardware Security Module (HSM) içinde tutulur, periyodik rotasyon otomatik.

2.9 Erişim Logları (Madde 9)

MSY Gereği: Tüm erişim ve değişiklikler loglanmalı, en az 2 yıl saklanmalı.

Microsoft 365 Karşılığı: Audit Log (E3'te 1 yıl, E5'te varsayılan 1 yıl + add-on ile 10 yıl). Tüm aktivite SIEM'e (Sentinel) akıtılır.

2.10 Anormal Aktivite Tespiti (Madde 10)

MSY Gereği: Anormal kullanıcı davranışı (toplu indirme, anormal saat erişimi) tespit edilmeli.

Microsoft 365 Karşılığı: Defender for Cloud Apps + UEBA (Kullanıcı ve Varlık Davranış Analizi). AI ile anomali tespit, otomatik skorlama.

2.11 Olay Müdahale (Madde 11)

MSY Gereği: Güvenlik olayı tespit edildiğinde belirlenmiş prosedürle müdahale edilmeli.

Microsoft 365 Karşılığı: Defender Incident Response + Microsoft Sentinel (SIEM/SOAR). Otomatik müdahale playbook'ları (örn. şüpheli login → kullanıcı geçici devre dışı).

2.12 İş Sürekliliği (Madde 12)

MSY Gereği: Bilgi sistemlerinin %99+ erişilebilirlik garantisi olmalı.

Microsoft 365 Karşılığı: %99.9 SLA + georedundant replication. Veri kaybı durumunda 30+ gün sürüm geri dönüş.

2.13 Tedarikçi Denetimi (Madde 13)

MSY Gereği: Bulut hizmet sağlayıcının güvenlik kontrolleri denetlenebilir olmalı.

Microsoft 365 Karşılığı: Microsoft Trust Center + 3rd party audit raporları (SOC 2 Type II, ISO 27001:2022, ISO 27017, ISO 27018, FedRAMP High). Microsoft sözleşmesi denetim hakkını içerir.

2.14 Dijital İş İstasyonu Güvenliği (Madde 14)

MSY Gereği: Kullanıcı bilgisayarları ve mobil cihazlar yönetilmeli, antivirüs/EDR aktif olmalı.

Microsoft 365 Karşılığı: Defender for Endpoint P2 (EDR + AV) + Intune (cihaz yönetimi). Tüm laptop/desktop/mobil cihazlar merkezi yönetilir.

2.15 Mobil Cihaz Yönetimi (Madde 15)

MSY Gereği: Kurumsal verilere erişen mobil cihazlar kayıt altında, kayıp durumunda uzaktan silinebilir olmalı.

Microsoft 365 Karşılığı: Intune Mobile Device Management + App Protection. iOS/Android cihazlar için MAM (Mobile App Management), kurumsal veri ile kişisel veri ayrımı.

2.16 E-posta Güvenliği (Madde 16)

MSY Gereği: E-posta sistemi phishing, malware, sosyal mühendislik saldırılarına karşı korunmalı.

Microsoft 365 Karşılığı: Defender for Office 365 P2 — Safe Links, Safe Attachments, Anti-phishing AI, Attack Simulation Training.

2.17 Web Güvenliği (Madde 17)

MSY Gereği: Web tarayıcı kullanımı kontrol edilmeli, kötü amaçlı siteler engellenmeli.

Microsoft 365 Karşılığı: Defender for Cloud Apps + Microsoft Edge for Business. Cloud App Discovery ile yetkisiz uygulama tespiti.

2.18 Yetkisiz Uygulama Tespiti (Madde 18)

MSY Gereği: Çalışanların yetkisiz bulut uygulaması (Shadow IT) kullanımı engellenmeli.

Microsoft 365 Karşılığı: Cloud App Discovery + Conditional Access App Control. Yetkisiz uygulama tespit edilince otomatik bloke veya uyarı.

2.19 Düzenli Güvenlik Eğitimi (Madde 19)

MSY Gereği: Tüm personele yıllık güvenlik eğitimi verilmeli.

Microsoft 365 Karşılığı: Attack Simulation Training (gerçekçi phishing senaryoları + eğitim modülleri). Stream ile MSY özel eğitim videoları, Forms ile sınav.

3. Compliance Manager ile MSY Uyum Skoru

Microsoft Purview Compliance Manager savunma sanayi için özel önemde:

  • Önceden tanımlı kontrol şablonları (ISO 27001, SOC 2, FedRAMP)
  • Custom kontrol seti — MSY 317-2 maddeleri bu sete eklenir
  • Her kontrol için "Microsoft sorumluluk" + "Müşteri sorumluluk" ayrımı
  • Anlık uyum skoru (genelde %0-100)
  • Eksik kontroller için somut aksiyon önerileri
  • Tüm denetim raporları tek panelden indirilebilir

4. Pratik Geçiş Yol Haritası — Tier-3 KOBİ için

1. Hafta — Mevcut Durum Analizi

  • Mevcut MSY 317-2 değerlendirmesi (kendi iç değerlendirme)
  • Personel + KGB durumu
  • Mevcut bilgi sistemleri envanteri
  • Aktif proje portföyü (hangi ana yüklenici, hangi gizlilik seviyesi)

2. Hafta — Microsoft 365 E3 Pilot Kurulum

  • E3 lisansları + Defender for Office 365 P2
  • Conditional Access politikaları (MFA zorunlu)
  • Information Protection 4-dereceli etiket yapısı
  • Pilot 5-10 kullanıcı (mühendislik veya kalite ekibi)

3. Hafta — Tüm Firma + Compliance Manager

  • Tüm personele lisans dağıtımı
  • SharePoint kalite + proje siteleri
  • DLP politikaları aktif
  • Compliance Manager MSY 317-2 kontrol seti yüklenir
  • Mevcut uyum skoru hesaplanır (genelde %50-70 başlangıç)

4. Hafta — Eksik Kontroller + Eğitim

  • Compliance Manager eksik kontroller eylem planı
  • Audit Log retention 2 yıla yükseltilir
  • Personel güvenlik eğitimi (Attack Simulation Training)
  • İlk denetim hazırlık dokümantasyonu

Tipik 30 gün sonunda Compliance Manager skoru %85+, ana yüklenici denetimine hazır seviye.

5. Tipik Maliyet ve ROI

Yatırım (Tier-3 KOBİ, 25 Kişi)

  • Microsoft 365 E3 lisansları: 25 × $37.80 = $945/ay
  • Defender for Office 365 P2: 25 × $5 = $125/ay
  • Toplam aylık: ~$1.070 (yıllık $12.840)
  • SharePoint mimari + Compliance Manager kurulum: $5.000-8.000 (tek seferlik)
  • Personel eğitim: $2.000-3.000

ROI ve Risk Eliminasyonu

  • MSY denetiminde ileri seviye uyum tescili
  • Ana yüklenici tedarikçi denetimi geçişi (proje devamı kritik)
  • Veri sızıntısı eliminasyonu
  • Yıllık tedarikçi denetim hazırlık süresi haftadan saate

Pay-back: Tek bir projeden çıkarılma riski elimine edildiğinde yatırım çıkıyor (savunma projelerinde yıllık ciro 5-50 milyon TL aralığı tipik).

6. Sık Karşılaşılan MSY Eksikleri (Denetimlerde)

  • MFA zorunlu olmaması — sadece bazı kullanıcılarda MFA
  • Audit log retention kısa — varsayılan 90 gün, MSY 2 yıl ister
  • Information Protection etiketleme yok — tüm belgeler "korunmasız"
  • USB engellemenin yapılmaması — Intune politikası eksik
  • Personel çıkış prosedürü manuel — yetkiler hala aktif
  • Compliance Manager eksik — uyum skoru takip edilmiyor
  • Yıllık güvenlik eğitimi belgesi yok — Attack Simulation Training eksik

Bu eksiklerin Microsoft 365 E5 + uygun yapılandırma ile büyük kısmı kapatılır.

Sonuç

MSY 317-2 uyumu Tier-2 ve Tier-3 firmalar için savunma sanayinde devam etmenin ön şartıdır. Microsoft 365 (E3 başlangıç, E5 ileri) + Compliance Manager kombinasyonu yönetmeliğin bilgi sistemleri tarafındaki kontrollerinin önemli kısmını teknolojik olarak sağlar. Bütünleşik uyum (organizasyonel + fiziksel + teknolojik) için Micro Bilgi danışmanlığı ile süreç yönetilir.

Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) sıfatıyla savunma sanayi firmalarına MSY 317-2 uyum yapılandırması, Compliance Manager kurulumu, denetim hazırlığı ve eğitim hizmeti sunmaktadır. Görüşmeler NDA ile yapılır. Savunma Sanayi için Microsoft 365 sayfamızı inceleyin veya ücretsiz güvenlik değerlendirmesi için iletişime geçin.

İlgili yazılar: Savunma Sanayi için Information Protection · ITAR Uyumlu Bulut Çözümleri