3G hizmetleri 81 ilde birden başlıyor

Turkcell Genel Müdürü Süreyya Ciliv, 3G hizmetini 81 il merkezinde sunacaklarını ve kapsama alanının şimdiden yüzde 60’a yaklaştığını bildirdi.

Ciliv, Turkcell’in 3G döneminde sunacağı hizmetlere ilişkin olarak Turkcell’in Tepebaşı’ndaki binasında düzenlediği basın toplantısında yaptığı konuşmada, Turkcell’in 3G’yi Türkiye’ye getirmek için 5 senedir çok çalıştığını belirtti.

15 senedir Türk insanının potansiyeli ve teknoloji konularının kendilerini çok heyecanlandırdığını söyleyen Ciliv, başkalarının inanmadığı dönemlerde yeni teknolojileri Türkiye’ye getirdiklerini ifade etti.

Bu çerçevede 100 ülkede olan 3G teknolojisinden Türkiye’nin de eksik kalmaması vizyonuna sahip olduklarını kaydeden Ciliv, “2008’de dünyada global ekonomik krizin çıktığı dönemde, 2009’da dünya ekonomisinin daraldığı bir dönemde biz yatırımlarımızı ikiye katladık. 2009’da 2008’in iki misli, 2,1 milyar lira Türkiye’ye bu yeni teknolojiyle ilgili yatırım yaptık. Çünkü 3G’nin yeni bir dönemin başlangıcı olacağını görüyoruz” diye konuştu.

Ciliv, 3G’nin Türkiye’ye hem sosyal hem ekonomik açıdan büyük güç katacağını belirterek, bu teknolojiye 2 sene önce geçilemediği için üzgün
olduklarını söyledi.

Turkcell’in GSM alanında en fazla yatırımı yaptığını, sahaya yayılma konusunda rakiplerinden ortalama yüzde 60 daha fazla yayılmış durumda olduğunu ifade eden Ciliv, 3G’de de kalitede, kapsamda, hizmette açık farkla bir hizmet sunmayı hedeflediklerini dile getirdi.

Süreyya Ciliv, “O yüzden 2009’da yatırımlarımızı çok artırdık. Daha başta 2’incinin yüzde 43, 3’üncünün yüzde 60 daha fazlası lisans parası vererek, A tipi lisans aldık” diyerek, böylece hem daha avantajlı hem de en geniş frekansla hizmet sunacaklarını bildirdi.

-“YENİ BİR DÜNYANIN KAPISI…”-

A tipi lisansın kendilerini hem 3G’de hem de LTE teknolojisinde büyük avantaj sağlayacağını ifade eden Ciliv, “81 il merkezinde bu hizmeti
vatandaşlarımıza sunuyor olacağız ve bu kapsama alanı şimdiden yüzde 60’a yaklaşmış vaziyette. Kısa zamanda bunu hızla yükselteceğiz” diye konuştu.

Ciliv, yurt dışında ise 100 ülkede 177 operatörle roaming anlaşması yaptıklarını belirtti. Hız konusunda ise 28,8 megabit hızla bu teknolojinin dünyadaki liderleri arasında yer aldıklarını anlatan Ciliv, 1 ay önce yaptıkları LTE testinde de 170 Mbps hıza ulaştıklarını söyledi.

Süreyya Ciliv, “Biz 3G’yi yeni bir dönem, yeni bir dünyanın kapısı olarak görüyoruz. Bu dünyaya bir isim taktık; Turkcelli yaşam” dedi.
80’lerde kişisel bilgisayarların, 90’larda mobil iletişimin insanların hayatını değiştirdiği gibi 3G’nin de yeni bir dönemin başlangıcı olacağını vurgulayan Ciliv, bu yeni dünyada hem bireysel yaşamların hem de iş yaşamının pozitif bir şekilde etkileneceğini, her yerde ve her zaman internete geniş banttan hızlı bir şekilde bağlanmanın mümkün olacağını anlattı

Reklamlar

BGYS’’nin Gerçekleştirilmesi ve İşletimi

BGYS’nin Gerçekleştirilmesi ve İşletimi

Uygula aşaması için ISO/IEC 27001 Madde 4.2.2’de tanımlanan “-ecek”,”-acak” ifadeleri; kuruluşun Planla aşaması’nda kurulan BGYS’in gerçekleştirilmesi ve işletilmesi için uygun proses kümesine sahip olunmasını temin etmesi amacıyla tasarlanmıştır.

“Uygula aşaması”ndaki farklı adımlar aşağıdaki gibidir:

a) Bir risk giderme planının formül edilmesi.

Bu plan, tanımlanmış riskleri yönetmek için hangi yönetim eylemlerine başvurulması gerektiği, bu eylemlerin öncelikleri, sınırlayıcı faktörler, son bildirim tarihleri ve gerekli kaynakların neler olduğunun ana hatlarını ortaya koymalıdır. Bilgi güvenliği risklerini yönetme sürecinde başvurulan eylemlerin sorumluluğunun, BGYS’deki yöneticilerin ve kullanıcıların konuyla ilgili güvenlik sorumluluklarında olduğu kadar açıkça ortaya konulmasına ihtiyaç vardır. Başka iş prosesleri ve planlarının da risk giderme planıyla koordine edilmesine ihtiyaç duyulabilir.

b) Risk giderme planının gerçekleştirilmesi.

Kuruluş, BGYS için gerekli olan fon kaynağını, rollerin ve sorumlulukların paylaşımını göz önüne alan bir risk giderme planı ile seçilen kontrol hedefleri ve önlemleri sisteminin gerçekleştirilmesi amacıyla bir dizi süreç belirlemelidir. Bu proseste tanımlanan eylemler, roller ve sorumluluklar yazıya dökülmelidir.

c) Kontrol hedeflerini karşılaması için seçilen kontrollerin gerçekleştirilmesi.

Kuruluş, risk giderme planında yer alan eylemler, öncelikler, kaynaklar, roller ve sorumluluklarla birlikte seçilen kontrollerin gerçekleştirilmesi için prosedürleri ortaya koymalıdır. Kaynak israfını önlemek için gerçekleştirme derecesi (örneğin; ne kadar eğitim, kayıt veya raporlama),çok dikkatlice karar vermeyi gerektirir. Lüzumsuz gerçekleştirme; tüm kontrol etkinliğinde bir azalmayla sonuçlanan, kontrolden etkilenen personelin rahatsızlık duymasına neden olabilir.

Güvenlik ve kontrol, daima insanların yaşamları ve çalışma pratikleri üzerinde etkilidir; ancak hiçbir zaman sıkıntıya sebep olmamalıdır.

d) Kontrol etkinliğinin ölçülmesi ve değerlendirilmesi.

Seçilen kontrollerin gerçekleştirilmesiyle birlikte kontrol etkinliğinin ölçülmesini ve değerlendirilmesini mümkün kılan anlamların da ortaya konulması gereklidir. Kontroller, seçildiği bilgi güvenliği risk(ler)inin yönetiminde işe yaramalıdır. Bu nedenle kuruluş, kontrollerin öngörülen hedefleri elde etmesini temin için kontrollerin etkinliğini nasıl ölçmek istediğini belirlemelidir. Tüm kontrollerin grup hâlinde etkinliğinin ölçülmesi usulü uygun ve anlamlı olduğu sürece kontrolleri gruplar halinde ayırmak mümkün olduğu gibi, bu kontrol gruplarına uygulanacak olan ölçütleri tanımlamak da mümkündür.

Kontrol etkinliğinin belirlenmesinde kullanılan ölçütler, karşılaştırılabilir ve yeniden elde edilebilir sonuçlar vermelidir. Bu ölçütler, kontrollerin maliyet etkinliğini de ortaya koymalıdır. Genellikle bir kontrol için gerçekleştirmenin birden fazla derecesi vardır ve elde edilen faydalar, ilave edilen güvenliğin elde ettiği gerçek kullanım ile karşılaştırılmalıdır. Kontrollerin etkinliğinin ölçülmesi için tanımlanan anlamlar,kuruluşun kontrol etkinliğinin belirlenmesinde nasıl kullanıldığını göstermek için belgelendirme amacıyla yazıya dökülmelidir.

e) Eğitim ve farkındalık programının gerçekleştirilmesi.

Kuruluş, BGYS sorumlulukları olan personelin verilen görevleri yerine getirme konusunda yeterli olmalarını sağlamak için uygun bir farkındalık ve eğitim programı uygulamalıdır. Program gerekli yeterlikleri belirlemeli, bu gereksinimleri karşılamak için gerekli olan eğitimi sunmalı, eğitimin etkinliğini değerlendirmeli ve kazanılan yetilerin ve niteliklerin kaydını tutmalıdır.

Güvenliğin, insanların yaptıkları işi engellemek için var olmadığı unutulmamalıdır. Güvenlik, insanların yaptıkları işi daha kontrollü yapmalarını sağlamalıdır. Güvenlik, insanların verilen sorumlulukları yerine getirdiğini göstermeli ve kıymetlerini hiçbir şüpheye meydan vermeksizin ortaya koymalı ve niteliklerini geliştirmelidir. Çalışanlar, iyi seviyede gerçekleştirilmiş güvenliğin rahatsızlık kaynağından daha çok faydası olduğunu kısa sürede anlayacaklardır.

f) BGYS’nin işletilmesinin idaresi.

Kuruluş, BGYS’yi tanımlanan kontroller, politikalar ve prosedürlere uygun olarak işletmelidir. BGYS’nin gün gün işletilmesi, kurulan güvenlik düzenlemelerinin tasarlandığı gibi işlevini yerine getirip getirmediğinin değerlendirilmesi amacıyla “Kontrol et aşaması” için gerek duyulan bilgiyi sağlamalıdır. Bu değerlendirmenin yapılabilmesi için BGYS’nin işletimi sırasında gerekli olan tüm belgelerin ve kayıtların toplanması önemlidir.

g) BGYS için kaynakların idaresi.

Kuruluş, BGYS’yi işletmek, izlemek, gözden geçirmek, sürekli kılmak ve geliştirmek için gerekli olan kaynakları tanımlamalı ve sağlamalıdır. Yeterli kaynakların sağlanması,ayrıntıları Madde 3.9’da tanımlanan genel yönetim sorumluluğunun bir parçasıdır.

h) İhlal olaylarını idare etmek için prosedürlerin ve kontrollerin gerçekleştirilmesi.

Kuruluş, bilgi güvenliği olaylarını tanımlamak ve rapor etmek, bu olayları değerlendirmek, olaylara etkili bir biçimde karşılık vermek, bilgi güvenliği ihlal olaylarının vereceği zararı sınırlamak için gerekli olan prosedürleri ve kontrolleri belirlemelidir. Bilgi güvenliği ihlal olaylarının tümünün kaydı çoğaltılabilir olmalı ve kuruluş, ihlal olaylarını değerlendirmek ve bu olaylardan dersler almak için usuller belirlemelidir. İhlal olayı yönetimi tarafından yapılan kayıtlar, uygulama sırasında riski belirlerken ya da riski ortadan kaldırma kararları alınırken anlam ifade edip etmediği ve gerçekleştirilen kontrollerin tasarlandığı şekilde işleyip işlemediği konusunda değerlendirme yapabilmek için çok değerli bir kaynaktır.

kaynak:www.educore.com.tr

BGYS’nin Kurulması

BGYS’nin Kurulması

“Planlama aşaması” için ISO/IEC 27001 Madde 4.2.1’de tanımlanan gereksinimler aşağıdaki gibidir:

a) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleriyle BGYS’in kapsamının ve sınırlarının tanımlanması.

BGYS’nin kapsamı kuruluşun belli bir kısmı olabileceği gibi, bağımsız bir biçimde de tanımlanabilir; ya da kapsam tüm kuruluşu ifade edebilir. Uygun olan BGYS kapsamını belirlemek tamamen kuruluşa kalmıştır ancak, her halükârda BGYS kapsamı ve o kapsamın sınırlarının eksiksiz bir biçimde ve iyi tanımlanması gerekir. BGYS’nin, kuruluşun diğer bölümleriyle (BGYS kapsamında olmayan), diğer kuruluşlarla, üçüncü şahıs olan tedarikçilerle ya da BGYS dışındaki başka varlıklarla arasındaki arayüzlerin ve bağımlılıkların da kapsamda dikkate alınması gerekir.

BGYS dışında bırakılanların ayrıntıları belgelenmeli ve gerekçeleri iyi ortaya konulmalıdır. BGYS kapsamından iş bölümleri hariç tutulurken, kuruluşun hariç tutulan bölümleriyle herhangi bir bilgi değişiminin yukarıda bahsedilen arayüzler ve bağımlıklar kullanılarak tanımlanması ve adreslenmesi gerektiği hususuna özen gösterilmelidir.

b) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleri göz önüne alınarak bir BGYS politikasının tanımlanması.

BGYS politikası, ilgili yasal ve düzenleyici gereksinimleri, sözleşmeden doğan veya üçüncü şahısların yükümlülüklerini ya da bağımlılıklarını da dikkate almalıdır. Yönetim BGYS politikasını onaylamalı ve tüm çalışanlar politikayı algılamalı, politikanın önemini ve amacını anlamalıdır.

Bu politika; hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına dair risk yönetim kapsamı ve kriterini belirleyen bir çerçeve içermelidir.

BGYS politikası, bilgi güvenliği politikasının mutlaka göz önüne alınmasının gerekmeyebileceği konuları adreslediğinden, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak görülebilir.

Kuruluş için uygun olması halinde bu politikalar tek belgede tanımlanabilir.Birden fazla sayıda da politika tanımı özel alt konulara yönelik olarak hazırlanabilir.

c) Risk değerlendirmeye sistematik bir yaklaşımın tanımlanması

Bu BGYS’ye, tanımlanan işe, bilgi güvenliği ile yasal ve düzenleme gereksinimlerine en çok uyan yaklaşım ve metodoloji olmalıdır.

Kuruluş,riskleri kabul etmek için kullanacağı kendi kriterlerine ve riskin kabul edilebilir seviyelerinin belirlenmesine ihtiyaç duyar. Bir kuruluşun kendisine uyarlayacağı risk değerlendirme metodu, tamamıyla kuruluşun kendi kararıdır.

Kullanılacak olan metot ne olursa olsun, metodun ISO/IEC 27001’in Ek A’sında ya da ISO/IEC
17799‘da geçen tüm kontrol alanlarını kapsayan yönetim sistemiyle ilgili olması gerekliliği önemlidir.

Bu metot, kuruluş bakımdan, personel kontrolleri, iş süreçleri, işletim ve bakım süreçleri ve işlemleriyle yasal, düzenleyici, sözleşmeden doğan konular ile bilgi işlem tesisleriyle ilgili riskleri kapsamalıdır.
BS 7799-3 standardı olan BGYS risk yönetimi bu maddeyle birlikte aşağıdaki d) ve e) maddelerine uygun risk değerlendirmesi konusunda da bilgi verir.

Risk değerlendirmesi, ISO/IEC 27001’te zorunlu bir gereksinimdir; ancak otomasyona dayalı yazılım araçlarının kullanılmasının faydası olduğu pek çok durumda bile risk değerlendirmesi otomasyona dayalı yazılım araçlarının kullanılmasını gerekli kılmaz. Bu durum özellikle, risklerin yeniden değerlendirileceği ve tehditler, hassasiyetler ile varlıklara yönelik riskle ilgili bilginin güncellenmesi gerektiği zamanlarda söz konusudur. Risk değerlendirme metodu ve yaklaşımının karmaşıklığı, gözden geçirilecek olan BGYS’nin karmaşıklığına bağlıdır. Kullanılacak olan teknikler, karmaşıklıkla ve kuruluş tarafından istenen güvence seviyeleriyle tutarlı olmalıdır.

d) Varlıklara yönelik risklerin tanımlanması; bu varlıklarla ilgili tehditlerin ve hassasiyetlerin dikkate alınması ve gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklarda görülmesinin etkileri.

Tanımlanmış olan risklerin, tehditlerin ve hassasiyetlerin, yukarıdaki c) maddesinde belirtildiği şekilde farklı denetim alanlarıyla ilişkili olması gerekir.

BGYS içerisindeki tüm varlıkların tanımlanması risk değerlendirmesinin esasını oluşturduğundan BGYS içerisindeki tüm varlıkların tanımlanmasını, her bir varlığın sahibinin belirtilmesi ve bunun belgelenmesini temin etmek önemlidir. Varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin tesirlerinin tanımında, bu tür zararlarla tehlikeye düşen tanımı yapılmış yasal, düzenleyici ve sözleşmeye dayanan ve iş gereksinimleri dikkate alınmalıdır.

e) Yukarıdaki “d” maddesinde işleme tabi tutulan bilgiye dayanarak risklerin analiz edilmesi ve değerlendirilmesi; kuruluş, personel, iş süreçleri, işletme ve süreklilik konularıyla birlikte yasal, düzenleyici ve sözleşmeden doğan hususların ve kontrol alanlarının tümünü içerecek şekilde dikkate alınması

Bu kavram, varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin sonuçları göz önüne alınarak, güvenliğin kaybedilmesinden ortaya çıkan iş etkilerini değerlendiren kuruluşu da kapsar.

Bu kavram aynı zamanda tanımlanmış tehditleri ve duyarlılıkları dikkate alarak bir güvenlik kaybının yaşanması benzeri bir değerlendirmeyi ve bunların bir arada meydana gelmesini ve bir ihlal olayının oluşmasını da içerir. İhlal olaylarının oluşumu benzeri bir durum değerlendirilirken, geçmişte meydana gelmiş ihlal olaylarının raporlarına, internet üzerindeki raporlara, istatistiklere, haberlere ve eğilimlere bir göz atmakta yarar vardır. Kuruluş elde edilen bilgilere dayanarak, risk seviyesini tahmin etmeye ve yukarıdaki c) maddesinde belirtilen iş kapsamını dikkate alarak belirlenen risk kabul ölçütünü kullanarak risklerin kabul edilip edilmediğini ya da ortadan kaldırılmasına gerek bulunup bulunmadığını belirlemeye ihtiyaç duyar.

f) Risklerin ortadan kaldırılması için seçeneklerin tanımlanması ve değerlendirilmesi

Kuruluş kendi iş sahasında risklerin etkisini bir kez tanımladığında, değerlendirdiğinde ve durumu anladığında; söz konusu bu riskleri ortadan kaldırmak için uygun önlemler uygular. Kuruluşun kullanacağı önlemler; riskleri azaltmak için uygun kontrol tedbirlerinin tatbik edilmesi, riskle ilgili faaliyetlere bulaşmayarak riskten sakınılması, riskin sigorta kuruluşu gibi bir üçüncü tarafa (tamamen ya da kısmen) aktarılması ya da riski bilerek ve objektif bir şekilde kabul edilmesini içerir.

Bu seçeneklerden hangisinin ya da hangilerinin bir arada kullanılacağı tamamen kuruluşa kalmış bir konudur. Farklı kuruluşlar, işteki hedeflere ve mevcut şartlara bağlı olarak aynı risk için farklı sonuçlar ortaya koyabilir. Her halükârda, bu sonuçların düzgün bir biçimde yazıya dökülmesi ve kuruluşun risklerin her yönüyle farkında olarak, en küçük bir ihmalde dahi bulunmadan aldığı kararların arkasındaki gerekçeleri ortaya koyabilmesi önemlidir.

g) Riski ortadan kaldırma için kontrol hedeflerinin ve kontrol tedbirlerinin seçilmesi

Kuruluş, riski yönetmek ve ortadan kaldırmak için kontrol tedbirlerini tatbik etmeye karar verirse, bu durumda ilk olarak, bu amaca uygun bir kontrol sistemi seçmelidir. Kontrol seçiminde risk kabul ölçütü, kontrol mekanizmasının riski ne kadar azalttığı ve tanımlanmış olan yasal, düzenleyici ve sözleşmeye dayalı gereksinimler dikkate alınmalıdır.

Kontrol hedefleri ve kontrol tedbirleri ISO/IEC 27001 Ek A’dan seçilmelidir. Kuruluşun Ek A’da yer almayan kontrol tedbirlerine de ihtiyacı olabilir. Ek A bir başlangıç noktası olarak kabul edilebilir. Ek A’da yer alan kontrol hedefleri ya da kontrol tedbirleri arasından seçim yapılmaması da olasıdır. Ancak karar ne olursa olsun, mutlaka gerekçeleri ortaya iyi konulmalı ve yazıya dökülmelidir.

Kontrol tedbirlerinin seçimi, maliyet etkin olmalıdır; örneğin, kontrol tedbirlerinin gerçekleştirilme maliyeti, azaltılması düşünülen risklerin finansal etkisini aşmamalıdır. Ancak, bazı etkiler parayla da ölçülemez.

Muhasebe; emniyet, personel bilgisi, yasal ve düzenleyici zorunluluklar, imaj ve itibar gibi etkileri de göz önüne almalıdır. Buna ek olarak kontrol tedbirlerinin gerçekleştirilmesinden sonra da hâlâ bazı risklerin değerlendirilmesine ihtiyaç vardır. Bu riskleri değerlendirmek genellikle güçtür, ancak en azından daha fazla kontrol tedbirinin gerekli olup olmadığını anlamak için ne kadar çok kontrol tedbirinin tanımlanmış olan güvenlik gereksinimlerine yönelik olduğuna dair bir tahminde bulunulmalıdır.

h) Teklif edilen artık risklerin idare onayının alınması.

Yönetim, seçilen kontrol tedbirleri gerçekleştirildikten sonra teklif edilen artık risklerin bulunduğunu onaylamalıdır. Teklif edilen artık riskler bu noktada yalnızca bir tahmin olabilir, ancak “Kontrol et aşaması” bu tahminin doğru olup olmadığını onaylayacaktır. Her şeye rağmen, seçilen kontrol tedbirlerinin gerçekleştirilmesine ihtiyaç bulunduğuna ve bunun da para, zaman ve diğer kaynaklara gereksinim duyduğuna dair bu noktada yönetim onayı önemlidir.

i) BGYS’yi gerçekleştirmek ve işletmek için yönetimin yetki vermesi.
“Planlama aşaması”nın sonunda yönetim, BGYS’yi gerçekleştirmek ve işletmek için yetki vermelidir. Böylece onay verdiğinin ve planlanan eylemleri desteklediğinin işaretini vermelidir.

j) Uygulanabilirlik belgesinin hazırlanması.

Uygulanabilirlik Belgesi (UB), ISO/IEC 27001 sertifikası isteyen kuruluşlar için zorunlu bir gereksinimdir. UB; seçilen kontrol hedeflerini ve kontrol tedbirlerini belirten yazılı bir belgedir.
Yapılan seçimler, risk değerlendirme sonuçları ve risk giderme süreçleriyle ilişkilendirilmelidir.
Bu ilişkilendirme, kontrol hedeflerinin ve tedbirlerinin seçiminin gerekçelerini göstermelidir.

Kontrol hedeflerinin ve tedbirlerinin listelenmesi, tek başına geçerli bir UB’yi meydana getirmez. UB gerçekleştirilmiş olan kontrol hedeflerini ve tedbirlerini de tanımlamalı ve ISO/IEC 27001 Ek A’daki herhangi bir kontrol hedefinin veya tedbirinin kullanılmamasının gerekçesini de ortaya koymalıdır.

Risk değerlendirmesinin ve riskin ortadan kaldırılmasının belgelenmesinin riske, sonuç olarak da varlıklara, tanımlanmış gereksinimlere ve güvenlik politikasına dönük seçilmiş ya da seçilmemiş kontrol tedbirleriyle olan ilişkisini desteklemesi önemlidir.

kaynak:www.educore.com.tr

Bilgi Güvenliğinde Temel Tanımlar

Gizlilik
Saklanan, işleme tabi tutulan ya da aktarılan her türlü bilginin, yalnızca bilgiye erişmeye ve kullanmaya yetkili kuruluşa ve/veya sahibine ait olmasını sağlamak için korunması gerekir.

Erişim kontrolünün pek çok şekli, temelde gizliliğin korunması hakkındadır. Şifreleme, bilginin gizli kalmasını sağlayan bir kontrol örneğidir.

Kontroller, bilgi güvenlik yönetimi sisteminin her aşamasında uygulanabilir:
Fiziksel aşama (örneğin; kapıların, muhafaza kaplarının, kasaların kilitlenmesi); mantıksal aşama (örneğin; bir veri tabanında ayrı veri alanları, uygulamadaki veri, kâğıt halindeki belge). Her koşulda tehditler ve hassasiyetler tanımlanmalı, ilişkili riskler değerlendirilmeli ve bir kontrol sistemi seçilmeli,gerçekleştirilmeli ve söz konusu bu risklere karşı koruma amacıyla uygulanmalıdır.

Bütünlük
Saklanan, işleme tabi tutulan ya da aktarılan bilginin doğru ve eksiksiz olmasının; doğru bir biçimde işleme tabi tutulduğunun ve yetkisiz kişilerce herhangi bir şekilde değiştirilmediğinin teyit edilmesi.

Ayrıca kuruluş,olmasını tasarladığı ağ şebekelerinin ve bilgi sistemlerinin bütünlüğünü tesis etmeyi de isteyebilir. Bellek sürücüler ve diğer ortamlar ile iletişim sistemleri de dahil olmak üzere pek çok veri işlem aygıtının veriyi bozmadığından emin olmak için otomatik bütünlük kontrol etme araç gereçlerini içerir.

Bütünlük kontrolü; işletim sistemlerinde, yazılımda ve uygulama programlarında veya işleme alınmış olan veride programların bilerek ya da kazara bozulmasını önlemesi bakımından önemlidir. Bütünlük kontrollerinin; giriş/çıkış veri geçerleme kontrolleri, kullanıcı eğitimi ve diğer işletim türü kontrolleri gibi insandan kaynaklanan riskleri ya da hırsızlık veya dolandırıcılığı azaltmak için işlem seviyesinde uygulanmasına ihtiyaç vardır.

Kullanılabilirlik
Bilgiyi kullanma yetkisi bulunan kuruluş ya da kuruluş içerisindeki kullanıcıların, bilgiyi ne zaman ve nerede kullanmaya ya da işleme tabi tutmaya ihtiyaç duyarlarsa bilgiye erişmelerinin sağlanması.

Bilginin kullanılabilirliği, uygulamada bir kontrol sistemini gerektirir.
Örneğin; bilginin yedeklenmesi, kapasite planlaması, sistem kabul prosedürleri ve kriterleri, ihlal olayı yönetimi prosedürleri, çıkarılabilir bilgisayar ortamı yönetimi, bilgi işlem prosedürleri, donanım bakımı ve test edilmesi, sistem kullanımının izlenmesi prosedürleri ve iş süreklilik prosedürleri.

Güvenlik ihlali olaylarının izlenmesi, gözden geçirilmesi ve kontrol edilmesi, servis kademeleri, zamanında ve sürekli sistem performansı; kullanılabilirliliğin sağlanmasında koruyucu bir kontrol mekanizması olabilir.

Hassas veya kritik bilgi
ISO/IEC 17799, hem kritik, hem de hassas bilgiye uygulanabilen bir dizi kontrolü tanımlar. Hassas ya da kritik bilgi nedir ve hassas veya kritik bilgiyi nasıl fark ederiz? Tanım, her kuruluş için farklıdır. Bazı tanımlar,bireysel kuruluşlar kapsamında gerektiğinde bilginin hassas ya da kritik olarak, geriye kalan bilginin ise hassas ya da kritik olmayan şeklinde etiketlenebilmesi amacıyla bilginin değerini ya da kullanımını ortaya koymak için yapılabilir.

Bu kapsamda bir zaman unsuru da bulunmaktadır. Örneğin; kuruluşun mali durumu, sermaye piyasasına bilgi vermeden önce çok hassas olabilir, ancak bir kez rapor edildikten sonra hassasiyeti ortadan kalkar. Hassasiyet, veriye verilen sınıflandırma seviyesinde de görülmelidir.

Hassas ve kritik bilginin korunmasındaki en önemli öğe, risk değerlendirmesidir. Risk değerlendirme
sürecinin bölümü ISO 27001:2005 ve ISO/IEC 17799’in 4’üncü Maddesinde genel hatlarıyla; daha ayrıntılı olarak da BS 7799-3:2005’te verilmiştir ve söz konusu bölüm, uygun bir kontrol sistemi kullanılarak, varlıkları korumak için gerekli olan güvenlik seviyesi ve riskleri hesaplamak amacıyla bilgi varlıklarının değerlendirilmesini, tehditlerin ve hassasiyetlerin değerlendirilmesini içerir.

BGYS kavramı

BGYS standardı olan ISO 27001’in arkasında yatan temel düşünce etkili bir bilgi güvenliği elde etmek için yönetim sistem proseslerinin tesis edilmesi, gerçekleştirilmesi ve sürdürülmesidir.

BGYS; kuruluşun iş riski yaklaşımına dayanan, kuruluşun işleyiş ve iş kültürünün ayrılmaz bir parçası olarak görülmeli ve etkili bilgi güvenliğine ulaşmak için kuruluşu, teşkilatı, politikaları, planlama faaliyetlerini sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları kapsar.

Etkili bilgi güvenliğine giden yol

Bugünün dünyasında bilgi güvenliği olmadan hiçbir kuruluş başarılı bir biçimde işletilemez. BGYS, yeterli ve uygun bir bilgi güvenliği yönetiminin kuruluşun bilgi varlıklarının korunması ve ilgili taraflara güven vermesi amacıyla tesis edilmesini temin etmek üzere tasarlanmalıdır.

Bilgi güvenliği kuruluşa faydalı olacaksa, olumlu katkıda bulunacaksa, BGYS başarılı bir bilgi güvenliğini sağlayabilmelidir. Bilgi güvenliği teknik ve BT konudan daha çok öncelikle, bir yönetim konusudur. Bununla birlikte hiç kimse, özellikle BT kullanımı konusundaki geniş çaptaki bağımlılığı ve teknik sorunları göz ardı etmemelidir.

Devam eden prosesler
Bilgi güvenliği yönetimi, bir kere yapılıp kenara bırakılacak bir uygulama değildir; devam eden bir sürekli gelişim faaliyeti olarak (ISO 9001 gereksinimleri gibi diğer yönetim sistem standardları kadar TS ISO/IEC 27001 tarafından uyarlanan Planla-Uygula-Kontrol et-Önlem al (PUKÖ) modeline dayanmaktadır.

İyi yönetilen bilgi güvenliği, işi yapılabilir kılar. BGYS faaliyetleri için yönetim desteği, başarılı ve etkili BGYS gerçekleştirmelerinin hayata geçirilmesindeki en önemli faktörlerdenbiridir.

BGYS standardı olan TS ISO/IEC 27001, uyulması istenirse, kuruluşun uymak için ihtiyaç duyduğu gereksinimler kümesi şeklini alır. Söz konusu gereksinimler ISO/IEC 27001’nin Madde 1 ila Madde 8 arasında belirtilmiştir ve bu gereksinimler PUKÖ modeline dayanan proses yaklaşımıyla ilişkili gereksinimleri de kapsar.

TS ISO/IEC 27001’deki gereksinimlerini yansıtan hükümler zorunludur. “-meli”,”-malı” terimi içeren ifadeler ise gereksinimlerin uygulanmasına kılavuzluk etmesine rağmen bünyeye uydurulması beklenen, ancak zorunlu olmayan hükümleri ifade etmek için kullanılır.

Bir uygulama rehberi olarak ISO/IEC 17799, bir belirtim olarak alıntı yapılmaması anlamına gelen kılavuz ve tavsiyeler şeklindedir ve uyum isteklerinin yanlış yönlendirilmemesini sağlaması için dikkate alınmasına özen gösterilmelidir.

PUKÖ modeli
“Planla-Uygula-Kontrol et-Önlem al modeli (PUKÖ Modeli)” olarak bilinen model, ISO/IEC 27001 standardında kullanılmıştır. Bu model, bir BGYS’in kurulmasında,
gerçekleştirilmesinde, işletilmesinde, izlenmesinde, gözden geçirilmesinde, sürdürülmesinde ve tekrar gözden geçirilmesinde temel olarak kullanılır.

Planla (BGYS’nin kurulması)
Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması.

Uygula (BGYS’nin gerçekleştirilmesi ve işletilmesi)
BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi.

Kontrol Et (BGYS’nin izlenmesi ve gözden geçirilmesi)
BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi.

Önlem al (BGYS’nin bakımı ve iyileştirilmesi)
BGYS’in sürekli gelişiminin sağlanması için içsel BGYS denetim ve sonuçlarına, yönetimin gözden geçirmesine ve konuyla ilgili diğer bilgilere göre düzeltici ve koruyucu önlemlerin alınması.

kaynak:www.educore.com.tr

Fare beyni tamam, insan beyni 10 yıl sonra

beyinAyrıntılı ve fonksiyonel bir suni insan beyninin önümüzdeki 10 yıl içerisinde yapılabileceği iddia edildi.

(Metin Güneş / CNN TÜRK / Londra) — Dünyanın önde gelen bilimdamlarından Henry Markram halihazırda fare beyininin bir benzerini yaptı.

Mavi Beyin Projesi’ne başkanlık yapan Markram İngiltere’nin Oxford kentinde düzenlenen bir  konfernasta yaptığı konuşmada sentetik insan beyninin özellikle akıl hastalıklarının tedavisinde kullanılabileceğini söyledi.

Markram dünyada yaklaşık iki milyar kişinin beyninde bir tür sorun olduğuna da dikkat çekti.

Markram, “İnsan beyni yapmak imkansız bir şey değil ve biz bunun 10 yıl içersinde yapabiliriz” dedi.

2005 yılında başlatılan Mavi Beyin Projesi memelilerin beynine ters mühendislik tekniğini uygulamayı amaçlıyor.

Markram ve ekibi çalışmalarını özellikle memelilerin beyninde neokorteks olarak bilinen ve işitme ve görmeye ait olan bölge üzerinde yoğunlaştırıyor.

Cnnturk

Korsanlar Microsoft’tan hızlı çıktı

win7Windows 7’nin üreticilere özel sürümü, daha firmaların eline geçmeden çok önce torrentlere düştü.

Microsoft‘un “Windows 7 tamam, ilk önce üreticilere servis ediyoruz” açıklamasının üzerinden dah bir hafta geçmemişken işletim sisteminin 7600 sürümü torrentlerde dolaşmaya başladı.

13 Temmuz’dan beri indirilebilir durumda olan korsan işletim sistemi, Çince, İngilizce ve Almanca gibi dillerde elden ele dolaşıyor.

Microsoft‘un henüz engelleyemediği bu korsan paylaşım, şimdiye kadar 5 binin üzerinde kişi tarafından indirilmiş. Ürünün asıl hedefi olan bilgisayar üreticileri ise işletim sisteminin kendilerine ulaşması için 6 Ağustos’a kadar beklemeye devam edecekler. Tabii şeytana uyup torrent sitelerine başvurmazlarsa…

Cnnturk

Yeni YouTube hiti: Düğün dansı!

Video İzlemek İçin TIKLAYINIZ

9,3 milyondan fazla izlenen videoda çift, nedimeler, sağdıçlar ve yer göstericlier salona dans ederek giriyorlar.
Chris Brown’ın bir şarkısı üzerine kurgulanan dansla salona girenler beş dakikalık harika bir şov sunuyor.
Nedimeler, sağdıçlar ve yer göstericilerin konuklara sunduğu keyifli dans gösterisi çiftin finaliyle sona eriyor.
Konukların ayakta alkışladığı gösteri ABD‘nin Minnesota eyaletinde gerçekleşti.
Bir hafta önce internete postalanan video kısa zamanda kullanıcıların gözdesi oldu. Şu ana kadar toplamda 9 milyon 372 bin kez izlendi.
Çiftin bu alışılmadık düğünü Mart ayında planladıkları hatta provasını yaptıkları öğrenildi.

Cnnturk