Ulusal Siber ve Güvenlik Stratejisi 2013 -2014 Eylem Planı

Ulaştırma, Denizcilik ve Haberleşme Bakanlığı siber saldırıları önleme ve müdahale etme konusunda attığı adımları sıklaştırdı. Bakanlık siber saldırılara karşı alınacak önlem ve altyapı geliştirmelerini içeren Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nı yayınladı.

Siber güvenlikle ilgili alınacak önlem kararlarını belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını sağlamak amacıyla bakanlık ve kamu kurumlarının üst düzey yöneticilerinden oluşan bir Siber Güvenlik Kurulu’nun oluşturulması kararı, Bakanlar Kurulu’nca geçtiğimiz yılın sonlarında onaylanmıştı. Bu çerçevede siber güvenliğin sağlanmasına ilişkin politika, strateji ve eylem planını belirleme yetkisi de Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’na verilmişti. Bakanlığın siber güvenlik eylem planı bugünkü Resmi Gazete‘de yer buldu.

Rapor halinde sunulan eylem planında Türkiye’nin siber güvenlik konusunda 2013′ün geri kalan döneminde ve önümüzdeki yıl nasıl bir stratejik yol izleyeceği açıklanıyor. Raporda bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetlerinin, bu sistemlerin hizmet dışı kalmasına ve kötüye kullanılmasına, can kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına ve/veya ulusal güvenliğin ihlaline neden olabildiğinin altı çiziliyor.

Siber güvenliğin sağlanması adına atılacak adımların “Stratejik Güvenlik Eylemleri” başlığı altında ifade edildiği raporda, yakın süreçte yasal düzenlemeler, adli süreçte yardımcı olacak çalışmaların yürütülmesi, ulusal siber olaylara müdahale organizasyonunun oluşturulması konusuna öncelik verileceği belirtiliyor.

Bunlarla birlikte eylem planına göre Türkiye’yi etkileyebilecek tehditlere karşı 7/24 müdahale edecek Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile USOM’un koordinasyonunda çalışacak sektörel Siber Olaylara Müdahale Ekipleri (SOME) oluşturulacak. Plan doğrultusunda siber güvenlik altyapısının güçlendirilmesi için kurumlar yönelik altyapı projeleri gerçekleştirilecek ve bu alanda istihdam edilecek insan kaynağı oluşturulması için de düzenlemeler yapılacak.

Diğer yandan alınan önlemlerin ve altyapı çalışmalarını test etmek amacıyla Türkiye’nin önderliğinde Uluslararası Siber Güvenlik Tatbikatı da düzenlenecek. 2014′ün Mayıs ayında yapılacak tatbikatın yanı sıra Türk Dil Kurumu tarafından siber güvenlik terimleri sözlüğü oluşturulacak.

Reklamlar

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Ekim 2013

Kurumlarda BT standartlarını belirleyen ve onların uluslararası standartta bir Bilgi Güvenliği Yönetim Sistemi’ne (BGYS) sahip olduğunu kanıtlayan ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyon taslakları yayımlandı.

Bilgi teknolojileri alanındaki ihtiyaçları karşılamak için BT standartlarını ortaya koyan, güncelleyen ve destekleyen ‘Joint ISO/IEC Committee’, ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyonunu oluşturacak taslakları yayımladı. Taslağın yayımlanmasının amacı ise ilgili tarafların yapılan değişikliklere yönelik görüşlerini almak ve bu görüşlere göre standarda son halini verebilmek.

Son tarih 23 Mart

Komite, 23 Mart 2013’e kadar, standardın taslak hali için gelecek yorumları bekliyor. Joint ISO/IEC Committee tarafından değerlendirilecek geri bildirimler sonrasında taslak standardın bu değerlendirmeye göre güncellenmesi planlanıyor. ISO tarafından ‘Final Draft International Standard’ (FDIS) adı verilen son taslağın yayımlanması bekleniyor.

ISO 27001’de hangi değişiklikler var?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardının yeni versiyonunu incelendiğinde, standardın yapısında ve içeriğinde önemli değişiklikler olduğu göze çarpıyor.

  • Standardın 2005 versiyonunda da yer alan ‘üst yönetimin bilgi güvenliğine yönelik sorumluluklarını anlatan ‘5. Yönetim Sorumluluğu’ maddesi, yeni versiyonda yönetim sistemine yönelik; liderlik, etkinlik ölçümü, bilgi güvenliğine yönelik hedeflerin belirlenmesi konularını daha çok vurgulayan bir hale getiriliyor.
  • Sürekli iyileşmenin sağlanabilmesi için kurumun artık başka metodolojiler de izleyebileceği göz önünde bulundurularak PUKÖ döngüsünün izlenmesi bir gereklilik olmaktan çıkartılıyor.
  • Bilgi güvenliği risklerinin belirlenmesine ve risklerin indirgenmesine yönelik aksiyonların alınmasını temel alan standardın risk değerlendirme yaklaşımında büyük değişiklikler var. Artık eskiden olduğu gibi varlıklar üzerinden risk değerlendirme yapmak yerine kurumlar daha geniş, daha jenerik bir değerlendirme yaklaşımını benimseyebilecekler. Standart artık, kurumların sahip oldukları bilginin, bilgi varlıklarından daha önemli olduğunu vurguluyor. Bu yenilik, kurumların donanım ve yazılım gibi varlıklarının üzerindeki riskleri değerlendirmesi yerine, sahip oldukları bilgiler üzerindeki riskleri değerlendirmeleri gerektiği anlamına geliyor.
  • Risk yönetim standardı olan yeni versiyon ISO 31000 ile ISO 27001 ile, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) risk yönetim yaklaşımları birbirine uygun hale getiriliyor ve birçok kurumda karşımıza çıkan kurumsal risk yönetimi ile bilgi güvenliği risk yönetimi kavramlarının örtüşmesi sağlanıyor.
  • ISO 27001’in 2005 versiyonunda, standarda yönelik güvenlik önlem ve kontrollerinin etkinliğinin ölçümü daha belirsiz ve kuruma göre değişebilecek yapıda iken, yeni versiyonda izleme, ölçme ve iyileştirme süreçleri daha net, spesifik ve tanımlı uygulamaların yürütülmesini gerektiriyor. Bu durum, bilgi güvenliği gerekliliklerine yeni uyum sağlayacak ve belgelendirilmeyi hedefleyen kurumlar için yeni bir gereklilik getiriyor: Artık kurumların belgelendirilebilmesi için sadece sistemi kurması ve işletmesi değil, aynı zamanda aldığı güvenlik önlemlerinin etkinliğini izleyebilmesi, ölçebilmesi ve sonuçlarından iyileşme fırsatları çıkartabilmesi gerekecek.
  • Standardın temel güvenlik önlemlerinin yer aldığı ‘EK A’ kısmı, yeni versiyonda da mevcut. Kurumların EK A’da yer alan kontrollere nasıl uyum sağladıklarını gösterebilmeleri için halen bir ‘Uygulanabilirlik Bildirgesi’ dokümanı hazırlamaları gerekiyor.
  • Eski versiyonda kontrol hedefleri 11 ana başlık altında ele alınırken artık 14 farklı kategoride kontroller bulunuyor. 2005 versiyonda 133 adet kontrol hedefi varken yeni standartta 113 adet kontrol olması bekleniyor. Standardı incelediğimizde kontrol maddelerinde eski versiyona göre daha net bilgiler yer aldığını görüyoruz. Örneğin, eski standart iş sürekliliği konusunda her kurumun bir iş sürekliliği planı olması ve bu planlarında bilgi güvenliğinin dikkate alınması gerektiği üzerinde duruyordu. 2013 versiyonunda ise artık, iş süreklilik planı ihtiyacının tanımlanması ve bu ihtiyaca göre süreklilik planlarının oluşturulması söz konusu…

Yeni Standart Kurumları Nasıl Etkileyecek?

ISO 27001 belgesine sahip veya sertifika almayı hedefleyen kurumları nasıl bir süreç bekliyor? Yeni standart yayımlandığında, 2005 revizyonlu eski ISO 27001 standardı güncelliğini yitirmiş olacak ve geçersiz sayılacak. Belgeye sahip olan ve sistemi uygulamaya devam etmekte olan kurumlara yeni standart geçiş için belirli bir süre tanınacak. Her ülkede yeni versiyona geçişler genellikle ulusal akreditasyon kurumları tarafından yürütülüyor (Türkiye’deki örneği: TÜRKAK).

Geçiş süreci şöyle işliyor:

  • Belgelendirilmiş olan ve sistemi yürütmekte olan kurumların yeni versiyona geçiş yapabilmesi için genellikle yeni standardın yayımlanma tarihinden itibaren 18 – 24 ay süre tanınıyor.
  • Standardın 2013 revizyonunun yayımlanmasından önce BGYS projelerine başlamış olan ve standart gerekliliklerine uyum için çalışmakta olan kurumların eski versiyona göre belgelendirilmelerine devam edebilmeleri içinse genellikle 6 – 12 ay süre veriliyor. Ancak yeni revizyonlu standart yayımlandıktan sonra, 2005 versiyona göre belgelendirilen kurumların, geçiş sürecinin sonuna kadar 2013 versiyona geçmeleri talep edilecek.

Yeni versiyona geçiş rahat olacak

Genellikle yeni standartlar yayımlandıktan sonra kurumların, belgelendirme şirketlerinin ve denetçilerin yeni standart maddelerini yorumlamaları, kurumlarda nasıl uygulanabileceğini belirlemeleri ve özümsemeleri genellikle belirli bir zaman alıyor. Bu nedenle şu anda ISO 27001 kurulum projelerini yürütmekte olan kurumların 2005 versiyona göre hazırlık yapmaları ve etkin bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulduktan sonra 2013 versiyonlu standarda uyum sürecini başlatmaları daha rahat bir geçiş süreci geçirmelerini sağlıyor.

Hedef: 19 Ekim 2013

ISO tarafından ISO 27001 standardının 2013 revizyonunun 19 Ekim 2013’te yayımlanması hedefleniyor. Ancak taslak standarda yönelik yorumlar ve geri bildirimlerin yoğunluğuna ve önemine bağlı olarak son revizyonun yayımlanma tarihinin Nisan 2014’e kadar uzayabileceği belirtiliyor.

(innova)