ISO 27019:2013 Enerji Altyapıları – Bilgi Güvenliği Standardı

27001ISO 27019:2013 Enerji Altyapıları – Bilgi Güvenliği Standardı

Bilgi Güvenliği konusu, mevzuat ve içerik itibariyle hemen hemen tüm sektörlerde üretilen bilginin güvenliğini sağlamaya yönelik  uygulamalar getirmiştir. Bu husus ISO tarafından yayımlanan ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ile dünya çapında ISO ya üye ülkeler tarafından kullanılarak ivme kazanmıştır. Bu standardın uygulamasının yapılabilmesi içinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Uygulama Rehberi yayımlamıştır. ISO’da 27000 ailesini çalışan çalışma grupları tarafından bazı sektörlerin hassasiyetlerine göre bilgi güvenliği çatısından kopmadan, o sektöre özel kontrol maddeleri eklemek suretiyle yeni standart yada uygulama rehberleri yayımlamıştır.

Örnek vermek gerekirse :

ISO/IEC 27011:2008 – Bilgi teknolojisi – Güvenlik teknikleri – ISO / IEC 27002 dayalı telekomünikasyon kuruluşlar için bilgi güvenliği yönetim kuralları içerir.

ISO 27799:2008 – ISO/IEC 27002 Kullanılarak Sağlık Sektöründe Bilgi Güvenliğinin Sağlanması ile ilgili bilgileri içerir.

bu makaleye konu mevzuat ise,

ISO/IEC 27019:2013 – Bilgi teknolojisi – Güvenlik teknikleri – Enerji sektöründe özel proses kontrol sistemleri için ISO/IEC 27002 dayalı güvenlik yönetimi kurallarına ait bilgileri içerir.

Önemli Not : bu rehberler tek başına sistem olarak kurulamaz. Bilgi Güvenliği çalışacak kurum ve kuruluşlar öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı gerekliliklerine göre yönetim sistemlerini kuracaktır. Kendi sektörlerine özel yayımlanmış rehberlerden destek alacaktır.

ISO’nun Bilgi Güvenliği Standartları ve ve uygulama rehberleri tarafından durumu bu şekilde açıkladıktan sonra gelelim bu standardın detaylarına.

Energy-security_banner-678x381EPDK (Enerji Piyasaları Denetleme Kurumu) tarafından Enerji sektöründe faaliyet gösteren kurum ve kuruluşların artan bilgi güvenliği ihtiyaçlarına dikkat çekebilmek maksadıyla çeşitli dönemlerde bu hususta bazı yönetmelik değişiklikleri yaparak konuya dikkat çekmiştir.

EPDK, Aralık 2014 tarihinde bilgi güvenliğine dönük gereksinimleri göz önünde  bulundurarak aşağıda belirtilen üç yönetmeliği güncellemiş ve lisans sahiplerine bilişim sistemleri güvenliğini sağlama doğrultusunda yükümlülükler vermiştir.

Bu kapsamda,
1. Elektrik Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik
2. Doğal Gaz Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik 
3. Petrol Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik,
26 Aralık 2014 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.  Yönetmeliklerle bilgi güvenliği kapsamında yükümlülüğe tabi olan kurumlar şunlardır:

1. Elektrik piyasasında,
a. OSB (Organize Sanayi Bölgesi) üretim lisansı sahipleri hariç olmak üzere, kurulu
gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri,
b. İletim lisansı sahibi,
c. Piyasa işletim lisansı sahibi,
d. OSB dağıtım lisansı sahipleri hariç olmaküzere dağıtım lisansı sahipleri (elektrik
dağıtım şirketleri)

2. Doğal gaz piyasasında,
a. İletim lisansı sahibi şirketler,
b. Sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisansı sahibi şirketler

3. Petrol piyasasında,
a. Rafinerici lisansı sahipleri

Tüm bu kurumlara, aşağıdaki yükümlülük getirilmiştir:

Üretim Lisansı sahipleri için ilgili madde:

f) Geçici kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak,

ifadesi eklenmiştir.

böylece yukarıda bahsi geçen enerji dağıtım işi ile uğraşan kurum ve kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun hale gelmeleri yeterli gelmeyip aynı zamanda ISO 27019 rehberinde yer alan sektöre has kontrol maddelerini de titizlikle çalışmaları gerekmektedir.

Peki ISO 27019 Sektöre Özel Gelen Maddeler Nelerdir.

ISO 27019:2013 standardına ISO 27002:2005’e ek yeni maddeler eklendiğini görüyoruz. 4 ana ve 11 alt başlıklarla birlikte 15 yeni maddeye ilişkin liste aşağıdaki gibidir.

  • Madde 9.1.7 Kontrol odaları güvenliği (Securing control centers)
  • Madde 9.1.8 Teçhizat odalarının güvenliği (Securing equipment rooms)
  • Madde 9.1.9 Uç işletmelerin güvenliği (Securing peripheral sites)
  • Madde 9.3 Üçüncü taraf lokasyonlarda güvenlik (Security in premises of 3rd parties)
  • Madde 9.3.1 Tesis bünyesinde bulunmayan teçhizat (Equipment sited on the premises of other energy utility organizations)
  • Madde 9.3.2 Müşteri lokasyonundaki teçhizat (Equipment sited on customer’s premises)
  • Madde 9.3.3 Bağlantılı kontrol ve iletişim sistemleri (Interconnected control and communication systems)
  • Madde 10.6.3 Kontrol sistemi verilerinin güvenliği (Securing process control data communication)
  • Madde 10.11 Güncel olmayan sistemler (Legacy systems)
  • Madde 10.11.1 Güncel olmayan sistemlerin iyileştirilmesi (Treatment of legacy systems)
  • Madde 10.12 Emniyet fonksiyonları (Safety functions)
  • Madde 10.12.1 Emniyet fonksiyonlarının erişebilirliği ve bütünlüğü (Integrity and availability of safety functions)
  • Madde 11.4.8 Kontrol sistemlerinin mantıksal harici bağlantıları (Logical coupling of external process control systems)
  • Madde 14.2 Gerekli acil iletişim servisleri (Essential emergency services)
  • Madde 14.2.1 Acil iletişim (Emergency communication)

Sonuç olarak;

27002 standardında bulunmayıp enerji sektörüne özel uygulama kılavuzu 27019’da yer alan önlemler gözden geçirildiğinde, şu konularda hassasiyet gösterildiği
gözlenmektedir:
a. Sistem kontrol merkezlerinde yaşanabilecek aksaklıkların neden olabileceği geniş kapsamlı etkiler göz önünde bulundurularak, kontrol merkezlerinin, merkezlerde kritik
cihazların bulunduğu odaların ve kontrol merkezlerine ev sahipliği yapan tesislerin fiziksel ve çevresel güvenliğinin sağlanması.

b. Enerji sektörünün (üretim, iletim, dağıtım vb.) çok katmanlı, kurumlararası etkileşimli yapısı göz önünde bulundurularak, paydaş kurumların ve müşterilerin tesislerinde
yer alan sistem bileşenlerinin güvenliğinin sağlanması, kontrol ve iletişim sistemleri arasındaki bağlantıların yönetilmesi, izlenmesi ve gerektiğinde paydaşların sistemlerinden ayrılmak üzere tedbirler alınması.

c. Özellikle geniş alanlara yayılan dağıtım ve iletim sistemlerinde söz konusu olabilecek riskler göz önünde bulundurularak, süreç kontrol verisinin gizlilik, bütünlük ve
sürekliliğinin güvence altına alınması.

d. Kurumsal bilişim sistemlerinden çok daha uzun süre hizmet veren ve güvenlik işlevlerinden yoksun olabilen Endüstriyel Kontrol Sistemlerin’den kaynaklanan risklerden korunma.

e. Kurum içinden ve paydaş kurumlardan afet ve acil durumlarda iletişim halinde kalınması gereken personel ile ve vazgeçilmez kontrol sistemleri ile muhaberenin sürdürülmesini ve olağanüstü durumun atlatılmasını güvence altına alacak
planlamanın yapılması, önlemlerin alınması. 27019 standardında yukardaki konuların herbiri ile ilgili  olarak son derece somut öneriler bulunmaktadır.
27011 standardının da benzer başlıklara yoğunlaştığı görülmektedir. İlave olarak SPAM (yığın E-posta) ve DoS (servis dışı bırakma) saldırılarına dikkat çekilmekte ve bu
bağlamda alınabilecek önlemlerden bahsedilmektedir. Standartlarda dile getirilen risklerin tamamı, Türkiye için de söz konusu olan risklerdir. Şöyle ki, kritik enerji altyapıları her tür fiziksel ve çevresel riskle karşı karşıyadır. Türkiye, geniş
bir coğrafyaya yayılmış olması dolayısı ile enerji altyapıları geniş alan ağları ile haberleşmektedir. Enerji altyapılarında miyadı dolmuş kontrol sistemleri ile karşılaşmak sürpriz olmamaktadır.

Afet ve acil durumlar Türkiye’de gündelik yaşamın ayrılmaz, nerede ise kanıksanmış parçası haline gelmiştir. Her tür bilgi sistemine SPAM ve Dos saldırıları yapılmaya devam etmektedir. Dolayısı ile standartlarda dile getirilen önerilerin yurdumuz için de gerekli ve geçerli olduğu, Kritik Enerji Altyapısı işleten kuruluşlar tarafından gözden
geçirilmelerinin son derece faydalı olacağı kesindir.

Faruk Çalıkuşu
Kıdemli Danışman

Kaynak :http://www.iscturkey.org , https://www.biznet.com.tr/enerji-altyapilari-icin-iso-270192013-standardi/

ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Mu Çıktı ?

tseBilindiği üzere ISO 27001; Bilgi Güvenliği Yönetim Sistemi Standardı olarak bilinmektedir.  Yönetim Sistemi Standartları dünya üzerinde ISO  Uluslararası Standartlar Örgütü  (International Standards of Organisations) tarafından planlanmakta ve yayımlanmaktadır.

Ülkemizde de ISO standartları TSE (Türk Standartları Enstitüsü) tarafından TS (Türkturkak-logo (1) Standardı olarak kabul eder. Orjinal dilinde ingilizce olarak yayınlanan standardı Türkçe’ye çevirme işini gerçekleştirir ve satışa sunar. Ülkemizdeki ISO tarafından yayınlanmış ve TSE tarafından benimsenerek satışa sunulmuş standartların kurum ve kuruluşlarda kurulumu tamamlandıktan sonra Akredite olmuş (TÜRKAK – Türk Akreditasyon Kurumu) firmalar tarafından belgelendirme işlemleri tamamlanır.

ISO 27001 ülkemizde son olarak 2013 yılında  TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı olarak kabul edilmiş ve yürürlüktedir. ISO 27001:2013 versiyonu ile ilgili detaylı bilgiye erişmek için lütfen TIKLAYINIZ.

ISO zaman zaman ülkelerden gelen istekler ve talepler doğrultusunda standartlarda revizyonlar yada değişiklikler yapabilir.

27001Son olarak ISO / IEC 27001:2017 CEN/CENELEC ( Comite Europeen de Normalisation / Comite Europeen de Normalisation Electrotechnique – Avrupa Standartlaştırma Komitesi / Avrupa Elektroteknik Standartlaştırma Komitesi); 34 ülkenin (Ayrıntılı bilgi için tıklayınız lütfen) standartlaştırma örgütlerinin ve elektroteknik komitelerinin bir araya geldikleri bir birliktir.
CEN’in amacı uyumlu bir Avrupa pazarı yaratmak için telekomünikasyon (ETSI) ve elektroteknik (CENELEC) alanının dışında kalan bütün teknik sektörler için standartlar üretmektir.)  tarafından onaylanarak yeni bir Avrupa sürümü olarak 2016 yılından itibaren duyurulmuştur.

Yapılan bu düzenlemede Standart üzerinde iki maddede değişiklik yapılmıştır. Standart maddelerinden 6.1.3 ile Standardın EK A Kontrol Maddelerinden 8.1’de değişiklik yapılmıştır.

Ülkemiz CEN/CENELEC birliğinin üyesidir. Bu bağlamda TSE standardı benimsemiş ve ingilizce orjinal dilinde satışa sunmuştur. Henüz standardın Türkçe tercümesi yapılmamıştır.

Peki bundan sonra ne olacak ??

1- Türkak henüz yeni versiyondan akreditasyon değişlikliği yapmamıştır.

2- Daha önce 2013 versiyonundan alınmış sertifikalar hala geçerliliğini korumaktadır.

3- Yeni sertifika alacak olan kurum yada kuruluşlar 2013 versiyonundan yönetim sistemini kurmaya ve 2013 versiyonu üzerinden sertifika alabileceklerdir.

4- Yeni versiyondan sertifika almak isteyen kuruluşlar talep halinde 2017 versiyonu üzerinde sertifika alabileceklerdir.

Saygılarımla
Faruk Çalıkuşu
Kıdemli Danışman

Kişisel Verilerin Korunması Mümkün Mü ?

data_165879647-thumb-380xauto-3949

24.03.2016 tarih ve 6698 kanun numarasıyla “Kişisel Verilerin Korunması Kanunu” yayımlandı. Artık kanun da çıktığına göre kişisel verilerimiz güvendemi sorusu insanın aklına gelmiyor değil ?

Bu soruya sağlıklı bir cevap verebilmek için öncelikle “Kişisel Veri” nedir bunu tanımlamak gerek. TBMM  117 sıra sayılı Kişisel Verilerin Korunması Tasarısı ve Adalet Komisyonu raporunda  şu şekilde ifade edilmiştir.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Tanımdan da anlaşılacağı üzere kişinin kendisi ile ilişkilendirebileceğimiz her türlü veri kişisel veri olarak tanımlamak mümkün. T.C. Kimlik numaramız, telefon numaramız hemen hemen her gün bir yerlere verdiğimiz bilgilerin başında gelmektedir. Telefonlarımıza her gün – en azından benim telefonuma 🙂 –  daha önce hiç alışveriş yapmadığım yada tanımadığım bir yerden reklam mesajı gelmektedir. Eeee tanımıyoruz, tanımadığım yerden geliyor. Kanun da çıktı…

Gerek kamu kurumlarımız olsun gerekse özel şirketler olsun  vatandaşın kişisel verileriyle doludur. Kanun dediğimiz husus kural koyar ve çerçeveyi çizer. 6698 Kişisel Verilen Korunması Kanunu da aynı şekilde kuralları belirledi ve çerçeveyi çiziyor. Gerisi …!!!  gerisi bilinçli vatandaş ve sorumluluğunu bilen yöneticilere kalıyor.

Kanun ne diyor ???

MADDE 3- (1) Bu Kanunun uygulanmasında;

  1. a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  2. b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Kanunun 3. maddesinin 1.a) bendinde Açık Rıza kavramından bahsediyor. Nedir açık rıza ? Sizin kendi isteğiniz ve onayınızla size ait olan bilgilerin ve verilerin kullanılması durumudur. Örneğin sizin sağlık verileriniz, size ait olan tüm veriler. Eğer kendi rızanızla bu verilerin kullanılmasını isterseniz bu veriler açık bir şekilde yine kanunun 4. Maddesinde belirtilen hususlar çerçevesinde kullanılacaktır.

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

yine 3. maddede ifade edilen başka bir kavram ise Anonim Hale Getirme  kavramıdır. Sizi açıkça ifade etmeyecek verilerdir. Örneğin Kastamonu ili Tosya ilçesinde yaşayan 90 yaş üstü erkek sayısı yada 90 yaş üzeri bakıma muhtaç olan kişi sayısı gibi. Bakanlıklar genelde çalışma alanlarına göre çeşitli konularda vizyon belirleme, politika geliştirme gibi konular için bu tarz istatistikleri sıkça kullanmaktadır.

T.C. Sağlık Bakanlığı Kamu Hastaneleri Kurumu tarafından http://rapor.saglik.gov.tr/istatistik/rapor/index.php hazırlamış olduğu bu web sitesi kişisel verilerin anonim hale getirilmesi ile ilgili güzel bir çalışmadır. Göreceğiniz üzere verilen istatistiklerden herhangi bir kişi verisi mevcut değildir.

Kanunda;

  • Kişisel verilerin işlenme şartları
  • Özel nitelikli kişisel verilerin işlenme şartları
  • Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
  • Kişisel verilerin aktarılması
  • Kişisel verilerin yurt dışına aktarılması
  • Veri sorumlusunun aydınlatma yükümlülüğü
  • İlgili kişinin hakları (Kişisel Verinin Sahibinin Hakları)
  • Veri güvenliğine ilişkin yükümlülükler
  • Başvuru, Şikâyet ve Veri Sorumluları Sicili
  • Suçlar ve Kabahatler

konulara değinilmiştir.

İnternet ortamında size ait bir veri olduğunu düşündüğünüz bir durumda ( sosyal medyada paylaşılmış bir fotograf, size ait bir bilgi, veri vs .) kanunun 11. maddesinde tanımlanmıştır.

MADDE 11 – (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,27
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

bu çerçevede ilgili web sitesinin yetkililerine ulaşıp yukarıdaki haklarınız doğrultusunda taleplerinizi iletebilirsiniz. Bu adımı izlediniz ve hala sonuç alamadıysanız o halde kanunun 13., 14. ve 15. Maddeleri devreye giriyor. Ne mi onları ??? işte buyrun.

DÖRDÜNCÜ BÖLÜM
Başvuru, Şikâyet ve Veri Sorumluları Sicili

Veri sorumlusuna başvuru
MADDE 13 – (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Kurula şikâyet
MADDE 14 – (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15 – (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

Peki, sizin açık izniniz olmadan size ait bir verinin paylaşıldığını düşündünüz ve yukarıdaki adımları işlettiniz. Sonuç ne olur dersiniz. Yani kanuna uygun olmayan bir kullanım karşısında, kullananlar bu durumda cezai olarak ne gibi yaptırımlarla karşı karşıya kalırlar.

kanunun 5. Bölümünde 16. ve 17. Maddelerde Suç ve Kabahatler başlığında konuya açıklık getirmiştir.

BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler

Suçlar
MADDE 17 – (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.

5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri

Kişisel verilerin kaydedilmesi
Madde 135 – (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136 – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Nitelikli haller
Madde 137 – (1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

işlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

Şikayet
Madde 139 – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.

Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.”

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

5237 sayılı Kanunun 138 inci maddesi

Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”

Kabahatler 
MADDE 18 – (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.32

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

şeklinde ifade edilmiştir.

Son olarak,

Vatandaş olarak kanun koyucu kuralları koymuş ve anlaşılacağı üzere açıkça da tanımlamıştır. Tüm kamu ve özel kurumların artık bu çerçevede gerekli tedbirleri alma ve uygulama zorunluluğu doğmuştur. Bu doğrultuda kurumların kişisel verileri sakladıkları, işledikleri, transfer ettikleri tüm bilişim altyapılarını gözden geçirme ve gerekli düzenlemeleri yapmaları gerekmektedir.

Nedir bu düzenlemeler ???

Konuyla yakından ilişkili iki tane standarttan bahsetmek mümkün,

1- TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı

2- BS 10012 Veri koruma, Kişisel Bilgi Yönetimi Sistemi Standardı’dır.

bu standartlar ne işe yarar, kişisel verilen daha güvenli hale nasıl getirmek gerekir, bu konularada bir sonraki makalemde anlatmaya çalışacağım..

Eeeee Kişisel Verilerimiz Güvendemi ? Hayırlı olsun kanunumuz var artık 🙂

2015 yılının en kötü Şifreleri belirlendi & Güvenli Şifre Oluşturma

73432fa0d88870d0c5843d9fa114f9dd_k

SplashData, 2015 yılının en kötü şifrelerini açıkladı. 2 milyon çalınan şifre arasında en çok kullanılan şifreler belirlendi.

ŞİFRE

GÜVENLİ ŞİFRE NASIL OLUŞTURULMALI

Telekomünikasyon sisteminin hayatımıza girmesi sebebiyle bilgisayar, tablet, akıllı telefonlar hayatımızın bir parçası haline geldi. Bu durum internet servis sağlayıcıların hizmet standartlarını ve hizmetlerini artırması da tetikledi. Artık Bankacılık hizmetlerinden tutunda sosyal medyaya varana kadar bir çok uygulama programı kullanıyoruz.

Her uygulamada ilk önce kayıt olmamız gerekiyor ve tabiki kullanıcı adı ve şifre belirlememiz beklenmektedir. Yetkisi olmayan kişilerin bizlerin kişisel hesaplarına ve bilgilerine erişim sağlayabilmesi belirlediğimiz şifreleri tahmin etmesinden geçmektedir.

Yukarıdaki görselde verildiği üzere kullanılan şifreler kolay tahmin edilebilen şifreler olduğu için bir çok kamu kurum ve kuruluşu ile kişisel hesaplar ele geçirilmektedir.

2012 Yılı Hack Olayları

hack

Görüldüğü gibi hacker (kötü niyetli kişi yada kişiler) pek de fazla uğraşmıyor. Çünkü şifreler çok basit oluşturuluyor.

NE YAPMAK LAZIM !!!

Elbette güvenli bir şifre oluşturmak lazım. Evet haklısınız bir sürü uygulama var ve bir sürü şifre oluşturuyoruz. Hem deniyor ki aman şifrenizi oluştururken küçük harf olsun yok 8 karakter olsun yok sayı olsun yok semboller olsun yok büyük harf olsun hemde bir yere not etmeyin kimseye de söylemeyin 🙂  Eeeee kim aklında tutacak bunları.  Bence de zor iş.

Güvenlik uzmanları yada geliştirilen sistem bize karmaşık şifre oluşturmamız gerektiğini söyler hep ama bunun mantıklı bir şekilde nasıl yöneteceğimizi kimse söylemez.

Buradaki sıkıntı şu, oluşturulan şifreleri belirli bir mantık sırasına göre oluşturursak hem kurallara uygun güçlü bir şifre oluşturmuş oluruz hem de birbirinden farklı şifrelerimiz olur ve hiç birini de unutmak zorunda kalmayız.

yontem

Görselde ifade edildiği gibi hepimiz bu web sitelerinden birini yada bir kaçını her gün mutlaka kullanıyoruz.

Yöntem şu;

Bizden istenen şifre algoritması nedir ? Harf, Sayı ve semboller

bir kelime belirliyoruz örnek “Elma” birde sayı grubu örnek “6273” şimdi birde sembol örnek “*” (yıldız) olsun.   Nedir Durum Elma6273*   9 karakterden oluşan BÜYÜK harf küçük harf rakamlar ve sembolden oluşan bir şifre oluşturduk. Şifre oluşturma kriterlerine gayet uygun gibi görünüyor.

yukarıdaki görselde sık kullandığımız uygulamaların baş harfleri verilmiştir. G (Gmail), F (Facebook), İ (İş Bankası) gibi.

Peki ne yapıyoruz ? 

Bu uygulamaların baş harflerini belirlemiş olduğumuz 9 karakterli şifremizin herhangi bir yerine ekliyoruz. İster en başına ister ortasına isterseniz sonuna bunun kararını siz vereceksiniz.

Gmail şifremiz => ElmaG6273*          İş Bankası Şifremiz =>Elma62İ73*

Facebook şifremiz=>FElma6273*      E-Devlet Şifremiz=> Elma6373*E

 

Gördüğünüz gibi değerli takipçiler, hem güçlü bir şifre oluşturduk hemde birbirinden bağımsız oldu.  Önemli olan mantıklı bir sistematik çerçevesinde oluşturmaktır.

Sizde kendinize göre metotlar geliştirebilirsiniz.

E daha ne olsun 🙂

 

 

Kamu Kurumlarında PARDUS atağı


pardus  Pardus Nedir  ?
  Burdan Detaylı Bilgi Alabilirsiniz   Ayrıca Kendi Resmi Sitesinden de Bilgi Alabilirsiniz.

Bilindiği üzere  ülkemizde bilişim sektöründe kullanılan belli başlı işletim sistemleri var. Bunların   başını da Microsoft  işletim sistemleri çekiyor.

Microsoft işletim sistemleri de lisans maliyetlerinden dolayı ülkemizde lisanssız kullanım oldukça  yaygın olduğu görülmektedir. Bu oran Kamu kurumlarında daha fazla olduğu biliniyor.

Aşağıdaki grafikte görüldüğü üzere işletim sistemlerinin Haziran 2014 itibari ile kamuda kullanım durumunu vermektedir. 

kamuda işletim sistemi kullanım oranı

kamu kurumlarımızda milyonları bulan kullanıcı sayıları için ödenmesi gereken lisans ücretleri de yine milyonları $$ bulmaktadır.  Sermayenin dışarı çıkmaması için,  işletim sistemlerinin güvenlik endişeleri gibi konulardan dolayı TÜBİTAK tarafından başlatılan çalışmalar ile ulusal bir işletim sistemi yapılmak istenmiştir.  Günümüze baktığımızda pardus  işletim sistemi piyasasında henüz istediği noktada olmada başlangıç yapmıştır ve bundan sonrasında da grafiğini gün geçtikçe yükseltecektir.

Bu konunun ivme kazanabilmesi için devlet desteği şarttır. Ve devlet de gerekli desteği vermektedir. (8.06.2015 hürriyet)

Bilim, Sanayi ve Teknoloji Bakanı Fikri Işık, “Kamuda Açık Kaynak Kodlu Yazılımların Desteklenmesi” eylemi gereği, Teknolojik Araştırma Kurumu (TÜBİTAK) Ulusal Akademik Ağ ve Bilgi Merkezi (ULAKBİM) tarafından geliştirilen milli işletim sistemi PARDUS’un, kullanılması çalışmalarının başladığını belirterek, “PARDUS’un 2023’e kadar bir milyon 800 bin bilgisayarda daha kullanılmasını bekliyoruz ve böylece işletim sistemi ve diğer yazılım lisanslarından yıllık 2,2 milyar dolar kar etmeyi hedefliyoruz” dedi.

Işık, yaptığı açıklamada, PARDUS Projesinin 2003 yılında Başbakanlığın yönlendirmesi doğrultusunda, TÜBİTAK tarafından geliştirilmeye başlandığını hatırlattı.

PARDUS’u geliştirme çalışmaların halen TÜBİTAK ULAKBİM bünyesinde devam ettiğini belirten Işık, “62. Hükümet Programı doğrultusunda, Kalkınma Bakanlığı 2015-2018 Bilgi Stratejisi ve Eylem Planı bütünlüğünde bakanlığın öncü görevi kapsamında, ‘Kamuda Açık Kaynak Kodlu Yazılımların Desteklenmesi’ eylemi gereği, bilgi teknolojileri alanında açık kaynaklı yazılımların ve milli işletim sistemi? PARDUS’un kullanılması yönünde çalışmalara başlandı” diye konuştu.

Işık, bakanlığın gerçekleştireceği dönüşümle teknolojik olarak dışa bağımlılığı azaltmanın yanında, hizmet maliyetlerinin de düşürüleceğini ifade etti. Gelişmiş dünya devletlerinin, bilgi güvenliğini sağlamak ve siber saldırılardan korunmak amacıyla çeşitli milli sistemler geliştirdiğine işaret eden Işık, PARDUS’un, tüm bakanlık uygulamalarının üzerinde çalıştığı ortam olarak kritik öneme sahip olduğunu vurguladı.

“Vatandaşlarımız, PARDUS’u güvenle kullanabilir”

Açık kaynaklı olarak geliştirilen PARDUS’un esnek ve güvenli olduğunun altını çizen Işık, işletim sistemi içeriğinde kurumsal olarak ihtiyaç duyulan uygulama ve yönetsel işlevlerin eksiksiz olarak bulunduğuna dikkati çekti. İlk sürümü 2005’te yayınlanan PARDUS işletim sisteminin, kamuda yaklaşık 20 bin, ev ortamında ise 100 binden fazla cihazda kullanıldığını hatırlatan Işık, sistemin 2023’e kadar bir milyon 800 bin bilgisayarda daha kullanılmasını beklediklerini ve böylece işletim sistemi ve diğer yazılım lisanslarından yıllık 2,2 milyar dolar kar etmeyi hedeflediklerini kaydetti.

Bilgisayar kullanıcılarına, milli işletim sistemini PARDUS’u tercih etmeleri çağrısında bulunan Işık, şöyle konuştu:

“Bu dönüşümü başlatan bakanlığımız, merkez ve taşra teşkilatı ile lisans maliyetlerinde tasarruf sağlayacak ve 2015 yılı sonuna kadar 3 bin 500 kullanıcı bilgisayarlarını bu sisteme taşımış olacak. PARDUS’u bakanlığımızın yanında, Milli Savunma Bakanlığı, Adalet Bakanlığı, sağlık bakanlığı, Deniz Kuvvetleri Komutanlığı, Halk Sağlığı Müdürlükleri, Türkiye Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler Odaları Birliği, İstanbul Su ve Kanalizasyon İdaresi ve TÜBİTAK’ın da aralarında bulunduğu 20’den fazla bakanlık ve kurum kullanıyor. Bir çok kamu kurumunda yaygın olarak kullanılan PARDUS’u, vatandaşlarımız da güvenle kullanabilir.”

Sağlık Bilgi Sistemleri Genel Müdürlüğünde IRCA Onaylı 27001 Baş Denetçi Eğitimi Yapıldı

Bilgi Güvenliği Yönetim Sistemleri (BGYS) Birimi tarafından organize edilen IRCA* onaylı TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı Baş Denetçi Eğitimi 13-17 Nisan 2015 tarihleri arasında yapıldı. Sistem Yönetimi Daire Başkanı M. Fatih ULUÇAM’ın açılış konuşmasıyla başlayan ve bir hafta süren eğitime çeşitli meslek ve uzmanlık alanlarında görev yapan 20 personel katıldı.

 

Bilgi Güvenliği Danışmanı Zühtü KAYALI tarafından verilen eğitimde BGYS Standardı, Risk Yönetimi,  Kontrol Maddeleri ve ISO 19011 Denetim Standardı konuları yer aldı. BGYS denetimi uygulamaları ve örnek olay analizleriyle zenginleştirilen eğitim programında katılımcılar eğitmen eşliğinde çeşitli senaryolara ilişkin değerlendirmelerde bulundu.

 

Eğitimin sonunda IRCA onaylı Baş Denetçi Adaylığı Sınavı yapıldı. BGYS alanında Baş Denetçi olabilmek için adayların bu sınavda başarılı olması ve IRCA tarafından belirlenen koşullarda staj yapmaları gerekiyor.

 

BGYS Birimi olarak eğitimcimiz Zühtü KAYALI’ya, katılımcılarımıza ve eğitim sürecinde emeği geçen yönetici ve personelimize teşekkürlerimizi sunarız.

 

IRCA* İngiltere merkezli, International Register Of Certificated Auditors Kurumu olan IRCA  profesyonel denetçilerin üye oldukları bir dernek statüsündedir.

Ayrıntılı bilgi için…

http://www.irca.org/

bilgiguvenligi.saglik.gov.tr

TSE (Türk Standartları Enstitüsü) Bilişim Standartları Nelerdir

tse

Ülkemizde TSE Türk Standartları Enstitüsü (TSE)nün görevlerinden bir taneside uluslararası standartlar konusunda çalışmalar yapmaktır. TSE Uluslar arası Standartlar organizasyonu (ISO) tarafından geliştirilmiş standartları ulusal düzeyde uygulanmasını sağlar. Son yıllarda bilişimin gelişmesiyle birlikte TSE bilişim alanında da uluslararası bir çok standartda ulusal düzeyde hizmet vermektedir. Bu standartların yaygınlaştırılması ve tanıtılması, danışmanlık hizmeti, eğitim hizmeti, denetim ve belgelendirme hizmeti vermektedir. işte TSE nin bilişim alanında eğitim, danışmanlık, denetim ve belgelendirmesini yaptığı standartlar aşağıdaki gibidir.

1-     TS ISO/IEC 15408 Bilgi Teknolojileri Ürün Güvenliği İçin Değerlendirme Kriterleri

jpeg

 Ortak Kriterler Standart Hakkında

  • Standardın Yapısı

    Ortak Kriterler standardı üç(3) bölümden oluşmaktadır:

    • Birinci bölümde; Ortak Kriterler standardına giriş yapılır ve genel olarak standardın modeli hakkında bilgi verilir.
    • İkinci bölümde; BT ürünü veya sistemi güvenlik gereksinimleri belirlenirken kullanılacak ve genel bir dil oluşturulması için Ortak Kriterler formatından belirtilmiş güvenlik fonksiyonel gereksinimleri bulunmaktadır.
    • Üçüncü bölümde; ürünün veya sisteminin garanti iddiasının belirlenebilmesi için Ortak Kriterler formatından belirtilmiş güvenlik garanti gereksinimleri bulunmaktadır.

    Common Evaluation Methodology (CEM)olarak adlandırılan ISO 18045 ise Ortak Kriterler değerlendirme laboratuarları değerlendirici personelinin, değerlendirme sırasında uyacağı metodolojiyi detaylıca anlatmaktadır.

  • Garanti Seviyeleri

    EAL(Evaluation Assurance Level/Değerlendirme Garanti Seviyesi) olarak adlandırılan 7 seviye (EAL 1-7) bulunmaktadır. EAL 7 seviyesi en yüksek garanti düzeyi, EAL 1 seviyesi en düşük garanti düzeyidir. Üst seviye garanti düzeyleri, alt seviye garanti düzeylerini kapsamaktadır.
  • CCRA

    Ortak Kriterler Sertifika Üretici ülkelerin Sertifika Makamları tarafından verilen Ortak Kriterler sertifikaları CCRA (Common Criteria Recognition Arrangement) anlaşmasını imzalayan 25 ülke tarafından EAL 4 garanti seviyesine kadar tanınmakta ve bu sertifikaların uluslararası geçerliliği bulunmaktadır. Ortak Kriterler Sertifika Üretici ülkeler şu şekildedir:

    • Türkiye
    • Kanada
    • Fransa
    • Almanya
    • İtalya
    • Japonya
    • Malezya
    • Hollanda
    • Norveç
    • Güney Kore
    • İspanya
    • İsveç
    • Avusturalya-Yeni Zellanda
    • İngiltere
    • ABD

    Ortak Kriterler Sertifika Müşterisi ülkelerin Sertifika Makamları tarafından verilen Ortak Kriterler sertifikaları CCRA (Common Criteria Recognition Arrangement) anlaşmasını imzalayan diğer ülkeler tarafından tanınmamakta ve bu sertifikaların uluslararası geçerliliği bulunmamaktadır. Ortak Kriterler Sertifika Müşterisi ülkelere buradan ulaşabilirsiniz

  • Ürün Kategorileri

    • Erişim kontrol cihaz ve sistemleri
    • Sınır koruma cihaz ve sistemleri
    • Veri tabanları
    • Veri koruma
    • Tespit cihaz ve sistemleri
    • Akıllı kartlar(kredi kartları, atm kartları, cep telefonları sim kartları, doğalgaz ön ödemeli sayaç kartları, elektrik-su ön ödemeli sayaç kartları, elektronik alışveriş kartları, kimlik kartları vb.)
    • Anahtar yönetimi cihaz ve sistemleri
    • Ağ iletişimi ile ilgili cihazlar
    • İşletim sistemleri
  • Bağlantılar

2-     TS 13298 Elektronik Belge Yönetimi

TSE; TS 13298 Elektronik Belge Yönetimi standardında da belgelendirme hizmeti vermektedir. Bu standart, kurumlarda üretilen ve/veya üretilmesi muhtemel elektronik dokümanların belge niteliğinin korunabilmesi için gerekli standartların belirlenmesi amacıyla aşağıdaki konuları kapsar:

a) Elektronik belge yönetimi sistemi (EBYS) için gerekli sistem gereksinimleri,

b) EBYS için gerekli belge yönetim teknikleri ve uygulamaları,

c) Elektronik belgelerin yönetilebilmesi için gerekli gereksinimler,

d) Elektronik ortamda üretilmemiş belgelerin yönetim fonksiyonlarının elektronik ortamda yürütülebilmesi için gerekli gereksinimler

e) Elektronik belgelerde bulunması gereken diplomatik özellikler,

f) Elektronik belgelerin hukuki geçerliliklerinin sağlanması için alınması gereken önlemler,

g) Güvenli elektronik imza ve mühür sistemlerinin uygulanması için gerekli sistem alt yapısının tanımlanması.

TS 13298 Belgelendirme Hizmetleri, TÜRKAK tarafından akredite edilmiştir.

3-     TS ISO 9241-151 İnsan Sistem Etkileşiminin Ergonomisi

  1. 151 Dünya Geneli Ara yüzleri Kılavuzu

  2. TSEK 194 , TS ISO/IEC 40500 Web İçeriği Erişilebilirlik Kılavuzları

Web kullanıcı arayüzü geliştirilmesinde en önemli hedef, arayüzünü, engelli kişilerde dâhil mümkün olan en geniş kullanıcı yelpazesinin erişimine açık hale getirmektir. Web kullanıcı arayüzlerinin erişilebilirliği bakımından da önemli olmasına rağmen, erişilebilirliği etraflı bir şekilde kapsamayı hedeflememektedir.

Web kullanıcı arayüzleri tasarımının aşağıda belirtilen yönlerine odaklanır:

  • Üst düzey tasarım kararları ve tasarım stratejisi,
  • İçerik tasarımı,
  • Gezinme ve arama,
  • İçerik sunumu.

Kullanıcı arayüzü için web uygulamaları; kamuoyu bilgilendirme web siteleri, elektronik ticaret uygulamaları, intranet uygulamaları, konuma uyarlanır servisler ve diğer birçoğu gibi, geniş bir spektrumdaki amaçlara hizmet eder. Bu yüzden, geliştirilecek olan web uygulamalarının amacı ve stratejik hedefinin açık bir şekilde tanımlanması, üst düzey tasarım kararıdır.

Web kullanıcı arayüzünün kavramsal bir modeli, içerik ve gezinme yapısının tanımlanmasında önemli bir esastır. Böyle bir kavramsal model, konu hiyerarşisi gibi mevcut bilgi yapıları ile beraber muhtemel kullanıcıların görevleri ve zihinsel yapılarının analizi ile de geliştirilebilir. Web sitesinin içeriği, sitenin amacı ve kullanıcının tipik bilgi ihtiyaçları bakımından yeterli ölçüde olmalıdır.

Gezinme, bir web kullanıcı arayüzünde, sistemin o anda görünen çıktısından bir diğerine hareket etmek için kullanıcının icra ettiği faaliyetleri içerir. Arama, gezinmenin aksine arama fonksiyonları, içeriğin geri getirilmesi şartıyla içeriğe doğrudan erişim sunar. Gezinme ve arama çoğu zaman kombine olarak kullanılır.

Gelişen içerik nesnelerinin sunumlarından bağımsız olması tavsiye edilir. Web sayfalarının tasarımında, insan algılamasının genel prensipleri dikkate alınmalıdır. Sayfa tasarımı hususlarında; sayfa düzeni, başlık bilgisi, görselleştirmeler, uygun sayfa uzunlukları, renk düzeni ve çerçevelerin kullanımı dikkatli bir şekilde oluşturulmalıdır. Kullanıcılar için bağlantı tasarımları olmazsa olmazlardandır. Bağlantılar, kullanıcılar tarafından kolaylıkla tanınabilir olmalıdır. Bağlantılar kullanıcıya vurgulanmalıdır.

Web kullanıcı arayüzü, farklı kullanıcı gruplarının ilgili karakteristiklerini dikkate alır şekilde tasarlanmalıdır.

STANDARTLAR

ISO bünyesinde standard çalışmaları yürüten 187 Teknik Komite , 552 Alt Komite ve 2100 Çalışma Grubu vardır. 31/Aralık/2000 itibarıyla, ISO’nun yayınladığı 13025 Uluslarlarası standart ve standart niteliğinde doküman bulunmaktadır. ISO bünyesinde her ülkeyi bir kurum temsil eder. Türkiye’yi ISO’da Türk Standardları Enstitüsü (TSE) temsil etmektedir. TSE, 1955 yılından beri üyesi olduğu ISO’nun 35 Teknik Komitesi ile 89 Alt Komitesi’nin asal üyesidir.

Standartlar Niçin Önemlidir?

Standart serisi, Toplam Kalite Yönetimi’ nin satın alınan malzeme kaliteli olmadıkça, kalite de mükemmelliğe ulaşmak imkansızdır. Bu standartlar, firmanın kalite yönetim sistemlerinin kalitesini ölçmek ve bu yolla müşterilerine kalite güvencesi vermek amacına yöneliktir. Bu standart, kalite ile ilgili tüm problemleri çözmez, neyin yapılacağını değil, nasıl yapılacağını söyler ve bunlara ilaveten, etkin bir kalite yönetim sistemi için minimum şartları belirtir.

 TSE K 194 , WCAG VE  ISO/IEC 40500:2012

(WEB İÇERİĞİ KULLANILABİLİRLİK STANDARTLARI VE KRİTERİ)

Web içeriği kullanılabilirlik kriteri, Web içeriğinin engelli insanlar için nasıl daha kullanılabilir yapılabileceğini açıklamaktadır. Kullanılabilirlik, görsel, işitsel, fiziksel, konuşmayla ilgili, bilişsel, dille ilgili, öğrenmeyle ilgili ve nörolojik engelleri içeren geniş bir yelpazedeki engelleri kapsamaktadır. Bu kriter, geniş bir yelpazedeki hususları kapsamakla birlikte, engellerin tipi, derecesi ve bileşimi bakımından tüm engellilerin ihtiyaçlarına yönelik değildir. Bu kriter aynı zamanda, Web içeriğini yaşlanmaya bağlı olarak yetenekleri değişen yaşlı bireyler için daha kullanılabilir hale getirmekte ve genel olarak çoğu yerde kullanıcılar için kullanılabilirliği artırmaktadır.

Web içeriği kullanılabilirlik kriteri, günümüzdeki ve gelecekteki farklı Web teknolojilerinde yaygın olarak uygulanmak üzere ve otomatik test ve insanlar tarafından yapılan değerlendirmenin bir bileşimi ile test edilebilir şekilde geliştirilmiştir.

Prensipler – En üstte Web kullanılabilirliği için temel teşkil eden dört prensip mevcuttur: algılanabilirlik,

çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık.

Başarı kriterleri – Her bir ana esas için, gereklilikler ve uygunluk testinin gerekli olduğu, tasarım

spesifikasyonu, satın alma, düzenlemeler ve sözleşmeli anlaşmalar gibi yerlerde Web içeriği kullanılabilirlik kriterinin kullanılmasına olanak tanımak için test edilebilir başarı kriterleri verilmiştir. Farklı grupların ve farklı durumlardaki ihtiyaçların karşılanması maksadıyla üç seviyede uygunluk tanımlanmaktadır: A (en düşük), AA ve AAA (en yüksek).

A düzeyindeki isterler genel olarak daha çok kitleye hitap eder ve kullanıcılar açısından algılanabilirlik, çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık prensiplerinde belli bir kalitenin sağlanmasını hedefler. AA ve AAA düzeyleri daha özel durumlar ve şartlarda kullanıcılar için algılanabilirlik, çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık prensiplerinde daha üst seviyeyi hedefler ve Web Sayfaları için daha detaylı özellikleri ve teknolojileri gerektirir.

A düzeyi: Web sayfası, A düzeyinde (asgari uygunluk düzeyi) uygunluk için, tüm A düzeyi başarı kriterlerini karşılar ya da uygunluk sağlayan alternatif bir model sağlanır.

AA düzeyi: Web sayfası AA düzeyinde uygunluk için, tüm A düzeyi ve AA düzeyi başarı kriterlerini karşılar ya da AA düzeyinde uygunluk sağlayan alternatif bir model sağlanır.

AA düzeyi: Web sayfası AAA düzeyinde uygunluk için, tüm A düzeyi, AA düzeyi ve AAA düzeyi başarı kriterlerini karşılar ya da AAA düzeyinde uygunluk sağlayan alternatif bir model sağlanır.

Not 1 – Sadece ifade edilen düzeylerde uygunluğa ulaşılabilse de, Web tasarımcılarının ulaşılan uygunluk seviyesinin ötesindeki tüm düzeylerden başarı kriterlerinin karşılanmasına yönelik olarak sağlanan herhangi bir ilerlemeyi bildirmeleri (uygunluk iddialarında) teşvik edilir.

Not 2 – AAA düzeyinde uygunluğun genel bir politika olarak Web sitelerinin tamamı için gerekli olması

tavsiye edilmemektedir, çünkü bazı içerikler için AAA düzeyindeki başarı kriterlerinin yerine

getirilmesi mümkün değildir.

Web içeriğinin nasıl daha kullanılabilir yapılabileceği hakkında kılavuzluk sağlanması için kriter

katmanlarının (prensipler, ana esaslar, başarı kriterleri ve yeterli ve tavsiye niteliğindeki teknikler) tamamı bir arada çalışır. Web tasarımcıları, mümkün olan en geniş yelpazedeki kullanıcıların ihtiyaçlarına cevap verebilmek maksadıyla, tavsiye niteliğindeki teknikler dâhil olmak üzere, uygulayabilecekleri tüm katmanları incelemeleri ve uygulamaları için teşvik edilmektedir.

Tarayıcılardaki kullanılabilirlik özellikleri ve diğer kullanıcı temsilcilerinin yanı sıra, kullanıcıların yardımcı teknolojileri tarafından desteklenmelidir.

-Sesli açıklamalar,             -Yanma sönmeler,         -Metin blokları,
-Alt yazılar,                         -Konuşma dili,                  -İşaret dili,
-Kırmızı parlamalar,        -Girdi hataları,                  -Yazı tipi ve boyutu,
-Kayan yazı,                       -Jargon,                               -Logolar

Bu belgelendirme kriteri, ISO/IEC 40500:2012 Information technology ve WCAG 2.0 (Web Content  Accessibility  Guidelines – Web içeriği) esas alınarak hazırlanmıştır.

4-     SPICE-TS ISO/IEC 15504 Yazılım Süreçleri İyileştirme, Yetenek ve Olgunluk Belirleme

  1. TS ISO/IEC 12207 Yazılım Yaşam Döngüsü

https://farukcalikusu.wordpress.com/2014/01/11/spiceyazilim-surec-iyilestirme-yeterlilik-belirleme-ve-organizasyonel-olgunluk-ts-isoiec-15504/

5-     KRİPTO TS ISO/IEC 19790 & ISO/IEC 24759 Kriptolama Modülleri İçin Güvenlik ve Test Gereksinimleri

Bilgi Teknolojisi sisteminlerinde işlenen kritik verilerin güvenli saklanması güvenli iletimi ve kaynağının doğrulanması şifrelenme, şifre çözme, bütünlük kontrolleri elektronik imza v.b. kriptografik işlemleri zorunlu kılmaktadır.

Haberleşme ve bilgisayar sistemlerinde bu işlemler sistem içerisinde yer alan kripto modülleri ile sağlanmaktadır.

Bu kripto modüllerinin güvenlik özelliklerini aksatmadan yerine getirmesi önem arz etmektedir.

ISO/IEC 19790, bilgi teknolojisi sistemlerinde yer alan ve kritik verilerin güvenliğini sağlayan bu kripto modülleri için güvenlik gereklerini belirleyen bir standarttır.

ISO/IEC 19790 standardı, kripto modülleri içinde yer alan kriptografik yapıları, fiziksel yapıları, işletim ortamı, dokümantasyon  vb. çeşitli konuları içermektedir.

İstenilen güvenlik özellikleri standart içerisinde aşağıdaki ana başlıklar altında verilmektedir.

1- Modül Özellikleri(specification)

2- Portlar ve arayüzler

3- Roller, servisler ve asıllama (authentication)

4-Sonlu durum modeli

5- Fiziksel güvenlik

7- işletim otamları

8- Kriptografik anahtar yöntemi

9- Öz sınama (self-test)

10- Tasarım garantisi (design assurance)

11- Diger saldırıların azaltıması (mitigation of other attacks)

6-     TS ISO/IEC 25051 Bilgi Teknolojileri Yazılım Paketleri Kalite Özellikleri ve Test Yönergesi

TSE; TS ISO IEC 12119 yerine geçen TS ISO IEC 25051 Satışa sunulan Yazılım Ürünlerinin Kalite Özellikleri ve Değerlendirmesi standardında da belgelendirme hizmeti vermektedir. Bu standart; metin işlemciler, hesap çizelgeleri, veri tabanı programları, grafik paketleri, teknik veya bilimsel fonksiyonlara ait programlar ve yardımcı programlar gibi yazılım paketlerine uygulanabilir.

TS ISO IEC 25051;

− Satışa sunulan yazılım paketlerinin kalite gereksinimlerini,

− Bu paketlerin test dokümanlarının ne tür özelliklere sahip olması gerektiğini,

− Yazılım paketlerinin uyumluluk değerlendirmeleri için gerekli talimatları açıklar.

TS ISO IEC 25051 yazılım paketlerinin kendi üretim süreçlerini ya da tedarikçi firmaların kalite sistem gereksinimlerini kapsamaz.

 

kaynak :TSE

SPICE/YAZILIM SÜREÇ İYİLEŞTİRME, YETERLİLİK BELİRLEME ve ORGANİZASYONEL OLGUNLUK (TS ISO/IEC 15504)

SPICE modelinin amacı farklı yazılım süreç değerlendirme model ve yöntemleri için ortak bir ana prensip sağlamaktır. Böylece değerlendirmelerin sonuçlarının ortak bir bağlamda rapor edilmesi sağlanır.

Referans model iyi yazılım mühendisliği için gerekli olan temel hedefleri üst seviyede tarif eder ve yazılımı elde etme, sağlama, geliştirme, işletme, tekamül ettirme ve destek  yeterliliği oluşturmayı isteyen her yazılım kuruluşuna uygulanır. Model, belirli bir kuruluş  yapısı, yönetim felsefesi, yazılım yaşam döngüsü modeli, yazılım teknolojisi ya da geliştirme metodolojisini temel almaz. Bu referans modelin mimarisi, süreçleri yazılım personelinin yazılım süreçleri yönetiminin sürekli iyileştirmesi için anlaması ve kullanmasına yardımcı olacak şekilde düzenler.

SPICE Standart Hakkında

  • Süreç Yeterlilik Seviyeleri

    0 – Eksik düzey (incomplete)1 – Yapılan düzey (performed)

    2 – Yönetilen düzey (managed)

    3 – Kurumsallaşmış düzey (established)

    4 – Kestirilebilen, ölçülen düzey (predictable)

    5 – Sürekli iyileşen düzey (optimizing)

  • Değerlendirilen Süreç Grupları

    Kategori Süreç Grupları Amaç
    TEMEL Yaşam Döngüsü Süreçleri Satınalma süreç grubu (Acquisition Process Group-ACQ) Bu grup, müşterinin bir ürün ya da bir servis satınalmak amacıyla yürüttüğü süreçleri(faaliyetleri) tanımlar.
    Tedarik süreç grubu (Supply Process Group-SPL) Bu grup, satıcının ya da bayinin bir ürün ya da servisi tedarik edip, bunu müşteriye ulaştırma aşamalarında yaşanan süreçleri tanımlar.
    Mühendislik süreç grubu (Engineering Process Group-ENG) Bu grup, müşterinin üründe görmek istediği gereksinimleri tespit etmek ve yönetmek, bunu ayrıntılı bir şekilde tanımlayıp geliştirmek, ve yazılım ürünü ile ürün-sistem ilişkisinin devamını sağlamak amacıyla yürütülen faaliyetleri tanımlar.
    Operasyonel süreç grubu (Operation Process Group-OPE) Bu grup, ürün ya da servisin doğru bir şekilde kullanılması amacıyla yürütülen süreçleri tanımlar.
    DESTEKLEYİCİ Yaşam Döngüsü Süreçleri Destek süreç grubu (Support Process Group-SUP) Bu grup, bir yazılım projesinin bütününü oluşturan, ve projenin başarı ve kalitesine katkıda bulunan farklı süreçlerin birbirlerine nasıl destek vereceğini tanımlayan süreçlerden oluşur. Bir destek süreci gerekirse başka bir süreç tarafından yönetilip işletilebilir.
    KURUMSAL Yaşam Döngüsü Süreçleri Proje yönetim süreç grubu (Management Process Group-MAN) Bu grup, herhangi bir yazılım projesini ya da projenin belirli bir sürecini yöneten herhangi biri tarafından kullanılabilecek uygulamaları içeren süreçlerden oluşur.
    Süreç geliştirme süreç grubu (Process Improvement Process Group-PIM) Bu grup, kurumsal bir birim içinde kullanılan süreçlerin tanımlanması, hayata geçirilmesi, denetlenmesi ve geliştirilmesi amacıyla yürütülen süreçlerden oluşur.
    Kaynak ve altyapı süreç grubu (Resource and Infrastructure Process Group-RIN) Bu grup, kurumsal bir birim tarafından yürütülen herhangi bir sürec için yeteri kadar insan kaynağının sağlanması ve gerekli altyapının oluşturulması amacıyla gerçekleştirilen faaliyetlerden oluşur.
    Tekrar kullanım süreç grubu (Reuse Process Group-REU) Bu grup, kurumların yeniden kullanım programları dahilinde tekrar kullanım seçeneklerinden sistemli bir şekilde faydalanma amacıyla yürütlen süreçlerden oluşur.
  • Değerlendirilen Süreçler

  • TEMEL Yaşam Döngüsü Süreçleri
    Satınalma Süreç Grubu (ACQ)
    ACQ.1 Kazanç hazırlama
    ACQ.2 Tedarikçi Seçimi
    ACQ.3 Sözleşme Anlaşması
    ACQ.4 Tedarikçi İzleme
    ACQ.5 Müşteri Kabulü
    ACQ.11 Teknik gereklilikler
    ACQ.12 Yasal ve idari gereklilikler
    ACQ.13 Proje gereklilikleri
    ACQ.14 Teklifler için İstek
    ACQ.15 Tedarikçi özellikleri
    Tedarik Süreç Grubu (SPL)
    SPL.1 Tedarikçi ihalesi
    SPL.2 Ürünün piyasaya çıkması
    SPL.3 Ürün kabul desteği
    Mühendislik Süreç Grubu (ENG)
    ENG.1 Gerekliliklerin sağlanması
    ENG.2 Sistem gereklilikleri analizi
    ENG.3 Sistem mimari tasarımı
    ENG.4 Yazılım gereklilikleri analizi
    ENG.5 Yazılım tasarımı
    ENG.6 Yazılım kurulumu
    ENG.7 Yazılım entegrasyonu
    ENG.8 Yazılım testi
    ENG.9 Sistem entegrasyonu
    ENG.10 Sistem testi
    ENG.11 Yazılım kurulumu
    ENG.12 Yazılım ve sistem bakımı
    Operasyonel Süreci Grubu (OPE)
    OPE.1 İşletimsel kullanım
    OPE.2 Müşteri desteği
    DESTEKLEYİCİ Yaşam Döngüsü Süreçleri
    Destek Süreç Grubu (DSG)
    DSG.1 Kalite güvencesi
    DSG.2 Doğrulama
    DSG.3 Onaylama
    DSG.4 Ortak Değerlendirme
    DSG.5 Denetleme
    DSG.6 Ürün değerlendirme
    DSG.7 Belgeleme
    DSG.8 Yapılandırma yönetimi
    DSG.9 Problem çözüm yönetimi
    DSG.10 Değişim isteği yönetimi
    KURUMSAL Yaşam Döngüsü Süreçleri
    Yönetim Süreci Grubu (MAN)
    MAN.1 Organizasyonel düzenleme
    MAN.2 Organizasyonel işletme
    MAN.3 Proje yönetimi
    MAN.4 Kalite yönetimi
    MAN.5 Risk yönetimi
    MAN.6 Ölçüm
    Süreç Geliştirme Süreç Grubu (PIM)
    PIM.1 Süreç kurulumu
    PIM.2 Süreç değerlendirmesi
    PIM.3 Süreç geliştirme
    Kaynak ve Altyapı Süreci Grubu (RIN)
    RIN.1 İnsan Kaynakları Yönetimi
    RIN.2 Eğitim
    RIN.3 Bilgi Yönetimi
    RIN.4 Altyapı
    Yeniden kullanım Süreci Grubu (REU)
    REU.1 Varlık yönetimi
    REU.2 Yeniden kullanım program işletmesi
    REU.3 Alan mühendisliği

    kaynak :TSE

ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?

ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?
ISO 27001:2005 ve ISO 27002:2005 Bilgi Güvenliği Yönetim Sistemi Standartlarının 2013 yılı başlarında yeni versiyonları draft olarak yayımlanmıştı. Bu yazıda ISO 27001 ve ISO 27002 standartlarında öngörülen değişikliklerin bir karşılaştırması yapılmıştır.

1.    ISO 27001:2013 VS. ISO 27001:2005

Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS))’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.

Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor.

1.1.     ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?

Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.

1.1.1.    Yapıya Genel Bir Bakış

ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır.

Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır:

tablo-1.png

Tablo 1

Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.

1.1.2.    İlgili Taraflar

Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde; “Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor”.

1.1.3.    Risk Değerlendirme ve İyileştirme

Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumdadır.

Yeni standardın ilgili maddesi şu şekildedir;

Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS (ISO 27001:2013, madde 6.1.2; d.1).

Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.

Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.

1.1.4.    Düzeltici ve Önleyici Faaliyetler

İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumdadır.

Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki  ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.

1.1.5.    İletişim

Bilgi güvenliğinin sağlanması için gerekli olan iletişim konusu ile ilgili olarak yeni bir madde eklendiği görülüyor.

Bu madde uyarınca; kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor (Madde 7.4).

1.1.6.    Dokümante Edilmiş Bilgi

Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ın her ikisi içinde geçerli olacağı görülüyor.

4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.

Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifade edilecek olunursa, düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunludur.

1.1.7.    Hedefler, İzleme ve Ölçme

Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağını açıklayacak şekilde olması gerekiyor.

2.    ISO 27001:2013 VS. ISO 27001:2005

ISO 27001 standardının EK-A’ sında yer alan kontroller ile ilgili yayımlanmış standart olan IS0 27002 standardı 2013 yılında yenilenerek taslak olarak yayımlandı. Şu an taslak halinde yayımlanan yeni ISO 27002 standardının ise 2013 yılının ikinci yarısında yayımlanması bekleniyor.

Yeni IS0 27002 standardıyla, ISO 27002:2005 standardını yapısal olarak karşılaştıracak olursak,

Kontrollerin Sayısı: Kontrollerin sayısının yeni standartta 133’ten 113’e düşürüldüğü görülüyor.

Bölümlerin Sayısı: Kontrollerin sayısında öngörülen azalmaya rağmen bölüm sayısının 11’den 14’e çıkarıldığı görülüyor.

2.1.    ISO 27002:2013 Bölümlerin Yapısı

Yeni standarda göz atacak olursak, Kriptografi ayrı bir bölüm haline getirilmiştir (Bölüm 10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (Bölüm 15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (Bölüm 12) ve iletişim güvenliği (Bölüm 13). Öngörülen yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir:

tablo-2.png

Tablo 2

2.2.    Güvenlik Kategorilerinin Yerleştirilmesi

  • Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (Bölüm 6) altında 6.2 inci kısım olarak yer almaktadır.
  • Ortam işleme, daha önce iletişim ve operasyon yönetimi altındayken şimdi varlık yönetimi (Bölüm 8) altında 8.3 üncü kısım olarak yer almaktadır.
  • İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve erişim kontrolü (Bölüm 9) altında 9.4 üncü kısım olarak kalmıştır.
  • Operasyonel yazılım kontrolü, daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  • Bilgi sistemleri denetim hususları, uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  • Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (Bölüm 13) altına taşınmıştır.
  • Bilgi değişimi, iletişim güvenliğinin (Bölüm 13) altında 13.2 inci kısım olarak yer almıştır.
  • Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırılmıştır. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  • Elektronik ticaret hizmetleri, ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirilmiştir (14.1).
  • Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirilmiştir. İş sürekliliği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felaketten kurtarma ile ilgilidir.

2.3.    Yeni Kontroller

14.2.1– Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar

14.2.5– Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri

14.2.6– Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması

14.2.8– Sistem güvenliği testi- Güvenlik fonksiyonları testleri

16.1.4– Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası

17.2.1– Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

2.4.    Çıkartılan Kontroller

6.2.2– Müşterilerle ilgilenirken güvenliği ifade etme

10.4.2– Mobil koda karşı kontroller

10.7.3– Bilgi işleme prosedürleri

10.7.4– Sistem dokümantasyonu güvenliği

10.8.5– İş bilgi sistemleri

10.9.3– Herkese açık bilgi

11.4.2– Dış bağlantılar için kullanıcı kimlik doğrulama

11.4.3– Ağlarda teçhizat tanımlama

11.4.4– Uzak tanı ve yapılandırma portu koruma

11.4.6– Ağ bağlantı kontrolü

11.4.7– Ağ yönlendirme kontrolü

12.2.1– Giriş verisi geçerleme

12.2.2– İç işleme kontrolü

12.2.3– Mesaj bütünlüğü

12.2.4– Çıkış verisi geçerleme

11.5.5– Oturum zaman aşımı

11.5.6– Bağlantı süresinin sınırlandırılması

11.6.2– Hassas sistem yalıtımı

12.5.4– Bilgi sızması

14.1.2– İş sürekliliği ve risk değerlendirme

14.1.3– Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme

14.1.4– İş sürekliliği planlama çerçevesi

15.1.5– Bilgi işleme olanaklarının kötüye kullanımını önleme

15.3.2– Bilgi sistemleri denetim araçlarının korunması

Sonuç

ISO 27001:2013’te öngörülen değişikliklerin temel olarak ilgili taraflar, risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme başlıkları ile ilgili olduğu görülmektedir.

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni ISO 27001 EK-A’sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değildir. Değişikliklerin çoğu aslında mevcut ISO 27002’nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik öngörülüyor.

Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.

Kaynaklar

1.    ISO/IEC 27002: 2005, Information technology — Security techniques — Code of practice for information security management,

2.    ISO/IEC 27001: 2005, Information technology — Security techniques — Information security management systems — Requirements

3.    Draft Version of ISO/IEC 27002: 2013

4.    Draft Version of ISO/IEC 27001: 2013

https://www.bilgiguvenligi.gov.tr

Ulusal Siber ve Güvenlik Stratejisi 2013 -2014 Eylem Planı

Ulaştırma, Denizcilik ve Haberleşme Bakanlığı siber saldırıları önleme ve müdahale etme konusunda attığı adımları sıklaştırdı. Bakanlık siber saldırılara karşı alınacak önlem ve altyapı geliştirmelerini içeren Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nı yayınladı.

Siber güvenlikle ilgili alınacak önlem kararlarını belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını sağlamak amacıyla bakanlık ve kamu kurumlarının üst düzey yöneticilerinden oluşan bir Siber Güvenlik Kurulu’nun oluşturulması kararı, Bakanlar Kurulu’nca geçtiğimiz yılın sonlarında onaylanmıştı. Bu çerçevede siber güvenliğin sağlanmasına ilişkin politika, strateji ve eylem planını belirleme yetkisi de Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’na verilmişti. Bakanlığın siber güvenlik eylem planı bugünkü Resmi Gazete‘de yer buldu.

Rapor halinde sunulan eylem planında Türkiye’nin siber güvenlik konusunda 2013′ün geri kalan döneminde ve önümüzdeki yıl nasıl bir stratejik yol izleyeceği açıklanıyor. Raporda bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetlerinin, bu sistemlerin hizmet dışı kalmasına ve kötüye kullanılmasına, can kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına ve/veya ulusal güvenliğin ihlaline neden olabildiğinin altı çiziliyor.

Siber güvenliğin sağlanması adına atılacak adımların “Stratejik Güvenlik Eylemleri” başlığı altında ifade edildiği raporda, yakın süreçte yasal düzenlemeler, adli süreçte yardımcı olacak çalışmaların yürütülmesi, ulusal siber olaylara müdahale organizasyonunun oluşturulması konusuna öncelik verileceği belirtiliyor.

Bunlarla birlikte eylem planına göre Türkiye’yi etkileyebilecek tehditlere karşı 7/24 müdahale edecek Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile USOM’un koordinasyonunda çalışacak sektörel Siber Olaylara Müdahale Ekipleri (SOME) oluşturulacak. Plan doğrultusunda siber güvenlik altyapısının güçlendirilmesi için kurumlar yönelik altyapı projeleri gerçekleştirilecek ve bu alanda istihdam edilecek insan kaynağı oluşturulması için de düzenlemeler yapılacak.

Diğer yandan alınan önlemlerin ve altyapı çalışmalarını test etmek amacıyla Türkiye’nin önderliğinde Uluslararası Siber Güvenlik Tatbikatı da düzenlenecek. 2014′ün Mayıs ayında yapılacak tatbikatın yanı sıra Türk Dil Kurumu tarafından siber güvenlik terimleri sözlüğü oluşturulacak.