ISO 27019:2013 Enerji Altyapıları – Bilgi Güvenliği Standardı

27001ISO 27019:2013 Enerji Altyapıları – Bilgi Güvenliği Standardı

Bilgi Güvenliği konusu, mevzuat ve içerik itibariyle hemen hemen tüm sektörlerde üretilen bilginin güvenliğini sağlamaya yönelik  uygulamalar getirmiştir. Bu husus ISO tarafından yayımlanan ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ile dünya çapında ISO ya üye ülkeler tarafından kullanılarak ivme kazanmıştır. Bu standardın uygulamasının yapılabilmesi içinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Uygulama Rehberi yayımlamıştır. ISO’da 27000 ailesini çalışan çalışma grupları tarafından bazı sektörlerin hassasiyetlerine göre bilgi güvenliği çatısından kopmadan, o sektöre özel kontrol maddeleri eklemek suretiyle yeni standart yada uygulama rehberleri yayımlamıştır.

Örnek vermek gerekirse :

ISO/IEC 27011:2008 – Bilgi teknolojisi – Güvenlik teknikleri – ISO / IEC 27002 dayalı telekomünikasyon kuruluşlar için bilgi güvenliği yönetim kuralları içerir.

ISO 27799:2008 – ISO/IEC 27002 Kullanılarak Sağlık Sektöründe Bilgi Güvenliğinin Sağlanması ile ilgili bilgileri içerir.

bu makaleye konu mevzuat ise,

ISO/IEC 27019:2013 – Bilgi teknolojisi – Güvenlik teknikleri – Enerji sektöründe özel proses kontrol sistemleri için ISO/IEC 27002 dayalı güvenlik yönetimi kurallarına ait bilgileri içerir.

Önemli Not : bu rehberler tek başına sistem olarak kurulamaz. Bilgi Güvenliği çalışacak kurum ve kuruluşlar öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı gerekliliklerine göre yönetim sistemlerini kuracaktır. Kendi sektörlerine özel yayımlanmış rehberlerden destek alacaktır.

ISO’nun Bilgi Güvenliği Standartları ve ve uygulama rehberleri tarafından durumu bu şekilde açıkladıktan sonra gelelim bu standardın detaylarına.

Energy-security_banner-678x381EPDK (Enerji Piyasaları Denetleme Kurumu) tarafından Enerji sektöründe faaliyet gösteren kurum ve kuruluşların artan bilgi güvenliği ihtiyaçlarına dikkat çekebilmek maksadıyla çeşitli dönemlerde bu hususta bazı yönetmelik değişiklikleri yaparak konuya dikkat çekmiştir.

EPDK, Aralık 2014 tarihinde bilgi güvenliğine dönük gereksinimleri göz önünde  bulundurarak aşağıda belirtilen üç yönetmeliği güncellemiş ve lisans sahiplerine bilişim sistemleri güvenliğini sağlama doğrultusunda yükümlülükler vermiştir.

Bu kapsamda,
1. Elektrik Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik
2. Doğal Gaz Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik 
3. Petrol Piyasası Lisans Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelik,
26 Aralık 2014 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.  Yönetmeliklerle bilgi güvenliği kapsamında yükümlülüğe tabi olan kurumlar şunlardır:

1. Elektrik piyasasında,
a. OSB (Organize Sanayi Bölgesi) üretim lisansı sahipleri hariç olmak üzere, kurulu
gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri,
b. İletim lisansı sahibi,
c. Piyasa işletim lisansı sahibi,
d. OSB dağıtım lisansı sahipleri hariç olmaküzere dağıtım lisansı sahipleri (elektrik
dağıtım şirketleri)

2. Doğal gaz piyasasında,
a. İletim lisansı sahibi şirketler,
b. Sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisansı sahibi şirketler

3. Petrol piyasasında,
a. Rafinerici lisansı sahipleri

Tüm bu kurumlara, aşağıdaki yükümlülük getirilmiştir:

Üretim Lisansı sahipleri için ilgili madde:

f) Geçici kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak,

ifadesi eklenmiştir.

böylece yukarıda bahsi geçen enerji dağıtım işi ile uğraşan kurum ve kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun hale gelmeleri yeterli gelmeyip aynı zamanda ISO 27019 rehberinde yer alan sektöre has kontrol maddelerini de titizlikle çalışmaları gerekmektedir.

Peki ISO 27019 Sektöre Özel Gelen Maddeler Nelerdir.

ISO 27019:2013 standardına ISO 27002:2005’e ek yeni maddeler eklendiğini görüyoruz. 4 ana ve 11 alt başlıklarla birlikte 15 yeni maddeye ilişkin liste aşağıdaki gibidir.

  • Madde 9.1.7 Kontrol odaları güvenliği (Securing control centers)
  • Madde 9.1.8 Teçhizat odalarının güvenliği (Securing equipment rooms)
  • Madde 9.1.9 Uç işletmelerin güvenliği (Securing peripheral sites)
  • Madde 9.3 Üçüncü taraf lokasyonlarda güvenlik (Security in premises of 3rd parties)
  • Madde 9.3.1 Tesis bünyesinde bulunmayan teçhizat (Equipment sited on the premises of other energy utility organizations)
  • Madde 9.3.2 Müşteri lokasyonundaki teçhizat (Equipment sited on customer’s premises)
  • Madde 9.3.3 Bağlantılı kontrol ve iletişim sistemleri (Interconnected control and communication systems)
  • Madde 10.6.3 Kontrol sistemi verilerinin güvenliği (Securing process control data communication)
  • Madde 10.11 Güncel olmayan sistemler (Legacy systems)
  • Madde 10.11.1 Güncel olmayan sistemlerin iyileştirilmesi (Treatment of legacy systems)
  • Madde 10.12 Emniyet fonksiyonları (Safety functions)
  • Madde 10.12.1 Emniyet fonksiyonlarının erişebilirliği ve bütünlüğü (Integrity and availability of safety functions)
  • Madde 11.4.8 Kontrol sistemlerinin mantıksal harici bağlantıları (Logical coupling of external process control systems)
  • Madde 14.2 Gerekli acil iletişim servisleri (Essential emergency services)
  • Madde 14.2.1 Acil iletişim (Emergency communication)

Sonuç olarak;

27002 standardında bulunmayıp enerji sektörüne özel uygulama kılavuzu 27019’da yer alan önlemler gözden geçirildiğinde, şu konularda hassasiyet gösterildiği
gözlenmektedir:
a. Sistem kontrol merkezlerinde yaşanabilecek aksaklıkların neden olabileceği geniş kapsamlı etkiler göz önünde bulundurularak, kontrol merkezlerinin, merkezlerde kritik
cihazların bulunduğu odaların ve kontrol merkezlerine ev sahipliği yapan tesislerin fiziksel ve çevresel güvenliğinin sağlanması.

b. Enerji sektörünün (üretim, iletim, dağıtım vb.) çok katmanlı, kurumlararası etkileşimli yapısı göz önünde bulundurularak, paydaş kurumların ve müşterilerin tesislerinde
yer alan sistem bileşenlerinin güvenliğinin sağlanması, kontrol ve iletişim sistemleri arasındaki bağlantıların yönetilmesi, izlenmesi ve gerektiğinde paydaşların sistemlerinden ayrılmak üzere tedbirler alınması.

c. Özellikle geniş alanlara yayılan dağıtım ve iletim sistemlerinde söz konusu olabilecek riskler göz önünde bulundurularak, süreç kontrol verisinin gizlilik, bütünlük ve
sürekliliğinin güvence altına alınması.

d. Kurumsal bilişim sistemlerinden çok daha uzun süre hizmet veren ve güvenlik işlevlerinden yoksun olabilen Endüstriyel Kontrol Sistemlerin’den kaynaklanan risklerden korunma.

e. Kurum içinden ve paydaş kurumlardan afet ve acil durumlarda iletişim halinde kalınması gereken personel ile ve vazgeçilmez kontrol sistemleri ile muhaberenin sürdürülmesini ve olağanüstü durumun atlatılmasını güvence altına alacak
planlamanın yapılması, önlemlerin alınması. 27019 standardında yukardaki konuların herbiri ile ilgili  olarak son derece somut öneriler bulunmaktadır.
27011 standardının da benzer başlıklara yoğunlaştığı görülmektedir. İlave olarak SPAM (yığın E-posta) ve DoS (servis dışı bırakma) saldırılarına dikkat çekilmekte ve bu
bağlamda alınabilecek önlemlerden bahsedilmektedir. Standartlarda dile getirilen risklerin tamamı, Türkiye için de söz konusu olan risklerdir. Şöyle ki, kritik enerji altyapıları her tür fiziksel ve çevresel riskle karşı karşıyadır. Türkiye, geniş
bir coğrafyaya yayılmış olması dolayısı ile enerji altyapıları geniş alan ağları ile haberleşmektedir. Enerji altyapılarında miyadı dolmuş kontrol sistemleri ile karşılaşmak sürpriz olmamaktadır.

Afet ve acil durumlar Türkiye’de gündelik yaşamın ayrılmaz, nerede ise kanıksanmış parçası haline gelmiştir. Her tür bilgi sistemine SPAM ve Dos saldırıları yapılmaya devam etmektedir. Dolayısı ile standartlarda dile getirilen önerilerin yurdumuz için de gerekli ve geçerli olduğu, Kritik Enerji Altyapısı işleten kuruluşlar tarafından gözden
geçirilmelerinin son derece faydalı olacağı kesindir.

Faruk Çalıkuşu
Kıdemli Danışman

Kaynak :http://www.iscturkey.org , https://www.biznet.com.tr/enerji-altyapilari-icin-iso-270192013-standardi/
Reklamlar

ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Mu Çıktı ?

tseBilindiği üzere ISO 27001; Bilgi Güvenliği Yönetim Sistemi Standardı olarak bilinmektedir.  Yönetim Sistemi Standartları dünya üzerinde ISO  Uluslararası Standartlar Örgütü  (International Standards of Organisations) tarafından planlanmakta ve yayımlanmaktadır.

Ülkemizde de ISO standartları TSE (Türk Standartları Enstitüsü) tarafından TS (Türkturkak-logo (1) Standardı olarak kabul eder. Orjinal dilinde ingilizce olarak yayınlanan standardı Türkçe’ye çevirme işini gerçekleştirir ve satışa sunar. Ülkemizdeki ISO tarafından yayınlanmış ve TSE tarafından benimsenerek satışa sunulmuş standartların kurum ve kuruluşlarda kurulumu tamamlandıktan sonra Akredite olmuş (TÜRKAK – Türk Akreditasyon Kurumu) firmalar tarafından belgelendirme işlemleri tamamlanır.

ISO 27001 ülkemizde son olarak 2013 yılında  TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı olarak kabul edilmiş ve yürürlüktedir. ISO 27001:2013 versiyonu ile ilgili detaylı bilgiye erişmek için lütfen TIKLAYINIZ.

ISO zaman zaman ülkelerden gelen istekler ve talepler doğrultusunda standartlarda revizyonlar yada değişiklikler yapabilir.

27001Son olarak ISO / IEC 27001:2017 CEN/CENELEC ( Comite Europeen de Normalisation / Comite Europeen de Normalisation Electrotechnique – Avrupa Standartlaştırma Komitesi / Avrupa Elektroteknik Standartlaştırma Komitesi); 34 ülkenin (Ayrıntılı bilgi için tıklayınız lütfen) standartlaştırma örgütlerinin ve elektroteknik komitelerinin bir araya geldikleri bir birliktir.
CEN’in amacı uyumlu bir Avrupa pazarı yaratmak için telekomünikasyon (ETSI) ve elektroteknik (CENELEC) alanının dışında kalan bütün teknik sektörler için standartlar üretmektir.)  tarafından onaylanarak yeni bir Avrupa sürümü olarak 2016 yılından itibaren duyurulmuştur.

Yapılan bu düzenlemede Standart üzerinde iki maddede değişiklik yapılmıştır. Standart maddelerinden 6.1.3 ile Standardın EK A Kontrol Maddelerinden 8.1’de değişiklik yapılmıştır.

Ülkemiz CEN/CENELEC birliğinin üyesidir. Bu bağlamda TSE standardı benimsemiş ve ingilizce orjinal dilinde satışa sunmuştur. Henüz standardın Türkçe tercümesi yapılmamıştır.

Peki bundan sonra ne olacak ??

1- Türkak henüz yeni versiyondan akreditasyon değişlikliği yapmamıştır.

2- Daha önce 2013 versiyonundan alınmış sertifikalar hala geçerliliğini korumaktadır.

3- Yeni sertifika alacak olan kurum yada kuruluşlar 2013 versiyonundan yönetim sistemini kurmaya ve 2013 versiyonu üzerinden sertifika alabileceklerdir.

4- Yeni versiyondan sertifika almak isteyen kuruluşlar talep halinde 2017 versiyonu üzerinde sertifika alabileceklerdir.

Saygılarımla
Faruk Çalıkuşu
Kıdemli Danışman

Kişisel Verilerin Korunması Mümkün Mü ?

data_165879647-thumb-380xauto-3949

24.03.2016 tarih ve 6698 kanun numarasıyla “Kişisel Verilerin Korunması Kanunu” yayımlandı. Artık kanun da çıktığına göre kişisel verilerimiz güvendemi sorusu insanın aklına gelmiyor değil ?

Bu soruya sağlıklı bir cevap verebilmek için öncelikle “Kişisel Veri” nedir bunu tanımlamak gerek. TBMM  117 sıra sayılı Kişisel Verilerin Korunması Tasarısı ve Adalet Komisyonu raporunda  şu şekilde ifade edilmiştir.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Tanımdan da anlaşılacağı üzere kişinin kendisi ile ilişkilendirebileceğimiz her türlü veri kişisel veri olarak tanımlamak mümkün. T.C. Kimlik numaramız, telefon numaramız hemen hemen her gün bir yerlere verdiğimiz bilgilerin başında gelmektedir. Telefonlarımıza her gün – en azından benim telefonuma 🙂 –  daha önce hiç alışveriş yapmadığım yada tanımadığım bir yerden reklam mesajı gelmektedir. Eeee tanımıyoruz, tanımadığım yerden geliyor. Kanun da çıktı…

Gerek kamu kurumlarımız olsun gerekse özel şirketler olsun  vatandaşın kişisel verileriyle doludur. Kanun dediğimiz husus kural koyar ve çerçeveyi çizer. 6698 Kişisel Verilen Korunması Kanunu da aynı şekilde kuralları belirledi ve çerçeveyi çiziyor. Gerisi …!!!  gerisi bilinçli vatandaş ve sorumluluğunu bilen yöneticilere kalıyor.

Kanun ne diyor ???

MADDE 3- (1) Bu Kanunun uygulanmasında;

  1. a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  2. b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Kanunun 3. maddesinin 1.a) bendinde Açık Rıza kavramından bahsediyor. Nedir açık rıza ? Sizin kendi isteğiniz ve onayınızla size ait olan bilgilerin ve verilerin kullanılması durumudur. Örneğin sizin sağlık verileriniz, size ait olan tüm veriler. Eğer kendi rızanızla bu verilerin kullanılmasını isterseniz bu veriler açık bir şekilde yine kanunun 4. Maddesinde belirtilen hususlar çerçevesinde kullanılacaktır.

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

yine 3. maddede ifade edilen başka bir kavram ise Anonim Hale Getirme  kavramıdır. Sizi açıkça ifade etmeyecek verilerdir. Örneğin Kastamonu ili Tosya ilçesinde yaşayan 90 yaş üstü erkek sayısı yada 90 yaş üzeri bakıma muhtaç olan kişi sayısı gibi. Bakanlıklar genelde çalışma alanlarına göre çeşitli konularda vizyon belirleme, politika geliştirme gibi konular için bu tarz istatistikleri sıkça kullanmaktadır.

T.C. Sağlık Bakanlığı Kamu Hastaneleri Kurumu tarafından http://rapor.saglik.gov.tr/istatistik/rapor/index.php hazırlamış olduğu bu web sitesi kişisel verilerin anonim hale getirilmesi ile ilgili güzel bir çalışmadır. Göreceğiniz üzere verilen istatistiklerden herhangi bir kişi verisi mevcut değildir.

Kanunda;

  • Kişisel verilerin işlenme şartları
  • Özel nitelikli kişisel verilerin işlenme şartları
  • Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
  • Kişisel verilerin aktarılması
  • Kişisel verilerin yurt dışına aktarılması
  • Veri sorumlusunun aydınlatma yükümlülüğü
  • İlgili kişinin hakları (Kişisel Verinin Sahibinin Hakları)
  • Veri güvenliğine ilişkin yükümlülükler
  • Başvuru, Şikâyet ve Veri Sorumluları Sicili
  • Suçlar ve Kabahatler

konulara değinilmiştir.

İnternet ortamında size ait bir veri olduğunu düşündüğünüz bir durumda ( sosyal medyada paylaşılmış bir fotograf, size ait bir bilgi, veri vs .) kanunun 11. maddesinde tanımlanmıştır.

MADDE 11 – (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,27
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

bu çerçevede ilgili web sitesinin yetkililerine ulaşıp yukarıdaki haklarınız doğrultusunda taleplerinizi iletebilirsiniz. Bu adımı izlediniz ve hala sonuç alamadıysanız o halde kanunun 13., 14. ve 15. Maddeleri devreye giriyor. Ne mi onları ??? işte buyrun.

DÖRDÜNCÜ BÖLÜM
Başvuru, Şikâyet ve Veri Sorumluları Sicili

Veri sorumlusuna başvuru
MADDE 13 – (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Kurula şikâyet
MADDE 14 – (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15 – (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

Peki, sizin açık izniniz olmadan size ait bir verinin paylaşıldığını düşündünüz ve yukarıdaki adımları işlettiniz. Sonuç ne olur dersiniz. Yani kanuna uygun olmayan bir kullanım karşısında, kullananlar bu durumda cezai olarak ne gibi yaptırımlarla karşı karşıya kalırlar.

kanunun 5. Bölümünde 16. ve 17. Maddelerde Suç ve Kabahatler başlığında konuya açıklık getirmiştir.

BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler

Suçlar
MADDE 17 – (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.

5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri

Kişisel verilerin kaydedilmesi
Madde 135 – (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136 – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Nitelikli haller
Madde 137 – (1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

işlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

Şikayet
Madde 139 – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.

Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.”

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

5237 sayılı Kanunun 138 inci maddesi

Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”

Kabahatler 
MADDE 18 – (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.32

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

şeklinde ifade edilmiştir.

Son olarak,

Vatandaş olarak kanun koyucu kuralları koymuş ve anlaşılacağı üzere açıkça da tanımlamıştır. Tüm kamu ve özel kurumların artık bu çerçevede gerekli tedbirleri alma ve uygulama zorunluluğu doğmuştur. Bu doğrultuda kurumların kişisel verileri sakladıkları, işledikleri, transfer ettikleri tüm bilişim altyapılarını gözden geçirme ve gerekli düzenlemeleri yapmaları gerekmektedir.

Nedir bu düzenlemeler ???

Konuyla yakından ilişkili iki tane standarttan bahsetmek mümkün,

1- TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı

2- BS 10012 Veri koruma, Kişisel Bilgi Yönetimi Sistemi Standardı’dır.

bu standartlar ne işe yarar, kişisel verilen daha güvenli hale nasıl getirmek gerekir, bu konularada bir sonraki makalemde anlatmaya çalışacağım..

Eeeee Kişisel Verilerimiz Güvendemi ? Hayırlı olsun kanunumuz var artık 🙂

2015 yılının en kötü Şifreleri belirlendi & Güvenli Şifre Oluşturma

73432fa0d88870d0c5843d9fa114f9dd_k

SplashData, 2015 yılının en kötü şifrelerini açıkladı. 2 milyon çalınan şifre arasında en çok kullanılan şifreler belirlendi.

ŞİFRE

GÜVENLİ ŞİFRE NASIL OLUŞTURULMALI

Telekomünikasyon sisteminin hayatımıza girmesi sebebiyle bilgisayar, tablet, akıllı telefonlar hayatımızın bir parçası haline geldi. Bu durum internet servis sağlayıcıların hizmet standartlarını ve hizmetlerini artırması da tetikledi. Artık Bankacılık hizmetlerinden tutunda sosyal medyaya varana kadar bir çok uygulama programı kullanıyoruz.

Her uygulamada ilk önce kayıt olmamız gerekiyor ve tabiki kullanıcı adı ve şifre belirlememiz beklenmektedir. Yetkisi olmayan kişilerin bizlerin kişisel hesaplarına ve bilgilerine erişim sağlayabilmesi belirlediğimiz şifreleri tahmin etmesinden geçmektedir.

Yukarıdaki görselde verildiği üzere kullanılan şifreler kolay tahmin edilebilen şifreler olduğu için bir çok kamu kurum ve kuruluşu ile kişisel hesaplar ele geçirilmektedir.

2012 Yılı Hack Olayları

hack

Görüldüğü gibi hacker (kötü niyetli kişi yada kişiler) pek de fazla uğraşmıyor. Çünkü şifreler çok basit oluşturuluyor.

NE YAPMAK LAZIM !!!

Elbette güvenli bir şifre oluşturmak lazım. Evet haklısınız bir sürü uygulama var ve bir sürü şifre oluşturuyoruz. Hem deniyor ki aman şifrenizi oluştururken küçük harf olsun yok 8 karakter olsun yok sayı olsun yok semboller olsun yok büyük harf olsun hemde bir yere not etmeyin kimseye de söylemeyin 🙂  Eeeee kim aklında tutacak bunları.  Bence de zor iş.

Güvenlik uzmanları yada geliştirilen sistem bize karmaşık şifre oluşturmamız gerektiğini söyler hep ama bunun mantıklı bir şekilde nasıl yöneteceğimizi kimse söylemez.

Buradaki sıkıntı şu, oluşturulan şifreleri belirli bir mantık sırasına göre oluşturursak hem kurallara uygun güçlü bir şifre oluşturmuş oluruz hem de birbirinden farklı şifrelerimiz olur ve hiç birini de unutmak zorunda kalmayız.

yontem

Görselde ifade edildiği gibi hepimiz bu web sitelerinden birini yada bir kaçını her gün mutlaka kullanıyoruz.

Yöntem şu;

Bizden istenen şifre algoritması nedir ? Harf, Sayı ve semboller

bir kelime belirliyoruz örnek “Elma” birde sayı grubu örnek “6273” şimdi birde sembol örnek “*” (yıldız) olsun.   Nedir Durum Elma6273*   9 karakterden oluşan BÜYÜK harf küçük harf rakamlar ve sembolden oluşan bir şifre oluşturduk. Şifre oluşturma kriterlerine gayet uygun gibi görünüyor.

yukarıdaki görselde sık kullandığımız uygulamaların baş harfleri verilmiştir. G (Gmail), F (Facebook), İ (İş Bankası) gibi.

Peki ne yapıyoruz ? 

Bu uygulamaların baş harflerini belirlemiş olduğumuz 9 karakterli şifremizin herhangi bir yerine ekliyoruz. İster en başına ister ortasına isterseniz sonuna bunun kararını siz vereceksiniz.

Gmail şifremiz => ElmaG6273*          İş Bankası Şifremiz =>Elma62İ73*

Facebook şifremiz=>FElma6273*      E-Devlet Şifremiz=> Elma6373*E

 

Gördüğünüz gibi değerli takipçiler, hem güçlü bir şifre oluşturduk hemde birbirinden bağımsız oldu.  Önemli olan mantıklı bir sistematik çerçevesinde oluşturmaktır.

Sizde kendinize göre metotlar geliştirebilirsiniz.

E daha ne olsun 🙂

 

 

Kamu Kurumlarında PARDUS atağı


pardus  Pardus Nedir  ?
  Burdan Detaylı Bilgi Alabilirsiniz   Ayrıca Kendi Resmi Sitesinden de Bilgi Alabilirsiniz.

Bilindiği üzere  ülkemizde bilişim sektöründe kullanılan belli başlı işletim sistemleri var. Bunların   başını da Microsoft  işletim sistemleri çekiyor.

Microsoft işletim sistemleri de lisans maliyetlerinden dolayı ülkemizde lisanssız kullanım oldukça  yaygın olduğu görülmektedir. Bu oran Kamu kurumlarında daha fazla olduğu biliniyor.

Aşağıdaki grafikte görüldüğü üzere işletim sistemlerinin Haziran 2014 itibari ile kamuda kullanım durumunu vermektedir. 

kamuda işletim sistemi kullanım oranı

kamu kurumlarımızda milyonları bulan kullanıcı sayıları için ödenmesi gereken lisans ücretleri de yine milyonları $$ bulmaktadır.  Sermayenin dışarı çıkmaması için,  işletim sistemlerinin güvenlik endişeleri gibi konulardan dolayı TÜBİTAK tarafından başlatılan çalışmalar ile ulusal bir işletim sistemi yapılmak istenmiştir.  Günümüze baktığımızda pardus  işletim sistemi piyasasında henüz istediği noktada olmada başlangıç yapmıştır ve bundan sonrasında da grafiğini gün geçtikçe yükseltecektir.

Bu konunun ivme kazanabilmesi için devlet desteği şarttır. Ve devlet de gerekli desteği vermektedir. (8.06.2015 hürriyet)

Bilim, Sanayi ve Teknoloji Bakanı Fikri Işık, “Kamuda Açık Kaynak Kodlu Yazılımların Desteklenmesi” eylemi gereği, Teknolojik Araştırma Kurumu (TÜBİTAK) Ulusal Akademik Ağ ve Bilgi Merkezi (ULAKBİM) tarafından geliştirilen milli işletim sistemi PARDUS’un, kullanılması çalışmalarının başladığını belirterek, “PARDUS’un 2023’e kadar bir milyon 800 bin bilgisayarda daha kullanılmasını bekliyoruz ve böylece işletim sistemi ve diğer yazılım lisanslarından yıllık 2,2 milyar dolar kar etmeyi hedefliyoruz” dedi.

Işık, yaptığı açıklamada, PARDUS Projesinin 2003 yılında Başbakanlığın yönlendirmesi doğrultusunda, TÜBİTAK tarafından geliştirilmeye başlandığını hatırlattı.

PARDUS’u geliştirme çalışmaların halen TÜBİTAK ULAKBİM bünyesinde devam ettiğini belirten Işık, “62. Hükümet Programı doğrultusunda, Kalkınma Bakanlığı 2015-2018 Bilgi Stratejisi ve Eylem Planı bütünlüğünde bakanlığın öncü görevi kapsamında, ‘Kamuda Açık Kaynak Kodlu Yazılımların Desteklenmesi’ eylemi gereği, bilgi teknolojileri alanında açık kaynaklı yazılımların ve milli işletim sistemi? PARDUS’un kullanılması yönünde çalışmalara başlandı” diye konuştu.

Işık, bakanlığın gerçekleştireceği dönüşümle teknolojik olarak dışa bağımlılığı azaltmanın yanında, hizmet maliyetlerinin de düşürüleceğini ifade etti. Gelişmiş dünya devletlerinin, bilgi güvenliğini sağlamak ve siber saldırılardan korunmak amacıyla çeşitli milli sistemler geliştirdiğine işaret eden Işık, PARDUS’un, tüm bakanlık uygulamalarının üzerinde çalıştığı ortam olarak kritik öneme sahip olduğunu vurguladı.

“Vatandaşlarımız, PARDUS’u güvenle kullanabilir”

Açık kaynaklı olarak geliştirilen PARDUS’un esnek ve güvenli olduğunun altını çizen Işık, işletim sistemi içeriğinde kurumsal olarak ihtiyaç duyulan uygulama ve yönetsel işlevlerin eksiksiz olarak bulunduğuna dikkati çekti. İlk sürümü 2005’te yayınlanan PARDUS işletim sisteminin, kamuda yaklaşık 20 bin, ev ortamında ise 100 binden fazla cihazda kullanıldığını hatırlatan Işık, sistemin 2023’e kadar bir milyon 800 bin bilgisayarda daha kullanılmasını beklediklerini ve böylece işletim sistemi ve diğer yazılım lisanslarından yıllık 2,2 milyar dolar kar etmeyi hedeflediklerini kaydetti.

Bilgisayar kullanıcılarına, milli işletim sistemini PARDUS’u tercih etmeleri çağrısında bulunan Işık, şöyle konuştu:

“Bu dönüşümü başlatan bakanlığımız, merkez ve taşra teşkilatı ile lisans maliyetlerinde tasarruf sağlayacak ve 2015 yılı sonuna kadar 3 bin 500 kullanıcı bilgisayarlarını bu sisteme taşımış olacak. PARDUS’u bakanlığımızın yanında, Milli Savunma Bakanlığı, Adalet Bakanlığı, sağlık bakanlığı, Deniz Kuvvetleri Komutanlığı, Halk Sağlığı Müdürlükleri, Türkiye Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler Odaları Birliği, İstanbul Su ve Kanalizasyon İdaresi ve TÜBİTAK’ın da aralarında bulunduğu 20’den fazla bakanlık ve kurum kullanıyor. Bir çok kamu kurumunda yaygın olarak kullanılan PARDUS’u, vatandaşlarımız da güvenle kullanabilir.”

Sağlık Bilgi Sistemleri Genel Müdürlüğünde IRCA Onaylı 27001 Baş Denetçi Eğitimi Yapıldı

Bilgi Güvenliği Yönetim Sistemleri (BGYS) Birimi tarafından organize edilen IRCA* onaylı TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı Baş Denetçi Eğitimi 13-17 Nisan 2015 tarihleri arasında yapıldı. Sistem Yönetimi Daire Başkanı M. Fatih ULUÇAM’ın açılış konuşmasıyla başlayan ve bir hafta süren eğitime çeşitli meslek ve uzmanlık alanlarında görev yapan 20 personel katıldı.

 

Bilgi Güvenliği Danışmanı Zühtü KAYALI tarafından verilen eğitimde BGYS Standardı, Risk Yönetimi,  Kontrol Maddeleri ve ISO 19011 Denetim Standardı konuları yer aldı. BGYS denetimi uygulamaları ve örnek olay analizleriyle zenginleştirilen eğitim programında katılımcılar eğitmen eşliğinde çeşitli senaryolara ilişkin değerlendirmelerde bulundu.

 

Eğitimin sonunda IRCA onaylı Baş Denetçi Adaylığı Sınavı yapıldı. BGYS alanında Baş Denetçi olabilmek için adayların bu sınavda başarılı olması ve IRCA tarafından belirlenen koşullarda staj yapmaları gerekiyor.

 

BGYS Birimi olarak eğitimcimiz Zühtü KAYALI’ya, katılımcılarımıza ve eğitim sürecinde emeği geçen yönetici ve personelimize teşekkürlerimizi sunarız.

 

IRCA* İngiltere merkezli, International Register Of Certificated Auditors Kurumu olan IRCA  profesyonel denetçilerin üye oldukları bir dernek statüsündedir.

Ayrıntılı bilgi için…

http://www.irca.org/

bilgiguvenligi.saglik.gov.tr

TSE (Türk Standartları Enstitüsü) Bilişim Standartları Nelerdir

tse

Ülkemizde TSE Türk Standartları Enstitüsü (TSE)nün görevlerinden bir taneside uluslararası standartlar konusunda çalışmalar yapmaktır. TSE Uluslar arası Standartlar organizasyonu (ISO) tarafından geliştirilmiş standartları ulusal düzeyde uygulanmasını sağlar. Son yıllarda bilişimin gelişmesiyle birlikte TSE bilişim alanında da uluslararası bir çok standartda ulusal düzeyde hizmet vermektedir. Bu standartların yaygınlaştırılması ve tanıtılması, danışmanlık hizmeti, eğitim hizmeti, denetim ve belgelendirme hizmeti vermektedir. işte TSE nin bilişim alanında eğitim, danışmanlık, denetim ve belgelendirmesini yaptığı standartlar aşağıdaki gibidir.

1-     TS ISO/IEC 15408 Bilgi Teknolojileri Ürün Güvenliği İçin Değerlendirme Kriterleri

jpeg

 Ortak Kriterler Standart Hakkında

  • Standardın Yapısı

    Ortak Kriterler standardı üç(3) bölümden oluşmaktadır:

    • Birinci bölümde; Ortak Kriterler standardına giriş yapılır ve genel olarak standardın modeli hakkında bilgi verilir.
    • İkinci bölümde; BT ürünü veya sistemi güvenlik gereksinimleri belirlenirken kullanılacak ve genel bir dil oluşturulması için Ortak Kriterler formatından belirtilmiş güvenlik fonksiyonel gereksinimleri bulunmaktadır.
    • Üçüncü bölümde; ürünün veya sisteminin garanti iddiasının belirlenebilmesi için Ortak Kriterler formatından belirtilmiş güvenlik garanti gereksinimleri bulunmaktadır.

    Common Evaluation Methodology (CEM)olarak adlandırılan ISO 18045 ise Ortak Kriterler değerlendirme laboratuarları değerlendirici personelinin, değerlendirme sırasında uyacağı metodolojiyi detaylıca anlatmaktadır.

  • Garanti Seviyeleri

    EAL(Evaluation Assurance Level/Değerlendirme Garanti Seviyesi) olarak adlandırılan 7 seviye (EAL 1-7) bulunmaktadır. EAL 7 seviyesi en yüksek garanti düzeyi, EAL 1 seviyesi en düşük garanti düzeyidir. Üst seviye garanti düzeyleri, alt seviye garanti düzeylerini kapsamaktadır.
  • CCRA

    Ortak Kriterler Sertifika Üretici ülkelerin Sertifika Makamları tarafından verilen Ortak Kriterler sertifikaları CCRA (Common Criteria Recognition Arrangement) anlaşmasını imzalayan 25 ülke tarafından EAL 4 garanti seviyesine kadar tanınmakta ve bu sertifikaların uluslararası geçerliliği bulunmaktadır. Ortak Kriterler Sertifika Üretici ülkeler şu şekildedir:

    • Türkiye
    • Kanada
    • Fransa
    • Almanya
    • İtalya
    • Japonya
    • Malezya
    • Hollanda
    • Norveç
    • Güney Kore
    • İspanya
    • İsveç
    • Avusturalya-Yeni Zellanda
    • İngiltere
    • ABD

    Ortak Kriterler Sertifika Müşterisi ülkelerin Sertifika Makamları tarafından verilen Ortak Kriterler sertifikaları CCRA (Common Criteria Recognition Arrangement) anlaşmasını imzalayan diğer ülkeler tarafından tanınmamakta ve bu sertifikaların uluslararası geçerliliği bulunmamaktadır. Ortak Kriterler Sertifika Müşterisi ülkelere buradan ulaşabilirsiniz

  • Ürün Kategorileri

    • Erişim kontrol cihaz ve sistemleri
    • Sınır koruma cihaz ve sistemleri
    • Veri tabanları
    • Veri koruma
    • Tespit cihaz ve sistemleri
    • Akıllı kartlar(kredi kartları, atm kartları, cep telefonları sim kartları, doğalgaz ön ödemeli sayaç kartları, elektrik-su ön ödemeli sayaç kartları, elektronik alışveriş kartları, kimlik kartları vb.)
    • Anahtar yönetimi cihaz ve sistemleri
    • Ağ iletişimi ile ilgili cihazlar
    • İşletim sistemleri
  • Bağlantılar

2-     TS 13298 Elektronik Belge Yönetimi

TSE; TS 13298 Elektronik Belge Yönetimi standardında da belgelendirme hizmeti vermektedir. Bu standart, kurumlarda üretilen ve/veya üretilmesi muhtemel elektronik dokümanların belge niteliğinin korunabilmesi için gerekli standartların belirlenmesi amacıyla aşağıdaki konuları kapsar:

a) Elektronik belge yönetimi sistemi (EBYS) için gerekli sistem gereksinimleri,

b) EBYS için gerekli belge yönetim teknikleri ve uygulamaları,

c) Elektronik belgelerin yönetilebilmesi için gerekli gereksinimler,

d) Elektronik ortamda üretilmemiş belgelerin yönetim fonksiyonlarının elektronik ortamda yürütülebilmesi için gerekli gereksinimler

e) Elektronik belgelerde bulunması gereken diplomatik özellikler,

f) Elektronik belgelerin hukuki geçerliliklerinin sağlanması için alınması gereken önlemler,

g) Güvenli elektronik imza ve mühür sistemlerinin uygulanması için gerekli sistem alt yapısının tanımlanması.

TS 13298 Belgelendirme Hizmetleri, TÜRKAK tarafından akredite edilmiştir.

3-     TS ISO 9241-151 İnsan Sistem Etkileşiminin Ergonomisi

  1. 151 Dünya Geneli Ara yüzleri Kılavuzu

  2. TSEK 194 , TS ISO/IEC 40500 Web İçeriği Erişilebilirlik Kılavuzları

Web kullanıcı arayüzü geliştirilmesinde en önemli hedef, arayüzünü, engelli kişilerde dâhil mümkün olan en geniş kullanıcı yelpazesinin erişimine açık hale getirmektir. Web kullanıcı arayüzlerinin erişilebilirliği bakımından da önemli olmasına rağmen, erişilebilirliği etraflı bir şekilde kapsamayı hedeflememektedir.

Web kullanıcı arayüzleri tasarımının aşağıda belirtilen yönlerine odaklanır:

  • Üst düzey tasarım kararları ve tasarım stratejisi,
  • İçerik tasarımı,
  • Gezinme ve arama,
  • İçerik sunumu.

Kullanıcı arayüzü için web uygulamaları; kamuoyu bilgilendirme web siteleri, elektronik ticaret uygulamaları, intranet uygulamaları, konuma uyarlanır servisler ve diğer birçoğu gibi, geniş bir spektrumdaki amaçlara hizmet eder. Bu yüzden, geliştirilecek olan web uygulamalarının amacı ve stratejik hedefinin açık bir şekilde tanımlanması, üst düzey tasarım kararıdır.

Web kullanıcı arayüzünün kavramsal bir modeli, içerik ve gezinme yapısının tanımlanmasında önemli bir esastır. Böyle bir kavramsal model, konu hiyerarşisi gibi mevcut bilgi yapıları ile beraber muhtemel kullanıcıların görevleri ve zihinsel yapılarının analizi ile de geliştirilebilir. Web sitesinin içeriği, sitenin amacı ve kullanıcının tipik bilgi ihtiyaçları bakımından yeterli ölçüde olmalıdır.

Gezinme, bir web kullanıcı arayüzünde, sistemin o anda görünen çıktısından bir diğerine hareket etmek için kullanıcının icra ettiği faaliyetleri içerir. Arama, gezinmenin aksine arama fonksiyonları, içeriğin geri getirilmesi şartıyla içeriğe doğrudan erişim sunar. Gezinme ve arama çoğu zaman kombine olarak kullanılır.

Gelişen içerik nesnelerinin sunumlarından bağımsız olması tavsiye edilir. Web sayfalarının tasarımında, insan algılamasının genel prensipleri dikkate alınmalıdır. Sayfa tasarımı hususlarında; sayfa düzeni, başlık bilgisi, görselleştirmeler, uygun sayfa uzunlukları, renk düzeni ve çerçevelerin kullanımı dikkatli bir şekilde oluşturulmalıdır. Kullanıcılar için bağlantı tasarımları olmazsa olmazlardandır. Bağlantılar, kullanıcılar tarafından kolaylıkla tanınabilir olmalıdır. Bağlantılar kullanıcıya vurgulanmalıdır.

Web kullanıcı arayüzü, farklı kullanıcı gruplarının ilgili karakteristiklerini dikkate alır şekilde tasarlanmalıdır.

STANDARTLAR

ISO bünyesinde standard çalışmaları yürüten 187 Teknik Komite , 552 Alt Komite ve 2100 Çalışma Grubu vardır. 31/Aralık/2000 itibarıyla, ISO’nun yayınladığı 13025 Uluslarlarası standart ve standart niteliğinde doküman bulunmaktadır. ISO bünyesinde her ülkeyi bir kurum temsil eder. Türkiye’yi ISO’da Türk Standardları Enstitüsü (TSE) temsil etmektedir. TSE, 1955 yılından beri üyesi olduğu ISO’nun 35 Teknik Komitesi ile 89 Alt Komitesi’nin asal üyesidir.

Standartlar Niçin Önemlidir?

Standart serisi, Toplam Kalite Yönetimi’ nin satın alınan malzeme kaliteli olmadıkça, kalite de mükemmelliğe ulaşmak imkansızdır. Bu standartlar, firmanın kalite yönetim sistemlerinin kalitesini ölçmek ve bu yolla müşterilerine kalite güvencesi vermek amacına yöneliktir. Bu standart, kalite ile ilgili tüm problemleri çözmez, neyin yapılacağını değil, nasıl yapılacağını söyler ve bunlara ilaveten, etkin bir kalite yönetim sistemi için minimum şartları belirtir.

 TSE K 194 , WCAG VE  ISO/IEC 40500:2012

(WEB İÇERİĞİ KULLANILABİLİRLİK STANDARTLARI VE KRİTERİ)

Web içeriği kullanılabilirlik kriteri, Web içeriğinin engelli insanlar için nasıl daha kullanılabilir yapılabileceğini açıklamaktadır. Kullanılabilirlik, görsel, işitsel, fiziksel, konuşmayla ilgili, bilişsel, dille ilgili, öğrenmeyle ilgili ve nörolojik engelleri içeren geniş bir yelpazedeki engelleri kapsamaktadır. Bu kriter, geniş bir yelpazedeki hususları kapsamakla birlikte, engellerin tipi, derecesi ve bileşimi bakımından tüm engellilerin ihtiyaçlarına yönelik değildir. Bu kriter aynı zamanda, Web içeriğini yaşlanmaya bağlı olarak yetenekleri değişen yaşlı bireyler için daha kullanılabilir hale getirmekte ve genel olarak çoğu yerde kullanıcılar için kullanılabilirliği artırmaktadır.

Web içeriği kullanılabilirlik kriteri, günümüzdeki ve gelecekteki farklı Web teknolojilerinde yaygın olarak uygulanmak üzere ve otomatik test ve insanlar tarafından yapılan değerlendirmenin bir bileşimi ile test edilebilir şekilde geliştirilmiştir.

Prensipler – En üstte Web kullanılabilirliği için temel teşkil eden dört prensip mevcuttur: algılanabilirlik,

çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık.

Başarı kriterleri – Her bir ana esas için, gereklilikler ve uygunluk testinin gerekli olduğu, tasarım

spesifikasyonu, satın alma, düzenlemeler ve sözleşmeli anlaşmalar gibi yerlerde Web içeriği kullanılabilirlik kriterinin kullanılmasına olanak tanımak için test edilebilir başarı kriterleri verilmiştir. Farklı grupların ve farklı durumlardaki ihtiyaçların karşılanması maksadıyla üç seviyede uygunluk tanımlanmaktadır: A (en düşük), AA ve AAA (en yüksek).

A düzeyindeki isterler genel olarak daha çok kitleye hitap eder ve kullanıcılar açısından algılanabilirlik, çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık prensiplerinde belli bir kalitenin sağlanmasını hedefler. AA ve AAA düzeyleri daha özel durumlar ve şartlarda kullanıcılar için algılanabilirlik, çalıştırılabilirlik, anlaşılabilirlik ve dayanıklılık prensiplerinde daha üst seviyeyi hedefler ve Web Sayfaları için daha detaylı özellikleri ve teknolojileri gerektirir.

A düzeyi: Web sayfası, A düzeyinde (asgari uygunluk düzeyi) uygunluk için, tüm A düzeyi başarı kriterlerini karşılar ya da uygunluk sağlayan alternatif bir model sağlanır.

AA düzeyi: Web sayfası AA düzeyinde uygunluk için, tüm A düzeyi ve AA düzeyi başarı kriterlerini karşılar ya da AA düzeyinde uygunluk sağlayan alternatif bir model sağlanır.

AA düzeyi: Web sayfası AAA düzeyinde uygunluk için, tüm A düzeyi, AA düzeyi ve AAA düzeyi başarı kriterlerini karşılar ya da AAA düzeyinde uygunluk sağlayan alternatif bir model sağlanır.

Not 1 – Sadece ifade edilen düzeylerde uygunluğa ulaşılabilse de, Web tasarımcılarının ulaşılan uygunluk seviyesinin ötesindeki tüm düzeylerden başarı kriterlerinin karşılanmasına yönelik olarak sağlanan herhangi bir ilerlemeyi bildirmeleri (uygunluk iddialarında) teşvik edilir.

Not 2 – AAA düzeyinde uygunluğun genel bir politika olarak Web sitelerinin tamamı için gerekli olması

tavsiye edilmemektedir, çünkü bazı içerikler için AAA düzeyindeki başarı kriterlerinin yerine

getirilmesi mümkün değildir.

Web içeriğinin nasıl daha kullanılabilir yapılabileceği hakkında kılavuzluk sağlanması için kriter

katmanlarının (prensipler, ana esaslar, başarı kriterleri ve yeterli ve tavsiye niteliğindeki teknikler) tamamı bir arada çalışır. Web tasarımcıları, mümkün olan en geniş yelpazedeki kullanıcıların ihtiyaçlarına cevap verebilmek maksadıyla, tavsiye niteliğindeki teknikler dâhil olmak üzere, uygulayabilecekleri tüm katmanları incelemeleri ve uygulamaları için teşvik edilmektedir.

Tarayıcılardaki kullanılabilirlik özellikleri ve diğer kullanıcı temsilcilerinin yanı sıra, kullanıcıların yardımcı teknolojileri tarafından desteklenmelidir.

-Sesli açıklamalar,             -Yanma sönmeler,         -Metin blokları,
-Alt yazılar,                         -Konuşma dili,                  -İşaret dili,
-Kırmızı parlamalar,        -Girdi hataları,                  -Yazı tipi ve boyutu,
-Kayan yazı,                       -Jargon,                               -Logolar

Bu belgelendirme kriteri, ISO/IEC 40500:2012 Information technology ve WCAG 2.0 (Web Content  Accessibility  Guidelines – Web içeriği) esas alınarak hazırlanmıştır.

4-     SPICE-TS ISO/IEC 15504 Yazılım Süreçleri İyileştirme, Yetenek ve Olgunluk Belirleme

  1. TS ISO/IEC 12207 Yazılım Yaşam Döngüsü

https://farukcalikusu.wordpress.com/2014/01/11/spiceyazilim-surec-iyilestirme-yeterlilik-belirleme-ve-organizasyonel-olgunluk-ts-isoiec-15504/

5-     KRİPTO TS ISO/IEC 19790 & ISO/IEC 24759 Kriptolama Modülleri İçin Güvenlik ve Test Gereksinimleri

Bilgi Teknolojisi sisteminlerinde işlenen kritik verilerin güvenli saklanması güvenli iletimi ve kaynağının doğrulanması şifrelenme, şifre çözme, bütünlük kontrolleri elektronik imza v.b. kriptografik işlemleri zorunlu kılmaktadır.

Haberleşme ve bilgisayar sistemlerinde bu işlemler sistem içerisinde yer alan kripto modülleri ile sağlanmaktadır.

Bu kripto modüllerinin güvenlik özelliklerini aksatmadan yerine getirmesi önem arz etmektedir.

ISO/IEC 19790, bilgi teknolojisi sistemlerinde yer alan ve kritik verilerin güvenliğini sağlayan bu kripto modülleri için güvenlik gereklerini belirleyen bir standarttır.

ISO/IEC 19790 standardı, kripto modülleri içinde yer alan kriptografik yapıları, fiziksel yapıları, işletim ortamı, dokümantasyon  vb. çeşitli konuları içermektedir.

İstenilen güvenlik özellikleri standart içerisinde aşağıdaki ana başlıklar altında verilmektedir.

1- Modül Özellikleri(specification)

2- Portlar ve arayüzler

3- Roller, servisler ve asıllama (authentication)

4-Sonlu durum modeli

5- Fiziksel güvenlik

7- işletim otamları

8- Kriptografik anahtar yöntemi

9- Öz sınama (self-test)

10- Tasarım garantisi (design assurance)

11- Diger saldırıların azaltıması (mitigation of other attacks)

6-     TS ISO/IEC 25051 Bilgi Teknolojileri Yazılım Paketleri Kalite Özellikleri ve Test Yönergesi

TSE; TS ISO IEC 12119 yerine geçen TS ISO IEC 25051 Satışa sunulan Yazılım Ürünlerinin Kalite Özellikleri ve Değerlendirmesi standardında da belgelendirme hizmeti vermektedir. Bu standart; metin işlemciler, hesap çizelgeleri, veri tabanı programları, grafik paketleri, teknik veya bilimsel fonksiyonlara ait programlar ve yardımcı programlar gibi yazılım paketlerine uygulanabilir.

TS ISO IEC 25051;

− Satışa sunulan yazılım paketlerinin kalite gereksinimlerini,

− Bu paketlerin test dokümanlarının ne tür özelliklere sahip olması gerektiğini,

− Yazılım paketlerinin uyumluluk değerlendirmeleri için gerekli talimatları açıklar.

TS ISO IEC 25051 yazılım paketlerinin kendi üretim süreçlerini ya da tedarikçi firmaların kalite sistem gereksinimlerini kapsamaz.

 

kaynak :TSE