ELEKTRONİK HABERLEŞME GÜVENLİĞİ KAPSAMINDA TS ISO/IEC 27001 STANDARDI UYGULAMASINA İLİŞKİN TEBLİĞ TASLAĞI

Amaç

MADDE 1 – (1) Bu Tebliğin amacı; 20/7/2008 tarihli ve 26942 sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrasının uygulanmasına ilişkin usul ve esasları düzenlemektir.

Kapsam

MADDE 2 – (1) Bu Tebliğ, Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrası çerçevesinde TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sağlama veya uygunluk belgesi alma yükümlülüğü ile ilgili usul ve esasları kapsar.

Dayanak

MADDE 3 – (1) Bu Tebliğ; Elektronik Haberleşme Güvenliği Yönetmeliği’ nin 11 inci maddesine dayanılarak hazırlanmıştır.

Tanımlar ve kısaltmalar

MADDE 4 – (1) Bu Tebliğde geçen;

a) Elektronik haberleşme: Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,

b) GMPCS: Uydu üzerinden küresel mobil kişisel haberleşmeyi,

c) GSM: Avrupa Telekomünikasyon Standartları Enstitüsü’nün mobil, hücresel sayısal haberleşme standartlarına göre verici ve alıcı üniteleri haiz baz istasyonları, baz istasyon kontrol istasyonları, anahtarlama teçhizatı, bunlar arasındaki irtibatı temin eden telli ve telsiz her türlü haberleşme sistemlerini,

ç) İşletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketini,

d) Kişisel ses ve/veya veri hizmeti: İçerik olarak genel veya grup erişimine açık olmayan ses ve/veya veri iletimini,

e) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,

f) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

g) Net Satış: Brüt satışlardan satış indirimlerinin düşülmesi halinde kalan tutarı,

ğ) Standart: TS ISO/IEC 27001 veya ISO/IEC 27001 standardını,

h) Uygunluk belgesi: TS ISO/IEC 27001 veya ISO/IEC 27001 belgesi verebilmek üzere akredite edilmiş kuruluşlardan alınan TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sertifikasını,

ı) Yönetmelik: Elektronik Haberleşme Güvenliği Yönetmeliğini,

ifade eder.

(2) Bu Tebliğde geçen ve yukarıda yer almayan tanımlar için ilgili mevzuatta yer alan tanımlar geçerlidir.

İşletmecilerin yükümlülükleri

MADDE 5 – (1) Uygunluk belgesi alma yükümlülüğü, işletmecinin kişişel ses ve/veya veri hizmeti taşıması ile yıllık net satışına göre belirlenir.

a) Bu Tebliğin Ek-1’ inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı beşyüzbin (500.000) Türk Lirası ve üzeri olanlar, uygunluk belgesi almakla yükümlüdür.

b) Bu Tebliğin Ek-1’ inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı beşyüzbin (500.000) Türk Lirası’ nın  altında olanlar, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağmakla yükümlüdür.

c) Bu Tebliğin Ek-2’ sinde verilen kişisel ses ve/veya veri taşıma hizmeti sunmayan işletmeciler, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağmakla yükümlüdür.

(2) Birinci fıkranın (a) bendinde belirtilen işletmecilerden 20/7/2008 tarihinden sonra yetkilendirilenler, yetkilendirme tarihinden itibaren iki yıl sonraki tarihe, 20/7/2008 tarihinden önce yetkilendirilenler ise 20/7/2010 tarihine kadar uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür.

(3) Birinci fıkranın (b) bendinde belirtilen işletmecilerden zaman içinde net satışı beşyüzbin (500.000) Türk Lirası’ nı aşanlar bu limiti aştıkları tarihten itibaren iki yıl içerisinde uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür.

(4) Birinci fıkranın (a) bendinde belirtilen işletmecilerden zaman içinde net satışı beşyüzbin (500.000) Türk Lirası’nın altına düşen işletmecilerin, söz konusu net satış değerini aştıkları tarihten itibaren başlayan uygunluk belgesi alma yükümlülüğü devam eder.

(5) Birinci fıkranın (b) ve (c) bentlerinde belirtilen işletmecilerden 20/7/2008 tarihinden sonra yetkilendirilenler, yetkilendirme tarihinden itibaren iki yıl sonraki tarihe, 20/7/2008 tarihinden önce yetkilendirilenler ise 20/7/2010 tarihine kadar uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür.

MADDE 6 – (1) Kurum, 5 inci maddenin birinci fıkrasında belirtilen net satış değerini ve bu Tebliğ ekinde yer alan listeleri güncellemekle yetkilidir.

Yürürlük

MADDE 7 – (1) Bu Tebliğ; yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 8 – (1) Bu Tebliğ hükümlerini, Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.

Bilgi Güvenliğinde Temel Tanımlar

Gizlilik
Saklanan, işleme tabi tutulan ya da aktarılan her türlü bilginin, yalnızca bilgiye erişmeye ve kullanmaya yetkili kuruluşa ve/veya sahibine ait olmasını sağlamak için korunması gerekir.

Erişim kontrolünün pek çok şekli, temelde gizliliğin korunması hakkındadır. Şifreleme, bilginin gizli kalmasını sağlayan bir kontrol örneğidir.

Kontroller, bilgi güvenlik yönetimi sisteminin her aşamasında uygulanabilir:
Fiziksel aşama (örneğin; kapıların, muhafaza kaplarının, kasaların kilitlenmesi); mantıksal aşama (örneğin; bir veri tabanında ayrı veri alanları, uygulamadaki veri, kâğıt halindeki belge). Her koşulda tehditler ve hassasiyetler tanımlanmalı, ilişkili riskler değerlendirilmeli ve bir kontrol sistemi seçilmeli,gerçekleştirilmeli ve söz konusu bu risklere karşı koruma amacıyla uygulanmalıdır.

Bütünlük
Saklanan, işleme tabi tutulan ya da aktarılan bilginin doğru ve eksiksiz olmasının; doğru bir biçimde işleme tabi tutulduğunun ve yetkisiz kişilerce herhangi bir şekilde değiştirilmediğinin teyit edilmesi.

Ayrıca kuruluş,olmasını tasarladığı ağ şebekelerinin ve bilgi sistemlerinin bütünlüğünü tesis etmeyi de isteyebilir. Bellek sürücüler ve diğer ortamlar ile iletişim sistemleri de dahil olmak üzere pek çok veri işlem aygıtının veriyi bozmadığından emin olmak için otomatik bütünlük kontrol etme araç gereçlerini içerir.

Bütünlük kontrolü; işletim sistemlerinde, yazılımda ve uygulama programlarında veya işleme alınmış olan veride programların bilerek ya da kazara bozulmasını önlemesi bakımından önemlidir. Bütünlük kontrollerinin; giriş/çıkış veri geçerleme kontrolleri, kullanıcı eğitimi ve diğer işletim türü kontrolleri gibi insandan kaynaklanan riskleri ya da hırsızlık veya dolandırıcılığı azaltmak için işlem seviyesinde uygulanmasına ihtiyaç vardır.

Kullanılabilirlik
Bilgiyi kullanma yetkisi bulunan kuruluş ya da kuruluş içerisindeki kullanıcıların, bilgiyi ne zaman ve nerede kullanmaya ya da işleme tabi tutmaya ihtiyaç duyarlarsa bilgiye erişmelerinin sağlanması.

Bilginin kullanılabilirliği, uygulamada bir kontrol sistemini gerektirir.
Örneğin; bilginin yedeklenmesi, kapasite planlaması, sistem kabul prosedürleri ve kriterleri, ihlal olayı yönetimi prosedürleri, çıkarılabilir bilgisayar ortamı yönetimi, bilgi işlem prosedürleri, donanım bakımı ve test edilmesi, sistem kullanımının izlenmesi prosedürleri ve iş süreklilik prosedürleri.

Güvenlik ihlali olaylarının izlenmesi, gözden geçirilmesi ve kontrol edilmesi, servis kademeleri, zamanında ve sürekli sistem performansı; kullanılabilirliliğin sağlanmasında koruyucu bir kontrol mekanizması olabilir.

Hassas veya kritik bilgi
ISO/IEC 17799, hem kritik, hem de hassas bilgiye uygulanabilen bir dizi kontrolü tanımlar. Hassas ya da kritik bilgi nedir ve hassas veya kritik bilgiyi nasıl fark ederiz? Tanım, her kuruluş için farklıdır. Bazı tanımlar,bireysel kuruluşlar kapsamında gerektiğinde bilginin hassas ya da kritik olarak, geriye kalan bilginin ise hassas ya da kritik olmayan şeklinde etiketlenebilmesi amacıyla bilginin değerini ya da kullanımını ortaya koymak için yapılabilir.

Bu kapsamda bir zaman unsuru da bulunmaktadır. Örneğin; kuruluşun mali durumu, sermaye piyasasına bilgi vermeden önce çok hassas olabilir, ancak bir kez rapor edildikten sonra hassasiyeti ortadan kalkar. Hassasiyet, veriye verilen sınıflandırma seviyesinde de görülmelidir.

Hassas ve kritik bilginin korunmasındaki en önemli öğe, risk değerlendirmesidir. Risk değerlendirme
sürecinin bölümü ISO 27001:2005 ve ISO/IEC 17799’in 4’üncü Maddesinde genel hatlarıyla; daha ayrıntılı olarak da BS 7799-3:2005’te verilmiştir ve söz konusu bölüm, uygun bir kontrol sistemi kullanılarak, varlıkları korumak için gerekli olan güvenlik seviyesi ve riskleri hesaplamak amacıyla bilgi varlıklarının değerlendirilmesini, tehditlerin ve hassasiyetlerin değerlendirilmesini içerir.

BGYS kavramı

BGYS standardı olan ISO 27001’in arkasında yatan temel düşünce etkili bir bilgi güvenliği elde etmek için yönetim sistem proseslerinin tesis edilmesi, gerçekleştirilmesi ve sürdürülmesidir.

BGYS; kuruluşun iş riski yaklaşımına dayanan, kuruluşun işleyiş ve iş kültürünün ayrılmaz bir parçası olarak görülmeli ve etkili bilgi güvenliğine ulaşmak için kuruluşu, teşkilatı, politikaları, planlama faaliyetlerini sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları kapsar.

Etkili bilgi güvenliğine giden yol

Bugünün dünyasında bilgi güvenliği olmadan hiçbir kuruluş başarılı bir biçimde işletilemez. BGYS, yeterli ve uygun bir bilgi güvenliği yönetiminin kuruluşun bilgi varlıklarının korunması ve ilgili taraflara güven vermesi amacıyla tesis edilmesini temin etmek üzere tasarlanmalıdır.

Bilgi güvenliği kuruluşa faydalı olacaksa, olumlu katkıda bulunacaksa, BGYS başarılı bir bilgi güvenliğini sağlayabilmelidir. Bilgi güvenliği teknik ve BT konudan daha çok öncelikle, bir yönetim konusudur. Bununla birlikte hiç kimse, özellikle BT kullanımı konusundaki geniş çaptaki bağımlılığı ve teknik sorunları göz ardı etmemelidir.

Devam eden prosesler
Bilgi güvenliği yönetimi, bir kere yapılıp kenara bırakılacak bir uygulama değildir; devam eden bir sürekli gelişim faaliyeti olarak (ISO 9001 gereksinimleri gibi diğer yönetim sistem standardları kadar TS ISO/IEC 27001 tarafından uyarlanan Planla-Uygula-Kontrol et-Önlem al (PUKÖ) modeline dayanmaktadır.

İyi yönetilen bilgi güvenliği, işi yapılabilir kılar. BGYS faaliyetleri için yönetim desteği, başarılı ve etkili BGYS gerçekleştirmelerinin hayata geçirilmesindeki en önemli faktörlerdenbiridir.

BGYS standardı olan TS ISO/IEC 27001, uyulması istenirse, kuruluşun uymak için ihtiyaç duyduğu gereksinimler kümesi şeklini alır. Söz konusu gereksinimler ISO/IEC 27001’nin Madde 1 ila Madde 8 arasında belirtilmiştir ve bu gereksinimler PUKÖ modeline dayanan proses yaklaşımıyla ilişkili gereksinimleri de kapsar.

TS ISO/IEC 27001’deki gereksinimlerini yansıtan hükümler zorunludur. “-meli”,”-malı” terimi içeren ifadeler ise gereksinimlerin uygulanmasına kılavuzluk etmesine rağmen bünyeye uydurulması beklenen, ancak zorunlu olmayan hükümleri ifade etmek için kullanılır.

Bir uygulama rehberi olarak ISO/IEC 17799, bir belirtim olarak alıntı yapılmaması anlamına gelen kılavuz ve tavsiyeler şeklindedir ve uyum isteklerinin yanlış yönlendirilmemesini sağlaması için dikkate alınmasına özen gösterilmelidir.

PUKÖ modeli
“Planla-Uygula-Kontrol et-Önlem al modeli (PUKÖ Modeli)” olarak bilinen model, ISO/IEC 27001 standardında kullanılmıştır. Bu model, bir BGYS’in kurulmasında,
gerçekleştirilmesinde, işletilmesinde, izlenmesinde, gözden geçirilmesinde, sürdürülmesinde ve tekrar gözden geçirilmesinde temel olarak kullanılır.

Planla (BGYS’nin kurulması)
Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması.

Uygula (BGYS’nin gerçekleştirilmesi ve işletilmesi)
BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi.

Kontrol Et (BGYS’nin izlenmesi ve gözden geçirilmesi)
BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi.

Önlem al (BGYS’nin bakımı ve iyileştirilmesi)
BGYS’in sürekli gelişiminin sağlanması için içsel BGYS denetim ve sonuçlarına, yönetimin gözden geçirmesine ve konuyla ilgili diğer bilgilere göre düzeltici ve koruyucu önlemlerin alınması.

kaynak:www.educore.com.tr

Bilgi Güvenliği Yönetim Sistemi Kapsamında Risk Modeli

Makale III. İstanbul Bilişim Kongresinde sunulmuş ve kongre kitapçığında yer almaktadır…

ÖZET

Bilgi varlıklarının korunabilmesi, kurumların karşılaşabileceği risklerin en aza indirgenmesi
ve iş sürekliliğinin sağlanması, Bilgi Güvenliği Yönetim Sistemlerinin kurumlarda üst
yönetim desteğiyle hayata geçirilmesiyle mümkün olmaktadır.
Bu çalışmada, Bilgi Güvenliği’ nin sağlanmasında önemli olan unsurlar gözden
geçirilmiştir. Yüksek seviyede Bilgi Güvenliği’ nin sağlanabilmesi için bilgi güvenliği
standartlarının bilinmesi ve uygulanmasının yanında güncel tehditlerin bilinmesi önemlidir
Yüksek seviyede bir Bilgi Güvenliği sağlanabilmesi için teknoloji-insan-eğitim üçgeninde
yönetilen bir yaklaşımın dikkate alınması gerektiği tespit edilmiştir. Kurumsal bilgi
güvenliğinin yüksek seviyede sağlanması ve ülkemizde kurumsal bilgi güvenliği bilincinin
geliştirilmesi için kurumlar ve bireylerin bilgilendirilmesi amaçlanmıştır. Bu çalışmanın,
kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasına yönelik farkındalık oluşturması,
mevcut ve yeni standartlar hakkında daha fazla bilgi içermesi, literatür özetini sunması ve
yüksek seviyede güvenliğin sağlanmasına katkılar sağlayacağı düşünülmektedir.

Makalenin tamamını indirmek için TIKLAYINIZ