bildirgec.org - etiketler: bilgi güvenliği

Elektronik Haberleşme Güvenliği Yönetmeliği

uzmanium — Wed, 03 Dec 2008 12:20:00 GMT

Telekominikasyon Kurumu tarafından hazırlanan yönetmeliğe göreTelekom şirketlerinin ISO 27001 sürecini tamamlamaları için bir yıllık süre tanındı. Bilgilerine değer veren özel şirketlerin almak için süreçlerini ve iş yapış şekillerini uyarlarlamak için çalışıyorlar. Bu standartın günlük yaşamımızda kullandığımız, şirkete ve/veya kişisel olarak gizlilik ihtiva eden bilgileri taşıyan bu kurumlara bu standartın getirilme zorunluluğunu memnuniyetle karşılıyoruz.

Yönetmeliğin göze çarpan maddelerini irdeleyelerek açıklamaya çalışalım.

Madde 2: Kapsam

BGYS ( Bilgi Güvenliği Yönetim Sistemi ) kurulurken ilk olarak kapsam belirlenir. Ticari işletmelerde bu kapsam sistem/sunucu odası olabilirken Genel Müdürlük hatta bütün işletme alanı dahil bile edilebilir. Kapsamı belirlerken şirketin ihtiyaçları, vizyonu ve misyonu bundan etkili olmaktadır. Bu yönetmelikte Kapsama nokta atışı yapılmamış, bütün iş süreçlerini kapsayan bir yapı düşünülmüş. Telekom firmalarının yoğun çalışmasını gerektirecek bir dönem olacak.ve devamlılığının sağlanmasını

Madde 5: İlkeler

Telekom şirketlerinden hizmet alan kişi ve kurumların yönetmeliğin ulusal ve uluslararası standartlara uygun olmasının hedeflendiği belirliyor. Hedeflenen ve istenilenler ISO 27001 ‘de bulunan maddelerle uyum göstermektedir.

Madde 6: Tehdit ve zafiyetle

BGYS sistemlerinde risk analizi yapmak için tehdiler ve zayıfılıklar belirlenir. Bunların etkilerinin belli bir değere ulaşması hedeflenir. Tehditleri ve zayıflıkları her kurum kendisine göre belirler. Bu yönetmelikle tehdit ve zayıflıklar da Telekominikasyon Kurumu’nun olmasını istediği maddeler yer almış.

Madde 7: Fiziksel alan güvenliği

Bu maddede telekom şirketlerinin fiziksel ve çevresel güvenliğiyle ilgili konuları içermekte. Burada genel olarak üç grupta incelenmiş.

GrupÇalışma ortamı / Ofis için güvenlik önlemleri ve kontrolleri tanımlanmış.

Sahalarda yer alan elektronik haberleşme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski oluşturabilecek alt yapı bileşenlerine erişim kontrol altında tutulması ve yetkisiz kişilerin erişiminin engellenmesi tanımlanmış.
Sistem / sunucu / depolama gibi yüksek hassasiyetteki ortamların fiziksel güvenliğinin ve sürekliliğinin sağlanması, erişimin kontrol edilmesi tanımlanmış.

Madde 8: Personel güvenilirliği

ISO 27001 ‘de personelle ilgili kısmında da yer alan gerekliliklere paralel bir tanım yapılmış. Telekom şirketlerinin taşıdığı ve ellerindeki bilgilerin, milli güvenliğe zarar gelmemesi, kamu düzenine aykırı davranılmaması ve haberleşmenin gizliliği gereği çalışan personelin kriterlerinin genel çerçevesi belirlenmiş.

Madde 9: Veri güvenliği

ISO 27001 standartının Ek A11 maddesinde yer alan önlemlerin burada talep edilmiş. Bilgiye erişimin nasıl, kim tarafından belirlenmesi ve bu erişimlerin kayıt altına alınmasını işaret ediyor.

Madde 10: Donanım-yazılım güvenliği ve güvenilirliği

Telekom şirketlerinin alt yapısında kullandığı donanımlar ile yazılımınların güvenliğinin sağlanması ve kontrol edilmesi istenmiş. Burada özellikle telekulak (izinsiz dinleme ve/veya izleme) olaylarında sorumluluğun telekom şirketlerine yüklendiğini gösteriyor. Süreklilik ilkesine atıf yapılarak donanım ve yazılımlarında yedekli olarak çalışması tanımlanmış.

Madde 11: Elektronik haberleşme güvenliğini sağlama yükümlülüğü

Yönetmelikte yer almayan ISO 27001 maddelerine uyumlu olmayı yükümlü hale getiriyor. Bu madde ile en az bir kes risk analizi yapılması ve Telekominikasyon Kurumu’na göndermesi isteniyor. Risk analizini telekom şirketinin kendisi yapabileceği gibi tarafsız bir deneteleme kuruluşu tarafından da yapılabilmesine izin veriyor.

Madde 12: Kuruma bilgi verme yükümlülüğü

Risk analinizinin her yıl Şubar ayı sonuna kadar Telekominikasyon Kurumu’na göndermesi gerekiyor.Ayrıca acil durumlar için görev yapacak personel, iş akış diyagramı ve acil eylem planı yapılmasının ve güncel tutulması isteniyor. Ayrıca altyapı ve yazılım kullanımında ortaya çıkan problem ve uygunsuzluklarında kayıt altına alınmasınıda gereklilikler arasında.

Madde 13: Alt yüklenici firmadan sorumlu olma yükümlülüğü

Telekom şirketi bu yönetmeliği uygulamak için bir alt yüklenici (danışman) firma ile çalışabilir. Bu alt yüklenici firmanında yapacağı bütün ihlallerden telekom şirketi sorumlu olacak.

Madde 14: Müeyyideler

Yönetmelikte merak edilen maddeye geldik. Yönetmelikte belirlenen maddelere ve gerekliliklere, ISO 27001 içerikleride dahil olmak üzere uyulmaması durumunda yıllık cirosunun %1 ‘ine kadar para cezası öngörülüyor.

Geçiçi bir madde olarak olarak telekom şirketlerine bu yönetmeliği uygulaması ve bilgi güvenliği yönetim sistemine geçişi tamamlaması için yönetmeliğin yürürlüğe girdiği tarihten itibaren 1 yılları var. Üst yönetim desteği ile bilgi ve tecrübesi yeterli personel sağlandığında sağlıklı bir şekilde yapabilirler.

Günümüzde bilgiye verilen değerin kurumsal alanın yanında kamusal alandada dikkate alınarak böyle bir yönetmelik düzenlenmesi güven verici. Özellikle denetimler ve sonucundaki yaptırımların çok ciddi olmasıda bu bilincin kurumlara yerleşmesine katkısı olacağını umuyorum.

Yönetmelik Linki : http://rega.basbakanlik.gov.tr/eskiler/2008/07/20080720-1.htm

Bu yazı uzmanium tarafından bildirgec.org adresli sitede yayımlanmak üzere yazılmıştır. Kaynak gösterilmeksizin kopyalanamaz.

Pilli Projeleri: Pilli.com: Kolektif Bağımsız İçerik | Sosyomat.com: Arkadaşını Etiketle | Put.io: Online Cloud Storage

Çok önemli DNS açığı

espere — Tue, 05 Aug 2008 06:45:00 GMT

Tübitak'a bağlı bilgi güvenliği sitesindeki habere göre DNS ile ilgili çok önemli bir açık bulunmuş ve herkesin (internet sevis sağlayıcılarının dahil) bir an önce güncelleştirme yapması gerekiyormuş. Ev kullanıcıları da işletim sistemlerini güncellemelilermiş.Bu açık sayesinde saldırgan istediği sayfanın sahtesini yapabiliyor ve kullanıcıları kendi sitesine yönlendiriyor.BU işemin nasıl yapıldığı ve gerekli önlemlerin nasıl alınacağı bu sayfada yazılı.

Bu yazı espere tarafından bildirgec.org adresli sitede yayımlanmak üzere yazılmıştır. Kaynak gösterilmeksizin kopyalanamaz.

Pilli Projeleri: Pilli.com: Kolektif Bağımsız İçerik | Sosyomat.com: Arkadaşını Etiketle | Put.io: Online Cloud Storage

Internet Güvenliği

tripcms — Tue, 29 May 2007 12:06:00 GMT

İnsanların teknoloji ve bilgiye olan merak ve imkanları beraberinde bir çok veri güvenliği sorununu da getiriyor. Aslında veri güvenliği sorunu yüksek oranda insanların zaaflarına bakan bir konu. Sorun şu ki insanlar internette meraklı oldukça ve sürekli içlerindeki bitmez istekleri yerine getirmek istedikçe bilgi güvenliği sorunları hep karşımıza çıkacak. Ancak bu öyle gizli ve arkalarda kalan bir konu ki insanlar veri güvenliği üzerinde dakikalarca düşündükten sonra bu soruna hiçbir şey yapılamayacağını ve önleminin internetten uzaklaşmak ve tanıdıkları herkesin uzaklaşmasını sağlamak olacağını düşünmek oluyor.

Oysaki birazcık bakıldığında; insanlar içerisinde veri güvenliğini tehdit edebilecek unsurlara sahip oyunlar ve oyun sitelerine, arkadaşlık sitelerine, sohbet sitelerine bulaştıklarında ve en basitinden bulduğunuz her siteye girmeyin, gördüğünüz her dosyayı çalıştırmayın, size sorulan her anlaşmayı veya her soruyu kabul etmeyin ve her şeye tıklamayın gibi uyarılara aldırmadan veya unutarak bir takım dikkatsizlikleri sonucunda kendi bilgi güvenliklerini sıfıra indiriyorlar.

Bu detay aynen vücuduna çok tehlikeli bir virüsün yayılmakta olduğu bir insanın. halsizlik ve baş ağrısı gibi sıkıntılarını hastalığını daha hiç fark etmemiş bir şekilde günün yorgunluğuna ve stresine bağlaması ile aynı şey.

Ayrıca bakarsanız büyük televizyonlar ve büyük gazetelerde gördüğümüz başlıklar hep aynı.

“Artık çocuğunuzu internetten koruyabileceksiniz.” yada “İnternet Tehlike Saçıyor” ve hatta “Aileniz İnternetten Korunacak”.. :)

bence şöyle demelilerdi “İnternet Terörü Devam Ediyorrrr”…. :) :)

Doğrusu ben bu başlıkları gördüğümde tam kuş gribi haberi yayınlayacaklarken yanlışlıkla haberin başlığı internet haberinin başlığı ile karıştı zannediyorum.Yada gerçekten insanları yönlendirenler demi bu konuda hiç bir şey bilmiyor.

Ben bile kendimi çok profesyonel görmesem bile tam anlamı ile bir güvenlik meraklısıyımdır.

Lafı bu kadar uzattık ama kısacası internet bir öcü gibi tanıtılıyor. İnsanların öğrenmesi gereken şey şu: kişisel ve çok özel bilgilerinin çalınmasının çok korkunç bir şey olabileceği düşüncesi değil, internettin istenirse nasıl güvenli bir şekilde kullanılabileceğinin öğrenilmesinin gerektiğidir.

Internet güvenliği ile ilgili daha geniş makalemi Internet Güvenliği için 7 Öneri başlığından takip edebilirsiniz.

Bu yazı tripcms tarafından bildirgec.org adresli sitede yayımlanmak üzere yazılmıştır. Kaynak gösterilmeksizin kopyalanamaz.

Pilli Projeleri: Pilli.com: Kolektif Bağımsız İçerik | Sosyomat.com: Arkadaşını Etiketle | Put.io: Online Cloud Storage