250 likes | 493 Views
ELEKTRONİK HABERLEŞME GÜVENLİĞİ. EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı. Sunum Planı. 1. 3. Bilgi Güvenliği. Düzenlemenin Amaç ve Kapsamı. 4. 6. 2. Düzenlemenin İçeriği. Sonuç. Bilgi güvenliği Standartları. 5. Düzenlemenin Sektöre Etkileri. 18.9.2014.
E N D
ELEKTRONİK HABERLEŞME GÜVENLİĞİ EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı
Sunum Planı 1 3 Bilgi Güvenliği Düzenlemenin Amaç ve Kapsamı 4 6 2 Düzenlemenin İçeriği Sonuç Bilgi güvenliği Standartları 5 Düzenlemenin Sektöre Etkileri 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 2
Bilgi Güvenliği Bilgi bütünlüğünün korunması Yetkisiz erişimin engellenmesi Mahremiyet ve gizliliğin korunması Sistemin devamlılığının sağlanması için tehdit ve tehlikelerden korunmasıdır. Bilgi Güvenliği 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 3
Bilgi Güvenliği Standartları BS–7799 TS ISO/IEC 27001 ISO–17799 ISO–27001:2005 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 4 Bilgi Güvenliğine ilişkin süreçlerin yönetilmesinde ve kurumsal plan ve uygulamaların geliştirilmesinde uluslararası kabul görmüş standartların kullanılması önem arz etmektedir
Elekronik Haberleşme Sektöründe Düzenleme ihtiyaçı • Haberleşme olanaklarının büyük bir hızla yayılımı ve kullanımının artışı beraberinde ses ve veri güvenliği kaygılarını da ön plana çıkarmıştır. • Bu nedenle, dünya çapında ülkeler teknolojinin açıkta bıraktığı güvenlik unsurlarını çeşitli mevzuat hükümleriyle kapatmak adına çalışmalar yapmaktadır. • Ülkemizde de gerek tüketici şikayetleri gerekse medyada yer alan haberler,haberleşme konusunda güvenlik tehditlerinin mevcut olduğu kanaatini toplumda oluşturmuş durumdadır. 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 5
Elektronik Haberleşmenin Güvenliği Yönetmeliği Elektronik Haberleşmenin Güvenliği Yönetmeliği: • 20.07.2008 tarih ve 26942 sayılı Resmi Gazetede Yayımlarak yürürlüğe girmiştir. 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 6
Düzenlemenin Amacı Yapılan düzenleme ile; • Gelişen teknoloji ve farklı kullanım alanlarından kaynaklanan güvenlik risklerinin azaltılması, • Elektronik haberleşmenin gerekli güvenlik seviyelerinde sağlanması, • İşletmecilerin uluslararası güvenlik ilkeleri ve standartlar çerçevesinde hizmet vermelerinin sağlanması, • Güvenlik zafiyetlerinin tüketiciye yansıtılmasının önlenmesi, amaçlanmıştır. 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 7
Düzenlemenin Kapsamı Bu yönetmelik, işletmecilerin; • Fiziksel alan güvenliği, • Veri güvenliği, • Donanım-yazılım güvenliği ve güvenilirliği • Personel güvenilirliğinin sağlanması için alacakları tedbirlere yönelik usul ve esasları kapsamaktadır. Kişisel bilgilerin işlenmesi ve gizliliğinin korunması kapsam dışında tutulmuştur. 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 8
Düzenlemenin İçeriği Düzenleme • Tehdit ve zafiyetler, • Fiziksel alan güvenliği, • Personel güvenilirliği, • Veri güvenliği, • Donanım-yazılım güvenliği ve güvenilirliği, • İşletmecilerin Yükümlülükleri, • Müeyyideler, bölümlerinden oluşmaktadır. 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 9
Düzenlemenin Sektöre Etkileri • Elektronik haberleşme hizmetlerinin güvenliği artacak, • İşletmeciler tarafından bilgi güvenliği yönetim sistemleri kurulacak, • Güvenlik konusunda standartlaşma sağlanmış olacak, 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 10
Düzenlemenin Sektöre Etkileri • Ulusal ve uluslararası düzeyde prestij artacak • İşletmecilerin hizmet kaliteleri artacak, • Tüketicilerin memnuniyeti artacak mağduriyet ortadan kalkacak, 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 11
Sonuç Elektronik Haberleşme Güvenliği Yönetmeliği; İşletmecilerin altyapı ve şebekelerini bilgi güvenliği ile ilgili TS ISO/IEC 27001 standardına uygun hale getirecek, • Fiziksel alan güvenliği, • Personel güvenilirliği, • Veri güvenliği, • Donanım-yazılım güvenliği ve güvenilirliğinin Geliştirilmesi ile birlikte, • Haberleşme içeriğinin gizliliğinin, bütünlüğünün ve devamlılığının güvence altına alınmasını sağlayacaktır. 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 12
Sonuç Elektronik Haberleşme Güvenliği Yönetmeliği • Tüketici memnuniyetinin • İşletmecilerin güvenilirlik ve prestijlerinin artırılmasını teşvik ederek, hem işletmeci hem tüketici boyutuyla ülkemiz telekomünikasyon sektörüne olumlu etki edecek bir düzenlemedir. 18.9.2014 Ejder Oruç TDS Dairesi Başkanı 13
Teşekkürler EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı
Tehdit ve Zafiyetler Tehditler; • Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi, silme, ekleme, değiştirme, geciktirme, kaydedilmesi, • Deprem, sel, su baskını, yangın gibi doğal afetler ile grev, lokavt hali, • Kullanıcının yanıltılması, • Altyapının hizmet veremez hale getirilmesi Zafiyetler; • Gerçekleşmesi muhtemel tehditlerin öngörülememesi, • Bir sistem veya protokolün tasarımında yapılan yanlışlıklar, • Geliştirici ve/veya uygulayıcıların hataları, • Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizlikler GERİ 18.9.2014 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
Fiziksel Alan Güvenliği Elektronik haberleşme altyapısının bulunduğu bina içi ve bina dışı güvenlik hassasiyetli alanlarda, • Güvenlik riski oluşturabilecek alt yapı bileşenlerine erişimin kontrol altında tutulması • Yetkisiz kişilerin bu alanlara girişinin engellenmesi amaçlanmıştır. GERİ 18.9.2014 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
Personel Güvenilirliği Hizmet sunumunda personelin güvenilirliğinin sağlanması amacıyla; • İşe alım, • İş değiştirme, • Çalışma şartları • İşe son verme hususlarında dikkat edilmesi gereken hususlar belirlenmiştir. GERİ 18.9.2014 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
Veri Güvenliği Veri güvenliği, yetkili olmayan unsurlarca • Sınırlı erişime açık verilere erişimin, • Verilerin kullanımının, • İfşa edilmesinin, • Silinmesinin, • Değiştirilmesinin veya bozulmasının engellemesi olarak tanımlanabilir. Temel amaç bilgiye yetkili unsurların erişimini sağlarken gizlilik, bütünlük, devamlılığı korumaktır. GERİ 18.9.2014 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
Donanım-Yazılım Güvenliği ve Güvenilirliği Bu bölümde elektronik haberleşme altyapısında kullanılan • Donanım ve • Yazılımın güvenlik riski oluşturmaması için alınması gereken tedbirler belirlenmiştir. GERİ
İşletmecilerin Yükümlülükleri • Elektronik haberleşme güvenliğini sağlama yükümlülüğü • Kuruma bilgi verme yükümlülüğü • Alt yüklenici firmadan sorumlu olma yükümlülüğü • İç denetim yükümlülüğü GERİ 18.9.2014 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü • Yetkilendirme tarihinden itibaren bir yıl içerisinde TS ISO/IEC 27001 standardına uyumluluğun sağlanması (Mevcut işletmeciler yönetmeliğin yürürlük tarihinden itibaren bir yıl içerisinde) • Yılda en az bir kez tehdit ve risk analizinin yapılması • Tespit edilen tehdit ve zafiyetlere ilişkin riskin değerlendirerek gerekli önlemlerin alınması GERİ 18.9.2014 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
Kuruma Bilgi Verme Yükümlülüğü • Tespit edilen tehdit ve zafiyetler ile bunların tasnifi ile gerçekleşme olasılıkları, • Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetler, • Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi sırasında ortaya çıkan uygunsuzluklar gibi hususlar içeren “Elektronik haberleşme güvenliği raporunun” her yıl hazırlanarak Kuruma gönderilmesi GERİ 18.9.2014 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
Alt Yüklenici Firmadan Sorumlu Olma Yükümlülüğü • İşletmecinin sunduğu hizmete ilişkin alt yüklenici firma ile çalışması, bu Yönetmelik kapsamında belirlenen yükümlülüklerini ortadan kaldırmamaktadır. GERİ 18.9.2014 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
İç Denetim Yükümlülüğü • İşletmeci, sunduğu hizmete ilişkin elektronik haberleşme güvenliğini, düzenli ve rastgele yapılacak iç denetimler ile kontrol edecektir. GERİ
Müeyyideler • Bu Yönetmelik hükümlerinin ihlali durumunda; “Bilgi Teknolojileri ve İletişim Kurumu Tarafından Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik” çerçevesinde söz konusu ihlale karşılık gelen idari para cezası uygulanacaktır. GERİ