Telekominikasyon Kurumu tarafından hazırlanan yönetmeliğe göreTelekom şirketlerinin ISO 27001 sürecini tamamlamaları için bir yıllık süre tanındı. Bilgilerine değer veren özel şirketlerin almak için süreçlerini ve iş yapış şekillerini uyarlarlamak için çalışıyorlar. Bu standartın günlük yaşamımızda kullandığımız, şirkete ve/veya kişisel olarak gizlilik ihtiva eden bilgileri taşıyan bu kurumlara bu standartın getirilme zorunluluğunu memnuniyetle karşılıyoruz.

Yönetmeliğin göze çarpan maddelerini irdeleyelerek açıklamaya çalışalım.

Madde 2: Kapsam

BGYS ( Bilgi Güvenliği Yönetim Sistemi ) kurulurken ilk olarak kapsam belirlenir. Ticari işletmelerde bu kapsam sistem/sunucu odası olabilirken Genel Müdürlük hatta bütün işletme alanı dahil bile edilebilir. Kapsamı belirlerken şirketin ihtiyaçları, vizyonu ve misyonu bundan etkili olmaktadır. Bu yönetmelikte Kapsama nokta atışı yapılmamış, bütün iş süreçlerini kapsayan bir yapı düşünülmüş. Telekom firmalarının yoğun çalışmasını gerektirecek bir dönem olacak.ve devamlılığının sağlanmasını

Madde 5: İlkeler

Telekom şirketlerinden hizmet alan kişi ve kurumların yönetmeliğin ulusal ve uluslararası standartlara uygun olmasının hedeflendiği belirliyor. Hedeflenen ve istenilenler ISO 27001 ‘de bulunan maddelerle uyum göstermektedir.

Madde 6: Tehdit ve zafiyetle

BGYS sistemlerinde risk analizi yapmak için tehdiler ve zayıfılıklar belirlenir. Bunların etkilerinin belli bir değere ulaşması hedeflenir. Tehditleri ve zayıflıkları her kurum kendisine göre belirler. Bu yönetmelikle tehdit ve zayıflıklar da Telekominikasyon Kurumu’nun olmasını istediği maddeler yer almış.

Madde 7: Fiziksel alan güvenliği

Bu maddede telekom şirketlerinin fiziksel ve çevresel güvenliğiyle ilgili konuları içermekte. Burada genel olarak üç grupta incelenmiş.

• GrupÇalışma ortamı / Ofis için güvenlik önlemleri ve kontrolleri tanımlanmış.

• Sahalarda yer alan elektronik haberleşme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski oluşturabilecek alt yapı bileşenlerine erişim kontrol altında tutulması ve yetkisiz kişilerin erişiminin engellenmesi tanımlanmış.
• Sistem / sunucu / depolama gibi yüksek hassasiyetteki ortamların fiziksel güvenliğinin ve sürekliliğinin sağlanması, erişimin kontrol edilmesi tanımlanmış.

Madde 8: Personel güvenilirliği

ISO 27001 ‘de personelle ilgili kısmında da yer alan gerekliliklere paralel bir tanım yapılmış. Telekom şirketlerinin taşıdığı ve ellerindeki bilgilerin, milli güvenliğe zarar gelmemesi, kamu düzenine aykırı davranılmaması ve haberleşmenin gizliliği gereği çalışan personelin kriterlerinin genel çerçevesi belirlenmiş.

Madde 9: Veri güvenliği

ISO 27001 standartının Ek A11 maddesinde yer alan önlemlerin burada talep edilmiş. Bilgiye erişimin nasıl, kim tarafından belirlenmesi ve bu erişimlerin kayıt altına alınmasını işaret ediyor.

Madde 10: Donanım-yazılım güvenliği ve güvenilirliği

Telekom şirketlerinin alt yapısında kullandığı donanımlar ile yazılımınların güvenliğinin sağlanması ve kontrol edilmesi istenmiş. Burada özellikle telekulak (izinsiz dinleme ve/veya izleme) olaylarında sorumluluğun telekom şirketlerine yüklendiğini gösteriyor. Süreklilik ilkesine atıf yapılarak donanım ve yazılımlarında yedekli olarak çalışması tanımlanmış.

Madde 11: Elektronik haberleşme güvenliğini sağlama yükümlülüğü

Yönetmelikte yer almayan ISO 27001 maddelerine uyumlu olmayı yükümlü hale getiriyor. Bu madde ile en az bir kes risk analizi yapılması ve Telekominikasyon Kurumu’na göndermesi isteniyor. Risk analizini telekom şirketinin kendisi yapabileceği gibi tarafsız bir deneteleme kuruluşu tarafından da yapılabilmesine izin veriyor.

Madde 12: Kuruma bilgi verme yükümlülüğü

Risk analinizinin her yıl Şubar ayı sonuna kadar Telekominikasyon Kurumu’na göndermesi gerekiyor.Ayrıca acil durumlar için görev yapacak personel, iş akış diyagramı  ve acil eylem planı yapılmasının ve güncel tutulması isteniyor. Ayrıca altyapı ve yazılım kullanımında ortaya çıkan problem ve uygunsuzluklarında kayıt altına alınmasınıda gereklilikler arasında.

Madde 13: Alt yüklenici firmadan sorumlu olma yükümlülüğü

Telekom şirketi bu yönetmeliği uygulamak için bir alt yüklenici (danışman) firma ile çalışabilir. Bu alt yüklenici firmanında yapacağı bütün ihlallerden telekom şirketi sorumlu olacak.

Madde 14: Müeyyideler

Yönetmelikte merak edilen maddeye geldik. Yönetmelikte belirlenen maddelere ve gerekliliklere, ISO 27001 içerikleride dahil olmak üzere uyulmaması durumunda yıllık cirosunun %1 ‘ine kadar para cezası öngörülüyor.

Geçiçi bir madde olarak olarak telekom şirketlerine bu yönetmeliği uygulaması ve bilgi güvenliği yönetim sistemine geçişi tamamlaması için yönetmeliğin yürürlüğe girdiği tarihten itibaren 1 yılları var. Üst yönetim desteği ile bilgi ve tecrübesi yeterli personel sağlandığında sağlıklı bir şekilde yapabilirler.

Günümüzde bilgiye verilen değerin kurumsal alanın yanında kamusal alandada dikkate alınarak böyle bir yönetmelik düzenlenmesi güven verici. Özellikle denetimler ve sonucundaki yaptırımların çok ciddi olmasıda bu bilincin kurumlara yerleşmesine katkısı olacağını umuyorum.

Yönetmelik Linki : http://rega.basbakanlik.gov.tr/eskiler/2008/07/20080720-1.htm

İlgili Yazılar

• Stratejilere Uygun Faaliyet Oluşturma ve Önceliklendirme (0)
• Bilgi Güvenliği: Bilgimiz Korunacak Kadar Değerli mi? (0)
• Uygulanan bir gerçek algısı; Bursagaz (0)
• ISO 27001 Nedir? (0)
• Bilgimiz Korunacak Kadar Değerli mi? (0)
• Bilgi’nin Gizlilik, Bütünsellik ve Erişebilirliği (0)