LOGO EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı
LOGO Sunum Planı Bilgi Güvenliği 1 Bilgi güvenliği Standartları 2 Düzenlemenin İçeriği 4 Düzenlemenin Sektöre Etkileri 5 Ejder Oruç TDS Dairesi Başkanı Düzenlemenin Amaç ve Kapsamı 3 Sonuç 6
LOGO 3 Bilgi Güvenliği Bilgi bütünlüğünün korunması Yetkisiz erişimin engellenmesi Mahremiyet ve gizliliğin korunması Sistemin devamlılığının sağlanması için tehdit ve tehlikelerden korunmasıdır Ejder Oruç TDS Dairesi Başkanı Bilgi Güvenliği
LOGO Bilgi Güvenliği Standartları Bilgi Güvenliğine ilişkin süreçlerin yönetilmesinde ve kurumsal plan ve uygulamaların geliştirilmesinde uluslararası kabul görmüş standartların kullanılması önem arz etmektedir BS–7799 ISO–17799 ISO–27001:2005 TS ISO/IEC Ejder Oruç TDS Dairesi Başkanı
LOGO Ejder Oruç TDS Dairesi Başkanı Elekronik Haberleşme Sektöründe Düzenleme ihtiyaçı Haberleşme olanaklarının büyük bir hızla yayılımı ve kullanımının artışı beraberinde ses ve veri güvenliği kaygılarını da ön plana çıkarmıştır. Bu nedenle, dünya çapında ülkeler teknolojinin açıkta bıraktığı güvenlik unsurlarını çeşitli mevzuat hükümleriyle kapatmak adına çalışmalar yapmaktadır. Ülkemizde de gerek tüketici şikayetleri gerekse medyada yer alan haberler,haberleşme konusunda güvenlik tehditlerinin mevcut olduğu kanaatini toplumda oluşturmuş durumdadır. 5
LOGO Ejder Oruç TDS Dairesi Başkanı Elektronik Haberleşmenin Güvenliği Yönetmeliği Elektronik Haberleşmenin Güvenliği Yönetmeliği: tarih ve sayılı Resmi Gazetede Yayımlarak yürürlüğe girmiştir. 6
LOGO Ejder Oruç TDS Dairesi Başkanı Düzenlemenin Amacı Yapılan düzenleme ile; Gelişen teknoloji ve farklı kullanım alanlarından kaynaklanan güvenlik risklerinin azaltılması, Elektronik haberleşmenin gerekli güvenlik seviyelerinde sağlanması, İşletmecilerin uluslararası güvenlik ilkeleri ve standartlar çerçevesinde hizmet vermelerinin sağlanması, Güvenlik zafiyetlerinin tüketiciye yansıtılmasının önlenmesi, amaçlanmıştır. 7
LOGO Ejder Oruç TDS Dairesi Başkanı Düzenlemenin Kapsamı Bu yönetmelik, işletmecilerin; Fiziksel alan güvenliği, Veri güvenliği, Donanım-yazılım güvenliği ve güvenilirliği Personel güvenilirliğinin sağlanması için alacakları tedbirlere yönelik usul ve esasları kapsamaktadır. Kişisel bilgilerin işlenmesi ve gizliliğinin korunması kapsam dışında tutulmuştur. 8
LOGO Ejder Oruç TDS Dairesi Başkanı Düzenlemenin İçeriği Düzenleme Tehdit ve zafiyetler, Tehdit ve zafiyetler Fiziksel alan güvenliği, Fiziksel alan güvenliği Personel güvenilirliği, Personel güvenilirliği Veri güvenliği, Veri güvenliği Donanım-yazılım güvenliği ve güvenilirliği, Donanım-yazılım güvenliği ve güvenilirliği İşletmecilerin Yükümlülükleri, İşletmecilerin Yükümlülükleri Müeyyideler, Müeyyideler bölümlerinden oluşmaktadır. 9
LOGO Ejder Oruç TDS Dairesi Başkanı Düzenlemenin Sektöre Etkileri Elektronik haberleşme hizmetlerinin güvenliği artacak, İşletmeciler tarafından bilgi güvenliği yönetim sistemleri kurulacak, Güvenlik konusunda standartlaşma sağlanmış olacak, 10
LOGO Ejder Oruç TDS Dairesi Başkanı Düzenlemenin Sektöre Etkileri Ulusal ve uluslararası düzeyde prestij artacak İşletmecilerin hizmet kaliteleri artacak, Tüketicilerin memnuniyeti artacak mağduriyet ortadan kalkacak, 11
LOGO Ejder Oruç TDS Dairesi Başkanı Elektronik Haberleşme Güvenliği Yönetmeliği; İşletmecilerin altyapı ve şebekelerini bilgi güvenliği ile ilgili TS ISO/IEC standardına uygun hale getirecek, Fiziksel alan güvenliği, Personel güvenilirliği, Veri güvenliği, Donanım-yazılım güvenliği ve güvenilirliğinin Geliştirilmesi ile birlikte, Haberleşme içeriğinin gizliliğinin, bütünlüğünün ve devamlılığının güvence altına alınmasını sağlayacaktır. Sonuç 12
LOGO Ejder Oruç TDS Dairesi Başkanı Sonuç Elektronik Haberleşme Güvenliği Yönetmeliği Tüketici memnuniyetinin İşletmecilerin güvenilirlik ve prestijlerinin artırılmasını teşvik ederek, hem işletmeci hem tüketici boyutuyla ülkemiz telekomünikasyon sektörüne olumlu etki edecek bir düzenlemedir. 13
LOGO EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı
LOGO Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı Tehdit ve Zafiyetler Tehditler; Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi, silme, ekleme, değiştirme, geciktirme, kaydedilmesi, Deprem, sel, su baskını, yangın gibi doğal afetler ile grev, lokavt hali, Kullanıcının yanıltılması, Altyapının hizmet veremez hale getirilmesi Zafiyetler; Gerçekleşmesi muhtemel tehditlerin öngörülememesi, Bir sistem veya protokolün tasarımında yapılan yanlışlıklar, Geliştirici ve/veya uygulayıcıların hataları, Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizlikler GERİ
LOGO Elektronik haberleşme altyapısının bulunduğu bina içi ve bina dışı güvenlik hassasiyetli alanlarda, Güvenlik riski oluşturabilecek alt yapı bileşenlerine erişimin kontrol altında tutulması Yetkisiz kişilerin bu alanlara girişinin engellenmesi amaçlanmıştır. Fiziksel Alan Güvenliği Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı GERİ
LOGO Hizmet sunumunda personelin güvenilirliğinin sağlanması amacıyla; İşe alım, İş değiştirme, Çalışma şartları İşe son verme hususlarında dikkat edilmesi gereken hususlar belirlenmiştir. Personel Güvenilirliği Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı GERİ
LOGO Veri güvenliği, yetkili olmayan unsurlarca Sınırlı erişime açık verilere erişimin, Verilerin kullanımının, İfşa edilmesinin, Silinmesinin, Değiştirilmesinin veya bozulmasının engellemesi olarak tanımlanabilir. Temel amaç bilgiye yetkili unsurların erişimini sağlarken gizlilik, bütünlük, devamlılığı korumaktır. Veri Güvenliği Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı GERİ
LOGO Donanım-Yazılım Güvenliği ve Güvenilirliği Bu bölümde elektronik haberleşme altyapısında kullanılan Donanım ve Yazılımın güvenlik riski oluşturmaması için alınması gereken tedbirler belirlenmiştir. GERİ
LOGO Elektronik haberleşme güvenliğini sağlama yükümlülüğü Elektronik haberleşme güvenliğini sağlama yükümlülüğü Kuruma bilgi verme yükümlülüğü Kuruma bilgi verme yükümlülüğü Alt yüklenici firmadan sorumlu olma yükümlülüğü Alt yüklenici firmadan sorumlu olma yükümlülüğü İç denetim yükümlülüğü İç denetim yükümlülüğü İşletmecilerin Yükümlülükleri Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı GERİ
LOGO Yetkilendirme tarihinden itibaren bir yıl içerisinde TS ISO/IEC standardına uyumluluğun sağlanması (Mevcut işletmeciler yönetmeliğin yürürlük tarihinden itibaren bir yıl içerisinde) Yılda en az bir kez tehdit ve risk analizinin yapılması Tespit edilen tehdit ve zafiyetlere ilişkin riskin değerlendirerek gerekli önlemlerin alınması Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı GERİ
LOGO Tespit edilen tehdit ve zafiyetler ile bunların tasnifi ile gerçekleşme olasılıkları, Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetler, Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi sırasında ortaya çıkan uygunsuzluklar gibi hususlar içeren “Elektronik haberleşme güvenliği raporunun” her yıl hazırlanarak Kuruma gönderilmesi Kuruma Bilgi Verme Yükümlülüğü Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı GERİ
LOGO İşletmecinin sunduğu hizmete ilişkin alt yüklenici firma ile çalışması, bu Yönetmelik kapsamında belirlenen yükümlülüklerini ortadan kaldırmamaktadır. Alt Yüklenici Firmadan Sorumlu Olma Yükümlülüğü Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı GERİ
LOGO İç Denetim Yükümlülüğü İşletmeci, sunduğu hizmete ilişkin elektronik haberleşme güvenliğini, düzenli ve rastgele yapılacak iç denetimler ile kontrol edecektir. GERİ
LOGO Müeyyideler Bu Yönetmelik hükümlerinin ihlali durumunda; “Bilgi Teknolojileri ve İletişim Kurumu Tarafından Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik” çerçevesinde söz konusu ihlale karşılık gelen idari para cezası uygulanacaktır. GERİ