Upload
rupali
View
58
Download
1
Embed Size (px)
DESCRIPTION
ELEKTRONİK HABERLEŞME GÜVENLİĞİ. EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı. Sunum Planı. 1. 3. Bilgi Güvenliği. Düzenlemenin Amaç ve Kapsamı. 4. 6. 2. Düzenlemenin İçeriği. Sonuç. Bilgi güvenliği Standartları. 5. Düzenlemenin Sektöre Etkileri. 18.9.2014. - PowerPoint PPT Presentation
Citation preview
LOGO
EJDER ORUÇTeknik Düzenleme ve Standardizasyon Dairesi Başkanı
LOGO
Sunum Planı
Bilgi Güvenliği1
Bilgi güvenliği Standartları2
Düzenlemenin İçeriği4
Düzenlemenin Sektöre Etkileri5
Ejder Oruç TDS Dairesi Başkanı21.04.23 2
Düzenlemenin Amaç ve Kapsamı3
Sonuç6
LOGO
3
Bilgi Güvenliği
• Bilgi bütünlüğünün korunması• Yetkisiz erişimin engellenmesi• Mahremiyet ve gizliliğin korunması • Sistemin devamlılığının sağlanması
için tehdit ve tehlikelerden korunmasıdır.
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Bilgi Güvenliği
LOGO
Bilgi Güvenliği Standartları
Bilgi Güvenliğine ilişkin süreçlerin yönetilmesinde ve kurumsal plan ve uygulamaların geliştirilmesinde uluslararası kabul görmüş standartların kullanılması önem arz etmektedir
BS–7799
ISO–17799
ISO–27001:2005
TS ISO/IEC 27001
421.04.23 Ejder Oruç TDS Dairesi Başkanı
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Elekronik Haberleşme Sektöründe Düzenleme ihtiyaçı
• Haberleşme olanaklarının büyük bir hızla yayılımı ve kullanımının artışı beraberinde ses ve veri güvenliği kaygılarını da ön plana çıkarmıştır.
• Bu nedenle, dünya çapında ülkeler teknolojinin açıkta bıraktığı güvenlik unsurlarını çeşitli mevzuat hükümleriyle kapatmak adına çalışmalar yapmaktadır.
• Ülkemizde de gerek tüketici şikayetleri gerekse medyada yer alan haberler,haberleşme konusunda güvenlik tehditlerinin mevcut olduğu kanaatini toplumda oluşturmuş durumdadır.
5
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Elektronik Haberleşmenin Güvenliği Yönetmeliği
Elektronik Haberleşmenin Güvenliği Yönetmeliği:
20.07.2008 tarih ve 26942 sayılı Resmi
Gazetede Yayımlarak yürürlüğe girmiştir.
6
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Düzenlemenin Amacı
Yapılan düzenleme ile;
• Gelişen teknoloji ve farklı kullanım alanlarından kaynaklanan güvenlik risklerinin azaltılması,
• Elektronik haberleşmenin gerekli güvenlik seviyelerinde sağlanması,
• İşletmecilerin uluslararası güvenlik ilkeleri ve standartlar çerçevesinde hizmet vermelerinin sağlanması,
• Güvenlik zafiyetlerinin tüketiciye yansıtılmasının önlenmesi,
amaçlanmıştır.
7
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Düzenlemenin Kapsamı
Bu yönetmelik, işletmecilerin;
Fiziksel alan güvenliği, Veri güvenliği, Donanım-yazılım güvenliği ve güvenilirliği Personel güvenilirliğinin
sağlanması için alacakları tedbirlere yönelik usul ve esasları kapsamaktadır.
Kişisel bilgilerin işlenmesi ve gizliliğinin korunması kapsam dışında tutulmuştur.
8
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Düzenlemenin İçeriği
Düzenleme
• Tehdit ve zafiyetler,
• Fiziksel alan güvenliği,
• Personel güvenilirliği,
• Veri güvenliği,
• Donanım-yazılım güvenliği ve güvenilirliği,
• İşletmecilerin Yükümlülükleri,
• Müeyyideler,
bölümlerinden oluşmaktadır.
9
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Düzenlemenin Sektöre Etkileri
Elektronik haberleşme hizmetlerinin güvenliği artacak,
İşletmeciler tarafından bilgi güvenliği yönetim sistemleri kurulacak,
Güvenlik konusunda standartlaşma sağlanmış olacak,
10
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Düzenlemenin Sektöre Etkileri
• Ulusal ve uluslararası düzeyde prestij artacak
• İşletmecilerin hizmet kaliteleri artacak,
• Tüketicilerin memnuniyeti artacak mağduriyet ortadan kalkacak,
11
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Elektronik Haberleşme Güvenliği Yönetmeliği;
İşletmecilerin altyapı ve şebekelerini bilgi güvenliği ile ilgili TS ISO/IEC 27001 standardına uygun hale getirecek,
Fiziksel alan güvenliği, Personel güvenilirliği, Veri güvenliği, Donanım-yazılım güvenliği ve güvenilirliğinin
Geliştirilmesi ile birlikte, Haberleşme içeriğinin gizliliğinin, bütünlüğünün ve
devamlılığının güvence altına alınmasını sağlayacaktır.
Sonuç
12
LOGO
21.04.23 Ejder Oruç TDS Dairesi Başkanı
Sonuç
Elektronik Haberleşme Güvenliği Yönetmeliği
Tüketici memnuniyetinin
İşletmecilerin güvenilirlik ve prestijlerinin
artırılmasını teşvik ederek, hem işletmeci hem tüketici boyutuyla ülkemiz telekomünikasyon sektörüne olumlu etki edecek bir düzenlemedir.
13
LOGO
EJDER ORUÇTeknik Düzenleme ve Standardizasyon Dairesi Başkanı
LOGO
21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
Tehdit ve Zafiyetler
Tehditler;
Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi, silme, ekleme, değiştirme, geciktirme, kaydedilmesi,
Deprem, sel, su baskını, yangın gibi doğal afetler ile grev, lokavt hali,
Kullanıcının yanıltılması,
Altyapının hizmet veremez hale getirilmesi
Zafiyetler;
Gerçekleşmesi muhtemel tehditlerin öngörülememesi,
Bir sistem veya protokolün tasarımında yapılan yanlışlıklar,
Geliştirici ve/veya uygulayıcıların hataları,
Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizlikler
GERİ
LOGO
Elektronik haberleşme altyapısının bulunduğu
bina içi ve bina dışı güvenlik hassasiyetli alanlarda,
Güvenlik riski oluşturabilecek alt yapı bileşenlerine erişimin kontrol altında tutulması
Yetkisiz kişilerin bu alanlara girişinin engellenmesi
amaçlanmıştır.
Fiziksel Alan Güvenliği
21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
GERİ
LOGO
Hizmet sunumunda personelin güvenilirliğinin sağlanması amacıyla;
İşe alım, İş değiştirme, Çalışma şartları İşe son verme
hususlarında dikkat edilmesi gereken hususlar belirlenmiştir.
Personel Güvenilirliği
21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
GERİ
LOGO
Veri güvenliği, yetkili olmayan unsurlarca
Sınırlı erişime açık verilere erişimin, Verilerin kullanımının, İfşa edilmesinin, Silinmesinin, Değiştirilmesinin veya bozulmasının
engellemesi olarak tanımlanabilir.
Temel amaç bilgiye yetkili unsurların erişimini sağlarken gizlilik, bütünlük, devamlılığı korumaktır.
Veri Güvenliği
21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
GERİ
LOGO
Donanım-Yazılım Güvenliği ve Güvenilirliği
Bu bölümde elektronik haberleşme altyapısında kullanılan
Donanım ve Yazılımın
güvenlik riski oluşturmaması için alınması gereken tedbirler belirlenmiştir.
GERİ
LOGO
Elektronik haberleşme güvenliğini sağlama yükümlülüğü
Kuruma bilgi verme yükümlülüğü
Alt yüklenici firmadan sorumlu olma yükümlülüğü
İç denetim yükümlülüğü
İşletmecilerin Yükümlülükleri
21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
GERİ
LOGO
Yetkilendirme tarihinden itibaren bir yıl içerisinde TS ISO/IEC 27001 standardına uyumluluğun sağlanması
(Mevcut işletmeciler yönetmeliğin yürürlük tarihinden itibaren bir yıl içerisinde)
Yılda en az bir kez tehdit ve risk analizinin yapılması
Tespit edilen tehdit ve zafiyetlere ilişkin riskin değerlendirerek gerekli önlemlerin alınması
Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü
21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
GERİ
LOGO
Tespit edilen tehdit ve zafiyetler ile bunların tasnifi ile gerçekleşme olasılıkları,
Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetler,
Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi sırasında ortaya çıkan uygunsuzluklar
gibi hususlar içeren “Elektronik haberleşme güvenliği raporunun” her yıl hazırlanarak Kuruma gönderilmesi
Kuruma Bilgi Verme Yükümlülüğü
21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı
GERİ
LOGO
İşletmecinin sunduğu hizmete ilişkin alt yüklenici firma ile çalışması, bu Yönetmelik kapsamında belirlenen yükümlülüklerini ortadan kaldırmamaktadır.
Alt Yüklenici Firmadan Sorumlu Olma Yükümlülüğü
Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı21.04.23
GERİ
LOGO
İç Denetim Yükümlülüğü
İşletmeci, sunduğu hizmete ilişkin elektronik haberleşme güvenliğini, düzenli ve rastgele yapılacak iç denetimler ile kontrol edecektir.
GERİ
LOGO
Müeyyideler
Bu Yönetmelik hükümlerinin ihlali durumunda; “Bilgi Teknolojileri ve İletişim Kurumu Tarafından Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik” çerçevesinde söz konusu ihlale karşılık gelen idari para cezası uygulanacaktır.
GERİ