Salı, Kasım 29, 2005

Elektronik Haberleşme Yasa Tasarısı TBMM Komisyonlarında

Elektronik Haberlesme Yasa Tasarısı TBMM'de bu Perşembe komisyonlarda tartışılmaya başlıyormuş. Daha sonra taslak yasalaşma sürecine girecek. Bu süreçte, tüm elektronik haberleşme şekillerimizi kapsayacak bu yasa tasarısını ülkece tartışmamız, ve hatta yorum ve önerilerimizi uygun platformlarda dile getirmemiz gerektiğini düşünüyorum.

Eğer bilgi güvenliği camiası olarak konuyla ilgili uygun şartların bu yasa tasarısına girmesini sağlayabilirsek, bilgi güvenliğinin Türkiye'de yerleşmesi ve kurumsallaşması adına büyük bir adım atmış oluruz.

Hatırlanacağı gibi, Telekomunikayon Kurumu'nun Elektronik Sertifika Hizmet Sağlayıcı'lara BS7799-2 ve TSE 17799 sertifikasyonu şartı getirmesi, bilgi güvenliği sektörünü bir parça hareketlendirmiş ve ilk sertifikasyonların oluşmasını sağlamıştı.

Aşağıda, kanun metni içinde "güvenlik" geçen kanun maddelerini ayıkladım. Ancak bir çok maddede "kamu güvenliği" geçtiği için onları ayıklamadım. Neticede, okuyanları konuya ısıtmak için birkaç maddeyi aşağıda bulabilirsiniz.

Aslında kanunun, Türkiye'deki bilgi güvenliği sektörüne veya genelde bilgi teknolojileri sektörüne etkisini anlamak için sadece bu maddelere bakmak elbette yeterli değil. Onun için kanun tasarısının tümünü de buraya ekliyorum.Elektronik Haberlesme Kanunu Tasarisi.doc

İLGİLİ YORUMLAR


TASLAKTA "KAMU GÜVENLİĞİ HARİÇ "GÜVENLİK" REFERANSI OLAN MADDELER

İlkeler
Madde 4 - Her türlü elektronik haberleşme cihaz, sistem ve şebekelerinin kurulması ve işletilmesine müsaade edilmesi, gerekli frekans, numara, uydu pozisyonu ve benzeri kaynak tahsislerinin yapılması ile bunların kontrolü Devletin yetki ve sorumluluğu altındadır. İlgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde aşağıdaki ilkeler göz önüne alınır:
....
m) Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi.


Bakanlığın görev ve yetkileri
Madde 5 - Bakanlığın, elektronik haberleşme sektörüne ilişkin yetki ve görevleri şunlardır:
...
d) Ucuz, hızlı ve güvenli internet erişiminin sağlanması ve kullanımının yaygınlaştırılması amacına yönelik politikaları belirlemek.


Yetkilendirme usulü
Madde 9 - Yetkilendirme, bildirim ve kullanım hakkının verilmesi yoluyla yapılır.
...
Kurum, kamu güvenliği, kamu sağlığı ve benzeri kamu yararı gereklerinden kaynaklanan sebeplerle, şirketlerin elektronik haberleşme alanında faaliyete geçmelerini veya elektronik haberleşme sağlamalarını engelleyebilir.


İşletmecilerin hak ve yükümlülükleri
Madde 12 - İşletmeci, mevzuat, Kurum düzenlemeleri ve yetkilendirmesinde öngörülen şartlara uygun olarak yetkilendirildiği kapsamdaki elektronik haberleşme hizmetini sunma hak ve yükümlülüğüne sahiptir.
Kurum, işletmecilere aşağıdaki hususlarla sınırlı olmamak kaydıyla yükümlülükler getirebilir:
...
k) İzinsiz erişime karşı kamu şebeke güvenliğinin sağlanması,


Geçiş hakkına ilişkin yükümlülükler
Madde 28 - Taşınmaz sahibi ve/veya taşınmaz üzerinde hak sahipleri, işletmecinin geçiş hakkı kapsamında yürüteceği faaliyetlerin, kesintisiz ve güvenli bir şekilde gerçekleştirilmesini sağlamak amacıyla, masrafları işletmeci tarafından karşılanmak üzere, gerekli tüm önlemlerin alınmasına izin verir.


Telsiz kurma ve kullanma izni, telsiz ruhsatnamesi ve kullanıma ilişkin esaslar
Madde 37 - ... Yönetmelik ile belirlenen limit değerlere ve güvenlik mesafesine uygun bulunan sabit elektronik haberleşme cihazlarına Kurum tarafından güvenlik sertifikası düzenlenir. Elektronik haberleşme alt yapısına mahkeme kararı veya Kurum tarafından alınmış bir karar olmadıkça, elektronik haberleşmenin aksamasına neden olacak biçimde müdahalelerde bulunulamaz.

Kodlu ve kriptolu haberleşme
Madde 39 - Telsiz haberleşme sistemleri üzerinden kriptolu haberleşme yapmaya Türk Silahlı Kuvvetleri, Jandarma Genel Komutanlığı ve Sahil Güvenlik Komutanlığı, Milli İstihbarat Teşkilatı, Emniyet Genel Müdürlüğü ve Dışişleri Bakanlığı yetkilidir. Ayrıca yukarıda belirtilen kurumlara ait olanlar dışında kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin elektronik haberleşme hizmeti içinde kodlu veya kriptolu haberleşme yapma usul ve esasları Kurum tarafından çıkarılacak yönetmelikle belirlenir.

Spektrum izleme ve denetimi
Madde 40 - Telsiz cihaz veya sistemlerinin belirlenen tekniklere ve usullere uygun olarak kurulmasının ve çalıştırılmasının denetimi, elektromanyetik girişimlerin tespiti ve giderilmesi, Devlet ve kişi güvenliğini ilgilendiren telsiz faaliyetleri konularında mevzuat dahilinde güvenlik birimleriyle işbirliği yapılması, ulusal ve uluslararası spektrum izleme ve denetleme faaliyetleri Kurum tarafından yürütülür. Bu işlemler ile ilgili usul ve esaslar Kurum tarafından çıkarılacak yönetmelikle belirlenir.


Onaylanmış kuruluşlar ile piyasa gözetimi ve denetimi
Madde 53 - ..Kurum, piyasa gözetimi ve denetimi faaliyetlerinde gerekli gördüğü durumlarda gözetim ve denetime konu cihaza ilişkin uygunluk değerlendirme işlemlerinde yer almayan test, muayene ve/veya belgelendirme kuruluşlarının imkanlarından yararlanabilir. Ancak, piyasa gözetimi ve denetiminde nihai karar Kuruma aittir. Cihazın güvenli olmadığının tespit edilmesi halinde, test ve muayeneye ilişkin giderler üretici tarafından ödenir.

Elektronik haberleşme cihazları, güvenli hale getirilmesinin imkansız olduğu durumlarda, masraflar üretici tarafından karşılanmak üzere, taşıdıkları risklere göre kısmen ya da tamamen Kurum tarafından bertaraf edilir veya ettirilir.


Abone ve cihaz kimlik bilgilerinin güvenliği
Madde 56 - Abone kimlik ve iletişim bilgilerini taşıyan özel bilgiler ile cihazların elektronik kimlik bilgilerini taşıyan her türlü yazılım, kart, araç veya gereç yetkisiz ve izinsiz olarak kopyalanamaz, muhafaza edilemez, dağıtılamaz, kendisine veya başkasına yarar sağlamak maksadıyla kullanılamaz.
İşletmeci veya adına iş yapan temsilcisine abonelik kaydı sırasında abonelik bilgileri konusunda gerçek dışı belge ve bilgi verilemez.
Abonelik tesisi için gerekli kimlik belgeleri kontrol edilmeden işletmeci veya adına iş yapan temsilcisi tarafından abonelik kaydı yapılamaz.
Abonelik tesisine ilişkin usul ve esaslar Kurum tarafından yönetmelikle belirlenir.


Teknik uyumluluk
Madde 57 - İşletmeciler, kayıp, kaçak veya çalıntı cihazlarla, Kurumun CEIR?ında yer alan elektronik kimlik bilgileri değiştirilmiş cihazlara elektronik haberleşme hizmeti veremez.
İşletmeciler, yukarıdaki fıkrada açıklanan yasal olmayan cihazların haberleşme şebekelerine bağlanılmalarını önlemek üzere EIR sistemlerini Kurumdaki CEIR sistemiyle birlikte uyumlu olarak çalışır hâle getirmek, bununla ilgili teknik alt yapı ve sisteminin güvenliği ve güvenilirliğini sağlamak ve aksamaksızın işletmekle yükümlüdürler...

Devamı

posted by Deniz Tuncalp @ 11:53 AM Yorumlar: 0  

Cuma, Kasım 25, 2005

Daha ucuza daha güvenli...

Gartner Group analisti ve başkan yarıdımcısı John Pescatore geçtiğimiz günlerde Orlando?da düzenlenen Symposium/ITxpo etkinliğinde demiş ki "Şirketler, güvenliğe daha az para harcayacak ve 2010 yılı itibariyle daha güvenli olacaklar?. Yıllardır ?patlamasını? beklediğimiz ama bir türlü tam ?patlamayan? güvenlik sektöründe, müşteri şirketlerin harcamalarının düşeceği ve üstelik güvenliğin buna paralel olarak gelişeceği öngörüsü, her açıdan tartışılmaya değer bir öngörü.

Pescatore diyor ki "Pazar, teknoloji ve örgütsel meselelerle ilgili kuvvetler bir araya geldiğinde, oluşan etkiler bilgi güvenliğinin toplam maliyetini düşürebilir ve aynı zamanda şirketlerin genel güvenlik profilinin iyileşmesini sağlayabilir. Etkinliği artıran bu sonuçlar gelişmeye devam edecek ve yeni ortaya çıkan her yeni 10 güvenlik tehdidinden bugün 8 tanesi yeni bir çözüm uygulanmasını gerektirirken, 2010 yılı itibariyle sadece birisi yeni bir çözümün uygulanmasını gerektirir hale gelecektir?.

Bu yorumdan anlaşılyor ki, Pescatore, özellikle mevcut IT güvenlik teknolojilerinin olgunlaşması ve güvenlik fonksiyonlarının entegre güvenlik platformlarında konsolide olması ile yeni yatırım ihtiyacının düşeceğini umuyor.

Pescatore'nin tahminleri sadece bununla sınırlı kalmamış, süreç yönetimi ile ilgili yetkinlik gelişimi de bekliyor. Ancak Pescatore süreçlerin etkinliğe ulaşmada önemini ikinci sırada değerlendirilmiş ve demiş ki ?Bilgi İşlem organizasyonunun süreç disiplinindeki gelişme, teknolojik gelişmeden sonra daha güvenli olmayı daha ucuza sağlamak yolunda ikinci en önemli etkiye sahip olacaklardır?. ?Bilgi güvenliği tehditleri ve teknolojileri olgunlaştıkça bu aktivitelerin bilgi işlem organizasyonunda operasyonel ekiplere devredildiğini göreceğiz. Bir bilgi güvenliği birimi, bu gibi operasyonel işler yerine, ortaya yeni çıkan tehditler ve teknolojilere odaklanmalıdır?.

İlk bakışta doğru gibi görünse de Pescatore?nin bu yorumuna katılmadığımı söylemeliyim. Eğer, Gartner?in tahmini doğruysa ve yeni tehditlerin çok azı yeni teknolojiler gerektirecekse, bilgi güvenliği ile uğraşan kimseler niye yeni teknolojilere odaklanmalıdır? ?Hype-cycle? güçlenerek devam etsin diye mi? Bilgi güvenliği risk yönetimi ve süreç kabiliyetleri öngörülen risklerin önceliklendirilmesi ve kontrol edilmesi için süreç yeteneklerini geliştirmek bu kadar önemli iken, alışkanlıkla yeni teknoloji fetişimizin peşine takılmak, bizi daha etkin bir bilgi güvenliği operasyonuna götürür mü? Hiç sanmıyorum.

Güvenlikle ilgili teknik operasyonların rutinleşip artık operasyonel ekiplere devir edilmesi zamanının çoktan geldiği bir gerçek. Bunu şirketlerimizde yaşamaya başladık bile. Bunun bilgi işlem maliyetlerini bir miktar düşüreceği ve belki de operasyonel etkinliğimizi bir miktar artırabileceğini de düşünebiliriz. Ancak sadece teknolojik gelişme, bunları kullanan kimselerin süreç bazlı yetenekleri gelişmeden, tek başına bir etkinlik artışı sağlayabilir mi? Kaç yıllık IDS?lerin teknolojisi bir miktar gelişti artık IPS diye pazarlanmaya başlandı da kullanımda ne değişti? Kullanamayan yine kullanamıyor.

Eğer daha etkin bir bilgi güvenliği performansı ile daha ucuza daha yüksek güvenlik sağlamayı arıyorsak, ISO 27001 ve ISO 17799 standartlarında tarif edildiği gibi bilgi güvenliği yönetimi kavramına ve bilgi güvenliği yönetim sistemleri?ne odaklanmamız gerekir. Benzeri standartlar gibi bir ?checklist? mantığı taşımadığı ve bilgi güvenliği risklerimiz şirket genelinde öngörüp, önceliklendirerek, güvenliği uygun kontroller ve politikalarla, asıl işimizin bir parçası olarak iş sahipleriyle birlikte yönetilmesini hedeflediği için, bu standartların, bilgi güvenliğini şirketlerin esas işin bir parçası haline getirdiğini düşünüyorum.

Hangi bilgi varlığının gizliliği, doğruluğu ve erişilebilirliği sadece güvenlikçinin işi olabilir ki? Bilgi güvenliğinin şirketin işinin bir parçası haline gelmesini sağlayamıyorsak, yaptığımız işin adı bilgi güvenliği? olmaz, ?bilişim güvenliği? olur. Bu da tek başına bizi kaynak kullanımı ve iş açısından güvenliği geliştirmekte istenen etkinliğe ulaştırmayacaktır.

Süreçlerimize bakmadan sadece teknolojiye odaklanmak, iş önceliklerimizi net biçimde görmemizi sağlayamayacağından, güvenliğe harcamayı düşündüğümüz 100 liralık bütçeyi, önce hangi konuya ayırmak gerektiği hakkında da bize bir şey öğretemez. O zaman çalıştığımız şirketin bilgi güvenliği performansı ön sezilerimizin kuvveti ve birlikte çalıştığımız güvenlik firmalarının satış ekiplerinin acarlığı arasındaki denge ile belirlenecek demektir.

SONUÇ: İş önceliklerine dayalı, güçlü bir analize oturmayan güvenlik planları sadece teknolojiye odaklanarak bizi ancak bu noktaya kadar getiriyor. Daha ileri bir etkinlik düzeyi için güvenlik süreçlerini geliştirmek, risk yönetimini yerleştirerek şirket genelinde bilgi güvenliği risklerini yönetebilir hale gelmek gerekiyor.
Devamı

posted by Deniz Tuncalp @ 10:36 PM Yorumlar: 3  

ISO 27001 Bilgi Güvenliği Sertifikasyonları