20 Temmuz Pazar günü Resmi Gazete’de “Elektronik Haberleşme Yönetmeliği” yayınlandı. Bu yönetmeliğe göre GSM operatörleri, Internet servis sağlayıcıları ve Hosting firmalari ISO 27001:2005’e uyum sağlamakla yükümlü hale geldiler.
Yönetmelikte, ilgili işletmelerin yetkilerini aldıktan sonra bir sene içerisinde ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemini uygulamakla yükümlü oldukları belirtiliyor. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Telekomunikasyon Kurulu tarafından gerekli görülmesi halinde ilave süre verilebilecek.
»»
Yönetmelik, kurumların fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsıyor.

Yukarıda da belirtildiği gibi yönetmelik, ISO 27001 Bilgi Güvenliği Yönetim Sisteminde olduğu gibi standardın EK kısmındaki 133 kontrolün ana başlıklarını içeriyor. ISO 27001 standardında Ek A kısmındaki A8 İnsan Kaynakları Güvenliği, A9 Fiziksel ve Çevresel Güvenlik, A10 Haberleşme ve İşletim Yönetimi gibi kontrolleri kapsıyor. Diğer taraftan yönetmelik standarttaki gibi varlıklar üzerindeki tehdit ve açıklıkların belirlenmesi söz konusu.

Ancak standardın Ek A 15.1.4 maddesindeki kişisel bilgilerin işlenmesi ve gizliliğinin korunması, bu Yönetmelik kapsamı dışında bırakılmış durumda.
Yönetmelikte elektronik haberleşmeye ilişkin tehdit ve açıklık/zaafiyet örnekleri verilmiş ve bunlar aşağıdaki gibi sıralanmış:

Tehditler:
a) Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi,
b) Yetkisiz olarak veya yetki aşımıyla silme, ekleme, değiştirme, geciktirme, başka bir ortama kaydetme veya ifşa etme yoluyla veri gizliliğinin, bütünlüğünün ve/veya devamlılığının bozulması,
c) Donanım-yazılım bileşenlerinin ulusal düzenleme ile ulusal ve/veya uluslararası standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmesi,
ç) Deprem, sel, su baskını, yangın gibi doğal afetler ile grev ve lokavt hali,
d) Kullanıcıyı yanıltarak doğru tarafla elektronik haberleşmede bulunduğu izleniminin verilmesi,
e) Elektronik haberleşmenin yasal olmayan bir şekilde izlenmesi ve/veya dinlenmesi,
f) Doğru olmayan bir bilgi üretilerek bu bilginin başka bir taraftan alındığının iddia edilmesi veya başka bir tarafa gönderilmesi,
g) Elektronik haberleşme altyapısının kısmen veya tamamen hizmet veremez hale getirilmesi veya altyapıya ait kaynakların, hizmet sunumunu aksatacak şekilde tüketilmesidir.

Zayıflıklar:
a) Gelecekte gerçekleşmesi muhtemel tehditlerin öngörülememesi,
b) Bir sistem veya protokolün tasarımında yapılan yanlışlıklar,
c) Bir sistem veya protokolün kurulumu sırasında oluşan problemler,
ç) Geliştiricilerin hataları,
d) Uygulayıcıların hataları,
e) Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizliklerdir.
Fiziksel Alan Güvenliği – Standardın EK A kısmındaki A9’a denk geliyor:
Bina içi güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:
a) Giriş ve erişim yetkisi ile bu yetkinin kapsamı işletmeci tarafından önceden tanımlanarak, giriş ve erişim sadece yetkili kişilerle sınırlandırılır.
b) Ziyaretçi giriş ve çıkışlarında gerekli kontroller yapılarak, tarih, saat ve kimlik gibi bilgiler kaydedilerek, her ziyaretçinin sadece izin verilen yerlere girişi ve çıkışı sağlanır.
c) Tüm personel ve personel harici kişiler, kimlik bilgilerini, yetki ve erişim seviyelerini açık bir şekilde görünür kılacak giriş veya kimlik kartı taşır.
ç) Güvenlik hassasiyetli alanlara giriş ve erişim yetkisi, düzenli olarak gözden geçirilerek güncellenir ve gerekli değilse iptal edilir.

Bina dışı güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:
a) Sahada yer alan, elektronik haberleşme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski oluşturabilecek alt yapı bileşenlerine erişim kontrol altında tutulur ve yetkisiz kişilerin kolaylıkla erişim sağlayamayacağı şekilde tesis edilir.
b) Elektronik haberleşme maksatlı kullanılan kule ve saha dolapları, yetkisiz kişilerin müdahale etmesini engellemek amacıyla uyarıcı levhalar ile donatılır.
Güvenlik hassasiyetli alanlarda ek olarak aşağıdaki tedbirler alınır:
a) Kötü niyetli faaliyetleri engellemek amacıyla planlanmamış çalışmalardan kaçınılır.
b) Ses ve/veya video kayıt cihazlarının güvenlik hassasiyetli alanlara, izinsiz olarak girişini engellemek amacıyla gerekli önlemler alınır.
c) Güvenlik hassasiyetli alanların, tehditlere karşı korunması amacıyla fiziki güvenlik tedbirleri planlanır ve gerekli önlemler alınır.

Personel Güvenilirliği – Standardın EK A kısmındaki A8’e denk geliyor:
(1) Elektronik haberleşme altyapısında istihdam edilen teknik personel, konusunda yeterli mesleki deneyime sahip ya da eğitim almış olmalıdır. Bu personelin görev tanım ve sorumlulukları açıkça belirlenmelidir.
(2) Elektronik haberleşme altyapısında istihdam edilecek personel hakkında adli sicil kaydı belgesi istenir.
(3) Personelin haberleşme gizliliğine, milli güvenliğe ve kamu düzenine aykırı davranışta bulunmaması için her türlü önlem alınarak, işlerin ve hizmetlerin düzenli yürütülmesi sağlanır.
Veri güvenliği

Veri güvenliği aşağıdaki hükümler uyarınca sağlanır:
a) Veri erişim yetkisi ve bu yetkinin kapsamı, veri türüne göre önceden belirlenir ve kayıt altına alınır.
b) Yetki sınırları dahilinde erişim sağlanması için kullanılacak teknolojilerin seçimi, işletmecinin tasarrufundadır.
 

Donanım-yazılım güvenliği ve güvenilirliği
Elektronik haberleşme altyapılarında kullanılan donanım-yazılım güvenliği ve güvenilirliği aşağıdaki hükümler uyarınca sağlanır:
a) Donanım-yazılımın ulusal düzenleme ile ulusal ve/veya uluslararası standartlara uygun olması sağlanır.
b) Aynı fiziksel alanda ve/veya farklı fiziksel alanlarda bulunan donanım-yazılım bileşenleri arasındaki iç haberleşmeyi sağlayan kablolu ve/veya kablosuz ağ yönetimi sadece yetkili kişiler tarafından erişilecek şekilde şifrelenir.
c) Donanım-yazılım bileşenleri, herhangi bir güvenlik tehdidinin gerçekleşmesini önlemek üzere kontrol ve izleme altında tutulur.
ç) Donanım-yazılım bileşenlerinin, yasal olmayan elektronik haberleşme dinleme ve/veya izleme tehdidi oluşturacak unsurları içerip içermediğini belirlemek üzere satın alma, kullanım, bakım ve onarım sırasında kontrolleri yapılır. Donanım-yazılım bileşenlerinde bu tür bir unsurun varlığının saptanması durumunda ilgili bileşenin kullanımına son verilir. Bu durum kayıt altına alınarak raporlanır ve oluşan tehdidi bertaraf edecek önlemler ivedilikle alınır.
d) Kuruluş, elektronik haberleşmenin gizliliği, bütünlüğü ve devamlılığının sağlanması için kritik donanım-yazılım bileşenlerinin tespitini yapar. Tespit edilen kritik donanım-yazılım bileşenlerinin yedekli çalışması esastır.

Elektronik haberleşme güvenliğini sağlama yükümlülüğü
Kuruluş, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen Kuruluşlar yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlayacak. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan Kuruluşlere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilecek.
Kuruluş, elektronik haberleşme güvenliği kapsamında, başta 6 ncı maddede belirtilen tehdit ve zafiyetler/açıklıklar olmak üzere, kendi teknik ve idari yapılanmasına göre yılda en az bir kez risk analizi yapacak veya bu analizi tarafsız kuruluşlara yaptıracak. Bu çerçevede tespit edilen tehdit ve zafiyetlere ilişkin riski değerlendirerek gerekli önlemleri alması sağlanacak. ISO 27001 standardında ise kuruluşların kendi risk analizlerini kendilerinin yapması bekleniyor. Bu yönetmeliğin de yürürlüğe alınması ile kuruluşlar risk değerlendirme çalışmalarını tarafsız kurumlara yaptıracak.

Telekomunikasyon Kurumuna bilgi verme yükümlülüğü
Elektronik haberleşme güvenliğine ilişkin rapor her yıl yenilenecek ve Şubat ayı sonuna kadar Telekomunikasyon Kurumuna gönderilir. Söz konusu rapor;
a) 11 inci madde kapsamında yapılan risk analizinde tespit edilen tehdit ve zafiyetler ile bunların yüksek, orta veya düşük şeklinde tasnifi ile gerçekleşme olasılıkları ve önlemleri,
b) Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetleri ve bu faaliyetlerde görev alacak personel ile bunların yetki ve sorumluluklarının neler olacağını içeren iş akış diyagramları ve acil eylem planlarını,
c) Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi ile bakım ve onarımı sırasında ortaya çıkan ve raporlanan problem ile uygunsuzlukları içerecek.

Alt yüklenici firmadan sorumlu olma yükümlülüğü
ISO 27001 standardına uyumlu çalışacak olan kuruluşun alt yüklenici firma ile çalışılması halinde, alt yüklenici firma tarafından bu yönetmelik hükümlerinin ihlal edilmesi durumunda söz konusu ihlalin kuruluş tarafından yapıldığı kabul edilecek.
Aşağıda belirtilen yönetmelikte yer almayan; haberleşmenin güvenliğine yönelik tehdit ve zafiyetlere ilişkin gerekli önlemlerin alınmaması ile bina içi ve dışı güvenlik hassasiyetli alanlarda yeterli önlemlerin alınmaması durumunda kuruluşun bir önceki takvim yılındaki cirosunun % 1 (yüzde bir)’ine kadar idari para cezası uygulanacak. Telekomünikasyon Kurulu tarafından gerekli görülen durumlarda idari para cezası verilmeden önce, ilgili kuruluşa söz konusu durumun düzeltilmesi için yeterli süre verilebilecek.