27 Nisan 2017 Perşembe

Elektrik Piyasası Lisans Yönetmeliği-ISO 27019 Değişikliği


Bildiğiniz üzere Elektrik Piyasası Lisans Yönetmeliğinde 26 Aralık 2014 tarihinde yayınlanan 29217 sayılı yönetmelik ile 100MW ve üzeri üretim yapan üretim lisansı sahipleri (OSB üretim lisansı sahipleri hariç), iletim lisansı sahipleri, piyasa işletim lisansı sahipleri ve dağıtım lisansı sahipleri (OSB dağıtım lisansı sahipleri hariç) için “Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak” zorunluluğu getirilmişti.
Geçtiğimiz yıl 22 Ekim 2016 tarihli 29865 sayılı yayınlanan bir yönetmelik ile Üretim Lisansı sahiplerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasyonu zorunluluğunun kaldırıldığı yayınlanmıştı.


Elektrik Piyasası Lisans Yönetmeliğine ilişkin 24 Şubat 2017 tarihinde yayınlanan son değişiklik yönetmeliği ile Üretim Lisansı sahiplerinde ISO 27001 zorunluluğu yeniden gündeme getirilmiştir. Aynı zamanda bu yönetmelik değişikliği ile elektrik üretim, iletim ve dağıtım lisansı sahipleri ISO 27001 çalışmalarında ISO 27019 standardını dikkate almaları gerektiği belirtilmektedir.



Üretim Lisansı sahipleri için ilgili madde:

f) Geçici kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak,

Peki ISO 27019 standardı nedir?

27000 standart ailesinde Olay Yönetimi, Siber Güvenlik, Denetim gibi konu özelinde rehber standartlar olduğu gibi, sağlık, telekom, bulut bilişim gibi sektörel uygulama rehberleri de yer almaktadır. ISO 27019 standardı da, 27000 ailesinin sektör spesifik standartlarından biri olup, enerji sektöründe kontrol sistemlerine yönelik bilgi güvenliği konularını ele almaktadır.

Enerji sektöründe hali hazırda ISO 27001 düzenlemelerinin bulunması, ISO 27019 standardına uyumluluğu da kolaylaştırmaktadır. ISO 27019 standardı ISO 27001 EK-A kontrollerinde enerji sektörüne özel rehber açıklamalara ek olarak, enerji altyapılarına ilişkin kontrol süreçlerinde ek güvenlik kontrolü hedefleri sunmaktadır.



25 Nisan 2017 Salı

Web Uygulama Testlerinde Burp İle Farklı Bir Port Adresi İçin Kimlik Doğrulamanın Düzenlemesi

Bu yazıda web uygulama sızma testlerinde Burp aracılığı ile platform otantikasyonunun öntanımlı port yerine özel bir port üzerinden gerçekleştirmesi anlatılmaktadır. 

Burp, öntanımlı olarak 80 ve 443 portlarında  "platform authentication"'ı desteklemektedir; fakat başka bir port ile otantikasyon yapılmak istenirse “localhost:9001” gibi “Destination host is not valid hatası” dönmektedir.

Bu sorun,  port yönlendirme yapılarak çözülebilir.
Bu çözümde bağlanılmak istenen sunucu ve port değeri 192.168.1.10 ve 9001 şeklindedir. Burp ile ön tanımlı olarak bu portu kullanan IP adreslerinin kullanımında sıkıntı yaşanmaktadır. Aşağıda bu sorunun aşımı için kullanılabilecek bir port yönlendirme yöntemi Windows işletim sistemi için açıklanmıştır.

"netsh interface portproxy add v4tov4 listenport=80 listenaddress=127.0.0.1 connectport=9001 connectaddress=192.168.1.10"

Not: CMD komut satırının yönetici modunda çalıştırılması gerekmektedir.


Komut satırı üzerinden uygulanan komutları açıklamak gerekirse; 127.0.0.1:80 URL'ine istek yapıldığında mevcut istek 192.168.1.10:9001 portuna yönlendiriliyor, burp tarafında ise ilgili credentials'lar ile login işlemi sağlıklı bir şekilde gerçekleştirilebiliyor.

Burp tarafındaki yapılandırma ise aşağıda belirtildiği şekilde gerçekleştirilmelidir.


Bu sorunun çözümü için kullanılabilecek farklı yöntemlerin bulunması halinde yorum eklemekten çekinmeyiniz. 

14 Nisan 2017 Cuma

İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğe Göre Yükümlülükler

Giriş

11 Nisan 2017 tarihli 30035 sayılı Resmi Gazete’de 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunu ile ilişkili Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından oluşturulan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik yayınlanarak yürürlüğe girdi.

Kanuna göre İnternet Toplu Kullanım Sağlayıcıları, kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayanlar olarak tanımlanmaktadır. Örneklerle somutlaştıracak olursak bu kategorideki internet sağlayıcılar kafe, otel, işyeri vb. kuruluşlarda kullanıcılarına internet ortamı sağlayanlardır. Bir diğer toplu kullanım sağlayıcı ise yönetmelikte; Ticari Amaçlarla İnternet Toplu Kullanım Sağlayıcıları olarak belirtilmiş olup, internet salonu gibi umuma açık yerlerde belirli bir ücret karşılığında internet kullanım hizmeti veren kuruluşlar olarak tanımlanmaktadır.

Yönetmeliğe Göre Yükümlülükler

İnternet Toplu Kullanım Sağlayıcıları;
  • Ağları üzerinden sağladıkları internet hizmetinde kullanıcıların konusu suç oluşturan içeriklere erişimini önleyici tedbir almak amacıyla içerik filtreleme sistemi kullanmak,
  • Kullanıcıların erişim kayıtlarını elektronik ortamda kendi sistemlerinde kaydederek 2 yıl süreyle saklamak,
  • Kullanıcıları tanımlamak için kısa mesaj servisi (SMS) gibi yöntemleri kurmakla yükümlüdür.

Ticari Amaçla İnternet Toplu Kullanım Sağlayıcılar;
  • Mülki idari amirden izin belgesi almak,
  • Erişim sağlayıcılardan sabit IP adresi almak, kullanmak ve IP adresi değişikliklerini 15 gün içerisinde mülki amire bildirmek,
  • Ailenin, çocukların korunması ve konusu suç oluşturan içeriklere erişimi önlemek amacıyla aktif halde, güncel tutulan, devre dışı bırakılamayan içerik filtreleme sistemi ve güvenli internet hizmeti kullanmak,
  • Erişim kayıtlarını elektronik ortamda kendi sistemlerinde kaydetmek ve 2 yıl süreyle saklamak, bu erişim kayıtlarının doğruluğunu, bütünlüğünü ve gizliliğini doğrulayan değeri günlük olarak kaydederek ve bu verileri 2 yıl süreyle saklamak
  • İşyerinin kapatılması veya devrini 15 gün içinde yetkili mülki amire bildirmek ve izin belgesini teslim etmekle yükümlüdür.


Yönetmeliğe buradan ulaşabilirsiniz.