14 Nisan 2017 Cuma

İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğe Göre Yükümlülükler

Giriş

11 Nisan 2017 tarihli 30035 sayılı Resmi Gazete’de 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunu ile ilişkili Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından oluşturulan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik yayınlanarak yürürlüğe girdi.

Kanuna göre İnternet Toplu Kullanım Sağlayıcıları, kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayanlar olarak tanımlanmaktadır. Örneklerle somutlaştıracak olursak bu kategorideki internet sağlayıcılar kafe, otel, işyeri vb. kuruluşlarda kullanıcılarına internet ortamı sağlayanlardır. Bir diğer toplu kullanım sağlayıcı ise yönetmelikte; Ticari Amaçlarla İnternet Toplu Kullanım Sağlayıcıları olarak belirtilmiş olup, internet salonu gibi umuma açık yerlerde belirli bir ücret karşılığında internet kullanım hizmeti veren kuruluşlar olarak tanımlanmaktadır.

Yönetmeliğe Göre Yükümlülükler

İnternet Toplu Kullanım Sağlayıcıları;
  • Ağları üzerinden sağladıkları internet hizmetinde kullanıcıların konusu suç oluşturan içeriklere erişimini önleyici tedbir almak amacıyla içerik filtreleme sistemi kullanmak,
  • Kullanıcıların erişim kayıtlarını elektronik ortamda kendi sistemlerinde kaydederek 2 yıl süreyle saklamak,
  • Kullanıcıları tanımlamak için kısa mesaj servisi (SMS) gibi yöntemleri kurmakla yükümlüdür.

Ticari Amaçla İnternet Toplu Kullanım Sağlayıcılar;
  • Mülki idari amirden izin belgesi almak,
  • Erişim sağlayıcılardan sabit IP adresi almak, kullanmak ve IP adresi değişikliklerini 15 gün içerisinde mülki amire bildirmek,
  • Ailenin, çocukların korunması ve konusu suç oluşturan içeriklere erişimi önlemek amacıyla aktif halde, güncel tutulan, devre dışı bırakılamayan içerik filtreleme sistemi ve güvenli internet hizmeti kullanmak,
  • Erişim kayıtlarını elektronik ortamda kendi sistemlerinde kaydetmek ve 2 yıl süreyle saklamak, bu erişim kayıtlarının doğruluğunu, bütünlüğünü ve gizliliğini doğrulayan değeri günlük olarak kaydederek ve bu verileri 2 yıl süreyle saklamak
  • İşyerinin kapatılması veya devrini 15 gün içinde yetkili mülki amire bildirmek ve izin belgesini teslim etmekle yükümlüdür.


Yönetmeliğe buradan ulaşabilirsiniz.

6 Aralık 2016 Salı

COBIT VE ISO 27001’DE RİSK YÖNETİMİ

Giriş
Risk, bir olayın gerçekleşme olasılığıyla yaratacağı etkinin kombinasyonu olarak tanımlanmaktadır. Risk kavramı insanların aklında genellikle olumsuz bir izlenim oluşturmakla birlikte olumlu riskler ise fırsat olarak adlandırılmaktadır. Bu duruma bir örnek verecek olursak; bir kurumun ödemelerini döviz kurları üzerinden yapmasını bir risk olarak değerlendirebiliriz. Kurların artması durumunda kurumun yapacağı ödemeler TL bazında artış gösterecektir. Bir diğer taraftan ise bu durum bir fırsat oluşturmaktadır çünkü kurların gerilemesi halinde ise kurumun TL bazında yapacağı ödemeler azalacak ve kurum dolaylı yoldan kara geçecektir. Risklerin olumsuz etkilerinden zarar görmemek için risk yönetimi disiplini ortaya çıkmıştır. Risk yönetimini ele alan için çeşitli standartlar, çerçeveler bulunmaktadır; ISO 31000:2009, COSO, ISO 27001:2013, ISO 27005:2011, COBIT bunlara verebileceğimiz örneklerdir. Bu makalemizde COBIT 4.1 ve ISO 27001:2013 kapsamında Risk Yönetimini değerlendireceğiz.

Risk Yönetimi Yaklaşımı
COBIT (Control Objectives for Information and Related Technologies) çerçevesi risk yönetim sürecini PO (Planlama ve Organizasyon) başlığı altında Assess and Manage Risks (Risk Değerlendirme ve Yönetimi) sürecinde ele almaktadır. Diğer yandan ISO 27001 de COBIT’e paralel olarak risk yönetimiyle ilgili maddelerini 6 numaralı maddesi olan Planlama ve 8 numaralı maddesi olan İşletim başlıkları altında açıklamaktadır. Bu gözlemimize bağlı olarak ISO 27001 standardının ve COBIT çerçevesinin risk yönetim süreçlerini planlama başlıkları altında açıkladıklarını söyleyerek söze başlayabiliriz.

COBIT, 4 bölüm (Plan and Organise, Acquire and Implement, Deliver and Support, Monitor and Evaluate) 34 süreçten oluşan kontrol esaslı bir çerçevedir. Bu yüzden kurumların neler yapmaları gerektiğiyle ilgilenirken bunları nasıl yapmaları gerektiğiyle ilgilenmez. Bu sebeple risk yönetimi konusunda da ne yapılması gerektiği hakkında kontrol hedeflerinde bilgilendirme yapar. Buna ek olarak Risk Değerlendirme ve Yönetimi sürecinde bulunan faaliyetlerdeki sorumlulukları RACI matrisiyle (Responsible, Accountable, Consulted, Informed) atamaktadır ve süreçte ölçülecek hedeflerle birlikte performans kriterlerini de belirtmektedir.  Diğer tarafta, ISO 27001 standardı risk yönetim metodolojisini bilgi güvenliği risk değerlendirmesi ve bilgi güvenliği risk işleme olarak iki bölümde açıklamaktadır. Özellikle belirtmek gerekir ki; ISO 27001 standardında riskleri belirlemenin yanı sıra fırsatların da ele alınması gerektiği aktarılmaktadır

COBIT, BT Risk yönetim çerçevesinin kurumun risk yönetim çerçevesiyle aynı doğrultuda olmasını söyler ve risk bağlamının (context) belirlenmesi konusunda iç ve dış hususların risk yönetim sürecine dahil edilmesinden bahseder. ISO 27001 standardı risk yönetimi konusunda ISO 31000:2009 standardını referans göstermektedir. Dolayısıyla ISO 27001 de risk kapsamının belirlenmesi konusunda tıpkı COBIT’te olduğu gibi iç ve dış hususları ele almaktadır.  Bu hususlar ISO 31000 standardının 5.3 maddesine atıf yapmakla birlikte şu konu başlıklarını içermektedir; sosyal, kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam, organizasyon kültürü, süreçler, bilgi sistemleri ve altyapı vs.

COBIT PO9 Risk Değerlendirme ve Yönetimi süreci açıklamasında risk yönetim çerçevesinin yaratılmış ve sürdürülüyor olmasını; bu çerçevenin ortak ve üzerine anlaşılmış BT risklerini, indirgeme stratejilerini, artık riskleri dokümante etmesini tarif etmektedir. Ayrıca organizasyonun hedeflerine etki edebilecek herhangi bir planlanmamış olay (risk olayı) tanımlanmış, analiz edilmiş, değerlendirilmiş olmalıdır. Bununla birlikte risk indirgeme stratejilerinin artık riski kabul edilebilir düzeye indirgeyebilecek olması ve risk değerlendirme sonuçlarının paydaşlar tarafından anlaşılabilir ve finansal terimlerle ifade ediliyor olması gerektiğini belirtilmiştir. Kontrol hedefleri 6 başlıkta açıklanmaktadır bunlar; PO9.1 BT Risk Yönetim Çerçevesi, PO9.2 Risk Bağlamının Belirlenmesi, PO9.3 Olay Tespiti, PO9.4 Risk Değerlendirmesi, PO9.5 Risk Yanıtlanması, PO9.6 Risk Aksiyon Planının Oluşturulması ve İzlenmesidir. ISO 27001’de risk yönetimi, Madde 6.1.2 bilgi güvenliği risk değerlendirme ve Madde 6.1.3 bilgi güvenliği risk işleme olmak üzere iki aşamadan oluşmaktadır.

Risk Yönetimi Kapsamı
COBIT PO9.1 BT Risk Yönetim Çerçevesinde, bu çerçevenin kurumun risk yönetim çerçevesiyle uyumlu olması beklemektedir. PO9.2 Risk Bağlamının Belirlenmesi aşamasında uygun sonuçların elde edilmesi için risk değerlendirme çerçevesinin uygulama kapsamı belirlenmelidir. Bu kapsam belirlenirken risk değerlendirmede iç ve dış hususlar, değerlendirmenin hedefi ve hangi risklerin değerlendirileceği kriterleri göz önünde bulundurulmalıdır. ISO 27001, Madde 6.1.1 Risk ve fırsatları ele alan faaliyetlerde bilgi güvenliği yönetim sistemi planlaması yapılırken Madde 4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi konusuna atıfta bulunarak; risk yönetimi kapsamının oluşturması için gereksinimleri tanımlamaktadır.

Risk Tespiti Yaklaşımı
COBIT PO9.3 Olay Tespiti yaklaşımına göre; kurumun hedeflerine ya da operasyonuna olumsuz etki edebilecek olaylar (iş, yasal, hukuki, teknolojik, iş ortağı, insan kaynakları ve operasyonel yönden) bulunmalıdır ve bir kütüğe kaydedilerek ve yönetilmelidir. ISO 27001 Madde 6.1.2 Bilgi güvenliği risk değerlendirme fazındaki yaklaşıma göre; bilgi güvenliği risk kriterlerinin oluşturulması, bilgi güvenliği risklerinin tespit edilmesi, bilgi güvenliği risklerinin analiz edilmesi ve son olarak bilgi güvenliği risklerinin değerlendirilmesinin yapılması beklenmektedir. Bilgi güvenliği risk kriterlerini detaylandıracak olursak risklerin değerlendirilmesinin yapılabilmesi için kriterlerin belirlenmesi ve ayrıca kurumun risk iştahını tanımlayan risk kabul kriterlerinin belirlenmesi istenmektedir.

Risk Değerlendirme Yaklaşımı
PO9.4 Risk Değerlendirme yaklaşımına göre, belirlenen risklerin etkisinin ve olasılığının nitel ve nicel yöntemlerle düzenli olarak değerlendirilmesi, dokümante edilmesi ve artık risklerin tanımlanması gerekmektedir.  ISO 27001 Madde 6.1.2 Bilgi güvenliği risk değerlendirme fazında bilgi güvenliği risklerinin tespit edilmesi aşamasında bilgi varlıkları ve süreçler üzerindeki gizlilik, bütünlük, erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi ve risk değerlendirme sürecinin uygulanmasıyla risklere sahipliklerin atanması ifade edilmiştir. Bilgi güvenliğinin risklerinin analiz edilmesinde belirtilen riskin gerçekleşmesi halinde oluşabilecek sonuçlar (etki) ile riskin gerçekleşmesi ihtimalinin (olasılık) belirlenmesi ve bu değerler kullanılarak risk seviyesinin belirlenmesi gerekmektedir. Risk seviyesinin belirlenmesinde endüstride yaygın olarak etki X olasılık formülü kabul görmektedir. Risklerinin değerlendirilmesine risk analiz aşamasında ortaya çıkan risk seviyesi sonuçlarının risk değerlendirmelerinin yapılması için belirlenen kriterlerle karşılaştırılarak risk düzeylerinin belirlenmesi ve analiz edilen risklerin kritikliğine göre risk işleme için önceliklendirilmesine dikkat çekilmiştir.

Risk İşleme Yaklaşımı
COBIT PO9.5 Riskin Yanıtlanmasında; risklerin oluşumunu azaltan maliyet etkin kontroller sağlamak için tasarlanmış bir risk yanıtlama sürecinin geliştirilmesi ve yönetilmesi amaçlanmaktadır. Bu risk yanıt süreci; indirgeme, kabul, paylaşma, kaçınma risk stratejilerini tanımlamalıdır. ISO 27001’de risk yönetimi için ikinci faz olan Madde 6.1.3 bilgi güvenliği risk işlemesinde, risk değerlendirme çalışmalarının sonuçlarını dikkate alarak uygun risk işleme seçeneklerinin seçilmesi (indirge, kabul, transfer, kaçın), risklerin ISO 27001 Ek A maddeleriyle eşleştirilmesi, risk değerlendirme çalışması sonucu kurumun kapsam dahilindeki süreçlerinin işleyişi için ISO 27001 Ek A maddelerinin nasıl karşılandığını bildiren bir Uygulanabilirlik Bildirgesi oluşturulması gerekmektedir.

Risk İşleme Aksiyon Planlaması
PO9.6 Risk Aksiyon Planının Oluşturulması ve İzlenmesi süreci; gerekli olarak tanımlanan risk yanıtlarını yerine getirmek için her düzeyde kontrol faaliyetlerinin maliyet, fayda ve icra edilebilmesi için sorumlulukların atanması dahil olmak üzere önceliklendirilmesi ve planlanmanın yapılmasını tavsiye eder. Önerilen aksiyonlar ve artık risklerin kabulü için onayların alınması, alınacak aksiyonların etkilenen süreç sahipleri tarafından sahipliklerinin bulunması ve son olarak aksiyon planının işleyişinin izlenmesi; eğer bir değişiklik olursa üst yönetime raporlanmasını talep eder.  ISO 27001 Madde 6.1.3 bilgi güvenliği risk işlemesinde riskin işlenmesi sorumluluğunun kime verildiği, tamamlanma tarihi, ayırılan kaynaklar gibi hususların belirtildiği bir risk işleme planının oluşturulması, bu risk işleme planına ilişkin risk sahiplerinin onaylarının alınması ve risk işleme sonucunda oluşan artık risklerin kabulü adımları da diğer adımlardır. Diğer taraftan değinmemizin doğru olacağı bir diğer husus da risk değerlendirme sonuçları sonrasında risk kabul kriteri değerinin altında kalan risklerin risk işleme fazında doğrudan risk kabul edilebileceğidir. Ancak kurum kabul kriterinin altında bir değere sahip bir riski de kabul etmek dışında isteği doğrultusunda diğer risk işleme seçeneklerini (indirge, transfer, kaçın) tercih edebilir.

10 Ekim 2016 Pazartesi

A ve B sınıfı Onaylanmış Kişi Statüsü Belgelerinin Süreleri Uzatıldı

7 Ekim 2016 tarihli 29850 sayılı resmi gazete ile gümrük yönetmeliğinde değişiklik yapılmıştır. Bu düzenlemeye göre A ve B sınıfı OKSB süreleri 15 Ağustos 2017 tarihine kadar uzatılmıştır.

İlgili yönetmelik maddesi:

GÜMRÜK YÖNETMELİĞİNDE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK


A, B ve C sınıfı onaylanmış kişi statüsüne ilişkin geçici düzenleme
GEÇİCİ MADDE 9 – (1) Bu maddenin yürürlüğe girdiği tarihten önce düzenlenmiş olan ve geçerliliğini koruyan tüm A ve B sınıfı onaylanmış kişi statü belgelerinin süresi 15/8/2017 tarihine kadar uzatılır.
(2) Bu madde kapsamında süresi uzatılan A ve B sınıfı onaylanmış kişi statü belgelerinin askıya alınması, geri alınması ve iptaline ilişkin usul ve esaslar Bakanlıkça belirlenir.
(3) Bu madde kapsamında süresi uzatılan A ve B sınıfı onaylanmış kişi statü belgeleri kapsamında yararlanılacak hak ve yetkiler ile bu hak ve yetkilerin askıya alınması ve geri alınmasına ilişkin usul ve esaslar Bakanlıkça belirlenir.
(4) 15/8/2017 tarihinden önce düzenlenmiş olan ve geçerliliğini korumaya devam eden tüm C sınıfı onaylanmış kişi statü belgeleri 15/8/2017 tarihi itibariyle mevcut belgenin geçerlilik süresi sonuna kadar geçerli olmak üzere onaylanmış kişi statü belgesi olarak değiştirilir.”



23 Haziran 2016 Perşembe

6698 sayılı Kişisel Verilerin Korunması Kanunu üzerine İnceleme

Yürürlüğe giren KVKK’nin dünü, bugünü, kapsamı, amacı ve hayatımıza dahil ettiği tanımları ve düzenlemeleri, yükümlülükleri incelediğimiz bir makaleyi sizler için kaleme aldık.


Makaleye buradan ulaşabilirsiniz.

4 Ocak 2016 Pazartesi

ISO/IEC 27001:2013 sertifikası için Penetrasyon Testi (Pentest) Zorunlu mu?

Kurumların “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi” felsefesi ile bir yönetim sistemi kurmak ve standarda uyumluluğunu belgelendirerek sertifikaya sahip olmak için yapması gereken çalışmalarda, en fazla merak edilen konuların başında Penetrasyon testinin(sızma testinin) ISO/IEC 27001 uyumluluk sürecinde zorunluluk olup olmadığı gelmektedir.

28 Aralık 2015 Pazartesi

ELEKTRİK PİYASASI TEDARİK LİSANS SAHİPLERİ İÇİN ISO 27001 ZORUNLULUĞU


Son yıllarda EPDK (Enerji Piyasası Düzenleme Kurumu) tarafından uygulanan stratejilerin;  izlenebilir, ölçümlenebilir, değerlendirilebilir ve iyileştirilebilir süreçler ile yönetim yönünde olduğu; lisans sahipleri için uluslararası standartlara uyumlu süreçler kurma ve işletme zorunluluklarından yola çıkılarak görülebilmektedir.

Geçtiğimiz yıllarda yine blog.btyon’den paylaştığımız "Enerji Piyasasında Bilgi Güvenliğine Verilen Önem Giderek Artıyor" başlıklı yazımızda, 26 Aralık 2014 tarihli (Sayı:29217) yönetmelik değişikliğiyle; 100MW ve üzeri üretim yapan üretim lisansı sahipleri(OSB üretim lisansı sahipleri hariç), iletim lisansı sahipleri, piyasa işletim lisansı sahipleri ve dağıtım lisansı sahipleri (OSB dağıtım lisansı sahipleri hariç) için “Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak” zorunluluğu duyurmuştuk. Değişikliğe ilişkin yönetmelikte, Elektrik Piyasası Lisans Yönetmeliği'nde yapılan değişikliklerin 01.03.2016 tarihinde yürürlüğe gireceği; dolayısıyla ilgili sertifikasyon gereksinimlerinin bu tarihe kadar karşılanması beklendiği ifade edilmekteydi.

Buna ek olarak, geçtiğimiz günlerde yayınlanan 23 Aralık 2015 tarihli (Sayı:29571) yeni bir yönetmelik değişikliğinde ise bir önceki değişiklikte konusu geçmeyen tedarik (Görevli Tedarik Şirketi) lisans sahipleri  için de “lisans alma tarihinden itibaren yirmi dört ay içerisinde TS EN ISO 9001, TS ISO 10002 ve TS ISO/IEC 27001 standartları için Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumu tarafından verilen uygunluk belgelerini Kuruma sunmak” bir zorunluluk olarak duyurulmuş durumdadır.

23 Aralık 2015 Çarşamba

Endüstriyel Kontrol Sistemlerinde(EKS) Fiziksel Güvenliğin Sağlanması

Bilgi güvenliğinde alınması gereken önlemlerin başında fiziksel güvenliğin sağlanması gelmektedir. Fiziksel güvenlik, kurum sistemlerine yetkisiz erişimlerin önlenmesinde ilk adım olarak tanımlanabilir.


 Fiziksel güvenliği sağlanmamış sistemler, güvenliğin sağlanması adına alınan önlemlerin ve yatırımların da etkisiz kalmasına sebep olabilmektedir. Endüstriyel sistemlerin karşı karşıya kalabileceği risklerin bazıları; sistemin işleyişinin kontrol dışında kalması durması, sistemin kontrolünün yetkisiz kimselerce/yazılımlarca gerçekleştirilmesi, sistemin  değeri olan bilgilerinin başkaları tarafından ele geçirilmesidir.

14 Ekim 2015 Çarşamba

ISO 22301 İş Sürekliliği Yönetim Sistemi Standardı- Yaşamak için oksijen, su ve besin yeterli; ya işletmeler için?

Acil durumlarda yaşamımızı sürdürebilmek için vücudumuza oksijen, su ve besin almamız yeterlidir. Bu temel ihtiyaçları gidermemiz bizim ayakta ve hayatta kalmamızı sağlar. İşletmeniz için oksijen, su ve besin nedir?

Makalenin devamına buradan ulaşabilirsiniz.

24 Kasım 2014 Pazartesi

İş Sürekliliği ile Sürdürülebilirlik İlişkisi

‘İş sürekliliği’ kavramı, sözü edilirken çoğu insanın aklında ‘sürdürülebilirlik’ kavramı ile çakışmaktadır. Çağrışım olarak yakın, benzer odaklı ancak anlamsal olarak oldukça farklı kavramlardır. 

Bu makalede, ‘iş sürekliliği’ ve ‘sürdürülebilirlik’ kavramları üzerinde durulacak; farkları, ilişkileri ve bağımlılıklarından söz edilecektir. 

İlgili makaleye buradan ulaşabilirsiniz.

11 Ağustos 2014 Pazartesi

İş Sürekliliği Planı Oluşturma Rehberi

İş sürekliliği planları, herhangi bir kriz ya da afet anında söz konusu organizasyonun varoluş sebebi olan iş süreçlerinin kesintisiz olarak (minimum kesinti etkisiyle) devamlılığını sağlayan ve meydana gelen krizin en az zararla atlatılabilmesini sağlayan planlardır. ISO 22301 İş Sürekliliği Yönetim Sistemi içinde bölüm 8 operasyon başlığı altında yer alır.
Organizasyonlar herhangi bir olaya zamanında ve doğru tepkiyi verebilmek, kurtarma faaliyetlerini sağlıklı gerçekleştirebilmek için dokümante edilmiş iş sürekliliği planlarını oluşturmalıdır. 

Makalenin devamına buradan ulaşabilirsiniz.

8 Ağustos 2014 Cuma

Android - Formların otomatik Doldurma Özelliğini Kapatmak



Otomatik form doldurma özelliği; tarayıcıda gezinmenizi kolaylaştırmak için metin kutularına girdiğiniz bilgileri hatırlar. Fakat bu kolaylık yanında güvenlik açıklarını da getirir; kullanıcı adlarınız, parolalarınız gibi bilgilerinize ulaşma olasılığı doğurur. Bu nedenle Otomatik form doldurma özelliğini kapatmanız tavsiye edilir. Bu bağlamda;

İlk önce “Browser(Tarayıcı)” açarak menü butonuna tıklıyor ve “Settings (Ayarlar)” seçeneğine tıklıyoruz.





Açılan bölümden “Privacy & security (Gizlilik ve güvenlik)” bölümüne tıkladıktan sonra açılan pencereden “Remember form data (Form verilerini hatırla)” kutucuğundaki seçimi kaldırıyoruz.