6 Ocak 2014 Pazartesi

Advanced Persistent Threat (APT) - (Gelişmiş Kalıcı Tehditler)

Advanced Persistent Threat (APT), Gelişmiş Kalıcı Tehditler olarak Türkçe adlandırabileceğimiz hedefli bir saldırı türüdür. APT ticari ve siyasi hedeflere yönelik siber suç kategorisinde yer almaktadır. Bu türden saldırılarda hedeflenen bir ağ içine sızma planı için zaman ve bilgi birikimi iki önemli parametredir. APT ler hedeflerde zarara yol açmaktan çok hedefteki hassas verileri ele geçirmek için gerçekleştirilir.

Saldırganlar, açıklığı bilinen ve çok sayıda kişi tarafından kullanılan popüler bir program/yazılım aracılığıyla kötücül bir ortam hazırlar (Örneğin MS Office, Adobe). Saldırgan oluşturduğu bu ortamı/dosyayı/program parçacığını kurbanların ilgisini çekecek şekilde onlara iletir ve arka planda kötücül program parçacığı çalışarak saldırganın uzak bileşen (PC, Sunucu, Ağ) üzerinde kontrolü ele geçirmesini sağlar. Buradaki amaç, bileşenleri ele geçirmekten çok, daha gelişmiş etkili ve kalıcı saldırıları tasarlamak ve yönetmektir.

Gerçek dünyadan: Stuxnet bu saldırıya örnek gösterilebilir.

3 Ocak 2014 Cuma

ISO 22301 İş Sürekliliği Yönetim Sistemi Bilgilendirme

İş Sürekliliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO 22313:2012 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313:2012 rehber edinilerek kurulan İSYS’nin belgelendirmesi için “ISO 22301:2012 Sosyal Güvenlik – İş Sürekliliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir İş Sürekliliği Yönetim Sistemini kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

ISO 22301 standardı ile ilgili detaylı bilgi almak için lütfen tıklayınız.

16 Aralık 2013 Pazartesi

E-FATURA ÖZEL ENTEGRASYON SÜRECİNDE ISO 27001 / ISO 22301 / ISO 20000 VE ITIL

Makaleyi indirmek için tıklayınız.

14.12.2012 tarih ve 28497 sayılı Resmi Gazetede yayımlanan 421 sıra No.lu Vergi Usul Kanunu Genel Tebliği ile 397 sıra No.lu Vergi Usul Kanunu Genel Tebliğinde değişiklik yapılarak; bilgi işlem sistemlerini entegre etmek suretiyle e-fatura uygulamasından yararlanma yöntemine, özel entegratör vasıtasıyla e-fatura uygulamasından yararlanma yöntemi de eklenmiştir.

Özel entegratörlerin bilgi işlem sistemi vasıtasıyla, bilgi işlem altyapısı yetersiz olan mükellefler elektronik fatura alıp gönderebileceklerdir. Özel entegrasyon izni almak isteyen mükelleflerin ise e-fatura Uygulaması Başvuru Kılavuzunda belirtilen belgelerle birlikte Gelir İdaresi Başkanlığına başvuru yapmaları gerekmektedir. Başkanlık başvuruları 421 Sıra Numaralı Vergi Usul Kanunu Genel Tebliğine ve e-fatura uygulaması özel entegrasyon kılavuzunda yapılan açıklamalara uygunluğunu değerlendirecek ve yerinde inceleyebilecektir.

ISO 27001 / ISO 22301 / ISO 20000 BELGELERİ VE ITIL

Özel entegratör başvurusu yapacak olan mükelleflerde aşağıdaki ISO sertifikasyonlarına sahip olma ve uygunluk koşulu aranacaktır.
  • TS ISO IEC 27001 veya ISO 27001
  • ISO 22301
  • TS ISO IEC 20000 veya ISO 20000 
Gelir İdaresi Başkanlığı’nın E-fatura Özel Entegratörluk Başvuru sayfasında aşağıda ki ifadeler bulunmaktadır.

“Özel entegratör bilgi güvenliği için TS ISO IEC 27001 veya ISO27001 belgelerine, iş sürekliliği (Societal security - Business continuity) için ISO 22301 belgesine, Bilgi Teknolojileri Hizmet Yönetimi Sistemi için TS ISO IEC 20000 veya ISO 20000 belgelerine sahip olmalıdır.

Söz konusu ISO sertifikalardan en az birine sahip olan mükellefler, başvuru evrakları ile birlikte sunacakları BİS Raporunda henüz sahip olmadıkları belgelere ilişkin olarak; belgelerin ne şekilde, ne kadar sürede temin edileceğini ve belge temini konusunda hangi aşamada (başvuru, değerlendirme, tamamlanma sürecine ilişkin olarak ilgili kurumlardan alınacak resmi belgeler ile birlikte) olduklarını açıklamaları ve Başkanlığa belge temini için taahhütte bulunmaları halinde özel entegratörlük talepleri Başkanlıkça değerlendirilecektir. Başkanlıkça yapılan değerlendirme sonucu özel entegratör izni verilen mükelleflerin, taahhütlerine uygun olarak eksik belgelerini temin edememeleri halinde özel entegrasyon izinleri iptal edilebilecektir.

Ayrıca Türkiye’de faaliyet gösteren bankaların ilgili ISO standartlarını karşılayan benzer denetimlerden geçmeleri ve bu standartların gereksinimlerini nasıl karşıladıklarını BİS raporunda belirtmeleri halinde bankalardan bu standartlar aranmaz.

Özel entegratörün sistem yönetim süreçleri ITIL uyumlu olmalı ve sistem ITIL sertifikasına sahip personel tarafından yönetilmelidir.”

İŞ KESİNTİLERİ

Kılavuzda özel entegratörlerin sistemlerinin e- fatura uygulamalarında kesinti yaratmayacak şekilde 7/24 iş sürekliliğini sağlayabilecek yapıda kurmaları gerekmektedir. 7 gün 24 saat iş sürekliliğini sağlama yöntemlerini BİS raporunda açıklamalıdır.

KAPASİTE PLANLAMA

Kılavuzda özel entegratör bilgi işlem sistemlerinin kapasite planmasına ilişkin olarak BİS raporunda aşağıdaki bilgiler açıklanıyor olmalıdır.

“BİS raporunda; özel entegratör bilgi işlem sisteminin donanım yazılım alt yapısının yıllık olarak hizmet verebileceği ortalama fatura ve kullanıcı sayısı ile toplam veri büyüklüğüne, aynı anda hizmet verebileceği toplam kullanıcı ve fatura sayısına, bu faturaların ne kadar sürede dağıtılabileceği ile ilgili yapılan yük testlerine ilişkin verilere ayrıntılı olarak yer verilmelidir. İleriye dönük kapasite artırımında sistemin ölçeklenebilir/ayarlanabilirliğinin nasıl sağlanacağı açıklanmalıdır.”

GÜVENLİK
Özel entegratörlerın bilgi işlem süreçleri ve sistemleri ile ilgili olarak aşağıdaki bilgi güvenliği koşullarını yerine getirmeleri beklenmektedir.

“Özel entegratör sisteminde şifre, parola, e-imza gibi terminallere yer verilmeli, girişte gerekli güvenlik önlemleri alınmalı, her türlü işlemin kaydı tutulmalı, gerekli izler kaydedilmeli (loglama), ihtiyaç duyulan hiyerarşi içerisinde yetkilendirme yapılarak BİS raporunda açıklanmalıdır. İşlem Kayıt İzleme Kontrol Listesi dokümanındaki maddelere uyulmalıdır. Ayrıca BİS raporunda gönderilen/alınan veri ve belgelerin gizliliğinin nasıl sağlandığı belirtilmelidir.”

FELAKETTEN KURTARMA

E-fatura özel entegrasyonu için bir felaketin meydana gelme durumu için felaketten kurtama planları oluşturulmuş olmalı ve Kılavuzda yer alan Felaketten Kurtarma Kontrol Listesi’ndeki maddelere uyulmalıdır.

BİS raporunda felaket sonrası kayıtların kurtarılma yöntemi açıklanıyor olmalıdır.

Felaketten Kurtarma Kontrol Listesi

1. Felaketten kurtarma planı geliştirin.

2. İş etki analizi uygulayın

3. Önleyici kontrolleri belirleyin.

4. Felaketten kurtarma stratejileri geliştirin

5. Bilgi sistemi acil eylem planı geliştirin

6. Planlarınızı test edin ve çalışanlarınızı eğitin

7. Planlarınızı düzenli olarak gözden geçirin.

8. ISO 24762 Bilişim ve İletişim Teknolojileri Felaketten Kurtarma Servisleri Kılavuzu (Guidelines for information and communications technology disaster recovery services) uygulayın.

Özel entegrasyon hizmeti verecek kurumların e-Fatura saklama hizmeti de vermek istemeleri halinde, diğer sayılan şartların yanında e-Fatura Saklama Kılavuzunda açıklanan koşullara uygun altyapıyı oluşturmaları da gerekmektedir.

E-FATURA SAKLAMA HİZMETİ

E-fatura saklama hizmeti verecek mükelleflerin bilgi güvenliği, iş sürekliliği ve doküman yönetimi açısından E-Fatura Uygulaması Saklama Kılavuzu’nda aşağıdaki bilgilere yer verilmiştir.

“İzin başvurusu yapacak kurumun saklama ortamlarının, saklama ünitelerinin, fiziksel korucuyu malzemelerinin, depolama sistemlerinin, yedekleme sistemlerinin, iş sürekliliği ve felaketten kurtarma sistemlerinin, belgelerin maksimum saklama sürelerinin ve depolama ünitelerinin türleri ile ilgili ayrıntılı açıklamalara BİS raporunda yer vermesi gerekmektedir. Saklama izni alacak kurumların saklanacak belgeler için bir belge yönetim sistemi kurması ve yönetmesi gerekmektedir. Bu sistem dahilinde verilerin korunması, erişim haklarının belirlenmesi, güvenliğin sağlanması, afet ihtimali gibi konularda gerekli planlama yapılarak BİS raporunda ayrıntılı şekilde açıklamalara yer verilmelidir.

Elektronik saklama yapılacak sistemde şifre, parola, e-imza. gibi, terminallere girişte gerekli güvenlik önlemleri alınmalı, her türlü elektronik işlemin izi tutulmalı (loglama), ihtiyaç duyulan hiyerarşi içerisinde kişilere yetkilendirme yapılarak BİS raporunda açıklanmalıdır. Ek olarak BİS raporunda saklanan faturaların yetkisiz kişilere karşı gizliliğinin nasıl sağlanacağı belirtilmelidir. İleriye dönük kapasite artırımında sistemin ölçeklenebilir/ayarlanabilirliğinin nasıl sağlanacağı açıklanmalıdır

Öngörülmeyen bir felaketin meydana gelmesi durumunda hem iş sürekliliği hem de felaketten kurtarma planları yapılmış olmalı, iş sürekliliğinin nasıl sağlanacağı, felaket nedeniyle ana sistemde kaybolan, silinen kayıtların felaketten kurtarma sistemi ile nasıl tamamlanacağı BİS raporunda ayrıntılı olarak açıklanmalıdır. Afet sırasında ve sonrasında kurtarılan belgelerin bütünlüğünün korunduğu ispat edilebilmelidir.”

E-Fatura Uygulaması Özel Entegrasyon Kılavuzu için tıklayınız..

http://www.efatura.gov.tr/dosyalar/kilavuzlar/e-FaturaUygulamasiOzelEntegrasyonKilavuzu.pdf

E-Fatura Uygulaması Saklama Kılavuzu için tıklayınız..

http://www.efatura.gov.tr/dosyalar/kilavuzlar/e-FaturaUygulamasiSaklamaKilavuzu.pdf

12 Aralık 2013 Perşembe

GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASI YÖNETMELİĞİ DEĞİŞİKLİK TASLAĞI VE ISO 27001 BGYS’E ETKİSİ

*Bu yazı Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği’nin taslak değişikliğinin Bilgi Güvenliği Yönetim Sistemi’ne olası etkilerini paylaşmak için hazırlanmıştır.

Makaleyi indirmek için tıklayınız

10.01.2013 tarihli ve 28524 sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği ile düzenlenmiş olan yetkilendirilmiş yükümlü statüsü kapsamında faydalanılacak olan ithalatta yerinde gümrükleme izni ile izinli alıcı yetkisinin yürürlüğe konulmasını teminen, Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği yeniden düzenlenmiş olup taslak hali Gümrük ve Ticaret Bakanlığı tarafından yayınlandı.

Söz konusu taslakta ithalat işlemleri ile ilgili olarak yeni kavram tanımlamaları yapılmakta;
İthalatta yerinde gümrükleme: Eşyanın ithalat gümrük idaresine getirilmeden giriş gümrük idaresinden doğrudan firmanın kendi tesislerine sevk edilmesi ve ithal işlemlerinin firmanın kendi tesislerinde basitleştirilmiş usul çerçevesinde yapılması.
İzinli alıcı: İthalatta yerinde gümrükleme iznine ait eşyayı varış gümrük idaresine getirmeden giriş gümrük idaresinden doğrudan kendi  tesislerine veya ithalatta yerinde gümrükleme iznine haiz eşya sahibinin tesislerine sevk etmeye ve transit işlemlerini bu tesislerde sonlandırmaya yetkili kişi.
Yeşil hat: Eşyanın belge kontrolüne veya muayeneye tabi tutulmadığı hat.
Yeni taslağa göre; yetkilendirilmiş yükümlü statüsü sahiplerinin daha önceki uygulamalara uygulamaya ilişkin ilgili ek koşul veya koşulları da sağlamaları halinde, ek olarak İzinli alıcı yetkisi, ithalatta yerinde gümrükleme iznine sahip olmalarına,  muayene hattına ilişkin kolaylaştırmalardan ve yeşil hattan faydalanlanmalarına, izin verilecek.

YETKİLENDİRİLMİŞ YÜKÜMLÜ STATÜSÜ KAPSAMINDA İSTİHDAM
Yetkilendirilmiş yükümlü sertifikası başvurusu için aranacak ticari kayıtların güvenilirliği ve izlenebilir olması koşulu madde 6.f de, aşağıda görüldüğü gibi gümrük işlemlerinin mevzuata uygun olma şartı ve gümrük işlemlerini gerçekleştirecek personelle ilgili yetkinliklerin bakanlıkça belirlenen esaslara uygun olması koşulu bulunuyor.
Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
f) Eşyanın gümrük idaresine doğru beyan edilmesini teyit ve tevsik edecek kurum içi bir sistematiğe sahip olmak ve
1) Gümrük konularıyla ilgili birimlerinde ve buna ilişkin iç kontrol süreçlerinde gümrük konularında bilgili ve tecrübeli personel istihdam etmek veya
2) Gümrük konularında bilgili ve tecrübeli personel istihdam eden tüzel kişilerden gümrük konuları ve buna ilişkin iç kontrol süreçlerine yönelik danışmanlık hizmeti almak.
f) Gümrük işlemlerinin mevzuata uygunluğu ile eşyanın gümrük idaresine doğru beyan edilmesini teyit ve tevsik edecek kurum içi bir sistematiğe sahip olmak ve
1) Gümrük konularıyla ilgili birimlerinde ve buna ilişkin iç kontrol süreçlerinde gümrük konularında yetkinliği Bakanlıkça belirlenecek personel istihdam etmek veya
2) Gümrük konularında yetkinliği Bakanlıkça belirlenecek personel istihdam eden tüzel kişilerden gümrük konuları ve buna ilişkin iç kontrol süreçlerine yönelik danışmanlık hizmeti almak.

ISO 27001 BELGESİ
Taslağa göre başvuruda aranacak belgelerin niteliklerinde bir değişiklik öngörülmemektedir.
Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği taslağını ISO 9001 ve ISO 27001 belgesi gerekliliği açısından ele alacak olursak, daha önce 28602 sayılı Gümrük İşlemlerinin Kolaylaştırılmasına İlişkin Gümrük Genel Tebliği ile sonradan belirlenen kapsama taslak yönetmelik içerisinde yer verilmiştir.

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
e) Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenecek ve akreditasyon kurumunun markasını taşıyan güncel ISO 9001ve ISO 27001sertifikalarının aslı veya düzenleyen kuruluş tarafından onaylı örneği.

GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASINA İLİŞKİN GÜMRÜK GENEL TEBLİĞİ

Yetkilendirilmiş yükümlü sertifikası başvurularında ibraz edilecek ISO 9001 ile ISO 27001 sertifikalarının kapsamı

MADDE 5 – (1) Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin 10 uncu maddesinin birinci fıkrasının (e) bendi uyarınca ibraz edilecek ISO 9001 sertifikası; başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını kapsamalıdır.

(2) Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin 10 uncu maddesinin birinci fıkrasının (e) bendi uyarınca ibraz edilecek ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamalıdır.
e) Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenecek ve akreditasyon kurumunun markasını taşıyan güncel ISO 9001 ve ISO 27001 sertifikalarının aslı veya düzenleyen kuruluş tarafından onaylı örneği.
(1/A) Birinci fıkranın (a) ve (ç) bentlerinde sayılan belgelerin, düzenleyen kuruluşun veri tabanı üzerinden internet ortamında kontrol ed ilebilmeleri şartıyla, elektronik ortamda oluşturulmuş örnekleri asıl nüsha veya kâğıt ortamındaki örneği yerine kabul edilebilir.
(1/B) Birinci fıkranın (e) bendinde sayılan;
a) ISO 9001 sertifikası, başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını,
b) ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini,
Kapsamalıdır.


MADDE 6 ı) Bilgisayar sistemini yetkisiz girişlerden korumaya ve verilerini güvenceye almaya yönelik uygun bilişim teknolojisi güvenlik önlemlerine sahip olmak.
Yukarıdaki maddeye ilişkin incelemenin 10 uncu maddenin birinci fıkrasının (e) bendinde sayılan 27001 sertifikası üzerinden gerçekleştirileceği önceki yönetmelikte olduğu gibi Madde 12. 6’da belirtilmektedir.

İHRACATTA YERİNDE GÜMRÜKLEME İZNİ KAPSAMINDA FİZİKSEL GÜVENLİK
İhracatta yerinde gümrükleme izninin kapsamı Madde 46 ının 6. Fıkrasındaki fiziksel güvenlik ibaresi aşağıdaki gibi değiştirilmiştir.

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
(6) Ağırlığı, boyutları veya niteliği bakımından, kapalı bir karayolu taşıtı veya kapalı konteyner ile taşınamayan ve yükün özelliği itibariyle taşıma için kolayca bölünmesine imkan olmayan eşyanın taşınacak olması nedeniyle taşıma aracında örtü çekilmesi veya mühürlemenin mümkün olmadığı durumlarda, ayniyet tespiti için yeterli diğer önlemlerin alınması ve transit beyanının ilgili kısmında eşyanın hemen tanınmasını mümkün kılacak şekilde tanımlama yapılması şartıyla mühürleme işlemi yapılmaksızın eşyanın izin kapsamı tesislerden çıkışı gerçekleştirilebilir. Bu durumda, mühürleme yapılmadığı bilgisi transit beyanının ilgili alanına kaydedilir.

(6) Ağırlığı, boyutları veya niteliği bakımından, kapalı bir karayolu taşıtı veya kapalı konteyner ile taşınamayan ve yükün özelliği itibariyle taşıma için kolayca bölünmesine imkân olmayan eşyanın taşınacak olması nedeniyle taşıma aracında örtü çekilmesi veya mühürlemenin mümkün olmadığı durumlarda, ayniyet tespiti için yeterli diğer önlemlerin alınması ve transit beyanının ilgili kısmında eşyanın hemen tanınmasını mümkün kılacak şekilde tanımlama yapılması ve taşınan eşyaya izinsiz müdahalelere karşı en az asgari düzeydeki gerekli önlemlerin alınmış olması şartıyla mühürleme işlemi yapılmaksızın eşyanın izin kapsamı tesislerden çıkışı gerçekleştirilebilir. Bu durumda, mühürleme yapılmadığı bilgisi transit beyanının ilgili alanına kaydedilir.


İhracatta yerinde gümrükleme izni kapsamı tesislerdeki güvenli alanlar ve güvenli park alanları madde 53 te; taslağa göre tesislerdeki güvenli alan ve ek olarak güvenli park alanından söz edilmekte. Yeni taslağa göre yerinde gümrükleme tesislerine giriş-çıkış yerlerininde 24 saat kesintisiz olarak izlenmesi ve giriş çıkış kayıtlarının tutulması zorunlu hale geldi.
Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
Madde 53 - (1) İhracatta yerinde gümrükleme izni kapsamı tesislerde, ihracat eşyasına ilişkin ihracat beyannamesinin tescilinden sonra ve ihracat eşyasının araca yüklenip sevk edilmesinden önce bulundurulacağı veya taşıma aracının dolu olarak bekletileceği, uygun bir muayene ve sevkiyat alanından oluşan kesintisiz güç kaynağına bağlı, araç tanımlama ve insan kimlik tespiti yapmaya imkan verecek çözünürlükte kamera sistemi ile yirmi dört saat kesintisiz olarak, alana giriş çıkış yerleri de dahil olmak üzere devamlı izlenen, giriş çıkışları kayıt altında tutulan ve yeterli aydınlatma düzenine sahip güvenli bir alan bulunması gerekir.
İhracatta yerinde gümrükleme izni kapsamı tesislerdeki güvenli alanlar ve güvenli park alanları
MADDE 53 – (1) İhracatta yerinde gümrükleme izni kapsamı tesislerde, ihracat eşyasına ilişkin ihracat beyannamesinin tescilinden sonra ve ihracat eşyasının araca yüklenip sevk edilmesinden önce bulundurulacağı uygun bir muayene ve sevkiyat alanından oluşan kesintisiz güç kaynağına bağlı, araç tanımlama ve insan kimlik tespiti yapmaya imkân verecek çözünürlükte kamera sistemi ile alana giriş çıkış yerleri de dahil olmak üzere yirmi dört saat kesintisiz olarak, izlenen, giriş çıkışları kayıt altında tutulan ve yeterli aydınlatma düzenine sahip güvenli bir alan bulunması gerekir.
(1/A) 55 inci maddenin dördüncü fıkrası uyarınca işlem yapılmak istenilmesi halinde, ihracat beyannamesinin tescilinden sonra eşyanın araca yüklenerek taşıma aracının dolu olarak bekletilebileceği, birinci fıkrada belirtilen özelliklere sahip güvenli bir park alanının da bulunması gerekir. Eşya ve araçların düzenli konulması kaydıyla güvenli park alanı birinci fıkrada belirtilen güvenli alanın içerisinde de olabilir.


Taslağın 6. Kısmında ise yeni olarak izinli alıcı yetkileri ve 7. Kısımda ithalatta yerinde gümrükleme izinlerinden bahsedilmektedir. Detaylar için taslağın 6. ve 7. Kısımları incelenmelidir.

İTHALATTA YERİNDE GÜMRÜKLEME İZNİ KAPSAMINDA FİZİKSEL GÜVENLİK
İthalatta yerinde gümrükleme izni kapsamındaki tesisler için, -yetkilendirilmiş yükümlü sertifikası başvurusu için aranacak emniyet ve güvenlik koşulu- 8 inci maddenin birinci fıkrasının (a) ilâ (ç) bentlerinde belirtilen koşulları taşımasının zorunlu olduğu belirtilmektedir.

Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
(5) Ağırlığı, boyutları veya niteliği bakımından, kapalı bir karayolu taşıtı veya kapalı konteyner ile taşınamayan ve yükün özelliği itibariyle taşıma için kolayca bölünmesine imkân olmayan eşyanın taşınacak olması nedeniyle taşıma aracında örtü çekilmesi veya mühürlemenin mümkün olmadığı durumlarda, ayniyet tespiti için yeterli diğer önlemlerin alınması ve transit beyanının ilgili kısmında eşyanın hemen tanınmasını mümkün kılacak
şekilde tanımlama yapılması ve taşınan eşyaya izinsiz müdahalelere karşı en az asgari düzeydeki gerekli önlemlerin alınmış olması şartıyla ithalatta yerinde gümrükleme izni kapsamındaki eşya tesislere mühürsüz olarak getirilebilir. Bu durumda, aracın mühürsüz olarak tesislere geleceği bilgisi transit beyanının ilgili alanına kaydedilir.


Yönetmelik taslağı için tıklayınız.



11 Kasım 2013 Pazartesi

BTYÖN 26 KASIM’DA BEYAZ ŞAPKA BİLGİ GÜVENLİĞİ KONFERANSI’NDA


Beyaz Şapka Bilgi Güvenliği Konferansı 26 Kasım 2013 Salı günü  Point Hotel Barbaros’da düzenlenecektir. Konferansta bulut bilişimin yasal yükümlülükleri, ISO 22301 İş Sürekliliği standardı ve e-Fatura gibi bilgi güvenliği sektörünün güncel konuları bilgi güvenliği konusunda uzman ve tecrübeli konuşmacılarla ele alınacaktır.

Beyaz Şapka'13, içeriğinin yanı sıra iletişim açısından da yeniliklere sahne olacaktır. Sosyal medya araçlarından takip edilerek, soru-cevap ve hediye çekilişi gibi bölümlere katılım sağlanabilecektir.

Sizleri, BTYÖN Yönetici Ortaklarından Ali Dinçkan’ın Bilgi Güvenliği Ve İş Sürekliliği Yönetim Sistemi konusunda konuşmacı olarak yer alacağı konferansa katılmaya, bilgi güvenliği alanında uzmanlık ve tecrübe paylaşım ortamında yer almaya davet ediyoruz.

Konferans Ajandası için tıklayınız..

Kayıt için tıklayınız..

29 Ekim 2013 Salı

ISO 27001:2005’ten ISO 27001:2013’e Geçiş Süreci


Bilgi Güvenliği Yönetim Sistemi Standardı ISO 27001, 25/09/2013 tarihinde ISO 27001:2013 olarak yayımlandı. İlki 2005 yılında yayımlanan ISO 27001:2005 standardı böylelikle 8 yıl sonra yenilenmiş oldu. Standardın değişmesi ile birlikte 2013 sürümü için geçiş süreci başladı, akreditasyon kurumları (TURKAK, UKAS vb) ve belgelendirme firmaları bu süreçte belirleyici rol oynayacaktır. Süreçten ISO 27001: 2005 belgesine sahip firmalar ve belge almaya yeni hazırlanan firmalarda etkileneceklerdir. 
Geçiş sürecini iki ana başlık altında toplayabiliriz.

  •  Bilgi Güvenliği Yönetim Sistemi kurulumunu ilk defa yapan ve belgelenmek isteyenler;
Akreditasyon kurumlarının belirleyeceği süre boyunca ISO 27001:2005’e göre belgelendirme yapmak mümkün olacaktır. Akreditasyon kurumlarının sınırladığı süre sonrasında ise sadece ISO 27001:2013’e göre belgelendirme yapılacaktır. Bu süre tahmini olarak 6(altı) ay olacaktır. Bu süreyi belirleyen temel kısıtlar belgelendirme firmalarının akreditasyonlarını tamamlamaları ve denetçilerinin ISO 27001:2013 standardı denetimleri için hazır hale getirmeleridir. Bu süre boyunca ISO 27001:2005’e göre belgelendirme devam edecektir. Bu süre sonunda ISO 27001:2013’e göre belgelendirme yapılacaktır.  
  • ISO 27001:2005 standardına sahip olanlar;
ISO 27001:2005 standardına göre Bilgi Güvenliği Yönetim Sistemi kurulumu yapmış ve uygulamakta olan firmalar hali hazırda yıllık olarak takip denetimine girmektedirler. Belgelendirme firmaları, firmalara belirli süre içerisinde yeni standarda uyumlu hale gelmesini talep edecektir. Bu süre tahmini olarak 1 ila 2 yıl arasında değişmektedir. Bir sonraki takip denetiminde ise ISO 27001:2013 standardına uygun hale gelip fark denetimi ile ISO 27001:2013 standardına göre belgelerini alabilirler.

Not: 25 Eylül 2013 sonrası ISO 27001:2005' e göre belgelendirilen firmalarda ilk takip denetiminde ISO 27001:2013'e göre uyum aranacaktır. 

Uyarı: Bu yazı kapsamında verilen tarihler tahminlere ve geçmiş tecrübelere dayanmaktadır.Geçiş süreci ile ilgili en detaylı bilgiler Belgelendirme firmasından alınacağı unutulmamalıdır.
 

7 Temmuz 2013 Pazar

İŞ SÜREKLİLİĞİNDE İŞ ETKİ ANALİZİ

İş etki analizi iş sürekliliğinin en temel süreçlerinden biridir. Öyle ki iş sürekliliği çalışmaları iş etki analizine göre yapılır ve sürdürülür.  İş süreçlerinde gerçekleşmesi muhtemel bir kayıp, aksama ya da kesinti gibi durumların iş faaliyetlerine etkisini iş etki analiziyle nitel ve nicel olarak tanımlamak mümkündür.  Organizasyonların stratejik, taktiksel ve operasyonel gibi farklı düzeylerinde yaşanabilecek kesintinin etkilerinin zaman ölçeği ve boyutu iş etki analizi ile tanımlanır.














Konu başlıkları,

İş etki analizinin amacı,
İş etki analizi süreci,
İş etki analizinde veri toplama yöntemleri,
MTPD hesaplanırken dikkat edilecek noktalar
İş etki analizi onay süreci,
İş etki analizi sonuçlarının değerlendirilmesi 

Yazıya ulaşmak için tıklayınız.


2 Mayıs 2013 Perşembe

ISO 27002:2013 ve ISO 27002:2005 Arasındaki Temel Farklar Nelerdir?

Makaleyi indirmek için tıklayınız.

Hatırlatma: Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor

Yapısal İnceleme;

Kontrol Sayısı: Kontrol sayısının 133’ten 113’e düşürüldüğü görülüyor.

Bölüm Sayısı: Kontrol sayısının azalmasına rağmen bölüm sayısının 11’den 14’e çıktığı görülüyor.


Bölümlerin Yapısı: Yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir;
Bölümlerin yapısı: Kriptografi ayrı bir bölüm haline getirilmiştir (10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (12) ve iletişim güvenliği (13).

Bölümlerin incelenmesi;
5- Güvenlik Politikaları
6- Bilgi Güvenliği Organizasyonu
7- İnsan Kaynakları Güvenliği
8- Varlık Yönetimi
9- Erişim Kontrolü
10- Kriptografi
11- Fiziksel ve Çevresel Güvenlik
12- Operasyon Güvenliği
13- İletişim Güvenliği
14- Sistem Edinim, Geliştirme ve Bakım
15- Tedarikçi İlişkileri
16- Bilgi Güvenliği Olay Yönetimi
17- İş Sürekliliği
18- Uyum

Güvenlik Kategorilerinin Yerleştirilmesi
  1. Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (6) altında 6.2 inci kısım olarak yer almaktadır.
  2.  Ortam işleme daha önce iletişim ve operasyon yönetimi altındayken,şimdi varlık yönetimi (8) altında 8.3 üncü kısım olarak yer almaktadır.
  3.   İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve Erişim kontrolü (9) altında 9.4 üncü kısım olarak kalmıştır.
  4.  Operasyonel yazılım kontrolü daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  5. Bilgi sistemleri denetim hususları uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  6. Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (13) altına taşınmıştır.
  7. Bilgi değişimi iletişim güvenliğinin (13) altında 13.2 inci kısım olarak yer almıştır.
  8. Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırıldı. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  9.  Elektronik ticaret hizmetleri ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirildi (14.1).
  10.  Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirildi. İş süreklilği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felakatten kurtarma ile ilgili.


Yeni Kontroller
14.2.1- Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar
14.2.5- Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri
14.2.6- Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması
14.2.8- Sistem güvenliği testi- Güvenlik fonksiyonları testleri
16.1.4- Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası
17.2.1- Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

Çıkartılan Kontroller

6.2.2- Müşterilerle ilgilenirken güvenliği ifade etme
10.4.2- Mobil koda karşı kontroller
10.7.3- Bilgi işleme prosedürleri
10.7.4- Sistem dokümantasyonu güvenliği
10.8.5- İş bilgi sistemleri
10.9.3- Herkese açık bilgi
11.4.2- Dış bağlantılar için kullanıcı kimlik doğrulama
11.4.3- Ağlarda teçhizat tanımlama
11.4.4- Uzak tanı ve yapılandırma portu koruma
11.4.6- Ağ bağlantı kontrolü
11.4.7- Ağ yönlendirme kontrolü
12.2.1- Giriş verisi geçerleme
12.2.2- İç işleme kontrolü
12.2.3- Mesaj bütünlüğü
12.2.4- Çıkış verisi geçerleme
11.5.5- Oturum zaman aşımı
11.5.6- Bağlantı süresinin sınırlandırılması
11.6.2- Hassas sistem yalıtımı
12.5.4- Bilgi sızması
14.1.2- İş sürekliliği ve risk değerlendirme
14.1.3- Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
14.1.4- İş sürekliliği planlama çerçevesi
15.1.5- Bilgi işleme olanaklarının kötüye kullanımını önleme
15.3.2- Bilgi sistemleri denetim araçlarının korunması

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni IS0 27001 EK-A sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değil. Değişikliklerin çoğu aslında mevcut ISO 27002 nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik vardır.
Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.



ISO 27001:2013 ve ISO 27001:2005 Arasındaki Temel Farklar Nelerdir?

Makaleyi indirmek için tıklayınız.


Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS)’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.
Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor.



ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?
Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.


Yapıya Genel Bir Bakış
ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır. Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır;

0 Introduction /Giriş
1 Scope /Kapsam
2 Normative references / Atıf yapılan standartlar ve/veya dokümanlar
3 Terms and definitions /Terimler ve tarifleri
4 Context of the organization / Kurum Bağlamı
5 Leadership /Liderlik
6 Planning /Planlama
7 Support /Destek
8 Operation /Operasyon
9 Performance evaluation /Performans değerlendirme
10 Improvement /İyileştirme


Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.

İlgili Taraflar
Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde;
Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor.

Risk Değerlendirme ve İyileştirme
Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumda.
6.1.2
d.1 Maddesi uyarınca;
Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS.
Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.
Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.

Düzeltici ve Önleyici Faaliyetler
İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumda.
Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki  ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.



İletişim
Bilgi güvenliğinin sağlanması için gereken iletişim ile ilgili olarak yeni bir madde eklendiği görülüyor.
(Madde 7.4)
Bu madde uyarınca;
Kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor.

Dokümante Edilmiş Bilgi
Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ ın her ikisi içinde geçerli olacağı görülüyor.
4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.
Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifadelerle düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunlu.

Hedefler, İzleme ve Ölçme
Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağı açıklayacak şekilde olması gerekiyor.

3 Nisan 2013 Çarşamba

Gümrük İşlerinin Kolaylaştırılmasına İlişkin Gümrük Genel Tebliği[Mart 2013]

Gümrük ve Ticaret Bakanlığı tarafından "Gümrük İşlerinin Kolaylaştırılması"na ilişkin yönetmelik 2013 yılının Ocak ayında resmi gazete yayımlanmıştı. Bu yönetmelik ISO 9001 ve ISO 27001 sertifakalarının alınmasını şart koşuyordu(Madde 10) ancak bu sertifikaların kapsamına ilişkin bir madde bulunmuyordu.

Geçtiğimiz günlerde yayımlanan tebliğ ile ISO 9001 ve ISO 27001 sertifikalarının hangi kapsamda olması gerektiği netleştirilmiş oldu.

İlgili maddeye(Madde 5) ilişkin bilgiler aşağıdaki gibidir;

"(1) Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin 10 uncu maddesinin birinci fıkrasının (e) bendi uyarınca ibraz edilecek ISO 9001 sertifikası; başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını kapsamalıdır.
(2) Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin 10 uncu maddesinin birinci fıkrasının (e) bendi uyarınca ibraz edilecek ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamalıdır"


4 Mart 2013 Pazartesi

Yetkilendirilmiş Yükümlü Statüsü için Başvuru Yapacak Kuruluşların Dikkatine

10 Ocak günü itibari ile resmi gazetede yayınlanan GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASI YÖNETMELİĞİ' ne göre Yetkilendirilmiş Yükümlü Statüsünü alabilmek için işletmelerin ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi belgelerine sahip olma şartı aranıyor.

Yönetmeliğin 10. maddesinde "Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenecek ve akreditasyon kurumunun markasını taşıyan güncel ISO 9001ve ISO 27001 sertifikalarının aslı veya düzenleyen kuruluş tarafından onaylı örneği." şartı bulunmaktadır.

Bu şartı sağlayan Akredite kuruluşların tam listesine bu sayfadan ulaşılabilir.

Örneğin Türkiye' de TURKAK bu şartı sağlamaktadır. TURKAK'tan onaylı kuruluşlar için ise bu sayfa üzerinde "Bilgi Güvenliği YS Belgelendirme Kuruluşları " kelime öbeği ile yapılan arama sonucunda ilgili belgelendirme kuruluşları görülecektir.