LOGO

EJDER ORUÇTeknik Düzenleme ve Standardizasyon Dairesi Başkanı

LOGO

Sunum Planı

Bilgi Güvenliği1

Bilgi güvenliği Standartları2

Düzenlemenin İçeriği4

Düzenlemenin Sektöre Etkileri5

Ejder Oruç TDS Dairesi Başkanı21.04.23 2

Düzenlemenin Amaç ve Kapsamı3

Sonuç6

LOGO

3

Bilgi Güvenliği

• Bilgi bütünlüğünün korunması• Yetkisiz erişimin engellenmesi• Mahremiyet ve gizliliğin korunması • Sistemin devamlılığının sağlanması

için tehdit ve tehlikelerden korunmasıdır.

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Bilgi Güvenliği

LOGO

Bilgi Güvenliği Standartları

Bilgi Güvenliğine ilişkin süreçlerin yönetilmesinde ve kurumsal plan ve uygulamaların geliştirilmesinde uluslararası kabul görmüş standartların kullanılması önem arz etmektedir

BS–7799

ISO–17799

ISO–27001:2005

TS ISO/IEC 27001

421.04.23 Ejder Oruç TDS Dairesi Başkanı

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Elekronik Haberleşme Sektöründe Düzenleme ihtiyaçı

• Haberleşme olanaklarının büyük bir hızla yayılımı ve kullanımının artışı beraberinde ses ve veri güvenliği kaygılarını da ön plana çıkarmıştır.

• Bu nedenle, dünya çapında ülkeler teknolojinin açıkta bıraktığı güvenlik unsurlarını çeşitli mevzuat hükümleriyle kapatmak adına çalışmalar yapmaktadır.

• Ülkemizde de gerek tüketici şikayetleri gerekse medyada yer alan haberler,haberleşme konusunda güvenlik tehditlerinin mevcut olduğu kanaatini toplumda oluşturmuş durumdadır.

5

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Elektronik Haberleşmenin Güvenliği Yönetmeliği

Elektronik Haberleşmenin Güvenliği Yönetmeliği:

20.07.2008 tarih ve 26942 sayılı Resmi

Gazetede Yayımlarak yürürlüğe girmiştir.

6

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Düzenlemenin Amacı

Yapılan düzenleme ile;

• Gelişen teknoloji ve farklı kullanım alanlarından kaynaklanan güvenlik risklerinin azaltılması,

• Elektronik haberleşmenin gerekli güvenlik seviyelerinde sağlanması,

• İşletmecilerin uluslararası güvenlik ilkeleri ve standartlar çerçevesinde hizmet vermelerinin sağlanması,

• Güvenlik zafiyetlerinin tüketiciye yansıtılmasının önlenmesi,

amaçlanmıştır.

7

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Düzenlemenin Kapsamı

Bu yönetmelik, işletmecilerin;

Fiziksel alan güvenliği, Veri güvenliği, Donanım-yazılım güvenliği ve güvenilirliği Personel güvenilirliğinin

sağlanması için alacakları tedbirlere yönelik usul ve esasları kapsamaktadır.

Kişisel bilgilerin işlenmesi ve gizliliğinin korunması kapsam dışında tutulmuştur.

8

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Düzenlemenin İçeriği

Düzenleme

• Tehdit ve zafiyetler,

• Fiziksel alan güvenliği,

• Personel güvenilirliği,

• Veri güvenliği,

• Donanım-yazılım güvenliği ve güvenilirliği,

• İşletmecilerin Yükümlülükleri,

• Müeyyideler,

bölümlerinden oluşmaktadır.

9

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Düzenlemenin Sektöre Etkileri

Elektronik haberleşme hizmetlerinin güvenliği artacak,

İşletmeciler tarafından bilgi güvenliği yönetim sistemleri kurulacak,

Güvenlik konusunda standartlaşma sağlanmış olacak,

10

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Düzenlemenin Sektöre Etkileri

• Ulusal ve uluslararası düzeyde prestij artacak

• İşletmecilerin hizmet kaliteleri artacak,

• Tüketicilerin memnuniyeti artacak mağduriyet ortadan kalkacak,

11

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Elektronik Haberleşme Güvenliği Yönetmeliği;

İşletmecilerin altyapı ve şebekelerini bilgi güvenliği ile ilgili TS ISO/IEC 27001 standardına uygun hale getirecek,

Fiziksel alan güvenliği, Personel güvenilirliği, Veri güvenliği, Donanım-yazılım güvenliği ve güvenilirliğinin

Geliştirilmesi ile birlikte, Haberleşme içeriğinin gizliliğinin, bütünlüğünün ve

devamlılığının güvence altına alınmasını sağlayacaktır.

Sonuç

12

LOGO

21.04.23 Ejder Oruç TDS Dairesi Başkanı

Sonuç

Elektronik Haberleşme Güvenliği Yönetmeliği

Tüketici memnuniyetinin

İşletmecilerin güvenilirlik ve prestijlerinin

artırılmasını teşvik ederek, hem işletmeci hem tüketici boyutuyla ülkemiz telekomünikasyon sektörüne olumlu etki edecek bir düzenlemedir.

13

LOGO

EJDER ORUÇTeknik Düzenleme ve Standardizasyon Dairesi Başkanı

LOGO

21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı

Tehdit ve Zafiyetler

Tehditler;

Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi, silme, ekleme, değiştirme, geciktirme, kaydedilmesi,

Deprem, sel, su baskını, yangın gibi doğal afetler ile grev, lokavt hali,

Kullanıcının yanıltılması,

Altyapının hizmet veremez hale getirilmesi

Zafiyetler;

Gerçekleşmesi muhtemel tehditlerin öngörülememesi,

Bir sistem veya protokolün tasarımında yapılan yanlışlıklar,

Geliştirici ve/veya uygulayıcıların hataları,

Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizlikler

GERİ

LOGO

Elektronik haberleşme altyapısının bulunduğu

bina içi ve bina dışı güvenlik hassasiyetli alanlarda,

Güvenlik riski oluşturabilecek alt yapı bileşenlerine erişimin kontrol altında tutulması

Yetkisiz kişilerin bu alanlara girişinin engellenmesi

amaçlanmıştır.

Fiziksel Alan Güvenliği

21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı

GERİ

LOGO

Hizmet sunumunda personelin güvenilirliğinin sağlanması amacıyla;

İşe alım, İş değiştirme, Çalışma şartları İşe son verme

hususlarında dikkat edilmesi gereken hususlar belirlenmiştir.

Personel Güvenilirliği

21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı

GERİ

LOGO

Veri güvenliği, yetkili olmayan unsurlarca

Sınırlı erişime açık verilere erişimin, Verilerin kullanımının, İfşa edilmesinin, Silinmesinin, Değiştirilmesinin veya bozulmasının

engellemesi olarak tanımlanabilir.

Temel amaç bilgiye yetkili unsurların erişimini sağlarken gizlilik, bütünlük, devamlılığı korumaktır.

Veri Güvenliği

21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı

GERİ

LOGO

Donanım-Yazılım Güvenliği ve Güvenilirliği

Bu bölümde elektronik haberleşme altyapısında kullanılan

Donanım ve Yazılımın

güvenlik riski oluşturmaması için alınması gereken tedbirler belirlenmiştir.

GERİ

LOGO

Elektronik haberleşme güvenliğini sağlama yükümlülüğü

Kuruma bilgi verme yükümlülüğü

Alt yüklenici firmadan sorumlu olma yükümlülüğü

İç denetim yükümlülüğü

İşletmecilerin Yükümlülükleri

21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı

GERİ

LOGO

Yetkilendirme tarihinden itibaren bir yıl içerisinde TS ISO/IEC 27001 standardına uyumluluğun sağlanması

(Mevcut işletmeciler yönetmeliğin yürürlük tarihinden itibaren bir yıl içerisinde)

Yılda en az bir kez tehdit ve risk analizinin yapılması

Tespit edilen tehdit ve zafiyetlere ilişkin riskin değerlendirerek gerekli önlemlerin alınması

Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü

21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı

GERİ

LOGO

Tespit edilen tehdit ve zafiyetler ile bunların tasnifi ile gerçekleşme olasılıkları,

Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetler,

Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi sırasında ortaya çıkan uygunsuzluklar

gibi hususlar içeren “Elektronik haberleşme güvenliği raporunun” her yıl hazırlanarak Kuruma gönderilmesi

Kuruma Bilgi Verme Yükümlülüğü

21.04.23 Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı

GERİ

LOGO

İşletmecinin sunduğu hizmete ilişkin alt yüklenici firma ile çalışması, bu Yönetmelik kapsamında belirlenen yükümlülüklerini ortadan kaldırmamaktadır.

Alt Yüklenici Firmadan Sorumlu Olma Yükümlülüğü

Teknik Düzenleme ve Standardizasyon Dairesi Başkanlığı21.04.23

GERİ

LOGO

İç Denetim Yükümlülüğü

İşletmeci, sunduğu hizmete ilişkin elektronik haberleşme güvenliğini, düzenli ve rastgele yapılacak iç denetimler ile kontrol edecektir.

GERİ

LOGO

Müeyyideler

Bu Yönetmelik hükümlerinin ihlali durumunda; “Bilgi Teknolojileri ve İletişim Kurumu Tarafından Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik” çerçevesinde söz konusu ihlale karşılık gelen idari para cezası uygulanacaktır.

GERİ