Bilgi Teknolojileri ve İletişim Kurumu (BTK) (ya da eski adıyla Telekomünikasyon Kurumu – TK), yönetmelik kapsamı içerisinde bulunan elektronik haberleşme ile ilgili olarak ve dünyadaki teknolojik gelişmelerin izlenmesi, piyasadaki hizmet kalitesinin arttırılması yetkilerine dayanarak, elektronik haberleşme konusunda hizmet veren işletmecilerin altyapılarında gerekli güvenlik alt yapısının kurulması için “Elektronik Haberleşme Güvenliği Yönetmeliği”ni hazırlamış ve 20 Temmuz 2008 tarihinde yayınlayarak yürürlüğe sokmuştur.
Bu yazımızda “Elektronik Haberleşme Güvenliği Yönetmeliği”ndeki özel maddeler hakkında bilgi vereceğiz.
“Elektronik Haberleşme Güvenliği Yönetmeliği” (yönetmelik) işletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik yöntem ve esasları kapsayacak şekilde tasarlanmıştır. Yönetmelik ile işletmeciler tarafından kurulması beklenen bilgi güvenliği yönetim sisteminin, TS ISO IEC/27001 standardı doğrultusunda oluşturulması, sürekli olarak işletilmesi ve yıllık olarak Telekomünikasyon Kurumu’na raporlanması beklenmektedir.
Yönetmelik işletmecilerin bilgi güvenliği sistemini kurması ve işletmeye alması için yayınlanma tarihinden itibaren bir yıl süre vermektedir. Bu süre 20.07.2009’da dolacaktır.
Yönetmeliğin Beklentileri, Yapılması Gerekenler
Yönetmelik temel olarak TS ISO/IEC 27001’e uyumlu şekilde bir risk değerlendirmesi yapmayı hedeflemiş olsa da, bazı konuları risk değerlendirmesine bırakmadan doğrudan talep etmeyi tercih etmiş. Bu yazıda işte bu özel konuları ele alacağız.
Fiziksel Alan Güvenliği
Erişim güvenliği fiziksel erişimle başlar. Kurumlar doğal olarak duvar, kapı ve çit gibi fiziksel önlemlerini alsalar da yönetmelik özellikle aşağıdaki konuların ele alınmasını zorunlu koşuyor:
• Giriş ve erişim yetkileri önceden planlanarak yazılı hale getirilmeli, normal ofis alanları ile daha sıkı korunması gereken, sistem odaları gibi, “hassas bölgeler” tanımlanmalı. Kimin nereye, hangi saatler arasında girebileceği tariflenmeli. Yetkili kişiler dışında hassas alanlara giriş yapılması bu tanımlamalar sayesinde önlenmeli.
• Ziyaretçiler için sadece kimlik kontrolü yapılması yeterli değil. Tarih, saat ve kimlik bilgilerinin kaydedilmesi sağlanmalı ve sadece izin verilen yerlere ulaşmaları için gerekli fiziksel ayrım, kartlı geçiş sistemi olan kapılar gibi yöntemlerle gerçekleştirilmiş olmalı.
• Anlık kontrol ve kaçakların engellenmesi için hem ziyaretçiler, hem de tüm çalışanlar, tedarikçiler ve dış kaynak çalışanları görünür şekilde kimlik kartı taşımalılar.
• “Hassas bölgeler”e giriş yapabilecek personelin listesi düzenli olarak gözden geçirilmeli, geçerliliğini yitirmiş yetkiler iptal edilmeli.
• Güvenliği sağlayacak personel, güvenlik görevlileri, resepsiyon görevlilerinin görev ve sorumlulukları yazılı hale getirilmeli, gerekli bilgilendirme yapılmalı.
Personel Güvenilirliği
Yönetmeliğin bu maddesi, özellikle elektronik haberleşme altyapısında çalışan ve çalışacak olan personeli ele alıyor. Temel olarak mesleki yeterliliğin sağlanması, görev tanımlarının ve sorumluluklarının yazılı hale getirilmesi ve personelin adli sicil kayıtlarının istenmesi ele alınıyor.
Bu madde altında yazılan son konu, yönetmeliğin varoluş amacını ortaya koyuyor: “Personelin haberleşme gizliliğine, milli güvenliğe ve kamu düzenine aykırı davranışta bulunmaması için her türlü önlem alınarak, işlerin ve hizmetlerin düzenli yürütülmesi sağlanır.”
Veri Güvenliği
Veri güvenliğinde yönetmelik, fiziksel güvenliğe benzer bir yaklaşım sergiliyor. Yapılması gerekenleri kısaca şöyle:
• Hangi verilere kimlerin erişeceği tariflenmeli.
• Erişim içinde, okuma, değiştirme, silme, ekleme seçeneklere göre hangi işlemleri gerçekleştirebileceği belirlenmeli.
• Yapılan tanımlamalar veri türüne göre tariflenmeli ve kayıt altına alınmalı.
Donanım-yazılım güvenliği ve güvenilirliği
Yönetmeliğin en ciddi tariflerde bulunduğu, en önemli teknik ihtiyaçları tanımladığı madde aşağıdaki konuların ele alınmasını istiyor:
• İlk konu oldukça ilginç: “Donanım-yazılımın ulusal düzenleme ile ulusal ve/veya uluslararası standartlara uygun olması sağlanır.” Dünyada bir kısmı birbiriyle çelişen bir çok teknik standart var. Bu maddenin yerine getirilebilmesi için yine ISO 27001’e dönülüp, uygun risk değerlendirmesinin sonuçlar ele alınmalı.
• Ağ ve iletişim yönetimi için kullanılan iletişim, İngilizce “management intereface” şifreli yapılmalı. Bu SNMP v1 gibi eski iletişim protokollerinin artık kullanılamayacağı anlamına geliyor.
• Yönetmelik başka maddelerde olduğu gibi, bu konuda da öncelikle yasal olmayan dinleme ve/veya izleme konusunu öne çıkartarak donanım-yazılım güvenliğinin işletmeciler tarafından garanti edilmesini istiyor.
Elektronik haberleşme güvenliğini sağlama yükümlülüğü
Bu madde direk TS ISO/IEC 27001’i adreslendiği için sadece ilgili maddeye alıntı yapıyorum. Kısa bir madde ama gerçekleştirmesi oldukça uzun. Ancak doğru yapıldığında hem maliyetlerde azalma hem de dengeli bir güvenlik sağlayacak bu madde yönetmelikte şöyle ele alınmış:
“MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
(2) İşletmeci, elektronik haberleşme güvenliği kapsamında, başta 6 ncı maddede belirtilen tehdit ve zafiyetler olmak üzere, kendi teknik ve idarî yapılanmasına göre yılda en az bir kez risk analizi yapar veya bu analizi tarafsız kuruluşlara yaptırır. Bu çerçevede tespit edilen tehdit ve zafiyetlere ilişkin riski değerlendirerek gerekli önlemleri alır.”
Olay Yönetimi
Olay yönetiminin amacı, beklenmedik olaylar karşısında hızlı ve doğru müdahale ile etkinin en düşük seviyede tutulmasını sağlamak, geçmiş olaylardan öğrenerek sistemin iyileştirilmesi ve olası hukuksal açılımlar için delillerin toplanması ve saklanmasının bir düzen içine alınmasıdır. Adli bilişim konusunu daha önce ayrıca işlediğimiz için burada yer almıyor. Yönetmelik kısaca standardın beklentilerini tekrarlarken özellikle “yasal olmayan elektronik haberleşme dinleme ve/veya izleme” konusunu yeniden bu maddede öne çıkartıyor. Problemlerin daha satınalma aşamasında belirlenmesini ve buna bağlı olarak önlemlerin acil olarak alınmasını istediğini söylüyor.
Denetim
Standardın sertifikasyon bilgileri dışında BTK birkaç konuyu öne çıkartıyor:
• Her yıl kurumsal çıkartılan risklerin BTK’ya gönderilmesi
• Acil durum planlarını ve personel listesinin BTK’ya gönderilmesi
• Ayrıca BTK dilediğinde, özellikle sertifikasyon seçeneğini tercih etmeyen kurumları, denetleyebilecek.
Dış Denetim
İşletmecinin dış kaynak kullanması bu yönetmelik kapsamındaki sorumluluklarını devre dışına bırakmasına izin vermiyor. Olası tüm güvenlik ihlallerinde olay dış kaynak tarafında gerçekleşse bile, sorumlu yine işletmeci oluyor. Bu nedenle dış kaynak kullanımlarında anlaşmaların çok iyi hazırlanması ve dönemsel olarak denetlenmesi gerekiyor.
Son Söz
Elbette tüm bu işlediğimiz konular dışında esas olan doğru bir risk değerlendirme yönteminin devreye alınmasıyla, sadece yönetmeliğin öne çıkardığı bu konuların değil, tüm öncelikli risklerin doğru yöntemlerle kontrol altına alınmasıdır. Başta da belirtildiği gibi, bunun yapılması ile, güvenlik çalışmaları kurumlara maliyet değil, gereksiz yatırımların engellenmesi, doğru yöntemlerin seçilmesi ile kazanç olarak dönecektir.