20 Temmuz 2008’de Resmi Gazete’de çıkan “ELEKTRONİK HABERLEŞME GÜVENLİĞİ YÖNETMELİĞİ” TELEKOM şirketlerine ISO 27001’e uyumlu olmaları için bir yıl süre verdi.
Telekom Şirket’lerini ISO 27001 yolculuğunda neler bekliyor? İpuçları ve açıklanması gereken konular.
Bu yeni yönetmelik Telekomünikasyon Kurumu’ndan lisanslı tüm şirketlerini (GSM şirketlerini, Internet Servis Sağlayıcıları, UMHT operatörlerini, MVNO’ları, uydu ve hatta telsiz şirketlerini) bağlıyor.
Bir geçici on yedi madde ve topu topu üç sayfadan oluşan bu yönetmelik içinde yer alan gereksinimleri yerine getirmek biri hariç oldukça kolay. On birinci maddenin ilk cümlesi esas çerçeveyi ortaya koyuyor: “İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür.” Bu madde ışığında tüm yönetmeliğin değerlendirmesi değişiyor. Yönetmeliğin tam metni Telekomünikasyon Kurumu’nun (TK) web sitesinden (www.tk.gov.tr) elde edilebileceği için sadece madde numaraları ve başlıklara atıfta bulunarak bu yönetmeliğin üzerinden birlikte geçelim.
Madde 1, Amaç: Bu madde yönetmeliğin amacını elektronik haberleşme güvenliğine ilişkin “usul ve esasları” düzenlemek olarak belirtiyor.
Madde 2, Kapsam: Yönetmeliğin kapsamı, aşağıda ele alacağımız başlıkları ortaya koyuyor. Ancak ISO 27001’e uygun bilgi güvenliği yönetim sistemi (BGYS) kurma aşamasında cevaplanması gereken en önemli sorularından birine, “BGYS kapsamı ne olmalı” sorusuna cevap vermemiş. Bir şirkete BGYS kurarken tüm süreçler, tüm çalışanlar ve tüm ofislere aynı anda başlamak gerekmiyor. Şirketin varlık sebeplerinden herhangi birinin seçildiği yapı başlangıç için yeterli olur. Peki bir telekom şirketi, sadece (örneğin) “ara bağlantı” faaliyetleri ile ISO 27001’e uygun hale gelirse bu TK için yeterli olacak mı? Yoksa “pazarlama ve satış” dahil tüm yapı bu konu içine mi alınmalı. Özellikle aslen Telekom şirketi sayamayacağımız, TK’dan alınan lisansın yanında başka birçok işi olan şirketler ne yapacak? Resmi bir cevap olmasa da TK’daki üst düzey bir yönetici ile yaptığım görüşmede son derece anlaşılır bir yanıt aldım: “Şirketin BGYS kapsamı, TK ile yaptığı lisans sözleşmesi ile aynı olmalı.”
Madde 3 ve 4, Dayanak ve Tanımlar: Bu yazıda özellikle ele almamız bölümü olmadığı için bu maddeler atlıyorum.
Madde 5, İlkeler: Yönetmeliğin uygulanmasında ulusal ve uluslararası standartların dikkate alınması, hizmet kalitesinin yükseltilmesi, tüketici haklarının korunması, iş devamlılığı, ayrım gözetmeme, düzenlilik, şeffaflık ve kaynakların etkin kullanımı ilkelerinin gözetimi talep ediliyor. Bu ilkelerin hepsi ISO 27001’in farklı maddelerinin beklentileriyle zaten uyuşuyor.
Madde 6, Tehdit ve Zafiyetler: Yönetmeliğin bu maddesi elektronik haberleşmeye yönelik özel tehditleri ve zayıf noktaları ele alıyor. ISO 27001 içinde yer alan risklerin belirlenmesi maddesi, şirketlerin önemli varlıklarına tehdit ve zafiyetlerin listelenmesini talep ediyor. Standarda göre her varlığın sahibi, kendi risk maddesini kendisi belirliyor. Ancak düzenleyici kurum sıfatıyla TK, burada mutlaka ele alınmasını istediği özel maddeleri listelemiş. Listelenen tehditlerin bir kısmı deprem, sel, yetkisiz kullanım gibi oldukça genel konuları ele alıyor. Birkaç madde de telekom dünyasına özel tehditleri listeliyor.
Yedinci maddeden sonra yönetmelikte daha somut güvenlik içeriğine yer verilmiş.
Madde 7, Fiziksel Alan Güvenliği: ISO 27001’in Ek A içinde yer alan A9 bölümü (domain) tümüyle “fiziksel ve çevresel güvenlik” konularına ayrılmış durumda. Ancak buradaki genel maddeler dışında burada konuştuğumuz yönetmelik telekom şirketleri için özel gereksinimleri ortaya koyuyor. Yönetmelikte yer alan fiziksel güvenlik ihtiyaçları üç ayrı bölümde özelleştirilmiş. Bina içi güvenlik için özellikle “tüm çalışanların görünür şekilde kimlik kartı taşımaları” dikkat çekiyor.
Bina dışı güvenlikte özellikle haberleşme kulesi, dolabı gibi insansız yerlerde özel uyarıcı levhalar kullanılması isteniyor. Güvenlik hassasiyetli alanların ele alındığı son bölüm daha çok sistem odası gibi kurum çalışanlarının da özel görevliler dışında girmemesi gereken bölümleri kontrol altına almayı planlıyor. Bu bölümlerde “planlanmamış çalışmalardan kaçınılır” maddesi dikkat çekiyor. Ancak kullanılan tanım düzenleyici olmaktan uzak. Burada kullanılan “kaçınmak” fiili beraberinde sadece bir iyi niyeti taşıyor ve “uygulasanız iyi olur” demekten başka bir yaptırıcılığı yok.
Madde 8, Personel Güvenilirliği: Bu madde ISO 27001’in Ek A8, “İnsan Kaynakları Güvenliği” maddesi ile yakınlık içinde. Yine de madde başlığı içinde güvenlik yerine güvenilirlik kelimesinin kullanılması dikkat çekici. Madde detayına indiğimizde yeni çalışanlardan “adli sicil kaydı” istenmesi gibi yerli önlem kullanılması dikkat çekiyor.
Madde 9, Veri güvenliği: Yönetmelikteki bu madde ISO 27001’in Ek A11 “Erişim Güvenliği” maddesinin kısa bir özeti gibi. Kısaca veri erişim yetkisinin önceden belirlenmesi ve kayıt altına alınmasını talep ediyor. Ancak bu kısa maddenin uygulanabilmesi için önce verilerin envanterinin yaratılması, sınıflanması ve hassaslık derecesine ve işe göre hangi çalışanların ne amaçla ilgili veriye erişeceğinin bir “erişim güvenliği politikası”nda belirlenmesi gerekiyor.
Madde 10, Donanım-yazılım güvenliği ve güvenilirliği: Bu maddede yer alan isterlerin içinde iki fıkra dikkat çekiyor. İlki “yasal olmayan dinleme ve/veya izleme tehdidi” oluşturabilecek yazılım ve donanımların tespiti ve engellenmesi. Bu bölüm ileride yaşayacağımız olası yeni telekulak olaylarında şirkete sorumluluk yüklüyor. Diğer bölümde de kritik yazılım donanım bileşenlerinin tespiti ile bu bileşenlerin yedekli çalışması tanımlanmış. Bu sayede süreklilik hedefleniyor.
Madde 11, Elektronik haberleşme güvenliğini sağlama yükümlülüğü: Yönetmelikte yer almayan tüm güvenlik maddeleri için TS ISO/IEC 27001 standardının uygulanmasını isteyen bu madde aynı zamanda yılda en az bir kez risk analizi yapılmasını ve TK’ya raporlanmasını istiyor. Risk analizi şirket tarafından yapılabileceği gibi, bir dış kurum tarafından da gerçekleştirilebiliyor. Ancak her durumda ortaya çıkan risklerin şirket tarafından kabul edilebilir seviyeye indirilmesi isteniyor. Bu yönetmelik TS ISO/IEC 27001 sertifikası alınmasını direk bir zorunluluk haline getirmiyor.
Madde 12, Kuruma bilgi verme yükümlülüğü: Bu madde, yönetmelik beklentilerinin nasıl karşılandığını ve risk analizini her yıl Şubat ayı sonuna kadar TK’ya yollanmasını istiyor. Ayrıca acil durumlarda görev yapacak personel ve acil durum akış diyagramları ve eylem planları da TK’ya bildirilmesi gerekiyor. Umarım bu önemli bilgileri TK’da şirket kadar iyi korur.
Madde 13, Alt yüklenici firmadan sorumlu olma yükümlülüğü: Tüm bu yönetmelikte yapılması istenen işler şirket adına bir altyüklenici tarafından da gerçekleştirilebilir. Ancak bu madde şirketin sorumluluğunun devam ettiğini belirtiyor.
Madde 14, Müeyyideler: Bu yönetmeliğin can alıcı maddesi, ilgili şartlara uymayan şirkete TK tarafından bir önceki yılın toplam cirosunun yüzde birine (%1) kadar para cezası verilebileceğini ifade ediyor.
Yönetmeliğin sonunda yer alan geçici madde, TK’dan lisans almış mevcut kurumlara bir yıl süre veriyor. Gerek görülmesi durumunda TK tarafından ek süre verilebileceği yazıyorsa da, bu durum sadece “iyi niyet” doğrultusunda geçerli olacaktır. Bir yıl boyunca herhangi bir çalışma yapmamış kuruma TK’nın müsamaha göstermesini beklemek çok gerçekçi olmayacaktır.
Bu yönetmeliğe uyum için daha sekiz ay süre var. Tecrübelerimiz bu sürenin yeterli olacağını söylüyor. Yine de, kurumsal kültürün içine yerleşebilmesi için bilgi güvenliği yönetim sisteminin hayata geçirilmesine hemen başlamak gerekiyor.