Bilgi Teknolojileri ve İletişim Kurumu (BTK – TK) Teknik Düzenleme ve Standadizasyon Daire Başkanlığı’ndan 13.10.2009’da Doc.Dr.Mustafa ALKAN imzalı bir bilgi isteme yazısı tüm telekom firmalarına gönderildi.
Yazının ön sayfasında 20.7.2008’de 26942 nolu resmi gazetede yayınlanan “Elektronik Haberleşme Yönetmeliği” EHGY ve daha sonra resmen sertifikasyon zorunluluğu getirilen TS/ISO 27001 (ISO/IEC 27001) hazırlıklarının ve sertifikasyonun 20.7.2010 tarihine kadar tamamlanması gerektiği hatırlatılırken, mevcut hazırlık durumu ile ilgili olarak bilgi verilmesini istemişler.
Aşağıda sadece dokümanın ekinde yer alan “EHGY Uyum Çalışması” altında yer alan başlıkları ve bu başlıklarla ilgili (bugün yaygın olarak kullanılmayan) öne çıkan konuları aşağıda bulabilirsiniz:
Fiziksel alan güvenliği:
1. Tüm çalışan ve misafirler için erişim yetki seviyelerini de gösteren giriş/kimlik kartlarını görünür olarak asma zorunluluğu.
2. Elektronik haberleşme maksatlı kullanılan kule ve saha dolapları için, yetkisiz kişilerin müdahale etmesini engellemek amacıyla uyarıcı levhalar asma gerekliliği.
Personel güvenilirliği:
1. Elektronik haberleşme altyapısında istihdam edilen teknik personelin yeterli eğitim alma zorunluluğu ve bu personelin görev tanım ve sorumluluklarının yazılı olma zorunluluğu.
2. İlgili personel için diğer referans kontrollerinin yanında mutlaka adli sicil kaydının istenmesi şartı.
Veri güvenliği:
1. Veri erişim yetkisinin ve bu yetkinin kapsamının, veri türüne göre önceden belirlenmesi ve bu kararın kayıt altına alınıp saklanma zorunluluğu.
Donanım-yazılım güvenliği:
1. Haberleşme cihazlarının yönetim (management) iletişiminin şifreli yapılma zorunluluğu.
2. Yasal olmayan dinleme, izleme faaliyetlerinin engellenme zorunluluğu. (Bu madde yönetmeliğin çıkarılmasının arkasındaki en önemli konulardan birini içeriyor.)
3. Haberleşmenin sürekliliği için kritik donanımların belirlenmesi ve bunların yedekli çalıştırılma gerekliliği.
Ayrıca BTK’dan yollanan yazıda uyum çalışmalarının hangi aşamada olduğunu anlayacak bir seri soru sorulmuş. Aşağıda bu sorular ve kısa açıklamaları yer alıyor:
Farkındalık ve sertifikasyon süreç eğitimi: Tüm şirket çalışanlarının bilgi güvenliği konusunda farkındalık (awareness) eğitimi almaları gerekiyor. Ayrıca bilgi güvenliği yönetim sistem ile ilgili çalışacak personelin de “bilgi güvenliği yönetim sistemi (BGYS)” süreç eğitimi alması gerekiyor. Bu konudaki eğitimler için info (at) lostar (nokta) com e-posta adresini ve http://www.lostar.com/tr/egitim/bilgi_guvenligi_egitimleri_takvimi.html web sayfasından yararlanabilirsiniz.
Danışman firma seçimi(isteğe bağlı): BGYS çalışmalarını hızlı, ektin ve doğru yolda gitmesini garanti etmek için danışman firma ile çalışılıp çalışılmayacağı. Proje süresi ve hedef takvime bakıldığında bu güne kadar henüz bu konuda çalışmaya başlamamış kurumların, bir danışman firma seçmeleri doğal bir sonuç olacaktır.
Bilgi güvenliği ve yönetim sistemi (BGYS) kurulumu: Yukarıdaki tüm konuları da içeren bu başlığın esas önemli tarafı, varlık ve risk yönetimi gibi yönetim sisteminin esas unsurlarının kurum içinde çalışmaya başlaması gerekliliğidir. Yönetim sisteminin daha ileriki aşamalarında gerçekleşmesi gereken iç denetim, sistemi yönetimin gözden geçirmesi ve bunlara bağlı olarak iyileştirme çalışmaları bu aşamada henüz gerçekleştirilmediyse bile planlanmış olmalı.
Varlık envanteri oluşturulması: Haberleşme yönetmeliği ya da kurumun seçtiği bilgi güvenliğine giren bilgi varlıklarının listelenmiş olması gerekiyor. Bu envanterin içinde sadece bilgi varlıkları değil, yazılımların, donanımların, kağıt ve diğer fiziksel varlıkların yanı sıra insan (çalışanlar, vb) varlıkları gibi diğer BGYS varlık türlerinin de olması gerekiyor.
Risk analizi ve değerlendirmesi: Yukarıdaki varlık envanteri üzerindeki her bir varlık için (seçilen yöntemin türüne göre bazı varlıklar atlanabilir) tehdir ve zayıf noktalar (zafiyetler) belirlenmeli ve bunlar sonucunda oluşan riskler analiz edilerek bir risk envanterine kayıt edilmeli.
Bilgi güvenliği politika ve prosedürlerinin oluşturulması: Seçilen BGYS kapsamına, kurumun boyutuna ve yaklaşıma bağlı olarak TS/ISO 27001’e uyumlu bir yönetim sisteminde en az on, genellikle yirminin üzerinde doküman olur. Bu dokümanlar politika, prosedür, süreç, talimat, yönetmelik, form, vb isimler alabilir. Bu dokümanların yazılması, uygun şekilde yayınlanması ve hayata geçmesi gerekiyor.
İç denetim hazırlıkları ve planlamaları: BGYS’nin doğru çalışmasının önemli şarlarından biri kurumun iç denetim yapmasıdır. İç denetim, bağımsız bir dış firma tarafından da yapılabilir, denetlenen süreçle ilgisi olmayan kurum çalışanları tarafından da gerçekleştirilebilir. Yazılı bir kural olmamakla birlikte iç denetim, TS 27001 sertifikasyon denetimi için verilen tekliflerde yer alan toplam adam gün sayısının en az beş katı olmalıdır. Örneğin, seçilen kapsam ile ilgili olarak verilen toplam denetim dört (4) adam gün ise, iç denetim en az yirmi (20) adam gün olarak öngörülmelidir. İç denetim süresi denetimi paralel olarak gerçekleştirecek ekip sayısının artırılmasıyla azaltılabilir.
Sertifikasyon başvurusu: Tüm hazırlıklar tamamlandıktan sonra sertifika denetimleri, potansiyel uygunsuzlukların düzeltme planlarının yapılması, belge basımı gibi işler yaklaşık yirmi gün, bir ay arası sürecektir. Ancak çoğu telekom şirketi son dakikada hazır olacağı için en iyisi şimdiden en az üç sertifikasyon şirketinden teklif almak, biriyle anlaşmak ve sertifikasyon denetim tarihlerini, sertifikasyonu gerçekleştirecek denetçiyi (doğru denetçi/cv kuruma önemli katma değer sağlayacaktır) kesinleştirmek önemlidir.
20 Temmuz 2010’a yaklaşıldığında BTK bir kere daha erteleme yapmak istemiyor. Bu nedenle şimdiden bu soruları sorarak kendisinden lisanslı tüm kurumların hazırlık aşamalarından emin olmak istiyor.
Tüm kurumlara ve çalışanlara hazırlık aşamalarında başarılar.