Kurumlarüstü Bilgi Güvenliği Stratejisi



Benzer belgeler
2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR

Türkiye Cumhuriyeti Bilim, Sanayi ve Teknoloji Bakanlığı. Yalın Altı Sigma Konferansı-5 / 7-8 Kasım 2014

İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere Sahip Olduğunuzdan Emin misiniz?

E-DEVLET KAPISI VE RİSK DEĞERLENDİRME METODOLOJİSİ

Teknoloji Geliştirme Alanında Üniversite Sanayi Ortak Çalışmalarında Deneyimler Dr.- Ing. Yalçın Tanes Ak-Kim Ar-Ge Direktörü

Program Koordinatörü Bilim, Sanayi ve Teknoloji Bakanlığı

T.C. Bilim, Sanayi ve Teknoloji Bakanlığı Sanayi Bölgeleri Genel Müdürlüğü. Kümelenme Destek Programı

Yöneticiler için Bilgi Güvenliği

KAMU ALIMLARI YOLUYLA TEKNOLOJİ GELİŞTİRME VE YERLİ ÜRETİM PROGRAMI EYLEM PLANI

Şirket Tanıtım Sunumu. FOG Kurumsal Hizmetler

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

Hakkında ARGE SECOPS EĞİTİM MSSP SOME / SOC PENTEST. BGA Bilgi Güvenliği A.Ş.

T.C. ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI Coğrafi Bilgi Sistemleri Genel Müdürlüğü. Hüseyin BAYRAKTAR

YENİLİKÇİ ARA YÜZ PLATFORMU YAY

TS EN ISO/IEC Kullanılabilir Arayüz Sertifikası Verilmesi Süreci

TÜRKİYE BİLİMSEL VE TEKNOLOJİK ARAŞTIRMA KURUMU ULUSAL AKADEMİK AĞ VE BİLGİ MERKEZİ YÖNETMELİĞİ. BİRİNCİ BÖLÜM Genel Hükümler

FASIL 11 TARIM VE KIRSAL KALKINMA

Galip KOKULU - Genel Sekreter Yardımcısı

T.C. BAŞBAKANLIK HAZİNE MÜSTEŞARLIĞI KAMU İŞLETMELERİNDE İÇ DENETÇİLERİN EĞİTİMİ VE ATANMASI SÜRECİ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Araştırma Merkezlerinin Mevcut Durumu. Politika ve Uygulamalardaki Gelişmeler

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

BİZ KİMİZ? ANADOLU PATENT

ÜSİMP TTO TECRÜBE PAYLAŞIMI. ÖMER BAYKAL, GAZİ TTO 26 Temmuz 2013, ASO

ISO 14001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ BİLGİLENDİRME KILAVUZU

ÜSİMP UNİVERSİTE SANAYİ İŞBİRLİĞİ DENEYİMLERİ ÇALIŞTAYI, 9-10 Ocak 2013, Ankara

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

Mühendislik Günleri. Makine Mühendisliği Öğrenci Topluluğu

anka Siber Güvenlik Analiz Sistemleri Geleceğe Güven Tesis Eder

Cahide ÜNAL Mart 2011

TÜRKİYE YETERLİLİKLER ÇERÇEVESİ

Yönetim Sistemleri Eğitimleri

ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR

DİKMEN BÖLGESİ STRETEJİK GELİŞİM PLANI

Kariyer ve Yetenek Yönetimi Ulusal Meslek Standardı

Kalite Yönetim Sistemi

2012, Novusens

aselsan Açık Pozisyonlar Bilgi Teknolojileri (BT) Denetçisi İç Denetçi

TRABZON İL MİLLİ EĞİTİM MÜDÜRLÜĞÜ MESLEKİ VE TEKNİK ORTA ÖĞRETİM KURUMLARINDA TANITIM VE YAPILANDIRMA ÇALIŞMALARI İL EYLEM PLÂNI

ISO Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

11UY İş ve Meslek Danışmanı (Seviye 6) (Rev. No:02) Yeterlilik Sınavına Giriş Şartı Olarak Belirlenen Eğitime İlişkin Genel Şartlar

SUNGURLU TİCARET BORSASI 2015 YILI İŞ PLANI

SÜLEYMAN DEMİREL ÜNİVERSİTESİ KALİTE GÜVENCE SİSTEMİ KURULMASI VE KALİTE KOMİSYONU ÇALIŞMA USUL VE ESASLARINA İLİŞKİN YÖNERGE

Mehmet BÜLBÜL. Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürülüğü Daire Başkanı

T.C. İSTANBUL KALKINMA AJANSI

Düzce Üniversitesi Teknoloji Transfer Ofisi ve ilgili mekanizmaların vizyonu, Bölgesel, ulusal ve

BT Yönetim Sistemleri. Nil Neli Deadato & Burak Bestel

Bilgi Toplumu Stratejisi ve Eylem Planı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

AR-GE POLİTİKALARI ve ARAŞTIRMA ALTYAPILARI

PARDUS GÖÇ UZMANI VE FİRMA BELGELENDİRMELERİ. BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANI Mariye Umay AKKAYA

2- KİŞİLERİN SERBEST DOLAŞIMI

MÜHENDİSLİK FAKÜLTESİ NİN SÜREKLİ İYİLEŞME YOLCULUĞU ( )

AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi. Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010

TÜBİTAK Teknoloji Transfer Ofisleri Destekleme Programı Teknoloji ve Yenilik Destek Programları Başkanlığı (TEYDEB)

TÜRK AKREDİTASYON KURUMU. Ürün Hizmet ve Muayene Akreditasyon Başkanlığı Muayene Kuruluşu Akreditasyonu

TURKLAB Bülten Ocak-Şubat-Mart. Metot Validasyonu Eğitimi Şubat 2018

TOBB - EKONOMİ ve TEKNOLOJİ ÜNİVERSİTESİ BİL YAZILIM MÜHENDİSLİĞİNDE İLERİ KONULAR FİNAL SINAVI 1 Nisan 2013

Laboratuvar Akreditasyonu

T.C. MARMARA ÜNİVERSİTESİ AKADEMİK PERSONEL MEMNUNİYET ANKETİ

TEKSTİL VE HAZIR GİYİM SEKTÖRÜ

T. C. KAMU İHALE KURUMU

KONYA OTOMOTİV YAN SANAYİ İŞ KÜMESİ

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

Türkiye nin Sanayi Devrimi «Dijital Türkiye» Yol Haritası

SAKARYA ÜNİVERSİTESİ SÜREKLİ EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ

İŞBİRLİĞİ YAPILACAK KURUM/KURULUŞ. Maliye Bakanlığı Hazine Müsteşarlığı ASPB SGK KOSGEB. Maliye Bakanlığı SGK KOSGEB

İŞBİRLİĞİ YAPILACAK KURUM/KURULUŞ. Maliye Bakanlığı Hazine Müsteşarlığı SGK KOSGEB. Maliye Bakanlığı SGK KOSGEB İŞBİRLİĞİ YAPILACAK KURUM/KURULUŞ

Bilgi Toplumu Stratejisi ( ) Eylem Planı 1. Değerlendirme Raporu. e-dtr Đcra Kurulu 24. Toplantısı 12 Haziran 2008

Mesleki Yeterlilik Kurumu. By: M. Murat ÇİFTÇİ, Uzman Yardımcısı Date: Venue: İstanbul

II. ULUSLARARASI ÖĞRENCİ TEMİNİ ÇALIŞTAYI SONUÇ RAPORU 4 EKİM 2013 İSTANBUL

İş ve Yatırım Ortamının Geliştirilmesi Çalışmaları Ve Yatırıma Uygun Arazi Belirlenmesi İçin CBS Teknolojisinin Kullanılması

YENİ ÜRÜN GELİŞTİRME SÜREÇ YÖNETİMİ (ÜRÜN İNOVASYONU) EĞİTİMİ

İZMİR DE EKO-VERİMLİLİK (TEMİZ ÜRETİM) UYGULAMALARININ YAYGINLAŞTIRILMASI PROJESİ KAPSAMINDA YAPILAN ÇALIŞMALAR. Sibel ERSİN, İZKA PPKB Birim Başkanı

TEBLİĞ. Ulaştırma, Denizcilik ve Haberleşme Bakanlığından: SİBER OLAYLARA MÜDAHALE EKİPLERİNİN KURULUŞ, GÖREV VE

İVEDİK OSB. Misyon-Vizyon

3. HAFTA-Grup Çalışması

UNITED PARTNERS ACADEMY PROGRAMLARI TANITIMI

AVRUPA BİRLİĞİ GENEL MÜDÜRLÜĞÜ TÜRKİYE DE MAHKEME YÖNETİMİ SİSTEMİNİN GÜÇLENDİRİLMESİ PROJESİ BİLGİ NOTU

TURQUALITY Projesine Nasıl Başvurulur?

Bilişimin Gelişmesine 38 Yıldır Katkı Veren Sivil Toplum Kuruluşu: Türkiye Bilişim Derneği

TOBB tarafından yıl içinde açılan eğitim seminer vb. çalışmalar takip edilerek uygun olan eğitimlere azami düzeyde katılım sağlanacaktır.

T.C. MALİYE BAKANLIĞI Bütçe ve Mali Kontrol Genel Müdürlüğü SAYI: B.07.0.BMK / /02/2009 KONU: Kamu İç Kontrol Standartları

KALKINMA AJANSLARI ve

İŞBİRLİĞİ YAPILACAK KURUM/KURULUŞ. SGK İŞKUR Maliye Bakanlığı Dışişleri Bakanlığı Ekonomi Bakanlığı Hazine Müsteşarlığı TMB. ÇSGB Maliye Bakanlığı

Yükseköğretim Kurumlarında Kalite Süreçleri

ÜSİMP 2013 Altıncı Ulusal Kongresi, Mayıs 2013, Düzce Üniversitesi

İÇİNDEKİLER DANIŞMANLIK HİZMETLERİ DESTEK HİZMETLERİ. Ulusal ve Uluslararası Hibe Danışmanlığı 3 AB, TÜBİTAK, KOSGEB Hibe Danışmanlığı 4

Türkiye Sağlık Enstitüleri Başkanlığı

( ( ( ( ( ( Müşteri Odaklılık

T.C. MARMARA ÜNİVERSİTESİ ÖĞRENCİ MEMNUNİYET ANKETİ

Hizmetlerini yasaların gerektirdiği standartlar çerçevesinde, günün gereklerine ve sizin şartlarınıza uygun, gerçekçi yöntemlerle sunar.

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

TTGV İnovasyon Esaslı Rekabetçilik Analizi Modeli. Mayıs 2015


ESİS Projesi. Kaynaklar Bakanlığı

Transkript:

Kurumlarüstü Bilgi Güvenliği Stratejisi Erhan KUMAŞ, Erhan KUMAŞ, Türksat Uydu ve Kablo TV Operatörü İşletme A.Ş. Özet - Yirmibirinci yüzyıla şimdiden damgasını vuran bilgi ve iletişim teknolojileri, yeni bir toplumsal dönüşüme yani bilgi toplumu na da zemin oluşturmaktadır. Bilgi toplumuna dönüşümdeki en önemli konu ise bilgini üretilmesi, üretilen bilginin yönetilebilmesi ve güvenliğinin sağlanabilmesi olarak değerlendirebiliriz. Bu noktada uzun vadeli projelerin desteklenmesi, ülkemizin bürokratik devletten elektronik devlete geçebilmesinin temel şartı olarak görülmektedir. Yazımıza başlık olan kurumlarüstü bilgi güvenliği stratejisi; ilgili tüm kurum ve kuruluşları bir şemsiye altında toplayabilmeyi hedeflemektedir. Anahtar Kelimeler - Bilgi Güvenliği, e-devlet Kapısı, ISO 20000 Federal Information Security Strategy Abstract - Information and Communication Technologies which have already marked 21st century, pave the way for a new social transformation which can also be described as The Information Society. The most significant elements in this transformation process are the production of the information, management of the information and maintaining of the security. At this point, supporting long term projects is the key for our Turkey s transformation from a bureaucratic government to an electronic government. Information security which is the theme of this essay aims to gather all the related institutions and establishments under the same roof. Keywords - Information Security, egovernment Gateway, ISO 20000 I. GİRİŞ Küreselleşme olgusunun gelişiminde önemli etkisi olan bilgi ve iletişim teknolojilerindeki yenilikler, ekonomik ve sosyal yaşamın her alanını ve toplumun tüm kesimlerini çeşitli yönlerden etkisi altına almakta; kamu yönetimi yaklaşımlarını, iş dünyasının iş yapma usullerini ve bireylerin yaşamlarını derinden etkilemekte, bir başka ifadeyle toplumsal bir dönüşüme neden olmaktadır. Yirmibirinci yüzyıla şimdiden damgasını vuran bu teknolojiler, yeni bir toplumsal dönüşüme yani bilgi toplumu na da zemin oluşturmaktadır. Türkiye içerisinde uzman olarak kabul görmüş Firmaları veya kişilerin deneyimini kullanarak Bilgi Güvenliği sürecinin değişik parçalarını tamamlayacak şekilde ve üç ayrı tecrübeyi kullanarak süreç içerisinde çapraz kontrol (cross-check) mekanizmasını da kullanarak T.C. devleti nin en iyi altyapısına sahip e-devlet Kapısı Projesi ne güvenlik şemsiyesi giydirilebilir kanaatindeyim. Bu konudaki uzun vadeli strateji önerimiz şekil 1 de görüldüğü üzere olacaktır. Bilgi güvenliği alanında tarafımızca en önemli dört başlık olarak öngörülen; 1. Bilgi Güvenliği, 2. Eğitim İhtiyacının Giderilmesi, 3. Kripto Sistemlerinin Oluşturulması, 4. Güvenlik Altyapısı nın Kurulması kavramları üzerinde yoğunlaşarak bir strateji öngörümüz bulunmaktadır. Bu dört ana başlık üzerine; Türksat a, 28 Temmuz 2006 tarihli resmi gazetede yayımlanan Bilgi Toplum Stratejisi ve Eki Eylem Planı nda 1 bahsedilen altı ayrı eylemi de yürütecek bir kurum olarak ortaya koyacak olursak gerek ülkemizin bilgi toplumu na dönüşümü, gerekse altyapı eksikliğinin giderilmesine yönelik çalışmaların baş mimarı olacak olan bir kurumun vizyonu yansıtılmaya çalışılacaktır. Kurumsal olarak bakış açımıza ilaveten ülkemizin ilk ve orta öğretiminin eğitim müfredatına girdi sağlayarak, MEB ve Üniversitelerle ortak işbirliği çerçevesinde ülke genelinde ilk ve orta öğretimden lisans ve lisansüstü düzeylere kadar bilgi güvenliği ile ilgili müfredat revizyonu ve farkındalık için girişim ve liderlik rolü üstlenmek uzun vadeli stratejimiz içerisinde yerini almaktadır. T.C. devleti nin Bilgi Güvenliği Stratejisi genelinde ve kamu kurumları bilgi güvenliği stratejilerinin oluşturulması özelinde rehberlik sağlama sorumluluğu alma girişimi öngörülmektedir. Bu noktada özel sektörün rekabet açısından ayakta kalmasına da destek olmak amacıyla yurtdışı örneklerinde olduğu gibi devletin vizyonunu ortaya koyabilecek ekiplerle özel sektöre bilgi güvenliği ve alt başlıkları konusunda teknik danışmanlık desteği ve yol gösterme, yönlendirme faaliyetleri yapılması hedeflerimiz içerisinde bulunmaktadır. A.Erhan KUMAŞ, Türksat Uydu ve Kablo TV Operatörü İşletme A.Ş., Bilgi Teknolojileri Direktörlüğü, Konya Yolu 40. Km. Gölbaşı ANKARA, ekumas@turksat.com.tr 330

Kurumlararası bir otorite ve standardizasyon konusunda bir vizyon geliştirme Özel Sektöre bilgi güvenliği konusunda teknik danışmanlık desteği sağlama ve yol gösterme 4.Bilgi Güvenliği 1.BGYS Eğitim Stratejisi, Proje Ekibi ve Kamu Farkındalığı E-Devlet Kapısı Projesi 3.Kripto Sistemleri 2.Güvenlik Altyapısının Kontrol Edilmesi Genelde; T.C. Bilgi Güvenliği Stratejisi, özelde ise Kamu kurumları bilgi güvenliği stratejisinin oluşturulması ve bu konuda rehberlik sağlama MEB ve Üniversitelerle ortak işbirliği çerçevesinde ülke genelinde ilk ve orta öğretimden lisans ve lisansüstü düzeylere kadar bilgi güvenliği ile ilgili müfredat revizyonu ve farkındalık için girişim ve liderlik rolü üstlenmek Şekil_1: Kurumlarüstü Bilgi Güvenliği Stratejisi II. BGYS EĞİTİM STRATEJİSİ, PROJE EKİBİ VE KAMU FARKINDALIĞI Bilgi güvenliği ve alt başlıkları konusunda gerek ve yeter şartı sağlayacak şekilde bir donanıma sahip olunabilmesinin en önemli adımının bir ekip kurmak olduğu kanaatindeyiz. Bu noktada gerek e-devlet Kapısı projesi özelinde gerekse Türksat A.Ş. nin bilgi güvenliği kavramı açısından tatmin edilmesi için, çalışmanın nihayetinde de kamu kurumlarının bu konudaki eksikliklerinin giderilmesine yönelik oluşturulması gereken ekiplerle ilgili üç aşamalı yayılım önerimiz Şekil_2 deki gibidir. e-devlet Kapısı projesi teknik şartnamesi 4 çerçevesinde öngörülen ve gerek şart olarak sunulan projenin ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi 2 şartlarına göre dizaynını, altyapı kurulumunu, sürdürülebilirliğini önce e- Devlet Kapısı özelinde sonra kamu kurumları genelinde şöyle yapmayı planlamaktayız; 331

1 2 e-devlet Kapısı Projesi Ekibi Kurumsal BGYS Çekirdek Ekibi Kısa Vade Orta Vade Uzun Vade 3 Kamu Kurumları BGYS Temsilcileri Şekil_2: BGYS Eğitim ve Farkındalık Stratejisi 1. E-Devlet Kapısı Projesi Ekibi nin farkındalık eğitimi bakımından daha önce TSE tarafından sağlanan uzmanlar tarafından bir eğitim alınmıştır. Ancak bu farkındalığı bir adım ileriye götürerek bilinçlilik düzeyine çekilmiştir. Burada yapılması gereken ilk adım; konuyla ilgili bir bilgi güvenliği ve risk yönetim ekibi, bilgi güvenliği ve risk yönetim lideri belirleyerek bu tür bir koordinasyonu sağlayabilecek ortam oluşturulmalıdır. Dünya nın bilginin yönetilmesi ve güvenlik konusunda gittiği yöne gözattığımızda; ISO 9001:2000 (Kalite Yönetim Sistemi), ISO 27001:2005 (Bilgi Güvenliği Yönetim Sistemi), ISO/IEC 20000 (ITIL- Bilgi Teknolojileri Hizmet Yönetimi Sistemi) 3 gibi standartlar global düzeyde, Proje teknik şartnamesi ve lokalde de projemizin güvenliğinin sertifikasyon ve teminat altına alınabilmesi amacıyla çalışmalarımızı bu yöne çekmeyi planlamaktayız. 2. Türksat A.Ş altında Bilgi Teknolojileri ve e-devlet Kurumsal İletişim Direkörlükleri olarak yürüttüğümüz e-devlet Kapısı Projesi özelinde Bilgi Güvenliği Yönetimi çalışmaları gereği belirli bir farkındalık ve bilinçlilik düzeyi sağlanması planlanmaktadır. Daha sonra da projenin çerçevesini genişleterek şirketimiz bünyesinde yürütmenin uygun olacağını düşünmekteyiz. Zira bir teknoloji şirketi olarak ürettiğimiz tek ürünün Bilgi olduğunu düşünecek olursak mevcut kontrollerin yanısıra güvenliğini uluslararası sertifikalarla taçlandırmayı hedeflemekteyiz. O bakımdan şirketimizde öncelikle orta seviye yöneticiler düzeyinde bir tanıtım toplantısı yapıldıktan sonra, her direktörlükten kendilerini temsil edecek şekilde bilgi güvenliği ile ilginecek bir kişi atamaları istenecektir. Bu atamalardan sonra da bu ekibe ilk etapta kendi içimizde daha sonra da gerekirse ekstra bilinçlendirme eğitimleri ile Türksat Bilgi Güvenlik Ekibi nin yetkinlik düzeyinin yükseltilmesi ile sistem kurulumunun ilk adımı atılmış olacaktır. 3. Buraya kadar yapılacak güvenlik çalışmalarındaki asıl hedef şirketimizin yaptığı işler gereği bilgi güvenliğinde yakalanması gereken hassasiyeti yönetirken, kamu kurumlarının da yürüttüğümüz 332

proje gereği bu konuda bilinçlendirilmeleri gerekmektedir. İlk pilotunu kendi kurumumuzda yapacağımız güvenlik altyapısının kurulumu çalışmalarında elde edeceğimiz tecrübe ile kurumlarında bilinçlenmesini sağlamış olacağız. Bu konuda proje teknik şartnamesinde bulunan Güvenlik Komisyonu/Grubu nunyönlendirilmesinde kurumlara öncelikle bir farkındalık eğitimi, projenin güvenlik konusunda gidişatı ile ilgili bir bilgilendirme sağlandıktan sonra kurum temsilcilerini sinerji yaratarak aynı yöne koşturabileceğimiz bir strateji ortaya koymayı hedeflemekteyiz. Bu strateji çerçevesinde kurumları yönlendirilmesi ile ilgili olarak Şekil_3 de belirttiğimiz gibi bir seviyelendirmeye tabi tutulacak ve bu seviyelendirme neticesinde; I. Düzey : Kurumsal düzeyde veya güvenlik konusunda herhangi bir çalışması olmayan kamu kurumlarıdır. II. Düzey: ISO 9001:2000 Kalite Yönetim Sistemi standardı ve gereklerini haiz ancak ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi standardı veya dengi metodolojileri henüz benimsememiş kamu kurumlarıdır. III. Düzey: ISO 9001:2000 Kalite Yönetim Sistemi standardı ve gereklerini haiz, ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi standardı veya dengi metodolojileri benimsemiş kamu kurumlarıdır. IV.Düzey: ISO 9001:2000 Kalite Yönetim Sistemi, ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi standardı veya dengi metodolojileri benimsemiş, buna ilaveten ISO 20000 ITIL Bilgi Teknolojileri Hizmet Yönetimi Standardı gereklerini haiz kamu kurumlarıdır. 1. Düzey Kurumsal düzeyde veya güvenlik konusunda herhangi bir çalışması olmayan kamu kurumlarıdır. 2.Düzey 3.Düzey 4.Düzey ISO 9001:2000 Kalite Yönetim Sistemi standardı ve gereklerini haiz ancak ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi standardı veya dengi metodolojileri benimsememiş kamu kurumlarıdır. ISO 9001:2000 Kalite Yönetim Sistemi standardı ve gereklerini haiz, ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi standardı veya dengi metodolojileri benimsemiş kamu kurumlarıdır. ISO 9001:2000 Kalite Yönetim Sistemi, ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi standardı veya dengi metodolojileri benimsemiş, ISO 20000 (ITIL) Kurumsal Bilgi Teknolojileri Yönetimi Standardı gereklerini haiz kamu kurumlarıdır. Kamu kurumları ve Organizasyonların Güvenlik farkındalık ve Bilinç Düzeylerine göre Eylem Planı Hazırlanmalıdır. Şekil_3: Kamu Kurumları nda Güvenlik Farkındalığı 333

Şekil_4 de gösterilen her düzeye ait; Gerekli eğitimler, Gerekli kaynak yatırımları, Personel istihdamı ve niteliklerinin belirlenmesi, Yapılması gereken çalışmalar önceliklendirilmesi, Takip edilecek destek standartlar, metodolojilerin belirlenmesi gibi bazı işlemler bunlarla sınırlı kalmamak kaydıyla yapılması hedeflenmektedir. ISO 9001:2000 ISO 27001:2005 ISO 20000 Kalite Yönetim Sistemi Bilgi güvenliği Yönetim Sistemi Kurumsal Bilgi Teknolojileri Sistemi Şekil_4: Bilgi güvenliği altyapısı oluşma süreci Yukarıdaki Şekil_4 de belirtilen süreçte yaşanan farkındalık ve yetkinlik süreci tamamlandığı taktirde bilgi güvenliği ve kurumsallaşma bakımından bir organizasyon % 80 olgunluğunu tamamlamıştır. (Kaplan İ.) 5 E-Devlet Kapısı Projesi organizasyonunda bulunan ve projenin tüm kamu kurumlarında benimsenmesi ve layıkıyla uygulanabilmesi amacıyla kurulması öngörülen alt komisyonlar bulunmaktadır. Bunlardan Güvenlik Grubu nun üstlendiği görev ve sorumluluk önem arzetmektedir. E-Devlet Kapısında güvenlik bütün platforma yayılacak bir katman olacaktır. Güvenlik Grubu güvenlik katmanının tutarlı ve bütün platform için geçerli politikalarını, uygulama esaslarını belirler ve spesifik sistemlerden sorumlu personellerle birlikte uygulaması hedeflenmektedir. Bu bağlamda kamu kurumlarından resmi yollar ile bildirilen kurum temsilcileri, bulundukları kurumların güvenlik liderleri olacak şekilde eğitilmeleri konusunda gerekli yönlendirmeleri yapmayı öngörmekteyiz. Yapılacak olan yönlendirmeleri genel olarak sıralayacak olursak; Bilgi Güvenliği Ekibinin Kurulması (Güvenlik lideri + Birimlerin temsilcileri) Bilgi Güvenliği Ekibinin Eğitilmesi Kapsamın Belirlenmesi Danışman Seçimi veya Önderlik Etmek Pilot bir birim seçilerek şablonların oluşturulması Dokümantasyon Çalışmaları ve Belgelendirme Sürecinin Tamamlanması Yukarıda adım adım anlatılan kurumsal yönlendirme ve farkındalık yaratma çalışmalarına bireysel bazda kamu personellerinin kariyerlerini destekler tarzda bazı sertifikasyon hakları verilecektir. Bu sertifikalar öncelikle Türkiye Cumhuriyeti sınırları içerisinde KPSS (Kamu Personeli Seçme) sınavına ilave puan şeklinde (veya uluslararası anlaşmalar sayesinde daha geniş alanlarda tanınma şansına sahip olabilir) geçerli olacak şekilde yetkinliklerini kanıtlamalarına fırsat verecektir. Türksat A.Ş nin Türk Akreditasyon Kurumu ile işbiliği sonucu akredite olması ile birlikte yurtdışında geçerli sertifikaların sınavlarını yapma ve belgeleyebilme konusunda kamu personeline şans tanınabilmesi de hedeflerimiz içerisinde bulunmaktadır. III. GÜVENLİK ALTYAPISININ KONTROL EDİLMESİ Kamu kurumlarının güvenlik düzeyleri Şekil xxx de bahsedildiği gibi kurumların personelleri tarafından yapılacak ilk değerlendirmeler ile belirlenecektir. Ancak buna ilaveten kurumların teknolojik güvenlik altyapısının yeterlilik düzeyi, kullandığı teknolojinin güvenlik zaafiyeti gösterip göstermediği konuları bunlarla sınırlı kalmayacak şekilde değerlendirilerek bir mevcut durum analizi yapılacaktır. Kurumun vatandaşlarına karşı yerine getirmekle yükümlü olduğu görev ve hizmetler ile vatandaşların devlete karşı olan hak ve yükümlülükleri karşılıklı olarak yerine getirirken olması gereken asgari güvenlik düzeyleri gözönünde bulundurularak olması gereken duruma ait bir öneri raporu ve aradaki farkı kapatmaya yönelik eylem planı sunulur. IV. KRİPTO SİSTEMLERİ Kripto sistemlerinin gerek e-devlet Kapısı projesinde, gerek yukarıda detaylı olarak aktarılan Türksat A.Ş. nin iş süreçlerinde ve gerekse kamu kurumlarının bilgi güvenliği ve şifreleme açısından ilgili uzmanlar tarafından ortaya konulacak bir metodoloji çerçevesinde geliştirilecek algoritmalarla ülkemize katma değer sağlamayı hedeflemekteyiz. 334

V. BİLGİ GÜVENLİĞİ Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. Bilgi güvenliği sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak, koruma sırasında gerekli olan kontroller ve ölçümlerin tespiti, dokümantasyon oluşturulması ve karşı tedbirlerin alınmasını sağlamak hedeflenmektedir. ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Gizlilik (Confidentiality) Yetkisiz kişilere, süreçlere ve benzeri vb. açıklanmaması yada teslim edilmemesi gerekli veri ya da programların özelliği [Bilişim Sözlüğü, Bülent Sankur] 6 Bozulmamışlık (Integrity) Programların sistemin ve verilerin kötü niyetli olsun olmasın değiştirlmesi ve bozulmasına karşı korunması ya da korunmuş olması [Bilişim Sözlüğü, Bülent Sankur] Kullanırlık (Availability) Bir sistem yada özkaynağın gereksinildiğinde kullanıma elverişli olma derecesi [Bilişim Sözlüğü, Bülent Sankur] KAYNAKLAR [1] Bilgi Toplum Stratejisi ve Eki Eylem Planı, http://mevzuat.dpt.gov.tr/ypk/2006/38.htm [2] Türk Standartları Enstitüsü, Bilgi Teknolojisi-Güvenlik Teknikleri- Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler, TS ISO / IEC 27001:2005, Mart 2006. [3] Bilgi Teknolojileri Hizmet Yönetimi Sistemi, ISO/IEC 20000 (ITIL) [4] e-devlet Kapısı Projesi Teknik Şartnamesi. [5] Dr. İbrahim KAPLAN, Dr.kaplan@de.ibm.com [6] Bilişim Sözlüğü, Bülent Sankur [7] Türkiye Bilişim Derneği, TBD Kamu-BİB, Bilişim Sistemleri Güvenliği El Kitabı Sürüm 1.0, Türkiye Bilişim Derneği Yayınları, Mayıs 2006. [8] Türk Standartları Enstitüsü, Bilgi Teknolojisi- Bilgi Güvenliği Yönetimi için Uygulama Prensibi, TS ISO / IEC 17799, 2000. Erhan KUMAŞ: Kırıkkale Üniversitesi Mühendislik Fakültesi Endüstri Mühendisliği 2004 yılında mezun olmuş, halen Endüstri Mühendisliği Ana Bilim Dalı nda yüksek lisans çalışmalarını sürdürmektedir. Yüksek lisans tezi olarak Bilgi Güvenliği ve Risk Yönetimi alanında çalışmalarını sürdürmektedir. 2004 yılında bir danışmanlık firmasında yönetim danışmanı olarak çalışma hayatına adım atan KUMAŞ, 2006 yılından itibaren Türksat Uydu Haberleşme Kablo TV ve İşletme A.Ş. de bilgi teknolojileri uzman yardımcısı olarak görev yapmaktadır. şeklinde belirtilen üç ana konu üzerinde yükselen bir gerekler bütünüdür. VI. SONUÇ Ülkemiz gerek bilgi teknolojileri alanında, gerekse bilgi güvenliği alanında elle tutulur bir gelişim sürecinin içerisinde yükselen bir ivme ile hareket etmektedir. Bilgi toplumu stratejisi ve eki eylem planı hepimizin takip ettiği üzere 28 Temmuz 2006 tarihinde resmi gazetede yayımlanarak yürürlüğe girmiştir. Bu noktada Türksat A.Ş. nin sorumluluğuna 6 eylem verilmiştir. Bu eylemler ile birlikte başlangıçta belirtmiş olduğumuz artan ivme trendinin katma değerini artıran yönde hızlandırarak ülkemizi özlenen ve beklenen; teknoloji üreten günlere taşıyacaktır. TEŞEKKÜR Bu çalışmayı hazırlamama yardımcı olan Dr. Ahmet KAPLAN, Doç.Dr. Asım BALCI, Mustafa CANLI ve tüm e- devlet kapısı projesi çalışanlarına teşekkürlerimi sunarım. 335

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim