ITMS DAYS Information Technologies Management Systems Days
ELEKTRONİK SERTİFİKA HİZMET SAĞLAYICILARI İÇİN ISO/IEC 27001 İN GEREKLİLİĞİ Demet KABASAKAL Bilgi Teknolojileri ve İletişim Kurumu
Bilgi Güvenliği Nedir? 3 Bilgi ve bl bilgi sistemlerinin yetkisiz i karşı korunmasıdır. erişim, kullanım, ifşa, engelleme, değiştirme i ve yok etmeye
Bilgi Güvenliğinin Amacı 4 Bilgilerin Gizliliğini Bütünlüğünü ve Kll Kullanılırlığını l l ğ / Elverişliliğini liliği i Doğru kişilerce edinimini Bilgi sistemlerinin Güvenliğini ve Güvenilirliğini sağlamaktır
Günümüz: Bilgi ve İletişim Çağı 5 Bilgi ve İletişim Teknolojilerinin Gelişimi ve Yaygınlaşması İnternetin Gelişimi ve Yaygınlaşması e-imzanın İ Sağladıkları: dkl 1- BÜTÜNLÜK: Taşınan bilginin içeriğinin değiştirilmemesi e-devlet 2- KİMLİK DOĞRULAMA: e-ticaret Bilgiyi i i gönderen kişinin i i kimliğinin doğruluğundan emin olunması 3- İNKAR EDEMEMEZLİK: Bilgiyi gönderen/işlemi yapan kişinin sonradan bu işlemi inkar edememesi İHTİYAÇLAR? Güvenlik Güvenilirlik Hukuki Geçerlilik e-imza
Elektronik İmza 6 5070 sayılı Kanunda; Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri ya da bilgi'' olarak tanımlanmıştır. Kanuna göre: güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur. Kanunların resmî şekle veya özel bir merasime tabi tuttuğu ğ hukukî işlemler ş ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemez.
Kanun da Güvenli Elektronik İmza 7 Münhasıran imza sahibine bağlı olan, Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır (4. Madde)
Bilgi Teknolojileri ve İletişim Kurumu Faaliyetleri-I 5070 sayılı Elektronik İmza Kanunu 23 Ocak 2004 tarihinde Resmi Gazete de yayımlanmış ve 23 Temmuz 2004 te yürürlüğe girmiştir. Kanuna göre Kurumumuz, ikincil düzenleme ve denetleme yapmakla görevlendirilmiştir. l
Bilgi Teknolojileri ve İletişim Kurumu Faaliyetleri-II Sertifika Mali Sorumluluk Sigortası Yönetmeliğiğ 26 Ağustos ğ 2004 Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (2 kere güncellenmiştir) Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ (4 kere 6 Ocak 2005 6 Ocak 2005 güncellenmiştir) Güvenli Elektronik İmza Oluşturma ve Doğrulama ğ Uygulamaları l ile Güvenli 1 Haziran 2006 Elektronik İmza Formatlarına İlişkin Kurul Kararı Nitelikli Elektronik Sertifika, SİLveOCSPİstek/Cevap İstek/Cevap Mesajları Profilleri 18 Nisan 2007 Rehberi ne İlişkin Kurul Kararı 9
Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ESHS Faaliyete Başlama e Güven 24.06.2005 TUBITAK UEKAE KSM 30.06.2005 TürkTrust 16.07.2005 EBG 01.09.2006 10
Elektronik İmza Bileşenleri İmza Oluşturma Aracı Nitelikli Elektronik Sertifika Elektronik Sertifika Hizmet Sağlayıcısı Ayşe 11 Ahmet
Elektronik İmzanın Önemi-I 12 Güvenli elektronik imza, elektronik ortamda yapılan işlemlere hukuksal geçerlilik kazandırır. 5070 sayılı Kanun a göre Güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmündedir. Bu veriler aksi ispat edilinceye kadar kesin delil sayılırlar.
Elektronik İmzanın Önemi-II 13 Elektronik imzanın eşsiz bir biçimde oluşmasını sağlayan tek unsur imza oluşturma verisi yani gizli anahtardır. İmza oluşturma verisi, imza sahibine aittir ve kişinin elektronik imzasıyla kişi arasındaki bağı kurar. Elektronik imzanın geçerliliğinin ğ belirlenebilmesi için; a) Kişinin kimliğinin sertifikası üzerinden tespit edilmesi, b) Elektronik imza oluşturma verisinin, sertifikaya sahip kişiye ait olduğunun belirlenmesi, c) Elektronik imzalı veride tahrifat olmadığının tespit edilmesi, d) İmza oluşturma verisinin gizliliğinin korunup korunmadığı yani imzanın oluşturulduğu aracın güvenli olup olmadığını belirlenmesi gereklidir.
ESHS NEDEN ÖNEMLİ-I 14 Sertifika sahibinin kimliğinin tespit edilerek elektronik imza verisinin oluşturulduğu ortamın ve sistemlerin son derece güvenli ve bu işlemi yapan kişilerinde güvenilir olması gereklidir. Ayrıca ESHS lerin verdiği hizmetler gereği tutacağı kayıtların yine güvenli ortamlarda saklanması bu verilerin hukukî ihtilafların çözümünde kullanılabilmesi için önem arz etmektedir.
ESHS NEDEN ÖNEMLİ-II 15 Elektronik sertifika hizmet sağlayıcılarına, ay a a, Güvenli ürün ve sistemleri kullanma, Hizmeti güvenli bir biçimde yürütme, Elektronik sertifikaların taklit ve değiştirilmesini ğ ş önleyecek tedbirleri alma yükümlüğünü getirecek düzenlemelerin yapılması son derece önemlidir.
ESHS YÜKÜMLÜLÜKLERİ / 1 16 Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ de ESHS işleyişinin bütün aşamalarında; Avrupa Birliği nin telekomünikasyon alanındaki standardizasyon kuruluşu olan Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) nin ETSI TS 101 456 standardına uyma yükümlülüğü getirilmiştir.
ESHS YÜKÜMLÜLÜKLERİ / 2 17 ETSI TS 101 456 da; Verilerin ve varlıkların sınıflandırılması Çalışanların nitelikleri Sertifika süreçleri yönetim hizmetlerinin görüldüğü ortamların fiziksel ve çevresel güvenlik parametrelerinin belirlenmesi İletişim ve işletim güvenliği Sistem erişim güvenliği İş ş süreklilik yönetimi hususlarında kriterler belirlenmekle birlikte ISO/IEC 27001 standardına atıflar yapılmıştır.
ESHS YÜKÜMLÜLÜKLERİ / 3 18 Elektronik İmza ile İlgili g Süreçlere ve Teknik Kriterlere İlişkin ş Tebliğ değ ESHS, güvenlik kriterlerine ilişkin olarak; a) CWA 14167-1, b) ETSITS 101 456 ve c) TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına uyar ve TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğunu yetkili kurum yada kuruluşlardan alınan belgeler ile belgeler hükmü getirilmiştir.
Kayıtlı Elektronik Posta Sistemi 19 5070 sayılı Elektronik İmza Kanunu nda nda tanımlanan güvenli elektronik imza ile elektronik ortamda yapılan iş ve işlemlere hukuki bir geçerlilik kazandırılmıştır. Elektronik ortamdaki bilgi veya belgelerin, taraflar arasında teknik güvenliğe ğ ve hukuki geçerliliğe sahip bir şekilde paylaşımı sınırlı kalmıştır. ETSI tarafından Kasım 2008 tarihinde yayınlanan ETSI TS 102 640 nolu standardına dayanan Kayıtlı Elektronik Posta Sistemi i (KEP) ile çözümlenebilmektedir. ETSI TS 102 640 standardı ile oluşturulacak yapının güvenlik gereksinimlerinin karşılanabilmesi için standart içerisinde ISO/IEC 27002 standardına atıflar mevcuttur.
ISO/IEC 27001 Sertifika Sayısı Japonya 3191* Polonya 39 Hindistan 451 İspanya 35 İngiltere 400 Hong Kong 30 Tayvan 321 Avustralya 29 Çin 190 Avusturya 29 Almanya 119 İrlanda 29 USA 91 Meksika 27 Kore 88 Malezyaa 26 Çek Cumhuriyeti 68 Brezilya 22 Macaristan 65 Yunanistan 22 İtalya 54 Türkiye 20 Dünyada ISO/IEC 27001 Sertifika Sayısı TOPLAM 5626 20
TÜRKİYE ISO/IEC 27001 SERTİFİKALARI 21 Türkiye deki bilgi güvenliği yönetim sistemi sertifikalarının yedi tanesi doğrudan veya dolaylı olarak BTK nın Elektronik İmza Düzenlemelerinde l ISO 27001 şartı getirmesinden i kaynaklanmaktadır. kl k ESHS olarak faaliyet gösteren e-güven, EBG,Türktrust ve Kamu Sertifikasyon Merkezi sertifikaları bu şartı sağlayan sertifikalardır. Ayrıca e-güven e altyapı hizmeti veren Eczacıbaşı Bilişim in ve ülkemizde giderek yayılan mobil imza için Turkcell grup şirketleri Corbuss ve Global Bilgi nin bilgi güvenliği sertifikaları da bu kapsamda alınan sertifikalardır. Bu da BTK gibi düzenleyici kuruluşların ISO/IEC 27001 gibi standartların yayılmasındaki etkin rolünü göstermektedir.
22 Teşekkürler Demet KABASAKAL Bilgi Teknolojileri ve İletişim Kurumu Bilişim Uzmanı dkabasakal@btk.gov.tr k t