ISO 27011 – Telekom Sektörüne Özel Güvenlik Standardı

ISO/IEC 27011 Telekom Sektörüne özel olarak hazırlanmış güvenlik standardıdır. Bu uluslarası standard, telekom sektöründe yer alan kurumların, bilgi güvenliğinin en temel gereksinimleri olan “gizlilik”, “bütünlük” ve “erişilebilirlik” ilkelerini sağlayarak, ortak asgari düzeyde bir bilgi güvenliğine sahip olduklarını ispat etmelerine yardımcı olmak amacıyla oluşturulmuştur.


 


 


 


ISO/IEC 27011 standardı, ISO/IEC 27002 standardı baz alınarak, Telekom sektörüne özel bir Bilgi Güvenliği Yönetim Sistemi kurmak, gerçekleştirmek, sürdürmek ve geliştirmek için oluşturulmuş bir uygulama rehberidir.


 


 


 


ISO 27011 standardı ile neler sağlanmış olur?


 


 


 


Telekomünikasyon kurumları için kabul edilmiş uluslarası hedeflere uygun bir bilgi güvenliği yönetim sisteminin oluşturulması.


 


 


 


Telekomünikasyon araçlarının ve servislerinin gizliliği, bütünlüğü ve erişilebilirliği garanti altına alınarak, bilgi güvenliğinin sağlanması.


 


 


 


Bilgi güvenliğine yönelik kapsamlı ve sistematik bir yönetim sisteminin benimsenmesi.


 


 


 


Güvenli süreç ve kontroller ile telekomünikasyon hizmetlerindeki mevcut risklerin minimize edilmesi.


 


 


 


Kullanıcıların telekom hizmetlerine güveninin arttırılması ile kurumlar için rekabet avantajı


 


 


 


ISO 27011 standardının temel özellikleri ve kapsamı:


 


 


 


ISO/IEC 27011 standardı, ISO/IEC 27002’yi baz alan genel güvenlik kontrolleri ve telekom sektörüne özel güvenlik kontrolleri ile bu kontrollerin seçilmesine ve uygulanmasına yol gösteren uygulama kılavuzlarını kapsamaktadır.


 


 


 


Telekom sektörüne özel bu güvenlik standardı, ISO/IEC 27002 standardında tanımlanmış olan 11 ana kontrol alanından oluşmaktadır:


 


 


 


Güvenlik Politikası


 


 


 


Bilgi Güvenliği Organizasyonu


 


 


 


Varlık Yönetimi


 


 


 


Personel Güvenliği


 


 


 


Fiziksel ve Çevresel Güvenlik


 


 


 


İletişim ve İşletme Yönetimi


 


 


 


Erişim Denetimi


 


 


 


Bilgi Sistemi Tedariği, Geliştirilmesi ve Bakımı


 


 


 


Bilgi Güvenliği Olayları Yönetimi


 


 


 


İş Sürekliliği Yönetimi


 


 


 


Uyum


 


 


 


Ayrıca, ISO/IEC 27011 standardı kapsamında ek olarak sunulan “Telekomünikasyon Sektörü İçin Genişletilmiş Kontroller” ve  “Ek Uygulama Kılavuzu”  kısımlarında, telekom altyapı ve servislerinde güvenliği sağlamaya yönelik yeni kontroller ve uygulama kılavuzları tanımlanmaktadır.


 


 


 


Telekomünikasyon Sektörü için Genişletilmiş Kontroller





 


 


9 Fiziksel ve Çevresel Güvenlik




 


 


9.1 Güvenlik Alanı


 


 


 


9.1.7 İletişim merkezinin güvenliğinin sağlanması


 


 


 


9.1.8 Telekomünikasyon ekipman odasının güvenliğinin sağlanması


 


 


 


9.1.9 Fiziksel olarak izole edilmiş çalışma alanlarının güvenliğinin sağlanması


 


 


 


9.3 Diğer kurumların kontrolü altında güvenlik


 


 


 


9.3.1 Taşıyıcının lokasyonunda bulunan ekipman güvenliği


 


 


 


9.3.2 Kullanıcı lokasyonunda bulunan ekipman güvenliği


 


 


 


9.3.3 Bağlantılı telekomünikasyon hizmetleri


 


 


 


10 İletişim ve İşletme Yönetimi




 


 


10.6 Ağ Güvenliğinin Yönetilmesi


 


 


 


10.6.3 Sunulan Telekomünikasyon Hizmetlerinin Güvenlik Yönetimi


 


 


 


10.6.4 Spam Maillere Karşı Tepki


 


 


 


10.6.5 DoS/DDoS Saldırılarına Karşı Tepki


 


 


 


11 Erişim Denetimi




 


 


11.4 Ağ Erişim Denetimi


 


 


 


11.4.8 Kullanıcı tarafından taşıyıcı tespiti ve kimlik denetimi


 


 


 


15 Uyum




 


 


15.1 Yasal Gereklere Uyumluluk


 


 


 


15.1.7 İletişim Gizliliği


 


 


 


15.1.8 Temel İletişim


 


 


 


15.1.9 Acil Tedbirlerin Uyumluluğu


 


 


 


Ek Uygulama Kılavuzu




 


 


B.1 Siber Saldırılara karşı ağ güvenlik önlemleri




 


 


B.1.a Ağ Araçlarının Korunması


 


 


 


B.1.b Kimlik Sahteciliğine karşı önlemler


 


 


 


B.1.c  Telekomünikasyon Servis Kullanıcılarının Dikkatini Çekmek


 


 


 


B.2 Şebeke Tıkanmasına Yönelik Ağ Güvenlik Önlemleri




 


 


B.2a Şebeke Tıkanmasını tespit ve önlemeye yönelik mekanizmalar


 


 


 


B.2.b Şebeke Tıkanmasına sebep olabilecek bilginin önceden toplanması


 


 


 


B.2.c  Geçici hız yükseltme tedbirleri


 


 


 


B.2.d Temel iletişimlerin tespiti ve önceliklendirilmesi


 


 


 


B.2.e Arıza tetikleyebilecek bilginin toplanması


 


 


 


 


Bir sonraki yazımızda “Telekomünikasyon Sektörü İçin Genişletilmiş Kontroller” kısmında belirtilen bu kontrolleri ve  “Ek Uygulama Kılavuzu” içerisinde tanımlanan önlemleri detaylı şekilde inceliyor olacağız.

Exit mobile version