ISO/IEC 27011 Telekom Sektörüne özel olarak hazırlanmış güvenlik standardıdır. Bu uluslarası standard, telekom sektöründe yer alan kurumların, bilgi güvenliğinin en temel gereksinimleri olan “gizlilik”, “bütünlük” ve “erişilebilirlik” ilkelerini sağlayarak, ortak asgari düzeyde bir bilgi güvenliğine sahip olduklarını ispat etmelerine yardımcı olmak amacıyla oluşturulmuştur.
ISO/IEC 27011 standardı, ISO/IEC 27002 standardı baz alınarak, Telekom sektörüne özel bir Bilgi Güvenliği Yönetim Sistemi kurmak, gerçekleştirmek, sürdürmek ve geliştirmek için oluşturulmuş bir uygulama rehberidir.
ISO 27011 standardı ile neler sağlanmış olur?
Telekomünikasyon kurumları için kabul edilmiş uluslarası hedeflere uygun bir bilgi güvenliği yönetim sisteminin oluşturulması.
Telekomünikasyon araçlarının ve servislerinin gizliliği, bütünlüğü ve erişilebilirliği garanti altına alınarak, bilgi güvenliğinin sağlanması.
Bilgi güvenliğine yönelik kapsamlı ve sistematik bir yönetim sisteminin benimsenmesi.
Güvenli süreç ve kontroller ile telekomünikasyon hizmetlerindeki mevcut risklerin minimize edilmesi.
Kullanıcıların telekom hizmetlerine güveninin arttırılması ile kurumlar için rekabet avantajı
ISO 27011 standardının temel özellikleri ve kapsamı:
ISO/IEC 27011 standardı, ISO/IEC 27002’yi baz alan genel güvenlik kontrolleri ve telekom sektörüne özel güvenlik kontrolleri ile bu kontrollerin seçilmesine ve uygulanmasına yol gösteren uygulama kılavuzlarını kapsamaktadır.
Telekom sektörüne özel bu güvenlik standardı, ISO/IEC 27002 standardında tanımlanmış olan 11 ana kontrol alanından oluşmaktadır:
Güvenlik Politikası
Bilgi Güvenliği Organizasyonu
Varlık Yönetimi
Personel Güvenliği
Fiziksel ve Çevresel Güvenlik
İletişim ve İşletme Yönetimi
Erişim Denetimi
Bilgi Sistemi Tedariği, Geliştirilmesi ve Bakımı
Bilgi Güvenliği Olayları Yönetimi
İş Sürekliliği Yönetimi
Uyum
Ayrıca, ISO/IEC 27011 standardı kapsamında ek olarak sunulan “Telekomünikasyon Sektörü İçin Genişletilmiş Kontroller” ve “Ek Uygulama Kılavuzu” kısımlarında, telekom altyapı ve servislerinde güvenliği sağlamaya yönelik yeni kontroller ve uygulama kılavuzları tanımlanmaktadır.
Telekomünikasyon Sektörü için Genişletilmiş Kontroller
9 Fiziksel ve Çevresel Güvenlik
9.1 Güvenlik Alanı
9.1.7 İletişim merkezinin güvenliğinin sağlanması
9.1.8 Telekomünikasyon ekipman odasının güvenliğinin sağlanması
9.1.9 Fiziksel olarak izole edilmiş çalışma alanlarının güvenliğinin sağlanması
9.3 Diğer kurumların kontrolü altında güvenlik
9.3.1 Taşıyıcının lokasyonunda bulunan ekipman güvenliği
9.3.2 Kullanıcı lokasyonunda bulunan ekipman güvenliği
9.3.3 Bağlantılı telekomünikasyon hizmetleri
10 İletişim ve İşletme Yönetimi
10.6 Ağ Güvenliğinin Yönetilmesi
10.6.3 Sunulan Telekomünikasyon Hizmetlerinin Güvenlik Yönetimi
10.6.4 Spam Maillere Karşı Tepki
10.6.5 DoS/DDoS Saldırılarına Karşı Tepki
11 Erişim Denetimi
11.4 Ağ Erişim Denetimi
11.4.8 Kullanıcı tarafından taşıyıcı tespiti ve kimlik denetimi
15 Uyum
15.1 Yasal Gereklere Uyumluluk
15.1.7 İletişim Gizliliği
15.1.8 Temel İletişim
15.1.9 Acil Tedbirlerin Uyumluluğu
Ek Uygulama Kılavuzu
B.1 Siber Saldırılara karşı ağ güvenlik önlemleri
B.1.a Ağ Araçlarının Korunması
B.1.b Kimlik Sahteciliğine karşı önlemler
B.1.c Telekomünikasyon Servis Kullanıcılarının Dikkatini Çekmek
B.2 Şebeke Tıkanmasına Yönelik Ağ Güvenlik Önlemleri
B.2a Şebeke Tıkanmasını tespit ve önlemeye yönelik mekanizmalar
B.2.b Şebeke Tıkanmasına sebep olabilecek bilginin önceden toplanması
B.2.c Geçici hız yükseltme tedbirleri
B.2.d Temel iletişimlerin tespiti ve önceliklendirilmesi
B.2.e Arıza tetikleyebilecek bilginin toplanması
Bir sonraki yazımızda “Telekomünikasyon Sektörü İçin Genişletilmiş Kontroller” kısmında belirtilen bu kontrolleri ve “Ek Uygulama Kılavuzu” içerisinde tanımlanan önlemleri detaylı şekilde inceliyor olacağız.