ELEKTRONİK HABERLEŞME GÜVENLİĞİ KAPSAMINDA TS ISO/IEC 27001

23 Mart 2011 ÇARŞAMBA
Resmî Gazete
Sayı : 27883

TEBLİĞ

Bilgi Teknolojileri ve İletişim Kurumundan:

ELEKTRONİK HABERLEŞME GÜVENLİĞİ KAPSAMINDA TS ISO/IEC 27001
STANDARDI UYGULAMASINA İLİŞKİN TEBLİĞ’DE DEĞİŞİKLİK
YAPILMASINA DAİR TEBLİĞ

MADDE 1 – 15/10/2010 tarih ve 27730 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğ’in “İşletmecilerin yükümlülükleri” başlıklı 5 inci maddesi aşağıdaki şekilde değiştirilmiştir.

“İşletmecilerin yükümlülükleri

MADDE 5 – (1) Uygunluk belgesi alma yükümlülüğü, işletmecinin kişisel ses ve/veya veri hizmeti taşıması ile bir önceki yılın net satışına göre belirlenir.

a) Bu Tebliğ’in Ek-1’inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı bir milyon (1.000.000) Türk Lirası ve üzeri olanlar, standarda uygunluğu sağlamak ve uygunluk belgesi almakla yükümlüdür.

b) Bu Tebliğ’in Ek-1’inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı bir milyon (1.000.000) Türk Lirası’nın altında olanlar, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür.

c) Bu Tebliğ’in Ek-2’sinde verilen kişisel ses ve/veya veri taşıma hizmeti sunmayan işletmeciler, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür.

(2) Birinci fıkranın (a) bendinde belirtilen işletmeciler, yetkilendirme tarihinden itibaren bir yıl sonraki tarihe kadar standarda uygunluğu sağlamak, ikinci yılın sonuna kadar standarda uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür.

(3) Birinci fıkranın (b) ve (c) bentlerinde belirtilen işletmeciler, yetkilendirme tarihinden itibaren bir yıl sonraki tarihe kadar uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür.

(4) Birinci fıkranın (b) bendinde belirtilen işletmecilerden zaman içinde yıllık net satışı bir milyon (1.000.000) Türk Lirası’nı aşanlar, söz konusu yıllık net satış değerini aştıkları yılın sonu itibarıyla iki yıl içerisinde uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür.

(5) Birinci fıkranın (a) bendinde belirtilen işletmecilerden zaman içinde yıllık net satışı bir milyon (1.000.000) Türk Lirası’nın altına düşen işletmecilerin, uygunluk belgesi alma yükümlülüğü devam eder.

(6) Uygunluk belgesi, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre sistem belgelendirmesi yapmak üzere akredite edilmiş kuruluşlardan alınır.”

MADDE 2 – Aynı Tebliğ’in “Standarda uyumluluk ve belge alma tarihi” başlıklı geçici 1 inci maddesi başlık da dahil olmak üzere aşağıdaki şekilde değiştirilmiştir.

“Standarda uygunluk ve belge alma tarihi

GEÇİCİ MADDE 1 – (1) Bu Tebliğ’in 5 inci maddesinin ikinci ve üçüncü fıkralarında belirtilen işletmecilerin, yetkilendirmelerini müteakip bir yıllık sürenin, 1/7/2011 tarihinden öncesine tekabül etmesi halinde; bu işletmeciler standarda uygunluk sağlama yükümlülüklerini 1/7/2011 tarihine kadar yerine getirir.

(2) Bu Tebliğ’in 5 inci maddesinin ikinci fıkrasında belirtilen işletmeciler, yetkilendirmelerini müteakip iki yıllık sürenin 1/3/2012 tarihinden öncesine tekabül etmesi halinde, uygunluk belgesi alma ve bu uygunluk belgesini Kuruma gönderme yükümlülüklerini 1/3/2012 tarihine kadar yerine getirir.”

MADDE 3 – Bu Tebliğ; yayımı tarihinde yürürlüğe girer.

MADDE 4 – Bu Tebliğ hükümlerini, Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.

Reding outlines data privacy plans for companies in Europe

European information society and media commissioner Viviane Reding has warned companies operating in the EU that they will face court action if they break forthcoming European data laws.

Reding, who is currently preparing the new laws, warned that the EU would not hesitate to take action against non-EU companies that broke local laws on data collection and retention.

"To enforce the EU law, national privacy watchdogs shall be endowed with powers to investigate and engage in legal proceedings against non-EU data controllers whose services target EU consumers," she said.

"Stakeholders at a recent public consultation on data protection asked me to make clear that our data protection rules also apply to data retention. Storage of data is already included in the broad definition of 'processing' but the general public is unaware that processing includes storing/retention."

She explained that EU law would be based on four central principles. Firstly, citizens had to have a "right to be forgotten", to opt out of data collection and for those companies collecting it to prove a need to store the information.

Second, companies will have to be transparent on what data they are collecting and with whom it is shared. This was particularly important for young people on social networking sites she said.

"The third pillar is 'privacy by default'. Privacy settings often require considerable operational effort in order to be put in place," she said.

"Such settings are not a reliable indication of consumers' consent. This needs to be changed."

Finally, these laws must protect all EU citizens no matter where they are in the world. For example, third-party telecommunications companies would be bound by them whenever they processed data from an EU account.

The other area that needs attention is law enforcement. Reding proposed that these same rules should apply to law enforcement organisations that were seeking to access commercial data as part of ongoing investigations.

Legislative proposals on the new data protection rules would be released this summer, she said.


Read more: http://www.v3.co.uk/v3-uk/news/2034817/reding-outlines-privacy-plans-companies-europe#ixzz1H2n9Qayi

Facing the cyber-zombies – EU Agency gets tough on Botnets

The EU’s ‘cyber security’ Agency, ENISA today published a comprehensive study on the botnet threat (networks of ordinary computers controlled by cybercriminals),and how to address it. The report looks at the reliability of botnet size estimates and makes recommendations for all groups involved in the fight against botnets. Alongside the main report the Agency sets out the top 10 key issues for policymakers in- ‘Botnets:10 Tough Questions’

Botnets are networks of computers used without their owner’s knowledge for cybercrime such as spamming and the automated theft of valuable data such as credit card information and even politically motivated cyberattacks.

“Botnets: 10 Tough Questions” is a policy-level distillation of ENISA’s consultation with top experts from all sides of the fight against botnets, including Internet Service Providers (ISPs), security researchers, law enforcement, Computer Emergency Response Teams (CERTs) and anti-virus vendors. It discusses questions such as:
• How much can we trust published figures about botnets?
• What is the role of governments in the fight against botnets?
• What is needed from legislation?
• Where should we invest money most efficiently?


“The botnet numbers define the political agenda and they determine 100’s of millions of Euros of security investments – we should understand what is behind them.” says Dr. Giles Hogben, the report Editor. Yet, the report concludes that many botnet figures are likely to be inaccurate and even small numbers of bots can cause severe damage. “Size is not everything – the number of infected machines alone is an inappropriate measure of the threat” says Dr. Hogben.

“Botnets: Measurement, Detection, Disinfection and Defence” is a comprehensive report on how to assess botnet threats and how to neutralise them. It includes:
• A survey and analysis of methods for measuring botnet size and how best to assess the threat posed by botnets to different stakeholders.
• A survey and analysis of botnet countermeasures.
• A comprehensive set of 25 different types of best-practices to attack botnets from all angles: neutralising existing botnets, preventing new infections and minimising the profitability of cybercrime using botnets.

The recommendations cover legal, policy and technical aspects of the fight against botnets and give targeted recommendations for different groups involved including:
• The clarification of defensive measures permitted in each member state
• Measures for encouraging users to keep their computers free of botnets.
• Supporting schemes for notification to infected customers by ISP’s

The report also emphasises the need for a close international cooperation between governments, technically-oriented, and legislative institutions. "Global cooperation is indispensable for successful defence against botnets" says Prof. Udo Helmbrecht, the Executive Director of ENISA.



Both reports will be launched at a conference in Cologne on Wednesday 9th March. A third report focusing on legal issues in the fight against botnets will follow in Q2.


For full papers;
Botnets
10 Tough Questions

http://www.enisa.europa.eu/media/press-releases/facing-the-cyber-zombies-2013-eu-agency-gets-tough-on-botnets

For interviews, or further details: Ulf Bergstrom, Spokesman, ENISA, press@enisa.europa.eu, Mobile: + 30 6948 460 143; or Dr. Giles Hogben, Expert, ENISA, giles.hogben Q enisa.europa.eu.