Biznet BilişimBiznet Bilişim

By Sefa Karabulut

Endüstriyel Kontrol Sistemleri (EKS) Bilişim Güvenliği Yönetmeliği

Endüstriyel Kontrol Sistemleri (EKS) Bilişim Güvenliği Yönetmeliği

Endüstriyel Kontrol Sistemleri (EKS) Bilişim Güvenliği Yönetmeliği, Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından enerji firmalarına yönelik olarak hazırlanmış ve 13 Temmuz 2017 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. Söz konusu Yönetmelik, enerji piyasasında faaliyet gösteren firmaların EKS’lerinde kullanılan bilişim sistemlerine yönelik risklerin değerlendirilerek azaltılması veya ortadan kaldırılmasını amaçlamaktadır. Yönetmelikle yapılan çalışmaları denetleme ya da denetlettirme yetkisi EPDK’na verilmiştir. Kapsamlı bir çalışmanın ilk adımı olarak değerlendirilebilecek bu yönetmeliğin, EKS’lere yönelik tehditlerle ilgili önemli bir farkındalık yaratacağı ve kritik altyapılarla ilgili önlemlerin alınması için yol gösterici olacağı değerlendirilmektedir.

Yönetmeliğe ilişkin detaylı bilgilere bu doküman üzerinden ulaşabilirsiniz.

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedInFacebookGoogle+ ve Twitter’da sizleri bekliyoruz.

By Sefa Karabulut

PCI DSS v3.2 ile Gelen Yeni Kontroller

PCI DSS v3.2 ile Gelen Yeni Kontroller

2016 Nisan ayında yayınlanan ve birtakım değişiklikleri beraberinde getiren PCI DSS v3.2, 1 Kasım 2016 tarihi itibariyle zorunlu hale geldi. Bu tarih itibariyle gerçekleştirilecek tüm PCI DSS değerlendirmeleri artık standardın 3.2 versiyonuna göre yapılmak zorunda.

Bu yazımızda standardın 3.2 versiyonu ile gelen yeni kontrollere ve detaylarına göz atacağız. PCI DSS ’in yeni versiyonundan ağırlıklı olarak servis sağlayıcılar etkilenecektir. Bu statüdeki şirketlerin uyması gereken yeni gereksinimlere göz atacak olursak;

  • Kriptografik mimari detaylarını içeren onaylı bir doküman oluşturulmalıdır. İlgili dokümanda;
  • Anahtar uzunluğu ve son kullanım tarihi de dahil olmak üzere kart datasını korumak için kullanılan anahtarlar, protokoller ve algoritmaların detayı
  • Her bir anahtarın kullanım amacı
  • Anahtar yönetimi için kullanılan tüm diğer SCD’ler ve HSM cihazlarına ait envanter

listesi bulunmalıdır. Bu kontrol maddesi 1 Şubat 2018 tarihi itibariyle zorunlu bir gereksinim olacaktır.

  • Kritik güvenlik sistemleri herhangi bir şekilde hata durumuna geçer ve çalışamayacak olursa bu durumun anlık olarak tespit edilmesi ve raporlanması gerekmektedir. Bunun için kurum içerisinde gerekli süreçlerin 1 Şubat 2018 tarihine kadar oluşturulması ve bu tarih itibariyle sürecin işletilmesi gerekmektedir. Kritik güvenlik sistemleri ile kastedilen de bunlarla kısıtlı olmamak üzere firewall, IPS/IDS, FIM, anti virüs, fiziksel ve mantıksal erişim kontrolleri, denetim izi mekanizmaları ve kullanılıyorsa segmentasyon kontrolleridir.
  • PCI DSS kapsamındaki sistemlerde ağ seviyesinde segmentasyon kullanılıyorsa, segmentasyonun kontrollerinin/metotlarının doğruluğu 6 ayda bir yapılacak sızma testi ile doğrulanmalıdır. Standardın 3.2 versiyonu ile sızma testlerinin yılda bir ya da belirgin değişiklikler sonrası yapılması gerekliliği aynen devam ederken, segmentasyon kontrolleri özelinde 6 ayda bir sızma testi yapılması 1 Şubat 2018 tarihi itibariyle zorunlu hale gelmektedir.
  • Üst yönetim, kart datasının korunmasına yönelik sorumlulukları ve PCI DSS uyum programını tesis ederek işletilmesini sağlamalıdır. 1 Şubat 2018 tarihi itibariyle geçerli olacak gereksinime göre, PCI DSS uyumunun sağlanması için genel sorumlulukları belirleyen ve üst yönetimle haberleşmeyi de sağlayarak PCI DSS uyumuna yönelik planı içeren bir uyum programı hazırlanmalıdır ve işletilmelidir.
  • 1 Şubat 2018 tarihinde zorunlu olacak başka bir gereksinime göre de servis sağlayıcılar, ilgili personelin güvenlik politikaları ile operasyonel prosedürlere uyup uymadıklarını en az 3 ayda bir gözden geçirmelidirler. Gerçekleştirilecek incelemeler; günlük logların gözden geçirilmesi, firewall kural seti kontrollerinin yapılması, yeni sistemlere konfigürasyon standartlarının uygulanması, güvenlik alarmlarına reaksiyon gösterilmesi ve değişiklik yönetim süreçlerinin yürütüldüğünün garanti alınması konularını kapsamaktadır. Bunun için PCI DSS uyum programını yürütecek kişi,3 ayda bir yapacağı kontrolleri tutanak altına alarak, imzalı olarak saklamalıdır.

Standardın yeni versiyonu ile beraber üye iş yerleri başta olmak üzere herkesin etkileneceği yeni gereksinimler ise şöyle sıralanmaktadır;

  • PAN bilgisinin ilk 6 son 4 hanesinden fazlasının gösterilmesine olanak sağlanmaktadır. İş ihtiyaçları nedeniyle gerek duyulması halinde ilgili personel ilk 6 son 4 haneden fazla PAN bilgisi görüntüleyebilecektir.
  • Sistemlerde önemli bir değişiklik yapıldığında, ilişkili tüm PCI DSS gereksinimlerinin tüm yeni veya değişen sistemlerde, networklerde uygulanması gerekmektedir. 1 Şubat 2018 itibariyle aktif olacak gereksinime göre; son 1 yılda bu tarz bir önemli değişiklik yapıldıysa ilgili değişiklik kayıtları ve dokümanlar incelenerek bu gereksinimin uygulandığı kontrol edilecektir.
  • Kart veri envanterine (CDE) uzaktan yapılacak tüm erişimlerin, iç ağdan ise yapılacak yönetimsel erişimlerin çoklu (multi-factor) doğrulamadan geçmesi gerekmektedir. Burada multi-factor doğrulama ile kastedilen; bildiğiniz (şifre, parola), sahip olduğunuz (token cihazı ya da akıllı kart) ve size ait (biometrik) doğrulama metotlarından en az 2 tanesinin kullanılmasının zorunlu olmasıdır. Uzaktan yapılacak erişimler için çoklu doğrulama, standardın yeni versiyonu ile zorunlu hale gelmişken, iç ağdaki yönetimsel erişimlerin çoklu doğrulama ile yapılması gereksinimi 1 Şubat 2018 tarihi itibariyle zorunlu hale gelecektir.
  • 1 Temmuz 2018 itibariyle tüm kurumlar eski TLS/SSL protokolünün kullanımını durdurmak ve protokolün güvenli versiyonlarına geçmek zorundadır. Bu tarihe kadar kullanılacak güvensiz mevcut protokoller içinse risk azaltma geçiş planı sunulmalıdır. SSL/Eski TLS kullanımı standardın yeni versiyonunda raporun bir eki olarak karşımıza çıkmaktadır.

 

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.