MErhaba; Öncelikle bununla ilgili kanun açıkça birçok sorunuza cevap veriyor. Net olmayan kısımlar zaten mahkemelerce temsili kararlarla sonradan netleşiyor. Ancak şu varki kurumsal veya herhangi bir firmada öncelik kurumun ve kişiye gelebilecek her türlü tehdide karşı önlem alınmasıdır. Bunu yapmak için her durumda ssl trafiği açıp içine bakmak ve yapılan işlemleri kaydetmek durumundasınız. Çünkü mahkemelik durumlarda önce sorulan bu işin logu var mı olur. Loglama da Kişinin resmi kurumlarla -edevlet sitesi,banka trafikleri vb- olan trafiğini açmazsınız. Bunun dışındaki tüm ssl trafikleri dinlemek zorunluluk oldu; Çünkü artık saldırılar ssl trafik içinden yapılmaktadır. Bu zorunluluğu yerine getiriken kullanıcıya iş sözleşmelerinde ve kurum içi portal ve duyurularda bunu haberdar edersiniz. VE asıl son nokta logladığınız verileri nasıl koruyor ve kimler bunlara erişebiliyor olur. Bu konuda da log gizliliğini ve güvenliğini sağlıyorsanız ,Logları izleyen kişi veya kişilerden doğacak sorumluluğu da dokümante ettiniz mi çoğu açıdan üzerinize düşeni yapıyorsunuzdur.
Konu basit aslında: SSL inspection ve DLP kurumlar için şarttır.Veri gizliliği ,bütünlüğü ve güvenliği de aynı şekilde şarttır. Bunun dışındakiler çok ince detaylar olacaktır. İlgili kanun. http://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf 2 Mayıs 2016 20:36 tarihinde Furkan ÇALIŞKAN <[email protected]> yazdı: > Sözleşmeye/ıslak imzaya sunulsa bile konu, kanunda emredici bir hüküm > varsa bilindiği üzere geçersiz oluyor sözleşmedeki madde. Aslında biraz > sormak istediğim buydu. SSL trafiği açıp -gerekirse saklamaya- bu anlamda > bir engel var mı kurum ağını ve ekipmanını kullandığı sürece? (Sağlık ve > Finansal sitelere istisna tanımlama yapılacak) > > Sertal bey, bahsettiğiniz daha çok man-in-the-middle attack'lar için > sanırım benim anladığım? Kanun burda Mitm ile güvenlik endişeleri amacıyla > SSL dahil full-packet loglamayı nasıl ayırıyor? 'Hukuka aykırı olmayan' > izleme şu anki düzenlemelerle mümkün değil gibi sadece bunu baz alırsak? > > 2 May 2016 Pzt, 20:16 tarihinde, Fatih Ekrem Genc <[email protected]> > şunu yazdı: > >> merhaba >> >> calisanlardan bu konuya dair islak imzali izin almaniz gerekli diye >> biliyorum. >> On May 2, 2016 5:03 PM, "Furkan ÇALIŞKAN" <[email protected]> >> wrote: >> >>> Merhaba, >>> >>> Türkiye Cumhuriyeti kanun ve düzenlemeleri açısından; kurum ağına ait >>> SSL trafiğinin DLP ve zararlı yazılımların tespiti amaçlı >>> izlenmesi&kaydedilmesi noktasında bir düzenleme mevcut mudur? Bilginiz var >>> mı? >>> >>> Kolay gelsin, >>> >>> -Furkan >>> >>> ------------------- >>> Uygulamalı Ağ Güvenliği Eğitimi >>> >>> 06-08 Mayıs 2016 - ISTANBUL >>> >>> ------------------- >>> >> ------------------- >> Uygulamalı Ağ Güvenliği Eğitimi >> >> 06-08 Mayıs 2016 - ISTANBUL >> >> ------------------- > > > ------------------- > Uygulamalı Ağ Güvenliği Eğitimi > > 06-08 Mayıs 2016 - ISTANBUL > > ------------------- > -- Saygılarımla. Ferhat Deşteki ----------------------------------------------------------------------------------------------------------------- www.linkedin.com/pub/ferhat-de%C5%9Fteki/46/61b/88a twitter.com/ferhades
------------------- Uygulamalı Ağ Güvenliği Eğitimi 06-08 Mayıs 2016 - ISTANBUL -------------------
