European Union EU Information Security Policies

Yıl 2013, Cilt: 27 Sayı: 3, 451 - 471, 01.07.2013

Türkay Henkoğlu Bülent Yılmaz

Öz

ThedevelopmentoftheEuropeaneconomyisstronglyrelatedtotheuseofinformationandcommunication technologies ICT and the transformation process of information society. However, because of the risks of ICT, people are anxious about using technology, which in turn retards the economic growth of countries all around the world. Therefore, especially in the last twenty years, information security issues have begun to gain importance in European Community EC information policies, and many suggestions have been made related to these issues.The purpose of this study is to examine the main issues in EC information policies, the aims and the effects of these policies, and how they are implemented. The importance and scope of these policies were examined based on the McCumber information security model, which is a comprehensive and multidimensional information security model. In order to draw attention to the importance of information security issues in EC policies, a wide range of information sources are reviewed, including EC directives and agreements related to information security, the EC organizations responsible for making information security policies, and the literature concerning these issues. The findings of the study show that EC information security policies are seen as a vital part of economy and information society policies. In addition, the study showsthat data protection directives have been updated regularly since 1995, which makes them suitable for the needs of today's world.

Anahtar Kelimeler

information security policies, protection of personal data, EC information security, cybercrimes, McCumber Model, ENISA, digital agenda

Avrupa Birliği AB Bilgi Güvenliği Politikaları

Öz

Avrupa ekonomisinin gelişimi, bilgi ve iletişim teknolojilerinin kullanımı ve bilgi toplumu dönüşüm süreci ile yakın ilişkilidir. Fakat bilgi ve iletişim teknolojilerinin kullanım riskleri, kullanıcıların teknolojinin kullanımına olan güvenini azaltmakta ve ekonominin canlanmasına engel olmaktadır. Bu nedenle; özellikle son 20 yıl içinde AB bilgi politikaları içinde bilgi güvenliğine büyük önem verilmiş ve birçok direktif ve tavsiye kararı yayımlanmıştır.Bu çalışmada; AB bilgi güvenliği politikalarını şekillendiren unsurların, politikaların amaçlarının, nasıl uygulandığının ve etkilerinin değerlendirilmesi amaçlanmıştır. Bilgi güvenliği politikalarının kapsamı ve önemi, çok yönlü ve kapsamlı bir kuramsal bilgi güvenliği modeli olan McCumber bilgi güvenliği modeli üzerinde irdelenmiştir. Bilgi güvenliği ile ilgili olarak yayımlanmış AB direktifleri, AB komisyonu tarafından hazırlanan sözleşmeler, bilgi güvenliği politikalarının geliştirilmesinde etkili AB kuruluşları ve mevcut literatür incelenerek; AB bilgi politikaları içinde bilgi güvenliği konusunun yeri ve önemine dikkat çekilmiştir. Çalışma sonucunda; AB bilgi güvenliği politikalarının, ekonomi ve bilgi toplumu politikalarının önemli bir parçası olarak görüldüğü ve veri koruma direktifleri üzerinde güncelleme çalışmalarının 1995 yılından itibaren kesintisiz olarak yapıldığı anlaşılmıştır. Bu politikaların günün gereksinimlerine yanıt verebilecek nitelikte olduğu belirlenmiştir.

Anahtar Kelimeler

bilgi güvenliği politikaları, kişisel verilerin korunması, AB veri güvenliği, siber suçlar, McCumber Modeli, ENISA, dijital ajanda

Kaynakça

• Arthur, C. (2012). EU justice chief warns Google over “Sneaking” citizens'privacy away. 3 Kasım 2012 tarihinde http://www.gurdian.co.uk/technology/2012/mar/01/eu-warns-google-overprivacy adresinden erişildi.
• Belson, D., Möller, R. ve Bergqvist, S. (2012). The state of the internet. 23 Mart 2012 tarihinde http:// www.akamai.com/stateoftheinternet/ adresinden erişildi.
• Bertine, H. (2007). Telecommunication security. 26 Ekim 2012 tarihinde http://www.itu.int/ITU-T/ special-projects/security/presentations/Telecommunication_Security-GSC11.ppt adresinden erişildi.
• Bozkurt,A. (2010). Türkiye de “Sanal Suçlar Sözleşmesi”ni imzaladı. Bilişim Dergisi, 127, 10-14.
• CiscoLearning. (2009). CCNA security. 28 Ekim 2012 tarihinde http://www.cs.rpi.edu/~kotfid/ secvoice10/powerpoints/CCNA_Security_01.ppt adresinden erişildi.
• ENISA. (2009). Cloud computing information assurance framework. 25 Aralık 2012 tarihinde http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computinginformation-assurance-framework/at_download/fullReport adresinden erişildi.
• ENISA. (2012). An SME perspective on cloud computing - Questionnaire. 05 Aralık 2012 tarihinde http://www.surveymonkey.com/s.aspx?sm=CZdVubBa9LIzYlR3KNeZIQ_3d_3d adresinden erişildi.
• European Commission. (1981). Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. 04 Aralık 2012 tarihinde http://conventions.coe.int/Treaty/en/ Treaties/Html/108.htm adresinden erişildi.
• European Commission. (2001). Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding Supervisory Authorities and Transborder Data Flows. 04 Aralık 2012 tarihinde http://conventions.coe.int/Treaty/en/ Treaties/Html/181.htm adresinden erişildi.
• European Commission. (2004). Commission Staff Working Document. 05 Aralık 2012 tarihinde http:// ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2004-1323_en.pdf adresinden erişildi.
• European Commission. (2005). Green paper on a European programme for critical infrastructure protection. 09 Aralık 2012 tarihinde http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=COM:2005:0576:FIN:EN:PDF adresinden erişildi.
• European Commission. (2010a). European Commission sets out strategy to strengthen EU data protection rules. 07 Aralık 2012 tarihinde http://europa.eu/rapid/press-release_IP-10-1462_ en.pdf adresinden erişildi.
• European Commission. (2010b). MEMO/10/542. 07 Aralık 2012 tarihinde http://europa.eu/rapid/pressrelease_MEMO-10-542_en.pdf adresinden erişildi.
• European Commission. (2011). Action 28: Reinforced network and information security policy. 03 Aralık 2012 tarihinde Digital Agenda for Europe: http://ec.europa.eu/information_society/ newsroom/cf/fiche-dae.cfm?action_id=186&pillar_id=45&action=Action%2028%3A%20 Reinforced%20Network%20and%20Information%20Security%20Policy adresinden erişildi.
• European Commission. (2012a). Action 12: Review the EU data protection rules. 03 Aralık 2012 tarihinde Digital Agenda for Europe: http://ec.europa.eu/information_society/newsroom/cf/ fiche-dae.cfm?action_id=170&pillar_id=43&action=Action%2012%3A%20Review%20 the%20EU%20data%20protection%20rules adresinden erişildi.
• European Commission. (2012b). Commission proposes a comprehensive reform of the data protection rules. 26 Kasım 2012 tarihinde http://ec.europa.eu/justice/newsroom/data-protection/ news/120125_en.htm adresinden erişildi.
• European Commission. (2012c). MEMO/12/41. 07 Aralık 2012 tarihinde http://europa.eu/rapid/pressrelease_MEMO-12-41_en.pdf adresinden erişildi.
• European Commission. (2012d). How does the data protection reform strengthen citizens'rights? 05 Aralık 2012 tarihinde http://ec.europa.eu/justice/data-protection/document/review2012/ factsheets/2_en.pdf adresinden erişildi.
• European Commission. (2012e). Digital agenda for Europe. 03 Aralık 2012 tarihinde http://ec.europa. eu/information_society/newsroom/cf/pillar.cfm?pillar_id=45&pillar=Trust%20and%20 Security adresinden erişildi.
• European Commission. (2012f). Unleashing the potential of cloud computing in Europe. Brussels: European Commission.
• European Council. (1992). 92/242/EEC: Council decision of 31 March 1992 in the field of security of information systems. 02 Kasım 2012 tarihinde http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=CELEX:31992D0242:EN:NOT adresinden erişildi.
• European Council. (1995). Directive 95/46/EC Of The European Parliament and of the Council. 29 Ekim 2012 tarihinde http://idpc.gov.mt/dbfile.aspx/Directive%2095-46%20-%20Part%202.pdf adresinden erişildi.
• European Council. (2001). Convention on Cybercrime. 29 Kasım 2012 tarihinde http://conventions. coe.int/treaty/en/treaties/html/185.htmadresinden erişildi.
• European Council. (2003). Additional protocol to the convention on cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems. 06 Aralık 2012 tarihinde http://conventions.coe.int/Treaty/en/Treaties/Html/189.htm adresinden erişildi.
• European Council. (2012). Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. 04 Aralık 2012 tarihinde http://conventions.coe.int/Treaty/ Commun/ChercheSig.asp?NT=108&CM=&DF=&CL=ENG adresinden erişildi.
• Feiler, L. (2011). Information security law in the EU and the U.S.: A risk-based assessment of implicit and explicit regulatory policies. 28 Ekim 2012 tarihinde http://fsi.stanford.edu/research/ information_security_law_in_the_eu_and_the_us_a_riskbased_assessment_of_implicit_and_ explicit_regulatory_policies adresinden erişildi.
• Filippi, P. ve Belli, L. (2012). Law of the cloud v law of the land: Challenges and opportunitiesfor innovation. European Journal of Law and Technology, 3(2), 1-23.
• Helvacıoğlu, A. D. (2004). İnternet ve hukuk (Y. M. Atamer, Yay. Haz.). İstanbul: Bilgi Üniversitesi.
• Henkoğlu, T. ve Uçak, N.Ö. (2012). Elektronik bilgi güvenliğinin sağlanması ile ilgili hukuki ve etik sorumluluklar. Bilgi Dünyası, 13(2), 377-396.
• HP. (2011). 2011 Top cyber security risks report. 06 Kasım 2012 tarihinde http://www. hpenterprisesecurity.com/collateral/report/2011FullYearCyberSecurityRisksReport.pdf adresinden erişildi.
• ITU. (2011). ICT security standards roadmap. 21 Ekim 2012 tarihinde http://www.itu.int/ITU-T/ studygroups/com17/ict/index.html adresinden erişildi.
• ITU. (2012). ITU Activities related to cybersecurity. 22 Ekim 2012 tarihinde http://www.itu.int/ cybersecurity/ adresinden erişildi.
• King, N. ve Raja, V. (2012). Protecting the privacy and security of sensitive customer data in the cloud. Computer Law & Security Review, 28(3), 308-319.
• Loop Technology. (2010). Information security policy review. 19 Kasım 2012 tarihinde http://www. looptech.com.au/content_common/pg-security-policy-review.seo adresinden erişildi.
• Maconachy, W., Schou, C., Ragsdale, D. ve Welch, D. (2001). A model for information assurance: An integrated approach. 14 Kasım 2012 tarihinde http://it210web.groups.et.byu.net/lectures/ MSRW%20Paper.pdf adresinden erişildi.
• McCumber, J. (1991). Information systems security: A comprehensive model. Proceedings 14th National Computer Security Conference. Baltimore: National Institude of Standarts and Technology. 18 Kasım 2012 tarihinde http://www.cryptosmith.com/sites/default/files/docs/ MccumberAx.pdf adresinden erişildi.
• McCumber, J. (2005). Assessing and managing security risk in IT systems. Washington: CRC.
• Microsoft. (2012). Microsoft Online Privacy Statement. 30 Kasım 2012 tarihinde http://privacy. microsoft.com/TR-TR/fullnotice.mspx adresinden erişildi.
• Roscini, M. (2010). World wide warfare - Jus ad bellum and the use of cyber force. Max Planck Yearbook of United Nations Law (A. Bogdandy, & R. Wolfrum, Yay. Haz.) içinde (ss. 85-130). Netherlands: Brill.
• Solomon, M. ve Chapple, M. (2005). Information security illuminated. Boston: Jones and Bartlett Publishers.
• Sultan, N. (2012). Knowledge management in the age of cloud computing and Web 2.0: Experiencing the power of disruptive innovations. International Journal of Information Management, 33(1), 160-165.
• Svantesson, D., ve Clarke, R. (2010). Privacy and consumer risks in cloud computing. Computer Law & Security Review, 26(4), 391-397.
• Symantec. (2012). Internet security threat report - 2011 trends. 06 Kasım 2012 tarihinde http://www. symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_2011_21239364 . en-us.pdf adresinden erişildi.
• TBMM. (2004). Uluslararasi Telekomünikasyon Birliği Kuruluş Yasası ve Sözleşmesinde Değişiklik Yapan Marakeş Tam Yetkili Temsilciler Konferansı Sonuç Belgelerinin Onaylanmasının Uygun Bulunduğuna Dair Kanun. 23 Ekim 2012 tarihinde http://www.tbmm.gov.tr/kanunlar/k5163. html adresinden erişildi.
• WBO. (2003). Information security assurance for executives. Paris: The World Business Organization.
• Winter, K. (1997). Privacy and the rights and responsibilities of librarians. The Katharine Sharp Review, No:4. 17 Kasım 2012 tarihinde http://mirrored.ukoln.ac.uk/lis-journals/review/review/ winter1997/winter.pdf adresinden erişildi.