TEMPEST Raporu Nasıl Alınır?

TEMPEST Raporu Nedir?

TEMPEST kelimesi “Telecommunications Electronics Material Protected from Emanating Spurious Transmissions” ifadesinin kısaltılmasıdır ve “Elektromanyetik İletimlerin Yayılmasından Korunan Telekomünikasyon Elektronik Malzemesi” olarak tanımlanabilir. TEMPEST Raporu ise, TUBİTAK tarafından yapılan denetim sonrasında şirketinize verilen ve şirketinizin elektromanyetik yayılımdan kaynaklı dinlemelere karşı korunmuş olduğunu gösteren belgedir.

Şirketlerimizde günlük çalışmalarımız sırasında kullandığımız elektronik cihazlarların hemen hemen hepsi elektromanyetik salınımlar yapmaktadır. Örneğin; dizüstü bilgisayarlar, masaüstü ve sunucu bilgisayar kasaları ve switchler bu elektromanyetik salınımları yapan başlıca cihazlardır. Ayrıca; ağ kabloları, telefonlar, monitörler ve hatta klavyeler bile bu salınımları yapar. Bu salınımlar, bilgi hırsızları tarafından bazı dinleme cihazları kullanılarak ekran görüntüsü ve sese dönüştürülür ve kayıt altına alınabilir.

Aşağıda bilgisayarlardan yayılan elektronmanyetik sinyallerin dinlenmesi ile elde edilmiş ekran görüntülerinin olduğu 3 adet örnek bulunmaktadır. Bu örneklere baktığımızda, dinlenen bilgisayarların ekranlarının çok net bir şekilde okunabildiğini görmekteyiz. Bu sebeple de, şirkettinizde bilhassa gizlilik gerektiren işlerinizi yürütürken, firmanızın dışına konuşlanmış bilgi hırsızlarının bilgisayarlarınıza ait ekran görüntülerini ve telefon görüşmelerinizi kolaylıkla kayıt altına alabileceğini söyleyebiliriz.

TEMPEST Raporu
Elektromanyetik Dinleme Örnek 1
TEMPEST Raporu
Elektromanyetik Dinleme Örnek 2
TEMPEST Raporu
Elektromanyetik Dinleme Örnek 3

Kimler TEMPEST Raporu Almalıdır?

Milli Savunma Bakanlığı, genel olarak gizlilik dereceli yazılım projelerinde alt-yüklenici olarak görev alan firmalardan TEMPEST Raporu almalarını talep etmektedir. TEMPEST uygulaması ile şirketinizin enerji, iletişim ve tüm veri hatları için TEMPEST cihazları kurularak elektromanyetik yayılımların şirketinizin dışına çıkması engellenir ve böylece bilgi hırsızlıklarının önüne geçilir. Yazılım projeleri dışında hizmet veren firmaların TEMPEST Raporu alıp almaması konusundaki nihai karar MSB’nin takdirindedir. Eğer şu an için TEMPEST Raporu alınmasına gerek duyulmaz ise, firma MSB’ye “Gerektiğinde TEMPEST kuracağına dair” bir taahhüt yazısı vermelidir.

MSY 317-2C’de ilgili madde şöyledir: “ÖZEL ve üzeri gizlilik dereceli askerî ve ulusal güvenlik amaçlı yazılım üretenler ile en az ÖZEL gizlilik dereceli bilgi üreten, bu seviyeli bilgi ile çalışan veya elektronik ortamda depolayan kuruluşlar tarafından, bilginin üretildiği ve depolandığı bilgi sistem odalarında ve bilgisayar sistemlerinde kullanılan, enerji iletim, iletişim ve veri hatlarına dışarıdan müdahaleye ve bilgi sızmasına engel olacak güvenlik tedbirleri alınır ve bu sistemlere yönelik TEMPEST koruması sağlanır.”

Özetle; TEMPEST Raporu bağımsız olarak alınabilecek bir rapor olmakla birlikte, Tesis Güvenlik Belgesi almak isteyen ve bilgi güvenliğinin önemli olduğu firmalardan istenen bir belgedir. Tesis Güvenlik Belgesi ve TEMPEST Raporu başvuruları eş zamanlı olarak yapılabilir.

Tesis Güvenlik Belgesi Danışmanlık Hizmetimiz hakkında bilgi almak için lütfen tıklayınız.

TEMPEST Raporu Nasıl Alınır?

TEMPEST Raporu alma süreci ortalama 2-3 ay sürmektedir. TEMPEST Raporu nu almak için izlenecek adımlara aşağıdadır:

Adım 1: TEMPEST Raporu almak için öncelikle şirket içerisinde aşağıdaki önlemler alınır.

  • Enerji, iletişim ve tüm veri hatları için TUBİTAK’tan alınan TEMPEST cihazları kurularak elektromanyetik yayılımların şirketi dışına çıkması engellenir. Sunucu vb. gizli bilgilerin bulunduğu cihazların yer aldığı Bilgi İşlem Odası veya gerektiğinde projelerin geliştirildiği Kontrollü Bölgenin tüm duvarları, tavan ve tabanı özel yalıtkan siyah boya ile boyanarak veya yalıtkan levhalarla ile kaplanarak yalıtılır.
  • Siyah ve kırmızı ağ kabloları ve elektrik kabloları arasında 1 metre mesafe konulur.
  • Gerektiğinde, tüm elektrik, iletişim ve veri kablolarının tesisat boruları alüminyum veya galvanizli borular ile değiştirilir.
  • Gerektiğinde, havalandırma girişlerine elektromanyetik kırıcı cihazlar konulur.

Adım 2: TEMPEST önlemleri alındıktan sonra, TUBİTAK’a TEMPEST Raporu almak üzere başvuru yapılır. TUBİTAK, TEMPEST Raporu başvurusunu değerlendirir ve firmayı arayarak denetim gününü bildirir.

Adım 3: TUBİTAK yetkilileri firmanızı ziyaret eder, şirket içi ve dışında elektromanyetik ölçümler yapar ve ölçülen değerler eşik değerlerinin altında ise TEMPEST Raporu nu firmaya verir.

YKC Grup Bilişim; TEMPEST Raporu, Tesis Güvenlik Belgesi, Kişi Güvenlik Belgesi, Kuruluş İzin Belgesi, Üretim İzin Belgesi ve İthalat/İhracat İzin Belgesi konularında danışmanlık hizmeti vermektedir.

Resmi Kaynaklar

Etiketler

tempest sistemi nedir, tempest raporu nedir, nasıl, nereden alınır, ücreti maliyeti nedir, ne kadar sürer, tempest ne kadar sürer, tempest ne işe yarar, tempest nasıl alınır, tempest ne kadar, istanbul tempest firmaları, tempest istanbul firmaları, istanbuldaki tempest firmaları, ankara tempest firmaları, tempest firmaları ankara, ankaradaki tempest firmaları.