Ddk'dan "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile...

Devlet Denetleme Kurulu'nun (DDK) hazırladığı bilgi güvenliği ve kişisel verilere ilişkin raporda, bilgi sistemlerinin, iş sürekliliği ve bir felaket durumunda ayrı bir merkezden hizmet vermeye devam edebilmesinin önem kazandığı belirtilerek, "Büyük çaplı doğal felaket durumları için kuruma ait fiziksel olarak ayrı bir yerde felaket kurtarma merkezi kurulmalıdır" önerisinde bulunuldu.

DDK'nın "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları" raporu yayımlandı.

Raporun bilgi güvenliği yönetim sistemlerine ilişkin tespit ve önerilere ilişkin bölümünde, bir kurumun bilgi güvenliği hedefini ve bu hedefe ulaşmak için uygulanacak kural ve metotların çerçevesini çizen yazılı bilgi güvenliği politikasının bulunması ve bu politika belgesinin tüm çalışanlarla ilgililere duyurulması gerektiği belirtildi.

Denetimlerde kurumların çoğunun, bilgi güvenliği sistemi oluşturma açısından başlangıç noktası kabul edilen bilgi güvenliği politikasına sahip olmadığı veya bu isimle sunulan bazı belgelerin politika belgesi niteliğini taşımadığı, bilgi güvenliği politika belgesi bulunan kurumlarda ise personelin politika belgesinden yeterince haberdar olmadığının tespit edildiği bildirildi.

-Bilgi güvenliği politikası konusunda yapılması gerekenler

Raporda, bilgi güvenliği açısından temel teşkil eden bilgi güvenliği politikası konusunda yapılması gerekenler şöyle sıralandı:

"Kurumlar tarafından, sahip oldukları bilgi sistemlerinin ve bilgi varlıklarının niteliği, yaygınlığı, karşı karşıya bulunduğu risk ve tehditler gibi unsurlar analiz edilmek suretiyle kurum ihtiyaçlarına uygun yazılı bilgi güvenliği politikası oluşturulmalıdır. Güvenliğin ancak bir bütün halinde sağlanabileceği hususu dikkate alınarak, bilgi güvenliği politikası kurumun tüm birimlerini kapsamalıdır. Oluşturulan politika belirli aralıklarla gözden geçirilmeli, değişen yapı ve ihtiyaçlar çerçevesinde güncellenmelidir. Bilgi güvenliği politikaları ve politikalarda gerçekleştirilen güncellemeler kullanıcılara ulaştırılmalı ve kullanıcıların ilgili dokümanları okuduğunu ve kabul ettiğini kayıt altına almaya yönelik uygun mekanizmalar oluşturulmalıdır."

-Veriler yedeklenmeli

Yazılı bir yedekleme politikası bulunmayan veya politika belgesi ile yedekleme uygulaması arasında uyumsuzluk bulunan kurumların olduğunun da tespit edildiği raporda, bu nedenle, yedeklemelerin kişilere bağlı ve bağımlı gerçekleştirildiği, yapılan yedeklemelerin başarılı olup olmadığını tespite yönelik kontrol ve uyarı mekanizmalarının ya hiç bulunmadığı ya da zayıf olduğunun anlaşıldığı belirtildi.

Bilgi sistemlerinde oluşabilecek yazılım ve donanım arızalarının, sistem kesintileri, doğal afetler veya saldırılar gibi nedenlerle kurum bilgi sistemlerindeki veri kayıplarını önlemek açısından verilerin yedeklenmesinin büyük önem taşıdığı vurgulanan raporda, bilgi güvenliği ve bu kapsamda bilgi sistemlerinin sürekli çalışabilirliğinin sağlanması açısından yedekleme konusunda şu tedbirlerin alınması istendi:

"Hangi bilgi sisteminin, ne şekilde, ne sıklıkta ve nasıl yedeğinin alınacağını içeren yazılı bir yedekleme politikası oluşturulmalıdır. Oluşturulan politikaya uygun bir yedekleme sistemi kurulmalıdır. Bu sistem tüm kritik sistemlerden yedek almalıdır. Yapılan yedekleme işlemlerine dair kayıtlar tutulmalı ve düzenli olarak kontrol edilmelidir. Yedekleme ve alınan yedeklerden geri dönüş testleri düzenli olarak yapılmalı ve uygun yöntemlerle kayıt altına alınmalıdır. Yedeklerin teyp kartuşlarına da alınması sağlanmalı ve bu kartuşlar bilgi işlem merkezinden farklı bir yerde, gerekli güvenlik önlemleri alınmak suretiyle muhafaza edilmelidir. Yedeklemeler şifreli gerçekleştirilmelidir."

-Felaket durumları

Raporda, günümüzde pek çok kurumun iş ve işlemlerini yürütmesinin, bilgi sistemlerinin işler tutulmasına bağlı olduğu, bu çerçevede bilgi sistemlerinin iş sürekliliği ve bir felaket durumunda ayrı bir merkezden hizmet vermeye devam edebilmesinin önem kazandığı vurgulandı.

-Felaket kurtarma merkezleri oluşturulması konusunda öneriler

Denetimlerde, iş sürekliliği ve felaket kurtarma konusundaki farkındalığın yetersiz olduğu, çoğu kurumun iş sürekliliği ve felaket kurtarma politika ve senaryolarına sahip olmadığı, omurga veri tabanına sahip bazı kurumların felaket kurtarma merkezinin dahi bulunmadığının tespit edildiği raporda, iş sürekliliği ve felaket kurtarma merkezleri oluşturma konusunda şu önerilerda bulunuldu.

"Normal çalışma zamanı ile ilgili iş sürekliliği politikası oluşturulmalıdır. Bu politikada kritik sistemlere ait idame süreçleri yazılı hale getirilmelidir. Oluşturulan bu süreçler düzenli olarak gözden geçirilmeli, değişen şartlara ve eklenen sistemlere uygun olarak güncellenmelidir. Kritik sistemlere yönelik tehdit ve riskler ile bu riskleri ortadan kaldırmak için gerekli önlemler ve sorumluların belirlendiği acil durum politikası oluşturulmalı ve bu politikalar belirli aralıklarla gözden geçirilmelidir.

Acil durum politikasında felaket durumunda yapılacak işlemler de belirlenmelidir. Büyük çaplı doğal felaket durumları için kuruma ait ve fiziksel olarak ayrı bir yerde felaket kurtarma merkezi kurulmalıdır. Kurulan bu merkezde kurum bilgi sistemlerinin bir örneği olmalıdır. Kurum ana bilgi işlem merkezi ile felaket kurtarma merkezinin düzenli aralıklarla senkronize olması ve bu sayede güncel kurum verilerinin felaket kurtarma merkezinde de bulunması sağlanmalıdır. Felaket kurtarma merkezinin etkinliğini ölçmek amacıyla tatbikatlar yapılarak kurum hizmetleri belirli aralıklarla felaket kurtarma merkezindeki bilgi sistemleri üzerinden verilmelidir."

-Personele güvenlik eğitimi

Denetimlerde, bilgi işlem personeli ve kurum çalışanlarında güvenlik konusundaki farkındalığın çok düşük olduğu tespitinin de yapıldığı raporda, güvenlik farkındalığının artırılmasına yönelik, kurum personeline düzenli bilgi güvenliği farkındalık eğitimlerinin verilmesi, farkındalığı ölçmek amacıyla düzenli aralıklarla sosyal mühendislik sızma testleri yapılması ve benzeri çalışmaların gerçekleştirilmesi gerektiği vurgulandı.

Raporda, bilişim sistemlerine yetkisiz erişimlerin engellenmesi açısından, bu sistemlere erişimlere ilişkin yetkilendirmelerle bu yetkilerin kaldırılması süreçlerinin belirlenmesi gerektiği bildirildi.

Denetimlerde gerek bilişim hizmeti satın alınan firma personelinin gerekse kurum çalışanlarının yetkilendirilmesi ve işten ayrılma, uzun süreli izin veya ara verme durumunda bilgi sistemine giriş yetkilerinin kaldırılması konusunda süreçlerin net bir şekilde belirlenmediği, bu nedenle de emeklilik, istifa, işten çıkarılma gibi nedenlerle, işten ayrılma ve aylıksız izin, askerlik, doğum izni gibi uzun süreli işe ara vermelerde, gerek firma personelinin gerekse kurum çalışanlarının sisteme erişim yetkilerinin dondurulması veya kaldırılmasında uzun süreli gecikmelerin yaşandığının tespit edildiği vurgulandı.

Raporda, bilgi sistemlerine yetkisiz erişimlerin önüne geçmek ve bu alanda oluşabilecek güvenlik açıklarını en aza indirmek amacıyla, tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların işten ayrılma, uzun süreli ara verme, sözleşmelerin sonlandırılması durumları göz önünde bulundurularak, bu kişilerin erişim haklarının dondurulması veya iptal edilmesi önerildi.

Kurumların çoğunun, bilişim sistemlerinin kurulması veya işletilmesi nedeniyle bilişim sistemlerine ve bu sistemlerde bulunan verilere ilişkin bilgilere sahip bilişim hizmeti alınan firmalarla gizlilik sözleşmesi imzalamadıkları, imzalanan bazı gizlilik sözleşmelerinin ise içerik olarak yeterli güvenceyi sağlamaktan uzak olduğunun tespit edildiği de bildirildi. Bu nedenle bilişim hizmeti alınan firmaların gizliliğe uymalarını temin amacıyla, ilgili kurum ile kuruma hizmet veren firma arasında yasal yönden bağlayıcı ayrı bir gizlilik anlaşması imzalanması önerisi getirildi.

Raporda, kurumların büyük çoğunluğunda, kurumlarda çalışan yüklenici firma personeline ilişkin güvenlik araştırması dahi yapılmadığı, bu personelle, bilgi sistemleri ve buradaki verilere ilişkin edindikleri bilgilerin gizliliğini koruyacaklarını ve korumamaları durumundaki yükümlülüklerini belirtilen bir gizlilik sözleşmesinin de imzalanmadığının tespit edildiği kaydedildi.

Kurumda yer alan verilerin hassasiyeti göz önünde bulundurularak, firma çalışanlarının güvenlik açısından detaylı araştırılması ve şartnamelere sorumluluk alacak firma personeli için güvenlik gereksinim ve incelemeleriyle ilgili koşullar eklenmesi gerektiği belirtilen raporda, kurumun bilgi sistemlerinde çalışacak ve kritik bilgilere erişme ihtimali bulunan firma personeli için güvenlik araştırması yapılması da istendi.

Raporda, kurumun bilgi sistemlerinde çalışacak ve kritik veya kişisel verilere erişme ihtimali bulunan tüm personel ile yasal sorumlulukların açıkça belirtildiği gizlilik sözleşmeleri imzalanması önerildi.

-Parola politikası

Pek çok kurumda güçlü parola oluşturulması, parolaların belli periyotlarla değiştirilmesi, parolaların gizliliğine ilişkin personelin yükümlülükleri gibi hususları içeren yazılı parola politikasının bulunmadığının tespit edildiği aktarılan raporda, şunlara yer verildi:

"Parola politikasının bulunmaması veya etkin bir şekilde uygulanmaması sonucunda, kurumlarda iki haneli veya '1111', '0000', '1234' gibi kolayca tahmin edilebilir parolalar ile ilk kez verilen parolaların değiştirilmeden kullanılması, parolanın e-posta ile iletilmesi, diğer personelle sıklıkla paylaşılması gibi bilgi güvenliği açısından önemli risk oluşturabilecek pek çok uygulamanın ortaya çıktığı görülmüştür. Politikanın oluşturulmasında kurumun sahip olduğu bilgi sistemlerinin ve bilgi varlıklarının niteliği, yaygınlığı, karşı karşıya bulunduğu risk ve tehditler gibi unsurların analizi yapılmalı ve bu analizler sonucunda kurum ihtiyaçlarına uygun bir parola politikası oluşturulmalıdır.

Özellikle saldırı ihtimali daha yüksek olan internete açık kurumsal uygulamalar ile hassas veri bulunduran sunuculara girişler için SMS, e-imza, akıllı kart ve biyometrik yöntemler gibi güçlü yetkilendirme mekanizmaları kullanılmalıdır. Güvenlik testleri ile parola politikaları ve yetkilendirme mekanizmalarının etkinliği düzenli olarak denetlenmeli, yeni risk ve tehditlere yönelik önlemler geliştirilmelidir."

Kurumlara ait bilgi sistemlerinin çeşitlenmesi ve büyümesine paralel olarak birbirinden farklı ve bağımsız kayıt tutma mekanizmalarının uygulandığı, bu kayıtların kendine özgü formatlarda olabildiği ve birbirleriyle ilişkilendirilemediği ifade edildi. Bu kayıtların çeşitli nedenlerle silinip zarar görebildiği ifade edilen raporda, hangi kayıtların tutulacağını, tutulacak kayıtların nasıl ve ne kadar süre ile saklanacağını, farklı sistemlerden toplanan kayıtların nasıl ilişkilendirileceğini ve hangi yöntem ve tekniklerle analize tabi tutulacağını belirleyen süreç dokümanı oluşturulması gerektiği belirtildi.

- Ankara