İÇİNDEKİLER

GİRİŞ

BÖLÜM I: KURUMSAL VERİ GÜVENLİĞİ

1.1. Kurumsal Veri Güvenliği 

1.2. Kurumsal Veri Güvenliği Politikaları 

1.3. BGYS Kapsamı

1.4. Bilgi Güvenliği Standartları 

1.4.1. İngiliz Standartları 

1.4.2. ISO/IEC Standartları 

1.4.3. Türk Standartları 

1.4.4. Belgelendirme 

1.5.  Güncel Tehditler ve Bulgular 

1.6.  Sonuçlar ve Değerlendirmeler 

BÖLÜM II: KİŞİSEL VERİ GÜVENLİĞİ

2.2.  Kişisel Veri Güvenliğine İlişkin İdari Tedbirler 

2.2.1. Mevcut Risk ve Tehditlerin Belirlenmesi 

2.2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları 

2.2.3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi 

2.2.4. Kişisel Verilerin Mümkün Olduğunca Azaltılması 

2.2.5. Veri İşleyenler ile İlişkilerin Yönetimi 

2.3.  Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler 

2.3.1. Siber Güvenliğin Sağlanması 

2.3.2. Kişisel Veri Güvenliğinin Takibi 

2.3.3. Kişisel Verileri İçeren Ortamların Güvenliğinin Sağlanması 

2.3.4. Kişisel Verilerin Bulutta Depolanması 

2.3.5. Bilgi Teknoloji Sistemleri Tedariği, Geliştirme ve Bakımı 

2.3.6. Bilgi Teknolojilerinin Yedeklenmesi 

2.4. Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

2.5. Sonuçlar ve Değerlendirmeler

KAYNAKÇA

GİRİŞ

İletişim ortamlarının yaygınlaşması ve kullanımının artması sonucunda elektronik ortamlarda bulunan bilgilerin her geçen gün katlanarak artmasından dolayı bilgi güvenliğinin sağlanması ihtiyacı kişisel veya kurumsal olarak en üst seviyelere çıkmıştır. Bunun önemli sebepleri iş veya günlük yaşamın bir parçası haline gelen elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde paylaşımı, bilgiye her noktadan erişilebilirlik, bu ortamlarda meydana gelen açıkların büyük tehdit oluşturması ve en önemlisi kişisel ve kurumsal kayıplarda meydana gelen artışlar olarak sıralanabilir.

Kişi ve kurumların bilgi güvenliğini sağlamadaki eksikliklerinin yanında saldırganların saldırı yapabilmeleri için ihtiyaç duydukları yazılımlara İnternet üzerinden kolaylıkla erişebilmeleri fazla bilgi birikimine ihtiyaç duyulmaması ve en önemlisi ise kişisel ve kurumsal bilgi varlıklarına yapılan saldırılardaki artışlar, gerek kişisel gerekse kurumsal bilgi güvenliğine daha fazla önem verilmesine yeni yaklaşımların ve standartların kurumlar bünyesinde uygulanması zorunluluğunu ortaya çıkarmıştır. Bu sebeplerden kişisel verileri korumak için adımlar atılması kaçınılmaz hale gelmiştir. Bu çalışmanın, hem kişisel hem kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasına yönelik farkındalık oluşturması, mevcut ve yeni standartlar hakkında daha fazla bilgi içermesi ve yüksek seviyede güvenliğin sağlanmasına katkılar sağlayacağı düşünülmektedir.

 

BÖLÜM I

KURUMSAL VERİ GÜVENLİĞİ

1.1. Kurumsal Veri Güvenliği

Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci bilgi güvenliği olarak tanımlanabilir. (Vural, 2007)

Kurumsal bilgi güvenliği ise, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak düşünülebilir. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşma çalışmaları hızla sürmektedir. Standartlaşma konusuna önderlik eden İngiltere tarafından geliştirilen BS–7799 standardı, ISO tarafından kabul görerek önce ISO–17799 sonrasında ise ISO–27001:2005 adıyla dünya genelinde bilgi güvenliği standardı olarak kabul edilmiştir. (ISO/IEC 27001, 2007)

Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı geçen bu standartların uygulanması konusunda yapılan çalışmalar yetersiz olup bu standardı uygulayan kurum ve kuruluşların sayısı yok denecek kadar azdır. ISO–27001:2005 standardı ülkemizde Türk Standartları Enstitüsü (TSE) tarafından TS ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi” standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. Bu standart kapsamında kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından sağlanması gerekmektedir. Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS’nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir. Kurumsal bilgi güvenlik politikalarının oluşturulması, BGYS kapsamının belirlenmesi, risk yönetimi, denetim kontrollerinin seçilmesi, uygulanabilirlik beyannameleri BGYS kurulabilmesi için, yapılması gereken adımlardır. (Chang, Siew-Mun, & Foo, 2001)

Bilgi güvenliğinin yönetiminin kurulmasında izlenmesi gereken adımlar bu bölümde sırasıyla takip eden başlıklarda açıklanmıştır.

1.2. Kurumsal Veri Güvenliği Politikaları

Güvenlik politikaları kurum veya kuruluşlarda kabul edilebilir güvenlik seviyesinin tanımlanmasına yardım eden, tüm çalışanların ve ortak çalışma içerisinde bulunan diğer kurum ve kuruluşların uyması gereken kurallar bütünüdür. (Kalman, 2003)

Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliğinin sağlanması için tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi kaynaklarına erişim yetkisi olan tüm çalışanların uyması gereken kuralları içeren belgelerdir. Bilgi güvenliği politikaları her kuruluş için farklılık gösterse de genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların açıklandığı genel ifadeleri içermektedir. Politikalar içerisinde; gerekçelerin ve risklerin tanımlandığı, kapsadığı bilgi varlıkları ve politikadan sorumlu olan çalışanların ve gruplarının belirlendiği, uygulanması ve yapılması gereken kuralların, ihlal edildiğinde uygulanacak cezai yaptırımların, teknik terimlerin tanımlarının ve düzeltme tarihçesinin yer aldığı 7 bölümden oluşur. (Kalman, 2003)

Belirli konularda çalışanın daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili konunun detaylı bir şekilde ifade edilmesi istendiğinde alt politikalar geliştirilmelidir. Örneğin kullanıcı hesaplarının oluşturulması ve yönetilmesi, şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar alt politikalar aracılığıyla açıklanmalıdır.

E-posta gönderme ve alma konusunda, üst yönetimin kararlarını, kullanıcının uyması gereken kuralları ve diğer haklarını alt politika içerisinde ifade etmek bir başka örnek olarak verilebilir. Alt politikayla üst yönetimin, gerekli gördüğünde çalışanlarının e-postalarını okuyabileceği, e-postalar yoluyla gizlilik dereceli bilgilerin gönderilip alınamayacağı gibi hususlar, e-posta alt politikası içerisinde ifade edilebilir. Alt politikalar içerisinde, izin verilen yazılımlar, veri tabanlarının nasıl korunacağı, bilgisayarlarda uygulanacak erişim denetim ölçütleri, güvenlikle ilgili kullanılan yazılım ve donanımların nasıl kullanılacağı gibi konular da açıklanabilir.

Kurumsal bilgi güvenliği politikaları kuruluşların ihtiyaçları doğrultusunda temel güvenlik unsurlarının (gizlilik, bütünlük, erişilebilirlik, vb.) bazıları üzerinde yoğunlaşabilir. Örneğin askeri kurumlarda, bilgi güvenliği politikalarında gizlilik ve bütünlük unsurları ön plana çıkmaktadır. Askeri bir savaş uçağının kalkış zaman bilgilerinin onaylanıp yürürlüğe girmesi için düşmanlar tarafından görülmemesi (gizlilik) ve değiştirilmemesi (bütünlük) gereklidir. Bir diğer örnek ise kâr amacı gütmeyen kurumlarda uygulanan bilgi güvenliği politikalarında genellikle erişilebilirlik ve bütünlük unsurları ön planda gelmektedir. Üniversite sınav sonuçlarının açıklandığı yüksek öğretim kurumunda uygulanan güvenlik politikasında öğrenciler sınav açıklandıktan sonra istediği zaman diliminde (erişilebilirlik) doğru bir şekilde (bütünlük) sınav sonuçlarına bakabilmelidir.

İyi bir güvenlik politikası, kullanıcıların işini zorlaştırmamalı, kullanıcılar arasında tepkiye yol açmamalı, kullanıcılar tarafından uygulanabilir olmalıdır. Politika, kullanıcıların ve sistem yöneticilerinin eldeki imkânlarla uyabilecekleri ve uygulayabilecekleri yeterli düzeyde yaptırım gücüne sahip kurallardan oluşmalıdır. Alınan güvenlik önlemleri ve politikaları uygulayan yetkililer veya birimler yaptırımları uygulayabilecek idari ve teknik yetkilerle donatılmalıdır. Politika kapsamında herkesin sorumluluk ve yetkileri tanımlanarak kullanıcılar, sistem yöneticileri ve diğer kişilerin sisteme ilişkin sorumlulukları, yetkileri kuşku ve çelişkilere yer bırakmayacak biçimde açıkça tanımlanmalıdır. Politikalar içerisinde uygulanacak olan yasal ve ahlaki mahremiyet koşulları ile elektronik mesajların ve dosyaların içeriğine ulaşım, kullanıcı hareketlerinin kayıt edilmesi gibi denetim ve izlemeye yönelik işlemlerin hangi koşullarda yapılacağı ve bu işlemler yapılırken kullanıcının kişisel haklarının nasıl korunacağı açıklanmalıdır.

Saldırıların ve diğer sorunların tespitinde kullanıcıların, yöneticilerin ve teknik personelin sorumluluk ve görevleri ile tespit edilen sorun ve saldırıların hangi kanallarla kimlere ne kadar zamanda rapor edileceği güvenlik politikalarında açıkça belirtilmelidir. Sistemlerin gün içi çalışma takvimleri, veri kaybı durumunda verinin geri getirilmesi koşulları gibi kullanıcının sisteme erişmesini sınırlayan durumlara politikalar içerisinde yer verilmelidir. Bu durumlarda kullanıcıya, izlemesi gereken yolu anlatacak ve yardımcı olacak kılavuzlara da yer verilmelidir.

1.3. BGYS Kapsamı

BGYS’nin kapsamı kurumların sahip olduğu bilgi varlıkları ve ihtiyaçları doğrultusunda tespit edilir. Bu kapsam;

• Kurumun sahip olduğu bilgi varlıklarının tamamı,
• Bilgi sistemlerinin bir kısmı (Bilişim sistemleri, kâğıt ortamdaki bilgiler, elektronik bilgi varlıkları, vb.),
• Belli bir yerleşim birimindeki bilgi sistemleri (Merkez binalar, Genel Müdürlükler, vb.),
• Odaklanılmış bir bilgi sistemi (bilgisayarlar, ağ sistemi, sunucu bilgisayarlar, web sunucusu, vb.) olabilir.

Bir kuruluşta elektronik ortamlarda üretilen, dağıtılan ve saklanan bilgiler BGYS kapsamına örnek olarak verilebilir. (Chang, Siew-Mun, & Foo, 2001)

1.4. Bilgi Güvenliği Standartları

Tehditlerin sürekli olarak yenilenmesi, kullanılan yazılım veya donanımlarda meydana gelen güvenlik açıklarının takibi, insan faktörünün kontrolü gibi süreçlerin takip edilebilmesi ve üst seviyede bilgi güvenliğinin sağlanması için bilgi güvenliği sürecinin yönetilmesi için yapılan çalışmalar sonucunda İngiliz Standartlar Enstitüsü (British Standards Institute-BSI) tarafından 1995 yılında BS–7799 standardının ilk kısmı olan BS7799–1, 1999 yılında ise aynı standardın ikinci kısmı olan BS7799–2 İngiliz standardı olarak yayınlanmıştır.

BS7799–1 2000 yılında küçük düzeltme ve adaptasyonlardan geçerek ISO tarafından ISO/IEC– 17799 adıyla kabul edilmiş ve dünya genelinde kabul edilen bir standart halini almıştır. 2002 yılında ise BSI tarafından BS–7799 standardının ikinci kısmı olan BS–7799–2 standardı üzerinde eklemeler ve düzeltmeler yapılarak ikinci defa İngiliz standardı olarak yayınlanmıştır. 2005 yılında ise ISO tarafından ISO/IEC–17799 standardı üzerinde eklemeler ve düzeltmeler yapılmış ISO/IEC–17799:2005 adıyla yeniden yayınlanmıştır. Son olarak 2005 yılında ISO İngiliz standardı olan BS7799–2 üzerinde eklemeler ve düzeltmeler yaparak ISO/IEC:27001 standardını yayınlamıştır. (Wikipedia, 2007)

 

 

1.4.1. İngiliz Standartları

BS–7799, bilgi varlıklarının gizlilik, doğruluk ve erişilebilirliğini güvence altına almak için uygulanması gereken güvenlik denetimlerini düzenleyen ve belgelendiren iki aşamalı İngiliz standardıdır. 1999 yılında yayınlanan ilk sürümün birinci bölümünde bilişim güvenliği için çalışma kuralları anlatılmakta olup 10 bölüm içerisinde 36 kontrol 127 alt kontrol maddesi bulundurmaktadır. İkinci bölümde bilgi güvenliği yönetim sistemini planlamak, kurmak ve devam ettirmek için gerekli olan süreçler adım adım tanımlamakta ve bilgi güvenliği yönetim sistemine ait belgelendirme bu kısımda yapılmaktadır.

BS–7799 kurumların sadece kendi bilgi güvenlik prosedürlerini değil birlikte çalıştıkları iş ortaklarıyla ilgili sözleşmelerinde bilgi güvenliği yönünden analiz edilmesine yardımcı olmaktadır. BS–7799 standardı endüstri, devlet ve ticari kuruluşlardan ortak bir güvenlik modeli oluşturulmasına gelen talepler sonucu BSI kuruluşu ve BOC, BT, Marks&Spencer, Midland Bank, Nationwide Building Society, Shell, Unilever ve diğer bazı şirketlerin katılımıyla hazırlanmış bir standarttır. Standardın tarihsel oluşumuna bakıldığında 1993 yılında Kural rehberi, 1995 yılında İngiliz standardı, 1998 yılında Sertifikasyon tarifi yapılmış, 1999 yılında büyük bir düzeltmeden geçerek birinci kısmı, 2002 yılında ise ikinci kısmı yayınlanmıştır. (Osborne, 2006)

BS–7799 standardı teknik ve idari bölümlerden oluşmaktadır. Etki alanları aşağıda maddeler halinde özetlenmiştir. (British Standards Institute, 2005)

 

Güvenlik politikası: Bilgi güvenliği için yönetimin yönlendirilmesi ve desteğinin sağlanmasının yer aldığı bölümdür.

Güvenlik organizasyonu: İşletme içindeki bilgi güvenliğinin yönetilmesi, üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin korunması ve bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından sağlandığında bilgi güvenliğinin sürdürülmesidir.

Varlık sınıflandırması ve denetimi: İşletmeye ait varlıklar için uygun korunmanın sağlanması ve bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesidir.

Erişim kontrol: Bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanmasıdır.

Uyum: Herhangi bir suçtan kaçınılması, organizasyonun güvenlik politikalarının ve standartlarının sisteme uyumunun sağlanması, sistem izleme işlemlerinin etkisinin artırılması ve karşılaşılan engellerin azaltılmasıdır.

Personel güvenliği: İnsan hatalarını, hırsızlığı, sahtekârlığı ve araçların yanlış kullanılması risklerinin azaltılması, kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesidir. Ayrıca güvenlik ihlallerinden meydana gelen hasarın en aza indirilmesi ve bu gibi olaylardan gerekli tecrübelerin edinilmesidir.

Fiziki ve çevresel güvenlik: İşyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır.

Sistem bakım ve idamesi: Bilişim sistemleri içerisinde güvenliğin temin edilmesi, uygulama sistemlerindeki kullanıcı verilerinin kaybedilmesini, değişmesini ya da hatalı kullanımının önlenmesi, bilginin gizliliği, aslına uygunluğu ya da bütünlüğünün korunması, IT projelerinin ve destek etkinliklerinin güvenli bir şekilde yürütülmesini temin etmek ve uygulama yazılımının ve bilgilerin güvenliğini sağlamaktır.

İletişim ve işletim yönetimi: Bilgi işlem tesislerinin doğru ve güvenle işletildiğinden emin olunması, sistem arızalarını en az seviyeye indirilmesi, bilgi ve yazılım bütünlüğünün korunması, bilgi işlem ve iletişim hizmetlerinin kullanılabilirliği ve bütünlüğünün sürdürülmesi, ağlarda yer alan bilgilerin emniyetinin ve destekleyen altyapı sisteminin korunması, iş faaliyetlerinin kesintiye uğratılması ve varlıklara zarar verilmesinin önlenmesi ve organizasyonlar arasında akan bilginin yanlış amaçlarla kullanılması, değiştirilmesi ve kaybedilmesinin önlenmesidir.

İş süreklilik yönetimi: Ticari süreçlerde karşılaşılan olumsuzlukların giderilmesi ve kritik ticari işlemlerin devamlılığının sağlanmasıdır.

Kurumlar bilgi varlıklarını tespit edip sınıflandırdıktan sonra, bilgi varlıklarına yönelik tehditleri ve zafiyetleri değerlendirerek yukarıda anlatılan kontrollerden hangilerinin uygulanıp, hangilerinin uygulanamayacağına karar vererek standardın kapsamını kendi kurumlarına özgü bir şekilde belirleyebilmektedirler.

BS–7799 ikinci kısmında kurumsal güvenlik ihtiyaçlarının belirlenmesi için gerekli olan bilgi güvenliği yönetiminin çatısı tanımlanarak BS–7799 birinci kısmında tanımlanan kontroller uygulanmaktadır. Bu standart, yöneticilere ve personele etkin bir BGYS kurmaları ve yönetmeleri açısından bir model sağlamak üzere hazırlanmıştır. Bu modelde “Planla– Uygula–Kontrol Et–Önlem Al (PUKÖ)” adımları bulunmaktadır. Bu modelin basamakları ISO standartları bölümünde açıklanmıştır.

Bilgi güvenliği yönetim sistemleriyle ilgili diğer bir İngiliz standardı Aralık 2005’te BS7799–3:2005 Bilgi Güvenliği Yönetim Sistemleri Risk Yönetiminin Kuralları ismiyle hazırlanmıştır. Standart 2006 yılında tekrar gözden geçirilmiş ve BS7799–3:2006 ismiyle yayınlanmıştır. BS7799–3 standardı BS7799–2 standardının uygulanması için destek sağlayarak ölçeklenebilir (küçük, orta veya büyük kurumlar) yapıda standardın yaygınlaşmasına yardımcı olması için geliştirilmiştir. Standard içerisinde risk değerlendirmesi, belirlenen risklere kontrollerin uygulanması, tanımlanmış risklerin izlenmesi, kontrol yönetim sistemlerinin bakımı gibi risk yönetimi ile ilgili konular üzerine odaklanılmıştır. Kapsamın belirlenmesi, kural oluşturan kaynaklar, terimlerin tanımı, kurum bağlamında risk, risk değerlendirmesi, risk kararının verilmesi, risk yönetimi BS7799–3 standardının bölümlerini oluşturmaktadır. (BSI, 2007)

1.4.2. ISO/IEC Standartları

Uluslararası Elektroteknik Komisyonunu 1906 yılında Uluslararası Standartlar Organizasyonu, 1947 yılında uluslararası alanda ticari (ISO) ve elektroteknik (IEC) standardizasyonun sağlanması için, İsviçre’nin Cenova şehrinde kurulmuştur. ISO ve IEC birlikte teknik çalışma grupları oluşturarak tüm dünyada geçerli olacak standartlar oluşturmaktadırlar. Bununla birlikte ISO tarafından IT Güvenlik Standartları ile ilgili çalışmalar JTC–1 Bilişim Teknolojileri Komitesine bağlı SC27: BT Güvenlik Teknikleri Alt Komisyonunda ele alınmaktadır. Bilgi güvenliği konusunda çalışan bu komisyonun sorumluluklarından bazıları aşağıda belirtilmiştir. Bu sorumluluklar; (International Organization for, 2020)

• Bilgi teknolojileri sistemleri güvenlik hizmetlerinin ve ihtiyaçların tanımlanması,
• Güvenlik teknikleri ve mekanizmalarının geliştirilmesi,
• Güvenlik kılavuzlarının geliştirilmesi ve
• Yönetim destek dokümanları ile standartların geliştirilmesidir.

Yukarıda açıklanan görevleri yerine getirmek üzere bu komisyon içinde 5 ayrı çalışma grubu bulunmaktadır. Bu gruplar aşağıda belirtilmiştir:

• Çalışma Grubu–1 (JTC 1/SC 27/WG 1): Bilgi güvenliği yönetim sistemleri
• Çalışma Grubu–2 (JTC 1/SC 27/WG 2): Şifreleme ve güvenlik mekanizmaları
• Çalışma Grubu–3 (JTC 1/SC 27/WG 3): Güvenlik değerlendirme kriterleri
• Çalışma Grubu–4 (JTC 1/SC 27/WG 4): Güvenlik denetimleri ve hizmetleri
• Çalışma Grubu–5 (JTC 1/SC 27/WG 5): Kimlik yönetimi ve mahremiyet

SC27’ye bağlı çalışma gruplarından Çalışma Grubu–1 (WG-1), bilgi güvenliği yönetim sistemleri standartları (ISO/IEC 17799, ISO/IEC 27000 Serisi) ile ilgili çalışmaları yürütmektedir. Bu standartlar aşağıda kısaca açıklanmıştır.

ISO/IEC 17799 standardı: BS–7799 standardının ikinci sürümü Mayıs 1999’da çıktığında ISO, BSI’nın yayınladığı çalışmayla ilgilenmeye başlamıştır. Aralık 2000’de, ISO BS–7799 standardının ilk bölümünü alarak ISO/IEC 17779 olarak yeniden adlandırmış ve yeni bir standart olarak yayınlamıştır. ISO/IEC 17779 standardı daha önceki bölümde açıklanan BS–7799 standardının ilk bölümüne eşdeğerdir.

 

ISO/IEC 17799 standardının uygulanmasıyla kurumsal bilgilerin tamamen güvende olduğunu söylemek doğru değildir. Bu standart bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kurumların kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsar. ISO/IEC 17799 güvenlik standartlarını bir kurumun uyguluyor olması kurumlara aşağıda sıralanan üstünlükleri sağlamaktadır. (Germain, 2005)

• Organizasyon Seviyesinde, sorumlulukları belirleyerek, kurumsal bilgi güvenliğinin her seviyede uygulanmasının yararlarını garanti eder.
• Kanuni Seviyede, kurumun ilgili tüm kural ve yönetmeliklere uyduğunu yetkili makamlara göstererek diğer standart ve mevzuatları tamamlar.
• İşletme Seviyesinde, Bilgi sistemleri, zafiyetleri ve nasıl korunacakları konusunda işletmenin yönlendirilmesini sağlayarak kurumsal bilgi sistemlerine daha güvenli erişim sağlanır.
• Ticari Seviyede, iş ortakları, hissedarlar ve müşteriler; kurumun bilgi koruması konusuna verdiği önem sayesinde kuruma olan güvenleri artırır ve ticari rakipleri arasında piyasada farklı bir yere gelmesini sağlar.
• Finansal Seviyede, güvenlik açıklarının belirlenerek önlem alınması sonucunda maliyetler azalacaktır.
• Çalışan Seviyesinde, çalışanın güvenlik konuları ve organizasyon içinde kendisine düşen sorumluluk hakkındaki bilgisini arttırarak bireysel olarak bilinçlendirilmesini sağlar.

ISO/IEC 17799 standardı 2005 yılında gözden geçirilerek ISO/IEC 17799:2005 ismiyle son halini almıştır. ISO/IEC 17799:2005 Bilgi Güvenliği Yönetimi için uygulama kodu, kuruluşların bilgi güvenliği yönetim sistemini kurmaları, uygulamaları, sürdürmeleri ve iyileştirmeleri için hazırlanmış bir kılavuz olup önceki sürümünden farklı olarak, yaşanan problemlerden, arızalardan, kazalardan ders çıkarılması ve tekrar yaşanmaması için gerekli önlemlerin alınması için gerekli olan yönetim mekanizmasının kurulmasını sağlayan Bilgi Güvenliği İhlallerinin yönetimi ile ilgili bilgi güvenliği denetimlerini ve ilgili uygulamaları da içermektedir. (BSI Eurasia, 2020)

ISO/IEC 27001, BGYS için gereklilikleri ortaya koyan bir standarttır. Daha önce de anlatıldığı gibi bilgilerin düzenli olarak maruz kaldığı tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur.

 

Bu standart; yönetim standartlarıyla (ISO 9001, ISO 14001) uyumlu olarak geliştirildiğinden yönetim standartlarının gereklerini de yerine getirmektedir. Bunlar; (Türk Standardları Enstitüsü, 2006)

• Kapsam, daha önceki bölümlerde açıklandığı gibi kurumun tamamı veya belirli bir kısmını veya belirli bir hizmetini (internet bankacılığı, web uygulamaları, vb.) içerebilir.
• Politika, Bilgi güvenliği neden önemlidir? Tehditler nelerdir? Risk yönetimi nasıl yapılmalıdır? Uyulması gereken kısıtlar (kanunlar yönetmelikler, vb.) nelerdir? Bu gibi soruların cevabını içeren üst yönetici tarafından onaylanan bilgi güvenliği politikasının bir üst kümesi olarak kabul edilen kısa dokümanlardır.
• Risk Değerlendirme, hangi bilgi varlıklarının korunacağı belirlendikten sonra kuruluşa uygun risk değerlendirme yönteminin seçilerek risklerin tanımlanması yapılır. Seçilen risk değerlendirme yöntemine göre bilgi varlıkları Şekil 5’de örneği gösterilen risk haritasında konumlandırılır. Değerlendirilme yapıldıktan sonra risk değerlendirme haritasında, etkisi ve olasılığı yüksek olan tehditler için risklerin iyileştirilerek kontrol altına alınması işlemlerini kapsar. Risk haritasında bilgi varlıklarının yeri değişebileceğinden risk değerlendirme haritası düzenli olarak güncellenmeli ve gerekli önlemler alınmalıdır.
• Risk İyileştirme, risklerin değerlendirilmesi tamamlandıktan sonra ISO/IEC 27001 standardı risklerin nasıl iyileştirileceğinin açıklanmasını ister. İyileştirme çalışmaları kapsamında risk kabul edilebilir, transfer edilebilir (sigorta, vb.) azaltma çalışmaları yapılabilir. Riskler karşısında alınması gereken önlemlerin bulunduğu dokümanlar risk iyileştirme planlarını oluşturmaktadır.
• Uygulanabilirlik Beyannamesi, (Statement of Applicability-SOA), ISO/IEC 27001:2005 standardındaki kontrollerden hangilerinin kullanılıp kullanılmadığını gerekçeleriyle açıklayan belgelerdir. Kullanılan kontrollerin seçilme gerekçeleri, kullanılmayan kontrollerin dışarıda bırakılmasının açıklamasını içerir. Kullanılmayan kontrollerin yanlışlıkla çıkarılmadığının çapraz denetimini sağlar. Uygulanabilirlik beyannamesi risk yönetimini ilgilendiren kararların özetini içerir.
• Risk İşleme Planı, güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynaklarını, sorumluluklarını ve önceliklerini tanımlar. Seçilen kontrollerin yapılabilmesi için gerekli olan alt kontroller gerçekleştirilir ve kontrollerin etkinliği ölçülür.
• Eğitim ve Bilinçlendirme, programlarıyla kurumdaki tüm personelin bilgi güvenliği faaliyetlerinin yarar ve öneminin farkında olarak, BGYS’nin amaçlarına ulaşılmasına nasıl katkı sağlayacağının farkında olması sağlanmalıdır. Ayrıca BGYS’yi teknik olarak etkileyecek işlerde çalışmak üzere uzman personel istihdam edilmesi veya ilgili personelin eğitimleri bu kapsamda yapılır.
• Güvenlik İhlal Yönetimi, güvenlik olaylarının anında tespit edilerek güvenlik ihlâllerine zamanında cevaplar verilmesini sağlar. Daha önce denenen ve başarılı olan güvenlik kırılmaları, güvenlik yöneticisinin güvenlik faaliyetlerinin beklenen biçimde çalışıp çalışmadığının belirlenebilmesi, güvenlik önlemlerinin alınarak güvenlik ihlallerinin önlenmesi, bir güvenlik kırılmasını önlemek için alınan önlemlerin etkili olup olmadığına karar verilir.
• Kaynakların Yönetimi, BGYS’yi kurma, gerçekleştirme, işletme, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme için gereken kaynaklar kurum tarafından sağlanarak yönetimi yapılmalıdır.
• İzleme ve Gözden Geçirme, BGYS’nin etkinliğinin düzenli olarak gözden geçirilmesi ve oluşabilecek değişiklikleri (teknoloji, iş amaçları ve süreçleri, tehditler, vb.) dikkate alarak, bilgi varlıklarının risk değerlendirmesinin belirli aralıklarla yeniden yapılmasını sağlar.
• Yerel BGYS Denetimleri, ilk taraf denetimleri olarak adlandırılan yönetim tarafından kapsamın uygun kalması ve süreçlerin iyileştirilmesini sağlamak için düzenli olarak kuruluş tarafından veya kuruluş adına danışman firmalar tarafından gerçekleştirilir.

BGYS’nin iyileştirilmesi için kurum tarafından önleyici ve düzeltici tedbirler alınması gereklidir. Olumsuzlukların yaşanmaması için, risk değerlendirme sonuçlarına bağlı olarak değişen riskler bazında önleyici tedbirler alınmalıdır. Gerçekleştirilen önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. BGYS gereksinimleriyle olumsuzlukları gidermek üzere düzeltici önlemler alınmalıdır. Önleyici tedbirler için gerçekleştirilen faaliyetler çoğunlukla düzenleyici tedbirler için gerçekleştirilen faaliyetlerden daha az maliyetlidir.

ISO/IEC 27002, halen hazırlanma aşamasındadır. Bu standardın daha önceki bölümde açıklanan ISO/IEC 17799:2005 standardına eşdeğer olması beklenmektedir. Bilgi güvenliği ile ilgili standartların 27000 serisi altında yer almasından dolayı ISO/IEC tarafından böyle bir düzenlemeye gidilmiştir. (ISO , 2007)

ISO/IEC 27003, 27001 standardının nasıl kullanılacağına dair açıklamalar ve örnekler içeren uygulama rehberi olarak geliştirilmekte olup tahmini olarak 2008 yılının Ekim ayında standart olarak yayınlanması beklenmektedir. Geliştirilen standart içerisinde temel olarak; kritik başarı faktörleri, süreç yaklaşımı üzerine rehber, PUKÖ modeli rehberi, planlama süreç rehberi, uygulama süreç rehberi, kontrol süreç rehberi, önlem alma süreç rehberi ve diğer kurumlarla birlikte çalışma gibi konu başlıklarının yer alması beklenmektedir. (ISO 27001 Security, 2020)

1.4.3. Türk Standartları

Türkiye’de bilgi güvenliği standartlarıyla ilgili çalışmalar ve belgelendirmeler, Türk Standartları Enstitüsü (TSE) tarafından yapılmaktadır. TSE teknik kurulunun ISO/IEC 17799:2000 standardını tercüme ederek 11 Kasım 2002 tarihinde aldığı karar ile TS ISO/IEC 17799 Bilgi Teknolojisi-Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri Türk standardı olarak kabul edilmiştir. TS ISO/IEC 17799 standardı; kuruluşlar bünyesinde bilgi güvenliğini başlatan, gerçekleştiren ve süreklilik sağlayan, bilgi güvenliği yönetimi ile ilgili tavsiyeleri içermektedir.

BGYS belgelendirilmesine yönelik TSE teknik kurulu tarafından yapılan çalışmalar sonucunda BS 7799– 2:2002 standardının tercümesi yapılarak “Bilgi Güvenliği Yönetim Sistemleri–Özellikler ve Kullanım Kılavuzu” ismiyle TS 17799–2 standardı olarak 17 Şubat 2005 tarihinde kabul edilmiş ve yürürlüğe girmiştir. Ancak TS ISO/IEC 27001:2006 “Bilgi Teknolojisi–Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri–Gereksinimler”, 2.3.2006 tarihinde Türk standardı olarak kabul edildiğinden TS 17799–2 standardı TSE tarafından iptal edilmiştir. (Türkiye Bilişim Derneği, 2005)

TS ISO/IEC 27001:2006 standardı, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kâr amaçlı olmayan kuruluşlar) kapsar. Bu standart, bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. Bu standart ISO/IEC 27001:2005 standardından yararlanarak hazırlanmıştır. ISO/IEC 27001:2005 standardın tercümesidir.

 

1.4.4. Belgelendirme

BGYS’de belgelendirme, kurumsal bilgi güvenliğinin standartlara uyumlu bir şekilde yönetildiğine dair otoriteler tarafından verilen sertifikasyonlar aracılığıyla yapılmaktadır. Dünyada ve ülkemizde kurumsal bilgi güvenliği yönetim sistemlerinin belgelendirilmesinde uyumluluğa esas teşkil eden standart 2005 yılına kadar BS7799–2 standardı olurken bu yıldan sonra ISO/IEC 27001 standardı olarak değiştirilmiştir. 15 Nisan 2006 tarihine kadar olan 6 aylık bir hazırlık dönemi sırasında, denetimler ve belgelendirme ISO/IEC 27001:2005 veya BS 7799–2:2002 standartlarına göre gerçekleştirilmiştir. Ancak, bu süre içerisinde yayınlanmış olan yeni bir BS 7799–2:2002 sertifikasının, 15 Nisan 2007 tarihine kadar ISO/IEC 27001:2005’e geçişi tamamlanmıştır. 15 Nisan 2006 tarihinden sonra ise bütün denetimler ve belgelendirmeler ISO/IEC 27001:2005 standardına göre gerçekleştirilmiştir. ISO/IEC 27001:2005 belgelendirmesi için yapılması gereken altı aşama aşağıda kısaca açıklanmıştır. (BSI Belgelendirme Yöntemi, 2008)

• Aşama 1: ISO/IEC 27001:2005 standardının tüm gereklerinin yerine getirilmesi ve standartta belirtilen yönetim iskelet yapısının oluşturulması.
• Aşama 2: Uyumluluk denetimleri için yetkilendirilmiş sertifikalandırma kurumuna ön başvuru yapılır. Bu başvuruya istinaden denetimi yapacak firma belgelendirme için maliyet ve zaman çizelgesi sunar.
• Aşama 3: Maliyet ve zaman çizelgesi kurum tarafından onaylanarak denetimi gerçekleştirecek firmaya resmi başvuru yapılır.
• Aşama 4: Denetimi gerçekleştirecek olan kurum güvenlik politikasını, risk değerlendirmesi dokümanlarını, risk eylem planını, uygunluk beyanını (SOA) ve güvenlik prosedürlerini içeren dokümantasyonu gözden geçirir. Bu işlem sonucunda, bilgi güvenliği yönetim sistemindeki sorunlu olan ve çözüme kavuşturulması gereken herhangi bir zayıflığın veya göz ardı edilen bir hususun ortaya çıkarılması hedeflenir.
• Aşama 5: Masaüstü kontrolü başarılı şekilde sonuçlandıktan sonra, denetim firmasının belirlediği denetçiler tarafından yerinde denetim gerçekleştirilir. Kuruluşun büyüklüğüne ve iş tipine uygun kontrollerin olup olmadığı gözden geçirilir ve elde edilen sonuçlara göre kurumlara önerilerde bulunulur.
• Aşama 6: Değerlendirmenin başarı ile tamamlanmasının ardından, Bilgi Güvenliği Yönetim Sisteminin kapsamını açık bir şekilde tanımlayan bir sertifika verilecektir. Bu sertifika 3 yıl boyunca geçerliliğini korur ve rutin değerlendirme ziyaretleri ile desteklenir. ISO/IEC 27001 standardına göre kurulmuş olan bir bilgi güvenliği yönetim sistemi ile, kurumların bilgi güvenliği yönetiminde, kapsamlı prosedürler aracılığıyla güvenlik kontrollerini sürekli ve düzenli olarak işletmeyi ve sistemin sürekli iyileştirilmesi gerçekleştirilmektedir. Güven ve güvenilirliğin hayati önem taşıdığı alanlarda hizmet veren kuruluşların, uluslararası geçerlilikte bilgi güvenliği yönetim sistemleri standardına uygunluk belgesine sahip olması, hem mevzuat hem de kuruluşun güvenli işleyişi açısından bir zorunluluk olarak değerlendirilmektedir.

Kurumların ISO/IEC 27001 sertifikası almasının avantajları maddeler halinde aşağıda listelenmiştir. (Bilgi Güvenliği Yönetim Sisteminin Belgelendirilmesi, 2020)

• Kredilendirilebilirlik, güven ve itimat: Belgelendirme, kurum veya kuruluşun bilgi güvenliğini dikkate aldığını, bilgi güvenliğinin sağlanması için gerekli olan adımları uyguladığını ve kontrol ettiğini ispatlamaktadır. Bu sayede kurumlar veya kuruluşlar birlikte iş yaptıkları veya hizmet verdikleri kurum veya bireylerin tüm bilgilerinin BGYS sayesinde güvende tutulacağı konusunda verdikleri taahhütten dolayı iş yaptıkları kurum, kuruluş veya bireylerin kendilerini güvende hissetmelerini sağlayacaklardır. Belgelendirme sonucunda özellikle özel sektör firmalarında rekabet anlamında sertifika almamış rakiplerinin bir adım önüne geçerek avantaj sağlayacaklardır. Ayrıca günümüzde uluslararası yapılan işlerde ISO/IEC 27001:2005 şartı koşulmaktadır.
• Tasarruf: Oluşabilecek güvenlik ihlallerine karşı kontrollerin uygulanması ile maliyetler düşmektedir. Sadece bir bilgi güvenliği ihlalinin oluşturacağı zarar bile çoğu zaman çok büyük maddi kayıplara yol açabilir. Belgelendirme işlemi kurumların maruz kalacağı bu tür ihlalleri azaltarak bilgi güvenliği ihlallerinden doğan zararları en aza indirecektir.
• Yasal Uygunluk: Belgelendirme işlemi, kanun ve tüzüklere uygunluğun yetkili ve ilgili makamlara yasal anlamda uygunluğun sağlandığına dair kanıt teşkil edilmesine yardımcı olur.
• Taahhüt: Belgelendirme işlemi, organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.
• Operasyonel Seviye Risk Yönetimi: Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar. Ayrıca donanım ve veriye daha güvenli bir şekilde erişim sağlanır.
• Çalışanlar: Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.
• Sürekli İyileşme: Düzenli olarak gerçekleştirilen denetimlere bağlı olarak bilgi sistemlerinin etkinliği izlenecek ve izleme sonucunda tespit edilen problemler giderilerek bilgi sistemlerinde genel anlamda bir iyileşme sağlanabilecektir.
• Onay: Organizasyon için tüm seviyelerde bilgi güvenliği varlığının bağımsız kuruluşlar tarafından onaylandığını göstermektedir.

1.5. Güncel Tehditler ve Bulgular

Daha önceki bölümlerde de açıklandığı gibi günümüzde kurum ve kuruluşlar bilgilerini elektronik ortamlara açtıkça, elektronik ortamlarda yapılan iş ve işlemler artmakta karşılaşılan güncel tehdit ve tehlikelerde de doğal olarak artışlar gözlenmektedir. Zafiyet ve zayıflık açısından değerlendirildiğinde korunmasızlık seviyesinin yüksek olması nedeniyle güncel gelişmelerin en fazla yaşandığı alan web uygulamalarıdır. Günümüzde web uygulamaları, güncel bilgiye kurum, kuruluş veya bireylerin kolayca erişebilmesi için en kolay ve en etkin yöntem olarak karşımıza çıkmaktadır. Web üzerinden verilen hizmetler çoğaldıkça Web’e yönelik saldırılar da her geçen gün artmaktadır. Bunun nedeni, web uygulamaları güvenliğinin ilgisizlikten ve bilgisizlikten kaynaklanan sebeplerden ötürü yeterince ciddiye alınmaması ve güvenli yazılım geliştirme tekniklerinin kullanılmaması olarak açıklanabilir.

Günümüzde web uygulama güvenliğiyle ilgili birçok çalışma yapılmaktadır. Bu çalışmalardan birisi olan, Mark Curphey tarafından 2001 yılında kurulan, kâr amacı güdmeyen ve herkese açık bir ortam olan OWASP  web uygulama güvenliğinin artırılmasına yönelik ücretsiz araçlar, standartlar, web uygulamaları güvenliğiyle ilgili forumların yapılması, makalelerin yazılması konusunda çalışmaktadır. (About The Open Web Application Security Project, 2020) Diğer bir çalışma ise 2004 yılında Jeremiah Grossman ve Robert Auger tarafından kurulan ve web uygulamaları güvenliğiyle ilgili açık standartların geliştirilmesi, yaygınlaştırılması ve kullanımı gibi konularda çalışan Web Uygulamaları Güvenlik Konsorsiyumudur. (About Us, 2020)

Web uygulama güvenliği konusunda dünyada kabul görmüş OWASP ve WASC tarafından belirlenen, web uygulamalarında en fazla rastlanan saldırılar bu bölümde anlatılacak olan güncel tehditler ve gelişmelere esas teşkil etmiştir.

1.6. Sonuçlar ve Değerlendirmeler

Bu çalışmada, kurumsal bilgi güvenliğinin sağlanmasında önemli olan unsurlar gözden geçirilmiştir. Yüksek seviyede KBG sağlanabilmesi için bilgi güvenliği standartlarının bilinmesi ve uygulanmasının yanında güncel tehditlerin bilinmesi önemlidir. Bu tehditlerin tespit edilebilmesi ve ortadan kaldırılabilmesi için mevcut bilgi varlıklarının belirli aralıklarla sızma testlerine tabii tutulması zafiyet ve açıkların giderilmesi açısından önemlidir. Yüksek seviyede bir KBG sağlanabilmesi için teknoloji-insan-eğitim üçgeninde yönetilen bir yaklaşımın dikkate alınması gerektiği tespit edilmiştir. Yapılan diğer tespitler aşağıda sunulmuştur.

• Ülkemizde genellikle güvenlik politikaları standartlara uygun olmadan yazılı veya sözlü, onaylı veya onaysız bir biçimde kuruluşlar tarafından uygulanmakta ve çoğu kurum tarafından da “bilgi güvenliği yönetimi” yeterli görülmektedir. Bu yanlış anlamanın giderilmesi için dünya genelinde kabul görmüş ve uygulanabilirliği test edilmiş bilgi güvenliği standartları esas alınarak kuruluşların “bilgi güvenliği yönetimi” konusunda eksikliklerini gidererek BGYS kurmaları, uygulamaları ve belgelendirilmeleri gerekmektedir. BGYS çerçevesinde oluşturulacak güvenlik politikalarına, üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulanması, iş birliğinde bulunulan tüm kişi ve kuruluşlarında bu politikalara uyma zorunluluğu, kurumsal bilgi güvenliğinin üst düzeyde sağlanmasında önemli bir faktördür.
• BGYS standartlarının kurumlara uyarlanması, anlatılması, kullanıcı, teknik çalışanların ve yöneticilerin eğitilmesi konusunda kuruluşların bünyelerinde güvenlik uzmanları çalıştırmaları veya danışmanlık hizmetleri almaları gerekmektedir. BGYS uygulamaları, kurumlar tarafından başarılı bir şekilde uygulandıktan sonra kuruluşların bilgi güvenliğini yönettiklerine dair uluslararası alanda geçerli sertifikasyona sahip olmaları önemlidir.
• Bilgi güvenliğinin yönetilmesi bilgi güvenliğinin sağlandığı anlamına gelmemektedir. BGYS’nin kurumsal bilgi güvenliğini taahhüt ettiği seviyede sağlayıp sağlamadığı, sağlamıyorsa eksikliklerinin neler olduğu, güvenlik denetimlerinin güvenli biçimde kurulup kurulmadığı, güvenlik denetimlerinin etkin ve politikalara uygun olarak uygulanıp uygulanmadığı, iyi bir belgelendirme yapılıp yapılmadığı gibi bilgi güvenliğinin sağlanması açısından çok kritik olan soruları cevaplamanın tek yolu BGYS kapsamında belirlenen bilgi varlıklarının (insan faktörü, yazılımlar, donanımlar, ortamlar, vb.) güvenliğini “sızma testleriyle” test etmekten geçmektedir. Kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasında sızma testlerinin katkısı çok yüksektir. Sızma testleri felaket başa gelmeden önce, onu önleyecek ve ona karşı savunulacak ihtiyaçların ve tedbirlerin alınmasında kullanılan önemli bir erken uyarı sistemidir. Bu önemden dolayı, sızma testleri belirli periyotlarda (bu yılda en az 2-3 kez olabilir) veya sistem yenilenmelerinde yapılmalı ve kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasındaki rolü her zaman dikkate alınmalıdır.

Yukarıda anlatılan hususların yanında, yüksek seviyede kurumsal bilgi güvenliğinin sağlanmasında aşağıdaki hususlara da dikkat edilmesi önerilmektedir. Bunlar:

• Kurumsal bilgi güvenliğini sağlamanın dinamik bir süreç olduğu ve süreklilik arz ettiği,
• Kurumsal bilgi güvenliğinin sadece teknolojiyle sağlanır yaklaşımından uzaklaşılarak insan-eğitim-teknoloji üçgeninde yeni bir yaklaşımla sağlanması gerektiği,
• Uluslararası standartlara uygun olarak yapılması ve uygulanması gerektiği,
• Standartlar yüksek seviyede bir güvenliği garanti etse de bazen standartlarında yetersiz kalabileceği,
• Kurumsal bilgi güvenliği seviyesinin güncel durumunun belirlenmesi amacıyla iç ve dış ortamlardan zaman zaman bağımsız uzman kuruluşlar tarafından denetlenmesi gerektiği,
• Kurumsal bilgi güvenliğinin yönetilmesinin zorunlu bir süreç olduğu ve her zaman iyileştirmelere ihtiyaç duyulduğu ve
• En zayıf halka kadar güvende olunacağı varsayımıyla hareket edilerek gerekli önlemlerin alınması gerektiği

bilinmeli ve uygulanmalıdır.

BÖLÜM I I

KİŞİSEL VERİ GÜVENLİĞİ

2.2.  Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

 

2.2.1. Mevcut Risk ve Tehditlerin Belirlenmesi

Risklerin önüne geçilebilmesi için zaman, kaynak ve uzmanlığın sağlanarak uygun teknik ve idari tedbirlerin alınması gerekir. Kişisel Verilerin Korunması Kanununa göre; kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde, aşağıdakiler dikkate alarak, belirlenmesi gereklidir:

• Özel nitelikli kişisel veri olup olmadıkları,
• Mahiyetleri gereği hangi derecede gizlilik seviyesi gerektirdikleri,
• Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin uygulanabilirliğinin değerlendirilmesinde aşağıdaki kriterlerin uygulanması belirlenebilir:

• Maliyet
• Uygulanabilirlik
• Yararlılık

Bu bakımdan Kurum’un, güvenliği sağlamak adına, veri sorumlularının kabiliyeti ve kişisel verilerin güvenliği arasında dengeli çözümler üretilmesini beklediği anlaşılmaktadır. (KVKK Risk Analizi, 2020)

2.2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel verilerin güvenliği açısından en çok beklenen önlemlerden biri çalışanların eğitimidir ve çalışanların eğitimine ilişkin aşağıdaki hususların uygulanmasını beklenir:

• Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları
• Çalışanlara yönelik farkındalık çalışmalarının yapılması
• Güvenlik risklerinin belirlenebildiği bir ortam oluşturulması
• Hangi konumda çalıştıklarına bakılmaksızın çalışanların kişisel veri güvenliğine ilişkin rol ve sorumluluklarının görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluklarının farkında olması
• Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci oluşturulması
• Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; ilgili yeni eğitimlerin yapılması
• Kişisel veri güvenliğine ilişkin bilgilerin güncel tutulmasının sağlanması.

Ayrıca çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşması imzalamalarının istenmesini bir öneri olarak sunulmaktadır.

Son olarak, kişisel veri güvenliğine ilişkin kültür oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibinin değil “İzin Vermedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesi gerekir. (Zaim, 2020)

2.2.3. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

Kişisel veri güvenliğine ilişkin politika ve prosedürlerin belirlenmesinde aşağıdaki kriterlere uyulması gerekir:

• Doğru ve tutarlı olması
• Veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmesi
• Veri sorumluların veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan emin olunması
• Mevcut güvenlik önlemlerini inceleyerek yasal yükümlülüklere uyumlu hareket edildiğinden emin olunması.

Politika ve prosedürler kapsamında ise aşağıda belirtilen eylemlerin yapılması gerekir:

• Düzenli kontrollerin yapılması
• Yapılan kontrollerin belgelenmesi
• Geliştirilmesi gereken hususların belirlenmesi
• Gerekli güncellemeler yerine getirildikten sonra da düzenli kontrollerin devam etmesi
• Her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceğinin açıkça belirlenmesi. (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.2.4. Kişisel Verilerin Mümkün Olduğunca Azaltılması

Veri sorumluları uygulamalarında sıklıkla rastlanan veri arşivleme eyleminin daha kontrollü ve işleme gereklilikleri ile bağlantılı şekilde yapılması oldukça önemlidir. Kişisel Verileri Koruma Kanununa göre, kişisel verilerin gerektiğinde doğru ve güncel olması ve mevzuatta öngörülen veya işlendikleri amaç için gerekli oldukları süre için muhafaza edilmesi yükümlülüklerini hatırlatarak, aşağıdakileri önerilmektedir:

• Veri sorumlularının, işleme amaçları bakımından uzun süreler zarfında toplamış oldukları yüklü verilere hala ihtiyaç duyup duymadıklarını değerlendirmeleri ve bu kişisel verilerin doğru yerde muhafaza edildiğinden emin olmaları
• Veri sorumlularınca sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi
• İhtiyaç duyulmayan kişisel verilerin kişisel veri saklama ve imha politikası çerçevesinde ilgili yönetmelik kapsamında imha edilmesi

2.2.5. Veri İşleyenler ile İlişkilerin Yönetimi

Bazı durumlarda kişisel verilerin işlenmesi, veri sorumlusu adına başka kişiler tarafından gerçekleştirilebilmektedir. Bu durumlarda Kanun’un kişisel veri güvenliği ile ilgili 12. maddesinin ikinci fıkrası işleyenler ile veri sorumluları kişisel veri güvenliğinden müştereken sorumludur.

Bu sebeple, veri sorumlularının, kendileri adına kişisel veri işleyenlerin, kişisel veriler konusunda, en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerektiğini vurgulamak gerekir ve veri sorumlularının veri işleyenle;

• Veri işleyenin veri sorumlusunun talimatları doğrultusunda,
• Sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve
• Kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hükümler içeren,
• Yazılı

bir sözleşme imzalamaları önerilmektedir.

Sözleşmede yer alması gereken hükümleri aşağıdaki şekilde sıralayabiliriz:

• Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğü
• Veri işleyenin, herhangi bir veri ihlali olması durumunda, bu durumu derhal veri sorumlusuna bildirme yükümlülüğü
• Sözleşmenin niteliği elverdiği ölçüde, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin ayrı bir maddede belirtilmesi
• Veri sorumlusunun kişisel veri içeren sistem üzerinde gerekli denetimleri yapma veya yaptırma, denetim sonucunda ortaya çıkan raporları ve veri işleyeni yerinde inceleme hakkı (Kişisel Veri Güvenliği Rehberi Yayınlandı, 2020)

2.3.  Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

2.3.1. Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenlik sağlanamayabileceğini belirterek, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen bir takım tedbirlerin uygulanması önerilmektedir.

Siber güvenliğin sağlanması için gerekli olan önlemler aşağıdadır:

• Öncelikle güvenlik duvarı ve ağ geçidinin sağlanması
• Hemen hemen her yazılımın ve donanımın kurulum ve yapılandırma işlemlerine tabi tutulması
• Yama yönetimi ve yazılım güncellemelerinin yapılması
• Yazılım ve donanımların düzgün bir şekilde çalışıp çalışmadığının ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli kontrolü
• Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisinin tanınması
• Sistemlere kullanıcı adı ve şifre kullanmak suretiyle erişim sağlanması
• Şifre ve parolalar oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesinin sağlanması
• Şifre girişi deneme sayısının sınırlandırılması
• Düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması
• Yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması
• Veri sorumlusuyla ilişkileri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması
• Bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması
• Yukarıda belirtilen ürünlerin güncel tutulması ve gereken dosyaların düzenli olarak tarandığından emin olunması
• Farklı İnternet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi.

Bunlara ek olarak, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunduğunu vurgulayarak, kullanılmayan yazılım ve servislerin güncel tutulması yerine cihazlardan kaldırılması ve silinmesi önerilmektedir.

Ayrıca, veri sorumlularının erişim yetki ve kontrol matrisi oluşturmasını ve ayrı bir erişim politika ve prosedürleri oluşturularak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması da gerekli bir önlemdir.

2.3.2. Kişisel Veri Güvenliğinin Takibi

Kişisel verilerin bulunduğu sistemlere olan saldırıların uzun süre fark edilemediği ve müdahale için geç kalınabildiği durumlara işaret ederek, bu durumun önlenmesi için aşağıdaki eylemlerin alınması gerektiği belirtilir:

• Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi
• Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi
• Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (Log kaydının tutulması gibi)
• Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması
• Çalışanların sistem ve servislerindeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürünün oluşturulması
• Raporlama sürecinde oluşturulacak raporların otomatik olması halinde, raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması
• Güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi
• Sistemlerden gelen uyarılar üzerine harekete geçilmesi
• Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması
• Ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması
• Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanması

2.3.3. Kişisel Verileri İçeren Ortamların Güvenliğinin Sağlanması

Sadece elektronik ortamda değil fiziksel ortamda saklanan kişisel verilerin güvenliğinin sağlanmasına ilişkin de gereklilikler vardır.

Kişisel veriler fiziksel ortamlarda (veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında) saklanıyor ise;

• Bu cihazların ve kağıtların çalınma veya kaybolma gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması
• Kişisel verilerin yer aldığı fiziksel ortamların yangın ve sel gibi dış risklere karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması

Kişisel veriler elektronik ortamda saklanıyor ise;

• Kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişimin sınırlandırılmasının veya bileşenlerin ayrılmasının sağlanması

Yukarıda belirtilenlerle aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri sorumlusuna ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar için de alınması gerektiği belirtilebilir.

Bunlara ek olarak;

• Kâğıt ortamındaki evrak, sunucu, yedekleme cihazları, CD, DVD ve USB gibi cihazlarının ek güvenlik önlemlerinin olduğu başka bir odaya alınması
• Kişisel veri içeren kâğıt ortamındaki evrakın kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanması ve bu evraka yetkisiz erişimin önlenmesi
• Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağladığı durumlar için yeterli güvenlik tedbirlerinin alınması.
• Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması
• Elektronik posta ya da posta ile aktarılacak kişisel verilerin dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi
• Şifre anahtarının sadece yetkili kişilerin erişebileceği ortamda saklanması ve yetkisiz erişimin önlenmesi
• Hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunması amacıyla uluslararası kabul gören şifreleme programlarının kullanılması
• Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde anahtar yönetimi süreçlerine özen gösterilmesi (Keleş, 2020)

2.3.4. Kişisel Verilerin Bulutta Depolanması

Veri sorumluları tarafından en merak edilen konulardan biri olan bulut sistemlerinde güvenliğin sağlanması için neler yapılabileceği ile ilgili de gerekliliklerdir:

• Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi
• Bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi
• İlgili kişisel verilerin yedeklenmesi
• İlgili kişisel verilerin senkronizasyonunun sağlanması
• İlgili kişisel verilere gerektiği hallerde uzaktan erişilebilmesi için iki kademeli kimlik doğrulama kontrolünün uygulanması.

Bunlara ek olarak, Kurum’un, daha önce Silme, Yok Etme ve Anonim Hale Getirme Rehberi’nde de bahsettiği gibi, bulut sistemlerinde yer alan kişisel verilerin gerektiğinde imhasının sağlanabilmesi için bu kişisel verilerin depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarlarının kullanılması gerekir. Böylece hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tamamı yok edilerek bulut sistemlerinde yer alan kişisel verilerin imhası sağlanabilecektir. (Bulut Nedir? KVKK Kapsamında Bulutun Yeri Nedir?, 2020)

2.3.5. Bilgi Teknoloji Sistemleri Tedariği, Geliştirme ve Bakımı

Veri sorumlusunun, kişisel verilerin işlenmesi ile ilgili sistemlerin tedarik edilmesi, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi gibi eylemler gerçekleştirilirken alınması gereken güvenlik önlemleri şu şekildedir:

• Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yapılması
• Doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığının kontrol edilebilmesi için uygulamalara kontrol mekanizmalarının yerleştirilmesi
• Uygulamaların, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanması
• Bakım veya teknik destek için üçüncü kişilere gönderilen cihazların, gönderilmeden önce, veri saklama ortamlarının sökülerek saklanması veya sadece arızalı parçaların gönderilmesi
• Bakım ve onarım için dışarıdan personelin geldiği durumlarda, personelin kişisel verileri kopyalayarak kurumun dışına çıkartmasını engellemek için gerekli önlemlerin alınması

2.3.6. Bilgi Teknolojilerinin Yedeklenmesi

Sadece kişisel verilerin haksız işlenmesinin, çalınmasının ve sızıntısının engellenmesi ve uygun zamanda imhasına ilişkin önlemlerden bahsetmek yetmez, aynı zamanda kişisel verilerin zarar görmesi, yok olması ve kaybolması gibi durumların da önlenmesinin gerekliliğini belirtmek gerekir. Yedekleme ile ilgili öneriler ve yönlendirmeler şu şekilde sıralanabilir:

• Kişisel verilerin yedeklenmesine ilişkin stratejilerin geliştirilmesi
• Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişilebilmesi
• Veri seti yedeklerinin ağ dışında tutulması
• Tüm yedeklerin fiziksel güvenliğinin sağlandığından emin olunması (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.4. Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

Öncelikle alınması gereken teknik ve idari tedbirleri genel başlıklar halinde sıralanabilir. Kurul’un buna ilişkin belirttiği özet tedbirler aşağıdadır:

Teknik Tedbirler

• Yetki Matrisi
• Yetki Kontrol
• Erişim Logları
• Kullanıcı Hesap Yönetimi
• Ağ Güvenliği
• Uygulama Güvenliği
• Şifreleme
• Sızma Testi
• Saldırı Tespit ve Önleme Sistemleri
• Log Kayıtları
• Veri Maskeleme
• Veri Kaybı Önleme Yazılımları
• Yedekleme
• Güvenlik Duvarları
• Güncel Anti-Virüs Sistemleri
• Silme, Yok Etme veya Anonim Hale Getirme
• Anahtar Yönetimi

İdari Tedbirler

• Kişisel Veri İşleme Envanteri Hazırlanması
• Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
• Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
• Gizlilik Taahhütnameleri
• Kurum İçi Periyodik ve/veya Rastgele Denetimler
• Risk Analizleri
• İş Sözleşmesi, Disiplin Yönetmeliği (Kanun’a Uygun Hükümler İlave Edilmesi)
• Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi
• Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
• Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim (Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz, 2020)

2.5. Sonuçlar ve Değerlendirmeler

Kurum’un ve Kurum’a bağlı olan Kişisel Verileri Koruma Kurulu’nun Kanun’un kişisel veri güvenliğine ilişkin 12. maddesi çerçevesindeki yükümlülüklere uyumu denetlerken göz önüne alacağı kriterlerdir.

Kanun’da veri güvenliğine ilişkin yükümlülüklerin ihlali halinde yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilebileceği unutulmamalıdır.

Bu bağlamda veri sorumluları, bilgi güvenliğinden sorumlu çalışanları veya teknik uzmanlar ve hukukçuları yardımıyla yukarıda belirtilen unsurları sağlamak adına harekete geçmelidir.

Buna ek olarak, kendileri adına veri işleyenlerle imzalanacak sözleşmelerin hazırlanması, çalışanlarının eğitilmesi ve tüm çalışanlarının uyması gereken güvenlik önlemlerinin belirlenmesi, bunlara ilişkin taahhütlerin hazırlanması, denetim şartlarının belirlenmesi gibi kişisel veri güvenliğine ilişkin idari tedbirlerin de uygulanmasına mümkün olduğunca hızlı bir şekilde başlanmasını öneriyorum. Hali hazırda veri envanterlerini hazırlamış ve politikalarına dair ön çalışmalarını yapmış olan veri sorumlularının, var olan politika ve uygulamalarını yukarıda anlatılanlar çerçevesinde yeniden gözden geçirmesi yararlı olacaktır. (Kişisel Veri Güvenliği Rehberi Yayınlandı, 2020)

 

 

KAYNAKÇA

Arce, I. (2003). The weakest link revisited. IEEE Security & Privacy Magazine, 72-74.

Barrettt, N. (2003). “Penetration testing and social.

British Standards Institute. (2005). Code of Practice for Information Security Management. Bristol: Security Techniques.

BSI. (2007, Temmuz 6). http://www.bsiglobal.com/en/Shop/PublicationDetail/?pid=0000 adresinden alındı

BSI Eurasia. (2008, Ocak 24). http://www.bsiturkey.com/BilgiGuvenligi/ISMStescil/BSItescily adresinden alındı

BSI Eurasia. (2020, Haziran 12). BSI Eurasia: http://www.bsiturkey.com/BilgiGuvenligi/Genelbakis/BS7799nedir.xalter adresinden alındı

BSI Eurasia. (2020, Haziran 12). http://www.bsiturkey.com/BilgiGuvenligi/ISMStescil/index.xalt adresinden alındı

Chang, L. T., Siew-Mun, K., & Foo. (2001). Information Security Management Systems and Standards. Synthesis Journal.

Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz. (2020, Haziran 12). https://titck.gov.tr/storage/Archive/2019/contentFile/4a4c741b-cb54-4f1b-b504-44783cdfdfbc_44c02489-6763-49c8-a480-2072e0bd8868.pdf adresinden alındı

Germain, M. R. (2005). Information Security. The Information Management, 61-62.

International Organization for. (2020, Haziran 12). http://www.iso.org/iso/en/stdsdevelopment/tc/tcli adresinden alındı

ISO . (2007, Eylül 9). http://www.iso27001security.com/html/iso17799. adresinden alındı

ISO 27001 Security. (2020, Haziran 12). http://www.iso27001security.com/html/iso27003. adresinden alındı

Kalman, S. (2003). Web Security Field Guide. Indianapolis.

Keleş, G. (2020, Haziran 12). Kişisel Verilerin Korunması İçin Teknik Tedbirler. Ocak 17, 2019 tarihinde Detay Danışmanlık. adresinden alındı

Kişisel Veri Güvenliği Rehberi Yayınlandı. (2020, Haziran 12). özbek avukatlık: https://www.ozbek.av.tr/kvk-blog/kisisel-veri-guvenligi-rehberi-yayinlandi/ adresinden alındı

KVKK Risk Analizi. (2020, Haziran 12). kvkkbilisim: https://kvkkbilisim.com/index.php/kvkk-risk-analizi/ adresinden alındı

Osborne, M. (2006). How to Cheat at Managing Information Security. Rockland: Syngress Publishing Inc.

OWASP. (2020, Haziran 12). OWASP: http://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project adresinden alındı

Türk Standardları Enstitüsü. (2006, Mart 13). Bilgi Teknolojisi–Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler. Ankara.

Türkiye Bilişim Derneği. (2005). E-Devlet Uygulamalarında Güvenlik ve Güvenilirlik Yaklaşımları 4. Çalışma Grubu Sonuç Raporu. Ankara.

Vural, Y. (2007). Kurumsal Bilgi Güvenliği ve Sızma Testleri. Gazi Üniversitesi.

Web Application Security Consortium. (2020, Haziran 12). http://www.webappsec.org/aboutus.shtml adresinden alındı

Wikipedia. (2007, 08 07). http://en.wikipedia.org/wiki/ISO_27001 adresinden alındı

Wikipedia. (2007, 07 08). http://en.wikipedia.org/wiki/BS_7799 adresinden alındı

Zaim, Ü. Ü. (2020, Haziran 12). Kişisel Verilerin Korunmması Bilgi Güvenliği Eğitimi . eralpdanismanlik: https://www.eralpdanismanlik.com.tr/events/kvkk-kisisel-verilerin-korunmasi-bilgi-guvenligi-egitimi/ adresinden alındı

Photo by Markus Spiske on Unsplash

 

 

This work is licensed under a Creative Commons Attribution 4.0 International License.