Kişisel bilgilerin güvenliği için neler yapılmalı?

İnternet
Devlet Denetleme Kurulunun (DDK) hazırladığı bilgi güvenliği ve kişisel verilere ilişkin raporda, kişisel verilerin toplanması, işlenmesi, kullanılması, paylaşılması, silinmesi gibi her aşamada korunm...
EMOJİLE

Devlet Denetleme Kurulunun (DDK) hazırladığı bilgi güvenliği ve kişisel verilere ilişkin raporda, kişisel verilerin toplanması, işlenmesi, kullanılması, paylaşılması, silinmesi gibi her aşamada korunmasına yönelik farkındalığın artırılması ve bilinç düzeyinin yükseltilmesi gerektiği belirtildi.

DDK’nın “Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları” raporu yayımlandı.

Raporda, kişisel verilerin üçüncü kişilerin eline geçmemesi için kullanım dışı kalan veya mülkiyeti devredilen üzerine kişisel veri kaydedilmiş donanımların güvenli şekilde imhası veya bu donanımlar üzerindeki verilerin güvenli şekilde silinmesi gerektiği bildirildi.

Denetim kapsamındaki kurumlardan sadece birinde kullanım dışı kalan elektronik kayıt ortamlarının güvenli imhasıyla ilgili yazılı politikanın bulunduğu ancak bu kurumda da imha işlemini yerine getirmesi gereken personelin politikadan habersiz olduğu ve politikayı uygulamadığının tespit edildiği belirtilen raporda, şöyle devam edildi:

“Bir kurumda, çalışanlara dizüstü bilgisayar dağıtıldığı, yazışma ve kurumun bilgi sistemlerine erişimin bu bilgisayarlar üzerinden yapıldığı, bu nedenle hassas kişisel veri niteliğine sahip pek çok verinin bu bilgisayarlar üzerindeki kayıt ortamında bulunduğu, söz konusu bilgisayarların mülkiyetinin 5 yıllık kullanımın sonunda çalışanlara bilgisayarlardaki hassas verilerin güvenli şekilde silinmesi yönünde herhangi işlem yapılmadan devredildiği anlaşılmıştır.”

Raporda, kullanım dışı kalan veya herhangi şekilde mülkiyeti başkasına devredilen bilgi sistemi unsurlarının imhası veya içlerindeki kişisel veriler dahil kuruma ait veri varlıklarının geri döndürülemez şekilde silinmesine ilişkin olarak, şu konularda gerekli önlemlerin alınması gerektiği değerlendirildi:

“-Kamu kurumlarında uygulanmak üzere kullanım dışı kalan veya mülkiyeti devredilen her türlü kişisel veri ve yazılım, donanım sistemi için güvenli silme, imha etme standartları oluşturulmalıdır. Bu standartlarda sistemlerin işledikleri verinin gizlilik derecesine uygun olarak geri döndürülemeyecek şekilde yok edilmesine ilişkin mekanizmalar tarif edilmelidir. Bu mekanizmalar güvenli silme ve fiziksel imha gibi yöntemleri içermelidir.

-Kurumlarca kullanım dışı kalan her türlü kayıt ortamının imhasına ilişkin olarak süreç dokümanı hazırlanmalıdır.

-Hazırlanan süreç dokümanları, kullanım dışı kalan yedekleme teyp kartuşları, CD/DVD, sunucu ve masaüstü sabit diskleri, diz üstü ve tablet bilgisayarları, USB diskler ve diğer taşınabilir ortamların tamamıyla ilgili yapılacak işlemleri içermelidir.

-Kişisel veri içeren elektronik kayıt ortamları güvenli saklanmalı, kullanım dışı kalan kayıt ortamları bu ortamlardaki veriye ulaşılamayacak şekilde imha edilmelidir.

-Her bir kayıt ortamının imhasına ilişkin süreç belirlenmelidir.

-Kayıt ortamlarının imhasına yönelik kurum dışından hizmet alınması durumunda, hizmet sağlayıcının uygunluğuna ve yeterliliğine ilişkin kriterler öngörülmelidir.

-İmha işlemi, imha edilen kayıt ortamının niteliğini belirtecek şekilde tutanakla kayıt altına alınmalıdır.

-Herhangi şekilde kağıt ortamına aktarılan kişisel verilerin korunması amacıyla bunların güvenli olarak saklanması ve imhası konusunda süreçler belirlenmelidir.”

-Bilgi sistemlerinin fiziki güvenliğinin sağlanması

Bilgi güvenliğinin bir boyutunun, bilgi sistemlerinin fiziki güvenliğinin sağlanması olduğuna işaret edilen raporda, bilgi sistemlerine fiziki erişimin, bu sistemlerdeki verilere erişim, bunları silme, değiştirme veya bu sistemlere fiziki olarak zarar verme riskini artırdığı kaydedildi.

Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde, fiziksel olarak güvenliği sağlanmamış sistemlere saldırı denemeleri yapıldığında, bu sistemlerin 5 dakika gibi kısa sürede ele geçirilebildiği ve içindeki verilere ulaşılabildiğinin görüldüğüne işaret edilen raporda, denetimlerdeki tespitlere yer verildi.

Bilgi sistemlerinin fiziksel güvenliğinin sağlanmasına yönelik riayet edilmesi gereken hususların sıralandığı raporda, kurum binalarının fiziksel olarak korunması, farklı koruma mekanizmalarıyla donatılmasının temin edilmesi, kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binalar ile çalışma alanlarında farklı güvenlik bölgeleri tanımlanması ve erişim izinlerinin bu doğrultuda belirlenerek gerekli kontrol altyapılarının teşkil edilmesi gerektiği belirtildi.

Kurum dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişinin, yetkili güvenlik görevlileri gözetiminde gerçekleştirilmesi gerektiğine işaret edilen raporda, kritik bilgilerin bulunduğu alanlara girişlerin kontrolü akıllı kartlar veya biyometrik sistemlerla yapılması ve izlenmesi önerildi.

Tanımlanan farklı güvenlik bölgelerine erişim yetkilerinin güncelliğinin sağlanmasının önemi vurgulanan raporda, şunlar kaydedildi:

“Personel kimliği ve yetkilerini belirten kartların ve ziyaretçi kartlarının düzenli taşınması sağlanmalıdır. Kritik sistemler özel sistem odalarında tutulmalıdır. Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzeri felaketlere karşı koruma altına alınmalı ve iklimlendirilmesi sağlanmalıdır. Fotokopi, yazıcı ve benzeri cihazlar mesai saatleri dışında kullanıma kapatılmalı, mesai saatleri içerisinde yetkisiz kullanıma karşı koruma altına alınmalıdır. Çalışma alanlarının kullanılmadığı zamanlarda kilitli ve kontrol altında tutulması temin edilmelidir.”

-İç kontrol ve denetim sistemleri

Raporda, iç kontrol sistemlerinin bilgi sistemlerinin güvenliğini sağlama açısından oldukça yetersiz olduğu ve etkin bir şekilde çalışmadığının, denetimlerde tespit edilen pek çok güvenlik açığı ve eksiklikle teyit edildiği belirtildi.

Raporda, bilgi güvenliği ve kişisel verilerin etkin korunması açısından kurumların, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlayacak kontrolleri yazılı olarak belirlemeleri ve uygulamaları, bilgi sistemine veri ve bilgi girişiyle bunlara erişim konusunda yetkilendirmeler yapılmasını, hata ve usulsüzlüklerin önlemesini, tespit edilmesini ve düzeltilmesini sağlayacak mekanizmalar oluşturmaları, bilişim yönetişimini sağlayacak mekanizmaları geliştirmeleri ve bilgi sistemlerine yönelik tehditlerin sürekli değişen ve gelişen özelliği dikkate alınmak suretiyle iç kontrol sistemlerini bu değişime hızlı adapte olacak yapıda kurgulamaları gerektiği ifade edildi.

Kurumların bir kısmında bilgi sistemlerinin güvenliği konusunda herhangi iç denetim çalışmasının yapılmadığı bildirilen raporda, bazı kurumlarda gerçekleştirilen bilgi güvenliği alanındaki iç denetimlerin sınırlı sayıda ve dar kapsamda olduğu ve düzenlilik arz etmediği belirtildi.

Raporda, bunda, kamu kurumlarının bazılarında iç denetim biriminin oluşturulmaması, bilgi teknolojileri denetimine yönelik ayrıntılı hukuki düzenleme ve kamu iç denetçilerinin bilgi teknolojileri denetimlerinde kullanabilecekleri rehber, yönerge ve benzeri çalışmanın bulunmaması, bilgi sistemlerinin denetimini yapacak yetkinlikteki iç denetçi sayısının yetersizliği, bu konudaki ihtiyaca ilişkin üst yönetimin farkındalığının yeterli düzeyde olmaması gibi etkenlerin önem taşıdığı değerlendirildi.

Bilgi sistemlerine ilişkin iç kontrol ortamının denetlenmesi gereği bulunduğu ifade edilen raporda, bilgi teknolojileri denetimine yönelik hukuki düzenleme yapılması ve kamu iç denetçilerinin bilgi teknolojileri denetimlerinde kullanabilecekleri rehber çalışmasının bir an önce tamamlanması gerektiği kaydedildi.

Kamu idarelerinde, bilgi teknolojileri denetimi alanında yetkinliğe sahip iç denetçi sayısının artırılmasına yönelik olarak da şunların yapılması önerildi:

“Eğitim, bilgi sistemleri denetim sertifikasyonu uygulaması, bilgi sistemi denetimi yapması öngörülen denetçilere ilişkin ayrı bir denetçi aday belirleme sınavı yapılması, bu kapsamda mevcut denetçi eğitim geçmişlerinden farklı alanlardan denetçi alımı sağlanması ve ilerleyen aşamada kurumların bilgi sistemlerinin büyüklüğü, önem derecesi gibi hususlar dikkate alınarak iç denetçi kadrolarının belli bir oranının bilgi sistemi denetim yeterliliğine sahip denetçilere tahsis edilmesi, bilgi sistemleri denetiminde idare içinden ve dışından uzman istihdam etme imkanlarlının kullanılması, bilgi sistemleri denetiminde yetkin hale gelen denetçilerin diğer kurumlarda da değerlendirilebilmesi yönünde adım atılması veya atılmakta olan adımların desteklenmesi ve hızlandırılması.”

Raporda, özel sektör kurum ve kuruluşları üzerinde düzenleme ve denetim yetkisi bulunan kurumların, ilgili sektörlerde gerçekleştirecekleri denetimlerin kapsamını, Bankacılık Düzenleme ve Denetleme Kurumu ile Bilgi Teknolojileri ve İletişim Kurumu örneklerinde olduğu gibi, bilgi sistemlerinin güvenliği ve kişisel verilerin korunması alanını da kapsayacak şekilde belirlemelerinin, özel kesimde kişisel veri ihlallerinin önlenmesi açısından önemli boşluğu dolduracağının değerlendirildiği bildirildi.

-Güvenlik testleri

Kurumlarda yapılan güvenlik tetstlerinin kalitesinde ciddi farklılıklar bulunduğu, hiçbir kurumun testleri düzenli aralıklarla yaptırmadığı, yapılan bazı test sonuçlarında bilgi sistemleri açısından çok ciddi güvenlik riski oluşturacak kritik güvenlik açıkları tespit edildiği belirtilen raporda, belirli standarda bağlı olmadan, genel olarak kurumun tercihleri veya testi yapan birim ya da firmanın önerileri doğrultusunda gerçekleştirilen güvenlik testlerinin güvenilir olmadığı ifade edildi. Raporda, bu nedenle kamu kurumlarında belirli aralıklarla güvenlik testleri yapılmasını da sağlayacak şekilde ulusal düzeyde “Kamu Kurumları Güvenlik Testleri Standardı” dokümanı oluşturulması ve uygulanmasının sağlanması istendi.

Özellikle hassas kişisel veriler ile kritik altyapılara ilişkin verilere sahip kamu kurumlarına ait bilgi sistemlerinin belli periyotlarla düzenli şekilde sızma testleri dahil güvenlik denetimlerine tabi tutulması gerektiğine işaret edilen raporda, güvenlik denetimlerinin yapılması kadar, standart olması, denetimi yapacak kurum veya kuruluşun kalitesi ve gizliliğe riayetinin önem taşıdığı vurgulandı.

Gerçekleştirilen güvenlik denetim ve sızma testi sonuçlarının üst yönetimle doğru ve açık şekilde paylaşılmasının sağlanması gerektiği ifade edilen raporda, testler sonucunda tespit edilen ancak kapatılmayan açıklıkların, hiç tespit edilmemiş açıklıklara göre kurum açısından daha fazla güvenlik riski oluşturacağı hususu göz önünde bulundurularak, açıklıkların kapatılması için mutlaka ‘Teknik Açıklık Yönetimi’ süreci belirlenmesi ve bu süreç çerçevesinde açıklıkların mümkün olan en kısa süre zarfında kapatılmasının önemine işaret edildi. Raporda, özellikle kurum dışından erişilebilen uygulamalarda bulunan açıklıkların öncelikli olarak kapatılmalıdır.”

-Bilgi güvenliği alanındaki sorunlar

Raporda, bilgi güvenliği ve kişisel verilerin korunması konusundaki farkındalık eksikliği, hizmetlerin kaliteli ve hızlı sunulmasına odaklanılırken uzun vadede hizmetlerin hiç sunulamaması sonucunu da doğurabilecek olan bilgi sistemlerinin güvenliği konularına yeterince önem verilmemesi, kişisel verilerin korunmasının kamu bilgi sistemleriyle sınırlı olmaması, özel kesimde kişisel verilerin karşı karşıya bulunduğu risklerin gittikçe artması ve buna karşılık özel kesimde kişisel verilerin korunmasına ilişkin mevzuat ve denetim boşluğunun bulunması, kurumlarda bilgi sistemleri güvenliği ile kişisel verilerin korunması konusunda büyük önem taşıyan iç kontrol ve iç denetim müesseselerinin işlememesi konularının, bilgi güvenliği ve kişisel verilerin korunması alanındaki sorunlara kaynaklık teşkil ettiği değerlendirildi.

Bu nedenle kişisel verilerin korunması ve bu çerçevede bilgi güvenliğine ilişkin eksikliklerin ve yanlış uygulamaların ortadan kaldırılması veya asgari düzeye indirilebilmesi açısından şunların esas alınması gerektiği belirtildi:

“-Kişisel verilerin toplanması, işlenmesi, kullanılması, paylaşılması, silinmesi gibi her aşamada korunmasına yönelik olarak farkındalığın artırılması ve bilinç düzeyinin yükseltilmesi,

-Kişisel verilerin korunmasına ilişkin olarak kişisel veri, açık rıza ve benzeri tanımların, kişisel verilerin işlenmesinin genel ilke ve esaslarının, kişilerin haklarını korumalarına yardımcı olacak mekanizmaların ve ilgili kurum ve kuruluşların kişisel verilerin işlenmesi sırasında bu hakkın korunmasına uygun davranışta bulunmalarını sağlamak amacıyla gerekli ikincil düzenlemeleri ve denetimleri yapacak, şikayetleri değerlendirecek, idari yaptırım uygulama yetkisine sahip kurumsal yapılanmanın ne şekilde olacağını belirleyen çerçeve bir kanunun bir an önce hukuk sistemimize kazandırılması, sektörel bazda bilgi güvenliği ve kişisel verilerin korunmasına yönelik özel düzenleme çalışmalarının yürütülmesi,

-Kişisel verilerin korunması için bağımsız, tarafsız ve teknik açıdan yetkin bir kurumsal yapının önemi dikkate alınarak, bu alandaki kurumsal yapı eksikliğinin uluslararası standartlara uygun şekilde giderilmesi; bilgi güvenliği konusunda kurumlar arasındaki görev çakışmaları ile işbirliği ve koordinasyon eksikliklerinin ortadan kaldırılması,

-Kişisel verilerin korunması hakkına ilişkin önemli bir tehdit alanını ticari işletmeler ve sivil toplum kuruluşları gibi özel kesimin elindeki kişisel verilerin işlenmesi, kullanılması, paylaşılması ve güvenliği konularının teşkil ettiği dikkate

alınarak bu alana yönelik düzenlemelerin yapılması ve denetimlerin gerçekleştirilmesi,

-Bilgi sistemlerinin güvenliği ve kişisel verilerin korunması açısından önem taşıyan etkin bir bilgi güvenliği yönetim sisteminin oluşturulması ve sürekliliğinin sağlanması için kurumların öz savunma mekanizması niteliğinde olan iç kontrol ve iç denetim müesseselerinin etkin şekilde işletilmesi.”

AA