15 Ocak 2014 Çarşamba

Backdoor Trojan

Backdoor Trojan’lar kullanıcıdan habersiz olarak bilgisayarın kontrolünü ele geçiren zararlı yazılım türüdür. Bu zararlı yazılımlar, yasal bir yazılım gibi kullanıcı bilgisayarında görüntülenebilir. Sıklıkla kullanılan bir diğer yol ise, kullanıcılara gönderilen spam niteliğindeki e-postalardan kullanıcı bilgisayara bulaşması yada zararlı/kötücül bir websayfasını ziyaretle farkında olmadan bulaşmasıdır. Bu türden zararlı yazılım bir kez bulaştıktan sonra kendisini bilgisayarın başlangıç rutinine ekler ve kullanıcı internete çıktıktan sonra kullanıcı bilgisayarını uzaktan kontrol edebilir hale gelir. 

Kullanıcı bilgisayarı internete çıkarak online olduğunda virüs yollayan kötü niyetli olarak birçok eylem gerçekleştirebilir. Örneğin; program çalıştırma, kişisel dosyalara erişme, dosyalarda değişiklik yapma, dosya yükleme, kullanıcının klavye hareketlerini izleme, spam e-postaları gönderme vb.

Bilinen en ünlü Backdoor Trojan’lara örnek olarak Netbus, OptixPro, Subseven, BackOrifice, Zbot ve ZeuS verilebilir.

Backdoor Trojan’lardan korunmak için bilgisayarda yüklü olan işletim sisteminin en son çıkan yamalarını takip ederek, işletim sistemi açıkları kapatılmaya çalışılmalıdır. Anti-spam ve anti-virüs programlarını kullanmak da bu tür zararlı yazılımlara karşı alınabilecek güvenlik önlemleri arasında yer alır. İşletim sistemi güvenlik duvarı (Firewall) kullanarak ise, Trojan yazılımlarının internet erişimi yoluyla saldırganla iletişim kurması engellenebilir.

14 Ocak 2014 Salı

Bilgi Güvenliği İç Organizasyonu Nasıl Olmalı?



ISO 27001:2013 A-6 Bilgi Güvenliği Organizasyonu

ISO 27001:2013 A 6.1 İç Organizasyon
Hedef: Kuruluş içerisinde bilgi güvenliği uygulaması ve işletimini başlatmak ve kontrol etmek için bir yönetim çerçevesi oluşturmak.




     ISO 27001:2013 A 6.1.1 Bilgi Güvenliği Rol ve Sorumlulukları
Kontrol: Tüm bilgi güvenliği sorumlulukları tanımlanmalı ve atanmalıdır.

Uygulama Kılavuzu;
Bilgi güvenliği sorumlulukları Bilgi Güvenliği Politikaları ile paralel olacak şekilde tahsis edilmesi gerekmektedir.
Genel olarak;
-  Her bir varlığın korunmasına ve özel bilgi güvenliği süreçlerinin uygulanmasına ilişkin sorumluluklar belirlenmelidir.
-  Bilgi güvenliği risk yönetim aktiviteleri ve artık riskin kabülüne ilişkin sorumluluklar tanımlanmalıdır.
-  Gerekli görülen noktalarda, özel konular ve bilgi işleme olanakları için tüm sorumluluklar, kılavuzluk edecek şekilde detaylandırılmalıdır.
-  Varlıkların korunması ve bilgi güvenliği aksiyonlarına alınmasına ilişkin sorumluluklar tanımlanmalıdır.
Bilgi güvenliğinin etkin olarak sürdürülebilmesi için sorumluluk sahibi kişiler sorumluklarını kurum içi diğer çalışanlara aktarabilirler. Burada en önemli nokta sorumluluklarını paylaşan kişilerin halen ‘accountable’ kişi olduğu unutulmamalıdır. Sorumluklarını delege eden kişi, görevlerin doğru olarak yerine getirip getirilmediğini takip etmekle sorumludur. Yetki delegasyonu sorumluluğu tümden ortadan kaldırmamalıdır.

Kişilerin hangi alanlardan sorumlu oldukları  belirlenmelidir. Bu süreçte;
-  Varlıklar ve bilgi güvenliği süreçleri belirlenmeli ve tanımlanmalıdır.
-  Her bir varlık veya bilgi güvenliği süreci ile atamalar yapılmalı ve sorumluluklara ilişkin detaylar dokümante edilmelidir. (ISO 27002:2013 8.1.2 gözden geçirilebilir)
-  Yetkilendirme mekanizmaları ve seviyeleri tanımlanmalı ve dokümante edilmelidir.
- Sorumlukları atanmış kişilerin yeterli yetkinlikte olması veya yeterli yetkinliğe gelmesi sağlanmalıdır.
-  Tedarikçi veya üçüncü tarafların koordinasyonu ve gözetimine ilişkin roller tanımlanmalı ve dokümante edilmelidir.

13 Ocak 2014 Pazartesi

Autorun Worm

Autorun bir dosyayı otomotik olarak çalıştırmaya yarayan bir program parçacığıdır. Autorun Worm (Türkçe olarak Otomatik Çalıştırma Solucanı olarak adlandırılabilir) işletim sistemindeki Autorun özelliğinden faydalanan zararlı yazılımlardır. Bu yazılımlar, bir depolama cihazı (CD, DVD, Flash Bellek gibi) bilgisayara bağlandığında otomotik olarak çalıştırılırlar. Taşınabilir cihazın içine gömülü olan virüs yazılımları Autorun özelliği sayesinde otomatik olarak aktifleşir.

Autorun Worm’lar sıklıkla USB sürücüler üzerinden bilgisayara zararlı yazılım bulaştırırlar.

Autorun özelliği virüs bulaştırma yöntemiyle birlikte tehlikeli hale gelmektedir. Autorun virüsü son kullanıcı bilgisayarlarına zararlı yazılım bulaşmasına neden olabilir. Zararlı yazılım bulaşan bileşen aracılığıyla USB Portlarını kullanan tüm taşınabilir depolama cihazlarına zararlı yazılım bulaşması olasıdır. Bu yüzden Autorun virüsünün hızla yayılımı oldukça kolay hale gelmektedir.

Virüs bulaştığının belli başlı etkileri ise; Autorun.exe dosyalarının çalışmaması, gizli dosyaların görüntülenememesi Bu virüsten korunmanın yolu bilgisayarınız üzerindeki Autorun dosyasının otomotik çalışmasını engellemektir. Bu engellemeye sağlamak için; Microsoft yeni işletim sistemlerinde bu özelliği default (öntanımlı) olarak kapalı bir şekilde sunmaktadır.

10 Ocak 2014 Cuma

Anonymizing Web Proxy

Proxy sunucu, bir web tarayıcısı (Internet Explorer, Chrome gibi) ve Internet arasında aracı (Vekil) işlevi gören bileşendir. Anonim Vekil Sunucular, IP adresini ve web kimliğini gizleyen vekil sunucularıdır. Anonymizing Proxy yöntemi kullanıcıların web tarayıcıları üzerindeki aktivitelerini gizlemekte kullanılır. Bu yöntemle Web güvenlik önlemleri bypass edilebilmektedir. Bu şekilde bir iş bilgisayarından engellenmiş bir web sitesine erişim sağlamak mümkün olabilir.

Anonymizing Proxy işlemi güvenlik ve sorumluluk riski taşımaktadır. Web güvenlik önlemlerini atlayarak (bypass ederek), kullanıcıların web sayfalarına yetkisiz erişimlerini sağlar. Kullanıcılar yasadışı MP3, film, yazılım vb. indirmeleri üçüncü parti lisans haklarını ihlal edilmesi gibi etkileri de bulunmaktadır. Organizasyonlar kullanıcıların erişimi engellenmiş sitelere ulaşması durumunda yasal sorumluluk altına girebilirler. Proxy sunucular, bazı web içeriklerine ve kötü amaçlı yazılımlara filtre uygulayarak güvenliğin artırılmasını sağlarken, Anonymizing Proxy yöntemi bu güvenlik önlemini ortadan kaldırır.

9 Ocak 2014 Perşembe

Bilgi Güvenliği Politikalarını Gözden Geçirme




ISO 27001:2013 EK-A
5.1.2 Bilgi Güvenliği için Politikaların Gözden Geçirilmesi
Kontrol: Bilgi güvenliği politikaları, belirli aralıklarda veya önemli değişiklikler ortaya çıktığında, sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirilmelidir.



 
Uygulama Kılavuzu;
Her bir politikaya üst yönetim/yönetim tarafından onaylanmış bir politika sahibi atanmalıdır. Politika sahipleri ilgili politikaların; değiştirilmesinden, gözden geçirilmesinden ve geliştirilmesinden sorumlu olacaklardır. Bu gözden geçirme aktivitesi, organizasyonun yaşadığı yasal, teknik veya regülatif değişimlerde, bilgi güvenliği yönetim yaklaşımını destekleyecek şekilde fırsatları belirlemeli ve geliştirilmelidir. Politika gözden geçirmelerinde Yönetim Gözden Geçirme sonuçları gözardı edilmemelidir. Politika gözden geçirmeleri, organizasyonun doküman yönetim sistemine uygun olarak yönetim tarafından onaylanmalı ve revize edilmelidir.

8 Ocak 2014 Çarşamba

Adware (Advertising-Supported Software)


Adware’ler reklam destekli yazılımlardır. Bu yazılımlar bir uygulama kullandığınızda bilgisayarınızda pop-up veya banner reklamlarınızı görüntülemeye olanak tanır. Adwareler mutlaka kötücül yazılımlar değillerdir. Bu türden reklamlar özellikle ücretsiz yazılımların geliştirilme aşamasında fon sağlamak için kullanılmaktadır.


Ancak Adwareler aşağıda belirtilen durumlarda sorun teşkil edebilirler;

  •      İzin verilmeden kendisini bilgisayara yüklemesi
  •      Sizin kullandığınız uygulamaların dışında ekrana gelmesi ve reklam görüntülemesi
  •      Internet tarayıcınızı ele geçirerek (Hijacking), daha fazla reklam görüntülemesi
  •      İzin verilmeden web tarayıcı bilgilerinizi toplaması ve internet aracılığı ile bilgilerin  başkalarıyla paylaşımı (Spyware)
  •      Adware’i kaldırmanın zor olacak şekilde tasarlanmış olması

Adware’ler bilgisayarı ve reklamların indirilmesi internet bağlantı hızını yavaşlatabilir. Adware’daki programlama hataları bilgisayarı üzerinde beklenmedik hatalara yol açabilir.

Adware programlarını yetkilendirebilir yada bilgisayarınızdan kaldırabilirsiniz. 

Not: Adwarelerin tespiti için de özel programlar bulunmaktadır.

7 Ocak 2014 Salı

Bilgi Güvenliği Politikaları

A-5 Bilgi Güvenliği Politikaları (EK-A 5.1 Bilgi Güvenliği için Üst Yönetim Yönlendirmesi)
Hedef: İş gereksinimleri ve ilgili yasal gereksinimlere uyum için bilgi güvenliği yönetim yönlendirmesi ve desteğinin sağlanması.



 
5.1.1 Bilgi Güvenliği Politikaları
Kontrol: Bilgi güvenliği için politikalar tanımlanmalı, yönetim tarafından onaylanmalı, yayınlanmalı, tüm çalışanlar ve ilgili dış taraflara bildirilmelidir.

Uygulama Kılavuzu;
İlk olarak organizasyon en üst seviye olarak üst yönetim tarafından onaylı bir “Bilgi Güvenliği Politikası” tanımlamalı ve bu politika bilgi güvenliği hedeflerinin nasıl yöneticileğine dair kuruluşun yaklaşımını belirlemelidir.

En iyi uygulama örneği olarak Bilgi Güvenliği Politikasının aşağıdaki ihtiyaçları karşılar nitelikte olması fayda sağlayacaktır;
-İş Stratejileri
-Yasalar, regülatif düzenlemeler ve sözleşmelerden doğan gereksinimler
-Bilgi Güvenliği tehditleri

Bilgi Güvenliği Politikası oluşturulurken aşağıdaki maddeler göz ardı edilmemelidir;
-Bilgi Güvenliğine ilişkin tüm aksiyonlara kılavuzluk edecek bir bilgi güvenliği tanımı
-Bilgi Güvenliğine ilişkin Roller ve Sorumluklarının tayini
-Beklentileri ve istenmeyen sapmaları yönetecek süreçlerin belirlenmesi

Üst seviye Bilgi Güvenliği Politikasını destekleyecek alt seviye politikaların tanımlanması gereklidir. Bu politikalar tüm paydaşlar tarafından anlaşılabilir olması ve bilgi güvenliği kontrollerinin uygulanmasına kılavuzluk edecek detayda olması fayda sağlar.

Bu politikalara örnek olarak aşağıdakiler sunulabilir;
-Erişim Kontrol Politikası
-Bilgi Sınıflandırılması
-Fiziksel ve Çevresel Güvenlik
-Son Kullanıcıya ilişkin;
   o Kabul Edilebilir Kullanım Politikası
   o Temiz Masa Temiz Ekran Politikası
   o Bilgi Değişim Politikası
   o Mobil Cihazlar ve Uzaktan Çalışma Politikası
   o Yazılım Yükleme ve Kullanım Politikası
-Yedekleme Politikası
-Kötücül Yazılımlardan Korunma Politikası
-Teknik Açıklık Yönetim Politikası
-Kriptografik Kontrol Politikası
-Ağ Güvenlik Politikası
-Tedarikçi Güvenliği Politikası
-Kişisel Bilgileri Koruma Politikası

6 Ocak 2014 Pazartesi

Advanced Persistent Threat (APT) - (Gelişmiş Kalıcı Tehditler)

Advanced Persistent Threat (APT), Gelişmiş Kalıcı Tehditler olarak Türkçe adlandırabileceğimiz hedefli bir saldırı türüdür. APT ticari ve siyasi hedeflere yönelik siber suç kategorisinde yer almaktadır. Bu türden saldırılarda hedeflenen bir ağ içine sızma planı için zaman ve bilgi birikimi iki önemli parametredir. APT ler hedeflerde zarara yol açmaktan çok hedefteki hassas verileri ele geçirmek için gerçekleştirilir.

Saldırganlar, açıklığı bilinen ve çok sayıda kişi tarafından kullanılan popüler bir program/yazılım aracılığıyla kötücül bir ortam hazırlar (Örneğin MS Office, Adobe). Saldırgan oluşturduğu bu ortamı/dosyayı/program parçacığını kurbanların ilgisini çekecek şekilde onlara iletir ve arka planda kötücül program parçacığı çalışarak saldırganın uzak bileşen (PC, Sunucu, Ağ) üzerinde kontrolü ele geçirmesini sağlar. Buradaki amaç, bileşenleri ele geçirmekten çok, daha gelişmiş etkili ve kalıcı saldırıları tasarlamak ve yönetmektir.

Gerçek dünyadan: Stuxnet bu saldırıya örnek gösterilebilir.

3 Ocak 2014 Cuma

ISO 22301 İş Sürekliliği Yönetim Sistemi Bilgilendirme

İş Sürekliliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO 22313:2012 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313:2012 rehber edinilerek kurulan İSYS’nin belgelendirmesi için “ISO 22301:2012 Sosyal Güvenlik – İş Sürekliliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir İş Sürekliliği Yönetim Sistemini kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

ISO 22301 standardı ile ilgili detaylı bilgi almak için lütfen tıklayınız.

16 Aralık 2013 Pazartesi

E-FATURA ÖZEL ENTEGRASYON SÜRECİNDE ISO 27001 / ISO 22301 / ISO 20000 VE ITIL

Makaleyi indirmek için tıklayınız.

14.12.2012 tarih ve 28497 sayılı Resmi Gazetede yayımlanan 421 sıra No.lu Vergi Usul Kanunu Genel Tebliği ile 397 sıra No.lu Vergi Usul Kanunu Genel Tebliğinde değişiklik yapılarak; bilgi işlem sistemlerini entegre etmek suretiyle e-fatura uygulamasından yararlanma yöntemine, özel entegratör vasıtasıyla e-fatura uygulamasından yararlanma yöntemi de eklenmiştir.

Özel entegratörlerin bilgi işlem sistemi vasıtasıyla, bilgi işlem altyapısı yetersiz olan mükellefler elektronik fatura alıp gönderebileceklerdir. Özel entegrasyon izni almak isteyen mükelleflerin ise e-fatura Uygulaması Başvuru Kılavuzunda belirtilen belgelerle birlikte Gelir İdaresi Başkanlığına başvuru yapmaları gerekmektedir. Başkanlık başvuruları 421 Sıra Numaralı Vergi Usul Kanunu Genel Tebliğine ve e-fatura uygulaması özel entegrasyon kılavuzunda yapılan açıklamalara uygunluğunu değerlendirecek ve yerinde inceleyebilecektir.

ISO 27001 / ISO 22301 / ISO 20000 BELGELERİ VE ITIL

Özel entegratör başvurusu yapacak olan mükelleflerde aşağıdaki ISO sertifikasyonlarına sahip olma ve uygunluk koşulu aranacaktır.
  • TS ISO IEC 27001 veya ISO 27001
  • ISO 22301
  • TS ISO IEC 20000 veya ISO 20000 
Gelir İdaresi Başkanlığı’nın E-fatura Özel Entegratörluk Başvuru sayfasında aşağıda ki ifadeler bulunmaktadır.

“Özel entegratör bilgi güvenliği için TS ISO IEC 27001 veya ISO27001 belgelerine, iş sürekliliği (Societal security - Business continuity) için ISO 22301 belgesine, Bilgi Teknolojileri Hizmet Yönetimi Sistemi için TS ISO IEC 20000 veya ISO 20000 belgelerine sahip olmalıdır.

Söz konusu ISO sertifikalardan en az birine sahip olan mükellefler, başvuru evrakları ile birlikte sunacakları BİS Raporunda henüz sahip olmadıkları belgelere ilişkin olarak; belgelerin ne şekilde, ne kadar sürede temin edileceğini ve belge temini konusunda hangi aşamada (başvuru, değerlendirme, tamamlanma sürecine ilişkin olarak ilgili kurumlardan alınacak resmi belgeler ile birlikte) olduklarını açıklamaları ve Başkanlığa belge temini için taahhütte bulunmaları halinde özel entegratörlük talepleri Başkanlıkça değerlendirilecektir. Başkanlıkça yapılan değerlendirme sonucu özel entegratör izni verilen mükelleflerin, taahhütlerine uygun olarak eksik belgelerini temin edememeleri halinde özel entegrasyon izinleri iptal edilebilecektir.

Ayrıca Türkiye’de faaliyet gösteren bankaların ilgili ISO standartlarını karşılayan benzer denetimlerden geçmeleri ve bu standartların gereksinimlerini nasıl karşıladıklarını BİS raporunda belirtmeleri halinde bankalardan bu standartlar aranmaz.

Özel entegratörün sistem yönetim süreçleri ITIL uyumlu olmalı ve sistem ITIL sertifikasına sahip personel tarafından yönetilmelidir.”

İŞ KESİNTİLERİ

Kılavuzda özel entegratörlerin sistemlerinin e- fatura uygulamalarında kesinti yaratmayacak şekilde 7/24 iş sürekliliğini sağlayabilecek yapıda kurmaları gerekmektedir. 7 gün 24 saat iş sürekliliğini sağlama yöntemlerini BİS raporunda açıklamalıdır.

KAPASİTE PLANLAMA

Kılavuzda özel entegratör bilgi işlem sistemlerinin kapasite planmasına ilişkin olarak BİS raporunda aşağıdaki bilgiler açıklanıyor olmalıdır.

“BİS raporunda; özel entegratör bilgi işlem sisteminin donanım yazılım alt yapısının yıllık olarak hizmet verebileceği ortalama fatura ve kullanıcı sayısı ile toplam veri büyüklüğüne, aynı anda hizmet verebileceği toplam kullanıcı ve fatura sayısına, bu faturaların ne kadar sürede dağıtılabileceği ile ilgili yapılan yük testlerine ilişkin verilere ayrıntılı olarak yer verilmelidir. İleriye dönük kapasite artırımında sistemin ölçeklenebilir/ayarlanabilirliğinin nasıl sağlanacağı açıklanmalıdır.”

GÜVENLİK
Özel entegratörlerın bilgi işlem süreçleri ve sistemleri ile ilgili olarak aşağıdaki bilgi güvenliği koşullarını yerine getirmeleri beklenmektedir.

“Özel entegratör sisteminde şifre, parola, e-imza gibi terminallere yer verilmeli, girişte gerekli güvenlik önlemleri alınmalı, her türlü işlemin kaydı tutulmalı, gerekli izler kaydedilmeli (loglama), ihtiyaç duyulan hiyerarşi içerisinde yetkilendirme yapılarak BİS raporunda açıklanmalıdır. İşlem Kayıt İzleme Kontrol Listesi dokümanındaki maddelere uyulmalıdır. Ayrıca BİS raporunda gönderilen/alınan veri ve belgelerin gizliliğinin nasıl sağlandığı belirtilmelidir.”

FELAKETTEN KURTARMA

E-fatura özel entegrasyonu için bir felaketin meydana gelme durumu için felaketten kurtama planları oluşturulmuş olmalı ve Kılavuzda yer alan Felaketten Kurtarma Kontrol Listesi’ndeki maddelere uyulmalıdır.

BİS raporunda felaket sonrası kayıtların kurtarılma yöntemi açıklanıyor olmalıdır.

Felaketten Kurtarma Kontrol Listesi

1. Felaketten kurtarma planı geliştirin.

2. İş etki analizi uygulayın

3. Önleyici kontrolleri belirleyin.

4. Felaketten kurtarma stratejileri geliştirin

5. Bilgi sistemi acil eylem planı geliştirin

6. Planlarınızı test edin ve çalışanlarınızı eğitin

7. Planlarınızı düzenli olarak gözden geçirin.

8. ISO 24762 Bilişim ve İletişim Teknolojileri Felaketten Kurtarma Servisleri Kılavuzu (Guidelines for information and communications technology disaster recovery services) uygulayın.

Özel entegrasyon hizmeti verecek kurumların e-Fatura saklama hizmeti de vermek istemeleri halinde, diğer sayılan şartların yanında e-Fatura Saklama Kılavuzunda açıklanan koşullara uygun altyapıyı oluşturmaları da gerekmektedir.

E-FATURA SAKLAMA HİZMETİ

E-fatura saklama hizmeti verecek mükelleflerin bilgi güvenliği, iş sürekliliği ve doküman yönetimi açısından E-Fatura Uygulaması Saklama Kılavuzu’nda aşağıdaki bilgilere yer verilmiştir.

“İzin başvurusu yapacak kurumun saklama ortamlarının, saklama ünitelerinin, fiziksel korucuyu malzemelerinin, depolama sistemlerinin, yedekleme sistemlerinin, iş sürekliliği ve felaketten kurtarma sistemlerinin, belgelerin maksimum saklama sürelerinin ve depolama ünitelerinin türleri ile ilgili ayrıntılı açıklamalara BİS raporunda yer vermesi gerekmektedir. Saklama izni alacak kurumların saklanacak belgeler için bir belge yönetim sistemi kurması ve yönetmesi gerekmektedir. Bu sistem dahilinde verilerin korunması, erişim haklarının belirlenmesi, güvenliğin sağlanması, afet ihtimali gibi konularda gerekli planlama yapılarak BİS raporunda ayrıntılı şekilde açıklamalara yer verilmelidir.

Elektronik saklama yapılacak sistemde şifre, parola, e-imza. gibi, terminallere girişte gerekli güvenlik önlemleri alınmalı, her türlü elektronik işlemin izi tutulmalı (loglama), ihtiyaç duyulan hiyerarşi içerisinde kişilere yetkilendirme yapılarak BİS raporunda açıklanmalıdır. Ek olarak BİS raporunda saklanan faturaların yetkisiz kişilere karşı gizliliğinin nasıl sağlanacağı belirtilmelidir. İleriye dönük kapasite artırımında sistemin ölçeklenebilir/ayarlanabilirliğinin nasıl sağlanacağı açıklanmalıdır

Öngörülmeyen bir felaketin meydana gelmesi durumunda hem iş sürekliliği hem de felaketten kurtarma planları yapılmış olmalı, iş sürekliliğinin nasıl sağlanacağı, felaket nedeniyle ana sistemde kaybolan, silinen kayıtların felaketten kurtarma sistemi ile nasıl tamamlanacağı BİS raporunda ayrıntılı olarak açıklanmalıdır. Afet sırasında ve sonrasında kurtarılan belgelerin bütünlüğünün korunduğu ispat edilebilmelidir.”

E-Fatura Uygulaması Özel Entegrasyon Kılavuzu için tıklayınız..

http://www.efatura.gov.tr/dosyalar/kilavuzlar/e-FaturaUygulamasiOzelEntegrasyonKilavuzu.pdf

E-Fatura Uygulaması Saklama Kılavuzu için tıklayınız..

http://www.efatura.gov.tr/dosyalar/kilavuzlar/e-FaturaUygulamasiSaklamaKilavuzu.pdf

12 Aralık 2013 Perşembe

GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASI YÖNETMELİĞİ DEĞİŞİKLİK TASLAĞI VE ISO 27001 BGYS’E ETKİSİ

*Bu yazı Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği’nin taslak değişikliğinin Bilgi Güvenliği Yönetim Sistemi’ne olası etkilerini paylaşmak için hazırlanmıştır.

Makaleyi indirmek için tıklayınız

10.01.2013 tarihli ve 28524 sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği ile düzenlenmiş olan yetkilendirilmiş yükümlü statüsü kapsamında faydalanılacak olan ithalatta yerinde gümrükleme izni ile izinli alıcı yetkisinin yürürlüğe konulmasını teminen, Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği yeniden düzenlenmiş olup taslak hali Gümrük ve Ticaret Bakanlığı tarafından yayınlandı.

Söz konusu taslakta ithalat işlemleri ile ilgili olarak yeni kavram tanımlamaları yapılmakta;
İthalatta yerinde gümrükleme: Eşyanın ithalat gümrük idaresine getirilmeden giriş gümrük idaresinden doğrudan firmanın kendi tesislerine sevk edilmesi ve ithal işlemlerinin firmanın kendi tesislerinde basitleştirilmiş usul çerçevesinde yapılması.
İzinli alıcı: İthalatta yerinde gümrükleme iznine ait eşyayı varış gümrük idaresine getirmeden giriş gümrük idaresinden doğrudan kendi  tesislerine veya ithalatta yerinde gümrükleme iznine haiz eşya sahibinin tesislerine sevk etmeye ve transit işlemlerini bu tesislerde sonlandırmaya yetkili kişi.
Yeşil hat: Eşyanın belge kontrolüne veya muayeneye tabi tutulmadığı hat.
Yeni taslağa göre; yetkilendirilmiş yükümlü statüsü sahiplerinin daha önceki uygulamalara uygulamaya ilişkin ilgili ek koşul veya koşulları da sağlamaları halinde, ek olarak İzinli alıcı yetkisi, ithalatta yerinde gümrükleme iznine sahip olmalarına,  muayene hattına ilişkin kolaylaştırmalardan ve yeşil hattan faydalanlanmalarına, izin verilecek.

YETKİLENDİRİLMİŞ YÜKÜMLÜ STATÜSÜ KAPSAMINDA İSTİHDAM
Yetkilendirilmiş yükümlü sertifikası başvurusu için aranacak ticari kayıtların güvenilirliği ve izlenebilir olması koşulu madde 6.f de, aşağıda görüldüğü gibi gümrük işlemlerinin mevzuata uygun olma şartı ve gümrük işlemlerini gerçekleştirecek personelle ilgili yetkinliklerin bakanlıkça belirlenen esaslara uygun olması koşulu bulunuyor.
Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
f) Eşyanın gümrük idaresine doğru beyan edilmesini teyit ve tevsik edecek kurum içi bir sistematiğe sahip olmak ve
1) Gümrük konularıyla ilgili birimlerinde ve buna ilişkin iç kontrol süreçlerinde gümrük konularında bilgili ve tecrübeli personel istihdam etmek veya
2) Gümrük konularında bilgili ve tecrübeli personel istihdam eden tüzel kişilerden gümrük konuları ve buna ilişkin iç kontrol süreçlerine yönelik danışmanlık hizmeti almak.
f) Gümrük işlemlerinin mevzuata uygunluğu ile eşyanın gümrük idaresine doğru beyan edilmesini teyit ve tevsik edecek kurum içi bir sistematiğe sahip olmak ve
1) Gümrük konularıyla ilgili birimlerinde ve buna ilişkin iç kontrol süreçlerinde gümrük konularında yetkinliği Bakanlıkça belirlenecek personel istihdam etmek veya
2) Gümrük konularında yetkinliği Bakanlıkça belirlenecek personel istihdam eden tüzel kişilerden gümrük konuları ve buna ilişkin iç kontrol süreçlerine yönelik danışmanlık hizmeti almak.

ISO 27001 BELGESİ
Taslağa göre başvuruda aranacak belgelerin niteliklerinde bir değişiklik öngörülmemektedir.
Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği taslağını ISO 9001 ve ISO 27001 belgesi gerekliliği açısından ele alacak olursak, daha önce 28602 sayılı Gümrük İşlemlerinin Kolaylaştırılmasına İlişkin Gümrük Genel Tebliği ile sonradan belirlenen kapsama taslak yönetmelik içerisinde yer verilmiştir.

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
e) Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenecek ve akreditasyon kurumunun markasını taşıyan güncel ISO 9001ve ISO 27001sertifikalarının aslı veya düzenleyen kuruluş tarafından onaylı örneği.

GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASINA İLİŞKİN GÜMRÜK GENEL TEBLİĞİ

Yetkilendirilmiş yükümlü sertifikası başvurularında ibraz edilecek ISO 9001 ile ISO 27001 sertifikalarının kapsamı

MADDE 5 – (1) Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin 10 uncu maddesinin birinci fıkrasının (e) bendi uyarınca ibraz edilecek ISO 9001 sertifikası; başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını kapsamalıdır.

(2) Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin 10 uncu maddesinin birinci fıkrasının (e) bendi uyarınca ibraz edilecek ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamalıdır.
e) Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenecek ve akreditasyon kurumunun markasını taşıyan güncel ISO 9001 ve ISO 27001 sertifikalarının aslı veya düzenleyen kuruluş tarafından onaylı örneği.
(1/A) Birinci fıkranın (a) ve (ç) bentlerinde sayılan belgelerin, düzenleyen kuruluşun veri tabanı üzerinden internet ortamında kontrol ed ilebilmeleri şartıyla, elektronik ortamda oluşturulmuş örnekleri asıl nüsha veya kâğıt ortamındaki örneği yerine kabul edilebilir.
(1/B) Birinci fıkranın (e) bendinde sayılan;
a) ISO 9001 sertifikası, başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını,
b) ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini,
Kapsamalıdır.


MADDE 6 ı) Bilgisayar sistemini yetkisiz girişlerden korumaya ve verilerini güvenceye almaya yönelik uygun bilişim teknolojisi güvenlik önlemlerine sahip olmak.
Yukarıdaki maddeye ilişkin incelemenin 10 uncu maddenin birinci fıkrasının (e) bendinde sayılan 27001 sertifikası üzerinden gerçekleştirileceği önceki yönetmelikte olduğu gibi Madde 12. 6’da belirtilmektedir.

İHRACATTA YERİNDE GÜMRÜKLEME İZNİ KAPSAMINDA FİZİKSEL GÜVENLİK
İhracatta yerinde gümrükleme izninin kapsamı Madde 46 ının 6. Fıkrasındaki fiziksel güvenlik ibaresi aşağıdaki gibi değiştirilmiştir.

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
(6) Ağırlığı, boyutları veya niteliği bakımından, kapalı bir karayolu taşıtı veya kapalı konteyner ile taşınamayan ve yükün özelliği itibariyle taşıma için kolayca bölünmesine imkan olmayan eşyanın taşınacak olması nedeniyle taşıma aracında örtü çekilmesi veya mühürlemenin mümkün olmadığı durumlarda, ayniyet tespiti için yeterli diğer önlemlerin alınması ve transit beyanının ilgili kısmında eşyanın hemen tanınmasını mümkün kılacak şekilde tanımlama yapılması şartıyla mühürleme işlemi yapılmaksızın eşyanın izin kapsamı tesislerden çıkışı gerçekleştirilebilir. Bu durumda, mühürleme yapılmadığı bilgisi transit beyanının ilgili alanına kaydedilir.

(6) Ağırlığı, boyutları veya niteliği bakımından, kapalı bir karayolu taşıtı veya kapalı konteyner ile taşınamayan ve yükün özelliği itibariyle taşıma için kolayca bölünmesine imkân olmayan eşyanın taşınacak olması nedeniyle taşıma aracında örtü çekilmesi veya mühürlemenin mümkün olmadığı durumlarda, ayniyet tespiti için yeterli diğer önlemlerin alınması ve transit beyanının ilgili kısmında eşyanın hemen tanınmasını mümkün kılacak şekilde tanımlama yapılması ve taşınan eşyaya izinsiz müdahalelere karşı en az asgari düzeydeki gerekli önlemlerin alınmış olması şartıyla mühürleme işlemi yapılmaksızın eşyanın izin kapsamı tesislerden çıkışı gerçekleştirilebilir. Bu durumda, mühürleme yapılmadığı bilgisi transit beyanının ilgili alanına kaydedilir.


İhracatta yerinde gümrükleme izni kapsamı tesislerdeki güvenli alanlar ve güvenli park alanları madde 53 te; taslağa göre tesislerdeki güvenli alan ve ek olarak güvenli park alanından söz edilmekte. Yeni taslağa göre yerinde gümrükleme tesislerine giriş-çıkış yerlerininde 24 saat kesintisiz olarak izlenmesi ve giriş çıkış kayıtlarının tutulması zorunlu hale geldi.
Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
Madde 53 - (1) İhracatta yerinde gümrükleme izni kapsamı tesislerde, ihracat eşyasına ilişkin ihracat beyannamesinin tescilinden sonra ve ihracat eşyasının araca yüklenip sevk edilmesinden önce bulundurulacağı veya taşıma aracının dolu olarak bekletileceği, uygun bir muayene ve sevkiyat alanından oluşan kesintisiz güç kaynağına bağlı, araç tanımlama ve insan kimlik tespiti yapmaya imkan verecek çözünürlükte kamera sistemi ile yirmi dört saat kesintisiz olarak, alana giriş çıkış yerleri de dahil olmak üzere devamlı izlenen, giriş çıkışları kayıt altında tutulan ve yeterli aydınlatma düzenine sahip güvenli bir alan bulunması gerekir.
İhracatta yerinde gümrükleme izni kapsamı tesislerdeki güvenli alanlar ve güvenli park alanları
MADDE 53 – (1) İhracatta yerinde gümrükleme izni kapsamı tesislerde, ihracat eşyasına ilişkin ihracat beyannamesinin tescilinden sonra ve ihracat eşyasının araca yüklenip sevk edilmesinden önce bulundurulacağı uygun bir muayene ve sevkiyat alanından oluşan kesintisiz güç kaynağına bağlı, araç tanımlama ve insan kimlik tespiti yapmaya imkân verecek çözünürlükte kamera sistemi ile alana giriş çıkış yerleri de dahil olmak üzere yirmi dört saat kesintisiz olarak, izlenen, giriş çıkışları kayıt altında tutulan ve yeterli aydınlatma düzenine sahip güvenli bir alan bulunması gerekir.
(1/A) 55 inci maddenin dördüncü fıkrası uyarınca işlem yapılmak istenilmesi halinde, ihracat beyannamesinin tescilinden sonra eşyanın araca yüklenerek taşıma aracının dolu olarak bekletilebileceği, birinci fıkrada belirtilen özelliklere sahip güvenli bir park alanının da bulunması gerekir. Eşya ve araçların düzenli konulması kaydıyla güvenli park alanı birinci fıkrada belirtilen güvenli alanın içerisinde de olabilir.


Taslağın 6. Kısmında ise yeni olarak izinli alıcı yetkileri ve 7. Kısımda ithalatta yerinde gümrükleme izinlerinden bahsedilmektedir. Detaylar için taslağın 6. ve 7. Kısımları incelenmelidir.

İTHALATTA YERİNDE GÜMRÜKLEME İZNİ KAPSAMINDA FİZİKSEL GÜVENLİK
İthalatta yerinde gümrükleme izni kapsamındaki tesisler için, -yetkilendirilmiş yükümlü sertifikası başvurusu için aranacak emniyet ve güvenlik koşulu- 8 inci maddenin birinci fıkrasının (a) ilâ (ç) bentlerinde belirtilen koşulları taşımasının zorunlu olduğu belirtilmektedir.

Gümrük Işlemlerinin Kolaylaştirilmasi Yönetmeliğinde Değişiklik Taslağı
(5) Ağırlığı, boyutları veya niteliği bakımından, kapalı bir karayolu taşıtı veya kapalı konteyner ile taşınamayan ve yükün özelliği itibariyle taşıma için kolayca bölünmesine imkân olmayan eşyanın taşınacak olması nedeniyle taşıma aracında örtü çekilmesi veya mühürlemenin mümkün olmadığı durumlarda, ayniyet tespiti için yeterli diğer önlemlerin alınması ve transit beyanının ilgili kısmında eşyanın hemen tanınmasını mümkün kılacak
şekilde tanımlama yapılması ve taşınan eşyaya izinsiz müdahalelere karşı en az asgari düzeydeki gerekli önlemlerin alınmış olması şartıyla ithalatta yerinde gümrükleme izni kapsamındaki eşya tesislere mühürsüz olarak getirilebilir. Bu durumda, aracın mühürsüz olarak tesislere geleceği bilgisi transit beyanının ilgili alanına kaydedilir.


Yönetmelik taslağı için tıklayınız.