27 Ekim 2017 Cuma

KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA UYGULANABİLECEK BİLGİ GÜVENLİĞİ KONTROLLERİ

Günlük hayatımızda teknolojiyi kullanma yatkınlığımız her geçen gün artmaktadır. Bu eğilim içerisinde yaşamımızda önemli bir rol oynamaya başlayan Bilgi Güvenliği terimi ön plana çıkmaktadır. Bilgi Güvenliğini doğru şekilde sağlamaya yönelik kaygıların sadece günümüzün problemi olduğunu düşünüyorsanız yanılıyorsunuz demektir. Çünkü içinde bulunduğumuz çağda önce sunucuların daha sonra kişisel bilgisayarların arkasından Internet’in devamında mobil cihazların ve son olarak nesnelerin internetinin ortaya çıkmasıyla her dönemde güvenlik kaygıları oluşmuştur. Dahası, Bilgi Güvenliği çağımızda yaşanan bu gelişmelerin de dışında mazisi milattan önceye varan örnekleri içermektedir. Bu örneklerin en eskilerinden biri; önemli yazışmaların ve metinlerin gizliliğinin korunabilmesi amacıyla kriptografik yöntemlerle şifrelenerek (bkz. Sezar şifresi) iletilmesidir. Bilgi güvenliği terimi bilginin gizlilik “bilginin yetkisiz kişilere ifşasını engellemek” olduğu kadar bütünlük “yetkisiz değişimleri engelleyerek tamlığını ve doğruluğunu korumak” ve erişilebilirlik “ihtiyaç duyulduğunda kullanılabilir olması” özelliklerini de sağlamaya yöneliktir.

Yaşadığımız çağda gündemi bilgi güvenliği kadar işgal eden diğer bir konu ise mahremiyettir. Mahremiyet, kişinin kendisine ve yaşam alanına müdahale edilmemesi ya da kendine ait bilgilerin bilinmesini istemediği kişilerden soyutlanması olarak tanımlanabilir. Kişiyi tanımlayan bilgiler kimlik numarası, müşteri numarası olabileceği gibi sağlık, cinsel hayat, adli sicil kaydı gibi hassas veriler de olabilmektedir. Mahremiyetin ana motivasyonunun kişiye ait bilgilere yetkisiz kişilerin erişmemesidir. Özetle mahremiyet kavramında gizliliğin önemli bir faktör olduğu ifade edilebilir. Bu faktöre ek olarak Kişisel Verilerin Korunmasını düzenleyen ulusal ve uluslararası mevzuatlarda kişisel verilerin işlenebilmesi için “Doğru ve gerektiğinde güncel olma” ilkesi yer almaktadır. Bu nedenle “bilginin bütünlüğü”nün de korunması gereken bir başka faktör olduğu anlaşılmaktadır.  

Bilgi Güvenliği Standardı

Bilgi Güvenliğinin sistematik bir biçimde uygulanabilmesi amacıyla ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 yılında yayınlanmıştır. Bu standart 2013 yılında revizyona uğrayarak güncel olarak kullanılan haline kavuşmuştur. Standart, uygulanacak yönetim sistemini tarif etmekle birlikte, Ek-A bölümünde yer alan 14 alanda 114 teknik güvenlik kontrolü de içermektedir. Bu kontroller uygulanırken dikkat edilecek iyi uygulama tavsiyeleri ISO/IEC 27002:2013 Uygulama Pratikleri standardında tanımlanmıştır.

Kanuni Düzenlemeler

Mahremiyete ilişkin düzenlemeler 2. Dünya Savaşı sonrasında ortaya çıkmıştır. 1948 yılında özel hayatın gizliliğini korumaya yönelik madde (bkz. Madde 12) içeren İnsan Hakları Evrensel Beyannamesini 1970’lerde İsveç, Almanya ve Amerika Birleşik Devletleri’ndeki Mahremiyet yasaları izlemiştir. Avrupa Birliği’nin üyesi ve üyelik sürecindeki ülkelerin veri koruma düzenlemelerini tanımlayan Veri Koruma Direktifi (bkz. Data Protection Directive 95/46/EC) 1995’te yürürlüğe girmiştir. Avrupa Birliği’nin yeni bir düzenlemesi olan General Data Protection Regulation (GDPR) 2016 yılında kabul edilmiş ve Mayıs 2018’de yürürlüğe girecektir. Avrupa Birliği sakini veya vatandaşlarının kişisel verisini işleyen veri sorumlularının bu düzenlemeye uyumlu olmaları gerekmektedir.

Türkiye Cumhuriyeti’nin mahremiyete ilişkin en kayda değer düzenlemelerinden birisi 2010 yılında Anayasa’nın 20. Maddesi olan özel hayatın gizliliğinde yapılan değişiklikle kişisel verilerin korunmasına ilişkin maddenin eklenmesidir. Ayrıca, Türkiye Cumhuriyeti’nde Avrupa Birliğine üyelik sürecinin bir parçası olarak 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu bu direktife uyumlu olarak oluşturulmuştur.

ISO 27001:2005 ve ISO 27001:2013’te Kişisel Verilerin Korunması Kontrolü

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 sürümünde “A.15 Uyum” alanı “A.15.1 Yasal gereksinimlere uyum” kontrolünün “A.15.1.4 Veri koruma ve kişisel bilgilerin gizliliği” detaylı teknik kontrolü altında “Uygun yasa, düzenlemeler ve varsa anlaşma maddelerinde belirtildiği gibi veri koruma ve gizlilik sağlanmalıdır.” olarak tanımlanmaktadır. Standardın 2013 yılında yayınlanan güncel sürümünde “A.18 Uyum” “A.18.1 Yasal ve sözleşmeye tabi gereksinimlere uyum” kontrolünün “A.18.1.4 Kişi tespit bilgisinin gizliliği ve korunması” detaylı teknik kontrolü altında “Kişiyi tespit bilgisinin gizliliği ve korunması uygulanabilen yerlerde yasa ve düzenlemeler ile sağlanmalıdır.” olarak ifade edilmiştir. Bu kontrol, standardı uygulamak isteyen bir organizasyonun bulunduğu ülkelerde Mahremiyet veya Kişisel Verilerin Korunmasına ilişkin mevzuatlar veya sözleşmelerinde ilgili hükümler bulunuyorsa uyum sağlamak zorunda olduğu anlamına gelmektedir. Örneğin, İngiltere’de 1998 yılında Veri Koruma Yasası (bkz. Data Protection Act 1998) yürürlüğe girmiştir. İngiltere’de ISO/IEC 27001’i kılavuz alarak Bilgi Güvenliği Yönetim Sistemi kuran kuruluşların belirttiğimiz yasaya uyumu sağlamaları zorunludur. Aynı şekilde, kanunun ülkemizde yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren ISO/IEC 27001 projesi gerçekleştiren kuruluşlarda artık belirttiğimiz kontrol gereği yönetim sistemlerini kanunun gereksinimlerine uyumlu kurmaları gerekmektedir. 

Kişisel Verilerin Korunması için ISO 27001:2013 EK-A’da Bulunan Uygulanabilir Teknik Kontroller

Kanun, veri sahibine çeşitli haklar tanımlarken (bkz. KVKK 11. Madde) veri sorumlusu ve veri işleyenlere yönelik olarak kişisel verilerin işlenmesi için bazı ilkeleri, şartları ve yükümlülükleri tanımlamaktadır. Bu yükümlülüklere uymak isteyen veri sorumluları için ISO/IEC 27001:2013 Ek-A’da yer alan uygulanabilir kontrollerden bazılarını kanun gereksinimleri değerlendirildikten sonra parantez içinde aşağıda tanımlayacağız.

Kanunun 12. Maddesi “Veri güvenliğine ilişkin yükümlülükler” aşağıdaki şekilde belirtilmiştir.

(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu fıkrada kişisel verilerin hukuka aykırı olarak işlenmesi genel anlamda kanunda tanımlanan ilkelere (bkz. Madde 4) ve şartlara (bkz. Madde 5, 6, 7, 8, 9) aykırı olarak işlenmesi olarak ifade edilebilir. Örneğin kişisel verilerin belirlenen amaç dışında kullanılması, güncel tutulmaması, mevzuatlarda yer alan süre kadar saklanmamaları bu aykırılıklara örnek verilebilir. Bu konular kişisel verilerin işlenmesine özel bir yönetim yapısı, süreçler ve prosedürler tanımlanarak ve uygulanarak yönetilebilir.

Ancak, hukuka aykırı erişilmesini önlemek üzere uygulanabilecek birçok teknik kontrol bulunmaktadır. ISO/IEC 27001:2013’te bu konu üzerine A.9 Erişim Kontrolü alanı bulunmaktadır. Bu alanda bilgi varlıklarına erişim politikalarının oluşturulması, kullanıcıların kaydedilmesi ve silinmesi süreci, erişim haklarının verilmesi, düzenlenmesi, kaldırılması süreci ve erişim haklarının düzenli olarak gözden geçirilmesi, güçlü parolaların kullanılması gibi kontroller bulunmaktadır.

Diğer taraftan kişisel verilere sadece yetkili kişilerin erişiminin sağlanabilmesi amacıyla A.11 Fiziksel ve çevresel güvenlik kontrolleri de uygulanabilir. Bu alanda fiziksel güvenlik sınırları, güvenli alanlar ve bu alanlarda çalışma koşullarının tanımlanmasının yanı sıra temiz masa temiz ekran kontrollerini de içermektedir.
Yukarıda sayılan alan güvenlik kontrollerine ek olarak aşağıdaki bilgi güvenliği kontrollerinin de uygulanması gereklidir.
  • A.13.1.3 Ağlarda ayrım: Kişisel verileri barındıran sistemler yetkisiz erişimlerin ve sızıntının engellenmesi amacıyla farklı ağlarda bulundurulmalıdır.
  • A.13.2.1 Bilgi transfer politikaları ve prosedürleri: İlgili taraflarla kişisel verilerin paylaşımında güvenli iletimi sağlayabilmek amacıyla kurallar tanımlanmalıdır.
  • A.10 Kriptografi: Kişisel verinin barındırılırken, işlenirken ve iletilirken, gizliliğini ve bütünlüğünü sağlamak amacıyla kriptografik kontroller uygulanmalıdır.
  • A.12.2.1 Kötücül yazılımlara karşı kontroller: Kişisel verilerin sızıntısına sebep olabilecek siber olayları engellemek amacıyla zararlı yazılımlara karşı mücadele edilmelidir.
  • A.12.6.1 Teknik açıklıkların yönetimi: Daha ötesinde kuruluşlar sistemlerindeki zafiyetleri düzenli olarak belirlemeli ve kapatmalıdır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

2. fıkrada veri sorumlusunun verdiği yetkiyle kendi adına kişisel verileri işleyen gerçek veya tüzel kişinin yani veri işleyenin yapacağı işlemlerde müştereken (eşit derecede) sorumlu olduğu ifade edilmektedir. Bu durumda veri işleyenden kaynaklanabilecek ihlal olaylarında Kişisel Verileri Koruma Kurulu’nun veri sorumlusunu müştereken sorumlu tutması ve ceza vermesi söz konusu olabilir. Bu sebeple veri işleyen tarafın performansının izlenmesi, uygulayacağı güvenlik önlemlerinin kontrol altında tutulması ve denetlenmesi göz önünde bulundurulabilir. (bkz. A.15.2.1 Tedarikçi hizmetlerini izleme ve gözden geçirme)
      
    (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
     (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

4. fıkrada çalışanların ve tedarikçilerin öğrendikleri kişisel verileri açıklayamamalarının gizlilik ve sır saklama yükümlülüklerini ifade ettiği söylenebilir. Kuruluşlar bu yükümlülükleri, bağlayıcı olması ve kuruluşu hukuki olarak güvence altına almak amacıyla çalışanlarıyla istihdamın başlamasından önce imzaladıkları iş sözleşmesinde tarif etmektedir. (bkz. A.7.1.2 İstihdam hüküm ve koşulları)

Diğer taraftan benzer gizlilik ve sır saklama hükümleri tedarikçilerle imzalanan Gizlilik Sözleşmesi veya Taahhütnamelerde ifade edilmektedir. (bkz. A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme) Dikkat edilmesi gereken bir nokta ise bu sözleşmelerin hükümlerini tarafların iş ilişkisinin başlamasından önce bilmesi ve kabul etmesidir.
     
     (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

5. fıkrada kişisel verilerin kanuni olmayan yollarla başkaları tarafından erişilmesi aslında bize bir veri sızıntısı ya da ifşasını anlatmaktadır. Ayrıca ifşanın yaşanması durumunda Kişisel Verileri Koruma Kurulu’na ve veri sahiplerine bildirimde bulunmamız istenmektedir. (bkz. A.6.1.3 Otoritelerle iletişim)

Veri sorumlusunun kendisinin veya bir başkasının yaşadığı ihlal olayını takip etmek için üreticilerin, uzmanların görüşlerini alması da bir ihtiyaç olarak göz önünde bulundurulabilir. (bkz. A.6.1.4 Özel ilgi grupları ile iletişim)

Veri sızıntısının kim tarafından, nasıl, ne zaman gerçekleştirildiği gibi sorulara yanıt bulmak ve tekrarlanmasını önlemek için kuruluşun aslında ihlal olayları sürecini çalıştırması gerekmektedir ve bu konu standartta yedi alt kontrole sahip bir alanda ayrıca ele alınmaktadır. (bkz. A.16 Bilgi güvenliği ihlal olayı yönetimi)

İhlal olayının araştırılması sırasında yapılacak incelemelerde sistemlerin etkin şekilde incelenebilmesi amacıyla tüm sistemlerin loglarının kayıt altına alınması (bkz. A.12.4.1 Olay kaydetme) ve bu logların yetkisiz olarak değiştirilmesinin engellenmesi sağlanmalıdır. (bkz. A.12.4.2 Kayıt bilgisinin korunması) Olayın zamanını tespit edebilmek için sistemlerin doğru ve aynı zaman ayarlarıyla çalıştığına dikkat edilmelidir. (bkz. A.12.4.4 Saat senkronizasyonu)

Sonuç

Ülkemizde ve dünyada kişisel verilerin korunmasına ilişkin düzenlemeler son yılların önemli gelişmeleri arasında yer almaktadır. Bu düzenlemelere uyum sağlamak isteyen veri sorumluları yeni süreçler oluşturmak, var olan süreçlerini optimize etmek için çeşitli kılavuzları kullanmaktadır. ISO/IEC 27001:2013 EK-A, kişisel verilerin korunması için teknik önlemlerin alınması gibi zor bir probleme tek başına çözüm olabilecek tabir-i caizse gümüş kurşun olmasa da etkili bilgi güvenliği kontrollerini tanımlamaktadır.

Hiç yorum yok:

Yorum Gönder