21 Kasım 2017 Salı

CEN/Cenelec ISO/IEC 27001:2017 Revizyonu

Bilindiği üzere ülkemizde ISO 27001 standardının en son kabul edilen ve Türkçe’ye çevirisi yapılan versiyonu TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardıdır. ISO her 5 yılda bir uluslararası standartları gözden geçirerek, zaman içerisinde oluşan ihtiyaçlar doğrultusunda revize etmektedir.
ISO/IEC 27001:2013 standardında da CEN (Avrupa Standardizasyon Komitesi) tarafından 2017 yılında revizyona gidilmiştir. Bu standart değişikliği ISO tarafından yapılmamış olup, CEN/Cenelec tarafından yapıldığı için, Avrupa’daki standart düzenlemeleri için genel çerçeve oluşturmaktadır. Yani bölgesel bir düzenlemedir.

Yapılan revizyona göre yeni standart BS EN ISO/IEC 27001:2017 olarak yayınlanmıştır. Ülkemizde ise halen TS ISO/IEC 27001:2013 standardı geçerliliğini korumaktadır ve bu standarda göre belgelendirme yapılmaktadır.

Ancak bu değişikliklerin ISO tarafından da periyodik revizyonlarda dikkate alınacağını değerlendirerek, ISO 27001 standardında yapılan değişiklikleri bu yazımızda ele almak istiyoruz.

ISO 27001 revizyonu ile birlikte; ISO 27002 ve ISO 27000 standartlarında da revize gerçekleşmiştir. ISO 27002 kapsamında iki temel kontrol maddesinde aşağıdaki değişiklikler yapılmıştır.

8.1.1 Varlık Envanteri
Kontrol -2013 Versiyon

Bilgi ve bilgi işleme olanakları ile ilgili varlıklar belirlenmeli ve bu varlıkların bir envanteri çıkarılmalı ve idame ettirilmelidir.

Assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up and maintained.

Kontrol -2017 Versiyon

Bilgi ve bilgiye ilişkin diğer varlıklar ile bilgi işleme olanakları ve ilgili varlıklar belirlenmeli ve bu varlıkların bir envateri çıkarılmalı ve idame ettirilmelidir.

Information, other assets associated with information and information processing facilities should be identified and an inventory of these assets should be drawn up and maintained.

Bu değişikliğe göre varlık envanteri yaklaşımının bilgiler üzerine kurulması esas teşkil edecektir.
Uygulama açısından bakıldığında varlıkları; “bilgi” temelinde sınıflandırıp, envanterde bu bilgileri temel alarak, işleme olanakları ve ilişkili tüm varlıklara yer verme yöntemi izlenebilir.

Örnek:
Örneğin bilgi varlıklarına Gizlilik sınıflandırması temelinde bakarsak, Gizlilik sınıfları için varlıkları bilgi temelli olarak aşağıdaki gibi oluşturabiliriz.
Gizli Varlıklar     :İş Planları, Fiyat Teklifleri, Müşteri Sözleşmeleri, Kredi Kartı Bilgileri vb.
Dahili Varlıklar   :Personel Listesi, Standartlar ve Prosedürler, Ekipman Envanter Bilgileri vb.
Genel Varlıklar   :Kamu Bilgilendirmeleri, Faaliyet Raporları vb.

Varlık envanteri yöntemi içinde aynı şekilde bilgi temelli yaklaşım oluşturulabilir.

Örnek:
Bilgi
İlişkili Varlıklar
Açıklama
Kategori
Gizlilik
Bütünlük
Erişilebilirlik
Personel Özlük Bilgileri
Özlük dosyası
Özlük bilgilerinin tutulduğu klasörler
Basılı bilgiler
Gizli
Yüksek
Orta
Bordrolama personeli
Bordroloma işini yapan yetkin personel kaynağı
İnsan Kaynağı
-
-
Yüksek
HR Uygulaması
Özlük bilgilerinin tutulduğu ve işlendiği uygulama
Bilgi sistemleri
Gizli
Yüksek
Yüksek

8.1.3 Varlıkların Kabul Edilebilir Kullanımı
Uygulama Rehberi -2013 Versiyon

Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır. Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.

Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources. They should be responsible for their use of any information processing resources and of any such use carried out under their responsibility

Uygulama Rehberi -2017 Versiyon

Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır.

Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources.

Bu değişikliğe göre; “Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.” ifadesi ISO 27002 uygulama rehberi tanımlamasından çıkartılmıştır.


31 Ekim 2017 Salı

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği- ISO 27001 Kapsam Değişikliği



Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği- ISO 27001 Kapsam Değişikliği

Bilindiği gibi 21.05.2014 tarihli ve 29006 sayılı Resmi Gazete'de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği ile yetkilendirilmiş yükümlü statüsü için gereken koşullar, başvuruda aranacak belgeler, sertifikanın verilmesi, süresi, yenilenmesi, değiştirilmesi, askıya alınması, geri alınması ve iptali ile bu sertifika kapsamında faydalanılacak izinli gönderici, izinli alıcı, ithalatta yerinde gümrükleme, onaylanmış ihracatçı, eksik beyan, kısmi teminat, götürü teminat uygulamaları, beyanın kontrolüne yönelik kolaylaştırmalar, emniyet ve güvenlik yönlü kolaylaştırmalar ile bu uygulama ve kolaylaştırmalardan faydalanma yetkilerinin askıya alınması, geri alınması ve iptali ile gümrük mevzuatından kaynaklanan diğer basitleştirilmiş uygulamalara ilişkin usul ve esaslar belirlenmiştir. Bu kapsamda firmaların yetkilendirilmiş yükümlü statüsü sahibi olabilmesi adına hazırlık sürecindeki ön şart olarak tanımlanan şartlardan biri de ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi belgesi sahibi olmak olarak tanımlanmıştır. Yönetim sistemlerinin firmanın minimumda hangi kapsamda uygulaması gerektiği konusu da yönetmelikte tanımlanmaktadır.  

13.09.2017 tarihli ve 30209 sayılı Resmi Gazete’de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmeliği ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi belgesi için yönetmelikte tanımlanan kapsam revize edilmiştir.
21.05.2014 tarihli ve 29006 sayılı Resmi Gazete Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde tanımlanan ISO 27001 ve ISO 9001 kapsamı şu şekilde tanımlanmakta idi;

(3) Birinci fıkranın (e) bendinde sayılan;
a) ISO 9001 sertifikası, başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını,
b) ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamalıdır.

13.09.2017 tarihli ve 30209 sayılı Resmi Gazete Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelikte tanımlanan ISO 27001 ve ISO 9001 kapsamı şu şekilde revize edilmiştir;

MADDE 9 – Aynı Yönetmeliğin 10 uncu maddesinin üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir. “(3) Birinci fıkranın (e) bendinde sayılan;
a) ISO 9001 sertifikası, başvuru sahibinin gümrük, dış ticaret, üretim, lojistik, yönetim ve idari organizasyon faaliyetlerini,
b) ISO 27001 sertifikası; gümrük ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem faaliyetlerinin bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı güvenlik önlemlerini,
kapsamalı ve bu faaliyetlerin yürütüldüğü tüm idari bina ve tesislere ilişkin olarak alınmış olmalıdır.”

Revize edilen kapsamda değerlendirilmesi gereken faaliyetler gümrük ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem faaliyetleri olarak revize edilmiştir. Eski kapsam ifadesine ek olarak kapsam dahilindeki faaliyetlerin yürütüldüğü tüm idari bina ve tesislerin de kapsama dahil edilmesi gerektiği eklenmiştir. Ayrıca eski kapsam ifadesinde geçen elektronik bilgi varlıklarını kapsar ifadesi; bilgi varlıkları olarak revize edilmiştir. Böylece elektronik olmayan bilgi varlıklarının da kapsama alınıp alınmaması hususu da netleştirilmiştir. Yetkilendirilmiş Yükümlülük Statüsü kapsamında ISO 27001 Bilgi güvenliği Yönetim Sistemi belgelendirme sürecini tamamlamış veya belgelendirilme sürecine henüz girecek firmalar, bu değişikliği göz önüne alarak kapsam çalışmalarını gözden geçirmelidir.

27 Ekim 2017 Cuma

KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA UYGULANABİLECEK BİLGİ GÜVENLİĞİ KONTROLLERİ

Günlük hayatımızda teknolojiyi kullanma yatkınlığımız her geçen gün artmaktadır. Bu eğilim içerisinde yaşamımızda önemli bir rol oynamaya başlayan Bilgi Güvenliği terimi ön plana çıkmaktadır. Bilgi Güvenliğini doğru şekilde sağlamaya yönelik kaygıların sadece günümüzün problemi olduğunu düşünüyorsanız yanılıyorsunuz demektir. Çünkü içinde bulunduğumuz çağda önce sunucuların daha sonra kişisel bilgisayarların arkasından Internet’in devamında mobil cihazların ve son olarak nesnelerin internetinin ortaya çıkmasıyla her dönemde güvenlik kaygıları oluşmuştur. Dahası, Bilgi Güvenliği çağımızda yaşanan bu gelişmelerin de dışında mazisi milattan önceye varan örnekleri içermektedir. Bu örneklerin en eskilerinden biri; önemli yazışmaların ve metinlerin gizliliğinin korunabilmesi amacıyla kriptografik yöntemlerle şifrelenerek (bkz. Sezar şifresi) iletilmesidir. Bilgi güvenliği terimi bilginin gizlilik “bilginin yetkisiz kişilere ifşasını engellemek” olduğu kadar bütünlük “yetkisiz değişimleri engelleyerek tamlığını ve doğruluğunu korumak” ve erişilebilirlik “ihtiyaç duyulduğunda kullanılabilir olması” özelliklerini de sağlamaya yöneliktir.

Yaşadığımız çağda gündemi bilgi güvenliği kadar işgal eden diğer bir konu ise mahremiyettir. Mahremiyet, kişinin kendisine ve yaşam alanına müdahale edilmemesi ya da kendine ait bilgilerin bilinmesini istemediği kişilerden soyutlanması olarak tanımlanabilir. Kişiyi tanımlayan bilgiler kimlik numarası, müşteri numarası olabileceği gibi sağlık, cinsel hayat, adli sicil kaydı gibi hassas veriler de olabilmektedir. Mahremiyetin ana motivasyonunun kişiye ait bilgilere yetkisiz kişilerin erişmemesidir. Özetle mahremiyet kavramında gizliliğin önemli bir faktör olduğu ifade edilebilir. Bu faktöre ek olarak Kişisel Verilerin Korunmasını düzenleyen ulusal ve uluslararası mevzuatlarda kişisel verilerin işlenebilmesi için “Doğru ve gerektiğinde güncel olma” ilkesi yer almaktadır. Bu nedenle “bilginin bütünlüğü”nün de korunması gereken bir başka faktör olduğu anlaşılmaktadır.  

Bilgi Güvenliği Standardı

Bilgi Güvenliğinin sistematik bir biçimde uygulanabilmesi amacıyla ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 yılında yayınlanmıştır. Bu standart 2013 yılında revizyona uğrayarak güncel olarak kullanılan haline kavuşmuştur. Standart, uygulanacak yönetim sistemini tarif etmekle birlikte, Ek-A bölümünde yer alan 14 alanda 114 teknik güvenlik kontrolü de içermektedir. Bu kontroller uygulanırken dikkat edilecek iyi uygulama tavsiyeleri ISO/IEC 27002:2013 Uygulama Pratikleri standardında tanımlanmıştır.

Kanuni Düzenlemeler

Mahremiyete ilişkin düzenlemeler 2. Dünya Savaşı sonrasında ortaya çıkmıştır. 1948 yılında özel hayatın gizliliğini korumaya yönelik madde (bkz. Madde 12) içeren İnsan Hakları Evrensel Beyannamesini 1970’lerde İsveç, Almanya ve Amerika Birleşik Devletleri’ndeki Mahremiyet yasaları izlemiştir. Avrupa Birliği’nin üyesi ve üyelik sürecindeki ülkelerin veri koruma düzenlemelerini tanımlayan Veri Koruma Direktifi (bkz. Data Protection Directive 95/46/EC) 1995’te yürürlüğe girmiştir. Avrupa Birliği’nin yeni bir düzenlemesi olan General Data Protection Regulation (GDPR) 2016 yılında kabul edilmiş ve Mayıs 2018’de yürürlüğe girecektir. Avrupa Birliği sakini veya vatandaşlarının kişisel verisini işleyen veri sorumlularının bu düzenlemeye uyumlu olmaları gerekmektedir.

Türkiye Cumhuriyeti’nin mahremiyete ilişkin en kayda değer düzenlemelerinden birisi 2010 yılında Anayasa’nın 20. Maddesi olan özel hayatın gizliliğinde yapılan değişiklikle kişisel verilerin korunmasına ilişkin maddenin eklenmesidir. Ayrıca, Türkiye Cumhuriyeti’nde Avrupa Birliğine üyelik sürecinin bir parçası olarak 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu bu direktife uyumlu olarak oluşturulmuştur.

ISO 27001:2005 ve ISO 27001:2013’te Kişisel Verilerin Korunması Kontrolü

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 sürümünde “A.15 Uyum” alanı “A.15.1 Yasal gereksinimlere uyum” kontrolünün “A.15.1.4 Veri koruma ve kişisel bilgilerin gizliliği” detaylı teknik kontrolü altında “Uygun yasa, düzenlemeler ve varsa anlaşma maddelerinde belirtildiği gibi veri koruma ve gizlilik sağlanmalıdır.” olarak tanımlanmaktadır. Standardın 2013 yılında yayınlanan güncel sürümünde “A.18 Uyum” “A.18.1 Yasal ve sözleşmeye tabi gereksinimlere uyum” kontrolünün “A.18.1.4 Kişi tespit bilgisinin gizliliği ve korunması” detaylı teknik kontrolü altında “Kişiyi tespit bilgisinin gizliliği ve korunması uygulanabilen yerlerde yasa ve düzenlemeler ile sağlanmalıdır.” olarak ifade edilmiştir. Bu kontrol, standardı uygulamak isteyen bir organizasyonun bulunduğu ülkelerde Mahremiyet veya Kişisel Verilerin Korunmasına ilişkin mevzuatlar veya sözleşmelerinde ilgili hükümler bulunuyorsa uyum sağlamak zorunda olduğu anlamına gelmektedir. Örneğin, İngiltere’de 1998 yılında Veri Koruma Yasası (bkz. Data Protection Act 1998) yürürlüğe girmiştir. İngiltere’de ISO/IEC 27001’i kılavuz alarak Bilgi Güvenliği Yönetim Sistemi kuran kuruluşların belirttiğimiz yasaya uyumu sağlamaları zorunludur. Aynı şekilde, kanunun ülkemizde yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren ISO/IEC 27001 projesi gerçekleştiren kuruluşlarda artık belirttiğimiz kontrol gereği yönetim sistemlerini kanunun gereksinimlerine uyumlu kurmaları gerekmektedir. 

Kişisel Verilerin Korunması için ISO 27001:2013 EK-A’da Bulunan Uygulanabilir Teknik Kontroller

Kanun, veri sahibine çeşitli haklar tanımlarken (bkz. KVKK 11. Madde) veri sorumlusu ve veri işleyenlere yönelik olarak kişisel verilerin işlenmesi için bazı ilkeleri, şartları ve yükümlülükleri tanımlamaktadır. Bu yükümlülüklere uymak isteyen veri sorumluları için ISO/IEC 27001:2013 Ek-A’da yer alan uygulanabilir kontrollerden bazılarını kanun gereksinimleri değerlendirildikten sonra parantez içinde aşağıda tanımlayacağız.

Kanunun 12. Maddesi “Veri güvenliğine ilişkin yükümlülükler” aşağıdaki şekilde belirtilmiştir.

(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu fıkrada kişisel verilerin hukuka aykırı olarak işlenmesi genel anlamda kanunda tanımlanan ilkelere (bkz. Madde 4) ve şartlara (bkz. Madde 5, 6, 7, 8, 9) aykırı olarak işlenmesi olarak ifade edilebilir. Örneğin kişisel verilerin belirlenen amaç dışında kullanılması, güncel tutulmaması, mevzuatlarda yer alan süre kadar saklanmamaları bu aykırılıklara örnek verilebilir. Bu konular kişisel verilerin işlenmesine özel bir yönetim yapısı, süreçler ve prosedürler tanımlanarak ve uygulanarak yönetilebilir.

Ancak, hukuka aykırı erişilmesini önlemek üzere uygulanabilecek birçok teknik kontrol bulunmaktadır. ISO/IEC 27001:2013’te bu konu üzerine A.9 Erişim Kontrolü alanı bulunmaktadır. Bu alanda bilgi varlıklarına erişim politikalarının oluşturulması, kullanıcıların kaydedilmesi ve silinmesi süreci, erişim haklarının verilmesi, düzenlenmesi, kaldırılması süreci ve erişim haklarının düzenli olarak gözden geçirilmesi, güçlü parolaların kullanılması gibi kontroller bulunmaktadır.

Diğer taraftan kişisel verilere sadece yetkili kişilerin erişiminin sağlanabilmesi amacıyla A.11 Fiziksel ve çevresel güvenlik kontrolleri de uygulanabilir. Bu alanda fiziksel güvenlik sınırları, güvenli alanlar ve bu alanlarda çalışma koşullarının tanımlanmasının yanı sıra temiz masa temiz ekran kontrollerini de içermektedir.
Yukarıda sayılan alan güvenlik kontrollerine ek olarak aşağıdaki bilgi güvenliği kontrollerinin de uygulanması gereklidir.
  • A.13.1.3 Ağlarda ayrım: Kişisel verileri barındıran sistemler yetkisiz erişimlerin ve sızıntının engellenmesi amacıyla farklı ağlarda bulundurulmalıdır.
  • A.13.2.1 Bilgi transfer politikaları ve prosedürleri: İlgili taraflarla kişisel verilerin paylaşımında güvenli iletimi sağlayabilmek amacıyla kurallar tanımlanmalıdır.
  • A.10 Kriptografi: Kişisel verinin barındırılırken, işlenirken ve iletilirken, gizliliğini ve bütünlüğünü sağlamak amacıyla kriptografik kontroller uygulanmalıdır.
  • A.12.2.1 Kötücül yazılımlara karşı kontroller: Kişisel verilerin sızıntısına sebep olabilecek siber olayları engellemek amacıyla zararlı yazılımlara karşı mücadele edilmelidir.
  • A.12.6.1 Teknik açıklıkların yönetimi: Daha ötesinde kuruluşlar sistemlerindeki zafiyetleri düzenli olarak belirlemeli ve kapatmalıdır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

2. fıkrada veri sorumlusunun verdiği yetkiyle kendi adına kişisel verileri işleyen gerçek veya tüzel kişinin yani veri işleyenin yapacağı işlemlerde müştereken (eşit derecede) sorumlu olduğu ifade edilmektedir. Bu durumda veri işleyenden kaynaklanabilecek ihlal olaylarında Kişisel Verileri Koruma Kurulu’nun veri sorumlusunu müştereken sorumlu tutması ve ceza vermesi söz konusu olabilir. Bu sebeple veri işleyen tarafın performansının izlenmesi, uygulayacağı güvenlik önlemlerinin kontrol altında tutulması ve denetlenmesi göz önünde bulundurulabilir. (bkz. A.15.2.1 Tedarikçi hizmetlerini izleme ve gözden geçirme)
      
    (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
     (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

4. fıkrada çalışanların ve tedarikçilerin öğrendikleri kişisel verileri açıklayamamalarının gizlilik ve sır saklama yükümlülüklerini ifade ettiği söylenebilir. Kuruluşlar bu yükümlülükleri, bağlayıcı olması ve kuruluşu hukuki olarak güvence altına almak amacıyla çalışanlarıyla istihdamın başlamasından önce imzaladıkları iş sözleşmesinde tarif etmektedir. (bkz. A.7.1.2 İstihdam hüküm ve koşulları)

Diğer taraftan benzer gizlilik ve sır saklama hükümleri tedarikçilerle imzalanan Gizlilik Sözleşmesi veya Taahhütnamelerde ifade edilmektedir. (bkz. A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme) Dikkat edilmesi gereken bir nokta ise bu sözleşmelerin hükümlerini tarafların iş ilişkisinin başlamasından önce bilmesi ve kabul etmesidir.
     
     (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

5. fıkrada kişisel verilerin kanuni olmayan yollarla başkaları tarafından erişilmesi aslında bize bir veri sızıntısı ya da ifşasını anlatmaktadır. Ayrıca ifşanın yaşanması durumunda Kişisel Verileri Koruma Kurulu’na ve veri sahiplerine bildirimde bulunmamız istenmektedir. (bkz. A.6.1.3 Otoritelerle iletişim)

Veri sorumlusunun kendisinin veya bir başkasının yaşadığı ihlal olayını takip etmek için üreticilerin, uzmanların görüşlerini alması da bir ihtiyaç olarak göz önünde bulundurulabilir. (bkz. A.6.1.4 Özel ilgi grupları ile iletişim)

Veri sızıntısının kim tarafından, nasıl, ne zaman gerçekleştirildiği gibi sorulara yanıt bulmak ve tekrarlanmasını önlemek için kuruluşun aslında ihlal olayları sürecini çalıştırması gerekmektedir ve bu konu standartta yedi alt kontrole sahip bir alanda ayrıca ele alınmaktadır. (bkz. A.16 Bilgi güvenliği ihlal olayı yönetimi)

İhlal olayının araştırılması sırasında yapılacak incelemelerde sistemlerin etkin şekilde incelenebilmesi amacıyla tüm sistemlerin loglarının kayıt altına alınması (bkz. A.12.4.1 Olay kaydetme) ve bu logların yetkisiz olarak değiştirilmesinin engellenmesi sağlanmalıdır. (bkz. A.12.4.2 Kayıt bilgisinin korunması) Olayın zamanını tespit edebilmek için sistemlerin doğru ve aynı zaman ayarlarıyla çalıştığına dikkat edilmelidir. (bkz. A.12.4.4 Saat senkronizasyonu)

Sonuç

Ülkemizde ve dünyada kişisel verilerin korunmasına ilişkin düzenlemeler son yılların önemli gelişmeleri arasında yer almaktadır. Bu düzenlemelere uyum sağlamak isteyen veri sorumluları yeni süreçler oluşturmak, var olan süreçlerini optimize etmek için çeşitli kılavuzları kullanmaktadır. ISO/IEC 27001:2013 EK-A, kişisel verilerin korunması için teknik önlemlerin alınması gibi zor bir probleme tek başına çözüm olabilecek tabir-i caizse gümüş kurşun olmasa da etkili bilgi güvenliği kontrollerini tanımlamaktadır.

11 Eylül 2017 Pazartesi

Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması Taslak Yönetmelik İncelemesi

24 Temmuz 2012 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren ve Anayasa Mahkemesi’nin kararıyla 26 Ocak 2015’te yürürlükten kaldırılan “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından Kişisel Verilerin Korunması mevzuatında oluşan gelişmelerin ardından tekrar düzenlendi.  Taslak düzenleme 17 Ağustos 2017 tarihinde BTK’nın web sitesi üzerinden kamuoyunun görüşünün alınabilmesi amacıyla paylaşıldı.
Yönetmeliğe eklenen maddeler incelendiğinde, bu maddelerin 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunun etkileri olduğu görülmektedir. Taslak Yönetmelikte yer alan değişiklikleri aşağıda bulabilirsiniz.

Değişiklikler

1. Dayanak bölümüne “6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır.“ ifadesi eklenmiştir.

2. Tanımlar ve Kısaltmalar bölümünde aşağıda sıralanan belirtilen tanımlar eklenmiştir.
  •     Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan, sadece ilgili işlemle sınırlı olan ve özgür iradeyle açıklanan rıza
  •     IP (İnternet Protokolü): Belirli bir ağa bağlı cihazların birbirini tanımak ve birbirleriyle iletişim kurmak için kullandıkları protokolü
  •   Zaman Damgası: 5070 sayılı Elektronik İmza Kanunu’nun 3’üncü maddesinin (h) bendinde tanımlanan kaydı
3. Trafik verisini işleme yetkisi maddesi, Trafik verisinin işlenmesi maddesinin 2. fıkrasıyla birleştirilmiştir.

4. Trafik verisinin bildirilmesi maddesi kaldırılmıştır.

5. Konum verisini işleme yetkisi maddesi kaldırılmıştır.

6. Kişisel verilerin yurtdışına aktarılması hakkında aşağıdaki madde eklenmiştir.
  • MADDE 10 - (1) 7/4/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri saklı kalmak kaydıyla, trafik ve konum verileri, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) İlgili kişilerin, yurtdışına aktarılacak olan kişisel verilerin kapsamı, yurtdışına aktarılma amacı ve süresi hakkında bilgilendirilmelerini müteakip açık rızaları alınması ve milli güvenlik, kamu düzeni açısından Kurumca uygun bulunmak koşuluyla trafik ve konum verileri ilgili mevzuat hükümleri saklı kalmak kaydıyla yurt dışına aktarılabilir. (3) Uluslararası çağrılara ilişkin bilgiler ile bazı elektronik haberleşme hizmetlerinin sunulabilmesi için gerekli olan mobil telefon numara (MSISDN) bilgisi teknik zorunluluk kapsamında yurt dışına çıkarılabilir.
7. Saklanacak veri kategorileri hakkındaki maddeye aşağıdaki bölümler eklenmiştir.
  • c) Haberleşmenin tarihi, zamanı ve süresini belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin başlangıç ile bitiş tarih ve zamanı. 2) İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik IP adresi, NAT kullanılan şebekelerde IP adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı
  •  (3) İşletmeci abonelerine ait bilgileri doğru ve eksiksiz olarak saklar.
  • (4) İşletmeci tarafından toplu kısa mesaj gönderimlerinde gerçek veya tüzel kişiye ait abone bilgileri saklanır.
  • (5) Kurum tarafından gerekli görülmesi halinde bu madde kapsamında belirtilen kategoriler dışında da saklanacak veri kategorileri belirlenebilir.
8. İşletmecilerin veri saklama sürelerini tanımlayan maddeye
  • mevzuatlardaki süreler saklı kalmak koşuluyla tanımlanan veri kategorilerinde haberleşmenin yapıldığı tarihten itibaren saklama süreci bir yıldan iki yıla çıkarılmıştır.
  • kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları saklama süresi dört yıldan iki yıla indirilmiştir.
  • “Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların açık rızalarını gösteren kayıtlar asgari olarak abonelik süresince saklanır.” fıkrası eklenmiştir.
9. Saklanan verinin korunması ve güvenliği hakkındaki maddede aşağıda değişiklikler yapılmıştır.
  • Verilerin yurt içinde saklanmasını ifadesi kaldırılmıştır.
  • İmha işlemi kastedilerek “bu işlemlerin tutanakla veya sistemsel olarak kayıt altına alınmasını” ifadesi “bu işlemlerin tutanakla veya elektronik ortamda zaman damgalı olarak kayıt altına alınmasını” ile değiştirilmiştir.
10. İstatistiki bilgilerin verilmesi maddesi taslak yönetmelikte yer almamaktadır.

11. Otomatik çağrı yönlendirme hakkındaki maddede yönlendirmenin ücretli olması durumunda abonenin rızası alınır ifadesi kaldırılarak üçüncü kişilerden kendilerine gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanınması taslak yönetmelikte belirtilmiştir.

12. Taslak Yönetmeliğe Abonenin diğer hakları maddesine 6698 sayılı Kişisel Verilerin Korunması Kanunu 11. Maddesinde yer alan İlgili kişinin hakları uyarlanarak eklenmiştir.

13. Taslak Yönetmeliğin son bölümünde yer alan İstisnalar maddesi aşağıdaki şekilde tanımlanmıştır.
  • (1) 6698 sayılı Kişisel Verilerin Korunması Kanununda zikredilen istisnai haller için bu Yönetmelik hükümleri uygulanmaz.
  • (2) İşletmeci kişisel verilerin silinmesinden önce milli güvenlik, kamu düzeni, terörle mücadele gibi hususları dikkate alarak Kurum’dan onay alır.
Taslak Yönetmelik metnini okumak ve hakkında görüş bildirmek için bağlantıyı tıklayınız

2 Haziran 2017 Cuma

ISO/IEC 38500 Bilgi Teknolojileri Yönetişimi Standardı

ISO/IEC 38500 Bilgi Teknolojileri Yönetişimi Standardı
Ali Dinçkan, Gizem Göktaş, BTYÖN Danışmanlık

Yönetişim (Governance) kelimesi ilk kez 1980'lerin sonlarında birleşmiş milletler’in bir raporunda kullanılmıştır. Türkçe’ye yönetim ve iletişim kelimelerinin birleştirilmesinden oluşarak yönetişim şeklinde geçmiştir. Yönetişimin asıl amacı tüm paydaşların yönetimde söz sahibi olması ilkesine dayanır. Bu açıdan ‘Paydaşlarla beraber yönetim’  şeklinde de ifade edilebilir. Yönetişim etkilenen tüm tarafların görüşleri ve çıkarları dikkate alınarak doğru kararların alınması amacını güder.

Başarılı işletmeler bilgi teknolojilerinin faydasını anlar ve bu bilgiyi paylaşlara sağladığı katkıyı arttırmakta kullanır. Bu işletmeler, bir çok iş sürecinin bilgi teknolojilerine kritik düzeyde bağımlı olduğunun, regülatif uyumluluğun öneminin ve riskin etkin yönetiminin faydasının farkındadır. Bilgi teknolojileri yönetişimi alanı ile ilgili zaman içerisinde bir çok standart ve çerçeve yayınlanmıştır. Bu standart ve çerçevelerden en çok bilinenleri ISACA ( Bilgi Sistemleri Denetim ve Kontrol Derneği) ve ITGI (Bilgi Teknolojileri Yönetişim Enstitüsü) tarafından yayınlanan COBIT (Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri) çerçevesi ve ISO (Uluslararası Standartlar Organizasyonu) tarafından yayınlanmış ISO/IEC 38500 Bilgi Teknolojilerinin Kurumsal Yönetişimi standardıdır. Bu makalede ISO/IEC 38500 standardının bilgi teknolojilerinin yönetişimi konusuna yaklaşımı ele alınacaktır.

ISO/IEC 38500 standardı İnovasyona önem veren, iş ihtiyaçları ile uyumlu, tanımlanmış sorumluluklar ile hesap verilebilirliğin korunduğu, iş sürekliliği ve sürdürülebilirliğin sağlandığı, efektif kaynak kullanımının olduğu, iyi seviyede paydaş ilişkilerinin bulunduğu ve mevzuata uyumlu BT süreçleri için yönetişim yapısı tarifleyen bir iyi uygulama standardıdır.

Organizasyonların bilgi teknolojilerinden yeterli faydayı elde edememesinin nedenleri aşağıdaki gibi sıralanabilir;
  • Belirsiz sorumluluklar,
  • Şeffaf olmayan yatırımlar,
  • Değerlendirilmeyen gereksinimler,
  • Cezai yaptırımlar,
  • Bağımsız yürütülen yönetim sistemleri,
  • Birçok kez farklı noktalarda tekrar eden işler,
  • Yönetim ile operasyon arasında kopukluk,
  • BT ile iş birimleri arasında iletişimsizlik.

Organizasyonlarda oluşturulacak etkin bir BT yönetişim çerçevesi ile aşağıdaki faydaların elde edilmesi amaçlanmaktadır.
  • İş ihtiyaçlarına yanıt verebilen BT servisleri oluşur,
  • BT servis kalitesi artar,
  • İş ile bilgi teknolojileri daha yakın hale gelir,
  • BT müşteri memnuniyet seviyesi artar,
  • Üretkenlik yüksek seviyelere ulaşır,
  • BT servisleri sürekli iyileşir,
  • BT harcamaları şeffaflaşır ve yatırım geri dönüşü hesap edilebilir,
  • Kullanıcı üretkenliğinin düşmesine sebep olan olay sayıları azalır,
  • Uyum,
  • Sorumluluklar netleşir.

ISO/IEC 38500 standardı içerisinde iyi BT yönetişimi için 6 adet temel ilke açıklanmıştır. Bu ilkeler geneldir ve türlerinden bağımsız olarak bir çok organizasyona uygulanabilir. İlkeler karar almayı desteklemek üzere önerilen davranışları özetler. Standartta her bir ilke için ne yapılması gerektiği açıklanır fakat bu ilkeleri kim, nasıl uygular konusuna işletmeden işletmeye değişebileceği için değinilmez. Organizasyonların yönetim kurullarının bu ilkelerin yerine geirilmesinden sorumlu olduğu belirtilir.

BT Yönetişim İlkeleri
  • İlke 1 – Sorumluluk: Sorumlulukların ve bu sorumlulukların gerektirdiği yetkilerin tanımlı ve atanmış olmasıdır.
  • İlke 2 – Stateji: Kuruluşun stratejisi, iş hedefleri ile BT yeteneklerinin ve planlarının uyumlu olmasıdır.
  • İlke 3 – Edinim: BT edinimlerinin (yatırımlarının) analizler temelinde şeffaf bir şekilde yapılmasıdır. Fayda, maliyet, fırsat ve riskler arasında kısa vadede bir denge tarifler.
  • İlke 4 – Performans: Bilgi teknolojilerinin; iş hedeflerine ulaşmak için yeterli olduğunu, ihtiyaçları karşıladığını ve hizmet kalitesi seviyesini raporlamayı tarifler.
  • İlke 5 – Uyumluluk: Bilgi teknolojileri kullanımının tüm zorunlu mevzuat ve yönetmeliklere uygun olmasıdır. BT politikaları ve uygulamaları açıkça tanımlanmış olmalıdır.
  • İlke 6 – İnsan Davranışı: Süreç dahilindeki bütün bireylerin mevcut ve değişen ihtiyaçlarına, insani davranış ve değerlere uygun politika, prosedür ve uygulamalar oluşturulmasıdır.

 ISO/IEC 38500 standardına göre BT Yönetişim modeli üç ana görev içerir;
  1. Bilgi teknolojilerinin mevcut ve gelecekte ki kullanımını değerlendirme,
  2. İş hedeflerini karşılayan bir bilgi teknolojileri kullanımını sağlamak için gerekli plan ve politikaların hazırlanması ve hayata geçirilmesini yönlendirme,
  3. Politikalara ve planlanan performans seviyelerine uyumu izleme.

Özet olarak BT yönetişim modeli bilgi teknolojilerini değerlendirme (evaluate), yönlendirme (direct) ve izleme (monitor) faaliyetlerinden oluşur.


BT Yönetişimi içerisinde yer alan değerlendirme faaliyeti iş hedefleri, risk iştahı, yetkinlik, ana iş süreçleri, ana BT hizmetleri, düzenleyici taraflar, teknolojik durum, sektör trendleri, dış tehditler, paydaş gereksinimleri gibi konuların değerlendirilmesini içerir. Bu faaliyet kapsamında mevcut durumun tanımı ve iş hedeflerinin analizi gerçekleştirilir.

Yönlendirme faaliyeti kapsamında ise risk, uyum, karar destek mekanizmaları ve iş stratejilerinin çıktılarına dayalı BT stratejilerinin tanımı yapılır. Bu kapsamda değişimin başlatılması için bütçe, yetkinlik gelişim, paydaşların katılımı, standart işler ile projelerin ayrıştırılması, fırsatların değerlendirilmesi, önceliklendirmeleri yapılması gibi işlemler gerçekleştirilir. Son olarak risk, denetim ve yönlendirme komiteleri tanımlanır ve 6 BT yönetişim ilkesi çerçevesinde destek sağlanır.

İzleme faaliyeti kapsamında başarı kriterlerinin tanımı yapılır ve izleme sistemlerinin hayata geçirilmesi sağlanır. Bu kapsamda “Doğru şeyi yapıyor muyuz? İlerliyor muyuz? Nasıl iyileştirebiliriz?” gibi soruların cevapları aranır. Son olarak yönetimin BT hakkında düzenleyici mevzuat ve sözleşme yükümlülükleri ve iç çalışma uygulamaları ile uyumlu olduğundan emin olmak üzere gerekli faaliyetler yerine getirilir.

BT yönetişim modeli içerisinde bulunan değerlendir, yönlendir ve izle yaklaşımı ISO/IEC 38500 standardına her bir BT yönetişim ilkesi için ayrı ayrı tanımlanmıştır.


İlke 1 – Sorumluluk

Değerlendir
BT kabiliyetlerinin bugünkü ve gelecekteki kullanımı konusunda sorumlular atanır.
Sorumluluk, yetki ve yetkinliklerin yeterlilikleri göz önünde bulundurulur.
Genellikle sorumluluk sahipleri, kuruluşun iş hedefleri ve performansından sorumlu iş birimi yöneticileri olurken; bilgi teknolojileri uzmanları tarafından desteklenir

Yönlendir
Yönetişim sorumlusu tarafından, BT stratejilerinin sorumluluk sahiplerince takip edilmesi ve hayata geçirilmesi desteklenir.
Sorumluluk sahiplerinin ihtiyaç duydukları bilgilere ulaşabilir olması sağlanır.

İzle
İlgili süreçlere dair izleme metotları geliştirilir.
Sorumluluklar onaylanır, bildirilir ve tanımlanır.
Sorumluluk sahiplerinin performansları izlenir. (Örneğin; yönlendirme komitelerine sunulanlar)

İlke 2 – Stateji

Değerlendir
Gelecekteki iş ihtiyaçlarının karşılanması için BT ve iş süreçlerinde gerekli geliştirmeler sağlanır.
Kurum hedefleri, paydaş beklentileri ve iyi uygulamalar dikkate alınarak stratejiler belirlenir.
Risk yönetimi stratejilerin belirlenmesinde göz önünde bulundurulur.

Yönlendir
BT geliştirmeleri ile kurum strateji ve politikalarına uyum sağlanması garanti edilir.
Fırsatlar ve iyileştirmeleri değerlendirebilmek için yenilikçi girişimler desteklenir.

İzle
Hedeflerin başarımı izlenir.
Elde edilen faydalar değerlendirilir.


İlke 3 – Edinim

Değerlendir
Risk ve maliyet dengesine uygun olarak yatırım seçenekleri değerlendirilir.

Yönlendir
BT sistem ve altyapı varlıkları gerekli kabiliyetler ve servislerle birlikte dokümante edilir.
İş gereksinimlerine uygun olarak uygulamalar desteklenir.

İzle
Gereken kabiliyetler dikkate alınarak BT yatırımları izlenir.
Yatırımlarda paydaşlarla aynı yaklaşımda olup olmadıkları izlenir.



İlke 4 – Performans

Değerlendir
İş gereksinimlerinin karşılanması için gerekli kabiliyet ve kapasite değerlendirilir.
Sürdürülen BT operasyonlarında risk değerlendirmesi yapılır.
Bilgi bütünlüğü ve kurumsal bilgi ve yetenekler dahil BT varlıklarının korunması için risk değerlendirmesi yapılır.
BT hedefleri ve yönetişim hedefleri değerlendirilir.

Yönlendir
BT stratejilerinin başarılması için gerekli kaynaklar atanır.
BT’yi yönlendiren iş hedeflerinin güncel ve geçerli olması sağlanır.

İzle
BT’nin etkin kullanımı ve hedeflere uyumu izlenir.



İlke 5 – Uyumluluk

Değerlendir
İç prosedürler, standartlar, profesyonel rehberler ve düzenleyici kuruluşlarca tariflenen gereklilikler takip edilir.
Uyum durumu takip edilir.

Yönlendir
Uyum izleme mekanizmaları geliştirilir.
Kaynakların takibi için atamalar, görevlendirmeler yapılır.
Tüm uygulamaların etik ve yasal olduğu garanti edilir.

İzle
Belirli aralıklarla denetimler ve gözden geçirmeler aracılığıyla uyum izlenir.
Dataların imhası da dahil olmak üzere tüm BT uygulamalarının mevzuata uyumu takip edilir.



İlke 6 – İnsan Davranışı

Değerlendir
BT uygulamalarının birey davranışlarına uyumu değerlendirilir.

Yönlendir
Risk ve fırsatlar da göz önüne alınarak birey davranışlarına uygun BT uygulamaları desteklenir. Uyumun sağlanması ve korunması için çalışmalar yürütülür.

İzle
Çalışma pratikleri ile BT uygulamalarının uyumu izlenir.


Sonuç olarak ISO/IEC 38500 standardı bilgi teknolojilerinin etkin, verimli ve kabul edilebilir kullanımı için ilkeleri ve BT yönetişim modelini tanımlamaktadır. Tanımlanan ilkelerin ve modelin takip edilmesi, organizasyonun üst yönetimine risklerin dengelenmesi ve bilgi teknolojilerinin oluşturduğu fırsatlardan istifade edilmesi için imkan sağlar. BT yönetişimi, organizasyonun tabi olduğu regülatif ve sözleşmelerden doğan yükümlülüklerin karşılanması konusunda güvence verir. Etkin BT yönetişimi iş hedeflerinin başarılması ve iş hedefleri ile uyumlu BT süreçlerinin oluşması, maliyet şeffaflığı, paydaşlarla etkin iş birliği, maliyetlerin düşmesi ve yapılan yatırımların değere dönüşmesi, iş sürekliliğinin  sağlanması, hizmetlerde ve pazarda yenilikçi bir yaklaşımın ortaya çıkmasına imkan sağlar.