Günlük hayatımızda
teknolojiyi kullanma yatkınlığımız her geçen gün artmaktadır. Bu eğilim
içerisinde yaşamımızda önemli bir rol oynamaya başlayan Bilgi Güvenliği terimi
ön plana çıkmaktadır. Bilgi Güvenliğini doğru şekilde sağlamaya yönelik
kaygıların sadece günümüzün problemi olduğunu düşünüyorsanız yanılıyorsunuz
demektir. Çünkü içinde bulunduğumuz çağda önce sunucuların daha sonra kişisel
bilgisayarların arkasından Internet’in devamında mobil cihazların ve son olarak
nesnelerin internetinin ortaya çıkmasıyla her dönemde güvenlik kaygıları oluşmuştur.
Dahası, Bilgi Güvenliği çağımızda yaşanan bu gelişmelerin de dışında mazisi
milattan önceye varan örnekleri içermektedir. Bu örneklerin en eskilerinden
biri; önemli yazışmaların ve metinlerin gizliliğinin korunabilmesi amacıyla
kriptografik yöntemlerle şifrelenerek (bkz. Sezar şifresi) iletilmesidir. Bilgi
güvenliği terimi bilginin gizlilik “bilginin yetkisiz kişilere ifşasını
engellemek” olduğu kadar bütünlük
“yetkisiz değişimleri engelleyerek
tamlığını ve doğruluğunu korumak” ve erişilebilirlik
“ihtiyaç duyulduğunda kullanılabilir
olması” özelliklerini de sağlamaya yöneliktir.
Yaşadığımız çağda
gündemi bilgi güvenliği kadar işgal eden diğer bir konu ise mahremiyettir.
Mahremiyet, kişinin kendisine ve yaşam alanına müdahale edilmemesi ya da
kendine ait bilgilerin bilinmesini istemediği kişilerden soyutlanması olarak
tanımlanabilir. Kişiyi tanımlayan bilgiler kimlik numarası, müşteri numarası
olabileceği gibi sağlık, cinsel hayat, adli sicil kaydı gibi hassas veriler de
olabilmektedir. Mahremiyetin ana motivasyonunun kişiye ait bilgilere yetkisiz
kişilerin erişmemesidir. Özetle mahremiyet kavramında gizliliğin önemli bir
faktör olduğu ifade edilebilir. Bu faktöre ek olarak Kişisel Verilerin
Korunmasını düzenleyen ulusal ve uluslararası mevzuatlarda kişisel verilerin
işlenebilmesi için “Doğru ve gerektiğinde güncel olma” ilkesi yer almaktadır.
Bu nedenle “bilginin bütünlüğü”nün de korunması gereken bir başka faktör olduğu
anlaşılmaktadır.
Bilgi Güvenliği Standardı
Bilgi Güvenliğinin
sistematik bir biçimde uygulanabilmesi amacıyla ISO/IEC 27001 Bilgi Güvenliği Yönetim
Sistemi Standardı 2005 yılında yayınlanmıştır. Bu standart 2013 yılında
revizyona uğrayarak güncel olarak kullanılan haline kavuşmuştur. Standart,
uygulanacak yönetim sistemini tarif etmekle birlikte, Ek-A bölümünde yer alan 14
alanda 114 teknik güvenlik kontrolü de içermektedir. Bu kontroller uygulanırken
dikkat edilecek iyi uygulama tavsiyeleri ISO/IEC 27002:2013 Uygulama Pratikleri
standardında tanımlanmıştır.
Kanuni Düzenlemeler
Mahremiyete ilişkin
düzenlemeler 2. Dünya Savaşı sonrasında ortaya çıkmıştır. 1948 yılında özel
hayatın gizliliğini korumaya yönelik madde (bkz. Madde 12) içeren İnsan Hakları
Evrensel Beyannamesini 1970’lerde İsveç, Almanya ve Amerika Birleşik
Devletleri’ndeki Mahremiyet yasaları izlemiştir. Avrupa Birliği’nin üyesi ve
üyelik sürecindeki ülkelerin veri koruma düzenlemelerini tanımlayan Veri Koruma
Direktifi (bkz. Data Protection Directive 95/46/EC) 1995’te yürürlüğe
girmiştir. Avrupa Birliği’nin yeni bir düzenlemesi olan General Data Protection
Regulation (GDPR) 2016 yılında kabul edilmiş ve Mayıs 2018’de yürürlüğe
girecektir. Avrupa Birliği sakini veya vatandaşlarının kişisel verisini işleyen
veri sorumlularının bu düzenlemeye uyumlu olmaları gerekmektedir.
Türkiye
Cumhuriyeti’nin mahremiyete ilişkin en kayda değer düzenlemelerinden birisi
2010 yılında Anayasa’nın 20. Maddesi olan özel hayatın gizliliğinde yapılan
değişiklikle kişisel verilerin korunmasına ilişkin maddenin eklenmesidir.
Ayrıca, Türkiye Cumhuriyeti’nde Avrupa Birliğine üyelik sürecinin bir parçası
olarak 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri
Koruma Kanunu bu direktife uyumlu olarak oluşturulmuştur.
ISO 27001:2005 ve ISO 27001:2013’te Kişisel Verilerin
Korunması Kontrolü
ISO 27001 Bilgi
Güvenliği Yönetim Sistemi Standardı 2005 sürümünde “A.15 Uyum” alanı “A.15.1
Yasal gereksinimlere uyum” kontrolünün “A.15.1.4 Veri koruma ve kişisel
bilgilerin gizliliği” detaylı teknik kontrolü altında “Uygun yasa, düzenlemeler
ve varsa anlaşma maddelerinde belirtildiği gibi veri koruma ve gizlilik
sağlanmalıdır.” olarak tanımlanmaktadır. Standardın 2013 yılında yayınlanan
güncel sürümünde “A.18 Uyum” “A.18.1 Yasal ve sözleşmeye tabi gereksinimlere
uyum” kontrolünün “A.18.1.4 Kişi tespit bilgisinin gizliliği ve korunması”
detaylı teknik kontrolü altında “Kişiyi tespit bilgisinin gizliliği ve
korunması uygulanabilen yerlerde yasa ve düzenlemeler ile sağlanmalıdır.”
olarak ifade edilmiştir. Bu kontrol, standardı uygulamak isteyen bir
organizasyonun bulunduğu ülkelerde Mahremiyet veya Kişisel Verilerin
Korunmasına ilişkin mevzuatlar veya sözleşmelerinde ilgili hükümler bulunuyorsa
uyum sağlamak zorunda olduğu anlamına gelmektedir. Örneğin, İngiltere’de 1998
yılında Veri Koruma Yasası (bkz. Data Protection Act 1998) yürürlüğe girmiştir.
İngiltere’de ISO/IEC 27001’i kılavuz alarak Bilgi Güvenliği Yönetim Sistemi
kuran kuruluşların belirttiğimiz yasaya uyumu sağlamaları zorunludur. Aynı
şekilde, kanunun ülkemizde yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren
ISO/IEC 27001 projesi gerçekleştiren kuruluşlarda artık belirttiğimiz kontrol
gereği yönetim sistemlerini kanunun gereksinimlerine uyumlu kurmaları
gerekmektedir.
Kişisel Verilerin Korunması için ISO 27001:2013 EK-A’da
Bulunan Uygulanabilir Teknik Kontroller
Kanun, veri
sahibine çeşitli haklar tanımlarken (bkz. KVKK 11. Madde) veri sorumlusu ve
veri işleyenlere yönelik olarak kişisel verilerin işlenmesi için bazı ilkeleri,
şartları ve yükümlülükleri tanımlamaktadır. Bu yükümlülüklere uymak isteyen
veri sorumluları için ISO/IEC 27001:2013 Ek-A’da yer alan uygulanabilir
kontrollerden bazılarını kanun gereksinimleri değerlendirildikten sonra
parantez içinde aşağıda tanımlayacağız.
Kanunun 12. Maddesi
“Veri güvenliğine ilişkin yükümlülükler” aşağıdaki şekilde belirtilmiştir.
(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini
önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c)
Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Bu fıkrada kişisel
verilerin hukuka aykırı olarak işlenmesi genel anlamda kanunda tanımlanan
ilkelere (bkz. Madde 4) ve şartlara (bkz. Madde 5, 6, 7, 8, 9) aykırı olarak
işlenmesi olarak ifade edilebilir. Örneğin kişisel verilerin belirlenen amaç
dışında kullanılması, güncel tutulmaması, mevzuatlarda yer alan süre kadar
saklanmamaları bu aykırılıklara örnek verilebilir. Bu konular kişisel verilerin
işlenmesine özel bir yönetim yapısı, süreçler ve prosedürler tanımlanarak ve
uygulanarak yönetilebilir.
Ancak, hukuka
aykırı erişilmesini önlemek üzere uygulanabilecek birçok teknik kontrol
bulunmaktadır. ISO/IEC 27001:2013’te bu konu üzerine A.9 Erişim Kontrolü alanı
bulunmaktadır. Bu alanda bilgi varlıklarına erişim politikalarının
oluşturulması, kullanıcıların kaydedilmesi ve silinmesi süreci, erişim
haklarının verilmesi, düzenlenmesi, kaldırılması süreci ve erişim haklarının
düzenli olarak gözden geçirilmesi, güçlü parolaların kullanılması gibi
kontroller bulunmaktadır.
Diğer taraftan
kişisel verilere sadece yetkili kişilerin erişiminin sağlanabilmesi amacıyla A.11
Fiziksel ve çevresel güvenlik kontrolleri de uygulanabilir. Bu alanda fiziksel
güvenlik sınırları, güvenli alanlar ve bu alanlarda çalışma koşullarının
tanımlanmasının yanı sıra temiz masa temiz ekran kontrollerini de içermektedir.
Yukarıda sayılan
alan güvenlik kontrollerine ek olarak aşağıdaki bilgi güvenliği kontrollerinin
de uygulanması gereklidir.
- A.13.1.3 Ağlarda ayrım: Kişisel verileri barındıran sistemler
yetkisiz erişimlerin ve sızıntının engellenmesi amacıyla farklı ağlarda
bulundurulmalıdır.
- A.13.2.1 Bilgi transfer politikaları ve prosedürleri: İlgili
taraflarla kişisel verilerin paylaşımında güvenli iletimi sağlayabilmek
amacıyla kurallar tanımlanmalıdır.
- A.10 Kriptografi: Kişisel verinin barındırılırken, işlenirken ve
iletilirken, gizliliğini ve bütünlüğünü sağlamak amacıyla kriptografik
kontroller uygulanmalıdır.
- A.12.2.1 Kötücül yazılımlara karşı kontroller: Kişisel verilerin
sızıntısına sebep olabilecek siber olayları engellemek amacıyla zararlı
yazılımlara karşı mücadele edilmelidir.
- A.12.6.1 Teknik açıklıkların yönetimi: Daha ötesinde kuruluşlar
sistemlerindeki zafiyetleri düzenli olarak belirlemeli ve kapatmalıdır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya
tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin
alınması hususunda bu kişilerle birlikte müştereken sorumludur.
2. fıkrada veri
sorumlusunun verdiği yetkiyle kendi adına kişisel verileri işleyen gerçek veya
tüzel kişinin yani veri işleyenin yapacağı işlemlerde müştereken (eşit
derecede) sorumlu olduğu ifade edilmektedir. Bu durumda veri işleyenden
kaynaklanabilecek ihlal olaylarında Kişisel Verileri Koruma Kurulu’nun veri sorumlusunu
müştereken sorumlu tutması ve ceza vermesi söz konusu olabilir. Bu sebeple veri
işleyen tarafın performansının izlenmesi, uygulayacağı güvenlik önlemlerinin
kontrol altında tutulması ve denetlenmesi göz önünde bulundurulabilir. (bkz.
A.15.2.1 Tedarikçi hizmetlerini izleme ve gözden geçirme)
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin
uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak
zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel
verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme
amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da
devam eder.
4. fıkrada
çalışanların ve tedarikçilerin öğrendikleri kişisel verileri açıklayamamalarının
gizlilik ve sır saklama yükümlülüklerini ifade ettiği söylenebilir. Kuruluşlar bu
yükümlülükleri, bağlayıcı olması ve kuruluşu hukuki olarak güvence altına almak
amacıyla çalışanlarıyla istihdamın başlamasından önce imzaladıkları iş
sözleşmesinde tarif etmektedir. (bkz. A.7.1.2 İstihdam hüküm ve koşulları)
Diğer taraftan
benzer gizlilik ve sır saklama hükümleri tedarikçilerle imzalanan Gizlilik
Sözleşmesi veya Taahhütnamelerde ifade edilmektedir. (bkz. A.15.1.2 Tedarikçi
anlaşmalarında güvenliği ifade etme) Dikkat edilmesi gereken bir nokta ise bu
sözleşmelerin hükümlerini tarafların iş ilişkisinin başlamasından önce bilmesi
ve kabul etmesidir.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından
elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve
Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde
ya da uygun göreceği başka bir yöntemle ilan edebilir.
5. fıkrada kişisel
verilerin kanuni olmayan yollarla başkaları tarafından erişilmesi aslında bize
bir veri sızıntısı ya da ifşasını anlatmaktadır. Ayrıca ifşanın yaşanması
durumunda Kişisel Verileri Koruma Kurulu’na ve veri sahiplerine bildirimde
bulunmamız istenmektedir. (bkz. A.6.1.3 Otoritelerle iletişim)
Veri sorumlusunun
kendisinin veya bir başkasının yaşadığı ihlal olayını takip etmek için
üreticilerin, uzmanların görüşlerini alması da bir ihtiyaç olarak göz önünde
bulundurulabilir. (bkz. A.6.1.4 Özel ilgi grupları ile iletişim)
Veri sızıntısının
kim tarafından, nasıl, ne zaman gerçekleştirildiği gibi sorulara yanıt bulmak
ve tekrarlanmasını önlemek için kuruluşun aslında ihlal olayları sürecini çalıştırması
gerekmektedir ve bu konu standartta yedi alt kontrole sahip bir alanda ayrıca
ele alınmaktadır. (bkz. A.16 Bilgi güvenliği ihlal olayı yönetimi)
İhlal olayının
araştırılması sırasında yapılacak incelemelerde sistemlerin etkin şekilde
incelenebilmesi amacıyla tüm sistemlerin loglarının kayıt altına alınması (bkz.
A.12.4.1 Olay kaydetme) ve bu logların yetkisiz olarak değiştirilmesinin
engellenmesi sağlanmalıdır. (bkz. A.12.4.2 Kayıt bilgisinin korunması) Olayın
zamanını tespit edebilmek için sistemlerin doğru ve aynı zaman ayarlarıyla çalıştığına
dikkat edilmelidir. (bkz. A.12.4.4 Saat senkronizasyonu)
Sonuç
Ülkemizde ve
dünyada kişisel verilerin korunmasına ilişkin düzenlemeler son yılların önemli
gelişmeleri arasında yer almaktadır. Bu düzenlemelere uyum sağlamak isteyen
veri sorumluları yeni süreçler oluşturmak, var olan süreçlerini optimize etmek
için çeşitli kılavuzları kullanmaktadır. ISO/IEC 27001:2013 EK-A, kişisel
verilerin korunması için teknik önlemlerin alınması gibi zor bir probleme tek
başına çözüm olabilecek tabir-i caizse gümüş kurşun olmasa da etkili bilgi
güvenliği kontrollerini tanımlamaktadır.