20 Ocak 2014 Pazartesi

Hoax


Hoax (Asılsız Metinler), internet üzerinden yayılan, kullanıcıları kandırmak yada dolandırmak amacıyla, asılsız ve yanlış haberler içeren metinlerdir. Hoax’lar, para talebinde bulunmak, kullanıcı bilgisayara zararlı yazılım yüklemek yada bant genişliğinizi tüketmek amacıyla kullanılabilir. Hoax’lar yayılırken genellikle e-posta kullanılır ve e-postayı alan kullanıcılar mesajları sürekli çoğaltarak iletmeye teşvik edilir. (forward etmek)

Hoax’ların kullanıcıları kandırmaya yönelik içerik taşıdıkları birkaç ipucuyla anlaşılabilir. Hoax kullanıcıya ulaştığında;
  • Yeni bir zararlı yazılım hakkında sizi uyarıyor olabilir.
  • Özel bir konu başlığı ile gönderilerek, e-postanın zararlı yazılım içerdiğini söyleyebilir.
  • Uyarının önemli bir yazılım şirketi tarafından, internet servis sağlayıcınızdan yada bir devlet kurumu tarafından gönderildiğini iddia edebilir.
  • Bir zararlı yazılımın normalde olanaksız bir işlemi gerçekleştirebileceği konusunda bilgi içerebilir.
  • Metini birçok kişiye iletmeniz (forward etmeniz) için uyarı içeriyor olabilir.
  • Bir sosyal paylaşım sitesinde, bir hikayeyi, metini yada kişiyi beğenmenin yada paylaşmanın maddi bir yardım oluşturacağı gibi vaatler içeriyor olabilir.

Günümüzde de; internet ve sosyal paylaşım ortamlarında sıklıkla rastladığımız bu türden metin içerikleri ve örneklerini çoğaltmak mümkündür. Amaç, kullanıcıya aldatmaca bir hikayeyle istenilen işlemi yaptırmaktır. Hoax’ların paylaşılması e-posta seline neden olmakta ve e-posta sunucularının kapasitesini zorlamaktadır.

Hoax’lara karşı en iyi savunma yöntemi, kullanıcıların farkındalık düzeyini artırması ve bu türden asılsız metin örnekleri hakkında bilgilenerek dikkatli olunmasıdır.

17 Ocak 2014 Cuma

Boot Sector Malware

Bir bilgisayar başlatıldıktan hemen sonra, genellikle hard-disklerde bulunan Boot sektörü bularak işletim sistemini kullanıma hazırlar. Boot sektör üzerinde tutulan sistem bilgileri, bilgisayarın sözü edilen disk yada disketleri kullanabilmesi için gereken bazı temel verileri içerir. Bilgisayar yeniden açılışında Boot sektördeki verileri okuyarak düzgün çalışmak için gerekli temel verileri sağlar.

Boot Sector Malware ise, kendi boot sektörünü orijinal boot sektörleri ile değiştirir ve genellikle orijinalini erişemez hale getirir. Bu aşamadan sonra bilgisayar ilk çalıştırıldığın da zararlı yazılım içeren boot sektör üzerinden işletim sitemini çağıracak ve zararlı yazılım aktif hale gelecektir. Dikkat edilecek nokta ise zararlı yazılımın işletim sisteminden önce aktif olmasıdır.

Boot Sektör nedir?>> Bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunluğundaki bir programdır. Sabit disklerin ve disketlerin sistem bilgileri kısımları Boot sektör üzerinde tutulur.

16 Ocak 2014 Perşembe

Bilgi Güvenliği İç Organizasyonu ve Görevler Ayrılığı



ISO 27001:2013 EK-A 6.1.2  Görevler Ayrılığı
Kontrol:
Kuruluşun varlıklarının yetkisiz veya farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için, görevler ve sorumluluk alanları ayrılmalıdır.


Uygulama Kılavuzu;
Kurum içinde  yetkilendirme ve farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için; bir varlığa erişim, değiştirme ve varlığın kullanımına ilişkin önlemler alınması faydalıdır.
Görevler ayrılığını uygulamak özellikle çalışan sayısı görece az olan organizasyonlarda çeşitli güçlükler yaratabilmektedir. Bununla birlikte görevler ayrılığını mümkün olduğunca gerçekleştirmenin kuruma fayda sağlayacağı da göz ardı edilmemelidir. Görevler ayrılığı, varlıkların kazara ya da istemli olarak kötüye kullanımını önlemek için kullanılan bir yöntem olarak düşünülmelidir.

15 Ocak 2014 Çarşamba

Backdoor Trojan

Backdoor Trojan’lar kullanıcıdan habersiz olarak bilgisayarın kontrolünü ele geçiren zararlı yazılım türüdür. Bu zararlı yazılımlar, yasal bir yazılım gibi kullanıcı bilgisayarında görüntülenebilir. Sıklıkla kullanılan bir diğer yol ise, kullanıcılara gönderilen spam niteliğindeki e-postalardan kullanıcı bilgisayara bulaşması yada zararlı/kötücül bir websayfasını ziyaretle farkında olmadan bulaşmasıdır. Bu türden zararlı yazılım bir kez bulaştıktan sonra kendisini bilgisayarın başlangıç rutinine ekler ve kullanıcı internete çıktıktan sonra kullanıcı bilgisayarını uzaktan kontrol edebilir hale gelir. 

Kullanıcı bilgisayarı internete çıkarak online olduğunda virüs yollayan kötü niyetli olarak birçok eylem gerçekleştirebilir. Örneğin; program çalıştırma, kişisel dosyalara erişme, dosyalarda değişiklik yapma, dosya yükleme, kullanıcının klavye hareketlerini izleme, spam e-postaları gönderme vb.

Bilinen en ünlü Backdoor Trojan’lara örnek olarak Netbus, OptixPro, Subseven, BackOrifice, Zbot ve ZeuS verilebilir.

Backdoor Trojan’lardan korunmak için bilgisayarda yüklü olan işletim sisteminin en son çıkan yamalarını takip ederek, işletim sistemi açıkları kapatılmaya çalışılmalıdır. Anti-spam ve anti-virüs programlarını kullanmak da bu tür zararlı yazılımlara karşı alınabilecek güvenlik önlemleri arasında yer alır. İşletim sistemi güvenlik duvarı (Firewall) kullanarak ise, Trojan yazılımlarının internet erişimi yoluyla saldırganla iletişim kurması engellenebilir.

14 Ocak 2014 Salı

Bilgi Güvenliği İç Organizasyonu Nasıl Olmalı?



ISO 27001:2013 A-6 Bilgi Güvenliği Organizasyonu

ISO 27001:2013 A 6.1 İç Organizasyon
Hedef: Kuruluş içerisinde bilgi güvenliği uygulaması ve işletimini başlatmak ve kontrol etmek için bir yönetim çerçevesi oluşturmak.




     ISO 27001:2013 A 6.1.1 Bilgi Güvenliği Rol ve Sorumlulukları
Kontrol: Tüm bilgi güvenliği sorumlulukları tanımlanmalı ve atanmalıdır.

Uygulama Kılavuzu;
Bilgi güvenliği sorumlulukları Bilgi Güvenliği Politikaları ile paralel olacak şekilde tahsis edilmesi gerekmektedir.
Genel olarak;
-  Her bir varlığın korunmasına ve özel bilgi güvenliği süreçlerinin uygulanmasına ilişkin sorumluluklar belirlenmelidir.
-  Bilgi güvenliği risk yönetim aktiviteleri ve artık riskin kabülüne ilişkin sorumluluklar tanımlanmalıdır.
-  Gerekli görülen noktalarda, özel konular ve bilgi işleme olanakları için tüm sorumluluklar, kılavuzluk edecek şekilde detaylandırılmalıdır.
-  Varlıkların korunması ve bilgi güvenliği aksiyonlarına alınmasına ilişkin sorumluluklar tanımlanmalıdır.
Bilgi güvenliğinin etkin olarak sürdürülebilmesi için sorumluluk sahibi kişiler sorumluklarını kurum içi diğer çalışanlara aktarabilirler. Burada en önemli nokta sorumluluklarını paylaşan kişilerin halen ‘accountable’ kişi olduğu unutulmamalıdır. Sorumluklarını delege eden kişi, görevlerin doğru olarak yerine getirip getirilmediğini takip etmekle sorumludur. Yetki delegasyonu sorumluluğu tümden ortadan kaldırmamalıdır.

Kişilerin hangi alanlardan sorumlu oldukları  belirlenmelidir. Bu süreçte;
-  Varlıklar ve bilgi güvenliği süreçleri belirlenmeli ve tanımlanmalıdır.
-  Her bir varlık veya bilgi güvenliği süreci ile atamalar yapılmalı ve sorumluluklara ilişkin detaylar dokümante edilmelidir. (ISO 27002:2013 8.1.2 gözden geçirilebilir)
-  Yetkilendirme mekanizmaları ve seviyeleri tanımlanmalı ve dokümante edilmelidir.
- Sorumlukları atanmış kişilerin yeterli yetkinlikte olması veya yeterli yetkinliğe gelmesi sağlanmalıdır.
-  Tedarikçi veya üçüncü tarafların koordinasyonu ve gözetimine ilişkin roller tanımlanmalı ve dokümante edilmelidir.

13 Ocak 2014 Pazartesi

Autorun Worm

Autorun bir dosyayı otomotik olarak çalıştırmaya yarayan bir program parçacığıdır. Autorun Worm (Türkçe olarak Otomatik Çalıştırma Solucanı olarak adlandırılabilir) işletim sistemindeki Autorun özelliğinden faydalanan zararlı yazılımlardır. Bu yazılımlar, bir depolama cihazı (CD, DVD, Flash Bellek gibi) bilgisayara bağlandığında otomotik olarak çalıştırılırlar. Taşınabilir cihazın içine gömülü olan virüs yazılımları Autorun özelliği sayesinde otomatik olarak aktifleşir.

Autorun Worm’lar sıklıkla USB sürücüler üzerinden bilgisayara zararlı yazılım bulaştırırlar.

Autorun özelliği virüs bulaştırma yöntemiyle birlikte tehlikeli hale gelmektedir. Autorun virüsü son kullanıcı bilgisayarlarına zararlı yazılım bulaşmasına neden olabilir. Zararlı yazılım bulaşan bileşen aracılığıyla USB Portlarını kullanan tüm taşınabilir depolama cihazlarına zararlı yazılım bulaşması olasıdır. Bu yüzden Autorun virüsünün hızla yayılımı oldukça kolay hale gelmektedir.

Virüs bulaştığının belli başlı etkileri ise; Autorun.exe dosyalarının çalışmaması, gizli dosyaların görüntülenememesi Bu virüsten korunmanın yolu bilgisayarınız üzerindeki Autorun dosyasının otomotik çalışmasını engellemektir. Bu engellemeye sağlamak için; Microsoft yeni işletim sistemlerinde bu özelliği default (öntanımlı) olarak kapalı bir şekilde sunmaktadır.

10 Ocak 2014 Cuma

Anonymizing Web Proxy

Proxy sunucu, bir web tarayıcısı (Internet Explorer, Chrome gibi) ve Internet arasında aracı (Vekil) işlevi gören bileşendir. Anonim Vekil Sunucular, IP adresini ve web kimliğini gizleyen vekil sunucularıdır. Anonymizing Proxy yöntemi kullanıcıların web tarayıcıları üzerindeki aktivitelerini gizlemekte kullanılır. Bu yöntemle Web güvenlik önlemleri bypass edilebilmektedir. Bu şekilde bir iş bilgisayarından engellenmiş bir web sitesine erişim sağlamak mümkün olabilir.

Anonymizing Proxy işlemi güvenlik ve sorumluluk riski taşımaktadır. Web güvenlik önlemlerini atlayarak (bypass ederek), kullanıcıların web sayfalarına yetkisiz erişimlerini sağlar. Kullanıcılar yasadışı MP3, film, yazılım vb. indirmeleri üçüncü parti lisans haklarını ihlal edilmesi gibi etkileri de bulunmaktadır. Organizasyonlar kullanıcıların erişimi engellenmiş sitelere ulaşması durumunda yasal sorumluluk altına girebilirler. Proxy sunucular, bazı web içeriklerine ve kötü amaçlı yazılımlara filtre uygulayarak güvenliğin artırılmasını sağlarken, Anonymizing Proxy yöntemi bu güvenlik önlemini ortadan kaldırır.

9 Ocak 2014 Perşembe

Bilgi Güvenliği Politikalarını Gözden Geçirme




ISO 27001:2013 EK-A
5.1.2 Bilgi Güvenliği için Politikaların Gözden Geçirilmesi
Kontrol: Bilgi güvenliği politikaları, belirli aralıklarda veya önemli değişiklikler ortaya çıktığında, sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirilmelidir.



 
Uygulama Kılavuzu;
Her bir politikaya üst yönetim/yönetim tarafından onaylanmış bir politika sahibi atanmalıdır. Politika sahipleri ilgili politikaların; değiştirilmesinden, gözden geçirilmesinden ve geliştirilmesinden sorumlu olacaklardır. Bu gözden geçirme aktivitesi, organizasyonun yaşadığı yasal, teknik veya regülatif değişimlerde, bilgi güvenliği yönetim yaklaşımını destekleyecek şekilde fırsatları belirlemeli ve geliştirilmelidir. Politika gözden geçirmelerinde Yönetim Gözden Geçirme sonuçları gözardı edilmemelidir. Politika gözden geçirmeleri, organizasyonun doküman yönetim sistemine uygun olarak yönetim tarafından onaylanmalı ve revize edilmelidir.

8 Ocak 2014 Çarşamba

Adware (Advertising-Supported Software)


Adware’ler reklam destekli yazılımlardır. Bu yazılımlar bir uygulama kullandığınızda bilgisayarınızda pop-up veya banner reklamlarınızı görüntülemeye olanak tanır. Adwareler mutlaka kötücül yazılımlar değillerdir. Bu türden reklamlar özellikle ücretsiz yazılımların geliştirilme aşamasında fon sağlamak için kullanılmaktadır.


Ancak Adwareler aşağıda belirtilen durumlarda sorun teşkil edebilirler;

  •      İzin verilmeden kendisini bilgisayara yüklemesi
  •      Sizin kullandığınız uygulamaların dışında ekrana gelmesi ve reklam görüntülemesi
  •      Internet tarayıcınızı ele geçirerek (Hijacking), daha fazla reklam görüntülemesi
  •      İzin verilmeden web tarayıcı bilgilerinizi toplaması ve internet aracılığı ile bilgilerin  başkalarıyla paylaşımı (Spyware)
  •      Adware’i kaldırmanın zor olacak şekilde tasarlanmış olması

Adware’ler bilgisayarı ve reklamların indirilmesi internet bağlantı hızını yavaşlatabilir. Adware’daki programlama hataları bilgisayarı üzerinde beklenmedik hatalara yol açabilir.

Adware programlarını yetkilendirebilir yada bilgisayarınızdan kaldırabilirsiniz. 

Not: Adwarelerin tespiti için de özel programlar bulunmaktadır.

7 Ocak 2014 Salı

Bilgi Güvenliği Politikaları

A-5 Bilgi Güvenliği Politikaları (EK-A 5.1 Bilgi Güvenliği için Üst Yönetim Yönlendirmesi)
Hedef: İş gereksinimleri ve ilgili yasal gereksinimlere uyum için bilgi güvenliği yönetim yönlendirmesi ve desteğinin sağlanması.



 
5.1.1 Bilgi Güvenliği Politikaları
Kontrol: Bilgi güvenliği için politikalar tanımlanmalı, yönetim tarafından onaylanmalı, yayınlanmalı, tüm çalışanlar ve ilgili dış taraflara bildirilmelidir.

Uygulama Kılavuzu;
İlk olarak organizasyon en üst seviye olarak üst yönetim tarafından onaylı bir “Bilgi Güvenliği Politikası” tanımlamalı ve bu politika bilgi güvenliği hedeflerinin nasıl yöneticileğine dair kuruluşun yaklaşımını belirlemelidir.

En iyi uygulama örneği olarak Bilgi Güvenliği Politikasının aşağıdaki ihtiyaçları karşılar nitelikte olması fayda sağlayacaktır;
-İş Stratejileri
-Yasalar, regülatif düzenlemeler ve sözleşmelerden doğan gereksinimler
-Bilgi Güvenliği tehditleri

Bilgi Güvenliği Politikası oluşturulurken aşağıdaki maddeler göz ardı edilmemelidir;
-Bilgi Güvenliğine ilişkin tüm aksiyonlara kılavuzluk edecek bir bilgi güvenliği tanımı
-Bilgi Güvenliğine ilişkin Roller ve Sorumluklarının tayini
-Beklentileri ve istenmeyen sapmaları yönetecek süreçlerin belirlenmesi

Üst seviye Bilgi Güvenliği Politikasını destekleyecek alt seviye politikaların tanımlanması gereklidir. Bu politikalar tüm paydaşlar tarafından anlaşılabilir olması ve bilgi güvenliği kontrollerinin uygulanmasına kılavuzluk edecek detayda olması fayda sağlar.

Bu politikalara örnek olarak aşağıdakiler sunulabilir;
-Erişim Kontrol Politikası
-Bilgi Sınıflandırılması
-Fiziksel ve Çevresel Güvenlik
-Son Kullanıcıya ilişkin;
   o Kabul Edilebilir Kullanım Politikası
   o Temiz Masa Temiz Ekran Politikası
   o Bilgi Değişim Politikası
   o Mobil Cihazlar ve Uzaktan Çalışma Politikası
   o Yazılım Yükleme ve Kullanım Politikası
-Yedekleme Politikası
-Kötücül Yazılımlardan Korunma Politikası
-Teknik Açıklık Yönetim Politikası
-Kriptografik Kontrol Politikası
-Ağ Güvenlik Politikası
-Tedarikçi Güvenliği Politikası
-Kişisel Bilgileri Koruma Politikası

6 Ocak 2014 Pazartesi

Advanced Persistent Threat (APT) - (Gelişmiş Kalıcı Tehditler)

Advanced Persistent Threat (APT), Gelişmiş Kalıcı Tehditler olarak Türkçe adlandırabileceğimiz hedefli bir saldırı türüdür. APT ticari ve siyasi hedeflere yönelik siber suç kategorisinde yer almaktadır. Bu türden saldırılarda hedeflenen bir ağ içine sızma planı için zaman ve bilgi birikimi iki önemli parametredir. APT ler hedeflerde zarara yol açmaktan çok hedefteki hassas verileri ele geçirmek için gerçekleştirilir.

Saldırganlar, açıklığı bilinen ve çok sayıda kişi tarafından kullanılan popüler bir program/yazılım aracılığıyla kötücül bir ortam hazırlar (Örneğin MS Office, Adobe). Saldırgan oluşturduğu bu ortamı/dosyayı/program parçacığını kurbanların ilgisini çekecek şekilde onlara iletir ve arka planda kötücül program parçacığı çalışarak saldırganın uzak bileşen (PC, Sunucu, Ağ) üzerinde kontrolü ele geçirmesini sağlar. Buradaki amaç, bileşenleri ele geçirmekten çok, daha gelişmiş etkili ve kalıcı saldırıları tasarlamak ve yönetmektir.

Gerçek dünyadan: Stuxnet bu saldırıya örnek gösterilebilir.

3 Ocak 2014 Cuma

ISO 22301 İş Sürekliliği Yönetim Sistemi Bilgilendirme

İş Sürekliliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO 22313:2012 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313:2012 rehber edinilerek kurulan İSYS’nin belgelendirmesi için “ISO 22301:2012 Sosyal Güvenlik – İş Sürekliliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir İş Sürekliliği Yönetim Sistemini kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

ISO 22301 standardı ile ilgili detaylı bilgi almak için lütfen tıklayınız.

16 Aralık 2013 Pazartesi

E-FATURA ÖZEL ENTEGRASYON SÜRECİNDE ISO 27001 / ISO 22301 / ISO 20000 VE ITIL

Makaleyi indirmek için tıklayınız.

14.12.2012 tarih ve 28497 sayılı Resmi Gazetede yayımlanan 421 sıra No.lu Vergi Usul Kanunu Genel Tebliği ile 397 sıra No.lu Vergi Usul Kanunu Genel Tebliğinde değişiklik yapılarak; bilgi işlem sistemlerini entegre etmek suretiyle e-fatura uygulamasından yararlanma yöntemine, özel entegratör vasıtasıyla e-fatura uygulamasından yararlanma yöntemi de eklenmiştir.

Özel entegratörlerin bilgi işlem sistemi vasıtasıyla, bilgi işlem altyapısı yetersiz olan mükellefler elektronik fatura alıp gönderebileceklerdir. Özel entegrasyon izni almak isteyen mükelleflerin ise e-fatura Uygulaması Başvuru Kılavuzunda belirtilen belgelerle birlikte Gelir İdaresi Başkanlığına başvuru yapmaları gerekmektedir. Başkanlık başvuruları 421 Sıra Numaralı Vergi Usul Kanunu Genel Tebliğine ve e-fatura uygulaması özel entegrasyon kılavuzunda yapılan açıklamalara uygunluğunu değerlendirecek ve yerinde inceleyebilecektir.

ISO 27001 / ISO 22301 / ISO 20000 BELGELERİ VE ITIL

Özel entegratör başvurusu yapacak olan mükelleflerde aşağıdaki ISO sertifikasyonlarına sahip olma ve uygunluk koşulu aranacaktır.
  • TS ISO IEC 27001 veya ISO 27001
  • ISO 22301
  • TS ISO IEC 20000 veya ISO 20000 
Gelir İdaresi Başkanlığı’nın E-fatura Özel Entegratörluk Başvuru sayfasında aşağıda ki ifadeler bulunmaktadır.

“Özel entegratör bilgi güvenliği için TS ISO IEC 27001 veya ISO27001 belgelerine, iş sürekliliği (Societal security - Business continuity) için ISO 22301 belgesine, Bilgi Teknolojileri Hizmet Yönetimi Sistemi için TS ISO IEC 20000 veya ISO 20000 belgelerine sahip olmalıdır.

Söz konusu ISO sertifikalardan en az birine sahip olan mükellefler, başvuru evrakları ile birlikte sunacakları BİS Raporunda henüz sahip olmadıkları belgelere ilişkin olarak; belgelerin ne şekilde, ne kadar sürede temin edileceğini ve belge temini konusunda hangi aşamada (başvuru, değerlendirme, tamamlanma sürecine ilişkin olarak ilgili kurumlardan alınacak resmi belgeler ile birlikte) olduklarını açıklamaları ve Başkanlığa belge temini için taahhütte bulunmaları halinde özel entegratörlük talepleri Başkanlıkça değerlendirilecektir. Başkanlıkça yapılan değerlendirme sonucu özel entegratör izni verilen mükelleflerin, taahhütlerine uygun olarak eksik belgelerini temin edememeleri halinde özel entegrasyon izinleri iptal edilebilecektir.

Ayrıca Türkiye’de faaliyet gösteren bankaların ilgili ISO standartlarını karşılayan benzer denetimlerden geçmeleri ve bu standartların gereksinimlerini nasıl karşıladıklarını BİS raporunda belirtmeleri halinde bankalardan bu standartlar aranmaz.

Özel entegratörün sistem yönetim süreçleri ITIL uyumlu olmalı ve sistem ITIL sertifikasına sahip personel tarafından yönetilmelidir.”

İŞ KESİNTİLERİ

Kılavuzda özel entegratörlerin sistemlerinin e- fatura uygulamalarında kesinti yaratmayacak şekilde 7/24 iş sürekliliğini sağlayabilecek yapıda kurmaları gerekmektedir. 7 gün 24 saat iş sürekliliğini sağlama yöntemlerini BİS raporunda açıklamalıdır.

KAPASİTE PLANLAMA

Kılavuzda özel entegratör bilgi işlem sistemlerinin kapasite planmasına ilişkin olarak BİS raporunda aşağıdaki bilgiler açıklanıyor olmalıdır.

“BİS raporunda; özel entegratör bilgi işlem sisteminin donanım yazılım alt yapısının yıllık olarak hizmet verebileceği ortalama fatura ve kullanıcı sayısı ile toplam veri büyüklüğüne, aynı anda hizmet verebileceği toplam kullanıcı ve fatura sayısına, bu faturaların ne kadar sürede dağıtılabileceği ile ilgili yapılan yük testlerine ilişkin verilere ayrıntılı olarak yer verilmelidir. İleriye dönük kapasite artırımında sistemin ölçeklenebilir/ayarlanabilirliğinin nasıl sağlanacağı açıklanmalıdır.”

GÜVENLİK
Özel entegratörlerın bilgi işlem süreçleri ve sistemleri ile ilgili olarak aşağıdaki bilgi güvenliği koşullarını yerine getirmeleri beklenmektedir.

“Özel entegratör sisteminde şifre, parola, e-imza gibi terminallere yer verilmeli, girişte gerekli güvenlik önlemleri alınmalı, her türlü işlemin kaydı tutulmalı, gerekli izler kaydedilmeli (loglama), ihtiyaç duyulan hiyerarşi içerisinde yetkilendirme yapılarak BİS raporunda açıklanmalıdır. İşlem Kayıt İzleme Kontrol Listesi dokümanındaki maddelere uyulmalıdır. Ayrıca BİS raporunda gönderilen/alınan veri ve belgelerin gizliliğinin nasıl sağlandığı belirtilmelidir.”

FELAKETTEN KURTARMA

E-fatura özel entegrasyonu için bir felaketin meydana gelme durumu için felaketten kurtama planları oluşturulmuş olmalı ve Kılavuzda yer alan Felaketten Kurtarma Kontrol Listesi’ndeki maddelere uyulmalıdır.

BİS raporunda felaket sonrası kayıtların kurtarılma yöntemi açıklanıyor olmalıdır.

Felaketten Kurtarma Kontrol Listesi

1. Felaketten kurtarma planı geliştirin.

2. İş etki analizi uygulayın

3. Önleyici kontrolleri belirleyin.

4. Felaketten kurtarma stratejileri geliştirin

5. Bilgi sistemi acil eylem planı geliştirin

6. Planlarınızı test edin ve çalışanlarınızı eğitin

7. Planlarınızı düzenli olarak gözden geçirin.

8. ISO 24762 Bilişim ve İletişim Teknolojileri Felaketten Kurtarma Servisleri Kılavuzu (Guidelines for information and communications technology disaster recovery services) uygulayın.

Özel entegrasyon hizmeti verecek kurumların e-Fatura saklama hizmeti de vermek istemeleri halinde, diğer sayılan şartların yanında e-Fatura Saklama Kılavuzunda açıklanan koşullara uygun altyapıyı oluşturmaları da gerekmektedir.

E-FATURA SAKLAMA HİZMETİ

E-fatura saklama hizmeti verecek mükelleflerin bilgi güvenliği, iş sürekliliği ve doküman yönetimi açısından E-Fatura Uygulaması Saklama Kılavuzu’nda aşağıdaki bilgilere yer verilmiştir.

“İzin başvurusu yapacak kurumun saklama ortamlarının, saklama ünitelerinin, fiziksel korucuyu malzemelerinin, depolama sistemlerinin, yedekleme sistemlerinin, iş sürekliliği ve felaketten kurtarma sistemlerinin, belgelerin maksimum saklama sürelerinin ve depolama ünitelerinin türleri ile ilgili ayrıntılı açıklamalara BİS raporunda yer vermesi gerekmektedir. Saklama izni alacak kurumların saklanacak belgeler için bir belge yönetim sistemi kurması ve yönetmesi gerekmektedir. Bu sistem dahilinde verilerin korunması, erişim haklarının belirlenmesi, güvenliğin sağlanması, afet ihtimali gibi konularda gerekli planlama yapılarak BİS raporunda ayrıntılı şekilde açıklamalara yer verilmelidir.

Elektronik saklama yapılacak sistemde şifre, parola, e-imza. gibi, terminallere girişte gerekli güvenlik önlemleri alınmalı, her türlü elektronik işlemin izi tutulmalı (loglama), ihtiyaç duyulan hiyerarşi içerisinde kişilere yetkilendirme yapılarak BİS raporunda açıklanmalıdır. Ek olarak BİS raporunda saklanan faturaların yetkisiz kişilere karşı gizliliğinin nasıl sağlanacağı belirtilmelidir. İleriye dönük kapasite artırımında sistemin ölçeklenebilir/ayarlanabilirliğinin nasıl sağlanacağı açıklanmalıdır

Öngörülmeyen bir felaketin meydana gelmesi durumunda hem iş sürekliliği hem de felaketten kurtarma planları yapılmış olmalı, iş sürekliliğinin nasıl sağlanacağı, felaket nedeniyle ana sistemde kaybolan, silinen kayıtların felaketten kurtarma sistemi ile nasıl tamamlanacağı BİS raporunda ayrıntılı olarak açıklanmalıdır. Afet sırasında ve sonrasında kurtarılan belgelerin bütünlüğünün korunduğu ispat edilebilmelidir.”

E-Fatura Uygulaması Özel Entegrasyon Kılavuzu için tıklayınız..

http://www.efatura.gov.tr/dosyalar/kilavuzlar/e-FaturaUygulamasiOzelEntegrasyonKilavuzu.pdf

E-Fatura Uygulaması Saklama Kılavuzu için tıklayınız..

http://www.efatura.gov.tr/dosyalar/kilavuzlar/e-FaturaUygulamasiSaklamaKilavuzu.pdf