DÜZENLEMELERDE İŞ SÜREKLİLİĞİ VE ISO 22301 SERTİFİKASI GEREKLİLİKLERİ

Sinem Varol, Danışman

ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS) sertifikasına sahip olmak, bir kuruluşun kritik faaliyetlerini iş etki analizi aracılığıyla belirlediğinin, iş sürekliliği stratejisi ve planlarının olduğunun, test ve tatbikatlar gerçekleştirdiğinin ve düzenli olarak kurdukları bu sistemi denetlediklerinin bir göstergesidir. Bu standardın ilk versiyonu 2012, son versiyonu 2019 yılında yayınlanmıştır. Bu standartlar Türkçeye çevrilip TS ISO 22301:2013 ve TS ISO 22301:2020 olarak yayınlanmıştır.

ISO 22301 iş sürekliliği yönetim sistemi işletiyor olmanın kuruluşlara birçok faydası bulunmaktadır. Kabul edilebilir kesinti sürelerinin belirlenmesiyle kritik olan süreçler ortaya çıkarılır, riskler belirlenerek aksiyon alınır ve bu sayede kesintilerin kuruluşa olan negatif etkileri azaltılmaya çalışılır. Aynı zamanda testler ve tatbikatlar gerçekleştirilip olası bir felaket durumunda önceden belirlenmiş olan planlara ne kadar uyulduğu ölçülmüş olur.

Kuruluşlar ISO 22301 iş sürekliliği yönetim sistemini kendi istek ve ihtiyaçları doğrultusunda kurabilir. Ancak bazı sektörlerde iş sürekliliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu ISO 22301 sertifikasına sahip olmak zorunlu tutulmuştur. Örneğin e-belge özel entegratörleri için detayları aşağıda sunulan düzenleme ile ISO 23301 zorunluluğu getirilmiştir.

Gelir İdaresi Başkanlığı

·        Gelir İdaresi Başkanlığı tarafından 19 Kasım 2019’da e-belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu yayınlanmıştır. Bu kılavuzda belirtildiği üzere GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesine sahip olmaları zorunlu tutulmuştur. Ek olarak ISO/IEC 20000:1 2011 Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesi ve ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesine sahip olmaları gerekmektedir. Kılavuzda risk yönetiminin ISO 27001 ve ISO 22301 standartlarına göre yapılması gerektiği belirtilmiştir. Ayrıca bu kuruluşların yılda en az bir kez sızma testi yaptırmaları gerekmektedir.

Bu yazının devamında tebliğlerde ve yönetmeliklerde yayınlandığı üzere doğrudan ISO 22301 sertifikasına sahip olma zorunluluğu bulunmayan fakat iş sürekliliği yönetim sistemi kurmak, iş sürekliliği planı hazırlamak, kabul edilebilir kesinti sürelerini belirlemekle yükümlü olan kuruluşlara yönelik düzenlemelere yer verilmiştir. Belirtilen gereklilikler ISO 22301 standardı baz alınarak bir iş sürekliliği yönetim sistemi kurulduğunda karşılanmış olacaktır.

Bankacılık Düzenleme ve Denetleme Kurumu

·        14 Eylül 2007 tarihinde yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğde yer aldığı üzere iş etki analizi, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri doğrultusunda bilgi sistemlerine ilişkin iş süreklilik ve kurtarma planı hazırlanması gerekmektedir. Bu gereklilikler ISO 22301 standardına uyum sağlandığında karşılanmaktadır. Ek olarak tebliğde yer aldığı üzere bağımsız ekiplere en az yılda bir kez sızma testi yaptırılması gerekmektedir. Bu tebliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.

·        15 Mart 2020 tarihinde yayınlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelikte “bilgi sistemlerinin sürekliliğinin sağlanması” başlığında gerekli hususlar açıklanmıştır. Yönetmeliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır ve 1 Temmuz 2020 tarihinde yürürlüğe girecektir. İş etki analizi, risk değerlendirmesi, risk yönetimi, izleme ve test faaliyetlerini içeren bir bilgi sistemleri süreklilik yönetim sürecinin oluşturulması, ikincil merkezin tesis edilmesi ve yılda en az bir defa gerçek bir felaket senaryosu sağlayıp test gerçekleştirilmesi gibi gereklilikler göz önünde bulundurulduğunda ISO 22301 standardı baz alınarak bir İSYS kurulması ve işletilmesi kuruluşa uyum açısından büyük avantaj sağlayacaktır. Ek olarak bağımsız ekiplere yılda en az bir defa sızma testi yaptırılması gerekmektedir.

·        4 Aralık 2013 tarihinde Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ yayınlanmıştır. Bu tebliğde yer alan her bir servis için kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilmesi, testlerin yapılması gibi süreçler ISO 22301 standardına uyum süreciyle örtüşmektedir. Bunlara ek olarak kuruluşların yılda en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir. Bu tebliğ Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarını kapsamaktadır.

·        6 Nisan 2019 tarihinde yayınlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde “bilgi sistemleri süreklilik planı” başlığında gereksinimler açıklanmıştır. Her bir servis için kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilip yılda en az bir defa ikincil merkez üzerinden test yapılması, bilgi sistemleri süreklilik planı hazırlanması gibi gereklilikler ISO 22301 standardına uyum ile ilişkilendirilebilir. Tebliğde ayrıca kuruluşların iki yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.

·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmıştır ve ödeme hizmeti sağlayan ve gerçekleştiren kuruluşlarla elektronik para ihraç eden kuruluşları kapsamaktadır. Bu tebliğde “bilgi sistemleri süreklilik planı” başlığı altında bilgi sistemleri süreklilik planı hazırlanması, ikincil merkez tesis edilmesi ve bu merkez üzerinden testler yapılması, dış hizmet sağlayıcıyla yapılan sözleşmede dış hizmet sağlayıcının bilgi sistemleri süreklilik planı kapsamındaki yükümlülükleri hususlarını içermesi gibi gerekliliklere yer verilmiştir. Bu gereklilikler ISO 22301 standardı ile ilişkilendirilebilir. Ek olarak kapsamdaki kuruluşların bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir.

Bilgi Teknolojileri ve İletişim Kurumu

·        13 Temmuz 2014 tarihinde yayınlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketleri kapsamaktadır. Bu tebliğdeki “iş sürekliliği” başlığı altında iş sürekliliği planları yapılması, tatbikat ve testlerin gerçekleştirilmesi gerekliliklerine yer verilmiştir.

Enerji Piyasası Düzenleme Kurumu

·        13 Temmuz 2017 tarihinde yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinde bahsedildiği üzere “EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri” rehberindeki kontrollerin öneri mahiyetinde olduğunda yer verilmiş, rehberde de bu kontrollerin EKS’lerin güvenliğinin denetlenmesi için bir el kitabı niteliği taşıdığı bilgisi verilmiştir. Bu rehberde iş sürekliliğinin sağlanması adına acil durum ve felaketten kurtarma planlamalarının yapılmasının ve bu planlar yapılırken organizasyonun tabi olduğu yasa, yönetmelik, standart vb. yükümlülüklerin değerlendirilmesi gerektiğinden bahsedilmiştir. Aynı zamanda bu rehbere göre bu kuruluşların belirlenen sıklıkta sızma testi gerçekleştirmeleri gerekmektedir. Bu yönetmeliğe uymakla yükümlü olan kuruluşlar aşağıda verilmiştir.

-       Elektrik iletim lisansı sahibi

-       OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi

-       OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi

-       Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi

-       Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi

-       Doğal gaz depolama lisansı sahibi (LNG, yer altı depolama)

-       Ham petrol iletim lisansı sahibi

-       Rafinerici lisansı sahibi

Sermaye Piyasası Kurulu

·        Bilgi Sistemleri Yönetim Tebliği 5 Ocak 2018’de yayınlanmış olup iş sürekliliği planı hazırlanması, bilgi sistemleri süreklilik planı hazırlanması ve risk değerlendirme, azaltma ve izleme faaliyetlerini gerçekleştirmeye dair hususlar içermektedir. Ayrıca kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil sistem tesis edilmesi gibi gereklilikler de ISO 22301 standardıyla ilişkilendirilebilir. Bu tebliğ kapsamındaki kuruluşlar için en az yılda bir kez sızma testine tabi tutulma gerekliliği de belirtilmiştir. Aşağıda bu tebliğin kapsamındaki kuruluşlar verilmiştir.

-       Borsa İstanbul A.Ş.

-       Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri

-       Emeklilik yatırım fonları

-       İstanbul Takas ve Saklama Bankası A.Ş.

-       Merkezi Kayıt Kuruluşu A.Ş.

-       Portföy saklayıcısı kuruluşlar

-       Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.

-       Sermaye piyasası kurumları

-       Halka açık ortaklıklar

-       Türkiye Sermaye Piyasaları Birliği

-       Türkiye Değerleme Uzmanları Birliği

Sonuç olarak, kritik faaliyetlerinin farkında olmak, risklerini yönetmek, iş sürekliliği prosedürleri oluşturup bunları test edip olası felaket durumlarına karşı hazırlıklı olmak isteyen kuruluşlar iş sürekliliği yönetim sistemi işletiyor olmalıdır. İş sürekliliği planları hazırlama ve ikincil merkez tesis etme gibi gerekliliklerin finans ve enerji sektöründeki önemi gözden kaçırılmamalıdır. Bazı tebliğ ve yönetmeliklerde doğrudan geçmese bile ISO 22301 standardına uyumlu bir iş sürekliliği yönetim sisteminin kurulması bahsedilmiş olan gerekliliklerin yerine getirilmesinde büyük katkılar sağlayacaktır.

DÜZENLEMELERDE BİLGİ GÜVENLİĞİ VE ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ SERTİFİKASI GEREKLİLİKLERİ

Sinem Varol, Danışman

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı sertifikasına sahip olmak bir kuruluşun bilgi güvenliği yönetim sistemini kurduğunun ve işlettiğinin göstergesidir. Bilgi güvenliği yönetim sistemini işletiyor olmak kuruluşun bu doğrultuda bir politikası olduğunu, bu sistemde kuruluşta görev sahibi olanların rol ve sorumluluklarının neler olduğunun belirlendiğini, bilgi güvenliği risk ve fırsatlarının yönetildiğini ve iç tetkiklerin yapıldığını gösterir.

ISO/IEC 27001 bilgi güvenliği yönetim sistemi işletiyor olmanın kuruluşa farklı açılardan birçok faydası mevcuttur. Bilgi güvenliği riskleri yönetildiğinde belirsizliğin amaçlar üzerindeki etkileri azaltılabilir veya ortadan kaldırılabilir, kullanıcıların ağ ve ağ hizmetlerine erişimi yönetilerek yetkisi olmayan kişilerin bilgiye erişimi kısıtlanabilir ya da ağ güvenliğinin yönetilmesiyle ve bilgi transfer sürecinde belirli kurallar uygulanarak kuruluşta haberleşme güvenliği sağlanabilir. Bunlar gibi birçok fayda kuruluşun fiziksel ve dijital ortamda bulunan tüm çalışan, müşteri ve ilgili üçüncü taraf bilgilerinin güvenliğini sağlamaya yardımcı olur.

ISO/IEC 27001 standardı ilk olarak 2005’te yayınlanmıştır. Daha sonra 2013 versiyonu ve son olarak da 2017 versiyonu yayınlanmıştır. Bu standartların Türkçeye çevrilmiş versiyonları TS ISO/IEC 27001:2005, TS ISO/IEC 27001:2013 ve TS ISO/IEC 27001:2017 şeklindedir. Standart ana maddelerinde bilgi güvenliği yönetim sisteminin kurulması için gerekli olan maddeler açıklanmıştır. Ayrıca, EK A kontrolleri olarak bilinen, standardın uygulanmasına yönelik referans kontrol amaçları ve kontroller sayesinde standarda uyum için yapılması gerekenler kuruluşlar tarafından daha net anlaşılmakta ve bilgi güvenliği yönetim sisteminin hayata geçirilmesi ve sürdürülmesi daha kontrollü olarak gerçekleşmektedir.

ISO/IEC 27001 standardı sertifikasına kuruluşlar kendi gerek gördüğü ve sahip olmak istedikleri takdirde sahip olabilir ya da bazı sektörler ve kuruluşlar için bu sertifikaya sahip olmak zorunlu hale gelmiştir. Bu yazının devamında, Türkiye’deki kanun, yönetmelik ve tebliğlerde yer aldığı üzere hangi kuruluşların ISO/IEC 27001 sertifikasına sahip olması gerektiği incelenmiştir.  

Bilgi Teknolojileri ve İletişim Kurumu

·        Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğde 30 Ocak 2013 tarihinde yapılan değişiklikte elektronik sertifika hizmet sağlayıcıları için TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına uyma zorunluluğu getirilmiştir.

·        25 Ağustos 2011 tarihli Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğde kayıtlı elektronik posta hizmet sağlayıcıları için TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına uyma zorunluluğu getirilmiştir.

·        15 Ekim 2010 tarihinde yayınlanan Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerini kapsamaktadır. Bu şirketlerin TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre sistem belgelendirmesi yapmak üzere akredite edilmiş kuruluşlardan alınması gereken bir uygunluk belgesine sahip olma yükümlülükleri bulunmaktadır. Bu kapsamda TS ISO/IEC 27001 veya ISO/IEC 27001 standardı uygunluk belgesi aranan işletmecilerin listesi aşağıda verilmiştir:

-       Görev Sözleşmesi İmzalayan İşletmeciler

-       İmtiyaz Sözleşmesi İmzalayan İşletmeciler

-       Uydu Haberleşme Hizmeti Veren İşletmeciler

-       Altyapı İşletmeciliği Hizmeti Veren İşletmeciler

-       Sabit Telefon Hizmeti İşletmecileri

-       GMPCS Mobil Telefon Hizmeti Veren İşletmeciler

-       Sanal Mobil Şebeke Hizmeti İşletmecileri

-       İnternet Servis Sağlayıcıları

-       Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler

Enerji Piyasası Düzenleme Kurumu

·        Doğal Gaz Piyasası Lisans Yönetmeliğinde yapılan 26 Aralık 2014 tarihli değişiklikte iletim faaliyetini gerçekleştiren lisans sahibi tüzel kişiler için çalıştırdığı kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmekle yükümlü tutulmuştur. Ayrıca, sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisans sahipleri için de çalıştırdığı Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme zorunluluğu getirilmiştir.

·        Elektrik Piyasası Lisans Yönetmeliğinde 26 Aralık 2014 tarihinde bir değişiklik yapılmıştır. Bu yapılan değişiklikle birlikte, OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme yükümlülüğü getirilmiştir. Aynı yönetmelikte 24 Şubat 2017 tarihinde yapılan değişiklikle birlikte dağıtım lisans sahipleri için lisans alma tarihinden itibaren yirmi dört ay içerisinde OSB dağıtım lisansı sahipleri hariç olmak üzere, kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme yükümlülüğü getirilmiştir. Aynı yönetmelikte 23 Aralık 2015 tarihinde yapılan değişiklikle birlikte tedarik lisansı sahipleri için lisans alma tarihinden itibaren yirmi dört ay içerisinde TS ISO/IEC 27001 standardı için Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumu tarafından verilen uygunluk belgelerini Kuruma sunma yükümlülüğü getirilmiştir.

·        Petrol Piyasası Lisans Yönetmeliğinde 26 Aralık 2014 tarihinde yapılan değişiklikle birlikte rafinerici lisans sahiplerine tesislerin devreye alınma tarihinden itibaren yirmi dört ay içerisinde kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme zorunluluğu getirilmiştir.

Gümrük ve Ticaret Bakanlığı

·        21 Mayıs 2014 tarihinde yayınlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde belirtildiği üzere yetkilendirilmiş yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişilerin yapacakları başvuruda ISO 27001 sertifikasının aslı veya düzenleyen kuruluş tarafından onaylı örneğini ibraz etmeleri gerekmektedir.

Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığı

·        19 Kasım 2019 tarihinde yayınlanan e-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzunda yer aldığı üzere GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesine sahip olma zorunluluğu bulunmaktadır. e-Belge denildiğinde e-Fatura, e-İrsaliye, e-Bilet, e-Arşiv gibi belgeleri kapsamaktadır. Aynı kılavuzda özel entegratörün yılda en az bir kez sızma testi yaptırması gerektiği belirtilmiştir.

    Ticaret Bakanlığı

·        Türkiye Cumhuriyeti Ticaret Bakanlığı, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili mevzuat kapsamında, Türkiye Odalar ve Borsalar Birliği'ni ticari elektronik ileti izinlerinin ve şikâyet süreçlerinin yönetilebildiği ulusal bir platform kurmakla görevlendirmiştir. İleti Yönetim Sistemi A.Ş., Türkiye Odalar ve Borsalar Birliği tarafından bu amaçla hizmet vermek üzere kurulmuştur. 4 Ocak 2020 tarihinde Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik yayınlanmıştır. Bu yönetmelikte geçtiği üzere, Ticaret Bakanlığı tarafından ticari elektronik ileti yönetim sistemini kurmakla yetkilendirilen Kuruluş (İleti Yönetim Sistemi A.Ş.), ticari elektronik ileti gönderiminin aksamaması için gerekli teknik tedbiri almak ve İYS’ye yönelik Bakanlık tarafından istenen diğer iş ve işlemleri yürütmekle yükümlüdür. Bu kapsamda, İYS API (Application Programming Interface) lisansı kullanım hakkı elde ederek kendi müşterilerine İYS entegrasyon hizmeti sunan iş ortaklarının TÜRKAK onaylı ISO 27001 - Bilgi Güvenliği Yönetim Sistemi Sertifikası’na sahip olmaları veya bu belgenin altı ay içinde tamamlanacağını taahhüt etmeleri gerekmektedir.

Ulaştırma ve Altyapı Bakanlığı

·        21 Haziran 2017 tarihinde yayınlanan KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğde bahsedildiği üzere, KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşu kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgesini almakla ve güncelliğini sağlamakla yükümlüdür. Aynı tebliğde yer aldığı üzere KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşunun KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması gerekmektedir.

Bunların yanı sıra, bazı yönetmelik ve tebliğlerde de doğrudan ISO/IEC 27001 sertifikasının alınması şart koşulmadığı halde bir BGYS kurulması, teknik açıklıkların tespit edilmesi ya da risklerin yönetilmesi gibi konularda gereklilikler belirtilmiştir. Bu gereklilikler ISO/IEC 27001 standardına uyumlu hale gelindiğinde karşılanmış olacaktır diyebiliriz. Aşağıda BGYS kurulmasını gerektiren ya da ISO/IEC 27001 standardıyla ilişkilendirilebilen tebliğ ve yönetmeliklere yer verilmiştir.

Bankacılık Düzenleme ve Denetleme Kurumu

·        6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 5. maddesinde ödeme sistemi ve menkul kıymet mutabakat sistemi işleticisi olan tüzel kişilerin yeterli risk yönetimine sahip olmaları ve bilgi güvenliği ve güvenilirliğine dair tedbir almaları gerektiği belirtilmiştir. Kuruluşta BGYS faaliyete geçirildiği takdirde risk yönetimi süreci işletiliyor ve bilgi güvenliğine dair tedbirler hayata geçirilmiş olacaktır.

·        14 Eylül 2007 tarihli Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat, katılım, kalkınma ve yatırım bankalarını kapsamaktadır. Bu tebliğde bu bankalar için etkin bir risk yönetimi yapılması, yeni projelerin getireceği risklerin yönetilmesi, verilerin gizlilik, bütünlük ve ulaşılabilirliklerini sağlamaya yönelik tedbirlerin alınması, verilerin hassasiyet derecelerine göre sınıflandırılması ve personelin güvenlik konusunda farkındalık kazanması gibi hususları yerine getirmeleri gerektikleri belirtilmiştir. Aynı zamanda bağımsız ekiplerce düzenli aralıklarla sızma testi yaptırılması gerektiğine yer verilmiştir. ISO/IEC 27001 standardına uyumlu hale gelindiğinde bu hususların tamamı yerine getirilmiş olur. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.

·        15 Mart 2020 tarihinde yayınlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik mevduat, katılım, kalkınma ve yatırım bankalarını kapsamaktadır. Bu yönetmelikte bu bankaların bilgi varlıklarını sınıflandırarak varlık envanteri hazırlamaları, risk yönetim süreci tesis etmeleri, farkındalığı artıracak çalışmalar yapmaları, önemli projeler ve değişiklikler için bilgi güvenliği gereksinimlerini belirlemeleri gerektiği belirtilmiştir. Aynı zamanda bilgi güvenliği yönetim ve bilgi sistemleri süreklilik yönetim sistemlerinin ulusal veya uluslararası standartları ya da en iyi uygulamaları referans almalarının esas olduğu belirtilmiştir. Bu bankaların bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerektiğine de yer verilmiştir. ISO/IEC 27001 standardına uyum süreci bu şartların tamamını kapsamaktadır. Bu yönetmelik 1 Temmuz 2020 tarihinde yürürlüğe girecektir.

·        6 Nisan 2019 tarihinde yayınlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde bilgi güvenliği yönetim sürecinin tesis edilmesi, personelin farkındalığının arttırılması, verilerin hassasiyet derecelerine göre sınıflandırılması, 2 yılda bir sızma testi yaptırılması gibi gerekliliklerden bahsedilmiştir. Aynı zamanda ISO/IEC 27001 standardına uyum ile ilişkilendirilebilir bilgi sistemleri sürekliliğinin sağlanması, erişim yönetimi yapılması gibi hususlar da mevcuttur.

·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde kuruluşun verileri güvenlik hassasiyet derecelerine göre sınıflandırmaları ve buna uygun derecede güvenlik kontrolleri tesis etmeleri, bilgi güvenliği politikası ve bilgi güvenliği yönetim süreci oluşturmaları, bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerekmektedir. Bu tebliğ ödeme hizmeti sağlayan ve gerçekleştiren kuruluşları ve elektronik para ihraç eden kuruluşları kapsamaktadır. ISO/IEC 27001 standardına göre BGYS işletildiğinde gerekli görülen süreçler sağlanmış olacaktır.

Bilgi Teknolojileri ve İletişim Kurumu

·        13 Temmuz 2014 tarihli Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketleri kapsamaktadır. Bu işletmecilerin BGYS’yi kurmaları, uygulamaları ve sürekliliğini sağlamaları gerekmektedir. Bunun yanı sıra varlık envanteri oluşturma, risk değerlendirme ve işleme yapılması, bilgi güvenliğinin farkındalığının arttırılması ve bilgi güvenliği olaylarının izlenmesi ve gözden geçirilmesi gibi hususlar da ISO/IEC 27001 standardının uygulanmasıyla birlikte yerine getirilecek gereklilikler arasında sayılabilir.

Enerji Piyasası Düzenleme Kurumu

·        Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğine belirtildiği üzere EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri isimli bir rehber yayınlanmıştır. Bu rehberdeki kontrollerin öneri mahiyetinde olduğuna yer verilmiş, rehberin içinde de yazıldığı üzere EKS’lerin güvenliğinin denetlenmesi için bir el kitabı olma niteliğindedir. Rehberde ISO/IEC 27001 standardı ile ilişkilendirilebilir erişim kontrolü, risk değerlendirme, belirli aralıklarla sızma testi gerçekleştirilmesi, personel güvenliği ve bilgi güvenliği programının planlanması hususları bulunmaktadır. Standardın getirdiği gereklilikler, bu rehberde belirtilen güvenlik kontrolleri için büyük bir fayda sağlayacaktır. Yönetmelikte belirtildiği üzere yükümlü kuruluşlar aşağıdaki gibidir:

-       Elektrik iletim lisansı sahibi,

-       OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi,

-       OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi,

-       Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi,

-       Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi,

-       Doğal gaz depolama lisansı sahibi (LNG, yer altı depolama),

-       Ham petrol iletim lisansı sahibi,

-       Rafinerici lisansı sahibi tüzel kişiler.

Kişisel Verileri Koruma Kurumu

·        Kurumun Ocak 2018’de yayınladığı Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kişisel verileri işleyen gerçek ve tüzel kişiler için siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi gibi konular üzerine öneriler sunmuştur. Bu rehberde belirtildiği üzere erişimin sınırlandırılması, düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması, risk ve tehditlerin belirlenip buna uygun önlemler alınması, farkındalık çalışmaları gibi hususlar ISO/IEC 27001 standardına uyumluluk ile örtüşmektedir. Rehberde bulunan teknik tedbirler özet tablosu aşağıda verilmiştir. Bu tablodaki teknik tedbirlerin, standardın Ek A kontrol maddeleriyle olan benzerliği gözden kaçmamalıdır.

Teknik Tedbirler
Yetki Matrisi	Şifreleme	Yedekleme
Yetki Kontrol	Sızma Testi	Güvenlik Duvarları
Erişim Logları	Saldırı Tespit ve Önleme Sistemleri	Güncel Anti-Virüs Sistemleri
Kullanıcı Hesap Yönetimi	Log Kayıtları	Silme, Yok Etme veya Anonim Hale Getirme
Ağ Güvenliği	Veri Maskeleme
Uygulama Güvenliği	Veri Kaybı Önleme Yazılımları	Anahtar Yönetimi

Sermaye Piyasası Kurulu

·        5 Ocak 2018 tarihinde yayınlanan Bilgi Sistemleri Yönetim Tebliğinde ele alındığı üzere bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak bilgi güvenliği politikasının hazırlanması, risk yönetiminin gerçekleştirilmesi, bilgi varlıklarının envanterinin oluşturulması ve önem derecesine göre sınıflandırılması gibi hususlar ISO/IEC 27001 standardı ile ilişkilendirilebilir. Aynı zamanda erişim haklarının her yıl güncel durumla uyumlulukları açısından değerlendirmeye tabi tutulması, en az yılda bir kez sızma testi yaptırılması gibi hususlar da göz önünde bulundurulduğunda BGYS’nin hayata geçirilmesinin çok avantajlı olacağını söyleyebiliriz. Bu tebliğe uymakla yükümlü olan kurum, kuruluş ve ortaklıklar aşağıda verilmiştir:

-       Borsa İstanbul A.Ş.

-       Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri

-       Emeklilik yatırım fonları

-       İstanbul Takas ve Saklama Bankası A.Ş.

-       Merkezi Kayıt Kuruluşu A.Ş.

-       Portföy saklayıcısı kuruluşlar

-       Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.

-       Sermaye piyasası kurumları

-       Halka açık ortaklıklar

-       Türkiye Sermaye Piyasaları Birliği

-       Türkiye Değerleme Uzmanları Birliği

Dijital Dönüşüm Ofisi

·        6 Temmuz 2019’da yayınlanan Bilgi ve İletişim Güvenliği Tedbirleri Genelgesinde ağ güvenliği, kayıtların korunması, mobil cihaz güvenliği, personel güvenliği gibi hususlara değinilmiştir. Genelgede milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde “Bilgi ve İletişim Güvenliği Rehberi” oluşturulacağı açıklanmıştır. Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, rehberde yer verilen usul ve esaslara uyulması zorunlu tutulmuştur.

Türkiye Cumhuriyeti Merkez Bankası

·        9 Ocak 2016’da yayınlanan Ödeme ve Menkul Kıymet Mutabakat Sistemlerinde Kullanılan Bilgi Sistemleri Hakkında Tebliğde bilgi güvenliği yönetim sistemi oluşturulması, risk yönetim çerçevesi oluşturulması, değişiklik yönetimi gibi hususlara değinilmiştir. Ayrıca bilgi varlıklarının sınıflandırılması, yılda en az bir defa sızma testi gerçekleştirilmesi, personel farkındalığı gibi maddelere değinildiği de göz önünde bulundurulduğunda BGYS kurulması ve işletilmesinin uyum açısından oldukça faydalı olacağı söylenebilir.

Özetleyecek olursak, kuruluşlarda bilgi güvenliğine verilen önem ve yasal olarak getirilen zorunluluklar gün geçtikçe artmaktadır. ISO/IEC 27001 standardı baz alınarak kuruluşta bir bilgi güvenliği yönetim sistemi kurulduğunda erişim yönetimi, risk yönetimi, iç denetim, düzeltici faaliyetler gibi uygulamalar sayesinde kuruluşun hassas bilgilerinin yetkisiz kişilerin eline geçmesi, yetkisiz kişilerin bilgilerin bütünlüğünü bozması önlenmiş olur ve bilgilere ihtiyaç duyulduğunda erişilmesi sağlanmış olur. ISO/IEC 27001 standardına uyumla birlikte kuruluşların bilgi ifşasını önleyerek itibarının korunması, birlikte iş yapılan üçüncü taraflara bilgilerinin güvenliği konusunda güvence sağlanması, kuruluşa rekabet avantajı sağlaması ve yasal yükümlülüklerin yerine getirilmesi sebebiyle küçükten büyüğe tüm kuruluşların işletmesinde büyük faydalar sağlayacak bir yönetim sistemidir.

VERİ SINIFLANDIRMA UYGULAMA ALANLARI

Sinem Varol, Danışman

Veriler, kuruluşların işlevlerini gerçekleştirmeleri için hayati önem taşır. Çalışanın maaşının ödenmesinden, ürünün sevkiyatının gerçekleştirilmesine kadar kuruluş tüm faaliyetlerinde veriye ihtiyaç duyar. Verilerin bir kısmı dosya sunucuda, kurumsal uygulamalarda veya diğer bilgi sistemlerinde bulunabileceği gibi arşivlerde, çalışma ofisinde, çalışanların masaüstünde veya dolaplarda da bulunabilir, aynı zamanda web siteleri aracılığı ile tüm dünyaya açılabilir. Veriler bu kadar çeşitli platformlarda bulunduğu gibi bu verilerin iletimi için de farklı kanallar kullanılabilir. İlk akla gelen e-posta ya da kargo olmakla birlikte web entegrasyonları, File Transfer Protocol (FTP) gibi dosya transfer alanları, taşınabilir ortamlar (USB, DVD vb.), bulut çözümler ve sözlü olarak veri iletimi gerçekleşebilir. Söz konusu veri türleri kuruluşun iş ortakları, tedarikçileri, müşterileri, çalışanları gibi tüm paydaşlara ait olabilir. Veri türleri ve bulundurulduğu alanların çeşitli olması sebebiyle verinin güvenliğinin sağlanması konusunda sorumluluk giderek artmaktadır. Kuruluşun çalışanlarının kimlik bilgisi ya da tedarikçilerin açık adres bilgisinin yetkili olmayan kişilerin eline geçmesi kuruluş açısından eşit derecede zarara sebep olmaz.

Kuruluş için tüm veriler eşit derecede önem taşımayabilir. Verilerin yetkili olmayan kişilerin eline geçmesi durumunu ele alacak olursak kurumun bazı verilerinin yetkili olmayan kişilerin eline geçmesi kuruluşun itibarı ve geleceği açısından büyük tehlike oluştururken bu durum tüm veriler için aynı değildir. Basit bir örnek vermek gerekirse müşterilerin kimlik bilgilerinin yetkili olmayan kişilerin eline geçmesiyle kuruluşun yayınladığı bir finansal raporun yetkili olmayan kişilerin eline geçmesi kuruluş için eşit derecede etki yaratmaz.

Veri sınıflandırma, veriyi anlamlı şekilde gruplara ayırmaktır. Yüzlerce satır ve sütun arasından ihtiyacınız olanı aramak yerine birbirine benzeyen verileri bir araya getirip bir grup oluşturmanız halinde belirli filtrelerle ya da belirlediğiniz gruba uyguladığınız bir etiket sayesinde kolaylıkla ulaşabilirsiniz.  Bu sayede verinin yönetilmesi kuruluş için daha kolay hale gelmektedir.

Veri sınıflandırmanın bir diğer sebebi veri güvenliğinin etkin bir şekilde gerçekleştirilmesidir. Tüm verilerin yetkili olmayan kişilerin eline geçmesi durumunda kuruluşa vereceği zarar eşit olmamakla birlikte, tüm verilerin eşit derecede güvenliğin sağlanması mümkün değildir. Tüm veriler için eşit derecede ve en üst seviyeden güvenlik tedbirlerinin sağlanması kuruluş için maliyetli olacağı gibi kuruluşun operasyonlarını gerçekleştirmesini yavaşlatacaktır.

Veri sınıflandırma yöntemlerinin uygulanmasının kuruluş için birçok avantajı vardır. Verilerin sınıflandırılması ortak özelliklerine göre yapıldığı için bu veri sınıfları için belirli kurallar uygulamak daha kolay hale gelecektir. Hassas veya hassas olmayan bilgilerin neler olduğunu ayrıştırır ve hangileri için ne seviyede güvenlik tedbirleri alınmalıdır, uygulanan kontroller yeterli midir sorularına cevap niteliği taşır. Güvenlik tedbirlerinin sınıflandırılmış veriler aracılığıyla alınması veri sızıntısını engelleme açısından avantaj sağlar. Çalışanların daha hızlı kararlar almasına yardımcı olur, bu nedenle operasyon süreçleri daha hızlı ilerler.

Veri sınıflandırmasının kuruluşa birçok faydası olduğu gibi bazı kurumlar, standartlar ve çerçeveler bakımından zorunluluk haline getirilmiştir. Bu husus hakkında bazı örnekler aşağıda verilmiştir.

·     Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), 15.03.2020 tarihinde Resmi Gazetede yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğinde, bilgi sistemleri risklerinin yönetilmesi amacıyla bilgi varlıklarının sınıflandırılmasını ve bu sınıflara göre uygun güvenlik önlemlerinin alınmasını şart koşmuştur.

·   Sermaye Piyasası Kurulu (SPK), 05.01.2018 tarihinde Resmi Gazetede yayımlanan Bilgi Sistemleri Yönetimi Tebliğinde, bilgi varlıklarının önem derecesinde sınıflandırılmasını zorunlu kılmıştır.

·   6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel verilerin sınıflandırılması, kişisel verilerin işlenmesi olarak tanımlanmıştır.  Ayrıca, veri sorumlusunun kişisel verilerin güvenliğini sağlama amacıyla her türlü güvenlik tedbirini alma sorumluluğu olduğu belirtilmiştir.

·     13.07.2014 tarihinde Resmi Gazetede yayımlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliğinde Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin kurulması, kapsamı ve yönetilmesi başlığı altında varlıkların sınıflandırılmasını elektronik haberleşme sektöründe faaliyet gösteren kuruluşlara şart koşmuştur.

·    ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardında Ek A kontrollerinde A.8.2 Bilgi Sınıflandırma olarak geçmektedir. Bu sebeple, ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemi sertifikasına sahip olma zorunluluğu bulunan tüm kuruluşların bu koşulu yerine getirmeleri gerekmektedir. Bu kontrol maddesinde bilginin yasal şartlar, değeri, kritikliği ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyet derecesine göre sınıflandırılması gerektiği belirtilmiştir. Yani bu kontrolde belirtildiği üzere, bir kuruluşta bilgi güvenliği yönetim sistemi kurulup işletilmek istendiğinde kuruluşun bilgi varlıklarının sınıflandırması, etiketlemesi ve kullanımı için prosedür geliştirip uygulamaları gerekmektedir. Tüm bu faaliyetlerin gerçekleştirilmesinin amacı bilginin kuruluş için önemi derecesinde korunması gereken seviyede korunmasını sağlamaktır.

·        Control Objectives for Information and Related Technology (CobiT) çerçevesinde çalışanların iş aktivitelerini destekleyecek bilgiyi sağlamak, bilinçli bir şekilde karar alabilmek ve verimliliği arttırmak için kuruluşun verilerini sınıflandırması gerektiği belirtilmiştir.

Verilen örneklerde açıkça görülmektedir ki, veri sınıflandırma gerekliliği hem kuruluş operasyon süreçleri açısından, hem maliyet hem de verilerin koruması açısından kuruluşa avantaj sağlamaktadır.

Veri Sınıflandırmada Kullanılan Genel Kategoriler

Veri sınıflandırırken, hassas ve hassas olmayan verilere yönelik uygun güvenlik tedbirlerinin alınabilmesi için veriler belirli kategorilere dâhil edilir. Bu kategoriler belirlenirken kuruluş kendine uygun olan kategoriler oluşturmalıdır. Bazı kuruluşlar için verileri gizli kalma hassasiyetleri açısından üç kategoriye ayırmak yeterli olabilir fakat bazı kuruluşlar dört ya da beş kategoriye ayırmaya ihtiyaç duyabilir. Örnek vermek gerekirse; “halka açık, kurum içi, gizli” şeklinde üç kategori bir kuruluşun bilgi varlıklarının gizli kalma hassasiyetleri açısından bilgi varlıklarını net bir çizgiyle anlaşılabilir bir biçimde ayırıyorsa bu kategoriler o kuruluş için yeterlidir diyebiliriz. Dört seviyede kategoriye ayrılmak istendiğinde “genel, dahili, gizli, çok gizli” şeklinde çeşitlendirilebilir, yeterli olmadığı takdirde beş seviyeli bir sınıflandırma da kullanılabilir.

Kuruluşlar çalışan sayısı, ciro, faaliyet alanı, veri paylaşılan taraflar ve daha birçok yönden birbirinden farklılık gösterdiği için bu kategoriler yeterli olmayabilir. Kategori sayısı ihtiyaca oranla az kullanıldığı takdirde veriler için yeterli güvenlik önlemleri sağlanamayabilir. Örneğin veri sınıflandırırken aslında gizli kategorisinde olması gereken bir veri, kararsız kalınıp, kurum içi olarak sınıflandırıldığında o veri için alınacak güvenlik tedbirleri kurum içi veriler seviyesinde olacağı için bu durumda yeterli güvenlik sağlanmamış olur. Bu durumda söz konusu veri için yetkisiz kişilerin eline geçme ihtimali artar.

Gizli kalma hassasiyeti açısından sınıflandırılmış veriler için farklı güvenlik tedbirleri uygulanmaktadır. Kuruluş “genel” ya da “halka açık” olarak sınıflandırdığı veriler için ek bir güvenlik tedbiri almaya ihtiyaç duymayabilir. Bu veriler kuruluş dışındaki kişilerle de paylaşılabildiği için görüntülenmesi, paylaşılması ve kullanılması açısından bir sakınca yoktur. “Dahili” ya da “kurum içi” sınıfındaki veriler genel olarak kuruluş içinde tüm çalışanlar tarafından görüntülenebilir. Bu sınıftaki veriler içinse yetkili olmayan kişiler haricinde erişilmemesi ve paylaşılmaması gerektiği için ek güvenlik tedbirleri alınmalıdır. Örneğin bu sınıftaki veriler için; e-posta yoluyla paylaşılırken şifreleme kullanılabilir ve eğer çalışanların kullandığı cihazda bulunuyorsa disk şifrelemeyle veriler korunabilir. “Gizli” ve “çok gizli” sınıflarındaki veriler genellikle kuruluştaki tüm çalışanların değil yöneticilerin veya üst yönetimin erişebildiği veya paylaşabildiği verilerdir. Bu verilerin bulunduğu ortam dosya sunucu ise erişim için dosyalar şifrelenebilir ya da basılı evrak ise kilitli dolapta tutulabilir. Ek olarak, bazı kuruluşlar tüm gizli kalma hassasiyetindeki verilerini korumak adına çalışanların kuruluş dışına e-posta gönderimini olanak dışı kılmaktadır. Bazı çalışanlara gerekli durumlarda yetki verilebilir.

Veri Sınıflandırmasının Desteklediği Diğer Güvenlik Alanları

Veri sınıflandırmanın kuruluşa sağladığı diğer avantajlar da Veri Sızıntısı Önleme (Data Loss Prevention -DLP), erişim yönetimi gibi verinin güvenliğini sağlamaya yönelik alanlarda kullanılmasıdır. Kuruluşlar için hassas veriyi takip etmek giderek zorlaşmıştır. Bu ihtiyaç doğrultusunda zaman içinde verinin güvenliğini sağlamak adına farklı araçlar geliştirilmiştir.

Erişim yönetimi, veri sınıflandırmanın fayda sağladığı bir güvenlik alanıdır. Erişim yönetiminin uygulanmasında kullanılan yöntemlerden biri kullanıcı kimliklerinin yönetilmesidir.  Tüm kullanıcı kimliklerinin erişebileceği alanlar belirlendiğinde, hassas verilerin yetkili olmayan kişilerin eline geçmemesi için iyi bir yol kat edilmiştir denebilir. Kimlik ve erişim yönetimi alanında en çok kullanılan araçlara Azure Active Directory, IBM Security and Access Assurance ve Oracle Identity Cloud Service örnek verilebilir.

Veri Sızıntısı Önleme (Data Loss Prevention - DLP) teknolojisi, kuruluş içinde hassas olarak nitelendirilen verileri sanal ortamda takip eder ve verilerin kuruluş dışına sızmasını engeller. Farklı veri sınıfları için verilerin iletilmesi ve erişilmesi için farklı kurallar oluşturulur. Verinin geçtiği kanalları ve yetkisiz erişimleri izler. Kuralları farklı iletişim kanallarında (web, e-posta, cloud) uygulayabilme gibi özellikleri vardır. Verilerin bulunduğu dosyalar seçilerek etiketler uygulanır, aynı zamanda belirlenmiş kullanıcıların erişmesi hariç tutulabilir. Etiketleme işlemi belirli veri türleri ya da sözcükleri içeren dosyalar olarak otomatik olarak da yapılabilir. Bu alanda en çok kullanılan uygulamalara Symantec DLP, Checkpoint, Digital Guardian ve Microsoft 365 DLP aracı örnek verilebilir.

Veri Sınıflandırma İçin Kullanılan Uygulamalar

Verilerin sınıflandırılmasını tamamıyla gerçekleştirmek ve bu süreci tam olarak yönetebilmek bir kuruluş için oldukça efor gerektiren bir çalışmadır. Çalışanların saatlerini hatta haftalarını bu süreci tamamlamak için yapacakları çalışmalarla, görüşmelerle geçirmeleri gerekebilir. Kuruluşların hassas verilerinin güvenliğini sağlama ihtiyacı arttıkça ve teknoloji geliştikçe bu alanda yeni araçlar geliştirilmiş ve kullanılmaya başlanmıştır. Bu uygulamaların kullanılması aynı zamanda kullanıcıları hassas verilerin kullanılması ve iletilmesi konusunda daha sorumlu hale getirir. Bu makalede herhangi bir ürüne yönlendirme amacı bulunmamaktadır. Bilgilendirme amacıyla ürünlerin özelliklerinden bahsedilmiştir.

Bu uygulamalardan biri olan TITUS Classification, kullanıcı cihazlarının (mobil veya değil) eriştiği belgelerdeki hassas veririn güvenliğinin sağlanması için politikalar belirleyerek bunların uygulanmasını zorunlu tutar. Mobil cihazlarda, MS Office programlarında, e-postalarda ve dokümanlarda kullanılabilir. E-postalara görseller yerleştirilerek kullanıcılar için hassas verilerin iletilmesi konusunda farkındalık sağlanabilir. Aynı zamanda e-postalardaki eklerin görüntülenmesi de kullanıcı bazlı kısıtlanabilir.

Veri sınıflandırma için kullanılan bir diğer araç olan Boldon James; ağdaki dosyaları, e-postaları, Sharepointteki dosyaları ve bulutta paylaşılan dosyaları sınıflandırmada kullanılabilir. Veri sınıflandırma etiketleri, kuruluşun veri güvenliği politikasına uygun bir şekilde uygulanır. Boldon James aynı zamanda güvenli mesajlaşma çözümünde sahiptir. Bu sayede hassas verilerin iletimindeki güvenliği sağlanmış olur.

Symantec Information Centric Tagging (ICT) uygulaması ile MS Office programlarındaki ve e-postalardaki verilere kolaylıkla gizlilik etiketi uygulanabilir. Symantec DLP uygulaması ile bütünleşik bir şekilde çalışır ve hassasiyeti yüksek verilerin sızmasını engellemeye yardımcı olur. Kuruluşun veri gizliliği politikasına uyum sağlamasına ve kullanıcı farkındalığını arttırmaya yardımcı olur.

Office 365 uygulamasıyla birlikte gelen veri sınıflandırma özelliğinde etiketler tanımlanır ve etiket kuralları oluşturulur. Bu etiketler Outlook, OneDrive ve Sharepoint gibi uygulamalarda da kullanılabilir. Örneğin bir etiket için sınırlı bir süre seçilip, bu süre sonunda bu etikete sahip verinin silinmesi sağlanabilir ya da çok gizli etiketine sahip bir verinin e-posta yoluyla iletilmesi engellenebilir.

Tüm bu uygulamaların ortak özelliği KVKK, ISO/IEC 27001, COBIT gibi yasal uyumluluk gerektiren düzenlemelere ve çerçevelere uyum sağlama konusunda fayda sağlamalarıdır. KVKK’ya uyum sağlama konusunda örnek vermek gerekirse kişisel verileri işleyen kurumların bu verileri tutmak için yasal olarak bazı süreler belirlenmiştir ve bu sürelerin sonunda verilerin silinmesi gerekmektedir; bunu sağlamak adına verilerin tutulduğu dosyalar etiketlendiğinde yasal saklama süresi tanımlanırsa bu süre bittiğinde veriler silinmiş olur. Bu sürecin takibini yapmak kullanıcılar için oldukça vakit alan bir işlem olabilir fakat veriler sınıflandırılıp etiketlendiği takdirde bu hususun takibi kullanıcıların dakikalarını alır. KVKK’ya uyum konusunda bir diğer husus ise veri sorumlusuna başvuru sürecidir. İlgili kişi, veri sorumlusuna yaptığı başvuruda kişisel verisinin işlenip işlenmediğini, kişisel verileri işlenmişse hangi amaç doğrultusunda işlendiği, yurt içinde veya yurt dışında olmak üzere kişisel verilerinin hangi üçüncü kişilere aktarıldığı konusunda bilgileri almayı talep edebilir. Veri sorumlusunun bu hususta yasal bir sonuçlandırma süresi vardır. Bu bilgilere ulaşmak, verilerini sınıflandırmadan saklayan, kullanan ve işleyen bir kuruluş için çalışanların günlerce efor sarf etmesine sebep olabilir çünkü verilerin kaynağı olarak çok fazla dosya ve uygulamanın kontrol edilmesi gerekebilir. Veri sınıflandırma için uygulamaların ve araçlarının kullanılması zaman ve maliyet açısından tasarruf sağlayacağı gibi, yasal düzenlemelere ve çerçevelere uyum sağlama konusunda kuruluşun başvurması gereken temel kaynaklardan olmalıdır.

 

Faydalanılan Kaynaklar

· https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2015/using-cobit-5-to-deliver-information-and-data-governance
· 6698 Sayılı Kişisel Verilerin Korunması Kanunu
· ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı
· https://www.park.com.tr/wp-content/uploads/2016/02/TITUS-Siniflandirma-cozumu1.pdf
· https://innoset.net/boldonjames
· https://docs.microsoft.com/tr-tr/cloud-app-security/dcs-inspection
· https://www.platinbilisim.com.tr/TR/IsOrtaklari/symantec-information-centric-tagging-ict
· https://www.cozumpark.com/office-365-security-compliance-center-veri-siniflandirma-data-classification-labels-bolum-1/

Red Team Ve Blue Team Nedir?

                                                                     

                                                                                                                                               Tuğcan Özel, Sızma Testi Uzmanı

Herhangi bir arabanın güvenli olduğundan nasıl emin olmaktayız? Kaza testi yaptırarak. Özellikle teknoloji konusunda bir şeyi güçlendirmek için izlenecek en iyi yol, bu konuyla alakalı testler gerçekleştirmektir. Doğal olarak aynı prensipler siber güvenlik bileşenlerinde de geçerlidir. Güvenlik altyapılarınızdaki zafiyetleri ve zayıflıkları efektif bir şekilde ortaya çıkarmanın ve gidermenin yolu Red/Blue Team testleri gerçekleştirmektir. İki takım arasındaki farklılıklardan ortaya çıkan Purple Team anlayışı ile de organizasyonda iyileştirmeler yapılmaktadır.

Red Team, Blue Team ve Purple Team isimleri ve modelleri hali hazırda uygulanan ordu stratejileri baz alınarak ortaya çıkmıştır. Ordular, askerlerin savaşa hazır olduklarına emin olmak için, belli başlı stratejiler uygulamaktalardır. Bu süreçte uygulanan stratejilere uygun aksiyonlar alınmaktadır. Saldırı için alınan aksiyonlar ile ilgili takım kırmızı (red), savunma için alınan aksiyonlar ile ilgili takım mavi (blue) ve bu alınan aksiyonların yönetilmesi için oluşturulan takım ise mor (purple) takım olarak belirlenmiştir. Aynı orduda olduğu gibi siber güvenlik arenasında bu roller dijital ortama taşınmıştır.

Red Team Nedir?

Red Team, kavramı saldırgan gibi düşünmek üzerine ortaya çıkmıştır. Red Team testleri, organizasyonların siber güvenlik konusunda savunma hatlarını güçlendirmek için gerçekleştirilir. Test yaklaşımları zafiyet değerlendirmesi, sızma testi ve sosyal mühendislik testleri gibi konuları içermektedir. Red Team testlerinde, tasarlanan simülasyonları en iyi şekilde gerçekleştirmek için sızma testlerinde yaygın olarak kullanılan araçlar kullanılmaktadır.

Red Team operasyonları gerçekleştiriliyorken, IT takımları ve mavi takımları da dahil olmak üzere bir çok çalışanının, genellikle operasyon bitene kadar bu operasyonun gerçekleştirileceğine dair bilgileri bulunamamaktadır. Bu durum hizmeti alan kuruluşun tercihine göre değişiklik gösterebilir.

Bazı kurumlar, bu operasyonları iç kaynaklara yürütebilmek için Red Team takımları oluşturmaktadır. Red Team hizmeti çoğunlukla, bağımsız bir gözlemci tarafından yapılmasının daha sağlıklı olması nedeniyle  Güvenlik Danışmanlığı sağlayan şirketler tarafından gerçekleştirilmektedir.  Bu sayede kuruma ait çalışanların gözünden kaçabilecek zayıflıklar ve açıklıklar  tespit edilebilmektedir. 

Blue Team Nedir?

Blue Team çalışanları, kurumlara dış dünyadan gelebilecek bir saldırıya karşı önlem almak ve saldırıya sebep olan zayıflıkları iyileştirmek ile görevlilerdir.  Bu ekibin diğer görevi ise saldırı anında gelen vektörleri engellemek ya da azaltmaktır. Olası bir saldırı öncesi hazırlıklı olmak adına, düzenli olarak sistemleri ve prosedürleri güçlendirmek/güncellemek, kurumda kullanılan yazılımlar konusunda ise yazılımlarda yer alan gereksiz ve güvensiz özellikleri tespit edip kullanımını sonlandırmak ile görevlilerdir.  Gelebilecek olası bir saldırıya her an hazırlıklı olabilmek için SIEM çözümleri ile sistemleri dinamik olarak izleyerek hızlıca müdahaleye hazır durumda bulunurlar.

Purple Team Nedir?

Purple Team terimi, Red Team ve Blue Team operasyonlarında alınan aksiyonların ortak bir noktada buluşturulup yönetilmesi konusuyla ortaya çıkmıştır. Purple Team kavramı, güvenliğin teknik operasyonlardan nispeten uzak, sürecin yönetimiyle ilgili operasyon kaynağını temsil etmektedir. Purple Team çalışanları, meydana gelen olayları Red Team ve Blue Team disipliniyle  beraber yorumlamaktadır. Bu sayede, güvenliği seviyesi en yüksek seviyeye ulaştırılmaya çalışılmaktadır. Genel olarak ifade etmek gerekirse, Red Team bu süreçte zafiyetleri inceleyip bulurken Blue Team’i geliştirmekte, Blue Team gerekli savunma aksiyonlarını alırken Red Team’i geliştirmektedir. Bu iki takımın saldırı ve savunma noktasında yönetimsel olarak geliştirilmesi ise Purple Team tarafından gerçekleştirilmektedir.

Özet

1. Red Team, organizasyonun içinde bulunan savunma noktalarında zafiyet bulmak için saldırganlar gibi davranarak bir simülasyon düzenler.

2. Blue Team, organizasyonunun güvenlik konusunda güçlü noktada olması ve saldırganlara karşı savunulması noktasında devamlı olarak güvenlik geliştirmeleri yapar.

3. Red/Blue Team aksiyonlarında, devamlı gelişim sağlamak amacıyla iki takım arasında bilgiler paylaşılmaktadır. Böylece kurumlar siber güvenlik konusunda daha iyi noktalara ulaşırlar.

4. Purple Team kavramı, iki takımın birbiri arasındaki devamlı entegrasyonu sağlamak, iletişimi kolaylaştırmak ve süreci yönetmek amacıyla meydan gelmiştir.

5. Purple Team kavramı,gereksiz veya geçici çözüm olarak ortaya çıkmış bir kavram değildir. Şuan çok yaygın olmasa da gelecekte kurumlar içinde daha gerekli ve kavramsallaşmış bir yapı olacaklardır.

BTYÖN red team hizmetinin detaylarını öğrenmek ve teklif istemek için tıklayınız.