1. Ana Sayfa
  2. Regülasyonlar
  3. KVKK Teknik Tedbirler – KVKK Yazı Dizisi Bölüm 5

KVKK Teknik Tedbirler – KVKK Yazı Dizisi Bölüm 5

kvkk-logo

ile bir kez daha gündeme gelen veri güvenliği ve bilgi sistemlerindeki güvenlik ilkeleri için alınması gereken çeşitli bulunmaktadır. Bu bölümde Kurumun VERBİS kaydı kılavuzunda da başlıklar halinde belirtmiş olduğu teknik tedbirleri inceleyecek ardından canlı bir sistem üzerinde ne gibi önlemler ve uygulamalar yapılabilir bunlara değineceğiz.

Bu bölümdeki teknik tedbirlere değinirken okuyucu hedef kitlesini IT profesyonelleri gibi düşünmeyecek daha ziyade KVKK süreciyle bir şekilde yolu kesişen IT alanında çok profesyonel olmayan kimseler için de kültür oluşturması açısından belirli bir seviyede tutacağım. Ayrıca teknik tedbirlerin her kurumdaki alt yapıya göre ve kurgulanan yapıya göre değişiklik göstermesi durumundan dolayı da daha genel bir tanım yapmaya çalışacağım.

Resim-1

Öncelikle kurumun VERBİS dokümanında yer verdiği aşağıda yer alan 41 maddelik Veri Güvenliği Tedbirleri başlıklarını notlayalım.

  1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  3. Anahtar yönetimi uygulanmaktadır.
  4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  5. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  6. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  7. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  8. Çalışanlar için yetki matrisi oluşturulmuştur.
  9. Erişim logları düzenli olarak tutulmaktadır.
  10. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  11. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  12. Gizlilik taahhütnameleri yapılmaktadır.
  13. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  14. Güncel anti-virüs sistemleri kullanılmaktadır.
  15. Güvenlik duvarları kullanılmaktadır.
  16. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  17. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  18. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  19. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  20. Kişisel veri güvenliğinin takibi yapılmaktadır.
  21. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  22. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  23. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  24. Kişisel veriler mümkün olduğunca azaltılmaktadır.
  25. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  26. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  27. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  28. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  29. Mevcut risk ve tehditler belirlenmiştir.
  30. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  31. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  32. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  33. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  34. Sızma testi uygulanmaktadır.
  35. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  36. Şifreleme yapılmaktadır.
  37. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  38. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  39. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  40. Veri kaybı önleme yazılımları kullanılmaktadır.
  41. Diğer

Kurumun aslına bakılırsa her konuya birer madde ile yer verdiği teknik tedbirler yukarıda olduğu gibidir. Ancak bu maddeleri biraz daha özelleştirmek gerekir ve genel bir kültür olarak teknik tedbirler hakkında fikir sahibi olunması için aşağıda yer alan maddelerde kendi cümlelerimle genel hatlarıyla teknik tedbirlere yer veriyor olacağım. Aşağıda yer alan teknik tedbir çalışmaları aynı zamanda bilgi güvenliği yönetim sistemine temel olacak ve bir kurumun kişisel veri güvenliğinden ziyade genel olarak sistem güvenliği ile ilgili de temel bilgiler içeriyor olacaktır.

  1. Port taraması yapılarak ihtiyaç dışında açık olan portlar varsa ilgili bilgisayarlardan kapatılması, ihtiyaç dışı internet erişimine sahip olan yazıcı, otomasyon cihazı, fax vb. cihazların yeniden değerlendirilmesi.
  2. Uzak masaüstü erişimlerinin kapatılması veya IP ile eriştirilmesi, eğer mümkün ise SSL VPN ile local network erişiminin sağlanması.
  3. Kullanılan güvenlik duvarı üzerinde antivirüs, IPS, IDS gibi servislerin aktif edilmesi, veri tabanlarının ve imzaların güncel tutulması.
  4. Firewall üzerinden geçen trafikte SSL Inspection uygulanması.
  5. Sunucu VLAN’larının oluşturulması, sunuculara yalnızca izin verilen portlar üzerinden erişim sağlanması.
  6. Firewall üzerinden geçen trafiğin kayıt altına alınması mümkünse SYSLOG sunucu üzerinde depolanması.
  7. Firewall firmware sürümlerinin düzenli olarak kontrol edilmesi ve güncel sürümlerin yüklenmesi.
  8. Kurum içerisindeki bilgisayarların işletim sistemi güncellemelerinin düzenli olarak takip edilmesi, eski veya artık desteklenmeyen işletim sistemlerinin (win-7 gibi) yükseltilmesi, güncel veri tabanına sahip antivirüs yazılımlarının ve End Point güvenlik yazılımlarının ajanlarının yüklü olması.
  9. Aynı şekilde sunucu işletim sistemlerinde de gerekli güncelleme çalışmalarının yapılması.
  10. Domain Controller yapısının kurgulanması ve tüm kullanıcı ve grupların yetkilerinin, dosya erişim izinleri vb. merkezi bir şekilde yönetilmesi.
  11. Güçlü şifre kullanımı için kurum içi şifre politikaları oluşturulması ve Brute Force saldırılarına karşı şifre değiştirme aralığı politikalarının uygulanması.
  12. Bilgisayar kullanımı politikası, internet kullanımı politikası, e-posta kullanımı politikası ve sosyal medya kullanım politikalarının oluşturulması.
  13. Bilgi güvenliği hususunda farkındalık eğitimlerinin kurum içerisinde uygulanması.
  14. Bilgisayar ve otomasyonların kullanımında kullanıcı rolleri için yetki matrisi oluşturulması.
  15. Kurum içerisinde veri keşfi yapılması ve ne tür verilerin barındırıldığı ile ilgili sınıflandırmanın yapılması.
  16. Veri silme ve anonimleştirme politikalarının oluşturulması.
  17. Veri sızıntısını önleme için gerekli olan çalışmaların yürütülmesi, DLP yazılımı veya teknik çözümlerin ortaya konması.
  18. Aktif cihazlardan veya sunuculardan alınan olay günlüklerinin düzenli olarak kayıt altında tutulması.
  19. Yedekleme ve felaket senaryolarının düzenlenmesi.
  20. Bilgi güvenliği risk analiz raporunun oluşturulması.
  21. Olay müdahale planının oluşturulması.
  22. Düzenli aralıklar ile penetrasyon testlerinin yapılması.
  23. Aşağıdaki başlıklar için kontrol listesinin (check list) hazırlanması ve uygulanması.
  • Yetkilendirme matrisi var mı?
  • Yetki kontrolü yapılıyor mu?
  • Erişim logları tutuluyor mu?
  • Kullanıcı hesapları belirli bir standart ile yönetiliyor mu?
  • Ağ ortamının güvenliği sağlanıyor mu?
  • Uygulamaların güvenliği sağlanıyor mu?
  • Veriler şifreleme yöntemleri kullanılarak şifreleniyor mu?
  • Sızma testleri yapılıyor mu?
  • Saldırı tespit ve önleme sistemleri oluşturulmuş mu?
  • Log kayıtları inceleniyor ve yedekleniyor mu?
  • Veri maskeleme işlemi yapılıyor mu?
  • Veri kaybı önleme (DLP) yazılımları mevcut mu?
  • Yedekleme sistemleri ve FKM yapısı mevcut mu?
  • Güncel Anti-Virüs yazılımları mevcut mu?
  • Gerektiğinde anonimleştirme, silme, yok etme işlemleri politikalara uygun bir şekilde yapılıyor mu?

 

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

www.kvkk.gov.tr

TAGs: KVKK, kişisel verilerin korunması kanunu, , teknik tedbirler,

Yorum Yap

Yazar Hakkında

Bilgisayar Mühendisliği Doktora programında öğrenciliğim devam etmektedir. Bir Vakıf üniversitesinde 2016 yılı itibariyle Bilgisayar Mühendisi 2020 yılı itibariyle ise Ofis Yöneticisi mühendis olarak çalışmaktayım.  Başlıca uzmanlık alanlarım arasında Asp.Net Web Forms, Asp.Net MVC, .Net Core, C# ve SQL Server gelmektedir. Bunların yanı sıra iş hayatımda sistem ve siber güvenlik konularında da çalışmalarım devam etmektedir. Çeşitli AB destek projelerinde yazılım sorumlusu olarak görev yapıyor ve çalışmalarımı Secure Design Pattern, Yazılım Güvenliği, Siber Güvenlik, Bilgi Güvenliği konularında sürdürüyorum. Asp.net ile Proje Geliştirme ve Bilgisayar Mühendisliğine Giriş isimli kitapların yazarıyım.

Yorum Yap