Kanun’da Bilgi Güvenliği

Kanun’un 12. Maddesinde veri güvenliğine ilişkin yükümlülükler bölümünde:infosec
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır denilmektedir.

Bu nedenle kişisel veri işleyen her kurum veri güvenliğini sağlamakla yükümlüdür. Kişisel veri güvenliği üzerindeki tehditer temelde isteyerek (kasten) ve istemeyerek yapılanlar olarak ikiye ayrılabilir. Alınacak önlemler isteyerek veya istemeyerek yapılan tüm veri güvenliği ihlallerini önleyici nitelikte olmalıdır.

Veri sorumlusunun çıkar karşılığı kişisel verileri bir başka kurumla paylaşması kasten ihlale örnek verilebilir. Bu şekilde kurum kişisel verilerin hukuka aykırı olarak erişilmesine ve işlenmesine izin vermiş olacaktır. Kasten yapılan ihlallerin alınan teknolojik önlemler ile engellenmesi zordur. Teknolojik güvenlik önlemlerinin yanında süreçsel güvenlik önlemleri de iyi tasarlanıp etkin kontrol noktaları belirlenmelidir. Bu aşamada kurumlara kanun’a uyma konusunda ciddi görevler düşmektedir.

Diğer tehdit ise kurumların farkında olmadan verilerin kurum içinden veya dışından kötü niyetli kişiler tarafından amacı dışında kullanılması ve güvenliğinin sağlanamamasıdır. Teknolojik ve süreçsel güvenlik önlemleri kurum bilgisi dışında istemeyerek yapılan ihlalleri engelleyebilecektir. Bu yüzden kurum, kişisel veri güvenliğinin sağlanması için her türlü teknik ve idari tedbirleri almak zorundadır. Bunu yapabilmek için birden çok alanda bilgi güvenliği kontrollerinin uygulayıp önlemlerin alınacağı bilgi güvenliği sistemi kurulmalıdır.

Bilgi güvenliği sistemini kurarken aşağıdaki alanlarda kontrollerin uygulanıp, önlemlerin alınması faydalı olacaktır. Alınacak önlemlerin veri güvenliğini etkileyecek doğrudan ve dolaylı tüm tehdit yüzeylerinde uygulanması riski en aza indirecektir.

 

Ağ ve sistem güvenliği sağlanmalıdır.

Verinin güvenli depolanması ve iletilmesi sağlanmalıdır.

Bilgi güvenliği farkındalık eğitimleri verilmelidir.

Sistem ve ağ monitor edilip olay kayıtları incelenmelidir.

Erişim kontrolleri düzenlenmeli, sürekli gözden geçirilmelidir.

Periyodik sistem zafiyet testleri yapılmalıdır.

Güncel tehditler takip edilmeli ve önlemler uygulanmalıdır.

Sadece ihtiyaç duyulan veri saklanmalıdır.

Yama yönetimi etkin şekilde yapılmalıdır.

Veri yedeklenmelidir.

Fiziksel güvenlik sağlanmalıdır.

Bilgi güvenliği alanında yapılan çalışmalar birden fazla alanı ilgilendirdiği için sistemli bir şekilde yapılmalıdır. Yukarıda bahsedilen alanlardan herhangi birinin yapılmaması veya eksik yapılması verinin güvenliğine zarar verecektir. Bu yüzden bilgi güvenliği çalışmalarında sorumluluklar belirlenmeli ve bilgi güvenliği personelinin teknik anlamda donanımlı olmasına özen gösterilmelidir.