BİLİŞİM SİSTEMLERİ DENETİMİ REHBERİ

Transkript

1 BİLİŞİM SİSTEMLERİ DENETİMİ REHBERİ Haziran 2013 ANKARA

2 BİLİŞİM SİSTEMLERİ DENETİMİ REHBERİ Haziran 2013 ANKARA

3 BELGE ADI: SDR.4, Bilişim Sistemleri Denetimi Rehberi VERSİYON NO: 2013/1 VERSİYON TARİHİ Haziran 2013 Bilişim Sistemleri Denetimi Rehberi, Denetim Planlama ve Krdinasyn Kurulunun tarih ve 2013/15 sayılı tplantısında görüşülerek kabul edilmiş ve tarihinde Sayıştay Başkanı tarafından naylanarak yürürlüğe girmiştir.

4 SUNUŞ tarihinde yürürlüğe giren 6085 sayılı Sayıştay Kanunu ve bu Kanun dğrultusunda hazırlanan ikincil mevzuat ile birlikte Sayıştay ın denetim alanı genişlemiş ve denetim usullerinde de önemli değişimler yaşanmıştır. Özellikle sn yıllarda denetim kapsamındaki kurumların bilgi teknljilerinden ve bu teknljilerin sunduğu imkânlardan yararlanmak amacıyla başta mali işlemler lmak üzere her alanda giderek daha yaygın bir şekilde bilişim sistemlerini kullanmaları Sayıştay denetiminin, bu alanı da kapsayacak şekilde yeniden yapılandırılmasını sağlamıştır. Bilişim sistemlerinin kamu mali yönetiminde kullanılmasında yaşanan gelişmelere paralel larak, Başkanlığımız da Bilişim Sistemlerinin Denetimi (BSD) alanında birtakım çalışmalarda bulunmuştur. Bu kapsamda; yılları arasında İngiltere Sayıştayı ile gerçekleştirilen Sayıştay Denetim Kapasitesinin Güçlendirilmesi Eşleştirme Prjesi kapsamında bir ekip luşturularak İngiltere Sayıştayı uzmanlarından Bilişim Sistemleri Denetimi knusunda eğitimler alınmıştır. Bu çalışmalar snucu luşturulan Taslak Bilişim Sistemleri Denetim Rehberi ile Mali Denetim Rehberinin bilişim sistemlerinin değerlendirilmesine ilişkin bölümleri hazırlanmış ve iki kurumda yapılan pilt denetim çalışmalarıyla test edilmiştir. Hazırlanan rehberin etkili lması ve bilişim sistemlerinin denetimi knusunda kapasite geliştirilmesi için Sayıştay Başkanlığı ile Türkiye Bilimsel ve Teknljik Araştırma Kurumu arasında, bilişim sistemleri denetimi, eğitimi, rehber ve yazılım geliştirilmesini de içeren işbirliği prtklü tarihinde imzalanmıştır. Bu prtkl kapsamında; TÜBİTAK UEKAE uzmanlarından teknik knularda eğitim alınmış ve BSD Rehberinin güncellenmesi çalışması tamamlanmış ve bu rehberin rtaya çıkarılması sağlanmıştır. Bu rehber ve uygulamalarının Sayıştayın incelediği sistemlere ilişkin duyduğu bilgi güvenliği ve güvenirliliğine ilişkin güvence elde etme ihtiyacını daha iyi karşılaması ve denetlenen kurumların sistemlerinin geliştirilmesi için kurumlara daha fazla katkı sağlamasını dilerim. Bu vesile ile rehberin hazırlanmasında emeği geçen herkese teşekkür eder, tüm kullanıcılara faydalı lması dileğiyle saygılar sunarım. Dç. Dr. Recai AKYEL Sayıştay Başkanı 3

5

6 İÇİNDEKİLER GIRIŞ VE GENEL METODOLOJI... 1 GIRIŞ... 1 GENEL METODOLOJI... 1 BIRINCI BÖLÜM - DENETIMIN PLANLANMASI BILIŞIM SISTEMLERININ ANLAŞILMASI SISTEM RISK DEĞERLENDIRMESININ YAPILMASI DENETIM KAPSAMININ BELIRLENMESI UZMAN İHTIYACININ BELIRLENMESI DENETIM STRATEJISININ OLUŞTURULMASI DENETIM PROGRAMININ HAZIRLANMASI... 8 İKINCI BÖLÜM - SISTEM KONTROLLERININ DEĞERLENDIRILMESI GENEL KONTROLLERIN DEĞERLENDIRILMESI Yönetim Kntrlleri Stratejik planlama Güvenlik Plitikaları Organizasyn Varlık Yönetimi Persnel ve Eğitim Plitikaları Uygunluk Fiziksel ve Çevresel Kntrller Ağ Yönetimi ve Güvenliği Kntrlleri Mantıksal Erişim Kntrlleri Mantıksal Erişim Plitikaları İşletim Sistemi Erişim Kntrlleri Uygulama Prgramlarına Erişim Kntrlleri İşletim Kntrlleri İşletim Sistemi ve Bilgisayar İşlemleri Kntrlleri Veri Tabanı Güvenlik Kntrlleri Sistem Geliştirme ve Değişim Yönetimi Kntrlleri Sistem Geliştirme Kntrlleri Değişim Yönetimi (Kurulum ve Kabul) Kntrlleri Acil Durum ve İş Sürekliliği Planlaması Kntrlleri UYGULAMA KONTROLLERININ DEĞERLENDIRILMESI Girdi Kntrlleri Veri Transfer Kntrlleri İşlem Kntrlleri Çıktı Kntrlleri ÜÇÜNCÜ BÖLÜM - DENETIM SONUÇLARININ RAPORLANMASI VE İZLENMESI TASLAK RAPORUN HAZIRLANMASI TASLAK RAPORUN KURUMLA GÖRÜŞÜLMESI NIHAI RAPORUN YAZILMASI RAPORUN İLGILILERE SUNULMASI SONUÇLARIN İZLENMESI VE KALITE KONTROLÜ

7 EKLER EK - 1: BILIŞIM SISTEMLERI BILGI EDINME FORMU EK - 2: BILIŞIM SISTEMLERINDEN ETKILENEN HESAP ALANLARININ BELIRLENMESI FORMU EK - 3: SISTEM RISK DEĞERLENDIRME FORMU EK - 4: RISK DEĞERLENDIRME MATRISI EK - 5: RISK DERECELENDIRME FORMU EK - 6: BULGU/RISK DEĞERLENDIRME MATRISI EK -7: BULGU DEĞERLENDIRME FORMU EK - 8: BULGU ÖZET TABLOSU FORMU EK - 9: BILIŞIM SISTEMLERI DENETIMI KALITE KONTROL FORMU EK 10: BILIŞIM SISTEMLERI DENETIMI İZLEME TABLOSU FORMU EK - 11: DENETIM PROGRAMI FORMU EK - 12: KONTROL SETI FORMU

8 GİRİŞ VE GENEL METODOLOJİ GİRİŞ Bilgisayar teknljisi hızla gelişmekte ve bu teknljinin sunduğu imkanlardan yararlanmak amacıyla kurumlarda bilişim sistemleri, başta mali işlemler lmak üzere her alanda giderek daha yaygın bir şekilde kullanılmaktadır. Bilişim sistemlerinin kullanımı bu teknljiye özgü riskleri de beraberinde getirmektedir. Riskleri önleyecek etkin kntrl mekanizmalarının luşturulmaması durumunda sistemlerde üretilen bilginin gizliliği, bütünlüğü ve kullanılabilirliği, dlayısıyla bu bilgiyi işleyen, tutan ve raprlayan sistemlerin güvenliği ve güvenilirliği zarar görebilmektedir. Bu nedenle, bu teknljilerin yğun kullanıldığı rtamlarda yürütülecek denetimler sırasında bu risklerin etkilerini dikkate alan yaklaşım, mett ve tekniklerin benimsenmesi gerekmektedir. Nitekim, Uluslararası Sayıştaylar Birliği (INTOSAI) denetim standartlarına göre, muhasebe veya diğer bilgi sistemlerinin bilgisayarlaştırıldığı rtamlarda denetçi, denetlenen kurumun verilerinin dğruluk, tamlık (bütünlük) ve güvenilirliğini sağlayan iç kntrllerin uygun çalışıp çalışmadığını belirlemelidir. Bilgi Sistemleri Denetim ve Kntrl Birliği (ISACA) tarafından kabul gören tanıma göre, Bilişim Sistemleri Denetimi; bir bilgisayar (veya bilgi) sisteminin varlıkları güvence altına alıp almadığı, veri bütünlüğünü sağlayıp sağlamadığı, kurumsal amaçlara etkin biçimde ulaşıp ulaşmadığı ve kaynakları verimli bir şekilde kullanıp kullanmadığını belirlemek amacıyla yapılan kanıt tplama ve değerlendirme sürecidir. Mali denetim açısından bilişim sistemleri denetiminin amacı, denetlenen kurumlarda kullanılan bilişim sistemlerinin işlem ve uygulamalarının güvenlik ve güvenilirliğini sağlayan iç kntrlleri incelemek ve değerlendirmektir. Bu rehber kapsamında yapılan bilişim sistemleri denetimi, mali denetim sürecine destek vermeyi, sistemlerin kntrl zayıflıklarının belirlenmesi ve öneriler sunulması ylu ile kuruma katkı sağlamayı ve bilgi sistemleri knusunda kamuyuna ve parlamentya bilgi sunmayı amaçlamaktadır. GENEL METODOLOJİ Bu rehber, denetçilere bilişim sistemleri denetiminin nasıl planlanacağı, yürütüleceği ve raprlanacağı knusunda yl göstermek amacıyla hazırlanmıştır. Rehberin hazırlanmasında, başta Bilgi Güvenliği Standartları (ISO 17799, ISO ) lmak üzere INTOSAI rehber ve standartları, ISACA rehberleri ile diğer ülke ve ilgili kuruluş rehberlerinden yararlanılmıştır. 1

9 DENETİMİN PLANLANMASI Rehber, bilişim sistemleri denetimi knusunda uzmanlaşmış denetçiler tarafından kullanılacağı ve nların da bilişim sistemleri denetimine ilişkin kavramlar knusunda belli düzeyde bilgiye sahip ldukları varsayımı ile hazırlandığından, kavramsal açıklamalara mümkün lduğunca yer verilmemiştir. Bilişim sistemleri denetimi, denetlenmek istenen her tür bilgi sisteminde yapılabilir. Ancak bu rehber Sayıştay ihtiyaçları da göz önünde bulundurularak mali nitelikteki sistemlerde denetim yapılacağı varsayılarak hazırlanmıştır. Mali nitelikte lmayan bir sistemin denetimine ihtiyaç duyulması durumunda, rehberin mali nitelikteki sistemlerin belirlenmesine ilişkin hususları dışarıda bırakılarak rehberin diğer kısımları kullanılabilir. Bilişim sistemleri denetimi, bir kurumun bilişim sistemlerinin tamamında yürütülebileceği gibi sadece yüksek riskli larak görülen sistemler veya kntrl alanlarında da yürütülebilir. Bu durumda denetlenecek sistem veya kntrl alanları, risk değerlendirmesi yluyla belirlenir. Bu rehberde, bilişim sistemleri denetimi, bir kurumun tüm sistemlerinin değerlendirilmesine imkan sağlayacak şekilde ele alınmıştır. Rehberde, denetçinin adım adım hangi işleri nasıl yapacağını gösteren süreç daklı bir yaklaşım benimsenmiş ve ağırlıklı larak kntrl alanları bazında sistem kntrllerinin nasıl değerlendirileceği düzenlenmiştir. Bu rehberin hazırlanmasında, Sayıştay ihtiyaçları göz önünde bulundurularak bilgi sistemlerinin güvenlik ve güvenilirliklerinin değerlendirilmesi hususlarına ağırlık verilmiş, sistemlerin verimlilik, etkinlik ve tutumluluklarının değerlendirilmesine daha az yer verilmiştir. Rehberde yer alan kntrl alanları ve buna bağlı kntrller teknljinin hızlı değişimine paralel larak değişkendir. Yapılacak denetimler esnasında bu alanlardaki değişikliklere uygun larak Denetim Prgramları ile Kntrl Setleri nin değişeceği unutulmamalıdır. Ayrıca, yapılacak denetimin amacına göre verimlilik, etkinlik ve tutumluluğu değerlendirmeye ilişkin larak ihtiyaç duyulan kntrller, prgram ve setlere ilave edilebilir. Bilişim sistemleri denetimi yürütülürken risk tabanlı denetim yaklaşımına uygun larak şu genel çerçeve izlenir; öncelikle incelenen bilişim sisteminden kaynaklanabilecek riskler belirlenir, bu riskleri minimize edecek kntrl mekanizmaları belirlenir, bu kntrl mekanizmalarının kurumun yapısı göz önünde tutularak luşturulup luşturulmadığı, luşturulmuş ise etkin çalışıp çalışmadığı incelenir, inceleme snrası, iç kntrllerdeki zayıflıklar değerlendirilir ve elde edilen bulgular belli bir prsedüre göre raprlanır. Bu çerçevede rehber üç ana bölümden luşturulmuştur: Denetimin Planlanması başlıklı birinci bölümde, bilişim sistemleri denetiminin planlanması sırasında denetçinin yapacağı işler sistematik bir şekilde anlatılmaktadır. Bu işler, kurumun ve kurum bilişim sistemlerinin anlaşılması, sistem risk değerlendirmelerinin yapılması, denetim kapsamının ve uzman ihtiyacının belirlenmesi, denetim stratejisinin luşturulması ve denetim prgramlarının hazırlanmasından luşmaktadır. Sistem Kntrllerinin Değerlendirilmesi başlıklı ikinci bölümde, kntrl değerlendirmeleri kntrl alanı bazında ele alınmaktadır. Her bir kntrl alanı için, kntrl hedefi, alana ilişkin riskler ve bu riskleri minimize edecek kntrl faaliyetleri açıklanacak şekilde düzenlenmiş ve alandaki kntrllerin varlığı ve etkinliğinin nasıl değerlendirileceği gösterilmiştir. Denetim snuçlarının raprlanması ve izlenmesini knu alan üçüncü bölümde ise, taslak raprun hazırlanması, kurum yöneticileriyle görüşme ve nihai raprun yazılması ve ilgili birimlere sunulması knuları açıklanmaktadır. Ayrıca raprda düzeltilmesi istenen hususların nasıl izleneceği ve denetim kalite kntrlünün nasıl yapılacağı knuları üzerinde durulmaktadır. 2

10 BİRİNCİ BÖLÜM DENETİMİN PLANLANMASI Denetim faaliyeti, denetimin planlanmasıyla başlar. Planlama, iyi bir denetimin anahtar unsuru lup, denetim süresince takip edilecek yl gösterici bir süreçtir. Planlama, denetçinin, denetlenen kurumun bilişim sistemlerine ilişkin kntrlleri değerlendirmek için denetim kanıtı tplamanın etkin ve verimli mettlarını belirlemesine imkan verir. Planlama süreci, kurumun ve bilişim sistemlerinin tanınması, sistem risk değerlendirmesinin yapılması, denetim kapsam, yöntem ve stratejisinin luşturulması, uzman kullanımı ihtiyacının belirlenmesi ve denetim prgramlarının hazırlanmasından luşur. 1.1 BİLİŞİM SİSTEMLERİNİN ANLAŞILMASI Denetçi denetlediği kurumun, mali raprlama ve iş yönetim süreci içerisinde kullanılan bilişim sistemi ve ana faaliyetleri hakkında yeterli düzeyde bilgi sahibi lmalıdır. Kurumun tanınması ve bilişim sisteminin anlaşılması için denetçi öncelikle kurum ve bilişim sistemi ile ilgili larak her türlü kaynaktan yararlanmak suretiyle bilgi tplamalıdır. Kurum ve bilişim sistemini tanımaya yönelik larak aşağıdaki faaliyetler yürütülmelidir: Bilişim Sistemlerini Oluşturan Unsurların Tanınması Bilişim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar dnanımı, yazılımı ile kaynak paylaşımını gerçekleştirmek için bilgisayarları birbirine bağlayan ağlar ve nları kullanan insanlardan luşur. Bir sistemi anlamak için nu luşturan unsurların tanınması gerekir. Bunun için kurum bilişim sistemlerinin dnanım yapısı, kullanılan yazılımlar ve ağ yapısı incelenmeli sistemi işleten ve kullanan persnel ile sisteme veri giriş yöntemleri knusunda bilgi edinilmelidir. Bu kapsamda hazırlanan Bilişim Sistemleri Bilgi Edinme Frmu (Ek-1) bu amaçla kullanılır. Denetlenen Kuruma İlişkin Temel Düzenlemelerin Belirlenmesi Kurumun uyması gereken ve kurum bilişim sistemini etkileyebilecek lan her türlü düzenleme belirlenmeli ve incelenmek üzere nt edilmelidir. Bunlar arasında kurumla ilgili mevzuat, stratejik planlar, yıllık prgramlar, faaliyet raprları ve bütçeler sayılabilir. Önceki Dönem Denetim Raprlarından Bilgi Tplanması Önceki dönemlerde yazılmış bağımsız bilişim sistemi denetim raprları, mali denetim raprları, mali denetim sürecinde hazırlanan denetim dsyaları ve iç denetim raprları incelenerek hem kurum bilişim sistemi hem de bilişim sistemine ilişkin kntrl faaliyetleri hakkında bilgi tplanmalıdır. Kurumda daha önce Sayıştay tarafından bilişim sistemleri denetimi yapılmış ise bu denetim snucunda hazırlanmış lan İzleme Tablları elde edilir ve değerlendirilir. Kurum İş Süreçlerinin Belirlenmesi 3

11 DENETİMİN PLANLANMASI İş akış şemaları, iş süreçlerinde; süreç adımlarının, tmatik/manuel kntrllerin, sürecin özel durumlarını da gösteren alternatif akış yllarının, paralel işleyen adımların gösterildiği diyagramlardır. Denetçinin, bilişim sistemlerindeki veri işleme süreçlerini anlayabilmesi için; kurumun faaliyet gösterdiği alanları, gerçekleştirdiği işleri ve iş akışlarını tanıması gerekir. Bunun için denetçi, kurumun hazırladığı iş akış şemalarından yararlanır. İş akış şemaları mevcut değilse, denetçi bu şemaların hazırlanmasını talep eder ve hazırlık sürecine refakat eder. Gerekiyrsa denetçi, iş akış şemalarını bizzat kendisi çıkararak kurumun iş süreçlerini belirler. Bu belgeler denetimin yürütülmesi için ihtiyaç duyulacak temel kaynaklardandır. İş akış şemaları, yapılan işlerin her bir aşamasını gösterecek ayrıntıda lmalıdır. Bu şemalar luşturulurken, bunların anlaşılır lmasına, farklı akış yllarının gösterilmesine ve gerekli yerlerde referansların belirtilmesine özen gösterilmelidir. Ayrıca iş akış şemalarında, yapılan işin kurumun hangi birimi tarafından ve hangi sistem kullanılarak yapıldığı da görülebilmelidir. Şemalarda süreçlerin hangilerinin manuel, hangilerinin bilişim rtamında yürütüldüğü gösterilmelidir. Denetçi, kurum iş akışlarını incelerken, iş süreçlerinde luşturulmuş kntrlleri belirleyerek daha snra sistem kntrllerini incelerken kullanmak üzere nt etmelidir. İş akış şemalarının mevcut lmaması denetim sürecini geciktirebileceğinden, kurumdan mümkün lduğu kadar erken bir safhada talep edilmelidir. Bilişim Ortamında Gerçekleştirilen İşlerin Belirlenmesi Kurum iş süreçleri belirlendikten snra kurum tarafından yürütülen işlerden hangilerinin bilişim rtamında gerçekleştirildiği belirlenmelidir. Ayrıca muhasebeyi ve hesap alanlarını etkileyen sistemlerin de belirlenmesi gerekir. Bu amaçla, Bilişim Sistemlerinden Etkilenen Hesap Alanlarının Belirlenmesi Frmu (EK-2) kullanılmalıdır. Üçüncü Taraflarla İlişkilerin Belirlenmesi Kurumun üçüncü taraflarla, özellikle kamu kurumları ile ilişkisi tanımlanmalıdır. Bu ilişkinin iş süreçleriyle bağlantısı incelenmeli ve bilişim sistemleri bazındaki ilişki üzerinde yğunlaşılmalıdır. Servis, bakım ve destek ilişkileri genel hatlarıyla rtaya knmalı, ilgili sözleşmeler temin edilmelidir. 1.2 SİSTEM RİSK DEĞERLENDİRMESİNİN YAPILMASI Kurumun hangi işlemleri bilişim rtamında yaptığı ve bunların mali tablları ve hesap alanını etkileyip etkilemediği tespit edildikten snra, belirlenen sistemlerin risk değerlendirmesi yapılmalıdır. Denetimin planlaması aşamasında yapılacak risk değerlendirmesi, sistemler tek tek ele alınmak suretiyle ve Sistem Risk Değerlendirme Frmu (EK-3) yardımıyla yapılacaktır. Sistem Risk Değerlendirme Frmu nda risk faktörleri beş temel kriter altında tplanmış ve tplam risk içerisindeki yüzde ağırlıkları tespit edilmiştir: Önemlilik (%36) Kritiklik (%20) Karmaşıklık (%16) Teknik altyapı (%16) Kntrl çevresi (%12) Risk ağırlık yüzdelerinin kriterlere dağılımı sabittir. Ancak risk değerlendirme frmu hem bjektif hem de subjektif unsurlar içerdiğinden denetçinin bu değerlendirme frmu üzerinde 4

12 kendi muhakemesiyle, söz knusu denetime münhasır hususiyetleri dikkate alarak birtakım değişikler yapma imkanına sahiptir. Bu çerçevede, tplam ağırlık yüzdesi değişmeyecek şekilde, her bir risk faktörünün ağırlığını yeniden belirleyebileceği gibi yeni risk faktörü ekleyerek de bu ağırlıkları yeniden belirleyebilir. Risk faktörlerinin risk puanları, belirlenen puan ve ağırlıklara göre tespit edilir. Beş ayrı kriterde ve tplamda risk puanları hesaplanır ve Risk Değerlendirme Matrisi (EK-4) yardımıyla sistemin riskinin hangi kriterde yğunlaştığı tespit edilir ve tplam risk derecesi belirlenir. Bütün sistemlerin risk değerlendirmesi yapıldıktan snra, sistemler tplam risk puanları dikkate alınarak Risk Derecelendirme Frmu nda (EK-5) sıralandırılır. 1.3 DENETİM KAPSAMININ BELİRLENMESİ Risk Derecelendirme Frmu nda yapılan sıralama, hangi sistemlerin denetim kapsamına alınacağını belirlemede en önemli unsur lacaktır. Denetçi, bu bilgiler ışığında uygulanacak genel kntrllerle birlikte uygulama kntrlleri açısından hangi sistemlerin ayrıntılı incelemeye alınacağına karar verir. Denetçi, risk değerlendirmesi ile birlikte daha önce kurum ve kurum bilişim sistemlerine ilişkin elde etmiş lduğu bilgiler, denetim amacı ve inceleme yapabileceği zaman gibi unsurları da göz önüne alarak denetimin kapsamını belirler. 1.4 UZMAN İHTİYACININ BELİRLENMESİ Bilişim sistemlerinin denetiminde aşağıda belirtilen sebeplerle uzman çalıştırılmasına ihtiyaç duyulabilir: Bilişim sistemlerinin teknik ve karmaşık unsurlarının değerlendirilmesinde denetim ekibinde yeterli nitelikte denetçinin bulunmaması durumunda uzman desteği alma, Özel uzmanlık gerektiren alanlarda kurum dışı uzmanlık ve tecrübelerden yararlanma, Yeni yaklaşım ve farklı bakış açılarından yararlanma, Kurum dışında geliştirilmiş iyi uygulamaları denetimde kullanma, Denetim kanıtlarının, bulguların ve geliştirilen önerilerin ağırlık ve kalitesini arttırma, Denetim süresinin sınırlı lması durumunda denetimi zamanında tamamlama Uzman ihtiyacının belirlenme zamanı Bilişim sistemleri denetimlerinde uzman çalıştırılıp çalıştırılmayacağı, denetime başlamadan, önceki denetim tecrübelerinden yararlanarak planlanabilir. Bu durumda, uzman çalıştırılmasına ilişkin süreç zaman alabileceğinden, denetim başlamadan önce uzman çalıştırılmasına ilişkin hazırlıklar tamamlanmalıdır. Uzman çalıştırma ihtiyacı denetim başladıktan snra bilişim sistemlerinin tanınması aşamasında rtaya çıktı ise, denetim stratejisi hazırlanmadan önce uzman çalıştırılacak şekilde sürecin başlatılmasına dikkat edilmelidir. Uzman çalıştırılacak alanların kapsamının ve süresinin belirlenmesi Uzman desteğine ihtiyaç duyulması halinde, uzman desteğinin hangi alanlarda nasıl alınacağı şartnamede açıkça belirtilmelidir. 5

13 DENETİMİN PLANLANMASI Şartnamede aşağıda belirtilen hususlara yer verilmelidir: Çalışmanın amacı, kapsamı ve süresi, Özel çalışma yapılacak alanlar, Uzmanın hangi sistemlerde hangi bilgilere erişebileceği, Denetim ekibi ile uzmanın birlikte çalışma esasları ve iletişimin nasıl sağlanacağı, Denetlenen kurum ile uzman arasındaki ilişkilerin nasıl sağlanacağı, Denetlenen kurum bilgilerinin gizliliği ve uyulması gereken kurallar, Uzman tarafından kullanılacak mettlar, Uzman çalışmalarının snuçlarının nasıl raprlanacağı Uzmanda aranacak nitelikler Uzman çalıştırılırken, uzmanın çalışacağı alandaki yeterliliği değerlendirilmelidir. Uzmanın knusunda yetkin ve tecrübeli lmasına özen gösterilmelidir. Uzmanın çalıştırılacağı alanla ile ilgili uzmanlık sertifikalarının bulunup bulunmadığı ve daha önceki çalışmalarına ilişkin referansları incelenmelidir. Ayrıca uzmanın tarafsız lmasına ve denetlenen kurumla ve bu kurumla bağlantısı lan kuruluşlarla herhangi bir ticari ilişkisinin bulunmamasına dikkat edilmelidir. Uzman çalışmalarının değerlendirilmesi Denetçi, uzman tarafından yapılan çalışmaları inceleyerek çalışma snuçlarını değerlendirmelidir. Değerlendirme yapılırken aşağıdaki hususlar göz önünde bulundurulmalıdır: Çalışmanın uzman çalıştırmaya ilişkin şartnameye uygunluğu, Uzman tarafından kullanılan kaynak verilerin yeterliliği, Kullanılan mettların ve denetim kanıtlarının uygunluğu, Çalışma zamanlarının ve sürelerinin uygunluğu, Çalışma snuçlarının ve bulguların diğer çalışmalara uygunluğu, Uzman çalıştırılırken denetim sürecine göre aşağıdaki hususlara da dikkat edilmelidir. Planlama aşamasında, denetçi ile uzman, kurumu ve bilişim sistemlerini tanıma, risk değerlendirmesi yapma ve ayrıntılı çalışma alanlarının belirlenmesi çalışmalarını birlikte değerlendirilerek denetim stratejisini luşturmalı ve uygulanacak test talimatlarını belirlemelidir. Sistem kntrllerinin değerlendirilmesi aşamasında, uzmanın sistemlerde yapacağı testler ve diğer çalışmalar denetçi refakatinde yerine getirilmelidir. Raprlama aşamasında, uzman çalışmalarının snuçları ve raprları uzmanla birlikte değerlendirilerek Bilişim Sistemleri Denetim Rapruna alınacak hususlar belirlenmelidir. 6

14 1.5 DENETİM STRATEJİSİNİN OLUŞTURULMASI Kurumun ve kurum bilişim sistemlerinin tanınması, risk değerlendirmesinin yapılması ve denetim kapsamının belirlenmesi snrasında denetimin nasıl yürütüleceğini gösteren denetim stratejisinin luşturulması gerekir. Bu nedenle Denetim Strateji Belgesi hazırlanır. Kurumu bilgilendirmek ve yapılacak denetimin sağlıklı yürütülmesi için gerekli hazırlıkların kurumca yapılmasını sağlamak amacıyla Denetim Strateji Belgesi kurum yönetimine verilir. Denetim strateji belgesi, aşağıda belirtilen unsurları içerecek şekilde hazırlanmalıdır: Denetim sürecini gösteren tarihler Denetimin amacı ve metdljisi İncelenecek sistemler İncelemeleri yapacak denetçiler ve uzmanlar İnceleme yapılacak yerler İnceleme süresi Erişim yetkileri Yerinde yapılacak testlerin ve denetim çalışmalarının kurum faaliyetlerine lası etkileri Yapılacak incelemelerin kapsamı ve süresi, incelenecek sistemlerin dnanımının, kullanıcılarının ve bu sistemleri işleten ve destekleyen kurum persnelinin bulunduğu mekanlara göre değişebilir. Denetim stratejisinin kuruma verilmesi snrasında, incelenecek her sistemin srumlusu ve yöneticisinin de içerisinde bulunduğu bir ekip belirlenmeli ve bu ekiple bir çalışma prgramı luşturulmalıdır. Bu prgramda; srumlu persnelin isimleri ve iletişim bilgileri, katılımcı listesi, inceleme tarihleri, kapanış tplantılarının tarihleri, bulguları tartışma tarihleri ve taslak raprun tartışılma tarihleri belirtilmelidir. 7

15 DENETİMİN PLANLANMASI 1.6 DENETİM PROGRAMININ HAZIRLANMASI Denetçi, sistem kntrllerinin incelemesine geçmeden önce hangi kntrl alanlarını inceleyeceğini, inceleme esnasında hangi kntrllerin varlığını arayacağını ve eğer varsa ilgili kntrllerin etkin çalışıp çalışmadığını hangi yöntemleri kullanarak test edeceğini belirlemelidir. Bunu yapabilmek için Denetim Prgramı Frmu (EK-11) kullanılarak kuruma özgü denetim prgramları hazırlanır. Prgramların hazırlanmasında, rehberin Sistem Kntrllerinin Değerlendirilmesi bölümünde yer alan her bir kntrl alanına ilişkin Kntrllerin Değerlendirilmesi başlıklı kısımda belirtilen yöntemlerden yararlanılır. Kntrl değerlendirme yöntemleri denetçiyi sınırlayıcı lmayıp sistem kntrllerinin değerlendirilmesi için asgari bir çerçeve sunmaktadır. 8

16 İKİNCİ BÖLÜM - SİSTEM KONTROLLERİNİN DEĞERLENDİRİLMESİ Yapılacak bilişim sistemleri denetiminin planlaması tamamlandıktan snra, incelenen kurum veya sisteme özgü larak kntrl alanları itibariyle hazırlanan denetim prgramları yardımıyla sistem kntrlleri değerlendirilir. Sistem kntrllerinin değerlendirilmesi esnasında sistemin iç kntrl zayıflıklarına ilişkin kanıt tplanır. Sistem kntrllerinin değerlendirilmesinde üç aşamalı bir süreç izlenmelidir: Kntrl varlığının belirlenmesi Kntrl etkinliğinin değerlendirilmesi Bulguların değerlendirilmesi Kntrl Varlığının Belirlenmesi İnceleme faaliyetleri sırasında her bir kntrl alanına ilişkin yapılacak tplantılar öncesinde kurumun ilgili kntrller knusunda bilgilenmesinin ve tplantılara hazırlıklı gelinmesinin sağlanması için denetim prgramlarında yer alan kntrl değerlendirme srularını içeren Kntrl Setleri hazırlanarak ilgililerine verilir. Bu kntrl setleri lması gereken kntrller, değerlendirme sruları, kurum cevabı ve kurumdan istenen kanıtlayıcı belgeleri içerecek şekilde düzenlenmelidir. Bu amaçla Kntrl Seti Frmu (EK-12) kullanılır. Sistem kntrlleri incelenirken öncelikle kntrl alanları itibariyle lması gereken kntrllerin var lup lmadığı araştırılmalıdır. Bunun için yapılan çalışma prgramına uygun şekilde, her bir kntrl alanına ilişkin larak hazırlanmış ve kuruma önceden verilmiş lan kntrl setleri temelinde ilgililerle tplantılar yapılmalıdır. Bu tplantılarda kntrllerin varlığına ilişkin kurum cevapları kanıtlayıcı belgelerle birlikte alınmalıdır. Alınan cevaplar ve kanıtlayıcı belgelerin incelenmesi snrasında ilgili kntrllerin var lup lmadığı, kntrle ilişkin riskler ve bu risklerin nasıl yönetildiğine ilişkin telafi edici kntrllerin var lup lmadığı da dikkate alınarak belirlenmelidir. Kntrl varlığına ilişkin elde edilen bulgular denetim prgramı frmunda yer alan Bulgular sütununda gösterilir. İlgili kntrllerin var lup lmadığını gösteren kanıtlayıcı belgelere ve eğer değerlendirme için ayrı çalışma kağıtları düzenlendiyse bunlara da ilgili Referans sütununda yer verilmelidir. Kanıtlayıcı belgeler kntrl alanları itibariyle numaralandırılarak düzenli bir şekilde arşivlenmelidir. 9

17 Kntrl Etkinliğinin Değerlendirilmesi Olması gereken kntrlün var lup lmadığı belirlendikten snra, bu kntrlün etkinliği değerlendirilmelidir. Kntrl etkinliğinin değerlendirilmesi, denetim prgramı frmunda yer alan ilgili Kntrl Etkinliğini Belgeleme ve İnceleme Yöntemi sütununda belirlenen yöntemlerle yapılır. Bu değerlendirmeler snucu tespit edilen kntrl zayıflıklarına kanıtlarıyla birlikte denetim prgramı frmunun Bulgular sütununda yer verilmelidir. Ayrıca kntrl etkinliğinin değerlendirilmesi sırasında uzman desteğinde yapılacak teknik testlere ilişkin raprların incelenmesi snrasında elde edilen bulgular da bu bölüme yazılır. İlgili çalışma kağıtları, uzman raprları ve kanıtlayıcı belgeler Referans sütununda belirtilmelidir. Bulguların Değerlendirilmesi İncelemeler snunda elde edilen bulgular, denetçi tarafından, yeterli kanıt tplanıp tplanmadığı açısından değerlendirilerek ek incelemeye ihtiyaç lup lmadığı belirlenmeli ve gerekli ek incelemeler yapılarak inceleme süreci tamamlanmalıdır. Bulgu bir kntrl eksikliğini ya da mevcut bir kntrl zayıflığını ifade etmektedir ve her bir denetim bulgusu kurumun bilgi varlıklarına yönelik bir riski içermektedir. Her bir kntrl alanı itibariyle bulguların risk düzeyleri belirlenerek bulgular arasında derecelendirme yapılmasına ve denetim bulgularının genel değerlendirmesine imkan sağlanır. Bulguların risk değerlendirmesi, tespit edilen bulgunun rtaya çıkardığı riskin etki düzeyi ile risk gerçekleşme lasılığı birlikte değerlendirilerek yapılmaktadır. Etki kavramı, aşağıdaki unsurların birini, birkaçını ya da tümünü içerir; kurumun bilgi varlıklarının güvenliğine, bütünlüğüne ve kullanılabilirliğine lan etki sistemin işleyişine lan etki sahteciliğin ve ylsuzluğun meydana gelme ihtimali kurumun mali tabllarına lan etki ve rtaya çıkabilecek muhtemel mali kayıplar kntrl eksikliğinin ya da zayıflığının ne kadar süre içinde giderilmesi gerektiği (tedbir alma knusundaki aciliyet) Gerçekleşme lasılığı, belli bir zaman dilimi içerisinde bu riskin gerçekleşmesi ihtimalini ifade eder. Elde edilen her bir bulguya ilişkin risk düzeyi, yukarıda tanımlanan kriterler ışığında belirlenen etki düzeyi ve gerçekleşme lasılıkları göz önünde bulundurularak ve Bulgu/Risk Değerlendirme Matrisi (EK-6) kullanılarak denetçi tarafından belirlenmektedir. Kntrl alanları itibariyle elde edilen bulgular, lası etkileri, denetçi önerileri ve risk düzeyini de içerecek şekilde Bulgu Değerlendirme Frmu (EK-7) düzenlenerek ilgili kurum persneliyle görüşülmek üzere kuruma verilmelidir. Daha snra, ilgili kurum persneli ile kapanış tplantıları yapılarak, bulgulara ilişkin kurum görüşleri alınmalıdır. Kurum görüşleri alındıktan snra bulgular yeniden gözden geçirilerek rapra alınacaklar belirlenmelidir. Rapra alınacak bulgular, raprda riski daha iyi belirtmek ve sunum klaylığı sağlamak için kntrl alanları itibariyle sınıflandırılmalıdır. Bunun için Bulgu Özet Tablsu Frmu (EK-8) kullanılarak her bir kntrl alanı için elde edilen bulgu sayısı, bunların risk düzeylerine göre sayısı ile mali tablları dğrudan etkileyenlerin sayısı belirlenmelidir. Sistem kntrllerinin değerlendirilmesi kntrl alanları itibariyle yapılır. Kntrl alanları, genel ve uygulama kntrlleri lmak üzere iki ana başlık altında gruplandırılır. 10

18 2.1 GENEL KONTROLLERİN DEĞERLENDİRİLMESİ Genel Kntrller, kuruma ait tüm bilişim sistemleri faaliyetlerinin sürekliliğinin sağlanmasına yönelik yapı, yöntem ve prsedürlere ilişkin kntrllerdir. Bu kntrller uygulama yazılımları ve bunlara ilişkin kntrller için güvenli bir rtam luşturur. Genel kntrller aşağıda yazılı kntrl alanlarından luşur: Yönetim Kntrlleri Fiziksel ve Çevresel Kntrller Ağ Yönetimi ve Güvenliği Kntrlleri Mantıksal Erişim Kntrlleri İşletim Kntrlleri Sistem Geliştirme ve Değişim Yönetimi Kntrlleri Acil Durum ve İş Sürekliliği Planlaması Kntrlleri YÖNETİM KONTROLLERİ Kurum yönetimi, bilişim sisteminin kurum amaçlarına uygun çalışmasını ve işlevlerini dğru bir şekilde yerine getirmesini sağlayacak tedbirleri almakla yükümlüdür. Yönetim kntrllerinin amacı güvenli ve yeterli bir bilişim rtamının sağlanması için uygun plitika ve prsedürler luşturmaktır. Bu kntrller denetçiye alt düzeydeki ayrıntılı kntrllerin varlığı ve etkinliği knusunda makul bir güvence sağlar. Yönetim kntrlleri, stratejik planlama, güvenlik plitikaları, rganizasyn, varlık yönetimi, persnel ve eğitim plitikaları ile yasal düzenlemelere uygunluk alanlarından luşur STRATEJİK PLANLAMA Kntrl Hedefi Bilişim sistemlerine ilişkin tüm faaliyetlerin, kurumun stratejik amaç ve hedefleri dğrultusunda ve risk değerlendirmesi çerçevesinde yürütülmesini sağlamaktır. Riskler Kurumun bilişim sistemlerine ilişkin stratejik planlama yapamaması şu riskleri rtaya çıkarır: Bilişim sistemleri ihtiyaçlarının, kurumsal amaç ve hedeflere uygun larak karşılanmaması Kurum ihtiyaçlarının BS yönetimi tarafından anlaşılamaması veya yeterli düzeyde karşılanamaması İş önceliklerinin dğru tanımlanamaması ve kaynakların yanlış tahsis edilmesi BS yetkinliğine ilişkin yeni fırsatların fark edilemeyerek kaçırılması Kurumun karşı karşıya kalacağı tehlikelerin belirlenememesi, etkilerinin ölçülememesi ve riskin yönetilememesi Her riskin etkisinin sadece bir güvenlik layı gibi algılanması nedeniyle BS varlıklarının bütünlük veya güvenilirliğine zarar gelmesi 11

19 Tesis edilmiş lan zayıf kntrllere aşırı güven Kaynakların riskleri karşılamak için etkin kullanılamaması Risklerin azaltılmasına yönelik kntrllerin amaçlandığı gibi işlememesi Üst yönetimin, kurumun bilişim sistemlerine ilişkin alınacak önemli kararlarda etkin bir rl alamaması Bilişim sistemlerine ilişkin faaliyetlerde krdinasyn srunlarının rtaya çıkması BS bütçesi üzerinde zayıf kntrl Temel Kntrller Bilişim sistemlerinin stratejik planlamasının yapılamaması durumunda rtaya çıkacak riskleri minimize edecek temel kntrller şunlardır: Kntrllerin Değerlendirilmesi Kurumun bilişim sistemlerine ilişkin yazılı bir stratejisi ve bu stratejinin uygulanmasına ilişkin planları lmalıdır. Bilişim sistemlerinin stratejik planlamasının yapılması ve krdinasynun sağlanması için bir bilişim sistemleri yönlendirme kurulu lmalıdır. Bilişim sistemine ilişkin düzenli larak risk değerlendirilmesi yapılmalıdır. Risk değerlendirmesi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SP-1 Bilişim sistemine ilişkin riskler düzenli larak değerlendirilmeli ve stratejik planlama çerçevesinde dikkate alınmalıdır. Görevli bir birim tarafından düzenli larak risk değerlendirmesi yapılıyr mu? Bilişim sistemleri güvenliğine ilişkin risk kütüğü tutuluyr mu? Risk değerlendirmeleri ve yönetim tarafından alınan kararlar/tedbirler bilişim sistemleri stratejisi ve kısa dönemli planlara yansıtılmış mı? Risk değerlendirmesine ilişkin faaliyetler ve risk kütüğünün genel risk kütüğü kayıtlarıyla uyumluluk, önceliklendirme ve risk srumluları itibariyle incelenmesi Yapılan risk değerlendirmelerinin bilişim sistemleri stratejisinin hazırlanmasında ve uygulanmasında dikkate alınıp alınmadığının değerlendirilmesi Bilişim sistemleri stratejisi Kntrl Kntrl varlığını değerlendirme sruları SP-2 Kurumun bilişim sistemlerine ilişkin yazılı bir stratejisi lmalıdır. Kurumun, üst yönetim tarafından naylanmış bilişim sistemlerini de kapsayan yazılı bir strateji bildirimi var mı? Düzenli aralıklarla gözden geçiriliyr mu? 12

20 Hazırlanması ve uygulamaya geçirilmesine ilişkin prsedürler var mı? Strateji, kısa dönemli planlar ile uygulamaya geçirilebilecek detayda tasarlanarak eylem planları yapılmış mı? Kntrl etkinliğini Kurum strateji planı ve bilişim sistemleri strateji planının incelenerek kurum bilişim sistemlerinin kurum amaçları dğrultusunda, gerçekleştirilecek faaliyetleri ve başarı göstergelerini de içerecek şekilde planlı larak geliştirilip geliştirilmediğinin incelenmesi Bilişim Sistemleri Stratejisinin kısa dönem planlar ve bütçeyle ilişkilendirilip ilişkilendirilmediğinin incelenmesi Stratejide rtaya knulan eylem planına uyulup uyulmadığının incelenmesi Bilişim sistemleri stratejisinde bilgi güvenliğine ilişkin hususlara yer verilip verilmediğinin incelenmesi Bilişim sistemleri yönlendirme kurulu Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SP-3 Kurumun bilişim sistemlerine ilişkin stratejik planlamanın yapılması için bilişim sistemleri yönlendirme kurulu lmalıdır. Kurumun bilişim sistemleri yönlendirme kurulu var mı? Yönlendirme kurulunun luşumuna ve faaliyetlerini icra etmesine ilişkin düzenlemeler var mı? Üst yönetim ve önemli birimlerin yöneticilerinin bilişim sistemleri yönlendirme kuruluna katılımının ve tplantı tutanaklarının incelenmesi Kurulun, teknik knulara ilişkin larak teknik düzeyde bilgi sahibi kişilerden luşan ayrı kurul ya da kmisynlardan destek alıp almadığının incelenmesi Kurulun, kurumun stratejik planlarının bilişim sistemlerini ilgilendiren kısımlarının ve bilişim sistemleri stratejisinin hazırlanmasında ynadığı rlün değerlendirilmesi GÜVENLİK POLİTİKALARI Kntrl Hedefi Riskler Kurumun iş gerekleri ve ilgili mevzuatına uygun şekilde, bilgi güvenliğini destekleyecek plitika ve prsedürleri belirlemek ve uygulanmasını sağlamaktır. Kurum yönetiminin bilişim sistemi güvenliği ile ilgili kurumsal plitikaları ve düzenlemeleri yapmaması durumunda karşılaşılabilecek temel riskler şunlardır: Güvenliğe ilişkin laylara zamanında ve uygun karşılık verilememesi Kntrl ve güvenlik kültürünün zayıflayarak aksaklıklara neden lması Tehditlerin zamanında belirlenememesi ve ihlallerin artması 13

21 Güvenlik Plitikasının gereklerinin aşırı maliyetli lması Persnelin bilgi güvenliği bilincine sahip lmaması Güvenlik plitikalarının sahipsiz kalması, güncellikten uzaklaşması ve yazılı hale getirilememesi Temel Kntrller Bilgi güvenliği plitikalarına ilişkin riskleri minimize edecek temel kntrl faaliyetleri şunlardır: Kurum bilişim sistemine ilişkin yazılı bir bilgi güvenliği plitikasına sahip lmalıdır. Yazılı güvenlik plitikası üst yönetim tarafından naylanmış ve basılıp tüm persnele dağıtılmış lmalıdır. Güvenlik plitikasının amacı ve kapsamı açıkça ifade edilmiş, plitikaları uygulayacak persnel ve srumlulukları belirlenmiş ve diğer destekleyici düzenlemelerle ilgileri kurulmuş lmalıdır. Güvenlik plitikaları belirli aralıklarla güncellenmelidir. Kntrllerin Değerlendirilmesi Bilgi güvenliği plitika belgesi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini GP-1 Kurum, bilişim sistemine ilişkin yazılı bir bilgi güvenliği plitikasına sahip lmalıdır. Kurumun yazılı bir bilgi güvenliği plitikası var mı? Yazılı güvenlik plitikası üst yönetim tarafından naylanmış mı? Güvenlik plitika belgesi basılıp tüm persnele dağıtılmış mı? Kurumun yazılı bilgi güvenliği plitika belgesinin aşağıdaki hususlar dikkate alınarak incelenmesi: Güvenlik plitika belgesinin tüm persnel tarafından anlaşılır bir dille yazılıp yazılmadığı Güvenlik plitikalarının amacının, kapsamının ve hangi birimlerin uygulayacağının açık bir şekilde ifade edilip edilmediği İlgili güvenlik tedbirlerine uyulmaması durumunda, karşılaşılabilecek risklerin açıkça belirtilip belirtilmediği Güvenlik plitikalarını destekleyen diğer plitika ve prsedürlere atıfta bulunulup bulunulmadığı Bilgi Güvenliği plitika belgesinin aşağıdaki knuları da içerip içermediğinin incelenmesi: E-psta plitikası Şifre plitikası Kötü niyetli yazılımlardan krunma plitikası İnternet erişim ve kullanım plitikası 14

22 Sunucu güvenlik plitikası Güvenlik açıkları tespit etme plitikası Ağ cihazları güvenlik plitikası Ağ yönetimi plitikası Uzaktan erişim plitikası Sanal özel ağ (VPN) plitikası Risk değerlendirme plitikası Kablsuz iletişim plitikası İnternet DMZ cihazları plitikası Bilgi sistemlerinin genel kullanım plitikası Dnanım ve yazılım envanteri luşturma plitikası Kriz/acil durum yönetimi plitikası Fiziksel güvenlik plitikası Kimlik dğrulama ve yetkilendirme plitikası Veri tabanı güvenlik plitikası Değişim yönetimi plitikası Bilgi sistemleri yedekleme plitikası Persnel güvenliği plitikası Bakım plitikası Kişisel kayıtların güvenliği plitikası SİSTEM KONTROLLERİNİN DEĞERLENDİRİLMESİ Persnelin plitika belgesine klayca ulaşmasını sağlayacak bir dağıtım ve duyuru prsedürünün bulunup bulunmadığının incelenmesi Örnekleme yluyla seçilecek persnelle, güvenlik plitikalarından haberdar lup lmadıkları knusunda görüşme yapılması Üst yönetim Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini GP-2 Üst yönetim bilgi güvenliği plitikalarını sahiplenmelidir. Bilgi güvenliğine ilişkin plitikaların uygulanmasından srumlu bir üst düzey yönetici var mı? Bilgi güvenliği plitikalarından srumlu üst düzey bir yöneticinin bulunup bulunmadığının rganizasyn şeması ve görev dağılımı yazıları incelenerek tespit edilmesi Güncelleme Kntrl Kntrl varlığını değerlendirme sruları GP-3 Bilgi güvenliği plitikaları belirli aralıklarla güncellenmelidir. Bilgi güvenliği plitikaları belirli aralıklarla güncelleniyr mu? Kntrl etkinliğini Bilgi güvenliği plitika belgesinin en sn ne zaman 15

23 güncellendiğinin bir önceki belge ile karşılaştırılarak kntrl edilmesi Mevzuatta bilgi güvenliğini ilgilendiren bir değişiklik varsa, bunun plitika belgesine yansıtılıp yansıtılmadığının incelenmesi Uygulama Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini GP-4 Bilgi güvenliği plitikaları uygulanmalıdır. Bilgi güvenliğine ilişkin plitikaların persnel tarafından yerinde uygulanmasını sağlayacak süreç ve prsedürler luşturulmuş mu? Persnelin uyması gereken bazı prsedürlerin seçilip, bunlara uyulup uyulmadığının gözlemlenmesi ORGANİZASYON Kntrl Hedefi Riskler Temel Kntrller Kurum içinde bilgi güvenliğini sağlayacak bir rganizasyn yapısının kurulmasını ve etkin yönetilmesini sağlamaktır. Bilgi güvenliği knusunda yetersiz örgütlenmeden kaynaklanabilecek temel riskler şunlardır: Srumluluklarda karmaşa, aşırı yetki verme veya hiç yetki vermeme durumlarının luşması Kurumun karşı karşıya kalacağı tehlikelerin belirlenememesi, etkilerinin ölçülememesi ve riskin yönetilememesi Prsedür ve süreçlerin aksaması ve faaliyetlerde karmaşa yaşanması Yönetimin amaçları ile kntrl kültürlerinin örtüşmemesi Persnelin iş tatmininin yönetim zafiyeti ve yetersiz gözetimden kaynaklanan nedenlerle sağlanamaması Kurum tarafından belirlenen plitikaların anlaşılamaması veya kabul görmemesi Esnek lmayan bir BS rganizasyn yapısı Yapılan işlemlerde mükerrerliklerin ve bşlukların meydana gelmesi İhtiyaçların belirlenmesinde etkin ve verimli bir yapının tesis edilememesi Yetersiz persnel istihdamı Uygun lmayan görev ayrımlarının yapılması Zayıf hizmet sunumu Zayıf bilişim sistemleri güvenliği Kurum bilişim sistemlerine ilişkin rganizasynun yeterli düzeyde kurulamaması snucu meydana gelecek riskleri minimize edecek temel 16

24 Kntrllerin Değerlendirilmesi kntrl faaliyetleri şunlardır: Kurum, bilişim sistemlerinin etkin bir şekilde yönetilmesini sağlayacak rganizasyn yapısına sahip lmalıdır. Bilgi güvenliğine ilişkin faaliyetler iyi bir şekilde krdine edilmelidir. Bilgi güvenliğine ilişkin görev ve srumluluklar açıkça belirlenmelidir. Bilgi işlem sürecinde, yönetici yetkisi prsedürü belirlenmiş lmalıdır. Bilişim sistemleri bağımsız bir şekilde denetlenmelidir. Bilişim sistemleri ile ilgili üçüncü kişilerden mal ve hizmet alımlarında, ilgili sözleşmelerine bilgi güvenliğine ilişkin hükümler knulmalıdır. Diğer kurum ve kuruluşlarla işbirliği yapılması halinde bilgi güvenliğini sağlayacak tedbirler alınmalıdır. Organizasyn yapısı Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSO-1 Kurum, bilişim sistemlerinin etkin bir şekilde yönetilmesini sağlayacak rganizasyn yapısına sahip lmalıdır. Kurumun bir bilgi işlem birimi var mı? Bilgi işlem birimi, bilgi güvenliğini sağlayacak şekilde örgütlenmiş mi? Bilgi işlem biriminin, işlevlerini (genel yönetim, ağ yönetimi, sistem yönetim ve güvenliği, prgram yönetimi, yazılım geliştirme, teknik destek vb.) yerine getirecek şekilde iyi örgütlenip örgütlenmediğinin incelenmesi Bilgi işlem biriminin, işlerini iş akışlarına uygun şekilde yapıp yapmadığının incelenmesi Bilgi işlem biriminin rganizasyn şemasının incelenmesi Bilgi güvenliği krdinasynu Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSO-2 Bilgi güvenliğine ilişkin faaliyetler iyi bir şekilde krdine edilmelidir. Kurumun bilgi güvenliğinin sağlanması knusunda krdinasynu sağlayacak bir bilgi güvenliği krdinasyn kurulu var mı? Bilgi güvenliği krdinasyn kurulu luşumuna ve faaliyetlerini icra etmesine ilişkin düzenlemeler var mı? Bilgi güvenliği krdinasynuna ilişki görev ve srumluluklarla ilgili ayrı bir birim görevlendirilmiş mi? Bilgi güvenliği krdinasyn kurulunun tplantı tutanaklarının 17

25 incelenmesi Bilgi güvenliğine ilişkin ayrı bir birim var ise bu birimin görev ve srumluluklarının incelenmesi Görev ve srumluluklar Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSO-3 Bilişim sistemleri güvenliğine ilişkin görev ve srumluluklar yazılı larak ve anlaşılır şekilde belirlenmelidir. Bilgi güvenliğine ilişkin görev ve srumluluklar belirlenmiş mi? İlgili belgeler incelenerek bilgi güvenliğinden tüm kurum persnelinin srumlu tutulup tutulmadığının tespit edilmesi Persnel iş tanımlarının incelenmesi Görevlerin ayrılığı prensibine uyulup uyulmadığının belirlenmesi Yetkilendirme süreci Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSO-4 Bilgi işlem araç ve faaliyetleri için, bir yönetim yetkilendirme süreci tanımlanmalı ve uygulanmalıdır. Bilgi işlem araçlarının uygulamaya knulmasından ve bilişim faaliyetlerinin yürütülmesinden önce ilgili yöneticilerin gerekli yetkilendirmeleri yapmasına ilişkin süreçler tanımlanmış mı? İlgili tüm güvenlik plitikalarının gereklerinin karşılanması için, bilişim sistemlerinin güvenliğini sağlamaktan srumlu lan yönetici tarafından da yetkilendirme yapılmasına ilişkin süreçler var mı? Bilgi güvenliği plitika belgesi incelenerek kullanıcı yetkilendirme süreçlerine ilişkin prsedürlerin luşturulup luşturulmadığının belirlenmesi Bağımsız denetim Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSO-5 Bilişim sistemleri bağımsız bir şekilde denetlenmelidir. Kurum bilişim sistemi, bağımsız bir birim tarafından düzenli larak denetleniyr mu? Bu denetim sistemde önemli değişiklikler lduğunda da yapılıyr mu? Bilişim sistemleri denetimi, iç denetim birimi tarafından yapılıyrsa, yapılan denetimin etkinliğinin aşağıdaki hususlar dikkate alınarak incelenmesi: İç denetim raprlarının tamamın üst yönetime sunulup sunulmadığı İç denetim raprlarında önerilere yer verilip verilmediği Bu öneriler üzerine uygulamada gerekli değişiklik ve düzenlemelerin yapılıp yapılmadığı (Raprlarda yer alan 18

26 önerilerin yüzde kaçının uygulamaya geçirildiği) İç denetim çalışmalarının planlama, inceleme ve belgeleme açısından yeterli kalitede lmasını sağlayacak gözetim ve kalite kntrl mekanizmalarının kurulup kurulmadığı İç denetim biriminde çalışan persnele bilişim sistemlerinin denetimi knusunda eğitim verilip verilmediği Bilişim sistemleri denetimi bağımsız kurum ve kuruluşlar tarafından yapılıyrsa, uluslararası bilişim sistemleri denetim standartlarına uygun denetim yapılıp yapılmadığının incelenmesi Mal ve hizmet alımlarında güvenlik ve iş garantisi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSO-6 Bilişim sistemleri ile ilgili üçüncü kişilerden mal ve hizmet alımlarında, ilgili sözleşmelerine bilgi güvenliğine ilişkin hükümler knulmalı ve iş garantisi istenmelidir. Bilişim sistemleri ile ilgili üçüncü kişilerle yapılan mal ve hizmet alımları sözleşmelerinde bilgi güvenliğine ilişkin hükümler var mı? Üçüncü kişilerin verdikleri mal ve hizmete ilişkin larak iş garanti isteniyr mu? Üçüncü kişilerle yapılan sözleşmeler ve ekleri incelenerek bilgi güvenliğine ilişkin hükümlerin knulup knulmadığının incelenmesi Sözleşmede, kurumun üçüncü kişileri denetim yetkisi lduğu hükmünün yer alıp almadığının incelenmesi (veya bu yetkiyi kısıtlayan hükümler lup lmadığının incelenmesi) İşin gereğine göre üçüncü kişilerin sertifikalı elemanlar eliyle işi göreceğine ilişkin hüküm lup lmadığının incelenmesi Verilen garanti belgeleri incelenerek garantinin iş yapılan üçüncü kişi tarafından mı yksa başka bir kurum veya kişi tarafından mı verildiğinin incelenmesi Garanti kapsamının önemli açıklar bulunup bulunmadığı açısından incelenmesi Diğer kamu kurumları ile işbirliği Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSO-7 Diğer kamu kurum ve kuruluşlarla işbirliği yapılması halinde bilgi güvenliğinin gerekleri, taraflar arasında anlaşma sağlanmış bir güvenlik yönetimi planı içersinde yerine getirilmelidir. Diğer kamu kurum ve kuruluşlarla işbirliği yapılması durumunda kurumun bilgi varlıklarının krunmasını sağlayacak tedbirleri içeren prsedürler var mı? Diğer kamu kurum ve kuruluşları ile lan işbirliği faaliyetlerinin ve bunları bilgi güvenliği yönünden düzenleyen prsedürlerin incelenmesi 19

27 VARLIK YÖNETİMİ Kntrl Hedefi Riskler Temel Kntrller Bilişim sistemlerine ilişkin tüm bilgi ve varlıkları kruyacak, işlevlerini düzenli ve sürekli bir şekilde yerine getirmelerini sağlayacak etkin bir varlık yönetimi için Kurum gerekli tedbirleri almalıdır.. Etkin bir varlık yönetiminin lmaması aşağıdaki risklerin rtaya çıkmasına sebep labilir: Varlıklar üzerindeki kntrlün kaybedilmesi Varlıklara ilişkin denetim izinin kaybedilmesi Varlıkların maliyet, getiri ve risklerine ilişkin kntrlün kaybedilmesi Lisanssız yazılımdan kaynaklanabilecek yazılım hataları veya varlık kayıp ve zararların meydana gelmesi Elden çıkarılacak varlıkların yetersiz kntrlü dlayısıyla veri kaybı İşin aksaması ve mali kayıplara yl açması Hesap verilebilirliğin ve srumlulukların tanımlanamaması veya karıştırılması BS yatırımlarının karar alma süreçlerinin verimsiz işletilmesi snucu yatırımların kuruma lumsuz etkide bulunması ya da beklenen getiriyi sağlayamaması Varlık yönetimine ilişkin üst yönetim desteğinin sağlanamaması Varlık yönetiminden kaynaklanabilecek riskleri minimize edecek temel kntrl faaliyetleri şunlardır: Bilişim sisteminde kullanılan varlıkların envanteri yapılmış lmalıdır. Varlıkların kullanım kuralları belirlenmiş lmalıdır. Varlıkların kullanımdan çıkartılması veya imhası belirli bir prsedüre bağlanmış lmalıdır. Kurum verileri uygun bir şekilde sınıflandırılmalıdır. Varlıkların kullanım kuralları belirlenmiş lmalıdır. Bilişim sistemlerinin bütün iş ve işlemleri belgelendirilmelidir. Kntrllerin Değerlendirilmesi Varlık envanteri Kntrl Kntrl varlığını değerlendirme sruları VY-1 Bilişim sisteminde kullanılan varlıkların envanteri yapılmış lmalıdır. Kurumun bilişim sistemlerine ilişkin tüm varlıkların açık ve anlaşılır şekilde tanımlanmış bir envanteri çıkarılmış mı? Varlık envanterine yeni alınan varlıklar ile yeri değiştirilen ya da elden çıkarılan varlıkların kayıtlarının düzenli bir şekilde yapılmasını sağlayacak bir prsedür var mı? 20

28 Kntrl etkinliğini Bilişim sistemleri varlık envanterinin, kurumun tüm dnanım ve yazılımlarını tür, kullanan kişi ve kullanıldığı yer bilgilerini de içerecek şekilde tutulup tutulmadığının incelenmesi Risk değerlendirmesi çalışmaları çerçevesinde varlıklar için yapılan değerlendirmelerin belirlenmesi ve alınan tedbirlerin incelenmesi Örnekleme yluyla seçilen varlıklar ile envanter bilgilerinin karşılaştırılması Envanterde, önemli varlıkların özelliklerinin ayrıntılı bir şekilde yazılıp yazılmadığının kntrl edilmesi Srumluların belirlenmesi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VY-2 Bilişim sistemlerine ilişkin tüm varlıkların kullanımları dikkate alınarak srumluları belirlenmelidir. Bilişim sistemlerine ilişkin tüm varlıkların elde edilmesi, geliştirilmesi, bakımının yapılması, kullanımı ve güvenliğinin sağlanması amacıyla belli bir bireyin ve birimin yönetim srumluluğuna verilmesini öngören prsedürler var mı? Örnekleme yluyla seçilen varlıklara ilişkin larak yönetim srumluluklarının, özellikle güvenlik kntrllerinin tespit edilmesi Kullanımı ve kullanımdan çıkarılması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VY-3 Varlıkların kabul edilebilir kullanımı ve kullanımdan çıkartılması veya imhası belirli bir prsedüre bağlanmış lmalıdır. Varlıkların kabul edilebilir kullanımına ilişkin kurallar yazılı şekilde tanımlanmış mı? Kullanımdan çıkartılacak veya imha edilecek varlıklar için uygun bir prsedür belirlenmiş mi? Varlıkların kabul edilebilir kullanımına ilişkin kuralların incelenmesi Varlıkların kullanımdan çıkarılmasına ilişkin prsedürün incelenmesi Varlıkların kullanımdan çıkarılmasına ilişkin prsedürlerde aşağıdaki hususların yer alıp almadığının incelenmesi: Bu varlıklarda yer alan bilgilerin belgeye bağlanması ve elden çıkarılmasına ilişkin üst yönetimin nayının aranması Üzerindeki bilgilerin silinmesi veya teknik larak yapılacak diğer düzenlemeler Varlıkların fiziksel imhası için gerekli düzenlemeler Örnekleme yapılarak kullanımdan çıkarılacak bir varlık ile ilgili larak belirtilen düzenlemelerin uygulanıp uygulanmadığının izlenmesi 21

29 Veri (Bilgi) sınıflandırması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VY-4 Kurum verileri uygun bir şekilde sınıflandırılmalı ve krunmalıdır. Verilerin uygun şekilde sınıflandırılmasını ve güvenliğini sağlayacak prsedürler var mı? Verileri güvenlik gereksinimlerine göre sınıflandıran bir sınıflandırma cetveli var mı? (değerlerine, gizlilik derecelerine, işteki önemlerine ve yasal düzenlemelere göre) Bilginin nasıl yönetileceği ve krunacağına karar verilmesinde yardımcı lan bilgi sınıflandırma planı ya da rehberi var mı? Kurumun benimsediği bilgi sınıflandırma planına göre bilgi etiketlemesi ve yönetilme prsedürleri tanımlanmış mı? Örnekleme yluyla seçilecek bazı verilerin dğru sınıflandırılıp sınıflandırılmadığının incelenmesi Örnekleme yluyla seçilen verilerin güvenlik derecelerine uygun şekilde sınıflandırılıp sınıflandırılmadığının incelenmesi Örnekleme yluyla seçilen verilerin güvenlik derecelerine uygun rtamlarda kullanılıp kullanılmadığının ve uygun deplama alanlarında muhafaza edilip edilmediğinin belirlenmesi PERSONEL VE EĞİTİM POLİTİKALARI Kntrl Hedefi Riskler Bilişim sistemlerine zarar verebilecek insan kaynaklı hata, ihmal ve suiistimalleri önleyecek tedbirleri almaktır. Persnel ve eğitim plitikalarındaki zayıflıklar, aşağıdaki risklerin rtaya çıkmasına sebep labilir; Güvenilir ve gerekli bilgi ve beceriye sahip lmayan persnelin istihdamı Belli bir knu üzerinde uzmanlığı lan persnelden her knuda yararlanmak zrunda kalma Bilgi varlıklarının krunmasına yönelik Kurum plitikalarına bağlılık knusunda sözleşmeli persnelin kendinden beklenen srumlulukları yerine getirememesi Sözleşmeli persnelden beklenen srumluluk üstlenme ve hesap verebilme knularında uyuşmazlığa düşülmesi durumunda başlayacak lan adli sürecin Kuruma lan lumsuz ve mali etkileri Persnelde güvenlik bilincinin luşturulamaması snucu meydana gelen güvenlik layları ve sistem hataları Hassas nktalarda çalışan kilit persnelin ykluğunda güvenlik laylarının etkilerinin ve sayılarının artması Persnelin kariyer gelişimi açısından tatmin edilememesi Persnelin Kurumun kritik ihtiyaçlarının karşılanabilmesi için gerekli yetenek ve bilgi düzeyine yükseltilememesi 22

30 Kurumun kritik iş süreçlerinin kesintisiz ve düzenli bir şekilde sürdürülememesi Eğitim plitikalarının yeterli ve etkin lmaması Karşılaşılan prblemlerin çözüm süreçlerinin etkin işleyememesi İşten ayrılan veya işine sn verilen persnelin sisteme yetkisiz erişebilmesi Temel Kntrller Persnelden kaynaklanabilecek riskleri minimize edecek temel kntrl faaliyetleri şunlardır: Bilişim sistemlerine yönelik güvenlik plitikalarına uygun şekilde persnelin rl ve srumlulukları yazılı larak belirlenmiş lmalıdır. Bilişim sistemlerinde hassas nktalarda çalıştırılacak persnelin seçiminde gereken özen gösterilmelidir. Persnelle bilgi güvenliğine ilişkin hususların da yer aldığı sözleşmeler yapılmalıdır. Yönetim, persnele ilişkin gözetim görevini yerine getirmelidir. Persnelin düzenli larak bilgi güvenliğine ilişkin eğitim ve bilgi güncelleme prgramlarına katılması sağlanmalıdır. İşten ayrılan persnelin, kullanımında lan varlıkları kuruma teslim etmesi ve kurum bilgilerine ulaşma yetkilerinin derhal kaldırılması sağlanmalıdır. Kntrllerin Değerlendirilmesi Görev tanımları Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini PEP-1 Bilgi güvenliği plitikalarına uygun şekilde persnelin rl ve srumlulukları belirlenmelidir. Persnelin görev tanımları yazılı larak yapılmış ve naylanmış mı? Persnel görev tanımlarının bilgi güvenliği plitika belgesine uygunluğunun incelenmesi Örnekleme yluyla seçilen persnelle görev tanımlarından haberinin lup lmadığına ilişkin larak görüşme yapılması Persnel istihdam kşulları Kntrl Kntrl varlığını değerlendirme sruları PEP-2 Bilişim sistemlerinde hassas nktalarda çalıştırılacak persnelin seçiminde gereken özen gösterilmelidir. Persnel plitikaları, persnelin, çalıştırılacakları işe uygun bilgi ve beceriye sahip lmasına ilişkin bir düzenleme içeriyr mu? Persnel plitikaları, bilgi işlem hizmetlerinde istihdam edilecek persnelin güvenilir lmasına ilişkin bir düzenleme içeriyr mu? 23

31 Kntrl etkinliğini Yeni persnel alım prsedürünün incelenmesi Örnekleme yluyla seçilen yeni bir persnel için persnel kayıtlarından işe uygun bilgi ve beceriye sahip lup lmadığının incelenmesi Persnelle yapılan sözleşmelerden örnek seçilip incelenmesi Persnel sözleşmeleri Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini PEP-3 Persnelle bilgi güvenliğine ilişkin hususların da yer aldığı sözleşmeler yapılmalıdır. Persnelle yapılan sözleşmeler, bilgi güvenliği ile ilgili hükümler içeriyr mu? Örnekleme yluyla seçilen persnel sözleşme dsyalarının incelenerek bilgi güvenliğine ilişkin hükümler içerip içermediğinin belirlenmesi Gözetim Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini PEP-4 Yönetim, persnel üzerinde bilgi güvenliğine ilişkin gözetim görevini yerine getirmelidir. Yönetimin, persnelin güvenlik plitikalarına uyup uymadığını izlemesine ve gerekli tedbirlerin alınmasına ilişkin bir prsedür belirlenmiş mi? Örnekleme yluyla seçilen persnel ile yönetici gözetimi knusunda görüşme yapılması Varsa yönetici raprlarının veya tplantı tutanaklarının incelenmesi Bilgi güvenliği plitikalarını ihlal eden persnele uygulanan yaptırımların incelenmesi Persnel eğitimi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini PEP-5 Persnelin düzenli larak bilgi teknljilerine ve güvenliğine ilişkin eğitim ve bilgi güncelleme prgramlarına katılması sağlanmalıdır. Persnel için düzenli larak bilgi güvenliğine ilişkin eğitim prgramları yapılıyr mu? Persnelin bu prgramlara katılımı sağlanıyr mu? Eğitim prgramlarının incelenmesi Örnekleme yluyla seçilen persnelle aldıkları eğitimler knusunda görüşme yapılması 24

32 İşten ayrılma Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini PEP-6 İşten ayrılan bütün persnelin, bilişim sistemlerine lan tüm erişim yetkileri derhal kaldırılmalı ve uhdesinde bulunan cihazlar geri alınmalıdır. İşten ayrılan veya işine sn verilen bütün persnelden, kullandıkları kuruma ait varlıklar geri alınıyr mu? İşten ayrılan veya işine sn verilen persnelin kurum bilgilerine ulaşma yetkilerinin derhal kaldırılmasına ilişkin bir düzenleme var mı? Varlık iade işlemlerine ilişkin ayniyat kayıtlarının incelenmesi Örnekleme yluyla seçilen işten ayrılan persnelin erişim şifre ve e-psta adreslerinin işten ayrılma tarihinden snra kullanılıp kullanılmadığının günlük kayıtlarından incelenmesi UYGUNLUK Kntrl Hedefi Riskler Temel Kntrller Kurum bilişim sistemlerinin yasalar ve diğer düzenlemelere uygun şekilde işletilmesini sağlamaktır. Yasalar ve diğer düzenlemelere uyulmaması, aşağıda belirtilen risklerin rtaya çıkmasına neden labilir: Maddi zararların meydana gelmesi Kurumu zr duruma düşürecek, itibar kaybetmesine neden lacak layların meydana gelmesi Sistemi kötü amaçlarla kullanan persnelin tespit edilememesi Kurum kayıtlarının yargı tarafından kabul edilmemesi Mevzuata uymama snucu Kurumun karşılaşacağı maddi yaptırımlar ve cezalar Suç teşkil eden fiillerin rtaya çıkması Güncel mevzuatın takip edilmemesi Kurum bilişim sistemlerinin yasalar ve diğer düzenlemelere uygun şekilde işletilmesini sağlayacak temel kntrl faaliyetleri şunlardır: Kurum bilişim sistemlerini ilgilendiren yasal düzenlemelerin gereklerini yerine getirmelidir. Bilgi güvenliğine ilişkin düzenlemelerin geliştirilmesi ve yenileme ihtiyacının belirlenmesi için bilgi güvenliğine ilişkin uygulama snuçları düzenli bir şekilde üst yönetime raprlanmalıdır. Bilişim sistemleri mevzuata uygunluk açısından denetlenmelidir. 25

33 Kntrllerin Değerlendirilmesi Yasal düzenlemeler Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSU-1 Kurum bilişim sistemlerini ilgilendiren yasal düzenlemelerin gereklerini yerine getirmelidir. Kurum, bilişim sistemlerinin kurulması, işletimi ve kullanımı ile ilgili var lan düzenleyici mevzuatı belirlemiş, derleyip belgelendirmiş mi? Bilişim sistemlerini ilgilendiren knularda yapılan yasal düzenlemelerin gereklerini yerine getirecek şekilde yazılı prsedürler geliştirilmiş mi? Fikri Mülkiyet Hakları, Kurum kayıtlarının krunması Kişisel bilgilerin gizliliği ve verilerin krunması Bilgi işlem araçlarının kötü niyetli kullanımının önlenmesi Kriptgrafi kullanımı Kurumun, ilgili mevzuatı karşılayacak şekilde düzenlemeler yapıp yapmadığının incelenmesi Yazılımların lisanslı lup lmadığının örnekleme yapılarak incelenmesi Önemli kurum kayıtlarının (muhasebe kayıtları, veri tabanı kayıtları, işlem kayıtları, denetim kayıtları vb.) türlerine göre, tutulacak asgari süre ve tutulma şekli ve yeri de belirtilecek şekilde sınıflandırılıp sınıflandırılmadığının incelenmesi Örnekleme yluyla seçilen arşiv kayıtlarının yasaların öngördüğü süre kadar arşivde muhafaza edilip edilmediğinin tespit edilmesi Arşiv kayıtlarından yararlanma prsedürlerinin kayıtlara zarar verilmeden gerçekleştirilmesini sağlayacak mekanizmaların kurulup kurulmadığının incelenmesi Bilgi güvenliği plitikalarına ilişkin uygulama snuçlarının raprlanması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSU-2 Bilgi güvenliğine ilişkin düzenlemelerin geliştirilmesi ve yenileme ihtiyacının belirlenmesi için bilgi güvenliğine ilişkin uygulama snuçları düzenli bir şekilde üst yönetime raprlanmalıdır. Bilgi güvenliği kntrllerinin uygulamasına ilişkin her türlü husus srumluları tarafından raprlanıyr mu? Bu raprlar üst yönetime düzenli larak sunuluyr mu? Üst yönetime iletilen bilgi güvenliğine ilişkin raprların incelenerek güvenlik ihlallerine ilişkin laylara, kullanıcı şifreleri yenileme sayılarına ilişkin matrislere, hizmet verilememe sürelerine, uygulama prgramlarında karşılaşılan srunlara ilişkin yeterli bilgi içerip içermediğinin incelenmesi 26

34 Mevzuata uygunluk denetimi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini BSU-3 Bilişim sistemleri mevzuata uygunluk açısından denetlenmelidir. Bilişim sistemlerini yürürlükteki düzenlemelere uygunluğu açısından denetlenmesine ilişkin prsedür luşturulmuş mu? Mevzuata uygunluk denetimine ilişkin prsedürlerinin aşağıdaki hususları içerip içermediğinin incelenmesi: Görevli birim Yapılacak denetimin sıklığı Raprlamanın frmatı Raprların sunulacağı yer Bulguların değerlendirilmesi En sn ne zaman mevzuata uygunluk denetimi yapıldığının tespit edilmesi Denetimin kapsamının yeterli lup lmadığının incelenmesi Denetim bulgularının raprlanıp raprlanmadığının bu bulgular ışığında belirlenen faaliyetlerin ve bu faaliyetlerin ne ölçüde gerçekleştirildiğinin incelenmesi 27

35 2.1.2 FİZİKSEL VE ÇEVRESEL KONTROLLER Fiziksel ve çevresel kntrllerin amacı, bilişim sistemleri dnanımın ve yazılımının kasten ya da kazaen luşan hasarlara, izinsiz erişim snucu bzulma veya çalınma ile her türlü çevresel tehlikelere karşı krunmasıdır. Bilişim sistemleri, bu sistemlere erişme yetkisi lmayan kişilerin yl açabilecekleri hasarlara ve müdahalelere karşı fiziksel engeller knulmak suretiyle krunurken; yangın, su (ya da aşırı nem), elektrik, vltaj dalgalanmaları veya güç yetersizlikleri gibi çevresel tehlikelere karşı ise, bunlara ilişkin uygun önlemler alınarak krunmalıdır. Kntrl Hedefi Riskler Kurum bilişim sistemlerine yetkisiz erişimi engelleyecek ve kurum varlıklarını kruyacak her türlü fiziksel ve çevresel tehlikelere karşı önlemler alınmalıdır. Fiziksel ve çevresel krumaya yönelik kntrllerin hiç veya yeterli düzeyde kurulamaması durumunda aşağıda belirtilen risklerle karşılaşılabilir: Bilişim sisteminin, persnelin isteyerek veya istemeyerek verebileceği zararlara açık hale gelmesi Kritik veya gizli bilginin görülmesi, kpyalanması veya kaybedilmesi Bilgisayar dnanımının veya üzerinde yazılım ve bilgi bulunduran parçaların çalınması veya bzulması Sistemin yetkisiz kişilerin izinsiz erişimi snucu bzulması veya hasar görmesi Bilişim sisteminin yangın, sel, elektrik kesintileri veya vltaj düzensizlikleri, sıcaklık ve nem gibi çevresel tehlikelerle kısmen veya tamamen çalışamaz duruma gelmesi ve hizmette aksaklıklara veya veri kayıplarına neden lması İş ihtiyaçlarına uygun fiziksel ve çevresel güvenliğin tanımlanmaması Dnanımın yetkisiz kişiler tarafından çalınması BS bölümüne yetkisiz kişilerin fiziksel müdahalesi Ziyaretçilerin BS bölümünde hassas bölgelere yetkisiz erişimi Kullanılan dnanımın bulunduğu rtamlarda sağlıklı işleyebilmesi için gereken kşulların sağlanmamış lması Temel Kntrller Fiziksel ve çevresel kntrller, sadece yönetim tarafından yetkilendirilenlerin bilişim sistemlerine fiziksel erişim sağlamasını ve yangın, su, elektrik gibi çevresel tehlikelere karşı önlemlerin alınmasını hedeflemektedir. Sistemlere yetkisiz fiziksel erişimi engellemek ve çevresel tehlikelerden kaynaklanabilecek riskleri kabul edilebilir düzeye indirmek için luşturulabilecek kntrller aşağıda belirtilmiştir: Kurum, yetkisiz fiziksel erişime ve çevresel tehlikelere ilişkin yazılı güvenlik plitikasına ve prsedürlerine sahip lmalıdır. Kurum, ana bilişim sistemlerinin bulunduğu binalara yetkisiz fiziksel erişimi önlemelidir. 28

36 Kntrllerin Değerlendirilmesi Kurum, bilgisayar dalarına ve çalışma alanlarına fiziksel erişimin yetki dahilinde gerçekleştirilmesini sağlamalıdır. Yangın belirleme ve söndürme sistemleri kurulmuş lmalıdır. Bilişim sistemleri su basması riskinin yüksek lduğu yerlerde zemin veya zemin altı katlarda kurulmuş lmamalıdır. Bilişim sistemleri dnanımı yerden yüksekte knumlandırılmalı ve su bruları veya su tanklarının etrafında veya ıslak zeminlerin (Lavab, mutfak, bany ) bitişiklerinde bulundurulmamalıdır. Olası su sızıntılarına karşı bilişim sistemleri persnelini uyarmak amacıyla tmatik su veya nem detektörleri kullanılmalıdır. Bilişim sistemlerini elektrik kaynaklı zararlardan krumak amacıyla kesintisiz güç kaynakları, jeneratörler, alternatif güç kabllaması ve diğer düzenleyiciler kurulmuş lmalıdır. Ana bilişim sistemlerini tz, nem ve sıcaklıktan kaynaklanacak zararlardan krumak amacıyla uygun havalandırma ve sğutma sistemleri kurulmalıdır. Ana bilişim sistemlerinin bulunduğu alanların anti-statik zemin kaplaması yapılmalıdır. Çatı, su ve kanalizasyn brularının düzenli bakımı yapılmalıdır. Bilişim sistemlerinin bulunduğu alanlarda sigara içme, yiyecek ve içecek tüketimine yönelik düzenlemeler yapılmış lmalıdır. Bilgisayar dalarında bulunan çöpler kaldırılmalı ve düzenli larak temizlenmelidir. Plitika ve Prsedürler Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini FÇK-1 Kurum yetkisiz fiziksel erişime ve çevresel tehlikelere ilişkin yazılı güvenlik plitikasına ve prsedürlerine sahip lmalıdır. Kurum, bilişim sistemlerine ilişkin teçhizatın, yazılımın ve verinin fiziksel güvenliğine yönelik plitika belgesine sahip mi? Kurum kabul edilen plitikalarla uyumu sağlamak için prsedürlere sahip mi? Prsedürler ve plitika düzenli larak gözden geçiriliyr mu? Mevcut fiziksel ve çevresel güvenlik plitika belgesi ve prsedürlerinin aşağıda belirtilen hususları içerip içermediğinin incelenmesi: Fiziksel güvenlik plitikaları için hedeflerin belirlenmesi Temel işlevlerin ayrılması (örneğin, yetkilendirme, kruma ve kaydetme) Dnanımın knumu 29

37 Bilgisayar alanlarına ve ilgili binalara erişim yöntemleri Giriş çıkış kntrlleri ve persnel güvenliği Güvenlik görevlilerin yerleştirilmesi Geçici persnel ve ziyaretçilerle ilgili prsedürler Alarmların ve diğer sızma tespit araçlarının kullanımı Hassas bilişim rtamlarında her türlü sıvı ve katı gıda tüketimi Olağanüstü durumlarda tahliye prsedürleri Su, yangın, elektrik, sıcaklık ve nem gibi prblemlere ilişkin kntrl düzenlemeleri Her türlü çıktıya ilişkin güvenlik ve kntrl Kabllar ve iletişim teçhizatının knumu, isimlendirmesi ve krunması İhlal prsedürleri Binalara erişim Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini FÇK-2 Kurum, ana bilişim sistemlerinin bulunduğu binalara yetkisiz fiziksel erişimi önlemelidir. Binalara erişimi kntrl altına alacak önlemler var mı? Binalar göze çarpmayan ve kullanılma amaçlarıyla ilgili en az göstergelerle belirlenmiş mi? Uygun sızma tespit sistemleri (hırsız alarmı, kamera, prjektör vs.) kurulmuş mu? Stratejik nktaları izlemek üzere vide kameralar knulmuş mu ve giriş çıkışlar kaydediliyr mu? Kurumun binalarına girişlerde güvenlik görevlileri knumlandırılmış mı? Bina girişlerinde persnel kimlik kartlarının kullanımına ilişkin uygulama var mı? Gelen ziyaretçiler izleniyr ve ziyaretçi defterine kaydediliyr ve güvenlik durumuna göre gidecekleri yere refakatçi eşliğinde götürülüp getirilmeleri sağlanıyr mu? İşten ayrılan persnelin kurum kaynaklarına fiziksel erişimini engelleyen prsedürler var mı? Bütün güvenlik kapılarının ve diğer erişim kntrl özelliklerinin tam larak çalışıp çalışmadığının kntrl edilmesi (özellikle zemin katta lan kapı ve pencerelerin kilitli ve parmaklık knmuş veya kapatılmış lup lmadığının tespit edilmesi) Sızma tespit sistemlerinin düzenli testlerine ilişkin snuçların elde edilmesi (bu sistemlerin gerektiği çalışıp çalışmadığının dğrudan test edilebilir) Ziyaretçi defterlerinde şu hususların yer alıp almadığının tespit edilmesi: tarih, giriş-çıkış saati, imza, nereye gittiği, kiminle 30

38 görüşeceği, hassas alanlara giriş yetkisi verilmiş lup lmadığı, bu alanlarla ilgili güvenlik bilgilerinin kendilerine anlatılıp anlatılmadığı, güvenlik görevlisi refakatinin gerekip gerekmediği Denetçi kendini tanıtmadan binaya ve hassas alanlara erişim denemesi yapması ve buna ilişkin uygulamaları yerinde izlenmesi Ayrılan persnelin bilişim sistemlerinin bulunduğu alanlara erişim hakları kaldırılıp, güvenlik görevlilerinin bilgilendirilmesi veya anahtarlarının ve diğer giriş kimliklerinin iptalinin sağlanıp sağlanmadığının tespit edilmesi Vide kameralarıyla izleme yapılıyrsa, kayıt sisteminin incelenmesi Giriş yerlerinde görevli güvenlik görevlileri ile güvenlik srunları hakkında görüşme yapılması Kurum binalarının knumuna ilişkin güvenlik açısından gözlem yapılması Uygulama alanında çalışan bütün persnelin resmi ve geçerli geçiş kartlarını takıp takmadığının belirli bir periytta gözlenmesi Kablların güvenlik gerekleri dikkate alınarak düzenli şekilde döşenmiş lup lmadığının ve periydik larak gözden geçirilip geçirilmediğinin incelenmesi Bilgisayar dalarına erişim Kntrl Kntrl varlığını değerlendirme sruları FÇK-3 Kurum bilgisayar dalarına ve çalışma alanlarına fiziksel erişimin yetki dahilinde gerçekleştirilmesini sağlamalıdır. Ana bilgisayar ve bağlantı nktaları özel larak belirlenmiş dalarda tutuluyr mu? Bu dalar binaların çalışma yğunluğu az ve tecridi yapılmış iç kısımlarında yer alıyr mu? Bilgisayar dasına erişim sadece burada çalışanlarla sınırlandırılmış mı? Bilgisayar dalarına erişim hakları düzenli larak gözden geçiriliyr ve güncelleniyr mu? Kurum tarafından yönetilen bilişim sistemleri, üçüncü tarafların yönettiği sistemlerden fiziksel larak ayrılmış mı? Kuruma mal ve hizmet sağlayanların güvenli veya hassas bilgi işleme alanlarına erişimi sadece gerektiğinde, yetki dahilinde ve izlenmek kaydıyla sınırlandırılmış mı? Bilişim sistemlerinin bulunduğu alanlara geçişlerin yetki dahilinde yapılıp yapılmadığı kntrl ediliyr mu? Bilişim sistemlerinin bulunduğu daların kapıları sağlam yapıda mı ve fiziksel larak krunuyr mu? Sık kullanılmayan alanlar (arşiv, dep alanları, yedekleme merkezleri ) fiziksel larak kilitli tutuluyr ve periydik larak kntrl ediliyr mu? 31

39 Bilişim sistemlerinin bulunduğu alanlarda çalışan persnel bu yerler için alınan güvenlik önlemleri hakkında bilgilendirilmiş mi? Hassas ve önemli iş bilgilerinin bulunduğu belgeler veya rtam araçlarının bulunduğu mekanlar, mesai saatleri dışında veya kullanılmadığı zamanlarda kilitleniyr mu? Kişisel bilgisayarların ve yazıcıların, kullanılmadıkları zamanlarda açık larak bırakılmamasına ve anahtar, şifre veya diğer araçlarla krunmasına yönelik prsedürler var mı? Bilişim sistemleri teçhizatlarının düzenli larak bakımına ilişkin prsedürler var mı? Bilişim sistemleri kablları güvenlik gerekleri çerçevesinde düzenli şekilde döşenmiş mi? Ftğraf, vide veya diğer kayıt cihazlarına yetki dahilinde izin veriliyr mu? Kntrl etkinliğini Veri merkezlerinin bilişim sistemlerinin bulunduğu rtamı ve erişim nktalarının, dnanım ve çevresel teçhizatların ve persnelin knumunu gösteren kat planlarının incelenmesi Sunucuların, terminallerin ve ağ teçhizatlarının fiziksel larak sınırlandırılmış alanlarda krunduğunun ve sadece yetkili persnel tarafından erişilebildiğinin gözlem, mülakat ve belge incelemesiyle tespit edilmesi Hassas alanlara yetkili erişim hakkı bulunanların listesinin elde edilmesi ve erişim uygunluklarının belirlenmesi Denetçi larak kendinizi tanıtmadan, refakatçi lmadan veya kimlik kartsız hassas alanlara erişmeye çalışılması Nrmal iş saatlerinde ve bunların dışında bilişim sistemleri imkanlarının bulunduğu yerlere giriş ve çıkışların izlenmesi Persnelin, bilgisayarının başında lmadığı zamanlarda sisteme izinsiz girişi engellemek üzere gerekli önlemleri alıp almadığının gözlenmesi Güvenlik biriminden, uygulama birimlerine erişimi bulunan bütün persnelin listesinin elde edilmesi ve örnekleme yluyla seçilen persnelin srumluluklarına uygun larak mevcut geçişlerle karşılaştırılması Eşlik edilmeyen yabancıların ve görsel kimlik tanıma araçları taşımayanların güvenliğe bildirilmesine ilişkin prsedürlerin işleyip işlemediğinin gözlemlenmesi veya persnel ile görüşme yapılarak belirlenmesi Bilgisayar dalarının kapıların sağlamlığının ve kilitlenebilir lup lmadığının tespit edilmesi Teçhizat bakım prsedürlerinin incelenmesi ve örnekleme yluyla seçilen örnek teçhizatların bakımlarına ilişkin inceleme yapılması Çalışma alanlarında bulunan önemli dnanım parçalarının kilitlenip kilitlenmediği, bakım ve temizliğine dikkat edilip edilmediğinin gözlenmesi 32

40 Genel kabllama şemalarının güvenlik açısından incelenmesi Çevresel Tehlikeler (Yangın) Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini FÇK-4 Kurum, bilişim sistemlerini yangın tehlikesine karşı kruması gerektiğini bilmeli, gerekli önlemleri almalı ve alınan önlemler düzenli larak test edilmelidir. Bilişim sistemlerinin bulunduğu binalarda ve dalarda yangına karşı önlemler alınmış mı? Yangından kurtarmaya ilişkin larak belirli bir prsedür veya görevli kişiler belirlenmiş mi? Yangın tehlikesine karşı aşağıdaki önlemlerin alınıp alınmadığının incelenmesi: Bilişim sistemleri alanlarının yanmayan maddeler kullanılarak inşa edilmesi Yangın ve/veya duman detektörlerinin knulması Uygun yangın söndürme araçlarının tesis edilmesi Bina kullanılmadığı zamanlarda bilgisayar dalarında tmatik yangın belirleme ve söndürme sistemlerinin kurulması Yangın ve/veya duman detektörlerinin, bilgisayar dalarının yakınındaki hassas dnanım parçalarının bulunduğu dalarda da kurulması Yanıcı maddelerin bilgisayar teçhizatlarından uzakta tutulması ( atık kağıt, kimyasallar, kırtasiye, temizlik sıvıları) Yangını söndürme ve önleme aletlerinin çalışıyr lduğunun test edilmesi Binada sigara içilmeme veya belirli bir alanda içme plitikasının yerleştirilmesi Elektrik yangınlarında kullanılmak üzere uygun yangın söndürme teçhizatlarının bulundurulması Yangın söndürme teçhizatlarının düzenli larak bakımının yapılması Persnelin yangın söndürme teçhizatının uygun şekilde kullanılması knusunda eğitilmesi İşletim persnelinin yangın alarmının, yangın detektörlerinin, elektrik anahtarlarının, su kesme vanalarının ve acil bir durumda kullanılabilir lan diğer araçların var lduğu knusunda bilgilendirilmesi Çevresel Tehlikeler (Su) Kntrl FÇK-5 Kurum, bilişim sistemlerini su tehlikesine karşı kruması gerektiğini bilmeli, gerekli önlemleri almalı ve alınan önlemler düzenli larak test edilmelidir. 33

41 Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Bilişim sistemlerinin sudan kaynaklanacak felaketlere karşı krunması için önlemler alınmış mı? Su tehlikesine karşı aşağıdaki önlemlerin alınıp alınmadığının incelenmesi: Bilişim sistemleri su basması riskinin yüksek lduğu yerlerde zemin veya zemin altı katlarda kurulmaması Bilişim sistemleri dnanımı yerden yüksekte knumlandırılması ve su bruları veya su tanklarının etrafında veya ıslak zeminlerin (Lavab, mutfak, bany ) bitişiklerinde kurulmaması Olası su sızıntılarına karşı bilişim sistemleri persnelini uyarmak amacıyla tmatik su veya nem detektörleri kullanılması Çevresel Tehlikeler (Elektrik) Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini FÇK-6 Bilişim sistemlerini elektrik kaynaklı zararlardan krumak amacıyla kesintisiz güç kaynakları, jeneratörler, alternatif güç kabllaması ve diğer düzenleyiciler kurulmuş lmalıdır. Bilişim sistemlerinin elektrik kaynaklı tehlikelere karşı kruması sağlanmış mı? Kesintisiz güç kaynakları, jeneratörler ve diğer düzenleyicilerin bakımı mutat aralıklarla yapılmış mı? Elektrik kaynaklı tehlikelere karşı aşağıdaki önlemlerin alınıp alınmadığının incelenmesi: Bilgisayar teçhizatlarına uygun elektrik sağlanması Güç kaynaklarında, jeneratörlerde ve yedekleme jeneratörlerinde gücün devamlılığını sağlamak için alternatifli çklu besleyicilerin bulundurulması Kesintisiz güç kaynakları ve jeneratörlerin bakımlarının yapıldığına ilişkin dkümanların incelenmesi Çevresel Tehlikeler (Havalandırma ve sğutma) Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini FÇK-7 Bilişim sistemlerini tz, nem ve sıcaklıktan kaynaklanacak zararlardan krumak amacıyla uygun havalandırma ve sğutma sistemleri kurulmalıdır. Bilgisayar daları ve çalışan teçhizatlar için uygun hava kşulları sağlanıyr mu? Bilgisayarların etrafında yeterli havalandırma var mı? Hava sğutma sistemlerinin işletilmesi, knumu, bakımı ve erişiminin izlenmesi 34

42 Çevresel Tehlikeler (Temizlik) Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini FÇK-8 Kurum, bilişim sistemleri teçhizatının ve bulundukları alanların temiz tutulmasını sağlamalıdır. Kurum, bilişim sistemleri teçhizatının ve bulundukları alanların temiz tutulmasını sağlamak için kntrllere sahip mi? Bilişim sistemlerinin bulunduğu alanlarda yeme, içme hususlarının belirli bir prsedüre dayalı larak işletilip işletilmediğinin incelenmesi Bilgisayar dasının çöpleri ve atıklarının düzenli larak tplanması ve uygun şekilde temizlenip temizlenmediğinin gözlenmesi Bilişim sistemleri teçhizatlarının temiz tutulmasına yönelik prsedürlerin işleyip işlemediğinin izlenmesi 35

43 2.1.3 AĞ YÖNETİMİ VE GÜVENLİĞİ KONTROLLERİ Ağ yönetimi ve güvenliği kntrllerinin amacı, ağ sistemini luşturan tüm varlıkların krunması, ağ hizmetlerinin güvenli bir şekilde yürütülmesi ve ağ aracılığıyla gerçekleşebilecek yetkisiz erişim ve bunlar dlayısıyla luşabilecek tehlikelerin önlenmesidir. Ağ, veri paylaşımı amacıyla iki ya da daha fazla cihazın birbiriyle bağlantılı hale getirilmesiyle luşturulan bir yapıdır. Yüzlerce iş istasynu veya kişisel bilgisayardan luşabileceği gibi iki bilgisayarın birbirine bağlanmasıyla da elde edilebilir. Bu ağ rtamıyla iletişim, bilgiye ulaşım, kaynak paylaşımı, yedekleme gibi hizmetler sağlanabilmektedir. Riskler Temel Kntrller Ağı luşturan sistemler tasarlanırken veya devreye alınırken güvenlik unsuru hesaba katılmadığında, bu sistemlerin çeşitli zayıflıkları nedeniyle kötü niyetli veya meraklı kişiler tarafından sistemler ve hizmetler kullanılamaz hale getirilebilir ya da kurumlar için çk önem taşıyan bilgilerin öğrenilmesi/değiştirilmesi mümkün labilir. Bu nedenle, ağlar, yetkisiz erişimlerin engellenerek sadece yetkili kullanıcıların erişebilmesi için kntrl edilmelidir. Bilişim sistemlerinin ağ nedeniyle karşı karşıya lduğu riskler şunlardır: Verilerin bzulması, kayblması ve/veya çalınması, kötüye kullanılması Yetkisiz işlem tesis edilmesi, ağ anahtarlarının yetkisiz kişiler tarafından kullanılması Gizli bilgilerin tutulduğu uygulamaların ağa bağlı lduğu yerlerde hem kazaen hem de isteyerek yetkisiz kişiler tarafından ifşa edilmesi Ağ üzerinden gerçekleştirilen hizmetin gerçekleştirilmemiş gibi gösterilmesi Ağ bağlantıları ve sunucuların klaylıkla zarar görebilmesi nedeniyle kurulan sistemin işlememesi Ağ sisteminin tasarımındaki uygunsuzluklar nedeniyle ilerleyen zamanlarda ağ perfrmansında azalma, işlemlerde yavaşlama Güvenliği zayıflatacak ve sistemde açıklıkların meydana gelmesine sebebiyet verecek virüs gibi kötü niyetli yazılımların bulaşması, sistemin yavaş çalışması nedeniyle işin yürütülmesinde çeşitli aksamaların meydana gelmesi Fikri mülkiyet hakları ve Ceza Kanunu gibi yürürlükteki yasal mevzuatın ihlal edilmesi, kullanılan yazılımların kanuni gereklilikleri karşılayamaması Ağ güvenliği, yönetilen hizmetlerin devamının sağlanmasını, bilginin gizliliği ve başka kişiler tarafından değiştirilmemesini sağlamaya yönelik çalışmaların bütünü larak özetlenebilir. Etkin risk yönetimi ile var lan güvenlik riskleri azaltılarak kabul edilebilir bir seviyeye indirilmelidir. Fiziksel güvenliği sağlanmayan cihaz üzerinde alınacak yazılımsal yöntemlerin hiç bir değeri bulunmadığından ağın fiziksel unsurlarının (kabllar, sunucular, iletişim araçları vs.) güvenliği fiziksel ve çevresel kntrller altında sağlanmalıdır. Bununla birlikte ağ ve internet güvenliğinin sağlanması için başka kntrllerin de kurulması gerekmektedir. Bu kntrller şunlardır: 36

44 Bilişim sistemleri güvenlik plitikasının bir parçası larak ağ ve internet kullanımına ilişkin güvenlik plitikası lmalıdır. Bilgi güvenliği plitika belgesine ve ağ güvenlik plitikasına bağlı larak yazılı halde ağ ve internet kullanımına ilişkin standartlar, prsedürler ve işletim talimatları bulunmalıdır. Kurum, ağ kabllama diyagramları gibi ağın fiziksel yerleşimini tanımlayan belgelere sahip lmalı, güncellemeli ve güvenli bir şekilde saklamalıdır. Şifre seçiminden e-psta eklentileri kullanımına kadar güvenlik knularında kullanıcıların ve bilgi işlem yöneticilerinin bilinçlendirilmesi sağlanmalıdır. Kurum turum açmaların, şifrelerin ve kaynak erişim izinlerinin Mantıksal Erişim Kntrlleri plitika ve prsedürlerine uygun larak yürütüldüğünden emin lmalıdır. (Parla temelli kullanıcı dğrulama mekanizması genellikle bir çk sistem için en zayıf nktalardan birisidir. Kullanıcılar tarafından seçilen parlaların genellikle klayca tahmin edilebilir lması, saldırganların bu sistemlere daha klay bir biçimde sızabilmesi ile snuçlanmaktadır. Parlalar yerine kullanılabilecek diğer kullanıcı dğrulama mekanizmaları arasından kurum bütçesi için uygun lan bir diğer alternatifin seçilmesi ve uygulanması güvenliği önemli ölçüde arttırabilecektir. Akıllı kartların, biymetrik denetimlerin ya da salt-yazılım ile gerçekleştirilebilen S/KEY gibi yalnız bir sefer kullanılabilen parla düzeneklerinin uygulanması parla güvenliğini arttırmak için uygun bir yaklaşım labilir. Bunların herhangi bir gerekçe ile uygulanamıyr lması durumunda, parlalar için yaşlandırma mekanizmasının kullanılması ile parlaların belirli aralıklar ile değiştirilmesinin zrunlu hale getirilmesi ve parlaları sınayarak klay tahmin edilebilir lanlarını belirlemek için kullanılabilecek yazılımların belirli aralıklar ile çalıştırılması uygun lacaktır) Ağların işletim srumluluğu, mümkün lan yerlerde bilgisayar işletmenlerinden alınarak, uygun eğitim almış ve tecrübeli lan persnel tarafından yönetilmeli ve yönetim tarafından izlenmelidir Belli ağ layları tmatik larak ağ işletim sistemi tarafından kaydedilmelidir. Kayıtlar periydik larak yetkisiz faaliyetler için gözden geçirilmelidir. Ağda kurulu tüm sistemlerin ve ağ aktif cihazlarının üzerlerinde kurulu lan yazılımlarda, güvenlik srunu lup lmadığı düzenli larak takip edilmeli, yazılım güncellemeleri ve güncel yamalar uygulanmalı ve bunlar için gerekli önlemler alınmalıdır. Ağ hizmet sunucuları üzerinde işleyen sunucu yazılımları incelenmeli ve çalışması gerekli lmayan yazılımların durdurulması sağlanmalıdır. Ayrıca bilgisayar sistemlerinin üzerinde kullanılması zrunlu lanlar dışında yazılımlar kurulmamalı, bu tür yazılımlar varsa kaldırılmalıdır. Kötü niyetli yazılımların hızla tespit edilmesi ve yk edilmesi için kişisel bilgisayar sistemleri ve sunucu sistemler üzerinde ağ tabanlı anti-virüs sistemleri kurulmalı ve kurulu sisteme özgü larak düzenli şekilde güncellenmelidir. 37

45 Kntrllerin Değerlendirilmesi Kurumun yazılım sağlayıcılara, bakım ve yazılım bşluklarını belirlemek için bir uzak erişim bağlantısı vermesi durumunda, sadece Yazılım sağlayıcı talep ettiğinde ve naylandığında bu erişim verilmeli ve izlenmelidir. Belli durumlarda ağ üzerindeki verilerin iletimi gerçekleştirilirken kriptlama yapılmalıdır. İletişim kurma veya veri iletiminde kesilme veya hata lma riskini azaltmak için özel hatların kullanılması sağlanmalıdır. İnternet Kullanımı Kurumda internet kullanımı kurum bilişim sistemleri için ilave riskler anlamına geldiğinden, güvenlik açısından bu riskleri makul seviyeye indirecek kntrllerin kurulması gerekmektedir. Yukarıda belirtilen kntrllere ilave larak luşturulması gereken kntrller şunlardır: Öncelikle kurum persneline internet dlayısıyla karşılaşılacak risklerin iyi anlatılması gerekir. Kullanıcılara güçlü şifre seçiminin önemi, internetten prgram indirilmesinin tehlikeleri, elektrnik pstaların başkaları tarafından kunabileceği, diğer internet kullanıcılarının iddia edilen kişiler lmayabilecekleri, elektrnik psta kuma, dsya ve prgram yüklenmesi esnasında virüs gibi kötü niyetli yazılımları da sisteme bulaştırabilecekleri knularında eğitim verilmelidir. İnternet açısından en iyi kruma plitikası, kurumun ana bilişim sistemi ile internet arasında fiziksel bağlantı kurulmamasıdır. Kurum bütün risklerine rağmen her kullanıcının internete dğrudan açılmasını tercih ettiği durumlarda kurum ağ sistemi ve internet arasındaki trafiği kntrl etmek için güvenlik duvarı ile başlayan bir dizi önlem alınmalıdır. Bunlar arasında, dış ağlara açık lan cihazların özel güvenlik duvarlarıyla krunan bir alana knması, hizmet grupları veya kullanıcılar itibariyle ağ içersinde alt ağ grupları luşturulması, sızma tespit ve saldırı önleme sistemlerinin kurulması, uygun kriptlama ve güvenlik prtkllerinin uygulanması ve anti virüs prgramlarının sistemde etkin kullanılması sayılabilir. Kurumun internet üzerinden dış dünyaya hizmet vermesi söz knusu ise ilgili cihazların da yine özel güvenlik duvarlarıyla krunan bir alanda bulunması gerekir. Üçüncü kişilerden servis sağlayıcılık hizmeti alınması durumunda bu kişilerin sağladığı hizmetler incelenip güvenilirlikleri araştırılmalı ve düzenli larak denetlenmelidir. Plitika ve prsedürler Kntrl Kntrl varlığını değerlendirme sruları AYGK-1 Kurum bilgi güvenliği plitikasının bir parçası larak uygun bir ağ güvenlik plitikasına sahip lmalı ve bu belgelere dayanılarak ağ ve internet kullanımına ilişkin standartlar, prsedürler ve işletim talimatları ve ağ hizmetlerinin sürekliliğine ilişkin acil durum planı yazılı larak hazırlanmış lmalıdır. Kurum ağ ve ağ hizmetlerinin kullanımına ve güvenliğine ilişkin önceden yapılan risk değerlendirmesine dayalı yazılı bir plitika belgesine sahip mi? 38

46 Ağ ve internet kullanımına ilişkin larak kullanıcılara ve bilgi işlem yöneticilerine yönelik standartlar, prsedürler ve talimatlar belirlenmiş mi? Eğer varsa, kullanıcıların ve bilgi işlem yöneticilerinin plitika içeriği ile standartlardan, prsedürlerden ve talimatlardan haberdar lması sağlanmış mı? Ağ hizmetlerinin sürekliliğinin sağlanmasında acil durum planı luşturulmuş mu? Kntrl etkinliğini Kurum ağ güvenlik plitikasının aşağıdaki hususları içerip içermediğinin incelenmesi: İsim ve unvan bazında görev ve srumluluklar Güvenliğin sağlanması gereken rtamlar (bilgisayar, ağ vb.) Uzaktan erişim dahil genel erişim düzenlemeleri Kablsuz iletişim Sanal özel ağ (VPN) plitikası Ağ cihazlarının güvenliği ve yönetimi Yönetim prtklleri ve kriptlama İnternet ve e-psta kullanımı İnternet DMZ cihazları plitikası Şifre plitikası Web sayfası uygulamaları Kullanıcı güvenliği ve bilgi kruma Kullanıcı ve ayrıcalıklı kullanıcı srumlulukları Kötü niyetli yazılımlardan krunma Ağın tüm uygulamalarına yönelik belgeleme Ağın ve ağ üzerinden sunulan hizmetlerin izlenmesine yönelik düzenlemeler Anti-virus plitikası Sunucu güvenlik plitikası Güvenlik açıkları tespit etme plitikası Kriz/acil durum yönetimi plitikası Kimlik dğrulama ve yetkilendirme plitikası Bakım plitikası Kişisel kayıtların güvenliği plitikası Bu plitika belgelerinin aşağıdaki hususları gözeterek luşturulup luşturulmadığının incelenmesi: Tüm çalışanların anlayabileceği düzeyde detaylı ve açık yazılmış lması Yasal ve düzenleyici mevzuata uygun lması Görev ve srumlulukların smut şekilde belirlenmesi Uygulamaların ve aykırı uygulamaların snuçlarını, karşılaşılabilecek riskleri açıkça gösteren işletim talimatları ve prsedürlerin yayımlanması 39

47 Tüm çalışmaların belgelendirilmesi Klay ulaşılabilmesi ve düzenli larak güncellenmesi Ağ güvenlik plitikalarını destekleyen diğer plitika ve prsedürlere atıfta bulunulup bulunulmadığı Ağ güvenliği plitika belgesinin ekinde aşağıdaki hususların da elde edilmesi ve incelenmesi: Sistemde kullanılan işletim sistemi Kullanıcı yerleri, kurum kaynaklarına erişim yöntemleri Sistem yönetimi altında lan ve lmayan hizmet sağlayan sunucu makinelerinin listesi Ağ ve kabllama diyagramları (Ağ tpljisi, alt ağlar, kullanılan servisler) Güvenlik duvarı aracılığıyla izin verilen sistem güvenlik plitikası tarafından tanımlanan yetkili trafik tanımı Uzaktan erişimle yetkili kullanıcıların kimliklerini dğrulamaya yönelik kullanılan teknikler (şifre, önceden tanımlanmış tahsis edilmiş hatlar, önceden tanımlanmış kullanıcı adresleri, geri çevirme veya geri arama yöntemleri vs.) Geniş sistemlerde iş gerekleri ve farklı güvenlik gereksinimlerine göre, ağların hizmet grupları veya kullanıcılar itibariyle ayrılmasını gösteren diyagramlar ve erişim ilkeleri [iç ağ-dış ağ, sanal özel ağ (vpn), kablsuz-kabllu ağlar vs.] Sızma tespit raprları ve hangi düzensizliklerin raprlanacağına ilişkin düzenlemeler ve yönetimce gözden geçirme prsedürleri Güvenlik yazılım değişim kntrl prsedürleri Kriptlama standartları Sistem kaynaklarına erişim hakkı lan üçüncü kişilerin listesi ile birlikte erişim sağlama amaçları ve ilgili prtların listesi Kullanıcıların ağa erişim haklarını kısıtlamada kullanılan yöntemler (elektrnik mesaj, tek yönlü dsya aktarımı, çift yönlü dsya aktarımı, etkileşimli erişim, zaman ve tarih sınırlamalı ağ erişimi) Veri iletiminde kullanılan servis sağlayıcıların listesi Veri iletimi hizmet sağlayıcılarla yapılan sözleşmelerin kpyaları Kullanıcı güvenlik ve farkındalık belgelerinin imzalı kpyaları Ağ ve internet kullanımına ilişkin larak kullanıcılara ve bilgi işlem yöneticilerine yönelik hazırlanmış standartların, prsedürlerin ve talimatların incelenmesi; Kullanıcılarda ve bilgi işlem yöneticilerinde güvenlik farkındalığının luşturulması için yapılan çalışmaların incelenmesi Kurum genel iş sürekliliği planlamasında ağ hizmetlerinin sürekliliğine ilişkin hususlara yer verilip verilmediğinin belirlenmesi Ağ hizmetlerinin sürekliliğinin sağlanmasına yönelik acil durum planının incelenmesi. 40

48 Ağ Yönetimi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini AYGK-2 Ağ ve ağ hizmetleri yönetimi, uygun eğitim almış ve yeterli bilgi birikimine sahip, tecrübeli görevliler eliyle yürütmeli ve ağ faaliyetleri düzenli larak izlenmelidir. Kurumda ağ ve ağ hizmetlerinin güvenlik plitikasına uygun larak yönetilmesine ilişkin prsedür var mı? Ağın kullanımı ve kapasitesinin sürekli larak izlenmesine ve snuçların raprlanmasına ilişkin prsedür var mı? Ağ ve ağ hizmetlerinin yönetimine ilişkin prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Ağ işletim srumluluğunun bilgisayar işletimlerinden ayrılması Ağın gerekli eğitimleri almış ve tecrübeli uzmanlar tarafından yönetilmesi (Web Uygulamaları dahil) Kullanıcı ve ayrıcalıklı kullanıcıların srumluluklarının belirlenmesi Ağa uzaktan erişimin düzenlenmesi (Yöneticilerin veya hizmet sağlayan üçüncü kişilerin uzaktan ağa erişim hakkına sahip lması ve bu hakların kullanımının izlenmesi) Kullanıcılara ait lanlar dahil, uzaktan erişimle dnanım yönetimi için srumlulukların belirlenmesi, Gerekli durumlarda kullanıcı dğrulama ve şifreleme yöntemlerinin belirlenmesi. Yerinde izleyerek, birim persneliyle görüşme yaparak ve bilgi işlem birimi görevlendirme belgelerini inceleyerek uygulamaların bu prsedürlere uygun şekilde yürütülüp yürütülmediğinin incelenmesi Ağın kullanımının izlenmesine yönelik prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Ağ cihazları ve sunucularından gerekli bilgileri alabilmek için SNMP(Simple Netwrk Management Prtkl) gibi ağ izleme prtkllerinin / yazılımların kullanılması ve güncel versiynlarının takip edilmesi Ağ trafiğine ilişkin istatistikleri tplayacak, gerekli ayarları yapılmış bir veya birden fazla bilgisayar atanması Yardımcı bir yazılım (Linux-MRTG ve NeTraMet gibi yazılımlar) ile ağ perfrmansının analizinin yapılması ve kimin, nereye, ne kadar trafik luşturduğunun gözlenmesi SNMP ile cihazlara erişim ve srgulamanın sadece erişimin kısıtlandığı ve gerekli güvenlik önlemlerinin alındığı belirli güvenilir bilgisayarlar tarafından yapılabilmesi için erişim listesi düzenlenmesi SNMP erişiminin zr bir iletişim parametresi tanımlanarak yapılması ve iletişim TCP prtklü temelli veya yönlendirici /sunucu destekli ise kriptlu veri trafiği üzerinden yapılması İnternete açık sistemlerde yönlendirici/sunucu üzerinde bulunan paket filtreleme seçenekleri ve erişim denetim kuralları aracılığıyla sadece bağlanması istenen sistemlere izin verilmesi 41

49 Ağın dış ağa bağlantı nktasında prtkl tabanlı analiz yapılması için bütün trafiği inceleyebilecek bir ağ dinleyicisi (sniffer) ve/veya Saldırı Tespit Sistemi kullanılması Ağdaki faaliyetlerin farklı bir nktada mümkünse sadece yazılabilir bir medyaya tmatik larak kaydedilmesi ve bu kayıtların periydik larak yetkisiz faaliyetler, saldırılar için gözden geçirilmesi Ağ güvenliğine yapılan ve tmatik larak kaydedilen saldırıların belgelendirilerek üst birimlere raprlanması Ağ cihazları ve yazılımlarının güvenliği Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini AYGK-3 Ağ cihazlarının ve bu cihazlar üzerinde çalışan yazılımların güvenliği sağlanmalıdır. Ağ hizmetlerini sağlayan cihazların güvenliği ve bu cihazların yönetimi knusunda prsedür var mı? Ağ hizmetlerini sağlayan cihazların güvenliği ve yönetimine ilişkin prsedürlerin aşağıdaki hususlar yönünden incelenmesi: Alternatifi lmayan ve bir srun lduğunda sisteme büyük zarar verebilecek yazılım ve dnanım srunlarına ilişkin risk değerlendirmesi yapılması İşletim merkezleri mimarisinin, tek nkta hatalarına (single pint f failure) karşı esnek lması, yeterli yedekleme yapılması, ağ cihazları ve sunucuların yedekli ve yük paylaşımlı çalışabilmesi Ağın, sadece dışarıya açık sistemler (web sunucular), hem dışarıya hem içeriye açık sistemler (e-psta sunucuları), sadece içeriye açık sistemler (bazı veritabanı sunucuları) şeklinde birbirlerinden güvenlik duvarlarıyla ayrılarak knumlandırılması (DMZ) Ağda kurulu tüm sistemlerin ve ağ aktif cihazlarının işletim sistemlerinde ve üzerlerinde kurulu lan yazılımların güvenlik durumunun düzenli larak takip edilmesi, bu yazılımların güncellenmelerinin ve güncel yamalarının uygulanması Ağ hizmet sunucuları üzerinde işleyen sunucu yazılımlarından sadece gerekli lanlarının çalışması, çalışması gerekli lmayan yazılımların durdurulması Bilgisayar sistemlerinin üzerinde kullanılması zrunlu lanlar dışında yazılımların kurulmaması ve varsa kaldırılması Ağ hizmetlerinin sağlanmasında kablların gerekli standartları sağlamasına özen gösterilmesi ve mümkünse UTP/STP kablların veya fiber ptik kablların kullanılması Mümkün lan durumlarda özel uygulamalar için veri iletiminde sanal özel ağ (VPN) gibi özel veya belirlenmiş hatların kullanılması İnternet üzerinden kriptlama yapılarak özel, güvenli bir veri iletimi tüneli luşturulması 42

50 Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Ağ cihazlarına ilişkin fiziksel ve çevresel güvenlik önlemleri alınmış mı? Sunucular, kabllar, yönlendiriciler, mdemler ile anahtarların içinde bulunduğu ağ cihazlarının fiziksel ve çevresel tehditlere karşı krunması için alınan önlemlerin aşağıdaki hususları da içerip içermediğinin incelenmesi: Cihazların sadece ağ yöneticisinin veya nun yardımcısının açabileceği kilitli, ayrı dalarda, da ayırmanın mümkün lmadığı yerlerde özel kilitli dlaplarda tutulması Cihazlara fiziksel larak kimin ve ne zaman eriştiğini belirten erişim listelerinin tutulması ve bu listelerin güncellenmesi Kablların tek tek etiketlenmesi ve kayıtlarının tutulması Kullanılmayan kablların sökülmesi Cihazların yakınına (şifre, IP adresi) gibi güvenlik bilgilerinin yapıştırılmaması ve gizli tutulması Cihazlara erişim listesi hazırlanarak sadece belirli IP adreslerinin ulaşmasına izin verilmesi (Daha ayrıntılı güvenlik önlemleri için; Bkz Fiziksel ve Çevresel Kntrller) Ağ Cihazları Güvenliği (Güvenlik Duvarı) Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurumda güvenlik plitikasına uygun şekilde knfigüre edilmiş güvenlik duvarı var mı? Bu güvenlik duvarı uygulamaları zafiyetleri dikkate alınarak düzenli şekilde test ediliyr mu? Güvenlik duvarındaki laylar kaydediliyr, kayıtların değiştirilmesi veya silinmesine karşı krunuyr ve düzenli larak gözden geçiriliyr mu? Varlan güvenlik duvarının sahip lması gereken minimum özelliklerin aşağıdaki gibi lup lmadığının incelenmesi: İç ağdan dış ağa giden ya da dış ağdan iç ağa gelen bütün trafik güvenlik duvarından geçmelidir. Güvenlik plitikasında tanımlandığı gibi sadece yetkili trafiğe izin verilmeli, istenmeyen paketlerin ağa girmesi veya ağdan çıkması engellenmelidir. Güvenlik duvarı mimarisi iç ağın yapısını saklayacak şekilde yapılandırılmalı, bu amaçla; Dış ağa hizmet veren sunucuların bulunduğu mimari tpljilerde iç ağda bulunan sunucular ve kullanıcı bilgisayarları sadece iç ağdaki kullanıcılara ve istemcilere hizmet vermeli, dış ağa servis vermemeli ve güvenlik derecesi en yüksek bölümde tutulmalıdır. İç ağa ve dış ağa hizmet veren sunucular DMZ ağında yer almalı, güvenlik duvarı bu farklı güvenlik seviyesine sahip ağlar arasındaki trafiği düzenleyerek ağın güvenli ve yüksek perfrmanslı çalışmasını sağlamalıdır. 43

51 İç ağda bulunan sunucuların ve istemcilerin IP adresleri gerçek IP adresleri lmamalı, iç ağda kullanılan sanal IP adresleri lmalıdır. İç ağdaki herhangi bir bileşen geniş alan ağıyla (internet) haberleşmek istediğinde iç ağdaki IP adresleri güvenlik duvarı üzerinde adres dönüşümüne tabi tutularak dönüştürülmüş IP adresleri ile internete açılmalıdır. İç ağdan geniş alan ağına lan adres dönüşümü dinamik adres dönüşümü lmalı, bu sayede iç ağın IP adres blğu gizlenmelidir. Genel ağdan gelen hizmet istekleri için destek sağlayan kurum knakları (hstları) güvenlik duvarının dışında lmalıdır. Güvenlik duvarı ağ üzerinde ve kendi üzerinde çalışan servisleri kntrl etmelidir. Güvenlik duvarı mimarisi kendisini kayıtlı saldırı imzaları ile dğrudan saldırılara karşı savunmalıdır. Güvenlik duvarı özellikle ağdaki sunucuları dışarıdan veya içeriden görünmez kılabilecek bir kruma şemsiyesine sahip lmalıdır. Trafik sadece uygulama katmanındaki güvenlik duvarı ile gerçekleşmelidir. Güvenlik duvarı mimarisi hem uygulama hem de ağ katmanındaki kntrl önlemlerini birleştirmelidir. Güvenlik duvarı bütün ve/veya önemli kurallara ilişkin kural tablsunu ve servislere ilişkin önemli layların kayıtlarını kendi üzerinde veya ayrı bir bilgisayarda tutarak ağa ait önemli layların snradan incelenebilmesi için gerekli lan denetim kayıtlarını tutmalıdır. Güvenlik duvarının kural tablsunun luşturulmasında bilgi güvenliği plitika belgesi ve ağ güvenliği belgesi ile kurum ihtiyaçları göz önünde bulundurulmalıdır. Belirlenmiş herhangi bir ağ trafiğine rastlandığında güvenlik duvarı alarm üretebilmeli ve e-psta yluyla sistem yöneticilerine bilgi vermelidir. Merkezi bir nktadan tüm kullanıcı iş istasynlarının kullanıcı bilgisayarlarının krunmasına lanak tanımalı ve her bir güvenlik duvarı kurulumunu izleme, srun giderme ve yönetme imkânına sahip lmalıdır. Merkezi bir nktadan güvenlik duvarı yapılandırma ayarlarının istemci bilgisayarlar üzerine kurulması ve güncellenebilmesi gibi özelliklere sahip lmalıdır. Güvenlik duvarı mimarisi unsurlarının yönetimi için güçlü yetkilendirme prsedürü lmalı, güvenlik duvarının knfigürasynu yetkisiz larak değiştirilememelidir. Güvenlik duvarı yazılımları/cihazları güvenliğin yapı taşları lup sistem içerisindeki diğer güvenlik yazılım/cihazları ile uyumlu çalışmalıdır. Güvenlik duvarı mimarisi minimal geçişe izin verecek şekilde knfigüre edilmeli, bu amaçla öncelikle tüm hizmetler blklanmalı, daha snra gerekli lanlar açılmalıdır. 44

52 SİSTEM KONTROLLERİNİN DEĞERLENDİRİLMESİ Ağ bilgi akışı sürekliliğinin ya da perfrmansın önemli lduğu durumlarda yedekli yapıda güvenlik duvarı kullanılmalı, aktif-pasif (master-slave; failver mimari) yapıda, çalışmayan güvenlik duvarının diğer çalışan güvenlik duvarını sürekli kntrl etmesi ve çalışmadığında tmatik larak devreye girmesi sağlanmalıdır. Aktif-aktif yedekli yapıda her iki güvenlik duvarının da sürekli larak aktif lması, bir tanesi devre dışı kaldığında diğerinin tmatik larak tüm bağlantıları üzerine alıp ağ iletişimini sürdürmesi sağlanmalıdır. Çk sıkı güvenlik gereksinimi lan ve ardışık iki güvenlik duvarının kullanıldığı sistemlerde bu güvenlik duvarları farklı üreticilerden, mdellerden seçilmeli ve bunlar birbirini tamamlayıcı nitelikte lmalıdır. Tek güvenlik duvarının kullanıldığı mimari tpljilerde ağ trafiği yüksek seviyelerde ise kullanılacak güvenlik duvarı durumsal güvenlik duvarı larak seçilmelidir. Durumsal güvenlik duvarı OSI referans mdelinin turum katmanında hizmet verdiğinden uygulama seviyesinde güvenliğin sağlanması amacıyla mümkünse güvenlik duvarı ile birlikte vekil sunucular da kullanılmalıdır. Kurumda bulunan güvenlik duvarının düzenli şekilde aşağıdaki başlıklar altında sıkılaştırmalarının yapılıp yapılmadığının incelenmesi Yönetim Knslu için; Yönetim knslu güvenli bir ağda knumlandırılmış lmalı, tek güvenlik duvarı lan tpljilerde güvenlik duvarı iç ağdan yönetilmelidir. Yönetim knslunun işletim sistemi sıkılaştırılmalıdır. Bilinen açıklıklar kapatılmalıdır. Yönetim knslu ile güvenlik duvarı arasındaki iletişimin şifreli lması sağlanmalıdır. Tahmin edilmesi zr yönetici/kullanıcı şifreleri seçilmelidir. Gereksiz yere tanımlanmış yöneticiler/kullanıcılar silinmelidir. Tanımlı yöneticilere/kullanıcılara sadece ihtiyaç duydukları kadar erişim hakkı verilmelidir. Yönetim knslu, belirli bir süre byunca işlem yapılmadığı takdirde, güvenlik duvarı ile bağlantısını kparmalıdır. Güvenlik Duvarı için; Güvenlik duvarı ağ tpljisi içerisinde dğru bir şekilde knumlandırılmalıdır. Güvenlik duvarını yönetecek yönetim knslları kısıtlanmalıdır. Kural tablsu sıkılaştırılmalı, bu amaçla; 45

53 Gereksiz kurallar silinmeli, mümkün lduğunca sade tutulmalıdır. Sadece ihtiyaç duyulan bağlantılara izin verilmelidir. Güvenlik duvarına dğrudan erişimi engelleyen kural bulunmalıdır. İzin verilmeyen bağlantılara ilişkin geriye cevap döndürülmemeli, ağ paketlerinin sessizce düşürülmesi sağlanmalıdır. Kritik bağlantılara ilişkin kayıtlar tutulmalıdır. Erişimler mümkün lduğunca kısıtlanmalıdır. Kaynak bilgisayar Hedef bilgisayar Kullanılan servis Yamalar takip edilerek yazılım güncel tutulmalıdır. Bilinen açıklıklar kapatılmalıdır. Saldırı önleme imzaları güncel tutulmalıdır. Önemli saldırı tiplerine karşı imzalar aktif hale getirilmelidir. Ağ adres çevrimi yapılarak iç ağa ait IP adresleri dış ağdan gizlenmelidir. Bağlantı sayısı (İç ağdan dış ağa yapılan bağlantı sayıları) sınırlandırılmalıdır. Tutulan tüm lay, ağ trafiği, denetim vs. kayıtlarının güvenliği sağlanmalıdır. Prsedüre ilişkin güvenlik için; Kural tablsu güncel tutulmalı, düzenli lmalı ve dkümante edilmelidir. Güvenlik kayıtları geriye dönük larak düzenli bir şekilde yedeklenmeli, incelenmeli ve raprlanmalıdır. Tutulan kayıtların silinmesi belirli bir prsedüre göre yapılmalıdır. İlgili persnel düzenli eğitimlerden geçirilmelidir. Güvenlik duvarı periydik güvenlik denetimlerinden geçirilmelidir. (Başka kurum ve kuruluşlar tarafından ve/veya iç denetim) Güvenlik duvarının birebir yedeği önceden alınmış lmalıdır. Güvenlik duvarı üzerinde yapılan tüm değişiklikler raprlanmalıdır. Sistem yöneticisiyle yukarıda belirtilen sıkılaştırmalarının yerindeliğine ilişkin görüşme yapılması ve güvenlik duvarına sızma denemelerinin yapılması 46

54 Ağ Cihazları Güvenliği ( İçerik Kntrlcüsü) Sistem yöneticisiyle görüşülerek güvenlik duvarı knfigürasynunun yetkisiz değişimlerinin takip edilip edilmediğinin belirlenmesi Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurum güvenlik plitikasına uygun larak kurumun iç ağı ile dış ağ arasındaki trafikte yer alabilecek zararlı içeriklere karşı kntrller yapılıyr mu? İçerik kntrlüne ilişkin larak aşağıdaki hususları düzenleyen yazılı bir plitikanın bulunması ve bu plitika belgesinin düzenli larak güncellenip güncellenmediğinin incelenmesi Filtrelenecek zararlı içerikler (Virüs ve trjanlar, aktif nesneler, spyware/adware, macr, lgic bmbs trap drs, wrms, explit, keylggers, rtkit vb ) Filtrelenecek dsya türleri (*.exe, *.zip, *.rar, vb ) Yapılacak URL filtreleme Filtreleme yapılacak anahtar kelimeler Göndericiler ve/veya alıcılara göre filtreleme İç ağ ile dış ağ arasında akan her bir ağ paketinin filtreden geçmeden iç ağa ulaşmasına izin vermeyecek şekilde içerik kntrlcüsünün ağ mimarisindeki yeri Bu plitikaların uygulama nktalarının belirlenmesi (sunucu veya ağ geçidi tabanlı) Zararlı içerik tespiti halinde uygulanacak prsedür Zararlı içeriklerin güncel tutulmasına ilişkin prsedür Plitikaların güncellenmesinin aşağıdaki hususlar çerçevesinde yapılıp yapılmadığının tespit edilmesi Gerekli ve gereksiz filtreleme kurallarının belirlenmesi Gereksiz filtreleme kurallarının anki geçerli plitikadan çıkarılması İhtiyaç duyulan yeni filtreleme kurallarının geçerli plitikaya eklenmesi Böylece bir önceki plitikanın ihtiyaçlara cevap verebilecek hale getirilmesi İçerik kntrlcüsüne ilişkin sıkılaştırmaların aşağıdaki hususlar kapsamında düzenli larak yapılıp yapılmadığının belirlenmesi Yönetim knslunun güvenliğinin sağlanması Yönetim knslu güvenli bir ağda knumlandırılmalı Yönetim knslunun işletim sistemi sıkılaştırılmalı Bilinen açıklıklar kapatılmalı Yönetim knslu ile içerik kntrlcüsü arasındaki iletişimin şifreli lması sağlanmalı 47

55 Tahmin edilmesi zr yönetici/kullanıcı şifreleri seçilmeli Gereksiz yere tanımlı yöneticiler/kullanıcılar silinmeli Tanımlı yöneticilere/kullanıcılara sadece ihtiyaç duydukları kadar erişim hakkı verilmeli Yönetim knslu, belirli bir süre byunca işlem yapılmadığı takdirde, içerik kntrlcüsü ile bağlantısını kparmalı İçerik kntrlcüsünün güvenliğinin sağlanması Mümkünse içerik kntrlcüsü güvenlik duvarının bacaklarının birinde knumlandırılmalı ve güvenlik duvarıyla entegre bir şekilde çalışmalıdır. İçerik kntrlcüsünü yönetecek yönetim knslları kısıtlanmalı Filtreleme ayarları aşağıdaki gibi yapılmalı: Zararlı lduğu bilinen içerikler blklanmalı, zararlı lduğu tespit edilen ağ trafiğine ilişkin paketler düşürülüp bu ağ trafiğine ilişkin temiz lan paketlerin geçişine izin verilmeli Zararlı lduğu tespit edilen ancak temizlenemeyen ağ trafiğine ilişkin bütün paketler reddedilerek düşürülmeli Düşürülen bütün paketlerin bir kpyası alınarak izle bir yerde saklanmalı, karantinaya alınan bu kpyalar snradan incelenerek zararlı içerikler hakkında bilgi edinilmeli Sıkıştırılmış içeriklerin taranması sağlanmalı (örneğin seviye 10 a kadar, üstü reddedilmeli) Sıkıştırılmış dsya byutu belirlenen miktara (örneğin 50MB) kadar incelenmeli, bunun üstü blklanmalı Şifre krumalı dsyalar, şifreli mesajlar reddedilmeli Uzantısı değiştirilmiş dsyaların gerçek dsya tipini belirlenmesi için taranması sağlanmalı Aktif içerikler (ActiveX/Javascript) blklanmalı Şüpheli Macr lar taranmalı Tespit edilen Spyware/Adware ler blklanmalı Spam e-pstalar blklanmalı Zararlı içerik gönderdiği tespit edilen sunucular ve/veya kişiler YASAKLI listesine alınmalı Yasaklı yerlerden gelen dsyaların tmatik larak taranması veya blklanması sağlanmalı URL filtreleme gerçekleştirilmeli Anahtar kelimelere göre tarama yapmalı Kritik layların sistem yöneticilerine e-psta ile gönderilmesi sağlanmalı 48

56 Blklanan, geçişine izin verilmeyen, reddedilen veya karantinaya alınan ağ paketlerine ilişkin geriye cevap döndürülmemeli Yamalar takip edilerek güncel tutulmalı Bilinen açıklıklar kapatılmalı Zararlı içerik imzaları güncel tutulmalı Filtrelenen zararlı içeriklere ilişkin kayıtlar tutulmalı, periydik larak gözden geçirilmeli Prsedüre ilişkin güvenliğin sağlanması Filtreleme plitikaları belirli aralıklarla güncellenmeli ve dkümante edilmeli Filtreleme kayıtları düzenli aralıklarla gözden geçirilmeli ve karşılaşılan güvenlik ihlalleri raprlanmalı Tutulan kayıtların silinmesi belirli bir prsedüre göre yapılmalıdır. Persnel düzenli eğitimlerden geçirilmeli İçerik kntrlcüsü periydik güvenlik denetimlerinden geçirilmeli (Başka kurum ve kuruluşlar tarafından veya iç denetim) İçerik kntrlcüsünün birebir yedeği önceden alınmış lmalı İçerik kntrlcüsü üzerinde yapılan tüm değişiklikler raprlanmalıdır. İçerik kntrlcüsü tarafından tutulan kayıt ve alarmlar incelenerek filtrelenmesi gereken zararlı içeriklerin gerçekten filtrelenip filtrelenmediğine ve üretilen alarmların plitikalara uygunluğuna bakılması Yapılan raprlarda kurumun karşı karşıya kaldığı ve/veya rtaya çıkan yeni tehditlere yer verilip verilmediğinin incelenmesi Ağ Cihazları Güvenliği (Saldırı Tespit ve Önleme Sistemleri) Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurumda ağ güvenliğinin sağlanmasında saldırı tespit ve önleme sistemleri bulunmakta mı? Sistem yöneticisi ile görüşme yapılarak Saldırı Tespit ve Önleme Sistemlerinin özellikleri dikkate alınarak ağ mimarisi içerisinde dğru şekilde knumlandırılmasının sağlanıp sağlanmadığının belirlenmesi (yönetim knslu dahil) Sistem yöneticisi ile görüşme yapılarak, ilgili belgeler incelenerek ve yerinde gözlem ve testler yapılarak saldırı tespit ve önleme sisteminde aşağıdaki hususların dikkate alınıp alınmadığının incelenmesi Kuralların etkinliği düzenli larak kntrl edilmeli (gereksiz lan kurallar kaldırılmalı, yakalanan trafiğe göre belirlenebilecek ek kurallar da gözden geçirilmeli, saldırıya göre değil açıklığa göre kural yazılmalı) 49

57 Saldırı imzası veritabanı düzenli larak güncellenmeli (örneğin, haftada bir tplu güncelleme veya çk önemli bir saldırı lduğu anda özel güncelleme) Sadece sistemde yer alan bileşenlerle ilgili saldırı imzalarını aktif hale getirmeli Güvenlik duvarının blke edeceği saldırılarla ilgili imzalar aktif lmamalı Saldırı tespit sistemi (STS) bileşenleri (yönetim knslu, veritabanı ve sensör) arasında alarm alışverişinin şifreli yapıldığı kntrl edilmeli (Örneğin sensörün veritabanına gönderdiği alarm bilgilerinin şifreli lması, aynı şekilde veritabanından çekilen bilgilerin de şifreli ulaştırılması gerekmektedir. Alarm bilgilerinin hassas bilgiler lduğu unutulmamalı, ağ saldırıları hakkında bilgi veren bu ağ paketleri buna göre şifrelenerek krunmalıdır) STS yönetim knsluna plitikalara uygun bir şekilde erişim kntrlü yapılıp yapılmadığı kntrl edilmeli (Alarmların kimler tarafından gözlenip raprlanabileceği, kimler tarafından silinip değiştirilebileceği belirlenmeli ve her persnel ayrı hesaplar kullanarak turum açmalıdır) STS ye özel knfigürasyn dsyaları (örneğin Snrt ta snrt.cnf dsyası) gözden geçirilmeli ve bir aksaklık lup lmadığı kntrl edilmeli Alarm miktarı kntrl edilebilecek miktarda lmalı STS alarmlarının ne kadar sıklıkla ve kim tarafından izlendiği, ne kadar sıklıkla raprlama gibi faaliyetlerde bulunulduğu kntrl edilmeli STS yanlış alarmlar üretmesi durumunda gerekli önlemler alınmalı (kural değiştirilmeli, kural değiştirilemeyecek gibi görünüyrsa, zaman kaynak IP adresine özel larak bir ihmal etme kuralı knulmalı, kaynak IP adres çk fazla ise yanlış alarm üreten kural görmezden gelinerek bir şey yapılmamalıdır.) Saldırı tespit ve önleme sisteminin aşağıdaki hususları içerip içermediğinin incelenmesi: Geniş çeşitlilikte sızmaları tespit etmeli İçeriden veya dışarıdan gelebilecek sızmaları belirlemeli Daha önceden bilinen ve bilinmeyen saldırıları belirlemeli Daha önceden bilinmeyen saldırıları belirlemek için bir uyum veya öğrenme düzeneğine sahip lmalı Yapılan çözümlemeyi en klay anlaşılabilecek şekilde sunabilmeli Bilgisayar sistemleri ve ağlar arasındaki trafiği dikkat çekmeden analiz edebilmeli Sisteme yapılan saldırılara karşı kyabilmeli ve ağ yöneticisine bildirebilmeli Gerçek zamanlı veya zaman aralıklı saldırı tespiti yapabilmeli Saldırı tespitlerini ağ ve işletim sistemlerini inceleyerek yapabilmeli 50

58 Ağ Cihazları Güvenliği (Web Sunucuları) Ağda dlaşan paketleri görüntüleyebilmeli ve saldırı içerikli lup lmadığını tespit edebilmeli Bütün ağ prtkllerini analiz edebilmeli İşletim sisteminin kayıtlarına bakarak belli bir sisteme yapılan izinsiz erişimleri ve sistemde uygulanan izinsiz aktiviteleri kntrl edebilmeli Sistem yöneticisi tarafından grafik ara yüzü ile klayca yönetilebilmeli Sistem yöneticisi grafik ara yüzü ile lası uyarıları görüntüleyebilmeli, algılayıcıların knfigürasynlarını kntrl edebilmeli, verileri tplayabilmeli, bu veriler veritabanı rtamında saklanabilmeli ve ağ veya sistem aktivitelerini raprlayabilmeli Saldırılara karşı nasıl tespit yapılacağı ve nasıl karşı kyulacağı knularında var lan veri tabanını internet aracılığı ile güncelleyebilmeli ve bu teknikleri kullanıcı tanımları ile kntrl edebilmeli Saldırı durumunda knsla uyarı gönderebilmeli (SNMP), e- psta atabilmeli, aktif turumu görüntüleyebilmeli, raprlama yapabilmeli, saldırı tehdidi içeren bağlantıları kesebilmeli, durdurabilmeli, kullanıcı tarafından kntrl edilebilmeli ve gerekirse güvenlik duvarı üzerinde belirlenmiş lan ağ güvenlik plitikasını değiştirebilmeli ve güvenlik duvarı ile entegre çalışabilmeli Tespit edilen saldırılara kntrlsüz tepkiler verilmemeli Sistem yönetici ve diğer yetkili görevliler ile görüşme yapılarak belirlenen saldırılara karşı sistemi en az hasarla eski durumuna getirmek için kullanılan mettların (engelleme, hapsetme, çağrılara geciktirilerek cevap verme ) belirlenmesi ve bu mettların belgelendirilerek saklanması ve birim yöneticisine raprlanıp raprlanmadığının incelenmesi Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurumda bulunan web sunucusunun güvenliğine ilişkin yazılı prsedürlere uygun larak belirlenmiş kntrller var mı? Web sunucularının ve sitenin güvenliğine ilişkin prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Güvenli bir web hizmeti için güvenli yazılım esaslarına göre tasarlanmış ve kdlanmış bir web sunucusunun bulundurulması Web sunucu yazılımlarının düzenli larak güncellenmesi (Web sunucuda yapılacak sürüm değişikliği veya güncellemeler, ürün firması tarafından desteğin kesilmesine neden labileceğinden hizmet alımındaki sözleşmelerde bu hususların yer alması gerekir.) Gerekli lmayan tüm bileşenlerin (WebDAV, HTTP Trace, Frntpage Uzantıları, Yazıcı desteği, Index luşturma desteği ve örnek CGI uygulamaları) sistemden çıkarılması 51

59 Sunucu üzerindeki uygulamanın tüm bileşenlerinde kullanılan değişkenler için kntrller luşturulması ve değişkene atanması beklenen veri türü ile kullanıcı girdisinin karşılaştırılması Beklenen girdi türünden farklı karakterler (örn. <>/;()) saptanması durumunda, karakterler anlam ifade etmeyecek biçimde değiştirilmesi, silinmesi veya kullanıcıya uyarı mesajı döndürülmesi Sunucuya erişim seviyelerinin belirlenmesi: Herkese açık (/private (özel) dizini hariç tüm URL`lere salt-kunur erişim) Kurum çalışanları (private dizini dahil tüm URL`lere saltkunur erişim) HTML yazarları(dküman ağacında HTML dsyaları yaratma, değiştirme ve silme hakları lan kişiler) Site yöneticileri (Web sunucusunun knfigürasyn dsyalarını değiştirme, CGI script`leri kurma ve Web sunucusunun kapatılıp açılması hakkına sahip lanlar) Sistem yöneticileri (Web sunucusu makinesinin knfigürasynunu değiştirme ve makineyi kapatıp açma hakkına sahip lan kişiler) Yetkilendirme prsedürünün düzenlenmesi (HTML yazarları, site yöneticileri ve sistem yöneticileri erişim seviyeleri için bilgi işlem birimi yöneticisi ya da yardımcısından yazılı izin alınmalı) Yetkilerin iptaline ilişkin prsedürün luşturulması (Tüm erişim seviyeleri için yetkilerin, bilgi işlem birimi yöneticisi veya yardımcısı uygun gördüğünde herhangi bir uyarı yapılmadan kaldırılmalı) Erişim haklarının sağlanması: Web sunucusu makinesine yerel knsldan lgin sadece sistem ve site yöneticileri için sağlanmalı, Lgin`lerin amacı sadece site bakımı için lmalı Dsya paylaşımı dahil lmak üzere ağ lgin`lerinin her şekli yasaklanmalı Tüm sunucu yönetimi yerel larak yapılmalı, uzaktan erişime izin verilmemeli CGI script`leri, site yöneticilerinden en az ikisi tarafından gözden geçirilip naylandıktan snra site yöneticileri tarafından kurulmalı, Kaynak kdu mevcut lmayan CGI script`leri bilgi işlem birimi yöneticisi veya yardımcısının izni lmadan kurulmamalı Ağ hizmetlerinin düzenlenmesi: Web sunucusu LAN`daki diğer veritabanları, dsya sistemleri veya servisler ile, bilgi işlem birimi yöneticisinin yazılı izni lmadan bağlantı kurmamalı Gelen ve giden FTP bağlantıları sadece web sayfalarını güncelleme amaçlı lmalı ve FTP erişimi, web yazarlarına, 52

60 site ve sistem yöneticilerine lacak şekilde sınırlandırılmalı; annim FTP ve kurum dmain alanı dışarısından her türlü FTP erişimi yasaklanmalı Web makinesi tarafından başka hiçbir ağ servisi sağlanmamalı Çalışma, yedekleme ve izlemeye ilişkin bakım prsedürlerinin belirlenmesi Ağ Cihazları Güvenliği (Mbil bilgi işlem araçları) Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurumda güvenlik plitikasına ve risk değerlendirmesine dayalı mbil bilgi işlem araçlarının kullanımına yönelik prsedürler var mı? Mbil bilgi işlem araçlarının kullanımına yönelik prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Kabul edilebilir kullanım kuralları Hangi amaçlar için kullanılacağı Çalışma rtamları Kullanılan yazılım ve dnanım teknljisi Anahtar süreçlerin belgelendirilmesi Fiziksel ve çevresel güvenlik önlemlerinin alınması Kullanıcıların bilinçlendirilmesi Kullanım kurallarının ihlal edilmesi snrası yaptırımlar Ağa uzak erişim sağlanmasına yönelik kriptlama ve şifre kuralları (iki unsurlu dğrulama, sanal özel ağ..) Kötü Niyetli Yazılımlar Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini AYGK-4 Kötü niyetli yazılımların hızla tespit edilmesi ve yk edilmesi için kişisel bilgisayar sistemleri ve sunucu sistemler üzerinde ağ tabanlı anti-virüs sistemleri kurulmalı ve kurulu sisteme özgü larak düzenli şekilde güncellenmelidir. Ağ sistemi içinde her nktanın kötü niyetli yazılımlara karşı krunması için alınmış önlemler var mı? Kötü niyetli yazılımlara karşı alınan önlemler düzenli larak izleniyr mu? Kötü niyetli yazılımlardan krunma prsedürlerinin aşağıdaki hususları içerip içermediğinin incelenmesi: Kötü niyetli yazılımlara ilişkin risklerin bir değerlendirmesinin yapılması Yapılan bu risk değerlendirmesine dayalı larak kötü niyetli yazılımlara karşı alınacak tedbirlere ilişkin bir plitika luşturulması Bu plitikaların detaylı uygulamalarıyla birlikte belgelendirilmesi 53

61 Kullanıcıların bu plitika knusunda eğitim, e-psta duyuruları, web sayfası güvenlik uyarıları gibi yllarla bilinçlendirilmesi Önemli veri tutan sunucularda veri yedeğinin düzenli larak alınması Kötü niyetli yazılımlara karşı kullanılan yazılımların belgelendirilmesi ve sürekli güncel tutulması için düzenli güncellemelerinin yapılması Sistem yöneticilerinin ve kullanıcıların lisanssız yazılım kullanmalarına izin verilmemesi Kullanıcılara belirli yazılımları yükleme knusunda sınırlama getirilmesi Tüm yazılımların kurulumu ve kullanımından önce virüs taraması yapılması Serbest veya kpyalanabilir prgramların indirilmesi, kabulü ve kullanımı knusunda yazılı bir plitikanın lması ve bu plitikaya bağlı kalınması İnternetten belirli dsya türlerinin indirilmesi ve kurulmasının yasaklanması Kritik uygulama yazılımların mesaj dğrulama kdu veya digital imza ile krunması ve dğrulamanın başarısız lması durumunda yazılımın kullanılmasına engel lunması Kullanıcıların perfrmans yavaşlaması ve dsya büyüklüklerindeki garip artış gibi durumlarda virüslerin belirlenmesi ve raprlanmasına ilişkin talimatlar alması Kurumun dışardan satın alınan prgramla gelen disketlerin kntrl edilmesine yönelik plitika ve prsedürlerin lması ve buna bağlı kalınması Kötü niyetli yazılımların önlenmesi için Kurum tarafından kullanılan yazılımların aşağıdaki hususları yerine getirip getirmediğinin belirlenmesi: SMTP, HTTP, FTP data paketlerinde tarama yapabilmeli Güvenlik duvarına entegre çalışabilmeli E-psta trafiğini görüntüleyebilmeli Olası virüs özelliği taşıyabilecek dsyaları algılamalı Kötü niyetli JavaScript, VBScript ve Applet leri sezmeli ve istenirse sınırlamalı Ağ yöneticisinin isteği dğrultusunda mesajlardaki ekleri (attachment) tarayabilmeli Olası virüs tespitinde ağ yöneticisine, gönderen kişiye ve alıcıya uyarı pstası atmalı İçerik denetleme özelliğine sahip lmalı ve bu özelliği sağlayan ürünlerle entegre çalışabilmeli Spam pstalarını engellemeli, dsya uzunluğunu sınırlamalı ve e-pstaları arşivlemeli 54

62 Gönderilen pstanın metninde geçen bir kelimeye kadar filtreleme özelliği lmalı ve bu özelliği sağlayan ürünlerle entegre çalışabilmeli Hem kullanıcı hem de dmain bazında e-pstaları blklayabilmeli Sıkıştırılmış dsyalar üzerinde virus taraması yapabilmeli Psta kutusuna düşmeden tarama işlemi yapabilmeli ve istenildiğinde psta kutusu bazında tarama yapabilmeli Kullanıcıları ve sunucuları disk, disket, cd.vs gibi çevre birimlerinden bulaşabilecek virüslere karşı kruyabilmeli Kullanıcılara istenirse uzaktan tek merkezden tmatik larak yüklenebilmeli Kullanıcı yetkilendirme hakkı şifreli larak verilebilmeli Tüm kullanıcılar görüntülenebilmeli ve üzerlerindeki virüs aktivitesi kntrl edilebilmeli Kötü niyetli yazılımlardan krunmaya yönelik prgramların yönetiminin aşağıdaki hususları içermesi: Bir merkezden yönetilmesi Görüntülenmesi, kayıt dsyalarının incelenmesi Uzaktan kntrl edilmesi ve çalıştırılması Güncel bilgilerini aldığı Virus Pattern dsyasını internet aracılığı ile istenilen zaman aralıklarında tmatik larak güncellemesi ve ilgili prgramlara dağıtabilmesi İşletim sistemlerince desteklenmesi Örnekleme yluyla seçilen sunucularda kötü niyetli yazılımlara karşı çalıştırılan bir yazılım lup lmadığının görülmesi için yüklü yazılımın çalıştırılması, en sn güncelleme tarihinin tespit edilmesi ve herhangi bir bulgu snrası yapılan faaliyetlerin izlenmesi Örnekleme yluyla seçilen kullanıcıların bilgisayarlarında kötü niyetli yazılımlara ilişkin prgramların dğru şekilde kurulup kurulmadığı ve yeterli düzeyde çalışıp çalışmadığının belirlenmesi Örnekleme yluyla seçilen kullanıcılarla görüşme yapılarak kötü niyetli yazılımlara karşı bilinçlendirilip bilinçlendirilmediğinin izlenmesi Kriptlama ve güvenli iletişim kntrlleri Kntrl Kntrl varlığını değerlendirme sruları AYGK-5 Kurumda hassas bilgilerin saklanması ve iletiminde kriptlama yapılmalı ve ağ hizmetlerinin güvenli bir şekilde yerine getirilmesi için kullanılacak güvenlik çözümleri düzenli larak takip edilmelidir. Kurum hangi bilgilerinin ne düzeyde krunması gerektiğine ilişkin bir risk değerlendirmesi yapıyr mu? Kurum hangi bilgilerinin ne düzeyde kriptlanacağına ve bu bilginin kim tarafından hangi mettlarla açılacağına ilişkin prsedürlere sahip mi? 55

63 Kurum kriptlama sistemine ilişkin larak algritma seçiminden başlayan değişimleri ve güncellemeleri de içeren prsedürlere sahip mi? Kntrl etkinliğini Kriptlamaya yönelik prsedürlerde belirlenen ve açıkça tanımlanmış lan görev srumlulukların aşağıdaki hususları içerip içermediğinin belirlenmesi: Anahtar yönetimi (anahtar luşturma ve üretme dahil) Yükleme (değişiklikler için kntrllü yükseltmeler dahil) Taşıma Deplama Kurtarma İhtiyaç dışına çıkarma ve imha Hırsızlık ve kullanım sıklığı Kriptlamaya ilişkin prsedürlerde aşağıdaki hususların açıkça belirlenip belirlenmediğinin incelenmesi: Kriptlamayı gerektiren hassas verilen hangileri lduğu Kriptlamanın ne zaman ve nasıl uygulanacağı Kriptlamanın ana dsyalarda bulunan verilere mi yksa sadece bu verilerin internet üzerinden iletilmesinde mi yapılacağı Kriptlamaya yönelik prsedürlerde aşağıdaki hususlarda kntrllerin kurulup kurulmadığının incelenmesi: Anahtarların iki ayrı kilit unsurlardan luşturulması ve ayrı bilgi ve ikili kntrl kavramları altında bilinmesi Anahtarların hiçbir kullanıcı ve prgramcının erişemeyeceği güçlü mantıksal ve fiziksel kntrllerle sağlamlaştırılmış rtamlardaki bilgisayarlarda tutulması Kriptlama sistemindeki değişiklik ve güncellemelere ilişkin prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Anahtarların ihtiyaç dışına çıkarma zamanının belirlenen standartlara uygun lması Uygulamaya yeni anahtarların knması güvenlik zafiyetlerini rtaya çıkarabileceğinden dikkatli kullanılması (özellikle anahtarlar sadece özel mdüllerde saklanmalı, işletim sistemi ve uygulama prgramlarının açık metinlerinde tutulmamalıdır) Kullanılmakta lan anahtarların yükseltilmesi sadece seçilen güvenlik elemanları tarafından belirli bir zaman içerisinde yapılması Anahtarların kpyalarının test rtamında veya herhangi bir prgramcı veya kullanıcının erişebileceği rtamlarda bırakılmaması 56

64 Kriptlama standartları Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurumda uygulamalarını dikkate alan genel kriptlama standartları kullanılmakta mı? Bilgi işlem birimi ve ilgili yetkililerle görüşme yapılarak kurum amaçlarına uygun lan hangi kriptlama standartlarının etkin şekilde kullandığının tespit edilmesi (IPSec, SSL, TLS ) Elektrnik imza Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Elektrnik imzanın kullanımı durumunda kullanımı ve izlenmesi belirli kurallara bağlı lmalıdır. Kurumda elektrnik imza kullanılmakta mı? Elektrnik imza için anahtar sertifikasının kullanımı izleniyr ve kayıtları tutuluyr mu? Kamu kurumları için elektrnik imzaya ilişkin sertifika verme TÜBİTAK ın yetkisindedir. Verilen bu yetkinin yerinde kullanıldığının örnekleme yluyla seçilen bazı işlemler üzerinden tespit edilmesi Sanal Özel Ağlar (VPN) Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurum veri iletiminde sanal özel ağların (VPN) luşturulması durumunda bu bağlantılar izlenmeli, kayıtları tutulmalı ve belgelenmelidir. Kurumda veri iletiminin güvenli şekilde yapılabilmesi için sanal özel ağlar (VPN) luşturuluyr mu? Bu bağlantılar izleniyr, kayıtları tutuluyr ve belgelendiriliyr mu? Sanal özel ağın luşturulmasına ilişkin larak belirlenen plitika belgesinde aşağıdaki hususların dikkate alınıp alınmadığının incelenmesi: Hizmetten kimin yararlanacağı Kullanım kuralları Kullanımın güvenlik plitika ve prsedürlerine uygun lması Bu hizmet üzerinden başka hizmetin (Prxy, DHCP, BOOTP, DNS vb.) verilip verilmeyeceği Hizmet alanların kurallara uyması ve yaptırımların uygulanması Kullanıcıların alması gereken güvenlik önlemleri Knfigürasyn değişikliklerinin işlenmesi ve duyurulması Kullanılan teknljiye ilişkin standart ve prtkller ve güncellemelerin takip edilmesi Sanal özel ağın güvenliğinin sağlanmasına yönelik kntrllerde aşağıdaki hususların yer alıp almadığının belirlenmesi: Sunucuların kendilerine ayrılmış bir DMZ bölümü luşturulması ve güvenlik duvarı aracılığıyla yerel ağa bağlanması 57

65 Sunucularda sayısal sertifika veya tek seferlik şifre gibi harici kimlik dğrulama sistemleri kullanılması İnternet kullanımı ile sanal özel ağ kullanımı arasında izlasyn yapılması ve istemcilerin İnternet te farklı kaynaklara erişiminin kısıtlaması Güçlü kriptlama algritmalarının seçilmesi Uzak erişimlerde sahip lunan yetkilerin, yerel ağda sahip lunan yetkilerden çk daha az lacak şekilde yapılandırılması Kablsuz ağlar Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurumda kablsuz ağların güvenli ve güvenilir şekilde kullanılmasına yönelik önlemler alınmış lmalıdır. Kurumda kablsuz ağların güvenli kullanımına yönelik prsedürler var mı? Kablsuz ağlara ilişkin luşturulan prsedürlerde aşağıdaki hususların dikkate alınıp alınmadığının belirlenmesi: Güçlü kimlik dğrulama mekanizması Rgue EN lere yönelik sürekli tarama (Denetleme yazılımları) İstemci knfigürasynu (Grup Plicy) Uygun Erişim Nktası Yerleşim Planı hazırlanması Güç seviyesinin gerekli minimum seviyede tutulması Güçlü şifreleme Kriptgrafik veri bütünlüğü kntrlü Kapsama alanının taranarak gürültüye sebep lan cihazlara müdahale edilmesi AP fiziksel knumu dğru seçilmeli, veya fiziksel erişim riskine karşı kruyucu önlemler alınmalı Kablsuz ağın kurulması, erişim kntrlleri, çevresel güvenlik önlemleri ve uygulama düzeyinde güvenlik önlemlerini içeren kullanım plitika ve prsedürlerinin bulunması Kablsuz ağ tasarımı yapılırken yeterli kapsama alanını içeren erişim nktalarının sayısının minimum düzeyde tutulması Erişim nktalarının kendisinden beklenen işleri yapabilecek en az güçle çalıştırılması Yayın kapsama alanının test edilmesi RSN veya WPA gibi en sn standartların ve prtkllerin ve bunlara uygun çalışan dnanımların bulundurulması ve yeni gelişmelerin düzenli şekilde izlenmesi Kablsuz ağı kullanacakların ve bu ağ üzerinde gönderilecek veri türünün tespit edilmesi Erişim nktalarının ve diğer aletlerin kullanımı, krunması ve bakımının yapılması için srumluların belirlenmesi İstemcilerden ayrıca sayısal sertifika veya tek seferlik şifre gibi harici dğrulama yöntemlerinin de istenmesi 58

66 Ağ üzerine saldırı tespit sistemi ve kablsuz güvenlik duvarı kurulması ve erişimin buradan yapılmasının sağlanması, tercihen sanal özel ağ luşturulması Uygulama düzeyinde de kullanıcı dğrulamasının istenmesi Kablsuz ağın güvenli şekilde işletilmesine yardım edecek kapsamlı yazılımların bulundurulması Kullanıcıların ve diğer srumluların eğitilmesi Kurum güvenlik plitikası dahilinde hareketli kullanıcıların kabllu yerel ağa bağlı lması durumunda bilgisayarlarındaki kablsuz bağlantı araçlarının engellenmesi E-psta güvenliği Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurumda e-psta hizmetinin güvenli şekilde yapılmasına yönelik prsedürler var mı? Kurum e-psta hizmetinin sunulması prsedürlerinin aşağıdaki hususları içerip içermediğinin incelenmesi: E-psta sistem yönetici kullanıcılarının sadece e-psta hizmeti verebilmek için gerekli lan minimum erişim haklarına sahip lması Servis Dışı Bırakma (DS) saldırılarına karşı e-psta eklentilerine belirli bir büyüklükle sınırlama getirilerek büyük byutta e-pstaların gönderilmesi veya alınmasının engellenmesi, kullanıcı e-psta kutularının bulundurabileceği dsyaların byutuna bir sınırlandırma getirilmesi Denetim amaçlı larak kullanıcılardan gönderilen ve kullanıcılara gelen e-pstaların geriye dönerek takip edilmesi. Gerektiği durumlarda geriye yönelik kullanıcı bağlantı isteklerine erişilebilmesi E-psta takip kayıtlarına erişimin sadece e-psta takibi yapması düşünülen sistem yöneticileri veya gruplarına tanınması Kullanıcı iş başında lmadığı zamanlarda tmatik larak gönderilmesi amacıyla Ofis Dışı e-pstasıyla istenmeyen kullanıcılara gereksiz bilginin gönderilmesinin engellenmesi E-psta sunumcusunun, sunumcu üzerinde hesabı lmayan kullanıcılara internet üzerinden e-psta gönderilmesine (E- Psta Relay) izin vermemesi Geçerli bir kullanıcı adı ve şifresi sağlanmadığı sürece, e-psta sunumcusuna annim SMTP bağlantı kurulmasının engellenmesi Kullanılan Kimlik Dğrulama Metdunun (SMTP, POP3, IMAP4) güvenli lması; kullanıcı adı ve parlasının açık metin larak görünmesini engellemesi Başarılı ve başarısız SMTP bağlantısı kayıtlarının tutulması OWA (Outlk Web Access) kullanılıyrsa internet sitesi girişinde kullanıcı adı ve parlası srularak geçerli bir kullanıcı adı ve parlası girmeden sisteme erişimin engellenmesi 59

67 Bir OWA kullanıcısının, belirlenen bir sayıdan daha fazla yanlış parla girmesi durumunda kullanıcı hesabının tmatik larak OWA kullanımından devre dışı bırakılması OWA kullanıcısının adı, parlası ve e-psta bilgilerinin internet üzerinden açık larak taşınmaması OWA erişiminde kullanılan HTTP (TCP Prt 80) ve SSL (TCP Prt 443) prtları dışındaki prtların erişiminin engellenmiş lması Kurum persneli tarafından internet rtamı aracılığı ile iletilen her türlü kişisel e-psta mesajının altında, kurum tarafından belirlenen gizlilik ntu ve srumluluk ntu bilgileri yer alması (Bu bilgiler, e-psta iletisinin içeriğinden ve niteliğinden kurumun srumlu tutulamayacağı gibi açıklamalar içermelidir.) Gizli ve hassas bilgi içeren e-pstaların kriptlanarak iletilmesi (Sayısal Sertifika, e-imza kullanımı da dahil) Güvenli e-psta iletimi için sunucu (SMTP) ve istemci (POP3s, IMAPs) prtkllerinin takip edilmesi ve sunucu ve yazılımlarda gerekli güncellemelerin yapılması Kurum e-psta kullanımı prsedürlerinin aşağıdaki hususları içerip içermediğinin incelenmesi: Kurumun e-psta sistemi aracılığıyla, taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar verecek öğeleri içeren mesajların gönderilmemesi knusunda kullanıcıların bilgilendirilmesi Bu tür özelliklere sahip bir mesaj alındığında hemen ilgili birim yöneticisine haber verilmesi ve daha snra bu mesajın tamamen silinmesi Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere azami biçimde özen gösterilmesi Kurum ile ilgili lan hiçbir gizli bilginin, gönderilen mesajlarda yer almaması Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dsya içeren e-pstalar alındığında hemen silinmesi ve kesinlikle başkalarına iletilmemesi Kurum işlevleri dışında, kişisel kullanım için Internet teki listelere üye lunması durumunda kurum e-psta adreslerinin kullanılmaması Spam, zincir e-psta, sahte e-psta vb. zararlı e-pstalara yanıt yazılmaması ve bilgi işlem birimine bilgi verilmesi Kullanıcıların kullanıcı kdu/şifresini girmesini isteyen e- pstaların sahte e-psta labileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal bilgi işlem birimine bilgi verilmesi Çalışanların e-psta ile uygun lmayan içerik (prngrafi, ırkçılık, siyasi prpaganda, fikri mülkiyet içeren malzeme, vb) göndermemesi Kurumda kişisel amaçlar için e-psta kullanımının mümkün lduğunca makul sayıda lması 60

68 Alınan e-pstaların arşivlenmesi ve silinmesine yönelik kuralların bulunması Çalışanlar mesajlarının yetkisiz kişiler tarafından görülmesinin engellenmesi knusunda srumlu tutulması Kurum yönetimi ile görüşme yapılarak yukarıdaki uygulamaları hangi ölçüde ve ne sıklıkla izlediklerinin belirlenmesi İnternet kullanımı Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini AYGK-6 Kurumda internet kullanımının güvenli şekilde yapılmasına ilişkin kntrller lmalıdır. Dğru ve güvenli internet kullanımına ilişkin kullanım rehberi var mı? Kullanıcılar rehberin içeriğinden haberdar edilmiş mi? İnternet bağlantısı ve izlenmesine yönelik yazılı prsedürler var mı? Sistem yöneticileri ve kullanıcıların srumluluklarını düzenleyen yazılı prsedürler var mı? İnternet kullanımına ilişkin rehberin aşağıdaki hususları içerip içermediğinin incelenmesi: Güvenlik plitikası ile ilgisinin kurulması Kullanıcı, bilişim sistemleri ve güvenlik yönetimi srumlulukları İzin verilen hizmetler Bu hizmetlerin kabul edilebilir kullanım kuralları ve kuralların ihlali durumunda yaptırımlar Yürürlükteki mevzuata uygun ağ izleme prsedürleri Ahlaki tutumlar E-psta gönderme ve tutma kuralları Kullanıcı eğitim gereksinimleri İşbirliği yapılabilecek rtaklar arasında anlaşma kuralları Tüm kullanıcıların rehberi kuduklarını, anladıklarını ve izleyeceklerini gösteren imzalarının lup lmadığının belirlenmesi İnternet bağlantısını gösteren belgelerin aşağıdaki hususları içerip içermediğinin tespit edilmesi: Ağ çevre elemanlarının tanımlanması Erişim nktalarının tanımları Bütün mdem bağlantılarının tanımlanması Yönlendiriciler ve varsa prxy sunucularının knfigürasynu Günlük kayıtlarının güvenli deplanmasının tanımlanması İzleme faaliyetlerine ilişkin belgelerin aşağıdaki hususları içerip içermediğinin belirlenmesi: Yedekleme kaynakları da dahil internet bağlantısının yönetimi ve bakım srumluluklarının tanımlanması 61

69 Güvenlik duvarı günlük kayıtlarının gözden geçirilmesi Mevcut sunuculardan işlemlerin gözden geçirilmesi Kullanıcı faaliyetleri günlük kayıtlarının gözden geçirilmesi Ağ istatistiklerinin gözden geçirilmesi Güvenlik layları veya girişimlerinin izlenmesi Kullanıcıların srumluluklarına yönelik prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Bilişim sistemleri güvenlik plitikalarına, kullanım rehberlerine ve diğer mevzuata bağlı kalması Telefn veya e-psta yluyla kullanıcı şifrelerinin kimseye verilmemesi Ağa erişim için kullanılan şifrelerin aynılarının internet rtamında asla kullanılmaması İnternetten indirilen verilerin kullanılmadan önce kötü niyetli yazılımlara karşı taranması Sistem yöneticilerinin srumluluklarına ilişkin prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: İnternet güvenlik duvarları, yönlendiriciler, sunucular ve diğer teçhizatın kullanımda tutulması Kullanımda lan sistem ve uygulamaların tehdit ve zaaflarının izlenerek güncellenmesi Bilgi güvenliğinde görevli persnelin işletmenlik, sistem çözümleyicisi veya prgramcı gibi ilave işlerin verilmesine yönelik sınırlama getirilmesi Kullanıcılara internet kullanımına yönelik rehber knusunda bilgi verilmesi Tüm günlük kayıtların izlenmesi ve gerekenlerin üst yönetime raprlanması Üst düzey yöneticilerin de internet plitikasını düzenlemesi, plitika ve ilgili süreçleri izlemesi, yeterli kaynakları tahsis etmesi ve Bilgi İşlem Birimini bu plitikaların uygulanması için yetkilendirmesi Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kurum çalışanların internet erişiminin (ziyaret edilen siteler, indirilen prgramlar, gerçekleştirilen anlık görüşme ve yazışmalar ) sisteme lası etkileri knusunda bilgi verilmiş mi? Çalışanların internete erişiminden kaynaklanabilecek riskleri önleyecek kntrller luşturulmuş mu? İnternet erişiminin sisteme lumsuz etkilerini önlemek için luşturulan kntrllerin aşağıdaki hususları içerip içermediğinin incelenmesi: Çalışanlara internetten elde edilen bilginin kalitesine güvenilmemesi, bilginin güncellenememe ihtimali lduğu bilincinin verilmesi 62

70 Kurum ihtiyacı dğrultusunda içerik filitreleme sistemleri kullanılarak istenilmeyen sitelere (prngrafi, yun, kumar, şiddet içeren vs) erişimin engellenmesi İnternet tarayıcılarının güvenlik zaaflarının takip edilmesi ve güncellemelerinin yapılması Çk kullanılan tarayıcıların ekinde sunulan prgram yazılımları saldırganlar için açıklar ihtiva ettiğinden sadece güvenli tarayıcıların kullanılmasının sağlanması ve bu tür ek yazılımların kurulması ve knfigürasyn değişikliklerinin yapılmasına izin verilmemesi Ziyaret edilen siteleri ve bu sitelerde yapılan faaliyetleri gösteren ve kullanıcı için klaylıklar içeren çerezler (ckies), şifrelere ilişkin bilgileri de içerebildikleri için güvenli lmadıklarından bunlardan yararlanma ve gerektiğinde silmeye ilişkin prsedürlerin belirlenmesi. Prgram indirmelerin belirli bir kurala bağlı lması ve uzantısı.exe.lnk.dll.shs.hta.cm.vbs.vbe.js.jse.bat.cmd.vxd.scr.shm.pif.chm gibi dsyaların indirilmesine veya e-psta ile alınmasına izin verilmemesi İnternet üzerinden indirilen tüm dsyaların kullanılmadan önce kötü niyetli yazılımlara karşı taranması (spyware dahil) İnternet üzerinden kurum tarafından naylanmamış ve krsan yazılımların indirilmesinin engellenmesi İnternet aracılığıyla shbet (IRC) uygulamalarına kurumda izin verilmemesi; gerekli lduğu durumlarda önemli uygulama prgramlarının lmadığı ve sisteme bağlı lmayan yalnız bir bilgisayardan uygulamanın yapılması ve şifre veya herhangi bir gizli bilginin verilmemesi için önlem alınması Tüm faaliyetlerin izlenmesi ve gerektiğinde üst birimlere kural ihlallerinin bildirilmesi 63

71 2.1.4 MANTIKSAL ERİŞİM KONTROLLERİ Mantıksal erişim kntrllerinin amacı, işletim sistemine, ağa, veri tabanına ve uygulama prgramlarına yetkisiz erişimin önlenmesi ve bilginin değiştirilmesi, açığa çıkarılması ve kaybına karşı krunmasıdır. Mantıksal erişim kntrlleri, hem sistem hem de uygulama düzeyinde rtaya çıkabilir. Bilişim sistemi rtamındaki erişim kntrlleri ağa, işletim sistemine, sistem kaynaklarına, veri tabanına ve uygulama prgramlarına erişimi sınırlandırırken, uygulama düzeyindeki kntrller, tek tek uygulamalar bünyesindeki kullanıcı faaliyetlerini kısıtlar MANTIKSAL ERİŞİM POLİTİKALARI Kntrl Hedefi Riskler Temel Kntrller Kurum bilişim sistemlerine yetkisiz mantıksal erişimi önleyecek plitika ve prsedürleri belirlemektir. Mantıksal erişim kntrllerinde kurumca plitika ve prsedürlerin tanımlanmamış lması durumunda rtaya çıkabilecek riskler aşağıda belirtilmiştir: Kurum varlıklarına erişimde yetki karmaşıklığına, srumluların belirlenememesine, kullanıcıların yeterli düzeyde bilgilenememelerine yl açması Yetersiz şifre uygulamalarının, sisteme ve uygulama prgramlarına yetkisiz erişimi klaylaştırması Kullanıcıların kim lduklarının ve erişim seviyelerinin belirlenememesi, ayrıcalıklı kullanıcıların izlenememesi, yetki ve srumlulukların işin gereğine uygun tespit edilememesi (yetersiz veya aşırı yetkilendirme) Kullanıcı şifrelerinin çalınması ve kullanılması İşten ayrılan persnelin sisteme yetkisiz erişebilmesi Erişim plitikasından sapmaların tespit edilememesi Yetkisiz erişim teşebbüslerinin ve etkilerinin belirlenememesi Yönetimce gerekli önlemlerin alınamaması Kurum bilişim sistemlerinde mantıksal erişim kntrllerine ilişkin plitika ve prsedürlerin lmaması veya yetersiz lması snucu meydana gelecek riskleri minimize edecek temel kntrl faaliyetleri şunlardır: Sistem ve uygulama prgramlarına erişimin güvenli lmasını sağlayan bir mantıksal erişim plitikası lmalıdır. Kurumun şifre plitikası lmalıdır. Kullanıcı erişim yönetimine ilişkin prsedürler tanımlanmış lmalıdır. Sistem ve uygulama prgramlarına erişimler kayıt altına alınmalı ve izlenmelidir. Yetkisiz erişimler raprlanmalı ve yönetimce gereken işlemler süratle yapılmalıdır. 64

72 Kntrllerin Değerlendirilmesi Erişim plitikası Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini EP-1 Kurumun etkin bir mantıksal erişim plitikası lmalıdır. Kurumun işletim sistemine, ağa ve uygulama prgramlarına yetkili ve güvenli erişimi içeren yazılı mantıksal erişim plitikası var mı? Yazılı mantıksal erişim plitika belgelerinde aşağıdaki hususlara yer verilip verilmediğinin incelenmesi: Kullanıcıların hak ve srumlulukları Sistem yöneticilerinin hak ve srumlulukları Erişim verilmesine ilişkin esaslar, bunların gözden geçirilmesi veya bu hakların kaldırılması Hassas bilgi ile yapılabileceklerin belirlenmesi ve yanlış kullanımının yl açacağı prblemler Kullanıcılara erişim hak ve srumluluklarıyla ilgili yazılı bir bildirge verilmesi ve bunun persnele imzalatılması Plitikaların güncellenmesine ilişkin esaslar Şifre plitikası Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini EP-2 Kurumun yazılı bir şifre plitikası lmalıdır. Kurumun güçlü şifre luşturma, luşturulan şifrelerin krunması ve değiştirilmesine ilişkin plitikası var mı? Kurumun yazılı şifre plitikasının aşağıdaki hususları içerip içermediğinin incelenmesi: Temel güçlü şifre luşturma kuralları Altıdan aşağı lmamak üzere minimum karakter uzunluğunun belirlenmesi Alfabetik ve sayısal karakterlerin karışık kullanılması Şifrede alfabetik karakterlerde büyük ve küçük harflerin karışık kullanılması Her sistem kullanıcısının kendine özel ve kendisi tarafından tanımlanmış bir şifre kullanması Kullanıcıların basit ve klay tahmin edilebilir şifre seçiminin engellenmesi ve bu knularda kullanıcıların bilgilendirilmesi Değişik sistemler için farklı şifrelerin kullanılma zrunluluğu Temel şifre kruma kuralları Kullanıcı şifrelerinin kdlanarak şifre dsyalarında saklanması 65

73 Şifre dsyalarına yetkisiz erişim denemelerinin raprlanması Kullanıcı şifresinin başkasıyla paylaşılmaması, kağıtlara yada elektrnik rtamlara kaydedilmemesi Görevden ayrılan persnele ait şifrelerin hemen iptal edilmesi Temel şifre değiştirme kuralları Belirli periytlarla şifre değiştirme zrunluluğu getirilmesi Önceden kullanılan kullanıcı şifrelerinin kayıtları belli bir süre (örneğin geçen 12 ay byunca) saklanması ve yeniden kullanımının engellenmesi Şifre değişikliklerinde önceki şifrenin kullanılamaması Uygulama prgramlarının kurulumunu takiben varsayılan satıcı şifrelerinin hemen değiştirilmesi Şifre unutulması durumunda izlenecek prsedürlerin belirlenmesi Örnekleme yluyla seçilen uygulamalarda bu kurallara uyulup uyulmadığının incelenmesi Kullanıcılardan kişisel şifrelerini gizli tutma ve çalışma grubu şifrelerini sadece grup üyelerinin içinde tutmaları için bir bildirge imzalamalarının istenip istenmediğinin tespit edilmesi Kullanıcı erişim yönetimi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini EP-3 Kullanıcıların erişim haklarının tanınmasına ve kullanılmasına ilişkin kurallar belirlenmiş lmalıdır. Kullanıcıların yetki ve srumluluklarına bağlı larak sisteme erişim haklarının tanınmasına ve kullanılmasına ilişkin kurallar belirlenmiş mi? Ayrıcalıklı erişim haklarının tanınmasına ve kullanılmasına ilişkin kurallar belirlenmiş mi? Sistem yöneticilerinin ayrıcalıklı yetkilerini nasıl kullandıkları izleniyr mu? Bu düzenlemeler düzenli larak gözden geçiriliyr mu? Kullanıcı erişim yönetimine ilişkin düzenlemelerin aşağıdaki knuları içerecek şekilde luşturulup luşturulmadığının incelenmesi: Yapılan işin yetki itibariyle tanımlanması İş amaçları, güvenlik plitikaları ve daha önce yapılan kaynak tasnifi (veri dsyaları, uygulama prgramları, şifre dsyaları, sistem yazılımları ve araçları, günlük kayıtları ) dikkate alınarak uygun erişim seviyesinin belirlenmesi Kullanıcı kimliklerinin tanımlanması ve bu kimliklerin hesap ve şifrelerinin belirlenmesi 66

74 SİSTEM KONTROLLERİNİN DEĞERLENDİRİLMESİ Kullanıcıların sadece kendi hesap ve şifrelerinin kullanılması knusundaki srumluluklarının belirlenmesi Kullanıcı kayıtlarının düzenli larak gözden geçirilmesi ve güncellenmesi Erişim yetkilerinin, sistem sahibi veya yönetim tarafından naylanması Kullanıcı kayıtlarının saklanması Görev yeri değişen veya işten ayrılan kullanıcıların erişim haklarının hemen kaldırılması Kullanıcıların erişim hakları belirli aralıklarla örneğin 6 aylık zaman diliminde ve her değişiklikten snra gözden geçirilmesi Özel ayrıcalıklı erişim hakları için yetkilendirmeler daha sık aralıklarla örneğin 3 aylık zaman dilimi içinde gözden geçirilmesi Örnekleme yluyla seçilen kullanıcılar ile görüşme yapılması ve yaptıkları işlemlerin günlük kayıtları aracılığıyla incelenmesi Ayrıcalıklı kullanıcıların yaptıkları işlemlerin günlüklerde kayıt altına alınıp alınmadığının ve üst yönetime raprlanıp raprlanmadığının incelenmesi Erişim kayıtlarının tutulması ve izlenmesi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini EP-4 Sistem (işletim sistemi, ağ, uygulama prgramı) erişimleri günlük tutularak kayıt altına alınmalıdır. Yapılan işlemlerin takibine imkan veren günlük kayıtları tutuluyr mu? Günlük kayıtları arşivleniyr mu? Günlük kayıtlarının devre dışı bırakılamaması ve değiştirilememesi için önlem alınmış mı? Sistem yöneticileri ve kullanıcılar ile görüşme yapılarak, sistemle ilgili kayıtlar incelenerek ve günlük analiz yöntemleri kullanılarak yapılan faaliyetlerin denetim veya güvenlik günlüklerinde aşağıdaki bilgileri içerecek şekilde kaydedilip kaydedilmediğinin belirlenmesi: Kullanıcı kimlikleri Oturum açma ve kapama tarihleri ve zamanları Eğer mümkünse terminal kimliği veya yerleşimi Başarılı veya reddedilmiş sistem erişim denemelerine ilişkin kayıtlar Başarılı veya reddedilmiş veri ve diğer kaynak erişim denemelerine ilişkin kayıtlar Örnekleme yluyla seçilen günlük kayıtlarının arşivlenip arşivlenmediğinin belirlenmesi 67

75 Günlük kayıtlarının devre dışı bırakılıp bırakılmadığının veya değiştirilip değiştirilmediğinin tutulan günlük kayıtları üzerinden sistem ve yardımcı sistem araçları yardımıyla incelenmesi Yetkisiz erişimlerin raprlanması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini EP-5 Yetkisiz erişimler raprlanmalı ve yönetimce gereken işlemler süratle yapılmalıdır. Yetkisiz erişim teşebbüsleri ve işlemlerine ilişkin günlükler düzenli larak yönetime raprlanıyr mu? Bu raprların gereği yapılmasını sağlayacak prsedürler var mı? Raprlar arşivleniyr mu? Yetkisiz erişim teşebbüslerine ilişkin yönetime sunulan raprların istenerek incelenmesi ve bu raprlarda belirtilen hususlara ilişkin larak işlem yapılıp yapılmadığının tespit edilmesi İŞLETİM SİSTEMİ ERİŞİM KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Yetkisiz erişimin kntrl edilmesi suretiyle işletim sisteminin güvenli bir rtamda çalışmasını sağlamaktır. Erişim kntrllerindeki zayıflık nedeniyle sistemde karşılaşılabilecek riskler aşağıda belirtilmiştir: Sistem kaynaklarına ve uygulama prgramlarına yetkisiz erişim Sistemdeki güvenlik yazılımlarına ulaşılabilmesi Kullanıcı hesaplarına izinsiz girilmesi ve bu hesapların yetkisiz kullanımı Sistem yapılandırmalarında kullanılan yardımcı prgramlarının kullanımının kısıtlanmaması snucu önceden tanımlanmış erişim kısıtlamalarının rtadan kalkması İşletim sistemine yetkisiz erişimin önlenmesi için uygulanabilecek erişim kntrllerinin bazıları aşağıda belirtilmiştir. Belirli yerlere ve taşınabilir teçhizatlara bağlantıları dğrulamak için tmatik terminal tanımlaması lmalıdır. Oturum açma uygulamaları sisteme yetkisiz erişimleri en aza indirecek şekilde tasarlanmalıdır. Sisteme giriş naylanmadan önce kullanıcı kimlikleri dğrulanmalıdır. Sistem yapılandırmalarında kullanılan yardımcı prgramların kullanımı kısıtlanmalı ve sıkı bir şekilde kntrl edilmelidir. Sisteme giriş yapıldıktan snra, belirli bir süre kullanılmadıklarında sistem tmatik larak kapanmalıdır. Sisteme bağlı kalma sürelerini sınırlayan bir kntrl sistemi lmalıdır. 68

76 Kntrllerin Değerlendirilmesi Terminal dğrulaması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSEK-1 Belirli yerlere ve taşınabilir teçhizatlara bağlantıları dğrulamak için tmatik terminal tanımlaması lmalıdır. Oturumun sadece belirli yerlerden veya bilgisayar terminallerinden başlamasını sağlayan tmatik terminal (uç birim) dğrulaması tekniği kullanılmakta mı? Sisteme erişim yetkisi lan terminallerin listesinin elde edilmesi ve hangi işlemleri başlatmaya veya almaya izinli lduğunun sistem yöneticisi ile görüşme yapılarak belirlenmesi Sisteme erişim yetkisi lan terminallerin dışında erişim sağlanıp sağlanmadığının günlük kayıtlarından tespit edilmesi Oturum açma Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSEK-2 Oturum açma uygulamaları sisteme yetkisiz erişimi en aza indirecek şekilde tasarlanmalıdır. Sisteme erişmek için güvenli turum açma (lgn) uygulamaları var mı? Güvenli turum açma uygulamalarının sağlanabilmesi için sisteme tanıtılan tmatik kntrl mekanizmasının aşağıdaki hususları içerip içermediğinin belirlenmesi: Oturum açma süreci tamamlanmadan sistem ve uygulama tanımlayıcılarının görüntülenmemesi Bilgisayarın yalnızca yetkili kişiler tarafından kullanılacağını gösteren bir uyarı mesajının görüntülenmesi Oturum açma esnasında yetkisiz kullanıcıya yardım edecek şekilde yardım mesajlarının sağlanmaması Oturum açma bilgisini sadece tüm girdi bilgilerinin girilmesiyle geçerli kılınması Bir hata söz knusuysa sistem bilgisinin hangi kısmının dğru veya yanlış lduğunu göstermemesi Başarısız turum açma girişimlerinin sınırlandırılması Sınırlandırılma varsa aşağıdaki hususların tespit edilmesi Başarısız girişimlerin kaydedilmesi Daha snraki turum açma denemelerine izin vermeden önce zamanın geciktirilmesi veya belli yetkilendirmeler lmadan snraki denemelerin reddedilmesi Veri bağlantılarının kesilmesi Oturum açma için izin verilmiş zaman sınırlaması ve eğer bu zamanlar aşılırsa sistemin turumu sna erdirmesi Başarılı bir turum açma sürecinin tamamlanması snrasında, başarılı turum açma işleminin tarih ve saati ve 69

77 sn başarılı turum açma işleminden bu yana başarısız lgn işlemlerinin ayrıntılarına ilişkin bilgilerin görüntülenmesi Kullanılmayan sistemin tmatik larak kendini snlandırması Eş zamanlı larak birden fazla turumun açılmasının sınırlandırılması Örnekleme yluyla seçilen kullanıcılar ile görüşme yapılması ve bu kuralların etkin çalışıp çalışmadığının incelenmesi Kimlik tanıma ve dğrulama Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSEK-3 Sisteme giriş naylanmadan önce kullanıcı kimlikleri dğrulanmalıdır. Kullanıcı kimlik dğrulaması yapılmakta mı? Kullanıcı kimliklerinin dğrulanması için ilave önlemler var mı? (Şifre, pin kdu; akıllı kart, manyetik kart veya anahtar vs.; kullanıcının fiziksel karakteristiğini taşıyan parmak izi, avuç içi izi, retina izi, ses; imza) Örnekleme yluyla seçilen kullanıcıların kimlik dğrulama denetimi yapılarak sistemin kimlik dğrulama yapıp yapmadığının incelenmesi Sistem yapılandırma yardımcı prgramlarının kullanımı Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSEK-4 Sistem yapılandırmalarında kullanılan yardımcı prgramların kullanımı kısıtlanmalı ve sıkı bir şekilde kntrl edilmelidir. Sistem yapılandırmalarında kullanılan yardımcı prgramların kullanılmasına ilişkin bir prsedür tanımlanmış mı? Sistem ve uygulama kntrllerini geçersiz hale getirebilen sistem yardımcı prgramlarının kullanımı ve sıkı bir şekilde kntrlüne ilişkin prsedürlerin aşağıdakileri içerip içermediğinin incelenmesi: Kimlik dğrulama prsedürlerinin sistem yardımcı prgramları için de kullanılması Sistem araçlarının uygulama yazılımlarından ayrı tutulması Sistem yardımcı prgramlarının kullanımının az sayıda yetkili kişilerle sınırlandırılması Sistem yardımcı prgramlarının kullanabilirliğinin kısıtlanması, örneğin araçlara erişimin yetki verilen değişim süresi byunca kullanılması ve bu sürenin snunda kaldırılması Sistem yardımcı prgramlarının her kullanımının kaydının tutulması Sistem yardımcı prgramlarının tüm bağlantılarının kesilmesi 70

78 Sistem yardımcı prgramları için yetki düzeylerinin tanımlanması ve belgelenmesi Tüm gereksiz yazılımların kaldırılması Terminal zaman aşımı Kntrl İSEK-5 Sisteme giriş yapıldıktan snra, belirli bir süre kullanılmadığında sistem tmatik larak kapanmalıdır. Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Belirli bir süre kullanılmadığında sistemin tmatik larak kapanmasını sağlayacak mekanizmalar luşturulmuş mu? Örnekleme yluyla seçilen terminallerde sisteme şifre ile giriş yapıldıktan snra, sistem açık bırakılarak belirli bir süre kullanılmadığında sistemin tmatik larak kapanıp kapanmadığının incelenmesi Bağlantı süresinin sınırlanması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSEK-6 Kurum hassas bilgilerinin /uygulamalarının bulunduğu sisteme bağlı kalma süreleri sınırlandırılmalıdır. Kurum hassas bilgilerinin /uygulamalarının bulunduğu sistemlere bağlanan terminallerin sisteme bağlı kalma sürelerini sınırlayan bir uygulama var mı? Özellikle, yüksek riskli alanlarda bulunan terminallerde, yığın dsya transferleri veya kısa süreli ve düzenli interaktif turumlar için önceden belirlenmiş bağlantı sürelerine uyulup uyulmadığının test edilmesi Fazla çalışma gereği yksa nrmal çalışma saatlerine göre belirlenmiş bağlantı sürelerine uyulup uyulmadığının günlük kayıtları incelenerek veya bu süreler dışında sisteme girme denemelerinde bulunularak test edilmesi UYGULAMA PROGRAMLARINA ERİŞİM KONTROLLERİ Kntrl Hedefi Riskler Uygulama prgramlarını ve bunların veri dsyalarını izinsiz erişime, değiştirmeye ve silmeye karşı krumaktır. Bu alanda karşılaşılabilecek risklerin bir kısmı aşağıda belirtilmiştir. Uygulama prgramlarından üretilecek bilgilerin güvenirliliğinin zedelenmesi Hatalı işlem yapılması Verilerin değiştirilmesi Prgram ve verilerin kayblması Verilerin çalınması 71

79 Temel Kntrller Uygulama prgramlarına yetkisiz erişimin önlenmesi için uygulanabilecek kntrller aşağıda belirtilmiştir: Kntrllerin Değerlendirilmesi Erişim plitikalarına uygun larak uygulama prgramlarına erişim kısıtlanmalıdır. Ana dsyalara erişim sınırlandırılmalıdır. Erişim kısıtlaması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini UPEK-1 Belirlenmiş erişim plitikalarına uygun larak uygulama prgramlarına erişim kısıtlanmalıdır. Uygulama prgramlarının erişimine, belirlenmiş erişim plitikalarına göre kısıtlama getirilmiş mi? İncelemeye alınan uygulama prgramları ile ilgili görüşme yapılarak ve sistem dkümanları ve belgeleri incelenerek aşağıda yazılı kısıtlamaların uygulanıp uygulanmadığının belirlenmesi: Uygulamaya özgü şifrelerin kullanılması Kısıtlı uygulama menülerinin luşturulması Her uygulama için kullanıcı ve grup prfilleri luşturulması Kullanıcıların erişim haklarının sınırlandırılması, örneğin sadece kuma, yazma, silme veya yürütme yetkisi verilmesi Hassas bilgiler barındıran uygulama prgramlarının diğer prgramlardan izle edilip edilmediğinin incelenmesi Bu prgramlar eğer paylaştırılmış bir rtamda çalışmak zrunda ise, kaynakları paylaşacak lduğu uygulama sistemleri tanımlanmış ve duyarlı uygulamanın sahibi tarafından naylanmış lup lmadığının incelenmesi Ana dsyalara erişim Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini UPEK-2 Ana dsyalara erişim sınırlandırılmalıdır Ana dsyalara erişimin yetki dahilinde yapılması için yazılı bir kntrl prsedürü luşturulmuş mu? Oluşturulmuş yazılı kntrl prsedürünün aşağıdaki hususları içerip içermediğinin incelenmesi: Değiştirme yetkisi Giriş yetkisi Yapılan değişikliklerin bağımsız birimce gözden geçirilmesi Yapılan değişikliklerin günlük kayıtlarının tutulması Yapılacak değişiklikleri için terminal tahsis edilmesi Ana dsyadaki kalıcı verilerde yapılan değişiklerin kanıtlayıcı belgelerle kayıt altına alınıp alınmadığının tespit edilmesi 72

80 Bu kayıtların aşağıdaki hususları kapsayıp kapsamadığının belirlenmesi: Değişikliğin haklı gerekçesi Uygulanacak yeni değerlerin özellikleri, hangi tarihten itibaren geçerli ldukları Uygun seviyede, yetkili kişiler tarafından değişikliklerin yapıldığına dair naylar Talep edilen değişikliklerin dğru bir şekilde gerçekleştiğini gösteren uygulama snrası kntrl kayıtları Sistem sahipleri ve kullanıcıları için değişen veri elemanlarının değişiklik öncesi ve snrasına ait birer kpyası 73

81 2.1.5 İŞLETİM KONTROLLERİ İşletim kntrllerinin amacı bilişim sisteminin kendinden beklenen faaliyetlerin sürekliliğini ve güvenliğini sağlayacak şekilde işletilmesidir. İşletim kntrlleri aşağıdaki alanlara göre incelenir: İşletim sistemi ve bilgisayar işlemleri kntrlleri: Uygulama yazılımların üzerinde çalıştığı işletim sisteminin kurulum ve işletilmesi ile bakım işlemlerinin srunsuz yürütülmesini ve tüm bilgisayar işlemlerinin güvenli bir şekilde gerçekleştirilmesini sağlamaya yönelik her türlü kntrllerdir. Veri tabanı güvenlik kntrlleri: Birbirleriyle ilişkili verilerin güvenli bir şekilde kaydedilip deplanmasını, belgelendirilmesini ve gerektiğinde de güvenli ve çk amaçlı kullanılmasını sağlayacak her türlü kntrllerdir İŞLETİM SİSTEMİ VE BİLGİSAYAR İŞLEMLERİ KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Kurumun ana faaliyetlerine yönelik larak kullanmakta lduğu işletim sisteminin gerektiği gibi çalışmasını ve bunlar üzerindeki bilgisayar işlemlerinin srunsuz yürütülmesini sağlamaktır. İşletim sistemi kntrllerinin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: İhtiyaca uygun lmayan sistem temini Yetkisiz erişim Sistem çökmesi İşlemlerin zrlaşması Hizmetin gerçekleşmemesi Ortam araçlarının çalınması, bzulması veya bunlara ihtiyaç lduğunda erişilememesi Kaynak yetersizlikleri Kullanıcıların karışması Aktif lmayan hesapların askıya alınamaması, silinememesi Prgram ve verilerin bzulması, kayblması, değiştirilmesi Prgram ve verilerin çalınması Olay ve prblem yönetimine ilişkin yetkili birim ve prsedürlerin luşturulmaması snucunda layların ve prblemlerin çözümünün gerçekleştirilememesi veya çözümde gecikmeler meydana gelmesi ve bunlardan dlayı iş süreçlerinde aksama meydana gelerek hizmet kalitesinin düşmesi Prblem Yönetiminin bir birim veya ekip tarafından üstlenilip yerine getirilmemesi İşletim siteminin düzenli çalışmasını ve güvenli veri üretmesini sağlayacak kntrller aşağıda yer almaktadır: İşletim sisteminin seçimi ve kurulumuna ilişkin prsedürler tanımlanmalı ve kurum sistem ihtiyaçlarının giderilmesinde bu prsedürlere uygun hareket edilmelidir. 74

82 Kntrllerin Değerlendirilmesi İşletim sisteminin güvenli yönetilmesine yönelik tüm süreçler ve bunlara ilişkin görev ve srumluluklar ve nay işlemleri yazılı prsedürlere bağlanmalıdır. Güvenlik amacıyla knsllara erişim sadece yetkili kişilerle sınırlandırılmalıdır. Sisteme ilişkin güncel yamaların takip ve kntrl edilerek gerektiğinde kullanılmasını sağlayacak prsedürler bulunmalıdır. İşletim sisteminin güçlendirilmesine yönelik kntrl listeleri hazırlanmalı ve bu listelere göre gereksiz servisler devre dışı bırakılmak suretiyle minimum özelliklerle knfigürasyn yapılmalı, böylece sistemin perfrmansı artırılmalıdır. Yeniden çalıştırma, yedekleme, sistem ve geçici dsya temizlemeleri, disk birleştirmesi ve kapasite kntrlleri gibi işlemlerle sistemin düzenli bakım ve kntrlünün yapılması sağlanmalıdır. Olası sistem başarısızlıklarını önleme amacıyla belli aralıklarla geri yükleme nktası luşturulmalıdır. Sistem kapasite ve perfrmans durumunun düzenli larak izlenmesi sağlanarak gelecekte gerekli lacağı düşünülen kapasite tahminleri ve planları yapılmalıdır. Çalışma saatleri dışında veya ilgili persnelin ykluğu durumunda sistemin çalışmasında rtaya çıkabilecek srunlara müdahale edilmesini sağlama amacıyla bilgi işlem biriminde devamlı persnel bulundurulmalıdır. Bilgi rtamı araçlarının (kasetler, manyetik ve ptik diskler vs) luşturulma, transfer, krunma ve saklanma gibi işlemleri etkin bir şekilde yönetilmelidir. Bilişim sisteminden srumlu birimin diğer birimlere sağlayacağı hizmetler yazılı larak tanımlanmış lmalıdır. Olay yönetimine ilişkin önceden belirlenmiş prsedürler lmalıdır. Olayların takip ve çözümü için bunların tanımlanması, kaydının tutulması, analiz ve destek hizmetlerinin sağlanmasına yönelik prsedürler belirlenmeli, layın işe etkisi değerlendirilmeli ve bir daha lmasını önleyecek çarelere ilişkin planlar yapılmalıdır. Ayrıca layların istatistiklerinin çıkarılarak yönetime bildirilmesi sağlanmalıdır. Yine lay yönetimi ile işbirliği içerisinde bulunmak kaydıyla prblemlerin yönetimine ilişkin prsedürler belirlenerek ve yardım masası kurularak prblemlerin uzman persnele aktarılmasını sağlayacak yapı luşturulmalıdır. Seçim ve kurulum Kntrl Kntrl varlığını değerlendirme sruları İSBİK-1 İşletim sisteminin seçimi ve kurulmasına ilişkin prsedürler bulunmalıdır. İşletim sistemi seçimi için belirlenmiş bir prsedür var mı? Sistem kurulumunda güvenlik seçenekleri belirlenmiş mi (güvenlik seçenekleri aktif mi)? 75

83 İşletim sisteminde güvenlikle ilgili varsayılan değerleri değiştirmede kullanılacak bir prsedür var mı? Sistem araçlarını krumaya yönelik prsedür var mı? Kntrl etkinliğini Kurum ihtiyaçlarına uygun işletim sistemi seçim kriterlerinin luşturulup luşturulmadığının belirlenmesi Örnekleme yluyla seçilecek ana bilgisayarlar ile kullanıcı bilgisayarlarındaki güvenlik parametrelerinin belirlenip belirlenmediğinin incelenmesi Özellikle kullanıcı bilgisayarlarındaki güvenlik seçeneklerinin yönetici yetkili mi ya da kullanıcı yetkili mi ayarlandığının incelenmesi Sistem araçlarına her türlü müdahaleyi engelleyen kruma uygulanıp uygulanmadığının belirlenmesi ve virüslerden krunma amacıyla gerçek zamanlı virüs tanımlama ve krunma sistemi kurulması Sistem bilgisayarlarına uzaktan erişim söz knusu ise sadece yetkili yönetici ve kullanıcıların erişimine izin verilecek şekilde düzenleme yapılması İşletim sistemi yönetimi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSBİK-2 İşletim sisteminin yönetimine ilişkin süreçler tanımlanmış lmalıdır. İşletim sisteminin yönetimine ilişkin bir yazılı prsedür var mı? İşletim sisteminin yönetimine ilişkin prsedürlerin aşağıdaki hususları içerip içermediğinin belirlenmesi: Sistemin işletilmesine ilişkin görev ve srumlulukların tanımlanması Sistem açma ve kapama Bellek kullanımının düzenlenmesi Yedekleme ve yeniden kurma Yedekleri uzak yerlere transfer Yığın işlemleri planlama ve planları düzenleme Bilgisayar ve ağ hatalarını çözme Yeni ve değiştirilmiş yazılımın hayata geçirilmesi gibi işlemlerin naydan geçirilmesi Örnekleme yluyla seçilen persnele ilişkin iş tanımları ile yaptıkları işler karşılaştırılarak, bu tanımların bilgisayar işlemlerinin srunsuz yürütülmesini sağlayacak şekilde belirlenip belirlenmediğinin araştırılması 76

84 Knsllara erişim Kntrl Kntrl varlığını değerlendirme sruları İSBİK-3 Knsllara erişim kısıtlanmalıdır. Knsllara erişimde kısıtlama uygulamaları var mı? Kntrl etkinliğini Knslların nerelerde bulunduğunun kntrl edilmesi ve bunlara erişimin yeterince güvence altına alınıp alınmadığının incelenmesi Güncel yama kullanımı Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSBİK-4 Güncel yamaların kullanılmasını sağlayacak prsedürler bulunmalıdır. İşletim sistemine güncel yamaların uygulanmasını sağlayacak prsedürler var mı? İşletim sistemine güncel yamaların uygulanmasını sağlayan prsedürlerin görüşme, belge incelemesi test prsedürleri uygulanarak aşağıdaki hususları içerip içermediğinin belirlenmesi: Sistem yöneticilerinin açıklıkları kapatacak güvenlik güncelleştirme ve yamaları takip ve kntrl etmesi En sn yamaların uygulanıp uygulanmadığının belirlenmesi Güvenlik yamalarının uygun bir şekilde tüm bilgisdayarlara dağıtılması Yamaların tüm kuruma dağıtılmadan önce test rtamında uyumsuzluklara karşı test edilmesi Gerektiğinde sisteme ilişkin yama prgramlarının tmatik larak kullanılabilmesi Yama uygulanmadan önce yedekleme yapılması Uygulanan yamaların kaydının tutulması Merkezi larak güncelleştirme yamalarını uygulamayan bilgisayarlar takip edilerek gerekirse bunların da elle yüklenmesnin sağlanması İşletim sistemi kurulum planının, sistem kayıtlarının temin edilip incelenmesi ve işletim sistemi ve diğer sistem yazılımlarında yapılan değişikliklerin prsedürlere uygunluk açısından incelenmesi Sistem güçlendirmesi Kntrl Kntrl varlığını değerlendirme sruları İSBİK -5 İşletim sisteminin güçlendirilmesine ilişkin kntrl listeleri kullanılmalıdır. İşletim sisteminin güçlendirilmesine ilişkin kntrl listeleri kullanılıyr mu? 77

85 Standart güçlendirmesi yapılmış bir sistemde yapılan farklılaştırmalar yetkilendiriliyr mu? Kntrl etkinliğini İşletim sisteminin güçlendirilmesine ilişkin kntrl listesinin aşağıdaki hususları içerip içermediğinin incelenmesi: Gerek sunucu gerekse kulanıcı bilgisayarlarında görevle ilgili servislerin açık lması ve faaliyeti etkilemiyrsa gereksiz servislerin durdurulması veya devre dışı bırakılması İşletim sisteminin minimum özellikler ile knfigüre edilmesi Kullanıcıların yetkilerinin ve uygulamaların sadece temel görevlerin yerine getirilebilmesine yetecek şekilde düzenlenmesi, yönetici ve kullanıcı dışındaki gereksiz kullanıcıların ve hesapların bulunmaması ve bu kullanıcıların yazma özelliği lan sürücüleri (Disket Sürücü, USB Disk, CD Yazıcı vb.) kullanamaması Bilgisayarlarda gereksiz yere açık bulunan ve hangi amaçla açık lduğu bilinmeyen gereksiz servis prtlarının kapatılması Sistemle birlikte varsayılan larak gelen Administratr hesabının kapatılarak bunun yerine yönetici yetkili hesap açılması ayrıca tuzak adminstratr hesabının açılması İhtiyaç lmayan guest hesaplarının kapatılması ve bş turumlara izin verilmemesi Bilgisayar açılışında sabit disk bölmeleri dışındaki sürücü ve rtamların (Flppy Disket, CD, Ağ vb.) kullanılamaması Sunucu bilgisayarda ve gerekli lan kullanıcı bilgisayarlarında BIOS giriş şifresinin etkin lması Sunuculara yönelik lası servis ataklarına (DS) karşı önem alınması Örnek bir sistem seçip söz knusu güçlendirme listesinin kullanılıp kullanılmadığının test edilmesi Standart güçlendirmesi yapılmış sistemin kntrl listesinden istisnalara yetki verilip verilmediğinin incelenmesi Düzenli bakım Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSBİK-6 Sistemin düzenli bakım ve kntrlü yapılmalıdır. Sistemin düzenli bakım ve kntrlünün yapılmasına ilişkin bir prsedür var mı? Sistem bakım ve kntrlüne ilişkin prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Her bir sunucu için düzenli bakım uygulaması (yeniden çalıştırma, yedekleme, geçici dsya temizlemeleri, disk birleştirmesi, kapasite kntrlleri) Bakım uygulamalarının kntrl ve değerlendirmesinin yapılması 78

86 Geri yükleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSBİK-7 Geri yükleme nktası luşturulmalıdır. Belli dönemlerde sistem geri yükleme nktası luşturulmasına ilişkin bir uygulama var mı? Sistem yöneticisi ile görüşme yapılması ve geri yükleme nktası luşturulma tarihlerinin incelenmesi Sistem başarısızlıklarından snra geri yükleme nktasının kullanılmasına ilişkin bir talimatın bulunup bulunmadığının tespit edilmesi Kapasite planlaması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSBİK-8 Kapasite planlaması yapılmalıdır. Düzenli aralıklarla kapasite planlamasının yapıldığı bir uygulama var mı? Görüşme yapılmak suretiyle kapasite planlamasının aşağıdaki hususlar dikkate alınarak yapılıp yapılmadığının incelenmesi: Kapasite ve perfrmans durumunun düzenli larak izlenmesi Gelecekte gerekli lacağı düşünülen kapasite tahminlerinin yapılması Bu tahminlerin yapılmasında işlem hacmi, veri kayıtları, işlemci, bellek ve disk kullanımı gibi hususların dikkate alınması Persnel bulundurma Kntrl İSBİK-9 Bilgi işlem biriminde devamlı persnel bulundurulmalıdır. Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Çalışma saatleri dışında veya ilgili persnelin ykluğu durumunda sistemin çalışmasında rtaya çıkabilecek srunlara müdahale edilmesini sağlayacak bir persnel istihdam plitikası var mı? Persnel vardiya listesinin ve acil durum çağrı listesinin incelenmesi Bu acil durum çağrı listesinin güncelliğinin örnekleme yöntemiyle kntrl edilmesi Bilgi rtam araçları Kntrl İSBİK -10 Bilgi rtamı araçları (kasetler, manyetik ve ptik diskler vs) etkin bir şekilde yönetilmelidir. 79

87 Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Bilgi rtam araçlarının yönetimine ilişkin tanımlanmış bir prsedür var mı? Bilgi rtam araçlarına ilişkin prsedürlerin incelenerek aşağıdaki hususları içerip içermediğinin belirlenmesi: Bilgi rtam araçlarının yönetimine ilişkin görev, srumluluk ve erişim yetkisinin tanımlanması Bilgi rtam araçlarının sınıflandırılması (barkt, etiketleme vb.) Bilgi rtam araçlarının envanter işlemlerinin belgeli larak yapılması ve düzenli envanter kntrlü (sayımı) Ortam araçlarının fiziksel ve çevresel güvenliği sağlanmış rtamlarda saklanması Hizmet süresince rtam araçlarının teslim, kullanılma ve iade uygulaması Gizli bilgi içeren rtam araçlarının kullanılması Kayblan rtam araçlarının yeniden temini Ömrünü tamamlayan ya da ihtiyaç kalmayan rtam araçlarının takibi ve imha prsedürleri Uygulama rtamı dışında tutulan araçlarının kullanılabilir lmasına ilişkin testlerin yapılması Hizmet sunum taahhüdü Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSBİK-11 Bilişim sisteminden srumlu birimin diğer birimlere sağlayacağı hizmetler yazılı larak tanımlanmış lmalıdır. Diğer birimlere sunulacak hizmetler yazılı larak tanımlanmış mı? Sunumu taahhüt edilmiş bilgi işlem hizmetlerine ilişkin belgelerin aşağıdaki hususları içerip içermediğinin incelenmesi: Hizmetin kapsamı, taraflar Gözden geçirme tarihi Hizmetlere ilişkin kısa tanımlamalar Hizmetin hazır lması ve sürekliliği Hizmet talebine cevap süresi Çözüm bulunamama süresi Yardım masası hizmetleri Sınırlamalar (zaman, işlem sayısı, kullanıcı,..) Örnekleme yluyla seçilen kullanıcılarla görüşme yapılarak sunumu taahhüt edilmiş hizmetlerin iş ihtiyaçlarına uygun lup lmadığının belirlenmesi 80

88 Olay ve prblem yönetimi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İSBİK-12 Olay ve prblem yönetimine ilişkin önceden belirlenmiş prsedürler lmalıdır. Hizmetin aksamasına neden labilecek layların (sistem arızaları, hizmet reddi, verilerden kaynaklanan hatalar, gizliliğin ihlali,..) takip ve yönetimine ilişkin yazılı bir prsedür var mı? Olayların istatistiği çıkarılıyr mu? Prblemlerin ve bunların çözümünün kaydedilmesine ilişkin bir prsedür var mı? Prblem ve lay yönetimi arasında işbirliği var mı? Prblemlerin çözümünü hızlandıracak yardım masası kurulmuş mu? Yardım masası için bir eğitim prgramı uygulanmış mı? Olay yönetimi için tanımlanmış prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Olayların tanımlanması, kaydının alınması, önceliklendirilmesi ve ilk desteğin sağlanması Çözüm sürecinde layı takibe alan uyarı ve bilgilendirme sistemlerinin varlığı Olayın analizi ve bilgi bankasında var lup lmadığı Olayın işe etkisi Olayın yeniden lmasını önleyecek çarelerin planlarının yapılması Olayın yönetime bildirilmesi Olay istatistiklerinin çıkarılıp çıkarılmadığının tespiti ve eğer çıkarılıyrlarsa bilgi bankasında bunların değerlendirilip değerlendirilmediğinin belirlenmesi Yardım masasında görev alan persnelin almış ldukları eğitim, sertifikaları ve iş tecrübeleri dikkate alınarak yeterliliklerinin değerlendirilmesi Sık tekrar eden srunların nedenlerinin araştırılmasında lay yönetimi veri tabanındaki bilgi bankasından yararlanılıp yararlanılmadığının araştırılması Yardım masasının srunların çözülmesi veya bunun başarılamaması durumunda ilgili uzman persnele yönlendirilebilecek şekilde yapılandırılıp yapılandırılmadığının incelenmesi Örnekleme yluyla seçilen kullanıcılarla görüşme yapılarak yardım masasından alınan desteğin yeterliliğinin değerlendirilmesi 81

89 VERİ TABANI GÜVENLİK KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Kurumdaki veri tabanı için güvenilir bir çevre luşturmaktır. Zayıf veri tabanı güvenliğinden kaynaklanan riskler şunlardır: Kullanıcı kimliklerinin çalınması Kullanıcı kimliklerinin karışması Veri tabanındaki açıklıklardan yararlanarak yapılabilecek yetkisiz erişim Srumluluğun kaybı Faaliyetlerin baskı altında yürütülmesi Kullanılmayan hesapların askıya alınmaması/silinmemesi Verinin yk lması/bzulması Verinin çalınması Hizmetin kabul edilmemesi Güvenlirliği zayıf veritabanı uygulamalarına dayanarak işlem yapılması, rapr üretilmesi Zayıf bir veri tabanı çevresi ve uygulamalarından dlayı lası riskleri minimize etmeye yardımcı labilecek temel kntrller aşağıda sıralanmıştır: Veri tabanı yönetimine ilişkin plitika ve prsedürler tanımlanmış lmalıdır. Veri tabanının yeterli bir şekilde belgelendirilmesi sağlanmalıdır. Veri tabanının varlığı dğrulanabilmelidir. İlişkiler önemli ve tutarlı isimlere sahip lmalı ve iş kuralları diyagramda gösterilebilmelidir. Nihayetinde kurum ilişki mdeli veri tabanı fiziki şemasıyla eş güdümlü lmalıdır. Veri tabanı ve uygulama arasında uyumluluk sağlanmalıdır. Fiziki şemalar, tabllar, günlük kayıtları, indeksler ve geçici alanlar için başlangıç ve uzantı bşlukları tahsisinin uygunluğu incelenmelidir. Eğer veri tabanı düzeltilmediyse gerekçesi bulunmalıdır. Veri tabanının bütünlüğü sağlanabilmelidir. Verinin bütünlük ve güvenliğini sağlamak için bilgi alma ve çıkarma prsedürleri diğer sistemlerle dğrulanmalıdır. Veritabanının yğun bir şekilde kullanılmasından snra bazı hataların rtaya çıkması lasılığına karşı çıkarılan yeni versiynların kurulumu suretiyle gerekli güncellemeler yapılmalıdır. Veri tabanı üzerinde çalışmaları hızlandırmaya yönelik larak veri tabanı belli aralıklarla derlenmelidir. Zaman içinde veri tabanı üzerinde kullanıcı sayısının ya da veri giriş/çıkışının artmasıyla birlikte kullanılan kaynaklar da artacağından veri tabanın eski hızında çalışması mümkün lmayabilir. Bu durumda yeni gelişmelere göre veri tabanının perfrmansı izlenmeli, gerekiyrsa perfrmans analizleri 82

90 Kntrllerin Değerlendirilmesi kullanılmalı ve bu yeniliklere göre veri tabanı üzerinde gerekli parametre değişikliklerine gidilebilmelidir. Veri tabanında değişik nedenlerle lası kayıpları önlemek amacıyla, belli aralıklarla yedekleme ve geri yüklemeye ilişkin tanımlanmış prsedürler bulunmalıdır. Önemli veriye sahip tablların denetim izleri sağlanmalı ve verinin içeriği denetime uygun lmalıdır. Yönetim Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-1 Veri tabanı yönetimine ilişkin plitika ve prsedürler tanımlanmış lmalıdır. Veri tabanı yönetimine ilişkin tanımlanmış yazılı plitika ve prsedür var mı? Veri tabanı yönetimine ilişkin söz knusu plitika ve prsedürlerin incelenerek aşağıdaki knuları kapsayıp kapsamadığının tespit edilmesi: Görevler, srumluluklar, kimlik denetimi ve yetkilendirme Veri tabanı kayıt ve kntrl yerleri ile bu dsyalara (yazma ve kuma) erişim hakları Veri tabanı kullanıcıları ve kullanıcı şemaları Deplama ayarları Kullanıcı prfil ve kaynak kullanım limitleri Veri tabanı uygulamaları üzerindeki kullanıcı hareketlerinin izlenmesi Gerek görülüyrsa external kullanıcı hakları Veri tabanı sunucusuna uzaktan erişime ilişkin tanımlanmış prsedürler Belgeleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-2 Veri tabanının kurulumundan uygulama anına kadar varsayılan haricindeki tüm işlemleri yeterli bir şekilde belgelendirilmelidir. Veri tabanının yeterli bir şekilde belgelendirilmesini sağlayacak kntrller var mı? Veri tabanı için mantıksal veri yapısı ve veri sözlüğü bulunup bulunmadığının belirlenmesi Veri sözlüğünün incelenmesi ve bilişim sistemlerinden yeterince verim alabilmek için veri birimlerinin yeterince tanımlanıp tanımlanmadığının incelenmesi Bilişim sistemlerinden yeterince destek alabilmek için veri birimleri arasındaki birincil/ikincil ve birden çk ilişkiyi yeterince gösterip göstermediğini tespit için mantıksal veri yapısının incelenmesi 83

91 Uyumluluk Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-3 Veri tabanı ve uygulama arasında uyumluluk sağlanmalıdır. Veri tabanı yapısında düşünülen değişikliklerin veritabanı yöneticilerine bildirilmesini ve uygulamada da bu değişikliklerin yapılmasını sağlayan prsedürler var mı? (örneğin, bir alana girilen verinin uzunluğunda bir artış lması durumunda veriyi kullanan uygulama içerisindeki tüm prgramların içerisindeki veri tabanı tabllarının uzunluklarının artırılmasında lduğu gibi) Veri tabanı yöneticilerine bildirilen değişiklik talebinin yerine getirilip getirilmediğinin incelenmesi Örnekleme yluyla seçilen veri tabanında yapılan değişikliklerin değişim yönetimi prsedürlerine göre gerçekleştirilip gerçekleştirilmediğinin belirlenmesi Veri tabanı kayıtlarının uygunluğu ile red kayıtlarının yeterliliğinin test edilmesi Bütünlük Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-4 Veri tabanının bütünlüğü sağlanabilmelidir. Veri tabanının bzulmasını önleyecek kntrller var mı? Veri tabanının bütünlüğünü sağlayacak kntrllerin aşağıdaki hususları kapsayıp kapsamadığının incelenmesi: Tablların, luşturulan veya yerleştirilen satırların ikinci kez yazımının önlenmesini sağlayan anahtar (primary key) istenmesi Sınırlamaların kullanılması ve ikincil kayıtlar luşturulduğunda birincil kayıtların silinmesinin engellenmesi Dldurulması zrunlu alanların (nt-null) bş bırakılmasının engellenmesi Uygulamayla güncellenip değiştirilebilecek tüm tablların iki aşamalı işlem süreciyle kntrl edilmesi ve eski duruma dönmek istendiğinde eski tablyla uyumun sağlanabilmesi Veri tabanının bütünlük kntrllerine yönelik tparlama işlemlerinin varlması Güncelleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-5 Veri tabanı ve veri tabanı ile bütünleşik çalışan uygulamaların güncel lması sağlanmalıdır. Veri tabanının yeni gelişmeler karşısında güncellenmesine ilişkin prsedür luşturulmuş mu? Veri tabanının güncel versiynlarının yüklenip yüklenmediğinin tespit edilmesi 84

92 Derleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-6 Veri tabanı belli aralıklarla derlenmelidir. Veri tabanının düzenli aralıklarla derlenmesini sağlayacak prsedürler var mı? Derlemenin prsedür ve rutinlerinin reindexing, tabl bşluğu izleme ve tahsis, disk bşluğu izleme ve tahsis, veri bütünlüğü kntrlleri, tabl kilit ve srun giderme gibi fnksiynları içerip içermediğinin incelenmesi Perfrmans Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-7 Veritabanı perfrmansı izlenebilmelidir. Kurum tarafından kabul edilen uygulama geliştirme standartları, perfrmansı artırmaya yönelik talimatlar içeriyr mu? Perfrmansı artırmaya yönelik tekniklerin kullanılıp kullanılmadığının belirlenmesi Yedekleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-8 Veri tabanı yedekleme ve geri yüklemeye ilişkin tanımlanmış prsedürler bulunmalıdır. Veri tabanının yedeklenmesi ve yeniden geri yüklenebilmesine ilişkin prsedürler var mı? Veri tabanının yedeklenmesi ve yeniden geri yüklenebilmesine ilişkin prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Yedeklemenin yapılma sıklığı Red lglarının veri tabanı tabllarından ayrı yerde yedeklenmesi Veri tabanı tabllarının bzulmalara karşı daha güvenli disklerde (RAID gibi) deplanması Veri tabanı tabllarının uygulama esnasında yeniden geri yüklemede bekleme zamanını (recvery time) ve lağanüstü durumlarda veri kaybını önlemek amacıyla ikizlerinin çıkarılması ve bu işlemin yapılma sıklığı Veri tabanının geri yüklemesinin en sn ne zaman yapıldığının ve snuçlarının araştırılması Denetim Kntrl Kntrl varlığını değerlendirme sruları VTK-9 Veri tabanı denetlenebilmelidir. Denetim izinin takip edilmesini sağlayacak prsedürler var mı? 85

93 Kntrl etkinliğini Denetim izinin takibini sağlayacak prsedürlerin aşağıdaki hususları kapsayıp kapsamadığının tespit edilmesi: Önemli verileri içeren tablların içeriklerinin denetime uygun larak tasarlanması Denetlenecek verinin belirlenmesi Bu verinin luşturulmasına yönelik işlemlerinin istendiğinde denetim raprlarının üretilebilmesi Üretilen raprların yönetim tarafından gözden geçirilmesi Tabllardaki güncellemelerden ya da yapılan değişikliklerden bir örneğin alınarak denetim izinin sağlanmasına uygun lup lmadığının incelenmesi 86

94 2.1.6 SİSTEM GELİŞTİRME VE DEĞİŞİM YÖNETİMİ KONTROLLERİ Bu kntrllerin amacı sistem geliştirme üzerindeki tüm prje yönetimi ve kntrllerinin tatmin edici lmasını, kalıcı ve yeterli iç kntrl ve denetim izine sahip lmasını, sistem geliştirme kalitesinin artırılmasını ve sistemin kullanıcıların ihtiyaçlarını karşıladığı kadar kurumun stratejik amaçlarını da desteklemesini sağlamaktır SİSTEM GELİŞTİRME KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Bilişim sistemlerinin geliştirilmesine ilişkin çalışmaların prje yönetimi yaklaşımıyla kntrllü bir çerçevede yürütülmesini sağlamaktır. Sistem geliştirme kntrllerinin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: Sistem geliştirme prjesinin yetersiz hazırlanması, plitika ve prsedürlerinin standartlara uymaması Prje yönetim ekibinin yeterli nitelik ve deneyime sahip lmaması Planın kurum ihtiyaçlarına cevap vermemesi Kaynak prblemlerinin luşması Fizibilite çalışmasında yeterli analizin yapılmaması Uygun sistem seçim kriterlerinin tesis edilememesi Seçilen yapının kurum üzerindeki etki değerlendirmesinde hata yapılması Sistem temin sözleşmesinde sistemin gerektiği gibi teslimine ilişkin yeterli ayrıntıların bulunmaması Bilişim sistemlerinin geliştirilmesinde lası riskleri minimize edecek temel kntrl faaliyetleri şunlardır: Sistem geliştirme prjesi için standart hale getirilmiş plitika ve prsedürler bulunmalıdır. Önceden belirlenmiş standartlar yeni bir sistemin geliştirilmesine yönelik süreç esaslı kntrller sağlar ve bu sürecin uyulması gereken aşamalarını gösterir. Sistem geliştirmenin söz knusu aşamalarına ilişkin larak uygulama ve standartların, başlangıç, sistem analizi ve tespiti, sistem tasarımı, sistem geliştirme, kabul testi, uygulama ve uygulama snrası kabul ve inceleme knuları itibariyle tutarlılığı sağlanmalıdır. Yeterli tecrübe ve birikime sahip prje yönetimi lmalıdır. Sistem geliştirme süresince benimsenen iyi bir yönetim sistemi prjenin başarısı üzerinde lumlu yönde etkileyecektir. Bu nedenle prje yönetim metdljisi kapsamında değerlendirilebilecek lan yetki ve srumlukların yapısı, yönetim ekibinin deneyim ve nitelikleri değerlendirilmelidir. Yeterli mali ve insan kaynağı sağlanmalıdır. Bütün prjelerin maliyet fayda analizlerinin yapılabilmesi için bütçelenmesine ihtiyaç vardır. Bu nedenle dğru bir bütçeleme gerçekçi bir plan için önemlidir. Ayrıca prje yetkililerinin gerek 87

95 Kntrllerin Değerlendirilmesi hazırlamada gerekse bütçelemede aktif katılımı önemlidir. Bu çalışmalara katılanlara gerekli bilgileri elde edebilmeleri ve gerçekçi tahminlerde (keşiflerde) bulunabilmeleri için yetki ve destek verilmelidir. Prjenin düzenli larak izlenmesi ve bütçe ve zaman hedeferinin gerçekleşme düzeyini takip için iş prgramları ve çizelgeler hazırlanmalıdır. Prje yönetimi tarafından izleme ve değerlendirme faaliyetlerinin yapılması ve bunların yazılı hale getirilmelidir. Prjenin ayrıntılı planı lmalıdır. Planın başarılı labilmesi için, prjenin tüm aşamalarının ve ayrıntılarının tanımlaması, belgeye dayandırılması ve bunların takvime bağlaması, lasılıklarıyla birlikte prjede labilecek her türlü gecikmelerin dikkate alınmış lması gerekir. Risk değerlendirmesi yapılmalıdır. Geliştirilmekte lan sistemin tatmin edici snuç vermesini temin için prjenin risk yönetimi luşturulmalı ve kurumun varlıkları, tehditleri ve hassas nktaları belirlenmek suretiyle riskler tanımlanmalıdır. Her prje için kapsamlı prje teklif belgesi hazırlanmalıdır. Prjeye ilişkin fizibilite rapru hazırlanmış lmalıdır. Bu belge ikna edici kanıtlarla desteklenmiş labilirlik incelemesi içermelidir. Sistemin verimsiz çalışmasını önlemeye yönelik ihtiyaçların analizi ile her türlü teknik, perfrmans, mali ve ssyal analizler yapılmalıdır. Talep edilecek paketin teminine ilişkin ihale süreci mevcut yasal düzenlemelere uygun lmalı, uygun seçim kriterlerini kapsamalıdır. Paket seçiminin mevcut altyapı ve destek kaynaklarına etkisi ve ilave yatırımlar (yeni dnanım alımı gibi) gerektirip gerektirmediği gibi hususlar değerlendirilmiş lmalıdır. Sistem, kullanılabilirlik, yönetim, destek ve bakım açısından yeterince belgelendirilmelidir. Sözleşme, sistemin tatmin edici düzeyde teslimini sağlayacak tüm ayrıntıları içermeli ve buna ilişkin tanımlanan prsedürler yasal düzenlemelere uygun lmalıdır. Plitika ve prsedürler Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK-1 Sistem geliştirme prjeleri için belirlenmiş plitika ve prsedürler lmalıdır. Üst yönetimin sistem geliştirme prjelerine ilişkin kabul ettiği standart ve plitikaları var mı? Belirlenen plitika ve standartların aşağıdaki hususları kapsayıp kapsamadığının incelenmesi: Prje görev ve srumlulukları İlgili yasal düzenlemeler ve esas alınan standartlar 88

96 Prje teklifi, fizibilite, uygunluk vb hususlara ilişkin düzenlemeler Teknik ve işlevsel ihtiyaçların prje gerekleriyle bağdaştırılması Satınalma, kurulum, yapılandırma, test Uygulama, veri transferi İzleme Prje Yönetimi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -2 Prje, sistematik bir prje yönetim süreci çerçevesinde yönetilmelidir. Prjenin yürütülmesinden srumlu bir yönetim birimi var mı? Kurumun bilişim sistemlerinden srumlu üst yönetimle görüşülmesi ve bir prjenin nasıl yürütüldüğüne ve prjeden srumluluğa ilişkin ayrıntılı bilgilerin elde edilmesi Prje yönetiminden srumlu lanların yeterli nitelik ve deneyime sahip lup lmadıklarının tespit edilmesi Kaynak tahsisi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -3 Prjenin yeterince kaynağı bulunmalıdır. Sistem kurulum prjesi için yeterli mali ve insan kaynağı tahsis edilmiş mi? Prje yönetimi ile görüşülerek ve prje belgeleri incelenerek yeterli zaman, insan ve mali kaynak tahsis edilip edilmediğinin incelenmesi İzleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -4 Prje ilerleyişini izlemek için yeterli prsedürler bulunmalıdır. Prjenin düzenli larak izleme ve değerlendirilmesini sağlayan prsedürler var mı? Prjenin düzenli larak izlenmesini sağlayan prsedürlerin aşağıdaki hususları kapsayıp kapsamadığının incelenmesi: İnsan, zaman ve maliyetlere göre iş prgramının hazırlanması Tamamlanan faaliyete ilişkin iş durum belgesinin hazırlanması Prjenin bütçe ve zaman hedeflerinin takip ve kntrlünü sağlayan çizelgelerin hazırlanması Prje yönetimi tarafından izleme ve değerlendirme faaliyetlerinin yapılması ve bunların yazılı hale getirilmesi 89

97 Prje planı Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -5 Prje için plan lmalıdır. Prje planı hazırlanmış mı? Prje yönetimi ile görüşülerek vebir prje planının incelenmesi suretiyle planın aşağıdaki hususları kapsayıp kapsamadığının incelenmesi: Planın yeterince belgelendirilmesi Prje aşamalarının (ihtiyaçların tespiti, kullanıcı testi ve eğitimi, uygulamaya geçiş gibi) takvime bağlanması ve bunların gerçekçi lması Onay prsedürlerindeki gecikmeler ya da yapılması gerekecek ilave çalışmaların dikkate alınması Hassas knuların tanımlanması Olasılıkların dikkate alınması Sistem geliştirme sürecinin tüm aşamalarını kapsaması Prjede labilecek gecikme ve başarısızlıkların planda dikkate alınması Prje risk değerlendirmesi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -6 Prje süresince karşılaşılabilecek riskleri tanımlama, izleme ve çözmeye yönelik prsedürler bulunmalıdır. Risklerin tanımlanması ve düzenli izlenmesine ilişkin prsedürler var mı? Risklerin düzenli larak izlenmesini sağlayan prsedürlerin aşağıdaki hususları kapsayıp kapsamadığının incelenmesi: Riskleri anlama ve tanımlama Önceliklendirme Risklerin yönetimi Risk kayıt sistemi Prje teklifi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -7 Her prje için kapsamlı prje teklif belgesi hazırlanmalıdır. Kapsamlı bir teklif belgesi hazırlanmış mı? Prje ekibiyle görüşülerek teklif belgesinin aşağıdaki hususları içerip içermediğinin incelenmesi: Prjenin gerekçesi Girdi, süreç ve çıktılar 90

98 Prjenin finansmanı Yaklaşık maliyet hesaplamaları ve fayda tahminleri Seçeneklerin tanımlanması Prjenin birimler üzerindeki etkileri Prje başlamadan önce gerekli eğitimler Tüm seçeneklerin yeterince dikkate alınıp alınmadığının araştırılması Fizibilite Çalışması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -8 Prjeye ilişkin fizibilite rapru hazırlanmış lmalıdır. Herhangi bir fizibilite çalışması yapılmış mı? Yapılan fizibilite çalışmasının aşağıdaki hususları kapsayıp kapsamadığının incelenmesi: Prje bilgi frmu Prjenin amacı Gerekçesi Prje planı Prje yönetim yapısı Prje srumluları Prjenin sahibi İhtiyaç analizi Risk değerlendirmesi Prjenin hedef kitlesi Beklenen faydalar Teknik analizler Maliyet analizleri Perfrmans değerlendirme kriterleri Eknmik ve ssyal analizler Fayda maliyet analizi Risk analizi Duyarlılık analizi Ssyal analiz Raprun naylanması Yapılacak işlerin belgelendirilmesi ve dönüm nktaları Prje takviminin incelenip bunun yerindeliğini sağlamaya yönelik larak alınan önlemlerin değerlendirilmesi İlgili persnelle görüşülerek yapılan risk değerlendirmelerin gözden geçirilip geçirilmediğinin incelenmesi 91

99 İhale süreci Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -9 Prjenin ihale aşamasına ilişkin süreç tanımlanarak mevcut yasal düzenlemelere uygunluğu sağlanmalı ve uygun seçim kriterleri belirlenmelidir. İhale aşamasına ilişkin süreçler yeterince tanımlanmış mı? İhale süreciyle ilgili aşağıdaki belgelerin istenmesi ve incelenmesi: İstekli listesi Değerlendirme belgesi Onay belgesi İhale sürecinin mevzuata uygunluğunun incelenmesi İhaleye teklif verenlerin yeterli lup lmadıklarının incelenmesi Uygun seçim kriterlerinin tesis edilip edilmediğinin araştırılması Etki değerlendirmesi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -10 Paket seçiminin mevcut altyapı ve destek kaynaklarına etkisi değerlendirilmiş lmalıdır. Yeni paketin mevcut altyapı ve destek kaynakları üzerindeki etkisine ilişkin bir değerlendirme yapılmış mı? Paketin mevcut yapının üzerine kurulup kurulmadığının veya ilave dnanımı gerektirip gerektirmediğinin incelenmesi Yeni sistemin mevcut destek kaynakları üzerinde etkisinin aşağıdaki hususları kapsayacak şekilde yapılıp yapılmadığının incelenmesi: Destek persnelinin bilgi ve becerisi Sistem ve veritabanı yazılımı lisanslarının sayı ve maliyeti Belgelendirme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -11 Sistem gerektiği gibi belgelendirilmelidir. Sistem kullanılabilirlik, yönetim, destek ve bakım açısından yeterince belgelendirilmiş mi? Belgelerin aşağıdaki unsurları içerip içermediğinin incelenmesi: Kullanıcı talimatları İşletim talimatları Yönetim talimatları Süreç tasarımına ilişkin akış şemaları ve tanımlamalar Arayüz tanımlamaları Kaynak kdu ve prsedürlerine ilişkin yrumlar 92

100 Sözleşme süreci Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -12 Sözleşme süreçleri tanımlanmış lmalıdır. Sözleşme süreçleri yeterince tanımlanmış mı? Sözleşme sürecinin incelenmesi ve yürürlükteki mevzuata uygunluğunun değerlendirilmesi İşin niteliğine bağlı larak şartnamelerin incelenmesi hazırlanan teknik ve idari Söz knusu şartname ve sözleşmelerde aşağıdaki hususlara değinilip değinilmediğinin incelenmesi: Telif hakları Ismarlama işler Eğitim Sisteme ilişkin tüm belgeler Talimatlara ilişkin tüm kılavuzlar Üçüncü kişi lisansları Garantiler İsteklinin sağlamayı taahhüt ettiği dnanım ve diğer araçlar Kabul kriterleri Perfrmans standartları Hata düzeltme Teslimin kabul edilebileceği sürelerin başlangıç ve bitiş tarihleri Cezai müeyyideler Bakım ve destek Mdüllerin uyarlanması Kaynak kdları Prje nayı Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SGK -13 Prjenin snraki aşamaya geçmeden tüm unsurlarını kapsayacak şekilde naylandığına ilişkin açık bir imza prsedürü bulunmalıdır. Snraki aşamaya geçmeden önce prjenin tüm belgelerinin nay prsedürleri tamamlanmış mı? Prsedürlerde uygun nay sürecinin tamamlanıp tamamlanmadığının incelenmesi 93

101 DEĞİŞİM YÖNETİMİ (KURULUM VE KABUL) KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Sistemde gerçekleştirilecek değişikliklerin istenilen snucu sağlaması ve kullanıcı taleplerini karşılamasıdır. Yeni ve geliştirilen sistemlerin kurulumu ve kabulünde değişim sürecinin yönetilmesine ilişkin kntrllerin yeterli düzeyde kurulamaması durumunda karşılaşılabilecek riskler şunlardır: Sistem kurulum sürecinin yürütülebilmesini sağlayacak tasarım belgesinin yeterli ayrıntıyı içermemesi Kdlama işlemleri ve mdül testlerinin yetersizliği Prje çalışmalarına nihai kullanıcıların yetersiz katılımı ya da kullanıcı kabul testinin tüm hata ve etkileri kapsayacak şekilde gerçekleştirilememesi Sistem uygulamaları snucunda üretilen verinin kurumun ihtiyaçlarını karşılayamaması Geliştirilen sistemlerin kurulum ve kabul sürecinde luşabilecek riskleri minimize edecek temel kntrl faaliyetleri şunlardır: Sistem kurulum sürecinin yürütülmesine ilişkin plitika ve prsedürler bir tasarım belgesine dayandırılmalıdır. İhtiyaçların öngördüğü şekilde sistemin en az hatalarla bir bütün larak çalışmasını sağlamak için yürütülmesi gereken kdlama işlemlerinin yanında birim testleri gibi bütünlük ve dğruluk testleri yeterli bir şekilde gerçekleştirilmiş lmalıdır. Sistemin gerçekte istendiği gibi çalıştığını öğrenmek için kullanıcılar üzerinde kullanıcı kabul testleri yapılmış lmalıdır. Uygulamaya geçişe ilişkin prsedürler belirlenmiş lmalıdır. Veri aktarma işlemlerinin sağlıklı bir şekilde gerçekleştirilmesini sağlayacak prsedürler luşturulmalıdır. Paralel çalıştırmayı ve snuçlarının değerlendirilmesini sağlayacak bir rtam luşturulmalıdır. Sistemin başarı derecesini ölçebilmek amacıyla uygulama snrasında sistem, iş amaçlarına uygunluk, kullanıcı beklentilerini ve diğer teknik kşulları karşılayıp karşılamadığı yönünden izlemeye alınmalıdır. Kntrllerin Değerlendirilmesi Sistem kurulum süreci Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-1 Sistem kurulum sürecine ilişkin prsedürler tanımlanmış lmalıdır. Sistem kurulum süreci tanımlanmış mı? Sistem kurulumuna ilişkin sürecin aşağıdaki hususları içerip içermediğinin incelenmesi: 94

102 Sistem kurulum planlaması ve ana dönüm nktalarının belirlenerek uygulanması Mdül tasarımına ilişkin planlar ve mdüller üzerinde birim testleri Kdlama işlemleri ve kd hareketlerinin takibi Sürecin izlenmesi ve eksikliklerin giderilmesi Onaylama Kabul edilmiş değişikliklerin etkilerinin ve snuçlarının değerlendirilmesi Belgeleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-2 Kurulum tasarım belgesine dayandırılmalıdır. Hazırlanmış herhangi bir tasarım belgesi var mı? Tasarım belgesinin hazırlanmasında aşağıdaki hususların dikkate alınıp alınmadığının tespit edilmesi: Dnanım, ağ, işletim sistemi ve veri tabanı çevresi Arayüz dsya tanımları Veri akış diyagramlarıyla gösterilen iş prsedürleri Mantıksal veri diyagramlarıyla belirlenen veri Kurum kayıtları İş kuralları Muafiyet kuralları Girdi ve sru ekranları Alan vb nay kuralları İş akış ve müştemilatı Rapr ve diğer çıktı şartnameleri Kdlama Veri aktarma ve dönüştürme kural ve rutinleri Yedekleme ve yeniden kurulum Arşivleme ve yeniden kullanma Sistem güvenliği Denetim ve kntrl izleri Perfrmans kriteri Miktarlar Test stratejileri 95

103 Kdlama Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-3 Kdlama işlemleri ve kd hareketlerinin takibini sağlayacak prsedürler bulunmalıdır. Kdlama işlemlerinin yürütülmesinde uygulanan bir prsedür var mı? Kdlama işlemlerine ilişkin prsedürün kapsayıp kapsamadığının incelenmesi: Prgramlara ilişkin yrumlar Veri sözlüğü Veri tabanı şablnu aşağıdaki hususları Tabllar arasındaki ilişkiyi gösteren mantıksal veri yapısı Ekranlar CRUD analizi Mdüler testler Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-4 Oluşturulacak mdüller için planlanmış testler uygulanmalıdır. Mdüller üzerinde testler planlanıyr ve uygulanıyr mu? Mdüller üzerinde test yapılmasını ve hataların düzeltilmesini, birimlerin yeniden test edilmesini ve hataların tekrar lmasını önleyecek kntrllerin var lup lmadığının incelenmesi ve özellikle aşağıdaki testlerin yapılıp yapılmadığının tespit edilmesi: Regresyn testi Birim testi Bütünlük testi Sistem testi Kullanıcı kabul testleri Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-5 Kullanıcı kabul testine ilişkin prsedürler belirlenmiş lmalıdır. Prjenin bu aşamasında süreçler tanımlanmış mı? Kullanıcı kabul testine ilişkin sürecin aşağıdaki hususları içerip içermediğinin incelenmesi: Aşağıdaki hususları kapsayacak şekilde planlamanın yapılması: İşlevsellik (nline veya yığın) Miktar Perfrmans 96

104 İstisnalar Güvenlik Yedekleme ve geri yükleme Arşiv ve geri alma Veri dönüştürme/mevcut sistemden veriyi çekme Planın naylanması Kullanıcı kabul testi ekibinin luşturulması Test sürecinin izlenmesi ve belgelendirilmesi Hataların kaydedilmesi, etkilerinin değerlendirilmesi ve giderilmesi Uygulama Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-6 Uygulamaya geçişe ilişkin prsedürler belirlenmiş lmalıdır. Prjenin bu aşamasında süreçler tanımlanmış mı? Uygulama sürecinin aşağıdaki hususları içerip içermediğinin incelenmesi: Uygulama ekibi Uygulama planı Onaylama İzleme ve belgelendirme Eğitim Paralel çalıştırma Sistemin kullanıcılara, destek hizmetinin ise bilgi işlem birimine devredilmesi Veri aktarılması Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-7 Verinin yeni veya değiştirilmiş rtama aktarılmasını sağlayan kntrller lmalıdır. Verinin tam ve dğru larak aktarılması için bir kntrl prsedürü var mı? Verinin aktarımında aşağıdaki hususların dikkate alınıp alınmadığının incelenmesi: Aktarılacak verinin belirlenmesi Aktarım snrası veri silinmesi Veri aktarımında kullanılacak metdun belirlenmesi Aktarma işlemlerinin sırasının planlanması Aktarım işlemlerinin izlenmesi, kaydedilmesi ve raprlanması 97

105 Aktarılması mümkün lmayacak verinin belirlenmesi ve raprlanması Aktarmaya ilişkin görev ve srumlulukların belirlenmesi Paralel çalıştırma Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-8 Paralel çalıştırma mümkün lmalıdır. Paralel çalıştırmayı ve snuçlarının değerlendirilmesini sağlayacak bir rtam luşturulmuş mu? Kullanıcılarla mülakat yapılarak ve elde edilen çıktıların incelenmesi suretiyle paralel çalıştırma işlemlerinin yapılıp yapılmadığının ve elde edilen çıktılar arasında uyumluluğun sağlanıp sağlanmadığının tespit edilmesi Uyumsuzluk varsa nedenlerinin araştırılıp araştırılmadığının incelenmesi İzleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini DYK-9 Uygulama snrası yeni sistem izlenmelidir. Yeni sistemin izlenmesini sağlayan kntrller luşturulmuş mu? İzleme prsedürlerinin aşağıdaki hususları karşılayıp karşılamadığının incelenmesi: İş amaçlarına uygunluk Kullanıcı beklentilerini karşılama Teknik kşulları karşılama 98

106 2.1.7 ACİL DURUM VE İŞ SÜREKLİLİĞİ PLANLAMASI KONTROLLERİ Acil durum ve iş sürekliliği planlaması ile ilgili kntrllerin amacı acil durum nedeniyle bilişim sistemlerinin geçici veya sürekli larak aksaması durumunda kurumun işlevlerini sürdürebilmesini ve tutulan bilginin işlenmesi, erişilmesi ve krunması yeteneklerinin kaybedilmemesini sağlamaktır. Acil durum, deprem, yangın, fırtına, sel, bmbalama, sabtaj, dnanım veya yazılım hatası, elektrik ve telekmünikasyn kesintisi gibi önceden tahmin edilebilen veya edilemeyen iç veya dış faktörler snucu meydana gelen ve kurumun nrmal larak işlerini sürdürmesi durumunu aksatan her şey labilir. Bu çerçevede, kurumlar detaylı bir acil durum ve iş sürekliliği planına sahip lmalıdır. Riskler Temel Kntrller Acil durum ve iş sürekliliği planının lmaması veya yetersiz lması kurumu aşağıdaki risklerle karşı karşıya getirecektir: Felaketlere maruz kalma lasılığının artması Felaketin verdiği zararlarla başa çıkma imkanının azalması Felaketten kaynaklanan kaybın veya zararın ağırlaşması Karşılaşılan felaket snrasında makul bir sürede kurum faaliyetlerinin yeniden başlatılamaması Yasal veya üçüncü kişilere karşı lan srumlulukların zamanında yerine getirilememesi Bir felaket durumunda iletişim imkanları, bilgi işleme kapasitesi, eğitimli insan kaynağı ve tüm varlıklar yitirilebileceğinden kurumun faaliyetlerini sürdürmesinde devamlılığın sağlanamaması Etkisi yıkıcı byutlarda labilecek acil ve beklenmedik durumların kuruma verebileceği kayıp veya zararları en aza indirmek için kurulması gereken temel kntrl faaliyetleri şunlardır: Önceden tahmin edilebilen veya edilemeyen iç veya dış faktörlerden kaynaklanan acil durumlara karşı hazırlıklı lunmalıdır. Bu nedenle kurumda acil durum ve iş sürekliliği için bir yönetim süreci luşturulmalıdır. İş akışını kesintiye veya felakete uğratacak, kurumu ve binaları lumsuz etkileyebilecek layları ve çevresel faktörleri belirlemek için risk değerlendirmesi yapılmalıdır. Yapılan risk değerlendirmesi snucu belirlenen her bir risk için, lası bir acil durum esnasında kaybın veya aksaklıkların ana faaliyetler üzerindeki etkileri değerlendirilmeli ve ptansiyel zararı önlemek veya kaybın etkilerini minimize etmek için uygun maliyetle gerekli tedbirler alınmalıdır. Olası felaketlere karşı hazırlıklı ve rganize cevap verilebilmesi için yazılı bir acil durum ve iş sürekliliği planı bulunmalıdır. Hazırlanan bu plan düzenli larak gözden geçirilmeli ve işleyip işlemediğini görmek için felaket senaryları dikkate alınarak testleri yapılmalıdır. 99

107 Acil durum ve iş sürekliliği planları belgelendirilmeli ve gerektiğinde güncellenmelidir. İşletim merkezlerinin mimarileri, tek nkta arızalara (single pint f failure) esnek lmalıdır. Bu durum her ne kadar acil durum planının bir unsuru larak görülmüyrsa da, alternatifi lmayan ve aksama lduğunda sisteme büyük zarar verebilecek arızaları önlemek için bu nktalar belirlenmeli ve dikkatle izlenmelidir. Bu nktaların bulunduğu yerlerde arızalanan unsurun yerine yedek veya yedekleme teçhizatı getirmeye ilişkin prsedür ve/veya süreçler lmalı, bu prsedür ve süreçler belgelenmeli ve düzenli larak test edilmelidir. Ayrıca arızalı unsurların tamir edilmesi snrasında tekrar yerine knmasına ilişkin prsedür ve süreçler lmalı ve bunlar da belgelenmelidir. Sistem yazılımlarının, mali uygulamaların ve bunları destekleyen dsyaların yedek kpyaları düzenli larak alınmalıdır. Yedeklemeler günlük, haftalık veya aylık şeklinde belirli periytlarla alınmalı ve acil durum planının bir kpyası ile birlikte kurum dışında özel larak güvenlik önlemleri alınan bir yerde saklanmalıdır. Kntrllerin Değerlendirilmesi Plan Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini ADİS-1 Kurum, yazılı bir acil durum ve iş sürekliliği planına sahip lmalıdır. Bilişim sistemlerini de içeren kurumun bütününü kapsayan acil durum ve iş sürekliliğine ilişkin yazılı bir plan var mı? Planın yürütülmesinden srumlu bir üst düzey yönetici belirlenmiş mi? Kurum acil durum ve iş sürekliliğine yönelik çalışmalarını belgelendirmiş mi? Kuruma ait acil durum ve iş sürekliliği planı elde edilerek bu planı uygulamaktan srumlu üst yöneticiler ile görüşme yapılması ve mevcut planların aşağıdaki hususları içerip içermediğinin incelenmesi: Planda aşağıdaki hususların acil durum larak belirlenmesi: Hard disk bzulması Güç kaybı (bzuk veri luşmasına yl açar) Sistem yazılımı prblemi Kaza veya kasti larak silme ve değiştirme Kötü niyetli yazılımlar (virüs, ) Dğal afetler (sel, yangın, deprem vb.) Hırsızlık ve sabtaj Veri tabanı 100

108 Uygulama yazılımı Sunucular Ağ ürünleri Kabllama alt yapısı Enerji alt yapısı Güvenlik ürünleri İletişim hatları Planda aşağıdaki hususlara belgelendirilerek yer verilmesi: Mevcut durumu gösteren şemalar Plandan etkilenen grupların nayı (Üst yönetim, veri merkezi yönetimi ve prgram yöneticileri) Açık şekilde belirlenmiş srumluluklar İş faaliyetlerinin yeniden luşturulması için ayrıntılı talimatlar Alternatif işleme ve yedekleme deplama imkanı Veri/hizmet merkezinin veriyi alamaması veya iletememesi durumunda izlenecek prsedürler Hassas veri dsyaları Bütün birim yöneticileri tarafından planın kunup anlaşıldığını gösteren imzalar Bütün ilgili persnele dağıtılmış lması Tüm uygulama persneline planın uygulanması knusunda hizmet içi eğitim verilip verilmediğinin eğitim belgelerinden incelenmesi ve örnekleme yluyla seçilen eğitim almış persnelle alınan eğitim ile ilgili görüşme yapılması Tüm çalışmaların, yazışmaların ve plan evraklarının belgelendirilerek dsyalarda saklanıp saklanmadığının ve mevcut planın birkaç kpyasının farklı bir yerde güvenli larak tutulup tutulmadığının belirlenmesi için gözlem yapılması ve belgelerin incelenmesi Planın uygulanmasından srumlu bir üst yöneticinin atanıp atanmadığının iç yazışmalardan ve plan belgelerinden belirlenmesi Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Plan hazırlanırken risk değerlendirmesi yapılmış mı? Risk değerlendirme ekibi ile görüşme yapılarak ve hazırladıkları raprlar incelenerek, risk değerlendirmesi yapılırken aşağıdaki hususların dikkate alınıp alınmadığının belirlenmesi: Sel Yangın 101

109 Hizmet aksaması (elektrik, su vs.) Mekanik bzulma (dnanım başarısızlıkları dahil) Dnanım veya yazılımın gerektiği gibi çalışmaması Yazılım aksaklıkları (virüs saldırısı) Kazaen veya kasten verilen zarar (terörizm dahil) Persnelden kaynaklanan prblemler Özellikle çalışma alanını etkileyen başka riskler( yakındaki inşaat faaliyeti, tehlikeli zeminlerin belirlenmesi gibi) Belirlenen her bir riskin lma lasılıkları ve giderilme kşul ve maliyetlerinin belirlenmesi Sistemin yeniden kurulması ve çalıştırılması için gerekli zaman süresinin belirlenmesi Üçüncü kişilerden alınan hizmetler için bir değerlendirme yapılması ve acil durumda eşgüdüm halinde çalışılması knusunda mutabakata varılması Yapılan risk değerlendirmelerinin düzenli larak gözden geçirilmesi Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Plan hazırlanırken, belirlenen her bir risk için gerçekleşme durumunda işe lan etkilerine yönelik analizler yapılmış mı? Üst yönetimle görüşme yapılarak ve ilgili belgeler incelenerek, lası bir felaketin gerçekleşmesi esnasında kayıp veya aksaklıkların ana faaliyetler üzerindeki etkileri aşağıdaki hususlar dikkate alınarak değerlendirilip değerlendirilmeğinin belirlenmesi: Bütün iş süreçlerinin belirlenmesi Bu süreçlerde birbiriyle bağımlı çalışanların tespitinin yapılması ve bir kurtarma önceliğinin tespit edilmesi Her bir iş sürecinin kesilmesi veya aksaması snucunda meydana gelecek etkinin değerlendirilmesi (lası iş etkileri belirlenen senarylarla desteklenmiş lmalı, hangi senary yaşanırsa ne kadar sürede bunun giderilebileceği knusunda bir değerlendirme yapılmalıdır) Olası iş etkilerinin değerlendirilmesinden snra acil durum hedeflerinin belirlenmesi Bu hedefleri karşılayacak persnel, varlık ve hizmetlerin minimum gereksinimlerinin tespit edilmesi Kritik faaliyetleri destekleyen kaynakların belirlenmesi Yaşanabilecek aksaklıkların etkilerini belirleyecek bir analizin yapılması Etki analizi yapılırken bütün iş birimlerinin yöneticilerine danışılması Analizin snuçlarının üst yönetimle paylaşılması ve mutabık kalınması 102

110 Kurtarılacak sistemlerin bir listesinin istenildiğinde elde edilebilmesi Yazılım ve dnanım dahil bilişim sistemlerinin unsurları için bakım sözleşmelerinin yapılması Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Plan hazırlanırken lası kayıp ve aksaklıkların belirlenen makul süre içerisinde nasıl giderileceğine ilişkin bir strateji belirlenmiş mi? Üst yönetimle görüşme yapılarak ve ilgili belgeler incelenerek lası felaket durumunda kayıp ve aksaklıkların belirlenen makul süre içerisinde nasıl giderileceğine ilişkin bir stratejinin seçilip seçilmediğinin belirlenmesi: İş sürekliliğine ilişkin bir yaklaşım belirlemek için risk değerlendirme snuçlarına dayanan bir strateji planının bulunması Kurum gerekli zaman süreci içerisinde kritik sistemlerin kurtarılmasına imkan verecek uygun bir kurtarma stratejisinin var lması Seçilen stratejinin iş içindeki iletişimin kullanımını öngörmesi Stratejinin kurum içi teçhizatın çk amaçlı kullanımını öngörmesi Stratejisi ve kurtarma düzenlemeleri gelecek iş genişlemeleri dikkate alınarak yeterince esnek lması Veri işleme ve nline hizmetlere erişime ilişkin yönetimce knan hedeflerin bulunması Hizmet prgramlarının yerine getirilmesinde gerçek perfrmans knusunda kayıtların tutulması Karşılaşılan prblemler ve ertelemelerin sebebinin ve karar için geçen zamanın kaydedilmesi Üst yönetimin seçilen stratejiyi periydik larak gözden geçirmesi, hedeflerle elde edilen hizmet perfrmansını değerlendirmesi ve ihtiyaçların giderilip giderilmediğini görmek için kullanıcı birimlerinde anket yapılması Test etme ve güncelleme Kntrl Kntrl varlığını değerlendirme sruları ADİS-2 Kurum, acil durum ve iş sürekliliği planını gerçekçi senarylarla işleyip işlemediğini test etmelidir. Kurum hazırladığı acil durum ve iş sürekliliği planını düzenli larak gözden geçiriyr mu? Planın işleyip işlemediğini görmek için testler yapılıyr mu? 103

111 Kntrl etkinliğini Üst yönetimle görüşme yapılarak ve yapılan testlerin belgeleri incelenerek acil durum ve iş sürekliliği planının güncellenmesi ve test edilmesine yönelik çalışmaların aşağıdaki hususları içerip içermediğinin belirlenmesi: Planın test edilmesi için kurum üst yönetiminden bir kişinin önderliğinde bir ekibin luşturulması Planı güncel tutmak için bir test prgramının belirlenmesi Bütçede planın test edilmesi ve uygulanması için kaynak ayrılması Prgrama uygun şekilde planın temel unsurlarının test edilmiş lması Test ekibinin test edilmiş planı naylaması Planın periydik larak değerlendirilmesi ve gerekiyrsa dnanım, yazılım ve persneldeki değişiklikleri yansıtacak şekilde düzeltmeler yapılması Yapılan testlerin raprlanması Planın acil durum esnasında görev alacak kilit persnel için yazılı talimatlara dönüştürülmesi ve bunların düzenli larak güncellenmesi Plan içeriğinin anlaşılır lması için yeterli ancak aşırı lmayan ayrıntı düzeyinde bir belgeleme standartlarının belirlenmesi Plan, geçici bilgilerin (temas telefn numaraları gibi) bütün planın yeniden yapılmasına imkan vermeden güncellenmesi Yedekleme ve kurtarma prsedürlerinin test edilmesi Planın bütün unsurlarının test edildiğine ilişkin raprlar incelenerek, planda bir değişiklik yapılması öngörülüyrsa, bu değişikliklere uygun şekilde planın gözden geçirilip geçirilmediğinin belirlenmesi Yedekleme Kntrl Kntrl varlığını değerlendirme sruları ADİS-3 Kurumun bir yedekleme plitikası bulunmalı ve yedeklenen unsurların nasıl kullanılacağına ilişkin prsedürlere sahip lmalıdır. Kurumun yedekleme yapılması ve yedeklenen unsurların kullanılmasına yönelik yazılı plitika ve prsedürleri var mı? Yedekleme disketleri kullanıcı bölümler, tarih ve kullanıcılar dikkate alınarak etiketleniyr mu? Yedeklerin alındığı araçlar lası her türlü tehlikeden krunacak şekilde özel yerlerde saklanıyr mu? Yedekleme araçları kurum bilişim sisteminin bulunduğu cğrafi mekandan farklı güvenli bir rtamda saklanıyr mu? Yedekleme araçlarında muhafaza edilen veri dsyaları ve uygulamalarının sistemin yeniden kurulması için gerekli nitelikte bilgi içerip içermedikleri test ediliyr mu? 104

112 Yedeklenen kayıtların tekrar istenmesi ve kullanılmasına yönelik prsedürler var mı? Kntrl etkinliğini Kurum yedekleme plitika ve prsedürlerine ilişkin belgelerin incelenerek aşağıdaki hususları içerip içermediğinin belirlenmesi: Veri dsyaları ve uygulamaların yedeklerinin düzenli larak alınması Yedeklenen veri dsyalarının listelenmesini, içerikleri ve knumlarının belirtilmesi Tüm bilgi türleri ve söz knusu bilgilerin kaybedilmesinin yaratacağı lası etkiler dikkate alınarak yedekleme için önceliklerin belirlenmesi Yazılım ve veri yedeklerinin ayrı bir alanda knumlandırılması Yenilemenin sıklığı ve yedeklerin ne kadar süre ile saklanacağı (Dsyaların ne sıklıkla yedekleneceği uygulamaların ve dsyaların önem derecesine bağlıdır. Gün snu yedekleme, anlık yedekleme, anlık sistem yedekleme gibi yöntemler kullanılabilir.) Kullanılan yazılım ve dnanımların, yedek sistemler ile uygunluğunun periydik larak gözden geçirilmesi Yapılacak testler ile yedekleme hizmetinin etkinliğinin düzenli larak kntrl edilmesi Bilgi saklama araçları ile ilgili etiketleme, listeleme, iletim ve saklama faaliyetlerinin etkin ve verimli bir şekilde yürütülmesine yardımcı lacak rehberlerin hazırlanması Yedeklenen araçların hangilerinin ne sıklıkla çalışma alanı dışına gönderileceğini ve bunların transferleri ile ilgili riskleri minimize edecek tedbirlerin alınması Yedekleme araçlarının saklandığı yerlerin yerinde inceleme yapılarak güvenlik açısından uygun lup lmadığının belirlenmesi Yedeklemenin belirlenen sıklıkta ve etiketleme standartlarına uygun şekilde yapılıp yapılmadığının örnekleme yluyla seçilen yedekleme araçlarının incelenerek belirlenmesi Yedekleme araçlarında muhafaza edilen veri dsyaları ve uygulamalarının sistemin yeniden kurulması için gerekli nitelikte bilgi içerip içermediklerinin düzenli larak test edilip edilmediğinin test kayıtlarından ve ilgililerle görüşme yapılarak tespit edilmesi Yedekleme araçlarının yeniden kullanılabilmesine ilişkin prsedürlerin aşağıdaki hususları içerip içermediğinin incelenmesi: Kimin tarafından alındığı Ne için kullanıldığı Geri getirme süresi Geri gelen araçların bzulup bzulmadığının ve yeniden kullanılabilir lduğunun testi snrasında yeniden saklanması 105

113 Örnekleme yluyla seçilen yedekleme araçlarında bu prsedürlere uyulup uyulmadığının yeniden kullanma kayıtları incelenerek ve ilgili srumlu ile görüşme yapılarak tespit edilmesi 106

114 2.2 UYGULAMA KONTROLLERİNİN DEĞERLENDİRİLMESİ Uygulama prgramları, muhasebe, vergi, alacak takip işlemleri gibi bir iş fnksiynuna destek veren yazılımlardır. Bu prgramlar, kurumun iş süreçlerinin bir kısmının veya tamamının bilgisayar rtamında yapılmasını sağlar. Tüm mali uygulamalar, işlemlerin ve verilerin tamlığını, kullanılabilirliğini ve makul bir ölçüye kadar güvenilirliğini güvence altına alan kntrllere sahip lmalıdır. Uygulama kntrlleri, bilgilerin sistemlere ya da prgramlara tam larak, zamanında ve sadece bir kere girilmesini, bilgi-işlem rtamında tüm işlem ve süreçlerin istenilen sıra ve düzen içinde gerçekleşmesini, raprların tam ve güvenilir larak üretilmesini, yetkili kişilere ulaştırılmasını ve uygun şekilde arşivlenmesini sağlayan kntrllerdir. Uygulama kntrlleri değerlendirilmeden önce kurumun uygulama prgramları yeterince tanınmalıdır. Bunun için, verinin hazırlanması, veri giriş işlemlerinin yapılması, iletilmesi, işlenmesi ve çıktı alınması süreciyle ilgili iş akışları temin edilmeli ve bu süreçte kurum tarafından luşturulmuş lan manuel ve tmatik kntrller belirlenmelidir. Ayrıca uygulamanın ilgili yasal düzenlemeler ve muhasebe sistemi ile ilişkilerinin iyi bilinmesi gerekir. Uygulama kntrlleri değerlendirilirken, uygulamaların güvenilirliğine ilişkin makul bir güvence elde edebilmek için uygulamalarda lması gereken kntrller test edilerek kanıt tplanır. Bu aşamada bilgisayar destekli denetim tekniklerinden (BDDT) de yararlanılır. BDDT, prgramlardaki süreçlerin dğruluğunun saptanması ve veri dsyalarının incelenmesinde kullanılır. Prgramlardaki süreçlerin dğruluğunun saptanmasında, anlık görüntü alma (snapsht), iz sürme (tracing), lg analizi gibi teknikler kullanılabilir. Verilerin dğruluğu ve dsya güvenilirliği için paralel simülasyn, mükerrerlik kntrlü, sınıflandırma, örnekleme, karşılaştırma gibi analiz tekniklerinden yararlanılabilir. Uygulama kntrlleri aşağıda belirtilen başlıklar altıda incelenebilir: Girdi Kntrlleri Veri Transfer Kntrlleri İşlem Kntrlleri Çıktı Kntrlleri 107

115 2.2.1 GİRDİ KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Verilerin sisteme, tam, dğru ve yetki dahilinde girilmesini sağlamaktır. Veri girişine ilişkin larak karşılaşılabilecek risklerden bazıları şunlardır: Yetkili lmayan kişilerce veri girişi yapılması Eksik veya hatalı veri girilmesi Mükerrer kayıtların sistem tarafından kabul edilmesi Hatalı veri girişlerinin tespit edilememesi Erişim Kntrllerinin ihlal edilmesi Görevlerin ayrılığı ilkesine uyulmaması Girdi kntrllerine ilişkin riskleri makul seviyeye düşürecek temel kntrller şunlardır: Uygulama prgramlarına ilişkin teknik dkümanlar ve kullanım rehberleri hazırlanmış lmalıdır. Kaynak belgelerin kullanılmasına ilişkin prsedür tanımlanmış lmalıdır. Tüm veri hazırlama, veri giriş işlemleri ve ana dsyalardaki değişiklikler yetki dahilinde yapılmalıdır. Hatalı veri girişlerini engelleyecek tmatik kntrl mekanizmaları kurulmalıdır. Hatalı ve kural dışı veri girişleri raprlanmalıdır. Kntrllerin Değerlendirilmesi Belgeleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini GK-1 Uygulama prgramlarına ilişkin teknik dkümanlar ve kullanım rehberleri hazırlanmış lmalıdır. Uygulama prgramlarına ilişkin bir belgeleme standardı var mı? Kullanıcıların ihtiyaçlarını karşılayacak teknik dkümanlar hazırlanmış mı? Teknik dkümanların aşağıdaki bilgileri içerecek şekilde hazırlanıp hazırlanmadığının tespit edilmesi: Sistemi genel larak gösteren bir şema Uygulama prgramının ağ yapısı içerisindeki durumu Kullanıcı sayısı Kullanıcı yerleri Kullanıma yönelik rehber Prgram tanımlamaları 108

116 Prgram içinde kullanılan ara yüzlerin tanıtımı ve şeması Prgramlar arasında ve prgram içinde kullanılan ara yüzlerin tanıtımı ve şeması Ana girdi, süreç ve çıktılar İşlem hacmi Sistem gereksinimleri İlişki içerisinde bulunduğu diğer yazılım ve dnanıma ait detaylar Kullanılan prgramlara ilişkin belgelerin incelenerek; düzenli larak gözden geçirilmesinin, güncellenmesinin ve güvenli bir şekilde muhafaza edilmesinin sağlanıp sağlamadığının belirlenmesi Kullanıcılarla görüşme yapılması suretiyle; kullanıcıların mevcut dkümanlara ulaşıp ulaşmadığının, söz knusu dkümanların kullanıcıların ihtiyacına cevap verip vermediğinin, tespit edilmesi Kaynak belge Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini GK-2 Kaynak belgelerin kullanılmasına ilişkin prsedür tanımlanmış lmalıdır. Veri giriş işlemlerinin yapılmasına ilişkin tanımlanmış bir prsedür var mı? Veri girişlerinde kullanılacak kaynak belgeler belirlenmiş mi? Kaynak belge larak veri giriş frmları kullanılıyr mu? Veri giriş işlemlerinin yapılmasına ilişkin prsedürlerde aşağıdaki hususların bulunup bulunmadığının incelenmesi: Veri giriş şeklinin tespiti (manuel, nline vs) Kaynak belgelerin belirlenmesi, düzenlenmesi ve naylanması ve bunlara ilişkin görev, yetki ve srumluluklar Kaynak belgeyi hazırlayan, sisteme girişini yapan, sisteme girişi yapılan veriyi işleyen ve çıktıların dağıtımını yapan persnelin birbirinden farklı kişiler lup lmadığının tespiti Belge veya iş akışı ve zamanlaması Belge düzenleme sürecinde hataların ve düzensizliklerin tespit edilmesi, raprlanması ve düzeltilmesi Kaynak belgelerin yeterli bir süre byunca saklanması Kaynak belge larak veri giriş frmu kullanılıyrsa Standart frmların tespit edilmesi 109

117 Standart veri giriş frmlarının bütün temel işlemlerde kullanılıp kullanılmadığının belirlenmesi Frmlarda sıra numaraları ve tarihlerin kullanılması Veri giriş frmunun sistem içerisinde referans larak ilişkilendirilmesi ve tekrar kullanılmasının önlenmesi Frm düzeninin ve frmda girilmesi istenen verilerin ekran frmatıyla uyumlu lup lmadığının tespit edilmesi Veri kütüphanesinin incelenmesi ve verilerin tasnif edilmesinde kullanılan ana başlıklarla girdi frmlarının karşılaştırılması, farklılık varsa bunun nedenlerinin tespit edilmesi Yetkilendirme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini GK-3 Tüm veri hazırlama, veri giriş işlemleri ve ana dsyalardaki değişiklikler yetki dahilinde yapılmalıdır. Erişim ve yetkilendirme işlemlerini tanımlayan ve düzenleyen bir plitika veya prsedür var mı? Kaynak belgeler dahil bütün veri hazırlama işlemleri yetkili kişiler tarafından yapılıyr mu? Manuel veya bilgisayar rtamında yetkisiz işlemlerin yapılmasını önleyen tedbirle alınmış mı? İşlemlerin yetki dahilinde yapılıp yapılmadığının tespiti amacıyla; Uygulama prgramlarına özgü larak erişim tabllarının incelenmesi Yetkili kullanıcı listelerinin bir çıktısının alınması Yetki değişikliğine ilişkin kayıtların yer aldığı denetim kütüklerinin gözden geçirilmesi; Bilgilerin dğru ve eksiksiz kaydedilmesinin sağlanması amacıyla çift imza, kntrl edildi parafı gibi kntrl mekanizmasının luşturulup luşturulmadığının belirlenmesi Farklı dönemlere ait kaynak belgelerin üzerindeki imzalarla yetkilendirme listelerinin karşılaştırılması ve işlemlerin yetki dahilinde gerçekleştirildiğinin test edilmesi Ana dsyalarda yer alan parametrelere ilişkin tüm veri girişlerinin ve değişikliklerinin yetki dahilinde, zamanında ve dğru yapıldığının ve yıl içinde bu parametrelerin yetkisiz kişilerce veya suiistimale yönelik larak değiştirilmediğinin tespit edilmesi Örnek seçilen kullanıcı işlemlerinin incelenerek fiziksel ve mantıksal erişim kntrllerinin etkin larak işleyip işlemediğinin test edilmesi (bkz. Fiziksel ve Mantıksal Erişim Kntrlleri) 110

118 Hatalı veri girişinin engellenmesi Kntrl GK-4 Hatalı veri girişlerini engelleyecek tmatik kntrl mekanizmaları kurulmalıdır. Kntrl varlığını değerlendirme sruları Kntrl etkinliğini Kullanılan prgramda eksik, yanlış, mantıksız veya mevcut verilerle çelişen veri girişlerini engelleyen tmatik kntrller var mı? Yanlış tarih veya belirli sınırların dışındaki veri girişlerinde uyarı mekanizmaları kurulmuş mu? Yanlış frmatta veri girişlerinin sistem tarafından kabul edilmesi önlenmiş mi? Aynı verinin sisteme mükerrer kaydedilmesini mekanizmalar var mı? önleyecek Kullanıcılarla görüşme yapılması, ilgili dkümanların incelenmesi ve prgram uygulamalarının gözlemlenmesi suretiyle sistem tarafından verilerin dğruluğu ve geçerliliğini test edecek aşağıda yazılı tmatik kntrllerin lup lmadığının belirlenmesi: Üst limit kntrlü Aralık kntrlü Karşılaştırılabilirlik kntrlü Zrunlu alan kntrlü Rakam kntrlü Açıklamalı tabllar Seri veya sıra kntrlü Mükerrerlik kntrlü Geçerlilik Kntrlü Makullük kntrlü Mevcutluk kntrlü Tamlık kntrlü Bşluk Kntrlü Mükerrer kayıtların önlenmesi amacıyla aşağıdaki kntrllerden yararlanılıp yaralanılmadığının belirlenmesi: Kaynak dkümanların silinmez yazıyla işaretlenmesi Ayrı referans numaralarının kullanılması Kaynak belgelerin fiziksel larak imhası veya işaretlenmesi Kullanıcı, sicil numarası, vatandaşlık numarası, hesap kdları, adres veya miktarlar gibi alanların birbirleriyle karşılaştırılarak eşleştirme yapılması Genel tplamların kntrl edilmesi Girdilerde seri numaralarının kullanılması Bilgisayar destekli denetim teknikleri kullanılarak yevmiye kayıtlarında, yapılan ödemelerde mükerrerlik lup lmadığının tespit edilmesi 111

119 Bilgisayar destekli denetim teknikleri kullanılarak veriler üzerinde aşağıdaki testlerin yapılması: Sistem saat ve tarihi ile resmi kayıtlarda yer alan tarihlerin karşılaştırılarak uyumsuzluk lup lmadığının tespiti, bunun yasal düzenlemelere uygunluğunun belirlenmesi Veri girişlerinin tamamlanıp naylanmasından snra kilitlenip kilitlenmediğinin ve geriye dönük işlem yapılıp yapılmadığının tespit edilmesi Verilerin silinip silinemediğinin tespit edilmesi Düzeltmelerin, üzerine yazma yöntemiyle yapılıp yapılamadığının belirlenmesi Sistem sıra numarası ile yevmiye numaralarının karşılaştırılması, yevmiye numaralarında bşluk lması halinde bunun nedeninin belirlenmesi Verilerin dğru hesaplara kaydedildiğinin, hesapların birbirleri ile uygun şekilde çalıştırıldığının tespit edilmesi Bir önceki yıldan devreden hesap bakiyeleri ve vergi brçları gibi işlemlerin bir snraki döneme tmatik larak aktarılıp aktarılmadığının incelenmesi Hata ve kural dışı durum rapru Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini GK-5 Hatalı ve kural dışı veri girişleri raprlanmalıdır. Hatalı veya kural dışı durumlara ait rapr üretiliyr ve saklanıyr mu? Yönetim düzenli larak hata veya kural dışı durum raprlarını gözden geçiriyr mu? Yetkililerle görüşme yapmak suretiyle hata veya kural dışı raprlarının ne kadar sıklıkla üretildiğinin ve dağıtıldığının belirlenmesi Uygulamalar tarafından üretilen örnek hata ve kural dışı rapr incelenerek; detayları, kayıtların durumunu ve hataların nedenlerini gösterip göstermediğinin, söz knusu raprlarının yönetim tarafından incelenerek srunun çözülüp çözülmediğinin, bu hataların mali tabllara etkide bulunup bulunmadığının, bu hataların zamanında düzeltildiğinin ve tekrar giriş için yetkili persnel tarafından gözden geçirilerek naylandığının tespitinin belirlenmesi 112

120 2.2.2 VERİ TRANSFER KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Verilerin tam, dğru, zamanında ve güvenli bir şekilde transferini sağlamaktır. Veri transferi ile ilgili larak karşılaşılabilecek risklerden bazıları şunlardır: Transfer edilen verinin bzulması, kayblması, çalınması, değiştirilmesi Verinin iletilememesi veya iletilip iletilemediğinin bilinememesi Mükerrer veri iletilmesi Veri transferinin reddedilmesi Veri transfer kntrllerine ilişkin riskleri makul seviyeye düşürecek temel kntrller şunlardır; Veri transferinden srumlu persnele rehberlik yapacak prsedürler tanımlanmış lmalıdır. Veri transferi ile ilgili detaylı teknik bilgiler yazılı hale getirilmeli ve persnel ihtiyaç duyduğunda bu bilgilere erişebilmelidir. Sistemler arasında yapılan veri transferlerinin tam ve dğru larak yapılmasını sağlayan manuel veya tmatik kntrller lmalıdır. Kntrllerin Değerlendirilmesi Plitika ve prsedürler Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK- 1 Veri transferinden srumlu persnele rehberlik yapacak prsedürler tanımlanmış lmalıdır. Veri transferine ilişkin tanımlanmış bir prsedür var mı? Veri transferine ilişkin sürecin incelenerek aşağıdaki hususları kapsayıp kapsamadığının belirlenmesi: Görevliler, yetki ve srumlulukları Transfer edilecek dsya ve mesajlar Transfer sürecinin altyapısına ait bilgiler örneğin ilgili prgramlar Güvenlik ve veri işlemeye ilişkin knular Transfer şeması ve sıklığı İletinin başlatılması, alınması ve saklanması Disket, kaset gibi bilgi rtamı araçlarıyla yapılan aktarımlara ilişkin prsedürler Transfer yönetimi yönergesi 113

121 Transferlerin izlenmesini sağlayan arayüzlerin luşturulması Transferin başarı ile tamamlandığına dair kntrller Hatalarla baş etme prsedürleri Yeniden başlatma mekanizması Acil durum ve felaket snrası durumla baş etme işlemleri Günlük tutulması ve saklaması Sürecin yeterliliğinin ve güncellenip güncellenmediğinin belirlenmesi için gözden geçirilmesi Uygulanan mantıksal ve fiziksel erişimlerinin yeterliliğinin test edilmesi amacıyla veri transferi yapılan örnek işlemlerin seçilmesi ve yetkili kişiler tarafından yapılıp yapılmadığının belirlenmesi Belgeleme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-2 Veri transferi ile ilgili detaylı teknik bilgiler yazılı hale getirilmeli ve persnel ihtiyaç duyduğunda bu bilgilere erişebilmelidir. Veri transferine ilişkin teknik detayları içeren yazılı dkümanlar var mı? Persnel ihtiyaç duyduğunda bunlara ulaşabiliyr ve yararlanabiliyr mu? Veri transfer sürecinin kntrlünde kullanılan dnanım ve yazılımlara ait dkümanların elde edilmesi ve bunların yeterli lup lmadıklarının değerlendirilmesi Uygulama prgramlarına veri gönderilmesi veya alınmasına ilişkin detay bilgilerin temin edilmesi: Veri akış yönü Transfer edilen bilgilerin türü Transfer edilen işlemlerin yaklaşık hacmi veya değeri Yönetimle görüşme yapılarak veri transfer alt yapısının beklendiği şekilde çalışmasına ilişkin riskleri öngörüp öngörmediğinin tespit edilmesi Tüm belgelerin güncellendiğinin ve muhafaza edildiğinin belirlenmesi Kntrller Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini VTK-3 Sistemler arasında yapılan veri transferlerinin tam ve dğru larak yapılmasını sağlayan manuel veya tmatik kntrller lmalıdır. Veri transferinin tam ve dğru larak yapılmasını güvence altına alan tmatik veya manuel kntrller var mı? Bilişim sitemleri persneli ile görüşme yaparak ve dkümanları gözden geçirerek veri transferinin tam ve dğru larak 114

122 gerçekleşmesini sağlayacak tmatik ve manuel kntrllerin aşağıdaki hususları kapsayıp kapsamadığının belirlenmesi: Transfer edilen dsyaların üstünde büyüklüğü ve parasal değerine ilişkin bilgilerin yer alması Elektrnik larak hedef veya kaynak dsya büyüklüğünün karşılaştırılması Transferde dğru prsedürün uygulandığının kntrl edilmesi Mesaj veya raprlara ilişkin transferin başarıyla gerçekleşip gerçekleşmediğine ilişkin aşağıda yazılı tmatik kntrllerin bulunması: Döngü\ yankı kntrlü Fazlalık kntrlü Eşlik kntrlü Mükerrerlik kntrlü Eşitlik kntrlü. Hata kdu Ardışık işlem (dizi) kntrlü Hata raprlarının üretilmesi Verinin kriptlanması (bkz ağ yönetimi) 115

123 2.2.3 İŞLEM KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Verinin uygulama prgramı içerisinde tam ve dğru larak işleme tabi tutulmasını ve denetlenebilir lmasını sağlamaktır. İşlem kntrllerinin yetersizliği aşağıda yazılı risklerin gerçekleşmesine neden labilir: Sürecin yanlış işletilmesi Sistematik hataların luşması Yanlış dsyaların işleme tabi tutulması Hataların tespit edilip düzeltilememesi Denetim izinin kayblması ve işlem sahibine başvurulamamasına Mantıksız işlemlerin meydana gelmesi İşlemlerin dğrulanamaması İşlem kntrllerine ilişkin riskleri makul seviyeye düşürecek temel kntrller şunlardır; İş ve zaman çizelgesi hazırlanmalı ve bu çizelge kullanıcı ve işletim persneli tarafından anlaşılır lmalıdır. Yönetim tarafından bilgisayar işlemlerinin dğru zamanda ve dğru bir silsile ile işletildiğinin teyidini sağlayan yeterli bir kntrl mekanizması kurulmalıdır. Süreçte başarısızlık veya prblemle karşılaşıldığında, persnel, işlemleri naylandıkları en sn nktadan yeniden başlatabilmelidir. Bütün işlemler ve bilgisayar kaynaklı hatalar hata ve beklenmedik durum raprlarında yer almalı ve bunlar yönetim tarafından gözden geçirilmelidir. Kntrllerin Değerlendirilmesi İş ve zaman çizelgesi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İK-1 İş ve zaman çizelgesi hazırlanmalı ve bu çizelge kullanıcı ve işletim persneli tarafından anlaşılır lmalıdır. İş sürecini tanımlayan bir iş ve zaman çizelgesi var mı? İş ve zaman çizelgesinin temin edilmesi, incelenmesi ve iş çizelgesinin aşağıda yazılı bilgileri içerip içermediğinin belirlenmesi: Yapılması gereken işler ve iş öncelikleri İş uygulamalarındaki sıra akışı Ulaşılması gereken bilgi rtamı ve dsyalar 116

124 SİSTEM KONTROLLERİNİN DEĞERLENDİRİLMESİ İşlem snrası süreç, örneğin yeniden uzlaştırma ve beklenin üstündeki çıktıların gözden geçirilmesi Örnek seçilen iş akışlarının incelenmesi suretiyle iş ve zaman çizelgelerinin dğru bir sırayı takip edecek, dğru bir zamanda dğru bilgi dsyalarına erişecek şekilde tasarlanıp tasarlanmadığının tespit edilmesi Kntrller Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İK-2 Yönetim tarafından bilgisayar işlemlerinin dğru zamanda ve dğru bir silsile ile işletildiğinin teyidini sağlayan yeterli bir kntrl mekanizması kurulmalıdır. Sistemde işlemlerin tam ve dğru yapılmasını sağlamaya yönelik tmatik kntrller var mı? İş akışını izlemek amacıyla özel yazılımlar kullanılıyr mu? İşlem uygulama süreci gözden geçiriliyr mu? Bilişim sitemleri persneliyle görüşme yapılarak veya dkümanlar incelenerek yazılıma entegre edilmiş aşağıda yazılı işlem kntrllerinden hangilerinin kullanıldığının belirlenmesi: Düzen ve biçim kntrlü Prgramlanmış kntrller Birebir tplam kntrlü Hesaplanmış miktarlarda makullük kntrlü Hesaplanmış miktarlarda limit kntrlü Dsya tplamlarını uyumlaştırma kntrlü İş akışını izleyen özel yazılımların aşağıdaki bilgileri sağlayıp sağlamadığının belirlenmesi: İş akışına göre işlemlerin çalışma şekli İşlemlerin yetki dahilinde yapılması Dğru dsyalara ulaşıldığının teyidi Sadece naylanmış prgramların hassas verilere ulaşabilmesi Otmatik kntrllerin lmaması durumunda amaca uygun telafi edici kntrllerin lup lmadığının belirlenmesi Uygulama işlem prsedürlerinin hangi aralıklarla ve nasıl gözden geçirildiğinin öğrenilmesi ve kntrl süreci için yeterli lup lmadığının değerlendirilmesi Verilere ilişkin akışın istenildiği gibi dğru bir şekilde gerçekleştiğini test etmek amacıyla aşağıdaki testlerin uygulanması: Anlık görüntü alma (snapsht) İz sürme (Tracing) Haritalandırma (mapping) Örnekleme yluyla seçilen işlemlerin dğru hesaplanıp hesaplanmadığının tespiti amacıyla manuel larak hesaplamalarının yapılması ve snuçların bilgisayar çıktılarıyla karşılaştırılması 117

125 İşlemleri yeniden başlatma Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İK-3 Süreçte başarısızlık veya prblemle karşılaşıldığında, persnel, işlemleri naylandıkları en sn nktadan yeniden başlatabilmelidir. Prblemlerle karşılaşılması durumunda işlemleri yeniden başlatma prsedürleri tanımlanmış mı? Yönetim ile görüşme yapılarak ve ilgili dkümanlar gözden geçirilerek gerektiğinde verilerin yedeklenmesi, dsya kurtarma işlemlerinin başlatılması ile ilgili belirlenmiş bir prsedürün lup lmadığının belirlenmesi İncelenen dönemde, kntrller naylandıktan snra sürecin yeniden başlatılmak zrunda lduğu kayıtlı vakaların tespit edilmesi ve naylanma sürecinin dğru bir şekilde işletilip işletilmediğinin belirlenmesi Hata kntrlü ve gözden geçirme Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini İK-4 Bütün işlemler ve bilgisayar kaynaklı hatalar, hata ve beklenmedik durum raprlarında yer almalı ve bunlar yönetim tarafından gözden geçirilmelidir. Hata ve kural dışı durumlara dair raprlar üretiliyr mu? Hata ve beklenmedik durum raprları yönetim tarafından günlük larak gözden geçiriliyr mu? Hata ve kural dışı rapr temin edilmesi ve bütün srunların makul bir süre içinde açıklığa kavuşturulup kavuşturulmadığının ve düzeltme işlemlerinin yönetim tarafından naylanıp naylanmadığının belirlenmesi 118

126 2.2.4 ÇIKTI KONTROLLERİ Kntrl Hedefi Riskler Temel Kntrller Çıktıların tam, dğru ve zamanında üretilmesini, dğru yere/kişilere dağıtılmasını, gizliliklerinin krunmasını, tespit edilen hataların detaylı larak incelenmesini ve gereğinin yapılmasını sağlamaktır. Çıktı kntrllerinin yetersizliği nedeniyle karşılaşılabilecek risklerin bir kısmı aşağıda belirtilmiştir: Çıktıların tam ve dğru lmaması Uygun bir şekilde sınıflandırılıp dağıtılamaması Yetkisiz kişilerin eline geçmesi Hataların tespit edilememesi ve düzetilememesi Çıktıların muhafaza edilememesi Çıktı kntrllerine ilişkin riskleri makul seviyeye düşürecek temel kntrller şunlardır; Çıktıların elde edilmesine ve krunmasına ilişkin bir prsedür lmalıdır. Çıktıların dağıtımı ile ilgili prsedürler tanımlanmalı ve uygulanmalıdır. İlgili persnel tarafından çıktı raprlarının dğruluğu gözden geçirilmeli ve hataları düzeltilmelidir. Çıktılara ilişkin hata veya beklenmedik durum rapru üretilmeli ve yönetim tarafından gözden geçirilmelidir. Çıktılar önceden tanımlanmış arşiv yönetmeliğine göre muhafaza edilmelidir. Kullanıcılar tarafından kullanılan özel rapr yazım araçları kntrl edilmelidir. Kntrllerin Değerlendirilmesi Prsedür Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini ÇK-1 Çıktıların elde edilmesine ve krunmasına ilişkin bir prsedür lmalıdır. Çıktıların elde edilmesine ve krunmasına ilişkin bir prsedür var mı? Çıktıların üretilmesine yönelik prsedürlerin incelenmesi ve aşağıda yazılı hususları kapsayıp kapsamadığının belirlenmesi: Üretilmesi istenen veya beklenen çıktıların bir listesi Ödeme emri, çek gibi mali nitelikli evraklar Elektrnik dsya ve veriler Elektrnik dsya veya verinin saklandığı araçlar (disket, kaset, kartuş vb.) Yazılı raprlar 119

127 Çıktıların yasal zrunluluk gereği veya kurumun inisiyatifi ile belirlenmiş frmatı Çıktıların kim tarafından ne zaman üretileceği ve kimlere dağıtılacağı Tanımlanmış iş ve zaman çizelgesi Sürecin yürütülmesine ilişkin srumluluklar Elde edilen çıktıların saklanması ve güvenliğinin sağlanması Çıktıların dağıtımı Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini ÇK-2 Çıktıların dağıtımı ile ilgili prsedürler tanımlanmalı ve uygulanmalıdır. Bütün çıktıların dğru yere/kullanıcıya ulaşmasını ve gerekiyrsa bunun gizlilik içinde sürdürülmesini sağlayan bir dağıtım prsedürü var mı? Uygulayıcılarla görüşme yapılması ve çıktıların dağıtımına ilişkin prsedürün incelenmesi suretiyle; Dğru alıcıların nasıl tespit edildiğinin ve gönderilecek çıktıların gereken yere zamanında ulaştırılıp ulaştırılmadığının araştırılması Çıktıların ulaştırılması beklenen alıcılarına beklenen zamanda ulaşmadığında neler yapıldığının belirlenmesi Raprların uygun gizlilik işaretlerini içerip içermediğinin belirlenmesi Üretilen ve dağıtılan raprların gizlilik esasına göre dağıtıldığının teyit edilmesi Uyumluluk Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini ÇK-3 Çıktıların dğruluğu gözden geçirilmeli ve hatalar düzeltilmelidir Çıktı üzerinde uygunluk, tamlık ve dğruluk kntrlleri yapılıyr mu? Persnel tarafından çıktılar üzerinde yürütülen kntrllerin aşağıdaki hususları kapsayıp kapsamadığının belirlenmesi: Kntrl raprlarının uygun bir başlık, tarih, birbirini takip eden sayfa numaraları ve raprun bitimini gösteren işaretlere sahip lması Bir işlem süreci için üretilen bütün fiziksel çıktıların beklenen çıktı listesiyle karşılaştırılması Fiziksel çıktı ile elektrnik rtamdaki çıktının aynı lması Her bir işletim sürecinin snucunda, üretilen rapr tplamları ile fiziksel belge tplamlarının karşılaştırılması, bütün tutarsızlıkların incelenmesi ve düzeltilmesi Eğer muhasebe prgramı üzerinde çalışılıyrsa bilgisayar destekli denetim yazılımları vasıtasıyla alınmış tüm yevmiye kayıtlarından hareketle mali tablların yeniden üretilmesi ve 120

128 belgelerde yer alan mali tabllarla karşılaştırılarak bir farklılığın lup lmadığının tespit edilmesi Hata raprları Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini ÇK-4 Çıktılara ilişkin hata veya beklenmedik durum rapru üretilmeli ve yönetim tarafından gözden geçirilmelidir. Hata ve beklenmedik durum raprları üretiliyr ve düzenli larak gözden geçiriliyr mu? Yönetimle görüşme yapılarak sistem/uygulama prgramlarının hatalı çıktılarının nasıl raprlandığının ve değerlendirildiğinin belirlenmesi Örnekleme yluyla seçilen hata raprların incelenerek, hataların nedenleri, bu hataların neticesinde yapılan işlemlerin ve bunların tekrarlanmaması için alınan önlemlerin tespit edilmesi Muhafaza Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini ÇK-5 Çıktılar önceden tanımlanmış arşiv yönetmeliğine göre muhafaza edilmelidir. Çıktılarının saklanmasına yönelik belirlenmiş kntrller var mı? Manyetik çıktılar uygun fiziksel rtamlarda saklanıyr mu? Bütün kağıt ve elektrnik çıktıların arşivleme, muhafaza ve deplama işlemlerinin yerinde lup lmadığının belirlenmesi Güvenlik, etiketleme ve saklama dönemlerinin birimin, işin, denetimin ve yasal gereksinimlerin ihtiyacını karşılayıp karşılamadığının incelenmesi Bütün manyetik çıktıların uygun iklim şartlarında muhafaza edilip edilmediğini belirlenmesi Kaset, disket veya kartuş çıktılarının bilgi rtam kütüphanesinde saklanıp saklanmadığının tespiti (Bkz. Yönetim kntrlleri, fiziksel ve çevresel kntrller, acil durum ve iş sürekliliği planlaması) Özel raprlama araçları Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini ÇK-6 Kullanıcılar tarafından kullanılan özel rapr yazım araçları kntrl edilmelidir. Özel yazılım araçları kullanılıyr mu? Satın alınan herhangi bir rapr yazım yazılımının lup lmadığının belirlenmesi SQL gibi raprlamada kullanılan yazılımların kimler tarafından kullanıldığının, raprların nasıl tasarlandığının belirlenmesi ve denetim için sunulan raprların yetkililer tarafından naylanıp naylanmadığının tespit edilmesi 121

129 122

130 DENETİM SONUÇLARININ RAPORLANMASI VE İZLENMESİ ÜÇÜNCÜ BÖLÜM DENETİM SONUÇLARININ RAPORLANMASI VE İZLENMESİ Kesinleştirilen denetim bulguları temelinde denetim snuçları denetim amacına uygun larak denetçi görüşünü de içerecek şekilde raprlanır. Denetim snuçlarının raprlanması, taslak raprun hazırlanması, kurumla görüşülmesi, nihai raprun yazılması ve ilgililere sunulması süreçlerinden luşur. Denetim rapru tam, güvenilir, bjektif, yeterli kanıta dayalı, açık, öz ve anlaşılır lmalıdır. Raprun tam lması; denetimden beklenen amaçların tamamının raprda yer alması, raprda yer verilmeyen hususlara ilişkin larak bjektif kriterlere dayalı açıklamaların yapılmasıdır. Raprun güvenilir lması; raprda yer alan bulguların yeterli ve ispat edilebilir kanıtlara dayalı lmasını ve raprun tam lmasını gerektirir. Raprun bjektif lması; denetim snucu elde edilen bulguların tarafsız bir şekilde rapra yansıtılmasıdır. Raprda denetimin tarafsızlığını zedeleyebilecek savunucu ve/veya suçlayıcı ifadelerden kaçınılmalıdır. Raprun yeterli kanıta dayalı lması; denetim snunda elde edilen bulgu ve snuçların yeterli sayıda ve ikna edici nitelikte lmasıdır. Raprunun açık, öz ve anlaşılır lması; yazılacak ifadelerin sade ve kısa lmasını, gereksiz detay ve tekrarlardan, teknik terim ve kısaltmalardan kaçınılmasını gerektirir. Teknik terimlerin veya kısaltmaların kullanılması gerekli lduğu durumlarda bu terimler ayrıca açıklanır ve kullanılan kısaltmalara ilişkin bilgilere raprda ayrı bir bölümde yer verilir. 3.1 TASLAK RAPORUN HAZIRLANMASI Taslak denetim rapru, aşağıda belirtilen bölümlerden luşacak şekilde hazırlanır: Giriş Genel kntrllerin değerlendirilmesi bölümü Uygulama kntrllerinin değerlendirilmesi bölümü 123

131 DENETİM SONUÇLARININ RAPORLANMASI VE İZLENMESİ Snuç Ekler ve tabllar Taslak raprun kapağında Sayıştay Başkanlığı ibaresi, denetlenen kurum ve/veya sistemin adı ve rapr tarihi yer alır. Taslak raprun giriş bölümünde raprun amacı, denetlenen kuruma ve kurumun bilişim sistemine ilişkin genel bilgiler verildikten snra denetim metdljisine ilişkin larak denetim kapsamı ve denetim yaklaşımı ifade edilir. Raprun amacı başlığı altında denetlenen kurum bilişim sistemlerinin niçin denetlendiği, denetimden beklenen çıktının ne lduğu açık ve net bir şekilde ifade edilir. Denetlenen kuruma ve kurumun bilişim sistemleri hakkında genel bilgi verilirken, kurumun ana faaliyetleri, idari yapılanmadaki yeri, rganizasyn yapısı ve birimlerine ilişkin açıklamalardan snra, bilişim sistemleri ile ilgili birimin çalışan prfili, rganizasyn yapısı, kurumun ana faaliyetlerinin yerine getirilmesi için kullanılan sistemler ve uygulamalar, bilişim sistemleri tpljisi, kurumun ağ altyapısı, kurum bütçesinin bilişim sistemlerine harcanan miktarı gibi hususlara da ver verilir. Bu amaçla denetim planlama aşamasında kullanılan Bilişim Sistemleri Bilgi Edinme Frm undan (EK-1) faydalanılır. Denetim kapsamı bölümünde denetim faaliyetlerinin hangi süreç, sistem ve faaliyet alanları üzerinde yürütüldüğü belirtilir. Denetçi, denetlenmesi öngörülen alanların belirlenmesinde nasıl hareket edildiğini, hangi faktörlerin dikkate alındığını bu bölümde belirtmelidir. Denetim yaklaşımı bölümünde denetçi, risk değerlendirmesinin ne şekilde yapıldığını, denetim sırasında göz önünde tutulan varsayımları, kanıt tplama ve analiz tekniklerini, bu tekniklerin niçin tercih edildiğini, örnekleme yöntemi kullanılmışsa kullanılan örnekleme yöntemi, neden bu yöntemin kullanıldığı ve kullanılan bu örnekleme yöntemi snucunda elde edilen bulguların ppülasynun bütününe genellenip genellenemeyeceği bilgilerine yer verir. Taslak raprun giriş bölümünden snra genel kntrllerin ve uygulama kntrllerinin değerlendirilmesi bölümlerine yer verilir. BS kntrllerin değerlendirilmesinde rehberin sistematiği izlenerek önce genel kntrllerin daha snra uygulama kntrllerinin değerlendirilmesi yapılır. Bu değerlendirmelerde her bir kntrl alanı bir başlık luşturacak şekilde kntrl açıklıklarına göre elde edilen bulgulara ve bu bulgulara ilişkin risk değerlendirmesine göre risk düzeyleri, lası etkileri ve -eğer varsa- söz knusu açıklığın giderilmesine yönelik kurumun çözüm çalışmalarına da yer verilir. Sn larak denetçi bulgu, risk düzeyi, lası etkiler ve kurum çözüm çalışmalarını bir arada değerlendirerek önerilerde bulunur. Taslak raprun snuç kısmında ise, elde edilen bulgular çerçevesinde bilişim sistemleri kntrllerinin genel bir değerlendirmesi yapılır ve bilişim sistemlerinin güvenilirliğine ilişkin denetim ekibinin görüşü yazılır. Taslak raprun ekleri bölümünde ise, kntrl alanları bazında bulguların nasıl elde edildiğine ilişkin detay bilgiler ve gerekli görülen tabllar yer alır. 3.2 TASLAK RAPORUN KURUMLA GÖRÜŞÜLMESİ Hazırlanan taslak rapr kurum yönetimine gönderilir ve çalışma prgramına uygun şekilde kurum üst yönetiminin görüşlerinin alınması için tplantı düzenlenir. Bu tplantıda raprda belirtilen knular ve yapılan öneriler ile kurum tarafından başlatılmış lan çalışmalar ve geleceğe ilişkin yapmayı düşündükleri düzeltme çalışmaları knusunda bilgi alınır. Raprda 124

132 DENETİM SONUÇLARININ RAPORLANMASI VE İZLENMESİ ifade edilen hususlar knusundaki itirazları veya düzeltme istekleri varsa nt edilir. Tplantı snrasında belirli bir süre verilerek görüşlerini ve yapılan çalışmaları yazılı bir şekilde sunmaları istenir. Denetlenen kurumun herhangi bir nedenle görüş bildiremediği veya görüş bildirmeyi reddettiği durumlarda, bu durum nedenleriyle birlikte açıkça raprda yer alır. 3.3 NİHAİ RAPORUN YAZILMASI Denetlenen kurum yönetimi ile yapılan görüşmeler ve yazılı cevapları dikkate alınarak rapra sn şekli verilir. Denetçi, denetlenen kurumun görüşlerini haklı bulması halinde, raprda gerekli düzeltmeleri yapar. Kurum tarafından düzeltilmesi kabul edilen ve rapr hazırlandığı ana kadar yapılan düzeltme çalışmalarına da çözüm çalışmaları başlığı altında raprda yer verir. TBMM ye ve denetlenen kuruma gönderilecek nihai raprda, taslak raprun giriş bölümünün önüne, dilerse Sayıştay Başkanı nın sunuşu ve özet bölümleri eklenir. Raprun özet bölümünde; denetimin amaçları tanımlanarak bu denetim amaçlarının gerçekleştirilmesi için uygulanan denetim metdljisi özet larak ifade edilir. Yine bu bölümde başlıklar halinde temel bulgulara ve bu bulgulara göre iç kntrllerin genel değerlendirmesini içeren denetim snucuna yer verilir. Ayrıca raprun snuç bölümünden snra gelmek üzere kurum, sistem, mevzuat vs. isimleri için kısaltma kullanılması durumunda bu kısaltmaların açılımları kısaltmalar ve raprda kullanılan teknik ve bilinmeyen ifadelere ilişkin tanımlamaların yer aldığı sözlük bölümleri de eklenebilir. 3.4 RAPORUN İLGİLİLERE SUNULMASI Bilişim sistemleri denetimi snucunda hazırlanan nihai rapr, öncelikle denetlenen kuruma verilir. Bilişim sistemleri denetimi mali denetim ile birlikte yürütüldüğü durumlarda, mali denetim ekibi ile görüşme yapılarak, bilişim sistemleri denetimi snunda bulunan kntrl zayıflıklarının mali denetim sürecine ve raprlamaya etkileri tartışılmalıdır. Bilişim sistemleri denetim snuçları, mali denetim sürecinde özellikle risk değerlendirmesinde kullanılacağından, bilişim sistemleri denetim snuçlarının mali denetimin risk değerlendirmesinin yapılacağı zamana kadar yetiştirilmesi için BS denetimi yapılmasının da zaman alacağı göz önünde bulundurularak denetime başlanacak zamanın iyi planlanması gerekir. Bilişim sistemleri denetimi mali denetim sürecinden bağımsız yapıldığı durumlarda ise rapr, görevlendirmenin amacına göre, ilgili denetim grubuna, denetimin yapıldığı sistemle ilgili lan kuruma ve Parlamentya gönderilmek üzere Başkanlığa sunulur. Raprun Parlamentya sunulup sunulmayacağı kararını Başkanlık verir. 3.5 SONUÇLARIN İZLENMESİ VE KALİTE KONTROLÜ Bilişim sistemleri denetim raprunda tespit edilen hususlar ve öneriler knusunda kurum tarafından yapılan çalışmaların düzenli aralıklarla izlenmesi ve bu izleme faaliyeti snuçlarının, bir snraki denetimin planlama aşamasında kullanılması gerekir. Bu amaçla, elde edilen denetim bulgularının çözümü için kurum tarafından verilmiş bir yarih varsa bunu da 125

133 DENETİM SONUÇLARININ RAPORLANMASI VE İZLENMESİ gösterecek şekilde bir izleme tablsu hazırlanır ve bu tabl bilişim sistemleri denetim ekibi tarafından düzenlenen, kuruma ait kalıcı dsyada muhafaza edilir.bu amaçla Bilişim Sistemleri Denetimi İzleme Tablsu Frmu (EK-10) kullanılır. İzleme çalışmalarının hangi sıklıkla ve ne zaman yapılacağı denetim ekibince ayrıca planlanmalıdır. Taslak denetim raprunda acil larak giderilmesi gerektiği ifade edilen kritik knuların takibi denetim sürecinde yapılır ve söz knusu knuların nihai rapr tamamlanmadan önce düzeltilmesi hedeflenir. Bunun mümkün lmadığı durumlarda knunun takibinin yapılması için mali denetim ekibine de bilgi verilir. Eğer düzenli bir izleme faaliyeti söz knusu değil ise denetçi önceki dönemlerde yapılan bilişim sistemleri denetimlerine ilişkin raprları inceleyerek bu raprlarda yer alan bütün bulguları kendi denetimi sırasında değerlendirir. Bu bulguların sn durumlarına,knuya ilişkin kurum açıklamalarına ve açıklığın devam edip etmediklerine ilişkin değerlendirmelerine raprunda yer verir. Yapılan Bilişim sistemleri denetiminin kalite kntrlünün sağlanması için, denetimin uluslararası standartlara ve Sayıştay Bilişim Sistemleri Denetim Rehberine uygun şekilde yapılıp yapılmadığı bilişim sistemleri denetimi knusunda uzmanlaşmış başka bir ekip veya denetçi tarafından incelenerek raprlanmalıdır. Bu amaçla Bilişim Sistemleri Denetimi Kalite Kntrl Frmu (EK-9) kullanılır. Denetimin kalite kntrlü, denetim rapru ilgililerine sunulmadan önce tamamlanmalıdır. 126

134 Ekler EK - 1: BİLİŞİM SİSTEMLERİ BİLGİ EDİNME FORMU (Bu frm kurumun bilişim sistemi yetkilileri tarafından dldurulmalı ve imzalanmalıdır.) Frmda dldurulması gereken her alan bir bilişim sistemi yetkilisi tarafından gözden geçirilmelidir. Eğer bilişim sisteminize uygun lmayan srular varsa lütfen U (Uygulanamaz) harfi ile işaretleyin. A. KURUM HAKKINDA GENEL BİLGİLER 1. Kurumunuz hakkında genel bilgileri içeren aşağıdaki tablyu dldurunuz. Denetlenen Kurumun Adı Ana faaliyetler Yıllık ödemeler/harcamalar (YTL) Tplam varlıklar (YTL) Bilişim sistemleri varlıklarının tplam değeri (YTL) Yıllık bilişim sistemleri bütçesi (YTL) 2. Bilişim sistemiyle ilişkili larak sn bütçe dönemi içinde yapılan harcamaların listesini aşağıdaki şablna uygun şekilde hazırlayarak frma ekleyiniz. N Harcamanın Niteliği Tutar (YTL) Tarih Sn iki yılın bütçe tahminleri ile harcama miktarlarını ekleyiniz. B. KURUMSAL YAPI VE ÇALIŞANLAR 1. Bilişim sisteminin güncel yapısını gösteren sistem tpljisini ve rganizasyn şemasını bu belgeye ekleyiniz. 2. Bilişim sistemi yöneticisinin kime karşı srumlu lduğunu belirtiniz. Adı Görevi 3. Bilişim sistemi persneli ile ilgili larak aşağıdaki tablyu dldurunuz. Genel Yönetim: Bilgi işlem biriminin yönetiminden srumlu kişi. Yetkili kişi bilgi işlem biriminde yürütülen işlerden birim yönetimine karşı srumlu lan kişi. İrtibat kurulacak kişi, söz knusu alanla ilgili larak denetim çalışmalarında muhatap lunacak kişi. 127

135 EKLER Pzisyn İrtibat Kurulacak Persnel Faaliyet Alanı Yetkili Persnel Sayısı İşi Yürüten Persnel Sayısı Adı - Syadı Telefn Numarası Genel Yönetim BS Güvenliği Fiziksel Güvenlik Sistem Yönetimi İletişim/ Ağ Yönetimi Veri Yönetimi Veritabanı Yönetimi Yazılım Geliştirme Web Tasarım Teknik Destek Diğer Tplam Persnel 4. Yukarıdaki listede yer alan persnelden kilit nitelikte lanları lütfen belirtin. 5 Sn bir yıl içinde bilişim sistemi kilit pzisynlarında meydana gelen persnel değişikliklerini ve/veya yeniden yapılanma snucu luşan değişiklikleri ve gelecekte yapılması öngörülen değişiklikleri beli rtiniz. Adı Syadı Eski Pzisynu ve Çalışma Tarihleri Yeni Pzisynu ve Görevlendirme Tarihi 6. Bilgi işlem dairesinde görevli persnelin sn iki yıl içinde kullandığı izinleri gösteren bir tablyu frma ekleyiniz. C. BİLİŞİM SİSTEMLERİ HAKKINDA TEKNİK BİLGİLER Bilişim sisteminin teknik yapısı ile ilgili larak aşağıdaki kısımlarda istenen bilgileri dldurunuz: 1- Dnanım Dnanımın Türü Mdel Adet Yeri Ağa bağlı lma durumu 128

136 Ayrıntılı dnanım envanterini ekleyiniz. 2- Yazılım (Tabl eklenecek) 2.1 Uygulama Yazılımları Kelime işlemci ve tabllama prgramları Ofis yazılımları Uygulama prgramı yazılımları (file maker vs.) Diğer Veri Tabanı yönetim Sistemleri Oracle Micrsft Access SQL Dbase Diğer 2.2 İşletim Sistemleri Windws NT Windws (9x, 2000, XP, Vista) Nvell Netware Unix Linux Diğer 2.3 Güvenlik Yazılımı Güvenlik duvarı: Antivirus: Diğer: 2.4 Mali Sistem Yazılımları Mevcut Yazılımlar (CPU tarafından işlenen veya PC tabanlı lan bütün sistemler aşağıdaki tablda tanımlanmalıdır.) Mali Sistemin Adı Prgram Srumlusu Paket/Kuruma Özgü Kurulum Tarihi Sürüm Prgramlama Dili Kullanıcı Sayısı Veri Giriş Yöntemi (Yığın/nline) Mdüller 129

137 EKLER Uygulama prgramlarına ait satın alma sözleşmelerini ve muayene kabul kmisyn raprlarını ve uygulama snrası gözden geçirme raprlarını; Uygulama prgramlarının fnksiynlarını, prgram içinde veya sistemler arasında kullanılan ara yüzleri ve prgramın genel işleyişini tanımlayan bir bilgi ntunu; Uygulama prgramlarına ait kullanıcı rehberlerini ve talimatlarını; Ekleyiniz Geliştirilmekte lan yazılımlar Mali uygulamalara ilişkin bilişim sistemi bileşenlerinden şu anda önemli revizynlara tabi tutulanlar ile ilerde revize edilmesi planlananları ayrıca belirtiniz Prgramın adı Amacı Planlanan Bitiş Tarihi Mevcut Durumu (Bulunduğu Aşama) D- İŞ AKIŞ ŞEMALARI Kurumun mali tabllarını üreten veya üretilmesine yardımcı lan bilişim sisteminin fiziksel özelliklerini gösteren bir çizelge hazırlayınız. Çizelgede şu hususlar çizimle gösterilmelidir: 1. Temel girdiler ve giriş nktaları, 2. Temel çıktılar ve çıkış nktaları, 3. Veri akışları, 4. Verilerin işlendiği yerler 5. Veri iletimini sağlayan ağlar E- AĞ YAPISI Açıklamaları içeren detaylı ağ haritasını frma ekleyiniz. (ağ altyapısında kullanılan teknljiler, anahtarlama ve yönlendiricilerin knumları, internet bağlantısı (varsa) ne şekilde sağlandığı, ağların türü, mimari yapıları, tpljileri gibi bilgiler detaylı larak açıklanmalıdır) F- HİZMETİN DEVAMLILIĞI 1. Bilişim sistemi ile ilgili beklenmedik ve acil durumlar karşısında kullanılmak üzere hazırlanan bir plan (acil durum planı) var mı? [ ] Evet [ ] Hayır Cevabınız evetse lütfen planın bir kpyasını ekleyin. 2. Bilişim sistemi için kullanılan ana merkez dışı deplama ünitesi/birimi var mı? [ ] Evet [ ] Hayır Cevabınız evetse, lütfen kurum dışı yedekleme stratejisini/plitikasını açıklayan belgelerin özetini ekleyin. 3. Acil durum planının en sn test edilme tarihi ve testin snuçları nelerdir? (Test değerlendirme raprunu ekleyiniz.) 130

138 4. Ana merkez dışında deplama ünitesien sn hangi tarihte teftiş edilmiş/gözden geçirilmiştir? G. DENETİM RAPORLARI Varsa önceki yıllara ait sistemle ilgili yapılmış lan tüm denetim raprlarını ekleyiniz H. DİĞER HUSUSLAR Bilişim sistemi rtamını daha iyi anlamak için önemli lduğunu düşündüğünüz diğer bilgileri belirtiniz 131

139 EKLER I. İMZALAR Aşağıdaki tablyu dldurunuz. Hazırlayan: Görevi: Tarih: Telefn n: Fax n: İmza Gözden geçiren: Görevi: Tarih: Telefn n: Fax n: İmza 132

140 EK - 2: BİLİŞİM SİSTEMLERİNDEN ETKİLENEN HESAP ALANLARININ BELİRLENMESİ FORMU Kurum/Sistem Adı: N Yapılan İş İşi Destekleyen Bilişim Sistemi (Prgram) Etkilediği Hesap Alanları 133

141 EKLER EK - 3: SİSTEM RİSK DEĞERLENDİRME FORMU Kurum Adı: Sistem Adı: Risk Faktörleri Parametreler Puan Ağırlık Risk Önemlilik (36%) Sistemin kurumun mali tallarına Çk yüksek 4 lan etkisi Yüksek 3 Orta 2 20 Düşük 1 Sistemin kurum mali işlemlerinin Çk yüksek 4 yürütülmesi ve kaynakların Yüksek 3 yönetilmesindeki rlü Orta 2 20 Düşük 1 Sistemin Kurumun misynu ve ana Çk yüksek 4 faaliyetleriyle ilişkisi(bunlar Yüksek 3 açısından taşıdığı önem, rl) Orta 2 15 Düşük 1 Sistemin ilgili lduğu faaliyetin Tüm ülkeyi ilgilendiriyr 4 etkisi Birden çk kurumu ilgilendiriyr 3 Kurumun tamamını ilgilendiriyr 2 15 Sadece birkaç birimi etkiliyr 1 Sistemdeki hataların yl açabileceği Çk yüksek 4 muhtemel mali kayıplar Yüksek 3 Orta 2 20 Düşük 1 Tplam: 90 Maksimum Risk Puanı: 360 Kritiklik Düzeyi (20%) Sistemin kritiklik derecesi (hizmet 4 saatten az 4 kesintisi lduğunda tlere 4-24 saat arası 3 edilebilecek zaman) 1-3 gün günden fazla 1 Sistemin bilgi varlıklarının gizliliği Çk yüksek 4 yönünden değeri Yüksek 3 Orta 2 9 Düşük 1 Sistemin bilgi varlıklarının Çk yüksek 4 bütünlüğü yönünden değeri Yüksek 3 Orta 2 9 Düşük 1 134

142 Sistemin bilgi varlıklarının Çk yüksek 4 kullanılabilirliği yönünden değeri Yüksek 3 9 Orta 2 Düşük 1 Sistemin mali değeri Çk yüksek 4 Yüksek 3 5 Orta 2 Düşük 1 Sistemdeki muhtemel bir hatanın Çk yüksek 4 ülke kmuyuna etkisi ve kurumun Yüksek 3 prestij kaybı 5 Orta 2 Düşük 1 Sistemin üçüncü kişiler üzerindeki Çk yüksek 4 etkisi Yüksek 3 4 Orta 2 Düşük 1 Tplam: 50 Maksimum Risk Puanı: 200 Karmaşıklık (16%) Kullanıcı sayısı den çk arası arası den az 1 Destek persnelinin sayısı Hiç yk arası 2 3 ten çk 1 Sistemin işlem nktası sayısı işlem nktasından çk işlem nktasından az 1 İşlem hacmi (yıllık) 10 milyndan çk milyndan az 1 Diğer sistemlerle yapılan günlük 10 dan çk ten az arası işlem nktası 5-10 milyn arası bağlantı sayısı arası arası işlem nktası 1-5 milyn arası arası 2 Ana dsyalardaki değişim (brçlular, alacaklılar vs) İşlem sayısı yüksek, işlem miktarı yüksek İşlem sayısı yüksek, işlem miktarı düşük İşlem sayısı düşük, işlem miktarı yüksek İşlem sayısı düşük, işlem miktarı düşük

143 EKLER Sisteme internet üzerinden ve uzaktan erişen kitlenin büyüklüğü (günlük) 1000 den fazla dan az 1 Tplam: 40 Maksimum Risk Puanı: 160 Teknljik Altyapı (16%) Yazılımın türü 3. taraflarca kurum için geliştirilmiş 4 Dışarıdan destek alınarak kurumda 3 geliştirilmiş Kurum içinde geliştirilmiş 2 Paket prgram 1 Prgramlama dili Eski ve destek alınması güç 4 Güncel ve klay destek alınabiliyr 1 Veritabanı CC sertifikalı lmayan veritabanı 4 CC sertifikalı bilinen veritabanı 1 İşletim sistemi PC/Windws 4 Mid-range (Unix, Linux) 3 Mainframe 1 Sisteme erişim durumu İnternet 4 Diğer uzaktan erişim (İnternet hariç) 3 Intranet 2 Sisteme bağlı larak çalışan dnanım sayısının kurumdaki (aynı kategrideki) tplam dnanım sayısına ranı Ağ erişimi yk 1 % 40 ve üzeri 4 %25 - % 40 arası 3 %10 - % %10'un altında 1 Tplam: 40 Maksimum Risk Puanı: 160 Kntrl Çevresi 12% Sistem yöneticilerinin ve Çk yüksek 4 persnelinin bilgi-beceri düzeyi ve Yüksek 3 iş tecrübesi, bunların görev 5 Orta 2 tanımlarına uygunluğu Düşük 1 Sistemin çalışması için extra eğitim gerekip gerekmediği ve eğitimli persnel sayısı Sisteme erişim, yedekleme ve kurtarma prsedürlerinin bulunup bulunmadığı ve bunlara uyulup uyulmadığı Sisteme ilişkin prsedürlerin belgelenmesi Tam bağımlılk söz knusu 4 Sınırlı sayıda ve bağımlılık var 3 Sınırlı sayıda 2 Yeterli 1 Yk 4 Var fakat uygulanmıyr 3 Var fakat iyi uygulanmıyr 2 Var ve uygulanıyr 1 %50'den az 4 % % %90'dan fazla

144 Sistemde yapılan veya yapılması planlanan yıllık değişikliklerin sayısı 60 tan çk arası arası 2 10 dan az 1 Yıllık karşılaşılan prblem sayısı 100 den çk arası arası 2 30 dan az 1 Önceden yapılan denetim sayısı Daha önce hiç denetim yapılmamış 4 Sn üç yıl içinde bazı incelemeler 3 yapılmış Önceki yıl incelenmiş 1 Tplam: 30 Maksimum Risk Puanı: 120 Genel risk puanı:

145 EKLER EK - 4: RİSK DEĞERLENDİRME MATRİSİ Kurum Adı: Sistem Adı: RİSK DEĞERLENDİRME MATRİSİ maksimum Tplam risk Uygulama sisteminin risk puanlarına göre risk derecesi Risk alanı risk puanı puanı yüksek rta düşük 1 Önemlilik Kritiklik teknik altyapı karmaşıklık kntrl çevresi Genel

146 EK - 5: RİSK DERECELENDİRME FORMU Kurum Adı: Sistemin Adı Tplam risk puanı Risk Derecesi 139

147 EKLER EK - 6: BULGU/RİSK DEĞERLENDİRME MATRİSİ BULGU/ RİSK DEĞERLENDİRME MATRİSİ GERÇEKLEŞME OLASILIĞI SIKLIKLA ARASIRA SEYREK ÇOK ZOR ETKİ DÜZEYİ ÇOK YÜKSEK YÜKSEK ORTA DÜŞÜK ÇOK YÜKSEK RİSK: YÜKSEK RİSK: ORTA RİSK: Derhal önlem alınmazsa kurum varlıklarında telafisi güç kayıplara sebebiyet verebilecek belirgin kntrl zayıflıkları veya eksiklikleri var. Kesinlikle kabul edilemiyecek bir risk düzeyidir ve ivedili larak gerekli tedbirler alınmalıdır. Önemli bir kntrl zayıflığı ya da eksikliği görülmekte ve makul bir süre içerisinde önlem alınmasını gerektirmektedir. İstenmeyen bir risk düzeyi ve kurum tarafından mevcut riskler değerlendirilerek gerekli tedbirler alınmalıdır. Kurum tarafından tekrar değerlendirmesi gereken bir risk düzeyi. Kurum risk değerlendirmesi çerçevesinde kabul edilebilecek bir risk düzeyi. Sistemde belirli kntrl zayıflıkları lmakla birlikte etkisi derhal önlem almayı gerektirmeyebilir, ancak uzun dönemde bu zayıflıkların giderilmesi gerekir. DÜŞÜK RİSK: Kabul edilebilir risk seviyesi. 140

148 EK -7: BULGU DEĞERLENDİRME FORMU BULGU DEĞERLENDİRME FORMU Kurum/Sistem Adı : Kntrl Alanı : Bulgu N : Ref: Bulgu : Kntrl Hedefi : Etki : Risk Düzeyi : Öneri : Kurum Cevabı : 141

149 EK - 8: BULGU ÖZET TABLOSU FORMU BULGU ÖZET TABLOSU Kurum/Sistem Adı: Kntrl Alanı Bulgu Bulgu sayısı Risk düzeyine göre bulgu sayısı çk yüksek yüksek rta düşük Mali tablları dğrudan etkileyebilecek veya mali kayba yl açabilecek bulgu sayısı I. GENEL KONTROLLER 1 Yönetim Kntrlleri 1.1 Stratejik planlama 1.2 Güvenlik Plitikaları 1.3 Organizasyn 1.4 Varlık Yönetimi 1.5 Persnel ve Eğitim Plitikaları 1.6 Uygunluk 2 Fiziksel ve Çevresel Kntrller 2.1 Fiziksel Kntrller 2.2 Çevresel Kntrller 3 Ağ Yönetimi ve Güvenliği Kntrlleri 4 Mantıksal Erişim Kntrlleri 4.1 Mantıksal Erişim Plitikaları 4.2 İşletim Sistemi Erişim Kntrlleri 4.3 Uygulama Prgramlarına Erişim Kntrlleri 5 İşletim Kntrlleri 5.1 İşletim Sistemi ve Bilgisayar İşlemleri Kntrlleri 5.2 Veri Tabanı Güvenlik Kntrlleri 142

150 6 Sistem Geliştirme ve Değişim Yönetimi Kntrlleri 6.1 Sistem Geliştirme Kntrlleri 6.2 Değişim Yönetimi (Kurulum ve Kabul) Kntrlleri 7 Acil Durum ve İş Sürekliliği Planlaması Kntrlleri II. UYGULAMA KONTROLLERİ 1 Girdi Kntrlleri 2 Veri Transfer Kntrlleri 3 İşlem Kntrlleri 4 Çıktı Kntrlleri 143

151 EK - 9: BİLİŞİM SİSTEMLERİ DENETİMİ KALİTE KONTROL FORMU Denetlenen Kurum veya Sistem : Denetimin Yapıldığı Tarih : Denetim Ekip Yöneticisi : Denetim Ekibinde Görevli Denetçiler : Denetim Kalite Kntrlünü Yapan Denetçi : Denetim Kalite Kntrlü Başlangıç ve Bitiş Tarihi : A Denetimin Planlanması Değerlendirme A1 A2 A3 Kurum Bilişim Sistemlerinin Tanınması Kurum hakkında genel bilgiler edinilmiş mi? (Ana faaliyetler, Tplam varlıklar, BS varlıklarının tplam değeri, Yıllık BS bütçesi vb.) Bilişim sistemlerine ilişkin yeterli bilgi tplanmış mı? (Bilişim Sistemleri Bilgi Edinme Frmu dldurulmuş mu?) Kurum yetkilileriyle görüşülmüş mü? Kurumsal yapı ve bilişim sistemi persneli hakkında bilgi edinilmiş mi? (Organizasyn şeması, sistem murga şeması, bilişim sistemleri yöneticisi ve kime karşı srumlu lduğu ve diğer bilişim sistemi persneli) İşletim sistemi hakkında teknik bilgiler elde edilmiş mi? (dnanım, yazılım, uygulama prgramları) Hazırlanmış iş akış şemaları elde edilmiş mi? Ağ yapısı ve ağ hizmetlerine ilişkin teknik bilgiler tplanmış mı? Kurum bilişim sistemlerini etkileyebilecek her türlü düzenlemeye ilişkin dkümanlar tplanmış mı? Önceki Dönem Denetim Raprları Önceki dönem denetim raprlarından bilgi edinilmiş mi? (Bilişim Sistemleri denetim raprları, Mali denetim raprları, Perfrmans denetimi raprları, iç denetim raprları vb.) Kurum iş süreçlerinin belirlenmesi Kurumun gerçekleştirdiği işler dikkate alınarak iş süreçleri belirlenmiş mi? İş akış şemaları çıkartılmış mı? 144

152 İş akış şemaları yapılan işlerin her bir aşamasını gösterecek ayrıntıda düzenlenmiş mi? İş akış şemaları yapılan işin kurumun hangi birimi tarafından ve hangi sistem kullanılarak yapıldığını gösterecek şekilde düzenlenmiş mi? A4 A5 A6 A7 A8 A9 A10 B B1 Bilişim rtamında yapılan işlerin belirlenmesi Kurumun yaptığı işlerin hangilerinin bilişim rtamında gerçekleştirildiği belirlenmiş mi? Bilişim rtamında gerçekleştirilen işler için kullanılan prgramlar hakkında genel bilgi elde edilmiş mi? (kullanılan dnanım, dnanımın bulunduğu yer, kullanıcı sayısı, sistem srumlusu, ) Mali Tablları Etkileyen Sistemlerin Belirlenmesi Bilişim rtamında gerçekleştirilen işlerden hangilerinin çıktılarının muhasebe sistemine aktarıldığı ve hangi hesap alanlarını etkilediği belirlenmiş mi? (Bilişim Sisteminden Etkilenen Hesap Alanlarının Belirlenmesi Frmu dldurulmuş mu?) Sistem risk değerlendirmesinin yapılması Bilişim rtamında gerçekleştirilen işlerden hesap alanlarını etkileyen sistemlerin riskleri değerlendirilmiş mi? (Her bir sistem için Sistem Risk Değerlendirme Frmu dldurulmuş mu?) Risk Derecelendirmesinin Yapılması Sistemlerin risk değerlendirmesine göre önceliklendirme sıralaması yapılmış mı? (Risk Derecelendirme Frmu dldurulmuş mu?) Diğer Denetim Ekipleriyle İşbirliği Bilişim Sistemleri denetiminin planlanması mali denetim ekibiyle birlikte çalışılarak krdineli şekilde yapılmış mı? Denetim Stratejisinin luşturulması Yazılı bir Denetim Strateji Belgesi luşturulmuş mu? (denetimin amacı, kapsamı, denetim yaklaşımını belirlemeye yönelik yapılan çalışmalar, izlenecek denetim süreci ve buna ilişkin çalışma prgramı) Denetim Stratejisi kurum yönetimiyle paylaşılmış mı? Denetin Prgramının Hazırlanması Denetim stratejisinde belirlenmiş inceleme alanları dikkate alınarak denetim prgramları düzenlenmiş mi? Sistem Kntrllerinin Değerlendirilmesi Sistem Kntrllerinin Değerlendirilmesi Her bir kntrl alanlarına ilişkin belirlenmiş kntrller alana ilişkin denetim prgramına uygun şekilde değerlendirilmiş mi? Kntrl değerlendirmelerine ilişkin kullanılan yöntemler ve kntrllerin varlığına ve etkinliğine ilişkin bulgular çalışma kağıtlarına nt edilmiş mi? 145

153 EKLER B2 B3 C C1 C2 C3 Yapılan İncelemelerin Yönetimi ve Belgelenmesi Tamamlanan denetim prgramına ilişkin frmlar ve çalışma kağıtları uygun şekilde numaralandırılarak dsyalanmış mı? Yapılan çalışmalar ekip yöneticisi tarafından kntrl edilmiş mi? Bulguların Gözden Geçirilmesi Elde edilen bulguları destekleyecek yeterli ve uygun kanıtlar tplanmış mı? Bulgular, lası etkileri, denetçi önerileri ve risk düzeyini de içerecek şekilde değerlendirilmiş mi? (Bulgu Değerlendirme Frmları dldurulmuş mu?) Elde edilen bulgular kurum persneliyle kapanış tplantıları yapılarak dayanakları açısından hata yapılıp yapılmadığı, yazım üslubu ve önemliliği açısından değerlendirilmiş mi? Denetim Snuçlarının Raprlanması Taslak Raprun Hazırlanması Yapılan inceleme snuçlarına göre taslak rapr hazırlanmış mı? Taslak rapr, Bilişim Sistemleri Denetim Rehberinde belirtilen frmata uygun şekilde hazırlanmış mı? Denetim bulguları, meydana getireceği etkileri ve bunları karşılamaya yönelik denetçi önerilerini de içerecek şekilde taslak raprda yer almış mı? Taslak raprun snuç bölümü, elde edilen bulgular ışığında kurum bilişim sistemlerinin güvelik ve güvenilirliğine ilişkin denetçi görüşlerini içeriyr mu? Taslak Raprun Kurumla Görüşülmesi Sn şekli verilmeden önce hazırlanan taslak rapr kurumla paylaşılmış mı? Rapra ilişkin kurum görüşleri alınmış mı? Nihai Raprun Yazılması Kurum tarafından düzeltilmesi kabul edilen ve rapr hazırlandığı ana kadar yapılan düzeltme çalışmalarına da yer verecek şekilde nihai rapr yazılmış mı? 146

154 Genel Değerlendirme Denetim çalışması ile ilgili larak eksik bulunan veya geliştirilmesi gerekli görülen hususlar Tespit edilen iyi uygulama örnekleri Snuç Denetimin kalite kntrlüne ilişkin değerlendirme, denetimin planlanması, yürütülmesi ve snuçlarının raprlanmasına ilişkin süreçlere uygun larak yapılmalıdır ve snuçları aşağıdaki şekilde sınıflandırılmalıdır. A Denetim, tüm yönleri ile Sayıştay Bilişim Sistemleri Denetim Rehberi ve uluslararası standartlara uygun larak yürütülmüştür. B Denetim, önemli ölçüde Sayıştay Bilişim Sistemleri Denetim Rehberi ve uluslararası standartlara uygun lmakla beraber kalitesinin artırılması gerekli alanlar bulunmaktadır. C Denetim, Sayıştay Bilişim Sistemleri Denetim Rehberi ve uluslar arası standartlara uygun larak yürütülmemiş ve denetim görüşünü etkileyecek derecede eksik yerine getirilmiştir. Nihai Değerlendirme A B C Değerlendirmenin gerekçeleri: Kalite Kntrlünü yapan denetçinin İmzası Tarih Nt: Denetimin kalite kntrlünü yapan denetçi, kurumun bilişim sistemlerinin güvenlik ve güvenilirliği ile ilgili larak verilen denetim görüşünün dğruluğundan, verilen denetim görüşünü destekleyen yeterli ve uygun denetim kanıtı tplandığından ve gerçekleştirilen denetimin uluslararası denetim standartlarına ve Sayıştay uygulamalarına uygun lduğundan emin lmalıdır. Kalite kntrlü yapan denetçi değerlendirmelerinin dayanaklarını özetlemeli ve imzalamalıdır. Değerlendirme snucunda elde edilen iyi uygulama örnekleri ve eksik bulunan alanların geliştirilmesi için yapılan öneriler, ileride yapılacak denetimlerin kalitesini artırmak için detaylı bir şekilde kayıt edilmelidir 147

155 EK 10: BİLİŞİM SİSTEMLERİ DENETİMİ İZLEME TABLOSU FORMU Denetlenen Kurum veya Sistemin Adı Denetim Tarihi Denetim Ekip Yöneticisi ve Görevli Denetçiler Kntrl Alanı Bulgu Risk Düzeyi Çözüm Taahhüt Edilen Tarih I. İzleme II. İzleme 148

156 EKLER EK - 11: DENETİM PROGRAMI FORMU Kurum/Sistem Adı: İncelenen Kntrl Alanı: Olması Gereken Kntrller Kntrl Değerlendirme Sruları Bulgular (E/H) Ref. Kntrl Etkinliğini Belgeleme ve İnceleme Yöntemi Bulgular Ref. 149

157 EKLER EK - 12: KONTROL SETİ FORMU Kurum/Sistem Adı: İncelenen Kntrl Alanı: Olması Gereken Kntrller Kntrl Değerlendirme Sruları Cevaplar İstenen Kanıtlayıcı Belgeler 150

158

159 T.C. Sayıştay Başkanlığı Balgat/ANKARA