BİLİŞİM SİSTEMLERİ DENETİMİ REHBERİ

Transkript

1 BİLİŞİM SİSTEMLERİ DENETİMİ REHBERİ Haziran 2013 ANKARA

2 BİLİŞİM SİSTEMLERİ DENETİMİ REHBERİ Haziran 2013 ANKARA

3 BELGE ADI: SDR.4, Bilişim Sistemleri Denetimi Rehberi VERSİYON NO: 2013/1 VERSİYON TARİHİ Haziran 2013 Bilişim Sistemleri Denetimi Rehberi, Denetim Planlama ve Krdinasyn Kurulunun tarih ve 2013/15 sayılı tplantısında görüşülerek kabul edilmiş ve tarihinde Sayıştay Başkanı tarafından naylanarak yürürlüğe girmiştir.

4 SUNUŞ tarihinde yürürlüğe giren 6085 sayılı Sayıştay Kanunu ve bu Kanun dğrultusunda hazırlanan ikincil mevzuat ile birlikte Sayıştay ın denetim alanı genişlemiş ve denetim usullerinde de önemli değişimler yaşanmıştır. Özellikle sn yıllarda denetim kapsamındaki kurumların bilgi teknljilerinden ve bu teknljilerin sunduğu imkânlardan yararlanmak amacıyla başta mali işlemler lmak üzere her alanda giderek daha yaygın bir şekilde bilişim sistemlerini kullanmaları Sayıştay denetiminin, bu alanı da kapsayacak şekilde yeniden yapılandırılmasını sağlamıştır. Bilişim sistemlerinin kamu mali yönetiminde kullanılmasında yaşanan gelişmelere paralel larak, Başkanlığımız da Bilişim Sistemlerinin Denetimi (BSD) alanında birtakım çalışmalarda bulunmuştur. Bu kapsamda; yılları arasında İngiltere Sayıştayı ile gerçekleştirilen Sayıştay Denetim Kapasitesinin Güçlendirilmesi Eşleştirme Prjesi kapsamında bir ekip luşturularak İngiltere Sayıştayı uzmanlarından Bilişim Sistemleri Denetimi knusunda eğitimler alınmıştır. Bu çalışmalar snucu luşturulan Taslak Bilişim Sistemleri Denetim Rehberi ile Mali Denetim Rehberinin bilişim sistemlerinin değerlendirilmesine ilişkin bölümleri hazırlanmış ve iki kurumda yapılan pilt denetim çalışmalarıyla test edilmiştir. Hazırlanan rehberin etkili lması ve bilişim sistemlerinin denetimi knusunda kapasite geliştirilmesi için Sayıştay Başkanlığı ile Türkiye Bilimsel ve Teknljik Araştırma Kurumu arasında, bilişim sistemleri denetimi, eğitimi, rehber ve yazılım geliştirilmesini de içeren işbirliği prtklü tarihinde imzalanmıştır. Bu prtkl kapsamında; TÜBİTAK UEKAE uzmanlarından teknik knularda eğitim alınmış ve BSD Rehberinin güncellenmesi çalışması tamamlanmış ve bu rehberin rtaya çıkarılması sağlanmıştır. Bu rehber ve uygulamalarının Sayıştayın incelediği sistemlere ilişkin duyduğu bilgi güvenliği ve güvenirliliğine ilişkin güvence elde etme ihtiyacını daha iyi karşılaması ve denetlenen kurumların sistemlerinin geliştirilmesi için kurumlara daha fazla katkı sağlamasını dilerim. Bu vesile ile rehberin hazırlanmasında emeği geçen herkese teşekkür eder, tüm kullanıcılara faydalı lması dileğiyle saygılar sunarım. Dç. Dr. Recai AKYEL Sayıştay Başkanı 3

5

6 İÇİNDEKİLER GIRIŞ VE GENEL METODOLOJI... 1 GIRIŞ... 1 GENEL METODOLOJI... 1 BIRINCI BÖLÜM - DENETIMIN PLANLANMASI BILIŞIM SISTEMLERININ ANLAŞILMASI SISTEM RISK DEĞERLENDIRMESININ YAPILMASI DENETIM KAPSAMININ BELIRLENMESI UZMAN İHTIYACININ BELIRLENMESI DENETIM STRATEJISININ OLUŞTURULMASI DENETIM PROGRAMININ HAZIRLANMASI... 8 İKINCI BÖLÜM - SISTEM KONTROLLERININ DEĞERLENDIRILMESI GENEL KONTROLLERIN DEĞERLENDIRILMESI Yönetim Kntrlleri Stratejik planlama Güvenlik Plitikaları Organizasyn Varlık Yönetimi Persnel ve Eğitim Plitikaları Uygunluk Fiziksel ve Çevresel Kntrller Ağ Yönetimi ve Güvenliği Kntrlleri Mantıksal Erişim Kntrlleri Mantıksal Erişim Plitikaları İşletim Sistemi Erişim Kntrlleri Uygulama Prgramlarına Erişim Kntrlleri İşletim Kntrlleri İşletim Sistemi ve Bilgisayar İşlemleri Kntrlleri Veri Tabanı Güvenlik Kntrlleri Sistem Geliştirme ve Değişim Yönetimi Kntrlleri Sistem Geliştirme Kntrlleri Değişim Yönetimi (Kurulum ve Kabul) Kntrlleri Acil Durum ve İş Sürekliliği Planlaması Kntrlleri UYGULAMA KONTROLLERININ DEĞERLENDIRILMESI Girdi Kntrlleri Veri Transfer Kntrlleri İşlem Kntrlleri Çıktı Kntrlleri ÜÇÜNCÜ BÖLÜM - DENETIM SONUÇLARININ RAPORLANMASI VE İZLENMESI TASLAK RAPORUN HAZIRLANMASI TASLAK RAPORUN KURUMLA GÖRÜŞÜLMESI NIHAI RAPORUN YAZILMASI RAPORUN İLGILILERE SUNULMASI SONUÇLARIN İZLENMESI VE KALITE KONTROLÜ

7 EKLER EK - 1: BILIŞIM SISTEMLERI BILGI EDINME FORMU EK - 2: BILIŞIM SISTEMLERINDEN ETKILENEN HESAP ALANLARININ BELIRLENMESI FORMU EK - 3: SISTEM RISK DEĞERLENDIRME FORMU EK - 4: RISK DEĞERLENDIRME MATRISI EK - 5: RISK DERECELENDIRME FORMU EK - 6: BULGU/RISK DEĞERLENDIRME MATRISI EK -7: BULGU DEĞERLENDIRME FORMU EK - 8: BULGU ÖZET TABLOSU FORMU EK - 9: BILIŞIM SISTEMLERI DENETIMI KALITE KONTROL FORMU EK 10: BILIŞIM SISTEMLERI DENETIMI İZLEME TABLOSU FORMU EK - 11: DENETIM PROGRAMI FORMU EK - 12: KONTROL SETI FORMU

8 GİRİŞ VE GENEL METODOLOJİ GİRİŞ Bilgisayar teknljisi hızla gelişmekte ve bu teknljinin sunduğu imkanlardan yararlanmak amacıyla kurumlarda bilişim sistemleri, başta mali işlemler lmak üzere her alanda giderek daha yaygın bir şekilde kullanılmaktadır. Bilişim sistemlerinin kullanımı bu teknljiye özgü riskleri de beraberinde getirmektedir. Riskleri önleyecek etkin kntrl mekanizmalarının luşturulmaması durumunda sistemlerde üretilen bilginin gizliliği, bütünlüğü ve kullanılabilirliği, dlayısıyla bu bilgiyi işleyen, tutan ve raprlayan sistemlerin güvenliği ve güvenilirliği zarar görebilmektedir. Bu nedenle, bu teknljilerin yğun kullanıldığı rtamlarda yürütülecek denetimler sırasında bu risklerin etkilerini dikkate alan yaklaşım, mett ve tekniklerin benimsenmesi gerekmektedir. Nitekim, Uluslararası Sayıştaylar Birliği (INTOSAI) denetim standartlarına göre, muhasebe veya diğer bilgi sistemlerinin bilgisayarlaştırıldığı rtamlarda denetçi, denetlenen kurumun verilerinin dğruluk, tamlık (bütünlük) ve güvenilirliğini sağlayan iç kntrllerin uygun çalışıp çalışmadığını belirlemelidir. Bilgi Sistemleri Denetim ve Kntrl Birliği (ISACA) tarafından kabul gören tanıma göre, Bilişim Sistemleri Denetimi; bir bilgisayar (veya bilgi) sisteminin varlıkları güvence altına alıp almadığı, veri bütünlüğünü sağlayıp sağlamadığı, kurumsal amaçlara etkin biçimde ulaşıp ulaşmadığı ve kaynakları verimli bir şekilde kullanıp kullanmadığını belirlemek amacıyla yapılan kanıt tplama ve değerlendirme sürecidir. Mali denetim açısından bilişim sistemleri denetiminin amacı, denetlenen kurumlarda kullanılan bilişim sistemlerinin işlem ve uygulamalarının güvenlik ve güvenilirliğini sağlayan iç kntrlleri incelemek ve değerlendirmektir. Bu rehber kapsamında yapılan bilişim sistemleri denetimi, mali denetim sürecine destek vermeyi, sistemlerin kntrl zayıflıklarının belirlenmesi ve öneriler sunulması ylu ile kuruma katkı sağlamayı ve bilgi sistemleri knusunda kamuyuna ve parlamentya bilgi sunmayı amaçlamaktadır. GENEL METODOLOJİ Bu rehber, denetçilere bilişim sistemleri denetiminin nasıl planlanacağı, yürütüleceği ve raprlanacağı knusunda yl göstermek amacıyla hazırlanmıştır. Rehberin hazırlanmasında, başta Bilgi Güvenliği Standartları (ISO 17799, ISO ) lmak üzere INTOSAI rehber ve standartları, ISACA rehberleri ile diğer ülke ve ilgili kuruluş rehberlerinden yararlanılmıştır. 1

9 DENETİMİN PLANLANMASI Rehber, bilişim sistemleri denetimi knusunda uzmanlaşmış denetçiler tarafından kullanılacağı ve nların da bilişim sistemleri denetimine ilişkin kavramlar knusunda belli düzeyde bilgiye sahip ldukları varsayımı ile hazırlandığından, kavramsal açıklamalara mümkün lduğunca yer verilmemiştir. Bilişim sistemleri denetimi, denetlenmek istenen her tür bilgi sisteminde yapılabilir. Ancak bu rehber Sayıştay ihtiyaçları da göz önünde bulundurularak mali nitelikteki sistemlerde denetim yapılacağı varsayılarak hazırlanmıştır. Mali nitelikte lmayan bir sistemin denetimine ihtiyaç duyulması durumunda, rehberin mali nitelikteki sistemlerin belirlenmesine ilişkin hususları dışarıda bırakılarak rehberin diğer kısımları kullanılabilir. Bilişim sistemleri denetimi, bir kurumun bilişim sistemlerinin tamamında yürütülebileceği gibi sadece yüksek riskli larak görülen sistemler veya kntrl alanlarında da yürütülebilir. Bu durumda denetlenecek sistem veya kntrl alanları, risk değerlendirmesi yluyla belirlenir. Bu rehberde, bilişim sistemleri denetimi, bir kurumun tüm sistemlerinin değerlendirilmesine imkan sağlayacak şekilde ele alınmıştır. Rehberde, denetçinin adım adım hangi işleri nasıl yapacağını gösteren süreç daklı bir yaklaşım benimsenmiş ve ağırlıklı larak kntrl alanları bazında sistem kntrllerinin nasıl değerlendirileceği düzenlenmiştir. Bu rehberin hazırlanmasında, Sayıştay ihtiyaçları göz önünde bulundurularak bilgi sistemlerinin güvenlik ve güvenilirliklerinin değerlendirilmesi hususlarına ağırlık verilmiş, sistemlerin verimlilik, etkinlik ve tutumluluklarının değerlendirilmesine daha az yer verilmiştir. Rehberde yer alan kntrl alanları ve buna bağlı kntrller teknljinin hızlı değişimine paralel larak değişkendir. Yapılacak denetimler esnasında bu alanlardaki değişikliklere uygun larak Denetim Prgramları ile Kntrl Setleri nin değişeceği unutulmamalıdır. Ayrıca, yapılacak denetimin amacına göre verimlilik, etkinlik ve tutumluluğu değerlendirmeye ilişkin larak ihtiyaç duyulan kntrller, prgram ve setlere ilave edilebilir. Bilişim sistemleri denetimi yürütülürken risk tabanlı denetim yaklaşımına uygun larak şu genel çerçeve izlenir; öncelikle incelenen bilişim sisteminden kaynaklanabilecek riskler belirlenir, bu riskleri minimize edecek kntrl mekanizmaları belirlenir, bu kntrl mekanizmalarının kurumun yapısı göz önünde tutularak luşturulup luşturulmadığı, luşturulmuş ise etkin çalışıp çalışmadığı incelenir, inceleme snrası, iç kntrllerdeki zayıflıklar değerlendirilir ve elde edilen bulgular belli bir prsedüre göre raprlanır. Bu çerçevede rehber üç ana bölümden luşturulmuştur: Denetimin Planlanması başlıklı birinci bölümde, bilişim sistemleri denetiminin planlanması sırasında denetçinin yapacağı işler sistematik bir şekilde anlatılmaktadır. Bu işler, kurumun ve kurum bilişim sistemlerinin anlaşılması, sistem risk değerlendirmelerinin yapılması, denetim kapsamının ve uzman ihtiyacının belirlenmesi, denetim stratejisinin luşturulması ve denetim prgramlarının hazırlanmasından luşmaktadır. Sistem Kntrllerinin Değerlendirilmesi başlıklı ikinci bölümde, kntrl değerlendirmeleri kntrl alanı bazında ele alınmaktadır. Her bir kntrl alanı için, kntrl hedefi, alana ilişkin riskler ve bu riskleri minimize edecek kntrl faaliyetleri açıklanacak şekilde düzenlenmiş ve alandaki kntrllerin varlığı ve etkinliğinin nasıl değerlendirileceği gösterilmiştir. Denetim snuçlarının raprlanması ve izlenmesini knu alan üçüncü bölümde ise, taslak raprun hazırlanması, kurum yöneticileriyle görüşme ve nihai raprun yazılması ve ilgili birimlere sunulması knuları açıklanmaktadır. Ayrıca raprda düzeltilmesi istenen hususların nasıl izleneceği ve denetim kalite kntrlünün nasıl yapılacağı knuları üzerinde durulmaktadır. 2

10 BİRİNCİ BÖLÜM DENETİMİN PLANLANMASI Denetim faaliyeti, denetimin planlanmasıyla başlar. Planlama, iyi bir denetimin anahtar unsuru lup, denetim süresince takip edilecek yl gösterici bir süreçtir. Planlama, denetçinin, denetlenen kurumun bilişim sistemlerine ilişkin kntrlleri değerlendirmek için denetim kanıtı tplamanın etkin ve verimli mettlarını belirlemesine imkan verir. Planlama süreci, kurumun ve bilişim sistemlerinin tanınması, sistem risk değerlendirmesinin yapılması, denetim kapsam, yöntem ve stratejisinin luşturulması, uzman kullanımı ihtiyacının belirlenmesi ve denetim prgramlarının hazırlanmasından luşur. 1.1 BİLİŞİM SİSTEMLERİNİN ANLAŞILMASI Denetçi denetlediği kurumun, mali raprlama ve iş yönetim süreci içerisinde kullanılan bilişim sistemi ve ana faaliyetleri hakkında yeterli düzeyde bilgi sahibi lmalıdır. Kurumun tanınması ve bilişim sisteminin anlaşılması için denetçi öncelikle kurum ve bilişim sistemi ile ilgili larak her türlü kaynaktan yararlanmak suretiyle bilgi tplamalıdır. Kurum ve bilişim sistemini tanımaya yönelik larak aşağıdaki faaliyetler yürütülmelidir: Bilişim Sistemlerini Oluşturan Unsurların Tanınması Bilişim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar dnanımı, yazılımı ile kaynak paylaşımını gerçekleştirmek için bilgisayarları birbirine bağlayan ağlar ve nları kullanan insanlardan luşur. Bir sistemi anlamak için nu luşturan unsurların tanınması gerekir. Bunun için kurum bilişim sistemlerinin dnanım yapısı, kullanılan yazılımlar ve ağ yapısı incelenmeli sistemi işleten ve kullanan persnel ile sisteme veri giriş yöntemleri knusunda bilgi edinilmelidir. Bu kapsamda hazırlanan Bilişim Sistemleri Bilgi Edinme Frmu (Ek-1) bu amaçla kullanılır. Denetlenen Kuruma İlişkin Temel Düzenlemelerin Belirlenmesi Kurumun uyması gereken ve kurum bilişim sistemini etkileyebilecek lan her türlü düzenleme belirlenmeli ve incelenmek üzere nt edilmelidir. Bunlar arasında kurumla ilgili mevzuat, stratejik planlar, yıllık prgramlar, faaliyet raprları ve bütçeler sayılabilir. Önceki Dönem Denetim Raprlarından Bilgi Tplanması Önceki dönemlerde yazılmış bağımsız bilişim sistemi denetim raprları, mali denetim raprları, mali denetim sürecinde hazırlanan denetim dsyaları ve iç denetim raprları incelenerek hem kurum bilişim sistemi hem de bilişim sistemine ilişkin kntrl faaliyetleri hakkında bilgi tplanmalıdır. Kurumda daha önce Sayıştay tarafından bilişim sistemleri denetimi yapılmış ise bu denetim snucunda hazırlanmış lan İzleme Tablları elde edilir ve değerlendirilir. Kurum İş Süreçlerinin Belirlenmesi 3

11 DENETİMİN PLANLANMASI İş akış şemaları, iş süreçlerinde; süreç adımlarının, tmatik/manuel kntrllerin, sürecin özel durumlarını da gösteren alternatif akış yllarının, paralel işleyen adımların gösterildiği diyagramlardır. Denetçinin, bilişim sistemlerindeki veri işleme süreçlerini anlayabilmesi için; kurumun faaliyet gösterdiği alanları, gerçekleştirdiği işleri ve iş akışlarını tanıması gerekir. Bunun için denetçi, kurumun hazırladığı iş akış şemalarından yararlanır. İş akış şemaları mevcut değilse, denetçi bu şemaların hazırlanmasını talep eder ve hazırlık sürecine refakat eder. Gerekiyrsa denetçi, iş akış şemalarını bizzat kendisi çıkararak kurumun iş süreçlerini belirler. Bu belgeler denetimin yürütülmesi için ihtiyaç duyulacak temel kaynaklardandır. İş akış şemaları, yapılan işlerin her bir aşamasını gösterecek ayrıntıda lmalıdır. Bu şemalar luşturulurken, bunların anlaşılır lmasına, farklı akış yllarının gösterilmesine ve gerekli yerlerde referansların belirtilmesine özen gösterilmelidir. Ayrıca iş akış şemalarında, yapılan işin kurumun hangi birimi tarafından ve hangi sistem kullanılarak yapıldığı da görülebilmelidir. Şemalarda süreçlerin hangilerinin manuel, hangilerinin bilişim rtamında yürütüldüğü gösterilmelidir. Denetçi, kurum iş akışlarını incelerken, iş süreçlerinde luşturulmuş kntrlleri belirleyerek daha snra sistem kntrllerini incelerken kullanmak üzere nt etmelidir. İş akış şemalarının mevcut lmaması denetim sürecini geciktirebileceğinden, kurumdan mümkün lduğu kadar erken bir safhada talep edilmelidir. Bilişim Ortamında Gerçekleştirilen İşlerin Belirlenmesi Kurum iş süreçleri belirlendikten snra kurum tarafından yürütülen işlerden hangilerinin bilişim rtamında gerçekleştirildiği belirlenmelidir. Ayrıca muhasebeyi ve hesap alanlarını etkileyen sistemlerin de belirlenmesi gerekir. Bu amaçla, Bilişim Sistemlerinden Etkilenen Hesap Alanlarının Belirlenmesi Frmu (EK-2) kullanılmalıdır. Üçüncü Taraflarla İlişkilerin Belirlenmesi Kurumun üçüncü taraflarla, özellikle kamu kurumları ile ilişkisi tanımlanmalıdır. Bu ilişkinin iş süreçleriyle bağlantısı incelenmeli ve bilişim sistemleri bazındaki ilişki üzerinde yğunlaşılmalıdır. Servis, bakım ve destek ilişkileri genel hatlarıyla rtaya knmalı, ilgili sözleşmeler temin edilmelidir. 1.2 SİSTEM RİSK DEĞERLENDİRMESİNİN YAPILMASI Kurumun hangi işlemleri bilişim rtamında yaptığı ve bunların mali tablları ve hesap alanını etkileyip etkilemediği tespit edildikten snra, belirlenen sistemlerin risk değerlendirmesi yapılmalıdır. Denetimin planlaması aşamasında yapılacak risk değerlendirmesi, sistemler tek tek ele alınmak suretiyle ve Sistem Risk Değerlendirme Frmu (EK-3) yardımıyla yapılacaktır. Sistem Risk Değerlendirme Frmu nda risk faktörleri beş temel kriter altında tplanmış ve tplam risk içerisindeki yüzde ağırlıkları tespit edilmiştir: Önemlilik (%36) Kritiklik (%20) Karmaşıklık (%16) Teknik altyapı (%16) Kntrl çevresi (%12) Risk ağırlık yüzdelerinin kriterlere dağılımı sabittir. Ancak risk değerlendirme frmu hem bjektif hem de subjektif unsurlar içerdiğinden denetçinin bu değerlendirme frmu üzerinde 4

12 kendi muhakemesiyle, söz knusu denetime münhasır hususiyetleri dikkate alarak birtakım değişikler yapma imkanına sahiptir. Bu çerçevede, tplam ağırlık yüzdesi değişmeyecek şekilde, her bir risk faktörünün ağırlığını yeniden belirleyebileceği gibi yeni risk faktörü ekleyerek de bu ağırlıkları yeniden belirleyebilir. Risk faktörlerinin risk puanları, belirlenen puan ve ağırlıklara göre tespit edilir. Beş ayrı kriterde ve tplamda risk puanları hesaplanır ve Risk Değerlendirme Matrisi (EK-4) yardımıyla sistemin riskinin hangi kriterde yğunlaştığı tespit edilir ve tplam risk derecesi belirlenir. Bütün sistemlerin risk değerlendirmesi yapıldıktan snra, sistemler tplam risk puanları dikkate alınarak Risk Derecelendirme Frmu nda (EK-5) sıralandırılır. 1.3 DENETİM KAPSAMININ BELİRLENMESİ Risk Derecelendirme Frmu nda yapılan sıralama, hangi sistemlerin denetim kapsamına alınacağını belirlemede en önemli unsur lacaktır. Denetçi, bu bilgiler ışığında uygulanacak genel kntrllerle birlikte uygulama kntrlleri açısından hangi sistemlerin ayrıntılı incelemeye alınacağına karar verir. Denetçi, risk değerlendirmesi ile birlikte daha önce kurum ve kurum bilişim sistemlerine ilişkin elde etmiş lduğu bilgiler, denetim amacı ve inceleme yapabileceği zaman gibi unsurları da göz önüne alarak denetimin kapsamını belirler. 1.4 UZMAN İHTİYACININ BELİRLENMESİ Bilişim sistemlerinin denetiminde aşağıda belirtilen sebeplerle uzman çalıştırılmasına ihtiyaç duyulabilir: Bilişim sistemlerinin teknik ve karmaşık unsurlarının değerlendirilmesinde denetim ekibinde yeterli nitelikte denetçinin bulunmaması durumunda uzman desteği alma, Özel uzmanlık gerektiren alanlarda kurum dışı uzmanlık ve tecrübelerden yararlanma, Yeni yaklaşım ve farklı bakış açılarından yararlanma, Kurum dışında geliştirilmiş iyi uygulamaları denetimde kullanma, Denetim kanıtlarının, bulguların ve geliştirilen önerilerin ağırlık ve kalitesini arttırma, Denetim süresinin sınırlı lması durumunda denetimi zamanında tamamlama Uzman ihtiyacının belirlenme zamanı Bilişim sistemleri denetimlerinde uzman çalıştırılıp çalıştırılmayacağı, denetime başlamadan, önceki denetim tecrübelerinden yararlanarak planlanabilir. Bu durumda, uzman çalıştırılmasına ilişkin süreç zaman alabileceğinden, denetim başlamadan önce uzman çalıştırılmasına ilişkin hazırlıklar tamamlanmalıdır. Uzman çalıştırma ihtiyacı denetim başladıktan snra bilişim sistemlerinin tanınması aşamasında rtaya çıktı ise, denetim stratejisi hazırlanmadan önce uzman çalıştırılacak şekilde sürecin başlatılmasına dikkat edilmelidir. Uzman çalıştırılacak alanların kapsamının ve süresinin belirlenmesi Uzman desteğine ihtiyaç duyulması halinde, uzman desteğinin hangi alanlarda nasıl alınacağı şartnamede açıkça belirtilmelidir. 5

13 DENETİMİN PLANLANMASI Şartnamede aşağıda belirtilen hususlara yer verilmelidir: Çalışmanın amacı, kapsamı ve süresi, Özel çalışma yapılacak alanlar, Uzmanın hangi sistemlerde hangi bilgilere erişebileceği, Denetim ekibi ile uzmanın birlikte çalışma esasları ve iletişimin nasıl sağlanacağı, Denetlenen kurum ile uzman arasındaki ilişkilerin nasıl sağlanacağı, Denetlenen kurum bilgilerinin gizliliği ve uyulması gereken kurallar, Uzman tarafından kullanılacak mettlar, Uzman çalışmalarının snuçlarının nasıl raprlanacağı Uzmanda aranacak nitelikler Uzman çalıştırılırken, uzmanın çalışacağı alandaki yeterliliği değerlendirilmelidir. Uzmanın knusunda yetkin ve tecrübeli lmasına özen gösterilmelidir. Uzmanın çalıştırılacağı alanla ile ilgili uzmanlık sertifikalarının bulunup bulunmadığı ve daha önceki çalışmalarına ilişkin referansları incelenmelidir. Ayrıca uzmanın tarafsız lmasına ve denetlenen kurumla ve bu kurumla bağlantısı lan kuruluşlarla herhangi bir ticari ilişkisinin bulunmamasına dikkat edilmelidir. Uzman çalışmalarının değerlendirilmesi Denetçi, uzman tarafından yapılan çalışmaları inceleyerek çalışma snuçlarını değerlendirmelidir. Değerlendirme yapılırken aşağıdaki hususlar göz önünde bulundurulmalıdır: Çalışmanın uzman çalıştırmaya ilişkin şartnameye uygunluğu, Uzman tarafından kullanılan kaynak verilerin yeterliliği, Kullanılan mettların ve denetim kanıtlarının uygunluğu, Çalışma zamanlarının ve sürelerinin uygunluğu, Çalışma snuçlarının ve bulguların diğer çalışmalara uygunluğu, Uzman çalıştırılırken denetim sürecine göre aşağıdaki hususlara da dikkat edilmelidir. Planlama aşamasında, denetçi ile uzman, kurumu ve bilişim sistemlerini tanıma, risk değerlendirmesi yapma ve ayrıntılı çalışma alanlarının belirlenmesi çalışmalarını birlikte değerlendirilerek denetim stratejisini luşturmalı ve uygulanacak test talimatlarını belirlemelidir. Sistem kntrllerinin değerlendirilmesi aşamasında, uzmanın sistemlerde yapacağı testler ve diğer çalışmalar denetçi refakatinde yerine getirilmelidir. Raprlama aşamasında, uzman çalışmalarının snuçları ve raprları uzmanla birlikte değerlendirilerek Bilişim Sistemleri Denetim Rapruna alınacak hususlar belirlenmelidir. 6

14 1.5 DENETİM STRATEJİSİNİN OLUŞTURULMASI Kurumun ve kurum bilişim sistemlerinin tanınması, risk değerlendirmesinin yapılması ve denetim kapsamının belirlenmesi snrasında denetimin nasıl yürütüleceğini gösteren denetim stratejisinin luşturulması gerekir. Bu nedenle Denetim Strateji Belgesi hazırlanır. Kurumu bilgilendirmek ve yapılacak denetimin sağlıklı yürütülmesi için gerekli hazırlıkların kurumca yapılmasını sağlamak amacıyla Denetim Strateji Belgesi kurum yönetimine verilir. Denetim strateji belgesi, aşağıda belirtilen unsurları içerecek şekilde hazırlanmalıdır: Denetim sürecini gösteren tarihler Denetimin amacı ve metdljisi İncelenecek sistemler İncelemeleri yapacak denetçiler ve uzmanlar İnceleme yapılacak yerler İnceleme süresi Erişim yetkileri Yerinde yapılacak testlerin ve denetim çalışmalarının kurum faaliyetlerine lası etkileri Yapılacak incelemelerin kapsamı ve süresi, incelenecek sistemlerin dnanımının, kullanıcılarının ve bu sistemleri işleten ve destekleyen kurum persnelinin bulunduğu mekanlara göre değişebilir. Denetim stratejisinin kuruma verilmesi snrasında, incelenecek her sistemin srumlusu ve yöneticisinin de içerisinde bulunduğu bir ekip belirlenmeli ve bu ekiple bir çalışma prgramı luşturulmalıdır. Bu prgramda; srumlu persnelin isimleri ve iletişim bilgileri, katılımcı listesi, inceleme tarihleri, kapanış tplantılarının tarihleri, bulguları tartışma tarihleri ve taslak raprun tartışılma tarihleri belirtilmelidir. 7

15 DENETİMİN PLANLANMASI 1.6 DENETİM PROGRAMININ HAZIRLANMASI Denetçi, sistem kntrllerinin incelemesine geçmeden önce hangi kntrl alanlarını inceleyeceğini, inceleme esnasında hangi kntrllerin varlığını arayacağını ve eğer varsa ilgili kntrllerin etkin çalışıp çalışmadığını hangi yöntemleri kullanarak test edeceğini belirlemelidir. Bunu yapabilmek için Denetim Prgramı Frmu (EK-11) kullanılarak kuruma özgü denetim prgramları hazırlanır. Prgramların hazırlanmasında, rehberin Sistem Kntrllerinin Değerlendirilmesi bölümünde yer alan her bir kntrl alanına ilişkin Kntrllerin Değerlendirilmesi başlıklı kısımda belirtilen yöntemlerden yararlanılır. Kntrl değerlendirme yöntemleri denetçiyi sınırlayıcı lmayıp sistem kntrllerinin değerlendirilmesi için asgari bir çerçeve sunmaktadır. 8

16 İKİNCİ BÖLÜM - SİSTEM KONTROLLERİNİN DEĞERLENDİRİLMESİ Yapılacak bilişim sistemleri denetiminin planlaması tamamlandıktan snra, incelenen kurum veya sisteme özgü larak kntrl alanları itibariyle hazırlanan denetim prgramları yardımıyla sistem kntrlleri değerlendirilir. Sistem kntrllerinin değerlendirilmesi esnasında sistemin iç kntrl zayıflıklarına ilişkin kanıt tplanır. Sistem kntrllerinin değerlendirilmesinde üç aşamalı bir süreç izlenmelidir: Kntrl varlığının belirlenmesi Kntrl etkinliğinin değerlendirilmesi Bulguların değerlendirilmesi Kntrl Varlığının Belirlenmesi İnceleme faaliyetleri sırasında her bir kntrl alanına ilişkin yapılacak tplantılar öncesinde kurumun ilgili kntrller knusunda bilgilenmesinin ve tplantılara hazırlıklı gelinmesinin sağlanması için denetim prgramlarında yer alan kntrl değerlendirme srularını içeren Kntrl Setleri hazırlanarak ilgililerine verilir. Bu kntrl setleri lması gereken kntrller, değerlendirme sruları, kurum cevabı ve kurumdan istenen kanıtlayıcı belgeleri içerecek şekilde düzenlenmelidir. Bu amaçla Kntrl Seti Frmu (EK-12) kullanılır. Sistem kntrlleri incelenirken öncelikle kntrl alanları itibariyle lması gereken kntrllerin var lup lmadığı araştırılmalıdır. Bunun için yapılan çalışma prgramına uygun şekilde, her bir kntrl alanına ilişkin larak hazırlanmış ve kuruma önceden verilmiş lan kntrl setleri temelinde ilgililerle tplantılar yapılmalıdır. Bu tplantılarda kntrllerin varlığına ilişkin kurum cevapları kanıtlayıcı belgelerle birlikte alınmalıdır. Alınan cevaplar ve kanıtlayıcı belgelerin incelenmesi snrasında ilgili kntrllerin var lup lmadığı, kntrle ilişkin riskler ve bu risklerin nasıl yönetildiğine ilişkin telafi edici kntrllerin var lup lmadığı da dikkate alınarak belirlenmelidir. Kntrl varlığına ilişkin elde edilen bulgular denetim prgramı frmunda yer alan Bulgular sütununda gösterilir. İlgili kntrllerin var lup lmadığını gösteren kanıtlayıcı belgelere ve eğer değerlendirme için ayrı çalışma kağıtları düzenlendiyse bunlara da ilgili Referans sütununda yer verilmelidir. Kanıtlayıcı belgeler kntrl alanları itibariyle numaralandırılarak düzenli bir şekilde arşivlenmelidir. 9

17 Kntrl Etkinliğinin Değerlendirilmesi Olması gereken kntrlün var lup lmadığı belirlendikten snra, bu kntrlün etkinliği değerlendirilmelidir. Kntrl etkinliğinin değerlendirilmesi, denetim prgramı frmunda yer alan ilgili Kntrl Etkinliğini Belgeleme ve İnceleme Yöntemi sütununda belirlenen yöntemlerle yapılır. Bu değerlendirmeler snucu tespit edilen kntrl zayıflıklarına kanıtlarıyla birlikte denetim prgramı frmunun Bulgular sütununda yer verilmelidir. Ayrıca kntrl etkinliğinin değerlendirilmesi sırasında uzman desteğinde yapılacak teknik testlere ilişkin raprların incelenmesi snrasında elde edilen bulgular da bu bölüme yazılır. İlgili çalışma kağıtları, uzman raprları ve kanıtlayıcı belgeler Referans sütununda belirtilmelidir. Bulguların Değerlendirilmesi İncelemeler snunda elde edilen bulgular, denetçi tarafından, yeterli kanıt tplanıp tplanmadığı açısından değerlendirilerek ek incelemeye ihtiyaç lup lmadığı belirlenmeli ve gerekli ek incelemeler yapılarak inceleme süreci tamamlanmalıdır. Bulgu bir kntrl eksikliğini ya da mevcut bir kntrl zayıflığını ifade etmektedir ve her bir denetim bulgusu kurumun bilgi varlıklarına yönelik bir riski içermektedir. Her bir kntrl alanı itibariyle bulguların risk düzeyleri belirlenerek bulgular arasında derecelendirme yapılmasına ve denetim bulgularının genel değerlendirmesine imkan sağlanır. Bulguların risk değerlendirmesi, tespit edilen bulgunun rtaya çıkardığı riskin etki düzeyi ile risk gerçekleşme lasılığı birlikte değerlendirilerek yapılmaktadır. Etki kavramı, aşağıdaki unsurların birini, birkaçını ya da tümünü içerir; kurumun bilgi varlıklarının güvenliğine, bütünlüğüne ve kullanılabilirliğine lan etki sistemin işleyişine lan etki sahteciliğin ve ylsuzluğun meydana gelme ihtimali kurumun mali tabllarına lan etki ve rtaya çıkabilecek muhtemel mali kayıplar kntrl eksikliğinin ya da zayıflığının ne kadar süre içinde giderilmesi gerektiği (tedbir alma knusundaki aciliyet) Gerçekleşme lasılığı, belli bir zaman dilimi içerisinde bu riskin gerçekleşmesi ihtimalini ifade eder. Elde edilen her bir bulguya ilişkin risk düzeyi, yukarıda tanımlanan kriterler ışığında belirlenen etki düzeyi ve gerçekleşme lasılıkları göz önünde bulundurularak ve Bulgu/Risk Değerlendirme Matrisi (EK-6) kullanılarak denetçi tarafından belirlenmektedir. Kntrl alanları itibariyle elde edilen bulgular, lası etkileri, denetçi önerileri ve risk düzeyini de içerecek şekilde Bulgu Değerlendirme Frmu (EK-7) düzenlenerek ilgili kurum persneliyle görüşülmek üzere kuruma verilmelidir. Daha snra, ilgili kurum persneli ile kapanış tplantıları yapılarak, bulgulara ilişkin kurum görüşleri alınmalıdır. Kurum görüşleri alındıktan snra bulgular yeniden gözden geçirilerek rapra alınacaklar belirlenmelidir. Rapra alınacak bulgular, raprda riski daha iyi belirtmek ve sunum klaylığı sağlamak için kntrl alanları itibariyle sınıflandırılmalıdır. Bunun için Bulgu Özet Tablsu Frmu (EK-8) kullanılarak her bir kntrl alanı için elde edilen bulgu sayısı, bunların risk düzeylerine göre sayısı ile mali tablları dğrudan etkileyenlerin sayısı belirlenmelidir. Sistem kntrllerinin değerlendirilmesi kntrl alanları itibariyle yapılır. Kntrl alanları, genel ve uygulama kntrlleri lmak üzere iki ana başlık altında gruplandırılır. 10

18 2.1 GENEL KONTROLLERİN DEĞERLENDİRİLMESİ Genel Kntrller, kuruma ait tüm bilişim sistemleri faaliyetlerinin sürekliliğinin sağlanmasına yönelik yapı, yöntem ve prsedürlere ilişkin kntrllerdir. Bu kntrller uygulama yazılımları ve bunlara ilişkin kntrller için güvenli bir rtam luşturur. Genel kntrller aşağıda yazılı kntrl alanlarından luşur: Yönetim Kntrlleri Fiziksel ve Çevresel Kntrller Ağ Yönetimi ve Güvenliği Kntrlleri Mantıksal Erişim Kntrlleri İşletim Kntrlleri Sistem Geliştirme ve Değişim Yönetimi Kntrlleri Acil Durum ve İş Sürekliliği Planlaması Kntrlleri YÖNETİM KONTROLLERİ Kurum yönetimi, bilişim sisteminin kurum amaçlarına uygun çalışmasını ve işlevlerini dğru bir şekilde yerine getirmesini sağlayacak tedbirleri almakla yükümlüdür. Yönetim kntrllerinin amacı güvenli ve yeterli bir bilişim rtamının sağlanması için uygun plitika ve prsedürler luşturmaktır. Bu kntrller denetçiye alt düzeydeki ayrıntılı kntrllerin varlığı ve etkinliği knusunda makul bir güvence sağlar. Yönetim kntrlleri, stratejik planlama, güvenlik plitikaları, rganizasyn, varlık yönetimi, persnel ve eğitim plitikaları ile yasal düzenlemelere uygunluk alanlarından luşur STRATEJİK PLANLAMA Kntrl Hedefi Bilişim sistemlerine ilişkin tüm faaliyetlerin, kurumun stratejik amaç ve hedefleri dğrultusunda ve risk değerlendirmesi çerçevesinde yürütülmesini sağlamaktır. Riskler Kurumun bilişim sistemlerine ilişkin stratejik planlama yapamaması şu riskleri rtaya çıkarır: Bilişim sistemleri ihtiyaçlarının, kurumsal amaç ve hedeflere uygun larak karşılanmaması Kurum ihtiyaçlarının BS yönetimi tarafından anlaşılamaması veya yeterli düzeyde karşılanamaması İş önceliklerinin dğru tanımlanamaması ve kaynakların yanlış tahsis edilmesi BS yetkinliğine ilişkin yeni fırsatların fark edilemeyerek kaçırılması Kurumun karşı karşıya kalacağı tehlikelerin belirlenememesi, etkilerinin ölçülememesi ve riskin yönetilememesi Her riskin etkisinin sadece bir güvenlik layı gibi algılanması nedeniyle BS varlıklarının bütünlük veya güvenilirliğine zarar gelmesi 11

19 Tesis edilmiş lan zayıf kntrllere aşırı güven Kaynakların riskleri karşılamak için etkin kullanılamaması Risklerin azaltılmasına yönelik kntrllerin amaçlandığı gibi işlememesi Üst yönetimin, kurumun bilişim sistemlerine ilişkin alınacak önemli kararlarda etkin bir rl alamaması Bilişim sistemlerine ilişkin faaliyetlerde krdinasyn srunlarının rtaya çıkması BS bütçesi üzerinde zayıf kntrl Temel Kntrller Bilişim sistemlerinin stratejik planlamasının yapılamaması durumunda rtaya çıkacak riskleri minimize edecek temel kntrller şunlardır: Kntrllerin Değerlendirilmesi Kurumun bilişim sistemlerine ilişkin yazılı bir stratejisi ve bu stratejinin uygulanmasına ilişkin planları lmalıdır. Bilişim sistemlerinin stratejik planlamasının yapılması ve krdinasynun sağlanması için bir bilişim sistemleri yönlendirme kurulu lmalıdır. Bilişim sistemine ilişkin düzenli larak risk değerlendirilmesi yapılmalıdır. Risk değerlendirmesi Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SP-1 Bilişim sistemine ilişkin riskler düzenli larak değerlendirilmeli ve stratejik planlama çerçevesinde dikkate alınmalıdır. Görevli bir birim tarafından düzenli larak risk değerlendirmesi yapılıyr mu? Bilişim sistemleri güvenliğine ilişkin risk kütüğü tutuluyr mu? Risk değerlendirmeleri ve yönetim tarafından alınan kararlar/tedbirler bilişim sistemleri stratejisi ve kısa dönemli planlara yansıtılmış mı? Risk değerlendirmesine ilişkin faaliyetler ve risk kütüğünün genel risk kütüğü kayıtlarıyla uyumluluk, önceliklendirme ve risk srumluları itibariyle incelenmesi Yapılan risk değerlendirmelerinin bilişim sistemleri stratejisinin hazırlanmasında ve uygulanmasında dikkate alınıp alınmadığının değerlendirilmesi Bilişim sistemleri stratejisi Kntrl Kntrl varlığını değerlendirme sruları SP-2 Kurumun bilişim sistemlerine ilişkin yazılı bir stratejisi lmalıdır. Kurumun, üst yönetim tarafından naylanmış bilişim sistemlerini de kapsayan yazılı bir strateji bildirimi var mı? Düzenli aralıklarla gözden geçiriliyr mu? 12

20 Hazırlanması ve uygulamaya geçirilmesine ilişkin prsedürler var mı? Strateji, kısa dönemli planlar ile uygulamaya geçirilebilecek detayda tasarlanarak eylem planları yapılmış mı? Kntrl etkinliğini Kurum strateji planı ve bilişim sistemleri strateji planının incelenerek kurum bilişim sistemlerinin kurum amaçları dğrultusunda, gerçekleştirilecek faaliyetleri ve başarı göstergelerini de içerecek şekilde planlı larak geliştirilip geliştirilmediğinin incelenmesi Bilişim Sistemleri Stratejisinin kısa dönem planlar ve bütçeyle ilişkilendirilip ilişkilendirilmediğinin incelenmesi Stratejide rtaya knulan eylem planına uyulup uyulmadığının incelenmesi Bilişim sistemleri stratejisinde bilgi güvenliğine ilişkin hususlara yer verilip verilmediğinin incelenmesi Bilişim sistemleri yönlendirme kurulu Kntrl Kntrl varlığını değerlendirme sruları Kntrl etkinliğini SP-3 Kurumun bilişim sistemlerine ilişkin stratejik planlamanın yapılması için bilişim sistemleri yönlendirme kurulu lmalıdır. Kurumun bilişim sistemleri yönlendirme kurulu var mı? Yönlendirme kurulunun luşumuna ve faaliyetlerini icra etmesine ilişkin düzenlemeler var mı? Üst yönetim ve önemli birimlerin yöneticilerinin bilişim sistemleri yönlendirme kuruluna katılımının ve tplantı tutanaklarının incelenmesi Kurulun, teknik knulara ilişkin larak teknik düzeyde bilgi sahibi kişilerden luşan ayrı kurul ya da kmisynlardan destek alıp almadığının incelenmesi Kurulun, kurumun stratejik planlarının bilişim sistemlerini ilgilendiren kısımlarının ve bilişim sistemleri stratejisinin hazırlanmasında ynadığı rlün değerlendirilmesi GÜVENLİK POLİTİKALARI Kntrl Hedefi Riskler Kurumun iş gerekleri ve ilgili mevzuatına uygun şekilde, bilgi güvenliğini destekleyecek plitika ve prsedürleri belirlemek ve uygulanmasını sağlamaktır. Kurum yönetiminin bilişim sistemi güvenliği ile ilgili kurumsal plitikaları ve düzenlemeleri yapmaması durumunda karşılaşılabilecek temel riskler şunlardır: Güvenliğe ilişkin laylara zamanında ve uygun karşılık verilememesi Kntrl ve güvenlik kültürünün zayıflayarak aksaklıklara neden lması Tehditlerin zamanında belirlenememesi ve ihlallerin artması 13