Bankacılıkta kta Bilgi Sistemleri Denetiminde BDDK Yaklaşı şımı ve Bilgi GüvenliG venliği AHMET TÜRKAY T VARLI BDDK Bilgi Yönetimi Dairesi Daire Başkan kanı 1
İÇİNDEKİLER Bankacılıkta kta Bilgi Teknolojileri Bilgi Sistemleri (BS) Denetimi Bankacılıkta kta BS Denetimi Benimsenen Denetim Çerçevesi evesi : COBIT Bilgi GüvenliG venliği COBIT ve Bilgi GüvenliG venliği Bankacılıkta kta Bilgi GüvenliG venliği BDDK da Bilgi GüvenliG venliği 2
Bankacılıkta kta Bilgi Teknolojileri 3
Bankacılıkta kta Bilgi Teknolojileri Temel Bankacılık k Faaliyetlerinin İfası Alternatif Dağı ğıtım m Kanallarının n Tesisi (Elektronik Bankacılık) k) 4
Bankacılıkta kta Bilgi Teknolojileri / Elektronik Bankacılık İnternet Bankacılığı ığı ATM Telefon Bankacılığı ığı Kiosk Kartlı Ödeme Sistemleri Televizyon Bankacılığı ığı WAP/GPRS Bankacılığı ığı 5
Bankacılıkta kta Bilgi Teknolojileri / BT nin Vazgeçilmezli ilmezliği 6
Bankacılıkta kta Bilgi Teknolojileri / BT Harcamaları (Harcamalarda YıllY llık k Ortalama Artış ış:%4.4, Kaynak: Gartner) Milyon $ 575.000 565.470 550.000 541.405 525.000 516.745 500.000 493.697 475.000 472.576 456.303 450.000 425.000 400.000 2005 2006 2007 2008 2009 2010 Dünyada finansal sektörün BT harcamaları (Gerçekleşen ve tahmin edilen) 7 Kaynak: Dataquest Insight: Financial Services Sector IT Spending Forecast, 2005-2010, Susan Cournoyer, Gartner,10 Kasım 2006
Bankacılıkta kta Bilgi Teknolojileri / BT ve İşletme Giderleri (*) Milyon $* 325 Milyon $* 12.000 308 300 288 10.000 9.677 8.903 8.000 275 270 270 258 6.000 5.560 6.418 250 4.000 4.318 225 2.000 200 0 2002 2003 2004 2005 2006 2002 2003 2004 2005 2006 Teknoloji Giderleri İşletme Giderleri 8 (*) Bankalardan gelen finansal verilerden, yıllık ortalama kur baz alınarak hesaplanmıştır.
Bilgi Sistemleri Denetimi 9
BS Denetimi / BS Denetimi İhtiyacına İşaret Eden Olaylar AT&T 1998 de Ana Switch Problemi 18 Saat Boyunca Pek Çok Kredi Kartı Kullanım m DışıD Enron Finansal Bilgi Raporlamasında Sahtekarlık 60 Milyar USD Kamu Zararı WorldCom Finansal Bilgi Raporlamasında Sahtekarlık İmar Bankası Çifte Kayıt t Sistemi 10
BS Denetimi / Ülke Uygulamalarında Benimsenen Esaslar ÜLKELER FİNLANDİYA NORVEÇ MACARİSTAN ÇEK CUMHURİYET YETİ MAKEDONYA SLOVAKYA DANİMARKA PORTEKİZ İSRAİL HOLLANDA İTALYA SLOVENYA YUNANISTAN ALMANYA İç Kontrol ve Risk YönetimiY netimi" İle İlgili Geliştirdikleri KendiK Standartları CoBIT Baz Alınm nmıştır CoBIT Baz Alınm nmıştır IT Yönetişimi imi ve Operasyonel Risk Kapsamında Sınırlı Düzenlemeler ISO 17799 Baz Alınm nmıştır Her Yıl Bilgi Sistemleri Güvenliğiniini Kapsayacak Bir Denetim Raporu Finansal Denetimin Yanındanda Sistem, Operasyon, Veri ve İş Devamlılığı ığı Denetimi Üç Yılda Bir BS Denetimi Yapılmasını Zorunlu Kılan Kanun Tasarısı ISO 17799 Baz Alınm nmıştır Sınırlı Anlamda BS Denetimi ne e de Referansta Bulunan Standardlar Sınırlı Anlamda Kontrolleri İçeren Düzenlemeler ISO 17799 Baz Alınm nmıştır Kullanılan lan Yaklaşı şımlar BS Denetimi ne de Değinen Bankacılık İle İlgili İki KanunK Almanya Denetim Kuruluşu u (IDW) Tarafından Geliştirilen PS 330 Standardı 11
Bankacılıkta kta BS Denetimi / BDDK Hazırl rlıkları (I) 2004 yılında y başland landı (Teşkilat Yönetmeliği i Değişikli ikliği) i) Örgüt t yapısı yenilendi BS Denetimi ekibi oluşturuldu FFIEC,COBIT, BS7799, ITIL, COSO, standartları ve yaklaşı şımları incelendi Bankalar BT envanteri anket çalışması yapıld ldı 12
Bankacılıkta kta BS Denetimi 13
Bankacılıkta kta BS Denetimi / BDDK Hazırl rlıkları (II) Uzman ve uzman yardımc mcıları için in sertifikasyon sağlanmas lanması Eğitim çalışmaları sürdürüldü UEKAE: Sınır S r güvenlig venliği, i, Windows güvenlig venliği, i, MS sistemleri güvenlig venliği, i, UNIX/LINUX güvenlig venliği, i, Veritabanı Güvenliği,Web i,web Uygulamaları Güvenliği,Bilgi i,bilgi Sistemleri Adli İnceleme ISACA Training Week (Network Security,, DB Audit, IT Audit practice) MIS: SOX for IT Audit, How to audit automated application controls 14
Bankacılıkta kta BS Denetimi (II) Bankalarda Bağı ğımsız z Denetim Kuruluşlar larınca gerçekle ekleştirilecek Bilgi Sistemleri Denetimine ilişkin Yönetmelik Y (Yönetmelik) Rapor Formatı Hakkında Tebliğ Yönetmelik kapsamında bağı ğımsız z denetim kuruluşlar larının n yetkilendirilmesi 15
Bankacılıkta kta BS Denetimi (III) 2005 yılında y sınırls rlı kapsamlı Uygulama Kontrolleri denetimi gerçekle ekleştirildi Yönetmelik kapsamında 2006 yılıy denetimleri gerçekle ekleştiriliyor; bulgular Nisan 2007 de raporlanacak BDDK olay bazlı 6 adet kuruluş denetimi gerçekle ekleştirdi 16
Bankacılıkta kta BS Denetimi / Gelecek Planları Kısa Vadeli 2006 denetim raporlarının n değerlendirilmesi erlendirilmesi ve bulgularla ilgili önlemlerin alınmas nması BDDK nın BS Denetimleriyle ilgili yol haritası oluşturuluyor. Normlar Tebliği Orta Vadeli Bankalar Bilgi Teknolojileri Envanteri çalışmasının olgunlaştırılmas lması ve periyodikleştirilmesi BDDK BS denetimlerinin planlanması ve gerçekle ekleştirilmesi 17
Bankacılıkta kta BS Denetimi / Üç saç ayağı İç denetim Bağı ğımsız z Denetim Kamusal Denetim Temel Prensipler (I) Denetçiler arası İşbirli birliği Tek başlılık Denetim alanlarının n bütünsellib nselliği Sorumlulukların n Tespiti 18
Bankacılıkta kta BS Denetimi / Temel Prensipler (II) Risk odaklı denetim Üstlenilen Riskler (Bankalar risk almak zorundadır) r) Oluşturulan SüreS reçler Politikalar Süreç denetimi yaklaşı şımı 19
Bankacılıkta kta BS Denetimi / Yönetmelik - (Ana Başlıklar) Yetkilendirme ve Meslek Mensupları Tarafların n YükümlY mlülükleri Bilgi Sistemleri Denetimi Genel İlkeler ve Sorumluluklar 20
Bankacılıkta kta BS Denetimi / Yönetmelik - (Ana Başlıklar II) Denetlenenin Destek Hizmeti Alması ve Bunların n Denetimi Bilgi Sistemleri Denetiminde İşbirli birliği Bilgi Sistemleri Denetiminde DışD Hizmet Alımı Bilgi Sistemleri Denetimi Raporu ve Bildirimi 21
Bankacılıkta kta BS Denetimi / Yönetmelikte BS Denetimi (I) Finansal Denetim ile BS Denetiminde bütünsellikb Bağı ğımsız z Denetim Şirketlerinin, BS denetimini dışd kaynak kullanımı yoluyla gerçekle ekleştirebilmesi BS Denetimi Türleri; T uygulama kontrollerinin denetimi, genel kontrol alanlarının n denetimi, genel kontroller ile uygulama kontrollerinin birlikte gerçekle ekleştirildiği geniş kapsamlı denetim 22
Bankacılıkta kta BS Denetimi / Yönetmelikte BS Denetimi (II) Etik kurallar Ticari ilişki Denetçilerin bankalarda görev g alması Denetim Takvimi Uygulama Kontrolleri her yıl y l ve Genel Kontroller iki yılda bir yapılır. Kurul özelleştirilmiş denetim isteyebilir. Benimsenen Denetim Çerçevesi evesi COBIT 23
Benimsenen Denetim Çerçevesi: evesi: COBIT 24
Benimsenen Denetim Çerçevesi: evesi: COBIT Neden COBIT? Süreç denetimi odaklı Süreç tesisine yönelik y ve bütüncb ncül l yaklaşı şım Dengeli ve hiyerarşik yapıland landırılmış alanlar Ölçme ve Derecelendirme Mekanizması Etkili Kurumsal YönetiY netişim im aracı (Yönetilebilirli netilebilirliğin in sağlamas laması) Teknolojiden bağı ğımsız ISO 17799, ITIL, SOX, COSO yaklaşı şımlarına uygun AB Mevzuatında uygunluğuna una onay verilen BS yönetişim im çerçevelerinden evelerinden biri 25
COBIT vs ISO 17799 (Kaynak : ISACA) COBIT Kurumsal YönetiY netişimim İş Strateji ve SüreS reçlerinin Değerlendirilmesi erlendirilmesi Ölçüm m YöntemiY ISO 17799 Bilgi GüvenliG venliği i Odaklı Bilgi GüvenliG venliği i Standardı Güvenlik Kontrollerinin Değerlendirilmesi erlendirilmesi Not: ISACA ya göre %100 uyumlu, beraber kullanılabilirler labilirler 26
Standart Kapsamları Kaynak: ISACA Standartların n kapsamlarına göre g sınıflands flandırılması Diğer standartlarda kapsanan COBIT Alanları (+): Değinilen Alanlar (O): Kısmen Değinilen Alanlar (-) : Nadir Değinilen veya Değinilmeyen alanlar 27 Kaynak: COBIT Mapping Overview of International IT Guidance 2nd Edition, http://www.isaca.org/template.cfm?section=downloads3&template=/taggedpage/taggedpagedisplay.cfm&tplid=63&contentid=13742
BS Denetiminde GüçG üçlükler (I) Uygulanan denetim araçlar larının n ve metotlarının çeşitliliği, i, tam standardizasyonun sağlanamam lanamamış olması Önemlilik (Materyalite( Materyalite) ) tanımının n belirlenmesi Mesleki mevzuat eksikliği Bankalara yönelik y Uyulması Gereken Kriterler Seti eksikliği Görüş vermedeki güçg üçlük 28
BS Denetiminde GüçG üçlükler (II) Yetişmi miş eleman eksikliği Örgütlenme eksikliği Sertifikasyon zorunlu tutulamıyor Finansal/BS Denetçileri ortak çalışma gerekliliği Konunun tüm t m taraflar (Denetçi, Denetlenen, Otorite) için i in ve uluslararası arenada yeni olması 29
COBIT ve Bilgi GüvenliG venliği 30
DS5 Hizmet sunumu ve destek faaliyetleri 5 (DS5) : Sistem güvenlig venliğinin inin sağlanmas lanması BT güvenlig venliğinin inin yönetilmesiy BT güvenlik g planı Kimlik YönetimiY Kullanıcı hesapları yönetimi Güvenlik testleri ve takibi Güvenlik olaylarının n tanımlanmas mlanması Güvenlik teknolojilerinin korunması Kripto Anahtar yönetimiy netimi Zararlı yazılımlar mların önlenmesi, tespiti ve düzeltilmesid Ağ güvenliği Gizli bilgilerin paylaşı şımı 31
ISO 17799 ile paralel COBIT süreçleri ve COBIT bilgi kriterleri ISO 17799 da (+): Bulunan (O): Kısmen Bulunan (-) : Nadiren değinilmiş ya da bulunmayan Kaynak ve detaylı bilgi için: COBIT Mapping: Mapping ISO/IES 17799:2005 With COBIT 4.0 https://www.isaca.org/template.cfm?section=downloads3&template=/taggedpage/taggedpagedisplay.cfm&tp LID=63&ContentID=13742 32
COBIT Security Baseline COBIT Güvenlik G temeli (COBIT Security Baseline) ) : GüvenliG venliğe e doğru 39 adım Risklerin değerlendirilmesi erlendirilmesi Değişiklik iklik yönetimiy Servisin süreklilis rekliliğinin inin sağlanmas lanması Sistem güvenlig venliğinin inin sağlanmas lanması gibi başlıklar altında toplanmış 39 adım BT güvenlig venliğinin inin sağlanmas lanması için in atılmas lması gereken adımlar, rehber Her adımın COBIT te ve ISO17799 daki yeri netimi Daire Baş 33 Daire Ba Kaynak ve detaylı bilgi için: COBIT security baseline (revised) http://www.isaca.org/template.cfm?section=downloads3&template=/taggedpage/taggedpagedisplay.cfm&tplid=63&contentid=13742
Bankacılıkta kta Bilgi GüvenliG venliği 34
Bilgi GüvenliG venliği i / Gizlilik, bütünlb nlük, erişilebilirlik ilebilirlik (CIA) Muhtemel Sonuçlar Rekabette dezavantaj İş kaybı İtibar kaybı Motivasyon kaybı Sahtekarlık Yanlış yönetim kararları Servislerde kesinti Yasal sorunlar Gizli verilerin açığa çıkması 35
Bilgi GüvenliG venliği / Bankacılık k Mevzuatı (I) 5411 sayılı Bankacılık k Kanunu, Madde 73: Kurumun bu fıkra f kapsamında elde edeceği i bilgi ve belgeler hiçbir kişi i kurum ve kuruluşa a verilemez. Bankaların n ortakları,, yönetim y kurulu üyeleri, mensupları,, bunlar adına hareket eden kişiler iler ile görevlileri, g sıfat s ve görevleri g dolayısıyla yla öğrendikleri bankalara veya müşterilerine m ait sırları,, bu konuda kanunen açıkça a a yetkili kılınan k mercilerden başkas kasına açıklayamazlar. a Bankaların n destek hizmeti aldığı kuruluş ve çalışanları hakkında da bu hüküm h m uygulanır. Bu yükümly mlülük k görevden g revden ayrıld ldıktan sonra da devam eder. 36
Bilgi GüvenliG venliği / Bankacılık k Mevzuatı (II) 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu, Madde 23: Üye işyerleri, i kartın n kullanımı sonucunda kart ve kart hamili ile ilgili edindikleri bilgileri, kanunla yetkili kılınan k kişi, i, kurum ve kuruluşlar lar hariç olmak üzere kart hamilinin yazılı rızasını almadan başkas kasına açıklayamaz, a saklayamaz ve kopyalayamaz. Üye işyerleri, i kart bilgilerini üye işyeri i anlaşmas ması yaptığı kuruluş dışındaki şahıs s veya kuruluşlarla larla paylaşamaz, amaz, satamaz, satın n alamaz ve takas edemez. Üye işyeri i anlaşmas ması yapan kuruluşlar, lar, bu fıkranf kranın n uygulanmasını gözetmekle yükümly mlüdür. kişisel isel bilgileri gizli tutmak, kendi hizmetlerinin kalanların bu bilgilere ulaşmas masını engellemek amacıyla gereken önlemleri almakla yükümlüdür. r. Kart çıkaran kuruluşlar, lar, edindikleri ki kendi hizmetlerinin pazarlanması dışında başka amaçlarla kullanmamak ve kanunla yetkili kılınan k kişi, i, kurum ve kuruluşlar lar dışıd ışında kalanlar 37
Bilgi GüvenliG venliği / Bankacılık k Mevzuatı (III) Bankaların İç Sistemleri Hakkında Yönetmelik Y Madde 11: Bilgi sistemlerinin tesisi Bilgi sistemleri asgari olarak bankayla ilgili tüm bilgilerin elektronik ortamda güvenli bir şekilde saklanılmasına ve kullanılmasına imkan verecek bir yapıda tesis edilir. Bilgi sistemlerinin güvenilirliğinin sağlanması ve düzenli olarak güncellenerek gerekli değişikliklerin yapılması zorunludur. İş süreklilik ve beklenmedik durum planları oluşturulmalı ve dönemsel olarak test edilmelidir. 38
Bilgi GüvenliG venliği / Bankacılık k Mevzuatı (IV) Bankaların n destek hizmeti almalarına ve bu hizmeti verecek kuruluşlar ların n yetkilendirilmesine ilişkin Yönetmelik Y Madde 5: Destek hizmeti sağlayan kuruluşlarca bankaya ve müşterilerine ait sırların korunmasına yönelik gerekli tedbirlerin alınmasını sağlamak, destek hizmeti alan ilgili bankanın sorumluluğundadır. Madde 9: Bankalar ile destek hizmetleri kuruluşları arasında imzalanacak sözleşmelerde; Destek hizmeti kurulusu tarafından sağlanan hizmet dolayısıyla öğrenilen bankalara ve müşterilerine ait bilgi ve belgelerin, yapılan anlaşmada belirtilen amaçlar dışında kullanılmasının ve üçüncü kişilere açıklanmasının yasak olduğu, destek hizmeti kurulusunun söz konusu bilgi ve belgelerin korunmasında gerekli özeni göstermekle yükümlü bulunduğu ve bunlara aykırılık halinde banka tarafından sözleşmenin tek taraflı olarak feshedileceği hususlarının belirtilmesi, zorunludur. 39
Bilgi GüvenliG venliği i / Diğer Ülke Uygulamaları Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 - Gramm-Leach Leach-Bliley Act - Financial Privacy (ABD) - Federal Data Protection Act / BDSG (Almanya) Data Protection Act 1998 (İngiltere)( 40
Bilgi GüvenliG venliği i Politikası nın İçermesi Gereken Konular Erişim im denetimi (Elektronik/Fiziksel) Şifreleme Bilgiler üzerinde yapılan değişikliklerin ikliklerin belli süres reçler dahilinde gerçekle ekleştirilmesi Çapraz kontrol/görevler revler ayrılığı ığı Sızma teşebb ebbüslerini tespite yönelik y sistemler Saldırı cevap planları Doğal afetlere (yangın, n, su basması,, deprem, teknolojik sorunlar) karşı alternatifli süreklilik s planları Personel eğitimie Güvenlik programına ilişkin kontrollerin periyodik testi Harici hizmet sağlay layıcılar lar ile ilişkilerin yönetilmesiy 41
Bilgi GüvenliG venliği i Politikası Bilgi güvenlig venliği i sadece bilgi sistemleri yönetiminin y problemi değildir, kurumsal politika dahilinde yönetilmesi gerekir Bilgi bir varlık k olarak değerlendirilmeli, erlendirilmeli, gizliliği, i, bütünlüğü ve kullanıma hazırl rlığına yönelik y tehditlere önlemler alınmal nmalıdır Farkındal ndalık ve eğitim e önemli, bankalar müşterilerini bilgilendirmeli ve eğitmelie Banka müşterileri m elektronik güvenlig venliğin in önemini kavramalı,, bilgisayarlarında gerekli önlemleri almalı (virüs, keyloger tehditleri gibi) 42
Elektronik Bankacılık İçin Risk Yönetim Prensipleri (I)* Güvenlik kontrollerinin oluşturulmas turulması Harici hizmet almaya ilişkin risklerin yönetilmesiy İnternet üzerinden işlem i yapmanın n getirdiği i risklerin yönetilmesi İnkar edememe (e-imza, vb.) Görevlerin ayrış ıştırılması Kimlik doğrulama kontrolleri ve yetkilendirme Tutulan kayıtlar ve bilgiler için i in bütünlb nlük Olayları takibe yetecek düzeyde d log tutma Gizlilik Mevzuata uyum (müşteri mahremiyeti vb.) İş sürekliliği Saldırı cevap planları * BIS in Temmuz 2003 tarihli Risk Management Principles Daire forbaşkanl Electronic Banking dokümanından 43
Elektronik Bankacılık İçin Risk Yönetim Prensipleri (II) Güvenlik öncelikli konulardan Pek çok ülkede bilgi güvenlig venliğine ine ilişkin mevzuat mevcut Çözüm m : (Uygulanan) İyi Bir Bilgi Güvenliği i Politikası 44
Normlar Tebliği i (I) (Taslak) Bankalarda BT Yönetiminde Y esas alınacak ilkeler Genel kontrollerin tesisi (Planlama ve Organizasyon, Tedarik ve Uygulama, Hizmet sunumu ve Destek,İzleme ve Değerlendirme) erlendirme) Süreç sahipliği i ve süres reçlerin izlenebilirliği Uygulama Kontrollerinin tesisi (Veri kaynak belirleme ve yetkilendirme, veri giriş,, veri işleme, i veri çıktı ve sınır s r kontrolleri) 45
Normlar Tebliği i (II) (Taslak) BT ile ilgili içi kontroller Yönetimin sorumlulukları Yönetimin İç Kontrollerin Etkinliğini ini Değerlendirmesi erlendirmesi İç kontrollerin denetimi ve denetimlerin raporlanması Bilgi GüvenliG venliği i Politikası altında işaret i edilen konulara ilişkin kontroller 46
BDDK da Bilgi GüvenliG venliği i (I) Kullanıcı sözleşmeleri Güvenlik politikaları Erişim im kontrolleri Fiziksel güvenlik g (Sunucu odasına ve yedekleme merkezine fiziksel erişimin imin kısıtlanması.. Sunucu odasında sıcakls caklık sensörü) Teknik ekipte görevler g ayrılığı ığı ilkesinin benimsenmesi Firewall, IDS, Content Filtering,, DMZ, VPN yapılar ları 47
BDDK da Bilgi GüvenliG venliği i (II) Virus koruma, veri yedekleme Veri aktarımlar mlarında SSL teknolojisinin kullanılmas lması Kurum bilgi sistemi kaynaklarına SmartCard aracılığı ığıyla internet üzerinden VPN ile bağlanma E-imza uygulamaları (Evrak Yönetim Y Sistemi) UEKAE bağı ğımsız z denetimi 48
İLGİNİZ İÇİN N TEŞEK EKÜRLER SORULAR 49