T.C. Sayıştay Başkanlığı Hazine Bilişim Sistemleri Denetim Raporu 2002 YILI GENEL UYGUNLUK BİLDİRİMİ EKİDİR Ekim 2003
Hazine Bilişim Sistemleri Denetim Raporu; Sayıştay Genel Kurulu nun; 08.10.1998 tarih ve 4909 sayılı kararı ile kabul edilen Hazine Hesapları 1998 Yılı İzleme Raporu, 11.10.1999 tarih ve 4934 sayılı kararı ile kabul edilen Hazine Hesapları 1999 Yılı İzleme Raporu, 02.10.2000 tarih ve 4967 sayılı kararı ile kabul edilen Hazine Hesapları 2000 Yılı İzleme Raporu, T.B.M.M. Plan ve Bütçe Komisyonunun; 31.12.1996 tarih, 1/492, 3/516 esas ve 68 nolu, 2.12.1997 tarih, 1/633, 3/1046 esas ve 17 nolu, 21.6.1999 tarih, 1/3-3/122 esas ve 4 nolu, 5.12.2000 tarih ve 1/740-3/642 esas ve 8 nolu kararları üzerine, Hazine Müsteşarlığı tarafından yapılan çalışmaları takip amacıyla hazırlanmış, Sayıştay Genel Kurulunun 06.10.2003 tarih ve 5071/1sayılı kararı ile kabul edilerek Türkiye Büyük Millet Meclisine gönderilmesi uygun bulunmuştur. T.C. SAYIŞTAY BAŞKANLIĞI, ANKARA, 2003 http://www.sayistay.gov.tr HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU
Sunuş Ülkemizde kamu kesimi, teknolojideki gelişmelere bağlı hızlı bir dönüşüm süreci içinde bulunmaktadır. Kamu kurumları faaliyetlerinin büyük bir kısmını gerçekleştirirken bilgisayarlardan yararlanmaktadırlar. Bu gelişim, işlemlerin daha hızlı ve etkin bir şekilde yapılmasına imkan tanımaktadır. Ancak, bilgisayarların kullanımı, önceden gözönünde gerçekleştirilen işlemleri sanal ortama taşıdığından, bunların izlenmesi güçleşmekte ve yeni bir risk faktörü oluşturmaktadır. Sayıştay, Hazine Müsteşarlığının kamu kesimi içindeki artan önemini dikkate alarak, 1995 yılından itibaren bu kurumun denetimine özel önem vermiştir. Bu çalışmaların sonuçları, bu güne kadar Hazine ile ilgili olarak hazırlanan 15 Sayıştay Raporu ile Türkiye Büyük Millet Meclisinin dikkatine sunulmuştur. Hazine Müsteşarlığında gerçekleştirilen denetimlerde kullanılan veriler, Hazine Bilişim Sistemleri tarafından üretilmektedir. Böyle bir ortamda Sayıştay a verilen cetvellerde yer alan verilerden ziyade bu cetvelleri üreten sistemler önem kazanmaktadır. Hazine denetiminde elde edilen bulgular, bilgisayar sistemlerinin sıhhatli bir şekilde çalışmasının, denetimin adeta ön koşulu olacak kadar büyük önem taşıdığını göstermiştir. Sayıştay bu hususları dikkate almak suretiyle 2003 yılında Hazine Bilişim Sistemlerini denetime tabi tutmuş ve sistemin hangi yönlerden geliştirilmesi gerektiğini tespit etmiştir. Sayıştay Başkanı Mehmet Damar HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 3
HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 4
Özet Bu raporda, Hazine Müsteşarlığı bilişim sistemleri tarafından üretilen bilgilerin güvenilir olup olmadığı sorusuna cevap aranmaktadır. Hazine Müsteşarlığı, 1983 yılından başlayarak bilgi teknolojilerine dayalı olarak faaliyet göstermek üzere çeşitli projeler uygulamış ve yatırımlar yapmıştır. Bu çerçevede devletin borç stokuna ilişkin tüm bilgiler bilgisayar sistemlerine aktarılarak bu sistemler üzerinden yönetilmeye başlanmıştır. Bugün gelinen noktada Hazine Müsteşarlığı nın bilişim faaliyeti, kurumun temel fonksiyonlarının icra edilebilmesi için vazgeçilmez hale gelmiştir. Hazine Müsteşarlığı Devlet Borçları Saymanlığı tarafından takip edilen Dış Borçlara ilişkin hesaplar, 1995 yılından itibaren, tam, doğru ve uygun olmadıkları gerekçesiyle reddedilmiştir. Reddedilen hesaplarla ilgili olarak yapılan çalışmalar, 1997 yılından itibaren düzenli olarak hazırlanan Hazine Hesapları İzleme Raporları ile Meclise bildirilmiştir. Bu raporlarda Hazine Müsteşarlığının iç kontrol sisteminden ve borçların takip edildiği bilgisayar sisteminden kaynaklanan sorunlar üzerinde hassasiyetle durulmuştur. Hazine Müsteşarlığı, uzun süredir bilişim sistemlerini yeniden yapılandırmaya yönelik çalışmalar yapmaktadır. Bu çalışmalar sırasında halen uygulanan sistemin bir çok eksiği tespit edilmiş ve yeni geliştirilmekte olan sistemde bunlara ilişkin önlemler alınmıştır. Müsteşarlıkta yeni bir sisteme geçme çalışmalarının devam ettiği gözönünde bulundurularak, bilişim sistemlerinin denetimi, iç kontrollerle ilgili değerlendirmelere yönelik bir çerçevede gerçekleştirilmiştir. Mevcut sistemde yer alan bir çok güvenlik açığının yeni sistemle giderilmesi hedeflendiğinden, bunlara ilişkin detaylı testlere girilmemiştir. Hazine bilişim sistemleri denetiminde, sistemin işlem ve uygulamalarının güvenliğini ve güvenilirliğini sağlayan iç kontroller incelenmiştir. Hazine bilişim sistemlerinin denetiminde dört aşamalı risk tabanlı bir denetim yaklaşımı uygulanmıştır Bu bağlamda; 1. Bilişim sisteminin karşı karşıya kaldığı risk ve tehditler belirlenmiş, meydana gelebilecek hata türleri ve düzensizlikler göz önünde bulundurulmuştur. 2. Bu hata ve düzensizlikleri önlemek veya tespit etmek için gereken kontrol süreçleri belirlenmiştir. 3. Bu gerekli süreçlerin sistemde tanımlanıp tanımlanmadığı ve uygun bir şekilde çalışıp çalışmadığı incelenmiştir. 4. Kontrol süreçleriyle ilgili zaaflar tespit edilmiş ve kontrol sisteminin riskleri minimize etmek için yeterli olup olmadığı değerlendirilmiştir. Denetim çalışmalarında, Hazinede kurulması gereken kontroller, uluslararası alanda genel kabul görmüş standartlar ve iyi uygulama örnekleri ışığında belirlenmiştir. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 5
Belirlenen ana denetim konuları için hazırlanan kriter setleri, denetimin çerçevesini oluşturmakta ve Hazinede kurulması gereken iç kontroller için asgari yapıyı belirlemektedir. Kriter setleri Hazinede yapılan toplantı ve mülakatlarla ele alınmış, yapılan gözlem ve testlerle elde edilen bulgular Hazine yönetimi ile birlikte değerlendirilmiştir. Tüm bu çalışmalar gerçekleştirilirken denetim faaliyetinin uluslararası standartlara uygunluğunu sağlamak ve bir kısım teknik testleri gerçekleştirmek amacıyla, uluslararası denetim firmalarından PriceWaterhouse Coopers tan danışmanlık hizmeti alınmıştır. Bulgular Hazine Müsteşarlığının iç kontrol yapısı, Hazine bilişim sistemleri tarafından üretilen cetvel ve raporların güvenilirliğini etkileyen önemli zaaflar taşımaktadır. Ancak bu husus değerlendirilirken, Müsteşarlığın bu zaafların önemli bir kısmının farkında olduğu ve sorunların çözümü için büyük bir gayret gösterdiği gözönünde tutulmalıdır. Denetim sırasında, Hazine bilişim sistemleri, kapsamlı bir kriter setine uygunluk bakımından incelenmiştir. Mevcut yapının kullanılan kriter setini önemli ölçüde karşıladığı, ancak aşağıda tespit edilen konularda zafiyetler içerdiği belirlenmiştir. Raporda sadece olumsuz bulgulara yer verilmiştir. Risk Grafikleri Şekil 1 de, bu raporda ortaya konulan toplam 48 bulgunun % 35 inin yüksek risk oluşturduğu görülmektedir. Şekil 1 Risklerin dağılımı 21% 35% Yüksek Risk Orta Risk Düşük Risk 44% HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 6
Aşağıda yer alan 2. şekilde de, bulgularla ilgili risklerin konulara göre dağılımı görülmektedir. Örneğin, değişim yönetimiyle ilgili olarak tespit edilen 8 bulgunun 5 i yüksek risk, 3 ü orta düzeyde risk oluşturmaktadır. Şekil 2 Risklerin konulara göre dağılımı İç Denetim Belgeleme Politikaları Personel ve Eğitim Politikaları Yüksek Risk Orta Risk Düşük Risk Girdi Kontrolleri Değişim Yönetimi Yazılım Geliştirme Fiziksel Erişim Kontrolleri Mantıksal Erişim Kontrolleri Güvenlik Yönetimi 0 1 2 3 4 5 6 7 8 9 10 Güvenlik Yönetimine İlişkin Bulgular (Sayfa 26-32) Güvenlik yönetimi, kurumla ilgili riskler göz önünde bulundurularak, hizmetlerin sürekliliğini sağlayacak bir kontrol yapısının kurulmasını ve sürdürülmesini hedefler. Bu konuda şu bulgular elde edilmiştir: Hazine Müsteşarlığının karşı karşıya bulunduğu risklerin belirlenmesine ve bunlara karşı bir güvenlik planı hazırlanmasına ilişkin herhangi bir çalışma yapılmamaktadır. Kurumda bilgi güvenliği ile ilgili standartlar belirlenmemiştir. Kurumun bir Acil Durum Eylem Planı ve Kriz Yönetimi Planı bulunmamaktadır. Kurumun bir İş Sürekliliği Planı bulunmamaktadır. Mantıksal Erişim Kontrollerine İlişkin Bulgular (Sayfa 35-46) Bir bilgisayar sisteminde yer alan programların kullanımı, bu programlar vasıtasıyla ulaşılabilecek bilgilerin yetkisiz kişiler tarafından görülmesini veya değiştirilmesini engellemek amacıyla kısıtlanmalıdır. Mantıksal erişim kontrolleri, bu amaçla, kullanıcıların ve sistem yöneticilerinin programları kullanmalarını kontrol altına almak için uygulanan mekanizmalardır. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 7
Bu konuda şu bulgular elde edilmiştir: Hazinede kullanılan, üretilen ve muhafaza edilen kaynaklar önemlerine ve gizliliklerine bağlı olarak sınıflandırılmamıştır. Hazine bilişim sistemlerinin şifreleme ve güvenlikle ilgili standartları belirlenmemiştir ve uygulamadaki ayarlar yeterli güvence sağlamamaktadır. Görev yeri değişen veya işten ayrılan personelin sistemlere erişim yetkilerinin derhal kaldırılması sağlanamamaktadır. Kullanıcıların sisteme erişimleri yetki ve sorumluluklarına bağlı olarak sınırlandırılmamaktadır. Kullanıcı bilgisayarlarının açık bırakılarak belirli bir süre kullanılmadığı durumlarda başkaları tarafından kullanılmasını önleyecek kontroller kullanılmamaktadır. Kullanıcıların sisteme, aynı anda, aynı kullanıcı adı ve şifresiyle değişik bilgisayarlardan bağlanması mümkündür. İşletim sisteminde, ağ altyapısında ve yazılımlarda değişiklikler yapıldığında, sistemin güvenliğinin önceden belirlenmiş standartlarda tekrar sağlanması için, mantıksal erişim yolları analizi güncellenmemektedir. Kullanımına son verilen veya başka bir yere gönderilen bilgisayar malzemeleri üzerinde yer alan hassas verilerin ve yazılımın silinmesini öngören yazılı bir süreç bulunmamaktadır. Kuruma dışarıdan yetkisiz erişimi kontrol etmek için kurulan kontrol mekanizmaları tarafından belirlenen ve engellenen saldırılar yönetime raporlanmamaktadır. Sisteme uzaktan çevirmeli bağlantı kullanılmak suretiyle sağlanabilecek erişimlerle ilgili yeterli güvenlik önlemleri bulunmamaktadır. Fiziksel Erişim Kontrollerine İlişkin Bulgular (Sayfa 48-51) Fiziksel erişim kontrolleri, kuruma ait bilgi sistemlerinin ve kullanıcıların bulunduğu binalara ve odalara fiziki olarak ulaşılmasını kontrol altında tutmaya yönelik olarak uygulanan kontrollerdir. Ayrıca bu kontroller ile bilişim sisteminin yangın, su baskını, nem, elektrik kesintisi gibi çevreden gelecek risklere karşı korunması da amaçlanır. Bu konuda şu bulgular elde edilmiştir: Hazine bilişim sistemi donanımlarının yer aldığı binalara girişlerin kontrol edilmesi için kurulan sistemler etkin bir şekilde çalışmamaktadır. Bilgi İşlem Merkezi, Hazine Müsteşarlığı ve Dış Ticaret Müsteşarlığı personeli tarafından birlikte kullanıldığından sistem odasına erişimin sadece Hazine tarafından kontrol edilmesi mümkün bulunmamaktadır. Yazılım Geliştirmeye İlişkin Bulgular (Sayfa 54-65) Yazılım geliştirme üzerindeki kontroller, kurumların günlük operasyonlarını yürütmek için kullandıkları yazılımların oluşturulması esnasında kullanılan kontrol mekanizmalarıdır. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 8
Bu konuda şu bulgular elde edilmiştir: Yazılımların geliştirmesine ve uygulamaya konmasına ilişkin faaliyetlerin sistematik bir şekilde yürütülmesi güvence altına alınmamıştır. Bilişim sistemiyle ilgili projelerin fizibilite çalışmalarının yeterli kalitede yapılmasını güvence altına alacak süreçler kullanılmamaktadır. Projelerin kurumun amaçları ile uyumlu olmasını sağlayacak yeterli kontroller bulunmamaktadır. Projelerin kalite kontrolü için kullanılan süreçler yetersizdir. Yazılımların nasıl test edileceğini belirleyen standartlar bulunmamaktadır. Kurumda geliştirilen yazılımlarla ilgili teknik belgelerin hazırlanması ve güncellenmesi güvenceye bağlanmamıştır. Kurumda geliştirilen yazılımlarla ilgili kullanıcı dokümanları zamanında hazırlanmamakta ve güncellenmemektedir. Geliştirilen yazılımların hangi şartları yerine getirmesi durumunda uygulamaya sokulacağı belirlenmemiştir. Yeni yazılımlar uygulamaya alındıktan sonra, bunlar üzerinde herhangi bir denetim veya inceleme yapılmamaktadır. Kurumda etkin bir kütük yönetim metodolojisi kullanılmamaktadır. Değişim Yönetimine İlişkin Bulgular (Sayfa 68-77) Değişim yönetimi, kurum tarafından hazırlanan programlar üzerinde, kullanıcıların ihtiyaçları veya sistemin gereklilikleri sonucu yapılması gereken değişikliklerin kontrollü bir şekilde gerçekleştirilmesini hedefler. Bu değişikliklerin bilgi sistemlerinin genel işleyişi ve genel güvenlik seviyesi üzerinde herhangi bir olumsuz etki yapmamasını sağlamak amacıyla çeşitli kontrol mekanizmaları kurulur. Bu konuda şu bulgular elde edilmiştir: Hazine Müsteşarlığının yazılı bir değişim yönetimi metodolojisi bulunmamaktadır. Kurumda bilişim sistemleriyle ilgili tüm değişiklik isteklerinin tek bir merkezde toplandığı, takip edildiği ve raporlandığı bir yapı bulunmamaktadır. Değişikliklerin ne şekilde test edileceğini ve belgeleneceğini gösteren standartlar bulunmamaktadır. Sadece onaylanmış ve test edilmiş yazılımların uygulama ortamına aktarıldığını güvence altına alacak yeterli kontroller bulunmamaktadır. Yazılım geliştiren personelin uygulama ortamına erişmeleri ve uygulama ortamında yazılım değişikliği yapmaları engellenmemiştir. Programcıların, programlar ve veriler üzerinde yaptıkları değişiklikler log dosyalarında takip edilmemektedir. Tüm kullanıcılarda aynı versiyon programın çalışmasını sağlayan bir uygulama bulunmamaktadır. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 9
Yazılımlar üzerinde acilen yapılan değişiklikler log dosyalarında takip edilmemekte, bunlara ilişkin özel bir raporlama ve gözetim mekanizması bulunmamaktadır. Yazılım kodlarının korunması, programların sınıflandırılması ve değişik versiyonlarının muhafaza edilmesi ile ilgili yeterli kontrol mekanizmaları bulunmamaktadır. Girdi Kontrollerine İlişkin Bulgular (Sayfa 79-83) Sisteme girişi yapılan veriler, sistemler tarafından üretilen her türlü bilginin ve raporun temelini teşkil etmektedir. Verilerin sisteme yalnızca yetkili kişiler tarafından, doğru kaynaklara dayanarak ve doğru bir şekilde girilmesini sağlamak üzere oluşturulan kontroller girdi kontrolleri olarak adlandırılmaktadır. Bu konuda şu bulgular elde edilmiştir: Sistemde yer alan veriler üzerinde yapılan değişiklikler belgelenmemekte ve yeterli şekilde kontrol edilmemektedir. Sisteme kaydedilecek veriler için standart veri giriş formları kullanılmamaktadır. Verilerin kaydedilmesini takiben, ilgili belgelerin onaylanarak saymanlığa intikal ettirilmesine ilişkin süreçler yetersizdir. Kaynak niteliğinde olmayan belgelerle kayıt yapılmasını engelleyecek prosedürler geliştirilmemiştir. Aynı verinin sisteme mükerrer kaydedilmesini önleyecek otomatik uyarı mekanizmaları kurulmamıştır. Personel ve Eğitim Politikalarına İlişkin Bulgular (Sayfa 85-88) Bilişim sistemlerinin kaynaklanan sorunların büyük bir kısmı insanlar tarafından yapılan hata, ihmal ve suistimallerden kaynaklanmaktadır. Bu nedenle kurumların, personelin hata yapma riskini düşürecek kontroller kurmaları önem kazanmaktadır. Bu konuda şu bulgular elde edilmiştir: Kurum çalışanlarının kişi bazında görev tanımları bulunmamaktadır. Kurumda birbiriyle bağdaşmayacak nitelikteki görevler belirlenmemiş ve bunların farklı kişiler tarafından yürütülmesi güvence altına alınmamıştır. Kilit konumdaki personelin izin kullanmasını veya rotasyona tabi tutulmasını zorunlu kılan politika ve prosedürler bulunmamaktadır. Personel temini ile ilgili genel uygulamalar, bilişim sisteminin ihtiyacı olan nitelikli iş gücünün temin edilmesini güçleştirmektedir. Belgeleme Politikalarına İlişkin Bulgular (Sayfa 90-93) Kurumun belgeleme politikalarının yetersiz olması, personelin hatalı veya yetkisiz işlem yapma riskini yükseltebilir. Ayrıca, sistemde bir hata meydana geldiği zaman, eğer işlemler yeterli bir şekilde belgelenmemişse, hatanın sebebinin tespiti de güçleşebilir. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 10
Bu konuda şu bulgular elde edilmiştir: Kurumda, temel konulardaki politikaların belirlenmesine yönelik olarak alınan kararlar, yeterli şekilde belgelenmemektedir. Kurumda yürütülen süreçler (iş akışları) yeterli şekilde belgelenmemekte, teamüllere ve kişilere bağlı olarak yürütülmektedir. Bilgi İşlem Merkezinin faaliyetleriyle ilgili belgeleme usulleri yeterli değildir. Sisteme girilen verilerle bu verilerin kaynağını oluşturan belgeler arasında uygun bir irtibat kurulmamaktadır. Sistemdeki verilerin kaynağını oluşturan belgelerin arşivlenmesiyle ilgili düzenlemeler yetersizdir. İç Denetime İlişkin Bulgular (Sayfa 96) İç denetim, bir kurum yönetimince görevlendirilen denetim elemanları tarafından, kurumun sistem ve usullerini değerlendirmek ve hesaplardaki yolsuzluk, maddi hata, yanlışlık ve verimsiz uygulama ihtimallerini asgariye indirmek amacıyla yapılan denetimdir. Bu konuda şu bulgu elde edilmiştir: Kurumda iç denetim mekanizması çalışmamaktadır. Hazine bilişim sistemlerinin denetimi sonucunda tespit edilen risklerle ilgili grafikler aşağıda verilmiştir. Sonuç 1. Hazine Müsteşarlığında şu anda kullanılmakta olan bilişim sisteminin hesaplara esas olan cetvelleri güvenilir bir şekilde üretmeye yeterli olmadığı tespit edilmiştir. 2. Yeniden tanzim edilerek Sayıştaya verilen 1995-2002 yıllarına ait dış borç hesapları, tam, doğru ve uygun olmadıkları gerekçesiyle Sayıştay Genel Kurulunun 06.10.2003 tarih ve 5071/1 sayılı kararı ile reddedilmiştir. Reddedilen Hazine hesaplarına uygunluk verilebilmesi için; Hazine bilişim sistemlerinin yeniden yapılandırılması çalışmaları tamamlanmalıdır. Yeni sistemde, Hazine Bilişim Sistemleri raporunda değinilen ve sistemin güvenilirliğini zedeleyen kontrol zaafları giderilmelidir. Sistem tarafından üretilen cetvel ve bilgiler, 2003 yılı uygunluk bildirimi çalışmalarından önce, Hazine Müsteşarlığının da görüşü alınmak suretiyle Sayıştay Genel Kurulu tarafından belirlenecek esaslar çerçevesinde, Devlet Borçları Saymanlığına intikal ettirilerek Sayıştaya verilmelidir. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 11
HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU
İçindekiler Sunuş 3 Özet 5 İçindekiler 13 Giriş 15 1. Hazine Hesapları ve İç Kontrol Sistemi 21 2. Güvenlik Yönetimi 25 3. Mantıksal Erişim Kontrolleri 34 4. Fiziksel Erişim Kontrolleri 47 5. Yazılım Geliştirme 53 6. Değişim Yönetimi 67 7. Girdi Kontrolleri 79 8. Personel ve Eğitim Politikaları 84 9. Belgeleme Politikaları 90 10. İç Denetim 95 11. Sonuç 99 Kavramlar 101 Yararlanılan Kaynaklar 104 Şekiller Şekil 1 Risklerin dağılımı 6 Şekil 2 Risklerin konulara göre dağılımı 7 HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 13
HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 14
Giriş Raporun Amacı Bu raporda, Hazine Müsteşarlığı bilişim sistemleri tarafından üretilen bilgilerin güvenilir olup olmadığı sorusuna cevap aranmaktadır. Bu çerçevede, bilişim sistemi iç kontrollerinin güvenilir bir şekilde çalışıp çalışmadığı denetlenmiştir. Arka Plan Hazine Müsteşarlığı, 1983 yılından başlayarak bilgi teknolojilerine dayalı olarak faaliyet göstermek üzere çeşitli projeler uygulamış ve yatırımlar yapmıştır. Bu çerçevede devletin borç stokuna ilişkin tüm bilgiler bilgisayar sistemlerine aktarılarak bu sistemler üzerinden yönetilmeye başlanmıştır. Bugün gelinen noktada Hazine Müsteşarlığı nın bilişim faaliyeti, kurumun temel fonksiyonlarını icra edilebilmesi için vazgeçilmez hale gelmiştir. Hazine bilişim sistemleri, bu sistemlerin çıktısı üzerinden denetim yapan Sayıştay ı yakından ilgilendirmektedir. Zira kamu kesiminin yükümlülüklerini gösteren, hangi tarihte ne kadar borç ödeneceğini belirleyen bütün bilgiler bilgisayarlarda tutulmaktadır. Bu sebeple, bilgisayarların çıktısı olan cetvel ve raporlarda yer alan bilgiler ikincil öneme düşmekte, bilişim sistemleri temel bilgi kaynağı olarak öne çıkmaktadır. Hazine Müsteşarlığı Devlet Borçları Saymanlığı tarafından takip edilen Dış Borçlara ilişkin hesaplar, 1995 yılından itibaren, tam, doğru ve uygun olmadıkları gerekçesiyle reddedilmiştir. Reddedilen hesaplarla ilgili olarak yapılan çalışmalar, 1997 yılından itibaren düzenli olarak hazırlanan Hazine Hesapları İzleme Raporları ile Meclise düzenli olarak bildirilmiştir. Bu raporlarda Hazine Müsteşarlığının iç kontrol sisteminden ve borçların takip edildiği bilgisayar sisteminden kaynaklanan sorunlar üzerinde hassasiyetle durulmuştur. Kamu kesiminde iç kontrollere ilişkin olarak net bir hukuki çerçeve bulunmamaktadır. İç kontrollere ilişkin bir çok temel prensibe öz itibariyle değişik kanunlarda rastlamak mümkündür. Fakat mevcut düzenlemeler kamu kuruluşlarını iç kontrolleri bir yönetim tarzı olarak benimsemeye ve bir iç kontrol sistemi kurmaya zorunlu kılmamaktadır. Ancak Sayıştay Raporlarında, Hazine Müsteşarlığının iç kontrollerinin, Sayıştay tarafından belirlenen standartlar ışığında HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 15
yeniden yapılandırılması gereğine dikkat çekilmiştir. 1 Raporlarda bu konulara ilişkin olarak yer alan öneriler Sayıştay Genel Kurulu tarafından kabul edilerek TBMM ye bildirilmiştir. TBMM Plan ve Bütçe Komisyonu da söz konusu önerileri, Hazineden Sorumlu Devlet Bakanının da muvafakatini almak suretiyle oylayarak kabul etmiştir. İç kontrollerle ilgili olarak Sayıştay Genel Kurulu ve TBMM Plan ve Bütçe Komisyonu tarafından benimsenen bu prensipler uyarınca 2003 yılında Hazine Müsteşarlığının iç kontrol sisteminin denetlenmesine karar verilmiştir. Müsteşarlığının faaliyetlerinin büyük ölçüde bilgisayar ortamında gerçekleştirildiği dikkate alınarak, bilişim ortamındaki iç kontrollerin değerlendirilmesi amacıyla Hazine Bilişim Sistemleri denetlenmiştir. Denetim Alanı Hazine Müsteşarlığı, uzun süredir bilişim sistemlerini yeniden yapılandırmaya yönelik çalışmalar yapmaktadır. Bu çalışmalar sırasında halen uygulanan sistemin bir çok eksiği tespit edilmiş ve yeni geliştirilmekte olan sistemde bunlara ilişkin önlemler alınmıştır. Müsteşarlıkta yeni bir sisteme geçme çalışmalarının devam ettiği gözönünde bulundurularak, bilişim sistemlerinin denetim çerçevesi, iç kontrollerle ilgili genel bir değerlendirme yapacak şekilde oluşturulmuştur. Mevcut sistemde yer alan bir çok güvenlik açığının yeni sistemle giderilmesi hedeflendiğinden, bunlara ilişkin detaylı testlere girilmemiştir. Denetim çalışmasında Hazine Müsteşarlığının bilişim sistemi, genel kontroller ve uygulama kontrolleri olmak üzere iki ana kategori altında incelenmiştir. Temel politika ve süreçlere ilişkin kontrolleri içeren genel kontroller şu başlıklar altında incelenmiştir: Güvenlik Yönetimi, Mantıksal Erişim Kontrolleri, Fiziksel Erişim Kontrolleri, Yazılım Geliştirme, Değişim Yönetimi, 1 Hazine Müsteşarlığı Devlet Borçları Saymanlığı Dış Borçlar Hesabı Uygunluk Bildirimine İlişkin 1998 Yılı İzleme Raporu, sf. 18. Hazine Hesapları 1999 Yılı İzleme Raporu, sf. 19-24. Hazine Hesapları 2000 Yılı İzleme Raporu, sf. 32-36. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 16
Personel ve Eğitim Politikaları, Belgeleme Politikaları, İç Denetim. Verilerin işlenmesine ilişkin kontrolleri içeren uygulama kontrolleri ile ilgili olarak da Girdi Kontrolleri incelenmiştir. Denetim Yaklaşımı Hazine bilişim sistemleri denetiminde, sistemin işlem ve uygulamalarının güvenliğini ve güvenilirliğini sağlayan iç kontroller incelenmiştir. Bu amaçla şu temel soruların cevabı aranmıştır; Bilgisayar ekipmanına, programlara ve veri dosyalarına yetkisiz kişilerce ulaşılması, değiştirilmesi veya zarar verilmesine karşı koruyucu güvenlik tedbirleri alınmış mıdır? Programlar ve veriler üzerinde yapılan değişiklikler, yönetiminin kontrolü altında mıdır? Sistemde, işlemlerin, dosyaların, raporların ve diğer bilgisayar kayıtlarının tam ve doğru bir şekilde işlenmesini ve kaydedilmesini sağlayacak tedbirler alınmış mıdır? Hazine bilişim sistemlerinin denetiminde dört aşamalı risk tabanlı bir denetim yaklaşımı uygulanmıştır Bu bağlamda; Bilişim sisteminin karşı karşıya kaldığı risk ve tehditler belirlenmiş, meydana gelebilecek hata türleri ve düzensizlikler göz önünde bulundurulmuştur. Bu hata ve düzensizlikleri önlemek veya tespit etmek için gereken kontrol süreçleri belirlenmiştir. Bu gerekli süreçlerin sistemde tanımlanıp tanımlanmadığı ve uygun bir şekilde çalışıp çalışmadığı incelenmiştir. Kontrol süreçleriyle ilgili zaaflar tespit edilmiş ve kontrol sisteminin riskleri minimize etmek için yeterli olup olmadığı değerlendirilmiştir. Denetim çalışmalarında, Hazinede kurulması gereken kontroller, uluslararası alanda genel kabul görmüş standartlar ve iyi uygulama örnekleri ışığında belirlenmiştir. Belirlenen ana denetim konuları için hazırlanan kriter setleri, denetimin çerçevesini oluşturmakta ve Hazinede kurulması gereken iç kontroller için asgari yapıyı belirlemektedir. Kriter setleri Hazinede yapılan toplantı ve mülakatlarla ele alınmış, yapılan gözlem ve testlerle elde edilen bulgular Hazine yönetimi ile birlikte değerlendirilmiştir. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 17
Denetim çalışmaları, başta Bilgi İşlem Merkezinin bağlı olduğu Ekonomik Araştırmalar Genel Müdürlüğü ve Kamu Finansmanı Genel Müdürlüğünde yürütülmüştür. Tüm bu çalışmalar gerçekleştirilirken denetim faaliyetinin uluslararası standartlara uygunluğunu sağlamak ve bir kısım teknik testleri gerçekleştirmek amacıyla, uluslararası denetim firmalarından PriceWaterhouse Coopers tan danışmanlık hizmeti alınmıştır. Raporda Değinilen Riskler ve Alınan Önlemler Hazine Müsteşarlığı bilişim sistemleri üzerinde gerçekleştirilen denetim çalışmasında, sistemle ilgili güvenlik açıkları tespit edilmiştir. Konunun hassasiyeti, bu hususların bir raporla Türkiye Büyük Millet Meclisine, dolayısıyla kamuoyuna bildirilmesinden kaynaklanabilecek risklerin önüne geçmek amacıyla tedbir alınmasını gerekli kılmaktadır. Bilişim sistemlerinde yer alan kontrol zaafları, Hazine yetkilileri ile yapılan ve iki hafta süren toplantılarda ele alınmıştır. Denetim sonucunda elde edilen bulgular, Hazine üst yönetimi ile yapılan bir toplantıda ayrıca değerlendirilmiştir. Bu çalışmalarda, Hazine Müsteşarlığının, raporda yer verilen bulguların önemli bir kısmının farkında olduğu ve bunları gidermek için çeşitli çalışmalar yapıldığı görülmüştür. Denetim sırasında tespit edilerek yetkililere bildirilen kontrol zaaflarının giderilmesi için gerekli çalışmalar da başlatılmış bulunmaktadır. Sonuç itibarıyla, raporda yer verilen bulguların, Hazine Müsteşarlığını herhangi bir tehditle karşı karşıya bırakmayacağı ve yönetimin gerekli önlemleri aldığı hususunda yeterli güvence elde edilmiştir. Güvenlik açıklarıyla ilgili sorunlardan, hemen çözülebilecek ve kaynak kullanımını gerektirmeyen hususlarla ilgili gerekli tedbirler, rapor yayınlanana kadar alınmış olacaktır. Önlemlerin Aksamasına Neden Olan Hususlar Hazine iç kontrol sisteminin yeniden yapılandırılmasının önünde, kısa vadede aşılması zor olan iki sorun bulunmaktadır; Personel sayısının yetersizliği, Kaynakların yetersizliği. Kamu kesiminin yaşadığı mali sorunlar sebebiyle, son yıllarda kamu faaliyetlerinde tasarruf tedbirleri ön plana çıkmış durumdadır. Ancak, Hazine Müsteşarlığı bilişim sistemlerinin denetiminde elde edilen bulgular, bu kurumun kaynak kullanımı HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 18
üzerindeki kısıtlamaların yeniden gözden geçirilmesinin zorunlu olduğunu göstermektedir. Hazine Müsteşarlığı, kamu kesiminin borçlarını ve diğer mali risklerini yöneten, nakit akışını idare eden bir kurum konumundadır. Kurumun yönetmekte olduğu risk portföyü, yüzmilyarlarca dolarlık bir meblağa ulaşmaktadır. Hazinenin üstlendiği görevlerin çokluğu ve ağırlığı, bu kurumun temel faaliyetlerindeki bir aksamanın bedelinin de son derece ağır olmasına yol açacaktır. Nitekim, iç kontrol sistemindeki bir aksamanın sonucunda ortaya çıkan Hazine hesapları ile ilgili sorunlar sekiz yıldır hala tam olarak çözülebilmiş değildir. Personel sayısının yetersizliği Hazine Müsteşarlığının Kamu Finansmanı Genel Müdürlüğü ve Ekonomik Araştırmalar Müdürlüğüne bağlı Bilgi İşlem Merkezi, mevcut iş akışını az sayıda personel ile karşılamaya çalışmaktadır. Her ne kadar 2000 yılında personel sayısında bir artış sağlanmışsa da, mevcut sayının iş yüküne kıyasla hala yetersiz olduğu gözlenmektedir. Kamu Finansmanı Genel Müdürlüğünde, her bir çalışan başına düşen yıllık işlem adedi, özelliği bulunan işlemlerin yeterli inceleme yapıldıktan sonra gerçekleştirilmesine imkan tanımayacak ölçüde fazladır. Bu birim, yürütülen işlere ek olarak, dış borç sisteminin yeniden yapılandırılması ve alacak sisteminin kurulması çalışmalarını yürütmektedir. Birimdeki iş yükü dolayısıyla mesai saatleri dışında çalışılması rutin hale gelmiştir. Bilgi İşlem Merkezi, Hazine bünyesinde ihtiyaç duyulan yazılımları kendi imkanlarıyla gerçekleştirmektedir. Ancak bu birimde de bir çok yeni projenin geliştirilmesi, değişik birimlerin ihtiyaçlarının karşılanması ve Hazine veri sistemlerinin yeniden kurulması sebebiyle kişi başına iş yükü, oldukça ağır seviyededir. Mevcut yapıda aciliyeti olan bir çok işin, eleman yetersizliği sebebiyle ertelendiği görülmüştür. Kaynakların yetersizliği Bilişim sistemleriyle ilgili faaliyetlerin, sürekli yatırımlara bağlı olduğu açıktır. Hazinede bilişim sistemlerinin geliştirilmesi için önemli yatırımlar yapılmıştır. Ancak, son yıllarda uygulanan tasarruf tedbirleri sebebiyle ayrılan kaynak miktarı giderek azalmıştır. Hazinede bilişim sistemlerine ayrılan kaynak miktarı, (personel giderleri dahil) toplam idari bütçenin % 2 sinden azdır. Hazine Müsteşarlığı, idari faaliyetlerle ilgili tasarruf tedbirlerinin uygulanmasına öncelik veren bir kurumdur. Kurumun kamuoyu nezdindeki konumu, bu hassasiyeti doğurmaktadır. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 19
Ancak, Hazinenin taşıdığı riskler göz önüne alındığında, kurumun sağlıklı bir iç kontrol yapısına sahip olması için ayrılması gereken kaynakların, risklere kıyasla oldukça önemsiz tutarlarda olduğu görülmektedir. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 20
1. Hazine Hesapları ve İç Kontrol Sistemi İç Kontrol Sistemi İç kontrol, yönetim hedeflerinin gerçekleşme yolunda olduğu konusunda yeterli güvence sağlamakta yararlanılan bir yönetim aracıdır.bir iç kontrol yapısı, yönetimin tutumu, metotlar, usuller ve hedeflere ulaşılmasına yeterli güvence sağlayan diğer önlemler dahil olmak üzere bir kurumun planları şeklinde tanımlanır. Her devlet kuruluşunun yöneticisi, iç kontrolün etkin olması bakımından yeterli iç kontrol yapısının kurulmasını, gözden geçirilmesini ve güncelleştirilmesini sağlamalıdır. Etkin bir iç kontrol sistemi şu hedeflere ulaşmayı sağlar; 1. Örgütün işlevine uygun olarak, düzenli, ekonomik, verimli ve etkin faaliyetler ve kaliteli ürün ve hizmetler gerçekleştirilmesi, 2. Kaynakların savurganlıktan, suistimalden, yetersiz yönetimden, hatalardan, yolsuzluktan ve diğer düzensizlikten kaynaklanan kayıplara karşı korunması, 3. Yasalara, yönetmeliklere ve yönetimin direktiflerine uyulması, 4. Güvenilir mali ve idari verilerin hazırlanması ve saklanması ve bu verilerin uygun zamanlı raporlarda tam ve doğru olarak açıklanması. İç kontrol, bir kurumun mümkün olduğu kadar kendine yeterli bir bütün olarak çalışmasını sağlar. Yapılan hatalar sistem içindeki kontrollere takılır, böylece dış denetime akseden sorun sayısı önemli ölçüde azalır Sayıştay iç kontrollerle ilgilenirken kurum yönetimine ve politikasına müdahalede bulunmaz.sadece yol gösterici ve gerektiğinde uyarıcı bir yol takip eder. Sayıştay; İç kontrol yapısı kurulurken uyulacak standartları belirleyerek yol gösterir, Denetim sırasında karşılaştığı iç kontrol zaafiyetleri konusunda idareyi uyarır, Periyodik olarak iç kontrolleri gözden geçirir. (Hazine Hesapları 1999 Yılı İzleme Raporu, sf. 19-20) Gelişmiş ülkelerde tüm devlet birimlerini kapsayacak iç kontrol standartları belirlenmiştir. Ülkemizde ise henüz bu yönde yapılmış bir belirleme bulunmamaktadır. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 21
Ancak özellikle kamu hizmetlerinin bilgi teknolojilerine dayalı sistemler ile yürütülme çabasının hızlanarak yaygınlaşması, kamu harcamaları içerisinde bilgi teknolojileri yatırımlarının giderek artması ve gelecekteki devletin e-devlet olarak tasarlanması, iç kontrol yapısını geçmişe nazaran çok daha önemli kılmaktadır. Zira bilgi teknolojilerine dayalı faaliyetlerin kontrol edilmesi, daha bütüncül, sistemli ve güvenliği sağlamayı temel alan bir yönetim yaklaşımı gerektirmektedir. Hazine Müsteşarlığının Yapısı Hazine Müsteşarlığının iç kontrol yapısı, Hazine bilişim sistemleri tarafından üretilen cetvel ve raporların güvenilirliğini etkileyen önemli zaaflar taşımaktadır. Ancak bu husus değerlendirilirken, Müsteşarlığın bu zaafların önemli bir kısmının farkında olduğu ve sorunların çözümü için büyük bir gayret gösterdiği gözönünde tutulmalıdır. 1995 yılı Dış Borçlar Hesabının reddedilmesinde, Hazine Müsteşarlığının iki birimi (Kamu Finansmanı Genel Müdürlüğü ve Devlet Borçları Saymanlığı) tarafından takip edilen dış borç kullanımları üzerinde yapılan denetimin sonucu etkili olmuştur. Bu inceleme, devletin dış borcunu gösteren Dış Borç Hesabı ile borçların takip edildiği bilgisayar sisteminde yer alan dış borç kullanım bilgileri arasında yüzde doksan sekiz (%98) oranında tutarsızlık olduğunu göstermişti. Hazine bilişim sistemleri, 1990 lı yılların başlarında yaşanan sorunların 1995 yılında Sayıştay tarafından tespit edilmesinden sonra yeniden yapılandırılmıştır. Hazine, denetim açısından hem büyük sorunların yaşandığı, hem de kamu kesimindeki en iyi uygulama örneklerinin görüldüğü bir kurum konumundadır. Bilgi İşlem Merkezi, Devlet Borçları Saymanlığı ve Kamu Finansmanı Genel Müdürlüğü tarafından yapılan çalışmalar, mevzuatın gerektirdiği yapının ilerisindedir. Ancak bu uygulamalar, kişilerin ve birimlerin insiyatifine bağlı olarak yürütülmektedir ve sürekli uygulanmaları kurum yönetiminin iradesi ile zorunlu kılınmamıştır. Çelişkili gibi görünen bu durumun temel sebebi, mevzuatımızda iç kontrollerle ilgili düzenlemelerde yer alan eksikliktir. Hazine, kanunlar karşısında, bir iç kontrol sistemi kurmakla yükümlü tutulmamaktadır. Ancak, kurumun devasa işlem hacminin ve Türkiye nin karmaşık borç stokunun takip edildiği bir sistemin, sağlıklı bir iç kontrol yapısı olmaksızın düzenli ve güvenilir bir şekilde çalışması mümkün değildir. Nitekim, Hazinenin hızla büyüdüğü 1990 lı yıllarda bir iç kontrol yapısı kurulmamasının HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 22
doğurabileceği riskler gerçekleşmiş ve Hazine bilişim sistemleri bir süre fonksiyonunu yitirmiştir. Sayıştay tarafından gerçekleştirilen denetimlerde Hazine hesapları ile ilgili sorunların iç kontrollerden kaynaklandığı belirtilmiş ve Türkiye Büyük Millet Meclisine gönderilen raporlarda iç kontrollerin yeniden yapılandırılması gerektiği belirtilmiştir. İç kontroller yapılandırılırken esas alınacak temel standartlar da uluslararası alanda kabul görmüş uygulamalar esas alınarak raporlarda belirtilmiştir. Sonuçta Hazine Müsteşarlığında iç kontrol sisteminin yeniden yapılandırılması gereği, Sayıştay Genel Kurulu ve TBMM Plan ve Bütçe Komisyonu tarafından alınan kararlarla vurgulanmıştır. Hesaplarla İlgili Genel Değerlendirme Hazine Müsteşarlığında şu anda kullanılmakta olan bilişim sisteminde yer alan zaaflar, bu sistemin çıktısı olan raporların doğru ve güvenilir olmamasına yol açabilecek önemli riskler doğurmaktadır. 2003 yılında yürütülen denetim çalışmalarında elde edilen bulgular, bu risklerin gerçekleştiğini ve Sayıştaya verilen dış borç cetvellerinde hesabın reddedilmesine sebep olacak önemli hatalar bulunduğunu göstermiştir. Hesapta yer alan sorunlarla ilgili bilgiler 2002 Yılı Hazine İşlemleri Raporu nda ve Hazine Hesapları 2003 Yılı İzleme Raporu nda verilmiştir. Giriş bölümünde değinildiği üzere, Hazine Müsteşarlığı, mevcut bilişim sisteminin yetersizliklerinin farkındadır ve bu sorunları çözmek amacıyla sistemi yeniden yapılandırmaktadır. Sistemin yeniden yapılandırılması aşamasında, iş gücünün yetersizliği sebebiyle mevcut sistemin geliştirilmesi ve aksaklıklarının giderilmesi ile ilgili faaliyetler askıya alınmış, yeni sistemin kurulması üzerinde yoğunlaşılmıştır. Ancak, yeni sistemin uygulamaya geçirilmesi henüz sağlanamamıştır. Dolayısıyla bu raporda değinilen kontrol zaafları henüz sistemin çıktılarını güvenilir kılacak seviyede giderilememiştir. Reddedilen Hazine hesaplarına uygunluk verilebilmesi için; Hazine bilişim sistemlerinin yeniden yapılandırılması çalışmaları tamamlanmalıdır. Yeni sistemde, bu raporda değinilen ve sistemin güvenilirliğini zedeleyen kontrol zaafları giderilmelidir. Sistem tarafından üretilen cetveller, tespit edilen hatalar düzeltilmek suretiyle yeni sistem tarafından üretilerek Sayıştay a verilmelidir. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 23
HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 24
2. Güvenlik Yönetimi Güvenlik yönetimi, kurumla ilgili riskler göz önünde bulundurularak, hizmetlerin sürekliliğini sağlayacak bir kontrol yapısının kurulmasını ve sürdürülmesini hedefler. Bu çerçevede Güvenlik Yönetimi şu hususları kapsar; Kurum genelinde risk yönetimi yapılması, Güvenlik politikalarının belirlenmesi, Sorumlulukların ilgili birimler arasında paylaştırılması, Bilgi işlem hizmetlerinin ve kurumun tüm fonksiyonlarının devamlılığının sağlanması için bir kontrol çerçevesi çizilmesi, Yol gösterici dokümanların hazırlanması Kontrol ortamının işleyişinin izlenmesi. Güvenlik yönetiminin incelenmesi, Hazine Müsteşarlığı yönetimi tarafından bilgi sistemlerini güvenlik altına almak için uygulanan kontrol mekanizmalarının incelenmesini ve dolayısıyla bu bilgi sistemlerinden alınan rapor ve çıktıların güvenilirliğinin ölçülmesini sağlamaktadır. Güvenlik yönetimi politikaları şu temel kriterlere uygun oluşturulmalıdır: Kurumda güvenlikten sorumlu bir birim oluşturulmalıdır. Kurumla ilgili riskler görevli bir birim tarafından düzenli olarak değerlendirilmeli ve belgelenmelidir. Yapılan risk değerlendirmesinde, sistem ve süreçlerde meydana gelen değişiklikler de ele alınmalıdır. Yönetim, bilgiye ve bilgi sistemlerine erişimin ne şekilde kontrol edileceğini belirleyen politikalar oluşturmalı ve bu politikalar programlara ve verilere erişimden kaynaklanan risk düzeyine dayanmalıdır. Yönetim, güvenlikle ilgili politika ve prosedürleri periyodik olarak gözden geçirmeli, bunların ne derece uygun olduğunu ve bunlara ne kadar uyulduğunu değerlendirmelidir. Yönetim, sorunları gidermek için alınan önlemlerin etkin bir şekilde uygulanmasını gözetmelidir. Bilgi güvenliğiyle ilgili sorumluluklar açık bir şekilde tanımlanmalıdır. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 25
Bütün kurum faaliyetlerini kapsayan bir güvenlik planı hazırlanmalı ve onaylanarak yürürlüğe konmalıdır. Bilişim sistemine ilişkin güvenlik planları, üst yönetim veya üst yönetimin görevlendireceği bir birim tarafından oluşturulmalı ve onaylanıp duyurulmalıdır. Bilişim sistemine ilişkin güvenlik planları, standartlar, prosedürler ve rehberlerle desteklenmelidir. Güvenlik planı uygun aralıklarla güncellenmelidir. Kullanıcılara, organizasyonun bilgi güvenliği konusundaki, politikalarını ve kendilerinden beklenen güvenlik önlemlerini tanıtıcı eğitimler verilmelidir. Sistem yöneticileri ve kullanıcılar güvenlik politikaları hakkında yeterli bilgi sahibi olmalıdır. Son kullanıcılara sağlanan bilgisayar imkanları, iş ihtiyaçları için uygun olmalı ve uyumluluğun sağlanması, kullanıcı desteğinin etkin olması ve veri bütünlüğünün sağlanabilmesi açılarından kontrol edilmelidir. Güvenlikle ilgili olaylarda özel raporlama prosedürleri uygulanmalıdır. Acil / beklenmedik durumlara karşı uygun tedbirler alınmalı ve bir acil durum planı hazırlanmalıdır. Bu plan çerçevesinde görevli olacak ekip belirlenmeli ve plan sürekli olarak güncellenerek test edilmelidir. 2.1. Bulgu: Hazine Müsteşarlığının karşı karşıya bulunduğu risklerin belirlenmesine ve bunlara karşı bir güvenlik planı hazırlanmasına ilişkin herhangi bir çalışma yapılmamaktadır. Risk düzeyi: Yüksek Kurumun karşı karşıya kaldığı riskler belirlenerek kayıt altına alınmamakta, düzenli olarak gözden geçirilmemekte ve sistematik olarak bu risklerin gerçekleşme olasılıkları değerlendirilmemektedir. Kurumun, güvenlik konularını ele almaya, bunlara ilişkin standartlar oluşturmaya ve kurum genelinde karşılaşılması muhtemel riskleri önlemeye yönelik yazılı bir güvenlik politikası ve planı bulunmamaktadır. Kurumda bu faaliyetleri yerine getirmekle görevli bir birim bulunmamaktadır. Bunlara bağlı olarak, Bilgi İşlem Merkezinin güvenlik politikalarını, uygulamalarını ve yönetim standartlarını belirlemeye yönelik kapsamlı ve sistematik bir çalışma gerçekleştirilmemiştir. Hazine Müsteşarlığı Bilişim Hizmetleri Yönergesi bu konuda kullanıcılar HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 26
için genel bir çerçeve çizmektedir. Ancak kurumun genelini kapsayan bir güvenlik politikası bulunmamaktadır. Risk: Kurumun karşı karşıya kaldığı riskler açıkça tanımlanmadığından, kurum içerisinde bu risklerin önüne geçilmesi için alınması gereken önlemlerin sistematik ve yeterli bir şekilde tespit edilmesi mümkün olmamaktadır. Bu husus, Hazine iç kontrol sisteminin 2 en önemli zaaflarından birini oluşturmaktadır. Mevcut yapı içinde, belirlenen risklerin hangisinin önemli olduğu ve öncelikle hangisi için önlem alınması gerektiği de belirlenememektedir. Kurumun belirli bir güvenlik politikasının ve planının bulunmaması, güvenlikle ilgili olayların etkin bir şekilde izlenememesine ve raporlanamamasına yol açabilir. Güvenlik ile ilgili konularda sorumlulukların ve yaptırımların açıkça belirlenmemiş olması, güvenlik ihlallerinin takibini zorlaştırmaktadır. Yazılı bir güvenlik politikası bulunmaması sebebiyle, kurum genelinde güvenlikle ilgili sorumluların güvenlik altına almaları gereken ortamı bir bütün olarak görmeleri ve yeterli güvenlik önlemlerini almaları zorlaşmaktadır. Belgelenmiş ve tüm kurum personeline duyurulmuş bir güvenlik politikası olmaması, kullanıcıların ve sistem yöneticilerinin bazı güvenlik önlemlerini almamalarına, bunun sonucu olarak da kurum kaynaklarına yetkisiz erişime kadar varabilecek güvenlik açıklarına neden olabilir. Güvenlik politikasının yazılı olmaması ve bununla ilgili planların bulunmaması, kurumun iç kontrollerinin denetiminde baz alınacak kriterlerin de bulunmaması anlamına gelmektedir. Bu, iç denetim biriminin iç kontroller üzerinde gerçekleştirmesi gereken denetim için gereken zeminin oluşmasını engelleyebilir. Çözüm çalışmaları: Hazine Müsteşarlığı ile yapılan görüşmelerde, üst yönetim tarafından risk değerlendirmesini yapmak üzere bir Risk Komitesi kurulması hususuna karar verildiği görülmüştür. 2 İç Kontrol Sistemi: Kurumdaki süreçlerin kontrollü bir şekilde yürütülebilmesi ve denetlenebilir olması için süreçlerin, iş akışlarının içerisine yerleştirilen kontrol mekanizmaları ve bu kontrol mekanizmaları ile kurum genelinde oluşturulan kontrol yapısıdır. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 27
Öneri: Kurum içerisindeki her birim kendi sorumlulukları ile ilgili olarak mevcut riskleri ortaya koymalı, kurum üst yönetiminin tamamının katıldığı bir risk değerlendirme toplantısı düzenlenmeli ve belirlenen riskler belgelenmelidir. (Belgeleme için bir risk kayıt sistemi kullanılması, iyi uygulamalarda görülen bir örnektir.) Belirlenen riskler, gerçekleşme olasılıkları ve kurumun mevcut kontrol yapısı göz önünde bulundurularak değerlendirilmeli ve önem sırasına konulmalıdır. Bu risk çalışması, kurumun iç kontrol yapısı, güvenlik ile ilgili alınacak önlemler (mantıksal ve fiziksel erişim kontrolleri) ve yapılacak yatırımlara karar verilirken ana kriterlerden biri olarak kullanılmalıdır. Risk değerlendirme çalışması belirli aralıklarla gözden geçirilmeli ve kurumun değişen ortamının ve yapısının doğurabileceği yeni risk durumunun belirlenmesi sağlanmalıdır. Risk değerlendirme çalışması yapılırken yönetim, kurumun kabul edilebilir risk seviyesini de belirlemeli, bu seviyeyi, kontrol ve güvenlik yatırımları için bir kriter olarak kullanmalıdır. Kurum kaynaklarının daha etkin ve verimli kullanılması ve kurum ihtiyaçlarının önceliklere uygun şekilde karşılanması için kurumun karşı karşıya bulunduğu risklerin tanımlanması, düzenli olarak izlenmesi ve kabul edilebilir risk seviyesinin belirlenmesi gerekli bulunmaktadır. Kurumun genel güvenlik politikası ve bilgi işlem güvenlik politikası belgelenmeli ve üst yönetim tarafından onaylanmalıdır. Bu onay, kurum yönetiminin kontrollü bir bilgi işlem yönetimine verdiği önemi kullanıcılara göstermesi bakımından önem taşımaktadır. Tüm kurum personeli güvenlik politikasının içeriği hakkında bilgilendirilmelidir. Kurumun bilgi işlemle ilgili güvenlik politikası aşağıdaki hususları ihtiva etmelidir; a) Bilgi işlem güvenliğinin genel tanımı, amaçları ve kapsamı; b) Bilgi işlem güvenliği politika ve prensiplerini yönetimin desteklediğini göstermeye yönelik bir ifade; c) Kurum için önem arz eden konular hakkında güvenlik politikaları, prensipler, standartlar ve uyumluluk gerekliliklerini içeren kısa açıklamalar, örneğin; i) Kanuni yükümlülüklere uyum, ii) Güvenlik eğitimi, iii) Virüs tespit ve önleme politikaları, iv) E-mail ve Internet kullanımı, HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 28
v) Güvenlik kurallarının ihlali durumunda uygulanacak yaptırımlar. d) Bilgi işlem güvenliğinin tüm konuları için genel ve detaylı sorumlulukların tanımlanması, e) Genel güvenlik politikasını desteklemeye yönelik diğer belgelere referanslar, (belirli bazı yazılımlar için detaylı güvenlik prosedürleri, belirli kullanıcıların uymaları gereken güvenlik kuralları gibi) f) Fiziki güvenlik ile ilgili olarak genel ve detaylı sorumlulukların tanımlanması. Kurum güvenlik politikasından kimin sorumlu olduğu belirlenmelidir. Güvenlik politikası kurum bazında yapılacak çalışmalarla bu kişi tarafından düzenli olarak güncellenmelidir. Güvenlikle ilgili incelemeler uygun şekilde gözden geçirilmelidir. Gözden geçirme işlemi; (i) düzenli periyotlarla, (ii) yazılımlar, sistemler veya altyapı konusunda büyük değişiklikler yaşandığında (iii) güvenlikle ilgili önemli olaylar yaşandığında, yapılabilir. Gözden geçirmelerde yapılacak incelemenin başlıca konusu, güvenlik politikasının ve mevcut kontrol yapısının etkinliğinin incelenmesi olmalıdır. Güvenlik politikasının etkinliğinin değerlendirilebilmesi için, güvenlik olaylarının sayısı, tipi ve maliyetleri, güvenlikten sorumlu personelin toplam maliyeti, gerçekleşen veya şüphelenilen olaylar neticesinde değiştirilen şifre sayısı gibi kriterler kullanılabilir. 2.2. Bulgu: Kurumda bilgi güvenliği ile ilgili standartlar belirlenmemiştir. Risk düzeyi: Düşük Kurum bünyesinde bilgi işlem kaynaklarının güvenliğinin sağlanmasına yönelik bir çok çalışma yapılmaktadır. Ancak bilgi güvenliğiyle ilgili standartlar belirlenmemiştir. Başka bir deyişle bu çalışmalar, ilgili bütün alanları ve faaliyetleri kapsayacak şekilde sistematik ve tutarlı bir bütün olarak uygulanmamaktadır. Kurumda güvenlik ile ilgili olarak uluslararası alanda kabul gören genel güvenlik çerçeveleri 3 de uygulanmamaktadır. (CobIT, ITIL, CMM, BS 7799 gibi) 3 Uygulanabilecek güvenlik çerçevelerinin bazıları aşağıda sıralanmıştır: HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 29
Risk: Kurum bünyesinde uygulanmaya çalışılan güvenlik önlemleri, uygulayıcı birimlerin gayretlerine ve insiyatiflerine bağlı kalmaktadır. Mevcut önlemlerin kurumun tüm ihtiyaçlarını karşıladığından ve bilgi işlem güvenliği konusunda dikkate alınması gereken her konunun, kurumun amaçlarına uygun, sistematik ve denetlenebilir bir şekilde ele alındığından emin olunamamaktadır. Öneri: Kurumdaki güvenlik önlemlerinin sistematik bir şekilde kurumun tüm kaynaklarına yönelik olarak uygulandığından emin olunması için uluslararası alanda genel kabul görmüş güvenlik çerçevelerine uygun güvenlik standartları belirlenmelidir. 2.3. Bulgu: Kurumun bir Acil Durum Eylem Planı ve Kriz Yönetimi Planı bulunmamaktadır. Risk düzeyi: Yüksek Hazinenin, olası bir felaket anında bilgi işlem kaynaklarının, kurumun genel işleyişini devam ettirmeye yönelik olarak yeniden ayağa kaldırılmasını sağlamayı amaçlayan, yazılı ve kurum genelinde duyurulmuş bir Acil Durum Eylem Planı ve Kriz Yönetimi Planı bulunmamaktadır. Uygulamada Bilgi İşlem Merkezi bünyesinde çalışan programlar ve veri tabanları düzenli olarak yedeklenmekte, ancak yedeklerinin tamamı fiziki olarak Hazine Müsteşarlığı bünyesinde muhafaza edilmektedir. Kurumun 2003 yılı bütçe çalışmalarında yedeklerin Hazine dışında muhafaza * CobIT - Governance, Control and Audit for Information and Related Technology: Kurum içerisinde kontrollü bir ortam yaratmaya yönelik olarak kurumun bilgi işlem faaliyetlerini 4 ana başlık altında toplayarak (Planlama ve Organizasyon, Satın Alma ve Uygulama, Güvenlik ve Servis, İzleme) bilgi işlem süreçlerinin kontrollü bir şekilde yürütülmesi ve denetlenmesini öngörmektedir. * BS 7799 ISO 17799: Bu güvenlik politikası kurum içinde güvenlik ile ilgili yaklaşımı belirlemeye yönelik olarak Güvenlik Politikası, Organizasyonun Güvenliği, Varlıkların Sınıflandırılması ve Kontrolü, Personel Güvenliği, Fiziksel Çevre Güvenliği, İletişim ve Operasyon Yönetimi, Erişim Kontrolü, Sistem Tasarım ve Bakımı, İş Devamlılığı Yönetimi ve Yasal Uygunluk konularını incelemeye yönelik kriterleri belirlemektedir. * ITIL Information Technology Infrastructure Library: Bilgi İşlem fonksiyonun kurum genelinde nasıl yürütülmesi gerekteği konusunda en iyi uygulamayı sunmaya yönelik olarak hazırlanmış bir standarttır. * CMM Capability Maturity Model: Kurum içerisindeki yazılım geliştirme faaliyetlerini gözden geçirerek bu faaliyetler için bir olgunluk seviyesi belirlemeye ve kurum içerisinde hedeflenen olgunluk seviyesine ulaşılması için gereken çalışmaları ortaya koymaya yönelik olarak hazırlanmış bir standarttır. Yukarıda sayılan standartlar ve iyi uygulama çerçeveleri dışında bir çok standart ve iyi uygulama çerçevesi bulunmaktadır. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 30
edilmesini sağlayacak bir teklifte bulunulmuş, ancak gerekli ödenek temin edilememiştir. Risk: Bilgisayar ortamı için hazırlanan kapsamlı bir Acil Durum Eylem Planı nın olmaması ve kurtarma için gerekli kaynakların ayrılmaması sebebiyle, Hazine çalışmalarının sürekliliği garanti edilememektedir. Deprem, yangın veya benzeri bir afetin meydana gelmesi ve Hazine Müsteşarlığı binasının zarar görmesi durumunda, sistem ve veri tabanı yedeklerine zamanında ulaşılamaması, hatta bunların tamamen kaybedilmesi söz konusu olabilir. Böyle bir durumda Hazine nin bilgi sistemlerine bağlı olarak yürütülen faaliyetlerinde aksamalar meydana gelebilir ve ortaya çıkan aksamalar telafisi mümkün olmayan kayıplara neden olabilir. Öneri: Yönetim, birimlere ve Hazine nin değişik görevlerine yönelik riskleri ve bilgisayar sistemlerinin kaybedilmesinin Hazine nin devamlılığına ne gibi etkileri olacağını belirlemelidir. Buna benzer durumlara karşı hazırlanacak bir plan, felaketten etkilenebilecek tüm unsurları kapsamalı ve kurtarma süresi boyunca bütün kritik iş süreçlerinin sürdürülmesini güvence altına almalıdır. Bu yüzden, planın sistem destek birimleri ve kritik işlevleri yürüten birimler arasında eşgüdüm sağlanmak suretiyle geliştirilmesi hayati önem taşımaktadır. Plan aşağıda belirtilen hususları içermeli, ancak bunlarla kısıtlı olmamalıdır: Acil durum düzeylerinin ve senaryolarının belirlenmesi ve bunlara karşı gerçekleştirilecek faaliyetlerin tanımlanması. Acil durumdan sonra bilgi işlem faaliyetlerinin sürdürülebileceği alternatif yerlerin belirlenmesi. Acil bir durumda donanım, yazılım, gerekli veriler, gerekli cihazlar, telekomünikasyon ve büro ekipmanlarının yenilenmesi için tedarikçilerin incelenmesi, alternatif tedarikçilerin belirlenmesi ve kritik tedarikçiler ile acil durumda alınacak hizmetlere ilişkin anlaşmaların yapılması. Hazinenin normal çalışma sisteminin kesintiye uğraması durumunda hangi hayati unsurların ne şekilde devam ettirileceğinin tespit edilmesi. Planın ne kadar sıklıkla test edilmesi gerektiğinin tespit edilmesi. HAZİNE BİLİŞİM SİSTEMLERİ DENETİM RAPORU 31