KAMU GÜVENLİ VERİ PAYLAŞIM KRİTERİ TASLAĞI v1.1 TÜRK STANDARDLARI ENSTİTÜSÜ



Benzer belgeler
ICS BELGELENDİRME KRİTERİ TSE K 300 BELGELENDİRME KRİTERİ CERTIFICATION CRITERIA KAMU GÜVENLİ VERİ PAYLAŞIM KRİTERİ

Bilgi Güvenliği Yönetim Sistemi

Resmî Gazete Sayı : YÖNETMELİK GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİ VE PAYLAŞIMINA İLİŞKİN BİRİNCİ BÖLÜM

T.C. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

Yeni Nesil Ağ Güvenliği

Özel Nitelikli Kişisel Veri İşleme Prosedürü

T.C. TARIM ve KÖYİŞLERİ BAKANLIĞI BİLGİ VE İLETİŞİM SİSTEMLERİ KULLANIMININ DÜZENLENMESİNE İLİŞKİN YÖNERGE BİRİNCİ BÖLÜM GENEL HÜKÜMLER

e-fatura UYGULAMASI (Entegrasyon Kılavuzu) Şubat 2010 ANKARA e-fatura Uygulaması (Entegrasyon Kılavuzu) Şubat 2010 Versiyon : 1.

Bilgi Güvenliği Eğitim/Öğretimi

RESMÎ İSTATİSTİKLERDE VERİ GİZLİLİĞİ VE GİZLİ VERİ GÜVENLİĞİNE İLİŞKİN USUL VE ESASLAR HAKKINDA YÖNETMELİK

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

T.C. SOSYAL GÜVENLİK KURUMU GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİ VE PAYLAŞIMINA İLİŞKİN USUL VE ESASLAR

Sibergüvenlik Faaliyetleri

HATAY KHB BILGI İŞLEM BİRİMİ

PARDUS GÖÇ UZMANI VE FİRMA BELGELENDİRMELERİ. BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANI Mariye Umay AKKAYA

T.C. SOSYAL GÜVENLİK KURUMU GENEL SAĞLIK SİGORTASI VERİLERİNİN GÜVENLİĞİ VE PAYLAŞIMINA İLİŞKİN USUL VE ESASLAR BİRİNCİ BÖLÜM

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

DOK-004 BGYS Politikası

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

Kayıtlı Elektronik Posta (KEP)

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

Yahya YILMAZ Kamu Satış Yöneticisi. Kayıtlı Elektronik Posta ve E-Tebligat

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

DTÜ BİLGİ İŞLEM DAİRE

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

e-fatura UYGULAMASI (Entegrasyon Kılavuzu) Ağustos 2013 ANKARA e-fatura Uygulaması (Entegrasyon Kılavuzu) Ağustos 2013 Versiyon : 1.

e-fatura UYGULAMASI (Saklama Kılavuzu) Eylül 2013 ANKARA e-fatura Saklanma Kılavuzu Eylül 2013 Versiyon : 1.1 1/10

TÜRK AKREDİTASYON KURUMU. Personel Akreditasyon Başkanlığı

Web Uygulama Güvenliği Kontrol Listesi 2010

PROSEDÜR MAKİNE GÜVENLİK MUAYENESİ. REVİZYON İZLEME TABLOSU Revizyon Revizyon Açıklaması Tarih

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

BİLGİ GÜVENLİĞİ POLİTİKASI

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

Gizlilik ve Güvenlik GİZLİLİK VE GÜVENLİK POLİTİKASI

ÖZ DEĞERLENDİRME SORU LİSTESİ

İşbu web sitesindeki malzemeler ve dokümanlar hiçbir surette değiştirilemez, kopyalanamaz, çoğaltılamaz ve yeniden yayınlanamaz.

EKLER EK 12UY0106-5/A4-1:

SİRKÜLER İstanbul, Sayı: 2015/015 Ref: 4/015. Konu: E-FATURA UYGULAMASINA DAİR DUYURULAR YAYINLANMIŞTIR

EN ISO/IEC PERSONEL BELGELENDİREN KURULUŞLAR İÇİN GENEL ŞARTLAR

T. C. KAMU İHALE KURUMU

HÜR VE KABUL EDİLMİŞ MASONLAR DERNEĞİ GİZLİLİK POLİTİKASI

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

Daha komplike uygulamalar elektronik ticaret, elektronik kimlik belgeleme, güvenli e-posta,

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

TAKASNET SİSTEM KATILIM KURALLARI

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Bursa Uludağ Üniversitesi Bilişim Kaynakları Kullanım Esasları

Mobil Cihazlardan Web Servis Sunumu

TASNİF DIŞI TÜBİTAK BİLGEM KAMU SERTİFİKASYON MAKAMI YENİ NESİL ÖKC SAYISAL SERTİFİKA YAŞAM DÖNGÜSÜ 01 TEMMUZ 2015 TÜBİTAK BİLGEM

Çok Önemli Not : ilgili yasaya ilişkin görüş ve yorumlarını yansıtmaktadır. Hiçbir kurum ve kuruluşu bağlayıcı niteliği yoktur.

ELEKTRONİK TİCARETTE SÖZLEŞME VE SİPARİŞLER HAKKINDA YÖNETMELİK TASLAĞI. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

Web Tasarımının Temelleri

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

OLGUN ÇELİK A.Ş. GİZLİLİK POLİTİKASI

Güncel Kriptografik Sistemler

çelebi eğitim danışmanlık mühendislik dış ticaret çelebi EĞİTİM DANIŞMANLIK MÜHENDİSLİK DIŞ TİCARET LTD. ŞTİ. GİZLİLİK İLKESİ

BİLGİSAYAR VE AĞ GÜVENLİĞİ

Laboratuvar Akreditasyonu

GİZLİLİK VE GİZLİLİĞİN ÖNEMİ

TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

Güvenli Kabuk: SSH. Burak DAYIOĞLU, Korhan GÜRLER

Güvenli Doküman Senkronizasyonu

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir.

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

Ön İnceleme Çalışması Gizlilik Sözleşmesi

GİZLİLİK SÖZLEŞMESİ. 1.a) E1 International Investment Holding Gmbh, Mülheimer Straße Duisburg /Deutschland

Medula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu

Yazılım-donanım destek birimi bulunmalıdır.

Güven Kurumları ve İtibar Yönetimi Oturumu Can ORHUN

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

VPN NEDIR? NASıL KULLANıLıR?

BİLGİ GÜVENLİĞİ. Temel Kavramlar

Kurumsal bilgiye hızlı ve kolay erişim Bütünleşik Belge Yönetimi ve İş Akış Sistemi içinde belgeler, Türkçe ve İngilizce metin arama desteği ile içeri

T. C. KAMU İHALE KURUMU

BİLGİ GÜVENLİĞİ POLİTİKASI

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

İş Yaşamında E-Posta

T.C. MİLLİ EĞİTİM BAKANLIĞI BALIKESİR / BANDIRMA İLÇE MİLLİ EĞİTİM MÜDÜRLÜĞÜ. Büro Yönetimi ve Resmi Yazışma Kuralları Kursu

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

UKÜ Bilişim Kaynakları Kullanım Politikaları. alan ağındaki bilişim kaynaklarının kullanım politikalarını belirlemek

ELEKTRONİK İMZALI BAŞVURU ARAYÜZÜ TALİMATI

(Entegrasyon Kılavuzu)

GÖZETMEN İLE BAŞVURU FORMU DOLDURMA TALİMATI

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

Web Servis-Web Sitesi Bağlantısı

İletişim Ağlarında Güvenlik

Remote access? Tabi ki!

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

ITMS DAYS Information Technologies Management Systems Days

Venatron Enterprise Security Services W: P: M:

İŞYERİ HEKİMLİĞİNDE SON GELİŞMELER

Kurumsal Bilgi Güvenliği ve Siber Güvenlik

SINAV PROSEDÜRÜ. Hazırlayan Kalite Yöneticisi. Onaylayın Şirket Müdürü

Transkript:

KAMU GÜVENLİ VERİ PAYLAŞIM KRİTERİ TASLAĞI v1.1 TÜRK STANDARDLARI ENSTİTÜSÜ 01.12.2014

Bu dokümana aşağıdaki web sayfasından erişilebilir: - Türk Standardları Enstitüsü Resmi web sitesi (TSE) (bilisim.tse.org.tr). 2

İÇİNDEKİLER TABLOSU İÇİNDEKİLER TABLOSU... 3 1. KAPSAM... 6 2. AMAÇ... 6 3. ATIF YAPILAN STANDARDLAR VE/VEYA DOKÜMANLAR... 6 4. TERİM VE TARİFLER... 6 4.1. Kaynak kurum... 6 4.2. Alıcı kurum... 6 4.3. Veri... 6 4.4. Gizli veri... 6 4.5. Toplulaştırılmış veri... 6 4.6. Sanal Özel Ağ... 6 5. KISALTMALAR... 7 6. VERİ PAYLAŞIMI PROTOKOLÜ... 7 6.1. Verilerin kullanım amacı... 7 6.2. Kişisel verilerin korunması... 7 6.3. Personel listesi... 7 6.4. Değişiklik talepleri... 7 6.5. Protokol nüshaları... 7 6.6. Verilerin bir listesi... 7 6.7. Verilerin paylaşıma başlanılması... 7 6.8. Hizmet kesintisi... 7 6.9. Verilerin depolanması... 8 6.10. Ek yatırım hususu... 8 6.11. Gizlilik Taahhüt Belgesi... 8 6.12. Hukuki sonuçlar... 8 7. YÜKÜMLÜLÜKLER... 8 7.1. Alıcı kurum yükümlülükleri... 8 7.1.1. İz kayıtların tutulması... 8 7.1.2. Güvenlik... 8 7.2. Kaynak kurum yükümlülükleri... 8 7.2.1. İz kayıtlarının tutulması... 8 7.3. Ortak Yükümlülükler... 9 7.3.1. Saat senkronizasyonu... 9 7.3.2. Teknik Güvenlik... 9 7.3.3. Kriptografi kullanımı... 9 3

8. VERİ PAYLAŞIMI VE TÜRLERİ... 9 8.1. Fiziksel Ortamda Veri Paylaşımı... 9 8.1.1. Kurye ile Yığın Veri Paylaşımı... 9 8.1.2. Posta ile Veri Paylaşımı... 9 8.1.3 Telefon ile Veri Paylaşımı... 9 8.2. Elektronik Ortamda Veri Paylaşımı... 9 8.2.1. Elektronik Posta... 10 8.2.2. Web servisler... 10 8.2.3. Güvenli Dosya Taşıma Protokolü... 10 8.2.4. Sanal Özel Ağ... 10 9. Kanunlara ve mevzuata uyum... 10 10. Uyumluluk... 10 Kaynakça... 11 4

0 GİRİŞ Bilgi Teknolojilerinin bilgi toplama ve işleme amacıyla kullanılması neticesinde birçok kurum ve kuruluşta farklı nitelikte veriler bulunmaktadır. Bu veriler, gün geçtikçe artmakla birlikte, bir kurum veya kuruluşun daha önce topladığı, ürettiği ya da güncel tuttuğu veriye başka bir kurum tarafından ihtiyaç duyulabilmektedir. Bu da kurumlar arası veri paylaşımı ihtiyacını ortaya çıkarmaktadır. Kurumlar arası veri paylaşımı, hem kurumların hem de hizmet alan gerçek ve tüzel kişilerin işlerini kolaylaştırarak veri üretimini ve bu üretimin oluşturduğu kaynak israfını azaltarak maliyetleri azaltsa da kişisel verilen korunması, telif hakları ve ülke güvenliği gibi birçok konuyu da beraberinde getirmektedir. Kamu kurumları arasındaki veri paylaşımı ihtiyacını giderebilmek için bugüne kadar kişi ve kurumlar kendi edindikleri tecrübelerden yola çıkarak çeşitli dokümanlar hazırlamışlardır. Bu doküman ile veri paylaşımı konusunda edinilen tecrübeleri bir arada toplayıp güvenlik risklerini azaltmak hedeflenmektedir. 5

1. KAPSAM Bu kriter, kamu kurumları arasında güvenli veri paylaşım kurallarını ve prosedürlerini kapsamaktadır. Kamu kurumlarının merkez ve taşra teşkilatları arasındaki veri paylaşımı da bu kriter kapsamındadır. Bu kriter de bahsedilen veri paylaşımı; taşınabilir manyetik ortamlar, posta, ses, faks, elektronik ortamlar ve yazıcı çıktısı gibi çeşitli formlarda olabilir. 2. AMAÇ Kamu kurumları arasında güvenli veri paylaşımını sağlamak üzere kuralların ve prosedürlerin belirlenmesi. 3. ATIF YAPILAN STANDARDLAR VE/VEYA DOKÜMANLAR EN, ISO, IEC Adı TS No Adı vb.no (İngilizce) (Türkçe) ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems Requirements TS ISO/IEC 27001:2013 Bilgi teknolojisi Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri Gereksinimler 4. TERİM VE TARİFLER Bu kriter için aşağıdaki terim ve tarifler geçerlidir. 4.1. Kaynak kurum Paylaşıma açılacak/açılan verinin sahibi kamu kurumu, 4.2. Alıcı kurum Paylaşıma açılacak verilerden, yapılacak protokol/sözleşme çerçevesinde yararlanan kamu kurum ve kuruluşları, 4.3. Veri Çeşitli yöntemlerle toplanan kişisel ve/veya kurumsal nicel ve/veya nitel bilgileri. 4.4. Gizli veri Açıklanması hâlinde Devletin emniyetine, dış ilişkilerine, millî savunmasına ve millî güvenliğine açıkça zarar verecek ve niteliği itibarıyla Devlet sırrı olan gizlilik dereceli bilgi veya belgeleri [3], 4.5. Toplulaştırılmış veri Gerçek veya tüzel kişilerin doğrudan ya da dolaylı olarak tanımlanmasına imkân sağlamayan verileri, 4.6. Sanal Özel Ağ Güvenilmeyen ağlar üzerinden güvenli bir ağ oluşturularak uzak sistemlerin birbirleri arasında iletişim kurmasını sağlayan ağ yapısını, 6

5. KISALTMALAR AES : Gelişmiş Şifreleme Standardı DDoS : Dağıtık Hizmet Engelleme (Distributed Denial-of-Service) DoS : Hizmet Engelleme (Denial-of-Service) IP : İnternet protokol PPTP : Noktadan noktaya tünelleme protokolü (Point-to-Point Tunnelling Protocol) RSA : Açık Anahtarlı Şifreleme SFTP : Güvenli Dosya Paylaşım Protokolü (Secure File Transfer Protocol) SOAP : Basit Nesne Erişim Protokolü (Simple Object Access Protocol) VPN : Sanal Özel Ağ XML : Genişletilebilir İşaretleme Dili (extensible Markup Language) WSDL : Web Servisleri Tanımlama Dili (Web Service Description Language) 6. VERİ PAYLAŞIMI PROTOKOLÜ Sürekli veri paylaşımı taleplerinde, kurumlar bir protokol metni imzalamalıdır. Tek seferlik veri taleplerinde gizli veri istenmesi durumunda, kurumlar protokol imzalamalıdır. 6.1. Verilerin kullanım amacı Verilerin hangi amaçlar için kullanılacağı protokollerde belirtilmelidir. Verilerin üçüncü taraflarla paylaşılıp paylaşılmayacağı da bu kapsamda belirtilerek paylaşılacaksa yükümlülükler açıklanmalıdır. 6.2. Kişisel verilerin korunması Veri paylaşımı esnasında kişisel verilen paylaşılması hususunda doğabilecek tüm yükümlülükler protokollerde belirtilmelidir. 6.3. Personel listesi Verilerin paylaşımında görev alacak karşılıklı personel bilgilerine (ad soyad, unvan, telefon, faks, e- posta) protokolde yer verilmelidir. Personel değişikliğinde izlenecek prosedür açıklanmalıdır. Görev alacak personel e-posta yoluyla yapılacak iletişimde sadece kurumsal e-posta adresini kullanmalıdır. 6.4. Değişiklik talepleri Veri paylaşımı esnasında ileride ihtiyaç duyulabilecek protokol içeriğindeki değişiklik taleplerinin nasıl ele alınacağı protokolde belirtilmelidir. 6.5. Protokol nüshaları Protokol, hem kaynak kurum da ve hem de veri alan kurum da muhafaza edilmelidir. 6.6. Verilerin bir listesi Paylaşılacak verilerin açık bir listesi protokol ekinde yer almalıdır. 6.7. Verilerin paylaşıma başlanılması Verilerin ne zaman paylaşıma açılacağı sözleşmelerde belirtilmelidir. Eğer, teknik bir çalışma veya yatırım beklenecekse, bu hususun gerçekleşmesi için tarafların yükümlülükleri yanlış anlaşılmalara mahal vermeyecek bir biçimde belirtilmelidir. 6.8. Hizmet kesintisi Veri hizmetinin sürekli olması durumunda, öngörülen kesintiler ve kesinti esnasında alınacak önlemler protokolde belirtilmelidir. 7

6.9. Verilerin depolanması Paylaşılan verilerin depolanıp depolanmayacağı, depolanacak ise ne kadar süre zarfında ve hangi şartlarda depolanacağı sözleşmelerde açıkça belirtilmelidir. 6.10. Ek yatırım hususu Hizmetlerin sürekli veya tek seferlik ek yatırım gerektirmesi durumunda ek yatırım maliyetlerinin hangi tarafça karşılanacağı protokolde belirtilmelidir. 6.11. Gizlilik Taahhüt Belgesi Taraflar, verilere erişen personele Gizlilik Taahhüt Belgesi imzalanmasını ve saklanmasını sağlamalıdır. Taraflar, birbirlerinden bu gizlilik taahhüt belgesinin bir örneğini isteyebilir. Taahhüt Belgesi içeriğinde aşağıdaki hususların yer alması tavsiye edilir; a) Korunacak verilerin tanımı, b) Gizliliğin süresi, c) Taahhüttün ihlali durumunda işletilmesi gereken prosedür. 6.12. Hukuki sonuçlar Taraflarca alınacak verilerin kullanılmasının hukuki sonuçlarından tarafların ne derece de yükümlü olacağı belirtilmelidir. Bu kapsamda verilerin kullanılmasında ve paylaşımında Anayasa, uluslararası sözleşmeler ve ulusal mevzuatta yer alan özel ve ticari hayatın gizliliğine ilişkin hükümler uygulanır. 7. YÜKÜMLÜLÜKLER 7.1. Alıcı kurum yükümlülükleri 7.1.1. İz kayıtların tutulması Alıcı kurum; kaynak kurum tarafından sağlanan verilere erişen sistemlerin, kullanıcıların erişim kayıtlarını tutmalıdır. İz kayıtlarının içeriği; kullanıcı kimliği, oturum açma ve oturum kapama gibi anahtar olayların tarihleri, saatleri ve detayları, başarılı ve reddedilmiş sistem erişim bilgileridir. İz kayıtları kimlerin veriye eriştiğini açıklayacak şekilde olmalıdır, ortak kullanıcı adları ve şifreler gibi kimin kullandığı belli olmayan erişim yetkileri doğru bir uygulama değildir. İz kayıtları, bütünlüğü ve güvenilirliği temin etmek amacıyla zaman damgası kullanılarak imzalanmalı ve 1 (bir) yıl süre ile saklanmalıdır. 7.1.2. Güvenlik Alıcı, veri talebine uygun olarak yaptığı çalışmaların gizli verilerin açıklanmasına imkân vermeyecek şekilde yürütülmesini sağlar. Verilerin istenilen amaç dışında kullanılmaması için her türlü önlemi alır ve verinin incelenip değerlendirilmesi aşamasındaki gizli verinin bulunduğu ortama yetkisiz kimselerin fiziksel veya elektronik yollarla erişiminin engellenmesi için gerek duyulan güvenlik sistemini kurar veya gerekli tedbirleri alır. 7.2. Kaynak kurum yükümlülükleri 7.2.1. İz kayıtlarının tutulması Kullanıcı işlemleri, kural dışılıklar ve hatalar saklanmalı ve düzenli olarak gözden geçirilmelidir. Olağan dışılıklar olduğunda ilgili Alıcı Kurum ile iletişime geçilmelidir. İz kayıtları, bütünlüğü ve güvenilirliği temin etmek amacıyla zaman damgası kullanılarak imzalanmalı ve 1 (bir) yıl süre ile saklanmalıdır. 8

7.3. Ortak Yükümlülükler 7.3.1. Saat senkronizasyonu İz kayıtlarının incelenmesinde herhangi bir yanlış anlaşılmaya mahal verilmemek üzere saat senkronizasyonu konusunda bir uzlaşıya varılması önerilir. 7.3.2. Teknik Güvenlik Tarafların sisteme erişim ve/veya web servislerin kullanılması için birbirlerine vereceği kullanıcı adı, parola ve sertifikalar ile diğer bilgilerin gizliliğinden ve korunmasından, kendi sistemlerinin güvenliğini sağlamak üzere gerekli tedbirlerin alınmasından taraflar sorumludur. Bu hususu temin etmek maksadı ile bu hizmetleri ve hizmetlerin kullanıldığı sistemler yılda en az 1 (bir) kez sızma testine tabi tutulmalıdır. Bu kritere uyum kapsamında yapılacak tetkiklerde geriye dönük olarak en az 5 (beş) yıllık test yapıldığına dair belgeleri saklar. 7.3.3. Kriptografi kullanımı Verilerin paylaşımı için kriptografi kullanılacaksa; taraflarca kriptografik anahtarların kullanımı, korunması ve yaşam süresine dair bir politika geliştirilmeli ve tüm yaşam çevirimleri süresince uygulanmalıdır. 8. VERİ PAYLAŞIMI VE TÜRLERİ 8.1. Fiziksel Ortamda Veri Paylaşımı Verilerin fiziksel ortamda paylaşılmasıdır. Fiziksel verilerin alıcı kurum tarafından alındığının teyit edilmesi gereklidir. Veri paylaşımında kullanılan parola/şifre/anahtar veri paylaşım yönteminden farklı bir yolla paylaşılmalıdır. 8.1.1. Kurye ile Yığın Veri Paylaşımı Elektronik ortamda paylaşımın mümkün olmadığı yığın verilerde kullanılır. Bir kere veya tekrarlı olarak harici bellek ile iletilecek veriler protokolde yazılan bir standart dosya şifreleme yöntemleriyle (AES veya RSA) ve protokolde belirtilen kurye ile taşınır ve paylaşım gerçekleştikten sonra protokolde yazılan silme yöntemleriyle harici bellekten silinir. 8.1.2. Posta ile Veri Paylaşımı Posta ile iletilecek veriler şifreleme yöntemleriyle (AES ve RSA) şifrelenerek CD, DVD vb. ile kapalı bir zarf içerisinde gönderilir. Zarf taahhütlü ya da iadeli taahhütlü olarak gönderilir ve alıcısına ulaşıp ulaşmadığı kontrol edilir. 8.1.3 Telefon ile Veri Paylaşımı Telefonla hiçbir veri iletilmez. Zorunlu durumlarda; diğer yöntemlerle paylaşılan verilerin kriptografik anahtarları ve parolaları telefon ile paylaşılabilir. 8.2. Elektronik Ortamda Veri Paylaşımı Verilerin elektronik olarak siber ortamda paylaşılmasıdır. Alıcı ile veri paylaşımında elektronik alt yapı olan web servis, VPN, SFTP, HTTPS vb. uygulamalar kullanılmalıdır. Elektronik ortamda veri paylaşımında her türlü bilgi paylaşımı için kullanılan kriptografik anahtarlar ve parolalar en az yılda 1 (bir) kez değiştirilir. Kritere uyumluluk kapsamından değişikliklerin yapıldığı tarih kayıt altına alınır. 9

8.2.1. Elektronik Posta Veriler elektronik posta ortamda iletilirken sadece kurumsal uzantılı e-posta adreslerine gönderilir ve veri ulaştıktan sonra bilgi verilmesi istenir. Hem veri alan hem de kaynak kurum geçerli bir SSL sertifikası kullanmalıdır. 8.2.2. Web servisler Veri deseninin düzenli olduğu ve veri paylaşımının sistemler tarafından yapılması durumunda web servisler kullanılmalıdır. Verilerin transfer seviyesinde hem veri alan hem de kaynak kurum tarafından geçerli bir SSL sertifikası kullanılmalıdır. Elektronik ortamdaki veri sağlama metotlarında geliştirme, test ve gerçek ortam olarak muhakkak ayrılmış olmalıdır. Geliştirme ve test ortamları birlikte kullanılabilir. Web servis bileşenlerini tanımlamada WSDL 1.1 kullanılmalıdır ve sadece izin verilen IP adresi görebilmelidir. Web servislerin güvenliğinde; WS-Security 1.1, WS-Trust 1.3 ve WS-SecurityPolicy 1.2 web servis güvenliği standartlarını desteklemesi gerekmektedir. Veriye erişim için parola ve kriptografi göz önünde bulundurulmalıdır. Kaynak kurum ile alıcı arasında sanal özel ağ (VPN) kurulabilir. Özel ağ sağlanamadığı durumlarda kaynak kurum güvenlik duvarında (Firewall) sadece alıcı kurumun IP adresine izin verilmelidir. Web servis istemleri SOAP 1.2 standardına uygun olmalıdır. 8.2.3. Güvenli Dosya Taşıma Protokolü Güvenli dosya taşıma yöntemi (SFTP), web servis ile paylaşılamayan veri deseni ile daha büyük veriler için kullanılır. Kaynak kurum ile alıcı arasında sanal özel ağ (VPN) kurulabilir. Özel ağ sağlanamadığı durumlarda kaynak kurum güvenlik duvarında (Firewall) sadece alıcı kurumun IP adresine izin verilmelidir. Veri erişim kullanıcı kodu ve parola ile olmalıdır. Veri paylaşımı kaynak kurumun dosya paylaşım sunucusundan alıcıya veya dosya paylaşım istemci uygulaması ile alıcı kurumun dosya paylaşım sunucusuna olmak üzere iki yönlü olarak kullanılabilir. Alıcı veya kaynak kurumun hangisinin dosya paylaşım sunucusunu yöneteceğine protokolde yer verilir. Paylaşım gerçekleştikten sonra dosyaların hangi sıklıkla silineceği protokolde belirtilmelidir. 8.2.4. Sanal Özel Ağ Sanal özel ağ (VPN) ile daha önce ifade edilen elektronik veri paylaşım yöntemleriyle beraber kullanılabilir. Sadece ilgili servislerin çalıştığı cihazlar arasında erişim açılmalıdır. Bunun dışındaki tüm haberleşme ve protokol/adres kapatılmalıdır. 9. Kanunlara ve mevzuata uyum Verilerin paylaşımında; Anayasa, uluslararası sözleşmeler ve ulusal mevzuatta yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır. Kanunlara aykırı bir şekilde veri paylaşımı yapılamaz. 10. Uyumluluk Bu kritere uyum maddelerinin sağlanması ile kontrol edilir. Bu kriter, hem veri alan, hem veri sağlayan ve her iki işlevi birden yapan kurumlar için düşünülmüştür. Kamu kurumları tüm veri alışverişlerinde bu kriterin yükümlülüklerine uymalıdır. 10

Kaynakça [1] TS ISO/IEC 27001, Bilgi Teknolojisi Güvenlik Teknikleri Bilgi Güvenliği Yönetim Sistemleri Gereksinimler [2] www.owasp.org [3] 09/10/2003 tarih ve 4982 sayılı Bilgi Edinme Hakkı Kanunu 11