TAVSİYE EDİLEN TEKNİK ÖNLEMLER

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrasında belirtilen görevler çerçevesinde, kurumlarda veri sorumlusu olarak belirlenen kişi veya birim;
a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b. Kişisel verilere hukuka aykırı olarak erişilmesini engellemek,
c. Kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini sağlamak amacıyla, teknik ve idari tedbirleri almakla yükümlüdür.

Bu kapsamda, teknik önlemler şu şekilde belirlenmiştir:

  1. Bilgi teknoloji sistemlerini izinsiz erişimlere karşı korumak için güvenlik duvarı ve ağ geçidi kullanılmalıdır.
  2. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
  3. Ağda kullanılan cihazların ve programların güncel olup olmadığı, işlerliklerinin ve sistem güvenlik tedbirlerinin düzenli olarak denetlenmelidir.
  4. Sistemlere erişim, çalışanların işi ve görevleriyle doğru orantılı olmalıdır. Gerektiği kadar erişim sağlanmalı, kullanıcı adı ve parola ile sistemlere giriş yapılmalıdır.
  5. Erişim yetki ve kontrol matrisi oluşturulmalıdır. Erişim politika ve prosedürü oluşturarak veri sorumlusu organizasyonu içinde uygulamaya alınmalıdır.
  6. Güçlü şifre ve parola kullanılmalıdır. Kaba kuvvet saldırılarından korunmak için parola girişi deneme sayısının sınırlandırılması ve düzenli aralıklarla şifre ve parola değişimi sağlanmalıdır.
  7. Yönetici ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanmak için açılmalıdır.
  8. Veri sorumlularının kurum veya veri ile ilişikleri kesildiği anda zaman kaybetmeden hesaplarının silinmesi ve girişlerinin kapatılması gerekmektedir.
  9. Kötü amaçlı yazılımlardan korunmak için düzenli olarak bilgi sistem ağını tarayıp tehditleri tespit edebilen antivirüs ve antispam ürünleri kullanılmalıdır. Bu yazılımların güncel tutulması ve dosyaların periyodik olarak taranması önemlidir.
  10. Veri sorumluları farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edecekse, bağlantılarının SSL ya da daha güvenli bir yol ile gerçekleştirilmesi gerekmektedir.
  11. Bilişim ağında hangi yazılım ve servislerin çalıştığı kontrol edilmelidir.
  12. Bilişim ağında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir.
  13. Sistemdeki tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması gerekmektedir. (Log kayıtları)
  14. Güvenlik sorunları hızlı bir şekilde raporlanmalıdır.
  15. Kurumda çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
  16. Oluşturulan raporlar sistem yöneticisi tarafından en kısa zamanda veri sorumlusuna sunulmalıdır.
  17. Güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi gerekir. Sistemlerden gelen uyarılar üzerine harekete geçilmeli, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerinin sonucuna göre değerlendirme yapılmalıdır.
  18. Bilişim sistemlerinin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
  19. Kişisel veriler, veri sorumlularının yerleşkesinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınarak korunması gerekmektedir.
  20. Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınması gerekmektedir.
  21. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılır veya bu bileşenlerin ayrılması sağlanır.
  22. Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamaması gerekir. Erişim sağlanması gerekiyor ise, güvenlik ihlali risklerini arttırdığı için güvenlik tedbirleri alınmalıdır.
  23. Kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu farklı bir odaya alınması gerekir. Kullanılmadığı zaman kilit altında tutulmalı, giriş-çıkış kayıtlarının tutulması gibi fiziksel güvenlik önlemleri alınmalıdır.
  24. Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi veya şifreleme yöntemlerinin kullanılması gerekir. Şifre anahtarı sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir.
  25. Cihazlar içerisinde bulunan kişisel veriler disk şifreleme yöntemi ile şifrelenmeli veya cihazda bulunan önemli veriler dosya halinde şifrelenmelidir.
  26. Şifreleme programı olarak uluslararası kabul gören şifreleme programları tercih edilmelidir. Tercih edilen şifreleme yöntemi asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
  27. Kişisel verilerin bulut ortamında depolanması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.
  28. Bulut ortamında depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere ihtiyaç olması durumunda uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerekmektedir.
  29. Bulut ortamında bulunan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması gerekmektedir.
  30. Kişisel veriler için mümkün olan her yerde ayrı ayrı şifreleme anahtarı kullanılması gerekmektedir.
  31. Uygulama sistem girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, yapılan işlemler sırasında bilginin kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.
  32. Uygulamalar işlem sırasında oluşabilecek hatalarda veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
  33. Cihazların üretici, satıcı veya servise gönderilmeden önce, içerdikleri kişisel verilerin güvenliği sağlanmalıdır. Bu kapsamda, veri saklama ortamının ayrılması, yalnızca arızalı parçaların gönderilmesi ve içerisindeki verilerin şifrelenmesi gibi adımlar atılmalıdır.
  34. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi ve gerekli güvenlik önlemlerinin alınması gerekmektedir.
  35. Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda veri sorumluları yedeklenen verileri kullanarak sistemin en kısa sürede yeniden faaliyete geçmesi gerekmektedir.
  36. Kötü amaçlı yazımların verilere erişimde engel olması ihtimaline karşı veri yedekleme stratejileri geliştirilmelidir.
  37. Yedeklenen veriler sadece sistem yöneticisi tarafından erişilebilir olmalıdır.
  38. Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
  39. Veri yedeklerinin fiziksel güvenliğinin sağlandığından emin olunmalıdır.