web analytics
Cumartesi, Temmuz 18, 2026
No Result
View All Result
  • Giriş
Türk İnternet
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
  • Kişisel Verilerin Korunması
    • Çerez Aydınlatma Metni
    • İlgili Kişi Başvuru Formu
No Result
View All Result
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
  • Kişisel Verilerin Korunması
    • Çerez Aydınlatma Metni
    • İlgili Kişi Başvuru Formu
No Result
View All Result
Türk İnternet
No Result
View All Result
Ana Sayfa ARAŞTIRMA

DDK’nın, Kişisel Verilerin Korunması ile İlgili Raporunda Yer alan Tespit ve Öneriler – 2

Cumhurbaşkanlığı Devlet Denetleme Kurumu, güzel bir iş yapmış, ülkemizin bilişim geleceği açısından bazı değişimlere neden olacağını düşündüğüm şekilde, önemli tespitlere parmak basmış. Biz bu tespitleri TBD toplantılarında da yıllardan beri duyuyoruz ama ilk defa derli toplu ve tarafsız bir raporlama ile toplumun önüne konulmuş. Devlet kurumlarının bu konuda bazı önlemler alacağını zannediyoruz.

Fusun S.Nebil-Fusun S.Nebil
16 Aralık 2013
- ARAŞTIRMA
0
Facebook'ta PaylaşTwitter'da PaylaşLinkedin'de Paylaş

DDK’nın “Kişisel Verilerin Gizliliği” konulu denetleme raporuna dair haberin ilk bölümünü “Devlet Denetleme Kurulu’ndan Önemli Bir Rapor; Devlet Kurumları Kişisel Verileri Dikkatsizce Veriyor – 1” başlığı altında okuyabilirsiniz.

Ne demiştik; Devlet Denetleme Kurumu çok önemli bir rapor üretmiş. Bu raporun içinde sadece kişisel verilerin korunması konusu değil; yanısıra doğrudan ilgilendirdiği için bilgi güvenliği konusu da incelenmiş. İyi de olmuş.

Aşağıdaki tespitleri okurken, biliyorum ki, bunları çok uzun yıllardır pek çok TBD toplantısında dile getirilen konular olarak hatırlayacaksınız. Biz de sayfalarımızda özetlemeye çalışalım.

Raporun “Tespit ve Öneriler”inde yer alan 39 maddeden

  • A bölümünde yer alan 7 tanesi genel,
  • B Bölümünde yer alan 2 tanesi mevzuata yönelik,
  • C bölümünde yer alan 5 tanesi Kişisel verilerin korunması hakkındaki kanun çalışmalarına
  • D bölümünde yer alan 2 tanesi Kurumsal yapıya,
  • E bölümünde yer alan 5 tanesi Kişisel verilerin toplanmasına,
  • F bölümünde yer alan 14 tanesi bilgi güvenliği yönetim sistemlerine ilişkin
  • G bölümünde yer alan 4 tanesi iç denetim ve iç kontrole yönelik


tespit ve öneriler olarak yer alıyor. Bu maddeleri okumak da epeyce zahmetli bir iş. Bu nedenle içinden önemli notları ayırarak ve raporun kendi diliyle yayınlıyoruz. Biz en çok “bilgi sistemlerinin kontrolünün özel firmaların elinde olduğu” tespitinden etkilendik, bunu da not edelim;


    TESPİT VE ÖNERİ 1- Bilgi güvenliği ve kişisel verilerin korunması konusunda gerekli önlemlerin alınması ve gerekli çabanın gösterilebilmesi için öncelikle bu konuda belirli bir farkındalığın oluşması, bilinç düzeyinin gelişmesi gerekmektedir.

    Denetim çalışmaları sırasında da farkındalık eksikliğinden kaynaklı pek çok eksiklik ve açıklık tespit edilmiş olup bunlardan sadece birkaçına aşağıda yer verilmektedir:

    • Kurumların bazılarında güvenlik, yedekleme, yama, parola politikalarının bulunmaması, bu konudaki uygulamaların çoğu kurumda kişilere bağlı ve bağımlı olarak gerçekleştirilmesi,
    • Kurumların çoğunda iş sürekliliğI politika ve senaryolarının bulunmaması,
    • Çok önemli bazı bilgi sistemlerinin felaket kurtarma merkezinin bulunmaması,
    • Kurumdaki en kritik bilgilere dahi ulaşabilen bilişim hizmeti sunan firmalarla ve bunların çalışanları ile herhangi bir gizlilik sözleşmesi yapılmaması ve firma personelinin herhangi bir güvenlik araştırmasından geçirilmemesi,
    • Kaynak kodu dâhil, bilgi sistemleri üzerindeki işlemlerin kayıtlarının (log) tutulmasında ciddi eksiklikler bulunması,
    • Bilgi sistem odasından otoparka açılan kapı bulunması veya sistem odasına giden fiber kablolarının açıktan geçmesi örnekleri dâhil, fiziki güvenlik konusunda ciddi eksikliklerin mevcudiyeti,
    • Hassas veri içeren sistemlere erişimde kullanıcıların iki haneli sayısal şifre verebilmesi, 1111, 0000, 1234 gibi kolay tahmin edilebilir şifrelerin kullanılması,
    • Bazı kurumların çağrı merkezinden sadece ad, soyad ve T.C. kimlik numarası beyan etmek suretiyle; maaş tutarları, kesintiye esas brüt ücret, gidilen sağlık kurumu, muayene olunan ery o, ilaç alınan eczane, alınan ilacın adı, ödenen katılım payı miktarı gibi birçok kişisel bilgiye ulaşılabilmesi,
    • Kimlik Paylaşım Sistemi aracılığı ile özel kesim ve kamu kesiminden kimlik bilgilerine ulaşabilecek kullanıcı sayısının bir milyonun üzerinde olduğu tahmin edilmesine rağmen, bu erişimlerin güvenliğI konusunda verileri alan kurumların bir kısmında; IP adresi bazında kısıtlama getirilmesi, kullanıcıların ad, soyad ve T.C. kimlik numaralarının kayıt altında tutulması, kullanıcıların yapmış oldukları sorguların kayıtlarının (log) tutulması, bilgisayarlar ile internet arasında güvenlik duvarı (firewall) bulunması, imzaları devamlı güncellenen anti-virüs programının kullanılması, güçlü parola kullanılması gibi temel güvenlik önlemlerinin alınmamış olması,
    • Kişisel veri içeren bilgilerin çeşitli taşınabilir kayıt ortamları aracılığı ile bu ortamlar şifrelenmeden ve başkaca herhangi bir güvenlik önlemi alınmadan paylaşılması, bir örnekte CD ortamında 13.8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığının tespit edilmesi.

    Bilgi güvenliğIi ve kişisel verilerin korunması konusunda farkındalık artırmaya yönelik olarak kurumun en alt kademesindeki çalışanından en üst yöneticisine kadar uzanan geniş bir yelpazede eğitim veya farkındalık oluşturma çalışması yürütülmesi, mevzuat düzenlemelerinde kişisel verilerin güvenliğI konusunun gözetilmesi, kurumsal uygulamalardan kaynaklı kötü uygulama örneklerinin tekrarlanmamasına yönelik gerekli tedbirlerin alınması gerektiğI düşünülmektedir. Ayrıca, farkındalık ve bilinç oluşmasının ciddi kültür ve zihniyet değişimi gerektirmesi nedeniyle, kişisel verilerin korunması konusuna her kademede eğitim müfredatında mümkün olduğunca yer verilmesinin, kamu spotu ve benzeri uygulamalarla farkındalık oluşturma çalışmalarının desteklenmesinin uygun olacağı değerlendirilmektedir.

    TESPİT VE ÖNERİ 2- Bilgi güvenliğI ve kişisel verilerin korunması açısından sadece teknolojik önlemler yeterli değildir. Bu kapsamda, kişisel verilerin toplanması, işlenmesi, kullanılması, muhafazası, paylaşılması, yeni işlemlere tabi tutulması, silinmesi gibi her aşamada etkin bir şekilde korunması amacıyla; kamu kesimi ve özel kesim, sivil toplum ve uluslararası kurum ve kuruluşlar olmak üzere tüm taraflar ile konunun teknik, idari, organizasyonel, sosyal ve ekonomik boyutlarının tamamını dikkate alan bütüncül yaklaşım ihtiyacı bulunmaktadır.

    TESPİT VE ÖNERİ 3- Kamudaki bilgi sistemlerinin bir e-Devlet mimarisi genel çerçevesinde şekillendirilmemesi nedeniyle güvenlik riskleri başta olmak üzere, sistemlerin birbirleriyle konuşamaması, hizmet kalitesinin düşmesi, aynı verilerin defalarca farklı sistemlerde tutulması gibi pek çok sorun yaşanmakta, gereksiz maliyetlere katlanılmaktadır.

    TESPİT VE ÖNERİ 4- Bilgi sistem donanımlarının ve yazılımlarının ilgili kurumun envanterinde yer alması, söz konusu bilgi sistemlerinin sahipliğinin ilgili kurumda olması anlamına gelmemektedir. Bilgi sistemleri üzerindeki gerçek sahiplik, bu sistemler üzerinde nihai belirleyicilik ve sistem yetkisine bağlıdır. Söz konusu bilgi sistemleri üzerindeki en üst sistem yetkilerinin bilişim hizmeti alınan özel firma yetkililerinde bulunması durumunda ilgili kurum, bilgi sistemlerinin sahipliğI konumundan, kullanıcısı konumuna düşebilmektedir. Denetimlerde Türkiye’de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst sistem yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür.

    Bazı kurumlarda, hizmet alınan firmaların, bilgi sisteminin işletilmesi ve verilerin kullanımı, sorgu kayıtlarının tutulması ve benzeri konularda adeta sistemin sahibi gibi hareket edebildikleri ve herhangi bir sorgu kaydı olmaksızın sistemden veri çekebildikleri bizzat gözlemlenmiştir.

    Özel kuruluşlar, bilgi sistemlerinin oluşturulması ve idamesi konusunda oldukça önemli bir birikime ve insan kaynağına sahiptirler. Ancak gelinen nokta, hem bilgi güvenliğI hem de sistemlerin sürdürülebilirliğI açısından kurumların kendi bilgi sistemlerinin gerçek anlamda sahibi olmalarını gerektirmektedir. Söz konusu durum dışarıdan hiç hizmet alınmayacağı anlamına gelmemekte olup, önemli olan husus, kurumun bilgi sistemleri üzerinde hâkimiyet sağlaması ve özel kurumlarla olan ilişkinin doğrudan hizmetin teslimi değil, işbirliğI yapma şekline dönüşmesidir.

    TESPİT VE ÖNERİ 5- Güvenlik, neyin korunacağı, hangi değerin önemli olduğu, bu değere yönelmiş tehditler, mevcut zafiyetler ve alınabilecek önlemler unsurlarını bünyesinde barındıran bir kavramdır. Kişisel verilerin korunmasında, korunacak değer “veri”, “bilgi” olup öncelikle korunması gereken unsurun nelerden ibaret olduğunun belirlenmesine yönelik envanter çalışması yapılması önem taşımaktadır. Bilgi sistemleri ve bu sistemlerde bulunan veri envanteri çalışması ile korunması gereken veri varlıkları ve bunların niteliği belirlenebilecek, buna göre verilerin kişisel veri, hassas veri, kritik altyapı verisi, gizli veri gibi nitelikleri dikkate alınarak niteliklerine uygun güvenlik önlemleri uygulanabilecektir.

    Kamu kurum ve kuruluşlarının sahip olduğu temel bilgi sistemleri ve bu bilgi sistemleri içinde bulunan kişisel ve kritik veri türlerinin neler olduğuna ilişkin herhangi bir envanter çalışmasının, gerek kurum bazında gerekse Türkiye genelinde yapılmamış olduğu anlaşılmıştır.

    TESPİT VE ÖNERİ 6- Uygulama, yazılım ve sistemlerin oluşturulması sırasında kısa vadede sistemin işleyişi ve çalışır halde bulunmasının daha ön planda tutulduğu anlaşılmıştır. Bilgi sistemlerinin güvenliğinin tasarım aşamasından itibaren dikkate alınması ve bu kapsamda işlevsellik ile güvenlik arasında denge oluşturulması gerektiği düşünülmektedir.

    TESPİT VE ÖNERİ 7- Bilgi güvenliği yönetim sisteminin uluslararası standartlara sahip bir yapıya kavuşması, gerekli güvenlik tedbirlerinin belirlenerek hayata geçirilmesi ve bunun bir sistem dâhilinde yürütülmesi açısından sertifikasyon süreçleri kurumlara olumlu katkılar yapmaktadır. Ancak bu tür sertifikasyonlarda nihai amaç, kurumun bilgi sistemlerinin güvenliğine katkı yapılmasıdır. Bu açıdan güvenlik amacına ulaşmada bir araç olan sertifikalar amaç mertebesine yükseltilmemelidir. Kurumda amacın, gerçek anlamda bilgi güvenliğini sağlayacak yeterli, yetkin, kurumsallaşmış ve yeni tehditlere göre sürekli güncellenen dinamik bir bilgi güvenliği yönetim sisteminin oluşturulması olduğu göz önünde bulundurulmalı, bilgi güvenliği yönetimi sertifikasının kapsamı konusunda yanlış algılara yol açabilecek uygulama ve açıklamalardan kaçınılmalıdır.


Yazımızın bugünkü bölümünde genel tespit ve öneriler bölümünde yer alan 7 maddeyi verdik. Yarın mevzuata ve kanun çalışmalarına yönelik maddeleri yayınlayacağız.. Bu bölümü burayı tıklayarak okuyabilirsiniz.

Etiketler: Söyleşi - Röportaj
Plugin Install : Subscribe Push Notification need OneSignal plugin to be installed.
Fusun S.Nebil

Fusun S.Nebil

Detaylı bilgi için aşağıdaki dünya işaretini tıklayınız.

Lütfen yorum yapmak için giriş yapın.

HAFTANIN ÖNE ÇIKANLARI

  • Çin’deki Bir Üniversitede “Yapay Zekayı Yanıltma” Sınavı Yapıldı
  • CarbonNature, Yapay Zekâ ve Uydu Verileriyle Doğanın Karbon Değerini Gelire Dönüştürüyor
  • Nato’nun Ankara’daki Zirvesinin “Siber Savunma” Boyutu
  • Palantir’in Siyasi Yaklaşımı, Müşteriler, Yetenekler ve Uzun Vadeli Büyüme Konusunda Endişelere Yol Açıyor
  • Yapay Zeka Halka Arz Patlaması, SBF Döneminden Sonra “Effective Altruism”e İkinci Bir Hayat Verebilir

HAFTANIN KELİMESİ

3GPP

3. Nesil Ortaklık Projesi (3GPP), dünya çapında çeşitli mobil (hücresel) ve telekomünikasyon standartlarını geliştiren ve sürdüren bir grup standart kuruluşudur.

3G ile birlikte kurulmuş ve telekom endüstrisinin Birleşmiş Milletleri diye tanımlanabilir. Sonraki nesiller için de standartları belirlemiştir.

Detayı için Wiki-Turk'e bakınız

İNTERNET HIZI

Türkiye'nin İnternet Hızlarını Dünya ile Karşılaştırmak Kaynak : https://www.speedtest.net/global-index#mobile
Facebook Twitter LinkedIn

Son Yorumlar

  • ICANN, Yeterince Temsil Edilmeyen Toplulukları Yeni gTLD Başvuru Destek Programı İle Güçlendiriyor için Tolga Kaprol
  • BTK, Yabancı e-SIM Firmalarını Engelledi için Bulent SEN
  • Sahibinden.com Domain’inin Güncellenmesi Unutulmuş için Tolga Kaprol
  • İngiliz Düzenleyici Ofcom, Bulut Servislerini ve Akıllı Cihaz Pazarını Soruşturuyor için Tolga Kaprol
  • Seçim Yaklaşırken, Kişisel Veriler Kötüye Nasıl Kullanılır? için [email protected]
Plugin Install : Subscribe Push Notification need OneSignal plugin to be installed

© Copyrights 2000-2025 - Bu sitede yayınlanan haber/söyleşi/makale ve bilgilerin tüm hakkı turk-internet.com'a aittir.

Tekrar Hoşgeldiniz!

Aşağıdan hesabınıza giriş yapınız

Şifremi unuttum?

Şifrenizi geri alın

Lütfen şifrenizi resetlemek için kullanıcı adı veya email adresinizi girin.

Giriş yap
No Result
View All Result
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
  • Kişisel Verilerin Korunması
    • Çerez Aydınlatma Metni
    • İlgili Kişi Başvuru Formu

© Copyrights 2000-2025 - Bu sitede yayınlanan haber/söyleşi/makale ve bilgilerin tüm hakkı turk-internet.com'a aittir.

Bu internet sitesinde, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. Gizlilik Bildirimi.