Kurumun bilişim sistemi ve yönetim politikasının standartlara uygun olmaması nedeniyle bilgi güvenliğinde eksiklikler olduğu tespit edilmiştir.

5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu’nun 11’inci maddesinde, üst yöneticilerin, sorumlulukları altındaki kaynakların etkili, ekonomik ve verimli şekilde elde edilmesi ve kullanımını sağlamaktan, kayıp ve kötüye kullanımının önlenmesinden, malî yönetim ve kontrol sisteminin işleyişinden sorumlu olduğu ifade edilmektedir.

2006/38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesi’nde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir.

26.12.2007 tarih ve 26738 sayılı Resmi Gazete’de yayınlanan Kamu İç Kontrol Standartları Tebliği’nin “3. Kontrol Faaliyetleri Standartları Bölümü-Standart: 12” de, bilişim sisteminin nasıl olacağı konusunda standartlar ve genel şartlar belirlenmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te, kişisel verilerin işlenmesi, saklanması ve imhası hakkında hükümler bulunmaktadır.

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da internet ortamında işlenen suçlarla mücadeleye ilişkin esas ve usuller düzenlenmiştir.

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ’de, kurum bünyesinde kurulması istenen Siber Olaylara Müdahale Ekibi’nin kuruluş, görev ve çalışmalarına ilişkin usul ve esaslar belirlenmiştir.

Kamu Hizmetlerinin Sunumunda Uyulacak Usul ve Esaslara İlişkin Yönetmelik’in 4’üncü maddesinde, idarenin yapmakla görevli olduğu hizmetleri e-Devlet Kapısı’na entegre edeceği ifade edilmektedir.

Uluslararası Standartlar Teşkilatı (ISO) 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğine dair risklerin belirlenmesi ve yönetilmesi için kural ve esasları


içermektedir. ISO 27002 ise bilgi güvenliği yönetim sistemi kurulumu sırasında izlenebilecek iyi uygulamalar ve öneriler içeren bir bilgi güvenliği standardıdır.

Bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetleri, bu sistemlerin hizmet dışı kalmasına veya kötüye kullanılmasına, can/mal kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına veya ulusal güvenliğin ihlaline neden olabilecektir.

Kurumun bilişim sistemi incelendiğinde;

-Belediye hizmetlerinin, e-Devlet Kapısı’na entegre edilmediği,

-ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasının alınmadığı,

-Bilişim sistemi, bilgi güvenliği, acil durum değişiklikleri yönetimi, yedekleme, bilişim personelinin istihdamı, eğitimi vs konularda kurumun yazılı bir düzenlemesinin olmadığı,

-Bilişim Stratejik Planı’nın olmadığı,

-5651 sayılı Kanun uyarınca tutulması gereken yer sağlayıcı ve toplu internet sağlayıcı kayıtlarının olmadığı,

-6698 sayılı Kişisel Verilerin Korunması Kanunu’na ve Kişisel Verilerin Silinmesi Yönetmeliği’ne uygun şekilde kişisel verilerin işlenmesi, saklanması ve imhası hükümlerinin uygulanmadığı,

-Bilişim sistemi güvenliği (tehditler) konusunda personele yazılı bir bilgi verilmediği,

-Bilgi güvenliğine ilişkin eğitim faaliyetlerinin yapılmadığı,

-Kurum Risk Listesi’nin düzenlenmediği,

-Risk değerlendirilmesi ile görevli bir birimin olmadığı,

-Bilgi Güvenliği Sorumlusu’nun atanmadığı,

-Bilişim sistemine zarar verebilecek muhtemel risklerin düzenli olarak gözden geçirilmediği (düzenli aralıklarla açıklık analizi ve sızma testi yaptırılmadığı),

-Yetkisiz erişimler hakkında düzenli olarak üst yöneticiye bilgi verilmediği,

-Bilişim sisteminin, bağımsız firmalarca incelenmediği, Sistem odasıyla ilgili olarak;

-Sistem odasında jeneratör, klima, otomatik yangın söndürme sistemi, duman/nem algılayıcı, iklimlendirme sisteminin olmadığı,

-Kapısının PVC olduğu, elektronik kilit sisteminin ve cihazları koruyan anti-statik döşemenin olmadığı, sunucuların (kabinin) depreme karşı duvara veya tabana sabitlenmediği,

-Sistem yedeğinin aynı binada olduğu,

-Yedekten geri dönüş testlerinin yapılmadığı,

-Deprem gibi olağanüstü durumlarda sistemin kesintisiz çalışmasını sağlayan, Felaket Kurtarma Merkezinin ve felaket kurtarma planı (iş süreklilik planı)nın olmadığı,


-Log kaydı tutulmadığı,

Şifre belirlenmesiyle ilgili olarak;

-Şifrelerin belirli aralıklarla değiştirilmesini zorunlu kılan düzenlemelerin olmadığı,

-Belirli sayıda başarısız şifre denemesinden sonra sistemin, o şifrenin kullanımını devre dışı bırakmadığı,

-Sisteme girişte, başarısız şifrelerde sınır olmadığı,

-Kullanıcı şifrelerinin, şifre dosyalarında kodlanarak korunmadığı, Tespit edilmiştir.

Kamu idaresi, bilişim sistemlerinin gerekli standartlara kavuşturulması çalışmalarına başlanacağını ifade etmiştir.

Standartlara uygun bir bilişim sistemi kurulduğunda, sistemin kötüye kullanılması, belediye hizmetlerinin aksaması ve ekonomik zarara uğraması önlenecek, bilgi güvenliği ve kurum hizmetlerinin kalitesi yükselecektir.


Kararla ilgili sorunuz mu var?