Kurumun bilişim sistemi ve yönetim politikasının standartlara uygun olmaması nedeniyle bilgi güvenliğinde eksiklikler olduğu tespit edilmiştir.

5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu'nun 11'inci maddesinde, üst yöneticilerin, sorumlulukları altındaki kaynakların etkili, ekonomik ve verimli şekilde elde edilmesi ve kullanımını sağlamaktan, kayıp ve kötüye kullanımının önlenmesinden, malî yönetim ve kontrol sisteminin işleyişinden sorumlu olduğu ifade edilmektedir.

2006/38 sayılı Yüksek Planlama Kurulu Kararı'yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmî Gazete'de yayımlanan Bilgi Toplumu Stratejisi Belgesi'nde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir.

26.12.2007 tarih ve 26738 sayılı Resmî Gazete'de yayımlanan Kamu İç Kontrol Standartları Tebliği'nin “3. Kontrol Faaliyetleri Standartları Bölümü-Standart: 12”de, bilişim sisteminin nasıl olacağı konusunda standartlar ve genel şartlar belirlenmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'te, kişisel verilerin işlenmesi, saklanması ve imhası hakkında hükümler bulunmaktadır.

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'da internet ortamında işlenen suçlarla mücadeleye ilişkin esas ve usuller düzenlenmiştir.

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ'de, kurum bünyesinde kurulması istenen Siber Olaylara Müdahale Ekibi'nin kuruluş, görev ve çalışmalarına ilişkin usul ve esaslar belirlenmiştir.

Kamu Hizmetlerinin Sunumunda Uyulacak Usul ve Esaslara İlişkin Yönetmelik'in 4'üncü maddesinde, idarenin yapmakla görevli olduğu hizmetleri e-Devlet Kapısı'na entegre edeceği ifade edilmektedir.

Uluslararası Standartlar Teşkilatı (ISO) 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğine dair risklerin belirlenmesi ve yönetilmesi için kural ve esasları içermektedir. ISO 27002 ise bilgi güvenliği yönetim sistemi kurulumu sırasında izlenebilecek iyi uygulamalar ve öneriler içeren bir bilgi güvenliği standardıdır.

Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in 5’inci maddesinde idarenin, elektronik ortamda teşekkül eden ve/veya depolanan belgeler için her türlü afet, siber saldırı, yazılım/donanım kaynaklı veya olası diğer tehditlere/risklere karşı gerekli güvenlik önlemlerinin alınması ve olası belge kayıplarının engellenmesi amacıyla felaket kurtarma planlaması yapılması ve yürütülmesi ile yedekleme ünitelerinin tesis edilmesinden sorumlu olduğu ifade edilmiştir.

Bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetleri, bu sistemlerin hizmet dışı kalmasına veya kötüye kullanılmasına, can/mal kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına veya ulusal güvenliğin ihlaline neden olabilecektir.

Kurumun bilişim sistemi incelendiğinde; bilişim sistemi, bilgi güvenliği, yedekleme, bilişim personelinin istihdamı ve eğitimi vs. konularında yazılı bir düzenlemenin, Bilişim Stratejik Planı’nın, risk değerlendirilmesi ile görevli bir birimin, Bilgi Güvenliği Sorumlusu’nun ve Siber Olaylara Müdahale Ekibi’nin olmadığı, düzenli aralıklarla açıklık analizi ve sızma testi yaptırılmadığı, bilişim sistemine yönelik ‘Kurum Risk Listesi’nin düzenlenmediği, bilişim sistemi, veriler, yazılımlar, donanım vs. bütün bilgi varlıklarının güvenlik ihtiyacına göre, önem, hassasiyet veya başka açılardan sınıflandırılmadığı, bilişim sisteminin, bağımsız firmalarca incelenmediği, bilişim sistemi güvenliği (tehditler) konusunda personele yazılı bilgi verilmediği ve eğitim faaliyetlerinin yapılmadığı, bilişim sistemine yapılan saldırıların, rapor halinde düzenli olarak üst yöneticiye verilmediği, izinsiz yazılımların kullanıldığı, deprem gibi olağanüstü durumlarda, sistemin kesintisiz çalışmasını sağlayan, Felaket Kurtarma Merkezinin kurulmadığı,

Sistem odasıyla ilgili olarak; ayrı bir jeneratörün olmadığı, kesintisiz güç kaynağının ve klimanın bir adet olduğu, çelik kapı, elektronik kilit ve cihazları koruyan anti-statik döşemenin olmadığı, yedeklerin, sunucunun olduğu binada saklanması nedeniyle risk oluşturduğu tespit edilmiştir.

İdare, bulguda bahsedilen konularda çalışmalara başladığını ifade etmiştir.

Yukarıda yazılı mevzuat gereği, bahsedilen eksiklikler giderilip bilişim sistemi standartlara uygun hale getirilmelidir.