Siber Güvenlik Farkındalığı Uyumluluk Gereksinimleri

1. Yönetici Özeti

Bu dokümanın amacı kurumların güvenlik farkındalık programı almaları için çeşitli standart ve kuralları  tanımlamaktır. Bu bilgiler sonraki aşamalarda kendi güvenlik farkındalık programınızı belirlemenize yardımcı olabilir. Bu doküman için herhangi bir soru ya da öneri için contact@sinaralabs.com adresine gönderilmelidir.

 2. ISO/IEC 27001 & 27002

Kurumdaki tüm çalışanlar ve varsa ortak ve üçüncü taraflar kurumsal politikalar ve prosedürlerde kendi iş işlevleri ile ilgili olarak gerekli farkındalık eğitimini düzenli bir şekilde almalıdır.

Daha fazla bilgi için: http://en.wikipedia.org/wiki/ISO_27001

3. PCI DSS

12.6 – Tüm çalışanların kredi kart bilgi güvenliğinin önemi konusunda farkındalık sahibi olduğundan emin olunuz.

  • Çalışanları eğitin. (Örneğin, posterler, mektuplar, notlar, toplantılar ve promosyonlar ile)
  • Tüm çalışanların şirketin güvenlik politika ve prosedürlerini okuyup anladığını bildirmelerini talep edin.

PCI DSS standardını indirmek için: https://www.pcisecuritystandards.org/ security_standards/documents.php

PCI DSS Güvenlik Farkındalık Program Kılavuzunu indirmek için: https://www.pcisecuritystandards.org/documents/ PCI_DSS_V1.0_Best_Practices_for_Implementing_Security_Awareness_Program.pdf

4. Kişisel Verilerin Korunması Kanunu

Kişisel Verilerin Korunması Kanunu’nun 12. maddesine göre,  (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Detaylı bilgi için: http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf

6. Ulusal Siber Güvenlik stratejisi

Bölüm 4- madde 4’e göre kurumların bilişim sistemlerinin sadece saldırılardan değil, kullanıcı hataları ve afetlerden de korunması için düzenlemelerin yapılması gerekmektedir. madde 6’ya göre Siber güvenlik konusunda kurum yöneticilerinin farkındalığının artırılması; madde 8’e göre ise toplumun her kesiminde siber güvenlik bilincinin oluşturulması, eğitim kurumlarının çalışmalarına ilave olarak yazılı ve görsel medyada farkındalık çalışmalarının yapılması gerekmektedir.

Bakınız: http://www.udhb.gov.tr/doc/siberg/2016-2019guvenlik.pdf

7. BDDK Mevzuatı

Yönetim gözetimi – MADDE 6 – alt madde 4 – ç) Bilgi güvenliği hususunda farkındalığı artıracak çalışmaların desteklenmesi hakkındadır. Ayrıca madde 7 – alt madde 3 – b) Banka personelinin güvenlik konusunda farkındalık kazanmaları banka tarafından sağlanır, bankanın güvenlik politikası kendilerine aktarılır, uyum konusunda yazılı taahhütleri alınır. Ayrıca madde 30 – alt madde 5 – ç) Müşterilerinde farkındalık yaratmayı amaçlayan yönlendirici güvenlik kılavuzları yayınlamakla ve banka güvenliğini zafiyete uğratmama hususunu gözeterek bu konudaki politika ve prosedürlerini müşterilerin dikkatine sunmakla yükümlü kılmıştır.

Bakınız: https://www.bddk.org.tr/ WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_Duzenlemeler/9491ilkelerteblig.pdf

Madde 5 – alt madde’ye göre, (3) Kuruluş, kendi alanına giren konularda sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapmak, güvenlik önlemleri saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür.

Bakınız: https://www.bddk.org.tr/ websitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_Duzenlemeler/12634kkb_bkm_teblig.pdf

8. TCMB Mevzuatı

TCMB – 1) madde 6 – alt madde ​ 11) Sistem işleticisi, personelin bilgi güvenliği hususlarında farkındalığını arttıracak gerekli faaliyetleri yürütür.

Bakınız: http://www.resmigazete.gov.tr/eskiler/2016/01/20160109-15.html

​TCMB 2 ) madde 5- ç) Yeterli risk yönetimine sahip olması ve bilgilerin güvenliği ile güvenilirliğine ve iş sürekliliğine dair gerekli tedbirleri alması ​cezalar : madde 31 – belgelerin saklanması ve bilgi güvenliği yükümlülüğüne aykırı davranmak​.

Bakınız: http://www.tcmb.gov.tr/ wps/wcm/connect/9bcea5d0-5d7b-4417-82c0-f9f914117cbe/kanun.pdf?MOD=AJPERES&CACHEID=ROOTWORKSPACE9bcea5d0-5d7b-4417-82c0-f9f914117cbe

9. AB Veri Koruma Yönergesi

Birleşmiş Milletler tüm avrupa üye ülke vatandaşlarını kişisel gizliliği korumak adına kanunları geliştirmek ve tanımlamak için gerekli ülkeye yönlendirmiştir. Her ülkenin yönergeleri uygulaması farklı ve eşsiz olmasına rağmen, çoğu insanları kişisel gizliliği korumak adına güvenlik farkındalık eğitimine ihtiyaç duymaktadır.

Daha fazla bilgi için: http://en.wikipedia.org/wiki/Data_Protection_Directive