KVKK Uyumu için Siber Güvenlik Tedbirleri

29/10/2019 Kapalı Yazar: admin
KVKK Uyumu için Siber Güvenlik Tedbirleri

Halen yürürlükte olan Kanunu (), kuruluşları kişisel verilerinin korunması için teknik ve idari tedbirleri almakla yükümlü kıldı. 2018 yılının başlangıcında yayımlanan ve alınacak idari ve teknik tedbirlerin anlatıldığı “ Rehberi” Kitapçığında ise önlemlerinden ilk defa bahsedildi.

Güvenli Rehberinde Siber Güvenlik

Kişisel Veri Güvenliği Rehberi kapsamında kurumların sahip olduğu kişisel verilerin korunmasında
siber güvenliğin önemi vurgulanıyor. Kişisel Verileri Koruma Kurumu tarafından yayınlanan veri
güvenliği rehberinde, kurumların yükümlülükleri ve siber güvenlik alanında KVKK kapsamında almaları
gereken önlemleri sıralanıyor.

KVKK Uyumu için Siber Güvenlik Tedbirleri 1

Veri güvenliği rehberi içerisinde geçen siber güvenlik yaklaşımı, aşağıda belirtildiği şekilde 3 ana başlık altında gruplanabilir.

1. Siber Güvenlik Yönetimi

a) Siber Güvenlik Hedefleri

b) Roller ve Sorumluluklar

c) Gözden Geçirme, Denetim ve İyileştirme

2. Organizasyonel Kontroller

a) Bilginin Sınıflandırılması ve Kullanımı
b) Siber Güvenlik
c) Siber Güvenlik Uyumluluğu
d) Üçüncü Parti Yönetimi

3. Teknik Kontroller

a) BT Sistemleri Güvenlik Yönetimi

b) Yönetimi

c) Güvenlik Açığı Yönetimi

d) Kriptografi ve Erişim Yönetimi

Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara
veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark
edilememekte ve müdahale için geç kalınabilmektedir. Söz konusu siber saldırıların gerçekleşmesinden
önce önlem alınabilmesi için ise, düzenli olarak çalışmalarının gerçekleştirilmesi ve daha da
önemlisi uçtan uca siber güvenlik süreçlerinin inşa edilmesi kişisel verilerin korunması kapsamında da
çok büyük bir önem taşıyor.

Ayrıca, Kişisel Verileri Koruma Kurulu tarafından 31.01.2018 tarihinde alınan karar ile özel nitelikli kişisel
verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlara ilişkin olarak düzenli güvenlik testlerinin
yapılması/yaptırılması gerekiyor.

KVKK uyumu için siber güvenlik

Kişisel Veri Güvenliği rehberi kapsamında alınması Gereken Teknik ve İdari Tedbirlere uyumlu hale
gelinebilmesi için aşağıda yer alan ana başlıklardaki süreçlerin, politika, prosedürlerin ve gerekli araçların
tasarlanması ve işletilmesi gerekmektedir:

  1. Mevcut Risk ve Tehditlerin Belirlenmesi
  2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
  3. Veri Güvenliği Politika ve Prosedürlerinin Belirlenmesi
  4. Kişisel Verilerin Azaltılması
  5. Veri İşleyenlerin Yönetimi
  6. Siber Güvenliğin Sağlanması
  7. Veri Güvenliğinin Takibi
  8. Veri Ortamlarının Güvenliğinin Sağlanması
  9. Bulut Bilişim Üzerinde KVKK Sistemlerinin Tedariki,
  10. Geliştirilmesi ve Bakımı

Kurumlar, Siber Güvenlik Konusunda Ne Yapmalı ?

Kurumlar, Kanun kapsamında belirlenmiş kişisel verilerin güvence altına alınması ve kuruluşların rehberin getirdiği veri güvenliği çerçevesine uyumlu hale gelmesi ile bununla ilişkili siber güvenlik süreçlerinin kurulup işletilebilmesi için aşağıdaki adımlar yerine getirilmelidir:

1. Mevcut Durum Analizi

Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kapsamında belirtilen siber güvenlik kontrollerine ilişkin mevcut durumun ve olgunluk seviyesinin analiz edilmesi.

2. Eksikliklerin İyileştirilmesi

Mevcut durum analizi adımında tespit edilen eksikliklere ilişkin aksiyon planının oluşturulması ve eksikliklerin iyileştirilmesi.

3. Sızma Testi Denetimi

Kuruluşların bilgi sistemlerine saldırgan öngörüsü ile güvenlik açıklıklarının tespit edilmesi ve zafiyetlerin kullanılması amacıyla sızılmaya çalışılması ve açıklıkların raporlanması.

4.

Sızma testi sonucunda tespit edilem eksiklerin giderilerek, gerçekten açıkların giderilip giderilmediğinin belirlenmesi için doğrulama testinin yapılması.