MEHMET BALiOGLU

Bilişim Sistemlerinde Bazı Eksikliklerin Bulunması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Üniversitenin bilişim sistemleri ile ilgili bazı yasal yükümlülüklerini yerine getirmediği tespit edilmiştir.
  • Üniversitede BGYS kurulmasına rağmen, kablolu ve kablosuz ağların tamamını kapsayacak şekilde faaliyete geçmediği anlaşılmıştır.
  • Ağ trafiğindeki kayıtların depolandığı sistem, iki yıl süreyle kayıtları tutabilecek kapasiteye sahip değildir.
  • Üniversite bilişim sistemlerinin bilgi güvenliği zafiyeti taşıdığı düşünülmektedir.

Yasal ve Düzenleyici Çerçeve

  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un 2. Maddesi (Tanımlar)
  • 5651 sayılı Kanun’un 5. Maddesinin üçüncü fıkrası (Yer sağlayıcının yükümlülükleri)
  • Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’nin 3. Maddesi (Tanımlar ve kısaltmalar)
  • Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’nin 6. Maddesi (BGYS’nin kurulması, kapsamı ve yönetimi)

Önerilen Ana Eylem Noktaları

  • Üniversitenin, BGYS’yi kablolu ve kablosuz ağların tamamını kapsayacak şekilde faaliyete geçirmesi gerekmektedir.
  • Ağ trafiğindeki kayıtların depolandığı sistemin, iki yıl süreyle kayıtları tutabilecek kapasiteye sahip olacak şekilde iyileştirilmesi gerekmektedir.

Rapor Metni

Üniversite bilişim sistemleri ile ilgili olarak yapılan inceleme sonucunda; Üniversitenin, bilişim sistemleri ile ilgili bazı yükümlülüklerini yerine getirmediği, görülmüştür.

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un “Tanımlar” başlıklı 2’nci maddesinde;

“(1) Bu Kanunun uygulamasında; (…)

m) Yer sağlayıcı: Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişileri,

(…) ifade eder.”

Aynı Kanun’un “Yer sağlayıcının yükümlülükleri” başlıklı 5’inci maddesinin üçüncü fıkrasında;

“Yer sağlayıcı, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.”

Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’nin

“Tanımlar ve kısaltmalar” başlıklı 3’üncü maddesinde;

“(1) Bu Yönetmelikte geçen; (…)

c) Bilgi güvenliği yönetim sistemi (BGYS): Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, işletmecinin yönetimince kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütününü,

(…)

i) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi,

(…) ifade eder.”

Aynı Yönetmeliği’n “BGYS’nin kurulması, kapsamı ve yönetimi” başlıklı 6’ncı maddesinde;

“(1) İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde BGYS kurar.

(2) İşletmeci BGYS’nin kurulması, uygulanması ve sürekliliğinin sağlanması amacıyla bir yönetim mekanizması işletir.”

Hükümlerine yer verilmek suretiyle yer sağlayıcı ve işletmeci konumunda bulunan Üniversite, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve BGYS kurmakla yükümlü tutulmuştur.

Yapılan incelemede; Üniversitede, BGYS’nin, kurulmasına rağmen kablolu ve kablosuz ağların tamamını kapsar şekilde faaliyete geçmediği ve ağ trafiğindeki kayıtların depolandığı sistemin, iki yıl süreyle kayıtları tutabilecek bir kapasiteye sahip olmadığı, anlaşılmıştır.

Bu itibarla; Üniversite bilişim sistemlerinin, bu yönüyle bilgi güvenliği zafiyeti taşıdığı düşünülmektedir.