MEHMET BALiOGLU

Bilişim Sistemlerinin Sürekliliğini Güvence Altına Alacak Kontrollerin Yetersiz Olması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Kurumda, bilişim sistemleriyle yürütülen hizmetlerin sürekliliğinin sağlanması için alınması gereken kontrollerin yetersiz olduğu tespit edilmiştir.
  • İş sürekliliği ve felaket kurtarma planlarının hazırlanmadığı veya eksik olduğu tespit edilmiştir.
  • Hazırlanan planların test edilmediği ve güncelliğinin korunmadığı belirlenmiştir.
  • Felaket kurtarma merkezi kurulması için çalışmaların tamamlanmadığı tespit edilmiştir.

Yasal ve Düzenleyici Çerçeve

  • Kamu İç Kontrol Standartları Tebliği 11 ve 12 No’lu Standartlar
  • E-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik Madde 7

Önerilen Ana Eylem Noktaları

  • Kurum bünyesinde bilişim sistemleri iş sürekliliği ve felaket kurtarma planlarının hazırlanması gerekmektedir.
  • Hazırlanan planların üst yönetimce onaylanarak yürürlüğe konması gerekmektedir.
  • Planların test edilmesi ve güncelliğinin korunması gerekmektedir.
  • Felaket kurtarma merkezi çalışmalarının tamamlanması gerekmektedir.

Rapor Metni

Kurumda, bilişim sistemleriyle yürütülen hizmetlerin kesintiye uğraması veya bir felaketle karşı karşıya kalması durumunda, söz konusu hizmetlerin sürekliliğinin sağlanması için alınması gereken kontrollerin yetersiz olduğu tespit edilmiştir.

Kamu İç Kontrol Standartları Tebliği’nde 11 ve 12 No’lu Standartlarda şu kontroller tanımlanmıştır:

“İdareler, faaliyetlerin sürekliliğini sağlamaya yönelik gerekli önlemleri almalıdır.”

“Bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlayacak kontroller yazılı olarak belirlenmeli ve uygulanmalıdır.”

E-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7’nci maddesinde şu hükümlere yer verilmiştir:

“d) Kamu kurum ve kuruluşları, e-Devlet hizmetlerini kullanım kolaylığı ve kullanıcı memnuniyetini sağlayacak şekilde; ulusal ve uluslararası standartlara uygun olarak, işlevsel, güvenli, talebe cevap verebilir ve kesintisiz şekilde sunar (…)”

m) Kamu kurum ve kuruluşları herhangi bir felaket anında sistemlerin kesintiye uğramaması için gerekli tedbirleri alır.”

Kurumlarda sistemlerin kesintiye uğramaması için alınan tedbirler, iş sürekliliği ve felaket kurtarma planları ve bu planların ifası için gerekli olan altyapılarla sağlanmaktadır.

İş sürekliliği planı, bilişim hizmetlerinde herhangi bir kesinti meydana gelmesi durumunda yapılacak çalışmaları tanımlayan bir belgedir. Bu belgede kesinti durumunda kimin hangi görevi yerine getireceği, hangi sistemlerin öncelikle ele alınacağı, öncelikli kurtarma adımlarının neler olduğu, tahliye prosedürlerinin neler olduğu, can ve mal

kayıplarının en aza indirilmesi için gerekli prosedürlerin neler olduğu, planının kim tarafından ve nasıl aktif hale getirileceği gibi hususlara yer verilir.

Benzer şekilde felaket kurtarma planı bir felaket sonrası bilişim alt yapısının yeniden aktif hale getirilmesini ele alır. Bu plan iş sürekliliği planının içinde bir bölüm olarak yer alabileceği gibi müstakil bir plan olarak da hazırlanabilir. İster iş sürekliliğinin bir parçası ister ayrı bir plan olsun felaket kurtarma planları iş sürekliliği planıyla uyumlu olmak zorundadır.

İş sürekliliği planı ne kadar detaylı ve doğru hazırlanmış olursa olsun test edilmedikçe güvenilir değildir. Bu tür planların zayıf noktalarının; birbiriyle çelişen ve hatalı sıralanmış adımların, eksik kalan görevlendirmelerin ve tespiti yapılmamış ihtiyaçların görülebilmesi bir test yapılması ile mümkün olacaktır.

Kurum bilişim sistemlerinde yapılan incelemede iş sürekliliğini sağlamak amacıyla çeşitli belgeler oluşturulduğu, iş sürekliliği planının hangi süreçlerle hazırlanacağının belirlendiği ancak planın henüz hazırlanmadığı görülmüştür. Ancak bu süreç tasarımı, bilgi işlem birimi bünyesinde yürütülmüş olup üst yönetim tarafından onaylanmamıştır. Dolayısıyla sürekli ve tutarlı bir şekilde uygulanması güvence altına alınmamıştır.

Kuruma ait bir felaket kurtarma merkezi (FKM) kurulması için ihale yapıldığı ancak sürecin henüz tamamlanmadığı ve bir felaket kurtarma planının henüz hazırlanmamış olduğu görülmüştür. Bu tür bir plan hazırlanarak test edilmedikçe, kurulmuş altyapının ihtiyaç anında uygun şekilde kullanılamaması riski bulunmaktadır.

Kurum bünyesinde bilişim sistemleri iş sürekliliği ve felaket kurtarma planlarının hazırlanması ve üst yönetimce onaylanarak yürürlüğe konması, bu planların test edilmesi ve güncelliğinin korunması ve felaket kurtarma merkezi çalışmalarının tamamlanması gerekmektedir.