MEHMET BALiOGLU

Bilişim Sistemlerinin Sürekliliğini Güvence Altına Alacak Kontrollerin Yetersiz Olması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Kurumda bilişim sistemlerinin kesintiye uğraması veya felaket durumlarına karşı hizmet sürekliliği sağlamada alınan kontrollerin yetersiz olduğu tespit edilmiştir.
  • İş sürekliliği ve felaket kurtarma planları hazırlanmış ancak henüz tamamlanmamış ve test edilmemiştir.
  • Felaket kurtarma merkezi kurulmuş fakat bir felaket kurtarma planı hazırlanmamıştır.

Yasal ve Düzenleyici Çerçeve

  • Kamu İç Kontrol Standartları Tebliği, 11 ve 12 No’lu Standartlar
  • E-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik, Madde 7

Önerilen Ana Eylem Noktaları

  • Bilişim sistemleri iş sürekliliği ve felaket kurtarma planları hazırlanmalı ve üst yönetim onayı ile yürürlüğe konmalıdır.
  • Hazırlanan planlar test edilmeli ve güncelliği korunmalıdır.
  • Felaket kurtarma merkezi çalışmaları tamamlanmalıdır.

Rapor Metni

Kurumda, bilişim sistemleriyle yürütülen hizmetlerin kesintiye uğraması veya bir felaketle karşı karşıya kalması durumunda, söz konusu hizmetlerin sürekliliğinin sağlanması için alınması gereken kontrollerin yetersiz olduğu tespit edilmiştir.

Kamu İç Kontrol Standartları Tebliği’nde 11 ve 12 No’lu Standartlarda şu kontroller tanımlanmıştır:

“İdareler, faaliyetlerin sürekliliğini sağlamaya yönelik gerekli önlemleri almalıdır.”

“Bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlayacak kontroller yazılı olarak belirlenmeli ve uygulanmalıdır.”

E-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7’nci maddesinde şu hükümlere yer verilmiştir:

“d) Kamu kurum ve kuruluşları, e-Devlet hizmetlerini kullanım kolaylığı ve kullanıcı memnuniyetini sağlayacak şekilde; ulusal ve uluslararası standartlara uygun olarak, işlevsel, güvenli, talebe cevap verebilir ve kesintisiz şekilde sunar (…)”

m) Kamu kurum ve kuruluşları herhangi bir felaket anında sistemlerin kesintiye uğramaması için gerekli tedbirleri alır.”

Kurumlarda sistemlerin kesintiye uğramaması için alınan tedbirler, iş sürekliliği ve felaket kurtarma planları ve bu planların ifası için gerekli olan altyapılarla sağlanmaktadır.

İş sürekliliği planı, bilişim hizmetlerinde herhangi bir kesinti meydana gelmesi durumunda yapılacak çalışmaları tanımlayan bir belgedir. Bu belgede kesinti durumunda kimin hangi görevi yerine getireceği, hangi sistemlerin öncelikle ele alınacağı, öncelikli kurtarma adımlarının neler olduğu, tahliye prosedürlerinin neler olduğu, can ve mal kayıplarının en aza indirilmesi için neler yapılacağı, planın kimler tarafından ve nasıl aktif hale getirileceği gibi hususlara yer verilir.

Benzer şekilde felaket kurtarma planı bir felaket sonrası bilişim alt yapısının yeniden aktif hale getirilmesini ele alır. Bu plan iş sürekliliği planının içinde bir bölüm olarak yer alabileceği gibi müstakil bir plan olarak da hazırlanabilir. İster iş sürekliliğinin bir parçası ister ayrı bir plan olsun felaket kurtarma planları iş sürekliliği planıyla uyumlu olmak zorundadır.

İş sürekliliği planı ne kadar detaylı ve doğru hazırlanmış olursa olsun test edilmedikçe güvenilir değildir. Bu tür planların zayıf noktalarının; birbiriyle çelişen ve hatalı sıralanmış adımların, eksik kalan görevlendirmelerin ve tespiti yapılmamış ihtiyaçların görülebilmesi bir test yapılması ile mümkün olacaktır.

Kurum bilişim sistemlerinde yapılan incelemede iş sürekliliğini sağlamak amacıyla çeşitli belgeler oluşturulduğu, iş sürekliliği planının hangi süreçlerle hazırlanacağının belirlendiği ancak planın henüz hazırlanmadığı görülmüştür. Ayrıca bu süreç tasarımı, bilgi işlem birimi bünyesinde yürütülmüş olup üst yönetim tarafından onaylanmamıştır. Dolayısıyla sürekli ve tutarlı bir şekilde uygulanması güvence altına alınmamıştır.

Kuruma ait bir felaket kurtarma merkezinin başka bir birim bünyesinde kurulduğu, ancak bir felaket kurtarma planı hazırlanmadığı görülmüştür. Bu tür bir plan hazırlanarak test edilmedikçe, kurulmuş altyapının ihtiyaç anında uygun şekilde kullanılamaması riski bulunmaktadır.

Kurum bünyesinde bilişim sistemleri iş sürekliliği ve felaket kurtarma planlarının hazırlanması ve üst yönetimce onaylanarak yürürlüğe konması, bu planların test edilmesi ve güncelliğinin korunması ve felaket kurtarma merkezi çalışmalarının tamamlanması gerekmektedir.