MEHMET BALiOGLU

Dış Tedarikle Yürütülen Bilişim Hizmetlerine İlişkin Sözleşmelerin Bilgi Güvenliği Yönünden Yetersiz Olması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Kurumda hizmet alımı yoluyla tedarik edilen bilişim hizmetlerine ilişkin sözleşmelerde yer alan hükümler, bilgi güvenliğini sağlamak için yeterli değildir.
  • Mevcut sözleşme ve şartname şablonlarındaki ifadeler, bilgi güvenliği gerekliliklerini tam olarak karşılamamaktadır.
  • Yüklenici sistemlerinin Kurum tarafından denetlenmesine olanak tanıyan açık bir hüküm olmadığı sürece, yüklenicinin Kurum’un denetimine rıza göstermesi beklenmemektedir.
  • Sözleşmelerde, bilişime özgü ihtiyaçları karşılayacak ek maddelere ihtiyaç duyulmaktadır.
  • Kurum, dış tedarik yoluyla alınan hizmetlerde bilgi güvenliğini sağlamak için gerekli tüm tedbirleri almaktan sorumludur.
  • Yüklenicinin, Kurum’un bilgi güvenliği kurallarına uyumu sağlaması ve bunun Kurum tarafından denetlenmesi gerekmektedir.
  • Mevcut “Üçüncü Taraf Güvenlik Politikası” yeterli kapsamda değildir ve hizmetlere ilişkin risk değerlendirmesi yapılmamıştır.
  • Sözleşmelerde, yüklenici sistem ve süreçlerinin Kurum’un risk yönetimi, güvenlik ve gizlilik ilkelerine uygunluğunu garanti altına alan hükümler bulunmamaktadır.
  • Yüklenicilerin Kurum bilişim varlıklarına erişiminin nasıl yönetileceği ve izleneceği tanımlanmamıştır.
  • Yüklenici ve personelinin erişim türleri, erişilecek verinin kritiklik derecesi ve erişimin bilgi güvenliği üzerindeki etkileri tanımlanmamıştır.
  • Yükleniciler tarafından erişilen gizli veya kişisel verilerin gizliliğinin ve güvenliğinin nasıl korunacağı belirlenmemiştir.
  • Yüklenici personelinin işten ayrılması veya hizmetin sona ermesi durumunda erişim haklarının iptali süreci tanımlanmamıştır.
  • Kurum’un, yüklenicinin aldığı bilgi güvenliği tedbirleri üzerindeki denetim/gözden geçirme hakkı ve bu hakkın nasıl kullanılacağı tanımlanmamıştır.
  • Yüklenicinin, hizmet kapsamında gerçekleşen güvenlik ihlallerini bildirme yükümlülüğü tanımlanmamıştır.

Yasal ve Düzenleyici Çerçeve

  • Hizmet İşleri Genel Şartnamesi’nin “Gizlilik” başlıklı 13’üncü maddesi
  • Hizmet İşleri Genel Şartnamesi’nin “Kontrol teşkilatı ve yetkileri” başlıklı 26’ncı maddesi
  • Hizmet Alımlarına Ait Tip Sözleşme’nin “Kontrol Teşkilatı, görev ve yetkileri” başlıklı 18’inci maddesi
  • ISO/IEC 27002:2013 Bilgi teknolojisi – Güvenlik teknikleri standardının “Tedarikçi ilişkileri için bilgi güvenliği politikası” başlıklı 15.1.1 numaralı kontrolü
  • ISO/IEC 27002:2013 Bilgi teknolojisi – Güvenlik teknikleri standardının “Tedarikçi hizmetlerini izleme ve gözden geçirme” başlıklı 15.2.1 numaralı kontrolü

Önerilen Ana Eylem Noktaları

  • Mevcut sözleşmelerin, bilgi güvenliğini sağlayacak ve belirlenen eksiklikleri giderecek şekilde tadil edilmesi gerekmektedir.
  • Yeni sözleşmelerin, belirlenen eksiklikleri giderecek şekilde hazırlanması gerekmektedir.
  • Sözleşmelere, yüklenici sistem ve süreçlerinin Kurum’un risk yönetimi, güvenlik ve gizlilik ilkelerine uygunluğunu sağlayacak hükümler eklenmelidir.
  • Yüklenicilerin Kurum bilişim varlıklarına erişiminin nasıl yönetileceği ve izleneceği açıkça tanımlanmalıdır.
  • Yüklenici ve personelinin erişim türleri, verinin kritiklik derecesi ve erişimin bilgi güvenliği üzerindeki etkileri belirlenmelidir.
  • Yükleniciler tarafından erişilen gizli veya kişisel verilerin korunması için gerekli tedbirler tanımlanmalıdır.
  • Personelin işten ayrılması veya hizmetin sona ermesi durumunda erişim haklarının iptali süreci belirlenmelidir.
  • Kurum’un, yüklenicinin aldığı bilgi güvenliği tedbirleri üzerindeki denetim/gözden geçirme hakkı ve kullanım şekli açıkça tanımlanmalıdır.
  • Yüklenicinin, güvenlik ihlallerini bildirme yükümlülüğü getirilmelidir.

Rapor Metni

Kurumda hizmet alımı yöntemiyle tedarik edilen bilişim hizmetlerine ilişkin olarak imzalanan sözleşmelerde yer verilen hükümlerin bilgi güvenliğini temin etmek için yeterli olmadığı tespit edilmiştir.

Hizmet İşleri Genel Şartnamesi’nin “Gizlilik” başlığını taşıyan 13’üncü maddesi şu şekildedir:

“Yüklenici, işle ilgili olarak elde ettiği her tür bilgi ve dokümanı özel ve gizli tutacak ve idarenin önceden yazılı izni olmaksızın sözleşmeye ait herhangi bir detayı ifşa etmeyecek veya yayınlamayacaktır. Türk yargı mercilerinin kararları saklı kalmak kaydıyla, sözleşmenin amaçları doğrultusunda herhangi bir ifşa veya yayınlama gerekliliği konusunda bir uzlaşmazlık ortaya çıkarsa idarenin bu konudaki kararı nihai olacaktır. Gizlilik yükümlülüğü, sözleşmenin herhangi bir nedenle sona ermesinden sonra da devam eder.”

Söz konusu şartnamenin “Kontrol teşkilatı ve yetkileri” başlığını taşıyan 26’ncı maddesinde şu ifadeye yer verilmiştir:

“Sözleşmeye bağlanan her türlü iş, idare tarafından görevlendirilen kontrol teşkilatının denetimi altında, yüklenici tarafından yönetilir ve gerçekleştirilir.”

Hizmet Alımlarına Ait Tip Sözleşme’nin “Kontrol Teşkilatı, görev ve yetkileri”

başlığını taşıyan 18’inci maddesi şu şekilde tanzim edilmiştir:

“İşin, sözleşme ve eklerine uygun olarak yürütülüp yürütülmediği İdare tarafından görevlendirilen Kontrol Teşkilatı aracılığıyla denetlenir. Kontrol Teşkilatı, Genel Şartnamenin Dördüncü Bölümünde belirtilen yetkileri kullanır ve görevleri yerine getirir”

Bilgi işlem varlıklarını ilgilendiren ve dış tedarik yoluyla alınan hizmetlerde, yükleniciler tarafından erişilebilen kurumsal bilgi varlıklarının korunması büyük önem

taşımaktadır. Kurum, kendi birimleri tarafından yürütülen hizmetlerde, bilgi varlıklarını korumak amacıyla kurallar koyabilmekte ve uygulamayı izleyerek denetleyebilmektedir. Bu hizmetlerin yükleniciler tarafından yerine getirilmesi durumunda ise aynı güvenceleri sağlayabilmek için bu faaliyetler üzerinde özel kontroller tesis edilmesi gerekmektedir.

Yukarıda belirtilen, kurumların satın alma süreçlerinde kullandıkları ve genel amaçlarla geliştirilmiş sözleşme ve şartname şablonlarında yer alan ifadeler, bilgi güvenliği ile ilgili gerekliliklerin yerine getirilmesi için yeterli bulunmamaktadır. Örneğin, yükleniciye ait olan ve sözleşme konusu hizmetlerde kullanılan bilişim sistemlerinin Kurum tarafından denetimine izin veren açık bir sözleşme hükmü bulunmadıkça, Kurum kontrol teşkilatının bu tür bir denetimi yapmasına yüklenicinin rıza göstermesi beklenmemektedir.

Bu sebeple dış tedarik yoluyla alınan bilişim hizmetlerine ilişkin sözleşmelerde, kamu menfaatlerinin korunması amacıyla ek düzenlemeler yapılmasına ihtiyaç bulunmaktadır. Genel sözleşme ve şartname şablonlarında yer alan gizlilik, gözden geçirme ve kontrol teşkilatı ile ilgili hususlara ek olarak, sözleşmelere, bilişime mahsus ihtiyaçları karşılayacak maddelerin eklenmesi gerekmektedir.

27002 sayılı “Bilgi teknolojisi – Güvenlik teknikleri” standardı, tedarikçilerle ilişkilerin ne şekilde tanzim edilmesi gerektiğini belirlemektedir. Söz konusu standartta “Tedarikçi ilişkileri için bilgi güvenliği politikası” başlığını taşıyan 15.1.1 numaralı kontrol şu şekilde tanımlanmıştır:

“Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak için bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve yazılı hale getirilmelidir (…)

Kuruluş, politikada özellikle kuruluşun bilgilerine erişen tedarikçileri ele alarak bilgi güvenliği kontrollerini tanımlamalı ve zorlamalıdır.”

Aynı standartta “Tedarikçi hizmetlerini izleme ve gözden geçirme” başlığı altında tanımlanan 15.2.1 numaralı kontrol şu şekildedir:

“Kuruluşlar, düzenli aralıklarla tedarikçi hizmet sunumunu izlemeli, gözden geçirmeli ve tetkik etmelidir.”

İlgili düzenlemelerde tanımlandığı şekilde dış tedariklerde Kurum, kendisine ve kullanıcılarına ait bilgilerin güvenliğinin sağlanması için gerekli tüm tedbirleri almakla yükümlüdür. Dış tedarik sürecinde bilgi varlıklarının bu şekilde korunması, tedarik edilen

bilişim hizmetleri kapsamında kullanılan, yükleniciye ait tüm sistem ve süreçlerin, Kurum tarafından belirlenmiş risk yönetimi, güvenlik ve gizliliğe ilişkin ilkelere uygunluğunun sağlanmasını gerektirir. Yani yüklenicinin Kurum’un bilgi güvenliği kurallarına uyması temin edilmeli ve bu uygunluğun sağlanıp sağlanmadığı Kurum tarafından denetlenmelidir.

Bu amaçla, yüklenicilerin Kurum verilerine erişim sağlamasını gerektiren bilişim hizmetleri ile ilgili bilgi güvenliği çerçevesinin sözleşme ve şartnamelerde açıkça tanımlanması gereklidir. Yüklenicilere verilecek, bilişim sistemlerine erişim yetkileri, işin gerektirdiği bilgiyi kapsayacak şekilde sınırlandırılmalı, sözleşmeler de buna uygun şekilde tanzim edilmelidir.

Bu çerçevede, Kurum tarafından dış tedarik yoluyla alınan bilişim hizmetlerine ilişkin olarak “Üçüncü Taraf Güvenlik Politikası” hazırlandığı, ancak bu belgenin yeterli kapsamda olmadığı görülmüştür. Bilgi güvenliği ile ilgili hususlara kısmen hizmet alımına ilişkin şartnamelerde yer verilmektedir. Ancak, yürütülen hizmetlere ilişkin bir risk değerlendirmesi yapılmadığı için ihdas edilmesi gereken kontroller somut bir şekilde tanımlanamamakta, sözleşmelerde kullanılan soyut ifadeler bilişime ilişkin riskleri yönetmek için yetersiz kalmaktadır.

Kurumun dış tedarik yoluyla yürütülen bilişim hizmetlerine ait sözleşmelere ilişkin şu hususlar tespit edilmiştir:

  • Sözleşmelerde, yüklenicilere ait sistem ve süreçlerin, Kurumun kendi risk yönetimi, güvenlik ve gizliliğe ilişkin ilkelerine uygun olmasını güvence altına alacak hükümlere yer verilmemiştir,

  • Yüklenicilerin Kurum bilişim varlıklarına erişiminin nasıl yönetileceği ve izleneceği tanımlanmamıştır,

  • Yüklenici ve personeli tarafından kullanılabilecek erişim türleri (uzaktan erişim vb.), erişilecek verinin kritiklik derecesi ve erişimin bilgi güvenliği üzerindeki etkileri tanımlanmamıştır,

  • Yükleniciler tarafından erişilen gizli veya kişisel nitelikteki verilerin gizliliğinin ve güvenliğinin nasıl korunacağı belirlenmemiştir,

  • Yüklenici personelinin işten ayrılması veya sözleşme kapsamındaki hizmetin sonlanması durumunda yüklenici personelinin erişim haklarının iptal edilme süreci tanımlanmamıştır,

  • Bilgi güvenliğine ilişkin olarak yüklenici bünyesinde alınan tedbirler üzerinde Kurumun denetim/ gözden geçirme hakkı ve bu hakkın nasıl kullanılacağı tanımlanmamıştır,

  • Yüklenicinin, hizmet kapsamında gerçekleşen güvenlik ihlallerini bildirme yükümlülüğü tanımlanmamıştır.

Kurum tarafından hizmet alımı yöntemiyle yürütülen bilişim hizmetlerine ilişkin olarak yürürlükte olan sözleşmelerin, bilgi güvenliğini temin edecek ve yukarıda belirlenen hususları da içerecek şekilde tadil edilmesi ve yeni sözleşmelerin bu hususları karşılayacak şekilde tanzim edilmesi gerekmektedir.