MEHMET BALiOGLU

Hurdaya Ayrılan Veri Depolama Özelliği Olan Cihazların, Hafıza Bölümlerinin Fiziki Olarak İmha Edilmeden Satılması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Hurdaya ayrılan ve veri depolama özelliği olan bilgisayar, tablet, seyyar bellek gibi cihazların hafıza bölümlerinin fiziki olarak imha edilmeden satıldığı tespit edilmiştir.
  • Bu durum, kurumlar ve ulusal güvenlik açısından önemli bir bilgi güvenliği riski oluşturmaktadır.
  • Cihazlardaki gizli bilgiler silinse dahi teknolojik yöntemlerle geri getirilebilmektedir.

Yasal ve Düzenleyici Çerçeve

  • 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu
  • Kamu İç Kontrol Standartları Tebliği (26.12.2007 tarihli ve 26738 sayılı Resmi Gazete)
  • 2003/48 sayılı Başbakanlık Genelgesi
  • e-Dönüşüm Türkiye Projesi (Madde 4.1.1)
  • 2006/38 sayılı Yüksek Planlama Kurulu Kararı (28/07/2006 tarihli ve 26242 sayılı Resmi Gazete)
  • Bilgi Toplumu Stratejisi Belgesi
  • Taşınır Mal Yönetmeliği (Madde 28-5)
  • 2886 sayılı Devlet İhale Kanunu (Madde 51/a)

Önerilen Ana Eylem Noktaları

  • Kamu İdaresi, bilgi depolama özelliği bulunan ve hurdaya ayrılan cihazların hafıza bölgelerinin fiziki olarak imha edilmesiyle ilgili bir yönerge hazırlamaya başlamıştır.
  • Bu konudaki tespitler, sonraki denetimlerde izlenecektir.

Rapor Metni

Hurdaya ayrılan ve veri depolama özelliği olan bilgisayar, tablet, seyyar bellek, hafızalı yazıcı gibi cihazların hafıza bölümlerinin, fiziki olarak imha edilmeden satıldığı görülmüştür.

5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile kamu mali yönetim sistemi; Uluslararası Standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmiş ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Hazine ve Maliye Bakanlığı tarafından Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlenmiş ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanmıştır. Bilgi güvenliği sisteminin kurumlarda oluşturulması da bu 79 genel şart kapsamındadır.

2003/48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e-Dönüşüm Türkiye Projesinin 4.1.1.’inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir.

2006/38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da vurgulanmaktadır.

Taşınır Mal Yönetmeliği’nin ‘Hurdaya ayırma nedeniyle çıkış’ başlıklı 28-5 maddesinde; “Birinci fıkraya göre harcama yetkilisince oluşturulacak komisyon tarafından ekonomik değerinin olmadığı veya teknik, sağlık, güvenlik ve benzeri nedenlerle imha edilmesinin şart olduğuna karar verilen taşınırlar, harcama yetkilisinin onayı ile imha edilir. İmha, komisyon veya komisyonun gözetiminde uzman kişiler tarafından yapılır. Bu işleme ilişkin ayrıca bir imha tutanağı düzenlenir. İmha işleminde özel mevzuat hükümleri öncelikle dikkate alınır.” Denilmektedir.

Kurum bilişim sisteminde kullanılırken fiziki ömrünü tamamlayarak hurdaya ayrılan

veri depolama özelliği olan bilgisayar, tablet, harddisk vs cihazların, 2886 sayılı Devlet İhale Kanunu’nun madde 51/a maddesiyle ihaleyle satıldığı tespit edilmiştir.

Kurumların hizmet üretebilmeleri ve ulusal güvenlik açısından bilgi güvenliği çok önemli olup, bilgi depolamada kullanılan cihazlardaki gizli bilgiler, birkaç defa silinse dahi geliştirilen teknolojik yöntemlerle tekrar geri getirilebilmektedir. Kuruma ait önemli bilgilerin depolandığı veri depolama cihazlarının hafıza bölgelerinin, fiziki olarak tahrip edilmeden başka kişi ve kurumlara verilmesi risk oluşturmaktadır.

5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu’nun 11’inci maddesinde, üst yöneticilerin, kaynakların etkili, ekonomik ve verimli şekilde elde edilmesi ve kullanımını sağlamaktan, kayıp ve kötüye kullanımının önlenmesinden sorumlu olduğu ifade edilmektedir.

Kamu İdaresi, bilgi depolama özelliği bulunan ve hurdaya ayrılan cihazların, hafıza bölgelerinin fiziki olarak imha edilmesiyle ilgili bir yönergenin hazırlanması çalışmasını başlatmıştır.

Bulgu konusu tespitler, sonraki denetimlerde izlenecektir.