KİŞİSEL VERİ GÜVENLİĞİ REHBERİ (Teknik ve İdari Tedbirler)
- KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK TEDBİRLER
3.1. Siber Güvenliğin Sağlanması
3.2. Kişisel Veri Güvenliğinin Takibi
3.3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
3.4. Kişisel Verilerin Bulutta Depolanması
3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
3.6. Kişisel Verilerin Yedeklenmesi
3.2. Kişisel Veri Güvenliğinin Takibi
Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.
Bu durumun önüne geçebilmek için;
a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için bir raporlama prosedürü oluşturulması, gerekmektedir.
Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.
- SIZMA TESTİ TEKRARLAMA SÜRELERİ ( Rapor)
7.1 Değişen Koşullar
- Mevcut sistemlere yazılımsal veya donanımsal eklemeler yapıldığında.
- Mevcut yazılımlar veya donanımlar üzerinde güncellemeler yapıldığında.
- Test yapılmış sistem üzerinde yazılım veya donanım değişikliği yapıldığında.
- Sistem işletme politikalarında değişikliğe gidildiğinde.
Bir önce yapılan sızma testleri etkisiz kalacağından, süresi beklenmeden hemen yeni testler yapılmalıdır.
7.2 Koşullarda Değişiklik Yok
- Test yapılmış sistemlerde yazılımsal veya donanımsal değişiklik yapılmadıysa.
- Test yapılmış sistemlerde işletme politikaları değişikliği olmadıysa.
.Yeni sızma testlerin çalışmasına, bir önceki sızma testleri çalışma tarihi üzerinden bir yıl geçtikten sonra tekrar başlanmalıdır. Rapor tarihleri arasında bir yıl olmalıdır.
