Yayıncı İmtiyaz Sahibi: Ali ERŞİN © 2021 Tüm Hakları Hukuk ve Bilişim Dergisi'ne aittir.
Yayıncı İmtiyaz Sahibi: Ali ERŞİN © 2021 Tüm Hakları Hukuk ve Bilişim Dergisi'ne aittir.
Blockchain ve Kripto Paralar

TUBİTAK KRİPTO VARLIK HİZMET SAĞLAYICI BİLGİ SİSTEMİ ZORUNLULUKLARI

tubitak-kripto-varlik-hizmet-saglayici-bilgi-sistemi-zorunluluklari
Okuma Süresi: 10 Dakika

Konu Başlıkları

TUBİTAK KRİPTO VARLIK HİZMET SAĞLAYICI BİLGİ SİSTEMİ ZORUNLULUKLARI

“Kripto varlıklar hakkındaki” son Kanun ve yönetmeliklerde bildiğimiz gibi teknik gereklilikleri düzenleme yetkisi TUBİTAK’a verilmişti. TUBİTAK ise geçtiğimiz günlerde “Kripto Varlık Hizmet Sağlayıcıları Bilgi Sistemleri Ve Teknolojik Altyapı Kriterleri” çıkardı. Buna göre “kripto varlık hizmet sağlayıcılar” artık bu kriterlere uymak zorunda olacak. Buna göre kriterler aşağıdaki şekilde sıralanabilir:

1. Cüzdanların Güvenliği ve Sistem Güvenliği Kriterleri

1.1. Cüzdan Türleri ve Güvenlik Önlemleri

  • Soğuk (Kuru) Cüzdanlar:
    • Fiziksel olarak izole edilmiş ortamlar veya cihazlar kullanılır.
    • Bağlantısız veya sadece güvenli ve izole edilmiş ortamlar üzerinden iletişim kurar.
    • Güç kaynağı, iletişim hatları ve erişim noktaları fiziksel ve elektronik olarak sınırlanmalı, elektromanyetik saldırılara dayanıklı olmalı.
    • Anahtarların üretimi, saklanması ve kullanımı için uzman güvenlik prosedürleri belirlenmeli.
    • Güvenlik odaklı donanım modülleri veya akıllı kartlar kullanılmalı.
    • Güncel ve düzenli denetimler, saldırı ve risk analizleri yapılmalı.
    • Tüm faaliyetler, detaylı log kayıtları tutulmalı ve periyodik olarak incelenmeli.
  • Sıcak (İşlem) Cüzdanlar:
    • Günlük işlemler, aktarım veya erişim amacıyla internet bağlantılı ortamlar kullanılır.
    • Güçlü erişim kontrolü ve kimlik doğrulama mekanizmaları (çok faktörlü kimlik doğrulama, biyometrik doğrulama vb.) zorunludur.
    • Güncel yamalar ve güvenlik güncellemeleri uygulanmalı.
    • Erişim izinleri, en düşük ayrıcalık ilkesi doğrultusunda sınırlandırılmalı.
    • Aktarımlar ve işlemler, güvenli iletişim protokolleriyle (TLS veya VPN) yapılmalı.
    • Günlük trafik monitoring ve saldırı tespiti yapılmalı.

1.2. Güvenlik İlkeleri ve Prosedürleri

  • Her iki cüzdan türü için erişim ve kullanım politikaları detaylı biçimde belirlenmeli.
  • Anahtarların korunması, yedeklenmesi, transfer edilmesi süreçleri, güvenli ortamlar ve sertifikalarla desteklenmeli.
  • Fiziksel güvenlik şartları (giriş-çıkış takibi, fiziksel sınırlar, ortam denetimleri) sıkı tutulmalı.
  • Sürekli güvenlik değerlendirmeleri ve risk analizi yapılmalı, yeni tehditlere karşı önlemler güncellenmeli.

2. Yazılım Güvenliği ve Sistem Kontrolleri

2.1. Yazılım Güvenlik Standartları ve Kriterleri

  • Geliştirme Süreçleri:
    • Güvenlik açısından kritik yazılımlar, güvenlik/yazılım geliştirme metodolojileri ile uyumlu olarak hazırlanmalı.
    • Statik ve dinamik kod analizi araçlarıyla, kodlarda güvenlik açıkları tespiti yapılmalı.
    • Güvenlik açıklarına karşı sıkı test ve doğrulama süreçleri takip edilmeli.
    • Güvenlik sertifikaları ve standartlara uygunluk belgeleri (EAL4 veya üstü) alınmalı.
  • Güncelleme ve Bakım:
    • Güncelleme ve yamalar, imzalanmış ve doğrulanmış paketlerle yapılmalı.
    • Güncellemeler, geniş kapsamlı testlerin ardından üretim ortamına alınmalı.
    • Güncelleme sırasında, güvenlik ve uyum kontrolleri yapılmalı.
  • İletişim Güvenliği:
    • API ve uzak bağlantılar, TLS, IPSec gibi güvenli iletişim protokolleri üzerinden gerçekleştirilmeli.
    • Kimlik doğrulama ve yetkilendirme mekanizmaları güvenlidir, düzenli güncellenmelidir.

2.2. Ağ ve Sistem Güvenliği Önlemleri

    • Firewall ve Güvenlik Duvarları:
      • Ağ trafiğinin izlenmesi ve kontrolü için güçlü güvenlik duvarları ve saldırı tespit sistemleri kullanılmalı.
      • Anormal faaliyetler saptandığında, otomatik önlemler ve uyarılar devreye alınmalı.
  • Saldırı ve Tehdit Tespiti:
    Saldırı tespit sistemleri (IDS/IPS), trafik analizi ve anomaly detection araçları ile ağ izlenmeli.
  • Güvenlik Duvarları ve Ağ İzleme:
    Saldırılara karşı sürekli izleme ve saldırı engelleme altyapısı kurulmalı

3. Kriptografik Güvenlik ve Anahtar Yönetimi

3.1. Güvenli Anahtar Üretimi ve Dağıtımı

  • Anahtarlar, güvenli donanım modüllerinde (örn. HSM) üretilip, dış dünyadan izole ortamda saklanmalı.
  • Anahtarların üretimi, yedeklenmesi ve dağıtımı, sertifikalı ve güvenilir üreticiler tarafından yapılmalı.
  • Erişim kontrolleri: Yetki seviyeleri belirlenmeli ve erişim güncel ve onaylı adres listelerine göre sınırlandırılmalı.
  • Politika güncellemeleri: Politika değişiklikleri ve adres listesi güncellemeleri, güvenli ve onaylı bir şekilde yürütülmeli.

4. Sıcak Cüzdan Güvenlik Kriterleri

4.1 Genel İlkeler

  • Erişim Kontrolü ve Sınırlama:
    • Günlük işlemler ve erişimler, en düşük yetki ilkesi doğrultusunda sınırlandırılmalı.
    • Kullanıcılar ve sistemler, belirli ve onaylı kimlik bilgileri ile giriş yapabilmeli.
    • Erişim, güvenli kimlik doğrulama işlemleri (MFA) ve IP veya coğrafi konum kısıtlamalarıyla kontrol edilmeli.
    • İşlem onayları, ikili veya çok aşamalı doğrulama ile gerçekleştirilmeli; örn. OTP veya biyometrik doğrulama.
  • Düzenli Denetim ve Güvenlik Önlemleri:
    • Günlük aktiviteler ve erişimlerin düzenli kaydı tutulmalı, loglar güvenli ortamda saklanmalı.
    • Güvenlik açıklarını tespit etmek amacıyla düzenli sızma testleri ve penetrasyon denemeleri yapılmalı.
    • Sistem ve altyapılar, saldırıya karşı dayanıklı hale getirilmeli (güvenlik duvarları, saldırı tespit sistemleri).

4.2 Risklerin Yönetimi

  • Risk Analizi ve Değerlendirme:
    • İşletmeci ve saklama kuruluşları, sistemlerin ve operasyonların risk analizlerini düzenli yapmalı.
    • İçerden veya dışarıdan gelebilecek saldırılar, hırsızlık ve sahtecilik araçlarına karşı stratejiler geliştirmeli.
    • Fiziksel ve elektronik tehditler detaylı bir şekilde değerlendirilerek korunma önlemleri alınmalı.
  • İç Güvenlik ve Yönetim:
    • Personel ve kullanıcıların erişim hakları, tek tek rol ve sorumluluklarına göre belirlenmeli.
    • Kimlik doğrulama işlemlerinde, çok faktörlü kimlik doğrulama ve biyometrik veriler kullanılmalı.
    • Saldırı veya ihlal girişimi durumunda, olay müdahale planları devreye alınmalı ve kayıt altına alınmalı.

5. Kriptografik İlklendirme ve Yedekleme Kriterleri

5.1 Anahtar Üretimi

  • Güvenli Donanım Modülleri:
    • Anahtarların üretimi, kriptografik güvenlik sağlayan HSM (Hardware Security Module) cihazlarında yapılmalı.
    • Üretim ortamı, erişime kapalı, güvenli ve izole olmalı.
    • Anahtarlar, üretim sırasında ve sonrasında, gizlilik ve bütünlük açısından korunmalı.
  • Anahtarların Saklanması:
    • Anahtar parçaları ve bütün anahtarlar, güvenli ortamda, erişimi kısıtlanmış, şifreli depolama alanlarında tutulmalı.
    • Anahtarların saklanması ve kullanımı, erişim kimlik doğrulama ve yetkilendirme kurallarına uygun olmalı.

5.2 Yedekleme ve Kurtarma

  • Güvenli Yedekleme:
    • Anahtar yedekleri, yüksek güvenlik seviyesinde, şifreli ve izlenebilir ortamda saklanmalı.
    • Yedekler, fiziksel ve elektronik ortamlar kullanılarak, farklı ve güvenli lokasyonlara dağıtılmalı.
    • Yedeklerin erişimi, sadece yetkili ve onaylı kişiler tarafından yapılmalı.
  • Yedeklerin Kullanımı ve Testleri:
    • Yedekler, düzenli periyotlarla, kurtarma ve erişim testleriyle doğrulanmalı.
    • Acil durumlarda, hızlı ve güvenli bir kurtarma mekanizması sağlanmalı.

5.3 Standartlara Uygunluk

  • Standartlar ve Sertifikalar:
    • Anahtar yönetimi ve kriptografik uygulamalar, ISO/IEC 19790, Common Criteria ve diğer uluslararası güvenlik standartlarına uygun olmalı.
    • Sertifikalı ürünler ve uygulamalar kullanılmalı, tam uyum ve faaliyetler izlenmeli.

7. Kriptografik Mekanizmaların Güvenliği ve Donanım Güvenliği

7.1 Güvenlik Testleri

  • Yazılım ve Donanım Bileşenlerinin Test Edilmesi:
    • Tüm kriptografik bileşenler, ulusal ve uluslararası standartlara uygun olarak detaylı olarak test edilmeli.
    • Güvenlik testleri, statik ve dinamik analiz araçlarıyla, açıklar ve zafiyetler açısından düzenli olarak yürütülmeli.
    • Penetrasyon testleri ve saldırı simülasyonları, ürünlerin ve sistemlerin dayanıklılığını ölçmek için yapılmalı.
    • Testlerin sonuçları, detaylı raporlar halinde alınmalı, gerekli görüyorsa yeniden test ve güncellemeler yapılmalı.

7.2 Güvenli Güncellemeler

  • Güvenli ve İmzalanmış Güncelleme Mekanizmaları:
    • Sistemler, imzalanmış ve doğrulanmış güncelleme paketleriyle, yalnızca yetkili ve güvenilir kaynaklardan gelen güncellemeleri almalı.
    • Güncellemeler, onay ve denetim süreçlerini takiben, güvenli ortamlar kullanılarak işletilmeli.
    • Güncellemelerin doğruluğu, dijital imza ve sertifikalarla sağlanmalı; parola veya açık anahtar altyapısı kullanılmalı.
    • Güncellemeler, otomatik veya manuel süreçlerle düzenli olarak yapılmalı; süreçler belgelendirilmiş olmalı.

7.3 İzleme ve Loglama

  • Ayrıntılı İzleme ve Güvenli Kayıtlar:
    • Yetkisiz erişim veya değişiklikleri tespit etmek amacıyla, sistemde detaylı log ve kayıt mekanizmaları kurulmalı.
    • Loglar, zaman damgası, kullanıcı kimliği, erişim noktası ve işlem detaylarını içermeli ve güvenli saklanmalı.
    • Loglara erişim, sadece yetkilendirilmiş personel ve sistemler tarafından yapılmalı.
    • Loglar, düzenli olarak analize tabi tutulmalı, şüpheli faaliyetler ve olaylar raporlanmalı.

8. Kriptografik ve Yedekleme Süreçleri

8.1 Anahtar Üretimi ve Yedekleme

  • Güvenli Anahtar Üretimi:
    • Kriptografik anahtarların üretimi, ulusal ve uluslararası standartlara uygun, güvenli donanım modüllerinde (HSM) gerçekleştirilmeli.
    • Üretim ortamı, erişimlere kapalı, fiziksel ve elektronik güvenlik önlemleriyle donatılmalı.
    • Anahtarların, üretim, saklama ve kullanım aşamalarında bütünlük ve gizlilikleri korunmalı.
  • Yedeklerin Teslimi ve Saklanması:
    • Anahtar yedekleri, şifreli ortamda ve erişimi sınırlandırılmış, yüksek güvenlikli lokasyonlarda saklanmalı.
    • Yedekler, yetkili ve kimlik doğrulaması yapılmış kişilere teslim edilmeli.
    • Yedeklerin, aktarımı sırasında, kimlik doğrulama ve şifreleme prosedürleri uygulanmalı.

8.2 Yedeklerin Güvenliği ve Kurtarma

  • Yedeklerin Güvenliği:
    • Yedekler, yüksek güvenlik seviyesinde, şifreli ve izlenebilir şekilde saklanmalı.
    • Yedekleme ortamları, fiziksel ve elektronik saldırılara karşı korunmalı.
    • Yedekler, farklı lokasyonlarda, bağımsız ve güvenli alanlarda tutulmalı.
  • Test ve Kurtarma Süreçleri:
    • Yedekler, düzenli periyotlarla gerçek zamanlı kurtarma testlerine tabi tutulmalı.
    • Gerekli durumlarda, hızlı ve güvenli kurtarma operasyonları, önceden planlanmış prosedürlerle yürütülmeli.
    • Yedekleme ve kurtarma süreçleri, sürekli gelişim ve denetim altına alınmalı.

8.3 Standartlara Uygunluk

  • Uluslararası Standartlara Bağlılık:
    • Anahtar üretimi, saklama ve yedeklemede, ISO/IEC 19790, ISO/IEC 27001 ve Ortak Kriterler gibi spesifik güvenlik standartlarına uyulmalı.
    • Sertifikalar (CC, FIPS, vb.) ve denetimler, süreçlerin uygunluk belgelendirmesini sağlamalı.
    • Süreçler, düzenli olarak gözden geçirilmeli ve en iyi uygulamalara uygun hale getirilmelidir.

9. Sistem ve Ağ Güvenliği

9.1 Ağ Protokolleri ve Güvenliği

  • Güvenli İletişim Protokolleri:
    • Veri aktarımında, TLS 1.2 veya üstü versiyonlar, VPN (Virtual Private Network), IPSEC ve SSH gibi güvenli protokoller kullanılmalı.
    • Ağ ve veri trafiği, WPA3 veya WPA2, WPA3 güvenlik standartlarıyla şifrelenmeli.
    • Bağlantılar, kimlik doğrulama ve oturum yönetimi ile korunmalı, güvenilir ve güvenli bağlantı sağlanmalı.
  • Ağ Erişim Kontrolü ve İzleme:
    • Firewall, IDS/IPS sistemleri, ve saldırı tespit araçları kullanılarak ağ trafiği sürekli izlenmeli.
    • Anormal veya şüpheli aktiviteler tespit edilip, otomatik veya manuel müdahalelerle engellenmeli.
    • Ağ erişim ve aktiviteleri, detaylı loglara kaydedilmeli, bu loglar, yüksek erişim ve olay inceleme altyapısında tutulmalı.

9.2 Erişim Kontrolü ve Veri Güvenliği

  • Veri ve Dosya Güvenliği:
    • Ağ ve sistemler arasında gerçekleştirilen her işlem, güçlü şifreleme protokolleri ile korunmalı.
    • Dosya aktarımı ve veri transferleri, özel ve güvenli kanallar üzerinden yapılmalı; örn. SFTP, SCP, veya VPN tünelleri kullanılmalı.
    • Erişim ve işlemler, detaylı loglara kaydedilmeli, logların gizliliği ve bütünlüğü sağlanmalı.
  • Uzaktan Erişimlerin Güvenliği:
    • Uzak erişim, çok faktörlü kimlik doğrulama (MFA), biometrik doğrulama veya akıllı kartlar gibi ek katmanlarla sağlanmalı.
    • Uzak erişimler, belirli saatler ve IP kısıtlamaları ile limitlenmeli; sadece yetkili kullanıcılar, güvenli cihazlar ve ortamlarda olmalı.
    • Uzak erişim ve işlemler, düzenli izleme, denetim ve raporlama altyapılarıyla takip edilmeli.

9.3 Fiziksel Güvenlik ve Çevresel Önlemler

  • Fiziksel Güvenlik:
    • Sunucu ve veri merkezleri, erişim kontrolleri (kart girişleri, biyometrik kimlik doğrulama) ile korunmalı.
    • Güvenlik kameraları, giriş çıkışların takibi ve kayıt altına alınmalı, 7/24 izleme sistemi kurulmalı.
    • Güç kaynağı, UPS ve jeneratörler, kesintisiz çalışma ve enerji sürekliliği sağlamak amacıyla kurulmalı.
  • Çevresel ve Altyapısal Önlemler:
    • Veri merkezleri, iklimlendirme, yangın söndürme, sıvı teması ve diğer çevresel risklere karşı dayanıklı olmalı.
    • Fiziksel ortamda, sızdırmazlık ve izolasyon önlemleri alınmalı; ayrıca, su baskını, sıcaklık dalgalanmaları ve elektrik kesintileri gibi risklere karşı korunmalı.

10. Platformların ve Merkeziyetçi Sistemlerin Güvenliği

10.1 Güvenlik Sorumlulukları ve Yönetim Politikaları

  • Sorumlulukların Tanımlanması:
    • Platform sağlatıcılar, hizmet sağlayıcılar ve kullanıcılar, ayrı ayrı sorumluluklar ve görevler konusunda net bir şekilde bilgilendirilmeli ve sorumluluklar belgelendirilmelidir.
    • Güvenlik politikaları, kullanıcı erişim hakları, veri bütünlüğü, ve işlem denetimi gibi temel ilkeleri içermeli ve düzenli güncellenmelidir.
  • Güvenlik Kontrolleri ve Politika Uyumu:
    • Platform üzerinden gerçekleştirilen tüm işlemler, kimlik doğrulama ve yetkilendirme süreçlerine uygun olmalı.
    • Kullanıcıların ve sistemlerin erişim ve etkinliklerini kaydeden, detaylı loglamalar yapılmalı; bu loglar, denetim ve olay soruşturmalarında kullanılmak üzere saklanmalı.
    • Kullanıcı ve sistemların faaliyetleri, düzenli güvenlik denetimleri ve bağımsız incelemelerle doğrulanmalı.

10.2 İş Sürekliliği ve Felaket Kurtarma Planları

  • Felaket ve Kesinti Planları:
    • Olası afet, doğal felaket, siber saldırı veya teknik arıza durumlarına karşı, detaylı ve güncel felaket kurtarma planları geliştirilmelidir.
    • Bu planlar, kritik sistemlerin ve verilerin yedeklenmesi, acil erişim ve kriz iletişim prosedürlerini içermeli.
  • Yedekleme ve Testler:
    • Tüm kritik veriler ve altyapı, düzenli ve otomatik yedekleme politikalarıyla korunmalı.
    • Yedekler, farklı fiziksel alanlarda ve güvenli ortamda saklanmalı ve gerçek kurtarma ve erişim testleri düzenli olarak yapılmalı.
    • Yedekleme ve kurtarma süreçleri, performans ve erişilebilirlik açısından sürekli gözden geçirilmeli ve iyileştirilmeli.

10.3 Güvenlik Seviyeleri ve Denetimler

  • Uygun Güvenlik Seviyesi ve Standartlara Uyum:
    • Çalışma ortamına göre, uygulamalar ISO/IEC 27001, SOC, PCI DSS veya ülke özel regülasyonlar gibi standartlara uygun olmalı.
    • Güvenlik seviyeleri, kritiklik ve risk derecesine göre belirlenmeli ve bu seviyeler doğrultusunda önlemler genişletilmeli.
  • Sürekli Güvenlik ve Uyumluluk Denetimleri:
    • Güvenlik altyapısı, sızma testleri, kod incelemeleri, ve denetim raporlarıyla sürekli olarak kontrol edilmelidir.
    • Güvenlik açıkları ve eksiklikler tespit edilip, hızlıca çözüme kavuşturulmalı.
    • Politikaların güncellenmesi ve yeni tehditlere karşı uyarlanması düzenli olarak yapılmalı.

11. Fiziksel ve Çevresel Güvenlik

11.1 Mekansal Güvenlik

  • Veri Merkezleri ve Donanım Ortamlarının Korunması:
    • Veri merkezleri, erişim kontrolleri, kart girişleri, biyometrik kimlik doğrulama ve personel kimlik doğrulama sistemleriyle korunmalı.
    • Giriş ve çıkışlar, kayıt altına alınmalı, güvenlik kameraları ve gözetim sistemleriyle 7/24 izlenmeli.
    • Kritik donanımlar, fiziksel saldırı, hırsızlık ve sabotajlara karşı dayanıklı, kilitli ve erişimi sınırlandırılmış odalarda tutulmalı.
  • Fiziksel Güvenlik Önlemleri:
    • Fiziksel erişim, yetkili ve onaylı personelle sınırlandırılmalı; giriş-çıkışlar giriş kartları veya biyometrik sistemlerle kontrol edilmeli.
    • Güvenlik personeli, düzenli eğitim almalı ve güvenlik ihlali durumlarına hazırlıklı olmalı.

11.2 Çevresel Güvenlik ve Altyapı Önlemleri

  • Çevresel ve Altyapısal Koruma:
    • Elektrik kesintilerine karşın, kesintisiz güç kaynakları (UPS ve jeneratörler), kritik altyapının sürekliliğini sağlamalı.
    • Sıcaklık, nem ve hava kalitesi gibi ortam parametreleri, otomatik ve sürekli izlenerek kontrollü olmalı, gerekirse iklimlendirme sistemleri kullanılmalı.
    • Yangın tespiti ve söndürme sistemleri, söndürme maddesiz ve zamanlayıcı sistemler içermeli; yangın algılama ve alarm sistemleri entegre olmalı.
  • Güç ve Enerji Yönetimi:
    • Güç kaynağının sürekliliği sağlanmalı, güç kesintilerinde sistemlerin otomatik devreye girmesini sağlayan önlemler alınmalı.
    • Elektrik ve enerji altyapısı, düzenli bakım ve denetimlerle süreklilik ve güvenilirlik sağlanmalı.

11.3 Güvenlik ve Bakım Süreçleri

  • Periyodik Güvenlik Değerlendirmeleri:
    • Hem fiziki hem de çevresel önlemler, periyodik denetimler, güncellemeler ve testlerle sürekli izlenmeli ve iyileştirilmeli.
    • Güvenlik açıkları ve ilgili teknolojik gelişmeler takip edilerek, güncel ve etkin önlemler alınmalı.
  • Personel ve Eğitim:
    • Fiziksel güvenlik ekipleri ve bakım personeli, düzenli olarak güvenlik ve acil durum eğitimi almalı.
    • Güvenlik prosedürleri, çalışanlara anlatılmalı ve tüm personel tarafından uygulanmalı.

12. Güvenli Yazılım ve Uygulama Geliştirme Süreçleri

12.1 Güvenilirlik ve Güvenlik Standartlarına Uygunluk

  • Standartlara Uyum ve Sertifikasyon:
    • Yazılım geliştirme süreçleri, ISO/IEC 27001, ISO/IEC 27034, OWASP ve ISO/IEC 12207 gibi uluslararası standartlara uygun olmalı.
    • Güvenli kod geliştirme ilkeleri ve en iyi uygulamalar (örneğin, OWASP Top Ten) dikkate alınmalı.
    • Güvenilirliği ve güvenliği belgeleyen sertifikalar (FIPS, Common Criteria, vb.), yazılım ürünleriyle birlikte alınmalı ve kullanılmalı.
  • Geliştirme ve Süreç Kontrolü:
    • Yazılım geliştirme, tercihen sürekli entegrasyon ve sürekli teslim (CI/CD) ortamlarıyla, şeffaf ve denetlenebilir şekilde yürütülmeli.
    • Geliştirme aşamasında, kod inceleme, statik ve dinamik analizler, güvenlik açıklarına karşı taramalar düzenli yapılmalı.
    • Teknoğrafik değişiklikler, değişiklik yönetim süreçleriyle, uygun test ve onay prosedürleri takip edilerek yapılmalı.

12.2 Güvenli Tasarım ve Kodlama

  • Güvenli Kodlama Prensipleri:
    • Yazılım ve uygulamalar, en az ayrıcalık ilkesiyle tasarlanmalı; kullanıcı ve sistem erişimleri minimumda tutulmalı.
    • Giriş doğrulama, çıktı kaçış ifadeleri, şifreleme ve kimlik doğrulama gibi temel güvenlik mekanizmaları entegre edilmeli.
    • Verinin bütünlüğünü sağlamak ve saldırılara karşı koruma amacıyla, dijital imza ve kriptografik algoritmalar kullanılmalı.
  • Dış Bağımlılıkların Güvenliği:
    • Kullanılan üçüncü taraf kütüphane ve hizmetler, güvenlik açıkları ve güncellemeler açısından düzenli denetlenmeli.
    • Güvenlik açıkları bulunan bileşenler, güncel versiyonlarla değiştirilerek, riskler minimize edilmeli.

12.3 Güvenli Test ve Kabul Süreçleri

  • Geliştirme ve Test Ortamları:
    • Geliştirilen yazılımlar, güvenlik risklerine karşı izole ve kontrollü test ortamlarında denenmeli.
    • Sızma testleri, kırılganlık taramaları ve kod güvenlik analizi, düzenli ve bağımsız güvenlik uzmanları tarafından yapılmalı.
    • Test sonuçları, detaylı raporlanmalı, zayıf noktalar belirlenmeli ve açılar kapatılmalı.
  • Kabul ve Yaygınlaştırma:
    • Yazılım, uygun güvenlik ve performans kriterlerini karşıladıktan sonra, üretim ortamına alınmalı.
    • Güncellemelerde, yeni risklere ve açlıklara karşı sürekli izleme, izlenebilirlik ve denetimler sağlanmalı.

13. Erişim ve Kimlik Doğrulama Yönetimi

13.1 Kimlik Doğrulama ve Yetkilendirme Sistemleri

  • Gelişmiş Kimlik Doğrulama Mekanizmaları:
    • Sadece kullanıcı adı ve parola ile sınırlı kalınmamalı; çok faktörlü kimlik doğrulama (MFA), biyometrik doğrulama, akıllı kartlar veya güvenli tokenler gibi ek güvenlik katmanları entegre edilmeli.
    • Kimlik doğrulama süreçleri, uluslararası ve yerel standartlara uygun olmalı; örn. FIDO2, WebAuthn veya OAuth 2.0 gibi modern protokoller kullanılmalı.
    • Oturum yönetimi, zaman aşımı, oturum kilitleme ve otomatik çıkış özellikleriyle dikkatle tasarlanmalı.
  • Görev ve Rol Tabanlı Yetkilendirme:
    • Kullanıcılar ve sistemler, belirli görev ve sorumluluklarına uygun rollerle tanımlanmalı.
    • Yetki seviyeleri, en düşük yetki ilkesiyle yapılandırılmalı; sadece gerekli erişim hakları verilerek, olası ihlal ve zararlar önlenmeli.
    • Yetki ve erişim değişiklikleri, detaylı loglar ve denetim raporlarıyla izlenmeli ve gerektiğinde geri alınabilmeli.

13.2 Kimlik ve Erişim Yönetimi Süreçleri

  • Erişim Kontrol Politikaları ve Kurallar:
    • Erişim politikaları, kurumun bilgi güvenliği seviyelerine uygun olarak belirlenmeli ve güncel tutulmalı.
    • Erişim talepleri, belirli onay ve denetim süreçlerinden geçmeli.
    • Kritik sistemlere veya verilere erişen kullanıcıların faaliyetleri, detaylı loglar ve denetim mekanizmalarıyla sürekli takip edilmelidir.
  • Kullanıcı ve Kimlik Verilerinin Güvenliği:
    • Kimlik ve erişim bilgileri, şifreleme ve güvenli saklama önlemleriyle korunmalı.
    • Kimlik bilgileri, sadece yetkili ve güvenilir sistemler aracılığıyla erişilebilir olmalı.
    • Kimlik bilgilerinin güncellenmesi, geçersiz kılınması veya iptal edilmesi süreci, otomatik ve denetlenebilir şekilde yönetilmeli.

13.3 Güvenlik ve Erişim Kontrol Unutulmazlıkları

  • Oturum Güvenliği ve Koruma:
    • Oturum açma denetimleri, cihaz ve IP bazlı sınırlar, zaman damgaları ve çok faktörlü doğrulama ile güçlendirilmelidir.
    • Oturumlar, belirli süre sonunda otomatik olarak sonlandırılmalı ve aktif olmayan oturumlar kapatılmalı.
    • Oturum ve kimlik bilgilerinin çalınmasını önlemek amacıyla, ekran kilitleri ve oturum izleme kullanılmalı.
  • Anormal ve Şüpheli Erişimlerin Takibi:
    • Olağan dışı erişimler, anormal giriş noktaları veya kimlik doğrulama hataları, otomatik sistemler veya denetçiler tarafından takip edilmeli.
    • Şüpheli aktiviteler, hemen raporlanmalı ve gerekirse erişim engellenmeli.

Sonuç

Bu rapor, dijital ve fiziksel altyapıların güvenliğini sağlamak amacıyla kapsamlı ve entegre bir güvenlik stratejisinin temel ilkelerini ortaya koymaktadır. Güvenlik, yalnızca teknik önlemlerle sınırlı kalmayıp, süreçlerin, politikaların ve insanların da katılımını içeren çok yönlü bir yaklaşım gerektirir.

Her seviyede alınacak olan önlemler, riskleri minimize etmek, olası ihlal ve saldırılara karşı dayanıklılığı artırmak ve sürdürülebilir bir güvenlik ortamı oluşturmak için kritik öneme sahiptir. Güvenliğin sağlanması, sürekli güncellenen ve gelişen tehditlere karşı proaktif ve uyumlu yaklaşımlarla mümkün olur. Bu kapsamda, teknolojik gelişmeler, uluslararası standartlar ve en iyi uygulamalar dikkate alınmalı ve uyum süreçleri sürekli olarak gözetilmelidir.

Sonuç olarak, bu rapor, güvenlik süreçlerinin tasarlanmasında, operasyonel uygulamalarda ve yönetim stratejilerinde temel bir rehber niteliği taşımakta olup, kurumların ve organizasyonların güvenlik seviyelerini anlamlı biçimde artırmasına katkı sağlar. Doğru uygulandığında, hem bilgi güvenliği hem de fiziksel varlıkların korunması açısından sağlıklı ve sürdürülebilir bir temel oluşturur.

Av. Ali ERŞİN’in Hukuk ve Bilişim Dergisi 1. Sayı’sındaki “Elektronik Para Sistemlerinde Güvenlik Riskleri ve Yönetimi” isimli yazısına bağlantıdan ulaşabilirsiniz.

Yazarın “Kripto Para Borsaları ve Hak İhlalleri” isimli yazısını okumak için bağlantıya tıklayınız.

Yazarın “Edux Academy’deki” “Siber Güvenlik ve Adli Bilişim” eğitimine bağlantıdan kaydolun!

Yazar: Av. Ali ERŞİN / Hukuk ve Bilişim Dergisi Genel Koor. / Edux Academy Gen. Koor.

Mail: av.ersinali@gmail.com

Tel: 0541 316 96 21