Kişisel Verilerin Korunması Kanunu ve SİEM

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile işletmelerin güvenlik altyapılarında bir takım teknik tedbirleri alması elzem haline gelmiştir. 5651 internet yasası ile loglamanın zorunlu olduğu işletmelerde KVKK ile loglama artık kaçınılmaz bir hal almıştır. SIEM, Security Information and Event Management olarak ifade edilen ve genelde Bilgi güvenliği Tehdit ve Olay Yönetimi şeklinde çevrilen ürünlerdir. Bir loglamadan çok daha fazlası olabilen bu ürünler ile artık güçlü bir önleyici mekanizmanın işletmede kurulması mümkün olabilmektedir.

KVKK çerçevesinde kişisel verilerin envanterinin çıkarılması ve erişimlerin yetki matrisiyle kontrol altına alınması beklenmektedir. Hal böyle olunca kişisel veriler üzerinde erişim loglamasının yapılması önemli bir husustur. Ancak başka bir konu ise bu logların önleyici olarak değerlendirilmesi ve gerekli aksiyonları alınması için yöneticileri uyaran sistemlerin kurulmasıdır. İşte SİEM tarzı ürünler güçlü korelasyon özelliği ile loglardan anlamlar üreten ürünlerdir. Piyada her ne kadar log toplama işiyle SİEM yönetimi anlaşılamasa da KVKK için SİEM kullanımı önemli bir konudur. 

KVKK kapsamında kanun, yönetmelikler, kurul kararları hatta yayınlanmış teknik rehberler göz önüne alınması gereken kaynaklardır. İlgili teknik rehberlerde log yönetiminin yapılması teknik tedbirlerin başında gelen başlıklardan biridir. SIEM, sistem odasındaki bütün cihazlardan (Firewall, IDS, IPS, aktif cihaz logları, Sistem logları, uygulama logları vb) toplanmış loglar üzerinden tanımlanmış kurallara göre loglar arasında anlamlı ilişkiler kurarak bilgi sistem yöneticilerini uyaran, yönlendiren pasif önleyici sistemlerdir.

Saldırı Tespit Sistemleri (Intrusion Detection System – IDS) yalnızca Paketleri, Protokolleri ve IP Adreslerini anlar. Son kullanıcı güvenlik sistemleri (Endpoint Security) dosyaları, kullanıcı adlarını ve ana bilgisayarları görür. Servis loglarınız kullanıcı girişlerini, servis aktivitesini ve yapılandırma değişikliklerini gösterir. Varlık Yönetim sistemleri uygulamaları, iş süreçlerini ve sahiplerini görür. Ancak bu sistemlerin hiçbiri kendi başınıza iş süreçlerinizin sürekliliğini sağlamak açısından işinizde neler olduğunu anlatamaz… Ama bu toplanan loglar birlikte SIEM ile anlamlandırılır.

Bir log kaydı ile SIEM ilişki analizi farkı çok belirgindir. Örneğin aşağıdaki gibi bir log kaydı:
“16:19 8/7/2018 User JaneDoe Successful Auth to 10.10.20.109 from 10.10.8.212”
SİEM ile aşağıdaki şekilde anlamlandırılabilir:
“Ofiste kimsenin bulunmaması gereken bir günde bir Ofis Sistemine Pazarlama Departmanına ait bir Hesap bağlantı kurdu”

6698 sayılı Kişisel Verilerin Korunması Kanunu ile ISO 27001 ne kadar ilişkili?

TS EN ISO/IEC 27001 standardı bilgi koruması için genel bir çerçevedir. 6698 sayılı Kişisel Verilerin Korunması Kanununa göre, kişisel veriler tüm kurumların korumaya ihtiyacı olduğu kritik varlıklardır. Elbette doğrudan doğruya ISO 27001 kapsamına girmeyen bazı KVKK gereklilikleri vardır, örneğin kişisel veri konularının haklarının desteklenmesi gibi: kişilerin bilgi edinme hakkı, verilerin silinmesi hakkı ve veri taşınabilirliği. Ancak, ISO 27001 standardının uygulanması ile kişisel veriler bir bilgi güvenliği varlığı olarak tespit edilirse, 6698 sayılı kişisel verilerin korunması kanunu şartlarının çoğu ele alınacaktır.

Kabul edilen teknik kontrollere, yapılandırılmış belgelere, izlemeye ve sürekli iyileştirmeye ek olarak, ISO 27001 standardının uygulanması, kurumlarda bir kültür oluşturmakta ve güvenlik olayları bilincini desteklemektedir.  Bilgi güvenliği sadece teknoloji ile ilgili değildir, aynı zamanda insanlar ve süreçler hakkındadır.

ISO 27001 standardı, 6698 sayılı Kişisel Verilerin Korunması Kanununa uyum için mükemmel bir çerçevedir. Bir işletmenin yapması gereken ilk şey, 6698 sayılı KVKK şartlarını yerine getirmek için yapılması gerekenleri belirlemek için bir KVKK GAP Analizi gerçekleştirmektir ve bu şartlar, ISO 27001 tarafından belirlenen Bilgi Güvenliği Yönetim Sistemi aracılığıyla kolayca eklenebilir.

ISO 27001, kişisel verileri korumayı sağlamanın yollarını sunar. ISO 27001 standardının şirketlerin bu 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum sağlamasına yardımcı olabileceği birçok nokta vardır. İşte en alakalı olanlardan sadece birkaçı aşağıda listelenmiştir:

Risk Değerlendirmesi – KVKK’da tanımlanan yüksek para cezaları ve kurumlar üzerindeki büyük mali etkiler nedeniyle, kişisel verilerle ilgili risk değerlendirmesi sırasında ortaya çıkan riskin ele alınmaması çok doğaldır. Diğer yandan, KVKK’ın yeni gerekliliklerinden biri, şirketlerin ISO 27001 tarafından öngörülenin aynısını kendi gizliliklerini analiz etmek zorunda kalacakları Veri Koruma Etki Değerlendirmelerinin uygulanmasıdır. 

Uyumluluk – Kontrol A.18.1.1 (Uygulanabilir yasaları ve sözleşmeye tabi gereksinimleri tanımlama) nedeniyle, ISO 27001 standardını uygulayarak ilgili yasal, kanuni, düzenleyici ve sözleşme şartlarının bir listesini bulundurmak zorunludur. Kuruluşun 6698 sayılı KVKK uygun olması gerekiyorsa, bu yönetmeliğin bu listenin bir parçası olması gerekecektir. Her halükârda ISO 27001’in kontrolü olan A.18.1.4 (Kişi tespit bilgisinin gizliliği ve korunması), bir veri politikasının uygulanması ve kişisel olarak tanımlanabilir bilgilerin korunması yoluyla kuruluşlara yol gösterir.

İhlal bildirimi – Şirketler, kişisel verilere yönelik bir ihlal tespit edildikten sonra veri yetkililerini bilgilendirmek zorunda kalacaklardır. ISO 27001 kontrol A.16.1’in (Bilgi güvenliği ihlal olaylarının ve iyileştirilmelerin yönetimi) uygulanması, “güvenlik olayları hakkında iletişim de dahil olmak üzere, bilgi güvenliği olaylarının yönetiminde tutarlı ve etkili bir yaklaşım” sağlayacaktır. Kişisel veri olaylarının raporlanması, 6698 sayılı KVKK’ya uymak isteyen kuruluşa bir iyileştirme getirecektir.

Varlık Yönetimi – ISO 27001 kontrol maddesi A.8 (Varlık Yönetimi), kişisel verilerin bilgi güvenliği varlıkları olarak dahil edilmesine yol açar ve KVKK’nın tüm gereksinimleri olan kurumlarda hangi kişisel verilerin yer aldığını ve nerede saklanacağını, ne kadar süre, hangi kaynakta olduğunu ve kimin neyin olduğunu anlamasını sağlar. 

Tedarikçi İlişkileri – ISO 27001 kontrol A.15.1 (Tedarikçi ilişkilerinde bilgi güvenliği) “kuruluşa ait tedarikçiler tarafından erişilebilen varlıkların korunmasını” gerektirir. KVKK’ya göre, kuruluş, tedarikçilerin kişisel verilerin işlenmesini ve saklanmasını yapması için resmi anlaşmalarla yönetmeliğin gerekliliklerine uyulmasını gerektirecektir.

ISO 27001 standardını tek başına uygulamak KVKK uyum için tek başına yeterli değildir. Ancak faaliyet gösteren hemen hemen her şirket bu düzenlemeye uymak zorunda kalacaktır. ISO 27001 uluslararası olarak tüm dünyada tanınan ve uygulanan bir standart olduğu için, 6698 sayılı Kişisel Verilerin Korunması Kanun ve mevzuatlarına anında uyumu kolaylaştırmak en iyi seçenek olabilir.