denetim, güvence ve kontrol uzmanlarının...bilgi sistemleri denetim ve kontrol derneği (isaca),...

Denetim, Güvence ve Kontrol Uzmanlarının

BT Standartları, Rehberleri, Araç ve

Teknikleri

Mesleki Etik Kuralları

BT Denetim ve Güvence Standartları, Rehberleri

ve Araç ve Teknikleri

BS Kontrol Uzmanları Standartları

1 Mart 2010’dan İtibaren Geçerlidir

2

ISACA

2009-2010 YÖNETİM KURULU ÜYELERİ

Emil D‘Angelo, CISA, CISM Tokyo Bankasu -Mitsubishi UFJ Ltd., ABD, Uluslararası BaĢkanı George Ataya, CISA, CISM, CGEIT, CISSP ICT Control SA-NV, Belçika, BaĢkan Yardımcısı Yonosuke Harada, CISA, CISM, CGEIT, CAIS InfoCom AraĢtırma ġirketi., Japonya, BaĢkan Yardımcısı

Ria Lucas, CISA, CGEIT Telstra Limited ġirketi, Australia, BaĢkan Yardımcıs Jose Angel Pena Ibarra, CGEIT Alintec, Meksika, BaĢkan Yardımcısı Robert E. Stroud, CGEIT CA ġirketi , ABD, BaĢkan YArdımcısı Kenneth L. Vander Wal, CISA, CPA Ernst & Young LLP (Emekli), USA, BaĢkan Yardımcısı Rolf von Roessing, CISA, CISM, CGEIT KPMG Almanya, Almanya, BaĢkan Yardımcısı Lynn Lawton, CISA, FBCS CITP, FCA, FIIA KPMG LLP, UK, Uluslararası Eski BaĢkanı Everett C. Johnson Jr., CPA Deloitte & Touche LLP (Emekli), ABD, Uluslararası Eski BaĢkanı

Gregory T. Grocholski, CISA The Dow Kimyasal ġirketi., ABD, Yönetici Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA Queensland Hükümeti, Australia, Yönetici Howard Nicholson, CISA, CGEIT City of Salisbury, Avustralya, Yönetici

J eff Spivey, CPP, PSP Güvenlik Risk Yönetimi, USA, Vakıf Yöneticisi

2009-2010 MESLEKİ STANDART KURULU

BaĢkan, John Ho Chi, CISA, CISM, CBCP, CFE Ernst & Young LLP, Singapur Manuel Aceves, CISA, CISM, CGEIT Cerberian DanıĢmanlık, Meksika Xavier Jude Corray, CISA, MACSc Allsecure-IT Pty., Ltd., Australya Murari Kalyanaramani, CISA, CISM, CISSP British American Tobacco GSD, Malezya John G. Ott, CISA, CPA AmerisourceBergen, ABD Edward J. Pelcher, CISA, CGEIT Genel Denetim Ofisi, Güney Afrika Rao Hulgeri Raghavendra, CISA, CQA, PGDIM Oracle Finansal Hizmetler Yazılımı Ltd.ġti.,Hindistan Elizabeth M. Ryan, CISA Deloitte & Touche LLP, ABD

Meera Venkatesh, CISM, CISA, ACS, CISSP, CWA Microsoft Corp., ABD Standartlarda Sorumluluk Reddi ISACA, ET denetçileri ve Güvence Uzmanları için ISACA Mesleki Etik Kuralları‘nda belirtilen mesleki sorumlulukları karĢılamak için gerekli kabul edilebilir asgari performans seviyesi olarak bu Rehberi hazırlamıĢtır. ISACA, bu ürünün kullanımının baĢarılı sonucu kesinlikle sağlayacağı iddiasını ileri sürmemektedir. Bu yayının bütün uygun bilgiyi, usulleri ve testleri ya da aynı makul sonuçları verebilecek diğer istisnai bilgi, usul ve testleri içerdiği varsayılmamalıdır. Özel bir bilginin, usulün ya da testin uygunluğunun belirlenmesinde güvenlik ve kontrol uzmanları, ilgili sistemlerin ya da bilgi teknolojileri ortamının özgün koĢullarının ortaya koyduğu koĢullara dair kendi mesleki yargılarını kullanmalıdırlar. Standartları Bildirimi ve Telif Hakkı Uyarısı ©2010 ISACA. Bütün hakları mahfuzdur. Bu yayının herhangi bir kısmı ISACA‘nın yazılı izni alınmaksızın geri alınabilir bir sistemde kullanılamaz, çoğaltılamaz, yeniden üretilemez, değiĢtirilemez, dağıtılamaz, gösterilemez, depolanamaz ya da herhangi bir araçla (elektronik, mekanik, fotokopi, kayıt ya da diğerleri) aktarılamaz. Bu yayının herhangi bir parçasının yeniden üretilmesine sadece akademik, kurum içi ve ticari olmayan kullanım amaçlar için izin verilir ve ―© 2009 ISACA. Bu belgede, ―ISACA‘nın izni ile yeniden basılmıĢtır.‖ ifadesi belirtilmelidir. Bu yayınla ilgili herhangi bir diğer izin ya da hak verilmesi söz konusu değildir.

3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA

Telefon: +1.847.253.1545 Faks: +1.847.253.1443

E-posta: [email protected] Web sitesi: www.isaca.org

© 2010 ISACA Bütün hakları mahfuzdur.

mailto:[email protected]

http://www.isaca.org/

3

İçindekiler Tablosu

Sayfa

Mesleki Etik Kuralları 4

Bu Yayınının Nasıl Kullanılacağı 5

BT Denetim ve Güvence Standartlarının Gözden Geçirilmesi 6

BT Denetim ve Güvence Standartları, Rehberleri, Araçları ve

Teknikleri Usulleri Ġndeksi 7

BT Denetim ve Güvence Standartları 9

BT Denetim ve Güvence Rehberleri Alfabetik Listesi 27

BT Denetim ve Güvence Rehberi 28

BT Denetim ve Güvence Araç ve Teknikleri 214

BT Bağımsız Denetim Meslek Standartları 314

GeçmiĢ 315

ISACA Standartları Yorum Formu Belgesi 316

4


Bilgi Sistemleri Denetim ve Kontrol Derneği (ISACA), bu Meslek Etik Kurallarını, meslek uzmanlarının, Dernek üyesi olan bireylerin

ve/veya Dernek sertifikasına sahip olanların ilgili denetimleri yürütmesinde rehberlik etmesi amacıyla oluĢturmuĢtur.

ISACA sertifikası sahipleri ve üyeleri aĢağıdakileri yapacaktır:

1. Bilgi sistemleri için uygun standartların, usullerin ve kontrollerin uygulanmasını desteklemek ve bunlarla uyumlu olmayı

desteklemek.

2. Meslek standartları ve en iyi uygulamalar çerçevesinde görevlerini gerekli özen ve mesleki dikkati göstererek yapmak.

3. Yasalar çerçevesinde ve dürüst bir biçimde ilgililerin çıkarlarına uygun davranıĢlarda bulunmak, bunu yaparken de yapılan

iĢlerin yüksek standartlarından ödün vermemek ve mesleğe zarar verecek davranıĢlardan uzak durmak.

4. Yasal makamlarca açıklanması istenmediği sürece elde edilen bilginin mahrem ve gizli kalmasını sağlamak. Bu tür bir bilgi

kiĢisel çıkar amacıyla kullanılmamalı ve uygun olmayan taraflara açıklanmamalıdır.

5. Ġlgili olduğu alanlarda uzmanlığını geliĢtirmek ve sadece bu faaliyetlerle ilgili konularda anlaĢma yapmak, onlar mesleki

yeterlilikle makul bir Ģekilde tamamlamasını bekler.

6. Yapılan iĢin sonuçlarına dair uygun tarafları bilgilendirmek; bilinen tüm önemli bulguları açıklamak.

7. Bilgi sistemleri güvenlik ve kontrollerinde ilgili paydaĢların anlayıĢının geliĢtirilmesinde uzmanlık eğitimlerini desteklemek.

Burada belirtilen Meslek Etik Kurallarıyla uyumlu hareket etmemek üyenin ya da sertifika sahibinin davranıĢları sonunda

soruĢturulmasına ve sonuçta disiplin yaptırımlarının uygulanmasına yol açabilir.

5

Bu Yayının Nasıl Kullanılacağı

Standartların Rehberler ve Araçlar ve Tekniklerle ĠliĢkisi

BT Denetim ve güvence Standartları, sertifika sahiplerinin denetim ve denetim bulguları hakkındaki raporları için zorunlu ihtiyaçlardır..

BT Denetim Rehberleri, Araç ve Teknikleri, bu standartların izlenmesinde ayrıntılı birer yol göstericidir. BT Denetim ve Güvence

Rehberleri, BT denetim, ve Güvence Uzmanını rehberleri takip edemeyeceği durumların söz konusu olabileceği anlayıĢıyla, BT

denetçisinin normal olarak izleyeceği rehberlerdir. Bu durumda, iĢin yapılma Ģeklini gerekçelendirmek BT denetim ve güvence

uzmanının sorumluluğundadır. Araçlar ve Teknikler, BT denetim ve Güvence Uzmanlarının iĢlev adımlarını gösterir ve BT Denetim ve

Güvence rehberlerine kıyasla daha bilgilendiricidir. Örnekler, BT Denetim ve Güvence Standartları ve BT Denetim ve Güvence

Rehberlerini izleyecek biçimde yapılandırılmıĢtır ve BT Denetim ve Güvence Standartlarının izlenmesi hakkında bilgi sağlarlar. Bazı

noktalarda, bunlar ayrıca izlenecek usuller için en iyi uygulamaları oluĢturur.

Kodlama

Standartlar yayınlanma sıralarına göre ardıĢık olarak verilmiĢtir, S1 ile baĢlar. Rehberler, yayınlanma sıralarına göre ardıĢık olarak verilmiĢtir, G1 ile baĢlar. Araçlar ve Teknikler, yayınlanma sıralarına göre ardıĢık olarak verilmiĢtir, P1 ile baĢlar.

Kullanım BT denetim ve güvence uzmanı, yıllık denetim programı süresince ve yıl içinde yapılan bireysel denetimler boyunca, standartları

gözden geçirerek bunlara uymayı sağlayıp sağlamadığını dikkate alması önerilir. BT denetim ve Güvence Uzmanı, ISACA

standartlarına raporunda gönderme yaparken denetimin ülke yasalarına, yürürlükteki denetim düzenlemelerine ve ISACA

standartlarına uygun olarak yapıldığını belirtebilir.

Elektronik Kopyalar ISACA standartlarının, rehberlerinin ve usullerinin tamamı ISACA web sitesi www.isaca.org/standards üstünden gönderilir.

Sözlükçe Terimlere ait tam bir sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir.

http://www.isaca.org/standards

http://www.isaca.org/glossary

6

BT Denetim ve Güvence Standartlarının Gözden Geçirilmesi ISACA tarafından hazırlanmıĢtır. Bilgi teknolojilerinin (BT) denetimi ve güvencesinin yapısı ve bu türde bir denetimi yerine getirmek için gereken yetenekler özellikle BT denetimi ve güvencesine uygulanması gereken standartları zorunlu kılar. ISACA‘nın amaçlarından biri, geniĢ görüĢlülüğü gereğince küresel olarak uygulanabilir standartları geliĢtirmektir. BT Denetim ve Güvence Standartlarının geliĢtirilmesi ve yaygınlaĢması, denetçi topluluğuna ISACA‘nın uzman katkılarında bir köĢe taĢı niteliğini taĢır. Rehberlerin çeĢitli seviyeleri vardır :

Standartlar, BT denetimi ve güvencesinde ve raporlamasında, ―zorunlu ihtiyaçları‖ tanımlar. AĢağıdaki konularda bildirimde bulunurlar:

ISACA‘nın Mesleki Meslek Etik Kurallarında oluĢturulan BT Denetim ve Güvence Uzmanlarını mesleki sorumluluklarını, ET denetçilerinin kabul edilebilir asgari seviyede uygulanmasını sağlamak için zorunluluktur.

Mesleği icra edenlerin ortaya çıkaracağı iĢlerle ilgili yönetim ve diğer ilgili tarafların beklentilerini

Bilgi Sistemleri Denetçisi Sertifikası Sahiplerinin (CISA) atanmasının Ģartlarını. Bu standartlara uymakta baĢarısız olunması durumunda CISA sertifikası sahibi hakkında ISACA Yönetim Kurulu veya uygun ISACA Komitesince soruĢturma açılır ve disiplin yaptırımı uygulanabilir.

Rehberler, BT Denetim ve Güvence standartlarının uygulanmasında ―yol göstericilik‖ sağlar. BT Denetim ve Güvence Uzmanı, bunları standartların baĢarıyla uygulanmasında dikkate almalı, bunların uygulanmasında mesleki yargısını kullanmalı ve bunlardan herhangi bir biçimde ayrılırsa, ayrılma nedenlerini gerekçelendirmeye hazır olmalıdır. BT Denetim ve Güvence Rehberlerinin amacı, BT Denetim ve Güvence Standartlarıyla uyumun nasıl sağlanılacağı konusunda daha fazla bilgi sağlamaktır.

Araç ve teknikler, bir BT denetim ve güvence uzmanının, denetim görevi sırasında kullanacağı usullerin örneklerini sağlar. Bu usul belgeleri, BT denetim ve güvence çalıĢmasının yürütülmesi sırasında standartların nasıl sağlanacağına dair bilgi sağlar, ancak zorunluluklar öngörmez. BT Denetim ve Güvence Araç ve Tekniklerinin amacı, BT Denetim ve Güvence Standartlarıyla uyumun nasıl daha fazla sağlayacağı konusunda bilgi sağlamaktır.

Bilgi ve Ġlgili Teknoloji için Kontrol Hedefleri (COBIT®) BT YönetiĢim Enstitüsü tarafından yayımlanmıĢtır. Bu bir bilgi teknolojisi (BT) yönetiĢim çerçevesidir ve yöneticilerin kontrol gereksinimleri, teknik meseleler ve iĢ riskleri arasındaki boĢluklarda köprüler kurmasına imkan sağlar. COBIT, tüm kurumlarda BT kontrolleri için açık politikalar geliĢtirmesini ve iyi uygulamalara imkan sağlar. Düzenleyici uygulamalara vurgu yapar, kurumların BT‘den elde edeceği değerleri artırmasına yardımcı olur ve yönetimi sağlar ve CobIT çerçeve kavramlarının uygulanmasını kolaylaĢtırır. CobIT, iĢ dünyası ve BT yöneticileri ile BT denetim ve güvence uzmanlarının kullanması amacıyla tasarlanmıĢtır, bu nedenle CobIT kullanıldığında iĢ amaçlarının anlaĢılmasını, iyi uygulamalarla iletiĢim kurulmasını, ortak algı bağlamındaki önerileri ve saygın çerçevelerin algısını kolaylaĢtırır. CobIT, ISACA sitesinin www.isaca.org/CobIT adresinden indirilebilir. CobIT, çerçevesinde de tanımlandığı gibi aĢağıdaki her bir ürün ve/veya unsur BT yönetim sürecinde örgütlenmiĢtir:

Kontrol hedefleri - BT süreçleriyle ilgili asgari seviyede iyi kontrol için türetilmiĢ bildirimler

Yönetim rehberleri— OlgunlaĢma modellerini kullanarak, BT süreci performanslarının nasıl değerlendirileceğine ve geliĢtirileceğine rehberlik eder; Sorumluluk, Hesap verebilirlik, DanıĢma ve/veya Bilgilendirme (RACI [SHDB]) Ģemaları; hedefler; ölçütler. Özellikle aĢağıdaki konulara yoğunlaĢarak sürekli ve geleceğe yönelik öz-değerlendirme kontrolünü yönetim eğilimli olarak sunar: – Performans ölçümleri – BT kontrolü belirgin özellikleri – Farkındalık – Kıyaslama

COBIT Kontrol Uygulamaları—Risk ve değer bildirimleri ve kontrol hedefleri için rehberin ‗Nasıl uygulanacağı‘

IT Güvence Rehberi—Her bir kontrol alanında nasıl bir anlayıĢ edinileceği, her bir kontrolün nasıl değerlendirileceği, uygunluk değerlendirmesi ve karĢılanmayan risk kontrollerinin doğrulanmasına rehberlik sağlar.

Terimleri içeren bir sözlükçe ISACA sitesinde www.isaca.org/glossary adresinde bulunabilir. ―Denetim‖ ve ―Gözden Geçirme‖ kavramları, BT Denetim ve Güvence Standartları, Rehberleri ve Araç ve Tekniklerinde birbirinin yerine kullanılmaktadır. Sorumluluk Reddi: ISACA, BT denetçileri için ISACA Mesleki Etik Kuralları‘nda belirtilen mesleki sorumlulukları karĢılamak için gerekli kabul edilebilir asgari performans seviyesi olarak bu rehberi hazırlamıĢtır. ISACA, bu ürünün kullanımının baĢarılı sonucu kesinlikle sağlayacağı iddiasını ileri sürmemektedir. Bu yayının bütün uygun bilgiyi, usulleri ve testleri ya da aynı makul sonuçları verebilecek diğer istisnai bilgi, usul ve testleri içerdiği varsayılmamalıdır. Özel bir bilginin, usulün ya da testin uygunluğunun belirlenmesinde, test yada kontrol uzmanları, ilgili sistemlerin ya da bilgi teknolojileri ortamının özgün koĢullarının ortaya koyduğu koĢullara dair kendi mesleki yargılarını kullanmalıdırlar. ISACA Standartlar Kurulu, BT Denetim ve Güvence Standartları, Rehberleri ve Araç ve Tekniklerinin hazırlanmasında geniĢ bir danıĢmanlık yelpazesiyle iĢbirliği yapmıĢtır. Standartlar Kurulu, herhangi bir belge yayınlanmadan önce, söz konusu taslağını uluslararası kamuoyunun bilgisine sunmaktadır. Mesleki Standartlar Kurulu, ayrıca ele alınan konunun uzmanlarıyla veya bu konuyla özel olarak ilgilenenlerle gerekmesi durumunda iletiĢim kurmaktadır. Standartlar Kurulunun, sürekli bir geliĢtirme programı vardır ve ISACA üyelerinin ve diğer ilgili tarafların yeni standartlar gerektiren durumların varlığıyla ilgili girdilerine her zaman açıktır. Her türlü öneri, e-posta ([email protected]), faks (+1.847. 253.1443) ya da posta yoluyla(kitabın sonundaki adrese) ISACA Uluslararası Merkezine, VAL IT faaliyeti yöneticisinin dikkatine gönderilebilir.

http://www.isaca.org/cobit


7

BT Denetim ve Güvence Standartları Ġndeksi Yürürlük Tarihi S1 Denetim Yönetmeliği 1 Ocak 2005 S2 Bağımsızlık 1 Ocak 2005 S3 Meslek Etiği ve Standartları 1 Ocak 2005 S4 Yeterlilik 1 Ocak 2005 S5 Planlama 1 Ocak 2005 S6 Denetim Görevinin Yürütülmesi 1 Ocak 2005 S7 Raporlama 1 Ocak 2005 S8 Denetim Sonrası Ġzleme Faaliyetleri 1 Ocak 2005 S9 Aykırılıklar ve YasadıĢı DavranıĢlar 1 Eylül 2005 S10 BT YönetiĢimi 1 Eylül 2005 S11 Denetim Planında Risk Değerlendirmesinin Kullanılması 1 Kasım 2005 S12 Denetimin Önemliliği 1 Temmuz 2006 S13 Diğer Uzman ÇalıĢmalarının Kullanımı 1 Temmuz 2006 S14 Denetim Kanıtı 1 Temmuz 2006 S15 BT Kontrolleri 1 ġubat 2008 S16 E-ticaret 1 ġubat 2008

BT Denetim ve Güvence Rehberleri Ġndeksi G1 Diğer Denetçilerin ÇalıĢmalarının Kullanılması 1 Haziran 1998 Gözden Geçirme 1 Mart 2008 G2 Denetim Kanıtı Gerekliliği 1 Aralık 1998 Gözden Geçirme 1 Mayıs 2008 G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT) 1 Aralık 1998 Gözden Geçirme 1 Mart 2008 G4 BS Faaliyetlerinin DıĢ Kaynaktan Sağlanması 1 Eylül 1999 Gözden Geçirme 1 Mayıs 2008 G5 Denetim Yönetmeliği 1 Eylül 1999 Gözden Geçirme 1 ġubat 2008 G6 Bilgi Sistemleri Denetiminde Önemlilik Kavramları 1 Eylül 1999 Gözden Geçirme 1 Mayıs 2008 G7 Beklenen Uzman Özeni 1 Eylül 1999 Gözden Geçirme 1 Mart 2008 G8 Denetim Belgelendirilmesi 1 Eylül 1999 Gözden Geçirme 1 Mart 2008 G9 Aykırılıklar ve YasadıĢı Hareketler Açılarından Denetim Varsayımları1 Mart 2000 Gözden Geçirme 1 Eylül 2008 G10 Denetim Örneklemesi 1 Mart 2000 Gözden Geçirme 1 Ağustos 2008 G11 Yaygın BS kontrollerinin Etkisi 1 Mart 2000 Gözden Geçirme 1 Ağustos 2008 G12 Kurumsal ĠliĢkiler ve Bağımsızlık 1 Eylül 2000 Gözden Geçirme 1 Ağustos 2008 G13 Denetim Planında Risk Değerlendirmesinin Kullanımı 1 Eylül 2000 Gözden Geçirme 1 Ağustos 2008 G14 Uygulama Sistemlerinin Gözden Geçirilmesi 1 Kasım 2001 G15 Denetimin Planlanması 1 Mayıs 2010 G16 Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi 1 Mart 2009 G17 BT Denetim ve Güvence Uzmanının Bağımsızlığında Denetim DıĢı Rolünün Etkisi 1 Mayıs 2010 G18 BT YönetiĢimi 1 Temmuz 2002 G19 Aykırılıklar ve Yasa DıĢılıklar 1 Temmuz 2002 Kaldırılma 1 Eylül 2008 G20 Raporlama 1 Ocak 2003 G21 Kurumsal Kaynak Planlama (ERP) Sisteminin Gözden Geçirmesi 1 Ağustos 2003 G22 ġirketten-MüĢteriye (B2C) E-ticaret Gözden Geçirmesi 1 Ağustos 2003 Güncellenme 1 Ekim 2008 G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Denetimi Gözden Geçirmeleri 1 Ağustos 2003 G24 Internet Bankacılığı 1 Ağustos 2003 G25 Sanal Özel Ağların Gözden Geçirmesi 1 Temmuz 2004 G26 ĠĢ Süreci DeğiĢim Mühendisliği (BPR) Proje Gözden Geçirilmeleri 1 Temmuz 2004 G27 Kablosuz EriĢim Araçları 1 Eylül 2004 G28 Adli BiliĢim 1 Eylül 2004 G29 Uygulama Sonrasının Gözden Geçirilme 1 Ocak 2005 G30 Yeterlilik 1 Haziran 2005 G31 KiĢisel Bilginin Gizliliği 1 Haziran 2005 G32 ĠĢ Süreklilik Planının (BCP) BT BakıĢıyla Gözden Geçirilmesi 1 Eylül 2005 G33 Internet Kullanımında Genel Varsayımlar 1 Mart 2006 G34 Sorumluluk, Yetki ve Hesap verebilirlik 1 Mart 2006 G35 Denetim Sonrası Ġzleme Faaliyetleri 1 Mart 2006 G36 Biyometrik Kontroller 1 ġubat 2007 G37 Konfigürasyon Yönetim Süreci 1 Kasım 2007 G38 EriĢim Kontrolleri 1 ġubat 2008 G39 BT Organizasyonu 1 Mayıs 2008 G40 Güvenlik Yönetimi Uygulamalarının Denetimi 1 Aralık 2008 G41 Güvenlik Yatırımlarının Geri DönüĢü 1 Mayıs 2010 G42 Sürekli Güvence 1 Mayıs 2010

8

BT Denetim ve Güvence Araç ve Teknikleri Ġndeksi P1 BT Risk Değerlendirmesi 1 Temmuz 2002 P2 Dijital Ġmzalar 1 Temmuz 2002 P3 Saldırı Tespiti 1 Ağustos 2003 P4 Virüsler ve diğer Zararlı Kodlar 1 Ağustos 2003 P5 Kontrol Risk Öz Değerlendirmesi 1 Ağustos 2003 P6 Güvenlik Duvarları 1 Ağustos 2003 P7 Aykırılıklar ve YasadıĢı Hareketler 1 Kasım 2003 P8 Güvenlik Değerlendirmesi — Saldırı Testi ve Zayıflık Analizi 1 Eylül 2004 P9 Kriptolama Yöntemleri Üzerindeki Yönetim Kontrollerinin Değerlendirilmesi 1 Ocak 2005 P10 ĠĢ Uygulamaları DeğiĢiklik Kontrolü 1 Ekim 2006 P11 Elektronik Fon Transferi (EFT) 1 Mayıs 2007

9

BT Denetim ve Güvence Standartları ISACA tarafından hazırlanmıĢtır

S1 Denetim Yönetmeliği

GiriĢ

01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu BS Denetim Standardının amacı, denetim süresince kullanılan Denetim Yönetmeliği ile ilgili olarak bir rehber oluĢturmak ve

sağlamaktır.

Standart

03 Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı, sorumluluğu, yetkisi ve hesap

verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde belgelenmelidir.

04 Denetim Yönetmeliği ya da hizmet sözleĢmesi üstünde kurum(lar) içinde uygun seviyede anlaĢmaya varılmalı ve

onaylanmalıdır.

Açıklama

05 Kurum içi bilgi sistemleri denetim iĢlevinin, bir Denetim Yönetmeliği sürekli faaliyetleri kapsayacak biçimde hazırlanmalıdır.

Denetim Yönetmeliği, yıllık olarak yada sorumlulukların çeĢitlenmesi ya da değiĢmesi durumunda daha sıklıkla gözden

geçirilmelidir. Bir hizmet sözleĢmesi, Kurum içi BS denetçisinin denetime özel yada denetim dıĢı görevlerin kapsamını

yeterince netleĢtirmek yada onaylamak için kullanılabilir. . DıĢarıdan bir BS denetçisi için hizmet sözleĢmesi her denetim veya

denetim dıĢı görev için normal olarak hazırlanmalıdır.

06 Denetim Yönetmeliği ya da hizmet sözleĢmesi, denetim iĢlevi ya da görevinin amaç, sorumluluk ve kısıtlamaları arasında yeterli

iliĢkiyi kuracak kadar ayrıntılandırılmalıdır.

07 Denetim Yönetmeliği ya da hizmet sözleĢmesi, yazılı hale getirilen amaç ve sorumluluğu sağladığından emin olmak için belirli

aralıklarla gözden geçirilmelidir.

08 Denetim Yönetmeliği ya da hizmet sözleĢmesi hazırlarken daha fazla bilgi için aĢağıdaki rehberlere ilgi gösterilmelidir:

BS Denetim Rehberi G5 Denetim Yönetmeliği

COBIT Çerçevesi, Kontrol Hedefi M4

Yürürlük Tarihi

09 Bu ISACA Standardı, 1 Ocak 2005 tarihinde ve sonrasında baĢlayan bütün Bilgi sistemleri denetimleri için geçerlidir.

10

S2 Bağımsızlık GiriĢ


02 Bu BS Denetim Standardının amacı, denetim süresince bağımsızlık konusunda bir yol gösterici oluĢturmak ve sağlamaktır. Standart 03 Mesleki Bağımsızlık, Denetimle ilgili bütün konularda, BS denetçisi hem tavır hem de görünüĢ olarak denetlenen kurumdan bağımsız

olmalıdır. 04 Kurumsal Bağımsızlık BS Denetim iĢlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde tamamlanmasına olanak vermek için,

denetim alanı veya faaliyetlerden bağımsız olmalıdır. Açıklama 05 Denetim Yönetmeliği ya da hizmet sözleĢmesi, denetim iĢlevinin bağımsızlık ve hesap verebilirliğini içermelidir. 06 BS Denetçisi, tutum ve davranıĢlarında daima bağımsız olmalı ve bağımsız görünmelidir. 07 Gerçekte ya da görünüĢte bağımsızlık zarar görürse, zararın ayrıntıları ilgili taraflara açıklanmalıdır. 08 BS denetçisi, kurumsal olarak denetim alanından bağımsız olmalıdır. 09 Bağımsızlık, BS denetçisi, yönetim ve eğer var ise denetim komitesi tarafından düzenli olarak değerlendirilmelidir. 10 Düzenleyici kurumlar veya diğer mesleki standartlarca yasaklanmadıkça, BS denetçisinin, BS faaliyetlerindeki rolünün niteliği

denetim dıĢı olduğu durumlarda bağımsız olmasına veya bağımsız gibi görünmesine gerek yoktur. 11 Mesleki ve Kurumsal Bağımsızlık hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:

BS Denetim Rehberi G17, BS Denetçisinin Bağımsızlığında Denetim DıĢı Rolünün Etkisi.

BS Denetim Rehberi G12, Kurumsal ĠliĢkiler ve Bağımsızlık

COBIT Çerçevesi, Kontrol Hedefi M4.

Yürürlük Tarihi 12 Bu ISACA Standardı, 1 Ocak 2005 tarihinde baĢlayan bütün Bilgi sistemleri denetimleri için geçerlidir.

11

S3 Mesleki Etiği1 ve Standartlar

GiriĢ


02 Bu BS Denetim Standardının amacı, BS denetçisinin ISACA‘nın Mesleki Etik Kurallarına bağlı kalmasına ve denetim görevinde beklenen mesleki özeni uygulamasında standart oluĢturmak ve rehber sağlamaktır.

Standart 03 BS denetçisi, denetim yaparken ISACA Meslek Etik Kurallarına bağlı kalmalıdır. 04 BS denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını gözeterek gereken mesleki özeni

göstermelidir. Açıklama 05 ISACA tarafından yayımlanan ISACA Mesleki Etik Kuralları, denetim mesleğinin ortaya çıkan yönelim ve gereksinimlerine

uygun olarak zaman içinde değiĢecektir. ISACA üyeleri ve BS denetçileri, bir denetçi olarak görevlerini yerine getirirlerken en son ISACA Meslek Etik Kurallarına uygun davranmalıdırlar.

06 ISACA Meslek Etik Kuralları, sürekli geliĢme için düzenli olarak gözden geçirilmekte ve denetim mesleğindeki zorluklara uyum sağlaması gereğini karĢılamak amacıyla gerektiğinde değiĢtirilmektedir. ISACA üyeleri ve BS denetçileri, denetim görevlerini yerine getirirlerken en son yürürlükteki BS denetim standartlarının farkında olmalı ve beklenen mesleki özeni göstermelidirler.

07 ISACA‘nın Mesleki Etiği Ġlkelerine ve/veya BS denetim standartlarına uyumda baĢarısızlık, ISACA üyesinin ya da CISA sahibinin disiplin soruĢturmasına uğraması ya da tamamen ihracıyla sonuçlanabilir.

08 ISACA üyeleri ve BS denetçileri, denetim görevlerini yerine getirirken kendi takım üyeleriyle iletiĢim kurmak ve takımın Mesleki Etik Ġlkelerine ve uygulanabilir BS Denetim Standartlarına uymalarını sağlamak durumundadırlar.

09 BS denetçileri, denetim görevlerini yerine getirirlerken karĢılaĢtıkları her durumda Meslek Etiği uygulamaları veya BS Denetim Standartlarına uygun olarak iĢlem yapmalıdırlar. Meslek Etik ve BS denetim standartları zarar görmüĢ ya da zarar görüyor gibi görünüyorsa, BS denetçisi sözleĢmeden çekilmeyi düĢünmelidir.

10 BS denetçisi, en yüksek seviyede dürüstlüğü ve ahlakı korumalı ve yasadıĢı, etik veya mesleki uygulamalarına uygun olmayan yöntemleri kullanılmamalıdır.

11 Meslek Etiği ve Standartları hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:

BS Denetim Rehberi G19, Aykırılıklar ve YasadıĢılıklar

BS Denetim Rehberi G7 Beklenen Mesleki Özen

BS Denetim Rehberi G12, Kurumsal ĠliĢkiler ve Bağımsızlık

COBIT Çerçevesi, Kontrol Hedefleri M4. Yürürlük Tarihi 12 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün Bilgi sistemleri denetimlerinde geçerlidir.

1 Çevirenin Notu: “Meslek etiği” kavramına en çok uyacak kelimenin “meslek töresi” olduğu düşünülmektedir.

Kullanımının yaygın oluşu ve genel kabul görmesi nedeniyle “meslek etiği” kavramı tercihan kullanılmıştır. Medeni

Hukuk alanında yardımcı kaynak olarak töre kuralları kabul edilmektedir. Mahkemeler, kanunlarda bir düzenlemenin

bulunmaması durumunda konu ile ilgili “gelenek ve töreler” ihtilafın çözümlenmesinde başvuru kaynağı kabul

edilmektedir.

12

S4 Mesleki Yeterlilik GiriĢ 01 Temel ilkeleri ve ana unsurları içeren ISACA standartları kalın olarak belirtilmiĢlerdir ve bunlar ilgili rehberle birlikte

zorunludurlar. 02 Bu BS Denetim Standardının amacı, BS Denetçisinin mesleki yeterliğe ulaĢıp bu yeterliğini muhafaza etmesi için ona rehberlik

etmektir. Standart 03 BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki açıdan yeterli olmalıdır. 04 BS Denetçisi, sürekli mesleki eğitim almak suretiyle mesleki yeterliğini devam ettirmek durumundadır. Açıklama 05 BS Denetçisi, iĢe baĢlamadan önce, mesleki yeterliliğinin (planlanan iĢle ilgili becerisi, bilgisi, ve tecrübesinin) bulunduğu

konusunda makul güvence sağlamalıdır. ġayet bunlar yoksa, BS Denetçisi görevi red etmeli yada geri çekilmelidir. 06 Eğer zorunlu ise, BS Denetçisi, CISA‘nın sürekli mesleki eğitimi ya da geliĢtirme gereksinimlerini ve denetimle ilgili diğer

mesleki atama Ģartlarını karĢılamalıdır. CISA‘ya ya da denetimle ilgili diğer atama Ģartlarına sahip olmayan ve bilgi sistemleri denetiminde yer alan ISACA üyeleri, yeterli resmi eğitim, hizmet içi eğitim ve iĢ deneyimine sahip olmalıdır.

07 BS Denetçisi, denetim görevini yürüten bir takımı yönetiyor ise, bütün üyelerin, yaptıkları iĢe uygun mesleki yeterlilik seviyesine sahip olduklarına makul güvence sağlamalıdır.

08 Mesleki Yeterlilik hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:

CISA sertifikasyon ve eğitim materyali

CISA sürekli sertifikasyon ve eğitim gereksinimleri

COBIT çerçevesi, kontrol hedefleri M2, M3 ve M4. Yürürlük Tarihi 13 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

13

S5 Planlama GiriĢ


02 Bu BS Denetim Standardının amacı, denetimin planlaması konusunda standartları oluĢturmak ve klavuz sağlamaktır. Standart 03 BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve yürürlükteki kanun ve

mesleki denetim standartlarıyla uyumlu planlamalıdır. 04 BS Denetçisi, risk tabanlı bir denetim yaklaĢımı geliĢtirmeli ve belgelendirmelidir.. 05 BS Denetçisi, denetimin doğasını ve hedefleri, zamanlaması ve kapsam ve hedeflerini ve gerekli kaynakların

ayrıntılarını listeleyen denetim planını geliĢtirmeli ve belgelendirmelidir. 06 BS Denetçisi, denetimini gerçekleĢtirmek için gerekli ayrıntılı Ģekilde denetim sürecinin doğasını, zamanlaması, ve

sınırlarını içeren bir denetim programı ve/veya planı geliĢtirmeli ve belgelendirmelidir. Açıklama 07 Bir iç denetim birimi, sürekli faaliyetler için en azından yıllık olarak bir plan geliĢtirilmeli ve güncelleĢtirilmelidir. Bu plan

denetim faaliyetlerinin çerçevesi olmalı ve denetim yönetmeliğiyle oluĢturulan sorumlulukları yerine getirmeyi sağlamalıdır. Yeni / güncellenmiĢ plan, eğer var ise denetim komitesince onaylanmıĢ olmalıdır.

08 Bir dıĢ BS Denetiminde, normalde her bir denetim veya denetim dıĢı görev için bir plan hazırlanmıĢ olmalıdır. Bu plan denetimin hedeflerini kapsamalıdır.

09 BS Denetçisi, denetim faaliyetleri anlamalıdır. Gerekli bilginin kapsamını kurumun doğası, çevresi ve riskleri ve denetimin hedefleri belirlenmelidir.

10 BS Denetçisi, denetim sırasında bütün önemli konuların yeterli bir Ģekilde kapsayacağı konusunda makul güvence sağlamak için risk değerlendirmesi yapmak durumundadır. Denetim stratejileri, önemlilik seviyeleri ve kaynaklar sonra geliĢtirilebilir.

11 Denetim programı ve/veya planının, denetimin yürütülmesinde ortaya çıkan durumlara göre (yeni riskler, yanlıĢ varsayımlar veya hâlihazırda gerçekleĢtirilmiĢ iĢlemlerden elde edilen bulgular gibi) denetim yönünün değiĢtirilmesine ihtiyaç duyulabilir.

12 Bir denetim yönetmeliği veya hizmet sözleĢmesi hazırlanması konusunda daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:

BS Denetim Rehberi G6, Bilgi Sistemlerin Denetimi için Gereklilik Kavramları

BS Denetim Rehberi G15, Planlama

BS Denetim Rehberi G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı

BS Denetim Rehberi G16 Bir Organizasyonunun BT kontrollerinde Üçüncü Tarafların Etkileri

COBIT Çerçevesi, Kontrol Hedefleri Yürürlük Tarihi 14 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

14

S6 Denetim ĠĢinin Yürütülmesi GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu BS Denetim Standartlarının amacı, denetim iĢinin yürütülmesi ile ilgili rehber ve standartlar oluĢturmak ve sağlamaktır. Standart 03 Denetim ve Gözetim-BS Denetim Kadrosu, denetim hedeflerinin baĢarıldığının ve yürürlükteki mesleki denetim

standartlarının karĢılandığının makul güvencesini sağlamak amacıyla denetimin iĢinin yürütülmesi esnasında gözden geçirilmelidir.

04 Kanıt-Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.

05 Dosyalama-Denetim süreci, yapılan denetimi ve BS Denetçisinin bulgu ve sonuçlarını destekleyen denetim kanıtını gösterir bir biçimde dosyalanmak zorundadır.

Açıklama 06 BS Denetim takımının rol ve sorumlulukları, asgari karar verme, uygulama ve gözden geçirme rollerini belirleyecek biçimde,

denetimin baĢlangıcında oluĢturulmalıdır. 07 SözleĢme kapsamında gerçekleĢtirilmekte olan iĢ, önceden belirlenmiĢ usuller takip edilerek sınıflandırılmalı ve

dosyalanmalıdır. Bu dosyada, iĢ kapsam ve hedefleri, denetim programı, yürütülecek denetim aĢamaları, toplanan kanıtlar, bulgular, sonuçlar ve öneriler gibi Ģeyler bulunmalıdır.

08 Denetim dosyası, bağımsız bir tarafın denetim sırasında gerçekleĢtirilen bütün görevleri yeniden gerçekleĢtirdiğinde aynı sonucu elde etmesine fırsat tanıyacak biçimde düzenlenmelidir.

09 Denetim dosyası, her denetim görevini kimin gerçekleĢtirdiğini ve rolünün ne olduğunu ayrıntılı biçimde içermelidir. Genel bir kural olarak, takımın bir üyesi veya bir üyeler grubu tarafından yapılan denetimle ilgili her görev, karar ve adım veya ortaya çıkan sonuç, ilgili konunun önemine uygun olarak görevlendirilen aynı takımın diğer bir üyesi tarafından gözden geçirilmelidir.

10 BS Denetçisi, denetim kanıtının elde edilmesi için gerekli zaman, çaba ve denetim hedefinin önemiyle tutarlı ulaĢılabilir en iyi denetim kanıtını kullanmayı planlamalıdır.

11 Denetim kanıtı, BS Denetçisinin bulgu ve sonuçlarını desteklemek ve görüĢlerini Ģekillendirmek için yeterli, güvenilir, ilgili ve faydalı olmalıdır. BS Denetçisi, denetim kanıtının bu kıstasları karĢılamadığına karar verir ise daha fazla denetim kanıtı elde etmelidir.

12 Denetim iĢinin yürütülmesi hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:

COBIT Çerçevesi, Kontrol Hedefleri Yürürlük Tarihi 13 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

15

S7 Raporlama GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu BS Denetim Standardının amacı, BS denetçisinin raporlama sorumluluğunu yerine getirirken kullanacağı standardı oluĢturmak ve yol göstericilik sağlamaktır.

Standart 03 BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır. Rapor, kurumu, hedeflenen

alıcıları ve dağıtım sınırlamalarını tanımlamalıdır. 04 Denetim raporu, yürütülen denetim iĢinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve

sınırlarını ortaya koymalıdır. 05 Rapor, BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini, sahip olduğu çekincelerini,

niteliklerini veya sınırlandırmalarını belirtmelidir. 06 BS Denetçisi, raporlanan sonuçları destekleyecek uygun ve yeterli denetim kanıtlarına sahip olmalıdır. 07 BS Denetçisi, raporunu bitirdiği zaman raporunu imzalamalı, tarih atmalı ve denetim yönetmeliği veya hizmet

sözleĢmesine göre dağıtmalıdır.

Açıklama 08 Raporun Ģekli ve içeriği, hizmet türü ve anlaĢma açısından çeĢitlilik gösterir. Bir BS Denetçisi aĢağıdaki maddelerden herhangi

birisini uygulayabilir:

Denetim (doğrudan veya onaylı)

Gözden geçirme (doğrudan veya onaylı)

Üzerinde anlaĢılmıĢ usuller

09 BS Denetçisi, anlaĢma maddeleri uyarınca kontrol ortamı üzerinde fikir beyan etmesi gerektiğinde ve önemli veya kayda değer bir zayıflığın denetim kanıtı bulunması durumu, BS Denetçisinin iç kontrollerin etkili olduğu yönünde sonuca varmasını imkansız hale getirir. BS Denetçisinin raporu, önemli ve kayda değer zayıflıkları ve bunların kontrol kıstaslarının hedeflerinin baĢarılmasına etkilerini tanımlamalıdır.

10 BS Denetçisi taslak raporun içeriğini söz konusu alanda sonlandırılmadan ve yayınlanmadan önce yönetimle tartıĢmalı, . nihai raporunda, yönetimin yorumlarına uygun yerlerde vermelidir..

11 BS Denetçisinin, kontrol ortamında önemli hatalar bulduğu durumlarda, bu hataları denetim komitesine veya sorumlu yetkililere bildirmelidir ve önemli hatalara dair bildirimin yapıldığını raporunda açıklamalıdır.

12 BS Denetçisi, ayrı raporlar hazırladığı durumlarda nihai raporunda tüm ayrı raporlara gönderme yapmalıdır. 13 BS Denetçisi, büyük hatalardan daha az önemli olan küçük boyutta iç kontrol yetersizliklerini yönetime bildirip bildirmeme

konusunu kendisi düĢünüp değerlendirmelidir. Bildirmesi durumunda, BS Denetçisi denetim komitesine veya sorumlu yetkililere bu iç kontrol yetersizliklerinin yönetime iletildiğini bildirmelidir.

14 BS Denetçisi, uygun ve zamanında önlemlerin alınıp alınmadığını belirlemek için önceki rapor bulgu, sonuç ve önerileriyle ilgili bilgileri istemeli ve değerlendirmelidir.

15 Rapor hazırlama hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:

BS Denetim Rehberi G20 Raporlama

COBIT Çerçevesi, Kontrol Hedefleri M4.7 ve M4.8

Yürürlük Tarihi 16 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

16

S8 Denetim Sonrası Ġzleme Faaliyetleri GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu BS Denetim Standardının amacı, BS Denetim sürecinde kullanılmak üzere denetim sonrası izleme faaliyetleri standardını oluĢturmak ve yol göstericilik sağlamaktır.

Standart 03 Bulguların ve önerilerin raporlanmasından sonra, BS Denetçisi yönetim tarafından zamanında ve uygun bir Ģekilde

harekete geçilip geçilmediğini belirlemek için ilgili bilgileri istemeli ve değerlendirmelidir.

Açıklama 04 Eğer yönetim, rapordaki uygulama önerilerine dair eylem planını BS Denetçisiyle tartıĢmıĢ yada ona bildirmiĢ ise, bu eylemler

nihai raporda yönetimin verdiği yanıt olarak kaydedilmelidir. 05 Denetim sonrası izleme faaliyetlerinin, doğası, zamanlaması ve kapsamı, raporlanan bulguların önemini ve düzeltici faaliyetlerin

gerçekleĢtirilmemesinin etkisini dikkate almalıdır. Asıl raporla ilgili olarak, BS Denetim sonrası faaliyetlerin zamanlamasını bağlantılı risklerin doğası yada büyüklüğü ve kuruma maliyeti gibi çok sayıda varsayıma bağlı olarak ortaya çıkan mesleki yargısıyla belirlemelidir.

06 Ġç denetim BS birimi, yönetimin eylemleri etkili biçimde uygulamasını sağlamak ve izlemek için denetim sonrası izleme süreci oluĢturmalıdır aksi takdirde üst yönetim harekete geçmemenin riskini kabul eder. Denetim sonrası izleme faaliyetleri sorumluluğu, iç denetim birimi yönetmeliğinde tanımlanabilir.

07 Görevin alanı ve Ģartlarına bağlı olarak dıĢ BS Denetçileri, kendilerinin üzerinde anlaĢtıkları önerileri izlemek için bir iç BS Denetim birimine güvenebilirler.

08 Önerileri uygulamak için yapılan etkinliklerle ilgili olarak yönetimin bilgi sağladığı ve BS Denetçisinin de sağlanan bu bilgilerle ilgili Ģüphelerinin oluĢtuğu durumlarda, denetim sonrası izleme faaliyetleriyle ilgili sonuca varmadan önce gerçek durumun belirlenmesi amacıyla uygun test yada diğer usullerin kullanılması gereklidir.

09 Üzerinde anlaĢmaya varılmıĢ ama uygulanmamıĢ önerileri de içeren, denetim sonrası izleme faaliyetlerinin durumuyla ilgili bir rapor eğer var ise denetim komitesine sunulabilir veya aynı rapor diğer bir seçenek olarak uygun seviyedeki kurum yönetimine sunulabilir.

10 Denetim sonrası izleme faaliyetlerinin bir parçası olarak BS Denetçisi eğer uygulanmadıysa bulguların hala geçerli olup olmadığını değerlendirmek durumundadır.

Yürürlük Tarihi 11 Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

17

S9 Aykırılıklar ve YasadıĢı Hareketler GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu ISACA Standardının amacı, denetim sürecinde BS denetçisinin göz önünde bulundurması gereken aykırılıklar ve yasadıĢı hareketlerle ilgili standardı oluĢturmak ve yol göstericilik sağlamaktır.

Standart 03 BS Denetçisi ,Denetim riskini düĢük bir seviyeye indirmek için denetimi planlanmasında ve yürütülmesinde aykırılıklar

ve yasadıĢı hareketler riskini göz önünde bulundurmalıdır. 04 BS Denetçisi denetim süresince; aykırılıklar ve yasadıĢı hareketlerden dolayı önemli yanıltıcı ifadelerin olabileceği

ihtimalini dikkate alarak, aykırılıklar ve yasadıĢı hareketler riski ilgili kendi değerlendirmelerine bakmaksızın mesleki Ģüphecilik tutumunu sürdürmelidir.

05 BS Denetçisi, iç kontroller dahil kurumun kendisine ve çevresine hakim olmalıdır. 06 BS Denetçisi, . yönetimin veya kurum içindeki diğer kiĢilerin mevcut, Ģüpheli veya iddia edilen herhangi bir

düzensizlik ve yasadıĢı hareketle ilgili bilgilerinin olup olmadığını belirlemek için yeterli ve uygun denetim kanıtı elde etmelidir .

07 BS Denetçisi, kurumun kendisi ve çevresine hakim olmak için denetim sürecini yürütürken aykırılıklar ve yasadıĢı hareketlerin riskini gösterebilecek sıra dıĢı veya beklenmedik iliĢkileri göz önünde bulundurmalıdır.

08 BS Denetçisi, iç kontrollerin uygunluğunu ve yönetimin bu kontrolleri ihlâl etme riskini test etmek için süreçleri tasarlamalı ve gerçekleĢtirmelidir.

09 BS Denetçisi, yanıltıcı bir ifade belirlediğinde bu yanıltıcı ifadenin bir aykırılık ve yasadıĢı hareket göstergesi olup olmadığını değerlendirmelidir. BS Denetçisi, böyle bir gösterge var ise, denetimin diğer yanları ile özellikle de yönetimin temsilcileriyle iliĢkilerinin çıkarımlarını da dikkate almalıdır.

10 BS Denetçisi yönetimden, en azından yılda bir kez veya denetim görevine bağlı olarak daha sık, yazılı açıklama istemelidir. Bu açıklama aĢağıdakileri içermelidir:

Aykırılık veya yasadıĢı hareketleri önleyici ve tespit edici iç kontrollerin tasarlanması ve uygulanması için sorumluluğunu kabul ettiğini göstermelidir.

Bir aykırılık veya yasadıĢı hareket sonucu olarak önemli yanıltıcı bir ifadenin var olabileceğinin risk değerlendirmesinin sonuçlarını BS Denetçisine bildirmelidir.

BS Denetçisine, kurumu etkileyen aykırılık ve yasadıĢı hareketlere dair aĢağıdakilerle ilgili bilgilerini bildirmelidir.

Yönetim

Ġç Kontrolde önemli rolü olan çalıĢanlar

BS Denetçisine, çalıĢanlardan, önceki çalıĢanlardan veya düzenleyiciler tarafından bildirilmiĢ, kurumu etkileyen aykırılık veya yasadıĢı hareket iddialarını ya da aykırılık ve yasadıĢı hareket Ģüphelerini bildirmelidir.

11 Eğer BS Denetçisi, somut bir aykırılık veya yasadıĢılık belirlemiĢse veya somut bir aykırılık ya da yasadıĢılık olması

ihtimali bilgisini edinmiĢse, bu meseleleri yönetimin uygun kademesine zamanında bildirmelidir. 12 Eğer BS Denetçisi, yönetimle ilgili veya iç kontrolde önemli rolü olan çalıĢanlarla ilgili bir somut aykırılık veya yasadıĢı

bir hareket belirlenmiĢse, bu meseleleri yetkili mercilere zaman geçirmeden iletmelidir. 13 BS Denetçisi, denetim esnasında dikkatini çeken düzensiz ve yasadıĢı hareketleri önleyici ve tespit edici kontrollerin

tasarımında ve iĢleyiĢinden sorumlu uygun yönetim seviyesini ve yetkili mercileri önemli zayıflıklardan haberdar etmelidir.

14 BS Denetçisi, denetimi devam ettirmede kendisini etkileyen ve yasadıĢı bir hareketten veya yanıltıcı bir ifadeden kaynaklanan istisnai bir durumla karĢılaĢırsa, böyle durumlarla ilgili yürürlükteki yasal ve mesleki sorumlulukları dikkate almalı, sözleĢme taraflarına veya bazı durumlarda yetkili yönetime veya düzenleyici kurumlara rapor etmeyi veya sözleĢmeden çekilmeyi düĢünmelidir.

15 BS Denetçisi, yönetime, yetkili mercilere, düzenleyicilere ve diğerlerine rapor edilmiĢ bir önemli aykırılık veya yasadıĢı bir hareketle ilgili bütün iletiĢimi, planlamayı, sonuçları, değerlendirmeleri ve yorumları dosyalamalıdır.

Açıklama 16 BS Denetçisi, bir aykırılık veya yasadıĢı hareket ne demektir tanımlamak için BS Denetim Rehberi G19, Aykırılıklar ve YasadıĢı

Hareketler Bölümüne baĢvurmalıdırlar. 17 BS Denetçisi, aykırılıklar ve yasadıĢı hareketlerden kaynaklanan önemli yanıltıcı ifadeler olmamasına makul güvence

sağlamalıdır. BS Denetçisi, bir görüĢün kullanılması, test kapsamı ve iç kontrollerin kalıtsal sınırları gibi etmenlerden dolayı mutlak güvence sağlayamaz. Bir denetim sırasında BS Denetçisinin elde edebildiği denetim kanıtı, kesin delil olmaktan ziyade ikna edici olmalıdır.

18 Bir yasadıĢı hareketten kaynaklanan somut yanıltıcı bir ifadenin tespit edilememesi riski, bir aykırılık veya hatadan kaynaklanan somut yanıltıcı ifadenin tespit edilememesi riskinden daha yüksektir, çünkü yasadıĢı hareketler, olayları saklamayı veya BS Denetçisine verilen kasıtlı yalan beyanda bulunmaya uygun tasarlanmıĢ karmaĢık planları içerebilirler.

19 BS Denetçisinin kuruma dair önceki deneyimi ve bilgisi denetim sırasında BS Denetçisine yardımcı olmalıdır. Sorgulamalar yaparken ve denetim usullerini yürütürken BS Denetçisinin geçmiĢ deneyimi tamamen göz ardı etmesi beklenmemeli. ancak belli seviyede mesleki bir Ģüphecilik içinde bulunması beklenmelidir. BS Denetçisi, ikna edici denetim kanıtı yerine yönetimin ve yetkili mercilerin doğru ve dürüst olduğu inancına dayanan düĢük seviyede bir denetim kanıtından tatmin olmamalıdır. ikna edici denetim kanıtı hariç. BS Denetçisi ve denetim takımı, planlama ve tüm denetim boyunca kurumun aykırılıklar ve yasadıĢı hareket Ģüphe edilebilirliğini tartıĢmalıdır.

18

S9 Aykırılıklar ve YasadıĢı Hareketler 20 Somut aykırılılar ve yasadıĢı hareketlerin varlığı riskini değerlendirmek için BS Denetçisi aĢağıdakileri kullanmayı düĢünmelidir:

Kurumla ilgili önceki bilgi ve deneyimi (yönetim ve yetkili mercilerin doğruluğu ve dürüstlüğü ile ilgili bilgisi dahil)

Yönetimin yaptığı soruĢturmalardan elde edilen bilgi

Yönetim açıklamaları ve iç kontrol beyanları

Denetim sırasında elde edilen diğer güvenilir bilgi

Yönetimin aykırılık ve yasadıĢı hareketlerle ilgili risk değerlendirmesi ve bu riskleri tanımlama ve risklere müdahale süreci

21 Aykırılıklar ve yasadıĢı hareketlerle ilgili daha fazla bilgi için aĢağıdaki rehberlere baĢvurmalıdır:

BS Denetim Rehberi G5, Denetim Yönetmeliği

COBIT Çerçevesi, Kontrol Hedefleri DS3, DS5, DS9, DS11 VE PO6

Sarbanes -Oxley Yasası, 2002

Yabancı Uygulamalar Yasası 1977 Yürürlük Tarihi 22 Bu BS Denetim standardı, 1 Eylül 2005 tarihinde veya sonrasında baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

19

S10 BT YönetiĢimi GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu BS Denetim Standartlarının amacı, denetim sürecinde BT yönetiĢimi alanlarında BS denetçinin ihtiyaç duyacağı standardı oluĢturmak ve rehberlik sağlamaktır.

Standart 03 BS Denetçisi, BS iĢlevlerinin kurumun misyonu, vizyonu, değerleri, hedef ve stratejileriyle uyumlu olup olmadığını

gözden geçirmeli ve değerlendirmelidir. 04 BS Denetçisi, BS biriminin iĢ (etkililik ve etkinlik) tarafından beklenen hizmeti ve baĢarısının değerlendirilmesi

hakkında açık bir bildirime sahip olup olmadığını gözden geçirmelidir. 05 BS Denetçisi, BS kaynaklarının ve performans yönetim sürecinin etkililiğini denetlenmeli ve değerlendirmelidir. 06 BS Denetçisi, yasal, çevresel ve bilgi niteliği ve güvenlik ve emniyet gereksinimlerine uygunluğunu denetlenmeli ve

değerlendirmelidir. 07 BS Denetçisi, risk temelli bir yaklaĢım kullanarak BS birimini değerlendirmelidir. 08 BS Denetçisi, kurumun kontrol ortamını gözden geçirmeli ve değerlendirmelidir. 09 BS Denetçisi, BS ortamını olumsuz yönde etkileyebilecek riskleri gözden geçirmeli ve değerlendirmelidir.

Açıklama 10 BS Denetçisi BS Denetim Rehberi G18, BT YönetiĢimine iĢaret etmelidir. 11 BS Denetçisi, iĢ sürecini destekleyen BS iĢ ortamı risklerini gözden geçirmeli ve değerlendirmelidir. BS Denetim etkinliği, risk

yönetimi ve kontrol sistemleri geliĢimine katkı sunarak ve maruz kalınan önemli riskleri tanımlayıp değerlendirerek kuruma destek sunmalıdır.

12 BT yönetiĢimi, kendi kendine ya da gözden geçirilen her BS iĢlevi bağlamında gözden geçirilebilir. 13 BS Denetçisi, BT yönetiĢimi hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurabilir:

BS Denetim Rehberleri:

G5 Denetim Yönetmeliği

G6 Bilgi Sistemleri Denetimi Ġçin Önemlilik Kavramları

G12 Kurumsal ĠliĢki ve Bağımsızlık

G13 Denetim Planlamasında Risk Değerlendirmesi Kullanımı

G15 Planlama

G16 Kurum BT kontrollerine Üçüncü Tarafların Etkisi

G17 BS Denetçisinin Bağımsızlığında Denetim DıĢı Rolünün Etkisi

COBIT Yönetim Rehberleri COBIT Çerçevesi, Kontrol Hedefleri; bu standart bütün COBIT alanları kontrol hedefleriyle iliĢkilidir BT Yönetişimi Kurul Bilgilendirmesi 2. Basım; BT YönetiĢim Enstitüsü Sarbanes – Oxley için BT kontrol Hedefleri, BT YönetiĢim Enstitüsü US Sarbanes – Oxley Yasası 2002 ve diğer özel yönetmelikler ayrıca uygulanabilir

Yürürlük Tarihi 14 Bu BS Denetim standardı, 1 Eylül 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

20

S11 Denetim Planlanmasında Risk Değerlendirmesinin Kullanımı GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu BS Denetim Standartlarının amacı, denetim sürecinde risk değerlendirmesinin kullanımı için bir standart oluĢturmak ve yol göstericilik sağlamaktır.

Standart 03 BS Denetçisi, BS Denetim planının tamamını geliĢtirmede ve BS Denetim kaynaklarının etkili dağıtımı için önceliklerin

belirlenmesinde kullanılabilecek uygun bir risk değerlendirme tekniği veya yaklaĢımı kullanmalıdır. 04 BS Denetçisi, kiĢisel denetim planlamasında, denetlenen alanla ilgili riskleri tanımlamalı ve değerlendirmelidir.

Açıklama 05 Risk değerlendirmesi, BS Denetim evrenindeki denetlenebilir birimleri kontrol etmek, gözden geçirmek ve en yüksek risklere

sahip alanları, BS yıllık planına dahil etmek için seçmede kullanılan bir tekniktir. 06 Denetlenebilir bir birim, her kurumun ve onun sistemlerinin ayrı bir parçası olarak tanımlanmıĢtır. 07 BS Denetim evreninin belirlenmesi, kurumun BT stratejik planı iĢleyiĢine ve ilgili yönetim birimleriyle yapılan görüĢmelerinin

bilgisine dayanmalıdır 08 BS Denetim planını geliĢtirmeyi kolaylaĢtırmak için risk değerlendirmesi uygulaması, en azından yılda bir kez yapılmalı ve

dosyalanmalıdır. Kurumsal stratejik planlar, amaçlar ve kurumsal risk yönetim çerçevesi uygulamaları risk değerlendirmesinin bir parçası olarak değerlendirilmelidir.

09 BS Denetçisine, denetim projelerinin seçiminde risk değerlendirmesinin kullanımı, BS Denetim planını veya belirli bir gözden geçirmeyi tamamlamak için gereken BS Denetim kaynaklarının miktarını belirlemek ve gerekçelendirmek için olanak tanır. Ayrıca, BS Denetçisi, risk algılamalarına dayanarak ve risk yönetim çerçevesinin raporlamasına katkı sağlamak için gözden geçirmelerin zamanlamasını da önceliklendirebilir.

10 Bir BS Denetçisi, gözden geçirilen alanla ilgili risklerin bir ön değerlendirmesini gerçekleĢtirmelidir. Her bir özellikli gözden geçirme için, BS Denetim görev amaçları böyle bir risk değerlendirmesinin sonuçlarını yansıtmalıdır.

11 BS Denetçisi, gözden geçirmenin tamamlanmasından sonra, gözden geçirme bulgu ve önerileri ile denetim sonrası faaliyetleri yansıtması için, eğer böyle bir kayıt varsa kurumun Kurumsal risk yönetiminin çerçevesinin veya risk kütüğünün güncellenmesini sağlamalıdır.

12 BS Denetçisi, BS Denetim Rehberi G13 Denetim Planlanmasında Risk Değerlendirmesinin Kullanımı bölümüne ve BS Denetim usulü P1 BS Risk Değerlendirmesi Ölçümü bölümüne baĢvurmalıdır.

Yürürlük Tarihi 13 Bu BS Denetim standardı, 1 Kasım 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir

21

S12 Denetimin Önemliliği GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu BS Denetim Standardının amacı, denetim önemliliği kavramını ve bu kavramın denetim riski ile iliĢkisine dair standart oluĢturmak ve yol göstericilik sağlamaktır.

Standart 03 BS Denetçisi, denetim usullerinin sınırı, doğası ve zamanlaması belirlenirken denetimin önemliliği ve bunun denetim

riskiyle iliĢkisini göz önünde bulundurmalıdır. 04 BS Denetçisi, kontrollerin olmaması veya zayıf olması ihtimalini veya kontrollerin olmamasının veya zayıflığının bilgi

sistemlerinde önemli hatalara veya ciddi zayıflıklara yol açıp açmadığını dikkate almalıdır. 05 BS Denetçisi, küçük kontrol hataların ve kontrollerin olmaması veya zayıf olmasının toplam etkisinin bilgi

sistemlerinde önemli hata veya ciddi zayıflıklara dönüĢüp dönüĢmediğini dikkate almalıdır. 06 BS Denetçisinin raporu, yetersiz kontrollerin olması veya kontrollerin olmaması ve kontrol hatalarının önemini ve bu

zayıflıklardan kontrol hatalarının ve ciddi zayıflıkların kaynaklanma olasılığını açıklamalıdır.

Ek Rehberlik 07 Denetim riski, BS Denetçisinin denetim bulgularına dayanarak yanlıĢ sonuçlara ulaĢması riskidir. BS Denetçisi, denetim

risklerinin üç bileĢeninin de farkında olmalıdır: Kalıtsal risk, kontrol riski ve belirleme riski. Risklerle ilgili daha ayrıntılı açıklamalar ve bilgi için, G13, Denetim Planlamasında Risk Değerlendirmesinin Kullanımı bölümüne baĢvurunuz.

08 BS Denetçisi, denetimi planlarken ve yürütürken denetim riskini kabul edilebilir bir seviyeye indirmeye ve denetim hedeflerini gerçekleĢtirmeye çalıĢmalıdır. Bu, BS ve ilgili kontrollerin uygun biçimde değerlendirmesiyle baĢarılır.

09 Kontrollerdeki zayıflıklar, eğer kontrollerin olmaması kontrol hedeflerinin gerçekleĢtirilmesinde makul bir güvence sağlamada baĢarısızlıkla sonuçlanıyorsa ―önemli‖ kabul edilir.

10 Önemli olarak sınıflandırılan bir zayıflık Ģu anlama gelir:

Kontroller yerinde değildir ve/veya kontroller kullanımda değildir ve/veya kontroller yetersizdir.

Hataların artmasına sebep olur 11 Önemli zayıflık, önlenemeyen ve tespit edilemeyen istenmeyen olay(lar)ın düĢük olma olasılığını artıran önemli hata veya

önemli hataların bileĢkesidir. 12 Önemlilik ve BS Denetçisi tarafından kabul edilebilir denetim riski seviyesi arasında tersine bir iliĢki vardır; örneğin önemlilik

seviyesi ne kadar yüksekse denetim riskinin kabul edilebilirliği o kadar düĢük olur veya tam tersi söz konusudur. Bu, BS Denetçisine denetim usullerinin doğasını, zamanlamasını ve sınırlarını belirlemesini sağlar. Örneğin, BS Denetçisi, özellikli bir denetim usulünü planlarken önemliliği düĢük belirler ve bu sebeple denetim riski artar. BS Denetçisi, bu durumu ya kontrollerin testlerini artırarak (kontrol riskinin değerlendirmesini azaltarak) ya da maddi doğruluk test usullerini geniĢleterek gidermek ister (tespit etme riskinin değerlendirmesini azaltarak).

13 BS Denetçisi, bir kontrol hataları bileĢkesinin veya tek bir kontrol hatasının önemli bir hata mı ya da önemli bir zayıflık mı olduğunu belirlemede azaltıcı kontrollerin etkisini ve bu tür azaltıcı kontrollerin etkin olup olmadığını değerlendirmelidir.

14 BS Denetçisinin önemlilik ve denetim riski değerlendirmesi, Ģartlara ve değiĢen çevreye bağlı olarak zaman zaman değiĢebilir. 15 BS Denetçisi, BS Denetim Rehberi G6 Bilgi Sistemleri Denetimi için Önemlilik Kavramları Rehberine baĢvurmalıdır. 16 Denetim önemliliği konusunda daha fazla ilgi için aĢağıdaki rehberlere baĢvurunuz:

BS Denetim Rehberi:

G2 Denetim Kanıtı Gereksinimi


G8 Denetim Dosyalaması

G9 Aykırılıklar için Denetim Varsayımları

G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı

COBIT 4.0, IT YönetiĢim Enstitüsü, 2005

Sarbanes-Oxley için IT Kontrol Hedefleri, IT YönetiĢim Enstitüsü, 2004 Yürürlük Tarihi 17 Bu BS Denetim standardı, 1 Temmuz 2006 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

22

S13 Diğer Uzmanların ÇalıĢmalarının Kullanımı GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu BS Denetim Standardının amacı, denetimde diğer uzmanların çalıĢmalarını kullanan BS Denetçileri için bir standart oluĢturmak ve yol göstericilik sağlamaktır.

Standartlar 03 BS Denetçisi, uygun olan yerlerde denetim için diğer uzmanların çalıĢmalarını kullanmayı düĢünmelidir. 04 BS Denetçisi, denetim görevinden önce diğer uzmanların bağımsızlık ve kalite kontrol süreçleri, ilgili deneyim,

kaynaklar, uzmanlıklar, mesleki nitelikler gibi konuları değerlendirmeli ve tatmin olmalıdır. 05 BS Denetçisi, denetimin bir parçası olarak diğer uzmanların çalıĢmalarını gözden geçirmeli, değerlendirmeli ve ne

derece kullanılacaklarına ve ne kadar güvenileceklerine karar vermelidir. 06 BS Denetçisi, diğer uzmanların çalıĢmalarının, BS Denetçisine güncel denetim hedefleri hakkında sonuca varmaya

sağlamada yeterli ve tam olup olmadığını saptamalı ve sonuçlandırmalıdır. Varılan sonuç açık bir biçimde belirtilmelidir.

07 BS Denetçisi, diğer uzmanların yeterli ve uygun denetim kanıtı sağlamadığı yer ve durumlarda yeterli ve uygun denetim kanıtı elde etmek amacıyla ek test usulleri uygulamalıdır.

08 BS Denetçisi, ek test usulleri kullanılarak gereken kanıtın elde edilemediği durumlarda uygun denetim görüĢü sağlamalı ve kapsamını sınırlandırmalıdır.

Ek Rehberlik 09 BS Denetçisi, gerçekleĢtirilecek denetim iĢini veya denetimin kalitesindeki olabilir kazanımları zayıflatabilecek kısıtlamaların

olduğu durumlarda diğer uzmanların çalıĢmalarını kullanmayı düĢünmelidir. Bunlara örnek olarak, gerçekleĢtirilecek iĢin teknik doğası tarafından gerek duyulan bilgi, denetim kaynağı kıtlığı ve zaman kısıtlamaları verilebilir.

10 Bir ―uzman‖, BS Denetim takımı ya da üst yönetim tarafından, dıĢ muhasebe firmasından, bir yönetim danıĢmanlığı firmasından, bir BT uzmanı ya da denetim alanındaki bir uzman atanarak bilgi sistemi denetçisi olabilir.

11 Bir uzman, kurum ―içinden‖ de, kurum ―dıĢından‖ da olabilir. Eğer bir uzman kurumun diğer bir bölümüyle de ilgiliyse, uzmanın raporuna güven duyulabilir. Bazı durumlarda bu, BS Denetçisinin destekleyici belgeleme ve çalıĢma belgelerine eriĢimi olmasa bile BS Denetim kapsamının duyduğu gereksinimi azaltabilir. BS Denetçisi, böyle durumlarda görüĢ belirtirken dikkatli olmalıdır.

12 BS Denetçisi, diğer uzmanların bütün çalıĢma belgelerine, destekleyici belgelere ve raporlarına -yasal açıdan sakınca olmadığı sürece- eriĢim hakkına sahip olmalıdır. Yasal açıdan sakınca bulunan ve bu yüzden eriĢimin olmadığı durumlarda BS Denetçisi diğer uzmanın çalıĢmalarına güven ve kullanım sınırları uygun biçimde belirlemeli ve karar vermelidir.

13 BS Denetçisinin, diğer uzman raporunun kullanımı hakkındaki görüĢ, iliĢkililik ve yorumları BS Denetçisinin raporunun bir parçasını oluĢturmalıdır.

14 BS Denetçisi, denetim hedeflerine ulaĢmak için BS Denetçisinin yeterli, güvenilir, ilgili ve faydalı kanıtlar elde etmesi gerektiğini anlatan BS Denetim Standardı S6 Denetim ĠĢinin Yürütülmesi bölümüne baĢvurmalıdır.

15 BS Denetçisi, denetimi yapmak için gereken yeteneklere veya diğer uzmanlıklara sahip değilse diğer uzmanlardan yardım almalıdır; bununla birlikte, BS Denetçisi yürütülen iĢle ilgili bilgi sahibi olmalıdır fakat kendisinden bir uzmanınkine denk bilgi sahibi olması beklenmemelidir.

16 BS Denetçisi, BS Denetim Rehberi G1 Diğer Denetçilerin ve Uzmanların ÇalıĢmalarının Kullanımı bölümüne baĢvurmalıdır. 17 Diğer denetçilerin ve uzmanların çalıĢmalarının kullanımı konusunda detaylı bilgi için aĢağıdaki rehberlere baĢvurunuz:

BS Denetim Rehberleri


G8 Denetim Belgelendirmesi

G2 Denetim Kanıt Gerekliliği

G10 Denetim Örneklemesi

G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı

COBIT 4.0, IT Yönetişim Enstitüsü, 2005

Sarbanes-Oxley için IT Kontrol Hedefi, IT YönetiĢim Enstitüsü, 2004 Yürürlük Tarihi 18 Bu BS Denetim standardı, 1 Temmuz 2006 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

23

S14 Denetim Kanıtı GiriĢ


02 Bu BS Denetim Standartlarının amacı, BS Denetçisi tarafından elde edilecek denetim kanıtını nelerin oluĢturduğu ve bu kanıtın nicelik ve niteliği ile ilgili standart oluĢturmak ve yol göstericilik sağlamaktır.

Standart 03 BS Denetçisi, denetim sonuçlarının dayandığı makul çıkarımlara temel olacak yeterli ve uygun denetim kanıtı

sağlamalıdır. 04 BS Denetçisi, denetim sırasında elde edilen denetim kanıtının yeterliliğini değerlendirmelidir.

Açıklama

Uygun Kanıt 05 Denetim kanıtı:

Denetçi tarafından kullanılan usulleri içerir

BS Denetçisi tarafından kullanılan usullerin sonuçlarını içerir

Denetimi desteklemek için kullanılan kaynak belgeleri (elektronik veya basılı olarak), kayıtları, güçlendirici bilgileri içerir

Denetim iĢinin bulgu ve sonuçlarını içerir

ĠĢin yapıldığını ve yürürlükteki yasalara, düzenlemelere ve politikalara uygunluğunu gösterir 06 BS Denetçisi, kontrol testlerinden denetim kanıtı elde ederken değerlendirilen kontrol riski seviyesini desteklemek amacıyla

denetim kanıtının tamlığını, dikkate almalıdır. 07 Denetim kanıtı uygun bir Ģekilde tanımlanmıĢ, çapraz iliĢkilendirilmiĢ ve kataloglanmıĢ olmalıdır 08 Denetim kanıtının kaynağı, doğası (yazılı, sözlü, görsel, elektronik, gibi) ve asıllık (dijital ve el imzaları, mühürler, vb.) gibi

özellikler güvenilirlik değerlendirmesi sırasında göz önünde bulundurulmalıdır.

Güvenilir Kanıt 09 Genel olarak, denetim kanıtı güvenilirliği aĢağıdaki durumlarda daha büyüktür :

Sözlü ifadelerden ziyade yazılı biçimde olması

Bağımsız kaynaklardan elde edilmesi

Denetlenen kurumca sağlanmasındansa BS Denetçisi tarafından elde edilmiĢ olması

Bağımsız biri tarafından onaylı olması

Bağımsız biri tarafından saklanmıĢ olması 10 BS Denetçisi, denetim hedeflerini ve denetim risklerini karĢılayacak gerekli kanıtları elde ederken maliyeti en uygun olan

araçları düĢünmelidir. Fakat gerekli bir iĢlemi atlamak için maliyet veya zorluk geçerli bir özür değildir. 11 Denetim kanıtı elde etme usulleri, denetim konusuna bağlı olarak değiĢir (denetimin doğası, zamanlaması, mesleki yargılar

vb.). BS Denetçisi, denetim hedefleri için en uygun usulü seçmelidir. 12 BS Denetçisi, denetim kanıtını aĢağıdaki biçimlerde elde edebilir:

SoruĢturma

Gözlem

AraĢtırma ve doğrulama

Yeniden gerçekleĢtirme

Yeniden ölçüm yapma

Hesaplama

Analitik usuller

Genel kabul görmüĢ diğer yöntemler 13 BS Denetçisi, güvenilirliği ve daha fazla doğrulanabilirliği değerlendirmek için bilginin elde edildiği kaynağı ve özelliklerini

dikkate almalıdır.

Yeterli Kanıt 14 Kanıt denetim hedefi ve kapsamında bütün önemli soruları destekliyorsa yeterli olarak düĢünülebilir. 15 Denetim kanıtı, bağımsız ve yetkin bir tarafın testleri yeniden gerçekleĢtirdiğinde aynı sonuçları elde etmesini sağlayacak

derecede nesnel ve yeterli olmalıdır. Kanıt, konunun ve iliĢkili olduğu risklerin önemine uygun olmalıdır. 16 Yeterlilik, denetim kanıtı miktarının ölçüsüyken uygunluk, denetim kanıtının niteliğinin ölçüsüdür ve bu ikisi birbiriyle karĢılıklı

iliĢki içindedir. Bu bağlamda, kurumdan elde edilen bilgi BS Denetçisi tarafından denetim süreçlerini gerçekleĢtirmek için kullanıldığı zaman BS Denetçisi bilginin doğruluğu ve bütünlüğüne gereken vurguyu yapmalıdır.

17 BS Denetçisi, yeterli denetim kanıtının elde edilemediğine inandığı durum ve yerlerde, bu gerçeği denetim sonuçlarıyla tutarlı bir Ģekilde açıklamalıdır.

24

S14 Denetim Kanıtı (Devamı) Delillerin Korunması ve Saklanması 18 Denetim kanıtı, yetkisiz eriĢimlere ve değiĢtirmelere karĢı güvenlik altına alınmalıdır. 19 Denetim kanıtı, denetim iĢi tamamlandıktan sonra, yürürlükteki yasaların, düzenlemelerin ve politikaların öngördüğü sürede ve

biçimde korunmalıdır. Referans 20 Denetim kanıtı konusunda detaylı bilgi için aĢağıdaki rehberlere baĢvurunuz:

BS Denetim Standardı S6, Denetim ĠĢinin Yürütülmesi

BS Denetim Rehberi G2, Denetim Kanıtı Gerekliliği

BS Denetim Rehberi G8 Denetim Belgelendirmesi

COBIT Kontrol Hedefi ME2 Ġç Kontrolün Ġzlenmesi ve Değerlendirilmesi ve ME3 Düzenlemelere Uygunluğun Sağlanması Yürürlük Tarihi 21 Bu BS Denetim standardı, 1 Temmuz 2006 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

25

S15 BT kontrolleri GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu ISACA Standardının amacı, BT kontrolleri ile ilgili standart oluĢturmak ve yol göstericilik sağlamaktır.

Standart 03 BS Denetçisi, kurumun iç kontrol ortamının bütünleĢik bir parçası olan BT kontrollerini izlemeli ve değerlendirmelidir. 04 BS Denetçisi, BT kontrollerinin tasarımı, uygulanması, iĢletimi ve geliĢtirilmesi ile ilgili öneriler sağlayarak yönetime

yardımcı olmalıdır.

Açıklama 05 Yönetim, bir kurumun, BT kontrollerini de içeren iç kontrol ortamından sorumludur. Bir iç kontrol çevresi, iç kontrol sisteminin

temel hedeflerinin baĢarılması için disiplin, çerçeve ve yapı sağlar. 06 COBIT, ―istenmeyen olayların tespit edilmesi, önlenmesi, düzeltilmesi ve iĢ hedeflerinin baĢarılmasına makul güvence

sağlamak için tasarlanmıĢ politikalar, usuller, uygulamalar ve kurumsal yapılar‖ gibi kontrolleri tanımlar. Ayrıca, COBIT, kontrol hedefi ifadesini ―Belirli bir süreçte, kontrol usullerini kullanarak başarılması arzu edilen sonuç veya amaç ‖ olarak tanımlar.

07 BT kontrolleri, BT sisteminin edinilmesi, uygulanması, sunumu, desteklenmesi ve hizmetleri üzerindeki kontrolleri gösteren yaygın BT kontrolleri, ayrıntılı BT kontrolleri ve uygulama kontrollerini kapsayan genel kontrollerden oluĢur

08 Genel BT kontrolleri, kurumun BT sisteminin ve altyapısının tüm iĢleyiĢiyle ve otomatik çözümler (uygulamalar) kümesi ile ilgili riskleri en aza indiren kontrollerdir.

09 Uygulama kontrolleri, uygulamalar içerisinde gömülü kontroller kümesidir. 10 Yaygın BT kontrolleri, BT çevresini izlemek ve yönetmek için tasarlanmıĢ ve bu sebeple BT ile ilgili bütün faaliyetleri etkileyen

genel BT kontrolleridir. Bu kontroller, BT izlemesine ve yönetimine odaklanmıĢ genel kontrollerin alt kontrol kümesidir. 11 Ayrıntılı BT kontrolleri, uygulama kontrollerine ilaveten yaygın BT kontrollerinde kapsanmayan genel BT kontrollerinden oluĢur. 12 BS Denetçisi, BT kontrol süreçlerinin durumuyla ilgili güvence sağlamak amacıyla, BS Denetim kaynaklarının etkili dağılımı için

öncelikleri belirlemede ve tüm denetim planının geliĢtirilmesinde uygun bir risk değerlendirme tekniği ya da yaklaĢımı kullanmalıdır. Kontrol süreçleri, risklerin, risk yönetimi süreciyle oluĢturulmuĢ risk toleransları içerisinde bulunmasını sağlamak amacıyla tasarlanmıĢ kontrol çevresinin bir parçası olan politikalar, usuller ve etkinliklerden oluĢur.

13 BS Denetçisi, BT kontrollerini bilgisayar aracılığıyla gözden geçirirken seçici denetim kanıtlarını toplama ve sürekli olarak BS Denetçisine sistem güvenilirliğini izleme olanağı sunan sürekli güvencenin kullanımında veri analiz tekniklerinin kullanımını düĢünmelidir.

14 Kurumlar üçüncü tarafları kullandıklarında bu taraflar kurumun kontrollerinde ve ilgili kontrol hedeflerinin baĢarılmasında temel unsur haline gelebilir. BS Denetçisi, BT çevresi, ilgili kontroller ve BT kontrol hedefleriyle iliĢkili olarak üçüncü tarafların yürüttüğü rolü değerlendirmelidir.

15 AĢağıdaki ISACA ve BT YönetiĢim Enstitüsü ® (ITGI™) Rehberlerine, IT kontrolleriyle ilgili ayrıntılı bilgi için baĢvurulmalıdır:

Rehber G3 Bilgisayar Destekli Denetim Tekniklerinin (BDDT) Kullanımı

Rehber G11 Yaygın BS kontrollerinin Etkisi

Rehber G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı

Rehber G15 Planlama

Rehber G16 Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi

Rehber G20 Raporlama

Rehber G36 Biyometrik Kontroller

Rehber G38 EriĢim Kontrolleri

COBIT çerçevesi ve kontrol hedefleri

Yürürlük Tarihi 16 Bu BS Denetim standardı, 1 ġubat 2008 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

26

S16 E-Ticaret GiriĢ 01 Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.

02 Bu ISACA Standardının amacı, e-ticaret ortamı gözden geçirmeleri için standart oluĢturmak ve yol göstericilik sağlamaktır.

Standart 03 BS Denetçisi, e-ticaret iĢlemlerinin düzgün biçimde kontrol edilmesini sağlamak için e-ticaret ortamlarını gözden

geçirirken uygulanan kontrolleri ve risk çözümlemelerini değerlendirmelidir.

Açıklama 04 E-ticaret, kurumların müĢterileriyle, tedarikçilerle ve diğer dıĢarıdan iĢ ortaklarıyla internet aracılığıyla elektronik olarak iĢ

yaptıkları süreçler olarak tanımlanır. Dolayısıyla e-ticaret iĢten-iĢe (B2B) ve Ģirketten-müĢteriye (B2C) e-ticaret modellerini içerir.

05 BS Denetçisi, tüm BS Denetim planını geliĢtirirken e-ticaret ortamlarını içeren uygun bir risk değerlendirme tekniği veya yaklaĢımı kullanmalıdır.

06 BS Denetçisi, denetçilere sistem güvenilirliğini sürekli izleme olanağı veren ve sürekli güvence kullanımını da içeren, e-ticaret faaliyetlerini gözden geçirirken bilgisayar yardımıyla seçici denetim kanıtı toplama olanağı da veren veri analiz tekniklerinin kullanımını düĢünmelidir.

07 E-ticaretin kontrol ve risk yönetimi uygulamalarını anlamak için gereken beceri ve bilgi seviyesi, kurumun e-ticaret faaliyetlerinin karmaĢıklığına göre değiĢir.

08 BS Denetçisi, denetime baĢlamadan önce, sonuçların uygun bir bağlamda değerlendirilmesi amacıyla, denetime baĢlamadan önce e-ticaret uygulaması tarafından desteklenen iĢ sürecinin kritikliğini ve doğasını anlamalıdır.

09 AĢağıdaki rehberlere e-ticaretle ilgili olarak ayrıntılı bilgi için baĢvurulmalıdır:

Rehber G21 Kurumsal Kaynak Planlaması (ERP) Sistem Ġncelenmesi

Rehber G22 ġirketten-MüĢteriye (B2C) E-ticaret Ġncelenmesi

Rehber G24 Ġnternet Bankacılığı

Rehber G25 Sanal KiĢisel Ağların Ġncelenmesi

Rehber G33 Ġnternet Kullanımı Üzerine Genel Varsayımlar

P6 Güvenlik Duvarı Usulü

COBIT çerçevesi ve kontrol hedefleri Yürürlük Tarihi 10 Bu BS Denetim standardı, 1 ġubat 2008 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.

27

BT Denetim Rehberleri

BT Denetim ve Güvence Rehberleri Listesi BT Denetim Rehberleri Sıralı Listesi G1 Diğer Uzmanların ÇalıĢmalarının Kullanımı G2 Denetim Kanıtı Gereksinimi G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT) G4 BS Faaliyetlerinin DıĢarıdan Sağlanması G5 Denetim Yönetmeliği G6 Bilgi Sistemlerinin Denetimi Ġçin Önemlilik Kavramları G7 Zorunlu Mesleki Özen G8 Denetim Kanıtlarının Belgelendirmesi G9 YasadıĢı Etkinlikler ve Aykırılıklar için Denetim Varsayımları G10 Denetim Örneklemi G11Yaygın BS kontrollerinin Etkisi G12 Örgütsel iliĢki ve Bağımsızlık G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı G14 Uygulama Sistemleri Denetimi G15 Planlamanın Gözden Geçirilmesi G16 Kurumun BT kontrollerinde Üçüncü Tarafların Etkisi G17 BT Denetim ve Güvence Uzmanının Bağımsızlığı Üzerinde Denetim DıĢı Rolünün Etkisi G18 BT YönetiĢimi G20 Raporlama G21 Kurumsal Kaynak Planlaması (ERP) Sistemler Denetimi G22 E-ticarette ĠĢten-Tüketiciye (B2C) Faaliyetlerinin Denetlenmesi G23 Sistem GeliĢimi YaĢam Döngüsü (SDLC) Gözden Geçirmelerinin Denetimi G24 Ġnternet Bankacılığı G25 Sanal Özel Ağların Denetimi G26 ĠĢ Sürecinin Yeniden Yapılanması (BPR) Proje Denetimi G27 Kablosuz EriĢim Araçları G28 Adli BiliĢim G29 Uygulama Sonrası Ġnceleme G30 Yeterlilik G31 KiĢisel Bilginin Gizliliği G32 BT Perspektifinden ĠĢ Süreklilik Planının (BCP)Denetimi G33 Ġnternet Kullanımı Hakkında Genel Varsayımlar G34 Sorumluluk, Yetki ve Hesap Verme G35 Denetim Sonrası Ġzleme Faaliyetleri G36 Biyometrik Kontroller G37 Konfigürasyon Yönetim Süreci G38 EriĢim Kontrolleri G39 BT Örgütlenmesi G40 Güvenlik Yönetim Sistemi Denetimi G41 Güvenlik Yarırımlarının Geri DönüĢü G42 Sürekli Güvence

28

BT Denetim ve Güvence Rehberleri G1 Diğer Uzmanların ÇalıĢmalarının Kullanımı 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S13 Diğer Uzmanların ÇalıĢmalarının Kullanımı standardı ―BS Denetçisi, uygun olan yerlerde denetim için diğer

uzmanların çalıĢmalarını kullanmayı düĢünmelidir‖ Ģeklinde ifade eder. 1.1.2 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı: ―Denetim amaçlarına ulaĢmak için denetim boyunca BS Denetçisi,

yeterli, güvenilir ve iliĢkili kanıtları elde etmek durumundadır‖ Ģeklinde ifade eder. 1.2 COBIT Bağlantısı 1.2.1. ME2.5, BS Denetçisi ―Ġç kontrollerin etkinliği ve bütünlüğüyle ilgili gerektiğinde üçüncü taraf denetimleriyle sağlanan

güvenceden daha fazlasını sağlamalıdır. Bu tür bir denetimler, kurumun uygunluk birimi veya yönetimin isteği üzerine iç denetim veya görevlendirilen dıĢ denetçiler ve danıĢmanlar yada sertifikalandırma organları tarafından yürütülebilir. Denetimi yürüten kiĢilerin niteliklerinin, örneğin CISA sertifikası olması sağlanmalıdır.

1.3 Rehber Gereksinimi 1.3.1 MüĢterilerin ya da tedarikçilerin karĢılıklı bağımlılık süreci ve ana faaliyetler dıĢındakilerin dıĢarıdan sağlanması bilgi sistemi

denetçisinin (iç veya dıĢ) sıklıkla diğer bağımsız birim veya kurumlar tarafından denetlemiĢ olduğu alanın parçalarının kontrol edilmesi ve denetlenmesini ifade eder. Bu rehber, yukarıdaki durumlarda BS Denetçisinin standartlarla uyumunu nasıl sağlaması gerektiğini ortaya koymaktadır. Bu rehbere uymak zorunlu değildir, ancak BS Denetçisi bu rehberden sapmaları gerekçelendirmeye hazırlıklı olmalıdır.

1.3.2 BS Denetçileri, denetimin kalitesinde denetim görevinin baĢarılması ve potansiyel kazanımları zayıflatacak sınırlamalar bulunduğu zaman denetimde diğer uzmanların çalıĢmalarını kullanmayı düĢünmelidir. Bunlara örnekler, yerine getirilecek görevin özelliklerinin teknik bilgi gerektirmesi, denetim kaynaklarının kıtlığı, denetlenen özel alanlarda sınırlı bilgiye sahip olmasıdır. Bir ―uzman‖, bir dıĢ denetim Ģirketinin BS Denetçisi, yönetim danıĢmanı veya BS Denetim takımı veya üst yönetim tarafından atanmıĢ, denetim bölgesinde bir BT uzmanı veya sadece uzman olabilir. Uzman, nesnellik ve bağımsızlığını koruduğu sürece, bir kuruma içten veya dıĢtan denetim yapabilir.

2 DENETĠM YÖNETMELĠĞĠ 2.1 Diğer Uzmanların ÇalıĢmalarına EriĢim Hakları 2.1.1 BS Denetçisi, diğer uzmanların çalıĢmalarının BS Denetim hedefleriyle ilgili olduğu durumlarda, denetim yönetmeliği veya

hizmet sözleĢmesinde BS Denetçisinin bu çalıĢmalara eriĢim hakkı tanımlanmalıdır. 3 PLANLAMA 3.1 Planlama Varsayımları 3.1.1 BS Denetçisi, denetimi gerçekleĢtirmek için gerekli beceri ve uzmanlığının olmadığı durumlarda, diğer uzmanlardan uzman

yardımı araĢtırmalıdır; bununla birlikte, BS Denetçisi gerçekleĢtirilen iĢle ilgili bilgi sahibi olsa da, kendisinden bir uzmanınkine eĢdeğer bir bilgi sahipliği beklenmemelidir.

3.1.2 BS Denetçisi, BS Denetimi diğer uzmanların çalıĢmalarının kullanımını gerektirdiği zaman, BS Denetimini planlarken onların faaliyetlerini ve BS Denetim hedeflerine olan etkilerini dikkate almalıdır. Planlama iĢlemi Ģunları içermelidir:

Diğer uzmanların çalıĢmalarının bağımsızlığının ve tarafsızlığının değerlendirilmesi

Mesleki uzmanlıklarının ve niteliklerinin değerlendirilmesi

ÇalıĢmanın kapsamı, yaklaĢımı, zamanlaması ve oluĢturulan çalıĢma kağıtlarında gerekli özenin gösterildiğini ve iĢin kalan kanıtlarının değerlendirilmesini kapsayan kalite kontrol süreçlerinin anlaĢılmasını sağlamalı

Gereken gözden geçirme seviyesinin tanımlanması 3.2 Bağımsızlık ve Tarafsızlık 3.2.1 Seçme ve atama iĢlemleri, kurumsal durum, raporlama hattı ve yönetim uygulamalarıyla ilgili öneriler diğer uzmanların

bağımsızlığının ve tarafsızlığının göstergeleridir 3.3 Mesleki Uzmanlık 3.3.1 Diğer uzmanların mesleki uzmanlığı değerlendirilirken nitelikleri, deneyimleri, becerileri ve kaynakları göz önünde

bulundurulmalıdır. 3.4 Görevin Kapsamı ve YaklaĢım 3.4.1 Görev kapsamı ve yaklaĢımı, diğer uzmanların yazılı denetim yönetmeliği, iĢ tanımı veya sözleĢme ile kanıtlanmalıdır. 3.5 Zorunlu Gözden Geçirme Seviyesi 3.5.1 Gereken denetim kanıtının doğası, zamanlaması ve kapsamı diğer uzmanların çalıĢmalarının kapsamına ve önemine bağlı

olacaktır. BS Denetçisinin planlama süreci, BS Denetim hedeflerini etkin biçimde baĢarmak için yeterli güvenilirlikte ilgili ve faydalı denetim kanıtını sağlamada gerekli olan denetim seviyesini tanımlamalıdır. BS Denetçisi diğer uzmanların nihai raporlarını, denetim program(lar)ını ve denetim çalıĢma kağıtlarını incelemelidir. BS Denetçisi ayrıca diğer uzmanın çalıĢmasıyla ilgili ek test yapmanın gerekli olup olmadığını da belirlemelidir.

29

G1 Diğer Uzmanların ÇalıĢmalarının Kullanımı 4. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 4.1 Diğer Uzmanların ÇalıĢma Kâğıtlarının Gözden Geçirilmesi 4.1.1 BS Denetçisi, diğer uzman tarafından oluĢturulmuĢ çalıĢma kâğıtlarının tamamına, dosyalarına ve raporlarına, yasal bir

engel olmayan durumlarda eriĢim hakkına sahip olmalıdır. 4.1.2 BS Denetçisi, yasal açıdan sakınca bulunan ve bu yüzden eriĢimin olmadığı durumlarda diğer uzmanın çalıĢmalarına güven

ve kullanım sınırlarını uygun Ģekilde saptamalı ve sonuçlandırmalıdır. 4.1.3 BS Denetçisi, diğer uzmanların çalıĢma kâğıtlarını gözden geçirirken, diğer uzmanın çalıĢmasının uygun bir Ģekilde

planlandığını, denetlendiğini, belgelenip incelendiğini, denetim kanıtının yeterli ve uygun olduğunu ve uzmanın çalıĢmasının kullanım ve güvenilirlik sınırını onaylamak durumundadır. Ġlgili mesleki standartlarla uyumluluğu da değerlendirmelidir. BS Denetçisi diğer uzmanların çalıĢmasının, BS Denetçisinin mevcut denetim amaçları üzerinde sonuçlara varabilmesine ve bu sonuçları belgelendirebilmesine olanak tanımak amacıyla yeterli ve tamamlanmıĢ olup olmadığını değerlendirmelidir.

4.1.4 BS Denetçisi, diğer uzmanların çalıĢma kâğıtlarının değerlendirmesine dayanarak, diğer uzmanların çalıĢmalarının yeterli ve uygun denetim kanıtı sağlamadığı yer ve durumlarda, yeterli ve uygun denetim kanıtı elde etmek için ek test süreçleri uygulamalıdır.

4.1.5 BS Denetçisi, ek test usulleri kullanılarak yeterli ve uygun denetim kanıtı elde edilemeyen durumlarda uygun denetim sonucu sağlamalı ve kapsamını sınırlamalıdır.

4.2 Diğer Uzmanların Rapor/Raporlarının Gözden Geçirilmesi 4.2.1 BS Denetçisi, diğer uzmanların nihai raporları üzerinde, denetim yönetmeliğinde, iĢ tanımlarında ve sözleĢmede tanımlanan

kapsamın veya görev yönergesinin yerine getirilip getirilmediğini, diğer uzmanlar tarafından kullanılan varsayımların tanımlanmıĢ olup olmadığını ve rapor edilen bulguların ve sonuçların yönetim tarafından kabul edilip edilmediğini onaylamak amacıyla yeterli inceleme yapmalıdır

4.2.2 Ġç kontrol sisteminin temel sorumluluğunun tanımlanmasında, denetlenen kurumların kendi raporlarını [BS Denetçisine] sağlaması yönetim için uygun olabilir. BS Denetçisi, böyle bir durumda yönetimin ve uzmanın raporlarını birlikte dikkate almalıdır.

4.2.3 BS Denetçisi, diğer uzmanın raporunun faydalılık ve uygunluk durumunu değerlendirmek ve diğer uzmanlar tarafından raporlanan her önemli bulguyu dikkate almalıdır. Diğer uzmanın bulgularını ve sonuçlarını tüm denetim hedeflerine etkisini değerlendirmek ve tüm denetim hedeflerini gerçekleĢtirmek için gerekli ek çalıĢmalara karar vermek BS Denetçisinin sorumluluğudur.

4.2.4 Eğer bir uzman kurumun diğer bir bölümüyle ilgili de görevlendirilmiĢse, kanaati diğer uzmanın raporunda yer alabilir. Bazı durumlarda bu, BS Denetçisi, destekleyici belgelere ve çalıĢma kağıtlarına eriĢim sahibi olmasa bile, BS Denetim kapsamına duyulan ihtiyacı azaltabilir. BS Denetçisi, böyle durumlarda kanaat edinirken dikkatli olmalıdır.

4.2.5 BS Denetçisinin uzman raporlarının uyarlanabilirliğiyle ve iliĢkisiyle ilgili görüĢ ve yorumları, eğer uzmanın raporundan BS Denetçisi görüĢünü Ģekillendirirken yararlanmıĢ ise, BS Denetçisinin raporunun bir bölümünü oluĢturmalıdır.

4.2.6 DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ 4.3 Önerilerin Uygulanması 4.3.1 BS Denetçisi, uygun olan durumlarda diğer uzmanların yönetim tarafından uygulanan önerilerinin kapsamını

değerlendirmelidir. Böyle bir durumda, diğer uzmanlar tarafından tanımlanan konularda yönetimin belli bir zaman diliminde herhangi bir iyileĢtirme yapıp yapmadığı ve yaptıysa bu iyileĢtirmenin mevcut durumu da belirtilmelidir.

5 YÜRÜRLÜK TARĠHĠ 5.1 Bu rehber bütün BS Denetimleri için 1 Haziran 1998 tarihinden itibaren geçerlidir. Rehber incelenmiĢ ve güncellenmiĢtir,

geçerlilik tarihi 1 Mart 2008‘dir.

30

G2 Denetim Kanıtı Gereksinimi 1. ARKA PLAN

1.1 Standartlarla Bağlantı 1.1.1 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak

için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.

1.1.2 S9 Aykırılıklar ve YasadıĢı Hareketler Standardı: ―BS Denetçisi, yeterli ve uygun denetim kanıtı elde etmelidir. Bunun amacı yönetimin veya kurumun içindeki diğer kiĢilerin herhangi bir aykırılık ve yasadıĢı hareketle ilgili kesin veya Ģüphe ettikleri bilgileri olup olmadığını belirlemektir‖. Ģeklinde ifade eder 1.1.3. S13 Diğer Uzmanların ÇalıĢmalarının Kullanımı Standardı: ―BS Denetçisi, ilave test usulleri kullanılarak gereken kanıtın

elde edilemediği durumlarda uygun denetim kanaati sağlamak ve sınırlamayı kapsama dahil etmelidir ‖. Ģeklinde ifade eder.

1.1.4. S14 Denetim Kanıtı Standardı: ―BS Denetçisi, denetim sonuçlarını dayandıracağı mantıklı sonuçlara varmak için yeterli ve uygun denetim kanıtı elde etmelidir. BS Denetçisi, denetim sırasında elde edilen denetim kanıtının yetkinliğini değerlendirmek durumundadır‖. Ģeklinde ifade eder. 1.1.5. P7 Aykırılıklar ve YasadıĢı Hareketler Usulü bildirimi, ―Düzensizlikleri belirlemek veya önlemek BS Denetçisinin

doğrudan sorumluluğu olmasa da BS Denetçisi aykırılıkların olabilme riskini düĢünmelidir. Planlama sırasında kullanılan risk analiz sonuçları ve diğer usuller iĢ sırasındaki süreçlerin zamanlaması, sınırları ve doğasını belirlemede kullanılmalıdır.‖ Ģeklinde ifade eder.

1.2. COBIT Bağlantısı 1.2.1. ME2.3 Kontrol Ayrıcalıkları bildirimine göre: ―Bütün kontrol ayrıcalıklarıyla ilgili bilgileri kaydedin ve temel gerekçelerin

analizini ve düzeltici etkinliklere geçilmesini sağlayın. Yönetim, hangi ayrıcalıkların sorumlu kiĢiye iletileceğine ve hangi istisnaların kaldırılacağına karar vermekten sorumludur. Yönetim, etkilenen tarafları bilgilendirmekten sorumludur.

1.3. Rehber Gereksinimi 1.3.1. Bu Rehberin amacı, BS Denetçisine yeterli ve uygun denetim kanıtı elde etmesi için öncülük etmek ve denetim sonuçlarını dayandıracağı mantıklı sonuçlar çıkarmasını sağlamaktır. 1.3.2. Bu rehber BS Denetim standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standardın

uygulamasının nasıl sağlayacağı konusunda bunu göz önünde bulundurmak, uygulanması sırasında mesleki yargılara varmak ve herhangi bir sapmayı gerekçelendirmek durumundadır.

2. Planlama

2.1. Denetim Kanıtı ÇeĢitleri 2.1.1. Uygun, güvenilir ve yeterli kanıtın tanımı için Standart S14‘teki yorum bölümüne baĢvurunuz. 2.1.2. BS Denetçisi, BS denetimini planlarken toplanacak denetim kanıtının türünü, denetim amacını gerçekleĢtirmek amacıyla denetim kanıtı olarak kullanımını ve değiĢen güvenilirlik seviyelerini dikkate almak durumundadır. Göz

önünde bulundurulacak Ģeyler arasında denetim kanıtını sağlayanın bağımsızlığı ve nitelikleri de vardır. Örneğin, bağımsız üçüncü bir taraftan gelen onaylayıcı bir denetim kanıtı, denetlenen kurumdan gelen bir denetim kanıtından daha güvenilir olabilir. Fiziksel denetim kanıtı genel olarak bir bireyin sunumlarından daha güvenilirdir.

2.1.3. BS Denetçisi, bağımsız bir üçüncü taraf tarafından kontrollerin testinin tamamlanmıĢ olup olmadığını ve onaylanıp onaylanmadığını ve bu teste güvenilip güvenilemeyeceğini göz önünde bulundurmalıdır.

2.1.4. BS Denetçisinin kullanmayı düĢünmesi gereken çeĢitli denetim kanıtları aĢağıdakileri de içerir:

Gözlemlenen süreçler ve fiziksel maddelerin varlığı

Belgesel denetim kanıtı

Sunumlar

Analiz 2.1.5. Gözlemlenen süreçler ve fiziksel maddelerin varlığı, faaliyetlerin gözlemlenmesini, varlıkları ve BS iĢlevselliğini

içerebilir. Örneğin:

Kurum dıĢı depolama alandaki araçların envanteri

ĠĢletimdeki bilgisayar odası güvenlik sistemi 2.1.6. Kağıtta veya diğer araçlarda kaydedilmiĢ yazılı denetim kanıtı aĢağıdakiler içerebilir:

Veri çıkarım sonuçları

ĠĢlem kayıtları

Program listelemeleri

Faturalar

Faaliyet ve kontrol kayıtları

Sistem geliĢim belgeleri 2.1.7. Denetlenen aĢağıdaki çıktılar denetim kanıtı olabilir:

Yazılı politika ve usuller

Sistem akıĢ çizelgeleri

Yazılı ve sözlü anlatımlar 2.1.8.1 KarĢılaĢtırmalar, canlandırmalar, hesaplamalar ve akıl yürütmeler yoluyla çözümlenen sonuçlar denetim kanıtı olarak

kullanılabilir. Örnekler:

31

G2 Denetim Kanıtı Gereksinimi

Diğer kurumlara veya geçmiĢ dönemlere göre BS performansının değerlendirilmesi

Uygulamalar, iĢlemler ve kullanıcılar arasında hata oranlarının karĢılaĢtırılması 2.2 Denetim Kanıtının Elde Edilebilirliği 2.2.1 BS Denetçisi, anlamlı test süreci ve olanaklıysa uyum testi bilgisinin var olduğu veya elde edilebilir olduğu zamanı göz

önünde bulundurmalıdır. Örneğin elektronik veri değiĢimi (EDI) tarafından iĢlem gören denetim kanıtı, belge görüntü iĢleme (DIP) ve hesap tablosu gibi dinamik sistemler, eğer dosyalar kontrol edilip yedeklenmezse belli bir zaman sonra yeniden elde edilemezler. Belgeleme elde edilebilirliği Ģirket belge saklama politikaları tarafından da etkilenir.

2.3 Denetim Kanıtının Seçimi 2.3.1 BS Denetçisi, denetim amaçlarının önemine, harcanan emek ve zamana en uygun, güvenilir ve yeterli denetim kanıtını

sağlamayıp kullanmamayı planlamalıdır. 2.3.2 Sözlü olarak elde edilen denetim kanıtının denetim fikrinin veya sonucunun kritik olduğu durumlarda, BS Denetçisi

sunumların belgelerle, kağıtta ve diğer araçlarla doğrulanması konusunu düĢünmelidir. Denetçi bu sunumların güvenilirliğinden emin olmak için onları doğrulayan diğer kanıtları da düĢünmelidir.

3 DENETĠM GÖREVĠNĠN YÜRÜTÜLMESĠ 3.1 Denetim Kanıtının Doğası 3.1.1 Denetim kanıtı, BS Denetçisinin bulgularını ve sonuçlarını desteklemek veya bir fikir vermek için yeterli, güvenilir, ilgili ve

faydalı olmalıdır. Eğer, BS Denetçisinin vardığı yargıyı elde edilen denetim kanıtı bu kıstasları ve sonuçları karĢılamazsa denetçi ilave denetim kanıtı elde etmelidir. Örneğin, üretim sırasında kullanılan gerçek programı temsil eden bir diğer program ortaya çıkana kadar, önceki program listelemesi yeterli bir denetim kanıtı olmayabilir.

3.2 Denetim Kanıtı Toplama 3.2.1 Denetim kanıtı toplamak için kullanılan usuller denetlenen bilgi sistemine bağlı olarak değiĢir. BS Denetçisi, denetim amacı

için en uygun, güvenli ve yeterli usulü seçmelidir. AĢağıdaki usuller göz önünde bulundurulmalıdır:

Sorgulama

Gözlemleme

SoruĢturma

Doğrulama

Yeniden gerçekleĢtirme (Yineleme)

Ġzleme 3.2.1 Yukarıdakiler, manuel denetim usulleri, bilgisayar-destekli denetim teknikleri veya ikisinin bileĢkesi için kullanılabilir. Örneğin:

Veri giriĢ iĢlemlerinin mutabakatını sağlamada manuel kontrolü kullanan bir sistem bir denetim kanıtı uygun mutabakat ve açıklayıcı notlar uygun yerlerde kullanılan kontrol süreçleri ile denetim kanıtları sağlayabilir. BS Denetçisi bu raporu gözden geçirerek ve test ederek denetim kanıtı sağlamalıdır.

Ayrıntılı iĢlem raporları, sadece makinelerin okuyabileceği bir biçimde elde edilebilir ki bu BS Denetçisinin bilgisayar destekli denetim teknikleri (BDDT) kullanarak denetim kanıtı elde etmesini gerektirir. Denetçi bilgisayar destekli denetim tekniklerinin sürüm veya çeĢitlerinin güncel ve ayrıntılı iĢlem kayıtlarıyla tamamen uyumlu olmasını sağlamalıdır.

3.2.2 Eğer toplanan kanıtın yasal bir iĢleme tabi olması olasılığı varsa BS Denetçisi uygun ilgili hukuk uzmanına kanıtın toplanması, sunulması ve açıklanması üzerinde etkisi olabilecek ile özel ihtiyaçlar olup olmadığını saptamak için danıĢmalıdır.

3.3 Denetim Belgelenmesi 3.3.1 BS Denetçisince toplanan denetim kanıtı, uygun bir biçim belgelenmeli ve BS Denetçisi bulgu ve sonuçları desteklemek için

düzenlenmelidir. 3.3.2 BS Denetçisince toplanan kanıtın korunması ve tutulması konusunda Standart S14‘teki yorum bölümüne baĢvurunuz. 4. RAPORLAMA 4.1 Kapsam Kısıtlaması 4.1.1 BS Denetçisi, yeterli denetim kanıtının elde edilemeyeceğini düĢündüğü durumlarda, bu durumu denetim sonuçlarının

açıklanma biçimiyle tutarlı bir gerçek olarak açıklamalıdır. 5. YÜRÜRLÜK TARĠHĠ 5.1 Bu rehber bütün BS Denetimleri için 1 Aralık 1998 tarihinden itibaren etkindir. Rehber incelenmiĢ ve güncellenmiĢtir,

geçerlilik tarihi 1 Mayıs 2008‘dir.

32

G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT) 1 ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S6 Denetim ĠĢinin GerçekleĢtirilmesi standardı: ―Denetim hedeflerine ulaĢmak için denetim boyunca BS Denetçisi,

yeterli, güvenilir ve iliĢkili kanıtları elde etmek durumundadır. Denetim bulguları ve sonuçları bu kanıtın uygun Analizi ile desteklenmek zorundadır.‖ ġeklinde ifade eder.

1.1.2 S5 Planlama Standardı :―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ Ģeklinde ifade eder.

1.1.3 S3 Meslek Etiği ve Standardı : ― BS Denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını gözeterek gereken mesleki özeni göstermelidir.‖ Ģeklinde ifade eder.

1.1.4 S7 Raporlama Standardı :―BS Denetçisi, raporlanan sonuçları destekleyecek uygun ve yeterli denetim kanıtlarına sahip olmalıdır.‖ Ģeklinde ifade eder.

1.1.5 S14 Denetim Kanıtı Standardı : ―BS Denetçisi, denetim sonuçlarının dayandığı makul çıkarımlara temel olacak yeterli ve uygun denetim kanıtı sağlamalıdır.Ģeklinde ifade eder.

1.2 Rehberlerle Bağlantı 1.2.1 G2 Denetim Kanıtı Gerekliliği Rehberi, BS Denetçisine, BS Denetimi sırasında kullanılan denetim kanıtının türü ve

yeterliliğiyle ilgili rehberlik sağlar. 1.2.2 G10 Denetim Örneklemi Rehberi, BS Denetçisine bir denetim örnekleminin seçimi ve tasarımı ve örnek sonuçlarının

değerlendirilmesi ile ilgili yol göstericilik sağlar. 1.3 COBIT Bağlantısı 1.3.1 ME2 Ġç Kontrolün Ġzleme ve Değerlendirmesi, BT hedeflerinin baĢarılmasının sağlanması ve korunmasında iĢ

gereksinimlerine, BT ile bağlantılı iç kontrol süreçlerinin izlenmesi konusunda BT ile bağlantılı hukuk ve düzenlemelere uyumun baĢarılması ve geliĢtirici faaliyetlerin tanımlanmasını sağlar.

1.3.2 DS5 Sistemlerin Güvenliğini Sağlama, Bilgi ve iĢleme altyapısının bütünlüğünü sürdürmek için BT için iĢ gereksiniminin karĢılanmasını, güvenlik açıklarının ve vakalarının BT güvenlik politikaları, prosedürleri, standartlarının tanımlanması, izlemeleri, tespitleri, raporlamaları güvenlik açıklarının ve olaylarının giderilmesine odaklanarak en aza indirilmesini sağlar.

1.4 Rehber Gereksinimi 1.4.1 Bilgi sistemlerinin kaydı, iĢlemleri ve veri süreci arttıkça, BS Denetçisinin, yeterli risk analiz için BS araçlarından faydalanma

ihtiyacı denetim kapsamının bütünleĢik bir parçası olmaktadır. Bilgisayar destekli denetim tekniklerinin (BDDT) kullanımı, BS Denetçisine, kontrol çevresini etkin ve yeterli bir biçimde değerlendirmek için önemli bir araç olarak hizmet eder. Bilgisayar destekli denetim teknikleri (BDDT), denetimin kapsamının geniĢlemesine, tam ve tutarlı veri analizini ve riskin azaltılmasını sağlayabilir.

1.4.2 BDDT, genellenmiĢ denetim yazılımlarını, uyarlanmıĢ sorgulamaları, formülleri, faydalı yazılımı, yazılım izleme ve haritalama ve denetim uzman sistemleri gibi çok sayıda araç ve tekniği içerir.

1.4.3 BDDT, aĢağıdakileri de içeren çeĢitli denetim usullerini gerçekleĢtirirken kullanılabilir:

ĠĢlem ayrıntıları ve bakiyelerine iliĢkin testler,

Analitik gözden geçirme usulleri

BS genel kontrollerinin uyumluluk testleri

BS uygulama kontrollerinin uyumluluk testleri

Saldırı testi 1.4.4 BDDT, BS Denetimlerinde geliĢtirilmiĢ çok sayıda denetim kanıtı üretebilir ve sonuç olarak BS Denetçisi BDDT‘lerini

kullanırken beklenen mesleki özeni sergilemeli ve dikkatli bir biçimde planlamalıdır. 1.4.5 Bu rehber, BS Denetim standartlarını uygulamada yol göstericilik sağlar. BS Denetçisi yukarıdaki standartların

uygulanmasını baĢarmada bunu göz önünde bulundurmalıdır, ayrıca, uygulanmasında mesleki yargılarını kullanmalı ve herhangi bir farklı tercihin gerekçelendirmesini yapmaya hazırlıklı olmalıdır.

1.4.6 Bu rehber, ilgili denetçinin bir BS Denetçisi olup olmadığına bakılmaksızın, BDDT kullanımında uygulanmalıdır. 2 PLANLAMA 2.1 BDDT Kullanımı için Karar Etmenleri 2.1.1 Denetimi planlarken BS Denetçisi, BDDT ve manuel tekniklerinin uygun bir bileĢkesini düĢünmelidir. BDDT kullanımına karar

verirken göz önünde bulundurulması gereken etmenler Ģunları içerir:

BS Denetçisinin bilgisayar bilgisi, uzmanlık ve deneyimi

Uygun BDDT ve BS olanaklarının araçları

BDDT‘lerinin manuel teknikler karĢısında etkinliği ve etkenliği

Zaman kısıtlamaları

Bilgi sisteminin ve BT ortamının bütünlüğü

Denetim riskinin seviyesi 2.2 BDDT Planlama Adımları 2.2.1 Seçilen BDDT‘lerin uygulanması için hazırlanırken BS Denetçisi tarafından izlenmesi gereken baĢlıca adımlar aĢağıdakileri

içerir:

33

G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT) (Devamı)

Yürütülecek iĢ tanımındaki BDDT‘nin denetim amaçlarını belirlemek.

Kurumun BS olanaklarının, programlarının/sistemlerinin ve verinin eriĢilebilirliğini ve kullanılabilirliğini tespit etmek,

ĠĢlenecek verinin miktarı, türü, formatı ve çıktılarının bileĢimini açıkça anlamak,

Uygulanacak prosedürleri (örneğin istatistiksel örneklem, yeniden hesaplama, teyit/doğrulama, vb.) tanımlamak

Kullanılacak usullerin belirlenmesi (örneğin istatistik örnekleme, yeniden hesaplama, doğrulama)

Çıktı gereksinimlerinin belirlenmesi

Kaynak gereksinimlerinin belirlenmesi, yani personel, BDDTleri, iĢleme ortamı (kurumun BS olanakları veya denetim BS araçları) vb.

Kurumun BS araçlarına, programlarına/sistemlerine ve dosya tanımlamaları dâhil verilerine eriĢimin sağlanması,

Hedefler, yüksek seviyeli akıĢ çizelgeleri ve iĢletme yönergelerini de içeren BDDT‘lerin belgelendirilmesi. 2.3 Denetlenenle Yapılan SözleĢmeler 2.3.1 BDDT‘yi düzgün bir biçimde tasarlamak ve veriyi yorumlamak için kullanıcılardan veya veri sahiplerinden yeterli süre alma

gereksinimi olabilir. Ayrıca, denetlenen BDDT‘nin amaç, kapsam, zamanlama ve hedeflerini anlamalıdır. BDDT‘nin baĢlangıcında açıkça ortaya konan beklentilerin bildirimi yapılmalıdır.

2.3.2 Ayrıntılı iĢlem dosyaları gibi veri dosyaları sıklıkla kısa bir zaman dilimi için saklanırlar; BS Denetçisi bu yüzden uygun bir zaman dilimi için denetim verisinin korunmasını sağlamalıdır.

2.3.3 Mümkün ise, kurumun BS araçlarına, program/sistemlerine ve verilerine kurumsal eriĢim çevresindeki gelecekte ihtiyaç duyulacak zaman dilimindeki etkiyi en aza indirmek için eriĢim gerekli olacağı zamandan önce hazırlanmıĢ olmalıdır.

2.3.4 BS Denetçisi, üretim program/sistemlerindeki değiĢikliklerin BDDT üzerindeki muhtemel etkilerini değerlendirir. Bunu yaparken, BS Denetçisi bu değiĢikliklerin ve kullandığı program/sistemlerin ve verilerin BDDT‘lerin faydalılığı ve bütünlüğü üzerindeki programların/sistemlerin ve IS denetçisi tarafından kullanılan verilerin bütünlüğü gibi etkilerini göz önünde bulundurmalıdır.

2.4 BDDT‘lerin Test Edilmesi 2.4.1 BS Denetçisinin, uygun planlama, tasarım, test süreci ve gözden geçirmelerini belgeleyerek, BDDT‘lerin bütünlüğü,

güvenilirliği, faydalılığı ve güvenliği hakkında makul güvence sağlaması önemlidir. Bu, BDDT‘lere güven duymadan önce yapılmalıdır. Testin doğası, zamanlaması ve sınırları BDDT‘nin ticari elde edilebilirliği ve istikrarlılığına bağlıdır. Bilinen BDDT‘leri, beklendiği gibi çalıĢtıklarından emin olmak için ilave incelemeler ve testler gereklidir.

2.5 BDDT‘lerin ve Verilerin Güvenliği 2.5.1 BS Denetçisi BDDT‘lerin veri Analizinden bilgi elde etmek amacıyla kullanıldığı durumlarda, , bilgi edinilen bilgi sisteminin ve

BT ortamının bütünlüğünün sağlandığını doğrulamalıdır. 2.5.2 BDDT‘leri, gizli kalması gereken hassas program ve sistem bilgilerini ve üretim verilerini sonuç elde etmede çıkarabilir ve

kullanabilir. BS Denetçisinin, Ģirket veri sınıflandırmasını ve verilere nasıl iĢlem yaptıklarını ve uygun bir gizlilik ve güvenlik seviyesi vererek nasıl koruduklarını açıkça anlaması gereklidir. Bu durumda, BS Denetçisi bilgiye sahip olan kurumun istediği güvenlik, gizlilik seviyesini ve ilgili yasaları göz önünde bulundurmalı, gerekirse hukuk ve yönetim danıĢmanı gibi diğer uzmanları ile durumu değerlendirmelidir.

2.5.3 BS Denetçisi, BDDT‘nin sürekli bütünlük, güvenilirlik, faydalılık ve güvenliğini sağlamak için uygun süreç sonuçlarını kullanmalı ve belgelendirmelidir. Örneğin, BDDTlerinde sadece yetkilendirilmiĢ değiĢikliklerin yapılıp yapılmadığını saptamak için gömülü denetim yazılımındaki program bakım ve program değiĢiklik kontrollerini kapsar.

2.5.4. BS Denetçisi, BDDT‘leri kontrolü altında olmayan bir ortamda bulundukları takdirde, BDDT‘lere etkisi olacak değiĢikliklerin tanımlanması amacıyla uygun seviyede bir kontrol uygulanmalıdır. BS Denetçisi, BDDT‘ler değiĢtiği zaman BDDT güven sağlamadan önce uygun bir planlama, tasarım, test etme, iĢleme ve gözden geçirmelerini belgelendirerek bütünlük, güvenilirlik, faydalılık ve güvenlik konularında güvence sağlamalıdır.

3. DENETĠM GÖREVĠNĠN YÜRÜTÜLMESĠ 3.1 Denetim Kanıtının Toplanması 3.1.1 BDDT‘lerin kullanımı, denetim amaçlarının ve BDDT‘lerin ayrıntılı özelliklerinin karĢılandığına dair makul güvence sağlamak

için BS Denetçisi tarafından kontrol edilmelidir. BS Denetçisi, aĢağıdakileri yapmalıdır:

Uygunsa kontrol toplamlarının uygunluğunu sağlamak

Makullük için çıktı incelemesi

BDDT‘lerin mantıksal, parametreler veya diğer özelliklerinin gözden geçirmesini yapmak

BDDT‘lerin bütünlüğüne katkı sağlayabilecek kurumun genel BS kontrollerini incelemek, (örneğin program değiĢiklik kontrolleri ve sisteme, program ve/veya veri dosyaları eriĢim )

3.1.2 BS Denetçisi, test verilerini kullanırken, test verilerinin sadece hatalı iĢlemeye karĢı bir potansiyele iĢaret ettiklerinin farkında olmalıdır. BS Denetçisi, ayrıca test veri analizlerinin son derece karmaĢık ve iĢlem gören faaliyetlerin, denenen programların sayısına ve program/sistemlerin karmaĢıklığına bağlı olarak, zaman alıcı olabileceğinin de farkında olmalıdır. BS Denetçisi, test verilerini kullanmadan önce, test verilerinin kullanılan canlı sistemi kalıcı olarak etkilemeyeceğini doğrulamalıdır.

3.2 GenelleĢtirilmiĢ Denetim Yazılımı 3.2.1. BS Denetçisi, üretim verilerine eriĢmek için genelleĢtirilmiĢ denetim yazılımı kullanırken, , kurumun verilerinin

bütünlüğünü korumak için gereken önlemleri almak durumundadır. BS Denetçisi, gömülü denetim yazılımında tasarıma dahil olmalıdır ve teknikler kurumsal uygulama programları/sistemlerinde içerisinde teknikler geliĢtirilmeli ve korunmalıdır.

34

G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT)(Devam)

3.3 Yardımcı Yazılım 3.3.1. BS Denetçisi, yardımcı yazılımı kullanırken iĢleme sırasında planlanmamıĢ müdahalelerin olmadığından ve faydalı yazılımın sistem kitaplığından edinildiğinden emin olmak durumundadır. BS Denetçisi, kurumun sistem ve dosyalarının bütünlüğünü korumak için gereken adımları atmalıdır, çünkü bu yardımcı yazılımlar sisteme ve sistem dosyalarına zarar verebilirler. 3.4 UyarlanmıĢ Sorgular ya da Komutlar 3.4.1 UyarlanmıĢ sorgu veya komutlar, ihtiyaca göre BS Denetçisine analiz için özellikle arzulanan hedef bilgiyi belirlemesine

yardımcı olur. Gereksinime göre olan yazımlar diğer BDDT‘lerinin bulunmadığı ancak belirgin teknik yetenek gerektirdiği ortamlarda son derece faydalıdırlar. BS Denetçisi, bu sebeple BDDT‘ye güvenmeye baĢlamadan önce bunların bütünlüğü, güvenilirliği, faydalılığı ve güvenliğinin, uygun planlama, tasarım ve test yoluyla uyarlanmıĢ sorgu ve komutların çıktılarının uygun formatta olduğu konusunda güvence sağlamalıdır. UyarlanmıĢ sorgu ve komut kodlarını yaĢanabilecek yetkisiz değiĢiklerden korumak için güvenli bir yerde korunması sağlanmalıdır.

3.5 Uygulama Yazılım Ġzleme ve Haritalama 3.5.1 BS Denetçisi, uygulama yazılımı izleme ve haritalama kullanımı sırasında; kaynak kodların üretim ortamında mevcut

kullanılan nesne programını ürettiğini doğrulamalıdır. BS Denetçisi, uygulama yazılım izleme ve haritalamanın, sadece hata süreci potansiyeline iĢaret ettiğini ve gerçek üretim verilerini değerlendirmediğini unutmamalıdır.

3.6 Denetim Uzman Sistemleri 3.6.1 Denetim uzman sistemleri veri akıĢını, uygulama yazılımlarının mantıksal iĢleyiĢiyle analiz için kullanılabilen özel araçlardır

ve mantık, yol, kontrol Ģartları ve iĢleyiĢ sıklıklarını belgelendirir. BS Denetçisi, uzman denetim sistemlerini kullanırken karar vermede izlenen yolların denetim ortamı/durumuna uygunlunu onaylamak için adam akıllı sistem iĢleyiĢ bilgisine sahibi olmalıdır.

3.7 Sürekli Ġzleme ve Güvence 3.7.1 Sürekli güvence, bilgisayar yoluyla seçilmiĢ denetim kanıtı toplamak için ve kontrolleri sürekli bir biçimde izlemek için BS

Denetçilerine ve yönetime, kesintisiz bir izleme sağlayan yaklaĢımdır. BS Denetçilerince, anında rapor üretmek için kullanılabilecek ve yüksek riskli, hacimli ortamlarda kullanılabilecek bir süreçtir. Mevcut denetim modelinde (hem iç hem dıĢ denetçiler tarafından kullanılan) alan çalıĢmasının tamamlanması ve denetim raporunun oluĢturulması arasında bir zaman geçmektedir. Birçok durumda, bu gecikmenin etkisi, rapordaki bilginin kullanıcıya daha az yararlı olmasına yol açmaktır. Bu, tanımlanan eksiklere karĢı yönetimin düzeltici faaliyetleri gibi konuları rapor etkilemektedir, kontrol çevresinden daha fazla sapma (yada denetlenen verilerinden) sonucunda kontrol zayıflıkları ve hatalarından sonucunda rapordaki bilginin eskimesinin bir sonucudur..

3.7.2 Bu sebeple, sürekli güvence, BS Denetçisine mevcut modelden daha kısa bir sürede rapor hazırlamasına olanak verecek biçimde tasarlanmıĢtır. Kuramsal olarak bazı ortamlarda neredeyse eĢ zamanlı ve gerçekten sürekli güvenceyi sağlayacak biçimde raporlama süresini kısaltmak olanaklıdır.

3.7.3 Tanım olarak sürekli güvence, denetlenenin bilgi sistemlerine, geleneksel denetimden daha yüksek derecede güven gerektirir. Bu, denetim testine temel olacak sistem tarafından üretilen bilgiye karĢı dıĢarıdan üretilen bilgiye güvenme gereksiniminin bir sonucudur. Bu sebeple, denetçiler denetlenenin sistemleri ve sistem tarafından üretilen bilginin de niteliği üzerinde yargılara varmak durumundadırlar. DüĢük nitelikli sistemler veya daha az güvenilir bilgi üreten sistemler (ve daha yüksek derecede elle müdahale gerektiren sistemler) sürekli güvenceye, yüksek nitelikli ve güvenilir bilgi üreten sistemlerden daha az yatkındır.

3.7.4 Daha yüksek nitelikli ve güvenilir bilgi üreten ortamlar, daha kısa sürede rapor hazırlama eğilimindedir. Daha düĢük nitelikli ortamlar veya daha az güvenilir bilgi üreten ortamlar, sistem tarafından üretilen bilgilerin kullanıcılar tarafından incelenmesi ve onaylanması veya düzeltilmesi amacıyla geçecek süreyi telafi etmek için zaman harcadığından raporlama süresi daha uzundur.

4. BDDT‘lerin Belgelendirilmesi 4.1 ÇalıĢma Kâğıtları 4.1.1 BDDT adım adım iĢleyiĢ süreci, yeterli denetim kanıtı sağlamak için belgelendirilmelidir. 4.1.2 Özellikle denetim çalıĢma kağıtları BDDT uygulamasını tanımlamak için, aĢağıdaki bölümlerde ortaya konulan ayrıntıları

içermek üzere, yeterli belgelendirmeyi içerlemelidir. 4.2 Planlama 4.2.1 Belgeleme Ģunları içermelidir:

BDDT‘lerin hedefleri

Kullanılacak BDDTleri

Uygulanacak kontroller

Personel yönetimi ve zamanlama 4.3 Uygulama 4.3.1 Belgeleme Ģunları içermelidir:

BDDTlerin hazırlanması ve test usulleri ve kontroller

BDDTler tarafından gerçekleĢtirilen testlerin detayları

35

G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT) (Devam)

Girdi ayrıntıları (örneğin kullanılan veriler, dosya planları, raporlar), test süreçleri, iĢleme (örneğin BDDTlerin yüksek seviyede akıĢ Ģemaları, mantık) ve çıktılar (örneğin kütük dosyaları, raporlar)

Kaynak kodları veya ilgili parametreler 4.4 Denetim Kanıtı 4.4.1 Belgelendirme Ģunları içermelidir:

Üretilen çıktı

Çıktı üzerinde uygulanan denetim analizinin tanımı

Denetim bulguları

Denetim sonuçları

Denetim önerileri 4.4.2 Kullanılan veri ve dosyalar güvenli bir yerde tutulmalıdır. Ayrıca, denetimin bir parçası olarak kullanılan geçici gizli veriler ilgili

yönergeler uyarınca yok edilmelidir. 5 RAPORLAMA 5.1 BDDT‘lerin Tanımı 5.1.1 Raporun amaçları, kapsamı ve yöntem bölümleri, BDDT‘lerin kullanımının tanımını açıkça içermelidir. Bu tanım aĢırı bir

biçimde ayrıntılı olmamalıdır fakat okuyucuya yeterli bir fikir verebilmelidir. 5.1.2 Kullanılan BDDT‘lerin tanımı, kullanılan BDDTler ile ilgili bulgularının rapor içerisinde ayrıca tartıĢıldığı yer bulunmalıdır. 5.1.3 Kullanılan BDDTlerin tanımı değiĢik bulgulara da uyuyorsa veya çok ayrıntılıysa amaçlar, kapsam ve yöntem bölümünde

kısaca tartıĢılmalıdır ve okuyucuya detaylar için ek bölüm konulmalıdır. 6 YÜRÜRLÜK TARĠHĠ 6.1 Bu rehber bütün BS Denetimlerinde, 1 Aralık 1998 tarihinden itibaren etkindir. Rehber, incelenmiĢ ve güncellenmiĢtir,

geçerlilik tarihi 1 Mart 2008‘dir.

36

G4 BS Faaliyetlerinin Diğer Kurumlara DıĢ kaynaktan Sağlanması 1 ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S1 Denetim Yönetmeliği standardı: ―BiliĢim sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,

sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde belgelenmelidir.‖ Ģeklinde ifade eder.

1.1.2 S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder.

1.1.3 S6 Denetimin Yürütülmesi Standardı: ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.

1.2 Rehberlerle Bağlantı 1.2.1 G16 Rehberi, BS Denetçisinin, üçüncü tarafın BS kontrolleri ve ilgili kontrol hedefleri üzerindeki etkisini değerlendirirken

ISACA BS Denetim Standartlarıyla ve COBIT ile nasıl uyum içinde olmaları gerektiğini ortaya koymaktadır. 1.3 COBIT Bağlantısı 1.3.1 DS2 Üçüncü Taraf Hizmetlerinin yönetilmesi: BS Denetçisinin iĢ gereksinimlerine kullanıcının, iĢin gereksinimlerini

karĢılamak üzere ve üçüncü tarafların rol ve sorumluluklarının açıkça tanımlanmasını sağlamak için hangi kontrollerin hizmetlerin kullanıcılarına konulması gerektiğini ifade eder.

1.4 Rehber Gereksinimi 1.4.1 Bir kurum (hizmet kullanıcısı) kısmen veya tamamen kendi BS faaliyetlerini, bir dıĢ tedarikçiye (bu hizmeti sağlayan) karĢı

temsil edebilir. Sunulan hizmet kullanıcının sistemini veya kendi sistemini kullanabilir. DıĢtan desteklenen BS faaliyetleri, veri merkezi iĢlemleri, güvenlik ve uygulama sistem geliĢim ve bakımı gibi BS iĢlevlerini içerir.

1.4.2 SözleĢmeler, anlaĢmalar ve düzenlemelere uyum sorumluluğu hizmet kullanıcısındadır. 1.4.3 Denetim hakları sıklıkla açıkça belirtilmiĢ olmaz. Denetim uyumu için sorumluluk da sıklıkla netleĢtirilmemiĢtir. Bu Rehberin

amacı böyle bir durumda BS Denetçisinin S1, S5 ve S6 ile nasıl uyum içinde olacağını ortaya koymaktır. 1.4.4 Bu rehber, BS Denetim Standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartlara nasıl

ulaĢılacağını belirlemede bunları göz önünde bulundurmalıdır ve uygulanmada mesleki hükümlerini kullanmalı ve herhangi bir ayrılığı gerekçelendirmeye hazırlıklı olmalıdır.

2. DENETĠM YÖNETMELĠĞĠ 2.1 Sorumluluk, Yetki ve Hesap Verilebilirlik 2.1.1 BS iĢlevinin herhangi bir yönü bir hizmet sağlayıcıdan dıĢarıdan sağlanmıĢ ise;, bu hizmetler denetim yönetmeliğinin

kapsamında dahil edilmelidir. 2.1.2 Denetim yönetmeliği, BS Denetçisinin aĢağıdakileri yapabilme yetkisini açık bir biçimde belirtmelidir:

Hizmet sağlayıcı ve kullanıcısı arasındaki anlaĢmayı incelemek (önceki veya sonraki etki)

DıĢtan destekle ilgili gerekli görülen denetim iĢini yapmak

Hizmet kullanım yönetimine bulgular, sonuçlar ve önerileri raporlamak

3 PLANLAMA

3.1 Gerçeği Bulma 3.1.1 BS Denetçisi, dıĢtan desteklenen hizmetlerin sınırı, zamanlaması ve doğasıyla ilgili bilgi edinmelidir. 3.1.2 DıĢtan desteklenen hizmetlerle ilgili riskler tanımlanmalı ve değerlendirilmelidir. 3.1.3 BS Denetçisi, iĢ hedeflerinin baĢarılması ve istenmeyen olayların önlenmesi, tespit edilmesi ve düzeltilmesi konusunda

makul güvence sağlamak için hizmet kullanıcısının kontrollerinin kapsamını değerlendirmelidir. 3.1.4 BS Denetçisi, hangi kontrollerin hizmet sağlayıcının (veya anlaĢmalı üçüncü tarafların) ve hangilerinin hizmet kullanıcısının

sorumluluğunda olduğunun anlaĢılmasını sağlamalıdır. 3.1.5 BS Denetçisi, dıĢarıdan satın alma anlaĢması servis sağlayıcının denetimi sağladığını ve sözleĢme Ģartlarının yeterli olup

olmadığının kapsamını belirlemelidir. Bu, hizmet sağlayıcının iç denetçileri veya bağımsız üçüncü taraflar tarafından yapılan herhangi bir BS Denetim iĢinin güvenilirlik durumunun değerlendirilmesini kapsar.

3.2 Planlama 3.2.1 BS Denetçisi, hizmet seviye anlaĢmasını (SLA) ve sözleĢmeyi, planlama aĢamasında ve hizmet sağlayıcıyı denetim hakkı ile

ilgili olarak incelerken, gereken hukuki uzman görüĢüne baĢvurmayı düĢünmelidir. 3.2.2 BS Denetçisi, hizmet sağlayıcı hakkında hazırlanmıĢ olan önceki denetim raporunu değerlendirmeli ve denetim amaçlarına

ulaĢmak için hizmet sağlayıcının çevresiyle ilgili BS Denetimi hedeflerini planlamalı. bunu yaparken planlama sırasında elde edilen bilgiyi dikkate almalıdır.

3.2.3 BS Denetçisi, ne tür bir dıĢtan destekleme kullanıldığını belirlemeli ve denetimde bunun etkilerinin ne olacağını göz önünde bulundurmalıdır.

ĠĢgücünün dıĢarıdan sağlanması (yaygın kıyı ötesi modeli)

Sadece iĢgücü dıĢarıdan sağlanır. Hizmet kullanıcısının iç kontrolleri ve iĢ süreci aynı kalır. Hizmet sağlayıcı hizmet vermek için tamamen hizmet kullanıcının BT ortamına güvenir.

BS Denetçisi, hizmet kullanıcısının mevcut BT kontrollerini ve SLA‘yı (hizmet seviye anlaĢmasını) destekleyen ek kontrollerini testini planlamalıdır.

37

G4 BS Faaliyetlerinin Diğer Kurumlara DıĢ kaynaktan Sağlanması (Devam)

ĠĢgücü ve dıĢtan destekleyen sistemler (yaygın kıyı içi sistemler):

Hizmet sağlayıcı, hizmeti vermek için kendi BT ortamını kullanır (örneğin maaĢ bordrolarının dıĢtan destekle hazırlanması gibi)

BS Denetçisi, hizmet sağlayıcının nitelikli üçüncü tarafların (örneğin SAS70 Tip II raporu) yaptığı kontrol testlerinin belgelemesini sağlayıp sağlayamayacağını ve testte kapsanan amaçların BS Denetçisinin denetim amaçlarıyla örtüĢüp örtüĢmediğini göz önünde bulundurmalıdır.

3.2.4 Denetim amaçlarının, hizmet kullanıcı yönetimi ile hizmet sağlayıcıya iletilmeden önce üzerinde anlaĢılmıĢ olması gereklidir. Hizmet sağlayıcısınca, istenen herhangi bir değiĢiklik hizmet kullanıcı yönetimi ile üzerinde anlaĢılmıĢ olması gereklidir.

3.2.5 BS Denetçisi, iĢin amaçlarına ve kapsamına karar verirken Uluslararası Standardizasyon Kurumlarını ve uluslararası sertifikasyonları da göz önünde bulundurmalıdır. Buna dayalı olarak BS Denetçisi kurum tarafından hangi uluslararası sertifikasyonlara ne derecede güvenileceğine karar vermelidir.

3.2.6 BS Denetçisi, denetim sanki hizmet kullanıcının kendi ortamında yapılıyormuĢ gibi, hizmet kullanıcısının yürürlükteki mesleki denetim standartları ile uyuĢması amacıyla BS Denetim iĢini planlamalıdır.

4 DENETĠM ĠġĠNĠN YÜRÜTÜLMESĠ 4.1 Denetim Kanıtı Gerekliliği 4.1.1 Denetim, hizmet sanki hizmet kullanıcısının kendi ortamında yapılıyormuĢ gibi gerçekleĢtirilmelidir. 4.2 Hizmet Sağlayıcıyla AnlaĢma 4.2.1 BS Denetçisi aĢağıdaki noktaları da göz önünde bulundurmalıdır:

Hizmet sağlayıcı ve hizmet kullanıcısı arasında resmi bir anlaĢmanın bulunması

Hizmet sağlayıcısının faaliyetleriyle ilgili bütün yasal gereksinimleri karĢılamak zorunda olduğunu açıkça belirten bir bildirimin var olması

Hizmet kullanıcısının kendisi tarafından yapılmıĢ gibi, hizmet sağlayıcının faaliyetlerinin denetim ve kontrollere tabi olduğunu belirten dıĢtan destekleme anlaĢmasında belirli ve uygulanabilir Ģartlar

Denetim eriĢim haklarının, hem iç denetim elemanları hem de hizmet sağlayıcının denetimleri yapan üçüncü tarafları kapsar biçimde anlaĢmada var olması

Hizmet sağlayıcısının SLA Ģartları ile uyum içinde olup olmadığının izlemesini gerektiren ve kontrollerdeki herhangi bir hatayı rapor etmesini gerektiren hükümler

SLA Ģartlarında performans izleme usullerinin varlığı

Hizmet kullanıcısının güvenlik politikalarına bağlılık

Hizmet kullanıcısının, emniyeti suiistimal sigorta düzenlemelerinin yeterliği

Anahtar görevler arasında görev ayrımını kapsayan, hizmet kullanıcısının personel politikaları ve usullerinin yeterliği,

Üçüncü Ģahıslar ve taĢeron kullanımı için ve SLA performansının izlenmesi için hizmet sağlayıcının politikalarının ve usullerin yeterliği

Hizmet sağlayıcısının bir yıkım/çökme durumunda iĢlemlere devam edebilme yeteneğinin yeterliliği

4.3 DıĢarıdan Sağlanan Hizmetlerin Yönetimi 4.3.1 BS Denetçisi, aĢağıdakilerden emin olmalıdır:

SLA Ģartlarına uygunluğu izlemede kullanılan bilgiyi üretmek için iĢ süreci uygun biçimde kontrol edilmiĢ olmalıdır. Hizmet kullanıcısı ya standart hizmet seviye uyum bilgisini kabul etmelidir veya hizmet sağlayıcısı tarafından kabul edilmiĢ ek rapor gereksinimini eklemiĢ olmalıdır.

Hizmet kullanıcısı, SLA gereklerinin karĢılanmadığı durumlarda çözüm aramıĢtır ve üzerinde anlaĢılan hizmet seviyesine ulaĢmak için düzeltici etkinlikler göz önünde bulundurulmuĢtur.

Hizmet kullanıcısı, sağlanan hizmetlerin incelenmesi ve izlenmesi konusunda kapasite ve yeteneğe sahiptir.

4.4 Kapsamın Sınırlandırmaları 4.4.1 BS Denetçisi, hizmet sağlayıcısının BS Denetçisiyle iĢbirliği yapmak istemediğinin kanıtlandığı durumlarda, sorunu hizmet

kullanıcısı yönetimine rapor etmelidir. Bu, hizmet sağlayıcı tarafından taĢerona verilen ve denetim hakkı olmayan üçüncü taraflara yaptırılan iĢlemleri de içerebilir.

5 RAPORLAMA 5.1 Raporun Verilmesi ve Rapor Üzerinde AnlaĢma 5.1.1 BS Denetçisi, denetim iĢi bitince hizmet kullanıcısına uygun bir biçimde rapor vermelidir. 5.1.2 BS Denetçisi, raporu, yayınlanmadan önce hizmet sağlayıcı ile görüĢmeyi göz önünde bulundurmalıdır, fakat BS Denetçisi

nihai raporun hizmet sağlayıcısına verilmesinden sorumlu değildir. Eğer hizmet sağlayıcı bir kopya alacaksa bu, hizmet kullanıcısının yönetiminden gelmelidir.

38

G4 BS Faaliyetlerinin Diğer Kurumlara DıĢ kaynaktan Sağlanması (Devam) 5.1.3 Rapor, BS Denetçisi veya hizmet kullanıcısı yönetiminin anlaĢtığı biçimde dağıtım sınırlandırmalarını belirtmelidir. Örneğin,

hizmet sağlayıcı, BS Denetçisinin kurumunun ve hizmet kullanıcısının izni olmaksızın diğer kullanıcılara raporun kopyasını veremez. BS Denetçisi üçüncü taraflara sorumluluğu hariç tutan bir ifadeyi de göz önünde bulundurmalıdır.

5.2 Kapsam Sınırlandırmalarının Raporlanması 5.2.1 Denetim raporu, denetim eriĢim haklarının reddedildiği, kapsam üzerindeki bir sınırlandırmayı açık bir biçimde tanımlamalıdır

ve bu sınırlandırmanın etkisini denetimle ilgili bir biçimde açıklamalıdır. 6 DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ 6.1 Önceki Denetimlerin Etkileri 6.1.1 BS Denetçisi, denetim hizmet kullanıcının kendi ortamında gerçekleĢtirilmiĢ gibi, hem hizmet kullanıcıdan hem de hizmet

sağlayıcıdan önceki bulgularla, sonuç ve önerilerle ilgili bilgi istemelidir. BS Denetçisi, hizmet sağlayıcı tarafından düzeltici faaliyetlerin zamanında uygulanıp uygulanmadığına karar vermelidir.

7 YÜRÜRLÜK TARĠHĠ 7.1 Bu rehber bütün BS Denetimlerinde, 1 Eylül 1999 tarihinden itibaren etkindir. Rehber incelenmiĢ ve güncellenmiĢtir, geçerlilik

tarihi 1 Mayıs 2008‘dir.

39

G5 Denetim Yönetmeliği 1 ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S1 Denetim Yönetmeliği Standardı: ―BiliĢim sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,

sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde belgelenmelidir.‖ ġeklinde ifade eder.

1.2 COBIT Bağlantısı 1.2.1 ME 4.7 Bağımsız Güvence bildirimi: ―Kurula zamanında, BT ile uyum hakkında, politikalarıyla, standartlarıyla ve

usulleriyle ve genel olarak kabul edilmiĢ uygulamalarıyla bağımsız güvence veriniz‖. ġeklinde ifade eder. 1.2.2 ME 2.5 Ġç Kontrollerin Güvencesi bildirimi: ―Gerektiğinde, üçüncü taraf incelemeleri yoluyla iç kontroller üzerinde

etkililik ve tamamlanma ile ilgili ileri derecede güvence elde edilmelidir‖. ġeklinde ifade eder. 1.3 Rehber Gereksinimi 1.3.1 Bu Rehberin amacı BS Denetçisine, BS Denetim iĢlevinin yetkisi ve sorumluluğunu belirlemek amacıyla bir denetim

yönetmeliği hazırlamada yardım etmektir. Bu rehber asıl olarak iç BS Denetim iĢlevine yönelik olarak hazırlanmıĢtır, fakat diğer durumlar için de diğer yönler göz önünde bulundurulmalıdır.

1.3.2 Bu rehber BS Denetim standartlarını uygulamada yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartların uygulanmasının nasıl olacağını belirlemede bunu göz önünde bulundurmalıdır ve uygulanmasında mesleki hükümlerini kullanmalıdır ve herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.

2 DENETĠM YÖNETMELĠĞĠ 2.1 Yetki 2.1.1 BS Denetçisi, BS Denetim iĢlevini gerçekleĢtirmek için açıkça belli bir yetkiye sahip olmalıdır. Bu yetki resmi olarak kabul

edilmiĢ olan bir denetim yönetmeliğinde belgelenmiĢ olmalıdır. Bir denetim yönetmeliğinin var olduğu durumlarda, BS Denetimi yetkisi kapsanmıĢ olmalıdır.

2.2 Denetim Yönetmeliğinin Kapsamı 2.2.1 Denetim Yönetmeliği, amaç, sorumluluk, yetki ve hesap verilebilirlikten oluĢan dört yöne hitap edebilmelidir. Göz önünde

bulundurulması gereken yönler aĢağıdaki ortaya konmuĢtur: 2.2.2 Amaç:

Rol

Amaçlar/hedefler

Görev anlatımı

Kapsam

Amaçlar 2.2.3 Sorumluluk:

ĠĢleyiĢ ilkeleri

Bağımsızlık

DıĢ denetimle iliĢki

Denetlenen gereksinimleri

Kritik baĢarı faktörleri

Anahtar performans göstergeleri

Risk Analizi

Diğer performans göstergeleri 2.2.4 Yetki:

Denetim yürütülmesiyle ilgili i bilgiye, personele, yerlere ve sistemlere eriĢim hakkı

Kapsam veya herhangi kapsam sınırlandırmaları

Denetlenecek iĢlevler

Denetlenenin beklentileri

Üst yönetime ve kurula rapor etme yolları, kurumsal yapı

BS Denetim personeli derecelendirmesi 2.2.5 Hesap Verilebilirlik

Üst yönetime raporların iletileceği hat,

Görev performans değerlemesi

Personel/kariyer geliĢimi

Denetlenen hakları

Bağımsız kalite gözden geçirmeleri

40

G5 Denetim Yönetmeliği(Devam)

Standartlara uyum değerlendirmesi

Performans ve iĢlevlerin kıyaslanması

Denetim planının tamamlanmasının değerlendirilmesi

Bütçenin gerçek maliyetlerle karĢılaĢtırılması

Fikir birliğine varılan etkinlikler, örneğin, herhangi bir tarafın sorumluluklarını yerine getirmeme yaptırımları

2.3 Denetlenenle ĠletiĢim 2.3.1 Denetlenenle etkili iletiĢim Ģunları içerir:

Hizmetin, kapsam, eriĢebilirlik ve zamanında teslimi tanımlamak

Olanaklıysa maliyet ve bütçe tahminlerinde bulunmak

Sorunları ve muhtemel çözümlerini tanımlamak

Etkili iletiĢim için yeterli ve hazır eriĢim araçlarının sağlanması

Denetlenenin gereksinimleri ve sağlanan hizmet arasındaki iliĢkiyi tanımlamak 2.3.2 Denetim yönetmeliği denetlenenlerle sağlam bir temel oluĢturur ve aĢağıdakine benzer noktalarda hizmet derecesine

göndermeler içermelidir:

PlanlanmamıĢ iĢ için eriĢebilirlik

Raporların teslimi

Maliyetler

Denetlenen Ģikâyetlerine yanıt

Hizmet niteliği

Performans incelemesi

Denetlenenlerle iletiĢim

Gereksinimlerin değerlendirilmesi

Kontrol riski öz-değerlendirmesi

Denetimler sözleĢmesinin üzerinde uzlaĢma

Raporlama süreci

Bulgular üzerinde görüĢ birliği 2.4 Kalite Güvence Süreci 2.4.1 BS Denetçisi, denetimlerle ilgili denetlenenlerin gereksinimlerini ve beklentilerini anlamak için bir kalite güvence süreci

oluĢturmayı düĢünmelidir (görüĢmeler, müĢteri memnuniyet araĢtırmaları, görev performans araĢtırmaları vb gibi). Bu gereksinimler, gerektiğinde hizmeti geliĢtirmek, hizmet veriliĢ yöntemini değiĢtirmek veya denetim yönetmeliğini değiĢtirmek amacıyla yönetmelik bağlamında karĢı değerlendirilmelidir.

3. HĠZMET SÖZLEġMESĠ 3.1 Amaç 3.1.1 AnlaĢma mektupları sıklıkla bireysel görevler için veya dıĢ bir BS Denetimi ile bir kurum arasındaki iliĢkinin kapsam ve

amaçlarını ortaya koymak için kullanılırlar. 3.2 Ġçerik 3.2.1 AnlaĢma mektubu açık bir biçimde üç bileĢene, sorumluluk, yetki ve hesap verilebilirliğe gönderme yapmalıdır. Göz önünde

bulundurulması gereken noktalar aĢağıda ortaya konmuĢtur: 3.2.2 Sorumluluk

Kapsam

Amaçlar

Bağımsızlık

Risk Analizi

Belli denetlenen gereksinimleri

Çıktılar 3.2.3 Yetki

Denetimlerin yürütülmesiyle ilgili bilgiye, personele, yerlere ve sistemlere eriĢim hakkı

Kapsam veya herhangi kapsam sınırlandırmaları

ĠĢin Ģartları ve maddeleri üzerinde anlaĢıldığına dair gösterge

41

G5 Denetim Yönetmeliği(Devam) 3.2.4 Hesap Verilebilirlik

Raporların verileceği hedef kitle

Denetlenen hakları

Kalite incelemeleri

Üzerinde uzlaĢılmıĢ tamamlanma tarihleri

Uygun ise üzerinde uzlaĢılmıĢ bütçeler/ücretler 4 YÜRÜRLÜK TARĠHĠ 4.1 Bu rehber, bütün BS Denetimlerinde 1 Eylül 1999 tarihinden itibaren geçerlidir. Rehber incelenmiĢ ve güncellenmiĢtir,

yürürlük tarihi 1 ġubat 2008‘dir.

42

G6 Bilgi Sistemleri Denetiminde Önemlilik Kavramları 1. ARKA PLAN 1.1 Standartlarla Bağlantı 2 S5 Planlama Standardı, ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve

yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır. ġeklinde ifade eder. 2.1.1 S10 BT YönetiĢimi Standardı: ―BS Denetçisi, yasal, çevresel ve bilgi niteliği ve güvenlik ve emniyet gereksinimlerine

uygunluğunu denetimi ve değerlendirmelidir.‖Ģeklinde ifade eder.. 2.1.2 S12 Denetim Gerekliliği Standardı: ―BS Denetçisi, denetim usullerinin sınırı, doğası ve zamanlaması belirlenirken

denetimin önemliliği ve bunun denetim riskiyle iliĢkisini göz önünde bulundurmalıdır. BS Denetçisi, kontrollerin olmaması veya zayıf olması ihtimalini veya kontrollerin olmamasının veya zayıflığının bilgi sistemlerinde önemli hatalara veya ciddi zayıflıklara yol açıp açmadığını dikkate almalıdır. BS Denetçisi, küçük kontrol hataların ve kontrollerin olmaması veya zayıf olmasının toplam etkisini bilgi sistemlerinde önemli hata veya ciddi zayıflıklara dönüĢüp dönüĢmediğini dikkate almalıdır. Ģeklinde ifade eder.

2.1.3. S9 Aykırılıklar ve YasadıĢı Hareketler Standardı:: ―Eğer BS Denetçisi, somut bir aykırılık veya yasadıĢılık belirlemiĢse veya somut bir aykırılık ya da yasadıĢılık olması ihtimali bilgisini edinmiĢse, bu meseleleri yönetimin uygun kademesine zamanında bildirmelidir. Ģeklinde ifade eder.. 1.2. COBIT Bağlantısı 1.2.1. PO5 BT Yatırımının Yönetilmesi: Etkili ve etken BT yatırım ve portfolyo kararlarına odaklanarak son kullanıcının

beklentilerini tatmin edecek standartlaĢmıĢ ve bütünleĢmiĢ hizmetler ile iĢ karlılığına BT‘nin düĢük maliyet ve katkılarıyla sürekli ve açık bir BT geliĢmesini, BT stratejileri ve yatırım kararlarıyla uyumlu BT bütçesinin oluĢturulması ve izlenmesiyle iĢ gereksinimlerinin giderilmesini sağlar.

1.2.2. AI1 Otomatik Çözümlerin Tanımlanması: Teknik olarak yapılabilirliği olan ve maliyet-etkin çözümleri tanımlanmasına odaklanarak iĢ birimlerinin ve kontrol gereksinimlerini etkili ve etken otomatik çözümlerin tasarlanarak dönüĢtürülmesini ve iĢ gereksinimlerinin giderilmesini sağlar.

1.2.3. DS 10 Sorun yönetimi, hizmet seviyesi ve hizmet sunumuyla ilgili BT son kullanıcısının memnuniyetinin sağlanması için iĢ gereksinimleri, hizmet sunumu hatalarının tespiti ve azaltılması, kaydedilen, izlenen ve çözümlenen operasyonel sorunların yeniden çalıĢtırılması, önemli tüm sorunların temel sebeplerinin soruĢturulması, tanımlanan operasyonel problemlerin çözümlerinin tanımlanmasını sağlar.

1.2.4. DS13 Operasyonların Yönetimi , BT altyapısının sağlanması ve veri bütünlüğünün korunmasını için iĢ gereksinimlerine, planlanmıĢ veri süreci için operasyonel hizmet seviyelerinin karĢılanmasına odaklanarak hata ve baĢarısızlıkların giderilmesi ve engellenebilmesini, hassas çıktıların korunmasını, altyapının izlenmesini ve korunmasını sağlar.

1.2.5. ME4 BT yönetiĢimi , ―Kurumsal yönetiĢim hedefleriyle BT yönetiĢiminin entegrasyonu için iĢ gereksinimlerini, BT stratejileri konusundaki hazırlanan yönetim kurulu raporlarına odaklanarak kanun ve düzenlemeler ile uyumun baĢarılması, gerçekleĢtirme ve riskler ve yönetim kurulunun talimatları doğrultusunda yönetiĢim gereksinimlerine verilecek cevabı sağlar‖.

1.2.6. Belli bir denetimin kapsamına uyarlanabilir en uygun COBIT materyalinin seçimi belli COBIT BT sürecinin seçilmesine ve COBIT‘in kontrol hedeflerinin ve ilgili yönetim uygulamalarının göz önünde bulundurulmasına dayanır. BS Denetçisince, tarafından bilgi sistemlerinin denetlenmesinde önemlilik kavramını karĢılamak için COBIT süreciyle en ilgili olabilecek seçilip, aĢağıda uyarlanmıĢ biçimde birincil ve ikincil olarak sınıflandırılmaları beklenir. Seçilecek ve uyarlanacak süreç ve kontrol amaçları, görevin kapsamına ve sözleĢme Ģartlarına bağlı olarak değiĢebilir.

1.2.7 Ġkincil kaynaklar:

PO8 Kalite yönetimi

PO9 BT risklerinin değerlendirilmesi ve yönetimi

AI2 Uygulama yazılımının edinilmesi ve sürdürülmesi

AI3 Teknoloji altyapısının edinilmesi ve sürdürülmesi

AI4 ĠĢletim ve kullanımın sağlanması

AI5 BT kaynakları sağlamak

AI6 DeğiĢiklikleri yönetme

DS3 Performans ve kapasite yönetimi

DS5 Sistem güvenliğini sağlama

DS9 Konfigürasyon yönetimi

ME1 BT performansını izleme ve değerlendirme

ME2 Ġç kontrolleri izleme ve değerlendirme 1.2.8 Denetim gerekliliğiyle en ilgili bilgi kıstasları:

Birincil: Gizlilik, bütünlük, uyum, güvenilirlik

Ġkincil: Etkililik, verimlilik, eriĢebilirlik 2. REHBER GEREKSĠNĠMĠ 2.1 Mali Denetimlere KarĢı BS Denetimi 2.1.1 Mali denetçilerin aksine, BS Denetçileri önemliliği ölçmek için farklı bir ölçme aracına gerek duyarlar. Mali denetçiler,

gerekliliği parasal terimlerle ölçerler çünkü denetledikleri Ģey parasal terimlerle de ölçülür ve raporlanır. BS Denetçileri mali olmayan nesneleri ölçerler, örneğin fiziki eriĢim kontrolü, sanal eriĢim kontrolü, program değiĢim kontrolleri ve

43

G6 Bilgi Sistemleri Denetiminde Önemlilik Kavramları (Devam)

personel yönetim sistemleri, üretim kontrolleri, tasarım, kalite kontrolü, Ģifre üretimi, kredi kartı üretimi ve hasta bakımı gibi. Bu yüzden, BS denetçiler, herhangi bir hatanın yada tespit edilen zayıflığı nasıl değerlendireceği, yüksek riskli alanlara nasıl çalıĢmasını yoğunlaĢtıracağı, denetimini etkinleĢtirmeyi planlamak için önemliliği nasıl değerlendireceği konusunda bir rehbere ihtiyaç duyabilir.

2.1.2 Bu rehber, denetim gerekliliğiyle ilgili BS Denetim standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartlara nasıl ulaĢılacağını belirlerken bunu göz önünde bulundurmalıdır, uygulamasında mesleki yargı kullanmalı ve herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.

3. PLANLAMA 3.1 Önemliliğin Değerlendirilmesi 3.1.1 Neyin önemli olduğunun değerlendirilmesi mesleki bir yargı konusudur ve denetlenen alanda bir kontrol zayıflığı sonucu

ortaya çıkabilecek bir hata, ihmal, aykırılık ve yasadıĢı hareket olduğunda kurumun iĢ hedeflerinin karĢılanmasında kurumsal potansiyel etki ve etkinin değerlendirilmesi kapsar.

3.1.2 BS Denetçisi, önemliliği değerlendirirken göz önüne alacağı noktalar:

BS Denetçisi, ilgili düzenleyici kurumlar ve diğer paydaĢlarca ve yönetimce kabul edilebilir toplam hata seviyesi,

Küçük hatalar veya zayıflıkların toplam muhtemel etkisi ve önemli hale gelmesi, 3.1.3 BS Denetçisi, denetim hedeflerini baĢarmak için, risk tolerans oranına dayalı olarak ilgili kontrol amaçlarını tanımlamalı ve

neyin kontrol edileceğini belirlemelidir. Önemli kontrol, belirli kontrol hederlerini göz önüne alan bir bu kontrol olmadan kontrol usulleri, kontrol amaçlarının karĢılanacağına dair makul güvence verilemeyen bir kontrol veya bir kontroller grubudur.

3.1.4 BS Denetçisi,, amacının mali iĢlemlerle ilgili olduğu durumlarda mali denetçinin önemlilik ölçüsü BS Denetimi yapılırken göz önünde bulundurulmalıdır.

3.1.5 BS Denetçisi, gizlilik, eriĢebilirlik ve bütünlük açısından bilgilerin sınıflandırılmasını ve ayrıcalık yönetiminde eriĢim kontrol kurallarını ve kritik olma ve riske maruz kalma derecesine dayalı olarak bilgilerin sınıflandırılmasında rol, sorumlulukları belirlemelidir. Değerlendirme Ģunların doğrulanmasını içermelidir:

Depolanan bilgi

BS donanımı

BS mimarisi ve yazılımı

BS ağ altyapısı

BS iĢlemleri

GeliĢme ve test ortamı 3.1.6 BS Denetçisi, BT genel bozukluğunun potansiyel olarak önemli hale dönüĢüp dönüĢmeyeceğini belirlemelidir. Bu tür bozuk

BT genel kontrollerinin önemi uygulama kontrolleri üzerindeki etkileriyle ölçülmelidir, yani bütünleĢik uygulama kontrollerinin etkisiz olup olmadığı. Eğer uygulama bozukluğuna BT genel kontrolü sebep olmuyor ise; o zaman önemlidir. Örneğin, eğer uygulamaya dayalı bir vergi hesabı somut olarak yanlıĢsa ve vergi tablolarında zayıf değiĢim kontrolü yüzünden ortaya çıkmıĢsa o zaman uygulamaya dayalı kontrol (hesaplama) ve genel kontroller (değiĢiklikler) somut olarak zayıftır.

3.1.7 BS Denetçisi, BT genel kontrol zaaflarını bu zaafların uygulama kontrollerine ve toplamda diğer kontrol zaaflarına olan etkisiyle değerlendirmelidir. Örneğin, yönetimin genel bir BT kontrol zaafıyla iliĢkili olarak kontrol ortamına yansımıĢ zaafları gidermeme kararı, diğer kontrol hataları kontrol ortamını etkilediği zaman diğer zayıflıklar sonucunda daha önemli hale getirebilir.

3.1.8 BS Denetçisi, önemli olabilecek bir hatayı düzeltmede baĢarısızlığın da önemli duruma geleceğini unutmamalıdır. 3.1.9 BS Denetçisi, uygun paydaĢlardan, var olan önemli zaafı öğrendiklerine ve kurum içerisinde bunun farkında olduklarını

belirten imzalı yazı almayı göz önünde bulundurmalıdır. 3.1.10 AĢağıdaki örnekler, önemliliği değerlendirmede ölçütler olarak düĢünülmelidir :

ĠĢ sürecinin, sistem veya iĢlem tarafından desteklenen kritikliği

Bilgi veritabanlarının sistem veya iĢlem tarafından desteklenen kritikliği

GeliĢtirilen uygulamanın çeĢidi ve sayısı

Bilgi sistemlerini kullananların sayısı

Ayrıcalıklar tarafından sınıflandırılan bilgi sistemleriyle çalıĢan müdürlerin sayısı

Sistem veya iĢlem tarafından desteklenen ağ iletiĢiminin kritikliği

Sistem veya iĢlem maliyeti (donanım, yazılım, personel, üçüncü Ģahıs hizmetleri, iĢletme giderleri veya bunların bileĢimi)

Hataların potansiyel maliyeti (muhtemelen kayıp satıĢlar anlamında, garanti istekleri, karĢı koyulamaz geliĢme maliyetleri, uyarılar için bildirim maliyeti, düzeltme maliyetleri, sağlık ve güvenlik maliyetleri, yüksek üretim maliyetleri, yüksek israf, vb)

Kritik ve zorunlu bilginin kaybedilmesinin doğuracağı parasal zarar ve yeniden üretme maliyeti

KarĢı önlemlerin etkililiği

44

G6 Bilgi Sistemleri Denetiminde Önemlilik Kavramları (Devam)

EriĢimlerin/iĢlemlerin/sorguların dönem baĢına sayısı

Hazırlanan raporların doğası, zamanlaması ve sınırı ve saklanan dosyalar

ĠĢlem gören materyallerin miktarı ve doğası (örneğin envanter hareketleri değerler olmaksızın kaydedilmiĢ)

Malzemelerin doğası ve miktarı(örnek: değerler olmadan envanterlerin taĢınması kaydedilmektedir.)

Hizmet seviyesi anlaĢma seviyesi ve potansiyel cezaların maliyeti

Hukuki, yönetmeliklerle ve sözleĢmelerle ilgili gerekliliklere uyumla ilgili cezalar

Hukuki, yönetmeliklerle ve sözleĢmelerle ilgili gerekliliklere uyumla ilgili cezalar 3.1.11 Kontrol baĢarısızlıkları, muhtemelen Ģirket saygınlığının yanında para kaybına, rekabet konumunda geri düĢmeye, güven

kaybına veya itibar kaybına yol açabilir. BS Denetçisi, risklere karĢı muhtemel önlemleri değerlendirmelidir. 4. RAPORLAMA 4.1 Raporlanabilir Konuların Tanımlanması 4.1.1 BS Denetçisi, bulguları, sonuçları ve rapor edilecek önerileri belirlerken hem bulunan hataların önemliliği hem de kontrol

zayıflığından kaynaklanabilecek hataların muhtemel önemliliğini göz önünde bulundurmalıdır. 4.1.2 Denetimin, yönetim tarafından BS kontrolleri ile ilgili güvence ifadesi elde etmek için kullanıldığı yerlerde, kontrollerin

yeterliliği üzerinde nitelikli olmayan bir fikir, yerindeki kontrollerin genel olarak kabul edilen kontrollerle uyum içerisinde olduğu, önemli kontrol zayıflıklarının bulunmadığı anlamına gelmelidir

4.1.3 Eğer kontrol sonuçlarının olmayıĢı kontrol amaçlarının karĢılanacağına dair makul güvence sağlamıyorsa, önemli ve raporlanabilir. bir kontrol zayıflığı olarak değerlendirilmelidir. BS Denetçisi, eğer denetiminde önemli bir kontrol zayıflığını tanımlarsa, denetim amacıyla ilgili olarak destekleyici ya da karĢıt bir görüĢ sunmalıdır.

4.1.4 BS Denetçisi, denetimin amaçlarına bağlı olarak önemli olmayan zayıflıkları, özellikle kontrolleri güçlendirme maliyetleri düĢükse yönetime rapor etmeyi düĢünmelidir.

5. YÜRÜRLÜK TARĠHĠ 5.1 Bu rehber bütün BS Denetimlerinde 1 Eylül 1999 tarihinden itibaren yürürlüktedir. Rehber incelenmiĢ ve güncellenmiĢtir,

yürürlük tarihi 1 Mayıs 2008‘dir.

45

G7 Mesleki Özen Beklentisi 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S3 Mesleki Etik ve Standardı: ―BS Denetçisi, denetim yaparken ISACA Meslek Etik Kurallarına bağlı kalmalıdır.‖.

Ģeklinde ifade eder. 1.1.2 S3 Mesleki Etik ve Standardı:―BS Denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını

gözeterek gereken mesleki özeni göstermelidir. ġeklinde ifade eder.. 1.1.3 S2 Bağımsızlık Standardı :Denetimle ilgili bütün konularda, BS Denetçisi hem tavır hem de görünüĢ olarak denetlenen

kurumdan bağımsız olmalıdır.‖Ģeklinde ifade eder. 1.1.4 S4 Mesleki Yeterlilik Standardı: ―.BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki

açıdan yeterli olmalıdır. BS Denetçisi, sürekli mesleki eğitim almak suretiyle mesleki yeterliğini devam ettirmek durumundadır.‖ Ģeklinde ifade eder.

1.1.5 BS Denetçisi ek yol göstericilik için yukarıdaki standartların yorum bölümlerine baĢvurmalıdır. 1.2 COBIT Bağlantısı 1.2.1 PO6 Amaçların ve yönün yönetime iletilmesi , doğru, anlaĢılır ve onaylanmıĢ politikalar, usuller, rehberler ve BT kontrol

çerçevesinde yer alan paydaĢlara diğer belgelere odaklanarak mevcut ve gelecekteki BT hizmetleri, ilgili riskler ve sorumlulukları konusunda doğru ve zamanlı bilgi için BT‘nin iĢ gereksinimlerini sağlar.

1.2.2 PO7 BT insan kaynakları yönetimi , BT hizmetlerinin, hizmetleri oluĢturacak ve sunacak güdülenmiĢ ve uzman kiĢiler için personelin iĢe alarak ve eğiterek, doğru bir kariyer yoluyla teĢvik ederek, yetenekleriyle örtüĢen roller vererek, tanımlanmıĢ bir inceleme süreci oluĢturarak, görev tanımları yaratarak ve kiĢisel bağımlılıkların farkındalığının sağlanmasına odaklanarak iĢ gereksinimlerinin giderilmesini sağlar.

1.2.3 PO9 BT risklerini değerlendirme ve yönetimi, iĢ ve operasyonel risk yönetim çerçevesi, risk değerlendirme, risklerin azaltılması ve kalıtsal risklerin iletilmesinin entegre eden bir risk yönetimi çerçevesinin geliĢtirilmesi konusuna odaklanarak, BT risklerinin ve bunların iĢ süreçlerine muhtemel etkilerinin analizi ve iletiĢimi için gereken BT‘lerin iĢ gereksinimlerini karĢılanmasını sağlar.

1.2.4 ME3 DıĢ gerekliliklerle uyumluluğun sağlanması , bütün yürürlükteki kanunlar ve sözleĢmeler, BT uyumunun seviyesinin sağlanması, uyumsuzluk riskini azaltacak BT süreçlerinin optimizasyonun tanımlanmasına odaklanarak BT‘nin yasa, yönetmelik ve sözleĢmelerden doğan yükümlülüklerinin yerine getirilmesi için iĢ gereksinimlerini sağlar.

1.2.5. ME4 BT YönetiĢimini Sağlama,, ―Kurumsal yönetiĢim hedefleriyle BT yönetiĢiminin entegrasyonu için iĢ Gereksinimlerini, BT stratejileri konusundaki hazırlanan yönetim kurulu raporlarına odaklanarak kanun ve düzenlemeler ile uyumun baĢarılması, gerçekleĢtirme ve riskler ve yönetim kurulunun talimatları doğrultusunda yönetiĢim gereksinimlerine verilecek cevabı sağlar‖.

1.2.6 Ġkincil Kaynaklar:

PO1 Stratejik bir BT planı tanımlama

PO5 BT yatırımını yönetimi


PO10 Projeleri yönetimi

AI1 Otomatik çözümleri tanımlama

AI6 DeğiĢiklik yönetimi


DS7 Kullanıcı eğitimi ve yetiĢtirilmesi


DS10 Sorun yönetimi 1.2.7 En çok ilgili olan bilgi kıstasları Ģunlardır:

Birincil: Güvenilirlik, gizlilik, bütünlük, uyum ve etkililik

Ġkincil: Etkenlik ve eriĢilebilirlik 1.3 Rehber Gereksinimi 1.3.1 Bu Rehberin amacı, S3 BS Denetim Standardıyla uyumlu bir denetimin gerçekleĢtirilmesinde uygulanması gereken ―mesleki

özen beklentisi ―kavramını açıklamaktır. 1.3.2 ISACA üyeleri ve sertifika sahiplerinden, ISACA Meslek Etik Kurallarına uymaları beklenir; gerekirse uymayanlar hakkında

yasal iĢlem yapılması ve sonucunda disiplin yaptırımı uygulanması gerekebilir. 1.3.3 Bu rehber, kiĢisel ve mesleki özenle görevlerin yürütülmesi konusunda BS Denetim Standartlarına ve ISACA Meslek Etik

Kurallarına uyumda beklenen dikkatin ve mesleki özenin gösterilmesinde yol göstericilik sağlar. 2. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 2.1 Gereken Mesleki Özen 2.1.1 Beklenen mesleki özen standardı, belirli durumlarda yetkin ve basiretli bir uzmanın uygulayacağı seviyedir. Beklenen mesleki

özen, BS Denetimi gibi özel bir beceriyi uygulayan bir bireysellik gerektirir. Beklenen mesleki özen, bu özellikleri uygulayan kiĢilerin genelde sahip oldukları becerilerin kullanılmasını gerektirir.

2.1.2 Beklenen mesleki özen, yapılan iĢ sırasında mesleki hüküm verme becerilerinin kullanılmasına iĢaret eder. Beklenen mesleki özen, gereken dikkatle mesleki hüküm verme becerilerinin kullanılmasını ifade eder.

2.1.3 Beklenen mesleki özen, denetimin her aĢamasına, denetim riskinin değerlendirilmesi, denetim görevlerinin kabulü, denetim amaçlarının belirlenmesi, denetim kapsamının oluĢturulması, denetimin planlanması, denetimin uygulanması, kaynakların denetime dağılımı, denetim testlerinin seçilmesi, test sonuçlarının değerlendirilmesi, sonuçlara varılması, denetim sonuçlarının raporlanması ve teslimi kapsamalıdır. Bunları yaparken BS Denetçisi aĢağıdakileri belirlemeli ve değerlendirmelidir:

46

G7 Mesleki Özen Beklentisi(Devam)

Denetim amaçlarını karĢılaması için gereken denetim kaynaklarının çeĢidi, seviyesi, beceri sınıfı ve yeterliliği

TanımlanmıĢ risklerin önemi ve bu risklerin denetim üzerindeki muhtemel etkileri

Toplanan denetim kanıtı

BS Denetçisinin çalıĢmalarına güvendiği diğer kiĢilerin yeterlilik, bütünlük ve sonuçlarına güvenmesi, 2.1.4 BS Denetçisi, BT görevinin yürütülmesiyle ilgili bütün noktalarda bağımsız ve tarafsız bir tutum sergilemelidir. Denetçi,

denetim konularında ve sonuçlara varmada dürüst, tarafsız ve ön yargısız görünmelidir. 2.1.5 BS Denetçisi, mesleki standartlarla, yasal emredici zorunluluklar ve düzenlemelerle uyum içerisinde denetimini, dikkatle

yürütmelidir. BS Denetçisi, BS Denetim görevinin BS Denetim standartları, diğer mesleki ve endüstri standartları ile uyum içerisinde tamamlanacağına ve mesleki bir fikir vereceğine dair makul bir beklenti içinde olmalıdır. BS Denetçisi, herhangi bir uyumsuzluk durumunu, denetim sonuçlarını duyururken tutarlı bir biçimde açıklamalıdır.

2.1.6 BS Denetçisinin, yönetimin kendi sorumluluklarını ve yükümlülüklerini anladığına ve denetim sırasında gereken kiĢilerle iĢbirliğini sağlayacağına ve gereken bilgilerin vereceğine dair bir güvencesi olmalıdır.

2.1.7 BS Denetçisi, paydaĢların çıkarlarını gözetirken hukuki ve dürüst bir tavır içinde olmalıdır ve yüksek standartta bir kiĢilik sergilemeli ve mesleki profesyonellikle uygunsuz düĢecek herhangi bir duruma düĢmemelidir.

2.1.8 BS Denetçisi, görevi sırasında, yasal makamlarca istenmedikçe elde ettiği bilgilerin mahremiyetini ve gizliliğini sağlamalıdır.Bu bilgileri, kiĢisel çıkarlar için kullanılmamalı veya uygunsuz kiĢilere açıklamamalıdır..

2.1.9 BS Denetçisi, gerçekleĢtirilen iĢin sonuçlarını uygun kiĢilere duyururken gereken mesleki özeni göstermelidir. 2.1.10 Denetim raporunun verileceği kiĢilerin beklentisi, BS Denetçisinin, denetim boyunca gereken mesleki özeni göstermiĢ

olmasıdır. BS Denetçisi, yeterli beceri, bilgi ve diğer kaynaklar olmadıkça bir profesyonelden beklenen bir biçimde, ilgili görevi kabul etmemelidir.

3. YÜRÜRLÜK TARĠHĠ 3.1 Bu rehber bütün BS Denetimleri için 1 Eylül 1999 tarihinden itibaren etkindir. Rehber incelenmiĢ ve güncellenmiĢtir, geçerlilik

tarihi 1 Mart 2008‘dir.

47

G8 Denetimin Kanıtlarının Belgelendirilmesi 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S5 Planlama Standardı:BS Denetçisi, denetimin doğasını ve hedefleri, zamanlaması ve kapsam ve hedeflerini ve

gerekli kaynakların ayrıntılarını listeleyen denetim planını geliĢtirmeli ve belgelendirmelidir.‖Ģeklinde ifade eder. 1.1.2 S6 Denetim ĠĢinin Yürütülmesi Standardı: Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için

gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.Denetim süreci, yapılan denetimi ve BS Denetçisinin bulgu ve sonuçlarını destekleyen denetim kanıtını gösterir bir biçimde dosyalanmak zorundadır.‖ Ģeklinde ifade eder.

1.1.3 S7 Raporlama Standardı:BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır. Denetim raporu, yürütülen denetim iĢinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve sınırlarını ortaya koymalıdır. Rapor, BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini, sahip olduğu çekincelerini, niteliklerini veya sınırlandırmalarını belirtmelidir.‖ Ģeklinde ifade eder.

1.1.4 S12 Denetim Gerekliliği Standardı:‖BS Denetçisinin raporu, yetersiz kontrollerin olması veya kontrollerin olmaması ve kontrol hatalarının önemini ve bu zayıflıklardan kontrol hatalarının ve ciddi zayıflıkların kaynaklanma muhtemellığını açıklamalıdır.‖ Ģeklinde ifade eder.

1.1.5 S13 Diğer Uzmanların ÇalıĢmalarının Kullanımı Standardı: ―BS Denetçisi, diğer uzmanların çalıĢmalarının, BS Denetçisine güncel denetim hedefleri hakkında sonuca varmaya sağlamada yeterli ve tam olup olmadığını saptamalı ve sonuçlandırmalıdır. Varılan sonuç açık bir biçimde belirtilmelidir.‖ Ģeklinde ifade eder.

1.2 COBITT Bağlantısı 1.2.1 PO1 Stratejik BT Planı Tanımlama, ġeffaf ve etkili bir Ģekilde hizmetleri sunmak için iĢ gereksinimlerinin hizmet sunumuna

ve strateji geliĢtirilmesine dönüĢtürülmesinde, iĢ yönetimi ve BT‘nin birleĢtirilmesine odaklanarak çıkarlar, maliyetler ve riskler konusunda Ģeffaflık sağlarken, BT yönetiĢim gereksinimlerini ve iĢ stratejilerinin kapsanması ve sürdürülmesi için iĢ gereksinimlerini karĢılar.

1.2.2 PO8 ―Kalite yönetimi‖ , kalite yönetim sisteminin tanımlanması, önceden tanımlanan hedeflere karĢı performansın sürekli izlenmesi ve BT servislerinin sürekli geliĢtirilmesi için bir program uygulanması konusuna odaklanarak sunulan BT hizmetlerinin kalitesinin sürekli ve ölçümünün geliĢtirilmesi için iĢ gereksinimlerini sağlar.

1.2.3 AI6 DeğiĢiklik yönetimi , etki değerlendirmesinin kontrolü, altyapıda bütün değiĢikliklerin onaylanması ve uygulanması, uygulamalar ve teknik çözümler, istenen özelliklerin eksik olmasından kaynaklı hatalar, yetkisiz değiĢikliklerin uygulamaları durdurması konularına odaklanarak hizmet sunumu hatalarının ve çözümlerinin azaltılarak ve yeniden iĢler hale getirilirken ,iĢ stratejisiyle iĢ gereksinimlerinin uyumunun sağlanmasında BT‘nin iĢ gereksinimlerini sağlar.

1.2.4 DS1 Hizmet belirleme ve yönetimi , hizmet gereksinimlerinin tanımlanmasına, servis seviyesi konusunda anlaĢmaya ve servis seviyelerinin baĢarılmasının izlenmesi konusunda odaklanarak önemli BT hedefleri ile iĢ stratejisinin uyumunun sağlanması için BT iĢ gereksinimlerini sağlar.

1.2.5 ME2 Ġç kontrol izleme ve değerlendirme , BT ile ilgili faaliyetler ve geliĢtirici faaliyetlerin izlenmesine odaklanarak BT hedefleri ve BT ile ilgili yasalar ve düzenlemelerle uyumun baĢarılmasının korunması için BT iĢ gereksinimlerini sağlar.

1.2.6 ME3 Düzenlemelerle uyumu sağlama, bütün yürürlükteki kanunlar ve sözleĢmeler, BT uyumunun seviyesinin sağlanması, uyumsuzluk riskini azaltacak BT süreçlerinin optimizasyonun tanımlanmasına odaklanarak BT‘nin yasa, yönetmelik ve sözleĢmelerden doğan yükümlülüklerinin yerine getirilmesi için iĢ gereksinimlerini sağlar.

1.2.7 En ilgili bilgi kıstasları Ģunlardır:

Birincil: Güvenilirlik, eriĢilebilirlik, verimlilik ve bütünlük

Ġkincil: Etkinlik ve gizlilik 1.3 Rehber Gereksinimi 1.3.1 Bu yönetmeliğin amacı, BS Denetçisinin denetimi desteklemek için hazırlaması gereken belgelendirmeyi tanımlamaktır. 1.3.2 Bu yönetmelik BS Denetim standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartların

uygulanması sırasında bunları göz önünde bulundurmalı ve mesleki yargılarını kullanmalı ve herhangi bir sapmayı gerekçelendirmeye hazırlıklı olmalıdır.

2. PLANLAMA VE PERFORMANS 2.1 Belgelendirmenin Ġçeriği 2.1.1 BS Denetim belgelendirmesi, gerçekleĢtirilen denetim iĢinin bir kaydı ve BS Denetçisinin bulgularını, sonuçlarını ve

önerilerini destekleyen denetim kanıtlarıdır. Denetim belgelendirmesi, tam, açık, yapılandırılmıĢ, dizinlenmiĢ ve inceleyen kiĢinin kolayca kullanıp anlayacağı biçimde olmalıdır. Belgelendirmenin muhtemel kullanımı aĢağıdakileri içerir fakat bunlarla sınırlı değildir:

BS Denetçisinin, BS Denetim Standartlarıyla uyum derecesinin göstergesi

Denetim performansının, her denetim yönetmeliği baĢına gereksinimleri karĢılama göstergesi

Denetimlerin planlama, performans ve incelenmelerinde yardım

Üçüncü kiĢilerin incelemelerinin kolaylaĢtırılması

BS Denetim iĢlevinin kalite güvencesi programının değerlendirilmesi

Sigorta istemleri, yolsuzluk durumları, itirazlar ve hukuki davaların ortaya çıkmasında destek

Personelin mesleki geliĢimi konusunda yardım 2.1.2 Belgelendirme asgari olarak Ģunların kaydını içermelidir:

Önceki denetim belgelendirmelerinin incelenmesi

48

G8 Denetimin Kanıtlarının Belgelendirilmesi (Devamı)

Denetim kapsamı ve amaçların planlanması ve hazırlanması. BS Denetçileri, inceleme konusu olan çevre, satıcı desteği, ürün, iĢ süreci, iĢ alanı ve endüstri konusunda bir anlayıĢa sahip olmalıdır.

Yönetim inceleme toplantılarının, denetim komitesi toplantılarının ve diğer denetimle ilgili toplantıların tutanakları

Denetim hedeflerini gerçekleĢtirecek denetim programı ve denetim usulleri

Kontrollerin zayıflığını veya kuvvetliliğini değerlendirmek için gerçekleĢtirilen denetim basmakları ve toplanan denetim kanıtı

Denetim bulguları, sonuçları ve önerileri

Denetim iĢinin bir sonucu olarak yayınlanan her türlü rapor

Denetim incelemesi

2.1.3 BS Denetçisinin belgelendirme sınırları ilgili denetim gereksinimlerine bağlıdır ve aĢağıdaki gibi noktaları içermelidir:

BS Denetçisinin denetlenecek alanlar ve çevreleri hakkında bilgi sahibi olması

BS Denetçisi, bilgi iĢleme sistemleri ve iç kontrol ortamı hakkında (aĢağıdaki maddeler dahil) bilgi sahibi olması:

Kontrol ortamı

Kontrol usulleri

Risk değerlendirme belirlemesi

Risk değerlendirme kontrolü

Toplam risk eĢitleme

Denetim belgelendirmesinin kaynağı - yazarı - tamamlanma tarihi

Kontrol yeterliliğini değerlendirme yöntemleri, kontrol zayıflığı veya kontrol eksikliği durumunun var olması ve kontrol eksikliği giderme sürecinin tanımlanıĢı

Denetim kanıtı, denetim belgelendirme kaynağı ve tamamlanma tarihi (aĢağıdakiler dahil):

Test politikalarına, usullere ve görev ayrılığına dayalı uyum testleri,

Çözümleyici usullere, ayrıntılı test hesap mutabakatlarının testi ve diğer dayanıklı denetim usullerine dayalı sağlamlık testleri

Ġlgili kiĢiden alınmıĢ denetim raporu ve bulguların alındı belgesi

Denetlenenin önerilere verdiği cevabı

Özellikle belgelendirmenin elektronik ortamda bulunduğu durumlarda sürüm kontrolü 2.1.4 Belgelendirme, kanunen gerekli uygun bilgileri, hükümet düzenlemelerini ve yürürlükteki standartları kapsamalıdır. 2.1.5 Belgelendirme, inceleme ve onay için denetim komitesine verilmelidir

3. BELGELENDĠRME

3.1 Koruma, Belleğe Alma ve Yeniden Kullanma 3.1.1 Politikalar ve usuller, denetim bulgularının ve sonuçlarının yasalara ve kurumun gereksinimlerine uygun bir süre boyunca

korunması ve bellekte tutulmasını sağlayacak biçimde olmalıdır. 3.1.2 Belgelendirme, yukarıda tanımlanan politika ve usullere uyacak biçimde uygun biçimlerde korunmalı ve gerektiğinde yeniden

kullanılabilecek bir biçimde tutulmalıdır.

4. YÜRÜRLÜK TARĠHĠ 4.1. Bu gözden geçirilmiĢ rehber bütün BS Denetimleri için 1 Eylül 1999 tarihinden itibaren etkindir. Rehber incelenmiĢ ve

güncellenmiĢtir, geçerlilik tarihi 1 Mart 2008‘dir.

49

G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S3 Mesleki Etik ve Standardı:―BS Denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını

gözeterek gereken mesleki özeni göstermelidir.‖ Ģeklinde ifade eder. 1.1.2 S5 Planlama Standardı:‖BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve

yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ Ģeklinde ifade eder. 1.1.3 S6 Denetim ĠĢinin Yürütülmesi Standardı ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için

gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖Ģeklinde ifade eder.

1.1.4 S7 Raporlama Standardı: ―BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır. Rapor, kurumu, hedeflenen alıcıları ve dağıtım sınırlamalarını tanımlamalıdır. Denetim raporu, yürütülen denetim iĢinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve sınırlarını ortaya koymalıdır. Rapor, BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini, sahip olduğu çekincelerini, niteliklerini veya sınırlandırmalarını belirtmelidir. ― Ģeklinde ifade eder.

1.1.5 S9 Aykırılıklar ve YasadıĢı Hareketler Standardı, BS Denetçilerinin Aykırılıklar ve YasadıĢı Hareketler ile ilgili gereksinimlerini ve varsayımlarını açıklar.

1.2 COBIT Bağlantısı 1.2.1 Belirli bir denetim kapsamına uygulanacak COBIT‘teki en çok ilgili materyalinin seçilmesine, belirli COBIT BT sürecinin

seçimine ve COBIT kontrol hedefleri ve ilgili yönetim uygulamalarına seçimine dayanır. BS Denetçileri, aykırılıklar ve yasadıĢı hareketlerle ilgili denetim varsayımlarının karĢılanması için COBIT‘teki en ilgili, seçilmiĢ ve uyarlanmıĢ olan en ilgili süreçler burada birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilecek ve uyarlanacak olan süreç ve kontrol amaçları, görevin belirli kapsam ve sözleĢme Ģartlarına bağlı olarak değiĢebilir.

1.2.2 Birincil COBIT kaynakları Ģunlardır:

PO5 BT yatırım yönetimi

PO7 BT insan kaynaklarının yönetimi

PO9 BT riskler analizi ve yönetimi

PO10 Proje yönetimi

AI1 Otomatik çözümlerin tanımlanması

AI5 BT kaynaklarının sağlanması

ME2 İç kontrollerin izlenmesi ve değerlendirilmesi

ME3 Düzenlemelere uyum sağlamak

ME4 BT yönetişimini sağlamak 1.2.3 Ġkincil COBIT kaynakları Ģunlardır:

PO3 Teknolojik yönelimi belirlemek

PO4 BT sürecini, kurum ve iliĢkileri belirlemek


DS7 Kullanıcıların eğitimi ve yetiĢtirilmesi

DS10 Sorun yönetimi

ME1 BT performansının izlenmesi ve değerlendirilmesi 1.2.4 En ilgili COBIT bilgi kıstasları Ģunlardır:

Birincil: Uyum, gizlilik, bütünlük ve eriĢilebilirlik

Ġkincil: Güvenilirlik, verimlilik ve etkililik

1.3 Rehber Gereksinimi 1.3.1 Bu rehberin amacı, BS Denetçilerine denetim görevinin yürütülmesi esnasında karĢılaĢacakları aykırılıklar ve yasadıĢı

faaliyetlerin üstesinden gelmesinde rehberlik sağlamaktır. 1.3.2 S9 Aykırılıklar ve YasadıĢı Hareketler Standardı, BS Denetçilerinin Aykırılıklar ve YasadıĢı Hareketler ile ilgili gereksinimler

ve varsayımlar konularını ayrıntılandırır. Bu rehber, BS Denetim standartlarının uygulanması konusunda yol göstericilik sağlar. BS Denetçisi, önceden tanımlanmıĢ standartların uygulamasının baĢarılması, uygulamada profesyonel mesleki yargının kullanımı ve herhangi bir sapmayı gerekçelendirmeye hazırlıklı olmalıdır.

2. TANIMLAR 2.1 Sahtekârlık Amaçlı Olmayan Aykırılıklar 2.1.1 Bütün aykırılıklar, sahtekârlık olarak düĢünülmemelidir. Sahtekârlık amaçlı faaliyetlerin belirlenmesi denetimle ilgili yasal

tanımlara bağlıdır. Aykırılıklar, sahtekârlığın devamını saklamak amacıyla kontrollerin kasıtlı olarak önlenmesi, hizmetlerin ve kaynakların yetkisiz kullanımı veya bu tür etkinliklere yardım ve yataklık etmek gibi davranıĢları kapsar fakat bunlarla sınırlı değildir. Sahtekârlık amaçlı olmayan aykırılıklar Ģunları içerebilir:

Mevcut yönetim politikalarının kasıtlı ihlali

Düzenleyici kuralların kasıtlı ihlali

Denetim altındaki alanla ilgili bilgilerin kasıtlı saptırılması

Toptan ihmal

Kasıtlı olmayan yasadıĢı hareketler

50

G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı) 2.2 Aykırılıklar ve YasadıĢı Hareketler 2.2.1 Aykırılıklar ve YasadıĢı Hareketler, aĢağıdakileri içerebilir, ancak bunlarla sınırlı değildir:

YasadıĢı fayda sağlamak için yanıltıcı herhangi bir durumun kullanıldığı yolsuzluk yapılması

BT sistemlerinin ilgili yasa ve yönetmeliklerle uyumunu sağlamada baĢarısız olmaları dahil olmak üzere yasa ve yönetmeliklere aykırılığı içeren hareketler

Kurumun bankalar, tedarikçiler, satıcılar, hizmet sağlayıcılar ve hissedarlar gibi üçüncü taraflarla olan anlaĢma ve sözleĢmelerine aykırılık içeren hareketler

Ġster basılı ister elektronik ortamda olsun kayıt veya belgelerin üretilmesi, değiĢtirilmesi veya sahtesinin yapılması, tahrifat yapılması.

Ġster basılı ister elektronik ortamda olsun kayıtlar veya belgelerden iĢlemlerin etkilerinin gizlenmesi veya ihmal edilmesi

Gizli bilgilerin kasıtlı veya kasıtsız sızdırılması

Ġster basılı ister elektronik ortamda olsun, asılsız olduğu bilinen mali veya diğer kayıtların kaydedilmesi,

BS veya BS-dıĢı kaynakların kötüye kullanımı veya zimmete geçirilmesi,

Kasıtlı olsun yada olmasın telif hakkı, ticari marka veya patent gibi fikri mülkiyet haklarını (IP) ihlal eden hareketler,

Bilgi ve sistemlere yetkisiz giriĢe izin verilmesi

Veri ve sistemlere yetkisiz giriĢten kaynaklanan mali veya diğer kayıtlardaki hatalar

2.2.2 Bir hareketin yasadıĢı olup olmadığını belirlemek genellikle ya yasal açıdan yetkin bir bilirkiĢinin vereceği öneri ile veya bir hukuk mahkemesinin vereceği bir kararla olanaklı olur.

3. SORUMLULUKLAR

3.1 Yönetimin Sorumlulukları 3.1.1 Aykırılıklar ve YasadıĢı Hareketleri belirlemek ve önlemek temel olarak yönetimin sorumluluğudur. 3.1.2 Yönetim, Aykırılıklar ve YasadıĢı Hareketlerin, zamanında önlenmesi ve tespit edilmesi ile ilgili makul güvence sağlamak için

genellikle aĢağıdaki araçları kullanır:

Aykırılıklar ve YasadıĢı Hareketlerin önlenmesi ve tespit edilmesi için iç kontrollerin sisteminin tasarlanması, uygulanması ve sürdürülmesi. Ġç kontroller, iĢlem incelenmesini, onay ve yönetim inceleme usullerini içerir.

ÇalıĢan yönetimini düzenleyen politikalar ve usuller

Ġzleme usulleri ve uyum onayı

Aykırılıklar ve YasadıĢı Hareketlerle ilgili, olayların raporlanması, kayıt tutulması ve yönetimi ne uygun sistemleri tasarlamak, uygulamak ve sürdürmek.

3.1.3 Yönetim, eğer bir önlem almıĢ ise Aykırılıklar ve YasadıĢı Hareketlerle her türlü iddia, Ģüphe, eylem olup olmadığının bilgisini BS Denetçisine vermelidir.

3.1.4 Yönetim, herhangi bir Aykırılıklar ve YasadıĢı Hareketin iddiası, Ģüphesi yada tespit ettiği yerde;, araĢtırma ve soruĢturma sürecine yardımcı olmalıdır.

3.2 BS Denetçilerinin Sorumlulukları 3.2.1 BS Denetçisi, yönetimin ve denetimin sorumluluklarının, aykırılıkları belirleme, önleme ve rapor etme bağlamında olmak

üzere, tüm denetim iĢlerinde bunların açıkça anlaĢılabilmesi için, hizmet sözleĢmesinde veya denetim yönetmeliğinde tanımlandığına dikkat etmelidir. Bunun amacı, bu konuların bütün denetim görevlerinde iyice anlaĢılmalarını sağlamaktır. Bu sorumlulukların, kurumun politikasını belirten belgelerde veya benzer iĢleve sahip belgelerde belirtilmiĢ olduğu durumlarda denetim yönetmeliği bu durumu belirten bir ifadeyi içermek durumundadır.

3.2.2 BS Denetçisi, kontrol mekanizmalarının, aykırılıkları ve yasadıĢı hareketlerin ihtimalini tamamen yok etmediğinin bilincinde olmalıdır. BS Denetçisi, aykırılıkların veya yasadıĢı hareketlerin risk oluĢma durumlarını değerlendirmek, tanımlanan aykırılıkların etkisini değerlendirmek ve denetim görevinin doğasına uygun testleri tasarlamak ve uygulamaktan sorumludur. BS Denetçisinden, makul olarak aĢağıdakileri tespit etmesi beklenebilir:

Aykırılıklar veya yasadıĢı faaliyetlerin, bir bütün olarak tüm kurumda veya denetlenen alanda somut etkisini,

Ġç kontrol zayıflıklarının, somut önlenemeyen veya tespit edilemeyen aykırılıklar veya yasadıĢı faaliyetlere sebep olmasını

3.2.3 BS Denetçisi, aykırılıklar veya yasadı faaliyetlerin önlenmesi ve tespitinden mesleki olarak sorumlu değildir. Bir denetim, aykırılıkların tespit edilmesini garanti etmez. Bir denetim uygun biçimde planlanmıĢ ve gerçekleĢtirilmiĢ olsa bile aykırılıklar tespit edilemeyebilir: Örneğin, çalıĢanlar arasında veya çalıĢanlar ve dıĢarıdan kiĢiler arasında gizli anlaĢmalar olabilir ya yönetim yasadıĢı faaliyetlerin içerisinde bizzat olabilir. BS Denetçisi, bu durumları denetim yönetmeliği veya hizmet sözleĢmesinde belirtmelidir.

3.2.4 BS Denetçisi, aykırılıklar veya yasadıĢılıklarla ilgili özel bir bilgisinin olduğu durumlarda, denetçi bunları araĢtırmak, tespit etmek ve rapor etmek zorundadır.

3.2.5 BS Denetçisi, denetim komitesine (veya denk birimi), muhtemel aykırılıklar veya yasadıĢı hareketlerle ilgili bir yüksek risk belirlediği zaman, hiçbirini net olarak tespit edemese bile, bilgilendirmelidir.

3.2.6 BS Denetçisi, aykırılıklar veya yasadıĢılıkların oluĢmasına yol açabilecek risk faktörlerini makul bir Ģekilde tanımlayabilecek biçimde deneyimli[bilgili] olmalıdır.

3.2.7 BS Denetçileri, bütün denetim görevi boyunca konunun bağımsızlığını sağlamalıdırlar. 3.2.8 BS Denetçileri, BS Denetçilerinin sorumlulukları hakkında daha ayrıntılı bilgi için S9 Aykırılıklar ve YasadıĢı Hareketler

standardıyla iliĢkilendirmeleri gereklidir.

51

G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı) 4 RĠSK DEĞERLEMESĠ 4.1 Risk Değerlendirmesinin Planlanması 4.1.1 BS Denetçisi, aĢağıdaki uygun yöntemi kullanarak denetlenen alanıyla ilgili aykırılık veya yasadıĢılığın ortaya çıkması riskini

değerlendirmelidir. BS Denetçisi, bu değerlendirmeyi hazırlarken aĢağıdaki etmenleri göz önünde bulundurmalıdır:

Ortak etik değerler, kurumsal yapı, inceleme yeterliği, giderme ve ödül yapıları, ortak performans baskılarının sınırları, kurum yönelimi gibi kurumsal özellikler

Kurumun tarihi, aykırılıklarla ilgili geçmiĢi ve aykırılıklar, sıklıkla yaĢanan aykırılık faaliyetleriyle ilgili bulguları iyileĢtirmek ve en aza indirmek amacıyla yapılan faaliyetler,

Yönetimde, operasyonlarda veya BS Sistemlerinde ve kurumun stratejik yönelimindeki son değiĢiklikler

Yeni stratejik ortaklıklardan kaynaklanan etkiler

Mevcut varlıklar, sunulan hizmetlerin çeĢitleri ve bunların aykırılıklara karĢı duyarlılıkları

Ġlgili kontrollerin güçlendirilmesi ve kontrollerden kaçınmak veya bunları atlatmak konusunda ilgili kontrollerin değerlendirilmesi,

Yürürlükteki düzenleyici veya hukuki gereklilikler

Ġhbar politikası, içerdekilerin bilgi ticareti politikası, çalıĢanların ve yönetimin uyacağı etik kurallar gibi iç politikalar,

PaydaĢ iliĢkileri ve finansal pazarlar

Ġnsan kaynakları yetenekleri

Gizlilik ve duyarlı piyasa bilgileri bütünlüğü

Önceki denetim bulgularının tarihçesi

Kurumun etkinlik alanındaki endüstri ve rekabet ortamı

DanıĢmanların ve kalite güvence takımlarının bulguları veya yönetimin özel soruĢturmalarının sonuçları gibi denetim kapsamının dıĢında yapılan inceleme bulguları

Gündelik iĢler sırasında ortaya çıkan bulgular

Süreçlerin yazılı kayıtlar ve kalite yönetim sistemi

Denetlenen alanı destekleyen bilgi sistemlerinin karmaĢıklığı ve teknik bilgileri

Ana iĢ sistemlerinin, kurum içinde geliĢtirilen yazılımların varlığı, paket yazılımlarla karĢılaĢtırılması,

ÇalıĢanların iĢ tatminsizliğinin etkisi

Geçici çalıĢtırılanlar, dıĢ kaynaktan satın almalar, elden çıkarmalar ve yeniden yapılandırmalar.

Kolayca kötüye kullanılabilecek değerlerin varlığı

DüĢük kurumsal, mali ve/veya iĢletim performansı

Yönetimin etik değerlerle ilgili tutumu

Belli bir endüstriye has veya benzer kurumlarda ortaya çıkan aykırılıklar veya yasadıĢı hareketler 4.1.1. Risk değerlendirmesinde; sadece kurum ve sözleĢme konusuyla ilgili aĢağıdaki faktörler dikkate alınmalıdır; risk faktörleri

aĢağıdakileri kapsar:

Mali muhasebe kayıtlarını etkileyen aykırılıklar veya yasadıĢı hareketler

Mali muhasebe kayıtlarını etkilemeyen, fakat kurumu etkileyen aykırılıklar veya yasadıĢı hareketler

Kurumun kontrollerinin yeterliliğiyle ilgili diğer aykırılıklar veya yasadıĢı hareketler 4.1.2 BS Denetçisi, risk değerlendirmesi sürecinin planlanması ve uygulanmasının bir parçası olarak; yönetimden aĢağıdaki

maddeleri ilgili olarak bilgi istemelidir:

Kurumda, aykırılıklar veya yasadıĢı faaliyetlerin risk seviyesi ile ilgili düĢünceleri,

Kurumda, var olan yada olabilecek aykırılıklar veya yasadıĢı hareketlerle ilgili bilgiye sahip olup olmadıkları,

Aykırılıklar veya yasadıĢı hareketlerin riskinin nasıl izlediği ve yönetildiği,

Aykırılıklar veya yasadıĢı hareketlerin riskinin varlığı hakkında uygun paydaĢlara aktarılma iletilme konusunda hangi süreçlerin oluĢturulduğu,

Ulusal ve yerel yasalardaki Ģirket müĢavirliğiyle, risk komitesi ve denetim komitesinin iĢbirliği ve koordinasyon bilgisi 5. DENETĠM ĠġĠNĠN PLANLANMASI 5.1 Görevin Planlanması 5.1.1 BS Denetçisinin aykırılıklar ve yasadıĢı hareketleri belirlemek veya önlemek konusunda net bir sorumluluğu olmamasına

karĢın, BS Denetçisi yasadıĢı faaliyetler ve düzensizliklerin oluĢma riskini değerlendirmesine dayanarak tespit edici süreçleri oluĢturmalıdır:

5.1.2 BS Denetçisi, görevi planlarken aĢağıdaki noktalarla ilgili bilgi elde etmelidir:

Kurumun iĢleyiĢ ve hedeflerine dair temel bir anlayıĢ

Ġç kontrol ortamı

ÇalıĢan yönetimiyle ilgili politika ve usuller

Uyum onayı ve usullerin izlenmesi

Kurumun çalıĢtığı ortamdaki yasal ve düzenleyici çevre,

Kurumu etkileyen yasa ve düzenlemelere uyumu izleme ve sağlamada kurumun kullandığı mekanizmalar

52

G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı) 5.2 Görev Usulü 5.2.1 BS Denetçisi, tanımlanan aykırılıklar ve yasadıĢı hareketlerle ilgili risk seviyesini göz önünde bulunduran iĢ süreçleri

tasarlamalıdır. 5.2.2 Planlama sırasında gerçekleĢtirilen diğer usullerin ve risk analizinin sonuçları, görev sırasında gerçekleĢtirilen usullerin

doğasını, sınırlarını ve zamanlamasını belirlemek amacıyla kullanılmalıdır. 5.2.3 BS Denetçisi, BT ve kullanıcı yönetiminden yasa ve düzenlemelere uyumla ilgili bilgiler istemelidir 5.2.1 BS Denetçisi, , makul güvencenin yeterli denetim kanıtı sağlamak için gerekli testlerin kapsamı, zamanlaması ve kapsamını

saptamak için risk değerlendirmesinin sonuçlarını kullanmalıdır. Bunlar:

Aykırılıkların, denetlenen alanda yada kurumun tamamında önemli olabilecek etkilerin tanımlanması

Önemli aykırılıkları tespit edilmesi veya önlenmesinde başarısız olan kontrol zayıflıkları,

İç kontrollerin tasarım ve uygulanmasındaki bütün önemli kusurların yayınlayıcıların kaydetme, işleme, özetleme ve raporlarını iş verilerinin tanımlanmasını kabiliyetini etkileme ihtimali

5.3 Görev Usullerinin Sonuçlarının Değerlendirilmesi 5.3.1 BS Denetçisi, aykırılık veya yasadıĢı hareketlerin olup olmadığını belirlemek için görev süreçlerinin sonuçlarını incelemelidir. 5.3.2 Bu değerlendirme gerçekleĢtirildiğinde 4. kısımda tanımlanan risk faktörleri bütün tanımlanmıĢ risklerin ele alındığı makul bir

güvence sağlamak için bunlara karĢı uygulanan gerçek süreçleri gözden geçirmelidir. 5.3.3 Bu değerlendirmede, ayrıca belgelendirilmeyen risk faktörleri varsa saptanmalı tüm süreçlerin değerlendirme sonuçları dahil

edilmelidir. 6. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 6.1 Muhtemel YasadıĢı Hareketlere KarĢılık Verme 6.1.1 Bir görev sırasında, aykırılıklar veya yasadıĢı faaliyetlerin bulunduğuna dair bazı bulgular BS Denetçisinin dikkatini çekebilir.

Eğer, yasadıĢı faaliyetlerin göstergeleri tanımlanabiliyor ise; BS Denetçisi bu durumun temel konuya, rapora ve kuruma olabilecek muhtemel etkilerini dikkate almalıdır.

6.1.2 BS Denetçisi, muhtemel bir yasadıĢı hareketle ilgili bir bilginin farkına vardığı zaman, BS Denetçisi aĢağıdaki aĢamaları izlemeyi dikkate almalıdır:

Söz konusu hareketin doğasıyla ilgili bilgi edinmek

Söz konusu hareketin ortaya çıkma koĢullarını anlamak

Aykırılık veya yasadıĢı hareketin etkisini değerlendirmek için yeterli destekleyici bilgi elde etmek

Düzensizlik ve yasadıĢı faaliyetlerin etkisini yada baĢka yasadıĢı faaliyet bulunup bulunmadığını saptamak için ilave incelemeler gerçekleĢtirmek,

6.1.3 BS Denetçisi, aykırılıklar veya yasadıĢı hareketlerin ve etkilerinin olup olmadığını tespit etmek amacıyla kurumda, yönetim(eğer mümkün ise gereken uygun seviyenin üzerinde) dahil, uygun personelle çalıĢmalıdır (kurumun güvenlik personeli gibi).

6.1.4 Yönetimin bir üyesini de aykırılığın içerisinde ise; BS Denetçisi, yönetim tarafından yapılan sunumların güvenilirliğini tekrar değerlendirmelidir. BS Denetçisi, daha önce de belirtildiği gibi tipik olarak aykırılıklara veya yasadıĢı hareketlere karıĢmıĢ olan yönetim üyesinin üstündeki kiĢilerle çalıĢmalıdır.

6.1.5 BS Denetçisi, aksi açıkça ortaya çıkmadığı sürece bir aykırılık veya yasadıĢı hareketin yalıtılmıĢ olmadığını varsaymalıdır. 6.1.6 BS Denetçisi, aykırılıklar veya yasadıĢı hareketlerin neden tespit edilip engellenemediği saptamak için kurumun mevcut iç

kontrollerinin bölümlerini de incelemelidir. 6.1.7 BS Denetçisi, kurumun iç kontrollerinin yeterliliğinin önceki değerlendirmelerini, iĢleyiĢi ve etkinliğini yeniden

değerlendirmelidir. 6.1.8 BS Denetçisi, bir aykırılık veya yasadıĢı harekette bulunduğunu belirlediği yer ve durumlarda (olasılık veya gerçek olabilir),

BS Denetçisi görevin yürütülmesi esnasında tanımlanan konuları çözmek ve onaylamak için gerçekleĢtireceği usulleri değiĢtirmelidir. Bu tür bir değiĢtirmenin ve ilave süreçlerin kapsamı, BS Denetçisinin aĢağıdaki konulara olan yargılarına bağlıdır:

OluĢabilecek aykırılıklar veya yasadıĢı hareketlerin türü

GerçekleĢme riski algısı

Kurumda, mali etkiler ve kurum itibarı gibi konuları kapsayan muhtemel etkisi

Benzer aykırılık veya yasadıĢı hareketlerin yineden yaĢanma ihtimali,,

Aykırılık veya yasadıĢı hareketlerden, yönetimin bilgisinin ve dahil olma ihtimali

Varsa, konuyla ilgili yetkili resmi kurumlar ve/veya yönetim tarafından yapılanlar

Yasa veya düzenlemelerle ilgili uyumsuzluğun kasıtsız olması ihtimali,

Uyumsuzluğun bir sonucunda para cezası, müeyyide, örneğin önemli bir lisansın geri alınması gibi bir müeyyide olasılığının uygulanması ihtimali,

Aykırılıkların sonucunda kamusal çıkarların(Amme menfaati) etkilenmesi 6.2 Aykırılık Bulunmasının Etkileri

BS Denetçisi, eğer aykırılıkları tespit etmiĢ ise, bu faaliyetlerin denetim hedeflerine ve toplanan denetim kanıtlarına olan etkilerini değerlendirmelidir. Ayrıca, BS Denetçisi aĢağıdaki durumlarda denetime devam edip etmeyeceğini düĢünmelidir:

Aykırılıkların etkisinin yeterli ve güvenilir denetim kanıtı sağlayamayacak kadar çok önemli görünmesi,

Denetim kanıtının, yönetimin veya iç kontrollerde önemli rolleri bulunan çalıĢanların aykırılıklara katıldığı veya göz yumduğu durumları kanıtların göstermesi.

53

G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı 6.3 Aykırılık Bulgusu Göstergelerinin Etkileri 6.3.1 BS Denetçisi, eğer denetim kanıtı aykırılıkların olmuĢ olabileceğini gösteriyorsa Ģunları yapmalıdır:

Yönetime konunun soruĢturulması ve gereken adımların atılmasını önerebilir. BS Denetçisi yönetimin de aykırılığın bir parçası olduğundan Ģüphelenirse, bu durumun rapor edileceği kurumdaki uygun sorumlu kiĢiyi belirlemelidir. BS Denetçisi, eğer içsel rapor etme olanağı yoksa, kurum dıĢına bulguların raporlanmasını, denetim komitesine ve hukuk birimine danıĢmayı düĢünmelidir.

Denetim bulgularını, sonuçlarını ve önerilerini destekleyecek yeterli adımları atmak 6.4 Hukuki Varsayımlar 6.4.1 BS Denetçisi, eğer denetim kanıtı bir aykırılığın yasadıĢı bir hareketi içerdiğini gösteriyorsa doğrudan hukuki danıĢmanlık

almayı düĢünmelidir veya yönetime bunu önermelidir. BS Denetçisi, denetim yönetmeliğinde veya hizmet sözleĢmesinde hukuki maliyetler için sorumluluklarının tanımlanmasını isteyebilir.

7. RAPORLAMA 7.1 Ġç Raporlama 7.1.1 Aykırılıkların tespiti halinde bu durum kurum içerisindeki ilgili kiĢiye ivedi olarak bildirilmelidir. Bu bildirim, kurum içerisinde

ilgili aykırılığa katılmıĢ olabileceğinden Ģüphelenilen kiĢinin hiyerarĢik olarak üst seviyesine yapılmalıdır. Ayrıca aykırılıklar, hem finansal etkiler hem de kontrol göstergelerin yönünden açıkça önemsiz olanlar dıĢında, yönetim kuruluna, denetim komitesine veya eĢdeğer kurula raporlanmalıdır. Eğer, BS Denetçisi yönetimin bazı kademelerinin de aykırılığa karıĢmıĢ olduğundan Ģüphelenirse, yerel düzenlemeler ve kanunlara uygun Ģekilde bulgular kurumun, yönetim/idare kurulu, mütevelliler, denetim komitesi gibi üst yönetim kademelerine iletilmelidir.

7.1.2 BS Denetçisi, bir aykırılığı veya yasadıĢı hareketi rapor ederken mesleki yargılarını kullanmalıdır. BS Denetçisi, bulguları ve doğasını, zamanlamasını ilave prosedürlerin kapsamını, yönetimin uygun seviyesinde en az bir üst seviyede olan bir ilgili olabilecek kiĢilerle konuĢmalıdır. Böyle durumlarda BS Denetçisinin tarafsız kalması önemlidir. BS Denetçisi, yasadıĢı bir faaliyet veya aykırılığı rapor edeceği uygun kiĢileri saptarken, üst yönetimin de aykırılığa veya yasadıĢı harekete katılması ihtimalide da dahil bütün ihtimalleri göz önünde bulundurmalıdır.

7.1.3 Raporların iç dağıtımı konusunda dikkatli davranılmalıdır. Aykırılıkların olması ve etkileri, duyarlı bir konudur ve kendi risklerini bünyesinde barındırır. Bu riskler arasında aĢağıdakiler de yer alır:

Kontrol zayıflıkları yayınlanmıĢ olacağından dolayı bunların daha ileri derecede kötüye kullanılması

Kurum dıĢında raporların yayılmasından dolayı müĢteri, tedarikçi ve yatırımcıların kaybedilmesi

Yönetime duyulan güvenin azalmasından ve kurumun geleceğinin düĢüĢe geçmesi düĢüncesinden dolayı aykırılığa bulaĢmamıĢ olan yönetimin anahtar kiĢilerinin veya önemli personelin kaybı

7.1.4 BS Denetçisi, raporun dağıtımına yardımcı olacaksa aykırılık ile diğer denetim konularından ayrı olarak rapor etmeyi de düĢünmelidir.

7.1.5 BS Denetçisinin raporu aĢağıdakileri içermelidir:

Kurum tarafından uyarlanmıĢ önemli politikalar ve uygulamalar

Eğer genel kabul görmüĢ standartlardan sapma olmuĢsa, bu tür bir sapma için yönetimin sebepleri ve denetçinin bu sapmalara iliĢkin fikirleri

7.1.6. BS Denetçisi, yasadıĢı harekete veya aykırılığa karıĢmıĢ kiĢileri uyarmaktan kaçınmalıdır, zira bu kiĢiler kanıtları ortadan kaldırma ve karartma giriĢiminde bulunabilirler.

7.2 DıĢ Raporlama 7.2.1 DıĢ raporlama, yasalardan veya düzenlemelerden kaynaklanan bir zorunluluk olabilir. Zorunluluk, kurumun yönetimine veya

aykırılıkları belirlemekte görevli kimselere veya her ikisine dair olabilir. BS Denetçisi, yasadıĢı faaliyetler ve aykırılıkları raporlamada kurumun sorumluluğunda baĢarısızlığı, muhtemel veya tanımlanmıĢ düzensizlikler yada aykırılıkların raporlamasını kuruma karĢı olan görevinin gizliliği engeller. Bununla birlikte, belli durumlarda BS Denetçisinden bir aykırılık veya yasadıĢı hareketi açıklaması istenebilir. Bu durumlarla ilgili olarak aĢağıdakileri kapsar:

Yasa veya düzenleyici gereksinimlere uyum

DıĢ denetçi talepleri

Mahkeme celbi veya mahkeme emri

Devletin mali destek verdiği konularla ilgili denetimlerde fon sağlayan kuruluĢ veya hükümet birimi 7.2.2 DıĢ raporlama gerektiğinde, bu rapor kamuoyuna açıklanmadan önce denetim komitesinin uygun kademesince

onaylanmalıdır ve yasal bir engel yoksa denetlenen yönetim ile önceden gözden geçirilmelidir. Denetlenen yönetiminin görüĢ birliğini almayı engelleyebilecek özel durumlara örnekler Ģöyledir:

Denetlenen yönetimin aykırılığa etkin katılımı

Denetlenen yönetimin aykırılığı edilgen olarak kabullenmesi 7.2.3 Eğer denetlenen yönetim, raporun yayınlanmasına onay vermezse; dıĢ raporlama yasal veya düzenleyici bir zorunluluktur;

BS Denetçisi, raporlanan bulguları kurum dıĢına vermenin riskleri ve uygunluğu konusunda denetim komitesine ve hukuk müĢavirliğine danıĢmayı düĢünmelidir. Bazı yargılamalarda, BS Denetçisi sınırlı ayrıcalıklarla korunabilir. Eğer ayrıcalıklı olarak BS denetçi korunduğu yer ve durumlarda bile, ayrıcalıklı koruma durumunu sağlamak için açıklama türünü yapmadan önce, BS Denetçisi, hukuki danıĢmanlık ve tavsiye almalıdır.

7.2.4 BS Denetçisi, denetim yönetiminin onayıyla raporu uygun zamanda uygun düzenleyicilere vermelidir. Eğer kurum bilinen bir aykırılığa veya yasadıĢı bir hareketi açıklamazsa veya denetçiden bunun gizlemesini isterse BS Denetçisi hukuki danıĢmanlık ve tavsiye baĢvurmalıdır.

7.2.5 BS Denetçisi, yönetimin hileli faaliyetlerini kurum dıĢına rapor etmesi gerektiğini farkında olduğu yer ve durumda, Denetçi bu sorumluluğu konusunda yönetime resmen önermelidir.

7.2.6 Eğer dıĢ denetim takımının üyesi olmayan bir BS Denetçisi tarafından bir aykırılık belirlenmiĢse, bu durumda BS Denetçisi raporu dıĢ denetçilere ivedi olarak vermeyi düĢünmelidir.

54

G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı)

7.3 Denetim Kapsamının Sınırlandırılması 7.3.1 BS Denetçisi, denetim kapsamının sınırlandırıldığı durumlarda bu sınırlamanın doğasını ve etkisini denetim raporunda

açıklamalıdır. Bu tür bir sınırlandırma Ģu durumlarda olabilir:

BS Denetçisi, güvenilmez denetim kanıtı, kaynak eksikliği veya yönetim tarafından denetim faaliyetlerine getirilen sınırlandırmalar yüzünden asıl denetim hedeflerini baĢarmak için gerekli olan ilave çalıĢmaları yerine getiremediği durumlarda

BS Denetçisi tarafından önerilen soruĢturmanın yönetim tarafından yerine getirmediği durumlarda 8 YÜRÜRLÜK TARĠHĠ 8.1 Bu rehber bütün BS Denetimleri için 1 Mart 2000 tarihinden itibaren etkindir. Bu rehber gözden geçirilmiĢ ve güncellenmiĢtir,

yürürlük tarihi 1 Eylül 2008 olan G19 Aykırılıklar ve YasadıĢı Hareketler Rehberi ile birlikte ele alınmıĢ ve daha sonra bu standardın yerini almıĢtır.

55

G10 Denetim Örneklemesi 1. ARKA PLAN 1.1 Standartlarla Bağlantı S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak

için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.

1.2 COBIT Bağlantısı 1.2.1 Belirli bir denetimin kapsamına uyacak COBIT‘teki en uygun materyalinin seçilmesi, COBIT‘teki belirli BT sürecinin

seçilmesine ve COBIT kontrol hedeflerinin dikkate alınması ve ilgili yönetim uygulamalarına dair varsayımlara bağlıdır. BS Denetçilerinin denetim örnekseme gereksinimlerini karĢılamak için CobIT‘teki en ilgili olabilecek süreç, seçilmiĢ ve birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilecek ve uyarlanacak süreç ve kontrol hedefleri, görevin belirli kapsam ve denetim sözleĢmesine bağlı olarak değiĢebilir.

1.2.2 ME2 Ġç Kontrolün Ġzlenmesi ve Değerlendirilmesi, BT ile ilgili faaliyetler ve geliĢtirici faaliyetlerin izlenmesine odaklanarak BT hedefleri ve BT ile ilgili yasalar ve düzenlemelerle uyumun baĢarılmasının korunması için BT iĢ gereksinimlerini sağlar.

1.2.3 ME3 Düzenlemelerle uyumun sağlama , , bütün yürürlükteki kanunlar ve sözleĢmeler, BT uyumunun seviyesinin sağlanması, uyumsuzluk riskini azaltacak BT süreçlerinin optimizasyonun tanımlanmasına odaklanarak BT‘nin yasa, yönetmelik ve sözleĢmelerden doğan yükümlülüklerinin yerine getirilmesi için iĢ gereksinimlerini sağlar.

1.2.4 Birincil kaynaklar Ģunlardır:


PO9 BT Risklerinin değerlendirmesi ve yönetilmesi

AI6 DeğiĢikliklerin yönetilmesi

ME2 Ġç kontrollerin izlenmesi ve değerlendirilmesi

ME3 Düzenlemelerle uyumun sağlanması

1.2.5 En ilgili bilgi kıstasları Ģunlardır:

Birincil: Etkinlik, bütünlük, güvenilirlik ve uyum

Ġkincil: Gizlilik, verimlilik ve eriĢebilirlik 1.3 Rehber Gereksinimi

1.3.1 Bu Rehberin amacı, BS Denetçisine bir denetim örneklemesi tasarlamak, seçmek ve örneklem sonuçlarını değerlendirmek

için yol göstericilik sağlamaktır. Uygun örnekleme ve değerlendirme, ‗yeterli, güvenilir, ilgili ve faydalı kanıt‘ ve ‗uygun analizle desteklenme‘ ihtiyacını karĢılayacaktır.

1.3.2 BS Denetçisi, uygunluk ve maddi doğruluk testlerini gerçekleĢtirmek için istatistiki olarak temsili örneklemeyle sonuçlanacak tekniklerin seçimini düĢünmelidir.

1.3.3 Uyum testlerinin örneklemesi, kullanıcı eriĢim haklarını, program değiĢim kontrol usullerini, usul belgelendirmesini, program belgelendirmesini, istisnaları izleme usulünü, bilgisayar kayıtlarının incelenmesini ve yazılım lisanslarının denetimini içermesi düĢünülmelidir.

1.3.4 Maddi doğrulama testleri örnekleri, eğer örnekleme düĢünülüyor ise bir hesap üzerinde(örneğin faiz hesaplaması) karmaĢık bir hesaplamanın yeniden yapılması, destekleyici belgelerin doğrulanması için iĢlemlerin örneklenmesini kapsar.

1.3.5 Bu rehber, BS Denetim Standartları uygulamasında yol göstericilik sağlar. BS Denetçisi, Standart S6‘nın nasıl uygulanacağını belirlemede, uygulanmalarında mesleki yargılar kullanmak amacına ve sapmaların doğrulanmasının gerekçelerini hazırlamada düĢünmelidir.

1.3.6 Denetim örneklemesi konusunda diğer faydalı kaynaklar arasında, Uluslararası Muhasebeciler Federasyonu(IFAC) tarafından yayınlanan Uluslararası Denetim Standardı 530 Denetim Örnekleme ve Diğer Seçmeli Test Usulleri vardır.

2. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ

2.1 Denetim Örnekleme 2.1.1 BS Denetçisi, istatistiksel veya istatistiksel olmayan örnekleme yöntemleri kullanırken bir denetim örneklemi tasarlamayı ve

seçmeli, denetim usulleri gerçekleĢtirmeli ve yeterli, güvenilir, ilgili ve yararlı denetim kanıtları sağlamak için örnekleme sonuçlarını değerlendirmelidir.

2.1.2 BS Denetçileri, bir denetim fikri oluĢturulurken, bütün eriĢebildikleri bilgiler incelemeleri pratik olmadığından sıklıkla incelemezler ve geçerli sonuçlara denetim örneksemesini kullanarak ulaĢabilir.

2.1.3 Denetim örnekleme, nüfusun yüzde 100‘ünden daha azına uygulanan ve BS Denetçisinin denetim kanıtını değerlendirmesine olanak sağlayan uygulama olarak tanımlanır. Bu kanıt, nüfusla ilgili bir sonuca varmak için yardımcı olacak seçilmiĢ maddelerin bazı özellikleri hakkındadır.

2.1.4 Ġstatistiksel örnekleme, yığından çıkarılacak sonuçla ilgili matematiksel tekniklerin kullanımını kapsar. Ġstatistik dıĢı örnekleme ise, istatistiklere bağlı olmayan bir örneklemedir, örneklemenin yığını temsil etmemesi olasılığı olduğundan dolayı, sonuçlar yığından tahmin edilemez.

2.2 Örneklemenin Tasarlanması 2.2.1 BS Denetçileri, bir denetim örneklemesinin yapısı ve boyutlarını tasarlarken özel denetim amaçlarını, yığının doğasını,

örnekleme ve seçim yöntemlerini göz önüne almalıdırlar. 2.2.2 BS Denetçisi, örneklerin tasarım ve analizinde uygun uzmanların katılımının gerekliliğini düĢünmelidir. 2.2.3 Örnekleme birimi, örneklemenin amacına bağlıdır. Kontrollerin uyumluluk testleri için, örnekleme biriminin bir olay veya bir

iĢlem olduğu durumlarda tipik olarak nitel örnekleme kullanılır (örneğin, bir faturadaki yetkilendirme kontrolü). Maddi doğrulama testinde, örnekleme biriminin parasal olduğu durumlarda sıklıkla değiĢken örneklemesi veya tahmin örneklemesi kullanılır.

56

G10 Denetim Örnekleme(Devamı ) 2.2.4 BS Denetçisi, ulaĢılacak olan özellikli denetim hedeflerini ve bu hedefleri en çok baĢarma olasılığını sağlayan denetim

usullerini göz önünde bulundurmalıdır. Ayrıca, denetim örneksemesi uygun olduğu zaman; araĢtırılmıĢ denetim kanıtlarının özelliklerine ve muhtemel hata durumlarına da gereken önem verilmelidir.

2.2.5 Yığın, BS Denetçisinin üzerinde sonuçlara ulaĢmak istediği bütün bir veriler dizisidir. Bu yüzden, örnekseme alındığı yığın özel denetim hedefleri için tamlığı uygunluğu ve doğruluğu konusunda ikna etmelidir. .

2.2.6 Etkili ve verimli bir örnekleme tasarımına yardımcı olması için katmanlandırma uygun olabilir. Katmanlandırma bir topluluğu, açıkça belli olan özelliklerine göre alt nüfuslara ayırma iĢlemidir, böylece her örnekleme birimi sadece bir katmana ait olabilir.

2.2.7 BS Denetçisi, örnekleme boyutunu belirlerken örnekleme riskini, kabul edilebilir hata payını ve beklenebilen hataları ve bunların kabul edilebilirlik sınırlarını göz önünde bulundurmalıdır.

2.2.8 Örnekleme riski, BS Denetçisinin sonuçlarının, aynı denetime bütün yığın tabi tutulsaydı elde edilecek sonuçlardan farklı olması olasılığından kaynaklanır. Ġki tür örnekleme riski vardır:

Doğru olmayanın kabul riski-Önemli yanlıĢ ifadenin, muhtemel olarak değerlendirilmediği durumlar, aslında yığın önemli bir Ģekilde yanlıĢ ifade edilmiĢtir

Doğru olmayan ret riski-Önemli yanlıĢ ifadenin muhtemel olarak değerlendirilmediği durumlar, aslında yığın yanlıĢ ifade edilmemiĢtir

2.2.9 Örneklemenin boyutu, BS Denetçisinin kabul etmeye istekli olduğu risk seviyesinden etkilenir. Örnekleme riski, denetim risk modeli ve unsurları, kalıtsal risk, kontrol riski ve tespit riskinin iliĢkisini de değerlendirilmelidir.

2.2.10 Kabul edilebilir hata, BS Denetçilerinin kabul etmeye istekli oldukları ve gene de denetim amacına ulaĢıldığını düĢündükleri yığındaki yüksek hatadır. Maddi doğrulama testlerinde, kabul edilebilir hata BS Denetçisinin önemlilik yargısıyla ilgilidir. Uyum testlerinde, BS Denetçisi kabul etmeye istekli olduğu önceden tanımlanmıĢ kontrol usulünden en yüksek sapma oranıdır.

2.2.11 BS Denetçisi, yığında hatalar bekliyorsa, genellikle hata beklenmediği durumundan daha büyük bir örneklemeyi, yığındaki gerçek hata planlanan tolore edilebilir hatadan daha büyük olmadığı sonucuna ulaĢmak için incelemelidir. Daha küçük örnekleme büyüklüğü, yığında hata olması beklenmediği zaman doğrulanır.. Bir nüfusta, beklenen hata payını belirlerken BS Denetçisi, önceki denetimlerdeki tanımlanan hata seviyelerini, kurumun süreçlerindeki değiĢiklikleri ve iç kontrol sistemi değerlendirmelerinden ve analitik inceleme usullerinden gelen kanıtları göz önünde bulundurmalıdır.

2.3 Örneklemenin Seçimi 2.3.1 Yaygın kullanılan dört örnekleme yöntemi vardır. Ġstatistiksel örnekleme yöntemleri Ģunlardır:

Rastgele örnekleme – Yığındaki örnekleme birimlerindeki bütün bileĢkelerinde, eĢit seçim olasılığı olmasını sağlar.

Sistematik örnekleme – Ġlk aralığın rastgele bir baĢlangıç, sonraki seçimler arasında sabit aralar vererek örnek birimlerinin seçimini gerektirir. Örneğin, Parasal Birim Örnekleme veya Değer Ağırlıklı seçiminde, yığındaki her bir parasal değere (örneğin 1 Dolara) eĢit seçim Ģansı verilmiĢtir. Para biriminin normalde ayrı ayrı tutulamayacağı için parasal birimi içeren madde kontrol için seçilir. Bu yöntem seçimi, sistematik olarak daha büyük miktarlara doğru eğilimlendirir, ancak yine de her parasal değere eĢit bir seçme fırsatı verir. Bir diğer örnek her bir ‗nth örnekleme biriminin‖ seçilmesini içerir.

Ġstatistikî olmayan metotlar Ģunlardır:

GeliĢigüzel örnekleme-BS Denetçisi, örneklemeyi yapılandırılmıĢ bir teknik izlemeden, bilinçli öngörü ve yanlı hareket etme durumlarından kaçınarak seçer. Bununla birlikte, geliĢigüzel örnekleme analizi nüfus üzerinde bir sonuca varmak için güvenilecek bir yöntem değildir.

Yargıya vararak örnekleme-BS Denetçisi, örneklem üzerinde bir yargıya varır (örneklemenin belli bir değerin üzerinde örnekleme birimleri, bütün negatifler, bütün yeni kullanıcılar gibi). Bu tür bir örnekleme, örneklemin evreni temsil etmeme olasılığından dolayı, sonuçlarla evren üzerinde tahmin yapılmamalı ve örneklem sonucunun istatistiğe dayanmadığı not edilmelidir.

2.3.2 BS Denetçisi, örnekleme unsurlarını öyle bir biçimde seçmelidir ki, örnek denenen özelliklerle ilgili olarak yığını temsil etsin (Örneğin, istatistiksel örnekleme yöntemlerinin kullanımı gibi). Denetim bağımsızlığını sağlamak için BS Denetçisi nüfusun tamam olduğundan ve örneğin seçimini kontrol ederek emin olmalıdır.

2.3.3 Bir örneğin nüfusu temsil etmesi için, nüfustaki bütün örnekleme birimleri eĢit veya bilinen seçilme ihtimaline sahip olmalıdırlar.

2.3.4 Ġki yaygın seçme yöntemi vardır: Kayıtlara dayalı seçim ve niceliğe dayalı seçim (örneğin parasal birimler). Kayıtlara dayanan seçimde; yaygın yöntemler Ģunlardır:

Rastgele örnek (istatistiksel örnekleme)

GeliĢigüzel örnek (istatistiksel olmayan örnekleme)

Yargıya dayalı örnek (istatistiksel olmayan; yanlı bir sonuca yol açan örnek) Niceliğe dayan seçimde yaygın yöntemler:

Rastgele örnekleme (parasal birimlerde istatistiksel örnekleme)

Sabit aralıklı örnekleme (sabit bir ara kullanan istatistiksel örnekleme)

Hücre örneklemesi(bir aralık seçinde rastgele kullanılarak istatistiksel örnekleme)

2.4 Belgelendirme 2.4.1 Denetim çalıĢma belgeleri, kullanılan örneklemenin hedefini ve örnekleme sürecinin kullanımını açıkça gösteren yeterli

ayrıntıyı içermelidir. ÇalıĢma kâğıtları, yığının kaynağını, kullanılan örnekleme yöntemini, örnekleme parametrelerini (rastgele baĢlama sayısı veya rastgele baĢlamanın elde edildiği yöntemi, örnekleme aralığını), seçilen konuları, gerçekleĢtirilen denetim testlerinin ayrıntılarını ve varılan sonuçları içermelidir.

57

G10 Denetim Örnekleme(Devamı ) 2.5 Örnekleme Sonuçlarının Değerlendirilmesi 2.5.1 BS Denetçisi, özel denetim hedeflerine uygun denetim süreçlerini tamamladıktan sonra örneklemdeki muhtemel hataları,

gerçekte hata mı uygun mu olup olmadıklarını ve eğer hata iseler özelliklerini ve sebeplerini analiz etmelidir. Bunları, hata olarak değerlendirilenler, eğer örnekleme yöntemi kullanılmıĢ ise; hatalardan yığın korunmalıdır.

2.5.2 Örneklemede tespit edilen bütün muhtemel hatalar, gerçekte hata olup olmadıklarını belirlemek için gözden geçirilmelidir. BS Denetçisi, bu hataların kalite açısından etkisini düĢünmek durumundadır. Bu ,hatanın özelliklerini ve sebeplerini, bu hataların denetimin diğer safhalarına olabilecek muhtemel etkilerini kapsar. Otomasyonlu bir süreçlerde hataların sonuçları, normalde insan hatalarından daha geniĢ yayılma etkisine sahiptir.

2.5.3 BS Denetçisi, özellikli bir örnekle ilgili denetim kanıtının elde edilemediği durumlarda, seçilen konuda alternatif usuller uygulayarak yeterli ve uygun denetim kanıtı elde edebilir.

2.5.4 BS Denetçisi, sonuçları örneğin seçiminde kullanılan yönteme benzer bir biçimde yansıtmayı düĢünmelidir. Örneğin, yansıtılması nüfustaki muhtemel hataları da içermelidir.

2.5.5 BS Denetçisi, denetim hedefleriyle ilgili diğer denetim süreçlerinin sonuçlarını dikkate alarak yığındaki hatalar yada kabul edilebilir hatayla karĢılaĢtırarak tolerans sınırı aĢıp aĢmadığını düĢünmelidir. BS Denetçisi, kabul edilebilir sınır aĢılıyorsa, örnekleme riskini yeniden değerlendirmelidir ve eğer bu risk kabul edilemezse, denetim usulünü geniĢletmeyi yada alternatif denetim usullerini gerçekleĢtirmeyi düĢünmelidir.

3 YÜRÜRLÜK TARĠHĠ 3.1 Bu rehber, bütün BS Denetimleri için 1 Mart 200 tarihinden itibaren geçerlidir. Bu rehber 1 Ağustos 2008 tarihinde incelenmiĢ

ve güncellenmiĢtir.

58

G 11 Yaygın BS kontrollerinin Etkisi 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak

için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklindedir.

1.2 COBIT Bağlantısı 1.2.1 Belirli bir denetimin kapsamına uyacak COBIT‘teki en uygun materyalinin seçilmesi, COBIT‘teki belirli BT sürecinin

seçilmesine ve COBIT kontrol hedeflerinin dikkate alınması ve ilgili yönetim uygulamalarına dair varsayımlara bağlıdır. BS Denetçilerinin, denetim gereksinimlerinin karĢılanması , CobIT‘teki en ilgili süreçler, seçilmiĢ ve aĢağıdaki gibi birincil ve ikincil olarak sınıflandırılmıĢ ve uyarlanmıĢtır: 1.2.2 Birincil Kaynaklar:

PO4 BT süreçleri, örgütlenmesi ve iliĢkileri

AI4 Faaliyetlerin sağlanması ve kullanımı

AI6 DeğiĢiklikleri yönetimi

AI7 Çözümlerin ve değiĢikliklerin kurulması ve atanması 1.2.3 Ġkincil Kaynaklar:

DS3 Performans ve değiĢiklik yönetimi

DS5 Sistem güvenliğinin sağlanması

ME2 Ġç kontrollerin izlenmesi ve değerlendirilmesi 1.2.4 En ilgili bilgi kıstasları Ģunlardır:

Birincil: Verimlilik, etkinlik ve bütünlük

Ġkincil: Gizlilik, elde edilebilirlik, uyum ve güvenilirlik 1.3 Rehber Gereksinimi 1.3.1 Herhangi bir kurumun, birimin veya iĢlevin yönetimin ve izlenmesinin bu kurumun davranıĢları üzerinde, kontrolleri uyguladığı

yöntem de dahil olmak üzere bir etkisi vardır. Bu, üretim organizasyonu, muhasebe ödeme bölümü veya hazine biriminde de yapılıĢı gibi BS kullanımında da ilke uygulanır.

1.3.2 Kurumda uygulanan ayrıntılı BS kontrollerinin etkinliği bir bütün olarak kurumun tamamında bilgi sistemlerinin kullanımının yönetimi ve izlenmesinin etkinliği ile sınırlandırılır. Bu, mali denetimlerin rehberlerinde, BS çevresinde genel kontrollerin etkisi finansal sistemlerdeki uygulama kontrollerindeki etkisi tanımlanmıĢtır.

1.3.3 BT YönetiĢim Enstitüsü‘nün COBIT çerçevesi, BS Denetçisine aĢağıdakileri ayırt etmede yardımcı olabilir:

Ayrıntılı BS kontrolleri BS Denetim kapsamıyla doğrudan ilgilidir

Güvenceye katkı sağlayacak BS Yönetimi ve izlenmesinin özellikleri, ayrıntılı BS kontrolleri ile iliĢkisi BS Denetçisi tarafından sağlanabilir..

1.3.4 Genel/uygulama kontrolleri ayrımı, veri iĢleme bütünlüğü üzerinde, iĢ kullanıcılarına sistem eriĢebilirliği ve iĢ bilgi gizliliği konusunda bir fikir oluĢturmak olan denetimlere uygulanabilir olması amacıyla özellikle tasarlanmıĢtır.

1.3.5 Ġç denetçiler ve bağımsız danıĢmanlar BS Denetimi yaptıkları zaman denetimin hedef ve kapsamı, mali denetimler dahil iĢ sürecinden farklıdır. Kullanımda olan sistemler manuel ve bilgisayar sürecinin bir bileĢkesidir, kontrol hedefleri tüm süreç için olmalıdır ki bu da muhasebe bilgi kayıtlarını içeren iĢ sürecinden ya daha geniĢ ya da daha dar olabilmektedir. Bu yüzden, iĢ süreci denetimlerinde kullanılan kontrol çerçevesi, bazı BS Denetimleri için uygun olmayabilir.

1.3.6 BS Denetçisi, denetlenen ayrıntılı kontrollerin etkinliği konusunda bir fikir oluĢturmak için, yönetim ve bilgi sistemleri izlemesinin etkinliğini bu sorunlar yapılmıĢ denetim anlaĢması kapsamı dıĢında olsa bile değerlendirmelidir. Bu varsayımların sonuçları anlaĢmaya varılmıĢ olan kapsamdan uygun nitelikte bir rapora kadar çeĢitlenebilir.

1.3.7 Yönetim ve izleme kontrollerinin toplam evreni geniĢtir ve bu kontrollerin bir kısmı özellikli denetim hedefiyle ilgili olmayabilir. BS Denetçisi, denetim riskini değerlendirmek ve uygun denetim yaklaĢımını belirlemek için yapılandırılmıĢ bir yönteme gereksinim duyar. Bu yöntemle aĢağıdakileri belirlenebilmelidir:

Yönetim ve izleme kontrolleri, denetim kapsamı ve hedefi ile ilgilidir

Yönetim ve izleme kontrolleri test edilmelidir.

Denetim fikri konusundaki yönetim ve izleme kontrollerinin etkisi Bu denetlenen bilgi sistemleri ve faaliyetlerini etkileyen temel kontroller üzerinde BS denetçinin odaklanmasına yardım edebilecek BS ve ilgili teknolojinin kullanımına özel kontrol çerçevesin kullanarak ulaĢabilir.

1.3.8 BS Denetçisi, yukarıdaki standartların uygulamasını nasıl baĢaracağını saptamada, uygulamalarda mesleki yargılarını kullanmalı, her hangi bir sapmayı gerekçelendirmeye hazır olmalıdır.

2 KONTROLLER ÇERÇEVESĠ 2.1 Genel BakıĢ 2.1.1 COBIT, kontrolleri ―ĠĢle ilgili hedeflerin baĢarılmasına ve istenmeyen olayları önlenmesi, tespit edilmesi ve

düzeltilmesine makul güvence sağlamak amacıyla tasarlanmıĢ politikalar, usuller, uygulamalar ve kurumsal yapılar.‘ olarak tanımlar.

59

G 11 Yaygın BS kontrollerinin Etkisi(Devamı) BS Denetçisi, her BS Denetimi,için,BS Denetim hedefiyle ilgili riskli alanlara denetim çabalarını odaklayarak bütün sistemleri etkileyen genel kontroller(Yaygın BS kontrolleri) ile ve daha fazla ayrıntı seviyesinde genel ve uygulama kontrollerinin iĢlevi arasında (ayrıntılı BS kontrolleri) arasında ayırım yapabilmelidir. Bu bölümde tanımlanan kontroller çerçevesinin amacı, BS Denetçisine, odaklandığı bu amaca ulaĢmada yardımcı olmaktır.

2.2 Yaygın BS kontrolleri 2.2.1 ―Yaygın BS kontrolleri‖ terimi ISACA sözlüğünde (www.isaca.org/glossary) tanımlanmıĢtır. Yaygın BS kontrolleri, genel

kontrolün bir alt kümesidir; bunlar, BS yönetim ve izlenmesine odaklanan genel kontrollerdir. 2.2.2 Yaygın BS kontrollerinin BS Denetçisinin çalıĢmasına etkisi, uygulama kontrollerinin güvenilirliğiyle sınırlı değildir. Yaygın BS

kontrolleri, ayrıntılı BS kontrollerinin güvenilirliğinin de etkiler: örnekler:

Uygulama program geliĢimi

Sistem uygulaması

Güvenlik yönetimi

Destekleme usulleri 2.2.3 Zayıf BS yönetimi ve izlemesi (yaygın zayıf BS kontrolleri), BS Denetçisine ayrıntı seviyesinde iĢleyen kontrollerin etkisiz

olabileceğinin yüksek risk olasılığına dair bir uyarı olmalıdır. 2.2.4 Yaygın kontroller, önemli sürecin ve kontrollerin tanımlanmıĢ olduğu bir risk değerlendirmesi yönetimi aracılığıyla en etkin

biçimde belirlenmiĢtir.. Örneğin, risk analizi kuruma bağlı olarak, test çevresinden üretim süreci çevresine program değiĢikliklerinin değerlendirilmesi konusunda (örneğin görev ayrılığı ilkesi) kontrollerin puanlanmasıyla sonuçlanabilir. Özellikle, program geliĢimi ve değiĢiklik ortamını üretim süreci ortamından ayıran kontroller yaygın kontroller olarak düĢünülebilirler. Yeni programlar veya program değiĢikliklerini sağlayan kontrol hedeflerinin baĢarılmasının araç ve yöntemi, üretim süreci çevresinde görevli kiĢilerce gerçekleĢtirilmiĢtir.. Yaygın kontroller, diğer ayrıntılı kontrollere olan güven açısından da gereklidir.

2.3 Ayrıntılı BS kontrolleri

2.3.1 Ayrıntılı BS kontrolleri terimi ISACA‘nın sözlüğünde (www.isaca.org/glossary) tanımlanmıĢtır. Bunlar, uygulama kontrolleri ve

ayrıca yaygın BS kontrollerinde kapsanmayan genel kontrollerden oluĢurlar. COBIT çerçevesinde ayrıntılı BS kontrolleri, edinme, uygulama, teslimat ve BS sistemleri desteği ve hizmetlerinden öğelerinden oluĢur. Örnekler:

Yazılım paketlerinin uygulanması

Sistem güvenlik parametreleri

Felaket kurtarma planlaması

Veri giriĢ doğrulaması

Ġstisna rapor üretimi

Kullanıcı hesapları

Uygulama kontrolleri, ayrıntılı BS kontrollerinin alt kümesidir. Veri giriĢ doğrulaması, örneğin, hem ayrıntılı BS kontrolüdür hem de uygulama kontrolüdür. ‗AI7 DeğiĢiklikleri ve çözümleri kurma ve akredite etme‘, bir BS kontrolüdür, fakat bir uygulama kontrolü değildir.

2.3.2. BS kontrolleri arasındaki iliĢki aĢağıdaki çizelgede gösterilmiĢtir: BS kontrolleri

Genel kontroller

Yaygın BS kontrolleri

Detaylı BS kontrolleri Uygulama kontrolleri

Ayrıca BS Denetçisi, BS‘ dıĢı kontrollerin kapsam ve denetim usullerine olan etkisini de düĢünmelidir.

2.4 Yaygın ve ayrıntılı BS kontrollerinin EtkileĢimi 2.4.1 Yaygın kontroller COBIT bağlamında dört alana dayalı olarak analiz edilmelidirler:

Plan ve Organize (PO)

Edinme ve uygulama (AI)

Teslimat ve Destek (DS)

Ġzleme ve Değerlendirme (ME) 2.4.2. Yaygın kontroller, sistem eriĢebilirliği kaybı, veri bütünlüğü ve bilgi güvenliği ile iliĢkili risklerden tanımlanmalıdırlar.

Örneğin,halka açık bir ticaret Ģirketinin finansal veya finansal olmayan raporlamasında kullanılan üretim verilerine belirlenemeyen yetkisiz ve sonuca ait güncellemeyi engelleyen kontroller, veri-bütünlüğü bakıĢ açısından, yaygın kontrol olarak yorumlanabilirler. 2.4‘ün kalan bölümleri muhtemel yaygın kontrolleri açıklamaktadır.

2.4.3 AI ve DS‘deki kontrollerin etkinliği PO ve ME‘deki kontrollerin etkinliği tarafından belirlenir. Yönetim tarafından yetersiz planlama, organizasyon ve izleme, edinme, uygulama ve hizmet teslimi ve destek konularının etkisiz olacaklarına dair ipucu verirler. Tersi bir biçimde güçlü planlama, organizasyon ve izleme, edinme, uygulama ve hizmet teslimi ve destek konularını düzeltebilir.

2.4.4 Örneğin AI2 Uygulama yazılımı edinme ve bakımı COBIT süreci üzerinde ayrıntılı BS kontrolleri aĢağıdaki COBIT sürecini içerir:





60

G 11 Yaygın BS kontrollerinin Etkisi(Devamı)

Projelerin yönetimi

ME1 BT performansını izleme ve değerlendirme. 2.4.5 Bir uygulama sisteminin edinmesini denetlenmesi, BS stratejisinin, proje yönetiminin yaklaĢımını, kalite yönetimini ve

izlemeye ait yaklaĢımın etkisinin tanımlanmasını içermelidir. Örneğin proje yönetiminin yetersiz olduğu durumlarda, BS Denetçisi aĢağıdakileri düĢünmelidir:

Denetlenen özel projenin etkili yönetildiğine dair güvence sağlamak için ilave çalıĢma planlamak

Yaygın BS kontrollerindeki zayıflıkları yönetime rapor etmek 2.4.6 COBIT süreci ―DS5 Sistemlerin Güvenliği sağlama‖ üzerinde etkili ayrıntılı BS kontrolleri örnekleri, aĢağıdaki CobIT

süreçlerini kapsayan süreçler üzerindeki yaygın BS kontrollerinin yeterliğinden etkilenir:

PO4 BT süreçleri, organizasyonu ve iliĢkileri tanımlama

PO6 Yönetim amaçlarını ve yönlendirmeyi iletme

PO9 BT risklerinin değerlendirilmesi ve yönetilmesi

ME1 BT Performansının izlenmesi ve değerlendirilmesi 2.4.7 Bir sistemdeki güvenlik parametrelerinin yeterliğinin denetimi, yönetimin güvenlik politikalarının (PO6), güvenlik

sorumluluklarının dağılımının (PO4), risk analiz usullerinin (PO9) ve güvenlik politikalarıyla uyumu izleme usullerinin (ME1) göz önünde bulundurulmasını içermelidir. Parametrelerin, BS Denetçisinin en iyi uygulama görüĢü ile örtüĢmediği durumlarda bile, yönetim tarafından tanımlanan ve risklerin nasıl ele alınacağını gösteren risklerin ıĢığında yeterli olarak değerlendirilebilirler. Bu noktada, geliĢime katkısı olacak her türlü denetim önerileri ve ayrıntılı parametreler risk yönetimine yönlendirilmelidir.

3 PLANLAMA 3.1 Ġlgili Yaygın BS kontrollerine YaklaĢım 3.1.1 BS Denetim Yönetmeliği G15 Planlama, BS Denetçisinin denetlenen iĢlevle ilgili bir ön kontrol değerlendirmesi yapmasını

bildirir. Ġlgili yaygın BS kontrollerini değerlendirirken bir risk değerlendirmesi gereklidir. Yaygın BS kontrollerinin testi, özellikli denetime ait farklı bir döngü üzerinde yar alabilir, çünkü doğaları gereği birçok farklı BS kullanımı içerirler. BS Denetçisi, bu yüzden bu alanda yapılmıĢ önceki bir denetim iĢinin güvenilip güvenilmeyeceğini göz önünde bulundurmalıdır.

3.1.2 BS Denetçisi, denetim iĢinin, yaygın BS kontrollerinin yeterli olmadığını gösterdiği durumlarda bu bulgunun denetim amacına ulaĢmada izlenen planlanmıĢ yaklaĢım üzerindeki etkisini göz önüne almalıdır:

Yaygın etkili BS kontrolleri, bir BS Denetçisince ayrıntılı BS kontrolleri ile ilgili olarak sağlanacak güvenceye katkıda bulunabilirler

Zayıf yaygın BS kontrolleri, güçlü ayrıntılı BS kontrollerini çökertebilir veya zayıflığı daha da kötüleĢtirebilirler 3.2 Yeterli Denetim Usulleri 3.2.1 Yaygın BS kontrollerinin denetim amacı üzerinde muhtemel önemli etkisinin olduğu durumlarda sadece ayrıntılı kontrolleri

denetimi planlamak yeterli değildir. Yaygın BS kontrollerini test etmenin mümkün olmadığı veya pratik olmadığı durumlarda bu kapsam sınırlaması rapor edilmelidir.

3.2.2 BS Denetçisi, denetim amacına ulaĢmaya katkıda bulunacaksa, ilgili yaygın BS kontrollerini test etmeyi planlamalıdır. 3.3 Ġlgili Kontroller 3.3.1 Ġlgili yaygın BS kontrolleri, görev için özellikli denetim hedefleri üzerinde etkisi olan kontrollerdir. Örneğin, denetim hedefinin,

özellikli bir program kitaplığı çevresindeki kontroller üzerine rapor vermek olduğu durumlarda, güvenlik politikalarını ilgilendiren yaygın BS kontrolleri (PO6) ilgili olacaktır, fakat teknolojik yönlendirmenin belirlenmesiyle ilgili yaygın BS kontrolleri (PO3) ilgili olmayabilirler.

3.2.2 BS Denetçisi, denetimi planlarken özel denetim hedefleri üzerinde etkisi olabilecek yaygın BS kontrollerinden toplam evrenin tanımlamalı ve denetim kapsamında bunları içermeyi de planlamalıdır. PO ve ME için COBIT kontrol amaçları BS Denetçisine ilgili yaygın BS kontrollerini tanımlamada yardımcı olabilir.

3.3 Denetim Kanıtı 3.4.1 BS Denetçisi, ilgili kontrollerin etkin bir biçimde çalıĢtıklarına dair denetim kanıtı elde etmelidir. Yapılabilecek testler bölüm

4‘te (Denetim ĠĢinin gerçekleĢtirilmesi) anlatılmıĢtır. 3.5 Ġlgili Ayrıntılı BS kontrollerine YaklaĢım 3.5.1 BS Denetçisi, BS Denetim iĢinin, yaygın BS kontrollerinin yeterli olduğunu gösterdiği durumlarda ayrıntılı BS kontrollerini test

için planlanan test seviyesini azaltabilir, çünkü yaygın güçlü yaygın BS kontrollerinin denetim kanıtı, ayrıntılı BS kontrolleriyle ilgili BS Denetçisince sağlanacak güvenceye katkıda bulunacaktır.

3.5.2 BS Denetçisi, BS Denetim iĢinin, yaygın BS kontrollerinin yeterli olmadığını gösterdiği durumlarda, ayrıntılı BS kontrolleriyle ilgili zayıflıklara rağmen etkin çalıĢtığına denetim kanıtı yaygın BS kontrollerinin yeterli testini gerçekleĢtirmelidir.

4 DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 4.1 Yaygın BS kontrollerinin Testi 4.1.1 BS Denetçisi, ilgili yaygın BS kontrollerinin, denetim sırasında veya herhangi bir zaman diliminde etkin biçimde

çalıĢtıklarından emin olmak için yeterli testi yapmalıdır. Uygun olabilecek test usulleri Ģunlardır:

Gözlemleme

Kanıtlarla desteklenmiĢ istemler

61

G 11 Yaygın BS kontrollerinin Etkisi(Devamı)

Ġlgili belgelendirmenin incelenmesi (politikalar, standartlar, toplantı tutanakları)

Performans yinelemesi (BDDT kullanılarak) 4.1.2 BS Denetçisi, eğer ilgili yaygın BS kontrollerinin testi yeterli olduklarını gösterirse ayrıntılı BS kontrollerinin planlanan

denetimine denetim hedefine doğrudan uygulamaya devam etmelidir.. Bu tür bir denetim seviyesi, yaygın BS kontrollerinin yeterliğinin istenen seviyede olmadığı durumlarda kabul edilebilir seviyenin altında kalabilir.

5 RAPORLAMA 5.1 Yaygın BS Kontrol Zayıflıkları 5.1.1 BS Denetçisinin yaygın BS kontrollerinde zayıflık belirlediği durumlarda bunlar, denetim kapsamında belirtilmemiĢ olsalar bile

yönetimin dikkatine sunulmalıdır. 5.2 Kapsam Sınırlamaları 5.2.1 BS Denetçisi, yaygın BS kontrollerinin ayrıntılı BS kontrollerinin üzerine önemli muhtemel etkisinin olduğu ve yaygın BS

kontrollerinin denetlenmemiĢ olduğu durumlarda bu gerçeği son raporda yönetimin dikkatine denetim bulgularındaki muhtemel etkiler, sonuçlar ve önerilerle birlikte sunmalıdır. Örneğin, BS Denetçisi, bir ―paket çözüm‖ün edinilmesinin denetimini raporlarken, kurumun BS stratejisini görmemiĢse, rapora BS Stratejisinin hazırlanmadığını veya olmadığını belirten bir ifade eklemelidir. BS Denetçisi denetim bulgularının muhtemel etkilerini, sonuçlarını ve önerileri rapor etmelidir. Örnek paket çözümün satın alınmasının BS stratejisiyle tutarlı olup olmadığı ve iĢ planlarının geleceğini destekleyip desteklemediğini söylemenin imkansızlığının ifadesiyle.

6 YÜRÜRLÜK TARĠHĠ 6.1 Bu rehber, bütün BS Denetimleri için 1 Mart 2000 tarihinden itibaren geçerlidir. Bu rehber, 1 Ağustos 2008 tarihinde gözden

geçirilmiĢ ve güncellenmiĢtir.

62

G12 Kurumsal ĠliĢki ve Bağımsızlık 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S2 Bağımsızlık Standardı: ―Denetimle ilgili bütün konularda, BS Denetçisi hem tavır hem de görünüĢ olarak denetlenen

kurumdan bağımsız olmalıdır.‖Ģeklinde ifade eder. 1.1.2. S2 Bağımsızlık Standardı:‖ BS Denetim iĢlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde

tamamlanmasına olanak vermek için, denetim alanı veya faaliyetlerden bağımsız olmalıdır.‖ Ģeklinde ifade eder. 1.1.3. S3 Mesleki Etiği ve Standartları, ‗BS Denetçisi, ISACA Meslek Etik Kurallarına bağlı kalmalıdır‘. Ģeklinde ifade eder. 1.2 COBIT Bağlantısı 1.2.1 Özel denetim kapsamına en uygun COBIT materyalinin seçilmesi, belirli COBIT BT sürecinin seçimine ve COBIT kontrol

hedefleri ve ilgili yönetim uygulamalarına dair varsayımlara bağlıdır. BS Denetçilerinin bağımsızlık ihtiyacını karĢılamak için , seçilmiĢ ve uyarlanmıĢ olan en ilgili COBIT süreci burada birincil ve ikincil olarak sınıflandırılmıĢtır.

1.2.2 PO4 BT Süreçleri , kurumun ve ilişkilerin tanımlanması, BT iĢ stratejisine karĢılık yönetiĢim ihtiyaçları ile uyum içinde sağlanması, Ģeffaflığa ve esnekliğe odaklanan bağlantıların uzmanlık noktaları, kurumsal BT yapıları karĢılayan ve BT süreçlerinin sahipleriyle, rolleriyle ve sorumlulukları ile iĢ ve karar süreciyle bütünleĢmiĢ uygulamayı ivedilikle sağlar.


ME2 Ġç kontrolün izlenmesi ve değerlendirilmesi

ME4 BT yönetimi sağlamak 1.2.4 En ilgili bilgi kıstasları Ģunlardır:

Birincil: Etkinlik ve verimlilik

Ġkincil: Gizlilik, bütünlük, eriĢebilirlik, uyum ve güvenilirlik 1.3 Rehber Gereksinimi 1.3.1 Bu Rehberin amacı, Standart S2‘de kullanıldığı üzere ‗bağımsızlık‘ kelimesinin anlamını geniĢletmek ve BS Denetçisinin

denetim sırasında tavır ve bağımsızlığına gönderme yapmaktır. 1.3.2 Bu rehber, BS Denetim standartlarını uygulamasında yol göstericilik sağlar. BS Denetçisi, bunu yukarıdaki standartların

uygulamasını nasıl baĢaracağını saptanmasında, , mesleki yargılarını kullanmalı ve her türlü sapmayı gerekçelendirmeye hazır olmayı düĢünmelidir.

2. BAĞIMSIZLIK 2.1 Tavır 2.1.1 BS Denetçileri, bütün çalıĢmaları boyunca yürürlükteki meslek etik kurallarına ve denetim standartlarına bağlı kalmalıdırlar. 2.1.2 Her COBIT uygulamasında, denetim yönetmeliği, denetim iĢlevinin bağımsızlık, yetki ve hesap verilebilirliğinin korunmalıdır

ve kurumun yönetim birimlerinin uygun üyelerince sağlamalıdır. 3. PLANLAMA 3.1 Personel 3.1.1 BS Denetçisi, denetim etkinliğinde görevli insanlarla birçok iliĢki kurar ve denetlenen alanın, sıklıkla da kurumun tamamının

en derin yönlerini keĢfetme olanağı bulur. BS Denetçisinin tavırları, her zaman bu role uygun olmalıdır. Planlama herhangi bilinen bir iliĢkiyi hesaba katmalıdır.

3.1.2 BS Denetçileri, bağımsızlıklarına zarar geldiği durumlarda denetime katılmamalıdırlar. Örneğin, eğer BS Denetçilerinin denetim sonuçlarını etkileyebildiklerinden dolayı mali bir kazanç veya baĢka kiĢisel bir çıkar elde etme beklentileri varsa bağımsızlık zarar görmüĢ demektir. Bununla birlikte, BS Denetçisinin bağımsızlığı, eğer bir iĢ takibi sırasında kiĢisel iĢlemleri normal seyrinde gidiyorsa zarar görmüĢ demek değildir.

3.1.3 BS Denetçileri, denetimin baĢlangıcında bağımsızlıklarını bildirmek için bir çıkar çatıĢması bildirimi imzalamaları istenebilir. 3.2 ÖnceliklendirilmiĢ Denetim Planı 3.2.1 COBIT süreci ME4, ‗Yönetim bağımsız bir denetim sağlamalıdır‘ der. Bu hedefe, ulaĢmak için bir denetim planı

oluĢturulmalıdır. Bu plan, etkinliği, verimliliği ve güvenlik ekonomisini ve iç kontrol usullerini ilgilendiren düzenli ve bağımsız güvencenin verildiğini ortaya koymalıdır. Bu plan çerçevesinde yönetim bağımsız güvence elde edilmesi bağlamında öncelikleri belirlemelidir.

4. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 4.1 Kurum

63

G12 Kurumsal ĠliĢki ve Bağımsızlık(Devamı)

4.1.1 BS Denetçileri denetlenen alandan kurumsal olarak bağımsız olmalıdırlar. BS Denetçileri, denetlenen alanla ilgili doğrudan kontrol olanağına sahiplerse bağımsızlık zarar görür. Eğer BS Denetçilerinin bağımsızlığı, denetlenen alanla ilgili doğrudan kontrol olanağına sahip insanlara rapor vermek sorumlulukları varsa da zarar görür. BS Denetçileri, sonuçları üst yönetime rapor olarak veren BT grup sorumlularına raporlama yapma zorundalar ise da bağımsızlık zarar görür. Bu durum, BT grubunun projeyi yönetmesi olarak algılanabilir ve bağımsızlık zarar görür. Ayrıca BS Denetçileri, gerçekleĢtirilen iĢin kapsamının kontrol süreci sahiplerinin isteklerine bağlı olduğu durumlardan dolayı bağımsızlık zarar görmüĢse bunu da göz önünde bulundurmalıdırlar.

4.1.2 Bağımsızlık, BS Denetçisi ve yönetim tarafından düzenli olarak değerlendirilmelidir. Bu değerlendirme, kiĢisel iliĢkilerde değiĢme, mali ilgiler ve iĢ öncesi anlaĢmalar ve sorumluluklar gibi konuları göz önünde bulundurmalıdır. BS Denetçileri, bu sürekli değerlendirme sürecinde, kontrol öz-değerlendirme tekniklerinin kullanımını dikkate almalıdırlar.

4.1.3 BS Denetçileri, göreve bağlı olarak Ģahıslarla görüĢmeler yapabilirler, kurumsal süreci analiz edebilirler, kurum personelinden yardım alabilirler, vb. Bir BS denetçisinin tavır ve görünüĢü, her zaman bu durumlarda bağımsızlık açısından yeterli olmalıdır. BS Denetçileri, faaliyet ve arkadaĢlık iliĢkilerinin bağımsızlıklarını etkileyebileceklerini unutmamalıdırlar. BS Denetçilerinin bağımsızlıklarının algılanıĢ biçimi yaptıkları çalıĢmaların kabul ediliĢini etkileyebilir.

4.1.4 Eğer BS Denetçileri, bir durumun veya bir iliĢkinin bağımsızlıklarını zedeleyebileceğinin farkına varırlarsa denetim yönetimini ivedi olarak bilgilendirmelidirler.

4.2 Bilgi Toplama 4.2.1 BS Denetçileri, denetlenen kurumla ilgili bir anlayıĢ geliĢtirmek için edinilmesi gerekenler bağlamında bağımsızlıklarını

korumak amacıyla aĢağıdakileri gözden geçirmelidirler:

Bağımsız güvence süreci ile ilgili kurum politikaları ve usulleri

Denetim yönetmeliği, görev bildirisi, politikalar, usuller ve standartlar, ön raporlar ve denetim planları

Organizasyon Yapısı 4.3 Kontrollerin Değerlendirilmesi 4.3.1 BS Denetim planları, BS Denetçilerinin bağımsız olmaları gereken faaliyetleri tanımlamalıdır. BS Denetçilerinin bu

etkinliklerden bağımsız kalıĢları üst yönetici tarafından veya BS Denetim planlarını belirleyip onaylayan kiĢi tarafından sürekli izlenmelidir ve BS Denetim planı onaylamalıdır. Bu izleme, bireysel BS Denetçilerini özellikli görevlere atama sürecinin de bir değerlendirmesini içermelidir ve bu amacı bu sürecinin bağımsızlık ve yeterli yetenekleri sağladığını doğrulamaktır.

4.3.2 BS Denetçilerinin yürürlükteki meslek kurallarına uyduğuna dair onama her zaman gerçekleĢtirilmelidir. Birçok durumda, denetimin bağımsızlığını kanıtlamada bu onama yeterli olur. Eğer bir BS Denetçisinin bağımsızlığından ödün verildiğine dair gösterge var ise, denetim planının gözden geçirilmesi düĢünülmelidir.

5. RAPORLAMA 5.1 Raporlamaya Etkisi 5.1.1 BS Denetçilerinin bağımsızlığının zarar gördüğü ve denetçinin denetimle ilgisinin devam ettiği durumlarda bu durum

yönetime bildirilmeli ve raporda da belirtilmelidir. 6. YÜRÜRLÜK TARĠHĠ 6.1 Bu rehber, bütün BS Denetimleri için 1 Eylül 2000 tarihinden itibaren geçerlidir. Bu rehber 1 Ağustos 2008 tarihinde gözden

geçirilmiĢ ve güncellenmiĢtir.

64

G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S5 Planlama bildirimine Standardı :BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim

kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ Ģeklinde ifade eder. 1.1.2 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı: Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak

için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.

1.1.3 G15 BS Denetim Planlama Klavuzu Paragraf 2.4.1 ‗Denetim esnasında, önemli bütün konuların yeterince kapsanmasının makul güvencesini sağlamak için risk değerlendirmesi yapılmalıdır. Bu değerlendirme, görece yüksek riskli önemli sorunların var olduğu alanları tanımlamalıdır.‘ Ģeklinde ifade eder.

1.2 Usullerle Bağlantı 1.2.1 Bu yönetmelik, BS Denetim Usulü P1 BS Risk Değerlendirme Ölçümü ile bağlantılı kullanılabilir. 1.3 COBIT Bağlantısı 1.3.1 Özel denetimin kapsamına uygulanacak COBIT‘teki en çok ilgili materyalinin seçilmesine, belirli COBIT BT sürecinin

seçimine ve COBIT kontrol hedefleri ve ilgili yönetim uygulamalarına özel CobIT süreçlerinin ve varsayımlarının seçimine bağlıdır. BS Denetçileri ihtiyacı olan denetim kanıtlarının belgelendirmesi ihtiyacını karĢılamak için, COBIT‘teki en ilgili, olabilecek süreçler, seçilmiĢ ve uyarlanmıĢ olan en ilgili süreçler burada birincil ve ikincil olarak sınıflandırılmıĢtır.

1.3.2 PO9 BT Risklerini Değerlendirme ve Yönetme, iĢ ve operasyonel risk yönetim çerçevesi, risk değerlendirme, risklerin azaltılması ve kalıtsal risklerin iletilmesinin entegre eden bir risk yönetimi çerçevesinin geliĢtirilmesi konusuna odaklanarak, BT risklerinin ve bunların iĢ süreçlerine muhtemel etkilerinin analizi ve iletiĢimi için gereken BT‘lerin iĢ gereksinimlerini karĢılanmasını sağlar.

1.3.3 ME2 Ġç Kontrolleri izleme ve değerlendirme, BT ile ilgili faaliyetler ve geliĢtirici faaliyetlerin izlenmesine odaklanarak ET hedefleri ve BT ile ilgili yasalar ve düzenlemelerle uyumun baĢarılmasının korunması için BT iĢ gereksinimlerini sağlar.


ME3 Düzenlemelerle uyumu sağlamak

ME4 BT yönetiĢimini sağlamak 1.3.6 En ilgili bilgi kıstasları Ģunlardır:

Birincil: Gizlilik, bütünlük, eriĢebilirlik

Ġkincil: Etkinlik, verimlilik, uyumluluk ve güvenilirlik 1.4 Rehber Gereksinimi 1.4.1 BS Denetçisince, belli bir denetim hedeflerini baĢarmak için gerekli olan denetim iĢinin seviyesine, kiĢisel olarak karar verir.

Denetim bulgularına dayanarak yanlıĢ bir sonuca ulaĢma riski (denetim riski) bu kararın bir yönüdür. Diğer bir yünüyse denetlenen alanda hata oluĢma riskidir (hata riski). Mali denetimleri yaparken risk değerlendirmeleri için önerilen uygulamalar, mali denetçiler için denetim standartlarında iyi bir biçimde belgelendirilmiĢtir fakat bu tekniklerin BS Denetimlerine nasıl uygulanacağına dair rehber gerekmektedir.

1.4.2 Yönetimin üyeleri de kararlarını, kabul etmeye hazır oldukları risk seviyesinin değerlendirilmesi üzerinde ne kadar kontrolün uygun olduğu gerçeğine dayandırırlar. Örneğin, bilgisayar uygulamalarını tanımlı bir süre içinde uygulayamamak, beklenmedik ve istenmedik olaylardan kaynaklanan bir durum olabilir (örneğin veri merkezi yangını gibi). Bunlar uygun tasarlanmıĢ uygun kontrollerin uygulanmasıyla azaltılabilir. Bu kontroller ihtimallere dayalı tahminleri temel alırlar ve bu ihtimalleri azaltmayı amaçlarlar. Örneğin bir yangın alarmı yangınları önlemez fakat yangının yol açacağı hasarı azaltmaya yardımcı olur.

1.4.3 Bu rehber, BS Denetim Standartlarını uygulamada yol göstericilik sağlar. BS Denetçisi, standartlar S5 ve S6‘nın uygulanmasının sağlanmasıyla ilgili bu Rehberi göz önünde bulundurmalı ve uygulanması sırasında mesleki yargılarını kullanmalı ve herhangi bir sapmayı gerekçelendirmeye hazır olmalıdırlar.

2. PLANLAMA 2.1 Risk Değerlendirme Yönteminin Seçilmesi 2.1.1 BS Denetçisinin, çok sayıda uygun risk değerlendirme yöntemi seçeneği vardır. Bunlar, BS Denetçisinin yargılarına bağlı

olarak, basit sınıflandırmadan, yüksek, orta ve düĢük sınıflandırmaya ve karmaĢık ve sayısal risk oranlaması yaparak bilimsel hesaplamalar sağlayan çeĢitlerine kadar geniĢ bir yelpazede yer alırlar. BS Denetçileri, denetlenen kuruma göre karmaĢıklık seviyesi ve uygun ayrıntıları dikkate almalıdır.

2.1.2 BS Denetçileri, kurumun, sistem varlığını destekleyen kontrollerin kaybından veya veri bütünlüğü ve iĢ bilgi gizliliğinden kaynaklanan risklerinin bir analizini en az bir metodolojiyle sağlamalıdırlar.

2.1.3 Bütün risk değerlendirme yöntemleri, süreçlerin bazı noktalarında kiĢisel yargılara dayanırlar (örneğin muhtemel parametreleri ek ücretlendirme gibi). BS Denetçisi, kiĢisel kararları gerekli ise kullanacağı yöntemi tanımlamalı ve bu yargıların uygun doğruluk seviyesinde alınıp alınamayacağını ve geçerli olup olmayacağını dikkate almalıdır.

2.1.4 BS Denetçileri, hangisinin en uygun risk değerlendirme yöntemi olduğunu belirlemede, aĢağıdaki noktaları göz önünde bulundurmalıdırlar:

Toplanması gereken bilgi çeĢidi (bazı sistemler mali etkileri tek ölçüt olarak kullanırlar-bu BS Denetçileri için her zaman uygun değildir).

Yöntemi kullanmak için gereken yazılım veya diğer lisansların maliyeti

Gereken bilginin hali hazırda mevcut olup olmadığı

65

G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı(Devamı)

Güvenilir sonuç almadan önce toplanması gereken ek bilgi miktarı ve bu bilgi toplamanın maliyeti (toplama sırasında harcanacak olan zaman dahil)

Yöntemin diğer kullanıcılarının düĢünceleri ve denetimlerinin etkinliliğini ve/veya etkililiğinin geliĢtirilmesinde bunun kendilerine ne derecede yardımcı olduklarına dair görüĢleri

Yönetimin, denetimin çeĢidini ve seviyesini belirlemede araç olarak kullanmak üzere yönetimi kabul etmedeki istekliliği 2.1.5 Hiçbir basit risk değerlendirme yönteminin, bütün durumlar uygun olması beklenemez. Denetimleri etkileyen Ģartlar zaman

içerisinde değiĢebilir. BS Denetçisi, belirli zamanlarda seçilen risk değerlendirme yöntemlerinin uygunluğunu yeniden değerlendirmelidir.

2.2 Risk Değerlendirmenin Kullanımı 2.2.1 BS Denetçileri, bütün denetim planını geliĢtirmede ve özel denetimler planlarken seçilen risk değerlendirme tekniklerini

kullanmalıdırlar. Risk değerlendirme, diğer denetim teknikleriyle birlikte, planlama kararları verilirken aĢağıdakileri göz önünde bulundurulmalıdır:

Denetim usullerinin doğası, sınırları ve zamanlamaları

Denetlenecek olan alanlar ve iĢ birimleri,

Bir denetime ayrılacak olan zaman ve kaynak miktarı 2.2.2 BS Denetçisi, aĢağıdaki her bir risk çeĢidinin tüm seviyelerini belirlemek için dikkate almalıdır:

Kalıtsal risk

Kontrol riski

Tespit riski 2.3 Kalıtsal Risk 2.3.1 Kalıtsal risk, herhangi bir iç kontrolün bulunmadığı varsayıldığında, kendi baĢına veya diğer hatalarla birlikte bileĢke olan, bir

Ģekilde önemli hataların yapılmasında denetim alanının hassasiyetidir. Örneğin, iĢletim sisteminin güvenliğiyle ilgili kalıtsal risk, iĢletim sistemi güvenlik zafiyeti yoluyla verilerin değiĢtirilmesi veya açıklanması yanlıĢ yönetim bilgisine veya rekabetçi dezavantaja yol açtığı için normalde yüksektir. Aksine, tek bir bilgisayarın güvenliği ile ilgili Kalıtsal Risk, hakiki analizler gösteriyor ki iĢle ilgili kritik amaçlar için kullanılmadığı takdirde, normalde düĢüktür.

2.3.2 Çoğu BS Denetim alanlarında, kalıtsal risk çünkü potansiyel hataların etkilerinin birkaç iĢ sistemi ve birçok kullanıcıya yayılmasından dolayı normalde yüksektir.

2.3.3 BS Denetçisi, kalıtsal riski değerlendirirken yaygın ve ayrıntılı BS kontrollerini birlikte göz önüne almalıdır. Bu, BS Denetçisinin görevinin sadece yaygın BS kontrolleriyle ilgili olduğu yer ve durumlarda uygulanamaz.

2.3.4 BS Denetçisi, yaygın BS kontrol seviyesinde denetlenen alanın uygun seviyesinde aĢağıdaki konuları dikkate almalıdır:

BS Yönetiminin dürüstlüğü ve BS yönetiminin tecrübesi ve bilgisi

BS Yönetiminde olan değiĢiklikler

BS Yönetimine, bilgiyi örtbas etmeleri ve gerçeğe aykırı beyanata zorlamak için yapılan baskılar (örneğin büyük kritik proje bitiĢ süreleri, sanal korsanlar vb)

Kurumun iĢ ve sistemlerinin doğası (örneğin e-ticaret planları, sistemlerin karmaĢıklığı, bütünleĢik sistem olmayıĢı gibi)

Kurumun endüstrisini bir bütün olarak etkileyen etmenler (örneğin teknolojideki değiĢiklikler, BS personeli bulunması vb)

Üçüncül tarafların denetlenen sistem kontrolüne etkilerinin seviyesi (örneğin tedarik zinciri bütünleĢikliği sebebiyle, dıĢarıdan BS sürecinin satın alınması, kurumsal iĢ ortakları ve müĢterilerin doğrudan eriĢimi gibi)

Önceki denetimler tarihinden ve denetimden gelen bulgular 2.3.5 BS Denetçisi, detaylı BS kontrol seviyesinde denetlenen alan için uygun seviye için aĢağıdaki soruları dikkate

almalıdır:

Denetlenen alandaki önceki denetimlerin tarihleri ve bulguları

Sürece dahil olan sistemlerin karmaĢıklığı

Gerekli el ile müdahalenin seviyesi

Sistem tarafından kontrol edilen varlıkların kayıp veya suiistimal hassasiyeti (döküm, ücret bordosu gibi)

Denetim süresince belli zamanlarda faaliyetlerin doruk noktalara ulaĢması olasılığı

Günlük rutin BS süreci dıĢındaki etkinlikler (iĢletim sistemi araçlarının veri değiĢtirmek için kullanılması gibi)

BS kontrollerini uygulayacak olan personel ve yönetimin dürüstlük, deneyim ve yetenekleri 2.4 Kontrol Riski 2.4.1 Kontrol riski, önemli olabilecek tek bir veya diğer hatalarla birlikte olabilecek bir hatanın, denetlenen bir alanda olması ve

zamanında iç kontrol sistemi tarafından önlenememesi, tespit edilememesi ve veya düzeltilememesidir. Örneğin, bilgisayar kayıtlarının kiĢisel incelenmesi ile ilgili riskler yüksek olabilir, çünkü soruĢturma gerektiren faaliyetler kaydedilen bilgilerin büyüklüğünden dolayı genellikle kolayca dikkatten kaçabilir. Bilgisayarlı veri onayı ile ilgili kontrol riski iĢlemlerin sürekli bir biçimde uygulanmasından dolayı genellikle düĢüktür,

2.4.2 BS Denetçisi, kontrol riskini ilgili iç kontroller aĢağıdaki gibi olmadığı sürece yüksek olarak değerlendirmelidir:

Ġç kontrollerin tanımlanmaması,

Ġç kontrollerin etkin olarak değerlendirilmemesi

Ġç kontrollerin uygun biçimde iĢleyip iĢlemediğinin test edilmemiĢ olması ve onaylanmaması.

66

G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı(Devamı) 2.5 Tespit Etme Riski 2.5.1 Tespit etme riski, BS Denetçilerinin büyük ölçekli süreçlerde önemli olabilecek, bir hatayı veya diğer hatalarla bileĢik bir

hatayı belirleyememesi riskidir. Örneğin, güvenlik açıkları ile ilgili belirleme riski genellikle yüksektir çünkü denetim anında denetimin bütün süresi için tutulan kayıtlar mevcut değildir. Bir felaket kurtarma planlarının olmayıĢındaki belirleme riski normalde düĢüktür çünkü bunların varlığı kolayca onaylanabilir.

2.5.2 Gereken büyük ölçekli testlerin seviyesini belirlemede BS Denetçileri aĢağıdakileri göz önünde bulundurmalıdırlar:

Kalıtsal riskin değerlendirmesi

Uyum testinin sonrasında kontrol riski konusunda varılan sonuç 2.5.3 Kalıtsal ve kontrol riski değerlendirmesi ne kadar yüksekse, BS Denetçilerinin denetim usullerinden o kadar yüksek denetim

kanıtı sağlamalıdır. 3. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 3.1 Belgelendirme 3.1.1 BS Denetçileri, belli bir denetim için kullanılan risk değerlendirme tekniklerini veya yöntemini belgelendirmeyi düĢünmelidirler.

Bu belgelendirme normalde Ģunları içermelidir:

Kullanılan risk değerlendirme yönteminin bir tanımı

Önemli açıklar ve ilgili risklerin tanımı

Denetimin kapsaması öngörülen risk ve açıklar

BS Denetçisinin risk değerlendirmesini destekleyecek denetim kanıtı 4. YÜRÜRLÜK TARĠHĠ 4.1 Bu rehber, bütün BS Denetimleri için 1 Eylül 2000 tarihinden itibaren etkindir. Bu rehber, 1 Ağustos 2008 gözden geçirilmiĢ

ve güncellenmiĢtir.

67

G14 Uygulama Sistemleri Ġncelemesi 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı: ―Denetim amaçlarına ulaĢmak için denetim boyunca BS Denetçisi,

yeterli, güvenilir ve iliĢkili kanıtları elde etmek durumundadır‖ Ģeklinde ifade eder. 1.2. CobIT Bağlantısı 1.2.1. Belirli bir denetim kapsamına uygulanacak en uygun CobIT materyalinin seçimi, belirli CobIT BT süreçlerinin seçimine, CobIT

kontrol hedeflerinin seçimine ve bağlantılı yönetim uygulamalarına dayanır. BS denetçisinin G 14 Uygulama Sistemleri gözden geçirme ihtiyacını karĢılamak için CobIT‘teki en uygun süreçler seçilmiĢ ve aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilecek ve uyarlanacak süreçler ve kontrol hedefleri, görevlendirmenin veya iĢ anlaĢmasının belirlediği kapsama ve Ģartlara göre değiĢebilir.

1.2.2 Birincil BT süreçleri:

P09 BT Risklerinin Değerlendirilmesi,

AI2 Uygulama Yazılımlarının Edinilmesi ve GeliĢtirilmesi

DS5 Sistemlerin Güvenliğinin Sağlanması

ME2 Ġç Kontrolün Ġzlenmesi ve Değerlendirilmesi

1.2.3. Ġkincil BT süreçleri :

P09 BT Ġnsan Kaynaklarının Yönetilmesi

P08 Kalite Yönetimi

A16 DeğiĢiklik Yönetimi

DS3 Performans ve Kapasite Yönetimi

DS10 Sorunların Yönetimi

DS11 Veri Yönetimi

1.2.4. Uygulanma sistemlerinin gözden geçirilmesiyle ilgili en uygun bilgi kriterleri: Birincil:EriĢilebilirlik, güvenilirlik, bütünlük ve gizlilik Ġkincil: Uyum, etkililik, etkenlik 1.3. Rehber Gereksinimi 1.3.1. Bu Rehberin amacı, bir uygulama sistemi incelemesi yapılırken önerilen uygulamaları tanımlamaktır. 1.3.2. Bir uygulama sistemi incelemesinin amacı, kontrol hedeflerine ulaĢmak için bir kurum tarafından uygulanan bir uygulama

üzerindeki kontrolleri tanımlamak, belgelendirmek, test etmek ve değerlendirmektir. Bu kontrol hedefleri, sistem üzerindeki kontrol hedefleri ve ilgili veriler olarak sınıflandırılabilirler.

2. PLANLAMA 2.1 Planlama Varsayımları 2.1.1 Planlamanın tamamlayıcı bir parçası, BS Denetçisinin sistemlerin büyüklüğü ve karmaĢıklığını ve kurumun bilgi sistemlerine

bağımlılığının sınırlarını belirlemek için, kurumun bilgi sistemleri ortamının anlaĢılmasıdır. BS Denetçisi, kurumun misyonu ve iĢ hedefleri, bilgi teknolojisi ve bilgi sistemlerinin kurumu desteklemek için nasıl kullanıldığı ve kurumun bilgi sistemleri ile amaçları arasındaki riskler hakkında bilgi elde etmelidir. Ayrıca, kurumun ana BS personelinin sorumlulukları ve rolleri ve uygulama sistemi iĢ süreci sahibi ile ilgili bilgiler de edinmelidir.

2.1.2 Planlamanın birincil hedefi, uygulama seviye risklerinin tanımlanmasıdır. Göreceli risk seviyesi, gerekli denetim kanıtı seviyesini etkiler.

2.1.3 Sistem ve veri seviyesinde uygulama seviye riskleri aĢağıdaki gibi noktaları içerir:

Sistem iĢlem yeteneğinin olmamasıyla ilgili sistem eriĢebilirliği riskleri

Sistemlere ve/veya verilere yetkisiz eriĢimle ilgili sistem güvenlik riskleri

Verilerin doğru olmayan bir biçimde, tamamlanmaksızın, yetkisiz ve zamansız iĢlenmesiyle ilgili sistem bütünleĢikliği riskleri

Gerektiğinde güncellemenin yapılamamasından kaynaklanan sistem bakım riskleri

Verilerin bütünlüğü, gizliliği, özelliği ve doğruluğu ile ilgili veri riskleri 2.1.4 Uygulama seviyesi risklerini kapsayan kontroller, sistemde oluĢturulmuĢ bilgisayarlı kontroller, elle kontroller veya bunların

bileĢimleri Ģeklinde olabilir. Örnek olarak, bilgisayardaki belgelerin eĢleĢmesi (satın alma sipariĢi, fatura ve mal alındı raporu gibi), bilgisayarın ürettiği çıktının kontrolü ve imzalanması, istisna raporlarının üst yönetim tarafından incelenmesi sayılabilir.

2.1.5 ProgramlanmıĢ kontrollere güven olduğu durumlarda, denetim amacıyla özel olarak ilgili kontroller ve genel BT kontrolleri düĢünülmelidir. Genel BT kontrolleri, fiziksel kontroller, sistem seviyesi güvenliği, ağ yönetimi, veri yedekleme ve acil durum planlama gibi konuları içeren ayrı bir incelemenin konusu olabilirler. BS Denetçisi, Ġncelemenin kontrol amaçlarına bağlı olarak genel kontrolleri incelemeye gereksinim göstermeyebilir.

68

G14 Uygulama Sistemleri Ġncelemesi(Devamı)

2.1.6 Bir paket uygulama sistemi, edinme için değerlendiriliyorlarsa, uygulama sistemi üretime girmeden önce ve uygulama sistemi üretime girdikten sonra uygulama sistem incelemeleri gerçekleĢtirilebilir. Uygulama öncesi uygulama sistemi incelemesinin kapsamı, uygulama seviyesi güvenliğinin mimarisini, güvenlik uygulamasının planlarını, sistem ve kullanıcı belgelendirmesinin yeterliğini ve planlanmıĢ ve gerçekleĢmiĢ kullanıcı kabul testlerinin yeterliğini içerir. Uygulama sonrası inceleme kapsamı, uygulamadan sonraki uygulama seviye güvenliğini içerir ve eğer eski sistemden yeni sisteme ana kütükten bilgi veya bir veri aktarımı olmuĢsa sistem dönüĢümünü kapsayabilir.

2.2.1 Bir Uygulama Sistemi Ġncelemesinin hedeflerini ve kapsamını, genellikle iĢ anlaĢması oluĢturur. ĠĢ anlaĢmasının, biçim ve içeriği değiĢebilir fakat aĢağıdakileri içermelidir:

Ġncelemenin hedefleri ve kapsamı

Ġncelemeyi yapan BS Denetçisi/Denetçileri

BS Denetçisi/Denetçilerinin projeden bağımsızlığıyla ilgili ifadesi

Ġncelemenin ne zaman baĢlayacağı

Ġncelemenin zaman çerçevesi

Raporlama düzenlenmesi

KapanıĢ toplantısı düzenlenmesi

Hedefler, 7 COBIT bilgi kıstasını karĢılayacak biçimde geliĢtirilmiĢtir ve daha sonra kurum tarafından üzerinde anlaĢılmıĢtır.

Söz konusu 7 COBIT bilgi kıstasları:

Etkinlik

Verimlilik

Gizlilik

Bütünlük

EriĢebilirlik

Uyumluluk

Bilginin güvenilirliği 2.1.8 Bir uygulama sisteminin bakım, uygulama, edinme ve geliĢiminde BS Denetçisinin daha önceden katılımı varsa ve bir

denetim görevi verilmiĢse, BS Denetçisinin bağımsızlığı zarar görmüĢ olabilir. BS Denetçisi, bu tür durumlarla nasıl baĢa çıkacağını anlamak için uygun rehberlere baĢvurmalıdır.

3. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 3.1 ĠĢlemlerin AkıĢının Belgelendirmesi 3.1.1 Bilgi toplama, sistemin hem bilgisayarla hem de elle yapılan yönlerini kapsamalıdır. Odak noktaları, denetim amacı için

önemli olan veri girdisinde (elektronik veya elle), süreçlerde, depolamada ve çıktılar üzerinde olmalıdır. BS Denetçisi, iĢ sürecine ve teknolojinin kullanımına bağlı olarak, iĢlemlerin akıĢının belgelendirmesinin pratik olmayacağını düĢünebilir. BS Denetçisi, bu durumda yüksek seviye bir veri akıĢ çizelgesi veya varsa sistem belgelendirmesi hazırlamalıdır. Diğer sistemlerle uygulama arayüzlerine de özen gösterilmelidir.

3.1.2 BS Denetçisi, gözden geçirme testi gibi usulleri uygulayarak belgelendirmeyi doğrulayabilir. 3.2 Uygulama Sistem Kontrollerini Tanımlamak ve Test Etmek 3.2.1 BS Denetçisi kontrollerin planlandığı gibi çalıĢtığına güvence sağlamak için, uygulama risklerini azaltacak özel kontrolleri tanımlanmalı ve yeterli denetim kanıtı elde edilmelidir. Bu, aĢağıdaki maddeler yoluyla yapılabilir:

AraĢtırma ve gözlemleme

Belgelendirmenin incelenmesi

Programlı kontrollerin denendiği durumlarda uygulama sistem kontrollerinin test edilmesi, BDDT‘nin kullanımı düĢünülebilir.

3.2.2. Test etmenin özelliği, zamanlaması ve sınırları, inceleme altındaki alanın risk seviyesine ve denetim amaçlarına dayandırılmalıdır. BS Denetçisi, güçlü genel BT kontrollerinin olmadığı durumlarda bu zayıflığın bilgisayarlı uygulama kontrollerinin güvenilirliği üzerindeki etkisini değerlendirebilir. 3.2.3. BS Denetçisi bilgisayarlı uygulama kontrollerinde önemli bir zayıflık bulursa, mümkün ise manuel gerçekleĢtirilen süreci kontrollerinden (denetim amacına bağlı olarak). güvence elde edilmelidir 3.2.4. BilgisayarlaĢmıĢ kontrollerinin etkililiği, güçlü genel BT kontrollerine bağlıdır. Bu yüzden, eğer genel BT kontrolleri Ġncelenmemesi, uygulama kontrollerine güvenilmesi önemli derecede sınırlandırılacaktır ve bilgisayarlı uygulama kontrollerine seçenek oluĢturabilecek usuller düĢünmelidir. 4. RAPORLAMA 4.1 Zayıflıklar 4.1.1 Uygulama incelemesinde tanımlanan kontrol eksikliğinden veya uyumsuzluktan kaynaklanan zayıflıklar, iĢ süreci sahibinin ve

uygulamayı desteklemekten sorumlu BS yönetiminin dikkatine sunulmalıdır. Uygulama sistemleri incelemesindeki zayıflıkların kayda değer veya önemli olduğunun düĢünüldüğü durumlarda, uygun yönetim seviyesi ivedi olarak düzeltici etkinliğe baĢlamaları için uyarılmalıdır.

69

G14 Uygulama Sistemleri Ġncelemesi(Devamı)

4.1.2. Etkin bilgisayarlı uygulama kontrolleri, genel BT kontrollerine bağlı olduklarından dolayı bu alandaki zayıflıklar da rapor edilmelidir. Genel BT kontrollerinin incelenmediği durumlarda, bu gerçeğe raporda yer verilmelidir.

4.1.3. BS Denetçisi, raporunda kontrolleri güçlendirmek için uygun önerilere yer vermelidir. 4. YÜRÜRLÜK TARĠHĠ 4.1 Bu rehber, bütün BS Denetimleri için 1 Kasım 2001 tarihinden itibaren etkindir.

70

G15 Denetimin Planlanması 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S5 Planlama Standardı, BT denetim ve güvence uzmanları, bilgi sistemleri (BS) denetimi kapsamını denetim hedeflerine

iĢaret edecek ve yürürlükteki yasalarla ve mesleki denetim standartlarıyla uyumlu olarak planlamalıdırlar. Bunlar, aĢağıdakileri geliĢtirmeli ve belgelemelidirler: • Risk temelli bir denetim yaklaĢımı • Gereken kaynakları, hedef ve doğasını, zamanlama ve kapsamının, hedeflerinin ayrıntılandıran bir denetim planı. • Denetimi tamamlamak için ihtiyaç duyulan denetim süreçlerinin zamanlama ve uzunluğunu ve doğasını ayrıntılandıran bir denetim programı ve/veya planı.

1.1.2 BT denetim ve güvence uzmanları, S11 Denetim Planında Risk Değerlendirmesinin Kullanımı Standardı bildirimine göre aĢağıdakileri yapmalıdırlar: • Bütün BT planını geliĢtirmede ve BT denetim kaynaklarının etkili dağılımı için öncelikleri belirlemede uygun bir risk değerlendirme tekniği ya da yaklaĢımı kullanmak • Bireysel gözden geçirmeleri planlarken, denetlenen alanla ve bunun iliĢkide olduğu denetlenebilir diğer alanlarla ilgili riskleri tanımlamak ve değerlendirmek

1.1.3 BT denetim ve güvence uzmanları, S12 Denetim Önemliliği Standardı bildirimine göre aĢağıdakileri göz önünde bulundurmalıdırlar: • Denetim usullerinin doğasını, zamanlamasını ve süresini belirlerken denetimin önemliliği ve bunun denetim riski ile iliĢkisi • Denetim planlaması yapılırken, kontrollerin olmaması ya da muhtemel zayıflıkları ve bu olmamanın ya da zayıflıkların bilgi sistemlerinde muhtemel açıklarla ya da somut zayıflıklarla sonuçlanıp sonuçlanmadığı • Küçük kontrol açıklarının ya da zayıflıklarının ve kontrollerin olmamasının toplam etkisinin bilgi sisteminde önemli açıklara ya da somut zayıflılara dönüĢmesi

1.2. CobIT Bağlantısı 1.2.1 Belli bir denetim kapsamında uygulanabilir en ilgili COBIT materyalinin seçimi, belli COBIT BT süreçlerinin seçimine ve

COBIT kontrol amaçlarının ve ilgili yönetim uygulamalarıyla iliĢkisini dikkate alınmasına bağlıdır. BT Denetim ve güvence uzmanlarının planlama ihtiyacını karĢılamak için, aĢağıdaki gibi birincil ve ikincil olarak sınıflandırılan ve COBIT‘teki süreçlerle en iliĢkili olabilen seçilir ve uyumlaĢtırılır. Seçilen ve uyarlanan süreç ve kontrol hedefleri, görevin özel kapsam ve Ģartlarına uygun biçimde değiĢebilir.

1.2.3. Birincil BT süreçleri:

• ME1 BT performansı izlemek ve değerlendirmek • ME2 İç kontrol izlemek ve değerlendirmek • ME3 Dışsal gerekliliklere uygunluğu sağlamak

1.2.4. Ġkincil BT süreçleri: • ME4 BT yönetişimi sağlamak

1.2.5 En ilgili bilgi ölçütleri: • Birincil: Etkililik, etkinlik, eriĢilebilirlik ve uygunluk • Ġkincil: Gizlilik, bütünlük ve güvenirlik

1.3 Kılavuz Ġhtiyacı 1.3.1. Bu kılavuzun amacı, ITAF Standardı S5: BT Güvencesi Uzman Uygulama Çerçevesi‘nde belirtilen planlama süreçleri

unsurlarını tanımlamaktır. 1.3.2. Bu kılavuz, ayrıca CobIT hedeflerini karĢılayacak denetim süreçlerinin planlamasını sağlar. 2. Ġġ HAZIRLIK EYLEMLERĠ 2.1 Amaç 2.1.1 ĠĢ hazırlık eylemlerini gerçekleĢtirmenin amacı, BT denetim ve güvence uzmanlarının, denetim iĢini planlama ve

gerçekleĢtirme ve denetim riskini kabul edilebilir düzeyde bir düĢüklüğe indirme yeteneklerini olumlu etkileyebilecek her türlü koĢul ve olayı dikkate almalarını sağlamaya yardımcı olur. Bu iĢ hazırlık eylemlerini gerçekleĢtirmek, denetim iĢi planlarının aĢağıdakileri içermesini sağlamasına yardım eder: • BT denetim ve güvence uzmanları gerek duyulan bağımsızlığı ve iĢi gerçekleĢtirme yeteneğini sürdürürler • BT denetim ve güvence uzmanları yönetimle, iĢi sürdürme isteklerini etkileyebilecek dürüstlük sorunları yaĢamazlar • MüĢteri ile sözleĢme koĢullarıyla ilgili olarak bir yanlıĢ anlaĢılma söz konusu olmaz

2.2. Faaliyetler 2.2.1. BT denetim ve güvence uzmanları süreçleri, müĢteri iliĢkileri ve özel denetim iĢi sürekliliğini usüllerini gerçekleĢtirmelidir. Sürekli

denetim iĢi için, bu tür ilk süreçler bir önceki denetimle bağlantılı olarak ya da bir önceki denetim bittikten çok kısa bir süre sonra ortaya çıkarlar.

2.2.2. BT denetim ve güvence uzmanları, bağımsızlık da dâhil olmak üzere etik gerekliliklere uygunluğu değerlendirmelidirler. BT denetim ve güvence uzmanlarının hem müĢterinin sürekliliği ve (bağımsızlığı da içeren) etik gerekliliklerin değerlendirilmesi süreçleri yapılmakta olan denetim iĢinin diğer önemli eylemleri gerçekleĢtirilmeden önce gerçekleĢtirilir.

2.2.3. BT denetim ve güvence uzmanları, iĢ koĢullarının anlayıĢını geliĢtirmelidirler.

71

G15 Denetim Planlaması devamı 3. PLANLAMA 3.1. Denetim Stratejisi 3.1.1. BT denetim ve güvence uzmanları, iĢi, iĢin etkili bir yolla gerçekleĢmesini sağlayacak ve denetim için genel denetim stratejisini

oluĢturacak biçimde planlamalıdırlar. Yeterli planlama, denetimin önemli alanlarına uygun dikkatin sarf edilmesini, muhtemel sorunların tanımlanmasına ve zamanında çözülmesine, denetim iĢinin etkili ve etkin bir yoldan gerçekleĢtirilmesi için uygun biçimde örgütlenmesini ve yönetilmesini sağlamaya yardımcı olur.

3.1.2. Açık bir proje tanımı, proje etkililiğini ve etkinliğini sağlamada kritik bir etmendir. Denetim projesi, iĢ tanımı aĢağıdaki konuları içermelidir:

• Denetlenecek alanlar • Planlanan iĢin türü • Yüksek düzey hedefler ve iĢin kapsamı • Konular, örneğin, bütçe, kaynak dağılımı, program tarihleri, rapor türü, hedef kitle • Uygulanabilir olması durumunda iĢe dair diğer genel konular

3.1.3. Bir iç denetim birimi için, bütünsel bir risk temelli denetim planı, sürmekte olan etkinlikler için en azından yıllık olarak geliĢtirilmeli/güncellenmelidir. Bu yüksek düzey plan, denetim etkinlikleri için bir çerçeve olarak hareket etmeli ve denetim yönetmeliğinde belirtilen sorumluluklara iĢaret etmeye hizmet etmelidir.

3.1.4. Bir plan, normalde her bir denetim görevi için hazırlanmalıdır. Plan, denetimin hedeflerini belgelemelidir. 3.1.5. Her denetim projesi, genel denetim planına gönderme yapmalı ya da yürütülen iĢin diğer ilgili açılarıyla birlikte özel

zorunlulukları ve hedefleri belirtmelidir. 3.1.6. BT denetim ve güvence uzmanları, denetlenenle, denetim alanıyla ve ilgili teknoloji altyapısıyla ilgili hedefleri dikkate aldıkları

bir denetim planı geliĢtirmelidirler. Uygun olan yerlerde, denetlenen alana ve bu alanın kuruluĢla (stratejik, mali ve/veya iĢletimsel) iliĢkisini ayrıca dikkate almalı ve BT stratejik planı ve denetlenenle ilgili diğer ilgili belgelerin bilgisini de içeren stratejik planla ilgili bilgi edinmelidirler.

3.1.7. BT denetim ve güvence uzmanları, denetlenenin o anki ve uygun olan yerlerde gelecekteki teknolojisi için uygun bir plan tasarlayabilmekte denetlenenin teknolojik yönelimini ve bilgi mimarisi anlayıĢını edinmelidir.

3.2. KuruluĢun Bilgisi 3.2.1. Denetlenenin iĢini ve karĢı karĢıya olduğu riskleri anlamak, dolandırıcılık ya da uygunsuz uygulamalara en duyarlı alanlara

odaklanan etkili bir denetim planı geliĢtirmede kritik bir adımdır. 3.2.2. Bir denetim projesine baĢlamanda önce, BT denetim ve güvence uzmanlarının iĢi, denetim hedeflerini karĢılamak için uygun

bir yoldan planlanmalıdır. Planlama sürecinin bir parçası olarak, bunlar kuruluĢun ve süreçlerin anlayıĢını edinmelidirler. BT denetim ve güvence uzmanlarına kuruluĢun iĢletimlerinin ve BT gerekliliklerinin anlayıĢını kazandırmak, gözden geçirilen BT kaynaklarını kuruluĢun hedefleriyle iliĢkilendirmede onlara yardımcı olacaktır. BT denetim ve güvence uzmanları ayrıca, denetim iĢinin kapsamını oluĢturmalı ve denetlenen birim üzerinde iç kontrol hazırlık değerlendirmesi gerçekleĢtirmelidirler.

3.2.3. BT denetim ve güvence uzmanının gereksindiği kuruluĢun bilgisinin kapsamı ve süreçleri, kuruluĢun doğası ve yürütülmekte olan denetim iĢinin ayrıntı düzeyi tarafından belirlenecektir. BT denetim ve güvence uzmanları, sıra dıĢı ya da karmaĢık iĢlemlerle ilgili olarak özel bir bilgiye gerek duyabilirler. KuruluĢa ve süreçlerine dair daha yoğun bilgi, denetim hedeflerinin kısıtlı sayıdaki BT birimlerinden ziyade geniĢ kapsamlı bir BT birimleri kapsamına sahip olması durumunda doğal olarak gerekli olacaktır. Örneğin, özel kütüphane sistemi programı kontrolleri testi hedefine kıyasla kuruluĢun bordro sistemi üzerindeki kontrolleri hedefleyen bir denetim normal olarak kuruluĢa dair daha derin bir anlayıĢ edinmeyi gerektirecektir.

3.2.4. BT denetim ve güvence uzmanları, denetim projesinin konusu olan özel kuruluĢ, süreç, birim, süreç ve veri gibi önemli etkilere sahip olan uygulamalar, iĢlemler, olaylar ve personel türü hakkında bir anlayıĢ kazanmalıdırlar. KuruluĢ bilgisi, kuruluĢun karĢı karĢıya olduğu iĢe dair, mali ve kalıcı risklerle kuruluĢun içinde yer aldığı pazar koĢullarını ve kuruluĢun hedeflerini gerçekleĢtirmek için kullandığı dıĢ kaynakların kapsamını da içermelidir. BT denetim ve güvence uzmanları, bu bilgileri muhtemel sorunları tanımlamakta, hedefleri ve çalıĢma kapsamını biçimlendirmekte, iĢi yürütmekte ve yönetimin uyarılmasını gerektiren yönetim eylemlerini dikkate almada kullanmalıdırlar.

3.3 Önemlilik 3.3.1. Planlama sürecinde, BT denetim ve güvence uzmanları, denetim hedeflerini gerçekleĢtirmek için denetim iĢinin yeterli olacak

olması ve denetim iĢinin denetim kaynaklarını etkin kullanacak olması gibi planlama önemlilik düzeylerini düzenli olarak oluĢturmalıdırlar. Örneğin, var olan bir sistemin denetiminde BT denetim ve güvence uzmanı, yürütülmekte olan iĢ için denetim programı planlamasında çeĢitli sistem unsurlarının önemliliğini değerlendirecektir. Önemliliğin belirlenmesinde hem niteliksel hem de niceliksel noktalar dikkate alınmalıdır.

3.4. Risk Değerlendirmesi 3.4.1. BT denetim ve güvence uzmanları, denetim riskini kabul edilebilir düzeye indirerek denetimi gerçekleĢtirmek için bir denetim

planı geliĢtirmelidirler. 3.4.2. Denetim iĢi boyunca bütün somut unsurların yeterince kapsandığının makul bir güvencesini sağlamak için bir risk

değerlendirmesi gerçekleĢtirilmelidir. Bu değerlendirme, görece daha yüksek ihtimalle somut sorunları içerebilecek alanları tanımlamalıdır.

3.4.3. KuruluĢun BT çevresi ve denetim altındaki alan için risk değerlendirmesi ve tanımlanan risklere önceliklendirilmesi, ihtiyacı tam olarak karĢılanıncaya kadar gerçekleĢtirilmelidir.

72

G15 Denetim Planlaması devamı

3.5. Ġç Kontrol Değerlendirmesi

3.5.1. Denetim ve güvence projeler, doğrudan proje hedeflerinin bir parçası olarak ya da projenin bir parçası olarak toplanan

bilgilerin güvenirliğinin temelini oluĢturması dolayısıyla iç kontrolleri dikkate almayı içermelidirler. Ġç kontrollerin

değerlendirilmesinin hedef olduğu yerlerde, BT denetim ve güvence uzmanlarının bu kontrolleri denetlemek için gerekli

olacak kapsamı dikkate almaları gerekmektedir. Belli bir zaman diliminde kontrollerin etkililiğinin değerlendirilmesini N hedef

olması durumunda denetim planı, denetim hedeflerini gerçekleĢtirecek uygun süreçleri içermeli ve bu süreçler kontrollerin

uygunluk testini içermelidir. Hedefin, bir zaman diliminde kontrollerin etkililiğini değerlendirmek olmasından ziyade bir zaman

noktasındaki kontrolleri tanımlamak olması durumunda, kontrollerin uygunluk testi yapılmayabilir.

3.5.2. BT denetim ve güvence uzmanları iç kontrolleri, denetimin bir parçası olarak toplanan bilginin desteklediği kontrol süreçlerine

güvenme amacıyla değerlendirdiklerinde, bu değerlendirme temelinde denetim planı oluĢturmalı ve kontrol değerlendirmesi

hazırlığını gerçekleĢtirmelidirler. Denetim süresince, BT denetim ve güvence uzmanları, test boyunca hangi kontrollere

güvenilebileceğini belirlemede bu testin uygunluğunu göz önünde bulundurmalıdırlar. Örneğin, veri dosyalarını kontrol

etmede kullanılacak bir bilgisayar programında, BT denetim ve güvence uzmanı, programların yetkisiz değiĢikliklerden ne

dereceye kadar korunduğunu belirlemeyi amaçlayan denetim için kullanılan programları içeren kitaplığın kontrollerini

değerlendirmelidir.

4. DENETĠMĠN SÜRESĠ BOYUNCA DEĞĠġĠKLĠKLER

4.1. Strateji ve Planlama

4.1.1. Genel denetim stratejisi ve denetim planı, denetim süresi boyunca gerekli olması durumunda güncellenmeli ve

değiĢtirilmelidir.

4.1.2. Planlanan bir denetim, sürekli ve yinelenen bir süreçtir. Beklenmeyen olaylar, koĢullardaki değiĢiklikler ya da denetim

süreçleri sonuçlarından elde edilen denetim kanıtları sonucunda BT denetim ve güvence uzmanları, sonraki süreçlerin

planlanmıĢ doğasını, zamanlamasını ve kapsamını ve toplam denetim stratejisini iyileĢtirmeye gerek duyabilirler.

4.1.3. Denetim planlaması, kuruluĢ için yüksek riskler anlamına gelen beklenmedik olayların gerçekleĢme ihtimalini göz önünde

bulundurmalıdır. Bu nedenle, denetim planı, yeterli risk değerlendirmesi yoluyla denetim ve güvence süreçleri içinde bu tür

olaylara öncelik verebilmelidir.

5. DENETĠM

5.1. ĠĢ Takımı Üyeleri

5.1.1. BT denetim ve güvence uzmanları, iĢ takım üyelerinin doğasını, zamanlamasını ve kapsamını, denetimlerini ve iĢlerinin

gözden geçirilmesini planlamalıdırlar. Bu planlama, kuruluĢun büyüklüğü ve karmaĢıklığı, denetim alanı, maddi yanlıĢ bildirim

riskleri, denetim iĢini gerçekleĢtiren personelin yeterlilikleri ve salahiyetleri ve değerlendirilen maddi yanlıĢ bildirim riski

temelindeki iĢ takım üyelerinin denetimi ve yönelimlerin kapsamı gibi çok sayıda faktöre bağlıdır.

6. DOSYALAMA

6.1. Planlama Dosyalaması

6.1.1. BT denetim ve güvence uzmanının çalıĢma kâğıtları, denetim plan ve programını içermelidir.

6.1.2. Denetim planı, kâğıt olarak ya da diğer uygun ve yeniden eriĢilebilir biçimlerde dosyalanabilir.

6.2. Planın Onaylaması

6.2.1. Uygun kapsamda, denetim planı, denetim programı ve sonradan yapılan her değiĢiklik, denetim yönetimi tarafından

onaylanmalıdır.

6.3. Denetim Programı

6.3.1. ĠĢe baĢlamadan önce, denetim için hazırlanmıĢ bir program, BT denetim ve güvence uzmanı tarafından düzenli olarak

oluĢturulmalıdır. Bu denetim programı, BT denetim ve güvence uzmanına, denetim iĢinin tamamlanmasını kaydetmesine ve

daha sonra yapılacak iĢleri tanımlamasına izin verecek bir yolla dosyalanmalıdır. ĠĢ ilerledikçe, BT denetim ve güvence

uzmanı, denetim boyunca toplanan bilgilere dayanarak programın yeterliliğini değerlendirmelidir. BT denetim ve güvence

uzmanları, planlanan süreçlerin yeterli olmadığını belirledikleri zaman, programı buna göre iyileĢtirmelidirler.

6.3.2. BT denetim ve güvence uzmanı, gerek duyulan denetim kaynaklarına bağlı olarak, denetim planında gerek duyulan

insan kaynakları yönetimini kapsamalıdır.

6.3.3. Denetim planı, ITAF‘da tanımlanan standartlara ek olarak, ilgili dıĢsal gerekliliklere uygun hazırlanmalıdır.

6.3.4. BT denetim ve güvence uzmanı, kullanıĢlılık kapsamında, yapılacak iĢlerin listesine ek olarak, personel listesi, iĢi

tamamlamak için gerek duyulan diğer kaynaklar, iĢ çizelgesi ve bir bütçe hazırlamalıdır.

6.3.5 Denetim programı ve/veya planı, denetim boyunca ortaya çıkan (yeni riskler, yanlıĢ varsayımlar ya da tamamlanmıĢ

süreçlerin bulguları) sorunlara iĢaret etmek için denetim süresi boyunca ayarlanmalıdır.

7. YÜRÜRLÜK TARĠHĠ

7.1. Bu kılavuz, 1 Mayıs 2010 tarihinden sonra baĢlayan bütün denetimler için geçerlidir.

73

G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri 1. ARKA PLAN 1.1 ISACA Standartlarıyla Bağlantı 1.1.1 S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve

yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ Ģeklinde ifade eder. 1.1.2 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak

için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.

1.2 Tanımlamalar 1.2.1 ISP-Ġnternet Hizmet Sağlayıcı: Kurumlara internet ve internet bağlantılı hizmetler sağlayan üçüncü taraftır. 1.2.2 ASP/MSP-Uygulama veya yönetilmiĢ hizmet sağlayıcı: Uygulamaları ve bilgisayar hizmetlerini, çoklu kullanıcılara internet

veya özel ağ yoluyla verilen güvenlik hizmetleri dahil, yöneten ve teslim eden üçüncü taraftır. 1.2.3 BSP-ĠĢ Hizmet Sağlayıcı-Ödeme süreci, satıĢ sipariĢi süreci ve uygulama geliĢimi gibi iĢ sürecinin dıĢarıdan sağlanmasını

tan desteklenmesini sağlayan bir ASP‘dir. 1.2.4 Bu rehberde ISP, ASP/MSP ve BSP topluca üçüncü taraf olarak ifade edilmiĢtir. Bu rehberde belirtilen üçüncü taraflar,

kurumdan –yasal veya değil- ayrı olan diğer her türlü kurumu (paylaĢılmıĢ hizmet kurumları gibi) içerir. 1.3 Rehber Uygulaması 1.3.1 Bu Rehberi uygularken, BS Denetçisi diğer ilgili ISACA yönetmeliklerinin yol göstericiliğini dikkate almalıdır. 1.4 Rehber Gereksinimi 1.4.1 Bu rehber BS Denetçisinin, ISACA Standartları ve COBIT‘‘in üçüncü taraf bir kurumun, BS kontrolleri ve ilgili kontrol hedefleri

üzerindeki etkilerini değerlendirirken nasıl uyum içerisinde olacağını ortaya koyar. 1.4.2 Bu rehberde, BS Denetçisinin üçüncü tarafların kontrolleri üzerinde nasıl rapor vereceklerine yol göstermek

amaçlanmamıĢtır. 2. ÜÇÜNCÜ TARAF SERVĠS SAĞLAYICILARIN ROLÜ 2.1 Üçüncü Taraf Sağlayıcıların Hizmetleri 2.1.1 Kurumlar, interneti ve ortak intraneti değiĢik amaçlar için kullanmaktadırlar. Bunlar, satıcılar, çalıĢanlar ve var olan

müĢterilerin eriĢimi/eriĢilmesi olduğu ve/veya yeni insan, finans, satıĢ ve satın alma kaynaklarına eriĢimini içerir. Bu eriĢim birçok durumda, bir veya daha fazla üçüncü taraf sağlayıcılarınca sağlanır.

2.1.2 Üçüncü taraf veya kurumlar aĢağıdaki gibi hizmetleri sağlar:

Ġç ağların internete bağlanması

Sanal özel ağların veya dıĢ ağlar yoluyla kurum iĢ ortaklarının bağlantısı

Kablosuz teknoloji kullanılarak müĢterilerle bağlantı

Web sitesi geliĢtirme

Web site bakımı, yönetimi ve izlenmesi

Web sitesi güvenlik hizmetleri

Donanım için fiziksel yer temini (ortak konumlandırma olarak da bilinir)

Yedekleme ve geri kurtarma hizmetleri

Uygulama geliĢimi, bakımı ve hostingi (ERP sistemleri, e-ticaret sistemleri gibi)

Nakit yönetimi, kredi kartı, sipariĢ süreci ve çağrı merkezi hizmetleri gibi iĢ hizmetleri 3. KONTROLLER ÜZERĠNDEKĠ ETKĠ 3.1 Kontroller Üzerinde Üçüncü Taraf Sağlayıcılarının Etkisi 3.1.1 Kurumlar, üçüncü taraf veya kurumları kullanınca bunlar bir kurumun kontrollerinde ve ilgili kontrol hedeflerine ulaĢmada

anahtar rollere sahip olabilir. 3.1.2 BS Denetçisi, üçüncü taraf rollerini BT ortamıyla, ilgili kontrollerle ve kontrol hedefleriyle ilgili olarak değerlendirmelidir. 3.1.3 Sınırlı amaçlarla üçüncü taraf tedarikçileri kullanan bir kurum (ortak konumlandırma hizmetleri gibi), bu üçüncü taraf veya

kurumlara, kontrol hedeflerine ulaĢmada sınırlı amaçlar için güvenebilirler. 3.1.4 Fakat, mali hesap sistemleri ev sahipliği ve e-ticaret sistemleri gibi diğer amaçlar için tedarikçileri kullanan bir kurum, üçüncü

taraf tedarikçinin kontrollerini tamamen veya kendi kontrolleriyle birlikte kullanır. 3.1.5 Üçüncü taraf kontrollerinin etkinliği, bir kurumun kendi kontrol hedeflerine ulaĢmasını hızlandırabilir ve tersine etkisiz üçüncü

taraf kontrolleri kendi kontrol hedeflerini baĢarma imkanını zayıflatabilir. Bu zafiyetler aĢağıdaki maddeler dahil birçok sebepten kaynaklanabilir:

Hizmetlerin, dıĢarıdan üçüncü taraflara yaptırılmasından doğan kontrol ortamındaki boĢluklar

Kontrollerin etkisiz biçimde sürecine yol açan zayıf kontrol tasarımı

Kontrol iĢlevlerinden sorumlu personelin bilgi veya deneyim eksikliği

Üçüncü taraf kontrollerine aĢırı güvenme (kurum içerisinde bunu dengeleyen kontroller yoksa

74

G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri(Devamı) 4 BS DENETÇĠSĠNCE GERÇEKLEġTĠRĠLECEK PROSEDÜRLER 4.1 Bilgi Edinme 4.1.1 BS Denetçisi, planlama sürecinin bir bölümü olarak üçüncü taraflarca sağlanan hizmetler ve kurumun kontrol ortamı

arasındaki iliĢki hakkında bir anlayıĢ geliĢtirmeli ve belgelendirmelidir. BS Denetçisi, kurum ile üçüncü taraflar arasındaki sözleĢme, hizmet seviye anlaĢması, politikalar ve usuller gibi unsurları incelemeyi düĢünmelidir.

4.1.2 BS Denetçisi, kurumun süreci ve kontrol amaçları üzerinde etkisi olan üçüncü tarafların süreci ve kontrollerini belgelendirmelidir.

4.1.3 BS Denetçisi, her kontrolü ve bileĢik kontrol ortamındaki yerini (iç veya dıĢ), kontrol çeĢidini, iĢlevini (önleyici, tespit edici veya düzeltici) ve iĢlevi gerçekleĢtiren kurumu (iç veya dıĢ) tanımlamalıdır.

4.1.4 BS Denetçisi, üçüncü taraflarca sağlanan hizmetlerin riskini, kontrollerini ve kontrol hedeflerini değerlendirmelidir ve üçüncü taraf kontrollerinin kurumun kontrol hedeflerini karĢılamadaki önemini belirlemelidir.

4.2 Bilginin Onaylanması 4.2.1 BS Denetçisi, kontrol ortamına dair kendi bilgisini onaylamalıdır. 4.2.2 BS Denetçisi, kontrol ortamına dair kendi bilgisini sorgulama, gözlemleme ve iĢlemlerin gözden geçirmesi yoluyla

onaylayabilir. 4.3 Üçüncü Taraf Tedarikçi Kontrollerinin Rolünün Değerlendirilmesi 4.3.1 BS Denetçisi, üçüncü Ģahısların, kurumun kontrol hedefleri üzerindeki rol ve etkileri önemliyse bu kontrolleri, tanımlandıkları

gibi ve etkin bir biçimde çalıĢıp çalıĢmadıklarını ve kuruma kontrol hedeflerine ulaĢmada yardımcı olup olmadıklarını belirlemek için değerlendirmelidir.

5. ÜÇÜNCÜ TARAF VE KURUMLARLA ĠLGĠLĠ RĠSKLER 5.1 Bir Kurum Üzerindeki Üçüncü Tarafların Etkileri 5.1.1 Üçüncü taraflar bir kurumu, sürecini, kontrollerini ve kontrol hedeflerini birçok farklı biçimlerde etkileyebilirler. Bu, aĢağıdakine

benzer maddeleri içerir:

Üçüncü taraf veya kurumun finansal kapasitesi

Üçüncü tarafın, kendi iletiĢim sistemleri ve uygulamaları yoluyla iletilen bilgiye eriĢimi

Sistem ve uygulamaların eriĢilebilirliği

ĠĢleme bütünlüğü

Uygulama geliĢtirme ve değiĢiklik yönetim süreci

Sistemlerin ve bilginin değerlerinin yedekleme, kurtarma planı ve fazladan yedeklemeyle yollarla korunması 5.1.2 Kontrollerin tasarım, iĢleyiĢ ve faaliyetlerindeki zafiyetler aĢağıdakilere benzer durumlara yol açabilir:

Bilgi gizliliğinin ve mahremiyetinin kaybedilmesi

Sistemlerin kullanılması gerektiği durumda eriĢilememesi

Sistemlere, uygulamalara ve verilere yetkisiz eriĢim

Sistemlere, uygulamalara ve verilere yapılan ve güvenlik hatalarına, veri kaybına, veri bütünlüğü kaybına, veri koruma kaybına veya sistemlere eriĢilememesine yol açan değiĢimler

Sistem kaynaklarının ve/veya bilgi değerlerinin kaybı

Yukarıdakilerden herhangi birinden kaynaklanan artan kurum maliyetleri 5.2 Tanımlanan Kontrol Zafiyetlerinin Değerlendirilmesi 5.2.1 BS Denetçileri, BT ortamında kontrollerde tasarımda veya iĢleyiĢte zafiyetlerin olma ihtimalini(veya kontrol riskini)

değerlendirmelidir. BS Denetçisi, kontrol zayıflıklarının nerede olduğunu belirtmelidir. 5.2.2 BS Denetçisi, daha sonra bu kontrol riskinin önemli olup olmadığını ve nerede olduğunu değerlendirmelidir. 5.2.3 Zafiyetler tanımlanınca BS Denetçisi, belirtilen zafiyetlerin etkisini yok edecek düzeltici kontrollerin olup olmadığını

belirlemelidir (düzeltici kontroller kurumda, üçüncü taraflarda veya her ikisinde de var olabilir). Eğer bunlar varsa BS Denetçisi, kontrol zayıflıklarının etkilerini azaltıp azaltmayacaklarını belirlemelidir.

75

G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri(Devamı) 6 ÜÇÜNCÜ TARAF TEDARĠKÇĠLERLE SÖZLEġMELER 6.1 Roller ve Sorumluluklar 6.1.1 Bir kurumla, üçüncü Ģahıs tedarikçiler arasındaki iliĢki bir sözleĢme biçiminde belgelendirilmelidir. SözleĢme, bu ikili

arasındaki iliĢkide kritik öğedir. Bu sözleĢmeler, her iki tarafın da hareket ve sorumluluklarını yöneten birçok hükmü de içerir. 6.1.2 BS Denetçisi, kurum ile üçüncü taraf arasındaki bu sözleĢmeyi incelemelidir. 6.1.3 BS Denetçisi, bu rehber bağlamı içerisinde, kuruma kontrol hedeflerine ulaĢmada üçüncü tarafların rol ve sorumluluklarını

belirlemek için sözleĢmeyi incelemelidir (olanaklıysa kurumun hukuk danıĢmanıyla birlikte). Bir sözleĢmenin nasıl inceleneceği bu rehberin kapsamı dıĢındadır; fakat aĢağıdaki liste, BS Denetçisi tarafından sözleĢmenin incelenmesi sırasında göz önünde bulundurulacak konulara ait örnekler sunar:

Üçüncü tarafça, sağlanan hizmetin seviyesi (kuruma, ortağına veya her ikisine)

Üçüncü tarafça bildirilen ücretlerin makul oluĢu

Veri ve uygulama mahremiyeti ve gizliliği sorumlulukları

Sistem, iletiĢim, iĢletim sistemi, yazılım araçları, veri ve uygulama yazılım eriĢim kontrolleri, yönetim sorumlulukları

Varlıklar, ilgili veriler, müdahale, ve raporlama usullerinin izlenmesi (rutin, olay)

Veri ve alan adları dahil, bilgi varlıkları sahipliği Ģartları

DeğiĢim belgelendirmesi, kaynak kodu ve güvenli emanet anlaĢmaları dahil üçüncü taraflarca geliĢtirilen programlamanın sahiplik Ģartları

Yedekleme ve geri kurtarma, olağanüstü durum planlaması ve gereğinden fazla olması gibi sistemler ve veri koruma hükümleri

Denetim sözleĢmelerine eriĢim hakkı (üçüncü Ģahıs tedarikçi iç denetim personeli ile görüĢme ve denetim iĢlerini ve raporlarını inceleme dahil)

SözleĢmede ve ilgili belgelerde yapılan değiĢikliklerin görüĢme, inceleme ve onayı için süreci (hizmet seviye anlaĢmaları ve usuller gibi)

6.1.4 BS Denetçisi, asgari olarak sözleĢmeyi, üçünü tarafların kurum adına üstlendiği kontroller için sorumlulukları belirlemek için incelemelidir. Bu süreç, belirtilen kontrollerin yeterliğini ve uyum izlemesini/raporlamasını, tasarımlarını ve iĢleyiĢ faaliyetlerini değerlendirmelidir..

6.2 Kurumsal YönetiĢim 6.2.1 Yönetim, üçüncü taraf tedarikçiler iĢin içinde olsalar bile hala ilgili kontrol hedeflerine ulaĢılmasından sorumludur. Bu

sorumluluğun bir bölümü olarak yönetim, üçüncü taraf tedarikçi ile iliĢkiyi ve performansı yönetecek bir süreciye sahip olmalıdır. BS Denetçisi, bu sürecinin bileĢenlerini tanımlamalı ve incelemelidir. BS Denetçisi, üçüncü taraflarla ilgili riskleri ve bunlar tarafından sağlanan hizmetlerin nasıl yönetildiğini ve yönetimin bunlar arasındaki iliĢkiyi nasıl yönettiğini belirtmelidir.

6.2.2 BS Denetçisinin yönetiĢim süreciyle ilgili incelemesi, yönetimin üçüncü taraf tedarikçileri performans standartlarına göre ya da sözleĢmede belirtilen kıstaslar doğrultusunda incelediğini veya herhangi bir düzenleyici kurum tarafından ortaya konulan standartlara göre incelediğini ortaya koymalıdır. YönetiĢim süreci, aĢağıdaki gibi konuların incelenmesini içermelidir:

Üçüncü taraf tedarikçilerin mali performansları

SözleĢme Ģartlarıyla uyum

Üçüncü taraflar, denetçileri ve/veya düzenleyicileri tarafından yönetilen kontrol ortamının değiĢiklikleri

Üçüncü tarafların denetçileri ve danıĢmanları dahil, diğerlerinin kontrol incelemelerinin sonuçları

Yeterli sigorta seviyeleri 7. ÜÇÜNCÜ TARAF TEDARĠKÇĠLERĠN KONTROLLERĠNĠN GÖZDEN GEÇĠRĠLMESĠ

7.1. SözleĢme Konuları 7.1.1. BS Denetçisi, üçüncü taraf tedarikçi kontrollerini incelerken kurum ile üçüncü taraf tedarikçi ve onun kontrolleri ile ilgili

değerlendirmeleri ve raporları arasındaki iliĢkiyi göz önünde bulundurmalıdır. 7.1.2. BS Denetçisinin, sözleĢme konuları üçüncü taraf tedarikçideki kontrolleri incelemesini önleyebilir. BS Denetçisi, bu tür

durumlarda, BS kontrol ortamını değerlendirmesinin kapsamını sınırlayan bu durumu değerlendirmelidir.

7.2. Bağımsız Raporlar

7.2.1. Üçüncü taraf tedarikçiler, kendi kontrolleri ile ilgili bağımsız raporlar getirebilirler. Bu raporlar, hizmet büro denetim raporu veya diğer kontrol temelli raporlar olabilir. BS Denetçileri, bu raporları kullanabilirler. Eğer BS Denetçisi ,üçüncü tarafta bilgi sistemleri konusunda bağımsız rapora güven temelinde kullanmaya karar verirse, aĢağıdakileri belirlemek için bu raporları incelemelidir:

76

G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri(Devamı)

Bağımsız tarafın/kurumun nitelikli olması. Bu, bağımsız kiĢinin uygun mesleki belgesinin olup olmamasını, deneyiminin olup olmamasını ve mesleki, düzenleyici yetkililerle uyumlu olup olmamasını içerir.

Bağımsız kiĢinin, üçüncü taraf tedarikçiyle bağımsızlık ve tarafsızlığını zedeleyecek iliĢkisinin olmaması

Raporun kapsam süresi

Raporun yeterli olup olmadığı (raporun sistemleri ve kontrolleri içermesi durumu ve BS Denetçisinin iĢi kendisi yapsaydı dahil edeceği testlerin olup olmaması)

Eğer kontrollerin testinin BS Denetçisinin bağımsız kiĢiye güvenebileceği ölçüde yeterli olması (gerçekleĢtirilen usullerin doğası, zamanlaması ve sınırları bakımından).

Rapor hizmet sağlayıcının sorumlulukları ve kullanıcı kurumun sorumluluklarını belirtiyor olması

Kullanıcı kurumun sorumluluklarını uygun kontrollerle yerine getirmesi 7.3. Üçüncü Taraf Kontrolleri Testi 7.3.1. BS Denetçisi, doğrudan üçüncü taraf tedarikçide kontrolleri teste karar verirse o zaman denetçi aĢağıdakileri yapmalıdır:

Yönetimle çalıĢmak ve eğer uygulanabilir ise her iki kurumun da iç denetimi, görevi planlamak, amaçlarını ve inceleme kapsamını çıkarmak

Yönetimle çalıĢmak ve eğer uygulanabilir ise iç denetim ve her iki kurumun da personelinin zamanlamayı belirlemesi, personel gereksinimleri ve diğer konular

Üçüncü Ģahısların sistemlerine ve değerlerine eriĢim ve gizlilik

Bir denetim programı, bütçe ve görev planı geliĢtirmek

Kontrol hedeflerinin onayı 7.3.2. BS Denetçisi, saha çalıĢmasını bitirdiği zaman, test edilen kontrollerin etkililiği ile ilgili bir sonuç bildirisi hazırlanmalıdır. BS

Denetçisi, kurum ile üçüncü taraf arasındaki her bir kurumdaki kontrollerin etkinliğini ve kontrollerin karĢılıklı etkileĢimlerini incelemelidir.

7.3.3. Çoğu durumda, kontroller üçüncü taraf tedarikçi ve kurum arasında örtüĢür. BS Denetçisi, birlikte ve bireysel alınan kontrollerin iĢleyiĢ etkinliğini değerlendirmelidir.

7.3.4. Belirli bir hedef için kontrollerin bulunmadığı veya etkin bir biçimde iĢlemediği durumlar olabilir. BS Denetçisi, bu durumda bu zafiyetin bütün kontrol ortamına ve usullerine etkisini değerlendirmelidir.

7.3.5. Bir kurumdaki, güçlü kontrolün baĢka bir kurumdaki kontrol zafiyeti tarafından kısmen veya tamamen etkisiz hale geldikleri durumlar da olabilir. BS Denetçisi, tüm kontrol çevresinde bu durumu değerlendirmelidir.

7.4. Üçüncü Taraf Tedarikçinin Ġç denetçileri 7.4.1. BS Denetçisi, üçüncü Ģahıs tedarikçinin iç denetim biriminin olup olmadığını öğrenmelidir. Bunun varlığı üçüncü taraf

tedarikçide kontrol ortamının gücünü artırabilir. 7.4.2. BS Denetçisi, eğer bir iç denetim birimi varsa, kurumu etkileyen sistemler ve kontrollerle ilgili faaliyetlerinin sınırlarını

araĢtırmalıdır. 7.4.3. BS Denetçisi, mümkün ise, ilgili üçüncü taraf tedarikçinin iç denetim raporlarını incelemelidir. 7.4.4. BS Denetçisi, bu raporların incelenmesinin mümkün olmadığı durumlarda bu incelemelerin kapsamını, incelemelerde hangi

sistem ve kontrollerin kapsandığını ve önemli konular ve zafiyetleri ele almalıdır. 7.4.5. BS Denetçisi, eğer üçüncü taraf tedarikçi bu raporlara veya iç denetim personeline eriĢim izni vermeye istekli değilse o

zaman bu sınırlamayı değerlendirmelidir. 7.4.6. BS Denetçisi, üçüncü taraf tedarikçinin iç denetim personelinin deneyimini ve yeterliliklerini de değerlendirmeyi düĢünmek

durumundadır. Bu, onlarla konuĢarak ve çalıĢma planlarının, belgelerinin ve raporlarının incelenmesi gibi ek usullerle olabilir. 8. ÜÇÜNCÜ TARAFLARIN ALT ĠġVERENLERĠ(TAġERONLARI) 8.1 Kontrollere Etkisi 8.1.1 BS Denetçisi, üçüncü Ģahısların sistem ve hizmetlerini sağlamak için alt iĢveren (taĢeron) kullanıp kullanmadığını

belirlemelidir. 8.1.2 BS Denetçisi, bunların var olduğu durumlarda bunların kurumla ilgili ana üçüncü tarafın kontrolleri üzerindeki saptayarak alt

iĢverenin önemini gözden geçirmelidir.. 8.2 SözleĢme Üzerinde Etkisi 8.2.1 BS Denetçisi, alt hizmet sağlayıcısının kurumla ilgili kontroller üzerinde önemli bir etkilerinin olmadığı durumlarda bunu

çalıĢma kâğıtlarında belgelemelidir. 8.2.2 BS Denetçisi, eğer alt iĢveren, kurum ilgili kontroller üzerinde önemli bir etkiye sahipse o zaman taĢeronla üçüncü

taraf/kurumun iliĢkisini yönetmek ve izlemek için üçüncü taraf/kurumun kullandığı süreci değerlendirmelidir. BS Denetçisi, üçüncü taraf/kurumun taĢeronları üzerindeki kontrollerini değerlendirirken bu rehberin 6. ve 7. bölümlerini göz önünde bulundurmalıdır.

77

G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri(Devamı) 9. RAPORLAMA 9.1 Zayıflıklar 9.1.1 BS Denetçisinin raporu, incelemeye tabi kontrollerin üçüncü taraf/kurumlardaki ve kurum içerisindekiler olduklarını

belirtmelidir. BS Denetçisi, ayrıca kontrolleri, kontrol zafiyetlerini ve her kurumda var olan düzeltici kontrollerin tanımlanmasını düĢünmelidir.

9.1.2 Sonuçların ve önerilerin sınırı sözleĢme Ģartlarına göre belgelendirilmelidir. Bazı üçüncü taraf/kurumlar, önerileri uygulamaya istekli olmayabilir veya yapamayabilirler. BS Denetçisi, bu gibi durumlarda dengeleyici kontrollerin üçüncü taraf/kurumda uygulayabileceklerini önermelidir.

10. YÜRÜRLÜK TARĠHĠ 10.1. Bu rehber bütün BS Denetimleri için 1 Mart 2002 tarihinden itibaren geçerlidir.

78

G17 BT Denetim ve Güvence Uzmanın Bağımsızlığı Üzerinde Denetim DıĢı Rollerin Etkisi

1 ARKA PLAN

1.1 Standartlarla Bağlantı

1.1.1. S2 Bağımsızlık Standardı; ―Denetimle ilgili bütün konularda, BT Denetim ve güvence uzmanı hem tavır hem de görünüĢ olarak denetlenen kurumdan bağımsız olmalıdır.‖Ģeklinde ifade eder.

1.1.2. S2 Bağımsızlık Standardı; ―BS Denetim ve güvence iĢlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde tamamlanmasına olanak vermek için, denetim alanı veya faaliyetlerden bağımsız olmalıdır.‖ Ģeklinde ifade eder.

1.1.3 S3 Meslek Etik ve Standardı; ―BT Denetim ve Güvence Uzmanı, Denetim ve güvence görevinin yürütülmesinde yürürlükteki mesleki standartların göz önünde bulundurulmasını kapsayan zorunlu mesleki standartları uygulamalıdır.‖ Ģeklinde ifade eder.

1.2. CobIT Bağlantısı

1.2.1. Belirli bir denetim kapsamına uygulanacak en uygun CobIT materyalinin seçimi, CobIT‘teki BT süreçlerinin, CobIT kontrol hedeflerinin seçimine ve bağlantılı yönetim uygulamalarına dayanır. BT denetim ve güvence uzmanının bağımsızlığı üzerinde

denetim dıĢı rollerin etkisi ihtiyacını karĢılamak için CobIT‘teki en uygun süreçler seçilmiĢ ve aĢağıda birincil ve ikincil olarak

sınıflandırılmıĢtır. Seçilecek ve uyarlanacak süreçler ve kontrol hedefleri, görevlendirmenin veya iĢ anlaĢmasının belirlediği kapsama ve

Ģartlara göre değiĢebilir.

1.2.2 Birincil BT süreçleri:

P06 Yönetimin Hedef ve Yönelimin Bildirilmesi

P09 BT Risklerinin Değerlendirilmesi ve Yönetilmesi

P010 Projelerin Yönetilmesi

DS2 Üçüncü Taraf Hizmetlerinin Yönetimi

DS7 Kullanıcıların Eğitilmesi ve YetiĢtirilmesi

ME2 Ġç Kontrollerin Ġzlenmesi ve Değerlendirilmesi

ME3 Düzenlemelere Uyumun Sağlanması

ME4 BT YönetiĢiminin Sağlanması 1.2.3. Ġkincil BT süreçleri:

P07 BT Ġnsan Kaynaklarının Yönetilmesi

DS10 Sorunların Yönetimi 1.2.4. En ilgili bilgi kriterleri:

Birincil: Güvenilirlik, gizlilik, uygunluk ve etkililik

Ġkincil: Etkinlik, bütünlük ve eriĢilebilirlik

1.3 Rehber Gereksinimi

1.3.1. Birçok kurumda, yönetimin, BS personelinin ve iç denetimin beklentisi, BT Denetim ve Güvence Uzmanı aĢağıdaki gibi denetim dıĢı

rollerde yer alabilmesini içerebilir:

Teknoloji, uygulamalar ve kaynaklar gibi alanlarla ilgili BS stratejilerinin tanımlanması,

Teknolojilerin değerlendirmesi, seçilmesi ve uygulanmaları

Üçüncü taraf BS uygulamalarının ve çözümlerinin değerlendirilmesi, seçilmesi, uyarlanması ve uygulanması

SipariĢ edilen BS uygulamalarının ve çözümlerinin tasarlanması, geliĢtirilmesi ve uygulanması

Farklı BS iĢlevleriyle ilgili en iyi uygulamaları, politikaları ve usulleri oluĢturma

Güvenlik ve kontrol uygulamaları tasarlaması, geliĢtirmesi ve uygulaması

BS projeleri yönetimi 1.3.2. Denetim dıĢı rolü genellikle, tam zamanlı ya da yarı zamanlı olarak BS faaliyetleri ve BS proje takımı çalıĢmalarına ve/veya

danıĢma/müĢavirlik kapasitesinin yerine getirilmesini gerektirir. BS denetim ve güvence uzmanları, denetim dıĢı rolleri aĢağıdaki örneklere katılarak gerçekleĢtirebilirler:

Geçici olarak tam zamanlı görevlendirilmeleri veya BS proje takımına BS Denetim personelinin verilmesi

Proje yönlendirme grubu, proje çalıĢma grubu, değerlendirme takımı, müzakere ve sözleĢme takımı, uygulama takımı, kalite güvence takımı ve sorun giderme takımı gibi BS Denetim personelinin kısmi zamanlı olarak farklı proje yapılarının üyeleri olarak görevlendirilmeleri

Geçici özel amaçlı olarak bağımsız danıĢman veya inceleyici gibi faaliyet göstermek 1.3.3. Bu tür denetim dıĢı rollerle BT Denetim ve Güvence Uzmanının kurumun diğer üyelerini eğitimine katkıda bulunur. BT

Denetim ve Güvence Uzmanı, kurumun BT yatırımlarının etkinlik ve etkililiğine eĢsiz ve değerli katkılar sağlamak için uzmanlık ve

kurum personelini eğitme bilgilerini kullanırlar. Aynı zamanda, BS Denetim ve güvence iĢlevinin daha iyi gerçekleĢtirilmesine ve BT

Denetim ve Güvence uzmanı personelinin uygulama deneyimi edinmelerine fırsat yaratırlar.

1.3.4. BT Denetim ve Güvence Uzmanının, bir BS faaliyetinde denetim dıĢı bir rolde bulunduğu durumda ve bu faaliyetle ilgili bir denetimin sonradan/aynı anda yapılmasında, bu denetimden doğan önerileri ve sonuçları alıcılarca tarafsız olarak

algılanamayabilir. Bu durumda, bu algılamanın sebebi, denetim dıĢı faaliyetten dolayı BT Denetim ve Güvence Uzmanının bağımsızlık

ve tarafsızlığının zarar görmüĢ olmasıdır.

1.3.5. BT Denetim ve Güvence Uzmanı, denetim dıĢı bir rolde yer aldığında, rolünün görünüĢte ve gerçekte bağımsızlığına zarar verip vermediğini değerlendirmelidir. BT Denetim ve Güvence Uzmanı, bir kontrolün yeterli olması için BT karar vericisinin neyi dikkate alması gerektiği konusunda önerilerde bulunmalı ve farkındalığı artırılmalıdır. BT Denetim ve Güvence Uzmanı, bir denetim dıĢı rolü gerçekleĢtirirken kontrollerin etkili tasarlanıp tasarlanmadığına göre sözleĢmeyi imzalamamalıdır.

79

G17 BT Denetim ve Güvence Uzmanının Bağımsızlığı Üzerinde Denetim DıĢı Rollerin Etkisi(Devam)

1.3.6. Bu rehberin amacı, BT Denetim ve Güvence Uzmanının aĢağıdakileri yapabilmesine olanak sağlamak için bir çerçeve oluĢturmaktır:

Gereken bağımsızlık zarar görmüĢse veya böyle görünüyorsa bunun saptamak

Gereken bağımsızlık zarar görmüĢse veya böyle görünüyorsa denetim sürecinin gerçekleĢtirilmesinde diğer seçenekleri ele almak

Denetim dıĢı rol, iĢlevler ve hizmetler konusunda BT Denetim ve Güvence Uzmanlarının etkisini azaltmak veya yok etmek.

Açıklama gereksinimlerini belirlemek

2 DENETĠM YÖNETMELĠĞĠ

2.1 BT Denetim ve Güvence Uzmanının Denetim-dıĢı Faaliyetlerinin ġartları

2.1.1 BT Denetim yönetmeliği, BT Denetim ve Güvence Uzmanının denetim-dıĢı rollerle ilgisini ve bunlarda yer almasının kurallarını, sınırını,

zamanlamasını ve doğasını ortaya koymalıdır ki BS denetim ve güvence uzmanının denetleme olasılığı olan sistemle ilgili olarak

bağımsızlığın zarar görmemesi sağlansın. Böylece, her bir durum için özel kural koyma ihtiyacı ortadan kaldıracaktır.

2.1.2 BT Denetim ve Güvence Uzmanı, özel denetim-dıĢı rollerin iĢ sözleĢmesinin denetim yönetmeliğiyle uyum içerisinde olduğuna dair makul

güvence sağlamalıdır. Sapmaların olduğu durumlarda, aynı Ģey iĢ tanımında (TOR) belirtilmelidir.

2.1.3 Denetim dıĢı roller denetim yönetmeliğinde açıkça belirtilmemiĢ ya da denetim yönetmeliği yok ise, BT Denetim ve Güvence Uzmanı, eğer var ise denetim dıĢı rolde yer aldığı gerçeğini denetim komitesine ya da yönetime raporlamalıdır. BS projelerine BT denetim ve güvence uzmanlarının katılımının zamanı ve kapsamı, birim baĢkanı ve denetim komitesince imzalanma ve onaylamaya tabi olmalıdır.

3. DENETĠM DIġI HĠZMETLERĠN TÜRLERĠ

3.1. Bağımsızlığa Zarar Vermeyen Katılımlar

3.1.1. BT denetim ve güvence uzmanlarının bağımsızlığını, teknik bilgileri ve uzmanlıkları çerçevesinde katıldıkları komisyonlar, komiteler,

çalıĢma takımları veya paneller zedelemez. Ancak, denetim ve güvence uzmanlarının bağımsızlığı, BT denetim ve güvence

uzmanlarının yönetim kararlarını vermesiyle veya yönetim iĢlevlerini gerçekleĢtirmesiyle sonuçlanıyorsa bağımsızlık zarar görmüĢ

olabilir.

3.1.2. Uygulamayla ilgili olarak ek karĢı önlemler arasında sistem tasarımı, sistem kurulumu ve sistem güvenliği konusunda bilgi teknolojileriyle sınırlanmıĢ tavsiye hizmetleri içerilirse, denetim dıĢı katılım, bağımsızlığa zarar vermez. Önlemlere ilave olarak, kurumun yönetim kurulu

ve yöneticileri, yeni sistemin tasarımının yeterli olup olmadığı, mevcut sistemdeki önemli değiĢikliklerin yeterli olup olmadığı ve yeni sistemin düzenlemeler ve diğer ihtiyaçlara uygun olup olmadığı konusunda yeni sistemi kullanıp kullanmamaya karar vermenin birincil temeli olarak BT denetim ve güvence uzmanına güvenmelidir.

3.2. Bağımsızlığa Zarar Veren Katılımlar

3.2.1. Denetim dıĢı rol, BT denetim ve güvence uzmanının bilgi sistemlerinin tasarım, geliĢtirme, test, kurulum, konfigürasyon ya da iĢletim süreci ile önemli ve kayda değer bilgi sistemlerinin kontrollerinin tasarımına önemli katılımı kapsıyor ise bağımsızlık ve

tarafsızlık zarar görür.

3.2.2. Denetim dıĢı rollerin BT denetim ve güvence uzmanının bağımsız ya da ortaklaĢa yönetime hem karar aldırdığı ve/veya hem de politikaları ya da standartları onayladığı bir durumu içeriyorsa bağımsızlık zarar görür.

3.2.3. BT denetim ve güvence uzmanının bağımsızlılığı, BT denetim ve güvence uzmanınca denetim dıĢı bir rol gerçekleĢtirilirken bilgi sisteminin değerlendirilmesi, seçilen uygulamaların/sistemlerin kontrollerinin testini kapsadığında zarar görebilir.

3.2.4. BT denetim ve güvence uzmanının bağımsızlığı, eğer tavsiyelerin kapsamı ve özellikleri BT denetim ve güvence uzmanının yönetime

karar aldırması ya da yönetim iĢlevlerini gerçekleĢtirmesiyle sonuçlanıyor ise zarar görebilir.

4. BAĞIMSIZLIK

4.1. Bağımsızlığın Denetim-dıĢı Rollerle ĠliĢkisi

4.1.1. BT Denetim ve Güvence Uzmanı, dıĢsal standartlar yasaklamadıkça denetim ile ilgili bütün konularda bağımsız olmalıdır, BS

faaliyetinde denetim dıĢı bir rolde yer almasının gerektiği yerde BT Denetim ve Güvence Uzmanının bağımsız olmasına veya öyle

görünmesine gerek yoktur.

4.1.2. Denetim dıĢı rollerdeyken BT Denetim ve Güvence Uzmanının bağımsız olmasına gerek olmamasına karĢın, tarafsızlık yine de mesleki bir

zorunluluktur. BT Denetim ve Güvence Uzmanı, denetim dıĢı rolleri tarafsız ve profesyonel bir biçimde yerine getirmelidir.

4.1.3. BT Denetim ve Güvence Uzmanı, BT Denetim ve Güvence Uzmanın, denetim dıĢı rollerde bağımsız olmasına gerek olmasa dahi, bu

rolün BS faaliyetini ve ilgili iĢlevi denetimi halinde, bağımsızlığının zedelenme ihtimalini düĢünmelidir. Bu tür bir çatıĢma sezildiğinde

(Örneğin BT Denetim ve Güvence Uzmanın, denetimi yapacak becerilere sahip baĢka biri olmadığı durumlarda, hem denetim-dıĢı bir

rolü hem de denetimin kendisini yapmasını gerektiği durumlarda) BT Denetim ve Güvence Uzmanı, denetim dıĢı role baĢlamadan önce

bu sorunu denetim komitesi veya eĢdeğer yönetiĢim birimi ile konuĢmalıdır.

80


4.1.4. Bir BS faaliyetinde denetim dıĢı rol ve bağımsız denetim veya ilgili iĢlev arasındaki alıĢ veriĢ, denetim komitesinin veya eĢdeğer yönetim biriminin kararı olmalıdır. Risk değerlendirmesi gerçekleĢtirilmelidir. Kararı etkilemesi muhtemel konular arasında aĢağıdakiler yer alır:

Her iki rol için de potansiyel kaynak seçenekleri

ÇatıĢmalı faaliyetlerin eklediği görece değer algılaması

Ġlerdeki faaliyetlere faydalı olacak biçimde BS takımının eğitilmesi olasılığı

BT Denetim ve Güvence Uzmanı için kariyer fırsatları ve daha sonra gelecek olanı planlama

Denetim dıĢı role iliĢkin risk seviyesi

BT Denetim iĢlevinin görünürlük, profil, imaj vb üzerindeki etkisi

Eğer varsa, dıĢ denetleyici veya düzenleyici gereksinimi kararının etkisi

BT Denetim yönetmeliği hükümleri

4.2. Denetim-dıĢı Rollerin Sonraki Denetimlere Etkisi

4.2.1. BT Denetim ve Güvence Uzmanı, bir BS faaliyeti veya birimi yasalara veya yönetim isteğine göre denetleniyorsa BS takımından ve yönetiminden bağımsız görünmeli ve olmalıdır.

4.2.2. BT Denetim ve Güvence Uzmanı kendi iĢini ya da denetim dıĢı olarak katıldığı önemli ya da bağlayıcı bir iĢ denetim konusu olacaksa denetimde yer almamalıdır. BT Denetim ve Güvence Uzmanlarının bir BT giriĢimindeki denetim dıĢı katılımları, BT giriĢiminin ya da ilgili birimin denetiminde bağımsızlıklarına zarar verebilir. BT denetim ve güvence uzmanları, kendi fikrince denetimi yaparken bağımsızlıklarının denetim dıĢı rol nedeniyle zarar görüp görmediğini belirtmelidir. Denetim komitesi veya eĢdeğer yönetim birimi, bu fikre katıldıklarını yazılı olarak bildirmelidir.

4.2.3. BT Denetim ve Güvence Uzmanının denetim dıĢı rolü yüzünden, BT Denetim ve Güvence Uzmanının bağımsızlığının zarar

görüp görmediğini belirlemek için önemli faktörlerden bazıları aĢağıdadır:

Bir BS faaliyetinde, denetim-dıĢı rolünün doğası, zamanlaması ve sınırı; BT faaliyeti ve/veya iliĢkili iĢlevin denetlenmesi düĢünüldüğü zaman. Denetim dıĢı rolle ilgili karar gücü ne kadar yüksekse, bağımsızlık o kadar zayıflar.

Bağımsızlığa zarar verecek gibi algılanan gerçeklerin varlığı. Burada söz konusu olan maddi kazanım ya da denetim dıĢı rolle ilgili yaptırım gibi etmenlerdir.

BT Denetim ve Güvence Uzmanının, zafiyetleri rapor ederken denetim dıĢı rolüne karĢın önyargısız ve tarafsız durma taahhüdünde durma becerisi

Denetim dıĢı rollerde yer almasına karĢın BT Denetim ve Güvence Uzmanlarının denetimin kapsam ve yürütülmesini saptama özgürlüğü

BT Denetim ve Güvence Uzmanının denetim dıĢı rolünü, bo rol çerçevesindeki katılım düzeyini ve bununla ilgili somut olguları açıklaması

Denetim dıĢı roller yürütülürken özellikle yönetim pozisyonunda olanlarla göz ardı edilemeyecek düzeyde kurulan (olumlu ya da olumsuz) iliĢkiler

Denetim ve Güvence Uzmanının karar verme gücünün olup olmadığına bakılmaksızın, denetim dıĢı rolünde BT denetim ve güvence uzmanının etkisi ve/veya ikna gücü

Denetime konu olacak ve aynı kiĢi tarafından daha önce denetim dıĢı rol kapsamında konu edilmiĢ olan bilgi kaynaklarının önemi (risk değerlendirme önceliği)

5. PLANLAMA

5.1. Bağımsızlığa Etkisi

5.1.1. Denetim dıĢı rolleri planlanırken, denetim dıĢı rolün benzer ya da aynı BS faaliyetinin veya ilgili iĢlevin mevcut/gelecekteki denetiminin bağımsızlığına muhtemel etkisi, değerlendirilmelidir.

5.1.2. Herhangi bir BT iĢlevinde BT denetim ve güvence uzmanlarının önceki ya da sürmekte olan denetim dıĢı rollerinin bağımsızlığa olası etkileri, bu tür BS iĢlev ya da ilgili birimlerinin denetiminin planlanması sırasında değerlendirilmelidir.

5.1.3. Denetim komitesi ya da eĢiti yönetiĢim organı, bağımsızlığın zarar görmesi olasılığı ya da zarar görmüĢ gibi görünme olasılığı hakkında bilgilendirilmiĢ olmalıdır.

5.1.4. Denetim ve Güvence Uzmanı, bağımsızlığın ve tarafsızlığın makul güvencesini sağlamak için denetim yönetimi/komitesince gerçekleĢtirilebilecek önleyici kontroller ve faaliyetler tavsiye etmelidir. Bunlar aĢağıdakileri kapsayabilir:

Denetlenen alanda denetim dıĢı rol almamıĢ olan BT denetim ve güvence biriminden kiĢileri yönetim ve/veya ilgili göreve atayarak denetim dıĢı role katılmamıĢ BT denetim ve güvence uzmanını ikame etmek

Denetim dıĢı rolde yer almıĢ/alan BT denetim ve güvence uzmanını ikame etmek için yönetim ya da ilgili personel açığını BT denetim ve güvence birimi dıĢında diğer bir birimden, bölümden ve/veya dıĢarıdan ödünç almak

BT denetim ve güvence biriminde veya yukarıda bahsedilen kaynaklardan birisinin kullanımıyla, planlamada, alan çalıĢmasında ve raporlamada, bağımsız bir hakem gibi davranması için, bağımsız bir kaynağın görevlendirilmesi

5.1.5. BT denetim ve güvence uzmanlarının denetim dıĢı rol katılımlarının çok yüksek olduğu durumlarda, BT denetim ve güvence uzmanı ne denetim komitesine tavsiyelerde bulunmalı ne de bu katılımı gerçekleĢtirdiği denetim dıĢı alanın gözden geçirmesine doğrudan katılmalıdır.

81


6. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ

6.1. Denetimin ĠĢinin Ġzlenmesi

6.1.1. BT Denetim ve güvence yönetimi, denetim dıĢı bir rol yüzünden bağımsızlığın zarar görme olasılığının olduğu denetim durumlarında, denetimi yakında izlemelidir. BT denetim ve güvence yönetimi, denetim dıĢı rolden kaynaklanan bağımsızlığa gölge düĢüren her türlü somut belirtiyi ciddi bir biçimde değerlendirilmeli ve gerekli düzeltici adımlar atılmalıdır. Bu tür durumlarda denetim komitesi veya eĢdeğer yönetiĢim birimi bilgilendirilmelidir.

6.1.2. Denetim komitesi ya da eĢit yönetim organı, denetim dıĢı rolün BT denetim ve güvence uzmanı tarafından gerçekleĢtirilen denetimi önemli ve kayda değer Ģekilde etkilendiğini varsayıyor ise planlanmıĢ denetimleri, denetim için gerekli yasalar, düzenlemeler, ilkeler, sözleĢmeler ve diğer anlaĢmaları kapsayan ihtiyaçları ve yükümlülükleri; denetim dıĢı bir role katılımın gerektirdiği BT denetim ve güvence sorumluluklarını konusunda oluĢturulacak politikalar ve kararları sürekli olarak değerlendirmelidir.

6.1.3. YönetiĢim organları, denetim dıĢı rollerle ilgili kaynakları da tahsis edebilmeli böylece olası çatıĢmaları baĢtan bilir durumda olabilmeli, bu tür çatıĢmaların en aza indirilmesi ve yeterli Ģekilde yönetilmesi için denetim yönetiminden makul güvence sağlamalıdır.

7 RAPORLAMA

7.1. Açıklama Zorunluluğu

7.1.1. BT Denetim ve Güvence Uzmanı, BT Denetim ve Güvence yönetiminin ve/veya personelinin bağımsızlığının BS faaliyetinde denetim dıĢı bir rol tarafından BS faaliyetinin veya ilgili iĢlevin denetimini zedelemiĢ veya zedelemekte olabileceğini düĢündüğü durumlarda, denetim raporunda bağımsızlığın makul güvencesini sağlayan önleyici faaliyetler ile denetim dıĢı rol hakkında yeterli bilgiyi sağlamalıdır. Bu, denetim raporunun kullanıcılarının zarar görmenin muhtemel boyutlarını anlamalarını, eğer varsa etkilerinin azaltılması için alınan önlemleri anlamalarını sağlar. Bu konu ile ilgili BT Denetim ve Güvence Uzmanlarının açıklaması gereken bilgiler aĢağıdakileri içerir:

BT Denetim ve Güvence yönetiminin ve personelinin denetim-dıĢı role katılanlarının adları ve kıdemleri

BS faaliyetinde denetim dıĢı role katılımlarının doğası, zamanlaması ve sınırı

BS faaliyetinde, denetim dıĢı rol ile BS faaliyeti veya ilgili iĢlevin denetime katılımın sebepleri

Denetim görevi ve raporlama süreci boyunca bağımsızlığın ve tarafsızlığın önemli ölçüde zarar görmediğine dair güvence sağlamak için alınan önlemler

Bağımsızlık muhtemel hasarının, denetim komitesine veya eĢiti bir yönetiĢim birimine bildirildiği gerçeği ve denetim dıĢı rolü üstlenmeden önce fikir birliğinin sağlandığı bilgisi

GerçekleĢtirilen iĢ konusunda kabul edilebilir bir güvenilirlik seviyesi sağlamak için bir gözden geçirmenin varlığı ve kapsamı

8 YÜRÜRLÜK TARĠHĠ

8.1 Bu rehber, bütün BT Denetimlerinde 1 Haziran 2002 tarihinden itibaren geçerlidir. Bu rehber, gözden geçirilmiĢ ve güncellenmiĢtir, 15 Haziran 2009‘da yürürlüktedir.

82

G18 BT YönetiĢimi 1. ARKA PLAN

1.1 Standartlarla Bağlantı 1.1.1 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için

gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklindedir.

1.2 Rehber Gereksinimi 1.2.1 COBIT Yönetici Özeti ―Kurumlar, bilgileri ve değerleri için kalite, saygınlık ve güvenlikle ilgili gereksinimleri

karĢılamak durumundadırlar. Yönetim, veri, uygulama sistemleri, teknoloji, olanaklar ve insanlar dahil, var olan kaynakların kullanımını en iyileĢtirmek etmek durumundadır. Bu sorumlulukları yerine getirmek ve hedeflere ulaĢmak için yönetim yeterli iç kontrol sistemleri oluĢturmalıdır‖. Ģeklinde ifade eder.

1.2.2 Bütün yönleriyle ekonomik ve sosyal çabalarında teknolojilerine kullanımı, bilgi teknolojilerine gerçekleĢtirme, kaydetme, taĢıma, ekonomik iĢlemleri, bilgi ve bilginin bütün açılardan yönetimi, kurumsal yönetiĢiminde BT yönetiĢiminin uygun bir yerde oluĢturulmada bilgi teknolojilerine kritik bir bağımlılık oluĢturmuĢtur. .

1.2.3 Çok sayıda kamu ve özel sektör kurumunca tecrübe edilen yüksek önemdeki sorunlar (örneğin virüs saldırısından kaynaklanan sistem hataları, web site çökmesinden dolayı güven veya sistem ulaĢılabilirliğinin kaybı gibi), kurumsal yönetiĢim konularına dikkatleri çekmiĢlerdir. Yönetimin iç kontrol için etkili bir sistem oluĢturma sorumluluğunu yerine getirmesinde resmi bir yöntem kamusal bir incelemeye tabi olabilir ve sıklıkla hem iç hem dıĢ BS Denetçilerinin denetim kapsamının bir bölümünü oluĢturur.

1.2.4 Bu rehberin amacı, bir BS Denetçisinin, ilgili BT yönetiĢimi denetimi, BS Denetçisinin kurumsal konumunun kapsamı, denetimi planlarken göz önünde bulundurması gereken konular, ve denetimi uygularken incelenecek kanıtlara nasıl yaklaĢması gerektiği konusunda bilgi sağlamaktır.. Bu rehber ayrıca raporlama hatlarına, içeriğine ve denetim sonrası izleme konusunda da rehberlik eder.

2. DENETĠM YÖNETMELĠĞĠ

2.1 Yaptırım 2.1.1 Kurumsal yönetiĢimindeki alanlardan biri olan BT yönetiĢimi, BT‘nin kurum içerisinde nasıl uygulandığını anlatan konuların

bütününü oluĢturur. BT artık, ayrı bir kavram olmaktan ziyade kurumun özünde var olan yaygın bir kavramdır. BT‘nin nasıl uygulandığı konusu, kurumun amacına, vizyonuna veya stratejik hedeflerine ulaĢıp ulaĢamayacağını belirlemede büyük etkisi olan bir konudur. Bundan dolayı,bütün kurumsal yönetiĢimin önem artan bir parçası olarak, kurum, BT yönetiĢiminin değerlendirilmesine ihtiyaç duyar.BT yönetiĢimi konusunda raporlama, kurum içerisinde en üst seviyede denetim yapmayı gerektirir ve bölümler, iĢlevler veya birimlerin sınırlarını aĢar. BS Denetçisi, iĢ sözleĢmesinin Ģartlarının aĢağıdaki maddeleri kapsadığından emin olmalıdır:

Kapsanacak konuların ve iĢlevsel alanların açık bir tarifi dahil olmak üzere iĢin kapsamı

BT yönetimi konularının kurumun en üst seviyesine raporlanması

BS Denetçisinin bilgiye eriĢim hakkı

3. BAĞIMSIZLIK

3.1 Kurumsal Durum 3.1.1 BS Denetçisi, kendi kurumsal durumunun planlanan denetim için uygun olup olmadığını düĢünmelidir. Eğer uygun değilse,

yönetim tarafından bağımsız üçüncü tarafların görevlendirilmesi düĢünülmelidir.

4. PLANLAMA

4.1 Gerçeği Bulma 4.1.1 BS Denetçisi, BT yönetim yapısı ile ilgili bilgi edinmelidir. Buna aĢağıdaki konulardan sorumlu seviyeler dahil olmalıdır:

Kurumun yönetimi

Kurumsal stratejik yönlerinin ortaya konulması

Genel müdür veya yönetimin kurumun stratejilerinin uygulanmasındaki performansının değerlendirilmesi

ĠĢlemlerdeki stratejiler konusunda rapor veren üst yönetim veya alt kademelerinin performansının değerlendirilmesi (kullanılan bilgi, bilgi ve teknoloji dahil)

Kurumsal için ortaya konulan stratejik hedeflerin karĢılanması için gereken BT altyapısının ve becerilerin geliĢtirilip geliĢtirilmediğinin belirlenmesi

Kurumun mevcut iĢlemlerini devam ettirebilme kapasitesinin değerlendirilmesi 4.1.2 BS Denetçisi, BT yönetiĢim yapısının 4.1.1‘de belirtilen iĢlevleri gerçekleĢtirmek için gereken (düĢük seviyelere (üstten

aĢağı) amaçların ve hedeflerin iletilmesi için kullanılan kanallar ve uyumluluğunu izlemek için kullanılan bilgiler dahil (aĢağıdan yukarı) sürecin genel olarak anlaĢılmasını sağlamalıdır.

83

G18 BT Yönetimi(Devamı) 4.1.3 BS Denetçisi, kurumun bilgi sistemleri stratejisi hakkında aĢağıdaki konularda bilgi sahibi olmalıdır (belgelendirilmiĢ veya

belgelendirilmemiĢ olarak):

Kurumun görev ve amaçlarını gerçekleĢtirmek için uzun ve kısa vadeli planlar

Bu planları desteklemek üzere BT ve sistemleri için uzun ve kısa vadeli strateji ve planlar

Bu planlara karĢı, BT stratejisinin oluĢturulması, planların geliĢtirilmesini ve geliĢimin izlenmesinde bir yaklaĢım

BT stratejisi ve planlarının değiĢiklik kontrolüne yaklaĢım

BT misyon ifadesi ve BT faaliyetleri için üzerinde anlaĢılmıĢ hedef ve amaçlar

Var olan BT faaliyetleri ve sistemlerinin değerlendirilmesi 4.2 BS Denetim Hedefleri 4.2.1 Bir BT yönetiĢimi denetim hedefleri, beklenen ihtiyaçları ve beklenen dağıtım seviyesinden etkilenebilir. BS Denetçisi,

denetimin hedeflerini oluĢtururken aĢağıdaki seçenekleri düĢünmelidir:

YönetiĢim sistemi ve/veya verimliliği üzerinde raporlanması

Finansal bilgi sistemlerinin kapsanması ya da kapsanmaması

Finansal olmayan bilgi sistemlerinin kapsanması ya da kapsanmaması 4.2.2 Bir BT yönetiĢiminin denetiminin ayrıntılı hedefleri, genellikle üst yönetim tarafından uygulanan iç kontrol çerçevesine dayalı

olacaktır. Hazır bir çerçevenin olmaması durumunda, COBIT çerçevesi asgari dayanak olarak kullanılmalıdır.

4.3 Denetimin Kapsamı 4.3.1 BS Denetçisi, BT etkinliğini planlamak ve örgütlemek için ilgili süreci ve bu faaliyetleri izlemek için gereken sürecin

faaliyetlerini denetim kapsamına dahil etmelidir.. 4.3.2 Denetimin kapsamı, COBIT çerçevesinde belirtilen BT kaynaklarının hepsinin korunması ve kullanılması için kontrol

sistemlerini içermelidir. Bunlara aĢağıdaki konular dahildir:

Veriler

Uygulama sistemleri

Teknoloji

Tesisler

Ġnsanlar

4.4 Personel Yönetimi 4.4.1 BS Denetçisi, bu incelemeyi gerçekleĢtirecek personellerin uygun seviyede ve nitelikte olmalarını makul güvence

sağlamalıdır. 5. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 5.1 Üst Seviye Yönetim Faaliyetlerinin Ġncelenmesi 5.1.1 BT yönetiĢimi, kurumsal yönetiĢimin bir parçası olarak, yapılan iĢin hedef ve amaçları tarafından yönlendirilmelidir. BS

Denetçisi, aĢağıdaki noktaların var olup olmadığını inceleyerek stratejik iĢ planlama sürecini değerlendirmelidir:

ĠĢin vizyon ve misyonunun açık bir tanımı

Kullanılan bir stratejik iĢ planlama yöntemi

Bu süreciye katılan bireylerin seviyelerinin uygunluğu

Bu planlamanın düzenli olarak güncellenmesi 5.1.2 BS Denetçisi, BT stratejik planlama sürecini incelerken aĢağıdakilerin olup olmadığını düĢünmelidir:

BT vizyon ve misyonunun açık bir tanımı

Stratejik bir bilgi teknolojisi planlama yönteminin var olduğunu

Bu yöntem iĢin amaçlarını ve hedeflerini BT iĢ amaç ve hedefleriyle örtüĢtürdüğü

Planlamanın baĢlıca BT faaliyetlerinin ve gerekli kaynakları tanımlaması

Bu planlama sürecinin düzenli olarak güncellenmesi (yılda en az bir kez)

Bu süreciye katılan bireylerin seviyelerinin uygunluğu 5.1.3 BS Denetçisi, BT taktik planlamasını incelerken aĢağıdaki maddeleri düĢünerek proje yönetim uygulamalarını göz önünde

bulundurmalıdır:

Kullanılan proje yönetim yöntemlerinin kapsamı

Uygulanan proje yönetim kontrolleri

Kullanılan proje yönetim araçları

Projenin değiĢik aĢamaları boyunca BT ve iĢ personelinin bütünleĢikliği

Kurumdaki önemli değiĢiklikleri içeren büyük projeler için kullanılan değiĢim yöntemleri 5.1.4 BS Denetçisi sunum sürecini incelerken aĢağıdaki maddeleri göz önüne almalıdır:

Yerinde iĢletim kontrolleri (Uygulama geliĢimi ile ilgili COBIT amaçları)

GeliĢim veya değiĢim süreci

Proje yönetim süreci (5.1.3‘te anlatıldığı üzere)

84

G18 BT YönetiĢimi(Devamı) 5.1.5 GeliĢim süreci boyunca, uygulama geliĢtirme yöntemleri ve uygulamalarına uygulanan kontrollere odaklanma. BS Denetçisi, aĢağıdaki

maddeleri incelemesine dahil edebilir:

Uygulama geliĢtirme yöntemi (kalitesini düĢünerek, örneğin yüksek seviyede yapılandırılmıĢ ve sistem geliĢiminin yaĢam döngüsünün bütün yönlerini kapsıyorsa ve dıĢtan destekleme veya dağıtılmıĢ sistemler gibi çevrenin özelliklerini göz önüne alıyorsa)

Proje boyutu ve ilerlemesini öngörmek için kullanılan geliĢim ölçütleri

Test konularını kontrol eden teknikler, bunlardan öğrenmek ve gelecek projeler için yöntemi ve kontrolleri güçlendirmek 5.1.6 BS Denetçisi, mevcut sistem portföyünü yönetmek için kullanılan süreci incelerken, kurumsal stratejiyi ve halihazırdaki sistemler tarafından

destek alanlarının kapsamını göz önünde bulundurmak durumundadır. BS Denetçisi bu incelemesinde aĢağıdaki maddeleri dahil etmelidir:

Stratejik iĢ planlama süreci tarafından belirlenen stratejik alanları sağlayan politikaların kapsamı

Politika uyumunu izlemek, zorunlu kılmak, iletiĢimi sağlamak ve değerlendirmek için üst seviye yönetim tarafından izlenen süreçler,

Ġzleyen konular üzerinde belgelendirilmiĢ politikalar: güvenlik, insan kaynakları, veri sahipliği, son kullanıcı hesaplaması, fikri mülkiyet, veri koruma/tutma, sistem edinimi ve uygulaması, dıĢ kaynaktan temin, bağımsız güvence, süreklilik planlama, sigorta ve kiĢisel bilginin gizliliği

Ġnceleme altındaki süreçlere katılan kiĢilerin rol ve sorumluluklarının belirlenmesi (örneğin veri sahipleri, BT yönetimi, yürütme) ve incelemedeki süreci konusunda uygun olup olmadıklarının değerlendirilmesi

Ġncelemedeki sürecine katılan kiĢilerin rollerini gerçekleĢtirmek için gerekli becerilere, deneyime ve kaynaklara sahip olma yeterlilikleri

Ġç denetime uygun seviyede katılımının sağlanmıĢ olması (eğer kurum iç denetim kaynaklarına sahipse)

BT uzmanı veya iĢlevlerinin, kurum içerisindeki konumlarının kurumun hedeflerine ulaĢmak için BT‘den en yüksek kazancı yapmaya uygun olup olmadığının değerlendirilmesi

Kurum ve BT uzmanlarının yönetiminin ve uzman olmayan fakat BT sorumluluğuna sahip kiĢilerin kurumun hata, kusur, aykırılık ve yasadıĢı hareketler risklerini karĢılama konusunda yeterli olup olmadıklarının değerlendirilmesi.

5.1.7 BS Denetçisi, yukarıdaki incelemelerden elde edilen denetim kanıtının uygun alanları kapsayıp kapsamadığını göz önünde bulundurmalıdır. Göz önünde bulundurulması gereken konular, COBIT tarafından BT YönetiĢimi Yönetici Rehberinde ortaya konulmuĢtur. Bu rehber, BT yönetiĢimi hedeflerine götüren ana hedef göstergelerini, kritik baĢarı etmenlerini ve anahtar performans göstergelerini içerir. Göz önünde bulundurulması gereken bilgiler Ģunlardır:

Bir BT misyonu ifadesi ve BT faaliyetleri için üzerinde anlaĢılmıĢ hedef ve amaçların varlığı

Kurumun BT kaynaklarının kullanımıyla ilgili risklerin değerlendirilmesi ve bu risklerin yönetimiyle ilgili yaklaĢımlar

Planlara karĢı geliĢmeyi izlemek ve stratejiyi uygulamak için BT strateji planları

BT bütçeleri ve çeĢitlilikleri ve çeĢitliliklerin izlenmesi

BT kullanımı için yüksek seviye politikalar ve bu politikalarla uyumun izlenmesi ve korunması

BT için ilgili performans göstergelerinin karĢılaĢtırılması, benzer kurumlar, iĢlevler, uygun uluslararası standartlar, olgunluk modelleri veya bilinen en iyi uygulamalar arasında karĢılaĢtırmalar gibi.

Üzerinde anlaĢılmıĢ performans göstergelerine karĢı performansın düzenli izlenmesi

Etkinlik unsurlarının olarak yönetiĢimi iĢlevince tanımlanmıĢ, belirlenmiĢ, çözümlenmiĢ ve izlenmiĢ faaliyetler BT‘nin periyodik incelenmesinin kanıtları

Yukarıda 5.1.1.‘den 5.1.5‘e kadar tanımlanmıĢ olan süreçler arasında verimli ve anlamlı bağlantıların kanıtı 5.1.8 BS Denetçisi, üst seviye yönetimin BT ile ilgili olarak uygun yönetim faaliyetlerini baĢlatıp baĢlatmadığı ve bu faaliyetlerin uygun biçimde izlenip

izlenmediği konusunu göz önüne almalıdır.

6. RAPORLAMA 6.1 Hedef Kitle 6.1.1 BS Denetçisi, BT yönetiĢimi ile ilgili raporları denetim komitesine ve üst düzey yönetime vermelidir. 6.1.2 BT yönetiĢiminde, yetersizliklerin olması durumunda bunlar derhal denetim yönetmeliğinde belirtilen uygun kiĢilere veya gruba rapor

edilmelidir. 6.2 Ġçerik 6.2.1 Raporla ilgili diğer ISACA standartlarıyla uyum içerisinde olmanın yanı sıra, BT yönetiĢimiyle konusundaki denetim raporu aĢağıdaki maddeleri

içermelidir:

Üst seviye yönetimin kurumun iç kontrolünden sorumlu olduğuna dair bir ifade

Ġç kontrol sisteminin somut yanlıĢ ifadelere veya kayıplara karĢı sadece makul fakat kesin olmayan güvence sağlayabileceğine dair bir ifade

Gerçeğe aykırı bilgiler ve kayıplar

Üst seviye yönetimin kurduğu ve verimli bir BT yönetiĢim sistemi ve ilgili destekleyici belgelendirme sağlamayı hedefleyen anahtar usullerin bir tanımı

Kurumun politikalarıyla veya ilgili yasa ve düzenlemelerle veya kurumsal yönetiĢim için endüstri uygulama yönetmeliklerine iliĢkin her türlü uyumsuzluklarla ilgili bilgiler

Her türlü önemli ve kontrol edilmemiĢ risklere dair bilgiler

BS Denetçisinin geliĢtirme önerileriyle birlikte.her türlü verimsiz veya yetersiz kontrol yapılarıyla veya usullerle ilgili bilgiler,

BS Denetçisinin, BT yönetiĢimiyle ilgili sonuçları (ilgili sözleĢme Ģartlarında tanımlandığı Ģekilde) 7. DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ 7.1 Zamanındalık 7.1.1 Kurumsal yönetiĢim sistemindeki her hangi bir zafiyetin etkileri normalde geniĢ alana yayılmıĢ ve yüksek risklidir. BS Denetçisi, bu yüzden

uygun olan yerlerde, yönetimin zafiyete karĢı önlemler alıp almadığını, yeterli ve zamanında çalıĢmalar yaparak onaylamalıdır. 8. YÜRÜRLÜK TARĠHĠ 8.1 Bu rehber bütün bilgi sistemleri denetimlerinde 1 Temmuz 2002‘den itibaren geçerlidir.

85

G20 Raporlama 1. ARKA PLAN 1.1 ISACA Standartlarıyla Bağlantı 1.1.1. S7 Raporlama Standardı: ―BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır.

Rapor, kurumu, hedeflenen alıcıları ve dağıtım sınırlamalarını tanımlamalıdır. Denetim raporu, yürütülen denetim iĢinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve sınırlarını ortaya koymalıdır. Rapor, BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini, sahip olduğu çekincelerini, niteliklerini veya sınırlandırmalarını belirtmelidir. BS Denetçisi, raporlanan sonuçları destekleyecek uygun ve yeterli denetim kanıtlarına sahip olmalıdır.‖ Ģeklinde ifade eder.

1.2 Tanımlar 1.2.1 Konu veya faaliyet alanı, BS Denetçisinin raporunun ve ilgili usullerin özel bilgisi konusudur. Ġç kontrollerin tasarımı ve

uygulanması konusunu, mahremiyet uygulamaları standartları, yasa veya düzenlemelerle uyum gibi Ģeyleri içerebilir. 1.2.2 Raporlama onay iĢlemi, BS Denetçisinin Yönetimin söylediği konuyla ilgili belli bir sorunu veya doğrudan ana sorunla ilgili bir

konuyu araĢtırdığı bir faaliyettir. BS Denetçisinin raporu aĢağıdakilerden biri ile ilgili bir görüĢten oluĢur:

Ana sorun. Bu raporlar bir iddiadan ziyade doğrudan ana sorunla ilgilidir. Belli durumlarda yönetim yapılan iĢle ilgili bir iddiada bulunamayacaktır. Bu duruma bir örnek, BT hizmetleri üçüncü bir taraftan dıĢ kaynaktan sağlandığı zaman ortaya çıkar. Yönetim, üçüncü tarafların sorumlu olduğu kontrollerle ilgili bir iddiada bulunamayacaktır. Bu yüzden bir BS Denetçisi bir iddia yerine doğrudan ana sorunla ilgili rapor verecektir.

Yönetimin kontrol usullerinin etkinliği konusundaki iddiası

BS Denetçisinin, belli bir konuyla ilgili bir fikir beyan ettiği inceleme raporlaması görevi. Bu görevler, yönetim tarafından yapılan kontrollerle ve bunların iĢleyiĢ etkinliği konusunda raporlarları içerebilirler.

Bu rehber, birinci tür görüĢe yönlendirilmiĢtir. Eğer iĢ sözleĢmesi, ikinci tür görüĢü gerektirirse raporlama gereksinimlerinin

uyarlanması gerekebilir. 1.2.3 Kontrol hedefleri, kontrollerin geliĢtirilmesi ve uygulanması için çerçeve olarak kullanılan yönetimin hedefleridir. 1.2.4 Kontroller ve kontrol usulleri, ilgili kontrol hedeflerini baĢarmak için uygulanan politika ve usuller demektir. 1.2.5 Kontrol zayıflığı, bir kontrol usulünün tasarım ve uygulanmasında bir bozukluk demektir. Kontrol zayıflıkları, muhtemel kabul

edilebilir bir seviyeye düĢürülmemiĢ bir etkinliğin alanıyla ilgili risklerle sonuçlanabilir (ilgili risklerden kasıt, kontrol edilen alanla ilgili hedeflere ulaĢmayı tehdit eden risklerdir). Kontrol zayıflıkları, bir veya daha fazla kontrol usulünün tasarımı veya uygulanması, riski görece düĢük bir seviyeye indirmediği zaman önemli olabilirler, bu riske yasadıĢı faaliyetler veya aykırılıklar sebep olabilir ve ilgili kontrol usulleri tarafından tespit edilemeyebilir.

1.2.6 Kriterler, ana sorunu ölçmek ve sunmak için kullanılan standartlar ve kıstaslardır ve BS Denetçisi bunları ana sorunu değerlendirmek için kullanır. Kriterler:

Nesnel olmalıdır-Yanlı görüĢlerden uzak

Ölçülebilir olmalıdır-Tutarlı ölçümler sağlamalıdır

Tam olmalıdır-Bir sonuca ulaĢmak için ilgili bütün etmenleri içermelidir

Ġlgili olmalıdır-Ana sorunla ilgili olmalıdır 1.2.7 Doğrudan raporlama görevi, yönetimin kendi kontrol usullerinin etkinliği ile ilgili yazılı iddialarda bulunmadığı ve BS

Denetçisinin doğrudan ana sorunda kontrol usullerinin etkinliği ile ilgili bir fikir açıkladığı görevdir. 1.2.8 Ġç kontrol yapısı (iç kontrol), yönetim kurulu, yönetim ve tüm diğer personel, tarafından etkilenmiĢ dinamik, bütünleĢik

süreçlerdir ve aĢağıdaki genel amaçlara ulaĢılmasında makul güvence sağlamaları amacıyla tasarlanmıĢlardır:

ĠĢleyiĢin etkililiği, verimliliği ve ekonomikliği

Yönetimin güvenilirliği

Ġç politikalar, yönetmelikler ve ilgili yasalara uyum 1.2.9 Yönetimin bu genel hedeflere ulaĢma stratejileri, aĢağıdaki bileĢenlerin tasarımı ve uygulanmaları tarafından etkilenir:

Kontrol çevresi

Bilgi sistemi

Kontrol usulleri 1.3 Rehber Gereksinimi 1.3.1 Bu rehber, BS Denetçisinin, bir kurumun bilgi sistem kontrolleri ve ilgili kontrol amaçlarıyla ilgili rapor verirken ISACA BS

Denetim Standartlarıyla ve COBIT ile nasıl uyum içinde olması gerektiğini ortaya koyar.

86

G20 Raporlama(Devamı) 2. GĠRĠġ 2.1 Bu Rehberin Amacı 2.1.1 Bu Rehberin amacı, belli bir etkinlik alanı için kontrol usullerinin aĢağıdakiler üzerinde etkin olup olmadığı konusunda rapor

verecek olan BS Denetçilerine yol göstericilik sağlamaktır:

Bir kurumun yönetim kurulu ve/veya iĢletme seviyesinde etkin olup olmadığı

Belli bir üçüncü taraf, örneğin bir düzenleyici veya denetçi üzerinde etkin olup olmadığı 2.1.2 BS Denetçisi, tasarım etkinliği veya iĢletim etkinliği üzerinde rapor vermek için görev alabilir. 3. GÜVENCE

3.1 Hizmet Türleri 3.1.1 Bir BS Denetçisi aĢağıdakilerden herhangi birini uygulayabilir:

Denetim (Doğrudan veya bildirimle)

Gözden geçirme (Doğrudan veya bildirimle)

Üzerinde fikir birliğine varılmıĢ usuller 3.2 Denetim ve Gözden Geçirme 3.2.1 Bir denetim, kontrol usullerinin etkinliği hakkında yüksek fakat kesin olmayan bir güvence seviyesi sağlar. Test kullanma,

yargı çıkarma gereksinimi, iç kontrollerin kalıtsal sınırlandırmaları ve BS Denetçisinin eline geçen kanıtların doğasında sonuca ulaĢtırıcı olmaktan ziyade ikna edici olmalarından dolayı kesin güvence çok nadir ulaĢılan bir durumdur.

3.2.2 Bir gözden geçirme, kontrol usullerinin etkinliği hakkında ortalama bir güvence sağlayabilir. Sağlanan güvencenin seviyesi, bir denetim sırasında sağlanan güvencenin seviyesinden daha düĢüktür, çünkü iĢin kapsamı bir denetimde olandan daha dardır, ve kullanılan usullerin doğası, zamanlaması ve sınırları, BS Denetçisinin olumlu bir görüĢ belirtmesi için yeterli ve uygun denetim kanıtı sağlamaz. Bir göden geçirmenin, BS Denetçisinin usuller temelinde tanımlanmıĢ kıstaslar açısından kontrol usullerinin etkin olmadığına inanması için dikkatini çeken herhangi bir Ģeyin olup olmadığını belirtmesini sağlamak içindir (olumsuz güvence ifadesi).

3.2.3 Kontrol usullerinin hem denetim hem de gözden geçirme Ģunları içerir:

Görevin planlanması

Kontrol usullerinin tasarım etkinliğinin değerlendirilmesi

Kontrol usullerinin iĢlem etkinliğinin testi (test sürecinin doğası, zamanlaması ve sınırı, bir denetim ve bir inceleme arasında olduğu gibi değiĢecektir)

Kontrol usullerinin, tasarım ve iĢleyiĢ etkinliği aĢağıdaki tanımlanmıĢ kıstaslar temelinde raporlamada ve bir sonuç oluĢturma konusunda bir rapor düzenlemek:

- Bir denetim için sonuç, bir fikrin olumlu ifadesi olarak görülür ve yüksek seviye bir güvence sağlar. - Bir inceleme sonucu, olumsuz bir güvence ifadesi olarak görülür ve sadece ortalama seviye bir güvence sağlar.

3.3 Üzerinde GörüĢ Birliğine VarılmıĢ Usuller 3.3.1 Üzerinde görüĢ birliğine varılmıĢ usullerle yapılan görev BS Denetçisi tarafından bir güvence ifadesiyle sonuçlandırılmaz. BS

Denetçisi, gerçekleĢtirilecek olan usuller konusunda görüĢ birliğine varmıĢ olan tarafların bilgi gereksinimlerini karĢılamak için özellikli usulleri uygulamakla görevlidir. BS Denetçisi, usuller üzerinde anlaĢmıĢ olan tarafların bulguları ile ilgili bir rapor hazırlar. Alıcılar, bu rapordan kendi sonuçlarını çıkarırlar çünkü BS Denetçisi, herhangi bir güvenceyi ifade etmek için, usullerin doğası, zamanlaması ve sınırlarını belirlememiĢtir. Rapor, gerçekleĢtirilecek olan usuller üzerinde anlaĢmıĢ olan taraflarla sınırlıdır (örneğin düzenleyici bir kurul gibi), çünkü üçüncü kiĢiler usullerin sebeplerinin farkında değildirler ve sonucu yanlıĢ yorumlayabilirler.

3.4 Üzerinde GörüĢ Birliğine VarılmıĢ Usullerle Ġlgili Raporlama 3.4.1 Üzerinde görüĢ birliğine varılmıĢ usullerle ilgili rapor, usuller ve bulgular Ģeklinde olmalıdır. Rapor aĢağıdaki öğeleri

içermelidir:

Bağımsız kelimeyi içeren bir baĢlık

BelirtilmiĢ tarafların tanımlanması

Ana sorunun tanımlanması (veya ilgili yazılı belge) ve görevin çeĢidi

Sorumlu kiĢinin tanımlanması

Ana sorunun sorumlu kiĢinin sorumluluğunda olduğunu belirten bir ifade

GerçekleĢtirilen usullerin, raporda belirtilen kiĢiler tarafından görüĢ birliğine varılmıĢ olan usuller olduğunu gösterir bir ifade

Usullerin yeterliliğinin sorumluluğunun sadece belirtilen taraflarda olduğunu gösterir bir ifade ve bu usullerin yeterliliği için bir sorumluluk kabul etmeme bildirisi

GerçekleĢtirilen usullerin ve ilgili bulguların bir listesi

87

G20 Raporlama(Devamı)

BS Denetçisinin iĢin içinde olmadığını ve ana sorunla ilgili bir inceleme yapmadığını gösterir bir ifade

BS Denetçisinin ek usuller kullanıp kullanmadığını, dikkatini çeken ve rapor edilecek baĢka konular olup olmadığını gösterir bir ifade

Raporun kullanımı ile ilgili sınırlamaların bir ifadesi, çünkü raporun sadece belirtilen taraflarca kullanılması planlanmıĢtır 3.5 Görev Emri 3.5.1 Düzenlemeyici ve benzeri zorlayıcı gereksinimden dolayı yapılması gereken bir görevin olduğu bir durumda, BS Denetçisinin,

bu görevin ilgili yasa ve diğer zorunlu sözleĢme kaynaklarından sözleĢme türünün açık olduğu konusunda tatmin olması önemlidir. Eğer bir belirsizlik varsa, BS Denetçisi veya atanan taraf ilgili kurumlarla görüĢmesi ve diğer tarafın sorumluluğunun oluĢturulması ve düzenlenmesi ihtiyacı ve sözleĢme yapılarak anlaĢılması, gerekli güvencenin sağlanması tavsiye edilir..

3.5.2 Bir BS Denetçisi, görev tamamlanmadan önce görevi bir ―denetim‖den ―gözden geçirmeye veya üzerinde görüĢ birliğine varılmıĢ usule‖ dönüĢtürmesi istenirse, bunu yapmadan önce bunun uygun olup olmadığını değerlendirmesi gereklidir ve makul bir açıklaması olmadığı sürece değiĢiklik yapmaması gerekir. Örneğin bir raporu iyileĢtirmek için değiĢiklikten kaçınmak uygun değildir.

4. BS DENETĠM GÖRÜġÜ

4.1 Sınırlamalar 4.1.1 BS Denetçisinin görüĢü, doğası gereği sonuçlandırıcı olmaktan ziyade ikna edici olan denetim kanıtı, yeterli ve uygun kanıtın

toplanması için gerekli olduğu belirlenen usullere dayanır. Bu kanıt doğasında sonuca ulaĢtırıcı olmasından ziyade ikna edicidir. Bir BS Denetçisi tarafından iç kontrollerin etkinliği hakkında sağlanan bir güvence, iç kontrollerin doğasından dolayı ve kalıtsal sınırlamalardan dolayı sınırlıdır. Bu sınırlamalar Ģunları içerir:

Yönetimin bir iç kontrolün, beklenen faydalardan daha fazla maliyete sebep olmaması ile ilgili olan istemi

Çoğu iç kontroller rutin olmayan iĢlem/olaylara doğru değil de rutin olanlara eğilimlidir

Dikkatsizlik, aĢırı yorgunluk, yönergelerin yanlıĢ anlaĢılması, yargıya varmadaki hatalar veya dikkat çeldirici Ģeyler sonucu oluĢabilecek insan hataları ihtimali

ÇalıĢanların aralarında veya üçünü taraflarla gizlice anlaĢmaları sonucu iç kontrollerden kaçınma ihtimali

Ġç kontrolden sorumlu bir kiĢinin bu sorumluluğu suiistimal etmesi, örneğin yönetimin bir üyesinin bir kontrol usulünü göz ardı etmesi ihtimali

Yönetimin aynı iç kontrolü diğer personeli uygulamama ihtimali

ġartlardaki değiĢikliklerden dolayı iç kontrollerin yetersiz kalması ve usullere uyumun kötüleĢmesi ihtimali 4.1.2 Görenek, kültür ve yönetim (ortak ve BT) sistemleri, yönetimin aykırılıkları önlemesini sağlayabilir fakat bunlar yanılmaz ve

ĢaĢmaz önleyiciler değildir. Etkin bir kontrol ortamı, bu tür aykırılıkların azalmasına yardım edebilir. Etkili yönetim kurulu, denetim komitesi ve iç denetim iĢlevi gibi kontrol ortamı etmenleri yönetimi uygunsuz bir davranıĢa zorlayabilir. Alternatif biçimde, etkin olmayan kontrol ortamı kontrol usullerinin etkinliğini bir iç kontrol yapısı içerisinde etkisiz hale getirebilir. Örneğin, bir kurum yeterli BT kontrol usullerine sahip olsa dahi yönetim, kurumun saygınlığını kamuoyunda ters yansıtacak herhangi bir savsaklamayı bastırmaya eğilimlidir. Ġç kontrollerin etkinliği, mülkiyet değiĢimleri, yönetim veya diğer personel değiĢimleri veya kurumun pazar veya endüstrideki geliĢimleri tarafından da etkilenebilir.

4.2 Sonraki(Müteakip) Olaylar 4.2.1 Bazen olaylar test sürecinin hemen arkasından, fakat BS Denetçisinin raporunun da hemen öncesinde meydana gelir, ana

sorun üzerinde somut etkisi vardır ve bu yüzden ayarlama ve düzenleme veya ana sorun sunulurken açıklanması gerektirirler. Bu olaylara, sonraki olaylar denilir. BS Denetçisi, bir kanıtlama görevini yerine getirirken sonraki olayları göz önünde bulundurmalıdır. Bununla birlikte, BS Denetçisinin bu olayları tespit etme sorumluluğu yoktur.

4.2.2 BS Denetçisi, yönetime, rapordan sonraki devrede sonradan olan olaylar konusunda bilgisinin olup olmadığını, BS Denetçisinin raporunun tarihinde, ana konu ve iddialar konusunda önemli etkili olup olmayacağını sormalıdır,

4.3 Sonuçlar ve Raporlama 4.3.1 BS Denetçisi, kontrol usullerinin etkinliği üzerinde bir fikir verme açısından temel oluĢturacak kanıtlardan çıkarılan sonuçları,

tanımlanmıĢ kıstaslara dayalı olarak gözden geçirmeli ve değerlendirmelidir.

4.3.2 Bir BS Denetçisinin kontrol usullerinin etkinliği ile ilgili raporu aĢağıdakileri içermelidir:

BaĢlık

Hitap edilen kiĢi/kurum

AĢağıdakiler dahil olmak üzere denetimin kapsamının tanımı:

88

G20 Raporlama(Devamı)

Etkinlik alanının tanımı veya tarifi

BS Denetçisinin sonuçları için temel olarak kullanılan kıstaslar

Etkinlik alanı için kontrol usulleri dahil etkin bir iç kontrol yapısının sürdürülmesinin yönetimin sorumluluğunda olduğunu belirten bir ifade

Görevin bir kanıtlama görevi olduğu durumlarda, kontrol usullerinin etkinliği hakkında yönetimin sunum kaynağını tanımlayan bir ifade

BS Denetçisinin, görevi kontrol usullerinin etkinliği hakkında bir fikir belirtmek için yaptığını belirten bir ifade

BS Denetçisinin raporu, hangi nedenle hazırladığını belirten bir tanımlama ve bu raporun her türlü diğer amaçlar için herkes tarafından kullanılamayacağını belirten bir belge

Kriterlerin kaynağının açıklanması veya kıstasların tanımı

Denetimin, ISACA BS Denetim Standartları ve diğer mesleki standartlarla ile uyum içinde yapıldığını belirten bir ifade

Sağlanan güveni ve diğer bilgileri etkileyen değiĢkenler hakkındaki ayrıntıları anlatan açıklamalar

Uygun olan yerlerde ayrı bir rapor da düzeltici eylem planı için önerileri ve yönetimin karĢılığını içermelidir

Herhangi bir iç kontrolün kalıtsal sınırlamalarının, hatalardan veya hilelerden kaynaklanan yanlıĢ ifadelerin olabileceğini ve belirlenemeyebileceğini belirten bir bildirim. Ayrıca bu bildirim, mali raporla ilgili iç kontrolün değerlendirilmesini yansıtan ifadelerin Ģartlardaki değiĢimler veya politika ve usullerde kötüleĢme yüzünden iç kontrollerin yetersiz kalabilmesi riski altında olduğunu belirtmelidir. - Bir denetim kontrol usullerindeki bütün zayıflıkları tespit etmek için tasarlanmamıĢtır ve zaman dilimleri boyunca

sürekli uygulanmaz ve kontrol usullerindeki testler örnekleme bazında yapılmaktadır - BS Denetçisinin görüĢü açıklanınca, bu açıklamayı tanımlayan bir bildirimi kapsamalıdır.

Bütün önemli durumlarda, kontrol usullerindeki tasarım ve uygulamanın etkin olduğunu belirten bir bildirim

BS Denetçisinin imzası

BS Denetçisinin adresi

BS Denetçisinin raporunun tarihi. Çoğu durumlarda raporun tarihi yürürlükteki mesleki standartlara dayandırılır. Diğer durumlarda raporun tarihi alan çalıĢmasının sonucuna dayandırılmalıdır.

4.3.3 Doğrudan bir raporlama görevinde, BS Denetçisi, iddialarda bulunmaktan ziyade ana sorunda doğrudan rapor verir. Rapor, sadece görevin konusuna gönderme yapmalıdır ve yönetimin konu hakkındaki iddialarına herhangi bir göndermede bulunmamalıdır.

4.3.4 BS Denetçisinin bir gözden geçirme görevini aldığı durumlarda rapor, BS Denetçisinin sonuçlarının tasarım ve iĢleyiĢ etkinliği ile ilgili olduğuna iĢaret eder ve BS Denetçisinin iĢlem etkinliği ile ilgili çalıĢmasının araĢtırma, denetim, gözlemleme ve iç kontrolleri asgari test ile sınırlandırıldığını belirtmelidir. Rapor, bir denetimin gerçekleĢtirilmediğini, yapılan usullerin bir denetimden daha az güvence sağladığını ve bir denetim görüĢünün belirtilmediğini anlatır. Olumsuz güvence durumunun ifadesi, tanımlanan kıstaslara dayanarak BS Denetçisinin denetim sırasında dikkatini çeken ve kurumun belirtilen kıstaslar çerçevesinde etkinlik alanında kontrol usullerinin etkin olmadığına inanmasını sağlayacak herhangi bir durum olmadığını belirtir.

4.3.5 Görevin devam ettiği esnada BS Denetçisi, kontrol zayıflığının farkına varabilir. BS Denetçisi yönetimin uygun kademesine zamanında bu durumu raporlamalıdır. Görev usulleri, iĢ anlaĢmasına uygun olarak bir sonuç oluĢturmak için yeterli kanıt toplayabilecek biçimde tasarlanmıĢlardır. Özellikli bir iĢ sözleĢmesi belgesinin olmadığı durumlarda, BS Denetçisinin yönetime raporlanacak bütün konuların uygunluğunu tanımlamak için usul tasarlama sorumluluğu yoktur.

5. YÜRÜRLÜK TARĠHĠ 5.1 Bu yönetmelik bütün BS Denetimleri için 1 Ocak 2003 tarihinden itibaren etkindir. Terimlere dair tam bir sözlükçe ISACA‘nın

www.isaca.org/glossary adresinde bulunabilir.


89

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi 1. ARKA PLAN 1.1 ISACA Standartlarıyla Bağlantı 1.1.1 ISACA BS Denetim Standartlarının, BS Denetim Rehberleri kadar BS Denetçisinin ERP sistemlerinin denetimi görevi veya

ERP sistemi uygulama projeleri ile de doğrudan iliĢkisi vardır. 1.1.2 Örneğin, S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı ile uyum içerisinde ERP ile ilgili denetim iĢi bağlı çalıĢan BS

Denetçisi veya diğer denetçi tarafından yürütülen denetimler veya diğer denetim personeli için BS Denetçi, BS Denetçisince yeterli uygun gözetime tabi olmalıdır.

1.1.3 BS Denetçisinin ERP sistemleri ile ilgili denetim dıĢı rollere katıldığı durumlarda, BS Denetim Standartları ve Rehberlerine ilave olarak ilgili S2 Bağımsızlık ve G12 Kurumsal ĠliĢkiler ve Bağımsızlık Rehberine, BS Denetçisi, BS Kontrol Uzmanları için ISACA Standartlarının kullanımını gözden geçirmeli ve uygunluğuna dikkat etmelidir.

1.1.4 Eğer BS Denetçisi, ĠĢ Süreci Yeniden Yapılandırma alanında, denetim dıĢı bir rol alacaksa ISACA‘nın BS Denetim Yönetmeliği G26 ĠĢ Süreci Yeniden Yapılandırma maddesi incelenmelidir.

1.1.5 ISACA‘nın Standartlar Kurulunun ilanlarına ek olarak, AraĢtırma Kurulu birkaç proje yapmıĢtır. Bunlar www.isaca.org sitesinden indirilebilirler ve özellikli ERP ürünlerine bağlı olarak BS Denetçisinin dikkatine sunulabilir.

1.2 COBIT Bağlantısı 1.2.1 COBIT Çerçevesi, ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek

ve beklentileri karĢılamak için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖ Ģeklinde ifade eder. 1.2.2 COBIT Yönetim Rehberleri, sürekli kontrol kendini-değerlendirmeli sürekli yönetim-kaynaklı bir çerçeve çizer. Bu çerçeve

Ģunlara odaklanır:

Performans ölçümü-ĠĢ gereksinimlerini destekleyen BT iĢlevinin ne kadar iyidir?

BT kontrol profili-Hangi BT sürecinin önemlidir? Kontrol için kritik baĢarı etmenlerinin nelerdir?

Farkındalık-Hedeflere ulaĢma riskleri nelerdir?

Kıyaslama-KarĢılaĢtırma-Diğerleri ne yapmaktadır? Sonuçlar, nasıl ölçülür ve karĢılaĢtırılır? 1.2.3 Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar. Anahtar performans

göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin, süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite değerlendirmesi ve karĢılaĢma sağlar.

1.2.4 Yönetim Rehberleri, öz değerlendirme atölye çalıĢmalarını desteklemek için ve BT yönetiĢiminin bir parçası olarak sürekli izleme ve geliĢtirme usullerinin uygulanması amacıyla da kullanılabilirler.

1.2.5 COBIT, bilgi sistemleri yönetim ortamı için ayrıntılı kontrol setleri ve teknikleri sağlar. Özellikli denetim kapsamına uygulanacak COBIT‘teki en uygun süreçlerin seçilmesi, belli COBIT BT süreçlerinin seçilmesine ve COBIT bilgi kıstaslarına bağlıdır.

1.2.6 Belirli COBIT hedef veya süreçleri için bu Rehberin kapsadığı alan incelenirken bu belgenin ek kısmındaki COBIT kaynakları göz önünde bulundurulmalıdır.

1.3 Rehber Gereksinimi 1.3.1 Üretim endüstrisi için kaynak planlama sistemlerinden geliĢen ERP sistemleri, farklı bölümlerin yönetimi ve süreç bilginin

sağlayan geniĢ bir iĢ alanındaki verileri kullanır. ERP terimi, artık sadece planlama dalından ziyade bir kurumun kritik iĢ süreçlerine iĢaret eder. Bu kavramın faydalı olmasına rağmen, ERP sistemi uygulamaları, yeteri kadar yönetilmez ve kontrol edilmezlerse beklenen sonuçları vermekte baĢarısızlığa uğrayabilirler. Dahası, ERP sistemlerinin geniĢletilmiĢ kullanımını destekleyen, ERP kontrol ihtiyacı ve güvenliğin önemini artıran değiĢen teknolojiler ve ortaya çıkan eğilimler vardır (web-destekli müĢteri arayüzleri gibi).

1.3.2 Bir ERP sisteminin denetimi, BS Denetçisinin özel bilgiye sahip olmasını ve karmaĢık özellikleri anlamasını baĢarılı uygulamalar için gerekli entegre süreçlerin oluĢturulmasını, özel satıcı ürünlerinin kullanımı ve kontrollerine sahip olmasını gerektirir..

1.4 Rehberin Uygulaması 1.4.1 BS Denetçisi, bu Rehberi kullanırken, diğer ilgili ISACA standartlarını ve rehberlerin bu rehberle iliĢkisini göz önünde

bulundurmalıdır. Rehber, bir ürüne –özel olmaktan ziyade genel olarak yazılmıĢtır. BS Denetçisi, ERP sistemine veya diğer ürünlere/usullere dayalı olarak bu rehberi uyarlamayı göz önünde bulundurmalıdır.

1.4.2 Bu rehber, BS Denetçisinin bir ERP sistemini denetlerken ISACA Standartlarıyla ve COBIT ile nasıl uyum sağlayacağına dair bilgiler sunar.

2. KURUMSAL KAYNAK PLANLAMA SĠSTEMLERĠ 2.1 Tanımlar 2.1.1 Kurumsal kaynak planlama birincil olarak bir kuruluĢtaki kaynakların yönetiminin planlamasını ve yönetimini göstermek için

kullanılır. Ġkinci olarak, bütün iĢ sürecini, bütünleĢik satıĢ, envanter, personel, müĢteri hizmetleri, nakliye, mali yönetim ve diğer iĢ dallarını yönetmek için kullanılabilecek bir yazılım sistemidir. Bir ERP sistemi, tipik olarak ortak bir veritabanına, farklı bütünleĢik iĢ süreci uygulama modüllerine ve iĢ analiz araçlarına dayalıdır.

http://www.isaca.org/

90

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı) 2.2 ERP Sistemlerinin Uygulanmasındaki Riskler ve Kontrol Problemleri 2.2.1 ERP sistemleri, bir kurumun iĢleyiĢini desteklemek için uygulanırlar ve baĢarılı olmak için, kurumun etkin bir biçimde

çalıĢmasını sağlayan bütün önemli süreçleri ve usullerinin tamamen bütünleĢik olmaları gereklidir. BütünleĢik ERP yapısı, göz önünde bulundurulursa bunlar, aĢağıdaki alanlarla ilgili bir kurumun risklerine ilave edebilir:

Endüstri ve iĢ ortamı

Kullanıcı veya yönetim davranıĢı

ĠĢ süreci ve usulleri

Sistem iĢlevselliği

Uygulama güvenliği

Temel altyapı

Veri dönüĢümü ve bütünlüğü

Sürekli bakım/iĢ sürekliliği 2.2.2 ERP sisteminin uygulaması ve sürekliliği ile ilgili bu riskler, uygulamanın incelenmesiyle veya teknik risklerin yalıtılmasıyla

belirlenip kontrol edilemezler; ancak hizmet verilen kurumun iĢ süreçleri kontrol hedefleri bağlantılı olarak ele alınmaları gerekmektedir. Bu yüzden BS Denetçisinin karĢısındaki zorluk, kurumun faaliyet gösterdiği iĢ ve düzenleyici alanı anlaması, ölçülebilir uygulamaları tanımlama, teknik riskleri, az ölçülebilir prosedürleri veya davranıĢsal riskleri tanımlamada yetenekli olmaktır.

2.2.3 ERP tarafından iĢlemden geçirilen verinin son derece fazla olduğu büyük bir kurumda örneklerin ve eğilimlerin analizi, iĢlemlerin etkinlik ve verimliliğinin araĢtırılmasında son derece faydalıdır. Çoğu ERP‘ler, bu özetleme ve analiz için özel araçları kapsayan imkanları sağlar. ERP içerisinde veri analizi araçlarının kullanımı, BS Denetçisine bütün ERP kullanım ömrü boyunca yardımcı olacaktır (Uygulama öncesi ve sonrası).

2.3 ĠĢ Süreci Yeninden Yapılandırma(BPR) ve ERP Uygulaması 2.3.1 BPR ve ERP Uygulama projeleri, bağımsız faaliyetler gibi düĢünülebilir. Kuramsal olarak, her proje bir kurumda diğeri

olmaksızın var olabilir. Uygulamada ise, sıklıkla aynı kurumda birbirini etkileyerek ve birbirine bağımlı olarak aynı zamanda uygulanırlar. Bir ERP, var olan bir sistemin yerine geçmesi için seçilebilir ve BPR geciktirilebilir. Bir BPR uygulamada olabilir fakat tamamlanmadan bitirilebilir ve bir ERP uygulaması baĢlatılıp devam ettirilebilir.

2.3.2 ERP ve BPR uygulamaları sıklıkla geliĢtirmenin farklı basamaklardadır. Bir BPR projesi baĢlatılabilir ve birkaç ay sonra bir ERP gerektiği sonucuna varılırsa, bir edinme projesi baĢlatılır. Benzer bir biçimde, yeni bir BT sistemi edinmek üzere bir karar verilip ERP de seçilebilir. Uygulama süreci boyunca ERP‘nin bir iĢin yediden tasarımı ve bir BPR faaliyetini gerektirebileceği unutulmamalıdır.

2.3.3 BS Denetçisinin birincil odak noktası, ERP uygulaması olmalıdır. Bununla birlikte, eĢ zamanlı bir BPR, uygulama sürecine yeni riskler katabilir ve sıklıkla mevcut riskleri değiĢtirebilir: Örneğin:

Bir BPR tarafından öngörülen değiĢiklikler insanların farklı bir biçimde davranmalarını gerektirebilir ve kurum içerisinde düĢmanlık bile ortaya çıkarabilir. Bu, ERP uygulama projesine aktarılabilir.

BPR, kurumun uygulamadaki ERP kaynaklarını kurutabilir

Yukarıdaki iki riskin ERP uygulamasında hiç etkisi olmasa bile, BPR tarafından getirilen yeni süreçlere olan yabancılık, yetersiz süreç tanımına ve ERP‘nin en iyileĢtirilemeyen yapılandırmasına yol açabilir.

BPR ve ERP, gerektiği kadar bütünleĢik olmayabilirler, geride en iyileĢtirilememiĢ performans ve gereksiz harcamalar bırakabilirler.

Bir ERP‘yi ―DeğiĢim aracı ‖ olarak kullanmak BPR‘den sapmalara yol açabilir. Yeni, güçlü teknolojilerle bir süreci, en uygun olduğu için değil de sadece yeni teknoloji ―bunu yapabilir‖ mantığına dayanarak uygulamaya doğru bir eğilim vardır.

2.3.4 AĢağıda BPR gerçekleĢtirilirken BT‘nin güçlü etkisinin olacağı basamaklara özel dikkat gerektiren adımlar vardır:

Analiz safhası-Var olan süreçler, halen kullanımdaki bilgi ve BT sistemleri analiz edilir ve yeniden yapılandırılması gereken süreçler tanımlanır. Kurum sürecinde, bilgi ve BT kullanımı önemli değiĢikliklerin aracı olarak görev görebileceğinden dolayı BS Denetçisi BPR sürecinin ilk safhalarında faydalı katkılarda bulunabilir.

Yeniden tasarım süreci-Yeni süreçler, yeniden tasarlanırlar, yeni bilgi veya var olan bilgiyi yeni kullanma yolları araĢtırılır ve yeni bir iĢ sisteminin ayrıntılı planı belirlenir. Yeni iĢ akıĢının ―Olması Gereken Model‖i ve yeni bilginin farklı iĢ alanlarında nasıl paylaĢılacağı ve yeni BT sistem özellikleri, BS Denetiminin kapsamını alanını olabilirler.

DönüĢtürme aĢaması-Göç stratejisi, geliĢtirilir, göç eylem planı oluĢturulur ve sonra uygulanır. BT sistemlerinin dönüĢümü, yeni bilgi ve yeni teknolojilerin geliĢi ve eski bilgilerin ve BT sistemlerinin kullanım dıĢına çıkarılması BS Denetimimin kapsamı alanı olabilirler.

91

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı) 2.4 COBIT Uygulaması ve Kullanımı 2.4.1 COBIT, ERP sistemleri incelenirken birçok alanda uygulanabilir. Farklı kontrol hedeflerinin iliĢkisi, bazı kurumların kontrol

yapılarının gereksinimleri gibi, kurumdan kuruma değiĢecektir. Bununla birlikte, inceleme sırasında COBIT uygularken iyi bir baĢlangıç, yönetimin BT ile ilgili varsayımlarını dikkate almak olacaktır (bakınız COBIT Uygulama Rehberi ). Gartner Grup, yönetimin ERP sistemleri ile ilgili endiĢeleri hakkında bazı özellikli ilgi alanları tanımlamıĢtır. Bunlara aĢağıdakiler dahildir:

Kullanıcı gereksinimlerini karĢılamada baĢarısızlık

BütünleĢmede baĢarısızlık

Teknik altyapıyla uyumsuzluk

Satıcı destek problemleri

GeniĢ ve karmaĢık kurulumlar 2.4.2 ITGI [eski adı ISACF]tarafından tanımlanan ilgili kontrol hedefleri yukarıda ele alınan varsayımları karĢılamak için

kullanılabilirler. Ayrıca BS Denetçisi, göreve-bağlı kontrol hedefleri ve bu özellikli kontrol hedefleri için göreve-özel denetim usulleri oluĢturabilir.

3. BS DENETĠM STANDARTLARIYLA ETKĠN UYUMLULUĞUN BAġARILMASI 3.1 GiriĢ Yorumları 3.1.1 BS Denetçisinin bir ERP sistemi veya ERP uygulama projesiyle, bir rol ile karĢı karĢıya kalması durumunda, ISACA‘nın BS

Denetim Standartları ve BS Denetim Rehberleri çok benzerdir ve BS Denetçisince bu standartlar ve rehberleri göz önünde bulundurulmalı ve uyulmalıdır. BS Denetçisi, bu denetim standartları, planlanan ERP sistemi ve ilgili usuller sırasında en iyi biçimde sunulmuĢ olmalıdır.

3.1.2 Bu Rehberin amaçları için, sadece BS Denetim Rehberlerine özellikle baĢvurulmuĢtur. ERP‘ler BS Denetçisi için, ve özenle ve planlı bir biçimde kullanılması gereken risk yönetimi için çeĢitli fırsatlar sağlar. Bir ERP sisteminin veya bir gözden geçirme uygulaması için planlama aĢaması baĢarılı bir denetim için çok önemlidir. ve imzalamalıdır.

3.1.3 Bir ERP sistemi veya uygulamasının denetimi, BS Denetçisi tarafından stratejik olarak farklı bir yaklaĢım gerektirir. ERP‘ler, çeĢitlendirilmiĢ iĢ sürecini bütünleĢtirir ve bir BPR projesi ile bağlantılı olarak da uygulanabilir. Bu, yeniden yapılandırmanın bir parçası olarak, bir zamanlar bir kurumun finans ve iĢlemlerini korumak için kullanılan kritik kontrol usulleri, değiĢebilir veya göz ardı edilebilir. Bu da tamamen yeni kontrol yapıları/usulleri ve ilgili risklerle sonuçlanır.

3.1.4 BS Denetçisi, ERP sistemleri veya uygulama projeleri için, denetimin yapıldığı yöntemleri de tekrar yapılandırmalıdır. Riskler yoğunluk, farklılık ve ortaya çıkma araçları açısından bir dönüĢüme maruz kalmıĢ olacaklardır. Bu riskler, bir dereceye kadar bütünleĢik program mantığı ve ERP yazılım ürünlerinden kalan iĢ süreci iĢlevleri sebebiyle ortaya çıkarlar. Ayrıca, kalıtsallık kontrollerinden çoğu artık uygulanabilir olmayacaktır, BS Denetçisi, yeni kontrol yapısını tanımlama gereği duyacaktır.

3.1.5 Bir ERP sisteminin BS Denetimini planlarken, BS Denetçisi, denetimi bölümlere ayırmaya ve bölümleri birbirini izleyecek Ģekilde denetimi sağlamalıdır, bütün bir ERP‘nin denetlenmesi büyük çapta bir görevdir ve BS‘ne veya diğer denetim kaynaklarına zarar verebilir.

3.2 Denetim Yönetmeliği 3.2.1 BS Denetim iĢlevinin Denetim Yönetmeliği, kurumun bir ERP sistemi uygulamaya karar vermesinin sonucu olarak değiĢme

gereği gösterebilir. Örneğin, bir ERP sisteminin etkin uygulanmasıyla ilgili BPR varsayımları, BS Denetçisinin iĢ kapsamını veya diğer denetim iĢlevleriyle (finansal, iĢlemsel) iliĢkilerinin geniĢletilip daha da bütünleĢik duruma getirilmelerini gerektirebilir.

3.2.2 BS Denetçisince, denetim için planlanan kapsam BS Denetim yönetmeliği ile uyum içerisinde tanımlanmalıdır. 3.2.3 BS Denetçisinin rol(ler)i, ERP sistemi veya inceleme projesiyle ilgili olduğu için, bir kurumun üst seviye yöneticileri ve sistem

yönetim kadrosu tarafından bu rollerin tam olarak anlaĢılması zorunludur. BS Denetim Rehberi G5 Denetim Yönetmeliği gözden geçirilmeli ve ERP sistemi ve kurumun ilgili faaliyetleri bağlamında değerlendirilmelidir.

92

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı) 3.3 Bağımsızlık 3.3.1 Eğer BS Denetçisi, ERP sisteminde veya bir ERP sistem uygulaması projesinde denetim dıĢı rollerden sorumlu olacaksa BS

Denetim Rehberi G17 Denetim dıĢı Rolün BS Denetçisinin Bağımsızlığı üzerine etkisi bölümü gözden geçirmeli ve uygulanmalıdır.

3.3.2 Eğer BS Denetçisi, bir ERP sistemi veya ilgili kurumda denetim dıĢı bir rol üstlenecekse, ISACA‘nın BS Kontrol Uzmanları Standartlarını inceleyip uygulamalıdır.

3.4 Yeterlilik 3.4.1 BS Denetçisinin, ERP sistemleri kullanan bir kurum için yaptığı uzun dönem denetim stratejileri ve planları, süregelen BS

Denetiminin geliĢimini ve BS Denetçisinin yeterliğini destekleyici yönler içermelidir. Bu, bilgi seviyesini artırmayı ve sürekli mesleki eğitimi içermelidir (Standart S4).

3.4.2 Eğer bir BS Denetçisi, bir ERP sisteminin BS Denetimi iĢini üstlenmek için gerekli yeterliliklere sahip değilse, BS Denetçisi denetimi dıĢarıdan yetkin bir BS Denetçisine anlaĢarak vermeyi düĢünmelidir.

3.4.3 Bir ERP sistem denetimi için gerekli olan yetenekler, ERP denetimi veya ürün eğitimi alarak, iĢ baĢında deneyim kazanarak, ERP alanları veya denetim gruplarına katılarak edinilebilir.

3.4.4 Nitelikli ürün-bağlantılı eğitim ve deneyim (örneğin özellikli ERP ürünleri farklı olabilir veya farklı anlama gelebilirler), kiĢisel kullanım, araĢtırma veya gözlemle elde edilebilir. GeçmiĢ görüĢmeler veya BS yönetimi, teknik personel ve sistemden sorumlu kullanıcılar tarafından sağlanan kısa bilgilendirmeler, BS Denetçisine, güvenlik, kontrol ve süreçlerin özellikleri veya özellikli bir ERP sisteminin risklerini anlamada yardım edebilir.

3.4.5 Bu rehberdeki EK Bölüm, yetkinlik eksikliklerinin nasıl doldurulabileceği konusunda ayrıntılı yol göstericilik sağlar. 3.5 PLANLAMA 3.5.1 Bir ERP sistemi veya bir ERP uygulama projesinin BS Denetiminin baĢlangıcında BS Denetçisi geçmiĢ bilgileri elde etmek ve

kurumun var olan/planlanan yayılmasını ve ERP sistemi ve ilgili kaynaklarını anlamak için yeterli zaman ayırmalıdır. BS Denetçisi, bu amaçlara ürün araĢtırması, yönetim ve diğer personelle doğrudan görüĢmeler ve belge inceleme usullerini kullanarak ulaĢır.

3.5.2 Daha özel olarak ek bölüm, bir ERP sistemi uygulamasında BS Denetçisinin göz önünde bulundurması gereken temel sorunlar ve öğelerle ilgili genel açıklamalar sağlar.

3.5.3 ERP sistemleri ve uygulamaları, BS Denetçisinin karĢılaĢtığı diğer iĢ sistemlerinden daha bütünleĢik ve daha karmaĢık olmasına rağmen, bünyelerinde daha geleneksel sistemlere ve uygulama projelerine benzer birçok kurumsal, çevresel ve uygulamalarla ilgili, kontroller ve risklerle ilgili yönetim öğelerini barındırırlar.

3.5.4 Bir BS Denetçisinin, bir ERP projesi denetimi sırasında içinde yer alacağı alanların bir kurumun iĢlemlerinin bütün yönlerini içermesi önemlidir. Bu yüzden, bir ERP sistemini bütünüyle bir denetimi çok geniĢ alan beceri dizisi gerektirir. Bu beceri dizisinin, bir tek kiĢide veya bir tek denetim disiplininde bulunması çok da muhtemel değildir. Bir ERP denetim incelemesinde, denetim becerilerinin doğru bir bileĢiminin bulunması çok önemlidir. BS Denetçisinin becerilerini tamamlamak için mali, iĢletimsel ve düzenleyici alanlarla ilgili denetim becerileri ve/veya kaynakları gerekebilir.

3.5.5 Planlama yapılırken, varsa ERP sürecinden hangisinin internet ortamına taĢındığının bilinmesi önemlidir. Kurumsal portallar yoluyla web üzerinden iĢ yapan birçok kurumla ve web-tabanlı gezici hesaplama araçları yoluyla BS Denetçisi denetlenen ERP‘nin bu kategoriye girip girmediğini belirlemelidir (Örneğin, intranet, extranet veya Internet). Bu, denetim iĢinin gerçekleĢtirilmesini etkileyecektir ve ERP‘nin sınırlarını geniĢletecektir.

3.5.6 BS Denetçileri, yönetimin gerçekleĢtirilecek olan denetimin kapsamı konusunda bilgilendirilmiĢ ve tatmin olmuĢ bulunduklarından makul güvencesini sağlamalıdır.

3.6 ĠĢin GerçekleĢtirilmesi. 3.6.1 BS Denetçisi, bir ERP ortamının denetlenmesi için gereken değiĢik araç ve teknikleri, kitleleri kapsamak, muhtemel risklere

iĢaret etmek ve etkin bir gözden geçirme yapabilmek amacıyla kullanabilir. Sıklıkla, bir ERP sistemi için düĢünülen kontrollerin ilk tasarımı, zaman içerisinde değiĢiklik gösterir. Bu ERP‘nin sadece ERP‘den kaynaklanan veya ERP‘ye giden arayüzlerle değil, aynı zamanda web-tabanlı ortam olarak da hizmet verebilir geliĢen bir ortamla bütünleĢtirilir, bu durumda süreçler ERP‘nin kendisini de geçer, aĢağıdaki araç ve tekniklerin göz önünde bulundurulması gerektiği açıktır:

Veri Madenciliği ve analizi-ERP ürünleri, üçüncü tarafların araçları, önemli veri örnekleri tanımlama ve analiz etmede kullanımının var olmadığı yerlerde genellikle raporlarla ilgili sağlam denetim raporlarıyla birlikte gelirler...

Görevlerin ayrılığı analizi/yetki analizi-Bilgi, birim sistemleri ile sınırlı değildir, bir ERP sisteminin bütünleĢik doğası güvenlik ve eriĢim ayrıcalıklarının çevresinde ileri derecedeki risklerle sonuçlanır. ĠĢ kuralları, muhtemel güvenlik varsayımlarının incelenmek üzere iĢaretlendiği durumları tanımlamak için kullanılabilir.

ĠĢ akıĢı/rapor teslimi-ERP‘lerin içerisindeki iĢ akıĢı, ayrıcalık raporlarının analiz ve inceleme için gerekli kiĢilere iletilmesi için kullanılabilir. Bilginin gerçek, zamanında elde edilebilir olması halinde sebep sonuç analizi, çok daha az karmaĢıktır ve düzeltici iĢ önlemlerinin baĢlatılması daha kolaydır.

Yükseltme/kontrol bilgisi-ERP ürün tedarikçileri, var olan iĢlevin sürekli düzeltmesine vurgulamaktan ziyade, yeni ve geliĢmiĢ iĢlevselliğe yönelik AR & GE faaliyetlerine yatırım yapmayı sürdürür. ERP‘nin en son iĢlevselliği, kapasite yönetimi ve kontrol yeteneklerinin var olması, BS Denetçisi dahil kurumun için hayati önemdedir. ERP‘de mevcut olan teknik kontrol ayarlarında, ERP‘nin temel uygulamasının parçası veya güncellemesinin olup olmadığına uygun seviyede olmayı sağlayan araçlar mevcuttur.

93

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı) 3.6.2 Bir ERPnin denetimi, süreç alanının bütünlüğünü kapsayan bir güvence sağlar. AĢağıdaki özel konular göz önünde

bulundurulmalıdır:

Uygulanan süreçler için kontrol hedeflerinin tanımlanması.

Uygulanan süreçlerdeki mali ve iĢle ilgili muhtemel riskleri tanımlamak ve analiz etmek.

Bu riskleri kontrol etmek için en etkili ve verimli yolları tasarlamak ve geliĢtirmek (genellikle uygulayıcıların bu konularda ya deneyimi yoktur ya da bu konuya odaklanmazlar).

Anahtar iĢ faaliyetlerinin bağımsız bir analizini gerçekleĢtirmek, kurum sürecini karĢılaĢtırmak ve süreç geliĢtirmeleri önermek.

ERP‘nin içerisindeki kontrollerin uygun ve gerçek olmasını sağlamak.

ERP olmayan sistemlerden ERP‘ye besleme yapan arayüzlerin incelenmesi (yasal durum, internete dayalı ve gezici uygulamalar gibi).

Ġç kontrol ve iĢ sürecine odaklanan denetim testleri gerçekleĢtirmek. Birçok kurum, ERP uygulamaları sırasında iĢ sürecinde değiĢim mühendisliği uygularlar.

ĠĢ süreklilik planlarını incelemek ve test edildiklerine dair makul güvenceyi sağlamak. 3.6.3 ERP denetimi, uygulama güvenliği alanını kapsayan bir güvence sağlar. AĢağıdaki özel konular göz önünde


Uygulama kontrolleri, yetkilendirmeler ve standart güvenlik yapılandırması dahil, standart ERP parametrelerini incelemek.

Değerli verileri korurken, bir yandan da kontrollü ve verimli bir biçimde iĢlemeye izin vermek amacıyla uygulama güvenliğini değerlendirmek.

ĠĢ sürecinin bütünlüğü ve uygulama güvenliğinin bütünlüğünün makul güvencesinin sağlanması amacıyla konfigürasyon kararlarını değerlendirmek.

Uygun güvenlik ve kontrollerin yapılması amacıyla tasarım belgelendirmesinin incelenmesi

EriĢim hakkının uygun bir biçimde tanımlanıp, değerlendirilip, onaylandığının makul güvencesinin sağlanması konusunda güvenlik yönetimi sürecinin değerlendirilmesi

Birçok iĢ süreci intranet, dıĢ ağ veya Ġnternet yoluyla geniĢletilebilir. BS Denetçisi, güvenlik sürecinin bu risklere uygun bir biçimde karĢılık verdiğine dair güvence sağlamalıdır.

3.6.4 ERP denetimi, altyapı bütünlüğü alanını kapsayan bir güvence sağlar. AĢağıdaki özel konular göz önünde bulundurulmalıdır:

Uygulama yazılım paketlerini destekleyen altyapı unsurlarının muhtemel konfigürasyon ve güvenlik risklerini tanımlamak (Donanım, iĢletim sistemi, veritabanı yönetim yazılımı, ağ donanımı, Ġnternet ve intranet gibi).

Kurumun uygulamalarını ve gelecekteki faaliyet hedeflerini destekleyecek BT altyapısının incelenmesi

Veri bütünlüğü, eriĢebilirlik veya performans sorunlarına sebep olabilecek iç sistem mimarisi konularının tanımlanması.

ĠĢ kurtarma planlarının incelenmesi ve test edildiklerine dair makul güvence sağlanması. 3.6.5 ERP denetimi, uygulama bütünlüğü alanını kapsayan bir güvence sağlar. AĢağıdaki özel konular göz önünde


ÇalıĢanların asgari etkilenmesi ve bütünlük, güvenlik ve veri doğruluğu konularında kayıplar yaĢanmaksızın yeni ERP ortamına düzenli bir geçiĢin sağlanması.

Hukuki sistemlerden, yeni ürün ortamı ve arayüzlerine diğer sistemlerle birlikte veri aktarımıyla bağlantılı muhtemel risklerin tanımlanması.

ĠĢlevsellik, kontroller ve ―Uygulanmaya BaĢlanmadan Önce‖ hazır olma durumunun test edilmesi ve değerlendirilmesi.

Veri kalitesinin değerlendirilmesi.

Veri dönüĢtürme ve bütünlük stratejileri ve kontrol usullerinin değerlendirilmesi.

Güvenliğin uygulun ve bütünlüğü için ve tamlığı için test planlarının değerlendirilmesi .

Test sürecinin kullanıcı kitleyi dahil ettiğine ve yeni ERP sahibinin kullanıcı kabulünün tamam olduğundan tatmin olduğuna dair güvence.

ĠĢ süreci ve güvenlik varsayımlarının bütünlüğü için gereken eğitimin bağımsız incelenmesinin sağlanması

Kontrol ve güvenlik ortamı ve uygulama süreci yönetiminin etkinliğinin uygulama sonrası gözden geçirilmesinin sağlanması

Ayrıcalık raporunun değerlendirilmesi

3.6.6 ERP uygulamasının denetlenmesi, proje sırasında herhangi bir zamanda o ana kadar ne yapıldığının ve gelecek için ne planlandığının denetlenmesiyle uygulanabilir. Ġdeal olan denetim, ya proje sırasında farklı zamanlarda ya da sürekli olarak yapılabilir. Sonunda kadar, bu konuda BS Denetçisinin, sıklıkla ana risklerin saklandığı en kritik uygulama alanlarına hitap eden bir denetim çerçevesine ihtiyacı vardır, örneğin:

94

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı)

Proje yönetimi

Kalite yönetimi

Fayda yönetimi

Risk yönetimi

DeğiĢim yönetimi 3.6.7 Proje yönetimi dört safhadan oluĢur:

Yönetim planlaması-Proje baĢlatıldığında bir yönetim planı geliĢtirilir, öngörülen faydalar üzerinde anlaĢılır, projenin kapsamı ve projenin yapısı belirlenir.

Proje uygulaması-Proje boyunca, iĢ planlama, kaynak yönetimi, proje kontrol, proje raporlama ve iletiĢim maddeleri uygulanır.

Proje tamamlama-Proje, uygulama safhasından, gerçek faaliyetlere baĢlanan ve önceden belirlenmiĢ ve kolayca anlaĢılan bir bitiĢ noktasına sahip olmalıdır.

Fayda elde edilmesi-uygulamadan sonra, proje yönetimi değiĢir ve kullanıcı davranıĢ değiĢikliğinin ve faydaların elde edilmesinden sorumlu olan iĢ sahibine aktarılır.

3.6.8 Bir ERP sisteminin proje yönetimi, herhangi bir diğer büyük ölçekli yazılım projesinin yönetiminden çok da farklı değildir. Aynı

kavramlar, ERP sistemi uygulamasının yönetiminin denetlenmesine uygulanır,. örneğin:

Yönetici mali desteğinin ve üst seviye yönetim desteğinin değerlendirilmesi

Proje yönetim faaliyetlerinin bağımsız bir gözden geçirme ve analizinin yapılması

Proje planlamanın ve kontrolün ve kalite güvencesinin bağımsız bir biçimde değerlendirilmesi

Proje yönetimiyle ilgili diğer sorunların zaman ve bütçe aĢımı, iĢlevsellik boĢlukları ve personel yönetimi ile yetenek gereksinimlerinin yanlıĢ eĢleĢtirilmesi gibi konuları kapsayan proje yönetiminin sorunlarının bulgularıyla ilgili çözümleri yönetime sağlamak.

3.6.9 Bütün yazılım projelerinin bütünleĢik bir parçası olması gereken kalite yönetimi, sadece projenin çıktısıyla ilgilenmemelidir;

ancak aynı zamanda ERP projelerinin, proje planlama, tasarım belgelendirme, nitelikler, usuller, eğitim araçları ve uygulama planları gibi bütün faaliyetlerini kapsamalıdır. Proje örgütlemesi içinde bağımsız bir iĢlev olarak ele alınması gereken kalite güvencesi, bir denetim etkinliği olarak görülmemelidir. Diğer yandan, ERP sistem uygulaması esnasında kalite yönetiminin etkinliğinin ve kalite güvencesinin denetlenmesi gereklidir.

3.6.10 Fayda yönetimi denetiminin ana odak noktaları, iĢ sözleĢmesi ve iĢle ilgili fayda gerçekleĢtirme planıdır. Bunlar aĢağıdaki Ģekilde tanımlamalıdırlar:

Projenin iĢ amaçları ve ulaĢılması beklenen faydalar. Faydalar (hem nicel hem de nicel olmayan faydalar), fayda kayıtlarında açıkça tanımlanmalıdır. Belirlenen faydalar, tanımlanabilir ve ölçülebilir öğelere ayrılmalıdır.

Faydaların elde edilmesinin planlanması ve bunların iĢ süreci değiĢim yönetimiyle iliĢkisi

Fayda sağlanmasının sürecinin makul güvencesinin sağlanması amacıyla kontrol usulleri

3.6.11 ERP sistemi uygulamasından önce uygulanan bir fayda yönetimi, baĢarılı bir ERP projesi açısından faydalı sonuçlar doğurması olanağını sağlar. Proje tamamlandıktan sonra (genelde 18 ay sonra) bir fayda gerçekleĢme incelemesi yapılmalıdır.

3.6.12 Risk yönetimi, proje risklerinin yönetiminden daha büyüktür, ERP projelerinin iĢ üzerine yükleyeceği risklerin de yönetimidir.

ĠĢ süreçlerinin yeniden yapılandırmasıyla ilgili riskler yönetimi.

Proje yönetimi ile iliĢkili risk yönetimi. Proje riskleri aĢağıdaki biçimlerde olabilir: - Kalıtsal riskler, proje kapsamı ve hedeflerinin doğasının sonucu olan riskler - Edinme, proje ve risk yönetimine uygulanmak için seçilen yöntemler, araçlar, teknik, beceri ve deneyimlerden

kaynaklanan edinilmiĢ riskler

Sistem uygulaması sırasındaki bilgi güvenlik yönetimi

Kullanılmaya baĢlandıktan sonra bilgi güvenliği yönetimi. Örnek:Sistemin iĢleyiĢi esnasında

ERP projelerine dıĢtan gelen sistemler tarafından getirilen risklerin ve ERP projelerinin üçüncü Ģahıslarda sebep olabileceği risklerin yönetimi. Bu sebepten dolayı BS Denetçisi, özel ERP projesine dar bir odaklanmayı aĢan kurumsal bir yaklaĢıma sahip olmalıdır.

95

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı) 3.6.13. Kurumun yeniden düzenlenmesi, iletiĢim, proje pazarlama ve personel eğitimi baĢarılı bir proje yönetimi için ana

etkinliklerdir. BS Denetçisi, önceki etkinliklere ek olarak, değiĢim yönetimi iliĢkililiği diğer kritik uygulama alanlarıyla (özellikle fayda yönetimi ve risk yönetimi-değiĢime karĢı potansiyel direnci ve yeni tanımlanan rollerine göre insanların yetkilendirildiği bilgi güvenliği de göz önünde bulundurarak) birlikte değerlendirmelidir. Bir ERP uygulamasından elde edilen faydalar, normal Ģartlarda yeni sürecin uygulamadan önce tasarlanmasını ve kullanıcıların davranıĢlarını uygulamadan sonra yeni tasarlanmıĢ süreçlere uymak üzere değiĢtirmelerini gerektirir. Bu yüzden iĢle ilgili faydaların elde edilmesinin denetlenmesi, geleneksel ERP projesi kapandıktan sonra da devam edecektir.

3.7 RAPORLAMA 3.7.1 Denetim fikrinin belirtilmesi için ve/veya bir ERP projesi hakkında yorum yapmak için raporlama süreci herhangi bir diğer

denetim raporlama sürecinden farklı değildir. AĢağıdaki raporlama mekanizmalarından bir kısmı veya hepsi uygun olabilir:

ERP proje yönetimine düzenli özet raporlar, toplantılar veya gözlem kurulu toplantıları (muhtemelen gündem maddeleri olarak)

Kararlılık için kontrol noktalarının açıklanması amacıyla proje kayıt izleme denetimlerinin tutulması

Denetim fikrinin resmi raporları ve projenin yaĢam döngüsünde belirlenen göze çarpan aĢamalar 4. YÜRÜRLÜK TARĠHĠ 4.1 Bu rehber bütün BS Denetimleri için 1 Ağustos 2003 tarihinden itibaren etkindir. Terimlere dair tam bir sözlükçe ISACA‘nın



96

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi EK COBIT Referansı Belirli bir denetim kapsamına uygulanacak, en uygun COBIT materyalinin seçimi, belirli COBIT BT süreçlerinin seçimine ve COBIT bilgi kıstaslarına bağlıdır. Bu rehber, uygulanmasının belli bir ERP çeĢidiyle sınırlandırılmasını önlemek için tasarlanmıĢtır. Aynı zamanda bir kurum içerisinde, ERP kullanımının bütün yönlerini kapsaması için tasarlanmıĢtır. Bu yüzden bu Rehberin dört öğeyle de bağlantısı kurulabilir; COBIT Alanları: Plan ve Organize, Edinme ve Uygulama, Teslimat ve Destek, Ġzleme ve Değerlendirme. Belli bir denetim projesi kendi proje yönetmeliği tarafından belli bir ERP yönüyle sınırlandırılmıĢsa, bu durumda elbette ki uygulanabilecek olan COBIT alanları ve iĢ süreci sınırlı olacaktır. Bunu aĢağıdaki örneklerle açıklayabiliriz: bunlar yorucu olmaları amacıyla düĢünülmemiĢtir ve bir denetimin kapsamı hangi sürecin dahil edileceği konusunda değiĢebilir. Örnek 1: Bir ERP‘nin Planlanmasının ve Edinilmesinin Denetim/Ġncelenmesi Plan ve Organize


PO2 Bilgi mimarisini belirleme

PO3 Teknolojik yönü belirleme

PO4 BT kurum ve iliĢkileri tanımlama

PO5 BT yatırımının yönetimi

PO6 Yönetime amaçlar ve yönelim bildirimi

PO7 Ġnsan kaynakları yönetimi

PO8 DıĢ gerekliliklerle uyum sağlama

PO9 Risklerin değerlendirilmesi

PO10 Projelerin yönetimi

PO11 Kalite yönetimi Edinme ve Uygulama

AI1 Çözümleri tanımlama

AI2 Uygulama yazılımı edinme ve sürdürme

AI3 Teknoloji mimarisi edinme ve sürdürme

AI4 BT usulleri geliĢtirme ve sürdürme Örnek 2 Olgun bir ERP sisteminin Denetim/Ġncelenmesi Plan ve Organize

PO4 BT örgütlemesi ve iliĢkileri tanımlama

PO5 BT yatırımlarını yönetme

PO7 Ġnsan kaynakları yönetimi

PO8 DıĢ gerekliliklerle uyumun sağlanması

PO9 Risk yönetimi Edinme ve Uygulama

AI2 Uygulama yazılımı edinme ve sürdürme

AI3 Teknoloji mimarisi edinme ve sürdürme

AI4 BT usulleri geliĢtirme ve sürdürme

A/6 DeğiĢik yönetimi Teslimat ve Destek

DS1 Hizmet seviyelerinin belirlenmesi

DS2 Üçüncü taraf hizmetlerinin yönetimi


DS4 Sürekli hizmetin sağlanması

DS5 Sistem güvenliğinin sağlanması

DS6 Maliyetlerin tanımlanması ve nitelenmesi

DS7 Kullanıcıların eğitilmesi ve yetiĢtirilmesi

DS8 BT müĢterilerine yardım ve önerilerde bulunma


DS10 Sorun ve vaka yönetimi

DS11 Veri yönetimi

DS12 Tesis yönetimi

DS13 Faaliyetlerin yönetimi Ġzleme ve Değerlendirme

M1 ĠĢlemelerin izlenmesi

M2 Ġç kontrol yeterliğinin değerlendirilmesi

M3 Bağımsız güvence sağlanması

M4 Bağımsız denetim sağlanması

97

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi ERP Bilgi ve Tecrübe Ġhtiyacı

ERP Sistemi

Uygulama Projesi

BS Denetçisinin GeçmiĢ Bilgileri

Mali ve yönetimsel kontrollerin ve genel olarak kontrol risklerinin anlaĢılması Mesleki BS Denetim standartlarının uygulanmasının iyice anlaĢılması AĢağıdaki alanlarda BT ile ilgili kontrollerin ve kontrol risklerinin iyice anlaĢılması:

BT ortamı

MüĢteri/hizmet verici yapılarının anlaĢılması ĠĢletim sistemleri ve veritabanı yönetim sistemlerinin anlaĢılması ERP‘ler ve -denetim üzerindeki etkileri dahil- tasarımlarıyla ve yayılma felsefeleriyle ilgili genel bir anlayıĢ kazanılması ERP parçaları ve nasıl yapılandırıldıkları edildikleri, bütünleĢtirildiklerini ve yayıldıklarıyla ilgili bir anlayıĢ kazanılması Bir ERP ortamındaki güvenlik ve yetkilendirme kavramlarıyla ilgili bir anlayıĢ kazanılması

Genel olarak proje yönetim uygulamaları ve kontrollerle ilgili bir anlayıĢ kazanılması BT alanında proje yönetim uygulamaları ve kontrolleri hakkında bir anlayıĢ kazanılması. DeğiĢim yönetimi dahil, BT ile ilgili sistem geliĢtirme yöntemleri ve standartlarıyla ilgili bir anlayıĢ kazanılması ĠĢ süreçlerinin değiĢim mühendisliği ve uygulama ilkeleriyle ilgili bir anlayıĢ kazanılması

BS Denetçisinin Becerileri

Bir ERP‘deki kontrol riskinin anahtar alanlarına odaklanabilen deneyimli bir BS Denetim uzmanlığı Bilgisayar destekli denetim tekniklerinin anlaĢılması BDDT‘ler ve ERP içinde nasıl uygulanacakları Nerede ilave beceri/deneyim (örneğin mali veya düzenlemelerle ilgili) gerektiğini anlama becerisi

Uygulama projelerinin gözden geçirilmesinde ve değerlendirilmesinde deneyim

Yeteneklerin Nasıl Edinileceği

Mesleki bir denetçi olarak sertifikandırma Uzman BS Denetçisi Sertifikası, CISA gibi ERP‘nin denetimi gibi yönetim ve ERP kullanımı konusunda uzmanlık eğitim kurslarına odaklanma Özellikle son kullanıcı topluluğunun bir parçası olarak ERP öğrenme fırsatları Pratik, iĢ-baĢında deneyim KiĢisel çalıĢmalar, araĢtırma, Ġnternet vb.

ERP uygulama projelerine ve bu tür projelerde BS Denetçisinin rolüne odaklanan uzman eğitim kurslarına kaydolmak Pratik, iĢ-baĢında deneyim KiĢisel çalıĢmalar, araĢtırma, Ġnternet vb.

98

G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi ERP Sistem Uygulaması Konusunun Genel Unsurları ve Sorunları

Hangi ERP ürün ve parçaları kullanılmakta veya kullanılacak?

- (Parçalar arasında veri akıĢı gibi) parçalar nasıl bağlanmakta/bağlanacak?

Hangi veritabanı yönetimi ürün(ler)i kullanılmakta/kullanılacak? - ERP, DBMS ile nasıl yapılandırıldı/yapılandırılacak?

Hangi iĢletim sistemi ürünleri kullanılmaktadır/kullanılacaktır? - Her biri nasıl yapılandırılmıĢ/uygulanmıĢtır ve kontrol edilmiĢtir?

ERP hangi seviyede web ortamındadır? - Hangi süreçler web ortamına taĢınmıĢtır?

ERP olmayan sistemlerde iç veya dıĢ hangi arayüzler veya bağlantılar vardır/var olacak?

Her iĢlev nasıl kontrol edildi/edilecek?

Hangi seviyeye kadar ERP iĢlevselliği ve kontrol rolleri veya sorumlulukları merkezileĢtirilecek veya yerelleĢtirilcek?

ERP uygulaması sırasında ERP-dıĢı sistemlerden veya eski sistemlerden gelen verilerin dönüĢümü sırasında yönetim tarafından veri bütünlüğü nasıl kontrol ve test edilmiĢtir/edilecektir?

ERP uygulama projesi sırasında, iĢ süreci değiĢim mühendisliği ne derece yer almıĢ/alacak? - Eğer yer almamıĢsa ne zaman yer alacak?

Öyleyse, hangi değiĢiklikler uygulandı ve neden?

ERP ve BPR projeleri ortak süreci tasarımlarına nasıl uyar?

Hangi BT donanımı ve ağ kaynakları kullanılmıĢ/kullanılacak ve yapılandırmaları nasıl yönetilecek?

ERP yönetim ve teknik destek rolleri ve sorumlulukları diğer ilgili BT desteklerinden (veri yönetimi, iĢlemler gibi) hangi derecede bütünleĢik olacak veya ayrılacaklardır?

Kontrollerin değiĢim yönetimi süreci üzerinde etkisinin ne olacağı: - ERP uygulama modülleri - ERP ana sistemi - DBM

OS

BPR değiĢiklikleri

Diğer ERP dıĢı bağlantılar veya arayüzleri

EriĢim güvenlik politikaları ve standartları nasıldır/nasıl olacaklar ve devam eden yönetim kontrol ve desteğinden kim sorumlu olacaktır?

ERP sisteminin kabulüne makul güvence sağlamak için hangi süreçler uyarlanacak ve mülkiyetin kullanıcı yönetimine aktarımının tamamlandığına dair makul güvence sağlanmasına ait hangi süreçler seçilmektedir?

99

G22 ġirketten-MüĢteriye (B2C) E-Ticaret Ġncelemesi 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1. S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için


1.2. Rehberler ile Bağlantı 1.2.1. G14 Uygulama Sistem Gözden Geçirmeleri Rehberi, yol göstericilik sağlar 1.2.2. G16 Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi Klavuzu, yol göstericilik sağlar. 1.2.3. G17 Denetim DıĢı Rollerin BS Denetçisinin Bağımsızlığına Etkileri Klavuzu, yol göstericilik sağlar. 1.3. COBIT Bağlantısı 1.3.1. Belirli bir denetim kapsamına uygulanacak en uygun CobIT materyalinin seçimi, belirli CobIT BT süreçlerinin seçimine, CobIT

kontrol hedeflerinin seçimine ve bağlantılı yönetim uygulamalarına dayanır. BS denetçisinin G 14 Uygulama Sistemleri gözden geçirme ihtiyacını karĢılamak için CobIT‘teki en uygun süreçler seçilmiĢ ve aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilecek ve uyarlanacak süreçler ve kontrol hedefleri, görevlendirmenin veya iĢ anlaĢmasının belirlediği kapsama ve Ģartlara göre değiĢebilir.

1.3.3 E-Ticaret ve BT tabanlı iĢler için B2C, CobIT‘Ġn bütün ana süreçleriyle ilgili bütün BT süreçleri-Planlama ve

Organizasyan(PO), Satın Alma ve Uygulama(AI), Sunum ve Destek(DS) ve Ġzleme ve Değerlendirmeyle ilgilidir. Temel BT süreçleri aĢağıdadır:

P01 Stratejik BT planı Tanımlamak

P02 BT Mimarisini Tanımlamak

P03 Teknolojik Yönü Tayin Etmek

P09 BT Risklerinin Değerlendirilmesi,

AI2 Uygulama Yazılımlarının Edinilmesi ve GeliĢtirilmesi

AI3 Teknoloji Altyapısını Edinmek ve GeliĢtirmek

AI4 ĠĢletimi Sağlamak ve Kullanmak

AI6 DeğiĢiklikleri Yönetmek

AI7 Çözümleri ve DeğiĢiklikleri Kurmak ve ĠĢletmek

DS1 Hizmet Sunumu Seviyelerini Tanımlamak

DS2 DıĢarıdan Sağlanan Hizmetleri Yönetmek

DS3 Performans ve Kapasiteyi Yönetmek

DS4 Sistemlerin Güvenliğini Sağlamak

DS5 Sistemlerin Güvenliğinin Sağlanması

ME2 Ġç Kontrolün Ġzlenmesi ve Değerlendirilmesi

ME3 Ġç ve DıĢ Gereksinimlerle Uyumu Sağlamak

1.3.3. B2C ile en ilgili enformasyon kriterleri:

Birincil. EriĢilebilirlik, uyum, gizlilik, etkinlik ve bütünlük

Ġkincil: Etkililik ve güvenilirlik 1.4. Rehber Amacı 1.4.1. Bu rehberin amacı, Ģirketten-müĢteriye (B2C) e-ticaret faaliyetlerinin ve uygulamalarının incelenmesi sırasında önerilen

uygulamaları tanımlamaktır; bu yüzden ilgili BS Denetim Standartlarına inceleme boyunca göndermeler yapılmıĢtır. 2. ĠġTEN MÜġTERĠYE E-TĠCARET (B2C) 2.1 Tanım 2.1.1 E-ticaret terimi, farklı kiĢiler tarafından farklı anlamlarda kullanılmaktadır. ISACA, e-ticareti, kurumların müĢterileriyle,

tedarikçilerle ve diğer dıĢ iĢ ortaklarıyla interneti kullanarak elektronik ortamda yürüttükleri iĢ süreci olarak tanımlamaktadır. Bu yüzden e-ticaret terimi, hem Ģirketten-Ģirkete (B2B) hem Ģirketten-müĢteriye modelleri kapsar, fakat var olan internet bağlantılı olmayan özel bilgisayar ağlarına dayalı e-ticaret modellerini kapsamaz (EDI, SWIFT gibi).

2.1.2 Bu Rehberin amacı için, ISACA‘nın e-ticaret tanımı aĢağıdaki Ģirketten-müĢteriye e-ticaret tanımına ulaĢmak amacıyla esas olarak kullanılmıĢtır: ġirketten-müĢteriye e-ticaret, kurumların müĢterileriyle, tedarikçilerle ve diğer dıĢ iĢ ortaklarıyla interneti kullanarak elektronik ortamda yürüttükleri iĢ süreci olarak tanımlamaktadır.

2.2 ġirketten-müĢteriye E-ticaret Modelleri 2.2.1 Gitgide daha fazla kuruluĢ, iĢlerini Ģirketten-müĢteriye iliĢkilerde internet teknolojisini kullanarak değiĢtirmektedir. Bir kurumda

internet teknolojisinin Ģirketten-müĢteriye iliĢkiler için kullanılma derecesi, kurumun internet kullanımında ne kadar yetkin olduğuna, müĢterilerine, coğrafi pazar alanında internet kullanımına, kurumun ürün/hizmet türlerine ve internet kullanımının rekabet avantajı amacıyla kullanılıp kullanılmadığına bağlıdır.

100

G22 ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi(Devamı) Bu yüzden, Bir kuruluĢ, Ģirketten-müĢteriye e-ticaret modeline aĢağıdaki geniĢ e-ticaret faaliyetlerini içine alarak yönelebilir:

Bilgi (kamu)-Kurum ve kurumun ürünleri hakkındaki bilgileri internette isteyen herkesin eriĢimine sunmak

MüĢteri öz-hizmet (bilgi)-Ürünler/hizmetler ve fiyatlarla ilgili bilgileri kurumun müĢterilerinin eriĢime sunmak

MüĢteri öz-hizmet (ödemeler dıĢındaki iĢlemlerle ilgili)- Bilgileri internette eriĢime açmanın yanında sipariĢler ve iptalleri de internet yoluyla eriĢime açmak, ancak ödemeler geleneksel yollarla yapılır.

MüĢteri öz-hizmet (ödemeler)-Ödemeler ve fon aktarımları dahil, müĢteri iĢlemlerini internet yoluyla kabul etmek (bankaların olması durumunda)

MüĢteri raporlama-Hesap durumları ve sipariĢ durumları gibi raporları internet üzerinde müĢterilerin bilgisine sunmak

EtkileĢimli öz-hizmet-Web siteleri yoluyla gönderilen istemlere e-postalar yoluyla etkileĢimli karĢılık vermek

Doğrudan satıĢ-Ürün ve hizmetleri internet yoluyla alıcılara doğrudan satmak

Açık artırma-ürünleri internette açık artırmaya çıkarmak 2.3 ġirketten-MüĢteriye E-ticaret Ġncelemesinde Gereken Özel Odak Noktaları 2.3.1 ġirketten-müĢteriye e-ticaret faaliyetinde iĢ ve bilgi sistemi sıkıca birleĢmiĢtir. Bu sebeple bir Ģirketten-müĢteriye e-ticaret

incelemesi genel olarak BS risklerini olduğu kadar iĢ risklerini de kapsamalıdır. 2.3.2 COBIT bilgi sistemleri tarafından karĢılanması gereken yedi bilgi kıstası belirlemiĢtir. Bu kıstaslarla uyum içinde olmak BS

risklerini azaltmaya yarar ve iĢ risklerini azaltmaya katkıda bulunur. Bunlar:

Verimlilik

Etkinlik

Gizlilik

Bütünlük

EriĢebilirlik

Uyum

Güvenilirlik ġirketten-müĢteriye(B2C) e-ticaret durumunda, kurum tarafından gerçekleĢtirilen geniĢ e-ticaret faaliyetlerine bağlı olarak (bölüm 2.2.1‘de belirtildiği gibi) bunların etkisi daha büyük olabilir, her durumda daha düĢük olmayacaktır. Bu yüzden, Ģirketten-müĢteriye bir e-ticaret incelemesi COBIT bilgi kıstaslarının Ģirketten-müĢteriye e-ticaret tarafından nasıl karĢılandığı bilgisini ve ilgili risklerin nasıl hafifletileceğini belirtmelidir.

2.3.3 Ġnternete bağlı olduğundan dolayı Ģirketten-müĢteriye e-ticaret uygulamaları, internet korsanları, virüsler gibi, Ģirketten-müĢteriye e-ticaret uygulamalarının gizliliğini, bütünlüğünü ve eriĢilebilirliğini tehlikeye atan kalıtsal dıĢ tehditlere açıktırlar. Eğer Ģirketten-müĢteriye e-ticaret uygulamaları arka uç sistemlerle bütünleĢtirildilerse bu sistemlerin de etkilenmesi riski vardır. Kurumun Ģirketten-müĢteriye e-ticaret uygulamalarının bu tür saldırılardan etkilenmesi durumunda kurumun ünü ve saygınlığı ciddi biçimde zarar görebilir. Bu bağlamda Ģirketten-müĢteriye e-ticaret uygulamalarında bu tür tehditlere karĢı önlemlerin yeterliği konusuna özel önem vermelidir.

2.3.4 ĠĢlemin inkar edilemez olması, Ģirketten-müĢteriye e-ticaret uygulamalarının vazgeçilmez parçasıdır. Yedi COBIT bilgi kıstasıyla ilgilidir, bu kıstaslardan birisi de bütünlüktür. ġirketten-müĢteriye e-ticaret uygulamalarının iĢlemler veya ödemeler içerdiği durumlarda, sonradan ortaya çıkan iĢlem reddi olayının olmamasının sağlanması amacıyla, iletiĢim sırasında kaynakların güvenilirliği ve bütünlük sağlanmak durumundadır. Böyle durumlarda Ģirketten-müĢteriye e-ticaret uygulamalarının incelenmesi, Ģirketten-müĢteriye inkar edilemezliğin sağlanmasında e-ticaret uygulamalarının etkinliğini kapsamalıdır.

2.3.5 ġirketten-müĢteriye e-ticaret uygulamaları genel olarak müĢteriler hakkında ayrıntıları elde etmeyi içerir. Bu ayrıntıların, gizliliği sağlanmalıdır. Diğer bir deyiĢle toplanan kiĢisel bilgiler ayrıntılar, sadece kastedilen amaçlar, her bir sözleĢmenin doğrultusunda kullanılmalıdır. Bu konuda çeĢitli ülkelerde, farklı hukuk uygulamaları vardır. Bu bağlamda Ģirketten-müĢteriye e-ticaret uygulamaları incelemeleri her ülkede hukuka uymayı göz ardı etmemelidir.

2.3.6 Uygulama denetim izleri Ģirketten-müĢteriye e-ticaret uygulamaları ortamında, basılı izler olmadığından dolayı daha önemlidir. Bu bağlamda Ģirketten-müĢteriye e-ticaret uygulamalarının incelemeleri, denetim izlerinin yeterliğini ve süreci kapsamalıdır. Bu, iĢlemlerin(inkar edilemezlik dahil) yetkilendirme ve bütünlüğünü sağlanması noktasından önemlidir.

2.3.7 Diğer iĢ kanalları karĢısında, Ģirketten-müĢteriye e-ticaret uygulamaları uygulamanın elde edilebilirliğine ve internet eriĢimine bağlıdır. Bu bağlamda, uygun kapasite planlama usulleri, fazla üretim ve felaket sonrası kurtarma usulleri seçenekleri hem sistemde hem iletiĢim bağlantısında bulunmalıdır. ġirketten-müĢteriye e-ticaret uygulamalarının elde edilebilirlik yönlerini değerlendirirken bunlara gereken özen gösterilmelidir.

2.3.8 ġirketten-müĢteriye e-ticaret uygulamaları ve ilgili uygulamalar (teslimat gibi el süreci ve elektronik olmayan ödemelerin makbuzları gibi) arasındaki veri bütünlüğü önemli bir etkendir. Böyle bir bütünlüğü sağlayacak uygulama ve kiĢisel kontrollerin yeterliği Ģirketten-müĢteriye e-ticaret uygulamaları incelemesinin vazgeçilmez parçası olmalıdır.

2.3.9 ġirketten-müĢteriye e-ticaret uygulamaları, çevrimiçi ödeme alınmasını gerektiriyor ise; ödemeler için yetki almaya ve Ģartların usulüne uygun Ģekilde olmasına yönelik uygun süreçler bulunmalıdır. Böyle durumlarda kontrollerin uygunluğu ve yeterliği Ģirketten-müĢteriye e-ticaret uygulamalarının incelenmesinin bir parçası olarak değerlendirilmelidir.

101

G22 ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi(Devamı) 2.3.10 Oldukça sıklıkla Ģirketten-müĢteriye e-ticaret uygulamaları uygulama geliĢimi, web sitesinin ve ilgili veritabanlarının yönetimi

gibi üçüncü taraf hizmet sağlayıcıların katılımını gerektirir. Böyle durumlarda, kontrollerin ve uygun servis seviyesinin sağlanması ve Ģirket ve müĢterilerin bilgilerinin korunmasıyla ilgili sözleĢme hükümlerinin uygunluğu ve yeterliliği, B2C e-ticaret gözden geçirmelerinin bir parçası olarak değerlendirilmesi gereklidir.

2.3.11 E-ticaret faaliyetlerin gelen verinin yönetimi, kaydı, saklanması ve açığa çıkması, veriler elektronik olarak çıkmıyor ve yok edilmez ise çok büyük bir sorun oluĢturur.

2.3.12 Birçok B2C, kredi kartı ve diğer ödeme Ģekillerini gerektirir ve bunları sağlayıcılar veya iĢleyicilerce oluĢturulan standartlar tabidir. Bu standartlara uyum ve farkındalık, B2C e-ticareti sağlandığında önemlidir.

3. YÖNETMELĠK 3.1 Zorunluluklar 3.1.1 BS Denetçisi, bir Ģirketten-müĢteriye e-ticaret uygulamaları incelemesine baĢlamadan önce zorunluluklarla ilgili, BS

Denetçisinin kendi değerlerine dayanarak veya kurumun vereceği yönlendirmelerde gereken makul güvenceyi sağlamalıdır. BS Denetçisi, gözden geçirme kurum tarafından baĢlatılmıĢsa kurumun gereken yetkiye sahip olduğuna dair makul güvenceyi sağlamalıdır..

4. BAĞIMSIZLIK 4.1 Mesleki Tarafsızlık 4.1.1 BS Denetçisi, görevi kabul etmeden önce, kendi ilgi alanlarının Ģirketten-müĢteriye e-ticaret uygulamalarında herhangi bir

biçimde nesnelliğe zarar vermeyeceğine dair makul güvence sağlamalıdır. Herhangi bir muhtemel çıkar çatıĢması durumunda, konu açıkça kuruma bildirilmesi, kurumun çatıĢmanın farkındalığı konusunda yazılı bir belgeyi görevi kabul etmeden önce sağlamalıdır..

4.1.2 BS Denetçisinin Ģirketten-müĢteriye e-ticaret uygulamalarında denetim dıĢı rollerinin bulunması durumunda, BS Denetçisi G17 Denetim DıĢı Rollerin BS Denetçisinin Bağımsızlığına Etkisi rehberini göz önünde bulundurmalıdır.

5. YETERLĠLĠK 5.1 Beceriler ve Bilgi 5.1.1 BS Denetçisi Ģirketten-müĢteriye e-ticaret uygulaması incelemesi için gereken iĢ bilgisiyle ilgili makul güvence sağlamalıdır.

ġirketten-müĢteriye e-ticaret uygulaması tarafından verilen iĢin anlaĢılması, Ģirketten-müĢteriye e-ticaret uygulamasının/faaliyetlerinin değerlendirilmesi için önemlidir.

5.1.2 BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamasının gözden geçirmesini yapmak için ilgili teknik beceri ve bilgiye eriĢim için makul güvence sağlamalıdır. Bu tür gözden geçirmeler, bütün yönlerini değerlendirmek için, kullanılan Ģifreleme teknolojileri, ağ güvenlik mimarisi ı ve güvenlik duvarları, sisteme zorla sızma tespiti ve virüs korunma gibi güvenlik teknolojileri ve teknik bilgiler gerektirir. BS Denetçisi, bu yönleri incelemek için bu konularda yeterli bilgiye sahip olmalıdır. Uzman girdisi gerekli olduğu durumlarda, dıĢ mesleki kaynaklardan uygun girdiler elde edilmelidir. DıĢ uzman kaynaklarının kullanılacağı bilgisi kuruma yazılı olarak verilmelidir.

6. PLANLAMA 6.1 Yüksek Seviye Risk Değerlendirmesi 6.1.1 BS Denetçisi, genel olarak endüstriyle ilgili bilgi toplamalıdır (çünkü Ģirketten-müĢteriye e-ticaret uygulaması riskleri

endüstriden endüstriye değiĢmektedir), ayrıca kurumun Ģirketten-müĢteriye e-ticaret uygulama amaçlarıyla ilgili bilgi ve bu amaçlara ulaĢmak için kullanılan strateji konusunda bilgi, Ģirketten-müĢteriye e-ticaret uygulamasının kapsamı ile ilgili bilgi, sistem kullanımının sınırları ve Ģirketten-müĢteriye e-ticaret uygulamasının çözümü için kullanılan iĢlemenin geliĢtirilmesi hakkında bilgi toplamalıdır. Böylece, toplanan bilgi yüksek seviyede iĢ risklerinin ve COBIT bilgi kıstaslarının analizinin ve bu belgenin 2.3‘üncü bölümlerinde anlatılan maddelerin analizinin yapılmasına yardımcı olacaktır. Bu yüksek seviyede risk analizi, incelemenin kapsam ve içeriğini belirlemede yardımcı olacaktır.

6.2 Ġncelemenin Kapsam ve Amaçları 6.2.1 BS Denetçisi, kurumla iĢbirliği içerisinde olmak üzere Ģirketten-müĢteriye e-ticaret uygulaması incelemesinin hedef ve

kapsamını açıkça belirlemelidir. Ġncelemeye dahil edilecek noktalar, kapsamın bir bölümü olarak açıkça belirtilmelidir. 6.1.1 bölümünde değinilen yüksek seviye risk analizi, hangi yönlerin incelenmesi gerektiğini ve incelemenin sınır ve derinliğini gösterir.

6.2.2 Ġncelemenin amacı için, çözümde yer alanlar tanımlanmalı ve bu tanım üzerinde paydaĢlar kurumla görüĢ birliğine varılmalıdır.

6.3 YaklaĢım 6.3.1 BS Denetçisi, gözden geçirmenin kapsam ve hedeflerini tarafsız ve profesyonel bir biçimde yapılabilmesi için yaklaĢımı

biçimlendirmelidir. Ġzlenen yaklaĢım, gözden geçirmenin uygulama öncesi ya da sonrası gözden geçirme olmasına bağlı olmalıdır. YaklaĢım, düzgün bir biçimde belgelenmelidir. Ne zaman ve nerede dıĢ uzman girdileri kullanıldığı da yaklaĢımın bir parçası olarak belirtilmelidir.

6.4 Plan 6.4.1 BS Denetçisi, kurumun uygulamalarına bağlı olarak plan ve yaklaĢım için kurumun onayını sağlayabilir..

102

G22 ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi 7. ĠġTEN-MÜġTERĠYE E-TĠCARET ĠNCELEMESĠNĠN GERÇEKLEġTĠRĠLMESĠ 7.1 Genel 7.1.1 Bu bölüm Ģirketten-müĢteriye e-ticaret incelemesi sırasında ele alınması gereken geniĢ yelpazeye yayılmıĢ konuları

kapsamaktadır. Belli bir Ģirketten-müĢteriye e-ticaret incelemesi için, inceleme ile ilgili konular bu geniĢ yelpazeyle ve incelemenin öngörülen kapsam ve hedeflerine bağlı olarak tanımlanmalıdır.

7.1.2 ġirketten-müĢteriye e-ticaret uygulaması, her tanımlanan yaklaĢım baĢına (yeniden iyileĢtirmelerle birlikte) öngörülen edilen inceleme hedefleri gerçekleĢtirilene kadar yapılmalıdır.

7.1.3 Genel olarak, mevcut belgelerin incelenmesi (iĢ, sistem belgelendirmesi, sözleĢmeler, hizmet seviye anlaĢmaları ve kayıt kütükleri), ortaklarla belli konulardaki tartıĢmalar, Ģirketten-müĢteriye e-ticaretin kullanılması ve gözlemleme gibi konular veri toplanmalı, analiz edilmeli ve yorumlamak amacıyla kullanılmalıdırlar. BS Denetçisi, uygun olan yerlerde testler yapmalı ve/veya üretim ortamındaki önemli süreci, bunların amaçlar doğrultusunda çalıĢıp çalıĢmadığını doğrulamak amacıyla testlidir (satın alma testi veya e-ticaret sistemini kullanılarak verilen test sipariĢleri ve nüfuz etme test tekniğini kullanarak güvenlik mekanizmalarının testi).

7.1.4 Kurumla anlaĢıldığı ve gerekli olduğu yerlerde, dıĢ uzman girdileri verilerin toplanması, analizi ve yorumlanması amacıyla kullanılabilir.

7.1.5 Sonuçlar ve öneriler, verilerin nesnel bir analiz ve yoruma dayalı olarak yapılmalıdır. 7.1.6 Uygun denetim izleri elde tutulmalı, toplanan verilerin, analiz yapılmalı, sonuçlara varılmalı ve düzeltici hareketlerin de

önerilmesi gerekir. 7.2 ĠĢle Ġlgili Analizler 7.2.1 BS Denetçisi, e-ticaret hedeflerini, stratejiyi ve iĢ modelini eleĢtirel bir biçimde değerlendirmelidir. Kurumun iĢinin göreceli

konumunu değerlendirirken var olan ve ortaya çıkan rekabet de değerlendirilmelidir. Bu, amaç ve stratejilerin uygunluğunu değerlendirirken ve Ģirketten-müĢteriye e-ticaret uygulamasının bu hedefleri ve stratejileri gerçekleĢtirmede etkinliğini ve verimliliğini değerlendirirken gereklidir.

7.2.2 BS Denetçisi Ģirketten-müĢteriye e-ticaret uygulamasının kendi baĢına yeni bir faaliyet mi ya da mevcut iĢ hattına yeni bir kanal ilave mi ve gözden geçirilen B2C e-ticaret faaliyetlerinin kurumun baĢarısı ve finansal devamlılığına etkisinin olup olmadığını, değerlendirmelidir.. ġirketten-müĢteriye e-ticaret uygulamasına olan bağımlılık ne kadar yüksekse, risklerin de etkileri o derece önemli olacaktır.

7.2.3 BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamasının faydalarının maliyetinin nesnel biçimde yansıtılmıĢ olup olmadığına dair inceleme yapmalıdır. Ġnternet kullanıcılarının artan büyük sayısını düĢünerek zaman zaman iĢ potansiyeli ve hacmi aslında ulaĢılabilecek olandan çok daha ötede yansıtılır. Eğer BS Denetçisi, temeldeki konularla ilgili endiĢelere sahipse, bu endiĢeler yönetimle görüĢülerek açıklığa kavuĢturulmalıdır.

7.3 Ayrıntılı Risk Değerlendirmesi 7.3.1 BS Denetçisi, önemli süreçleri haritalandırmalıdır-Otomatik ve Manuel süreçler etrafındaki uygulamalar-B2C e-ticaret

uygulamalarıyla ilgili, bunların hazır olmaması durumunda. 7.3.2 BS Denetçisi daha sonra, muhtemel riskleri değerlendirmelidir.-ĠĢ ve BS riskleri gibi-Uygun süreçleri ve bunların muhtemel

etkilerini, bu riskleri azaltacak/azaltabilecek maddelerle birlikte belgelendirmelidir. Geri kalan kalıntı risklerin, önemi de değerlendirilmelidir.

7.3.3 BS Denetçisi, risklerin kritik olma durumuna bağlı olarak incelenmesi gereken konuları ve bu incelemenin derecesini belirlemelidir.

7.3.4 BS denetçisi, tanımlanan riskleri azaltmak için mevcut kontrolleri tanımlamalıdır. Çok sayıda kontrol riskleri azaltmak için tanımlanmıĢsa, kontrollerin etkililiğini sıralamak için derecelendirmelidir. Temel yada anahtar kontroller, ikincil kontrollerden daha önce test edilmelidir.

7.4 GeliĢtirme Süreci 7.4.1 BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamasında uygun kontrollerin yapılandırılmıĢ olup olmadığını belirlemek için

izlenen geliĢtirme sürecinin uygunluğunu incelemelidir. 7.4.2 ġirketten-müĢteriye e-ticaret uygulamasını geliĢtiren/sürdüren takımın yetenekleri ve kullanılan araç gereçler, yeterliliklerinin

belirlenmesi ve sağlanması amacıyla incelenmelidir. 7.4.3 BS Denetçisi, bu bağlamda G23 Sistem GeliĢtirme YaĢam Döngüsü Gözden Geçirme Gözden Geçirmeleri Rehberini göz

önünde bulundurmalıdır. 7.5 DeğiĢiklik Yönetimi Süreci 7.5.1 ġirketten-müĢteriye e-ticaret uygulamasında yapılan kontrolsüz değiĢiklikler, planlanmamıĢ kesintilere yol açabilir ve veri ve

iĢleyiĢin bütünlüğünü etkileyebilirler. BS Denetçisi, bu bağlamda, Ģirketten-müĢteriye e-ticaret uygulamasının kontrollü değiĢiklikler sağlamada yeterli olup olmadığını belirlemek amacıyla değiĢiklik yönetimi sürecinin uygunluğunu incelemelidir. BS Denetçisi, bunu yaparken de, sürecin amaçlarına uygun çalıĢıp çalıĢmadıklarından emin olmak amacıyla, değiĢiklik kütük kayıtlarını ve etkilenen gerçek değiĢiklikleri incelemelidir.

7.5.2 BS Denetçisi, geliĢtirme, test, düzenleme ve üretim çevresinin değiĢikliklerden oluĢan riskleri azaltmak için yeterince ayrılıp ayrılmadığını doğrulamalıdır. Bu bakıĢ açısıyla, her türlü yetersizliğin etkilerinin değerlendirilmesi gereklidir.

7.6 Ġçerik Yönetimi Süreci 7.6.1 ġirketten-müĢteriye e-ticaret web sitelerinde görülen içerikler -sadece bilgi verenler ve iĢlemlere vurgu yapanlar da

dahil- dil ve sunum uygunluğu, bilgilerin doğruluğu, yayınlanan verilerin onaylarının sağlanması gibi amaçlarla kontrollü bir içerik yönetim süreci yoluyla yayınlanmalıdır (özellikle ürünlerle, hizmetlerle, terimlerle ve Ģartlarla ilgili olanlar). BS Denetçisi, süreçlerdeki kontrollerin yeterliğini ve uyumluluğunu da incelemelidir.

7.6.2 BS Denetçisi, ana içeriklerle ilgili(SözleĢmeler, Ģartlar ve fiyat) verinin bütünlüğünü ve doğruluğunu sağlamak için yeterli denetim kaydı tutulup korunup korunmadığı ve gözden geçirilip geçirilmediğini doğrulamalıdır.

103

G22 ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi 7.6.3 BS Denetçisi, BS Denetçisi ġirketten-müĢteriye e-ticaret uygulamasının sözleĢmesi ve Ģartlarının, sitede kurumsal

yayınlamanın gizlilik politikası gibi, yasal uygunluk ve sözleĢme korumasına yeterli dikkati çektiğini doğrulamalı, hukuk uzmanlarınca incelendiğini doğrulamalıdır.

7.7 Tanımlama ve Doğrulama 7.7.1 ġirketten- müĢteriye e-ticaret uygulaması tarafından izin verilen e-ticaret uygulamalarına bağlı olarak -özellikle

iĢlemler ve ödemelerin iĢlendiği yerlerde- kullanıcı, reddedilmeleri önlemek ve gizliliği korumak amacıyla, tanımlanmalı ve doğrulanmalıdır. BS Denetçisi, kullanılan kontrollerin/mekanizmaların/teknolojilerin (kimlik ve Ģifreler, dijital sertifikalar ve dijital imzalar gibi) Ģirketten-müĢteriye e-ticaret uygulamasıyla uyumlu olup olmadıklarını değerlendirilmelidir.

7.8 Veri Doğrulama ve Yetkilendirmeler 7.8.1 BS Denetçisi, eğer Ģirketten-müĢteriye e-ticaret uygulaması kullanıcılardan iĢlemler ve/veya bilgiler yoluyla veri kabul

ediyorsa, girilen bu verilerin doğruluğunu, uygunluğunu ve bu verilerin doğrulamasının gerçekleĢtirilmesini sağlayan uygulamadaki doğrulamaların yeterliliğini doğrulamalıdır..

7.8.2 BS Denetçisi, eğer Ģirketten-müĢteriye e-ticaret uygulaması elektronik ödeme (kredi kartları gibi) kabul ediyorsa yeterli onaylama iĢleminin olup olmadığını ve ödeme yetkilendirme iĢlemlerinin doğruluğunu ve ödemelerin gerçek fiĢlerinin bulunup bulunmadığını incelemelidir.

7.9 ĠletiĢim Kontrolleri 7.9.1 BS Denetçisi, ġirketten-müĢteriye e-ticaret uygulamasının iĢlemler ve ödemenin yapılması, aslında gizli olan kiĢisel verileri

kabul edip görüntülediği durumlarda uygun bir Ģifreleme teknolojisinin(IPsec ve güvenli soket katmanı) kullanılıp kullanılmadığını doğrulamalıdır..

7.9.2 BS Denetçisi, uygun ve gerekli olan durumlarda ağ içerisindeki iletiĢimin sanal özel ağ (VPN) ve ilgili kripto kullanılarak güvenli yapıldığından emin olmalıdır.

7.10 ĠĢleme Kontrolleri 7.10.1 BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamalarında iĢlemenin bütünlük ve doğruluğunu sağlayacak yeterli uygulama

kontrollerinin bulunduğunu doğrulamalıdır.. 7.11 Arka Planda ÇalıĢan Süreçler ve Uygulamaların Bütünlüğü 7.11.1 ġirketten-müĢteriye e-ticaret uygulamalarının bazıları, sipariĢlerin yapılması, para makbuzu ve iĢlemler için makbuz gibi

görevleri yerine getiren, veritabanı gibi geri planda çalıĢan programlar gerektirirler. Bazıları bağlantılı ve bazıları el süreciyle gerçekleĢtirilirken, bazı durumlarda Ģirketten-müĢteriye e-ticaret uygulamasının diğer bazı uygulamalarla bütünleĢtirilmesi gerekebilir. BS Denetçisi, bu gibi durumlarda, el süreci dahil-orijinal veri bütünlüğünü sağlayacak yeterli kontrollerin bulunup bulunmadığını doğrulamalıdır..

7.12 Veri Depolama Bütünlüğü 7.12.1 Herhangi bir Ģirketten-müĢteriye e-ticaret uygulamasının arkasında, bütünlüğü vazgeçilmez olan bir veritabanı vardır. BS

Denetçisi, veritabanı üzerindeki kontrolleri, kasıtlı veya kasıtsız zarar vermeleri, veri değiĢtirilmesini vb önlemek amacıyla yeterli kontrollerin olup olmadığını belirlemek için değerlendirmelidir. BS Denetçisi, bu bağlamda veritabanına giriĢ ayrıcalıklarını ve sisteme eriĢim giriĢ kayıtlarını incelemelidir.

7.12.2 BS Denetçisi, ayrıca veri bütünlüğünün ve gizliliğinin korunduğundan emin olmak için arĢivlenmiĢ veriler üzerindeki kontrolleri de incelemelidir.

7.13 Denetim Ġzleri ve Ġncelenmeleri 7.13.1 Önceden de belirtildiği üzere, basılı kayıtların olmadığı durumlarda, otomasyonlu denetim kayıtlarının rolü Ģirketten-müĢteriye

e-ticaret uygulamalarında önemlidir. BS Denetçisi, ödemelerle ilgili iĢlemler, ana veriler üzerinde yapılan değiĢiklikler fiyatlar, oranlar ve hareketler gibi ve yönetim ayrıcalığına sahip kiĢiler tarafından yapılan değiĢiklikler gibi bunların yeterliliğini incelemelidir.

7.13.2 Denetim kayıtlarının varlığı, tek baĢına yeterli değildir. Denetim kayıtlarını incelemek ve iĢlemlerin geçerli ve yetkili bir biçimde yapıldıklarını onaylamak için süreçler bulunmalıdır. BS Denetçisi, bu bağlamda bu anlamdaki denetim kanıtlarının gözden geçirildiğini ve onaylandığının kanıtlarını aramalıdır.

7.14 DıĢ BS Tehditlerine KarĢı Koruma 7.14.1 BS Denetçisi Ģirketten-müĢteriye e-ticaret uygulamalarına karĢı dıĢarıdan BS tehditlerini kurum ve iĢin doğasını da dikkate

alarak değerlendirmelidir.. DıĢ tehditler, hizmet vermeyi reddetme, verilere yetkisiz giriĢ ve bilgisayar donanımının yetkisiz kullanımını içermelidir. Bunlar değiĢik kaynaklardan ortaya çıkabilirler (bilgisayar korsanları, rakipler, yabancı hükümetler ve teröristler gibi). Kurumun iĢinin özellikleri (rekabet yoğunluğu, pazar payı, doğası, zamanlama ve teknoloji kullanım sınırları ve yenilikçi/stratejik ürünler ve/veya hizmetler gibi) bu tür tehditlerin muhtemel kaynaklarını belirlemede kullanılmalıdır. Bu tehditlerle ilgili muhtemel kayıplar, iĢin Ģirketten-müĢteriye e-ticaret uygulamalarına bağımlılığıyla yakından ilgilidir.

104

G22 ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi

7.14.2 BS Denetçisi, dıĢ tehditlere karĢı koymak için alınan koruyucu önlemlerin riskle uyumlu olup olmadığını değerlendirmelidir. BS Denetçisi, bu süreçte aĢağıdaki noktaları incelemelidir:

Protokollerin seçimini kapsayan uygulamanın teknik mimarisi

Uygulamanın güvenlik mimarisi

Virüs korunma mekanizmaları

Güvenlik duvarı uygulaması: Güvenlik duvarı çözümünün uygunluğu, yeri, politikaları, güvenlik duvarı bağlantıları ve güvenlik duvarını atlatabilecek her türlü dıĢ bağlantılar

Saldırı tespit mekanizmaları

Ġlgili kayıtların varlığı ve bunların yetkin personel tarafından süregelen incelemeleri

Politikalar, usuller ve ilgili yapılara iliĢkin uyumluluk onayları 7.15 KiĢisel Bilginin Gizliliği Düzenlemeleri ve En Ġyi Uygulamalarla Uyumluluk 7.15.1 BS Denetçisi, yasaların dayattığı ilgili kiĢisel bilgi gizliliği gereksinimleri ve bu gizlilikle ilgili en iyi uygulamaların kuruma

uyumlu olup olmadığını değerlendirmelidir. BS Denetçisi, daha önce de belirtildiği gibi kiĢisel bilginin gizliliği politikalarının ve uygulamaların web sitesinde uygun bir biçimde görüntülendiğini doğrulamalıdır.

7.16 ġirketten-MüĢteriye E-ticaret Uygulamaları ve ĠĢ Sürekliliğinin Olması 7.16.1 BS Denetçisi, Ģirketten-müĢteriye e-ticaretin internetin var olmasına bağlı olmasından dolayı uygun kapasite planlama

sürecinin, yedekte hazır bulundurma ve felaket kurtarma seçeneklerinin, site dıĢı depolama, ortam rotasyonu ve acil durum kurtarma usullerinin sistemde ve iletiĢim bağlantısında bulunup bulunmadığını değerlendirmelidir.

7.16.2 BS Denetçisi, uygun olan yerlerde bir kesinti durumunda hızlı kurtarma ve iĢ sürekliliğini sağlama ve kurtarma ayarlamalarını otomasyona bağlanmıĢ olan ve diğer manuel sürecinin ıĢığında incelemelidir.

7.17 Verimlilik ve Etkinlik 7.17.1 BS Denetçisi Ģirketten-müĢteriye e-ticaret uygulamalarının verimliliğini hedefler doğrultusunda değerlendirmelidir. ĠĢlem

hacmi, iĢin değeri, müĢteri/beklenti/ziyaretçi sayısı, iĢin hacmi ve değeri ve müĢterilerin yıpranması gibi konular sistemin verimliliğinin değerlendirilmesinde yardımcı olabilirler.

7.17.2 BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamalarının yeteri kadar maliyet azaltıcı olup olmadıklarını belirlemek için tasarlanmıĢ olan fayda ve maliyetlerle gerçek maliyet ve faydaları karĢılaĢtırmalıdır. Bu konuda süreç performansı, müĢteri geri bildirimleri ve uygulamanın kullanım kolaylığı da B2B e-ticaret uygulamalarının etkinliğinin değerlendirmesine yardımcı olabilir.

7.17.3 BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamalarının verimliliğinin ve etkinliğinin sürekli bir temelde izlenmesini sağlayan mekanizmaların uygunluğunu doğrulamalıdır. Bu konuda hataları ve yolsuzlukları önlemek için tespit ve istisnaların raporlaması sürecide dahil edilmelidir.

7.18 Üçüncü Taraf Hizmetleri 7.18.1 BS Denetçisi, Ģirketten-müĢteriye e-ticaret çözümünün, internet servis sağlayıcı, sertifikalandırma kurumu, kayıt kurumu,

web-hosting kurumu gibi üçüncü taraf hizmet sağlayıcılara bağlı olduğu durumlarda güvenlik usullerinin uygun ve yeterli olduklarından emin olmalıdır.

7.18.2 BS Denetçisi, bu tür hizmet sağlayıcıların kullanıldığı durumlarda ilgili sözleĢmeleri ve hizmet seviye anlaĢmalarını ve kurumun çıkarlarının ve amaçlarının gözetilip gözetilmediğini gösteren raporları incelemelidir.

7.18.3 BS Denetçisi, bu bağlamda G16 Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi Rehberini göz önünde bulundurmalıdır. 7.18.4 BS Denetçisi, üçüncü tarafın Ģirketten-müĢteriye e-ticaret uygulamaları sertifikasyonunda kullanıldığı durumlarda, bilgilerin

nasıl toplandığına ve kullanıldığına gereken özeni göstermelidir. (Örnek: Webtrust, betterbussiness). 7.19 Ġnkar Edilemezlik 7.19.1 BS Denetçisi, Ģirketten-müĢteriye e-ticaret çözümlerinin iĢlemlerin ve ödemelerin sürecini gerektirdiği durumlarda, önceden

belirtilen ilgili kontrolleri doğrulama, iletiĢim, iĢleme ve inkar edilemezlik açılardan değerlendirmelidir. 8 RAPORLAMA

8.1 Rapor Ġçeriği 8.1.1 ġirketten-müĢteriye e-ticaret incelemeleri konusundaki rapor, kapsamının içeriğine bağlı olarak aĢağıdaki noktaları

içermelidir:

Ġzlenen kapsam, amaç, yöntem ve varsayımlar

Zafiyetlerin muhtemel etkileri ve güçlü ve zayıf olan baĢlıca noktaların ıĢığında çözümün toptan değerlendirilmesi

Çözümü geliĢtirmek ve önemli zafiyetlerin üstesinden gelmek için öneriler

COBIT BS kıstaslarıyla uyumun sınırı ve Ģirketten-müĢteriye e-ticaret uygulamalarına özel kıstaslar (inkar edilemezlik gibi) ve herhangi bir uyumsuzluğun etkileri

Elde edilen deneyimlerin gelecekteki benzer çözümlerin geliĢtirilmesi amacıyla nasıl kullanılabileceği önerileri

105

G22 ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi

8.1.2 Gözlemler ve öneriler, paydaĢlar ve kurumla birlikte rapor bitirilmeden önce onaylanmalıdır. 9 YÜRÜRLÜK TARĠHĠ 9.1 Bu rehber bütün BS Denetimlerinde 1 Ağustos 2003 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA web

sitesinde bulunabilir: www.isaca.org/glossary. EK BÖLÜM Kaynaklar

ISACA, E-ticaret Güvenlik Dizileri Yayınları, 2000-2002

Avustralya Muhasebe AraĢtırma Vakfı, AGS1056 E-ticaret: Denetim Risk Değerlendirmeleri ve Kontrol Varsayımları,,Denetim Rehberi Tutanağı,


106

G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirilmesi 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S6 Denetim ĠĢinin Yürütülmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklindedir. 1.1.2 G14 Uygulama Sistemleri Ġncelemeleri Rehberi, yol göstericilik sağlar 1.1.3 G17 BS Denetçisinin Bağımsızlığında Denetim-dıĢı Rollerin Etkileri Rehberi, yol göstericilik sağlar 1.1.4 G20 Raporlama Rehberi, yol göstericilik sağlar 1.2 COBIT Bağlantısı 1.2.1 COBIT Çerçevesi ―Kurumun, bütün varlıklarını korumak yönetimin sorumluluğudur. Yönetim, bu sorumluğu yerine

getirmek, beklentileri karĢılamak için, yönetim gerekli bir iç kontrol sistemi kurmalıdır‖. Ģeklinde ifade eder. 1.2.2 COBIT Yönetim Rehberleri, sürekli öz değerlendirme için yönetim odaklı bir çerçeve ve kontrol öz değerlendirme

aĢağıdakilere konulara odaklanmasını sağlar:

Performans ölçümü-ĠĢ gereksinimini destekleyen BT iĢlevi, ne kadar iyidir?

BT kontrol profili-Hangi BT süreçleri önemlidir? Hangileri, kontrol için kritik baĢarı unsurudur?

Farkındalık-Neler, hedefleri baĢaramama riskleridir?

KarĢılaĢtırma-Diğerleri ne yapıyor? Sonuçlar nasıl ölçülebilir ve karĢılaĢtırılabilir. 1.2.3 Yönetim Rehberleri, iĢ sözleĢmesinde BT performansının değerlendirilmesini sağlayan örnek ölçütler sağlar. Ana hedef

göstergeleri, BT sürecinin çıktılarını tanımlar ve ölçerler ve ana performans göstergeleri, süreç sağlayıcılarını ölçerek sürecin ne derecede iyi iĢlediğini değerlendirirler. Olgunluk modelleri ve olgunluk özellikleri, kontrol boĢlukları ve iyileĢtirme stratejilerini tanımlamada, kapasite değerlendirmesi ve karĢılaĢtırma sağlar.

1.2.4 Yönetim Rehberleri, öz değerlendirme atölye çalıĢmalarını desteklemede kullanılabilir ve BT yönetiĢiminin bir parçası olarak yönetimin sürekli izleme ve geliĢtirme sürecini desteklemede de kullanılabilirler.

1.2.5 COBIT, bilgi yönetim çevresine ayrıntılı kontrol seti ve kontrol teknikleri sağlar. Özel denetim kapsamına uygulanacak en uygun CobIT materyalinin seçimi, COBIT BT sürecinin seçimine ve COBIT bilgi kıstaslarına bağlıdır.

1.2.6 Özel hedefler için ekteki belge CobIT‘le iliĢkiyi gösterir yada bu rehberde vurgulanan alanların gözden geçirilmesinde CobIT süreçleri dikkate alınmalıdır.

1.3 Rehber Gereksinimi 1.3.1 Kurumlar, iĢ faaliyetlerini desteklemek uygulama sistemleri kullanırlar. Uygulama sisteminin tanımlanması, edinilmesi ve

uygulanması süreci, uygulama sistemlerinin iĢletilmesini gerçekleĢtirmede ihtiyaçları tanımlamayan ve Sistem GeliĢtirme YaĢam Döngüsü(SGYD) olarak adlandırılan değiĢik aĢamalar gerektirir.

1.3.2 Bu rehber, BS Denetçilerine SGYD incelemesi yaparken yol göstericilik yapması amacıyla hazırlanmıĢtır. 2. SĠSTEM GELĠġTĠRME YAġAM DÖNGÜSÜ (SDLC) 2.1 Tanım 2.1.1 Sistem geliĢtirme yaĢam döngüsü, çok sayıda aĢamaları gerektiren (Yapılabilirliğin oluĢturulmasından uygulama sonrasını

gözden geçirmesine kadar) ve yönetimin ihtiyaç duyduğu özellikte geliĢtirme, satın alma veya ikisinin birleĢimiyle uygulama sistemleri dönüĢtürmekte kullanılan bir süreçtir.

2.2 SGYD‘yi Etkileyen Faktörler 2.2.1 Bir uygulama sistemi için SGYD, seçilen edinme/geliĢtirme türüne bağlıdır.. Uygulama sistemleri, aĢağıdaki farklı Ģekillerde

edinilmiĢ/geliĢtirilmiĢ olabilirler:

Ġç kaynakları kullanarak tasarımın geliĢtirilmesi

Tamamen veya kısmen dıĢ kaynaklar kullanılarak tasarımın geliĢtirilmesi (kurum içinde veya kurum dıĢında bir yerde)

Yazılım satıcıları, herhangi bir tasarım olmadan olduğu gibi kullanımı için paketler.

Yazılım satıcıları, özel ihtiyaçları karĢılamak için tasarlanıp paketler. Bazen, büyük karmaĢık uygulamalar yukarıdakilerin bir bileĢkesini gerektirebilir. 2.2.2 Bazı kurumlar, özel SGYD yöntemleri ve süreçlerini yada özel tasarlanmıĢ yada satıcı tarafından geliĢtirilmiĢ olarak

kullanırlar. Bunlar, genellikle özel uygulama sistemlerini isteğe uygun olarak tasarlamada kullanılan farklı türde edinme araçlarına sahip standart süreçler olarak tanımlanır. Bunlar, SGYD‘yi yönetmek amacıyla uygun araçlarla desteklenebilirler. Bu durumda, SGLC yönteme/araca bağlı olacaktır.

2.2.3 SGYD bir uygulama sistemini paket olarak satın alınmaktansa geliĢtirildiği durumlarda Ģelale yöntemiyle geliĢtirme, prototip, hızlı uygulama geliĢimi, CASE ve nesne tabanlı geliĢtirme gibi kullanılan geliĢtirme yöntemine bağlı olacaktır().

107

G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirilmesi (Devamı) 2.3 SDLC Riskleri 2.3.1 Bir uygulama sisteminin SGYD‘si sırasında aĢağıda sıralandığı gibi farklı risklerle karĢılaĢılabilir:

Uygulama sistemi için uygunsuz SGYD‘nin uyarlanması

SGYD sürecinde kontrollerin yetersizliği

Uygulama sisteminin kullanıcının gereksinimlerinin ve hedeflerinin karĢılanamaması

Yetersiz paydaĢ katılımı (iç denetim dahil)

Yönetim desteği eksikliği

Yetersiz proje yönetimi

Uygun olmayan teknoloji ve mimari

Kapsam değiĢiklikleri

Zaman aĢımları

Maliyet aĢımları

Uygulama sisteminin kalite yetersizliği

Uygulama sisteminde güvenlik ve kontrollerine dikkatin yetersizliği(Doğrulama ve denetim izlerini kapsar)

Performans kıstaslarının karĢılanmamıĢ olması

Uygun olmayan dıĢ kaynak/personel yönetim Ģekli

Personel yeteneklerinin yetersizliği

Yetersiz belgelendirme

Yetersiz sözleĢme koruması

Seçilen SGYD ve/veya geliĢim yöntemlerine bağlı kalmada yetersizlik

Uygulamalar ve süreçler arasındaki bağımlılıklara yeterli bağımlılıklara dikkat yetersizliği

Yetersiz Konfigürasyon yönetimi

Veri dönüĢtürme/aktarma ve alımında planlamasının yetersizliği

Aktarma sonrası iĢte sorun çıkması 3. PLANLAMA 3.1 Planlamada Göz önüne Alınması Gereken Faktörler 3.1.1 BS Denetçisi, bir uygulama sisteminin SGYD gözden geçirmesini planlarken incelemesini yaparken aĢağıdaki noktaları göz

önünde bulundurmalıdır:

Edinme/geliĢim Ģekli, teknolojisi, boyutu, hedefleri ve uygulama sisteminin kullanım amacı

Edinme ve uygulamanın proje yapısı

Proje takımı için beceri ve deneyim profili

Seçilen SGYD kipi

(Varsa) Resmi SGYD yöntemi ve gereksinime göre düzenlenmiĢ/uyarlanmıĢ iĢleme tasarımı

SGYD‘yi etkilemesi muhtemel riskler

Yönetim tarafından algılanan konuların ve sorunların uygunluğu

Mevcut SGYD aĢaması

Uygulama sisteminin önceki SGYD aĢamalarının gözden geçirmeleri

Benzer uygulama sistemlerinde önceki herhangi SGYD gözden geçirmesi

Gözden geçirmeyi yüklenmesi teklif edilen BS Denetçisi yada diğerleri tarafından daha önce diğer risk değerlendirmeleri veya gözden geçirmeleri

Mevcut BS Denetçilerinin bilgi ve tecrübesi seviyeleri ve gereken yerlerde dıĢarıdan uzman yardımı alma olasılığı,

3.2 SözleĢme ġartları 3.2.1 BS Denetçisi, yukarıdaki noktaları hesaba katarak (TOR) ve planlanan SGYDC incelemesine sözleĢme Ģartlarına

uygunluğunu sağlamalıdır..Bunun, aĢağıdakileri kapsamak durumundadır:

Ġnceleme hedefleri

Ġncelemede kapsanacak SGYD aĢamalarının Ģartları dahilinde incelemenin kapsamı

Ġncelemenin çeĢidi – Teklif edilen SGYD‘nin ön uygulama incelemesi veya yürütülen SGYD olarak mevcut/paralel incelemesi ya da SGYD‘ndeki sorunlar çözüldükten sonra uygulama sonrası gözden geçime olup olmadığı,

Ġncelemenin zaman çizelgesi-muhtemel baĢlama ve bitiĢ tarihleri

Gözlemleri ve önerileri raporlama süreci

Üzerinde anlaĢılmıĢ eylemlerin denetim sonrası izleme süreci.

108

G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirilmesi (Devamı)

3.2.2. BS Denetçisi, seçilmiĢ uygulama sisteminin SGYD gözden geçirilmesi teklifinde uygun yönetim sözleĢmesini sağlamalıdır. 4 YETERLĠLĠK 4.1 Beceriler ve Deneyim 4.1.1 SGYD incelemesi ile ilgili olan BS Denetçileri, incelemeyi maliyet-verimlilik ve etkin olarak yürütebilmek için gereken beceri

ve deneyime sahip olmalıdır. BS Denetçileri, belli SGYD yöntemlerinin ve araçlarının kullanıldığı durumlarda bu yöntemler ve araçlarla ilgili risklere iliĢkin yeterli bilgi ve deneyime sahip olmak durumundadırlar. BS Denetçisi, benzer bir biçimde uygulama sisteminin satın alınmayıp geliĢtirildiği durumlarda, kullanılan yöntem ve araçlarla ilgili yeterli bilgi ve deneyime sahip olmalıdırlar (Ģelale tarzı geliĢimi, prototipleme, hızlı uygulama geliĢimi, CASE ve amaç-odaklı geliĢim gibi). Güvence verilen durumlarda BS Denetçisi, iç becerilerinin uygunluğunu tamamlamak amacıyla dıĢ kaynakları araĢtırabilir (ilgili politikalar, usuller ve onaylara tabi olmak Ģartıyla).

5. BAĞIMSIZLIK

5.1 Bağımsızlık 5.1.1 BS Denetçisi, uygulama sistemlerinin SGYD incelenirken uygulama sistemini edinip uygulamaktan sorumlu proje takımından

bağımsız görünmeli ve bağımsız olmalıdır. Denetim-dıĢı Rollerin BS Denetçisinin Bağımsızlığına Etkisini açıklayan G17 Rehberi, bu bağlamda göz önünde bulundurulmalıdır.

6. ĠNCELEME ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 6.1 Ġnceleme ÇeĢitleri 6.1.1 BS Denetçisi, yönetimin kabul ettiği satın alma sözleĢmesi konusunda SGYD‘nin aĢağıdaki gözden geçirme veya denetimini

yapmalıdır:

Ön Ġncelemenin : Ön inceleme olduğu durumlarda BS Denetçisi sunulan SGYD modelini ve uygunluklarını potansiyel riskler ve gerekli risk azaltma önerilerini uygun yönetim birimlerine bildirmek gibi uygunluğunu değerlendirmeye çalıĢmalıdır...

Paralel/eĢzamanlı incelemelerde: BS Denetçisi, ilgili SGYD‘nin ilgili aĢamasını, nelerin yaĢandığını, yüksek riskleri/sorunları vurgulamalı ve uygun yönetim seviyesine gerekli risk azaltma önerilerini sağlamalıdır.

Uygulama sonrası incelemelerde: BS Denetçisi, SGYD ilgili aĢamalarını tamamlandıktan sonra gözden geçirmeli, karĢılaĢılan sorunları vurgulamak, gelecek için bir öğrenme aracı sunmak için yukardan aĢağı düzeltici önerilerini sağlamalıdır.

6.2 Gözden Geçirilecek Konular 6.2.1 BS Denetçisi, gözden geçirme süreci esnasında aĢağıdaki riskleri/sorunları ve etkilerini değerlendirmek üzere ele almalı ve

değerlendirmelidir. Bunların bazıları, bütün SGYD‘nün gözden geçirmesiyle ilgili iken, gözden geçirme türüne bakmaksızın, bazıları da sadece belirli bir gözden geçirme Ģekli ile ilgilidir. BS Denetçisi, riskleri ve sorunları uygun bir biçimde değerlendirmesine ve etkilerini azaltmak için önerilere ulaĢmak amacıyla, incelemenin kapsam ve amaçlarıyla ilgili yönlerini incelemeli ve değerlendirmelidir. Örneğin:

Uygulama sistemi için proje Ģartnamesi (proje planı, çıktıları ve zaman çizelgeleri dahil) ve iĢ sözleĢmesi (maliyetlerin ve faydaların belirtilmesi)

Her türlü çalıĢma grubu, izleme grubu ve ilgili rolleri ve sorumlulukları dahil proje yapısı.

Uygulanan resmi proje yönetim yöntemi uyarlanmıĢ ise; (var ise PRINCE 2 gibi) ve sürecin ihtiyaca göre düzenlenmiĢ süreç tasarım süreci

ġelale modeli geliĢtirme, prototipleme, çevik uygulama geliĢtirme, CASE, amaç-odaklı geliĢim ve uygulama sistemi için seçilmiĢ ilgili araçlar gibi. GeliĢtirme veya uygulama geliĢim yöntemi

Satın alınan uygulama sistemleri için tedarikçilerle sözleĢmeler

DıĢarıdan satın alanın hizmetler için tedarikçilerle sözleĢmeler (gereksinime göre tasarım ve/veya geliĢtirme gibi)

SGYD modelindeki kontrol süreçleri-Özellikle incelemeler, uygunluk bildirimleri, onaylar ve inceleme altındaki SGYD aĢamalarından ayrılmalar

Ġnceleme altındaki SGYD aĢamalarının çıktılarının yapısı

ÇalıĢma gurupları ve yönetim gurubu görüĢmeleri gibi ilgili görüĢmelerin tutanakları

Gözden geçirmelerin denetim izleri ve iptalleri gibi gerçek denetim çıktıları

Projenin raporlanması, ilerleme izleme (çaba, zaman ve maliyet) ve artırma

Kaynak yönetimi

Sürekli risk yönetimi

Kalite /güvence yönetimi

DeğiĢim yönetimi

Hizmet seviye anlaĢmalarını (SLA) içeren performans ve sorun yönetimi

109

G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirme Gözden Geçirmeleri(Devamı)

Konfigürasyon yönetimi

Veri dönüĢümü/taĢınması

Testler dahil iç-proje incelemeleriyle ilgili belgelendirme

Ġç-proje ve tedarikçi iletiĢimleri

Uygulama sisteminin önceki SGYD aĢamaları incelemeleri(Var ise)

Benzer uygulamaların önceki SGYD incelemeleri (Var ise)

Uyulması gereken ilgili yasal, düzenleyici ve politikalar (Var ise) 6.2.2 COBIT, AI1 Otomatik Çözümlerin ve AI2 Uygulama Yazılımı Edinme ve Bakımının tanımlanması gibi alanları kapsayan

uygulama sistemlerinin edinilmesiyle ilgili yüksek seviyede kontrol hedeflerini tanımlar. Benzer Ģekilde,P10 Proje Yönetimini, PO11 Kalite yönetimini ve DS5 Sistem Güvenliğini Sağlamayla ilgili yüksek seviye kontrol hedefleri de vardır. COBIT dâhilinde bunlar daha ileri seviyede ayrıntılı kontrol amaçlarına geniĢletilmiĢtir. BS Denetçisi, incelemenin bir bölümü olarak bu kontrol hedeflerinin (inceleme altındaki SGYD aĢamaları) ne derecede karĢılandığını, bu hedeflere ulaĢmak için kullanılan mekanizmaların ve usullerin ne derecede verimli olduğunu değerlendirmelidir.

6.2.3 COBIT, uygulama sistemleri tarafından karĢılanması gereken yedi bilgi kıstasını da tanımlar (verimlilik, etkinlik, gizlilik, bütünlük, eriĢebilirlik, uyumluluk ve güvenilirlik). BS Denetçisi, bir uygulama sisteminin SGYD incelemesinin bir bölümü olarak, SDLC sürecinin/aĢamalarının bu kıstasların gerçekleĢtirilmesi yolunda ne derece verimli katkıda bulunduğunu değerlendirmelidir. Bu kriterlerle uygulama sisteminin uyumluluğunun gerçek değerlendirilmesi, uygulama sisteminin gözden geçirilmesinin bir parçası olabilir. (G14 Uygulama Sistemlerinin Ġncelemesi Rehberine bakınız).

7. RAPORLAMA 7.1. BS Denetçisinin Raporu 7.1.1. Uygulama sistemlerinin SGYD incelemeleri, raporlama, sorunları ve riskleri tanımlandığı zaman sürekli olarak

gerçekleĢtirilebilir. Bu raporlar, gerekli adımların atılması amacıyla ilgili yönetim birimine verilir. Ġnceleme sırasında ortaya çıkan sorunların tamamı nihai raporda yer almalıdır..

7.1.2. Ġncelemenin çeĢidine bağlı olarak, rapor aĢağıdaki maddelere ve benzerlerine hitap etmelidir:

SGYD modelinin ve geliĢtirme yönteminin uygunluğu

Riskler ve sorunlar; sebepleri ve sonuçları

SGYD aĢamasında muhtemel risk azaltma faaliyetleri-Ġnceleme altında veya akıĢ sırasında. Örneğin tasarım sırasında karĢılaĢılan sorunlar, ilgili aĢamalarda, geliĢtirme ve test gibi risk azaltma önlemleri gerektirebilir...

8. ĠZLEME 8.1. Denetim Sonrası Ġzleme 8.1.1. Uygulama sistemlerinin SGYD gözden geçirmelerinin, özellikle ön-uygulama ve paralel uygulama incelemeleri için -risk

azaltma önlemlerinin zamanında alındığına makul güvence uygun denetim sonrası gözden geçirme ile sağlanmalıdır. Uygulama-sonrası inceleme durumunda, denetim sonrası izleme faaliyetleri, uygulanması aĢamasına ve gelecekte benzer projelerde düzeltici faaliyetlerin zamanlılığına odaklanmalıdır.

9. YÜRÜRLÜK TARĠHĠ 9.1. Bu rehber bütün BS Denetimlerinde 1 Ağustos 2003 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA web

sitesinde bulunabilir (www.isaca.org/glossary). EK COBIT Referansı Denetim kapsamına uygulanacak en uygun COBIT materyalinin seçilmesi, belli COBIT sürecinin seçilmesine ve COBIT bilgi kıstaslarının göz önünde bulundurulmasına bağlıdır. Bu belli denetim alanında, SGYD‘nin incelenmesi, COBIT‘te en ilgili olabilecek süreçler: Seçilen Plan ve BT Proseslerinin Organizesi, BT Proseslerinin bütün edinme ve Uygulama süreci ve seçilmiĢ Teslimat ve Destek. Bu yüzden; aĢağıdaki süreçler için COBIT rehberleri, denetim gerçekleĢtirilirken ilgili dikkate alınır:

PO8-DıĢ Gerekliliklerle Uyumun Sağlanması

PO10-Proje Yönetimi

PO11-Kalite Yönetimi

AI1-Otomatik Çözümlerin Tanımlanması

AI2-Uygulama Yazılımının Edinilmesi ve Bakımı

AI3-Teknoloji Altyapısının Edinilmesi ve Bakımı

AI4-Usullerin GeliĢtirilmesi ve Güncellenmesi


110

G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirme Gözden Geçirmeleri(Devamı)

AI5-Sistemlerin Kurulması ve Akredite Edilmesi

AI6-DeğiĢikliklerin Yönetimi

DS1-Hizmet Seviyelerinin Tanımlanması ve Yönetilmesi

DS2-Üçüncü Taraf Hizmetlerinin Yönetilmesi

DS3-Performans ve Kapasite Yönetimi

DS4-Hizmet Sürekliliğinin Sağlanması

DS5-Sistem Güvenliğinin Sağlanması

DS7-Kullanıcı Eğitimi ve yetiĢtirilmesi Bir SGYD denetimiyle en ilgili bilgi kıstasları Ģunlardır:

Birincil: verimlilik ve etkinlik

Ġkincil: gizlilik, bütünlük, eriĢilebilirlik, uyumluluk ve güvenilirlik

111

G24 Ġnternet Bankacılığı 1. ARKA PLAN 1.1. ISACA Standartlarıyla Bağlantı 1.1.1. S2 Bağımsızlık Standardı,‖ BS Denetim iĢlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde tamamlanmasına

olanak vermek için, denetim alanı veya faaliyetlerden bağımsız olmalıdır.‖Ģeklinde ifade eder. 1.1.2 S4 Yeterlilik Standardı ― BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki açıdan

yeterli olmalıdır.‖ Ģeklinde ifade eder.

1.1.3. S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve

yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder.

1.1.4. S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak

için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun

analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder..

1.1.5. G22 ġirketten-müĢteriye e-ticaret Denetim Rehberi, yol göstericilik sağlar.

1.1.6. P3 Saldırı Tespit Sistemi Denetimi Usulü (=IDS), yol göstericilik sağlar.

1.1.7. P2 Dijital Ġmzalar ve Anahtar Yönetimi usulü, yol göstericilik sağlar.

1.2. COBIT Bağlantısı 1.2.1. COBIT çerçevesine göre ―Kurumun, bütün yönlerinin güvenliğini sağlamak yönetimin sorumluluğudur. Bu

sorumluluğu yerine getirmek için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖ der. 1.2.2. COBIT Yönetim Rehberi, sürekli ve ileri dönük öz-değerlendirme için yönetim odaklı bir çerçeve sağlar. Bu çerçeve özellikle

aĢağıdaki noktalara odaklanmıĢtır:

Performans ölçümü-BT iĢlevi iĢin gereksinimlerini ne derecede desteklemektedir?

BT kontrol profili-Hangi BT süreci önemlidir? Kontrol için kritik baĢarı etmenleri nelerdir?

Farkındalık-Amaçlara ulaĢamama riskleri nelerdir?

KarĢılaĢtırma-Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve karĢılaĢtırılabilir?

1.2.3. Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar performans göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin, süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite değerlendirmesi ve karĢılaĢma sağlar.

1.2.4. Yönetim Rehberleri, kendini değerlendirme atölye çalıĢmalarını desteklemek için ve BT yönetiĢiminin bir parçası olarak sürekli izleme ve geliĢtirme usullerinin uygulanması amacıyla da kullanılabilirler.

1.2.5. COBIT, bilgi sistemleri yönetim ortamı için ayrıntılı kontrol teknikleri sağlar. Özel denetim alanına uygulanacak COBIT‘teki en ilgili materyalin seçilmesi, özel COBIT BT süreçleri, kontrol hedefleri, yönetim kontrol uygulamalarıyla bağlantısı ve ilgili COBIT bilgi kıstaslarının seçimine bağlıdır.

1.2.6. Bu Rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ekinde yer alan COBIT kaynakları göz önünde bulundurulmalıdır.

1.3. Rehber Ġhtiyacı 1.3.1. Bu rehberin amacı, gözden geçirme süresince ilgili BS Denetim Standartlarıyla uyumun sağlayabilmek için internet

bankacılığı iĢleyiĢini, faaliyetlerini ve uygulamalarını incelerken önerilen uygulamaları ve bu faaliyetlerle ilgili riskleri tanımlanması ve kontrol edilmesini gerçekleĢtirmek için önerilen uygulamaları tanımlamaktır.

2. ĠNTERNET BANKACILIĞI 2.1. Tanım 2.1.1. Ġnternet bankacılığı terimi, internetin bankacılık hizmetleri için uzaktan sunumu kanalı olarak kullanılmasına iĢaret eder. Bu

hizmetler, geleneksel olanlar dahil olmak üzere, bir hesap açmaya veya fonların farklı hesaplara aktarımını kadar, çevrimiçi elektronik ödemeler gibi yeni bankacılık hizmetlerini de kapsar(MüĢterilere, bankanın web sitesinden faturaları alma ve ödeme imkanı verir).

2.2. Ġnternet Bankacılığı Faaliyetleri 2.2.1. Giderek daha fazla banka iĢlerini, müĢterileriyle iliĢkilerini geliĢtirmek veya ilerletmek amacıyla internet teknolojisini

kullanarak dönüĢtürmektedir. Ġnternetin kullanılma sınırı, bankanın internet teknolojisine ne derecede olgun olduğunun görece durumuna bağlıdır. Bankalar, internet bankacılığını iki biçimde sunmaktadırlar. Fiziksel Ģubeleri olan bir banka, geleneksel sunum kanallarına ilave olarak, bir web sitesi oluĢturabilir ve müĢterilerine internet bankacılığı hizmeti sunabilir. Bir diğer seçenek ise Ģubesiz sanal bir banka veya bir ―sadece internet bankası‖ kurmaktır. Bilgisayar sunucusu veya sanal bankanın tam kalbinde yer alan banka veritabanı, yasal adres olarak hizmet verecek olan bir ofise yerleĢtirilebilir. Sanal bankalar, müĢterilerine bankacılık iĢlemlerini yapmaları için ATM‘ler (Otomatik Ödeme Makinesi) veya diğer baĢka yollarla hizmet verirler. Ġnternet bankacılığının özellikleri, eĢsiz değiĢim hızını, müĢteri hizmetlerinde yenilikleri ve internetin global doğasından dolayı internet bankacılığının bilgisayar sistemleriyle bütünleĢikliğini ve üçüncü tarafların bankalara olan artan bağımlılıklarını ve gereken bilgi teknolojisini içerir. Bu nedenle, bir banka internet faaliyetlerini aĢağıdaki yollardan bir veya birkaçıyla yürütebilir:

112

G24 Ġnternet Bankacılığı (Devam)

Bilgilendirme-Bu, internet bankacılığının temel seviyedir. Banka, genellikle, bağımsız bir sunucu üzerinde kendi ürünleri ve hizmetleri hakkında pazarlama bilgileri vardır. Bu faaliyetlerle ilgili riskler, bilgi sistemlerinin tipik olarak sunucu ile bankanın kendi iç ağı arasında bir bağlantısı olmamasından dolayı görece düĢük derecededir . Bu seviyede, bir internet bankacılığı bankanın kendisi tarafından veya dıĢarıdan verdirilebilir. Bankanın riski düĢük olsa bile, sunucudaki veya web sitesindeki veriler değiĢime karĢı korunmasız olabilir. Bu nedenle, bankanın sunucusundaki veya web sitesindeki verilerini yetkisiz değiĢtirmeyi önlemek için uygun kontroller hazır durumda olmalıdır.

ĠletiĢimli-Bu çeĢit internet bankacılığı, bankanın kendi sistemleri ve müĢteri arasında birkaç etkileĢime imkan sağlar. Bu etkileĢim, e-posta, hesap özeti, kredi baĢvuruları veya durağan dosya güncellemeleri (ad ve adres değiĢiklikleri) gibi iĢlemlerle sınırlandırılabilir. Bu sunucuların, normalde bankanın iç ağına doğrudan eriĢimleri olduğundan dolayı iĢlem riski BS‘deki riskten daha yüksektir. Bankanın bilgisayar sistemlerine ve iç ağlarına karĢı yetkisiz faaliyetleri engellemek için karĢı kontroller hazır olmalıdır. Virüs belirleme ve önleme kontrolleri, ayrıca bu ortamda önemlidir.

EtkileĢimli-Bu seviyede internet bankacılığı, müĢterilerin mali içerikli iĢlemler yapmalarına olanak tanır. Her biri de farklı risk profiline sahip iki seviyede etkileĢimli internet bankacılığı vardır. Temel etkileĢimli site, sadece müĢteriler veya müĢteriyle banka arasında fonların aktarımına izin verir. Ġleri seviye etkileĢimli site, ise bankanın dıĢında üçüncü taraflara ödemeler yapılmasına olanak tanır. Bu, fatura ödemesi Ģeklini alabilir veya elektronik fon aktarımı gibi iĢlemleri içerebilir. Çoğu banka müĢteriden müĢteriye her iki yöntemi de kullanarak ödeme yapılmasına olanak verir. Fonların aktarımının banka dıĢında bir noktaya yönlendirilmesine izin verilmiĢse faaliyetin riski artar. Bu ortamın içerisine yetkisiz eriĢim, dolandırıcılıklara yol açabilir veya yükseltebilir. Bir iletiĢim yolunun normalde karmaĢık olmasından ve çeĢitli sunucular ile müĢteri ve bankanın iç ağları arasında hatlar veya araçlar gerektirmesinden dolayı bu ortam en yüksek mimari riskine sahiptir ve en güçlü kontrollere sahip olmalıdır.

3. ĠNTERNET BANKACILIĞININ ĠNCELENMESĠ 3.1. Kapsam 3.1.1. Bankacılık -doğası gereği- yüksek riskli bir iĢtir. Bankacılık faaliyetleriyle ilgili ana riskler Ģunlardır: Stratejik riskler, bankanın

saygınlığıyla ilgili riskler, faaliyet riskleri (güvenlik dahil-bazen iĢlemsel diye adlandırılan riskler- ve hukuki riskler), kredilerle ilgili riskler, fiyatlarla ilgili riskler, dövizlerle ilgili riskler, faiz oranlarıyla ilgili riskler ve likiditeyle ilgili riskler. Ġnternet bankacılığı faaliyetleri, geleneksel bankacılıkta tanımlanmamıĢ olan riskler ortaya çıkarmaz, ancak bu risklerin bir kısmını değiĢtirir ve artırır. Ana faaliyetler ve bilgi teknolojisi ortamı sıkı bir biçimde birbirine bağlıdır; bu yüzden internet bankacılığının bütün risk profilini etkilerler. Özellikle, BS Denetçisinin bakıĢ açısından ana konular stratejik, faaliyet ve bankanın saygınlığıyla ilgilidir, çünkü bunlar doğrudan güvenli veri akıĢına yönelik tehditlerle ilgilidirler ve internet bankacılığının dünya bankacılığına hızlı giriĢi ve teknolojik karmaĢıklığı tarafından artırılmıĢ olan riskleridir. Bankalar, teknolojilerinin risklere karĢı tanımlanıp, ölçülüp, izlenmesi ve kontrol edilmesi için risk yönetim süreci olmalıdır. Yeni teknolojilerin risk yönetiminin üç temel unsuru vardır:

Risk yönetimi, yönetim kurulunun ve üst yönetimin sorumluluğudur. Bu ikisi bankanın iĢ stratejisini geliĢtirmek ve etkili bir risk yönetim yöntemi kurmaktan sorumludurlar. Bankanın internet bankacılığını kullanımı ve ilgili riskleri yönetmek için gerekli bilgi ve beceriye sahip olmak durumundadırlar.Yönetim kurulu, bankanın internet bankacılığın yürütüp yürütmeyeceğine dair ve yürütecekse nasıl yürüteceğine dair açık, bilgi verici ve resmi olarak belgelendirilmiĢ bir stratejik karar vermelidir. Ġlk karar, yükselen sınır ötesi bir yaklaĢımla risklere karĢı sorumlulukları, politikaları ve kontrolleri içermelidir. Kurul, bankanın risk algılamasında önemli rolü olan internet bankacılığıyla bağlantılı projeleri incelemeli, onaylamalı, izlemeli ve yeterli kontrollerin tanımlanmasını, planlanmasını ve uygulanmasını sağlamalıdır.

Kullanılan teknoloji, bilgi teknolojisi sorumluluğu üst yönetimindir. Bunlar, internet bankacılığı teknolojisini ve ürünlerini, etkili bir biçimde değerlendirebilmek için tecrübeye sahip olmalıdır ve bunlar uygun Ģekilde yerleĢtirilmeli ve uygun Ģekilde belgelendirilmelidir.Banka bu sorumluluğu kendi içinden yerine getiremeyecek ise, tamamlayıcı teknoloji ve uzmanlığa sahip üçüncü taraflarla iĢbirliğiyle bu tarz iĢlerde ve faaliyetlerde uzmanlıkları bulunan bir tedarikçi ile sözleĢme yapmayı dikkate almalıdır.

Riskleri ölçmek ve izlemek, faaliyet yönetiminin sorumluluğudur. Bunlar, bankanın, internet bankacılığını kullanımı ve ilgili riskleri yönetmek için gerekli bilgi ve beceriye sahip olmalıdır. Yönetim kurulu, kullanılan teknolojilerle, öngörülen risklerle ve bu risklerin nasıl yönetildikleriyle ilgili düzenli raporlar istemelidir.

3.1.2. Ġnternet bankacılığı sistemleriyle ile ilgili iç kontroller, bankanın sunduğu hizmetlerin risk seviyesi, uygulamanın ve bankanın

risk tolerans seviyesi ile uyumlu olması gerekmektedir. Ġnternet bankacılığında iç kontrollerin incelenmesi, BS Denetçisine kontrollerin uygun ve iĢlevlerin düzenli çalıĢtıklarına dair makul güvence sağlamasına yardımcı olmalıdır. Bir bankanın internet bankacılığı teknolojisi ve ürünleri için kontrol hedefleri, aĢağıdaki konulara odaklanabilir:

Faaliyetlerin verimlilik, etkinlik ve ekonomisi ile kurumsal politikalar ve yasal gereksinimlerle uyumunu kapsayan teknoloji planlaması ve stratejik hedeflerle tutarlılığı

ĠĢ kurtarma planlaması dahil veri ve hizmet eriĢilebilirliği

Varlıkların korunmasını, iĢlemlerin uygun biçimde yetkilendirilmesini ve verinin güvenilirliği kapsayan veri bütünlüğü

ÇalıĢanlar ve müĢteriler birlikte eriĢimleri üzerindeki kontrolleri kapsayan veri gizliliği ve kiĢisel bilgilerin mahremiyeti standartları

Yönetim raporlamasının güvenilirliği

113

G24 Ġnternet Bankacılığı (Devamı)

3.1.3. BS Denetçisi, iç kontrolleri ve yeterliliklerini uygun bir biçimde değerlendirmek için bankanın faaliyet ortamını anlamalıdır. BT YönetiĢim Enstitüsünce 2000 yılında basılan COBIT 3. baskısı bilgi sistemleri tarafından karĢılanması gereken yedi bilgi kıstası ortaya koymuĢtur:

Verimlilik

Etkinlik

Gizlilik

Bütünlük

EriĢebilirlik

Yasal uygunluk

Güvenilirlik 3.1.4 Bölüm 3.1.3.‘te listelenen bilgi kıstasları, internet bankacılığında da geçerlidir. Bu yüzden bir internet bankacılığı incelemesi,

internet bankacılığı giriĢimleri, uygulamaları ve faaliyetlerinin COBIT bilgi kıstaslarının ne Ģekilde karĢılandığına bakmalıdır. 3.1.5 internet bankacılığı, diğer bankacılık biçimleri/kanallarıyla karĢılaĢtırıldığında büyük oranda müĢteri bilgilerinin gizliliğine

duyulan güvene veya bütünlüğe ve sistemlerin eriĢebilirliğine dayanmaktadır. Bu bağlamda, acil durum yedekleme ve kesinti seçenekleri ile felaket kurtarma süreçleri uygun Ģekilde bulunmalıdır. Ġnternet bankacılığının ödeme veya fon aktarımını içerdiği durumlarda, iĢlemlerin inkar edilemezliği ve bütünlüğü zorunlu konulardır. Bu gibi durumlarda, internet bankacılığı incelemesi inkar edilemezliğin ve bütünlüğün sağlanabilmesi için internet bankacılığı sistem kontrollerinin etkinliğine yönelik olmalıdır. Düzenlemeleri ihlal edebileceğinden veya bankacılık düzenlemeleriyle uygunluğun sağlanabileceğinden dolayı, özellikle süreklilik süreçler sınır ötesi süreçlere dayanıyor ise internet bankacılığının çözümlerinin eriĢilebilirliliği değerlendirilirken bunlara gereken önem verilmelidir.

3.1.6 ĠletiĢimin, iĢlemin veya eriĢim talebinin yasal olduğunun onaylanması internet bankacılığının temelidir. Bu yüzden bankalar, yeni müĢterilerin kimlik ve diğer bilgilerinin onayını yapmak için güvenilir yöntemler kullanmalıdırlar. Hesap baĢlangıcında müĢteri doğrulaması, hırsızlık, dolandırıcılık ve kara para aklama faaliyeti risklerini önlemede çok önemlidir. Güçlü müĢteri kimliklendirme ve yetkilendirme süreçleri, özellikle yurt içi ve uluslararası müĢterilerin gerçekleĢtirdikleri elektronik iĢlemlerden doğabileceği öngörülen, müĢteri kimliğinin taklit edilmesi riski ve potansiyel müĢterilerin etkili kredi kontrollerinin uygulanmasında yaĢanan zorlukları içeren aksaklıklar sınır ötesi bağlamında önemlidir.

3.1.7 Denetlenebilirliğin, iĢlemlerin büyük bir kısmı belgesiz ortamda yapıldığından dolayı internet bankacılığında çok büyük önemi vardır.

4. BAĞIMSIZLIK 4.1. Mesleki Tarafsızlık 4.1.1. BS Denetçisi, görevi kabul etmeden önce internet bankacılığı yapan kurumda incelemenin tarafsızlığını zedeleyecek

herhangi bir çıkarının olup olmadığının makul güvencesini sağlamalıdır. Herhangi bir çıkar çatıĢmasının olduğu durumlarda, banka yönetimine açıkça iletilmelidir ve görevi kabul etmeden önce banka yönetiminin yazılı onayı aranmalıdır.

5. YETERLĠLĠK

5.1 Beceri ve Bilgi 5.1.1. BS Denetçisi, internet bankacılığıyla ilgili riskleri ve kullanılan teknolojinin incelemesini tamamlamak için gerekli teknik ve

faaliyet tecrübesine ve bilgisine sahip olmalıdır. BS Denetçisi, teknoloji ve ürünlerin bankanın stratejik hedefleriyle örtüĢüp örtüĢmediğini belirlemelidir. Bu tür incelemelerde özellikle, bankanın faaliyetleri ve bunlarla ilgili riskleri ve web hosting/alan sağlama teknolojileri, kriptolama teknolojileri, ağ güvenlik mimarisi ve güvenlik duvarı, virüs koruma ve yetkisiz giriĢ gibi güvenlik teknolojilerinin bilinmesi gereklidir. Uzman görüĢü ve girdisi gerekirse, uygun kullanımı dıĢsal uzmanlık kaynaklarından yapmıĢ olmalıdır. DıĢarıdan yardım alınacağı gerçeği, banka yönetime yazılı olarak bildirilmelidir.

6. PLANLAMA 6.1. Yüksek Seviye Risk Değerlendirmesi 6.1.1. BS Denetçisi, bankanın internet bankacılığıyla ilgili amaçlarını, bu amaçlara ulaĢmak için kullanılacak stratejiyi, bankanın

internet teknolojisini müĢterileriyle iliĢkilerinde kullanma yöntemiyle (iĢlemler için veya bilgi vermek için 2.2.1‘deki gibi) ilgili bilgi toplamalıdır. Bu Ģekilde toplanan bilgi, yüksek seviye bir bankacılık risk değerlendirmesine ve aynı zamanda COBIT bilgi kıstaslarına da imkan sağlayacak biçimde olmalıdır. Bu yüksek seviye risk değerlendirmesi, incelemenin kapsamını ve içeriğini belirlemede yardımcı olacaktır. Eğer bankanın bir kurumsal risk çerçevesi varsa, bu da kullanılabilir.

114


6.1.2. BS Denetçisi, internet bankacılığının uygulanmasını, muhtemel vakaları, bankaya muhtemel etkilerini, riskleri önlemede kullanılabilecek muhtemel risk yönetim önlemleri ile ilgili belli ve genel tehditleri değerlendirmek ve analiz etmek amacıyla bir risk değerlendirme yaklaĢımı izlemelidir. AĢağıdaki stratejik riskleri, değerlendirilmelidir:

Stratejik değerlendirme ve risk analizi

Kurumsal stratejik hedeflerle bütünlük

Teknolojik altyapının seçilmesi ve yönetilmesi

Üçüncü taraf sağlayıcılarla dıĢ kaynak iliĢkilerinin yönetilmesi için kapsamlı süreci 6.1.3. AĢağıdaki güvenlik riskleri değerlendirilmelidir:

MüĢteri güvenliği uygulamalarını

MüĢterilerin kimlik vb doğrulamalarını

ĠĢlemlerin inkâr edilemezliği ve hesap verilebilirliği

Görevlerin ayrılığını

Sistemler, veritabanları ve uygulamalar içerisinde yetkilendirme kontrollerini

Ġç veya dıĢ yolsuzluklarını

ĠĢlemlerin, veritabanlarının ve kayıtların veri bütünlüğünü

ĠĢlemlerin denetim izlerini

Veri iletiminin gizliliğini

Üçüncü taraf güvenlik riskini 6.1.4. AĢağıdaki hukuki riskler değerlendirilmelidir:

MüĢterilere bilgilerin açıklanması

KiĢisel bilgilerin gizliliği

Düzenleyiciler ve gözetimler sonucunda ortaya çıkan düzenleyici kurallara uyum

Yabancı yasal mercilere açıklama 6.1.5. AĢağıdaki kurumsal itibar risklerini değerlendirilmelidir:

Hizmet seviyesi sunumu

MüĢteri özeni seviyesi

ĠĢ sürekliliği ve acil durum planlaması 6.2. Ġncelemenin Kapsam ve Amaçları 6.2.1. BS Denetçisi, uygun olan yerlerde banka yönetimiyle iĢbirliği içinde internet bankacılığı incelemesinin kapsam ve amacını

açıkça tanımlamalıdır. Ġncelemede kapsanacak alanlar, açık bir biçimde belirtilmelidir. Bankanın internet faaliyetlerinin doğası ve hacmi (2.2.1.‘de belirtildiği gibi) ve ilgili riskler-yüksek seviyede risk olarak tanımlanmıĢ ise- incelemenin kapsam ve derinliğiyle hangi koruların gözden geçirilmesi gerektiğine zorlar.

6.2.2. Ġncelemenin amacı ve kontrol hedefleri, düzenlemelerle ve yürürlükteki bankacılık yasalarıyla uyum içerisinde olmalıdır.

Ġnternet sınırsızdır, çok devletli ve çok Ģehirli çevrede olsa bile internet tabanlı sunum kanalını çalıĢtırarak herhangi bir bankanın kullanılması bu yüzden çok kolaydır. Bankanın kendisi ve faaliyetlerinin bulunduğu yer değil, müĢterileri nerede bulunuyorsa oradaki yasalar, düzenlemeler ve sınırlandırmalarla bağlı olabilir.. BS Denetçisi, bu yüzden bankanın coğrafi yayılımını olan veya planlanan müĢteri portföyüne göre planlamalıdır. BS Denetçisi, internet bankacılığı faaliyetleri üzerinde kaç değiĢik yasal ve düzenleyici kontrolün bulunduğunu tanımlamalı ve internet bankacılığının risklerinin ne Ģekilde yönetildiğini saptamasını gereklidir.

6.3. YaklaĢım 6.3.1. BS Denetçisi, incelemenin amaç ve kapsamının tarafsız ve mesleki bir tarzda yürütülmesi için yaklaĢımı doğru

biçimlendirmelidir. YaklaĢım, incelemenin ön ya da son inceleme olduğuna bağlıdır. Bu yaklaĢım, uygun bir biçimde belgelenmelidir. Eğer dıĢ uzmanların girdi veya önerileri kullanılacaksa, bu yaklaĢımın bir bölümü olarak da belirtilmelidir.

6.4. Plan Ġçin Harekete Geçme 6.4.1. Kurumun uygulamalarına bağlı olarak, BS Denetçisinin banka yönetiminin gözden geçirme planı ve yaklaĢımı için onayını

alması uygun olur. 7. ĠNTERNET BANKACILIĞI ĠNCELEMESĠNĠN GERÇEKLEġTĠRĠLMESĠ 7.1 Yürütme 7.1.1 Ġncelenecek konular ve inceleme süreci, incelemenin amaçlanan kapsamı, gözden geçirmenin hedefi ile planlama sürecinin

parçası olarak tanımlanan yaklaĢım dikkate alarak seçilmelidir.

115


7.1.2 Genel olarak internet bankacılık ortamının toplanması, analiz ve yorumlanmasında internet bankacılığı hakkında düzenlemeler, internet yasası, kiĢisel bilgilerin gizliliği yasaları, web bankacılık sistem belgelendirmesi ve internet bankacılığı çözümünün kullanımı gibi var olan belgelerden yola çıkıp bir araĢtırma yapılmalıdır.

7.1.3 BS Denetçisi, daha önce belirtilmiĢ olan internet bankacılığıyla ilgili sorunlar ve bunlara dair denetim sonrası izleme faaliyetleriyle ilgili olarak aĢağıdaki belgeleri incelemelidir:

Önceki değerlendirme raporları

Denetim sonrası izleme faaliyetleri

Önceki değerlendirmelerin çalıĢma kağıtları

Ġç ve dıĢ denetim raporları

7.1.4 BS Denetçisi, internet bankacılık sistemi/faaliyetleri ile ilgili anahtar süreci tasarlamalıdır (Otomatik veya manuel). 7.1.5 Temel iĢ riski değerlendirilmesi (6.1.‘de ortaya konulduğu gibi), internet bankacılığının amaçlarının, strateji ve iĢ modelinin

kritik değerlendirilmesini içermelidir. 7.1.6 BS Denetçisi, bu süreçlerle ilgili risklerin gerçekleĢme olasılığını (BS riskleri ve iĢ riskleri), riskleri azaltacak risklerle uyumlu

kontrollerin ve bunların muhtemel etkileriyle birlikte kontrollerini belgelendirmeli ve somutlaĢtıracak Ģekilde süreçleri daha sonra değerlendirmelidir.

7.1.7 BS risk değerlendirmesinin bir bölümü olarak dıĢ BS tehditleri, banka tarafından sunulan ürünlerin doğasına ve açık olunan dıĢ tehditlere bağlı olarak değerlendirilmelidir. Bu tehditler hizmete eriĢilememesi, verilere yetkisiz eriĢimi; bilgisayar korsanları, rakipler, yabancı hükümetler, teröristler veya kızgın bir çalıĢan tarafından yapılabilecek olan bilgisayar donanımının yetkisiz kullanımını içerir.

7.1.8 BS Denetçisi, ön veya son incelemenin doğasına bağlı olarak, sürecin olması gerektiği gibi çalıĢtığından emin olmak için testteki önemli süreçleri kontrol etmelidir. Bu testler bilanço istemi, fatura teslimi ve ödeme testi, güvenlik mekanizmalarına sızma testi yapılarak testleri içerir.

7.1.9 BS Denetçisi, uygulama sonrası incelemesinde ağ haritası,, ağ yönlendirme yolları, ve ağ güvenlik değerlendirmesi ile iç ve dıĢ saldırılar hakkında bilgi edinmelidir.

7.1.10 Ġnternet bankacılığı çözümü aslında bilgi teknolojisi çözümü olduğundan dolayı, COBIT tarafından konulmuĢ bilgi kıstaslarını ve endüstri tarafından ortaya konulmuĢ diğer düzenlemeleri karĢılamalıdır. Bilgi kıstaslarıyla, standartlarıyla ve/veya düzenlemelerle uyumun sınırı ve uyumsuzluğun etkisi analiz edilmelidir.

7.2. Ġncelenecek Yönler 7.2.1. AĢağıdaki kurumsal konuların mevcut olup olmamaları açısından incelenmelidir:

Banka internet bankacılığı faaliyetlerine baĢlamadan önce gereken özen ve risk analizi yapılıp yapılmadığı

Sınır ötesi etkinlikler varsa gereken özen ve risk analizi yapılıp yapılmadığı

Ġnternet bankacılığı bankanın toplam hedefi, stratejik hedefleri ve iĢletim planlarıyla uyumlu olup olmadığı

Ġnternet baĢvurusu tanımlanmıĢ ve onaylanmıĢ iĢ modeliyle uyumlu olup olmadığı

Ġnternet bankacılık sistemleri ve/veya hizmetleri, kurum içerisinde veya üçüncü taraflarca yapılıp yapılmadığı

Kurumun yönetimi ve personeli internet bankacılığını yönetmek için kabul edilebilir seviyede bilgi ve teknik beceriye sahip olup olmadığı

Görev ayrılığı sağlayacak olan önlemlerin alınıp alınmadığı

Ġnternet bankacılığı iĢlemlerini ve ödeme hizmetleri faaliyetlerini yönetmek için yönetim raporlarının yeterli olup olmadığı

7.2.2. Ġnceleme aĢağıdaki gibi politika konularının olup olmadığını da içermelidir:

MüĢterileri, tedarikçileri, müĢteri kimlik doğrulamayı, müĢteri/tedarikçilerin verilerinin gizliliğini, denetim izleri, kullanılan sistem kayıtlarının incelemesini ve bankanın internet bankacılığını ilgilendiren yasalara güncel olarak uyup uymadığını ilgilendiren uygun politikalar tanımlanıp uygulanıp uygulanmadığı

Banka, internet bankacılık ürün hattıyla ilgili kiĢisel bilgi gizliliğini sağlayıp sağlamayacağı

Ġnternet bankacılığı hizmetlerine giriĢ yapmadan önce, müĢterilerin kimlik ve düzenleyici durum hakkında ilgili yargılara varmalarını sağlayacak bildirimlerin web sitesinde verilip verilmediği (Bankanın ismi, ana binasının nerede olduğu, birincil banka denetim yetkilileri, müĢteri hizmetleriyle iletiĢime geçme yolları ve diğer ilgili bilgiler).

Bankadan yapılan diğer sitelere yapılan bağlantılarını yöneten politikaları müĢterilerin bankaya ait veya bankaya ait olmayan ürünleri kolayca ayırt edebilmelerini sağlayacak ve bankanın web sitesinden ayrılırken bu durumu bildirecek biçimde oluĢturulup oluĢturulmadığı.

DeğiĢiklik kontrolleri, denetim izlerinin gözden geçirilmesi ve kullanılan sistem kayıtlarının gözden geçirilmesi ve analizi ile ilgili usullerin olup olmadığı(Güvenlik Duvarı ve Diğer Raporlar)

Veri gizliliğini ve bütünlüğünün sağlandığını ve yürürlükteki yasalar ve düzenlemelerle ile iyi uygulamalarla uyumu sağlamak için uygun ve yeterli usullerin olup olmadığı

7.2.3. AĢağıdaki planlama yönleri var olup olmadıkları açısından incelenmelidir:

Planlanan bilgi sistemleri teknolojisi mimarisinin uygulanabilirdir, güvenli ve sağlam iĢlemler yapabilmektedir.

Beklenmeyen olayların sebep olacağı iç ve dıĢ saldırılar dâhil sorunları yönetmek, en aza indirmek için olay müdahale planlarının vardır.

116

G24 Ġnternet Bankacılığı (Devam)

―Ġnternet ürün yaĢam döngüsünün‖ varlığı ve bunun internet uygulamalarını geliĢtirme, bakımını yapma ve güncelleme amacıyla uygulanması

ĠĢ sürekliliği ve kritik internet bankacılığı süreci ve/veya teslimat sistemleri için acil durum planlarının varlığı ve düzenli olarak testi

7.2.4. AĢağıdaki bilgi sistemleri altyapısı yönleri var olup olmamaları açısından incelenmelidir:

Altyapı ve sistemler, öngörülen iĢ planına yer açmak için geniĢletmeye olanaklıdır.

Bilgi güvenlik mimarisi, internet bankacılığı modelinin doğası için tanımlanmıĢ ve uygundur.

Banka, internet bankacılığı sistemiyle ilgili yazılım, donanım ve veri iletiĢim araçlarının fiziksel güvenliğini karĢılamak için yeterli süreç ve kontrollere sahiptir.

Banka, web sitesi ve bankanın iç ağları veya bilgisayar sistemleri arasındaki yolun güvenliğini sağlamak için sağlam süreçlere sahip olması ve iç ağın uygun bir güvenlik duvarı teknolojisi kullanılarak dıĢ ortamdan uygun bir biçimde korunmasına sahiptir.

Veritabanlarının ve veri akıĢının yetkisiz ve uygunsuz eriĢimden korunmaktadır.

EriĢim noktalarının ve potansiyel saldırı alanlarının tanımlamasını sağlamak için uygun ve yeterli prosedürler vardır.

Otomatik kontrollerin yetersiz oldukları yerlerde uygun manuel dengeleyici kontroller vardır.

Her müĢteri iĢleminin kaydı, müĢterinin kimliğini, iĢlem numarasını, iĢlem türünü, iĢlem miktarını ve pazarlama gibi diğer kontrol amaçları ve iĢ birimleri için eğer kaydedilmiĢ ve arĢivlenmiĢ ise diğer ilgili bilgileri de içerir.

7.2.5. AĢağıdaki telekomünikasyon altyapısı noktaların olup olmadığı konusunda incelenmelidir:

Ağ mimarisi, internet bankacılığı faaliyetlerinin doğası, zamanlaması ve sınırı için uygundur.

Kullanılan ağ protokollerinin amaç için uygundur(Örneğin ödeme veya fon aktarımlarının internet bankacılığı yoluyla kabul edilip edilmemesi, güvenli protokoller kullanılmalıdır).

Bankanın, güvenlik duvarı sunucularına ve unsurlarına, eriĢimi sınırlamak için fiziksel kontrollerin yeterliğini değerlendirmek için bankanın etkili bir süreci vardır

Yetkisiz giriĢ belirleme sistemleri ve virüs kontrol sistemleri/usullerinin varlığı

Ġç veya dıĢ ağların yeterli sızma testleri, yerindedir.

Ağ boyunca yapılan iletiĢim, ―sanal özel ağlar‖ (=VPN) ve uygun ve gerekli olduğu yerde ilgili kriptolama teknikleri kullanılarak güvenlik sağlanmıĢtır.

Ağ boyunca verilerin korunması amacıyla yeterli ve güçlü kriptolama algoritmalarının seçilmiĢtir. 7.2.6. AĢağıdaki yetkilendirme konuların olup olmadığı konusunda incelenmelidir:

Kontrol özellikleri, potansiyel müĢterilerin interneti kullanarak yeni bir krediye baĢvurmaları ve/veya mevduat hesapları için interneti kullanmalarını doğrulamak için oluĢturulmuĢtur.

Kontrol özellikleri, mevcut müĢterilerin kimlik doğrulamasını, veri bütünlüğünü ve iĢlemlerin gizliliğini sağlamak için sistemlerin içerisinde yapılandırılmıĢtır.

ĠĢlem yapanın kimlik doğrulama usulleri, gerektiğinde dijital sertifikaları ve dijital imzalar kullanılarak iĢlem yapan taraf eĢsiz ve pozitif olarak tanımlamakta kullanılmaktadır.

Ġnkar edilemezlik, iĢlemlerin internet bankacılığı kullanılarak gerçekleĢtirildiği yer ve durumlarda muhtemel sonraki iĢlerde ve yasal kullanımı sağlar.

Ġnternet bankacılık sisteminin hata tolerans özellikleri, sistemin doğası, hacmi ve kritikliği ile uyumludur. 7.2.7. AĢağıdaki üçüncü taraf hizmet sağlayıcı özelliklerinin olup olmadığı incelenmelidir:

Zorunlu mesleki özen, üçüncü taraf hizmet sağlayıcı ile sözleĢme iliĢkisine girmeden önce yeterlilik ve finansal yaĢayabilirliğin gözden geçirmelerinde uygulanmıĢtır.

Üçüncü taraf hizmet sağlayıcılarla yapılan sözleĢmeler, bankanın ve müĢterilerinin çıkarlarını yeterli derecede koruyor olması ve banka organizasyonu, her bir tarafın sorumluluğunun uygun bir Ģekilde tanımlanması ve belirlenmesini sağlamak için satıcı sözleĢmelerinin gözden geçirilip geçirilmediğinin belirtilmesidir.

Banka organizasyonu, üçüncü taraf hizmet sağlayıcılardan bilgi sistemleri ve teknolojileriyle ilgili satıcı yönetim süreçlerinin ve özel tedarikçi iliĢkilerinin değerlendirilmesi, tüm dıĢ kaynaklardan sağlanan sistemlerin ve faaliyetlerin, bankanın kendi standartlarını karĢılayıp karĢılaması için risk yönetimi, güvenlik ve gizlilik politikalarının tabi tutulup tutulmadığını anlamak için iç ve dıĢ denetim raporlarını alır ve gözden geçirir.

Banka örgütü, üçüncü taraf hizmet sağlayıcılarını güvenlik, iç kontrol ve iĢ sürekliliği ve acil durum planlarını denetimi ve bağımsız değerlendirme gerçekleĢtirme hakkı vardır.

Üçüncü taraf hizmet sağlayıcıların güvenlik usulleri, internet bankacılığı çözümünün, internet hizmet sağlayıcı (ISP), sertifikasyon yetkilisi (CA), kayıt yetkilisi (RA), web hosting/alan sağlayıcılığı sahipliği gibi üçüncü taraf hizmet sağlayıcılara bağlı olduğu durumlarda uygun ve yeterlidir.

117


Üçüncü taraf hizmet sağlayıcılar, önemli internet bankacılığı süreçleri ve/veya sunum sistemlerinin düzenli olarak test edildiği ve test sonucu raporlarının bir örneği bankanın alınması için uygun iĢ sürekliliği ve acil durum planlarına sahiptir.

Banka, bir satıcıdan yazılım ürününün sağlandığı yerde yazılımın düzenli olarak güncelleĢtirildiğini doğrulamak için yazılım güncelleme anlaĢmasıyla satıcı tarafından yazılımın güncellenmesi sağlayan yeterli bir süreci vardır.

GeliĢtirilen ve uygulanan güvenlik mimarisi çözümünün değerlendirilmesi için internet uygulamalarının uygulama öncesi üçüncü tarafların görüĢlerinin araĢtırılmıĢtır.

7.2.8. Gerekli ve bankayla anlaĢılan durumlarda, verilerin toplanması, analizi ve yorumlanmasında dıĢ uzman kullanılmalıdır. 7.2.9. Çıkarımlar ve öneriler, verilerin tarafsız analizi ve yorumlara dayandırılmalıdır. 7.2.10. Uygun denetim kayıtları, toplanan veriler tutulmalı ve korunmalıdır, düzeltici adımlar atılmalı, analizler yapılmalı ve sonuçlara

varılmalıdır. 7.2.11. Raporu bitirmeden önce, eğer uygun ise gözlemler ve öneriler paydaĢlar, yönetim kurulu ve banka yönetimiyle birlikte

doğrulanmalıdır. 8. RAPORLAMA 8.1. Rapor Ġçeriği 8.1.1. BS Denetçisi, kullanılan teknolojiler, öngörülen riskler ve bu risklerin nasıl yönetildiğiyle ilgili düzenli raporlar oluĢturmalıdır.

Sistem performans izlemesi, önemli bir faktördür. Kapsamın içeriğine bağlı olarak, internet bankacılığının gözden geçirilmesi konusundaki raporlar, eğer uygun ise aĢağıdaki konuları kapsamalıdır:

Ġzlenen kapsam, amaçlar, yöntemler ve varsayımlar

Ġnternet bankacılığı süreci/sistemleri çözümlerinin anahtar zorluklar ve zayıflıklar ve muhtemel etkileri açısından tamamının değerlendirmesi

Önemli zayıflıkların üstesinden gelmek için ve internet bankacılığı sisteminin geliĢtirilmesi için öneriler

Bankacılıkla ilgili yürürlükteki yasalar ve düzenlemelerle uyum ve uyumsuzlukların etkileri

COBIT bilgi kıstaslarıyla uyumun sınırları ve herhangi bir uyumsuzluğun etkisiyle ilgili bildirimler

Ġncelemeyle elde edilen derslerin gelecekteki çözümleri ve faaliyetleri geliĢtirmelerde nasıl kullanılacağı ile ilgili öneriler 9. YÜRÜRLÜK TARĠHĠ 9.1. Bu rehber bütün bilgi sistemlerinin denetimlerinde 1 Ağustos 2003‘ten itibaren geçerlidir. Terimlere dair tam bir sözlükçe,

ISACA‘nın web sitesinde (www.isaca.org/glossary) bulunabilir.

EK COBIT Referansı Özel denetim kapsamına uygulanacak en ilgili COBIT materyalinin seçilmesi, belli COBIT BT sürecinin seçilmesine ve dikkate alınan COBIT bilgi kıstaslarına bağlıdır. Bu belli denetim alanında, Ġnternet Bankacılığı Ġncelemesi, en ilgili COBIT süreci Ģunlardır: seçilmiĢ Plan ve BT Süreçlerinin Organizesi, seçilmiĢ BT Süreçlerinin Edinilmesi ve Uygulanması, seçilmiĢ Sunum ve Destek, seçilmiĢ Ġzleme ve Değerlendirmedir. Bu yüzden aĢağıdaki süreçler için COBIT Rehberi denetim yapılırken göz önünde bulundurulmalıdır:

PO1-Stratejik BT planının belirlenmesi

PO3-Teknolojik yönün belirlenmesi

PO8-DıĢ gerekliliklerle uyumun sağlanması

PO9-Risklerin değerlendirilmesi

AI2-Uygulama yazılımı edinilmesi ve bakımı

AI3-Teknoloji altyapısını edinilmesi ve bakımı

AI4-Usul geliĢtirmesi ve sürdürülmesi

AI5-Sistem kurma ve akredite etme

AI6-DeğiĢiklik yönetimi

DS1-Hizmet seviyelerini belirleme ve yönetme

DS2-Üçüncü taraf hizmetlerini yönetme

DS3-Performans ve kapasite yönetimi

DS4-Hizmet Sürekliliğini Sağlamak

DS5-Sistemlerin Güvenliğini Sağlamak


118


DS8-MüĢterilere destek ve öneriler

DS10-Sorun ve vaka yönetimi

DS11-Veri yönetimi

M1-Süreç izleme

M2-Ġç kontrol yeterliğini değerlendirme Ġnternet Bankacılığının denetimiyle en ilgili bilgi kıstasları Ģunlardır:

Birincil: EriĢebilirlik, uyumluluk, gizlilik ve bütünlük

Ġkincil: Verimlilik ve etkinlik KAYNAKLAR An Internet Banking Primer, Federal Reserve Bank of Chicago, USA Basle Directive N° 82, Risk Management Principles for Electronic Banking, Basel Committee on Banking Supervision, May 2001, Switzerland Basle Directive N° 86, Sound Practices for the Management and Supervision of Operational Risk, Basel Committee on Banking Supervision, May 2001, Switzerland Basle Directive N° 91, Risk Management Principles for Electronic Banking, Basel Committee on Banking Supervision, July 2002, Switzerland BIS Papers N° 7. Electronic finance: a new perspective and challenges, Monetary and Economic Department, Bank for International Settlements, November 2001, Switzerland Cronin, Mary J., Banking and Finance on the Internet, John Wiley & Sons, Inc., ISBN 0-471-29219-2, USA Essinger, James, The Virtual Banking Revolution, Thomson Business Press, ISBN 1-86152-343-2, United Kingdom Internet Banking Comptroller‘s Handbook, Comptroller of the Currency Administrator of National Banks, October 1999, USA Furst, Karen, William W. Lang and Daniel E. Nolle, Internet Banking: Developments and Prospects, Economic and Policy Analysis Working Paper 2000-9, Office of the Comptroller of the Currency, September 2000, USA The Internet and the National Bank Charter, Comptroller of the Currency Administrator of National Banks, January 2001, USA Treatment of material on overseas Internet world wide web sites, accessible in the UK but not intended for investors in the UK, Financial Services Authority, United Kingdom

119

G25 Sanal Özel Ağların Gözden Geçirilmesi 1. ARKA PLAN 1.1. Standartlarla Bağlantı 1.1.1. S6 Denetim ĠĢinin Yürütülmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklindedir. 1.1.2. G16 Üçüncü Kurumsal BT kontrollerinde Üçüncü Tarafların Etkileri Rehberi, yol göstericilik sağlar. 1.1.3. G17 BS Denetçisinin Bağımsızlığında Denetim-dıĢı Rollerin Etkileri Rehberi, yol göstericilik sağlar. 1.2. COBIT Bağlantısı 1.2.1 CobIT Çerçevesi―Kurumun tüm varlıklarını korumak yönetimin sorumluluğudur. Bunu yerine getirmek için yönetim

yeterli bir iç kontrol sistemi kurmalıdır.‖ Ģeklinde ifade eder.

1.2.2. COBIT Yönetim Rehberi, sürekli ve ileri dönük öz-değerlendirme için yönetim odaklı bir çerçeve sağlar. Bu çerçeve özellikle aĢağıdaki noktalara odaklanmıĢtır:

Performans ölçümü-BT iĢlevi iĢin gereksinimlerini ne derecede desteklemektedir?


Farkındalık-Amaçlara ulaĢamama riskleri nelerdir?

KarĢılaĢtırma-Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve karĢılaĢtırılabilir?

1.2.3. Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar performans göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin, süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite değerlendirmesi ve karĢılaĢma sağlar.



1.2.6. Bu Rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ekinde yer alan COBIT kaynakları göz önünde bulundurulmalıdır.

1.3. Rehber Gereksinimi 1.3.1. Bu Rehberin amacı, sanal özel ağların (VPN) incelenmesinde ve inceleme sırasında BS Denetim Standartlarına uyulmasının

sağlanmak için önerilen uygulamaları tanımlamaktır. 2. SANAL ÖZEL AĞ (VPN) 2.1. Tanım 2.1.1. Sanal Özel Ağlar—Ağ Güvenliğinde Yeni Sorunlar, BT Yönetim Enstitüsü tarafından yayınlanmıĢtır, sanal özel ağları

―Ġnternet veya ağ hizmet sağlayıcılar tarafından sağlanan kamuya açık veya paylaĢılan ağlar yoluyla kiĢisel iletileri taĢıyan sanal devrelerden oluĢan bir ağ‖ diye tanımlamaktadır. Bu Rehberin amacı için bu tanım kullanılmıĢtır.

2.1.2. VPN bağlamında ―Tünel‖ ve ―Tünelleme‖ terimleri sıkça kullanılmıĢtır. Aksi durumda aktarılamayacak olan verilerin, aktarılabilmesi için bir paketin diğer paketin içine alınması sürecine tünelleme denir. Ġç içe alınmıĢ paketlerin internette sanal özel ağlarda izledikleri yola da tünel denir.

2.2. Sanal Özel Ağ (VPN) Modelleri 2.2.1. Dağıtım için üç adet yaygın VPN modeli vardır. Modeller arasındaki ana farklılıklar son hizmet noktalarında veya tünel son

noktalarında, gereken yönetim seviyelerinde, hizmet kalitesinde ve doğrudan hizmet sağlayıcı üzerindeki güvendedir. En yaygın üç model Ģunlardır:

Saf sağlayıcı modeli

Melez sağlayıcı modeli

Uçtan-uca model 2.2.2. Saf sağlayıcı modelde, VPN‘lerin iĢlevselliği kurumun ağına değil de hizmet sağlayıcının altyapısına bina edilmiĢtir. Model

sıklıkla bir hizmet sağlayıcının ağına yerleĢtirilmiĢtir. Kurumun ağıyla hizmet sağlayıcının ağı arasında keskin bir ayrım vardır. Kurumun ağına uzaktan eriĢim tipik olarak tahsis edilmiĢ bir devre yoluyla sağlanmıĢtır (T1, T3‘teki gibi). MüĢteri, ağdaki VPN bağlantılı donanım ve yazılıma uzaktan eriĢime sahiptir ve bunları iĢletir; bununla birlikte hizmet sağlayıcının ağındaki donanım ve yazılım hizmet sağlayıcı tarafından sahiplenilir ve iĢletilir. Hizmet sağlayıcı VPN tünellerini ağ boyunca uçtan-uca baĢlatır ve güvenliğin her iki ucunda da özel devrelere güvenir. Bu modelde sağlayıcı, ağ üzerinde yüksek seviyede bir kontrole sahiptir ve kapasite planlama, tasarlama, yapılandırma, tanılama ve sorun taramadan sorumludur.

120

G25 Sanal Özel Ağların Gözden Geçirilmesi(Devamı)

2.2.3. Melez sağlayıcı modeli, hem kurumun hem de hizmet sağlayıcının ağlarını iĢin içine alır. Bir VPN tüneli, sağlayıcının

ağından baĢlatılır ve tünel kurumun ağında sona erdirilir. Bu modelde hizmet sağlayıcı, kullanıcıların kimlik doğrulaması yapıldıktan sonra uzak kullanıcıların VPN tünellerinin baĢlamasından sorumludur. Uzak kullanıcı, kurumun ağına ulaĢınca giriĢ izni için ikinci bir doğrulama istenebilir. Kullanıcılar, doğrulama yapıldıktan sonra kuruluĢun yerel ağ alanına (LAN) doğrudan bağlıymıĢlar gibi ulaĢabilirler.

2.2.4. Uçtan-uca modelde, hizmet sağlayıcı VPN verilerinin sadece aktarım aracı olarak hizmet verir. Hizmet uç noktalarına veya tünellemeye, masaüstü veya çok sayıda masaüstüne hizmet veren bir proxy VPN aracı olabilir. Bu model uzaktan eriĢim için veya çok sayıda siteleri bağlamak için kullanılabilir.

2.3. VPN Kullanımı 2.3.1. Bir VPN‘yi kullanmak için çeĢitli yollar vardır. En yaygın olanları aĢağıdadır:

Siteden-siteye bağlantı

Uzaktan eriĢim bağlantısı

GeniĢletilmiĢ kuruluĢ dıĢ ağ bağlantısı 2.3.2. Siteden-siteye bağlantı, ayrı intranetlerin, büyük bir intranet oluĢturarak, güvenli ve verimli bir biçimde bağlanmalarını

sağlar. Siteden-siteye VPNler, sıklıkla coğrafi olarak dağılmıĢ kurumlarda tek bir sanal ağı oluĢturmada kullanılırlar. 2.3.3. Uzaktan eriĢim bağlantısı, hareket halindeki çalıĢanların internet yoluyla güvenli ağ iletiĢimlerini kullanarak kurumun

intranetine eriĢebilmelerine olanak tanır. Bu yapı, küresel çevirmeli ağ, kablosuz ve geniĢ ağ ISPleri ile birlikte kullanılır. Birçok kurum, uzaktan eriĢim VPNlerini çalıĢanlarına düĢük ücretli ağ eriĢimi sağlamak için kullanır.

2.3.4. GeniĢletilmiĢ kuruluĢ dıĢ ağ bağlantısı, kurumun dıĢındaki ağlara bağlantı sağlar. ĠĢ, araĢtırma veya pazarlama ortakları sıklıkla bunları güvenli bağlantılar yoluyla iletiĢimleri hızlandırmak amacıyla kullanırlar. Genel olarak dıĢ ağlar, ağdan-ağa trafiğe izin vermek, yönetmek ve izlemek amacıyla daha güçlü kontrollere sahiptir. Ġç ağ ise dıĢ ağdan güvenlik duvarları yoluyla korunur.

2.4. VPN Yapısı 2.4.1. VPN kurmak için birçok seçenek vardır. Bir ağ hizmet sağlayıcısının sunduğu VPN, bir kurumu internete bağlamanın en

yaygın yollarından biridir. Herhangi bir kurumdaki VPN yapısı aĢağıdakilerden bir veya birkaçını içerebilir:

Güvenlik duvarı temelli VPN

Yönlendirici temelli VPN

Uzaktan eriĢim temelli VPN

Donanım (kara kutu) temelli VPN

Yazılım temelli VPN 2.4.2. Güvenlik duvarı temelli VPN, en yaygınıdır. Birçok kurumun internete bağlanmak için bir güvenlik duvarı kullanıyor

olmasından dolayı kriptolama yazılımı ve bazı diğer yetkilendirme yazılımı eklemek durumundadırlar. 2.4.3. Ġki tür Yönlendirici Temelli VPN, de vardır. Birisinde yazılım, kriptolamanın olması için yönlendiriciye eklenir. Diğerindeyse

üçüncü taraf satıcının sağladığı kart, yönlendirici CPU‘sunda kriptolama süreci için aynı düzleme yerleĢtirilmelidir 2.4.4. Uzaktan eriĢim temelli VPN‘de uzak bağlantıdan birisi Ģifreli bir paket akıĢını veya tüneli oluĢturabilir. 2.4.5. Donanım (kara kutu) temelli VPN‘de satıcı bir kara kutu veya Ģifreli yazılımı içeren bir araç sunar. Bunun amacı bir VPN

tüneli oluĢturmaktır. Kara kutu VPN aracı normalde güvenlik duvarının arkasındadır veya verilerin güvenliğini sağlamak için güvenlik tarafındadır. Ancak, aslında VPN sistemi güvenlik duvarından tamamen bağımsız olabilir.

2.4.6. Yazılım temelli VPN‘de ise yazılım tünelleme veya paketlerin kriptolaması iĢini görür. Yazılım, müĢteri ve sunucuda yüklüdür. Trafik, kurum içindeki belli bir müĢteriden baĢlar ve uzaktaki bir sunucuyla bağlantı kurar. MüĢteriden ayrılan trafik kriptoludur ve gideceği yere yönlendirilmiĢtir. Aynı durum, iç ağa bağlanmaya çalıĢan herhangi birisi için de geçerlidir.

2.5. VPN Yapılandırması/Topolojisi 2.5.1. VPN‘yi yapılandırırken, parametreler, anahtar uzunluk, sunucu kimlik doğrulaması, bağlantı, boĢ kalınca zaman aĢımı

durumları, sertifika oluĢturma ve anahtar oluĢturma ve dağıtım mekanizmalarına göre ayarlanmalıdır. VPN yapısını biçimlendirme uygulamasının çeĢitli yolları vardır. Kurumlar, aĢağıdakilerden birimi veya birkaçını kullanabilirler:

Güvenlik duvarından müĢteriye

Yerel ağdan yerel ağa (LANLAN)

Güvenlik duvarından iç ağa/dıĢ ağa

Yazılım ve donanım VPN‘si 2.5.2. Güvenlik duvarından müĢteriye, en yaygın topolojidir ve iç ağa çevirmeli olarak bağlanan uzak kullanıcılara uyar. 2.5.3. Yerel ağdan yerel ağa (LANLAN), ikinci en çok kullanılan topolojidir. Ġki site arasında bir VPN tüneli oluĢturulunca,

güvenlik duvarının topolojisini uzak ofislere ve ofisler, ortaklar ve tedarikçiler arasında yayabilir.

121


2.5.4. Güvenlik duvarından iç ağa /dıĢ ağa topolojide, intranetler çalıĢanlar, dıĢ ağ ise müĢteriler, ortaklar ve tedarikçiler tarafından kullanılır. Uzak kullanıcılar, sunucuya eriĢmeye çalıĢtıklarında hangi sunucuya bağlanacakları konusunda karar vermek gereklidir.

2.5.5. Donanım ve yazılım VPN‘leri, tek baĢına ayakta durabilen araçlardır ve VPN teknoloji algoritmalarını uygulamak için tasarlanmıĢlardır. Bir VPN aracı normalde bir güvenlik duvarının arkasındadır. Veri paketleri güvenlik duvarı ve VPN aracı yoluyla akıĢ yapar. Bu sırada kriptolanabilirler. Genellikle yazılım kriptolama modelleri, SSL protokollerine benzer, özel araçlar istenmez ve paket akıĢı, yazılım tarafından kriptolanır.

2.5.6. VPN teknolojileri ve protokolleri aĢağıdakileri içerir:

PPTP (uçtan uca tünelleme protokolü)

L2TP (katman 2 tünelleme protokolü)

IPsec (Ġnternet protokolü güvenliği)

SSL (güvenli soket katmanı) 3. VPN‘LERLE ĠLGĠLĠ RĠSKLER 3.1. Risklerin çeĢitleri 3.1.1. VPN, üçüncü taraf hizmetlerini kullanan kurumlar için bir iletiĢim mimarisidir, bununla ilgili riskler aĢağıdaki gibi

sınıflandırılabilir:

Güvenlik Riski

Üçüncü Tarafın Riski

ĠĢ Riski

Uygulama Riski

Faaliyet Riski 3.2. Güvenlik ve Hukuki Risk 3.2.1. Güvenlik risklerinin VPN‘ler ile iliĢkisi aĢağıdakileri içerir:

VPN‘lerin kullanımından doğan güvenlik ve hukuki risklerin yetersiz değerlendirilmesi

VPN‘lerden kaynaklanan bilgi varlıklarına karĢı risklerin azaltılması için yetersiz güvenlik programları

VPN‘e girmeden önceki veya VPN‘nin terk edildiği noktada veri koruması

Belli bir ağ yolu üzerinde kriptosuz durumdaki verilerin güvenliğinin baĢarısızlığa uğraması (Kriptolama aracından önce iç ağlar veya kriptolamadan aygıtından sonra dıĢ ağlar)

Gizlilik, bütünlük, inkar edilemezlik ve/veya eriĢebilirlik sorunlarından sonuçlanabilecek uygulamaların eksikliği 3.3. Üçüncü Taraf Riski 3.3.1. Üçüncü taraf hizmet sağlayıcılara duyulan güven aĢağıdakine benzer risklerle sonuçlanabilir:

Uygun olmayan bir hizmet sağlayıcının seçilmesi

ĠliĢkilerin yetersiz yönetimi

Hizmet seviye anlaĢmalarında (SLA) ve ölçümlerde yetersizlikler

Yetersiz yönetiĢim ve yönetim süreçlerinin yetersizliği

Hizmet seviye anlaĢmalarının (SLA) ölçütlerin ölçülmesinin ve izlenmesinin yetersizliği

Yetersiz yedekleme/AĢırı yedekleme stratejisi

ĠliĢki ve hizmetlerin karĢılaĢtırılmasının yetersizliği

VPN‘deki verilere eriĢimin suiistimali 3.4. ĠĢ Riski 3.4.1. AĢağıdaki gibi riskler yönetimin veya iĢten beklenen Ģeylerin baĢarısızlığa uğramasına sebep olabilir:

ĠĢ stratejisine yetersiz uyum

Yetersiz maliyet tasarrufu

Güvenlik gereksinimlerine ulaĢmada baĢarısızlık

Kullanım kolaylığı yetersizliği

Kullanıcı gereksinimlerinin kapsamı ve ölçümünde baĢarısızlık

Kurum veya süreçlerin diğer alanlarında hizmette kaybı veya kötüleĢmesi olması

122

G25 Sanal Özel Ağların Gözden Geçirilmesi(Devamı) 3.5. Uygulama Riski 3.5.1. Etkisiz ve yetersiz çözümlerin uygulanmasına aĢağıdaki gibi risklere yol açabilir:

Ġlk tasarımında yatırıma yeteri kadar dikkat edilmemesi

Kurum için uygun olmayan VPN modelinin seçilmiĢ olması

Gerekli olduğu halde üçüncü tarafların kullanımının yetersizliği

Tasarımda güvenliğe yeterli özenin verilmemesi

Kurtarma süreçlerinin yetersizliği

Hizmet seviye beklentilerinin ve ölçümlerin tasarımında baĢarısızlık

Uygun olmayan bütünleĢtirme stratejisi

Yetersiz değiĢim, proje veya uygulama yönetim süreçleri

VPN müĢterisi riski (Aynı arayüz internet ve VPN trafiğini kabul eder) 3.6. Faaliyet Riski 3.6.1. AĢağıdaki gibi riskler etkisiz ve yetersiz VPN kullanımına/iĢletimine sebep olabilir:

Etkin bir biçimde iĢlemek için gereken kaynakların yetersizliği

Güvenirlik eksikliği

Hizmet kalitesinin zarar görmesi

Birlikte çalıĢabilirliğin eksikliği

Kapsamda baĢarısızlık

Yetersiz kapasite

Gereksiz yedekleme veya yedekleme sağlamada baĢarısızlık

ĠĢ amaçları için personelin (evden eriĢim gibi) kiĢisel araçların kullanımı (Güvenlik yapılandırmaları, virüs korunma yazılımı, kiĢisel güvenlik duvarı gibi eksiklikler)

ĠĢlem parametrelerinde veya verilerde gizliliğin eksikliği 4. YÖNETMELĠK 4.1. Görevlendirme 4.1.1. BS Denetçisi, bir VPN‘nin incelemesine baĢlamadan önce, kapsamlı gözden geçirme için kurum tarafından zorunlu yazılı

görevlendirmenin veya denetçinin pozisyonundan dolayı zorunlu görevlendirmenin makul güvencesini sağlamalıdır. BS Denetçisi, kurumun incelemeyi baĢlattığı durumlarda kurumun komisyonun gözden geçirme için uygun yetkilendirdiğine dair makul güvence sağlamalıdır.

5. BAĞIMSIZLIK 5.1. Mesleki Tarafsızlık 5.1.1. BS Denetçisi, görevi kabul etmeden önce eğer varsa VPN çözümlerinin gözden geçirilmesinin incelemenin tarafsızlığına

herhangi bir Ģekilde BS Denetçisinin çıkarlarının gölge düĢürmeyeceğine makul güvence sağlamalıdır. Herhangi bir muhtemel çıkar çatıĢması durumunda, bu durum kuruma açık bir biçimde iletilmeli ve kurumun bu çıkar çatıĢmasının farkında olduğunu belirten yazılı belgeyi görevi kabul etmeden önce sağlamalıdır.

5.1.2. BS Denetçisi, gözden geçirilen VPN ile ilgili denetim dıĢı rollerinin geçmiĢte/halen olduğu durumlarda, G17 BS Denetçisinin Bağımsızlığında Denetim-dıĢı Rolün Etkisi kılavuzunu göz önünde bulundurmalıdır.

6. YETERLĠLĠK 6.1. Tecrübe ve Bilgi 6.1.1. BS Denetçisi, VPN‘yi incelemek için zorunlu teknik bilginin makul güvencesini sağlamalıdır. VPN‘nin iĢ gereksinimleri ve

teknik konularının açıkça anlaĢılması, kurumda VPN uygulamasının gözden geçirilmesinde zorunludur.. 6.1.2. BS Denetçisi, VPN incelemesini gerçekleĢtirebilmek için ilgili teknik bilgi ve tecrübeye eriĢimin makul güvencesini

sağlamalıdır. VPN incelemesi, kullanılan kriptolama teknolojileri, ağ güvenlik mimarisi ve güvenlik teknolojileri gibi konularda teknik bilgi gerektirir. BS Denetçisi, bu konuları incelemek için yeterli bilgiye sahip olmalıdır. Uzman girdisi gerekliyse, uygun girdi dıĢ uzman kaynaklardan sağlanmalıdır. DıĢ uzman kaynakların kullanıldığı gerçeği, kuruma yazılı olarak bildirilmelidir.

123

G25 Sanal Özel Ağların Gözden Geçirilmesi(Devamı) 7. PLANLAMA 7.1. Yüksek Sevili Risk Değerlendirmesi 7.1.1. BS Denetçisi, iĢ ve VPN için iĢin gereksinimleriyle ilgili yüksek seviyeli risk değerlendirmesi gerçekleĢtirebilmek için bilgi

toplamalıdır. 7.1.2. VPN ile ilgili risklere yukarda üçüncü bölümde, tasarım, uygulama ve uygulama esnasında gibi gözden geçirilecek aĢamaya

bağlı olarak göz önünde bulundurulmalıdır. 7.1.3. COBIT bilgi kıstaslarıyla Ġlgisi-Verimlilik, etkinlik, gizlilik, bütünlük, eriĢebilirlik, uyum ve güvenilirlik-de, inceleme ve

onaylama ihtiyacı ayrıca tanımlanmalıdır. 7.1.4. Ağ Merkezli Teknoloji için Kontrol Hedeflerinin (CONCT) ilgili yönleri, bunlar COBIT kıstaslarının ağ-merkezli ortamlara

(VPNler tarafından desteklenenler gibi) olan uzantıları olduğundan dolayı bu bağlamda göz önünde bulundurulmalıdır. 7.1.5. Bu yüksek seviyeli risk değerlendirmesi, incelemenin kapsamını ve içeriğini belirlemeye yardım edecektir.. 7.2. Ġncelemenin kapsam ve Amaçları 7.2.1. BS Denetçisi, uygun olan yerlerde kurumla danıĢarak, VPN incelemesinin amaç ve kapsamını açıkça tanımlamalıdır.

Ġncelemede kapsanacak olan konular, kapsamın bir parçası olarak açıkça belirtilmelidir. 7.1.1.‘de belirtilen yüksek seviyeli risk değerlendirmesi, hangi alanların gözden geçirileceğine ve gözden geçirmenin kapsam ve derinliğini oluĢturur.

7.2.2. Çözümdeki paydaĢlar, incelemenin amacı için kurumla yapılan anlaĢmada tanımlanmalı ve üzerinde anlaĢılmalıdır. 7.2.3. PaydaĢların her türlü ilgi alanları,eğer uygun ise, incelemenin kapsam ve hedeflerine de dahil edilmelidir. 7.2.4. BS Denetçisi, incelemenin üçüncü tarafları kapsadığı durumlarda denetim ifadesinin sözleĢmede kapsandığına dair güvence

vermelidir. 7.3. YaklaĢım 7.3.1. BS Denetçisi, incelemenin amaç ve kapsamının tarafsız ve uzman bir tarzda yürütülecek bir yaklaĢımı biçimlendirmelidir.

Ġzlenecek yaklaĢım, incelemenin ön inceleme, uygulama esnasında inceleme veya uygulama sonrası inceleme olup olmamasına bağlıdır. YaklaĢım uygun bir biçimde belgelenmelidir. Eğer dıĢ uzmanların girdisi kullanılacaksa bu, yaklaĢımın bir bölümü olarak belirtilmelidir. Test veya izleme aracının kullanımı planlanmıĢ ise yaklaĢımın bir parçası olarak belirtilmelidir.

7.4. Plan için Harekete Geçme 7.4.1. BS Denetçisi, kurumun uygulamalarına bağlı olarak plan ve yaklaĢım için kurumun iĢbirliğine baĢvurmalıdır. 8. VPN ĠNCELEMESĠNĠN GERÇEKLEġTĠRĠLMESĠ 8.1. Genel 8.1.1. Bu bölüm bir VPN incelemesi sırasında, vurgulanması gereken geniĢ alanlara hitap etmektedir. Belirli bir VPN incelemesi için

inceleme alanları, incelemenin öngörülen kapsam ve amaçlarına göre bu geniĢ alan yelpazesinden seçilmelidir. 8.1.2. VPN incelemesi, incelemenin amaçlarının gerçekleĢmesi için, her tanımlanmıĢ yaklaĢım baĢına yapılmalıdır (uygun yerlerde

yeniden iyileĢtirmelerle). 8.1.3. Genellikle, eldeki belgelerin incelenmesi(ĠĢ anlaĢmaları, sistem belgeleri, sözleĢmeler, servis seviye anlaĢmaları ve sistem

kayıtları) ve paydaĢlar ve hizmet sağlayıcılarla belli konulardaki tartıĢmalar ve gözlemler verileri toplarken, analiz ederken ve yorumlarken kullanılmalıdır.. BS Denetçisi, uygun olan yerlerde VPN‘deki önemli süreçleri/iĢlevleri amaçlandığını gibi çalıĢıp çalıĢmadıklarını onaylamak için test etmelidir..

8.1.4. Kurumla yapılan anlaĢmanın uygun yerlerinde, dıĢ uzman girdisi verilerin toplanması, analizi ve yorumlanmasında uygun Ģekilde kullanılmalıdır.

8.1.5. Çıkarımlar ve öneriler, verilerin tarafsız analizi ve yorumlanmasına dayandırılmalıdır. 8.1.6. Uygun denetim izleri, toplanan veriler, yapılan analizler, varılan sonuçlar, önerilen düzeltici faaliyetler korunmalıdır.

124

G25 Sanal Özel Ağların Gözden Geçirilmesi(Devamı) 8.2. Uygulama-öncesi Ġnceleme 8.2.1. VPN‘den çözümünün uygulamasından önce yapılan uygulama-öncesi (tasarım esnasında) incelemede aĢağıdakilerin

uygunluğuna bakmalıdır:

VPN çözümünün gereksinimleri

Önerilen çözümün maliyet ve faydası

VPN modeli, VPN yapısı, VPN yapılandırması/topolojisi ve VPN kullanımı gibi önerilen VPN teknolojisi

Önerilen, Ģifreleme teknolojileri dahil, teklif edilen güvenlik yapısı ve özellikleri

Gereksiz yedekleme ve yedekleme araçlarının planlaması

Yönetim onayları

Önerilen proje yönetim yapıları ve izleme mekanizmaları

Hizmet sağlayıcının seçimi için seçim süreci

Önerilen sözleĢmeler, SLAlar ve ölçümler

Var ise uyulması gereken yasal gereklilikler 8.2.2. BS Denetçisi, bu alanları kapsamak için aĢağıdakileri yapmalıdır:

VPN gereksinimlerini incelemelidir-iĢle ilgili ve teknik olarak

ĠĢ sözleĢmeleri ve onaylarını incelemelidir (maliyet-fayda analizi için)

Teknolojik yönlerin taslağını çizen VPN tasarımı belgesinin incelenmesi

Önerilen çözümün PPTP, L2TP ve IPSec protokollerinden birine uygun olup olmadığının incelenmesi

Önerilen güvenlik mimarisi ve kriptolama teknolojisinin incelenmesi

Fiyatlandırma sürecinin -diğer öneri ve son hizmet sağlayıcı seçiminin teknik ve ticari değerlendirmesi- incelenmesi

Önerilen proje yönetimi yapısının incelenmesi

Önerilen sözleĢmelerin, SLA ve ölçütlerinin incelenmesi

KarĢılanması gereken yasal gereksinimlerin incelenmesi

Teklif edilen yedekleme ve yedekleme sürecinin değerlendirilmesi

VPN‘yi uygulamaların bütünleĢtirmek için önerilen stratejinin incelenmesi

Teknoloji ve güvenlik yönlerinin uygunluğunu değerlendirmek için gereken yerlerde dıĢ uzmanların kullanılması

Önerilen yetiĢtirme planlarının incelenmesi

Ġlgili denetim/inceleme raporlarının incelenmesi

Yukarıdaki maddelerin sonuçlarının risklerini azaltma ve yeterlilikleri açısından değerlendirilmeleri- Güvenlik riski, üçüncü taraf riski, iĢ riski, uygulama riski ve iĢlem riski

COBIT ve CONCT kıstaslarının nasıl gerçekleĢtirildiklerini değerlendirmek

Gereken düzeltici adımların atılabilmesi için incelemeden ortaya çıkan risklerin ve sorunların özellikle belirtilmesi 8.3. Uygulama Ġncelemesi 8.3.1. Uygulama incelemesi, uygulama sırasında gerçekleĢir ve uygun Ģekilde aĢağıdaki noktaların bulunup bulunmadığını

vurgular:

Uygulamanın, onaylanmıĢ planlara göre ve belirlenmiĢ zaman takvimi ve maliyete göre ilerleyip ilerlemediği

VPN teknolojisi-VPN modeli, VPN yapısı, VPN yapılandırma/topolojisi ve VPN kullanımının planlandığı gibi uygulanıp uygulanmadığı

Kullanılan güvenlik planı ve kriptolama teknolojilerinin dayanıklı ve tasarlandığı Ģekilde olup olmadığı

Planlanan yedekleme ve yedekleme araçlarının uygulanıp uygulanmadığı

Gerçek sözleĢmeler, SLAlar ve ölçümlerin, kurumun gereksinimlerine uygunluğu

Varsa-Düzenleyici gereksinimlerin yerine getirilip getirilmediği 8.3.2. BS Denetçisi, yukarıdaki gösterilen konularda aĢağıdakileri yapmalıdır:

Proje ilerleme raporlarını ve toplantı tutanaklarını incelemek

Planlara karĢı teknolojilerin gerçek uygulanmasını değerlendirmek ve var ise sapmaları belirleyerek değerlendirmek,

Çözümün, PPTP, L2TP ve IPSec protokollerinden birine uygun olgun olduğunu onaylamak

Onaylanan tasarıyla uyum için gerçek güvenlik mimarisi ve uygulanan kriptolama teknolojisinin değerlendirilmesi

Üzerinde anlaĢılan asıl sözleĢmelerin, SLA ve ölçümlerin incelenmesi

Saklanacakların ve yedeklemelerinin değerlendirilmesi

VPN ile uygulamaların gerçek entegrasyonunun incelenmesi

Teknoloji ve güvenlik uygunluğunu değerlendirmek için gerekirse dıĢarıdan uzmanların kullanılması

125


Bütün kullanıcı türlerini kapsayan ve kapasite, bant geniĢliği, eriĢim kontrolü ve Ģifreleme gibi alanların belirlenmesi açısından test ve sistemin taĢınması sürecinin yeterliğinin değerlendirilmesi

OluĢturulmuĢ faturalandırma mekanizmalarının değerlendirilmesi

Yasal bağlantılarının kullanımdan çıkarılıp çıkarılmadığın, faturalarının saklanıp saklanmadığının, VPN uygulamalarının artan Ģekilde araçlarının elden çıkarılıp çıkarılmadığının değerlendirilmesi

Önerilen risk azaltma faaliyetlerinin uygulandığını belirlemek amacıyla önceki uygulama öncesi denetim raporlarının ve diğer ilgili inceleme raporlarının gözden geçirilmesi

Yukarıdaki noktaların sonuçlarının riskleri azaltmak için uygunluk ve yeterliliklerinin değerlendirilmesi -Güvenlik riski, üçüncü taraf riski, iĢ riski, uygulama riski ve iĢlem riski

COBIT ve CONCT kıstaslarının nasıl gerçekleĢtirildiklerini değerlendirmek

Gereken düzeltici adımların atılabilmesi için incelemeden ortaya çıkan risk ve sorunların özellikle belirtilmesi 8.4. Uygulama-sonrası Ġnceleme 8.4.1. Uygulama Sonrası Ġnceleme, VPN‘nin uygulanmasından sonra gerçekleĢir, bu yüzden aĢağıdaki noktaların varlığı

araĢtırmalıdır:

Öngörülen faydalara ulaĢılıp ulaĢılmadığı

Tek seferlik maliyetlerin planlandığı gibi ve makul olup olmadığı

Sürekli faturalama iĢlemlerinin makul ve istenen gibi olup olmadığı

VPN teknolojisinin amaçlandığı gibi kullanılıyor olup olmadığı

VPN ve kullanımının -veri sınıflandırma dahil- güvenlik politikaları ve usulleriyle uyum içerisinde olup olmadığı

DıĢ ağlar yoluyla VPN‘ye eriĢimi olan üçüncü tarafların ilgili güvenlik ve gizlilik anlaĢmalarını imzalayıp imzalamadıkları ve bu anlaĢmalara uyup uymadıkları

Uzaktan bağlanan ve diz üstü kullanan kullanıcıların kiĢisel güvenlik duvarları gibi gerekli güvenlik önlemlerini kullanıp kullanmadıkları

Dijital sertifikaların yönetimi için uygun sürecin olup olmadığı,

Hizmet kalitesi (QoS) ve SLA‘lar düzenli olarak ölçülmüĢ, izlenmiĢ ve zamanında önlemek düzenli bir biçimde artırılmıĢ olup olmadıkları

Verilerin, Ģifresiz bağlantılar dahil uygun usuller kullanılarak giriĢ ve çıkıĢ noktalarında yeterli biçimde korunup korunmadığı

Virüs kontrolü ve yetkisiz giriĢ tespiti gibi durumlar için uygun güvenlik araçlarının kullanılıp kullanılmadığı.

Hizmetler ve maliyetlerin karĢılaĢtırılabilir ve rekabetçi olup olmadığı

Yedekleme ve yedekleme araçlarının uygun biçimde iĢleyip iĢlemediği

Düzenleyici gereksinimlerin var ise yerine getirilip getirilmediği,

8.4.2. BS Denetçisi, yukarıda gösterilen konuları kapsamak için aĢağıdakileri yapmalıdır:

Proje tamamlama raporunu incelemelidir

VPN teknolojisini gerçek kullanımıyla, onaylı tasarıma uyumluluğu açısından incelemelidir

Çözümün PPTP, L2TP ve IPSec protokollerinden birine uygun olgun olduğunu onaylamalıdır

Sürekli faturalamaları örnekleme bazında incelemelidir.

Güvenlik politikaları ve usulleriyle uyumu örnekleme bazında incelemelidir

Üçüncü taraf eriĢimini ve üçüncü tarafça imzalanan dıĢ ağ eriĢimini ilgilendiren anlaĢmaları incelemelidir

Uzaktan eriĢim ve dizüstü eriĢimi süreçlerini ve laptopların uygun güvenlik ayarları açısından incelemelidir

Asıl SLA‘lar ve ölçümleri -QoS ve bunları izleme sürecini incelemelidir

Ağ boyunca güvenlik uygulamasını kontrol etmek

Yedekleme ve saklama araçlarını test etmek

Hizmetlerin kalitesi ve görevlerin makul güvencesini sağlamak açısından düzenli olarak karĢılaĢtırmanın gerçekleĢtirilmesi

126


Gerekli ise teknoloji ve güvenlik konularının uygunluğunu değerlendirmek için dıĢ uzmanların kullanılması

VPN çözümleriyle ilgili konuların testi için uygun araçların kullanılması

VPN‘yi destekleyen yardım masası sürecinin incelenmesi

Yukarıdaki maddelerin sonuçlarının, riskleri azaltmada uygunlukları ve yeterliliklerinin değerlendirilmesi -Güvenlik riski, üçüncü taraf riski, iĢ riski, uygulama riski ve iĢlem riski gibi.

COBIT ve CONCT kıstaslarının gerçekleĢtirilip gerçekleĢtirilmediğinin değerlendirilmesi

Gereken düzeltici adımların atılabilmesi için incelemeden ortaya çıkan risk ve konuların özellikle belirtilmesi 9. RAPORLAMA 9.1. Raporun Ġçeriği 9.1.1. VPN‘in gözden geçirme raporu, kapsamın içeriğine bağlı olarak aĢağıdaki konuları vurgulamalıdır:

Ġzlenen amaç, kapsam, yöntem ve varsayımlar

Önemli güçlükler, zayıflıklar ile zayıflıkların muhtemel etkileri açısından çözümün tamamının değerlendirilmesi

Önemli zayıflıkların üstesinden gelinmesi ve geliĢtirici çözümler için öneriler

COBIT ve CONCT kıstaslarına kapsamın uyumun sınırları ve herhangi bir uyumsuzluğun etkileri

Gelecekteki benzer çözümler veya faaliyetler için bu deneyimin nasıl kullanılabileceğine dair öneriler 9.1.2. Rapor bitirilmeden önce, eğer uygun ise gözlemler ve öneriler kurum ve paydaĢlar ile birlikte onaylanmalıdır. 10. DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ 10.1. AnlaĢılan Ġzleme Faaliyetleri 10.1.1. VPN incelemesinin sonunda, üzerinde anlaĢılan eylemler için tarihler verilmeli ve tamamlanıp tamamlanmadığı izlenmelidir.

Önemli konular, gerekli eylemler için uygun yönetimin dikkatine sunulmalıdır. 11. YÜRÜRLÜK TARĠH 11.1. Bu rehber bütün BS Denetimlerinde 1 Temmuz 2004 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA‘nın

web sitesinde www.isaca.org/glossary adresinde bulunabilir.

EKLER COBIT Referansı En uygun COBIT materyalinin seçilmesi belli COBIT sürecinin seçilmesine ve COBIT bilgi kıstaslarının göz önünde bulundurulmasına bağlıdır. ĠletiĢim altyapısı olan bir VPN ile aĢağıdaki noktalar daha ilgilidir:

PO1-Stratejik bir BT planı belirleme

PO3-Teknolojik yol haritasını belirleme

PO5-BT Yatırımlarının yönetimi


PO9-Risk Değerlendirmesi

AI3-Teknoloji altyapısı edinilmesi ve sürdürmesi

AI4-Usulleri geliĢtirme ve sürdürme

AI5-Sistemleri kurulması ve akredite edilmesi


DS1-Hizmet seviyelerini belirlenmesi ve yönetimi

DS2-Üçüncü taraf hizmetlerini yönetimi


DS4-Hizmet sürekliliğini sağlama

DS5-Sistemlerin güvenliğinin sağlanması


127


DS9-Konfigürasyon yönetimi

DS12-Tesis yönetimi

DS13-Faaliyet yönetimi

M1-Süreçlerin Ġzlenmesi Bir VPN‘in gözden geçirilmesinde en uygun bilgi kıstasları Ģunlardır:

Birincil: EriĢebilirlik, gizlilik, verimlilik ve bütünlük

Ġkincil: Etkinlik, güvenilirlik ve uyum Kaynaklar Sanal Özel Ağlar-Ağ Güvenliği için Yeni Konular, BT Yönetim Enstitüsü, ABD, 2001 Net-Merkezli Teknoloji için Kontrol Amaçları (CONCT), BT Yönetim Enstitüsü, ABD, 1999

128

G26 ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi 1. ARKA PLAN 1.1. Standartlarla Bağlantı 1.1.1. S6 Denetim ĠĢinin Yürütülmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için


1.1.2. G17 BS Denetçisinin Bağımsızlığında Denetim DıĢı Rollerin Etkisi Rehberi, yol göstericilik sağlar. 1.1.3. G21 Kurumsal Kaynak Planlaması Sistemleri Ġncelemesi Rehberi, yol göstericilik sağlar. 1.2. COBIT Bağlantısı 1.2.1. COBIT Çerçevesi ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek ve

beklentileri karĢılamak için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖. Ģeklinde ifade eder. 1.2.2. COBIT Yönetim Rehberleri, özellikle aĢağıdakilere odaklanan sürekli ve ileri dönük kontrol öz değerlendirmesi için yönetim

eğilimli bir çerçeve sağlar:

Performans ölçümü-ĠĢ gereksinimlerini destekleyen BT iĢlevi ne kadar iyidir?


Farkındalık-Hedeflere ulaĢmama riskleri nelerdir?

Kıyaslama-KarĢılaĢtırma-Diğerleri ne yapıyor? Sonuçlar nasıl ölçülür ve karĢılaĢtırılabilir? 1.2.3. Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar

performans göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin, süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite değerlendirmesi ve karĢılaĢma sağlar.



1.2.6. Bu Rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ek kısmında yer alan COBIT kaynakları göz önünde bulundurulmalıdır.

1.3. Rehber Gereksinimi 1.3.2 Ġmalat ve hizmet alanındaki kurumlarının iĢ süreci yeniden tasarımına (BPR) karĢı artan ilgisinin nedeni, bu mühendisliğin

dinamik ve hızlı değiĢen iĢ ortamında sunduğu destektir. BPR, iĢ performansında gerçekten büyük çıkıĢ fırsatları sunar, ancak risklere de sebep olur, , örneğin yanlıĢ süreç tasarımının seçimi ya da planlanmıĢ değiĢikliklerin yetersiz uygulaması gibi.

1.3.3 DeğiĢim mühendisliği, sadece iĢ sürecine değil, aynı zamanda yönetim ve destek yapılarına, insanlara, kurumlara, teknoloji ve bilgi sistemlerine, politikalara ve düzenlemelere dair değiĢiklikleri de kapsar. Bu, iĢ sürecini hızlandırmak için iĢ sürecindeki temel kontrollerin çıkarılmasının artan bir riski vardır. Bu yüzden, BS Denetçisi, kontrolleri yönetime süreci yavaĢlatıyor gibi görünmesine rağmen, olasılık ve etkinin ikisinin de kolaylıkla yönetilmesi ve ölçülememesi riskinden kaçınmanın bir zorunluluk olduğunu, yönetimi haberdar etmeli ve benimsetmelidir.

1.3.4 Bu kılavuzun amacı, BPR projeleri ile ilgili konulara özel dikkat çekerek önemli görev ve ilgili risklerin değerlendirilmesinde BS Denetçilerine bir çerçeve sağlamaktır.

2. Ġġ SÜRECĠ YENĠDEN TASARLAMA PROJELERĠ 2.1. Tanım 2.1.1. ĠĢ süreci değiĢim mühendisliği ile ilgili evrensel bir tanım bulunmamasına rağmen, en çok alıntı yapılan tanım Hammer ve

Champy tarafından yapılandır: ―Maliyet, kalite, hizmet ve hız gibi kritik, çağdaĢ performans ölçümlerinde ani geliĢmeler oluĢturmak amacıyla iĢ süreçlerinin radikal olarak yeniden düĢünülmesi ve yeniden tasarımıdır.‖

2.1.2. BPR iĢ sürecini, yapılarını yeniden gözden geçirerek ve yönetildikleri ve uygulandıkları yolu hızla değiĢtirerek geliĢtirmeyi amaçlar. Bu, normalde sürece dahil olan insanların, uygulamaların iĢlemesi, ve teknolojinin desteklemesi, özellikle bilgi teknolojinin desteklemesiyle büyük bir etki yapar....

2.2. BPR Anahtar Sonuçları 2.2.1. Bir BPR projesi ,son derece yaygın etkilidir. Etkisi, bütün kurum sürecinde ve iliĢkilerde büyük değiĢikliklere yol açar. BPR

projesinin ana sonuçları, bu yüzden aĢağıdaki gibi özetlenebilir:

Kavramda stratejik

Ürün, hizmet ve faydayı geliĢtirme aracı olarak, değer ve müĢteri gereksinimlerine dayanan sürece odaklı olarak (anahtar iĢ süreçlerine odaklanarak) yeni iĢ öncelikleri (müĢteri temelli, sonuç odaklı)

129

G26 ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı)

Kurumun içinde ve dıĢında insanları örgütlemek ve güdülemek için yeni yaklaĢımlar

Ürün ve hizmetleri geliĢtirmede, üretmede ve teslim etmede teknolojinin kullanılmasına dair yeni yaklaĢımlar

DıĢarıdan hizmet satın alma, birlikte geliĢtirme, hızlı müdahale, tam zamanında envanter ve destek dahil tedarikçiler için yeniden belirlenmiĢ roller

Kullanıcı ve müĢteriler için yeniden belirlenmiĢ ve kurumun iĢ sürecine daha doğrudan ve etkin katılımlarını sağlayan roller

2.3. BPR Ġlkeleri ve Etkinlikler 2.3.1. Ġlkeler sürecin yapısını değiĢtirmek için gereken yenilikçi düĢünceye yardımcı olurlar, Süreci değiĢtirmek için baĢlıca

seçenekleri düĢündüren ilkeler, BPR projelerinin en zor aĢaması olduğundan değerlidirler. 2.3.2. Hammer tarafından önerilen BPR ilkeleri Ģunlardır:

Birkaç iĢ,, bir taneye dönüĢtürülerek bütünleĢtirilmiĢtir.

ÇalıĢanlar karar verirler

Bir süreçteki adımlar, doğal sırasında gerçekleĢtirilir

Süreçlerin, çok sayıda sürümü vardır

ĠĢ, en çok anlam kazandığı yerde gerçekleĢtirilir

Gözden geçirme ve kontroller azaltılmıĢtır (Kritik kontroller, uygulanırken )

Mutabakatlar, en aza indirilmiĢtir.

Bir olay yöneticisi, tek iletiĢim noktasını oluĢturur

Melez, merkezileĢtirilmiĢ/yerel iĢlemler yaygındır 2.3.3. Carter ve Handfield kapsayan diğerleri, BPR faaliyetlerini sıralamasını izleyen Ģekilde gerçekleĢtirmeyi önerirler: 1)

BasitleĢtirme (Değer katmayan faaliyetlerin göz ardı edilmesi), 2) Standardizasyon, 3) BütünleĢtirme, 4) Paralelizm, 5) DeğiĢiklik kontrolü, 6) Kaynak dağıtımı, 7)Otomasyon. Carter ve Handsfield BPR sürecinin 1‘den 7‘ye adımları, örneğin, ilk olarak basitleĢtirmeyi düĢünmeden BT uygulamalarıyla bir süreci otomatize etmeye kalkıĢmak hem basitleĢtirme otomasyonu gereksiz hale getireceğinden hem de otomasyonun bütün faydalarının gerçeklememesinden dolayı yanlıĢ olacaktır. Bunlar birbirlerinin eksik iĢlev göstermelerine ve alınabilecek yararların da alınmamasına sebep olacaktır kesin bir sıra içinde ele almalarını belirtir.. Bununla birlikte sırlamanın sıkı bir biçimde sınırlandırmanın tehlikesi de vardır. Örneğin, değiĢik kaynak gerektiren faaliyetlerin bir etkinlikte tek bir kiĢi tarafından yapılmak üzere bütünleĢtirilmesi bazen sadece otomasyon sayesinde olur.

2.3.4. Bazen bütüncül bir inceleme/bakıĢ en iyi yaklaĢımdır. 2.4. BPR Yöntemi 2.4.1. DeğiĢim mühendisliği, yüksek oranda durumsal ve yaratıcıdır. Temel olarak literatürde iki farklı BPR yaklaĢımı vardır. 2.4.2. Hammer ve Champy‘nin tanımladığı yöntem, BPR takımının stratejik amaçlara nasıl odaklanması gerektiğini bildiren bir

yukarıdan aĢağı yaklaĢımdır. Olması gereken süreç konusunda ana vurgu, yazarlarca sunulan değiĢiklik felsefesi adımlarıyla tutarlılıktır.

2.4.3. Harrington tarafından ana hatları çizilen tedrici değiĢim yöntemi aĢağıdan yukarıya bir yaklaĢımdır. Bu yaklaĢım var olan süreciyi anlamak amacıyla modellemeyi ve sonra stratejik amaçların karĢılanması amacıyla verimliliğinin artırılmasını savunur. Odak noktası, var olan süreci geliĢtirmek amacıyla fırsatları tanımlayarak sürecin değiĢtirilmesidir.

2.4.4. BPR takımı, genellikle uygulamada, karıĢık bir yaklaĢımını uyarlaması gereklidir. Eğer, yukarıdan aĢağıya yöntemi temel olarak alınırsa geçerli iĢlevselliği anlama gereksinimi ve kullanılan yoldan diğer yola geçiĢ yolunu dikkatlice tanımlama gerekliliği vardır. AĢağıdan yukarıya yönteminde, BPR takımları mevcut süreci ayrıntılandırmak için çok fazla zaman harcayarak yenilikçi düĢünceyi kaybedebilirler. Karma bir yaklaĢım, takıma, mevcut sürecin ayrıntılarıyla uğraĢmadan yüksek seviyede değiĢiklikleri düĢünmek için cesaretlendirecektir.

2.4.5. Bir BPR çalıĢmasının alt süreci geliĢtirmek amacıyla daha ayrıntılı projeler için sadece göreceli küçük değiĢiklikler gerektiren önerilere yol açabileceğinin bilinmesi önemlidir. (Örneğin, bazı darboğazların giderilmesi gibi).

2.5. DeğiĢik BPR Yöntemleri için Altı Temel Adım 2.5.1. Ġmgelemek-Bu adım tipik olarak bir BPR proje Ģampiyonunun üst yönetimin desteğini alınmasını gerektirir. Firmanın, süreci

konusunda bilgi sahibi üst seviye yöneticileri de içeren bir yetki gücü, firmanın - tüm performansını geliĢtirmeyi ümit ederek iĢ süreçlerinin ve BT fırsatlarının gözden geçirmesine dayanan iĢ süreci geliĢtirmelerini yönlendirmek amacıyla yetkilendirilir.

2.5.2. BaĢlatmak-Bu safha, değiĢim mühendisliği takımının görevlendirilmesini, performans hedeflerinin oluĢturulmasını, projenin planlanmasını ve paydaĢların/çalıĢanların bilgilendirilmesini ve satın alınmasını kapsar. Bir iĢ konusunda, sıklıkla bir karĢılaĢtırma, dıĢ müĢteri ihtiyaçlarının tanımlanması ve fayda maliyet analizi aracılığıyla değiĢim mühendisliği geliĢtirerek baĢarılabilir.

2.5.3. TeĢhis Etmek-Bu aĢama, geçerli sürecin ve alt sürecinin faaliyetler, kaynaklar, iletiĢim, roller, BS ve maliyet gibi unsurlarının ıĢığında belgelendirmesi olarak sınıflandırılır.Süreç gereksinimlerinin tanımlanması ve müĢteri değerinin belirlenmesinde, sorunlar için sebep sonuç analizi ve değer katmayan faaliyetlerin temel sebepleri de tanımlanır.

2.5.4. Yeniden Tasarlamak-Yeniden tasarım sürecinde, yeni bir süreç tasarımı geliĢtirilir. Bu amaca, süreç tasarımının alternatiflerinin, beyin fırtınası ve yenilik teknikler yoluyla bulunmasıyla ulaĢılır. Bu yeni tasarım, stratejik amaçları karĢılaması ve insan kaynakları ve BS mimarisinin uyumunu sağlar. Yeni sürecin belgelendirmesi ve prototiplenmesi yapılır ve yeni süreci desteklemesi için yeni bilgi sistemlerinin tasarımı tamamlanır.

130

G26 ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı) 2.5.5. Yeniden Yapılandırmak-Bu aĢama, ağırlıklı olarak yeni sürecin sorumluluklarına ve insan kaynaklarının doğru bir geçiĢin

makul güvencesini sağlamak için değiĢiklik yönetim tekniklerine dayalıdır. Bu aĢama boyunca, BT platformu ve sistemleri, uygulanır ve kullanıcılar eğitim ve geçiĢ sürecinden geçerler.

2.5.6. Değerlendirme-BPR yönteminin son aĢaması, hedeflerin baĢarılıp baĢarılmadığını saptamak için yeni süreçlerin izlenmesi gereklidir ve sıklıkla toplam kalite programıyla iliĢkilendirilmesini gerektirir.

2.6. BPR araçları 2.6.1. BPR risklerini azaltmada yardımcı olan uygun BPR araçlarının eriĢilebilirliği, kurumlara baĢlatılan BPR çalıĢmalarında büyük

fayda sağlayabilir. Belli bir yeni veya mevcut iĢ sürecinde, tipik bir BPR aracı modellemeyi, analizi, değerlendirmeyi ve muhtemel davranıĢının canlandırılmasını destekler.

2.6.2. Tanı aĢaması (2.5.3.) performans geliĢtirme fırsatlarının ve engellerinin tanımlanmasında anahtar olarak ele alındığından dolayı BPR araçları bir BPR projesinde önemli rol oynarlar.Bunlar, BS Denetçisi tarafından da incelenmelidir.

2.7. BPR‘de BS‘nin Rolü 2.7.1. BS, araçları getirir ve BPR projelerinde dört belirgin rol oynar. 2.7.2. BS, yeni süreçleri olanaklı kılar. BS, baĢka türlü baĢarılamayacak Ģeyleri yenilikçi iĢ sürecinin planlanmasına yardım eder.

BS, BPR‘nin ana ateĢleyicisi olabilir. BT‘nin kullanımı, modern BT uygulamalarının geliĢiminden önce iĢ sürecinde zaten var olan varsayımları zorlaĢtırır.. BPR‘nin, BS yönetiminde bulunabilmesine rağmen, asıl olarak müĢteri ve kurumların memnuniyeti açısından bir iĢ faaliyetidir.

2.7.3. BT araçları, proje yönetiminin kolaylaĢtırılmasına yardım eder. Proje yönetim araçları, sürecin analiz edilmesine ve yeni sürecin belirlenmesine yardım ederler. Onlar aynı zamanda süreç-çıkıĢlı uygulama yazılım paketlerinin sunulmasını tanımlamak için de kullanılabilirler.

2.7.4. BS, insanların daha yakından birbiriyle çalıĢmasına olanak verir. E-posta, grup yazılımları, iĢ akıĢı yönetimi ve tele konferans gibi özel yazılım sistemleri yaygın BS uygulamalarının öğeleridir.

2.7.5. BS, süreçlerin bütünleĢtirilmesine de yardım eder. ĠĢlerin süreçlerinin gözden geçirilmesi, kurum içinde ve iĢ ortakları arasında iĢ sürecinin bütünleĢtirilmesini de kapsar. ERP sistemleri, BPR uygulama sürecine yoğunlaĢarak tamamen değiĢim mühendisliği sürecini güçlendirmeye ve bütünleĢtirmeye yardım eder..

2.8. BPR Projelerinin Riskleri 2.8.1. Radikal olarak geliĢtirilmiĢ iĢ süreci, müĢteri isteklerini her zamankinden daha iyi karĢılayabilirler ve bir kurumun faaliyet

sonuçlarında önemli geliĢmelere ulaĢabilirler. Bununla birlikte, radikal geliĢmeler risksiz ve yüksek derecede baĢarısızlık oranı olmadan baĢarılamaz. DeğiĢim mühendisliğinin faydalarından birisi, her zaman anında oluĢması gerekli değildir. Bu, BPR projelerinin yaĢam döngüsü boyunca dikkatli bir biçimde izlenmeleri gerektiği anlamına gelir.

2.8.2. DeğiĢim sürecinin her adımında, (tasarım, uygulama ve iĢlemsel) destekleyici, kapsam, kurumsal kültür, liderlik, yetenek, insan kaynakları ve yönetimle ilgili sorunlar çıkabilir. Bu sorunlara örnekler aĢağıda sıralanmıĢtır:

2.8.3. Tasarım riskleri aĢağıdakileri de içerir:

Destekleyici konuları: - CEO destek vermez - Yetersiz üst yönetim katılımı - Yönetimin Ģüpheciliği - Çabaları yönlendiren kiĢilerin yanlıĢ yönlendirmesi - Tasarım takımında yanlıĢ kiĢilerin üye olarak bulunmaları - Önemin yanlıĢ bildirimi

Kapsam Konuları - Stratejik vizyona ilgisizlik - Kapsam çok fazla dar veya çok hırslı - Kutsal inekler korunmaktadır. - Mevcut iĢler korunmuĢ - Analiz felci

Yetenek Konuları - Yeni fikirlerin yetersiz araĢtırılması - Yaratıcı düĢüncenin olmayıĢı - Yeni fikirlere kapalılık - Tasarımda yanlıĢ anlamalar - Kültürel değiĢimlerin kuruma ayarlanmamıĢ oluĢu - Ġnsan kaynakları konularının yetersiz ele alınması - BS biriminin destekleyebileceği kapasiteden uzak olma

Politik Konular - Güç kaybeden yöneticilerin sabotajı - Gizli saldırılar - Kontrolsüz dedikodular - DeğiĢim korkusu - Kültürel direnç

131

G26 ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı) 2.8.4. Uygulama riskleri aĢağıdakileri de içerir:

Liderlik konuları - Üst yönetimin yetersiz dikkat, adanmıĢlık ve nüfuzu - Sahiplik çabaları - CEO/destekleyicinin politik istekleri ikilemi veya bocalaması - CEO/destekleyici arasında değiĢim - Yetersiz kaynaklar - Zorlama vizyonunun iletiĢiminde baĢarısızlık - CEO‘nun yönetimi çabalar etrafında birleĢtirmesinde baĢarısızlık

Teknik Konular - BT‘nin yapabileceği kapasitenin ötesinde olma - GeciktirilmiĢ yazılım uygulaması - Paketli yazılımın kapasitesinin yetersizliği - ĠĢlev ve tasarımla ilgili sorunlar - Önemli konuların baĢtan belirlenmemiĢ olması - KarmaĢıklığın hafife alınması - Beklenmedik kapsam değiĢikliği - Zaman harcayıcı veya maliyetli geliĢim stratejileri

GeçiĢ konuları - Tasarım aĢamasında anahtar personelin kaybedilmesi - Ġvme kaybı - Personelin aĢırı yorgunluğu

Kapsam Konuları - Beklenenden daha yavaĢ sonuçlar - Bütçe aĢımı - Gerçekçi olmayan zaman çerçeveleri - Orijinal kapsamın daraltılması - Ġnsan kaynakları konularının ihmali - Büyük çabaların boyutları

2.8.5. Faaliyet/Önceliklendirme riskleri aĢağıdakileri de içerir:

Kültürel/insan kaynakları konuları - Kültürel direnç artar - YanlıĢ davranıĢların azalmaması - Ġç alımların olmayıĢının beklenen faydaların erozyonuna sebep olması - Yetersiz veya baĢarısız eğitim - Çıktılar genel olarak anlaĢılmıĢ veya söz verildiği gibi değil

Yönetim konuları - Yeni yönetim becerilerinin baĢarısız uygulanması - Devam eden sürekli geliĢim faaliyetleri için Ģart olmayıĢı - Sahiplik/yetki alanı/güç konularının yeterli bir biçimde çözülmemiĢ olması - KarĢılaĢılan sorunların üstesinden gelmek için yetersiz istek - Zayıf iletiĢim - ÇalıĢanlar ve idareciler tarafından aktif veya pasif sabotaj

Teknik Konular - Desteğin geç ve/veya eksik olması - Sistem/yazılım hatalarıyla ilgili iĢletim sorunları - Sistemlerin kullanıcı ihtiyaçlarının/beklentilerinin karĢılayamaması - Yetersiz test - Verilerin bütünlüğü sorunlarının güven konusunu zedelemesi


3.1 BPR Projelerinin DeğiĢikleri 3.1.1 BS Denetim biriminin denetim yönetmeliğinin, kurumun BPR projeleri uygulamak istemesi sonucu değiĢtirilmesi gerektirebilir.

BPR varsayımları, BS Denetçisinin kapsam ve diğer denetim iĢlevleri (örneğin finansal ve faaliyet) ile iliĢkisinin geniĢletilmesini ve yakın bir biçimde bütünleĢtirilmesini gerektirir.

3.1.2 Kurumun üst yetkilisinin ve sistem yönetiminin, BS Denetçisinin rollerini tam olarak anlaması çünkü bu roller BPR projesiyle ilgilidir) ve desteklemesi Ģarttır. G5 Denetim Rehberi- BS Denetim Yönetmeliği incelenmeli ve kurumun BPR uygulamaları bağlamında ve kurumun ilgili faaliyetlerinde göz önünde bulundurulmalıdır.

4 BAĞIMSIZLIK 4.1 BPR Projelerinde BS Denetim Rolleri 4.1.1 BS Denetçisi BPR projesiyle ilgili denetim dıĢı rollerden sorumluysa veya bunları da gerçekleĢtirecekse BS Denetim Rehberi

G17 Denetim dıĢı Rollerin BS Denetçisinin Bağımsızlığı Konusunda Etkileri, bölümünü incelenmeli ve uymalıdır.

132

G26 ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı) 4.1.2 BS Denetçisi bir BPR projesinde denetim dıĢı bir görev alacak ise, BS Denetçisi, ISACA‘nın Bilgi Sistemleri Kontrol

Uzmanları Standartları‘na uymalıdır. 4.1.3 Bunun sebebi, BS Denetçisinin, bağımsızlığına kuvvetle muhtemel gölge düĢmesi olasılığının bulunmasıdır. BS Denetçisi, bir

BPR‘ye dahil olmuĢ ve kendisinin de BPR takımının bir üyesi olduğu sistemlerin, usullerin ve sürecin incelenmesi önerilerini reddetmelidir.

5 YETERLĠLĠK 5.1 Zorunlu ĠĢ Bilgisi ve Teknik Beceri 5.1.1 BS Denetçileri, bir BPR‘de alıĢmıĢ oldukları konular radikal değiĢikliklerden dolayı ortadan kaybolsa ve becerilerini tekrar

gözden geçirmek durumunda olsalar bile, sistemler ve kontrollerle ilgili bilgi ve becerileri sayesinde iĢ sürecinin değiĢim mühendisliğinde kritik roller oynayabilirler.

5.1.2 BS Denetçisi, bir BPR projesinin denetiminde normalde diğer denetçilerin finansal, faaliyet ve düzenlemelerdeki becerilerini tamamlayan denetim takımının bir üyesidir.Yine de BS Denetçisi, bir BPR projesini incelemesi baĢarmak için gerekli bilgi ve beceriye sahip olduğunun makul güvencesini sağlamalıdır.

6 PLANLAMA 6.1 BPR Projesini Ġncelerken BS Denetçisi tarafından Dikkate Alınacak Çerçeve 6.1.1 BaĢlangıç ve teĢhis etme aĢamaları, mevcut süreçler, bilgi ve BT sistemleri kullanımdayken, diğer sistemlerle

karĢılaĢtırılarak analiz edilirler BS Denetçisi, bu sırada inceleme için seçilen her süreçte ilgili performans değiĢkenlerini ölçebilir ve performans boĢluklarını belirleyebilir. BS Denetçisi, bilgi ve BT‘nin kullanımının kurum sürecinde kökten değiĢimler baĢlatmak için bir kaldıraç görevi görebilmesinden dolayı bir BPR sürecinin en baĢından itibaren faydalı katkılarda bulunabilir.

6.1.2 Yeniden tasarım aĢaması, yeni sürecin yeniden tasarlandığı ve mevcut bilgiyi kullanmak için yeni bilgi ve yolların araĢtırıldığı, yeni iĢ sistemlerinin ayrıntılı planlarının belirlendiği, göç stratejisinin geliĢtirildiği ve göç hareket planının oluĢturulduğu aĢamadır. BS Denetçisince, yeni iĢ akıĢının olması gereken modeli, iĢin iĢlevsel alanları arasında yeni bilginin nasıl paylaĢılacağı, BT sistemlerinin dönüĢümü, yeni bilgi ve yeni teknolojilerin nasıl sunulacağı ve BS ve BT sitemlerinin kaç yaĢında kullanımdan çıkarıldıkları, yeni kontrol sisteminin ne kadar güvenilir olacağı gibi bütün benzer konular incelenebilir.

6.1.3 Değerlendirme aĢaması, yeni sürecin ve BS sistemlerinin faaliyet göstermeye baĢladığı aĢamadır. BPR projesinin hedefine ulaĢıp ulaĢmadığını, yeni yapıya geçiĢin etkin ve güvenilir olup olmadığını ve toptan kalite programının etkin olup olmadığını belirlemek BS Denetçisinin özel bir görevidir.

7. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 7.1. Risk Yönetimi Değerlendirmesi 7.1.1 DeğiĢim mühendisliğinin yüksek derecede durumsal ve yaratıcı olmasından dolayı -Bunu yapmanın en doğru biçimi yoktur-

ve literatürde birkaç tane BPR usulü vardır. Bir BPR projesinin denetimi, bir yönteme uyarak olmaz, fakat risk yönetiminin değerlendirilmesi ve alt geliĢmelerin paydaĢlara ve müĢteriler için önemli olan çıktılarda nasıl bulundukları konusu ulaĢılır bir Ģeydir.

8. RAPORLAMA 8.1. Rapor Ġçeriği 8.1.1 BPR incelemelerinde raporlama, sürekli olarak ve risklerin, konuların belirlenmesi anında yapılmalıdır. Bu raporlar, yönetimin

ilgili kademesine gerekli eylemin yapılması için verilmelidir. Ġnceleme sırasında ortaya çıkan bütün konuların listelendiği bir nihai rapor da hazırlanabilir.

8.1.2 Ġncelemenin çeĢidine göre, rapor aĢağıdaki konular ve benzerlerini içerebilir:

BPR yaklaĢım modelinin ve yönteminin uygunluğu

Riskler ve konular, sebepleri ve etkileri

Muhtemel risk azaltma faaliyetleri

Maliyet/fayda karĢılaĢtırması ve kurumun ortamına olan etkisi 9. YÜRÜRLÜK TARĠHĠ 9.1 Bu yönetmelik bütün BS Denetimlerinde 1 Temmuz 2004‘ten itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA‘nın



133

G26 ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı)

EK Kaynakça Literatürü Carter, M.; R. Handfield; Dözgü Zamanı Azaltma Kaynaklarının Tanımlanması, Zaman Bazlı Rekabet Ġçin tekrar Mühendislik,

(Identifying Sources of Cycle-time Reduction, Reengineering for Time-based Competition), Quorum Books, 1994

Hammer, M.; J. Champy; ġirketin DeğiĢim Mühendisliğe Tabi Tutulması: ĠĢ Devrimi Manifestosu, (Reengineering the Corporation: A Manifesto for Business Revolution), Harper-Collins, USA, 1993

Harrington, H.J.; ĠĢ Proses GeliĢimi (Business Process Improvement), McGraw-Hill, USA, 1991 BPR Araçları ve Teknikleri DeğiĢim mühendisliğinde yararlı olduğu düĢünülen halen kullanılan diğer araç ve teknikler mevcut iken, süreç bilgisini oluĢturmak ve toplamak için çok sayıda araç ve teknik özel olarak geliĢtirilmiĢtir Aynı sürece farklı bakıĢlar farklı Ģekillerde anlamaya yardımcı olabilir, ancak genellikle gerekli yenilikçi düĢünceyi desteklemektedir. Araç ve teknikler, geniĢ ölçüde aĢağıdaki sınıflara ayırılabilirler.

Hafif Sistemler Yöntemler-Bunlar, düĢünce sürecini biçimlendiren sayısal / beyin fırtınası teknikleridir ve sıklıkla aĢağıdaki durumlarda kullanılırlar: - Süreç ve sistem hedeflerini belirlenmesi - Sorun analizi-örneğin süreç baĢarısızlıklarının sebeplerinin belirlenmesinde-(sebep-sonuç çizelgesi gibi) - Risk analizi

Sunum Araçları-Bunlar, Ģimdiki veya gelecekteki sürecin anlaĢılması için sürecin sunulması teknikleri içerir. Örneğin: - Süreçteki bireylerin/takımların/birimlerin bağımlılıklarını incelemek için rol faaliyet çizelgeleri - Faaliyet bağımlıklarını görmek için süreç akıĢ çizelgeleri - ĠĢlevsel ayrıĢma modelleri; bilgi bağımlılığını incelemek için faydalıdır - Zaman temelli süreç haritası; Süreç zamanının ayrıĢımını ve değer eklenmiĢ ve değer eklenmemiĢ bileĢenleri sürecin değiĢik

aĢamalarında sunmak için.

Analiz Araçları-Bunlar süreç davranıĢını zaman içerisinde analiz etmek için kullanılabilen araçlardır. DeğiĢik modelleme kapasitesine sahip çeĢitli araçlar vardır -PERT/CPM, Petri Nets ve Farklı Olay Simülasyonu gibi.

BS Denetçisi, süreci olduğu-gibi modellemesinde aĢırı vurgulama riskinin farkında olmalıdır. Bu risk, asıl kararın yerine geçebilir.

COBIT Referansı Özel denetim kapsamına uygulanacak en uygun COBIT materyalinin seçilmesi, belli COBIT sürecinin seçilmesine ve COBIT bilgi kıstaslarının göz önünde bulundurulmasına bağlıdır. AĢağıdaki birincil COBIT sürecine usul bağlantıları:

M1-Süreçlerin izlenmesi

M2-Ġç kontrol yeterliğinin değerlendirme

DS1-Hizmet seviyelerini belirleme ve yönetimi

DS10-Sorunları ve vakaları yönetimi


PO1-Stratejik bir BT planı belirleme

PO9-Risklerin analizi

PO10-Projeleri yönetimi AĢağıdaki COBIT sürecine usul bağlantıları:

PO4 BT sürecini, kurumu ve iliĢkileri tanımlama

PO5-BT Yatırım yönetimi

PO6 Yönetim amaçlarını ve yönlendirmeyi bildirme

PO7-Ġnsan kaynakları yönetimi

PO11-Kalite yönetimi


DS13-Faaliyet yönetimi Bir BPR denetimiyle en ilgili olan bilgi kıstasları Ģunlardır:

Verimlilik

Etkinlik

Uyum

Bilginin güvenilirliği

134

G27 Kablosuz EriĢim Araçları 1. ARKA PLAN 1.1. Standartlarla Bağlantı 1.1.1. S1 Denetim Yönetmeliği Standardı, ―Bilgi Sistemleri denetim iĢlevinin amacı, sorumluluğu ve yetkisi, bir denetim

yönetmeliğinde veya bir hizmet sözleĢmesinde uygun bir biçimde belgelendirilmelidir‖. ġeklinde ifade eder. 1.1.2. S4 Mesleki Yeterlilik Standardı , ―BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki

açıdan yeterli olmalıdır‖. Ģeklinde ifade eder. 1.1.3. S5 Planlama, Standardı, ―BS Denetçisi bilgi denetiminin kapsamını, denetim amaçlarını karĢılayacak ve ilgili yasa ve

mesleki denetim standartlarıyla uyumlu olacak biçimde planlamak durumundadır.‖Ģeklide ifade eder. 1.1.4. S6 Denetim ĠĢinin Yürütülmesi Standardı, ―BS Denetim personeli denetim amaçlarına ulaĢılması ve ilgili mesleki denetim

standartlarının uygulanması konusunda kontrol edilmelidir.‖ Ģeklinde ifade eder. 1.1.5. P8 Güvenlik Değerlendirmesi Usulü, Saldırı testi ve Duyarlılık Analizi Testleri uygulamaları için ayrıntılı adımları içerir. 1.2. COBIT Bağlantısı 1.2.1. COBIT çerçevesi, ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek

ve beklentileri karĢılamak için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖. Ģeklinde ifade eder. 1.2.2. COBIT Yönetim Rehberleri, özellikle aĢağıdakilere odaklanan sürekli ve ileri dönük kontrol öz değerlendirmesi için yönetim




Farkındalık-Hedeflere ulaĢmama riskleri nelerdir?

Kıyaslama-KarĢılaĢtırma-Diğerleri ne yapıyor? Sonuçlar nasıl ölçülebilir ve karĢılaĢtırılabilir? 1.2.3. Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar

performans göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin, süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite değerlendirmesi ve karĢılaĢma sağlar.



1.2.6. Bu Rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ek kısmında yer alan COBIT kaynakları göz önünde bulundurulmalıdır.

1.2 Rehber Gereksinimi 1.3.1 Mobil ve kablosuz programlama, dünya çapında iĢlemlerde büyük ilgi uyandırmaya baĢlayan bir olgudur. Mobil ve kablosuz

programlama, kablosuz iletiĢim teknolojilerinin ağ-temelli uygulamalara ve bilgilere hareketli aletlerden eriĢim için kullanılmasını anlatır. Bu teknolojinin artan kullanımı ve internet tarama özelliği olan yeni taĢınabilir araçların türemesi kurumun fiziksel ufuklarını geniĢletmekte ve BS Denetçisinin ilgili riskleri tanımlaması için bu teknolojiyi anlamasını gerektirmektedir.

1.3.2 Bu rehber, bağımsız bir denetim gözden geçirmesi veya denetim görevinin bir parçası olarak kablosuz EriĢim Araçları güvenliğini gözden geçirirken, S1, S4 ve S5 BS Denetim standartlarının uygulanmasında yol göstericilik yapmayı amaçlamaktadır. BS Denetçisi, bu rehberi yukarıdaki standartlara nasıl ulaĢılacağını belirlemede göz önünde bulundurmalı, uygulanması sırasında mesleki yargılarını kullanmalı ve herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.

2. TANIMLAR 2.1. Kablosuz Programlama Kablosuz programlama terimi, programlamayı yapan araçların, kablosuz olarak (kablosuz) yerel ağ alanı(LAN) Ģeklinde

iletiĢim için programlama araçlarının kabiliyetini, IEEE802.11X çevresinde bu teknolojilerin ve diğer kablosuz standartların ve mobil araçlar tarafından kullanılan radyo bansı hizmetlerinin birleĢtirilmesini gerektiğini gösterir.

2.2. Kablosuz EriĢim Araçları 2.2.1. Kablosuz EriĢim Araçları terimi, diğer araçlarla kurum ağına eriĢimin asla yapılamadığı yer ve durumlarda kurumsal ağa eriĢimi geniĢleten, yeni uygulama türleri sağlayan araçlar için bir kavram olarak yaygınlaĢmaktadır. PDA, cep telefonları, dizüstü bilgisayarlar ve diğer mobil araçlar ile mobil eriĢim sağlayan teknolojilerinden oluĢur.

135

G27 Kablosuz EriĢim Araçları (Devamı) 2.3. Kullanımı 2.3.1. Programlama ve depolama yapabilen araçlar olarak mobil aletler, verileri çeĢitli yollarla depolayıp, iĢleyip eriĢim sağlayabilirler. Verileri bağımsız bir biçimde iĢleyen ve düzenli olarak merkezi bir sisteme veya ağa bağlanıp diğer

sistemlerle veri veya uygulama alıĢ-veriĢi yapabilen yarı bağımsız araçlar olarak veya bir diğer sistemde depolanan verilere gerçek zamanlı olarak eriĢip verileri güncelleyebilen aletler olarak kullanılabilirler (Bunlar, hiyerarĢik olarak eĢdüzey olarak çalıĢabilirler).

2.4. YaklaĢım 2.4.1. Mobil araçlar olarak belirtilen araçlar, aslında, donanım, iĢletim sistemi, uygulamalar ve iletiĢim/bağlantı noktaları gibi

yaygın bileĢenler tarafından biçimlendirilmiĢ bilgisayarlardır. Bu belge, kablosuz eriĢim araçları gibi araçların amaçları için kullanımının denetimi/gözden geçirilmesiyle ilgili özellikli konuları kapsar. Donanımlarla ilgili riskler bu belgede kapsama alınmamıĢtır. (Kapsama alınmayan alanlara örnek olarak güvenlik duvarı yapılandırması, virüsler ve program bakımı gösterilebilir).

3. Ġġ ANLAġMASI 3.1 Kapsam 3.1.1 BS Denetçisi, iĢ sözleĢmesinde genellikle yazılı Ģekilde yer alan kablosuz eriĢim araçlarıyla ilgili gerçekleĢtirilecek denetimin

amaç ve kapsamı hakkında açık bir bildirime sahip olmalıdır. 4. PLANLAMA 4.1 Bilgi Toplama 4.1.1 BS Denetçisi, mobil araçların kabul edilebilir kullanımını belirleyen güvenlik politikasını elde etmelidir. 4.1.2 BS Denetçisi, mobil aletlerin amaçlanan kullanımıyla ilgili bilgi elde etmelidir ve nerede ticari iĢlemler için ve veri süreç için

veya kiĢisel verimlilik amaçları için kullanılacağını tanımlaması gerekmektedir (internette sörf, posta, takvim, adres kitabı, yapılacaklar listesi, vb gibi). Ayrıca, kullanılan yazılım ve donanım teknolojilerini de tanımlaması Ģarttır. Otomatik ve Manuel temel süreçler, belgelenmelidir.

4.1.3 BS Denetçisi, risk analizi ve risklerin gerçekleĢme olasılığı ve etkileriyle ilgili yeterli bilgi elde etmelidir. 4.1.4 BS Denetçisi kablosuz EriĢim Araçlarının yönetimiyle ilgili politikalar ve usuller, stratejik konumlandırma, iĢlemlerin bakımı

(iletiĢim, donanım, uygulama yazlımı, veri güvenliği, sistem yazılımı ve güvenlik yazılımı) ile ilgili yeterli bilgi elde etmelidir. Örnek alanlar içerisine giren alanlar, araç konfigürasyonu, fiziksel kontrol, onaylanmıĢ yazılım ve araçlar, uygulama güvenliği, ağ güvenliği, acil durum planları, yedekleme ve kurtarma sayılabilir.

4.1.5 KiĢisel görüĢmeler, belge analizi (iĢ sözleĢme ve protokol belgeleri gibi) ve kablosuz altyapı testi verilerin toplanması, analizi ve yorumlanması sırasında uygun biçimlerde kullanılmalıdır.

4.1.6 BS Denetçisi, BS veya iĢ iĢlevini dıĢarıdan sağlamak amacıyla üçüncü taraf kullanılmıĢsa anlaĢma Ģartlarını,, sağlanan hizmetler ile ilgili üçüncü tarafın ortamını düzenli olarak gözden geçirmeye kurumun hakkı olduğunu ve zorlayıcı güvenlik önlemlerinin uygunluğunun değerlendirilmesini gözden geçirmelidir.

4.1.7 BS Denetçisi, önceki inceleme raporlarını da incelemeli ve sonuçlarını planlama sürecinde göz önünde bulundurmalıdır. 4.2 Risk Analizi 4.2.1 BS Denetçisi, mobil araçların kullanımıyla ilgili riskleri göz önünde bulundurmak ve iĢ, hukuk ve düzenleyici kurallar

açısından depoladıkları bilgilerin kritik oluĢlarına, iĢlemlere ve eriĢimlerine göre sınıflandırmak durumundadır. 4.2.2 Mobil aletlerin taĢınabilir olmaları, kapasitesi, bir ağa bağlanabilmeleri ve satın alınabilirlikleri, aĢağıdaki gibi risklerin

artmasına sebep olur:

Hasar, kaybolma veya hırsızlık (taĢınabilir olmaları yüzünden)

Mobil aygıttan, ağa virüsler, solucanlar ve benzerleri aktarılmasıyla ağa varlıklarına zarar verilmesi

Kurumsal araçlar ve ağlardan indirilen verilere yetkisiz eriĢim(Bağlantıyla ilgili)

Kurumsal araçlara ve ağlara ve veri yükleyerek yetkisiz değiĢiklikler ve eklemeler

Aygıtta kalan verilere/uygulamalara yetkisiz eriĢim (Genellikle çok basit temel güvenlik iĢlevleri kapsayan iĢletim sistemlerinin basitliği ile ilgili )

4.2.3 Risk analizini gerçekleĢtirirken göz önünde bulundurulacak konular:

KiĢisel bilgilerin gizliliği-Hassas bilgiler (kredi kartı numaraları, mali ayrıntılar ve hasta kayıtları gibi) aktarılırken önem verilmesi gereken unsurlardır. KiĢisel bilginin gizliliği protokolleri ve ilgili usulleri, çok önemlidir çünkü kablosuz veri aktarımı bilgisayar korsanlarından diğer yollarla (fiziksel giriĢ kontrolü gibi) korunamaz.

Kimlik denetimi-TanınmıĢ bir sertifikasyon otoritesi(CA) tarafından doğrulanabilen bir sertifika veya jeton kullanımı ile sağlanabilir.

Ġki Faktörlü Kimlik doğrulaması-Güvenli bir aktarım sırasında son kullanıcının kimliğini ve aletin kendisini onaylamak için kullanılır. Ġki etmen onaylaması, kayıp veya çalıntı aletlerin ağa giriĢini reddetmek için kullanılır.

Veri bütünlüğü-Aktarım sırasında veya aygıtın içindeyken bir iletinin içeriğinin değiĢikliğe uğratılıp uğratılmadığını belirlemek için kullanılır.

136

G27 Kablosuz EriĢim Araçları (DEVAMI)

Ġnkar Edilemezlik-Kullanıcıların bir iĢlemi yaptıklarını yalanlamalarını engellemek için bir sistemdir. Ġnkar edilemezlik, baĢarılı bir kullanıcı kimlik doğrulaması gerektirir ve kullanıcıdan çıkan iĢlemlerin güvenilir ve yasal zorlayıcı bir kaydını oluĢturur.

Gizlilik ve Kriptolama-Verilerin algoritmalar kullanılarak kriptomalanmasını kapsar. Amaç yetkisiz kiĢilerin veya araçların anlaĢılmasını ve okumasını önlemektir (BS Denetim Usulü P9 KriptolanmıĢ Yöntemler Üzerindeki Yönetim Kontrollerinin Değerlendirilmesi‘ne bakınız). Kriptolama teknolojileri, verilerin iletilmeleri sırasında kodlanması ve kodlarının çözülmesine dayanır. Anahtar dağıtımı ve korunması usulleri ayrıca göz önünde bulundurulmalıdır.

Ekipman ve iletiĢimin yetkisiz kullanılması -Ġnternete üçüncü taraf ağına yetkisiz giriĢ riski dahil- (tarafın potansiyel sorumluluğa maruz bırakarak).

4.2.4 BS Denetçisi, belirtilen risklerin muhtemel etkileri açısından olasılıklarını değerlendirmelidir ve bu riskleri azaltmak için kontroller dahil bütün belgeleri hazırlamalıdır. BS Denetçisi, gözden geçirmenin kapsamına bağlı olarak en muhtemel tehdit kaynaklarını belirtmelidir -Ġç ve dıĢ- bilgisayar korsanları, rakipler ve yabancı devletler gibi.

4.3 BS Denetim Amaçları 4.3.1 BS Denetçisi, denetimin amaç ve kapsamına uygun olarak aĢağıdaki gibi güvenlik alanlarını dahil etmelidir:

ĠletiĢimler (ĠletiĢim dinlenmesi, hizmet dıĢı bırakma,, Ģifreleme teknolojileri gibi protokoller ve hata toleransı gibi risklerin kapsanması)

Ağ Mimarisi

Sanal özel ağlar

Uygulama sunumu

Güvenlik farkındalığı

Kullanıcı yönetimi

Kullanıcı ve oturum yönetimi (soygun, sahtecilik, veri bütünlüğünün kaybı risklerinin kapsanması)

Fiziksel güvenlik

Kamusal Anahtarlama Altyapısı [PKI Uygulaması]

Yedekleme ve kurtarma usulleri

Faaliyetler (Olay müdahale ve ofis arkası iĢleyiĢ gibi)

Teknoloji Mimarisi(Yapılabilirlik, iĢ gereksinimlerini karĢılamak üzere geniĢletilebilir, vb.)

Güvenlik Mimarisi

Güvenlik yazılımı (IDS, güvenlik duvarı ve virüs korunma gibi)

Güvenlik yönetimi

Yamaların yüklenmesi

ĠĢ acil durum planlaması 4.4 ĠĢ Planı 4.4.1 BS Denetçisi, görevin kapsam ve amaçlarıyla ilgili bilgilere dayalı olarak iĢin, güvenliğin ve BS amaçlarının belirtilen

risklerden nasıl etkilendiklerini ve bu riskleri azaltmak için yapılması gerekenleri belgelemelidir. 4.4.2 BS Denetçisi, bu süreçte, güçlendirilmesi gereken zafiyet ve hassasiyet alanlarını belirlemelidir. Test amaçları için riskleri

azaltma amaçlı yeni kontroller, çalıĢma planına dahil edilmelidir. 5 DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 5.1 GerçekleĢtirilme 5.1.1 BS Denetçisi, kontrollerin olması durumunda gerçek hassasiyetleri belirlemek ve denetim amaçlarına etkilerinin olmadığını

test amacıyla, planlanan usulleri geniĢletmeyi düĢünmelidir (örneğin bir Saldırı testi gibi). 5.2 Raporlama 5.2.1 BS Denetçisi, denetim iĢinin bitiminde planlanan hizmet kullanıcısına verilmek üzere bir rapor hazırlamalıdır. 5.2.2 BS Denetçisi, rapor yayınlanmadan önce paydaĢlarla raporu tartıĢmayı düĢünmelidir. 5.2.3 Rapor, BS Denetçisi ve yönetimin kabul ettiği dağıtım kısıtlamalarını belirtmelidir. BS Denetçisi, üçüncü taraflara karĢı bir

sorumluluğunun olmadığını belirten bir ifade hazırlamayı da düĢünmelidir.

137

G27 Kablosuz EriĢim Araçları (DEVAMI) 6 YÜRÜRLÜK TARĠHĠ 6.1 Bu yönetmelik bütün BS Denetimlerinde 1 Eylül 2004 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA‘nın


G27 Kablosuz EriĢim Araçları Eki COBIT Referansı Özel denetim kapsamına uygulanacak en uygun COBIT materyalinin seçilmesi, belli COBIT sürecinin seçilmesine ve COBIT bilgi kıstaslarının göz önünde bulundurulmasına bağlıdır. Birincil

PO9-Riskleri Değerlendirme

AI3-Teknoloji Mimarisini Edinme ve Sürdürme

AI4-BT Usullerini geliĢtirme ve sürdürme

AI5-Sistem Kurma ve Akredite etme

AI6-DeğiĢiklik Yönetimi

DS5-Sistemlerin Güvenliğini Sağlama

DS9-Konfigürasyon Yönetimi

M2-Ġç kontrol Yeterliğini Değerlendirme Ġkincil AI2-Uygulama Yazılımını Edinme ve Sürdürme DS8-BT MüĢterilerine Yardım Etme ve Öneriler Verme COBIT bilgi kıstasları, Gizlilik, Bütünlük, EriĢebilirlik, Verimlilik ve Güvenilirliktir.


138

G28 Adli BiliĢim 1. ARKA PLAN 1.1. ISACA Standartlarıyla Bağlantı 1.1.1. S3 Mesleki Etik ve Standartları:―BS Denetçisi, denetim yaparken ISACA Meslek Etik Kurallarına bağlı kalmalıdır.‖

Ģeklinde ifade eder. 1.1.2. S3 Mesleki Etik ve Standardı:―BS Denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını

gözeterek gereken mesleki özeni göstermelidir.‖ ġeklinde ifade eder. 1.1.3. S4 Mesleki Yeterlilik Standardı: ―BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki açıdan yeterli olmalıdır.‖ ġeklinde ifade eder. 1.1.4. S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder. 1.2.7. S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak

için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.

1.3. COBIT Bağlantısı 1.3.5. COBIT Çerçevesi ―Kurumun, bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek ve

beklentileri karĢılamak için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖. Ģeklinde ifade eder. 1.3.6. COBIT Yönetim Rehberleri, özellikle aĢağıdakilere odaklanan sürekli ve ileri dönük kontrol öz değerlendirmesi için yönetim



BT kontrol profili-Hangi BT süreçleri önemlidir? Kontrol için kritik baĢarı etmenleri nelerdir?

Farkındalık-Hedeflere ulaĢmamanın riskleri nelerdir?

Kıyaslama-KarĢılaĢtırma-Diğerleri ne yapıyor? Sonuçlar nasıl ölçülür ve karĢılaĢtırılabilir? 1.3.7. Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar performans

göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin, süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite değerlendirmesi ve karĢılaĢma sağlar.



1.3.10. Bu rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ek kısmında yer alan COBIT kaynakları göz önünde bulundurulmalıdır.

1.3. Rehber Gereksinimi 1.3.1. BS Denetçisi, sıklıkla telekomünikasyon sistemleri kullanılırken yapılan dolandırıcılık, aykırılık ve kurumun

bilgisayarla ilgili yasa ve düzenlemelere uyumu ile ilgili öneriler istenir (biliĢim suçları). Adli biliĢimin temel anlayıĢı bu tür düzensizlikleri tespit etmek ve önlemek için kuruma yardımcı olmak amaçlanmıĢtır. Bu belge, BS Denetçisine bu amacın baĢarılmasında yardımcı olmak .

1.3.2. Adli biliĢimin en önemli amacı, belli bir durumun arkasında yatan gerçeği, bir saldırganı belirlemek amacıyla verilerin derhal ele geçirilmesi ve yasal zorlamaya yardımcı olacak kriminal iĢleyiĢ için delilleri oluĢturmaktır..Bunun , saldırganlar ve saldırıları hakkında anlayıĢ kazanılması ve gelecek saldırılardan bilgi varlıklarının korunmasın da ayrıca kuruma yardımcı olur.

Ana özellikler Ģunlardır:

Anında yanıtlamak, aksi durumda kanıtların kaybolacağı veya zarar göreceğine vurgulamak

Vakaya en yakın noktada verilerin mümkün ise ele geçirilmesi ve korunması

Muhtemel yargılamalar için kanıtların korunması

ĠĢ faaliyetlerinde kesinti olmaksızın saldırgan verilerin ele geçirilmesi sürecini en aza indirmek.

Bir saldırganı belirlemek ve delilleri oluĢturmak 1.3.3. Bilgisayar soruĢturmasının yürütülmesi esnasında, gizliliğin korunması, toplanan verilerin ve bilginin

bütünlüğün sağlanması ve uygun yetkililere açıklanması önemlidir. BS Denetçisi, bu tür durumlarda önemli roller üstlenecektir ve kuruma hukuki konularda önerileriyle ve BS ortamının hangi teknik yönlerinin araĢtırma gerektirdiği konusundaki fikirleriyle faydalı olacaktır. BS Denetçisine Ģüphelenilen bir durumla veya aykırılıkla ilgili verilerin verilerek daha ayrıntılı bilgi toplanması için veri analizi kullanması istenebilir.

1.3.4. Adli biliĢim, sahtekârlık, casusluk, cinayet, Ģantaj, bilgisayar suiistimalleri, teknoloji suiistimalleri, iftiralar, kötü amaçlı postalar, bilgi sızdırılması, fikri varlıkların çalınması, pornografi, istenmeyen e-posta gönderimi, bilgisayar korsanlığı ve mali kaynakların yasadıĢı aktarımı gibi konularda bunlarla sınırlı kalmaksızın sayısız alanda uygulanmaktadır. Adli biliĢim, siber uzaydaki olayların ayrıntılı analizini ve kanıtlar toplanmasını kapsar. Bu rehber, BS Denetçisine, bu konuları göz önünde bulundursunlar diye kısaca bilgisayar hukuku öğelerini tanımlar. BS Denetçisi, kurum içi soruĢturmalarda bilgisayar hukuku gereğini belirtmelidir. Adli biliĢim, hukuki araĢtırmaların büyük bir yüzdesini oluĢturur. (karĢı dıĢ saldırılar):

Ġhbarcı Ģikâyetleri

HR araĢtırmaları

Dolandırıcılık araĢtırmaları

Yasal uyumluluk soruĢturmaları-ÇeĢitli hukuk kurallarına ve endüstri yönetmeliklerine uyumu zorlar (örneğin Sarbanes-Oxley, NIST, FISMA gibi)

139

G28 Adli BiliĢim (Devamı) 1.3.5. Bu rehber, BS Denetim standartlarından S3 Mesleki Etik ve Standartlar; S4 Mesleki Yeterlilik; S5 Planlama; S6

Denetim ĠĢinin Yürütülmesine iliĢkin yol göstericilik sağlar. BS Denetçisi, bunu yukarıdaki standartların uygulanmasını baĢarmayı, uygulamalarda mesleki yargısını kullanmayı ve herhangi bir sapmayı gerekçelendirmeye hazır olmayı göz önünde bulundurmalıdır.

1.4. Rehberin Uygulaması 1.4.1. BS Denetçisi, bu Rehberi uygularken diğer ISACA Rehberleriyle iliĢkisini göz önünde bulundurmak durumundadır. 1.4.2. BS Denetçisi, bir adli biliĢim görevinde mümkün ise yasal soruĢturma rehberlerini de danıĢarak ve uygulayarak göz önüne

almalıdır. 2. TANIMLAR 2.1. Adli BiliĢim 2.1.1. Adli biliĢim, mahkemece geçerli sayılan araç ve teknolojiler ile bilgisayar kayıt araçlarından bilginin çıkarılması ve adli biliĢim ve delil olarak aynı Ģekilde raporlama amacıyla doğrulunun ve güvenilirliğinin oluĢturulması için en iyi uygulamalarının ortaya konulması Ģeklinde tanımlanabilir.. 2.1.2. Adli biliĢim gerçek zorluğu, verinin bulunması, bunun toplanması, saklanması mahkemede okunabilecek ve kabul

edilebilecek Ģekilde sunmaktır. 2.1.3. Adli biliĢim birincil olarak, aĢağıdaki gibi bazı iddiaları kanıtlamak amacıyla bilimsel olarak kanıtlanmıĢ yöntemlerin

kullanımı yoluyla dijital kanıtların toplanması, iĢlenmesi, yorumlanması ve kullanılmasını kapsar: Örneğin,

TamamlanmıĢ bir saldırının doğrulanması için kurumun ve kritik bilgi altyapısı yeniden yapılandırmasının bütün faaliyetlerin kesin bir Ģekilde soruĢturulmasını sağlamak.

YanlıĢ hareketleri ve bunların planlanmıĢ faaliyetler üzerindeki etkisini iliĢkilendirmek, yorumlamak, tahmin etmek

Kriminal soruĢturma sürecinde sunmak üzere dijital verilerin uygun ve ikna edici hale getirilmesi 2.1.4. Adli biliĢim, bir suiistimalin veya bir tecavüzün olup olmadığını veya nasıl olduğunu belirlemek amacıyla yapılan

verileri toplama sanatı veya bir bilim dalı olarak da bilinir. Ġyi güvenlik uygulamaları kullanan ve kayıtları tutan kurumlar, bu hedeflerine kolaylıkla ulaĢabilirler. Ayrıca, doğru bilgi ve araçlar kullanılarak yakılmıĢ, suya batmıĢ veya fiziksel olarak zarar gözmüĢ bilgisayar sistemlerinden bile adli biliĢim kanıtları elde edilebilir.

3. DENETĠM YÖNETMELĠĞĠ 3.1. Görev Zorunlulukları 3.1.1. BS Denetçisi, adli biliĢim ile ilgili göreve baĢlamadan önce görevi yürütebilmek için uygun yetkili birinden açık ve yazılı

olması zorunlu bir görevlendirme istemelidir. 3.1.2. Bu görevlendirme, BS Denetçisinin görevi yaparken bağımsızlığını sağlayacak maddeleri ve sorumluluklarını, yetki ve

sınırlamalarını belirtmelidir. Bu görevlendirme, ayrıca BS Denetçisinin sistemlere ve ilgili verilere yasal eriĢim hakkıyla faaliyet gösterdiği açıkça belirtmelidir.

3.1.3. Bu görevlendirme, ayrıca görevi yerine getirmek amacıyla dıĢ uzmandan BS Denetçisi yararlandığı durumda sorumluluklar ve kapsamın özel olarak ayrıca belirtmelidir.

4. BAĞIMSIZLIK 4.1. Bağımsızlık Varsayımları 4.1.1. BS Denetçisi, adli biliĢimle ilgili görevine baĢlamadan önce muhtemel ilgi alanlarda çıkar çatıĢmasın bulunmadığı konusunda

makul güvence sağlamalıdır. 4.1.2. BS Denetçisi, hükümet, yetkili bir organ veya yasal olarak yetkili bir kurum tarafından bir bilgisayar adli biliĢim görevi

baĢlatıldığında görevi yerine getirmek için bağımsızlığını ve yetkisini açıkça belirtmelidir, elde ettiği verilerle ilgili gizliliği korumalıdır, yansız olmalıdır ve ilgili yetkililere rapor vermelidir.

5. DENETĠM VARSAYIMLARI 5.1. Elektronik Aktarımın Adli Geçerliliği 5.1.1. Geçerli olarak görülmesi için hizmet veya mal satıĢı için bir sözleĢme imzalanmalıdır. Elektronik sözleĢmelerde,, bu dijital

imzalarla elde edilebilir. 5.1.2. Dijital imza, aĢağıdaki maddelerdeki adli amaçları yerine getirebilir:

Doğrulama-Veri kaynağı kanıtı vardır.

Bütünlük-Onaylama iĢlemi sadece ileti hiç değiĢtirilmediyse baĢarılı olabilir.

140

G28 Adli BiliĢim (Devamı)

Ġnkâr Edilemezlik :-Her Ģifre anahtar kullanıcısının kendi anahtarını korumak içim yasal sorumluluğu vardır. Bu yüzden tek taraflı olarak imzalanmıĢ belgenin içeriğini değiĢtiremez. Özel anahtarı korumak için kullanılan geçerli bir sistem büyük olasılıkla bunu akıllı kart gibi güvenli bir araçta depolayabilir. Bir insanın kendi dijital imzasını yalanlaması olanaklı değildir. Bu olanaklı görülse dahi değer taĢımaz. Diğer tarafın yapması gereken tek Ģey sözleĢme imzalandığı sırada imzanın geçerli olduğunu göstermektir. Bu demektir ki kullanıcı özel anahtarının çalındığını veya yetkisiz kullanıma maruz kaldığını kanıtlamak zorunda kalacaktır. Bir noter tarafından onaylanan dijital imza inkâr edilemez.

Gizlilik-ĠmzalanmıĢ bir belgeye gizlilik eklemek için sadece alıcının açık anahtarını kullanarak Ģifrelemek gereklidir. 5.2. Tarafların Tanımlanması ve ĠĢlemin Ġçeriği 5.2.1. Sadece yasal olarak reĢit kiĢiler (normalde 18 veya daha yaĢlılar) bir sözleĢme imzalama hakkına sahiptir. 5.2.2. Tacirler, diğer tarafın yasal bir iĢlem yapmaya yetkisi olduğunu kendilerine kanıtlamak için her türlü aracı kullanabilirler. Her

türlü kanıtı isteyebilirler ve satın alanın verilerini kendi arĢivlerinde depolayabilirler. Suiistimal veya hata durumunda, satıcı sözleĢmenin uygun bir biçimde uygulanmasından sorumludur. Dijital imza kullanımı sırasında sorumluluk dijital imzayı veren yetkilide kalır. Bu yetkili, sertifikasyon yetkilisi olarak adlandırılır (CA). Eğer itiraz edilirse, dijital sertifika sahibi kiĢisel anahtarın çalınmıĢ veya suiistimale uğradığını göstermek zorundadır.

5.2.3. Aynı varsayımlar iĢlemlerin (bütünlüğün) içeriği için de geçerlidir. Bütünlük, dijital imza sistemi kullanılırken korunmuĢtur. Aksi durumda tacir yanlıĢ, eksik, anlamı karıĢık ve hatalı verilerden sorumludur.

5.2.4. Tacir, her zaman kredi kartı yolsuzluğu ve gizlilik ihlallerinden sorumludur. 5.3. SözleĢmenin Sona Erdirildiği Yer 5.3.1. Elektronik ticareti ilgilendiren en büyük sorun sözleĢmenin nerede sona erdirildiğini belirlemektir. Bu durum hukuku, yasaları

ve yönetmelikleri ilgilendirir. 5.3.2. SözleĢmeyle ilgili belli bir yasanın olmadığı durumlarda tek seçenek uluslararası hukuktur. Günümüz teknolojisi herkesin

sanal olarak dünyanın her yerinden kendi hizmet sağlayıcısına bağlanmasına olanak verir. Bu durum sözleĢmenin tam yerinin belirlenmesinin olanaksızlaĢmasıyla sonuçlanır.

5.3.3. Çözüm, uluslararası yasaların doğru uygulanması ve uluslararası anlaĢmaların tali olarak uygulanmasında yatmaktadır. 5.3.4. En çok kabul gören yaklaĢım Ģunları belirtmektedir:

Eğer taraflar belli bir hukuk sistemi seçmiĢlerse, bu, uygulanabilir tek hukuktur

Eğer taraflar herhangi bir hukuk sistemi seçmemiĢlerse, sözleĢmeye en yakın iliĢkisi olan (hizmet sağlayıcının ikametgâhı) veya ürün satıĢı olan durumlarda, tüketicinin ülkesindeki yasalar geçerlidir.

5.3.5. Herhangi bir durumda, sözleĢmenin yerini saptamak zorlaĢtığından dolayı her türlü Ģekilde basiretli davranmak zorunludur.

5.4. Kategori Ayırımı 5.4.1. Sonucun biçimden bağımsız olarak, biliĢimin gerçek özellikleri, elde edinenin bir tüketici olarak nitelikli duruma getirilmesidir

(hukuk her ülkede tüketiciyi korur). Dolayısıyla iĢten-iĢe ve Ģirketten-müĢteriye e-ticaret arasında fark vardır. 5.5. Dolandırıcılıkların Önlenmesi 5.5.1. Ekonomik sistem bir yandan tekliflerin/kabullerin tanımlamasına, diğer yandan da fon aktarımlarına, satın alma (hizmet veya

ürün almak istediğini gösterir) ve satma (ödeme almak istediğini gösterir) iĢlemleri sırasında, güvenli bir biçimde gerçekleĢtirmeye dayanır. Dijital imza sistemi, bugün sadece yasal çevrimiçi ödeme olarak ortaya çıkmaktadır.

5.6. Kredi Kartlarının Ġnternet Üzerinden Kullanımı 5.6.1 Günümüzde, internet üzerinden en çok kullanılan ödeme biçiminde kredi kartı kullanılır. Ancak, kredi kartı kullanımının

suiistimali için birçok olanak vardır (bu verilerin çevrimiçi yeniden üretilmesinin olanaklı olması gibi). Örneğin, bir iĢlem makbuzunun, bunu yapmaya yetkisi olmayan birisi tarafından okunması ihtimali vardır.

5.6.2 Çevrimiçi iĢlemler için, bir kredi kartı sahibi olmak Ģart değildir, kredi kartının verileri yeterlidir. Kredi kartı suçları, kart verilerinin yetkisiz biçimde kullanılmasıyla iĢlenir. Üç tür kredi kartı suçu vardır:

Kart verilerinin suiistimali

Sahte kredi kartının sahiplenilmesi ve tahrifat

YasadıĢı bir kartın satılması veya satın alınması 5.6.3. Kredi kartının internet üzerinden yasadıĢı kullanımı, kart verilerini kullanarak dolandırıcılıkla para, mal veya hizmet edinme

amaçlıdır. Kart süresi dolduğunda, kart sahibi bu kartını kullansa bu durumda dahi bir suç iĢlenmiĢ sayılmaktadır.

141

G28 BiliĢim (Devamı) 6. ADLĠ BĠLĠġĠMĠNĠN DENETĠM PLANLAMASININ ANA ÖĞELERĠ 6.1 Veri Koruma 6.1.1 AraĢtırılan bilginin, yok edilmesini, bozulmasını veya eriĢilememesini engelleyecek önlemlerin alınmıĢ olması zorunludur. 6.1.2 Ġlgili tarafların bilgisayardaki verilerden kanıt aranacağı konusunda bilgilendirilmesi de önemlidir. Bu amaçla ilgili tarafların

belli protokollerle elektronik kanıtları korumaları ve yok edilmemesi istenir. 6.1.3 Bir olaydan önce, adli biliĢim soruĢturma ve müdahale etme yeterliği var olmalıdır. Bu, konuyla ilgili altyapıyı ve süreci de

kapsar. 6.2 Veri Alınması 6.2.1 Bu süreç, verilerin ve bilginin kontrollü bir ortama taĢınmasını gerektirir. 6.2.2 Bu süreç, elektronik ortamda verilerin disklerde, teyplerde, disketlerde, sıkıĢtırılmıĢ dosyalarda toplanmasını da kapsar.

Bütün bu verilerin içeriği (imajı)uygun bir yöntem ve diğer bir araç ile gönderilerek korunmalıdır.. Bu dosyaların, virüsten korunmuĢ ve üzerine yazmaya karĢı korunmuĢ olması ayrıca önemlidir.

6.2.3 Veriler, ilgili tarafların ve tanıkların ifadeleri yoluyla da elde edilebilir. 6.2.4 DeğiĢken verilerin elde edilmesi -açık portlar, açık dosyalar, etkin süreçler, kullanıcı giriĢleri ve RAM‘deki diğer veriler gibi-

birçok açıdan kritiktir. DeğiĢken veriler, geçicidirler ve bilgisayar kapandığında kaybolabilirler. Bu verilerin yakalanması, araĢtırmacılara sistemde neler olup bittiğini belirleme konusunda yardım edecektir.

6.3 Ġmajlama 6.3.1 Verilerin, orijinal veri ve bilginin zarar göreceğinden korkmaksızın çok sayıda analiz yapılabilmesi için silinemez bire bir

kopyasının sağlanması anacıyla bütün verinin her bir bitinin kopyalanmasını gerektirir.. 6.3.2 Ġmajlama, hedeflenen sürücünün kalıntı verilerini yakalanması amacıyla yapılır. Bir görüntü kopyası, disk yüzeyini, dosya-

dosya sektör-sektör yedekler. Kalıntı veriler, silinmiĢ dosyalar, silinmiĢ dosya görüntüleri, disk seviyesinde halen var olan diğer verileri içerir. Uygun araçlar ile, yok edilen veriler(silinmiĢ veya araç formatlanmıĢ olsa bile) disk yüzeyinden kurtarılabilir.

6.4 Çıkarma 6.4.1 Bu süreç, potansiyel olarak faydalı verilerin imajlanmıĢ veri kümelerinde tanımlanmasını ve ayrılmasını içerir. Bu, zarar

görmüĢ, değiĢtirilmiĢ veri veya tespit edilmesini önlemek için değiĢtirilmiĢ verileri kapsar. 6.4.2 Ġmajlama ve çıkarım sürecinin tamamı, kalite, bütünlük ve güvenilirlik standartlarını karĢılamak durumundadır. Buna

imajlamayı oluĢturmak için kullanılan yazılım ve imajlamanın yapıldığı ortam da dahildir. Ġyi bir karĢılaĢtırma, yazılımın kullanılıp kullanılmadığı ve yasal merciler tarafından yetkilendirilip yetkilendirilmediği üzerinde olabilir. Kopyalar ve kanıtlar, bağımsız doğrulamalara açık olmalıdır (KarĢı taraf ve mahkeme verilerin doğruluğu, güvenilirliği ve dokunulmamıĢ olması konusunda ikna olmalıdır).

6.4.3 Çıkarım, sistem kayıtları, güvenlik duvarı kayıtları, saldırı belirleme sistem kayıtları, denetim kayıtları ve ağ yönetim bilgiyi gibi birçok veri kaynağının incelenmesini kapsar.

6.5 Sorgulama 6.5.1 Bu süreç, çıkarılmıĢ verilerden telefon numaraları, IP adresleri ve bireylerin adları gibi iliĢkileri gösteren önceki göstergelerin

belirlenmesini kapsar. 6.5.2 ÇıkarılmıĢ verilerin, doğru analizinin yapılması önerilerde bulunulması ve uygun kanıtların hazırlanması için zorunludur. 6.6 Özümseme/NormalleĢtirme 6.6.1 Bu süreç, çıkarılmıĢ verilerin uygun teknikler kullanılarak araĢtırmacıların kolayca anlayabileceği biçimde depolanmasını ve

aktarımını kapsar. Bu süreç, onaltılık veya ikilik verilerin okunabilir karakterlere dönüĢtürülmesini, verilerin bir diğer ASCII diline dönüĢtürülmesini veya veri analiz araçlarının biçimine uygun biçime dönüĢtürülmesini de kapsayabilir.

6.6.2 Verilerin arasındaki muhtemel iliĢkiler, araĢtırmacı varsayımlar geliĢtirmek amacıyla, birleĢtirme, iliĢkilendirme, grafikler, haritalama veya zaman çizelgesine vurma gibi belli tekniklerle ortaya çıkarılır.

7. RAPORLAMA 7.1 Yasal Kabul Edilebilirlik 7.1.1 Belirtildiği üzere burada önemli sorun, verilerin bulunması, toplanması, korunması ve mahkemede kabul görecek

biçimde saklanmasıdır. BS Denetçisi, raporun amacı ve ilgili alıcılar konusunda tam olarak bilgi sahibi olmalıdır. 7.1.2 Bu rapor, uygun bir Ģekilde olmalı ve yürütülen soruĢturmanın kapsamı, hedefleri, özellikleri, doğası, zamanlaması

ve sınırlarını ifade etmelidir. 7.1.3 Rapor, kurumu, ilgili alıcıları ve -varsa- dağıtım sınırlamalarını belirtmelidir. Rapor, açık bir biçimde bulguları, sonuçları ve

önerileri, BS Denetçisinin görevle ilgili niteliklerini ve tereddütlerini açıkça iletmelidir..

142

G28 Adli BiliĢim (Devamı) 7.2 Kanıt 7.2.1 Elektronik kanıt, büyük ana bilgisayarlardan cep bilgisayarlarına, disketlere, CD‘lere veya küçük elektronik yongalara kadar

geniĢ bir çeĢitliliğe sahiptir. 7.2.2 Endüstriye dayalı en iyi uygulamalara uyulması ve kendini ispatlamıĢ araçların kullanılması ve kanıtların zarar görmemiĢ

olmasını veya yok edilmemesini makul güvence altına almak için gereken özenin gösterilmesi gereklidir. Yasal yetkililerce, doğru bir yargıya ulaĢabilmek için kanıtın bütünlük, güvenilirlik ve gizliliği zorunludur.. Yetkililere kanıtın doğru ve uygun zamanda iletilmesi de önemlidir.

7.2.3 Internet e-posta izleme örneği:

Bir e-posta iletisi gönderildiğinde kullanıcı sadece alıcı hattını (alıcı ve baĢka alıcılar kısmını) ve konu kısmını kontrol eder

Ġleti yazlımı geri kalanı ve üst bilgileri doldurur ve iĢlem baĢlar. Bir e-posta üstbilgisi örneği aĢağıdaki gibidir:

----- Ġleti Üst Bilgisi-----

(1) DönüĢ yolu: <[email protected]>

(2) Alındı: o199632.cc.navy.gov‘den nps.gov.org‘a (5.1/SMI-5.1) id AAO979O; Cuma, 7 Kasım 2003 18:51:49 PST

(3) Alındı: yerel host o199632.gov.org‘dan (5.1/SMI-5.1); Cuma 7 Kasım2003 18:50:53 PST

(4) Ġleti-Kimliği: <[email protected]>

(5) Tarih: Cuma, 7 Kasım2003 18:50:53 -0800 (PST)

(6) Gönderen: "Susan Rock" <[email protected]>

(7) Alıcı: Mott Thick <[email protected]>

(8) Diğer alıcılar: Jokey Ram<[email protected]>

Satır 1: iletinin gönderildiği alıcıları ve hata iletilerinin kime gönderileceğini anlatır (uyarılar ve geri dönenler)

Satır 2 ve 3: gönderiden teslimata kadar iletinin rotasını anlatır. Bu iletiyi alan her bilgisayar tam adres ve zaman eklenmiĢ olarak alındı alanı ekler; bu, teslimat sorunlarını izlemeye yardım eder

Satır 4 :Ġleti kimliğidir, sadece bu ileti için tek bir tanımlayıcıdır. Bu kimlik kaydedilir ve eğer gerekirse izlenebilir

Satır 5 :iletinin tarihini, zamanını ve zaman çizgisini belirtir (göndericinin)

Satır 6 :gönderenin isim ve e-posta adresini gösterir

Satır 7 :ilk alıcının adını ve e-posta adresini gönderir. Adres aĢağıdakiler için olabilir:

- Posta listesi - Sistemdeki diğerleri - KiĢisel kullanıcı adı

Satır 8 :Nezaketen iletinin kopyası gönderilen ad ve adresleri (Cc) listeler. Bcc alıcıları da olabilir, bunlar postaların kopyalarını alabilir fakat adları ve adresleri gözükmez.

8. YÜRÜRLÜK TARĠHĠ 8.1 Bu rehber bütün BS Denetimlerinde 1 Eylül 2004 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA‘nın web

sitesinde www.isaca.org/glossary adresinde bulunabilir.

Ek CobIT Referansı Denetim alanına uygulanacak en uygun COBIT materyalinin seçilmesi, belirli COBIT süreçlerinin seçilmesine ve COBIT bilgi kıstaslarının göz önünde bulundurulmasına bağlıdır. Bilgisayar adli biliĢim incelemesinde, COBIT‘teki en ilgili olabilecek süreçler aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilecek ve uygulanacak olan COBIT süreci ve kontrol hedefleri, iĢin kapsamı ve görevlendirmenin iĢ sözleĢmesi ve Ģartlarına bağlı olarak değiĢebilir: Birincil:


AI1-Otomatik çözümlerin tanımlanması

DS1-Hizmet seviyelerini belirlenmesi ve yönetilmesi

DS2-Üçüncü taraf hizmetlerinin yönetilmesi

DS5- Sistemlerin güvenliğinin sağlanması

DS10-Sorun ve vaka yönetimi

DS11-Verilerin yönetimi

M1-Sürecin izlenmesi


143

G28 Adli BiliĢim (Devamı)

M3-Bağımsız güvence sağlanması Ġkincil:

PO1-Stratejik BT planının tanımlanması

PO4 BT organizasyonunu ve iliĢkileri tanımlaması.

DS6-Maliyetlerin belirlenmesi ve dağıtımı

DS12-Tesislerin yönetimi

DS13-Faaliyetlerin yönetimi

M2-Ġç Kontrol yeterliğinin değerlendirilmesi Adli biliĢimin gözden geçirilmesinde en ilgili bilgi kıstasları Ģunlardır:

Birincil-Güvenilirlik, bütünlük ve uyum

Ġkincil-Gizlilik ve eriĢebilirlik

144

G29 Uygulama Sonrasının Gözden Geçirilmesi 1. ARKA PLAN 1.1. Standartlarla Bağlantı 1.1.1 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için

gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.

1.1.2. S8 Denetim sonrası izleme faaliyeti Standardı:‖Bulguların ve önerilerin raporlanmasından sonra, BS Denetçisi yönetim tarafından zamanında ve uygun bir Ģekilde harekete geçilip geçilmediğini belirlemek için ilgili bilgileri istemeli ve değerlendirmelidir.‖ ġeklindedir.

1.2 COBIT Bağlantısı 1.2.1 Yüksek seviye kontrol hedefi M4, Bağımsız Denetim Sağlanması, ―ĠĢin gereksinimlerine uygun ve en iyi uygulamalardan

faydalanmayı amaçlayan bağımsız denetim sağlanması Ģeklindeki BT süreci üzerindeki kontrol, düzenli aralıklarla yapılan bağımsız denetimler yoluyla gerçekleĢir ve aĢağıdaki maddeleri göz önüne alır‖ Ģeklindedir.:

Denetim bağımsızlığı

Ġleri dönük denetim

Denetimlerin nitelikli personel tarafından yürütülmesi

Bulguların ve önerilerin açıklığa kavuĢturulması

Denetim sonrası izleme faaliyetleri

Denetim önerilerinin etkilerinin değerlendirilmesi (maliyet, faydalar ve riskler) 1.2.2 Detaylı kontrol hedefi M4.6 Denetim ĠĢinin Yürütülmesi , ―Denetimler, denetim hedeflerine ulaĢılıp ulaĢılmadığının

belirlenmesi ve mesleki standartlara uyulup uyulmadığının belirlenmesi amacıyla uygun bir biçimde gözetlenmelidir. Denetçiler, denetim hedeflerine ulaĢmak için yeterli, güvenilir, ilgili ve faydalı denetim kanıtları elde etmelidirler. Denetim sonuçları, bu kanıtların analiz ve yorumlanmasıyla desteklenmek durumundadır.‖ Ģeklinde ifade eder.

1.3. COBIT Referansı 1.3.1. COBIT kaynakları, bu rehberde kapsanan alanlar için belli COBIT süreci veya hedefleri sunar. Denetlenen alana

uygulanacak en uygun COBIT materyalinin seçilmesi, belli COBIT sürecinin seçilmesine ve COBIT bilgi kıstaslarının göz önünde bulundurulmasına bağlıdır.

1.3.2. Uygulama sonrası incelemeye, BT çözümünün uygulanmasından sonra ilk incelemede aĢağıdaki süreçler daha ilgilidir:

PO2-Bilgi mimarisinin belirlenmesi

PO4 BT organizasyonu ve iliĢkileri tanımlama

PO5-BT yatırımını yönetme


PO9-Riskleri değerlendirme

PO10-Projeleri yönetme

PO11-Kaliteyi yönetme

AI1-Otomatik çözümlerin tanımlanması

AI2-Uygulama yazılımı edinme ve bakımı

AI3-Teknoloji altyapısını edinme ve bakımı

AI5-Sistem kurma ve akredite etme

AI6-DeğiĢiklikleri yönetme

DS7-Kullanıcıları eğitimi ve yetiĢtirilmesi

DS11-Veri yönetimi

M1-Süreçlerin izlenmesi 1.3.3. Uygulama sonrası incelemeyle en ilgili bilgi kıstasları Ģunlardır:

Birincil-Verimlilik ve etkinlik

Ġkincil-EriĢebilirlik, uyum, gizlilik, güvenilirlik ve bütünlük 1.3.4. Uluslararası Muhasebeciler Federasyonu (IFAC) Bilgi Teknolojisi Komitesi (ITC) Yönetmelikleri Ģunları içerir:

Bilgi Teknolojileri Çözümleri uygulaması

ĠĢe Etkilerinde Bilgi Teknolojileri Planlama Yönetimi

145

G29 Uygulama Sonrasının Gözden Geçirmesi

1.4. Rehberin Amacı 1.4.1. Bu Rehberin amacı, gözden geçirme esnasında bilgi sistemi denetiminin ilgili standartlarına uygunluğu sağlamak için bilgi

teknolojileri çözümlerinin uygulama sonrası gözden geçirilmesini baĢarmak için önerilen uygulamaları tanımlamaktır. 1.4.2. Kurumlar, kendi gereksinimlerini karĢılamak için çeĢitli BT çözümleri uygularlar. Bu çözümler uygulandığında, BT

çözümlerinin etkinliğini ve uygulanma biçimlerini değerlendirmek amaçlı uygulama sonrası incelemeler ve -gerekliyse- çözümü geliĢtirme amaçlı adımların baĢlatılması ve gelecek için öğrenme amaçlı kullanımı genellikle BS Denetçileri tarafından gerçekleĢtirilir.

1.4.3. Bu rehberde önerilen kimi uygulamalar, uygulamaları baĢarısız olmuĢ veya baĢlamadan bırakılmıĢ projelerin gözden geçirilmesinde de uygun düĢebilir.

1.4.4. Bu rehber, BS Denetim Standartları S6 Denetim ĠĢinin Yürütülmesi ve S8 Denetim Sonrası Ġzleme Faaliyetleri‘nin uygulanmasında, uygulama sonrası incelemede yol göstericilik sağlar. BS Denetçisi, bunları yukarıdaki standartların uygulamasının nasıl baĢarıldığını saptamada, mesleki yargılarını uygulamasında kullanmalı, herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.

1.5. Rehber Uygulaması 1.5.1. Bu Rehberi uygularken BS Denetçisi, diğer ISACA Rehberleriyle iliĢkisini göz önünde bulundurmalıdır. 1.6. Tanım ve Genel Kapsam 1.6.1. Bu Rehberin amacı, BT çözümünün uygulama sonrası incelenmesi ve/veya uygulanması sürecinin bir BT çözümünün

öncesi veya sonrası ve/veya uygulama sürecini, uygulamadan sonra gerçekleĢtirmek aĢağıdakilerden birkaçını veya hepsini değerlendirmeyi ifade eder.:

Çözümün planlanan amaçlarının gerçekleĢip gerçekleĢmediğini

Gerçek maliyet ve faydaların bütçe ile karĢılaĢtırılıp karĢılaĢtırılmadığı

Uygulama sürecinin verimliliği ve uygunluğu

Zaman ve/veya maliyet fazlalıklarının sebepleri ve -varsa- kalite ve/veya performans konularını

Çözümden kaynaklanan verimlilik ve performans geliĢmelerini

ĠĢ sürecinin ve iç kontrollerin uygulanma durumunu

Kullanıcı eriĢim kontrollerinin kurumsal politikayla uyum içinde uygulanıp uygulanmadığını

Kullanıcıların uygun biçimde yetiĢtirilip yetiĢtirilmediğini

Sistemin devam durumu ve verimli ve etkili bir biçimde geliĢtirilip geliĢtirilemeyeceğini

Geçerli ilgili özelliklerin ve usullerin uygulanıp uygulanmadığını

Ġlgili düzenleyici gereksinimlere ve kurumsal politikalara uygunluğunu

COBIT Kontrol Hedefleri ve COBIT Yönetim Rehberleriyle ilgili ise uyumunu

Çözümde veya uygulama sürecinde gelecekteki geliĢtirme fırsatlarını 1.6.2. Uygulama sonrası bir incelemenin hedefleri aĢağıdakileri içerebilir:

BT çözümü uygulamasından beklenenlerin karĢılanmasının sağlamasını ve kurumun iĢ hedeflerinin karĢılanması ve uygunluğunu

Bilginin doğrulunu ve zamanlığını, bilginin iĢlenmesinin iĢ kurallarıyla uyumluluğu ve üretilen bilginin doğru, güvenilir ve zamanında olmasını sağlamak için girdi, iĢlenmesi, ve çıktılar üzerindeki kontrollerin ve usullerin yeterliliğinin değerlendirilmesini

BT çözümü tarafından üretilen yönetim kayıtlarının izlenmesi ve sürekliliği üzerindeki usullerin ve kontrollerin yeterliliğinin değerlendirilmesini.

BT çözümü tarafından üretilen yönetim ve mali raporların doğruluğunun onayını

BT çözümü tarafından zorlanan uygulama seviyesi eriĢim kontrollerinin yeterliğinin sağlanmasını

BT çözümünde geçerli olan ve beklenmedik kesinti ve veri bütünlüğünü sağlayan özelliklerin yeterlilik onayını

BT çözümünün, sorumlu personelin olmadığı durumlarda verimli ve etkin biçimde desteklenmesinin sağlanmasını

Kontrollerdeki potansiyel risklerin ve zafiyetlerin tanımlanması, risklerin azaltılması ve kontrollerin güçlendirilmesini 1.6.3. Uygulama sonrası inceleme zorunlu olarak BT çözümüne yapılan yatırımın değerinin(Kurum tarafından tanımlanmıĢ ve

ölçülmüĢ) olup olmadığını ve elde edilen BT çözümünün yeterli bir biçimde yönetilip kontrol edilebilirliğini saptamak için esaslı bir Ģekilde araĢtırır. Bu yatırımların geri dönüĢleri, faydaların gerçekleĢtirilmesi olarak sıklıkla adllandırılan ayrı bir gözden geçirmenin konusunda kapsanabilirler.(Bölüm 8.1). Uygulama sonrası bir inceleme aĢağıdaki noktaları göz önünde bulundurmalıdır:

BT çözümünün özellikleri

BT çözümünün amaçlanan kullanımı (ne amaçla, kim tarafından, ne zaman, nerede)

ĠĢ hedeflerinin gerçekleĢtirilmesinde BT çözümünün kritikliği

Denetlenen kurum yönetimiyle üzerinde uzlaĢılan gözden geçirmenin kapsamı

BaĢlangıç, geliĢme ve test aĢamalarında BT çözümünün denetim incelemesine tabi tutulup tutulmadığı

Proje uygulaması sırasında BS Denetçilerinin denetim-dıĢı katılımının olup olmadığı

146

G29 Uygulama Sonrasının Gözden Geçirilmesi (Devam) 2. DENETĠM YÖNETMELĠĞĠ 2.1 Yetkilendirme (Görevlendirme) 2.1.1 BS Denetçisi, uygulama sonrası bir gözden geçirmeye baĢlamadan önce gözden geçirmeyi yapmak için gereken yetkiye

sahip olmalıdır. BS Denetçisi, gözden geçirmenin üçüncü tarafça baĢlatıldığı durumlarda bu tarafın gözden geçirmeyi yönetmek için kurul görevi yapma yetkisinin olup olmadığına dair makul güvence sağlamalıdır.

3. BAĞIMSIZLIK 3.1 Mesleki Nesnellik 3.1.1 BS Denetçisi, görevi kabul etmeden önce BT çözümünün kurumdaki gözden geçirmenin tarafsızlığını zedeleyebilecek

herhangi bir ilgisinin olup olmadığının makul güvencesini aramalıdır. Herhangi bir karmaĢık durumda, bu durumu mümkün ise yönetime iletilmelidir ve görevi kabul etmeden önce kurum yönetiminin çatıĢmanın farkında olduğunun yazılı onayı sağlanmalıdır..

3.1.2 BS Denetçisi, gözden geçirilen BT çözümünün uygulanmasında herhangi bir denetim dıĢı rolü varsa denetçi ― Rehber G17

BS Denetçisinin Bağımsızlığı üzerinde Denetim-dıĢı Rollerin Etkileri‖ni gözden geçirmelidir. 4 MESLEKĠ ETĠK VE STANDARTLAR 4.1. Uygulama Öncesi ve Sonrası Gözden Geçirmeler 4.1.1. Bir uygulama öncesi gözden geçirmeyle karĢılaĢtırıldığında, uygulama sonrası gözden geçirme normalde BT çözümü makul

bir süre boyunca(normalde süreç döngüleri boyunca veya birkaç ay boyunca) kullanıcı usulleri ve uygulama seviyesi güvenliği uygulandığı zaman gerçekleĢtirilir.

4.1.2. Uygulama öncesi incelemeler, kontroller ve yönetim tasarımlarını veya test ortamlarında nasıl çalıĢtıklarını incelerler. Uygulama sonrası gözden geçirmeler ise, kontrollerin ve yönetimin BT çözümü kurulduktan, yapılandırıldıktan ve üretim ortamında uygulandıktan sonra nasıl çalıĢtıklarını araĢtırır.

4.1.3. Kaynakların mevcut olduğu yerlerde hem uygulama öncesi ve hem de sonrası gözden geçirmelerin yapılması tercih edilir. Asıl BT çözümünün öncesinde -eğer kaynaklar mevcutsa- son dakika değiĢiklikler yapılabilmektedir.

4.1.4. BS Denetçisi, uygulama sonrası gözden geçirmeyi yaparken BT çözümünü uygulamaktan sorumlu proje sahibinin ve proje takımının gözden geçirme sürecine dahil olduğunu makul güvencesini sağlamalıdır. Takım üyeleri, tipik bir gözden geçirmenin bir parçası olarak aĢağıdakilerden oluĢmalıdır:

BT çözümünün tasarımı, geliĢimi ve yayılmasıyla ilgili kiĢiler

Ġnceleme altındaki mevcut ve önerilen iĢ süreciyle ilgili çalıĢma bilgisine sahip kiĢiler

Ġlgili teknik bilgiye sahip kiĢiler

Kurumun iĢ stratejisiyle ve BT çözümünün stratejilere ulaĢmada katkısıyla ilgili bilgilere sahip kiĢiler

GerçekleĢme sürecinde faydaların izlenmesi ve ölçülmesi iĢlerine dahil olan kiĢiler 5. YETERLĠLĠK 5.1. Bilgi ve Beceri 5.1.1. BS Denetçisi, BT çözümünün uygulama sonrası gözden geçirmesini yürütecek seviyede bilgi ve beceriye sahip olduğunun

makul güvencesini vermelidir. Uzman katılımının gerekli ise gereken katılımı sağlamalıdır. 6. PLANLAMA 6.1. Ġncelemenin Kapsam ve Hedefleri 6.1.1. BS Denetçisi, kurumla danıĢıklı olarak, Uygulama Sonrası Ġncelemenin kapsam ve amaçlarını açık bir biçimde

tanımlamalıdır. Ġncelemede kapsamındaki alanlar, kapsamın bir bölümü olarak açıkça belirtilmelidir. 6.1.2. Ġncelemenin amacı için uygulamadaki paydaĢlar tanımlanmalıdır. 6.1.3. BT çözümü veya uygulama sürecinin herhangi bir önceki incelenmesinin bulguları ve sonuçları (uygulama öncesi gözden

geçirme veya aynı anda yapılan bir gözden geçirme) denetim planlamasının ve kapsamın belirlenmesinde göz önünde bulundurulmalıdır.

6.2. SözleĢmenin Ġmzalanması 6.2.1. BS Denetçisi, kurumsal uygulamalara bağlı olarak, kurumdaki ilgili tarafların referans koĢullar ve yaklaĢım için iĢbirliğini

sağlamalıdır. Eğer gözden geçirme üçüncü bir tarafça baĢlatılıyorsa, onlar da sözleĢme koĢullarını kabul etmelidir. 6.3. YaklaĢım 6.3.1. BS Denetçisi, gözden geçirmenin amaç ve kapsamının tarafsız ve mesleki bir tarzda yürütülmesinin makul güvencesini

sağlamak için yaklaĢımını doğru biçimlendirmelidir. YaklaĢım uygun biçimde belgelenmelidir. Uzman kullanımı, yaklaĢımın bir bölümü olarak belirtilmelidir. Uygulama sonrası gözden geçirmeler BT çözümünün uygulanma sadece öncesi ve sonraki gözden geçirmeyle sınırlı değildir. Uygulanan çözümdeki geliĢmeleri belirtmek için çok sayıda gözden geçirme yapılabilir.

147

G29 Uygulama Sonrasının Gözden Geçirilmesi(Devamı) 7. DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ 7.1 Uygulama Sonrası Ġncelemenin Yapılması 7.1.1 BT çözümü uygulandıktan sonra makul bir zamanda uygulama sonrası gözden geçirme planlanmalıdır. Çözümün çeĢidine ve

ortamına bağlı olarak tipik bir zamanlama 4 haftadan altı aya kadar yayılabilir. 7.1.2 Uygulama sonrası bir gözden geçirmenin, çalıĢan son BT çözümünün bir değerlendirilmesi ve incelenmesi olması planlanır.

Ġdeal olanı, uygun olan bir gözden geçirmenin yapılabilmesi için en azından tam uygulama ve raporlama döngüsü olmasıdır. Gözden geçirme, hâlihazırda ilk baĢtaki konularla ilgileniliyorsa veya halen kullanıcı eğitimine ve yetiĢtirilmesine devam ediliyorsa gerçekleĢtirilmemelidir. Fakat, mümkün ise BT çözümünden en yüksek fayda elde edilmesi için gözden geçirme gerçekleĢtirilmelidir.

7.1.3 Ġnceleme usulleri var olan belgelerin(iĢ durumunun, iĢ gereksinimlerinin, olabilirlik çalıĢmasının, sistemin, kullanıcı ve iĢlem belgelendirmesinin, ilerleme raporlarının, toplantı tutanaklarının, maliyet/fayda raporlarının, test ve eğitim planlarının ve yazılı metinlerin vb.), paydaĢlarla yapılan görüĢmelerin, mevcut tecrübelerin ve BT çözümleriyle aĢinalığın, iĢ ve proje personelinin gözlemlenmesi ve araĢtırılması, faaliyet ve kontrol belgelendirmesinin incelenmesini de içermelidir.

7.1.4 Uygulama sonrası gözden geçirmeyi gerçekleĢtirmek için uygun kaynaklar tanımlanmalı ve tahsis edilmeli, incelemenin uygulanmasıyla ilgili denetim personeli ile birlikte planlanmalıdır.

7.1.5 Uygulama sonrası gözden geçirmenin sonuç raporunun -olanaklıysa- biçimi, içeriği, kapsadığı bölüm ve zamanlaması üzerinde anlaĢmaya varılmalıdır.

7.1.6 BT çözümünün belirtilen amaçları, maliyet ve faydaları üzerinde ayrıntılı bir biçimde çalıĢılmalıdır. Gerçek maliyet ve amaçlara ulaĢma derecesi, performansın maliyet ve fayda raporları ve sistemleri ve elde etme ve izlemede kullanılan süreçler ve sistemler ile birlikte değerlendirilmelidir. Bu uygulamanın bir parçası olarak üretkenlik/performans geliĢimleri de değerlendirilmelidir. Bu bağlamda uygun ölçüm kıstasları kullanılmalıdır. Varsa maliyet ve zaman aĢımları, sebep ve sonuç iliĢkileri açısından analiz edilmelidir. Kontrol edilebilen ve edilemeyen sebepler ayrı ayrı tanımlanmalıdır.

7.1.7 BT çözümünü tanımlamak ve uygulamak için kullanılan süreç, uygunluğu olduğu kadar verimliliği açısından da değerlendirilmelidir.

7.1.8 Kullanıcılara ve BT çözümünü destekleyen personele sağlanan eğitimin ve yetiĢtirmenin yeterliliği ve verimliliği incelenmelidir.

7.1.9 Uygulama öncesi temelli önceden dıĢ veya iç inceleyiciler tarafından yapılmıĢ her türlü gözden geçirme üzerinde çalıĢılmalı ve önerilerin ve atılan adımların durumu doğrulanmalıdır.

7.1.10 Uygulama sonrası gözden geçirme bir BT çözümünü incelediği için genellikle, BT çözümünün ilgili COBIT kontrol hedeflerini karĢılaması beklenir. Ġlgili kontrol hedefleriyle uyumun ve uyumsuzluğun derecesi analiz edilip rapor edilmelidir. Ayrıca, COBIT Yönetim Kılavuzlarından kritik baĢarı etmenleri, anahtar hedef göstergeleri, anahtar performans göstergeleri ve olgunluk model karĢılaĢtırmaları BT çözümü ve incelenen uygulama süreci için uyarlanmalıdır.

7.1.11 Toplanan veriler, yapılan analizler, varılan sonuçlar ve önerilen düzeltici adımlar için önerilen düzeltici faaliyetlerin uygun yönetim kayıtları sağlanmalıdır.

7.1.12 Uygulama sürecinin ve BT çözümlerinin, yasalarla, düzenleyici gereksinimlerle, kurumsal politikalarla ve standartlar ile uyumun derecesi de incelenmelidir.

7.1.13 Uygun ise otomatik test araçları ve BDDT, BT çözümünün ilgili yönünü ölçmek için kullanılabilir. 7.1.14 Gözden geçirmede, gerekli düzeltici adımlar için risklere ve sorunlara, kontrollerin geliĢtirilmesi için fırsat ile birlikte ve

uygulama sürecinin etkinliğinin artırılmasına vurgu yapmalıdır... 7.1.15 Rapor edilmiĢ bulgular, sonuçlar ve öneriler, tarafsız bir analize ve bilgilerin tarafsız yorumlanmasına ve inceleme sonrası

gözden geçirme esnasında sağlanan kanıtlara dayandırılmalıdır. 8 FAYDA GERÇEKLEġMESĠ ĠNCELEMELERĠ 8.1 Fayda GerçekleĢmesi Ġncelemesi 8.1.1 Bütün BT projeleri aslında iĢ projeleridir ve baĢlangıçtan itibaren iĢ temeline sahiptirler. BaĢarıları veya baĢarısızlıkları, mali

açıdan veya stratejik iĢ planına yaptıkları katkı oranıyla ölçülmelidir. Fayda gözden geçirmeleri sadece nelere ulaĢıldığına değil aynı zamanda geriye kalan yapılacak Ģeylere de odaklanmalıdır. Kurumlar, bu uygulamaları en iyi uygulamalarına vurgulamakta ve dersler çıkarmakta kullanmalıdırlar.

8.2. Fayda GerçekleĢmesi Ġncelemesi Amaçları 8.2.1 Fayda gerçekleĢmesi gözden geçirmesinin hedefleri, yeni BT çözümünün faaliyet baĢarısını ve gerçek maliyet, fayda ve

tasarrufları bütçede öngörülenlerle karĢılaĢtırıp değerlendirmektir. Ġnceleme, BT çözümünün verimliliğini de ölçebilir. Önemli bir öğe, orijinal sistem hedeflerine ve zamanlanan etkinliklere eriĢilip eriĢilmediğidir. Bu, ―OLMASI GEREKEN‖ hedeflere ne ölçüde ulaĢılabildiğini değerlendirmek için. ―OLMASI GEREKEN‖ VE ―OLAN‖ süreçlerinin ayrıntılı anlaĢılmasını gerektirir.

8.2.2 Bir uygulama sonrası fayda gerçekleĢmesi gözden geçirme raporu aĢağıdaki alanları kapsamalıdır:

Bütçede belirtilen maliyetlerle gerçekleĢen maliyetlerin karĢılaĢtırılması

Bütçede belirtilen faydalarla gerçekleĢen faydaların karĢılaĢtırılması

Yatırımın getirisi

Bütçede belirtilen tasarruflarla gerçekleĢen tasarrufların karĢılaĢtırılması

Planlanan proje tamamlama tarihleri ile gerçekleĢen proje tamamlama tarihlerinin karĢılaĢtırılması

GerçekleĢen amaçlarla planlanan amaçların karĢılaĢtırılması

148

G29 Uygulama Sonrasının Gözden Geçirilmesi(Devamı)

Belgelendirme ve kontrollerin -yönetim kayıtları dahil- yeterlilik ve kalitelerinin değerlendirilmesi

GerçekleĢen BT çözüm performansının beklenenle karĢılaĢtırılması

Yeni BT çözüm sisteminin anlaĢılması ve kullanıcı memnuniyeti

Gelecekteki BT çözüm uygulama projeleri için performans geliĢtirme önerileri 9. DIġARDAN KAYNAK SAĞLANMASI 9.1 BT‘nin DıĢ Kaynaktan Sağlanması 9.1.1 BS Denetçisi, kurum kısmen yada tamamen birilerine devretmiĢ veya BT çözüm uygulamasını dıĢtan hizmet sağlayıcılara

verdiği durumlarda, bu tür düzenlemelerin etkilerini araĢtırmalıdır ve sözleĢmelere, anlaĢmalara ve düzenlemelere uyulup uyulmadığını gözden geçirmelidir.

9.1.2 BS Denetçisi, dıĢarıdan kaynak sağlanan hizmetlerin doğasını, zamanlamasını ve sınırlarını anlamalıdır. Ayrıca, iĢin gerektirdiği konularda ve kurum tarafından istenilen konularda ne tür kontrollerin uygulandığını araĢtırmalıdır (Rehber G4 BS Diğer Kurumların DıĢ Kaynaklı BS Faaliyetleri Rehberine bakınız).

10. RAPORLAMA

10.1 Rapor Ġçeriği 10.1.1 Uygulama sonrası gözden geçirme ile ilgili rapor, amaç ve kapsama bağlı olarak aĢağıdaki alanları kapsamalıdır:

Kapsam, amaç, izlenen yöntem ve yapılan varsayımlar

Hedeflenen amaçların ulaĢılıp ulaĢılmadığının değerlendirilmesi ve BT çözümlerinin iĢin amaçlarını karĢılayacak biçimde düzenlenip düzenlenmediğinin belirlenmesi

Uygulama sürecinin önemli zayıflıklar ve güçlü alanlar ve zayıflıkların muhtemel etkileri açısından değerlendirilmesi

Önemli zafiyetlerin üstesinden gelmek ve uygulama sürecini geliĢtirmek için öneriler

Potansiyel riskler ve bu tür riskleri azaltmak için araçlar

COBIT bilgi kıstaslarıyla uyumun derecesi

Gelecekteki BT çözümlerini ve uygulama sürecini geliĢtirmek için öneriler

Uygulanan BT çözümü için kullanıcıların yetiĢtirilmesi

Tüm kurumda BT çözümlerinin kabulü ve uyarlanabilirliği 10.1.2 Gözlemler ve öneriler, kurum ve paydaĢlar (olanaklıysa hizmet sağlayıcı dahil) arasında rapora son hali verilmeden önce

geçerli hale getirilmesi 10.2 Zayıflıklar 10.2.1 Kontrol olmamasından veya sürecin zayıf uygulamasından veya ilgili risklerin kabul edilebilir seviyelere indirilememesinden

doğan uygulama sonrası gözden geçirme sırasında tanımlanan zayıflıklar, iĢ sahibinin ve BT çözümünden sorumlu BS yönetiminin dikkatine sunulmalıdır. Zayıflıkların, önemli veya ―somut‖ olduğunun düĢünüldüğü durumlarda, düzeltici önlemlerin erkenden alınabilmesi amacıyla, yönetimin uygun bir kademesi derhal haberdar edilmelidir.

10.2.2 BT çözümleri ile ilgili etkili kontroller genel BT kontrollerine bağlı olduğundan, bu alanlardaki her türlü zayıflık rapor edilmelidir. Genel BT kontrollerinin kontrol edilmediği durumlarda, bu durum raporda belirtilmelidir.

10.2.3 BS Denetçisi, ilgili riskleri azaltmak için kontrolleri güçlendirmek amacıyla uygun önerileri rapora dahil etmelidir. 11. DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ 11.1 Zamanlılık 11.1.1 Uygulama sonrası gözden geçirmeyle tanımlanan zayıflıkların etkileri, yaygın ve yüksek riskli olabilir. BS Denetçisi, bu

yüzden zayıflıkları gidermek ve riskleri etkin bir biçimde yönetmek amacıyla yönetimin gereken önlemleri aldığını doğrulamak için denetim sonrası izleme faaliyetini zamanlı bir Ģekilde gerçekleĢtirmelidir.

12. YÜRÜRLÜK TARĠHĠ 12.1 Bu rehber bütün BS Denetimlerinde 1 Ocak 2005 tarihinden itibaren etkindir. Terimlere ait tam bir sözlükçe ISACA web

sitesinde bulunabilir (www.isaca.org/glossary). Referans BS Denetim Rehberi G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Ġncelemesi


149

G30 Yeterlilik 1 ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1. S4 Mesleki Yeterlilik Standardı: ―BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki açıdan yeterli olmalıdır.BS Denetçisi, sürekli mesleki eğitim almak suretiyle mesleki yeterliğini devam ettirmek durumundadır.‖ Ģeklinde ifade eder. 1.2. COBIT Bağlantısı 1.2.1. Yüksek seviye kontrol amacı M3 (Bağımsızlık Güvencesi) ―… kurumlar, müĢteriler ve üçüncü taraf tedarikçiler arasında

güveni artırmak amacıyla bağımsızlık güvencesi elde edilmelidir‖.Ģeklide ifade eder. 1.2.2. Yüksek seviye kontrol amacı M4 (Bağımsız Denetim) ―… en iyi (örnek) uygulamalardan faydalanmak ve güven seviyelerini

artırmak amacıyla bağımsız denetim sağlanmalıdır‖. Ģeklide ifade eder. 1.2.3. Ayrıntılı kontrol amacı M3.7 (Bağımsızlık Güvencesi ĠĢlevinin Yeterliği) ―Yönetim, bağımsızlık güvence biriminin, bu tür

incelemeleri etkin, verimli ve ekonomik bir biçimde yerine getirmek için gereken teknik yeterliğe, beceri ve bilgiye sahip olduğundan emin olmalıdır‖. Ģeklide ifade eder.

1.2.4. Ayrıntılı kontrol amacı M4.4 (Yeterlilik-yetkinlik) ―Yönetim, kurumun BT faaliyetlerini incelemekten sorumlu denetçilerin teknik olarak yetkin ve hepsinin de bu tür incelemeleri etkin, verimli ve ekonomik bir biçimde yerine getirmek için gereken beceri ve bilgiye (CISA) sahip olduklarından emin olmalıdır. Yönetim, BS Denetimiyle görevlendirilen denetim personelinin uygun sürekli mesleki eğitimini devam ettirerek mesleki yeterliliklerini korumak durumundadır‖. Ģeklinde ifade eder.

1.3. COBIT Referansı 1.3.1. COBIT kaynakları, bu rehberde anlatılan alanların incelenmesi sırasında göz önünde bulundurulması gereken COBIT süreci

veya belli amaçları ortaya koyar. En uygun materyalin seçimi belli COBIT BT sürecinin seçimine ve COBIT kontrol amaçlarının ve ilgili yönetim uygulamalarının dikkate alınmasına bağlıdır. Gereksinimleri karĢılamak için COBIT sürecinin en uygun olanlarının seçilip uyarlanması, birincil ve ikincil olarak sınıflandırılması gereklidir. Seçilecek ve uyarlanacak olan süreç ve kontrol amaçları, görevin belli kapsam ve koĢullarına bağlı olarak değiĢebilir.

1.3.2. Birincil:

PO7-Ġnsan Kaynakları Yönetimi

M2-Ġç Kontrol yeterliğinin Değerlendirilmesi

M3-Bağımsızlık Güvencesi Elde Edilmesi

M4-Bağımsız Denetimin Sağlanması 1.3.3. Ġkincil:

DS1-Hizmet Seviyelerinin Tanımlanması ve Yönetimi

DS2-Üçüncü Taraf Hizmetlerinin Yönetimi

DS3-Performans ve Kapasite Yönetimi

DS7-Kullanıcı Eğitimi ve YetiĢtirilmesi

M1-Sürecin Ġzlenmesi 1.3.4. Yetkinlikle en ilgili bilgi kıstasları Ģunlardır:

Birincil: verimlilik, etkinlik ve eriĢebilirlik

Ġkincil: gizlilik, bütünlük, uyum ve güvenilirlik 1.4. Rehber Amacı 1.4.1. BS Denetçilerinin alanlarında ileri seviyede yetkin olmaları beklenir. BS Denetçilerinin, bu hedefi karĢılamak amacıyla

görevlerini yapabilmek için gereken yetenekleri ve bilgileri edinmeleri gereklidir. Ġlave zorluk, sürekli bilgi ve becerilerini sürekli geliĢtirerek yeterliliklerini korumalıdır..

1.4.2. BS Denetçileri, uzman hizmetleri sağlamayı kabul ederek mesleki hizmetlerin yürütülmesi için gerekli arzu edilen uzmanlık seviyesinin uygunlunu ve BS Denetçinin, mesleki özen ve dikkat ile yürüteceğini ifade etmelidir.

1.4.3. BS Denetçileri, yüksek seviyede yetkinlik beklentisi karĢısında hizmetlerin gerçekleĢtirilmesinde tatmin edici güvence sağlamak için tavsiye ve yardım sağlamadan yetkin olmadıkları konularda hizmet vermekten kaçınmalıdırlar.

1.4.4. BS Denetçisi, mesleki denetim standartlarının karĢılandığını ve denetlenen kurumun, yürürlükteki yasa, teknik ve alanlarında son yeniliklere dayanan uzman mesleki hizmet alma avantajını aldığına makul güvence sağlamak için gerekli seviyede mesleki bilgi ve tecrübesini korumak sürekli bir görevdir ve beklenen özen, uzmanlık ve dikkatle mesleki hizmetlerini gerçekleĢtirmelidir.

1.4.5. ISACA‘nın belirtilen vizyonu BT yönetiĢiminde, kontrol ve güvencede küresel bir lider olarak tanınmıĢ olmaktır. ISACA, vizyon konusunda açıkça bellidir ki CISA ile ölçülen gerekli en son bilgi ve tecrübeyle uzmanların sunduğu gelecekteki baĢarının büyüyeceği açıktır.. ISACA, bu beceri ve faaliyetleri tanımlamada ve tasarlanan yöntemlerle ölçme ve değerlendirme en öndedir. Bu bağlamda, BS Denetçilerine, gereken bilgi ve becerileri edinmede ve denetim görevlerini yerine getirmede yol göstericilik sağlamak amacıyla bir rehbere gereksinim vardır.

1.4.6. Bu rehber BS Denetim Standardı S4 Mesleki Yeterlilik uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartların uygulanmasında baĢarılı olmak için bu Rehberi göz önünde bulundurmalı, mesleki yargılarını kullanmalı ve her türlü sapmayı gerekçelendirmeye hazır olmalıdır.

150

G30 Yeterlilik (Devamı) 1.5. Rehber Uygulaması 1.5.1. Bu Rehberi uygularken BS Denetçisi, ilgili diğer ISACA standart ve Rehberleriyle iliĢkiyi göz önünde bulundurmalıdır. 2. SORUMLULUK 2.1. Bilgi ve Beceri 2.1.1. BS Denetçisi, birincil olarak gerçekleĢmek üzere anlaĢtığı görevi yapmak için gereken mesleki ve teknik becerileri

edinmekten sorumlu olmalıdır. 2.1.2. Denetim yönetiminin, ikincil olarak görevi gerçekleĢtirmek için BS Denetçisinin gereken mesleki ve teknik bilgi ve becerilere

sahip olduktan sonra denetim görevinde belirtme sorumluluğu vardır. 2.1.3. Denetim yönetimi, denetimi yapacak takımın gereken bilgi ve becerilere sahip olmasını sağlamaktan da sorumludur. 2.1.4. Bilgi ve beceri, BS Denetçisinin denetimle ilgili rolüne ve konumuna bağlı olarak değiĢir. Yönetimin bilgi ve becerisine olan

gereksinim sorumluluk seviyesine uygun olmalıdır. 2.1.5. Bilgi ve beceriler, risk ve kontrollerin tanımlanması ve yönetilmesindeki yetkinliğin yanında denetim araç ve tekniklerinde

uzmanlığı da kapsar. BS Denetçisi, analitik ve teknik bilgi ile birlikte, görüĢme ve sunum gibi kiĢilerarası becerilere de sahip olmalıdır.

2.2. Yeterlilik 2.2.1. Yeterlilik, yeterli derecede eğitim ve deneyim yoluyla bilgi, beceri ve uzmanlığa sahip olmak anlamını taĢımaktadır. 2.2.2. BS Denetçisi,, gereken seviyede bilgi ve beceriye sahip olduğu hususunda gereken makul güvence sağlamalıdır. 2.2.3. BS Denetçisi, beklenen ve/veya arzu edilen yetkinlik seviyesini uygun karĢılaĢtırmalara dayalı olarak tasarlamalıdır ve bu

karĢılaĢtırmalar düzenli olarak incelenmeli ve güncellenmelidir. 2.2.4. BS Denetçisi ve/veya denetim yönetimi, görevi kabul etmeden önce denetim görevinin yerine getirilmesi için yetkin

kaynakların varlığına dair makul güvence sağlamalıdır ve bu kaynakların denetim baĢlamadan önce sağlamalı/onaylanmalıdır.

2.2.5. Denetim yönetimi, takım üyelerinin denetimi gerçekleĢtirmek için yetkin olmalarını sağlamaktan sorumludur. Takım üyelerinin temel uzmanlıklarının tanımı, eldeki kaynakların etkin kullanımı konusunda faydalı olacaktır.

2.2.6. BS Denetçilerinin deneyimlerini, en iyi uygulamaları ve öğrenilen dersleri, üyelerin yeterliliklerini geliĢtirmek amacıyla paylaĢmaları uygun görülmektedir. Takım üyelerinin yeterlilikleri, takım oluĢturma oturumları, çalıĢma grupları, seminerler, dersler ve diğer etkileĢim yolları ile de geliĢtirilebilir.

2.3. Sürekli Mesleki GeliĢim 2.3.1. BS Denetçisi, yeterliliğin kabul edilebilirlik seviyesini korumak için sürekli bilgi ve becerilerini izlemelidir. 2.3.2. Sürekli mesleki eğitim yoluyla sürdürme eğitim, eğitim kursları, sertifika programları, üniversite kursları, konferanslar,

seminerler, çalıĢma grupları, telekonferanslar, web yayınları ve çalıĢma halkası toplantıları yoluyla olabilir fakat bunlarla sınırlı değildir.

2.3.3. Bilgi ve becerinin elde etme ve yeterliliğin korunmasının seviyesi, sürekli izlenmeli ve bu tür beceriler, bilgi ve yeterlilik düzenli olarak değerlendirilmelidir.

2.4. Değerlendirme 2.4.1. Değerlendirme dürüst, Ģeffaf, kolay anlaĢılır, açık, tarafsız yerine getirilmelidir ve iĢ yapılan çevrede genel kabul görmüĢ

uygulamalar olarak dikkate alınmalıdır.. 2.4.2. Değerlendirme kıstasları ve usulleri açıkça tanımlanmalıdır, fakat coğrafi konum, politik iklim, görevin özellikleri, kültür ve

diğer Ģartlara bağlı olarak değiĢebilir. 2.4.3. Bir denetim firması veya denetçiler grubunun olduğu durumlarda, değerlendirme takımlar arasında veya bireyler arasında

çapraz iĢlevli tarzda yapılmalıdır. 2.4.4. Bir tek bağımsız BS Denetçisi olması durumunda, değerlendirme ikili iliĢki tarafından olanaklı olan sınırlara kadar

yapılmalıdır. Ġkili iliĢkinin olanaklı olmadığı, durumlarda öz değerlendirme yapılmalı ve belgelenmelidir. 2.4.5. Ġç BS Denetçisinin performansının değerlendirilmesi için uygun seviyede bir yönetici gereklidir ve ayrıca uygun veya gerekli

olan yerlerde dıĢ BS Denetçisi(denetçiler) için de aynı Ģey gereklidir. 2.4.6. Değerlendirme sırasında fark edilen boĢluklar uygun bir biçimde giderilmelidir.

151

G30 Yeterlilik(DEVAMI) 2.5. BoĢluk Analizi ve Eğitim 2.5.1. Beklenen yetkinlik seviyesi ve gerçek yetkinlik seviyesi arasında fark edilen boĢluklar, kaydedilmeli ve analiz edilmelidir.

Herhangi bir kaynakta eksiklik var ise, eksikliklerin giderilmesinde yeterli tedbir alınmadıkça denetim görevinin yürütülmesinde faydalanmamalıdır. Fakat, denetim görevi baĢladıktan sonra bozukluğun farkına varılırsa BS Denetçisi/denetim yönetimi eksik kaynağı(kaynakları) geri çekmeyi ve yerlerine yetkin bir kaynak koymayı düĢünmelidir. Fakat zorunluluk durumunda, denetimin sürekliliği açısından o kaynağı kullanmak önerilirse var olan boĢluk denetlenene anlatılmalıdır.

2.5.2. BoĢluğun sebebini ortaya çıkarmak için kök sebep analizinin yapılması ve eğitim gibi düzeltici adımların atılması önemlidir. 2.5.3. Bir denetim için gereken eğitim faaliyetleri denetim baĢlamadan önce ve makul bir sürede bitirilmelidir. 2.5.4. Eğitimin verimliliği, eğitimin bitiminde makul bir zaman sürecinde ölçülmelidir. 2.6. Yetkin Kaynakların Kullanılabilirliği 2.6.1. BS Denetçisi/denetim yönetim,i öneriyi cevaplamadan önce denetim için gereken bilgi ve beceri gereksinimini analiz etmeli

ve değerlendirmelidir, 2.6.2. BS Denetçisi/denetim yönetimi, denetime baĢlamadan önce gerekli bilgi ve becerilere sahip olunduğu konusunda makul

güvence sağlamalıdır. 2.6.3. BS Denetçileri, kendilerini sahip olmadıkları deneyim, yetkinlik ve uzmanlığa sahiplermiĢ gibi göstermemelidirler. 2.7. DıĢ Kaynak Satın Alma 2.7.1 Denetimin herhangi bir bölümünde dıĢ destek veya uzman yardımı alınmıĢsa, bu dıĢ kaynağın gerekli yetkinliğe sahip olduğu

konusunda makul güvence sağlanmalıdır. Bu rehber, bir dıĢ uzman seçimine de uygulanabilir. 2.7.2 Eğer uzman yardımı, sürekli olarak alınmıĢsa bu dıĢ uzmanların yeterliliği düzenli olarak izlenmeli/denetlenmelidir.. 3. MESLEKĠ EĞĠTĠMĠN SÜRDÜRÜLMESĠ 3.1. Mesleki Kurumlara Olan Gereksimin 3.1.1. Mesleki eğitimi devam ettirmek (CPE) bilgi ve becerileri güncellemek ve korumak için kullanılan bir yöntemdir. 3.1.2. BS Denetçileri, ilgili kurumlar tarafından belirlenen CPE politikası Ģartlarına uymalıdırlar. 3.2. Seçilebilir Programlar 3.2.1. CPE programları, bilgi ve becerilerin geliĢtirilmesine yardımcı olmalıdır ve BS güvence, güvenliğinin ve yönetiĢiminin mesleki

ve teknik ihtiyaçlarıyla iliĢkili olmalıdır.. 3.2.2. Mesleki kurumlar, normalde CPE için seçilebilecek programlar önerirler. BS Denetçileri, ilgili mesleki kurumlar tarafından

belirlenen normlara uymalıdırlar. 3.3. CPE kredilerinin iĢlevi 3.3.1. Mesleki kurumlar, normalde CPE kredilerinin gerekliliğini ve güncel tutulmalarını tanımlarlar. BS Denetçileri, ilgili kurumlar

tarafından ortaya konulan bu tür normlara uymak durumundadırlar. 3.3.2. BS Denetçisi, BS Denetçisinin asgari krediler amacı için birden fazla mesleki kuruluĢ ile ilgili olduğu durumlarda, CPE

kredilerinin iĢe yaraması aynı durumun ilgili mesleki kurumlar tarafından çerçevesi çizilmiĢ kurallarla uyumlu olması Ģartıyla amacıyla kendi yargılarını kullanabilir. .

3.4. ISACA‘nın CPE Politikası 3.4.1. ISACA, sürekli mesleki eğitim konusunda üyelerine ve CISA sahiplerine kapsamlı bir politikaya sahiptir. CISA sahibi BS

Denetçileri, ISACA‘nın CPE Politikasıyla uyumlu olmalıdır. Politikanın ayrıntıları ISACA‘nın web sitesinde (www.isaca.org/CISAcpepolicy) görülebilir. Politika aĢağıdakiler için kıstaslar açıklar:

Sertifikasyon Ģartları

Devam formunun onayı


Sürekli mesleki eğitim saatlerinin denetimleri

Ġptal, tekrar gözden geçirme ve baĢvuru

Emekli ve uygulanmayan CISA durumu

Nitelikli eğitim faaliyetleri

Sürekli mesleki eğitim saatlerinin hesaplanması

http://www.isaca.org/CISAcpepolicy

152

G30 Yeterlilik(Devamı) 4. KAYITLAR 4.1. Beceri Matrisleri ve Eğitim Kayıtları 4.1.1. DeğiĢik iĢ seviyeleri için gerekli beceriyi, bilgiyi ve yetkinliği gösteren bir beceri matrisi oluĢturulmalıdır. Bu matris, mevcut

kaynaklar, bilgi ve beceriyle çapraz iliĢkilendirilmiĢtir. Bu matris boĢlukların ve eğitim gereksinimlerinin tanımlanmasında yardımcı olacaktır.

4.1.2. Sağlanan eğitimin kayıtları, eğitim ve eğitimin verimliliği ile ilgili dönütlerle birlikte analiz edilmeli ve gelecek kullanımlar için saklanmalıdır.

4.2. CPE Kayıtları 4.2.1. ISACA dahil ilgili kurumlar tarafından ortaya konulduğu üzere, BS Denetçileri uygun CPE programlarının kayıtlarını tutmakla,

belli aralıklarda tutmakla ve gerekirse denetimler için saklamakla yükümlüdürler. 5. YÜRÜRLÜK TARĠHĠ 5.1. Bu yönetmelik bütün BS Denetimlerinde 1 Haziran 2005 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe

ISACA‘nın web sitesinde (www.isaca.org/glossary) bulunabilir.


153

G31 KiĢisel Bilgilerin Gizliliği 1. ARKA PLAN 1.1 Standartlara Bağlantı 1.1.1 S1 Denetim Yönetmeliği Standardı: ―Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,

sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde belgelenmelidir.‖ ġeklinde ifade eder.

1.1.2. S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder. 1.1.3. S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.

1.2 COBIT Bağlantısı 1.2.1 P08 Yüksek Seviye Kontrol hedefi, dıĢsal gerekliliklere uygunluğu sağlar: ―Yasal, düzenleyici ve sözleĢme

yükümlülüklerini karĢılayan iĢ gereksinimlerini tatmin eden dıĢsal gerekliliklerle uyumu sağlayan BT süreçleri üzerindeki kontrol, bu dıĢsal gereksinimlerin etkilerinin tanımlanmalı ve analizi ve bunlarla uygunluğun sağlanması için uygun önlemlerin dikkate alınmasıyla sağlanır.ve aĢağıdaki konular dikkate alınmalıdır‖: Ģeklinde ifade eder.

• Yasalar, tüzükler ve sözleĢmeler

• Yasal ve düzenleyici geliĢmelerin izlenmesi

• Uyumluluğun düzenli olarak izlenmesi

• Güvenlik ve ergonomi

• KiĢisel bilgilerin gizliliği

• Fikri mülkiyet‖ 1.2.2 Ayrıntılı kontrol hedefi PO8.4, KiĢisel bilgilerin gizliliği, fikri mülkiyet ve veri akıĢı: ―Yönetim, kurumun BT uygulamalarına

uygulanacak kiĢisel bilgilerin gizliliği, fikri mülkiyet, sınır ötesi veri akıĢı ve kriptografik düzenlemelerle uygunluğu sağlamalıdır.‖Ģeklinde ifade eder.

1.3 COBIT Göndermesi 1.3.1 Bu rehberde iĢaret edilen alanlar gözden geçirilirken dikkate alınması gereken belirli COBIT süreci ve hedefleri COBIT‘le

iliĢkilendirilir.. Belirli bir denetimin kapsamı uygulanacak en ilgili COBIT materyalinin seçimi, belirli bir COBIT sürecinin ve COBIT kontrol hedeflerinin ve iliĢkili yönetim uygulamalarının seçimi temeline dayanır. KiĢisel bilgilerin gizliliği konusunda, en ilgili olması dolayısıyla seçilen ve uyarlanan COBIT süreçleri birincil ve ikincil olarak aĢağıdaki biçimde listelenir. Seçilen ve uyarlanan süreç ve kontrol hedefleri, görevlendirmenin özel kapsam ve Ģartlarına bağlı olarak değiĢebilir.

1.3.2 Birincil:

• PO8—DıĢsal gerekliliklerle uygumun sağlanması

• DS5—Sistemlerin güvenliğinin sağlanması 1.3.3 Ġkincil:

• PO7—Ġnsan kaynakları yönetimi

• DS1—Hizmet seviyelerinin tanımlanması ve yönetilmesi

• DS2—Üçüncü kiĢi hizmetlerinin yönetilmesi.

• DS10—Sorunların ve vakaların yönetilmesi

• DS11—Veri yönetimi

• DS13—Faaliyet yönetimi

• M1—Sürecin izlenmesi

• M2—Ġç kontrol eriĢim yeterliliği

• M3—Bağımsız güvence sağlanması

• M4—Bağımsız denetimin sağlanması

1.3.4 KiĢisel bilgilerin gizliliğinin gözden geçirmesiyle en iliĢkili bilgi ölçütleri:

• Birincil—Etkinlik, uygunluk, gizlilik ve bütünlük.

• Ġkincil—Güvenilirlik ve eriĢebilirlik.

1.4.1 Bu Rehberin amacı, kiĢisel bilgilerin gizliliği konusunda BS Denetim iĢlevine iĢaret etmek, gizliliğin ve uygunluğunun değerlendirilmesinde BS Denetçisine yardımcı olmaktır. Bu klavuz, esas olarak BS Denetim iĢlevinde amaçlanmıĢtır; ancak konular diğer durumlarda dikkate alınabilir.

1.4.2 Bu rehber, BS Denetim Standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartları uygularken belirlemelerini kendi uzmanlık ve deneyimi çerçevesinde yapmalı ve bu standartlardan herhangi bir sapma olur ise bu sapmayı gerekçelendirmeye hazır olmalıdır.

154

G31 KiĢisel Bilgilerin Gizliliği (Devamı) 1.5 Rehber Uygulaması 1.5.1 BS Denetçisi, bu Rehberin uygulanmasında ilgili diğer ISACA standartlarını ve rehberlerini dikkate almalıdır.

1.6 BS Denetimi Bağlamında KiĢisel Bilgilerin Gizliliği Tanımı – Sınırları ve Sorumluluklar 1.6.1 KiĢisel bilgilerin gizliliği, tanımlanmıĢ ya da tanımlanabilir bireyin (veri öznesi) bilgiyle ilgili güven ve yükümlülüğe bağlı

kalmaktır. Yönetim, gizlilik politikası ya da gizliliğin yürürlükteki yasalar ve düzenlemelere uygun Ģekilde kiĢisel bilgilerin gizliliğinin sağlanmasından sorumludur..

1.6.2 KiĢisel veri, tanımlanmıĢ ya da tanımlanabilir bireyle ilgili her türlü bilgidir. 1.6.3 BS Denetçisi, kiĢisel veritabanlarında depolananlardan sorumlu değildir, denetçi sadece doğru güvenlik önlemleri alınarak

kiĢisel verinin yasal emirlere göre doğru yönetilip yönetilmediğine kontrol etmelidir. 1.6.4 BS Denetçisi, , Güvenli Liman ve OECD KiĢisel Bilgilerin Gizliliğinin Korunması ve Sınır ötesi Veri AkıĢı gibi sınır ötesi

veri akıĢı gereksinimlerini yürürlükteki gizlilik yasaları ve düzenlemelerini doğrulamak için yönetimin kiĢisel bilgilerin gizliliği politikasını gözden geçirmelidir.. (bakınız referans bölümü).

1.6.5 BS Denetçileri, yönetim tarafından yapılan gizlilik etki analizleri veya değerlendirmelerini gözden geçirmelidir. Bu değerlendirmeler mutlaka:

• ĠĢ süreçleriyle ilgili tanımlanabilir kiĢisel bilgilerin özelliklerini tanımlamalıdır

• Tanımlanabilir kiĢisel bilginin toplanması, kullanımı, açıklanması ve yok edilmesini belgelemelidir

• Riskleri azaltmak için kiĢisel bilgilerin gizliliği riski ve seçeneklerin uygunluğuna dayanan resmi politikalar, faaliyetler ve sistem tasarım kararlarını yapmak için yönetimin uygun bir araca sahip olmasını sağlamak

• KiĢisel bilginin gizliliği bilgilerinin varlığı için hesap verilebilirliğine dair makul güvence sağlanmalıdır

• Ġlgili düzenlemelerle teknik ve yasal uyumluluk analiz süreçleri yapılandırmalı ve tutarlı bir süreç yaratmalıdır

• KiĢisel bilginin gizliliği uygunluğu için bilgi sisteminin yenileme ve güçlendirmesi azaltılmalıdır

• Hazırlanacak bir çerçeveyle, kiĢisel bilginin gizliliği fikrinin doğmasından ve gereksinimlerin analizi aĢamasından son tasarım onayı, fonlama, uygulama ve iletiĢim aĢamalarına kadar sağlanması

1.6.6 BS Denetçileri, bu değerlendirmelerin bir ilk kiĢisel bilginin gizliliği gözden geçirmesinin parçası ve aĢağıdaki yönetim proje değiĢikliklerine göre döngüselliğinin olup olmadığını belirlemelidir:

• Teknolojik değiĢiklikler

• Yeni programlar ya da mevcut programlarda büyük değiĢiklikler

• Ek sistem bağlantıları

• EriĢilebilirliğin geliĢtirilmesi

• ĠĢ süreçlerinin yeniden yapılandırılması

• Veri ambarlaması

• Yeni ürünler, hizmetler, sistemler, operasyonlar, sağlayıcılar ve iĢ ortakları 1.6.7 Herhangi bir kuruluĢ, özellikle dünyanın değiĢik bölgelerine yayılmıĢ kuruluĢlar tarafından uyulması gereken yürürlükteki

kiĢisel bilginin gizliliği yasa ve düzenlemelerinin değerlendirilmesinde, uyulması gereken yasal düzenlemeler açısından BS Denetçileri mutlaka bir uzman görüĢüne baĢvurmalı ve bu yasal düzenlemelere uyuluyor olmasına dair fikir ve rapor hazırlarken gerekli düzenlemeleri tam olarak bilmeli ve sağlamlık testlerini yapmalıdır.

1.6.8 Veri kontrolörü, bu Ģahısça ya da onun adına biri tarafından söz konusu bilginin toplanması, depolanması ya da yayılmasına bakılmaksızın kiĢisel bilgi içeriği ve kullanımı hakkında karar verme salahiyeti olan taraftır.


2.1 Bağlantılı Dünyada KiĢisel Bilginin Gizliliği 2.1.1 Elektronik posta ve küresel ağ (WWW) gibi iletiĢim teknolojilerinin geliĢmesiyle bilginin küresel ölçekte etkin yayılımı olanaklı

olmuĢtur. Basılı kopya ve elektronik/dijital kiĢisel bilginin korunması ve iletiĢim teknolojilerinin etik kullanımını sağlayacak kontroller yerinde olmalıdır. Ayrıca, yasaların küresel olarak geçerliğinin sağlanması için kurumlar kiĢisel bilgiyi koruyacak kontroller uygular. Bu rehber, kiĢisel gizlilik sağlamak için tasarlanmıĢ güvenlik kontrollerinin etkinliğini değerlendirmek için BS Denetçilerinin uygulayacağı ortak ölçütler setini sunmaktadır.

3. BAĞIMSIZLIK

3.1 Bilginin Kaynağı 3.1.1 Denetçi, gizlilikle ilgili yerel düzenlemeleri göz önünde bulundurmalı ve bundan sonra kuruluĢun uyarladığı küresel

düzenlemeleri dikkate almalıdır. KuruluĢ uluslararası bir nitelikteyse, yerel düzenlemeler kuruluĢ politikalarına kıyasla öncelikli ele alınmalı ancak kuruluĢ ikisiyle de uyumlu olmalıdır (örneğin EEUU Ģirketleri için Sarbanes Oxley).

4. MESLEK ETĠĞĠ VE STANDARTLAR

4.1 Bireysel Verinin Korunma Ġhtiyacı 4.1.1 Ġç ve dıĢ kayıtlar/veri kaynakları arasındaki bağlantıların artmakta olan sayısı ve internet kullanımı, hem kamu kurumlarının

hem de özel kuruluĢların gizlilik ihtiyacını artırmıĢtır. YaĢam, sağlık, ekonomi, cinsel tercih, din, siyasi fikir ve benzeri konulara dair bilgiler ilgisiz kiĢilerin eline geçerse, bireyler bundan telafi edilemez zararlar görebilirler.

155

G31 KiĢisel Bilgilerin Gizliliği (Devamı) 4.1.2 Pek çok ülkede kiĢisel bilginin gizliliğiyle ilgili yasalar ve düzenlemeler bulunmakla birlikte bunlar genelde tam olarak

bilinmemekte veya bunlara yeterli önem verilmemektedir. Bu nedenle, BS Denetçisi, kiĢisel bilginin gizliliği konularına dair temel bilgilere sahip olmalı ve gerektiğinde kuruluĢtaki kiĢisel bilginin korunma seviyesini değerlendirebilmek için farklı ülkelerdeki temel farklılıkların farkında olmalıdır.

5. YETERLĠLĠK

5.1 KiĢisel Veri Korunmasına Dair YaklaĢımlar 5.1.1 KiĢisel bilginin uygunluğu, bütünlüğü ve gizliliğinin güven altına alınması amacıyla dijital ya da basılı kopya biçimindeki kiĢisel

bilgiye uygulanacak kurallara ve gereksinimler olmalıdır. Her kurum, her türdeki ve biçimdeki kiĢisel bilgiye korumak için bir yaklaĢımı olmalı ve aĢağıdakileri göz önünde bulundurulmalıdır:

• Gizlilik yönetimi—Yönetim kurulu baĢkanı ya da kuruluĢun baĢındaki kiĢi, kiĢisel bilginin gizliliğiyle ilgili olarak birinci dereceden sorumlu olmalıdır. KiĢisel bilginin kullanımıyla ilgili amaçlar ve en üst rehberler güvenlik politika, amaçları ve stratejisinde tanımlanmalıdır. KiĢisel bilginin kullanılmasının kurum gereksinimleri ve kamusal kural ve düzenlemelerine uygun olduğuna dair makul bir güvence sağlayan belli sıklıktaki değerlendirmeler için kurumsal yöntemler biçimlendirilmelidir. Değerlendirme sonuçları, belgelendirilmeli ve güvenlik politika ve stratejisinde muhtemel değiĢiklikler dayanak oluĢturmada kullanılmalıdır.

• Risk değerlendirmesi—Kurum, kullanımdaki değiĢik kiĢisel bilgiler üzerine genel bir bakıĢ sahibi olmalıdır. Kurum, ayrıca kiĢisel bilgiye karĢı davranıĢlarla bağlantılı kabul edilebilir risk ölçütlerini de belirlemek zorundadır. KiĢisel bilginin sorumluluğu ―VERĠ KONTROLÖRÜ‖ne verilmelidir Veri kontrolörü, güvenlik vakalarının sonuçlarını ve gerçekleĢme olasılıklarını tanımlayan risk değerlendirmelerini yapmaktan sorumludur. Bilgi güvenliğine dair önemli değiĢiklikler olduğunda yeni risk değerlendirmeleri yapılmalıdır. Risk değerlendirmesi sonuçları belgelenmelidir.

• Güvenlik denetimi—Bilgi sistemlerinin kullanımıyla ilgili güvenlik denetimi düzenli aralıklarla yapılmalıdır. Güvenlik denetimleri kurumu, güvenlik çabalarını ve iĢbirliği yapılan ortakları ve sağlayıcıları kapsamalıdır. Sonuçları, raporlanmalıdır.

• Sapma—Kurumsal yöntemlere uygun olmayan ve güvenlik ihlâli olabilecek herhangi bir bilgi sistemi kullanımına, sapma olarak değerlendirilmelidir. Sapma yaklaĢımının amacı, normal koĢulları yeniden oluĢturmak, sapmaya yol açan nedeni ortadan kaldırmak ve tekrar etmesini engellemektir. Eğer sapma gizli bilginin yetkisiz açıklanmasına yol açmıĢsa, yetkili yerel mercilerin bilgilendirilmesi gereği doğabilir. Sonuçları, belgelenmelidir.

• Kurum—Bilgi sistemlerinin, kullanım sorumluluğu oluĢturulmalı ve yazılı Ģekilde belgelenmelidir. Bu sorumluluk, uygun idari yetki verilmeksizin bu değiĢtirilemez olmalıdır. Bilgi sistemleri, bilgi güvenliğini tatminkâr seviyede sağlayacak biçimde yapılandırılmalıdır. Konfigürasyon, belgelenmeli ve sadece uygun idari yetki çerçevesinde değiĢtirilebilir olmalıdır.

• Atama: ÇalıĢanlar kiĢisel bilgileri görevlerine göre kullanmalı ve gerekli yetkiye sahip olmalıdırlar. Ayrıca, çalıĢanlar, kiĢisel bilgiyi kurumsal yöntemlere uygun biçimde kullanabilecek bilgiye sahip olmalıdırlar. Bilgi sistemlerinin yetkili kullanımı, kayıt altına alınmalıdır..

• Mesleki gizlilik—Personel, resmi bir anlaĢma imza ederek gizliliğin gerekli olduğu noktalarda kiĢisel bilgiyi açıklamayacağını kabul etmelidir. Mesleki gizlilik aynı zamanda bilgi güvenliği açısından önemli bilginin gizliliğini de kapsamalıdır.

• Fiziki güvenlik—KiĢisel bilginin iĢlendiği teknik donanıma yetkisiz eriĢimi engelleyecek önlemeleri almak da kurumun sorumluluğundadır. Bu güvenlik önlemleri bilgi güvenliği açısından önemli sayılan diğer teknik donanımı da içermelidir. Donanım, kiĢisel bilgiye bir tehdit oluĢturmayacak biçimde kurulmalıdır.

• Gizlilik—Kurum, gizliliğin gerekli olduğu yerlerde kiĢisel bilgiye yetkisiz eriĢimi engellemek için önlem almalıdır. Güvenlik önlemleri ayrıca bilgi güvenliği açısından önemli diğer bilgilere yetkisiz eriĢimi de engellemelidir. DıĢarıdaki ortaklara elektronik olarak aktarılacak gizli kiĢisel bilgi mutlaka kriptolanmalı veya bir baĢka yolla güvenlik altına alınmalıdır. Gizli kiĢisel bilgi taĢıyan depolanmıĢ veri uygun biçimde iĢaretlenmelidir.

• Bütünlük—KiĢisel bilginin yetkisiz değiĢtirilmesine karĢı bütünlüğün makul güvencesini sağlayan önlemler alınmalıdır. Güvenlik önlemleri, ayrıca bilgi güvenliği açısından önemli diğer bilgilere yetkisiz eriĢimi de engellemelidir. Ayrıca, zararlı yazılımlara karĢı da önlemler alınmalıdır.

• EriĢebilirlik—KiĢisel bilgiye eriĢmenin, makul güvencesini sağlamak için önlemler alınmalıdır. Güvenlik önlemleri, ayrıca bilgi güvenliği açısından önemli diğer bilgileri de kapsamalıdır. Normal iĢletim süreçlerinde yaĢanacak kesintiler sırasında bilgiye eriĢimi makul seviyede güvence altına alacak yedekleme ve geriye döndürme yöntemleri oluĢturulmalıdır. Uygun yedekleme yöntemleri, oluĢturulmalıdır.

156

G31 KiĢisel Bilgilerin Gizliliği (Devamı)

• Güvenlik önlemleri—Güvenlik önlemleri, bilgi sistemlerinin yetkisiz kullanımını ve yetkisiz eriĢim giriĢimlerini önlemek için yerinde oluĢturulmalıdır.. Bütün yetkisiz eriĢim teĢebbüsleri, sistem kayıtları oluĢturulmalıdır.

• Güvenlik önlemlerinin kapsamı personel tarafından etkilenmemeli ve atlatılamamalı, ayrıca kiĢilere karĢı alınacak yasal önlemleri kısıtlamamalıdır. Güvenlik önlemleri belgelenmelidir.

• DıĢ ortaklara yönelik güvenlik—Veri kontrolörü, dıĢ ortaklara ve satıcılara karĢı sorumlulukları ve yetkileri açıklaĢtırmaktan sorumludur. Sorumluluklar ve yetkiler, yazılı Ģekilde belgelendirilmelidir. Veri kontrolörü, ortakların ve satıcıların güvenlik stratejileri hakkında doğru bilgiye sahip olmalı ve stratejinin yeterli güvenlik seviyesini sağladığını düzenli olarak kontrol etmelidir.

• Belgeleme—Bilgi sistemi ve bilgi güvenliğiyle ilintili diğer bilginin kullanım yöntemleri belgelenmelidir. Belgeler, ulusal yasa ve düzenlemelere uygun Ģekilde muhafaza edilmelidir. Bilgi sistemi vaka kayıtları, en azından üç ay boyunca saklanmalıdır. Politika, standartlar ve usuller kiĢisel bilginin onaylı kullanımını belirtecek Ģekilde kullanılmalıdır.

• Farkındalık ve eğitim oturumları—Bunun amacı, çalıĢanlar ve sağlayıcılar, özellikle müĢterilerin kiĢisel bilgilerini elinde tutanlara (örneğin müĢteri hizmetleri) gizlilik politikası hakkında bildirimde bulunmak, onların bu politikaların farkında olmasını sağlamaktır.

6. PLANLAMA 6.1 Farklı Ülkelerin KiĢisel Bilginin Gizliliği Yasalarının Ġlkelerine ve BaĢlıca Farklılıklarına Genel BakıĢ 6.1.1 Çoğu ülkeler, kendi gizlilik düzenlemelerini yapmıĢtır. Temel ilkeler genelde aynıdır, ancak kiĢisel verinin tanımı, uygulanacak

temel güvenlik önlemleri ve benzer açılardan farklılıklar vardır. Bu farklılıklar, BS Denetçisinin rolünü etkileyebilir, özellikle görev birden fazla ülkenin varlığını içeriyorsa ve/veya farklı alanlarda muhafaza yapılıyorsa bu sonuç doğabilir.

6.1.2 Tablo 1 Ekonomik ĠĢbirliği ve Kalkınma Örgütü (OECD) tarafından 1980 yılında basılan ve 2002 yılında gözden geçirilen ―KiĢisel Bilginin Sınır Ötesi AkıĢı ve Gizliliğinin Korunmasına Dair OECD Rehberleri‖ kapsamındaki genel ilkleri listeler.

Tablo 1 – GENEL ĠLKELER

No ĠLKE AÇIKLAMA

1 Toplama sınırları KiĢisel verinin toplanması, veri sahibinin bilgisi ve açık rızası olması durumunda olanaklıdır.

2 Veri kalitesi KiĢisel verinin ilgili kullanım amaçları ve bu amaçlar için ne kadar gerektiği açıkça belirli, tam ve güncel olmalıdır.

3 Amaç özellikleri KiĢisel veri toplama amacı, veri toplandıktan sonra değil toplanırken açıklanmalı ve bu verinin kullanımı bu amaç ya da bu amaçla uyuĢmazlık içermeyen diğer amaçlar doğrultusunda kısıtlı olmalı ve amacın değiĢmesi durumu açıkça belirtilmelidir.

4 Kullanım kısıtları KiĢisel veri açıklanamaz, kullanılır hale getirilemez ya da yukarıda belirtilen amaçlar dıĢında (veri sahibinin açık izni veya yasal bir zorunluluk olmadığı sürece) kullanılamaz.

5 Güvenlik önlemleri KiĢisel bilgi, makul güvenlik önlemleri alınarak veri kaybolma, yetkisiz eriĢim, yok etme, kullanma, değiĢtirme ve açıklanma gibi risklere karĢı korunmalıdır.

6 Açıklık KiĢisel bilgiyle ilgili politikalarda, uygulamalarda ve geliĢmelerde genel bir açıklık politikası uygulanmalıdır. KiĢisel bilginin özellikleri ve varlığını oluĢturmak için kullanılabilir araçlar olmalı ve bu araçların temel kullanım amaçları ile veri kontrolörünün kimlik ve ikametgahı belirli olmalıdır.

7 Bireysel katılım 1 Herhangi bir birey veri kontrolöründen, kendisine dair bir bilginin olup olmadığının doğrulamasını alma hakkına sahiptir.

8 Bireysel katılım 2 KiĢi, kendisi hakkındaki bilgiyle ilgili olarak aĢağıdaki koĢullarda kendisine bildirimde bulunulması hakkına sahiptir:

Makul bir zaman içinde

Makul, eğer varsa, bir maliyetle

Makul bir yolla

Kendisi tarafından anlaĢılır biçimde

9 Bireysel katılım 3 Örneğin 7 ve 8‗de yer alan ilkelerden birisi gibi makul talepleri olan bireylerin bu talepleri reddedilirse nedeni belirtilmeli ve bu nedene itiraz edilebilmesi olanaklı olmalıdır.

10 Bireysel katılım 4 Her birey, kendisi ile ilgili veriye itiraz hakkına sahiptir ve eğer itiraz haklıysa veri silinir, değiĢtirilir, tamamlanır ya da ayarlanır.

11 Bireysel katılım 5 Bireyin kendi bilgilerinin kullanılması ya da depolanmasıyla ilgili fikirleri değiĢtiğinde, ilgili Ģirketle iletiĢim kurmasını sağlayacak usuller oluĢturulmalı ve bu değiĢiklik bu verinin kullanıldığı bütün sistemlere ve düzlemlere yansıtılmalıdır.

12 Veri kontrolörünün sorumluluğu

Veri kontrolörü, yukarıda ifade edilen ilkelerin etkierinin ölçümünün uyumlaĢtırılmasından sorumludur.

157

G31 KiĢisel Bilgilerin Gizliliği 6.1.3 Yukarıda belirtilen ilkeler temelinde, Tablo 2‘deki kontrol listesi değiĢik ülkelerin konuya dair düzenlemelerini kıyaslamayı

olanaklı kılmakta ve bu ilkelerin nasıl uygulandığını kabaca göstermektedir. Tablodaki ―REF‖ kısmı Tablo 1‘de açıklanan ilkelerle, iliĢkilendirmeleri ifade etmektedir.

Tablo 2 – KONTROL LĠSTESĠ

No REF. Sorular

1 1 KiĢisel verinin her türlü iĢlenmesi için ona ait verinin toplanması bireyin açık rızasını almadan ya da, yasaların açık bir biçimde bunun yapılmasını öngörmesi durumu da dahil olmak üzere kiĢi ile bir sözleĢme yapmadan OLANAKLI MIDIR? Kamu güvenliği veya ulusal güvenlik konuları dıĢında, yasal yetkili ve veri toplayıcı dıĢındaki yetkilinin yapması gerekenler.

2 1 KiĢisel veriye ulaĢması/kullanması gereken üçüncü taraflar için de kiĢisel verinin toplanmasına/iĢlenmesine dair açık rıza alınmalı mıdır (örneğin dıĢ kaynaklılık) ve asıl muhataba verilenin dıĢında bir yazılı izin üçüncü taraf için de gerekli midir (diğer bir deyiĢle, veri sahibinin açık ve net yetkilendirmesi olmadan veri kontrolörü üçüncü kiĢilere eriĢim vermemesi)?

3 2 Veri kontrolörleri, düzenli olarak veri doğruluğunu doğrulamak, güncellemek, ilgisiz/gereksiz/tarihi geçmiĢ (süreç amacına göre) bilgiyi silmek zorunda mıdır?

4 3 Veri kontrolörleri veri toplama kapsamını veri sahibine iletmek zorunda mıdırlar?

5 3 Veri kontrolörleri toplanan veriyi kullanacak olanları veri toplanırken veri öznesine bildirmek ve kullanımı bunlarla sınırlamak zorunda mıdır?

6 3 Toplanan verinin kullanım amacı/ süreci konusunda yapılacak bir değiĢiklik için veri kontrolörü veri sahip(leri)i ile iletiĢim kurmak ve onay almak zorunda mıdır?

7 4 Veri öznesi veya özneleri tarafından açıkça açıklanma veya kullanılma izni verilmemiĢ yasaklı bilginin kullanılmasını önleyen kısıtlamalar var mıdır?

8 5 Verinin yetkisiz açıklanması/kullanılmasını önlemek için veri kontrolörünün istemesi gereken asgari güvenlik önlemleri gerekliliği var mıdır?

9 5 Veri kontrolörü, bir güvenlik planı hazırlamak ve bunu düzenli olarak güncellemek zorunda mıdır?

10 5 Veri kontrolörü düzenli olarak risk değerlendirmesi yapmak zorunda mıdır?

11 5 Veri kontrolörünün Ģirketinde çalıĢan herhangi bir bireyin veri öznesinin herhangi bir bilgisine eriĢimi için özgün bir Ģeffaflık ve tanımlılık gerekliliği var mıdır?

12 6 Bir Ģahıs ya da kurum olarak toplanan/iĢlenen verinin doğası gereği veri kontrolörünün kimliğini bildirilir mi?

13 6 KiĢisel bilginin korunması için yapılması gerekenlere dair personele yönelik farkındalık programları ya da eğitim var mıdır?

14 7 Veri sahibi, bilginin varlığına veya özelliklerine dair bilgiyi veri kontrolöründen alabilir mi?

15 7 Veri sahibi, kendine ait bilgiyi veriyi veri kontrolöründen alabilir mi ve bunu doğrulayabilir mi?

16 8 15 ve 16. Soruların yanıtlanması için belirlenmiĢ en uzun süreler var mıdır? Evet, bilgi makul bir zaman dilimi içinde ve anlaĢılır bir biçimde sağlanmalıdır.

17 9 Veri sahibi, kendine ait veri/iĢlem olup olmadığını öğrenmek için veri kontrolörüyle iletiĢim kurmak istediğinde reddedilebilir mi?

18 10 Veri sahibi, kendine ait veriyi veri kontrolörüne sildirtebilir mi? Evet

19 11 Veri sahibi, daha önceden izin vermiĢ olsa bile istediği zaman bu rızasını geri çekebilir mi?

20 12 Yukarıdaki ilkeler uymayan veri kontrolörlerine uygulanacak yaptırımlar var mıdır?

21 12 Yukarıdaki ilkeler uyduğunu doğrulamak için görevli veri kontrolörlerine kurumlar sahip midir?

7. DENETĠM ĠġĠ PERFORMANSI 7.1 Kurumun KiĢisel Bilginin Gizliliği Uygulamaları ve Süreçlerinin Gözden Geçirilmesi 7.1.1 BS Denetçisi, denetim planlama sürecini iyice anlamıĢ olmalıdır. Bir denetim programı, denetimin kapsamı, amacı ve

zamanlaması içerecek Ģekilde geliĢtirilmelidir. Denetim programında, rapor düzenlenmesi açıkça yer almalıdır. 7.1.2 Kurumun özellikleri ve büyüklüğü, ayrıca paydaĢlar dikkate alınmalıdır. Sınır ötesi iliĢkilerin (hem ülke içinde hem dıĢında)

bilgisine sahip olmak önemlidir ve denetimin kapsam ve zamanının belirlenmesine yardımcı olur.

158

G31 KiĢisel Bilgilerin Gizliliği (Devamı) 7.1.3 BS Denetçisi, kurumun görev ve iĢ amaçlarını, kurum tarafından toplanan ve kullanılan verinin türünü, gizlilik gereksinimlerini

de içerebilecek, kurumu bağlayıcı yasama çıktılarını iyice anlamıĢ olmalıdır. Ayrıca, bilgi yöneticilerini ve sahiplerini de içerebilecek olan önemli konumdaki personelin rol ve sorumluluklarını da belirleyen kurumsal yapının iyi bilinmesi de gerekmektedir.

7.1.4 Denetim planlama aĢamasının temel amacı, gizlilikle ilgili yasalara ve düzenlemelere uyulmaması durumunda kurumun karĢılaĢacağı riskleri iyi anlayabilmektir.

7.2 GerçekleĢtirilecek Adımlar 7.2.1 BS Denetçisi, ön gizlilik değerlendirmesi yaparak, ilgili gizlilik düzenlemelerine uyum sağlanmadıysa bunun kuruma olan

etkilerini belirlemeye çalıĢır. Bu aynı zamanda gözden geçirmenin kapsamının tanımlanmasına yardım eder ve toplanan, depolanan ve kurum içinde değiĢik amaçlarla kullanılan bilginin türü göz önünde bulundurulmalıdır.

7.2.2 BS Denetçisi, aĢağıdakilerin kurum tarafından sağlanıp sağlanmadığını belirlemelidir:

• Gizlilik politikası

• Gizlilik Memuru

• Veri kontrolörü

• KiĢisel bilginin gizliliği bağlamında eğitim ve farkındalık planı

• KiĢisel bilginin gizliliği Ģikayet yönetimi süreci

• KiĢisel bilginin gizliliği yasaları gereği olarak yürütülen gizlilik denetimleri rejimi

• DıĢ kaynaklar ve taĢeronlar için kiĢisel bilginin gizliliği gereksinimleri Eğer, bunlar mümkün ise, ilgili kiĢisel bilginin gizliliği düzenlemeleriyle paralelliğin sağlanmasıyla ilgili olarak BS Denetçisi tarafından değerlendirilmelidir.

7.2.3 BS Denetçisi, kiĢisel bilginin gizliliği etki analizini yapmalıdır. AĢağıdakileri kapsamalıdır:

• Gizlilik düzenlemelerine uygun davranmamanın risklerinin tanımlanması, çözümlenmesi ve öncelik verilmesi

• Kurumda uygulanmakta olan çeĢitli gizlilik önlemlerinin anlaĢılması

• Zayıflıkların ve güçlü yanların değerlendirilmesi

• GeliĢtirme stratejileri önerileri 7.2.4 Gizlilik gözden geçirmesinin sonuçlarını içeren bir rapor, BS Denetçisince yazılmalıdır. Rapor, amaç ve kapsam çerçevesini

çizmeli, kurum tarafından toplanan, depolanan ve kullanılan bilginin ve verinin türüne dair bir özet sağlamalıdır. 7.2.5 Rapor kurumun gizlilikle ilgili karĢılaĢabileceği risklere dair bilgiyi da içermeli ve var olan risk azaltma önlemleri ya da kiĢisel

bilgiyi koruma stratejileri özeti içermelidir. 7.2.6 Gizlilik gözden geçirmesinde tanımlanan yetersiz önlemlerden ya da risk azaltma önlemlerinin yokluğundan kaynaklanabilen

zayıflıklar bilgi sahiplerinin ve gizlilik politikasının sorumlu yönetiminin dikkatine sunulmalıdır. 7.2.7 Gizlilik gözden geçirmesi süresince tanımlanan zayıflıklar, kayda değer ve önemli sayılmalı, uygun yönetim seviyesine ivedi

olarak düzeltici eylemlerin uygulanması önerilmelidir. 7.2.8 BS Denetçisi, uygun önerileri raporunda içererek kurumun gizlilik kontrollerini güçlendirme fırsatı sağlamalıdır. 8. RAPORLAMA 8.1 Güvenlik Önlemleri Doğrulama Düzenlemeleri 8.1.1 Yerel gizlilik düzenlemeleri, kiĢisel verinin uygun bir biçimde yetkisiz eriĢim, uygunsuz açıklanması, değiĢtirilmesi ve/veya

kaybolması risklerine karĢı düzenli Ģekilde korunmasının sağlanmak için yerinde güvenlik önlemlerinin alınmasını gerektirebilir.

8.1.2 AĢağıdaki liste, yerel güvenlik gereksinimlerinin sağlanmasını güvence altına almaya yardım edecek anahtar kontrollerdir. Yerel yasa ya da düzenlemelerin ek önlemler gerektirebileceğini unutmayınız. BS Denetçisi, denetime baĢlamadan önce bu tablonun uygulanabilirliğini ve tamlığını, Tablo 2, bölüm 6.1.3‘de belirtildiği gibi, kontrol etmelidir.

8.2 Araçların Yeniden Kullanımı 8.2.1 KiĢisel veri içeren belge ve ortamların sorumluluğunu taĢıyan personelin gerekli dikkatle davranmasını makul bir güvence

altına alacak resmi yollar oluĢturulmalı ve doğrulanmalıdır. 8.2.2 Daha önce kiĢisel bilgi içeren bir araç (örneğin elektronik/dijital ya da kâğıt) yeniden kullanılmadan önce, eski bilgilerin

tamamının silindiğinin makul güvencesini sağlamak zorunlu olmalıdır. Bazen, veri hassaslığına ya da ortam özelliklerine bağlı olarak aracın kendisini yok etmek gereklidir..

8.3 Eğitim 8.3.1 Güvenlik eğitimi, kiĢisel veri ile ilgilenen bütün personel için mutlaka düzenli olarak uygulanmalıdır. 8.4 EriĢim Kontrolü 8.4.1 Genel bir ilke olarak, ―BĠLMESĠ GEREKEN‖ felsefesi uygulanmalıdır (örneğin, her kiĢi sadece kendi iĢini yapması için gerekli

ve yeterli olan dosyalara eriĢim olanağına sahip olmalıdır). 8.4.2 EriĢim ayrıcalıkları ve kullanıcı kimlikleri, bu politikalara göre atanmalıdır. 8.4.3 Bir çalıĢan ayrıldığında veya baĢka bir bölüme ya da göreve atandığında, kullanıcı kimliğinin güncellenmesi ya da silinmesini

düzenleyen yazılı usuller olmalı ve doğrulanmalıdır. 8.4.4 KiĢisel bilgisayarların kullanılmasıyla ilgili uygun yönlendirmeler sağlanmalı ve doğrulanmalıdır. Düzenli veri yedeklemesi

yapılması ihtiyacını, düzenli veri yedekleme gerçekleĢtirme ihtiyacı, iĢ istasyonlarına sürekli açık bırakılmaması gibi veri güvenliği ile ilgili her konuyu kapsamalıdır.

8.4.5 Güvenlik duvarı gibi güvenlik araçlarının kullanılmasıyla iç ağ yeterli seviyesi de korunmalıdır. 8.4.6 Tanımlanan sınırlı zaman dilimleri içerisinde, kiĢisel veri arĢivlerini yeniden yapılandırmak için acil durum planlarının varlığı

doğrulanmalıdır. 8.5 Bakım ve Destek 8.5.1 Her bakım ve destek eriĢimi, sistemde kayıt edilmeli ve izlenmelidir. 8.6 Veri Bütünlüğü 8.6.1 Her iĢ istasyonuna virüs korunma yazılımlarıyla makul bir güvence sağlaması ve seçilen bir virüs korunma yazılım Ģirketi

aboneliği ile bunun düzenli güncellenmesi sağlanmalıdır.

159

G31 KiĢisel Bilgilerin Gizliliği (Devamı) 8.6.2 ĠĢletim sistemi ve kullanılan her yazılım sağlayıcısı, yama/güncelleme açısından düzenli olarak kontrol edilmelidir. 8.6.3 Veri yedeklemesi, sunucularda, ana bilgisayarlarda ve kişisel bilgisayarlarda düzenli ve planlı olarak uygulanmalıdır. 8.7 Tesislere EriĢim Kontrolü 8.7.1 Kurum tesislerine giriĢ yapan herkes kayıt altına alınmalıdır. ÇalıĢma saatleri dıĢında tesislere gelen çalıĢanlar, kayıt altına

alınmalıdır. 8.8 Risk Analizleri 8.8.1 KiĢisel veri risklerini tanımlayan ve muhtemel açıkları kapsayan bir risk analizi düzenli aralıklarla yapılmalıdır. 9. YÜRÜRLÜK TARĠHĠ 9.1 Bu rehber 1 Haziran 2005 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web

sitesinin www.isaca.org/glossary adresinde bulunabilir.

EK

Kaynaklar

―AICPA/CICA Privacy Framework,‖ American Institute of Certified Public Accountants (AICPA) and Canadian Institute of Certified Accountants (CICA), 2003

―Privacy : Assessing the Risk,‖ The Institute of Internal Auditors (IIA) Research Foundation, April 2003

―OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,‖ Organisation for Economic Co-operation and Development (OECD), 1980, 2002

―Guidelines for the Regulation of Computerized Personal Data Files,‖ Office of the United Nations High Commissioner for Human Rights, 1990

―The International E-commerce Standard for Security, Privacy and Service (Business to Business),‖ International Standards Accreditation Board (ISAB), IES: 2000 (B2B), 2000

―The International E-commerce Standard for Security, Privacy and Service (Business to Consumer),‖ International Standards Accreditation Board (ISAB), IES: 2000 (B2C), 2000

―Safe Harbor Privacy Principles,‖ US Department of Commerce, USA, 21 July 2000

―US Department of Commerce Safe Harbor,‖ US Department of Commerce, USA, www.export.gov/safeharbor


160

G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi

1. ARKA PLAN

1.1 Standartlarla Bağlantı 1.1.1. S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için

gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.

1.2 COBIT Bağlantısı 1.2.1 DS4 Hizmet Sürekliliğinin sağlanması, yüksek seviye kontrol hedefi ―Daimi hizmeti sağlayan BT süreci üzerindeki

kontrol, BT hizmetlerinin kullanılabilirliğini gerektiği gibi sağlayarak iĢ gereklerini karĢılar ve büyük bir kesinti durumunda iĢin bundan en az etkilenmesini sağlar.‖ Ģeklinde ifade eder.

1.3 COBIT Referansı 1.3.1 Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, COBIT BS süreçlerinin seçimine ve COBIT

kontrol amaçlarının göz önünde bulundurulması ve iliĢkili yönetim uygulamaları temeline dayanır. BT bakıĢıyla BCP gözden geçirmesinde, en uygun COBIT süreçleri aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan kontrol hedefleri ve süreçler belirlenmiĢ kapsama ve ilgili görev koĢullarına göre değiĢebilir.

1.3.2 Birincil:

• PO9—Risk değerlendirmesi

• AI6—DeğiĢiklik yönetimi

• DS1—Hizmet seviyelerinin tanımlanması ve yönetilmesi

• DS4—Hizmet sürekliliğinin sağlanması

• DS10—Sorun ve vakaların yönetimi

• DS11—Veri yönetimi

• DS12—Tesislerin yönetimi

• DS13—Operasyonların yönetimi 1.3.3 Ġkincil:

• PO4—BT yapısını ve iliĢkilerini tanımlama

• PO8—DıĢ gerekliliklere uyumun sağlanması

• PO7—Ġnsan kaynakları yönetimi

• AI5—Sistemlerin kurulumu ve akreditasyonu

• DS2—Üçüncü taraf hizmetlerinin yönetimi

• DS5—Sistemlerin güvenliğinin sağlanması

• DS9—Konfigürasyon yönetimi

• M1—Süreçlerin izlenmesi 1.3.4 BCP gözden geçirmesiyle en ilgili bilgi ölçütleri:

• Birincil—Etkinlik, verimlilik, eriĢebilirlik ve uygunluk

• Ġkincil—Gizlilik, bütünlük ve güvenirlik

1.4 Rehberin Amacı 1.4.1 Günümüzün karĢılıklı bağımlı ekonomilerinde kurumlar, teknik aksaklıklar dolayısıyla iĢ yıkımı yaĢamaya karĢı her

zamankinden daha açıktırlar. Virüslerden ve siber teröristlerden kaynaklanabilecek bir yıkım, iĢ açısından gerekli olan bilginin eriĢilebilirliğini, bütünlüğünü ve gizliliğini etkileyebilir.

1.4.2 BCP‘nin temel amacı, kurum operasyonlarının ve/veya bilgi sistem hizmetlerinin tamamen ya da kısmen kullanılmaz hale gelmesiyle ortaya çıkacak riskleri yönetmek ve bu durumun etkilerinin üstesinden gelerek eski duruma dönmeye yardımcı olmaktır.

1.4.3 Bu Rehberin amacı, BT bakıĢıyla iĢ süreklilik planı (BCP) gözden geçirmesinde yapılması önerilenleri tanımlamaktır. 1.4.4 Rehberin diğer bir amacı, hem birincil hem ikincil kontrol hedeflerinin kurum içinde uygulandığı gibi BT bakıĢ açısından

kontrolleri ve BCP iĢlemleriyle ilgili riskleri tanımlamak, belgelemek, test etmek ve değerlendirmektir. 1.4.5 Bu rehber, BT bakıĢıyla iĢ süreklilik planının gözden geçirmesinde faydalı, ilgili, güvenilir ve yeterli denetim kanıtı edinimi için

BS Denetim Standardı S6 Denetim Performansı uygulamasına yol göstericidir. BS Denetçisi, yukarıdaki standartların uygulanmasının nasıl baĢarılacağını göz önünde bulundurmalı ve uygulamalarda mesleki yargısını kullanmalı ve standartlardan herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.

1.5 Rehber Uygulaması 1.5.1 Bu rehber, BT bakıĢıyla bir kurumda BCP gözden geçirmesi yapılırken kullanılır. 1.5.2 Bu rehber kullanılırken, BS Denetçisi ilgili diğer ISACA standartlarını ve Rehberlerini dikkate almalıdır.

161

G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirmesi(Devamı)

1.6 Teknik terimler 1.6.1 Kısaltmalar:

• ĠĢ Süreklilik Planı (BCP)

• ĠĢ Etki Analizi (BIA)

• Felaket Kurtarma Planı (DRP) 1.6.2 ĠĢ süreklilik planı ile kastedilen, ileri seviyede düzenlemeler ve usuller geliĢtirerek kurumun kesintilerde, kritik iĢlevlerinin

kesintiler yaĢandığında veya temel değiĢiklikler yapıldığında bile belirlenen seviyelerde devam edebilmesini sağlayan plandır. BCP daha basit bir anlatımla, , mümkün ise engelleyici bir yöntem belirlemek ve bir çökme durumunu yönetme, çökmenin sonuçlarının etkisini iĢin kaldırabileceği seviyeye çekme amacıyla kullanılan bir planlamadır.

1.6.3 BCP terim,i iĢ süreklilik planının bütün süreçlerine iĢaret eder; diğerleri yanında bu plan kapsamında teknolojik, düzenleyici, iĢe ve insana dair yanlar vardır.

1.6.4 BCP, rol ve sorumlulukları tanımlar ve yüksek eriĢebilirlik seviyesini güvence altına alma ve ĠĢ Etki Analizine dayalı sistem güvenirliği gereksinimini karĢılamak için kritik bilgi teknolojileri, iĢletim sistemleri, ağlar, personel, tesisler, veri dosyaları, donanım ve zaman çerçevelerini tanımlar. BCP, bir çökme öncesinde, sırasında ve sonrasında yapılması gereken, birbiriyle tutarlı hareketler bütünüdür. Ġdeal olarak BCP, bir çökme sırasında dahi iĢlerin sürmesini sağlar ve yıkıcı bir kesinti durumunda dahi kritik bilgi sisteminin varlığını sürdürmesini sağlar.

1.6.5 BIA, kritik iĢ iĢlevlerini ve iĢ akıĢını tanımlamayı, yıkımın nicel ve nitel etkilerinin ve öncelikli iyileĢtirme zaman amaçlarının (RTO) belirlenmesini içerir.

1.6.6 DRP, BCP‘nin bir anahtar unsuru olarak, BCP‘nin teknolojik yanına iĢaret eder – ileri planlama ve kayıpları en aza indirecek hazırlıkların yapılması ve felaket durumunda kritik iĢ iĢlevlerinin sürekliliğini sağlar. DRP felaket öncesi, esnası ve sonrası için tutarlı hareketleri içerir. DRP yapısı, kuruluĢun bütün iĢ süreçlerini kapsayan tam planlama süreçlerinden yapılandırılmıĢtır. Felaket kurtarma stratejileri, farklı yerlerin (sıcak, ılık, soğuk siteler) kullanımını, kullanılmayan veri merkezleri, karĢılıklı anlaĢmalar, telekomünikasyon bağlantıları, felaket sigortası, ĠĢ Etki Analizleri ve yasal sorumlulukları içerir.

2. BT AÇISINDAN BCP‘YE GENEL BAKIġI 2.1 BT BakıĢından BCP Unsurları 2.1.1 BCP BT unsurları, iĢ süreçlerinin desteklenmesinde kritik öneme sahip BT operasyonlarının, usullerin yeniden

bütünleĢtirilmesinin, uygulamaların, iĢletimlerin, veri depolamanın, ağların ve tesislerin eriĢilebilirliğini güvence altına alan müdahale ve kurtarma süreçlerini tanımlar.

2.1.2 BCP unsurları arasında Ģunlar yer alır:

• Tanımlama—Muhtemel iĢ tehdit ve risklerini tanımlamak.

• Önleme—Vaka ihtimalini sıfırlamak ya da en aza indirmek.

• Tespit—Kurumun acil durum yaĢadığını gösteren koĢulları tanımlamak.

• Bildirim—Acil durum ilan edilecek koĢulları tanımlamak ve bu ilanı yapacak kiĢi(leri)yi tanımlamak.

• Tırmanma—Aciliyetin tırmanma koĢullarının belirlenmesi ve acil durum sırasında kiĢi(leri)yi ve tırmanma sırasını tanımlamak.

• Sınırlandırmak—Vakanın müĢteriler, tedarikçiler, hizmet sağlayıcılar, paydaĢlar, çalıĢanlar, varlıklar, kamu ve iĢ süreçlerindeki etkisini en aza indirmek ya da sınırlamak için gerekli faaliyet listesinin acil Ģekilde tanımlanması.

• Uygulama—Acil durum ilanı için izlenecek faaliyetlerin tam listesinin belirlenmesi (Tesis dıĢında sürecin yapılması, yedekleme iyileĢtirmesi, tesis dıĢı ortam ve rehberler, çalıĢanların nakli ve dağıtımı ve tedarikçi sözleĢmeleri gibi).

• ĠyileĢtirme—ĠyileĢtirme, ileri seviyede yapılan planlama ve hazırlıkla, bir felaket durumunda, kabul edilebilir bir süre içinde iĢin en az etkilenmesini sağlayarak (Finansal kayıplar, saygınlığın zedelenmesi gibi) ve en hızlı iyileĢtirmeye ve kritik iĢ süreçlerini destekleyen temel teknolojik varlıkların iĢlevlerini yerine getirmesini desteklemeye yönelik bir yaklaĢımdır. Gözden geçirilmesi gereken temel yanları Ģunlardır:

– Yeniden baĢlama—Felaket sonrasında, kritik ve zamana karĢı duyarlı süreçlerin yeniden baĢlaması ve aksamalar arası ortalama süre öncesidir (MTBF)

– Diriltme—Temel ve zamana karĢı daha az duyarlı olan, kritik süreçlerin yenidene baĢlamasıyla ilgili süreçlerin diriltilmesi

– Onarma—Alanın asıl durumuna gelecek biçimde yenilenmesi ve onarılması ve iĢ süreçlerinin tam olarak yeniden baĢlaması ya da tam olarak yeni bir yerin çalıĢtırılmaya baĢlamasıdır

– Yeniden YerleĢme—Kesintiye bağlı olarak yeni bir yerde, geçici ya da daimi olarak konumlanmak. Yeni den yerleĢme, her türlü kesintide gerek duyulabilecek bir önlem değildir.

– Kriz yönetimi—Kurumun, kurumsal kârı, ünü ve iĢleme yeteneği üzerinde ortaya çıkabilecek etkilere, zamanında zarardan kaçınacak veya en aza indirecek biçimde eĢgüdüm halinde toplam tepkinin verilemesidir.

2.2 BCP Öğeleri 2.2.1 BCP‘nin en temel öğesi, kaynak dahil olmak üzere muhtemel zayıflıkları ve tehditleri tanımlama ve analiz görevlerinin de yer

aldığı risk değerlendirmesidir. Risk değerlendirmesi bağlamında, kuruma yönelik muhtemel risklerin tanımlanması, kurumun iĢ operasyonlarının sürmesi için gerekli kritik iĢlevlerin değerlendirilmesi, ortada kalmayı en aza indirecek yerinde kontrollerin tanımlanması ve bu tür kontrolün maliyetinin değerlendirilmesini kapsar. Bir risk fayda Analizi – risk değerlendirmesinin çıktısı – muhtemel tehditleri ve ilgili belirginlikleri gerekli acil durum ve azaltma hareketleriyle birlikte dikkatle inceler ve riskleri kapsamanın getirdiği faydaları tanımlayarak sonuçlanır.

2.2.2 Risk değerlendirmesi sonrasında, iĢ faaliyetlerinde kesintiden kaynaklanan operasyonel etkiler ve toplam finansal görünümü değerlendiren bir BIA mutlaka yapılmalıdır. BIA mutlaka, değiĢik kesinti senaryolarındaki kontrollerin maliyet –fayda analizini kesinlikle içeren ama bununla kısıtlı kalmayan değiĢik BS altyapılarınca desteklenen kritik iĢ süreçlerini ve bunların öncelikliliğini tanımlamalıdır.

162

G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirmesi

2.3 BCP‘nin Anahtar Etmenleri 2.3.1 BCP mutlaka:

• AnlaĢılır, kullanımı ve bakımı kolay olmalıdır.

• Normal sistem iĢleyiĢinin kesintisinin yol açacağı iĢ üstündeki olumsuz etkilere ve etkin bir BCP geliĢtirmek ve sürdürmek için gerekli çabalara dair kapsamlı bir anlayıĢı yönetime sağlamalıdır.

• Çabalara yürütme – Üst yönetim seviyesinde destek ve katılımının bağıtlanmasının sağlanmalıdır.

• Temel iĢ süreçleriyle ilgili kritik bilgi kaynakları tanımlanmalıdır.

• Veri gizliliği ve bütünlüğünün sürdürülme yöntemleri tanımlanmalıdır.

• Her bir iĢ sürecini kritikliğinin belirlenmesi amacıyla değerlendirilmelidir. Kritiklik göstergeleri aĢağıda yer alır:

– Ġnsan sağlığı, güvenliği veya yaĢam destek süreçleri.

– Yasal ve düzenleyici gereklilikler dolayısıyla gerekli olan süreçler.

– Çökmesi geliri etkileyecek süreçler.

– MüĢterileri dahil kurumsal itibarı etkileyebilecek potansiyeli vardır,

Planın odağında olması gerekenler

– Felaket yönetimi

– Yönetilir olmayan bir felaketin etkilerini en aza indirmek

– Sırasıyla iyileĢtirme

– Operasyonların ve önemli hizmetlerin sürekliliği

• Farklı sistemler ve bunların iĢ hedeflerine uygunluğu için RTO‘ları ve iyileĢtirme nokta amaçlarını (RPO) geçerleĢtirmek.

• Acil durum planlarını etkinleĢtirecek koĢulları tanımlamak.

• Acil durum aĢamasında hangi kaynakların kullanılabilir olacağı ve bunların hangi sırayla iyileĢtirileceği tanımlamak.

• ĠyileĢtirme için gerekli tedarikçileri (insanlar ve kaynaklar) tanımlamak.

• Plan geliĢtirmek için, temel ve kritik iĢlev alanlarının makul temsiliyetini sağlayan teknoloji ve iĢ çevrelerine göre proje ekibini seçmek.

• Sağlayıcılar, destek elemanları ve çalıĢanlar arasında iletiĢim kurma yöntemlerini tanımlamak.

• Operasyonların iyileĢtirilmesiyle ilgili coğrafi koĢulları tanımlamak.

• ĠĢ birimleri açısından iyileĢtirme gereksinimlerini tanımlamak.

• BCP varsayımlarının mevcut iĢ planıyla ve zamana güncel olması açısından sistem geliĢtirme süreçleriyle nasıl bütünleĢtirilmesi gerektiğini açıklamak.

• Uygulanacak düzenli BCP gözden geçirmeleriyle uygunluğun devamlılığı, özellikle teknolojik, süreçsel, yasal ya da iĢ gerekleri dolayısıyla değiĢiklikler olması durumlarında belgelerin zamanında güncellenmesi sağlanır. BCP stratejileri, ayrıca risk değerlendirmesi ve zayıflık değerlendirmesi sonuçlarına göre de yenilenebilir.

• Yönetim, operasyon ve teknik testleri de içeren bütünsel bir BCP test yaklaĢımı geliĢtirmek.

• DeğiĢiklik süreçleri yönetiminin uygulanmasını ve sürdürülebilirliği kolaylaĢtırmak için uygun sürüm kontrolü uygulamak.

• Asıl plana kıyasla, artan ya da azalan kaynakların neden olduğu değiĢen iyileĢtirme öncelikleri için karar vericileri ve mekanizmaları tanımlamak.

• Resmi eğitim yaklaĢımlarının belgelenmesi.

3. BAĞIMSIZLIK 3.1 Mesleki Bağımsızlık 3.1.1 BS Denetçisi, daha önce BCP süreçleriyle ilgili olarak tasarım, geliĢtirme, uygulama ya da bakımına katıldığı bir kurumun

denetimiyle görevlendirilirse BS Denetçisinin bağımsızlığına gölge düĢebilir. Bir çıkar çatıĢmasının yaĢanma ihtimalinin olduğu durumlarda denetçi, açık biçimde kurumla iletiĢim kurmalı ve görev kabul edilmeden önce kurumun açık onayı yazılı olarak alınmalıdır. BS Denetçisi, bu tür koĢulların üstesinden gelmek için uygun rehberlere baĢvurmalıdır.

4. YETERLĠLĠK

4.1 Yetenek ve Bilgi 4.1.1 BS Denetçisi, BCP ve bağlı unsurlarının gözden geçirmesini yapmak için gerekli bilgi ve yeteneğe sahip olduğunun kabul

edilebilir bir güvencesini sağlamalıdır. 4.1.2 BS Denetçisi, BCP‘nin kurum gereksinimlerini karĢılamaya yeterli olup olmadığını belirleyecek yeterliliğe sahip olmalıdır. 4.1.3 BS Denetçisi, BCP‘nin değiĢik yanlarıyla ilgili gözden geçirmeleri yapmaya yeterli bilgiye sahip olmalıdır. DıĢ uzman girdisi

gerekmesi durumunda, dıĢsal uzman kaynaklardan uygun girdiler elde edilmelidir. DıĢarıdan uzman kullanılabileceği gerçeği, kuruma yazılı olarak bildirilmelidir.

4.1.4 BS Denetçisi, Bir BCP gözden geçirmesi, temelde kuruluĢ odaklıdır ve gözden geçirmenin etkili olabilmesi için baĢlangıçta kazandığı bir anlayıĢla iĢ ortamını, kurumun misyonunu, kurumun tabi olduğu yasal gereksinimleri, iĢ hedeflerini, ilgili iĢ süreçlerini, bu süreçler için gereken bilgiyi, BS‘nin stratejik önemini ve kurumun/kuruluĢun genel stratejisiyle bunların nasıl bağdaĢtığını kavramalıdır.

4.1.5 BS Denetçisi, gerekli bilgi, yeterlilik, yetenek ve kaynaklara sahip olması durumunda BCP veya politika, test ve iyileĢtirme planları geliĢtirme görevini üstlenmelidir. Bu koĢulların üstesinden gelmek için BS Denetçisi ilgili Rehberleri dikkate almalıdır.

163

G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi(Devamı)

5. PLANLAMA

5.1 Gözden Geçirmenin Kapsam ve Amaçları 5.1.1 BS Denetçisi, uygun olması durumunda kurumla iĢbirliği içinde BCP gözden geçirmesinin kapsam ve amacını açıkça

tanımlamalıdır. Gözden geçirmeye dahil edilecek konular, kapsamın parçası olarak açıkça belirtilmelidir. 5.1.2 Gözden geçirme amacı, çözüm paydaĢları ve raporların kimlere gönderileceği ayrıca tanımlanmalı ve bu konuda kurumla fikir

birliği içinde olunmalıdır.

5.2 YaklaĢım 5.2.1 BS Denetçisi, denetim yaklaĢımını, denetim kapsam ve amaçlarının tarafsız ve uzman yollarla gerçekleĢtirecek biçimde

biçimlendirilmelidir. 5.2.2 Denetim yaklaĢımı, kurumun bulunduğu BCP aĢamasına bağlıdır. 5.2.3 YaklaĢım, BCP gözden geçirmesinin bir takım çalıĢması olduğunu ve bu takımda etkin ve sabit üyelerle kendileriyle

görüĢülen kullanıcı grupları olduğunu varsaymalıdır. 5.2.4 YaklaĢım, düzgün biçimde belgelenmeli ve uygun olması durumunda dıĢ uzman girdi gereksinimlerini tanımlamalıdır. 5.2.5 ĠĢ süreçlerinin önceliği, teknolojiler ve risk değerlendirmesinin sonuçları gibi kritik alanlar, planın gerektiği gibi

uygulanacağının makul güvencesini sağlamalıdır. 5.2.6 BS Denetçisi, kurumsal uygulamalara bağlı olarak, BCP denetim plan ve yaklaĢımı için kurumun fikir birliği sağlayabilir.

6. BT BAKIġIYLA BCP UYGULAMASININ GÖZDEN GEÇĠRĠLMESĠ 6.1 Yürütme 6.1.1 Gözden geçirilecek konular ve gözden geçirme sürecine, gözden geçirmenin hedeflenen amaç ve kapsamıyla planlama

sürecinin parçası olarak tanımlanan yaklaĢım dikkate alınarak karar verilir. 6.1.2 Genellikle, kullanılabilir belgeleme araĢtırmasında (BCP, DRP; BIA, iĢ risk Analizleri ve kuruluĢ risk yönetim çerçevesi gibi)

veri toplanması, çözümlenmesi ve yorumlanması uygun biçimde kullanılmalıdır. Bu bilginin hepsi hazır olmasada en azından kritik iĢ süreçlerini, BT temelli risklerle birlikte tanımlayan temel risk analiz değerlendirmeleri olmalıdır.

6.1.3 BCP ile ilgili baĢlıca risk alanları daha önce tespit edilmiĢ BCP zayıflıklarını ve son BCP testinden sonra, sistem ortamında yapılan değiĢiklikleri (Uygulamalar, donanım, iletiĢim, iĢleme ve insanlar gibi) içermelidir.

6.1.4 BS Denetçisi, daha önceden belirlenmiĢ ve izlenmesi gerekli olabilecek BCP ile ilgili herhangi bir sorunu tanımlama için Ģu belgeleri mutlaka gözden geçirmelidir:

• Vaka raporları

• Önceki inceleme raporları

• Ġzleme faaliyetleri

• Önceki incelemelerin denetim metinleri

• Ġç ve dıĢ denetim raporları

• Ġç test raporları ve iyileĢtirici eylem planı

• Basılı endüstri bilgi ve kaynakları 6.1.5 BS Denetçisi, sistem ortamı değiĢikliklerini, yanılmamak için kurum personeli ve hizmet sağlayıcılarla görüĢmeli, aynı

zamanda harcama kayıt ve raporlarının analizini yapmalı, BT öncüllerini incelemeli, donanım ve yazılım envanterini gözden geçirmeli ve uygun veri analizi için buna yönelik uzmanlaĢmıĢ bir yazılım kullanmalıdır.

6.1.6 BS Denetçisi, gözden geçirme sırasında aĢağıdaki test aĢamalarının tamamını göz önünde bulundurmalıdır:

• ÖN TEST—Asıl test için hazırlığın yapılmasında gerekli etkinlikler bütünü

• TEST—Asıl BCP testi

• TEST SONRASI—Grup faaliyetlerinin temizlenmesi

• YÜRÜTME SONRASI GÖZDEN GEÇĠRME—Planın asli yürütülmesi ertesinde faaliyetlerin gözden geçirilmesi 6.1.7 Test plan amaçları, bu planın aĢağıdakileri gerçekleĢtirip gerçekleĢtirmediğini doğrulamak için gözden geçirilmelidir:

• BCP hassaslığının ve tamlığının doğrulanması

• BCP‘de yer alan personelin performanslarının değerlendirmesi

• Takımların eğitim ve farkındalığının artması

• BCP takımları, DRP takımları, dıĢ satıcılar ve hizmet sağlayıcılar arasındaki eĢgüdümün değerlendirmesi

• Kurum gereksinimlerini karĢılamak için yedekleme olanaklarının kapasitesi ve yeteneğinin ölçülmesi

• Temel kayıtların yeniden kullanıma alınması yetisinin değerlendirilmesi

• ĠyileĢtirme yerinde yeniden konumlandırılan araçlar ve donanımın miktar ve durumun ölçülmesi

• Kurum operasyon ve sürecinin toplam performans ölçümü 6.1.8 BCP testi, iĢ süreçlerini kesintiye uğratmamak için özenle hazırlanmalıdır. Uygun BCP test alanları, yıllık risk

değerlendirmesinin parçası olarak tanımlanmalı ve yinelemeden kaçınılmalıdır. BS Denetçisi, BCP test planının gözden geçirilmesinde Ģunları doğrulamalıdır:

• Test planının kapsam ve amaçları

164

G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi

• Test planının sıklığı, yöntemi ve düzeltmeleri

• Testlerin türü, uygunluğu ve yeterliliği

• Uygulamalar

• Veri hacmi

• ĠĢ alanları

• Ağ yeniden yönlendirmesi

• Sistem zaafları, sızma ve vaka müdahalesi

• DeğiĢiklik, konfigürasyon ve yama yönetimi

• Denetim kanıt ölçütü ve gereksinimleri

• Test ortamı operasyon ortamını temsil eder ve istisnalar belgelenir

• Test etkililiği ve bunun risk değerlendirmesi ve iĢ etki sonuçlarıyla iliĢkisi 6.1.9 BS Denetçisi, olay sonrası senaryonun gözden geçirilmesinde aĢağıdakileri doğrulamalıdır:

• Kesinti nedeni ve özellikleri

• Personele, altyapıya ve donanıma verilen zararın boyutları

• Etkinin ciddiyeti

• Uygulanan etki azaltma alıĢtırmaları

• Etkilenen hizmetler

• Zarar gören kayıtlar

• Kurtarılabilir öğeler

• Tamir edilebilir, yenilenebilir ve/veya yerine konabilir öğeler

• Sigorta talepleri

• Etkilenen süreçler

• BT sürecinin yenilenmesi için gerekli zaman

• Eylem planı, yenileme takımları, roller ve sorumluluklar 6.1.10 Çıkarımlar ve öneriler, verinin tarafsız analizine ve yorumuna dayanarak yapılmalıdır. 6.1.11 Toplanan veriler, yapılan analizler, ulaĢılan çıkarımlar ve önerilen düzeltici etkinlikler için denetim izleri muhafaza edilmelidir. 6.1.12 Rapor bitirilmeden önce, uygun biçimde gözlemler ve öneriler kurumla birlikte geçerli kılınmalıdır.

6.2 Gözden Geçirilecek Konular 6.2.1 Tipik olarak BCP Ģu anahtar sorunlara gönderme yapar:

• Neden yapılmalı?

• Nasıl yapılmalı?

• Bunu yapmak için kime ihtiyaç duyulmaktadır?

• Yapılması gerekenler nelerdir?

• Ne zaman yapılmalı?

• Nerede yapılmalı?

• Hangi politikalara, kurallara ve standartlara göre yapılmalı?

• Hangi koĢullar altında kim planı değiĢtirebilir?

• Hangi koĢullar altında bir felaketin ―SONA ERDĠĞĠ‖ ilan edilir? 6.2.2 Kurumsal yanlar Ģunları dikkate alarak gözden geçirilmelidir:

• BCP, kurumun misyonu, stratejik hedefleri ve operasyon planlarıyla tutarlıdır

• BCP düzenli olarak güncellenmekte ve güncelliği muhafaza edilmektedir

• BCP düzenli olarak denenmekte, gözden geçirilmekte ve daimi uygunluğu onaylanmaktadır

• BCP testi, uygulaması ve bakımı için yeterli bütçe tahsisi vardır

• Risk analizleri düzenli olarak yapılmaktadır

• BT ve telekom envanterini düzenli olarak güncelleyen yerinde tanımlı süreçler vardır

• Kurum yönetimi ve personeli BCP uygulaması için gerekli becerilere sahiptirler ve uygun eğitim programı kullanılmaktadır

• Acil durumlarda uygun kontrol ortamını (görevlerin dağılımı ve veri ve ortamlara kontrol eriĢimi gibi) sürdürecek önlemler alınmıĢtır

• Sağlayıcılar tanımlanmıĢ ve bireylerin rolleri ve sorumlulukları yeterli açıklıkta tanımlanmıĢ, basılmıĢ ve iletilmiĢtir. Acil müdahale takımı, zarar değerlendirme takımı ve acil yönetim takımı gibi çekirdek takımlar genel olarak oluĢturulur. Çekirdek takım, tesis dıĢından depolama takımı, yazılım takımı, uygulama takımı ve güvenlik takımı tarafından desteklenir. Acil operasyon takımı, ağ iyileĢtirme takımı, iletiĢim takımı, ulaĢım takımı, kullanıcı donanım takımı, veri hazırlama ve kayıt takımı, idari destek takımı, tedarik takımı, düzeltme takımı ve yeniden konumlandırma takımı vardır.

165

G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi(devamı)

• Arayüz ve kurum içindeki bölümler/birimlere etkisi anlaĢılmıĢtır.

• DıĢ hizmet sağlayıcıların rol ve sorumlulukları tanımlanmıĢ, belgelenmiĢ ve iletilmiĢtir

• DıĢ hizmet sağlayıcılarla ve müĢterilerle eĢgüdüm süreçleri belgelenmiĢ ve iletilmiĢtir.

• BCP takımları, farklı BCP görevlerine yönelik olarak tanımlanır, roller ve sorumluluklar açıkça oluĢturulur ve yönetim raporlaması hesap verebilirliği tanımlanmıĢtır.

• Yasal ve düzenleyici gerekliliklere uyum sağlanmıĢ ve sürdürülmektedir. 6.2.3 Planlama konuları gözden geçirilmesinde aĢağıdakilere dikkat edilmelidir:

Temel iĢ süreçleri analizinin yerinde bir parçasını oluĢturan her bir süreçte oluĢturulmuĢ faaliyetlerin belirlenme yöntemi

• BCP için planlanmıĢ BS teknoloji mimarisi etkin olarak kullanılabilir, kesinti BT süreçlerini kesintiye uğratırsa güvenli ve makul operasyonlar yapılacaktır

• BIA BCP uygulaması öncesi bir risk değerlendirmesi gerçekleĢtirilmiĢtir.

• BIA risklerdeki değiĢiklikleri ve BCP üstündeki etkilerini içerir.

• BIA, kritik iĢ süreçlerinin önemli iyileĢtirmeleri zaman çerçevesini tanımlar

• Riskler, düzenli aralıklarla gözden geçirilmektedir.

• Ġç ya da dıĢ olaylar da dahil olmak üzere, beklenmeyen olaylardan kaynaklanan sorunları yönetmek, kuĢatmak ve etkilerini en aza indirmek için uygun olan müdahale planları yapılır

• BCP test ve sürdürümü için uygun test takvimi vardır.

• Kurum içi testler, uyarlamalar, olay tetiklemeleri yapılır ve bunların muhtemel etkileri değerlendirilir

• Bir BCP yaĢam döngüsü vardır ve bu geliĢme, sürdürüm ve güncelleme sırasını izler

• BCP, kuruma uygunluğunun doğrulanması için düzenli aralıklarla gözden geçirilir 6.2.4 Usullerle ilgili konular gözden geçirilirken dikkat edilmesi gerekenler:

• Üst yönetim, BCP uygulanması için temel itici güçtür

• ÇalıĢanlar, personel ve kritik kaynakların güvenliği yüksek öncelikli olarak sağlanır

• Kaynaklar ve bunların iyileĢtirilmesi önceliklidirilmiĢ ve bu amaçla iyileĢtirme takımlarına bildirilmiĢtir.

• Bir felaketi durumunda, iĢe etkisi hakkında kurumun bütününde farkındalık yaratılır

• Yeterli acil durum karĢılık usulü belirlenmiĢ ve denenmiĢtir

• Felaket iyileĢtirme/değerlendirme sürecine katılacak kiĢiler açıkça tanımlanmıĢtır ve rol ve sorumluluklar tüm kurumda açıkça biçimlendirilmiĢtir

• Tatbikatları da içeren uygun eğitim seviyeleri gerçekleĢtirilmiĢtir

• BoĢaltma planları hazırlanmıĢ ve denenmiĢtir

• Yedek insan kaynakları tanımlanmıĢtır ve kullanılabilir durumdadır

• Cep telefonları, hatlı ve diğer iletiĢim yolları gözden geçirilmiĢ, denenmiĢ ve düzenli olarak güncellenir durumdadır

• Alternatif iletiĢim stratejileri tanımlanmıĢtır

• Yedekleme ve iyileĢtirme süreçleri, BCP‘nin parçasıdır

• Yedekler, geri kullanılabilir durumdadır

• Uygun bir yedekleme rotasyonu kullanımdadır

• Kurum dıĢı (sıcak, ılık, soğuk siteler) denenmiĢtir, bunlar kullanılabilirliği ve güvenilir durumdadır

• Kurum dıĢı kayıtlar uygun biçimde muhafaza edilmektedir

• Veri ve bilgi gizliliği ve bütünselliği sürdürülür

• Uygun yerlerde ortam iletiĢim stratejileri vardır

• BCP, düzenli olarak test edilir ve test sonuçları belgelenir

• Test sonuçlarına göre düzeltici eylemler baĢlar

• Yeterli sigorta korunması vardır

6.3 DıĢ Kaynaklı BS 6.3.1 Hizmet sağlayıcının iĢe olumsuz etkisi ya da kesintisi kuruma ve müĢterilerine doğrudan etki eder. BS Denetçisi, kurumun

tamamen ya da kısmen BS hizmetlerini geçici ya da daimi olarak dıĢ sağlayıcılardan (hizmet sağlayıcılar) temin ettiği durumlarda BCP süreci de bundan etkilenmektedir ve hizmet sağlayıcının BCP usullerinin kurumun BCP‘si, belgelenmiĢ sözleĢmeler ve hizmet kullanıcılarını da içeren düzenlemelerle uyumluluğunu mutlaka gözden geçirmelidir.

166

G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi(Devamı)

6.3.2 Gözden geçirmede, ayrıca dıĢ kaynaklı hizmet sağlayıcıyla yapılan anlaĢmada, bilgi sistem hizmetleri ve ürünleriyle kalite

kontrolüne eĢlik ettiği araçların, yöntemlerin, usullerin ve yapının tanımlandığını doğrulamalıdır. 6.3.3 BS Denetçisi, dıĢ kaynaklı hizmetlerin özellikleri, zamanlanmasını ve kapsamını anlamıĢ olmalıdır. BS Denetçisi, ayrıca

hizmet kullanıcısının neyi kontrol ettiğini ve hizmet sağlayıcının BCP‘si ile kurumun iĢ sürekliliği gerekliliğinin aynı noktada nasıl buluĢtuğunu belirlemelidir. BS Denetçisi, dıĢ kaynaklı faaliyetlere dair yaptığı gözden geçirmede yukarıdakilerin yanında Ģunları da dikkate almalıdır:

• AnlaĢmanın, hizmet sağlayıcının açık ve engelsiz biçimde, kurum tarafından gerekli görülmesi durumunda denetlenebilirliğini içerip içermediği

• AnlaĢmanın, hizmet sağlayıcının iĢinin kesinti yaĢaması durumuna karĢı kuruma yeterli koruma sağlayıp sağlamadığı

• AnlaĢmanın felaket durumunda hizmetin sürekliliğini sağlayıp sağlamadığı

• Hizmet sağlayıcının kurumun verilerinin bütünlük, gizlilik ve kullanılırlığına saygı göstermesi

• Kurum personelinin dıĢ kaynak düzenlemeleri/ dıĢ kaynağın bağlılık eksikliği nedeniyle hoĢnutsuzluk yaĢaması

• Hizmet sağlayıcının tesislerindeki kontrol ve güvenlik yönetiminin eriĢimi

• Hizmet sağlayıcının raporlamayı ve izlemeyi ihlali

• Hizmet sağlayıcının tesislerinde ağ kontrolü, değiĢiklik kontrolü ve testler

7. RAPORLAMA

7.1 Rapor Ġçeriği 7.1.1 BS Denetçisi, BCP süreçleri, tesisler ve teknolojiler; varsayılan riskleri ve acil bir durumda bu risklerin nasıl yönetileceğine

dair raporlar hazırlamalıdır. Gözden geçirme performansının izlenmesi anahtar baĢarı etmenlerindendir. BCP gözden geçirmesinin sonucu olarak ortaya çıkarılan rapor aĢağıdakileri içermelidir:

• Ġzlenen ve varsayılan edilen kapsam, amaç, kapsama süresi ve yöntem

• Zayıflıkları muhtemel etkilerini de içerecek biçimde temelde güçlü ve zayıf olan yanlar açısından çözümün bütün olarak değerlendirilmesi

• Önemli zayıflıkların üstesinden gelmek ve çözüm üretmek için öneriler

• COBIT kontrol hedefleriyle, ilgili yönetim kontrol uygulamalarıyla uyum ve ilgisi bağlamında COBIT bilgi ölçütleri ve bunlara uyum sağlanmamasının etkileri

• Bir felaket durumunda kabul edilebilir bir zaman çerçevesinde BT sistemlerinin kurtarılması konusunda BCP süreçleri ve ilgili kontrollerin makul güvencesi. Rapor sonuçları, önerileri, sınırlamaları ya da nitelikleri mutlaka bildirmelidir

• Gelecekte yaĢanacak benzer çözümler veya faaliyetler için deneyimlerin nasıl kullanılacağına dair öneriler

• Görevin kapsamına bağlı olarak diğer konular 7.1.2 Rapor uygun yönetim seviyesine ve eğer kurulmuĢ ise denetim komitesine verilmelidir.

7.2 Zayıflıklar 7.2.1 BCP gözden geçirmesinde tanımlanan ve kontrol eksikliğinden, kötü uygulamadan veya ilintili risklerin kabul edilebilir

seviyeye indirilememesinden kaynaklanan zayıflıklar iĢ süreçleri sahibinin ve BCP iĢlemlerinin uygulanmasından sorumlu BS yönetimine sunulmalıdır. BCP gözden geçirmesinde, zayıflık olarak tanımlanan noktalar önemli veya maddi olarak dikkate alınmalı ve yürütme kuruluna uygun üst yönetim seviyesine gerekli önlemlerin alınması için öneride bulunulmalıdır.

7.2.2 Etkili BCP kontrolleri, iĢ süreklilik planı sürecine ve ilgili kontrollere bağlı olduğundan ilgili kontrollerdeki zayıflıklar ayrıca raporlanmalıdır.

7.2.3 BS Denetçisi, raporunda uygun önerileri içererek iliĢkili riskleri en aza indirecek kontrollerin güçlendirilmesini sağlamalıdır.

8. DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ

8.1 Zamanındalık 8.1.1 BCP içindeki her zayıflığın etkisi geniĢ kapsamlı ve yüksek risklidir. BS Denetçisi, bu nedenle uygun olduğunda, yönetim

hareketlerinin zayıflıklara zamanında müdahale ettiğini mutlaka dikkatlice ve zamanlıca izlemelidir. 8.2 Etkililik 8.2.1 BS Denetçisi, gözden geçirmenin istenen seviyede etkili olmasının makul güvencesinin sağlanması için bir izleme gözden

geçirmesi yaparak önerilerin dikkate alındığından ve düzeltici hareketlerin etkili olacak biçimde uygulandığından emin olmalıdır.

9. YÜRÜRLÜK TARĠHĠ 9.1 Bu rehber 1 Eylül 2005 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web



167

G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar

1. ARKA PLAN

1.1 Standartlarla Bağlantı 1.1.1 S4 Mesleki Yeterlilik Standardı: ―BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki

açıdan yeterli olmalıdır.‖ Ģeklinde ifade eder. 1.1.2. S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder. 1.1.3. S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder. 1.2 Tamamlayıcı Rehberler ve Usullerle Bağlantı 1.2.1 Rehberler:

• G22 B2C E-ticaret gözden geçirmesi

• G24 Internet Bankacılığı 1.2.2 Usuller:

• P2 Dijital Ġmzalar ve Anahtar Yönetim

• P3 IDS Gözden geçirmesi

• P6 Güvenlik duvarları

• P8 Güvenlik değerlendirmesi—Saldırı Testi ve Zaafiyet Analizleri

• P9 ġifreleme Yöntemleri Yönetim Kontrollerinin Değerlendirilmesi

1.3 COBIT Bağlantısı 1.3.1 Belli bir denetimin kapsamına en uygun COBIT materyalinin seçimi, seçilen belli COBIT BT süreçleriyle COBIT kontrol

hedeflerinin dikkate alınması ve ilgili yönetim uygulamalarına dayanır. Sorumluluğun yerine getirilebilmesi için BS Denetçisinin yetki ve hesap verebilirlik gereksinimleri, seçilen ve uyarlanan en uygun COBIT süreçleri aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan kontrol ve süreç hedefleri, görevin kapsam ve Ģartlarına göre değiĢebilir.

1.3.2 Birincil:

• M2—İç kontrol yeterliliklerinin değerlendirilmesi.

• M3—Bağımsızlık güvencesinin edinilmesi.

• M4—Bağımsız denetimin sağlanması. 1.3.3 Ġkincil:

• PO6—Yönetim amaç ve yönelimini bilmek.

• PO7—İnsan kaynakları yönetimi.

• PO8—Dışsal gerekliliklere uygunluğun sağlanması.

• DS1—Hizmet seviyelerinin tanımlanması ve yönetilmesi.

• DS2—Üçüncü taraf hizmetlerinin yönetilmesi.

• DS10—Sorunların ve vakaların yönetilmesi.

• M1—Süreç izlenmesi. 1.3.4 Ġnternet kullanımıyla en uygun bilgi ölçütleri Ģunlardır:

• Birincil: Etkililik, etkinlik ve gizlilik

• Ġkincil: EriĢilebilirlik, bütünlük ve güvenirlik

1.4 Rehber Gereği ve Amacı 1.4.1 BS Denetçileri, hızla değiĢen bilgi teknolojilerine ve ilgili zayıflıklara ve açıklara müdahale etmekte temel rol oynarlar. Bu

Rehberin amacı, internet kullanımı gözden geçirmesinde önerilen uygulamaları, eriĢim ve/veya bağlantıları tanımlamaktır. Bir BS Denetçisi, kurumun varlıklarını korumak için gerekli kontrol hedeflerine baĢarıyla ulaĢmak için ilgili riskleri ve kontrolleri tanımlama, belgeleme, test ve değerlendirme yeterliliğine sahip olmalıdır.

1.3.1 Bu rehber, S6 Denetim Performansı BS Denetim Standardı, uygulamasında yeterli, güvenilir, uygun ve faydalı göstergeleri internet bağlantısı gözden geçirmesinde elde etmek için bir yol göstericilik sağlar. BS Denetçisi, bu Rehberi, yukarıdaki standartları nasıl baĢarıyla uygulayacağını belirlerken dikkate almalı ve kendi mesleki yargısını kullanmalı ve muhtemel sapmaları gerekçelendirmeye hazır olacaktır.

1.3.2 Ġnternet, giderek artan oranda kuruluĢların altyapısında yer almakta ve çok sayıda farklı amaçlar için kullanılmaktadır. Genellikle, internet kullanımı dört parçaya ayrılmaktadır. Ġnternet, aĢağıdaki amaçlarla kullanılabilir:

• Bilgi edinme ve paylaĢma kaynağı

• ĠletiĢim kanalı

• KuruluĢların, kurumların veya kiĢilerin dıĢarı açılan penceresi

• Ticaret için elektronik bir pazaryeri olarak. Bu rehber, temel olarak internetin bir iletiĢim kanalı ve kurum ve kuruluĢlar için bir bilgi kaynağı olarak kullanımını

kapsamaktadır. Rehber, ayrıca bir dereceye kadar internetin tanıtım ve ticaret kanalı olarak kullanılması da içermektedir.

168


1.3.3 Bir kuruluĢ, internete bağlı olduğu için çok sayıda tehdide maruz kalmaktadır. Bu tehditlerin üstesinden gelmek için, risk analizleri yapmak ve gerekli güvenlik önlemlerini almak önemlidir. Ayrıca, internetin durağan olmadığının bilincinde olmak da önemlidir. Ġnternet ve ona bağlı olarak tehditler ve sonuçta alınması gereken önlemler sıklıkla değiĢmektedir.

1.3.4 Her hizmet için, değiĢik tehditlere dair örnekler verilmiĢtir. Böylesine genel ve kısa bir belgede, risk tablosu tam olarak kapsanamamıĢtır. Yeni sanal korsanlık araçları çıkmıĢ ve BT sistemlerinde yeni zayıflıklar oluĢmuĢtur. Bu nedenle, internete bağlanmadan önce güncel tehditler ve alınması gereken önlemler hakkında bilgi sahibi olmak önemlidir.

1.3.5 Ġnternet kullanımıyla bağlantılı, baĢtan sona kadar bir uluslararası kontrol merkezi yoktur. Zorunlu güvenlik önlemlerini almak, her bir bağımsız kurumun kendi sorunudur.

1.5 Rehber Uygulaması 1.5.1 BS Denetçisi, bu Rehberi uygularken bu Rehberi diğer ilgili ISACA standartlarını, Rehberlerini ve usullerini birlikte dikkate

almalıdır. Bu rehber, tam ayrıntılandırılmıĢ ya da zaman içinde güncellenmekte olan bir rehber değildir.

2. ĠNTERNET BAĞLANTISI HAKKINDA GENEL VARSAYIMLAR

2.1 Ġnternete Bağlanma Yolları 2.1.1 Ġnternete bağlanmanın değiĢik yolları vardır ve her biri için farklı güvenlik önlemleri gerekir. Bazı örnekler ağağıdadır::

• Bağımsız kiĢisel bilgisayarların modem üzerinden bir internet servis sağlayıcısına (ISP) bağlanmaları

• Yerel ağdaki kiĢisel bilgisayarların modem üzerinden ISP bağlantıları

• Bağımsız kiĢisel bilgisayarların hücresel veri bağlantısı kullanması

• Bir yerel ağdaki kiĢisel bilgisayarların hücresel veri bağlantısı kullanması

• Yönlendirici üzerinden internete bağlı yerel ağlar

• Güvenlik duvarları üzerinden internete bağlı yerel ağlar

• Ġki bağımsız ağ—kurum iĢleri için kullanılan bir kiĢisel bilgisayarlar ağı ve internet bağlantısı için kullanılan kiĢisel bilgisayarların toplandığı diğer ağ

2.1.2 Bu bağlantıların bir kısmı, hizmet sunumu ya da bilgi kanalı olarak internetin oluĢturulabilir, örneğin,

• Ġnternete bağlı bir yerel ağın, yerel ağdaki bir sunucudan iç/dıĢ hizmetler sunması

• Ġnternete bağlı bir yerel ağda, iç/dıĢ hizmetlerin DMZ‘de kurulu bir sunucudan sağlanması

• Aynı kuruluĢ içindeki iki bağlantılı yerel ağın, interneti bir iletiĢim kanalı olarak kullanması

• Yerel ağın, iĢbirliği yapılan ortağın ağına bağlı olması ve internetin iletiĢim kanalı olarak kullanılması (dıĢ ağ)

2.2 Tehditler 2.2.1 DıĢ bağlantılara kapalı ağlar için geçerli olabilecek tehditler arasında, teknik hatalar, kullanıcı hataları, sistemin yanlıĢ

kullanımı veya gizli bilgileri açıklayan personelin sadakatsizliği sayılabilir. Bu risk tablosu, kuruluĢ internete sürekli olarak bağlı olduğunda değiĢebilir.

2.2.2 Saldırılar Ģu alt gruplara ayrılabilir:

• Edilgen saldırılar, örneğin:

– Ağ izlemesi—Dinleme yazılımları, kullanarak kullanıcı adlarını ve Ģifreleri okuyup internet aracılığıyla aktarım

– Veri dinleme—Gelen ve giden e-postaları okuyarak/kopyalayarak gizli bilgi edinme

– Casus yazılım kullanımı—Kullanıcının açıkça rızası alınmaksızın, değiĢik yazılımlar kullanarak bilgisayarın iĢletiminin kontrolünü kısmen ya da tamamen ele geçirme. Belli web sitelerinin ziyaret edilmesi, kullanıcılara bu tür yazılımların bulaĢmasına yol açar.

• Etkin saldırılar, örneğin:

– Güvenlik zaaflarından yararlanarak eriĢim sağlama giriĢimi—Güvenlik önlemlerinin uygun alınmaması dolayısıyla yerel ağlara ve BT sistemlerine yetkisiz eriĢim

– ġifrelerin ele geçirilmesi—Ücretsiz yazılımları kullanarak Ģifre dosyalarına eriĢim

– Maskeleme—Gizli bilgiye eriĢim için bilgisayarı güvenilir bir ağ adresi gibi yapılandırmak

– Virüs bulaĢması—Kendini BT sistemi içine katıĢtıran Zararlı kodları yayma ve bu kodlar sistem çalıĢırken kendini diğer sistem ve bilgisayarlara yayar

– Truva atı—Kendini faydalı bir iĢlevi varmıĢ gibi gösteren Zararlı kodlar kullanmak, bu kodlar ya virüs taĢır ya da yetkisiz eriĢim için kullanılabilecek Ģifreleri çalan bir iĢletim içerir

– Solucanlar—Kullanıcının bir hareketi olmaksızın kendini bir BT sisteminden diğerine yayan zararlı kodlar

– ĠĢletim sistem ve uygulamalarının hata ve zayıflıklarının kötüye kullanılması—Çoğu sistemde bulunan hata ve zaafları kullanarak yetkisiz etkinlikler gerçekleĢtirmek

– YanlıĢ yapılandırılmıĢ BT sistemlerinin ve iletiĢim birimlerinin kötüye kullanılması—Sistem yöneticilerinin hataları dolayısıyla sistem yapılandırması sırasında ya da yeni bir yazılım veya donanım kurulumu sonrası sistem güncellemesi yapılmaması nedeniyle sisteme eriĢim

• Hizmet saldırıları, örneğin:

– Hizmeti durdurma ya da engelleme giriĢimi—Hizmetin kaldırabileceğinden daha fazla, veri akıĢıyla yol açılabilecek hataların kötüye kullanımı. Bu veri kazasına yol açabilir.

169


– Sistem kapasitesini iĢgal etme—Sistem kapasitesini düĢürmek için çevrimiçi hizmet bilgisayarlarına sürekli istek göndermek

– BT sistemini yok etme—Veri çarpıĢmasına yol açmak için sistem yapısının tasarımını aĢan çoğunlukla veri göndererek bilgisayarı aĢırı yüklemek. Beklenmeyen hizmet kesintisine yol açmanın hizmet verilememesi olarak (DoS) adlandırılan çok sayıda yolu vardır, .

– Havaleleri yeniden yönlendirme—E-ticaret iĢlemlerinden, kredi kartı numaralarını almak için aynı ağ adresinin yapılandırıldığı bir uzak sunucuya hizmet sağlayıcının ana sayfasını kopyalayarak yayınlamak

– Toplum mühendisliği—Kullanıcı adı ve parolasına veya gizli iĢ sırlarına eriĢim sağlamak için güvenilir bir ortak gibi davranarak yetkili kiĢiyi kandırmak

2.3 Ġnternet Hizmetleri 2.3.1 Ġnternet üzerinde çok sayıda hizmet verilmekte ve sıklıkla yeni hizmetler verilmeye baĢlamaktadır. Günümüzün en yaygın

hizmetleri arasında:

• E-posta

• Küresel Ölçekli Ağ (WWW)

• Dosya Aktarım Protokolü (FTP)

• Haberler

• Telnet/uzaktan etkileĢimli eriĢim

• Ġnternette canlı sohbet (IRC)/Çevrimiçi iletileĢme 2.3.2 Ġnternette en yaygın kullanılan hizmet e-postadır. Bu hizmet giderek daha yaygın biçimde geleneksel mektupların ve faksların

yerini almaktadır çünkü hızlı, düĢük maliyetli ve kullanıcı dostudur. E-posta, güvenli bir hizmet olarak tasarlanmamıĢtır ve güvenlik zaafları vardır. En belirgin ve önemli zafiyetleri Ģunlardır:

• Gönderici—Kimse bir e-posta göndercisinin gerçekten o gönderici olduğundan emin olamaz. Ad değiĢtirmek gayet kolaydır ve göndericinin kimlik kontrolü yapılmaz. Bu zafiyet, genelde iĢ ortakları tarafından kullanılan dijital imzalarla aĢılabilir ancak söz konusu özellik geçici ortaklar arasında yaygın olarak kullanılmaz.

• ġifresiz ileti metinleri—Ġnternet, aracılığıyla gönderilen iletiler Ģifresiz metin olarak gönderilirler. Bu sayede bütün internet kullanıcıları iletileri okuyabilir ve değiĢtirebilir. Kimse iletilerin internet üzerinde değiĢmeden geldiğinden emin olamaz. Bu zaaf, iletilerin kriptolanması ile aĢılabilir.

• Ġleti teslimi—Diğer bir e-posta zafiyeti güvenli teslim güvencesi olmamasıdır. Bir iletinin yerine ulaĢması birkaç saniye ya da dakika alır, bazı durumlarda ise birkaç saat sürer. Teslim zincirindeki sunuculardan birisi bir nedenle kullanımda değilse, iletiler sunucuda yeniden iĢlevsellik sağlanana kadar muhafaza edilir. E-posta sisteminin yapılandırılmasına bağlı olarak, kullanıcı hata hakkında bilgi alana kadar biraz zaman geçer. Çoğu e-posta sistemi, posta iĢlevini sertifikalandırır. Ancak, değiĢik e-posta sistemleri arasındaki uyumsuzluktan dolayı geri bildirim sağlanamayabilir.

• Ekler—Çoğu kuruluĢ e-postayı, ek taĢımaya izin veren internet ile birlikte kullanır. Eğer bu eklerin boyutu, çok büyükse e-posta sistemini ve sunucuyu doldurur, böylece e-posta kullanıcıları diğer e-postalarını almaktan alıkonur. Bu duruma düĢmemek için, kuruluĢlar e-postaların alacağı eklerin büyüklüğünün ne kadar olacağına dair kısıtlar koyabilir ve yönlendirmelerle e-posta arĢivlemesini ve silinmesini düzenleyebilir.

• Ġstenmeyen posta—Giderek artan bir sorun da istenmeyen postalar sorunudur. Bunlar istenmeyen reklâm ve hizmet önerisi veya utandırıcı ürün postaları olabilir. Bu türlü postalar sunucuyu doldurur ve alıcının zamanını çalar. Ġstenmeyen posta bir metin güvenliği sorunu değildir ancak BT sisteminin kullanılırlığının düĢmesi ile sonuçlanabilir.

2.3.3 WWW, küresel ölçekli bir ağ biçiminde, Ģifresiz metin, ses ve resim olarak bilgi veren sunucular ağıdır. Uluslararası toplumun kullanımına yönelik finansal hizmetler, ticaret gibi değiĢik türde hizmetler sunar. Küresel ölçekli ağa eriĢim, Internet Explorer, opera gibi bir tarayıcılar aracılığıyla olur. WWW özellikleri Ģunlardır:

• Bilgi kalitesi—WWW inanılmaz boyutlarda bir bilgi barındırır; ancak bilgi kalitesi farklılıklar gösterir. WWW üstüne yerleĢtirilen bilginin bir üst kontrol noktası yoktur. WWW üstüne bilgi yükleyen herkes, yüklediği bilginin kalite güvencesinden kendi sorumludur. Bu nedenle bilginin, güncelliği, doğruluğu ve güvenirliğine dair bir güvence söz konusu değildir.

• Ġzler—Bir internet kullanıcısı bir web sitesini, aslen ağ adreslerini ziyaret ettiğinde arkasında çok sayıda iz ve kimi zaman da kullanıcı adını bırakır. Bir kurum, bilgisayarından internette uygunsuz sitelere eriĢip ardında iz bırakarak kurumun porno içerikli sitelerle aĢırı uçtaki politik gruplarla ya da diğerleriyle ilintilenmesine yol açılabilir. Bu nedenle çoğu kurum bu tür siteleri engellemektedir.

• Tarayıcı—DeğiĢik iĢlevleri, sağlamlıkları ve zayıflıkları olan çok sayıda tarayıcı vardır. Tarayıcılarla ilgili olarak sıklıkla, yeni güvenlik açıkları açıklamaları yapılır. Bu zayıflıkların bazıları kurum açısından önemli sorunlara yol açabilir. Sanal suçlular zararlı kodlar içeren ve güvenlik açıklarını kullanan ana sayfalar yapabilir ve kurum kiĢisel bilgisayarlarında yetkisiz görevler gerçekleĢtirebilir.

• Eklentiler—En çok kullanılan tarayıcılarda, ses, video, oyun gibi iĢlevsellikleri artırıcı küçük eklentileri kurmak olanaklıdır. Bazı eklentilerdeki programlama hataları, iĢgalcilerin BT sistemindeki verilere eriĢim sağlamasına yol açabilir.

• Çerezler—Tarayıcı tarafından kullanılan küçük bilgi kırıntılarıdır ve kayıt ve belgeleme amacıyla, WWW üstünde son ziyaret tarihi, hangi ana sayfaların ziyaret edildiği, hangi ürünlerin alındığı (örneğin bir e-ticaret sitesinden) gibi bilgiler sabit diske aktarılır. E-pazaryerleri, genelde çerezleri kullanırlar. Çerezler aynı zamanda parolaları depolarlar; ancak çerezlerin kullanımı bilinen bir güvenlik tehdidine yol açmamıĢsa da web siteleri kullanıcı ve kullanıcı faaliyetleri bilgilerini depoladıkları sürece bir kiĢisel bilgi gizliliği ihlâli olarak görülebilirler. Çerez kullanımına izin vermek veya vermemek, bir politika sorunudur. Çoğu tarayıcıda, çerez kabul edilip edilmeyeceğine karar vermek olanaklıdır. Ayrıca bazı ücretsiz yazılımlar, internette gezinti yapıldığı sürece çerez kullanımına izin vermekte, çıkıldığında bilgileri temizlemeyi olanaklı kılmaktadır.

170

G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar (Devamı)

2.3.4 FTP, bilgisayarlar arasında veri dosyası aktarımını, olanaklı kılan bir hizmet türüdür. Genellikle WWW‘den dosya indirmekte kullanılır. FTP temel olarak bir güvenlik özelliğine sahip değildir. Ağ üzerinde kullanıcı adı ve parola Ģifresiz metin olarak aktarılır. Kullanıldığında hizmeti düzgün yapılandırmak önemlidir. FTP hizmet özellikleri arasında Ģunlar yer alır:

• Genel FTP—DıĢarıdan kullanıcıların kuruluĢ sunucularından program veya veri indirmesine izin veren hizmetlerdir. Bu hizmeti sunmak isteyen bir kuruluĢ için sistemin düzgün konfigürasyonu yapmıĢ olması önem taĢımaktadır. Aksi takdirde, kuruluĢ verilerine yetkisiz eriĢim olanaklı olur. Sunucu yasadıĢı program ve verilerin depolanması amacıyla da kullanılabilir. Bu durumlarda, kullanıcı bir kullanıcı adı ve parolayla (genel ya da ftp) kayıtlanır. Ancak kullanıcı adı ve parolasının, e-posta adresiyle eĢleĢmesini ve doğruluğunu kontrol eden az sayıda sistem vardır.

• Etkin/edilgen iletiĢim—Diğer hizmetlerin tersine, iletiĢim için FTP iki geçit kullanır. Ayrıca bağlantılar iki yönlü olarak –etkin ve edilgen- yapılabilir. Etkin kipte, kullanıcı hangi geçidi kullanacağına karar verir. Bu kipte alınan veriyi kontrol etmek ve filtrelemek olanaklıdır. Edilgen kip kullanılırsa bağlı sunucu, kullanılacak geçide karar verir. Edilgen kipte güvenlik sağlamak güvenlik duvarları açısından oldukça zordur.

2.3.5 Haberler, kullanıcıların istediklerini tartıĢabildiği bülten panolarıdır. Haberlere bir ileti gönderildiğinde bu bülten panosunda yazanın adı ve adresiyle birlikte yayınlanır. Ġleti, genellikle dünyanın değiĢik yerlerindeki sunuculara dağıtılır. Bu durumda da bir ileti yollandıktan sonra, onun silinebilmesi neredeyse olanaksız olmaktadır. Kurum bilgisayarından gönderilen bir ileti, kurumun görüĢünü yansıtan bir ileti olarak algılanabilir. Bu noktada çalıĢanın kurum sırlarını ifĢa etme ihtimali de bulunmaktadır. Haber eriĢimini engellemek muhtemeldir ve bu bir kurumsal politika kararıdır.

2.3.6 Telnet hizmeti, ağ üzerindeki diğer bilgisayarlara giriĢ yapmaya olanak veren bir hizmettir. Telnet kullanıcıya karakter temelli sanal terminal verir. GiriĢ süresince, kullanıcı adı ve parola Ģifresiz metin olarak iletilir. Ġzinsiz giriĢ yapanlar için kullanıcı adını ve parolayı edinmek ve daha sonra yetkisiz giriĢler gerçekleĢtirmek kolay olur. Bunu önlemek için tek seferlik parolalar ve Ģifreleme kullanılabilir. Sanal korsanlar için de terminal bağlantısını ele geçirmek (oturum gaspı) olanaklıdır. Kullanıcı giriĢ yaptıktan sonra, sanal korsan kullanıcının eriĢimleriyle oturumu ele geçirebilir. Kriptolama yardımıyla, bu durumdan kaçınılabilir. SSH, uzak x-pencereler VNC ve uzak masaüstü ile uzaktan etkileĢimli eriĢim, uzaktan sistem eriĢimi fiili yöntemlerini kullanarak Telneti ele geçirmeleri beklenir.

2.3.7 IRC ve çevrimiçi iletiĢim, gerçek zamanlı konferans sistemleridir. Kullanıcılar, bütün kullanıcıların katılabildiği görüĢmelerde – kanallarda – ortak alanlarda iletiĢim kurabilirler. Çoğu IRC/çevrimiçi iletiĢim programları içerdikleri güvenlik açıklarıyla, yetkisiz giricilerin kurum dosyalarına eriĢimine olanak tanırlar. Yetkisiz giriĢ yapanlar, bu programlar yardımıyla virüs yaymak veya toplumsal mühendislik uygulamak gibi fırsatları da bulmaktadırlar.

3. GÜVENLĠK ÖNLEMLERĠ

3.1 Politika, Ürünler ve Ġzlemeler 3.1.1 Güvenli internet bağlantıları, kuruluĢun bilgi güvenlik politikaları üstüne inĢa edilmelidir. Doğru ve güvenli internet kullanımıyla

ilgili Rehberlerin olması ve liderliğin temel odak noktalarından birisinin güvenlik farkındalığı olması önemlidir. ÇalıĢanlar, güvenlik Rehberleri ilkelerine bağlı kalmazlarsa güvenlik önlemlerinin istenen sonuçları vermesi beklenemez. Kontrol değiĢikliği ve yetkilendirme usulleri belirlenmiĢ olmalıdır. Ayrıca, güvenlik Rehberleri internet kullanımında etik davranma konusunu da içermelidir.

3.1.2 Piyasada, internet güvenliğini artıracak çok çeĢitli ürünler satılmaktadır. Zorunlu seviyede bir güvenlik sağlamak için çok sayıda tamamlayıcı ürün kullanma gereği vardır. Ürünlerin seçimi, risk değerlendirmesi temeline dayanmalıdır.

3.1.3 Alınan güvenlik önlemlerinin izlenmesi büyük önem taĢımaktadır. Güvenlik önlemleri izleme ve gözleme, iĢlem yönlendirmeleriyle etkin ve rehberle uyumlu bir nokta mutlaka sağlanmalıdır.

3.2 Güvenlik Duvarları 3.2.1 Yerel bir ağdan internete bağlantı kurulurken en sık alınan güvenlik önlemi güvenlik duvarıdır. Güvenlik duvarı, yasa dıĢı

giriĢi engellemeye yönelik bir donanım ve yazılım bileĢkesidir. Güvenlik duvarı, kurumun güvenlik politikasını yansıtmalıdır. Sadece izin verilen hizmetler duvarı aĢabilmelidir.

3.2.2 Bir güvenlik duvarı Ģunlardan biri olabilir:

• Paket filtreleme yönlendiricileri—Ağa giren ve çıkan veri paketlerinin incelenmesi.

• Uygulama geçitleri—FTP veya Telnet gibi belli uygulamalara güvenlik mekanizmalarının uygulanması.

• Devre seviye geçitleri—STCP ya da UDP bağlantısı kurulduğunda devreye giren güvenlik mekanizması.

• Proxy sunucu—Gerçek IP adresini gizleyerek ağa giren ve çıkan iletileri yakalar. Kullanılan güvenlik duvarı, donanım ya da yazılım temelli olabilir, donanım temelli olanlar temelde ticari ortamlar için

tasarlanmıĢlardır ve adı geçen tekniklerden birden fazlasını aynı anda kullanabilirler.

3.2.3 Bu güvenlik duvarları, farklı türde güvenlik sağlarlar ama hepsinin izlenmesi ve bunlara bakım yapılması gerekir. 3.2.4 Güvenlik duvarlarıyla veri kontrolü sağlayan iki güvenlik kavramı vardır:

• Her Ģeyin tam olarak kısıtlanması—Sadece yönetim tarafından izin verilen hizmetler geçiĢ yapabilir.

• Genel kısıtlama yapılmaması—Yönetim tarafından sadece yüksek riskli olarak tanımlanan hizmetler engellenir. 3.2.5 Bir güvenlik duvarı çözümü aranırken, kuruluĢun güvenlik gereksinimleri, kullanıcı dostu olmak gerekliliği ve BT bölümünün

yeterliği dikkate alınmalıdır. Güvenlik duvarı konfigürasyonu, düzgün olmalı ve kullanıcılar internete eriĢmeden önce güvenlik politikası ile uyumlaĢtırılması sağlanmalıdır.

3.3 Tek seferlik Parolalar 3.3.1 Parolaları açığa çıkarmak amacıyla kullanılabilecek çok sayıda yazılım vardır. Bu yazılımlar, veri suçluları ve sanal korsanlar

tarafından kullanılmaktadır. Kullanıcılar, genelde tahmin etmesi ve yetkisiz giriĢlerde kullanılması kolay olan parolalar seçmektedir. Ancak tahmin edilmesi zor olan bir parola bile açığa çıkarılabilir. Bilgisayarlar, bugün için eriĢtikleri güçle en karmaĢık parolaları bile açığa çıkarmaktadırlar. KuruluĢ sistemine yetkisiz eriĢimi önlemek için kullanılabilecek muhtemel yöntemlerden biri tek seferlik parolalardır. Bu parolalar, bir parola oluĢturucu ya da hesap makinesine benzer bir birim üzerine yerleĢtirilmiĢ sayılar arasından seçim yaparak çalıĢan kimlik sorma/yanıtlama sistemiyle oluĢturulabilir. Tek seferlik parolalar, güvenli bir çözüm üretmek amacıyla tercihen ĢifrelenmiĢ yazılımlarla oluĢturulmalıdır.

171

G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar(Devamı)

3.4 Saldırı Testi ve Test Yazılımı 3.4.1 Söz konusu zaafların artarak karmaĢıklaĢması, bilinen web uygulamaları zaaflarının araĢtırılmasını önermeyi gerektirir.

Ücretsiz ya da satılmakta olan çok sayıda yazılım, değiĢik zaaf ve güvenlik açıklarının BT sistemlerinde testine olanak vermektedir. Bunların bazıları, internet güvenliğine katkı sağlamak isteyen ciddi kiĢiler ya da Ģirketler tarafından geliĢtirilmiĢtir. Ancak, çoğu da veri suçluları tarafından kuruluĢ sistemlerine sızma sağlamak için geliĢtirilmiĢtir. Güvenilir Saldırı test yazılımı kullanımıyla, kuruluĢun internet bağlantısı için alınan güvenlik önlemlerinin niteliği denenebilir.

3.5 Saldırı Tespit ve Önleme Sistemleri 3.5.1 Saldırı tespit ve önleme sistemleri, (IDS) yerel ağı ve iĢ sistemlerini çözümleyerek yasadıĢı saldırıları bir zarar ortaya

çıkmadan önce açığa çıkarmak için kullanılırlar. IDS, izinsiz giriĢ yapılmaya çalıĢıldığını anladığı anda, güvenlik önlemlerini devreye sokacak olan kuruluĢ BT personeline ya da güvenlik yönetimine ileti gönderir. Yeni tehdit ve saldırıların öğrenilmesi durumunda IDS ivedi olarak güncellenmelidir.

3.5.2 Saldırı tespit ve önleme sistemleri, (IPS), saldırı yapılırken ya da yapıldıktan sonra tanımlama sistemine dayanan dosya imzaları kullanan güvenlik araçlarından farklı bir anlayıĢa sahip olarak saldırıyı gerçekleĢmeden önce öngörür. Bunu bilgisayar sisteminin anahtar noktalarını izleyip solucanlar, Truva atları, casus yazılımlar, zararlı yazılımlar ve korsanlar gibi ―kötü davranıĢları‖ arayarak yapar. Çıkan tehditlere karĢı tam güvenlik sağlamak için virüs korunma, casus yazılım korunma ve güvenlik duvarları gibi araçların tamamlayıcısı olarak çalıĢır. Tehdit imzalarını ya da yamalarını tanımlayıp dağıtan bir temele güvenen geleneksel güvenlik yöntemlerinin ötesinde yeni (sıfır-gün) tehditleri engelleme yeterliğine sahiptir.

3.6 Kriptolama 3.6.1 Ġlkesel olarak internet üzerinden aktarılan veri herkese açıktır. Bu demektir ki, korunmayan hassas bilgi ele geçirilebilir ve

yasa dıĢı amaçlarla kullanılabilir. Sistem bütünlüğü ve gizliliğini sağlayacak yöntemlerden biri kriptolamadır. Kriptolama, değiĢik seviyelerde kullanılabilir. Kriptolama, en güvenli çözüm uygulama seviyesinde kriptomaladır, böylece gizlilik ve bütünlük son kullanıcıya kadar tüm yol boyunca sağlanır. Ancak bu çözüm kullanıcıların yazılımlarının uyumuna bağlıdır.

3.7 Dijital Ġmzalar 3.7.1 Dijital imza, kullanımıyla ileti bütünlüğü sürdürülebilir. Bu özellikle, internet üzerinden ticarette faydalıdır. Dijital imzalar, özel

ve genel olmak üzere anahtar çifti temeline dayanır. Gönderici, özel Ģife anahtarı ve alıcının genel anahtarıyla ĢifrelenmiĢ iletinin bu anahtarlarla birlikte bir parmak izini (kopyasını) çıkarır. Alıcı süreci, tersine çevirir, göndericinin genel ve kendisinin özel anahtarıyla Ģifreyi çözer. Burada göndericinin parmak iziyle karĢılaĢtırılacak yeni bir parmak izi oluĢur. Eğer ikisi aynı bir Ģey değiĢmez.

3.8 Sanal Özel Ağlar (VPN) 3.8.1 VPN, paylaĢılan, güvenliksiz, fiziksel ağlar ya da ağlar üstünden iki ya da daha fazla sayıda bilgisayarın güvenli iletiĢimini

kuran bir araçtır. Bilgisayarlar ağa bağlı olabilirler ama sadece aynı sanal ağın üyesi olan bilgisayarlar veri değiĢimi yapabilirler. ĠletiĢim kanalları kriptolama ile güvenli hale getirilebilir.

3.9 Virüs Korunma Programları 3.9.1 Makro virüslerin de ortaya çıkıĢının ardından veri virüsü büyüyen bir sorundur. Veri virüsleri, aralarında e-postalar,

internetten indirilen oyunların ve programların korsan sürümleri de olan çok değiĢik kaynaklardan yayılabilmektedir. Ekli e-postalar, alan ve çalıĢanlarının internetten indirme yapmasına izin veren bütün kuruluĢlar sunucularında ve/veya kiĢisel bilgisayarlarda virüs korunma yazılımları kullanmalıdırlar. Bu virüs korunma yazılımlarını, güncel tutmak için gerekli önlemlerin alınmıĢ olması büyük öneme sahiptir.

3.10 Casus Yazılım Korunma Programları 3.10.1 Casus yazılımlar kendi kendini çoğaltmıyor olması nedeniyle virüs ve solucanlardan farklıdırlar. Son zamanlarda çıkan çok

sayıdaki virüs gibi casus yazılımlar da bulaĢtıkları bilgisayarlardan ticari kazanç elde etmeyi amaçlamaktadırlar. Bu amacı gerçekleĢtirmenin tipik yolları arasında, istenmeyen açılır reklamlar, kiĢisel bilginin çalınması (kredi kartı numarası gibi finansal bilgiler de dahil), pazarlama amacıyla web-tarayıcısı faaliyetlerini izlemek veya http istemlerini reklam sitelerine yönlendirmek yer almaktadır. Bu duruma maruz kalmaktan kaçınmak için her kuruluĢ casus yazılımları engelleyen ya da yok eden casus yazılım korunma programlarını kurmalıdır.

3.11 Sisteme Girme ve Ġzleme 3.11.1 Ġnternet trafiğini izlemenin ve kaydetmenin kendisi bir güvenlik önlemi değildir ama saldırıları tespit etmenin, ağ ve iĢ

sistemleri güvenliğini sürdürmenin ön koĢuludur. Etkin olması bakımından izleme ve kayıt, güvenlik duvarı gibi iletiĢim noktalarında yapılmalıdır. Ġzlenmesi gereken olaylar, kuruluĢ politikası ve risk değerlendirmesi temeline dayanmalıdır. Çok büyük miktarda veri içeren kayıt sonuçları manuel olarak kiĢi tarafından izlenemez. Bu nedenle, ilgili kayıt verisini filtreleyip çözümleyen ve sunan bir yazılım/araç edinmek uygun olacaktır.

172


4. ĠNTERNETĠN KURUM TANITIM KANALI OLARAK KULLANILMASI

4.1 Ġnternetin Pencere Olarak Kullanılması 4.1.1 WWW‘nin baĢlamasından beri internet kuruluĢların penceresi olarak kullanılmaktadır. Bu rehber, kuruluĢun kendini nasıl

sunması gerektiğiyle ilgilenmemektedir ancak WWW‘ye bilgi aktarılmadan önce ve aktarıldıktan sonra nelere dikkat edilmesi gerektiğine değinmektedir.

4.2 WWW‘ye Bilgi Aktarılmadan Önce 4.2.1 WWW‘de temsil edilmek, kuruluĢlar için bir zorunluluk haline gelmiĢ gibi görünmektedir. Bilgiler ana sayfalara genellikle

güvenlik unsuru çok da dikkat edilmeksizin yerleĢtirilir. ĠĢ ve çalıĢanlar hakkında ayrıntılı bilgi verilerek veri suçluları tarafından gerçekleĢtirilecek toplum mühendislerine ortam hazırlamaktadır. Ayrıca, veri suçlularının sunuculara girerek ana sayfa bilgilerini değiĢtirmelerine de rastlanmaktadır.

4.2.2 Bir kuruluĢ, ana sayfasını hazırlamadan önce bir arka plan ihtiyaç analizi yaparak hangi bilgiyi sunmanın uygun olduğunu belirlemeli ve sunulan bilginin kuruluĢu ne tür risklerle karĢı karĢıya bıraktığını açıklaĢtırmalıdır.

4.3 WWW‘ye Bilgi Aktarıldıktan Sonra 4.3.1 Sıklıkla güncellenmeyen ana sayfalara ilgi azalmaktadır. Bakım ve geliĢtirme temel öneme sahiptir. Ayrıca, sunucular

muhtemel yasa dıĢı giriĢler ve etkinliklere karĢı günlük olarak izlenmelidir. Eğer veri, suçluları eriĢim sağladıysa ana sayfa içeriği değiĢik yollarla değiĢtirilebilir. Örneğin, iletiĢim bilgileri rakip firmanınki olarak değiĢtirilirse satıĢlarda azalma olabilir. WWW eriĢimiyle korsan yazılım kopyalaması ya da sunucuda yasa dıĢı bilgi depolama gerçekleĢtirilebilir.

4.4 Ticaret Kanalı Olarak Ġnternet 4.4.1 Ġnternet üstünden ürün pazarlaması (e-iĢ) tüm dünyada büyüyen bir hizmettir. Bu ticaret etkinliği ödemeleri de içerdiğinden

ileri seviyede güvenliği gerekli kılmaktadır. MüĢteri sağlayıcıya kredi kartı bilgilerini bunların yanlıĢ kullanılmayacağına duyduğu bir güvenle verebilmelidir. Diğer yandan, sağlayıcılar sipariĢlerin gerçekliğinden emin olabilmeli, gereksiz maliyetlerden ve yanlıĢ kullanımdan kaynaklı ekonomik sorumluluklardan uzak kalabilmelidir.

4.4.2 Ġnternet üstünden yapılan ticareti güvenli kılmaya yönelik çok sayıda çözüm üretilmiĢtir. Bunlar arasında en yaygın kullanılanı Güvenli Soket Katmanı (SSL) ve Güvenli Elektronik Havaledir (SET).

4.5 Elektronik Para 4.5.1 Ġnternet üstünden yapılan ticaret, elektronik para iĢlemlerinin güvenliği gereğini artırmıĢtır. Çoğu insan kredi kartı

numaralarını açıklamaya eğilimli değildir ve küçük para aktarımları için kredi kartı kullanımı kârlı da değildir. Bu nedenle, çok sayıda e-ticaret Ģirketi çözümü elektronik parada bulmuĢtur. E-ticaret için ticaret zinciri üç parçadan oluĢur: MüĢteri, sağlayıcı ve banka. MüĢteri, elektronik parayı kullanmadan önce bankadan elektronik cüzdan indirmelidir. Bu cüzdan, kiĢisel bilgisayara, kiĢisel dijital yardımcıya (PDA) ya da akıllı karta kurulabilir. Ġndirdikten sonra para kullanıma hazırdır. Havaleleri güvenli kılmak için dijital imza kullanılır.

4.6 Güvenilir Üçüncü Taraf (TTP) 4.6.1 Ġnternet temelli ticaret ya da kuruluĢların kritik bilgi veya veri değiĢimi açısından izlenebilirlik gereklidir. Ġzlenme bütünlüğünün

güvenliği için, havalenin gerçekliğine dair üçüncü tarafların tanıklığı kullanılır. Bunlar, BT iĢinin büyük hizmet sağlayıcılarıdır ve genel anahtar altyapısı (PKI) denen bir teknolojiyi kullanırlar. BaĢlıca iĢlevleri doğrulama, kriptolama ve dijital imzadır.

4.6.2 Son yıllarda, kuruluĢların üçüncü taraflara gerek duymadan kendi güvenliğini sağlayabileceği çözümler geliĢtirilmiĢtir.

5. DENETĠM ĠġĠ PERFORMANSI/GÜVENLĠK GÖZDEN GEÇĠRMESĠ

5.1 Planlama 5.1.1 BS Denetçisi, kurumun internet kullanımı ve eriĢimine dair bir anlayıĢ kazanmalıdır. BS Denetçisi, kurum ve kurum

misyonunu dikkate alarak internet eriĢimi ve kullanımından kaynaklanan risk değerlendirmesini yapmalıdır. 5.1.2 Denetimin kapsamı, amacı ve zamanlamasını içeren denetim programı geliĢtirilmelidir. Rapor düzenlenmesi, denetim

programında açıkça yer almalıdır. Kurum özellikleri, büyüklüğü ve paydaĢlarına gereken dikkat verilmelidir. BS Denetçisi, kurum misyonu ve iĢ amaçlarıyla teknik altyapı ve kritik iĢ verilerine dair bir anlayıĢı kazanmalıdır.

5.1.3 Bilgi yöneticileri ve sahipleri de dahil olmak üzere, anahtar personelin rol ve sorumluluklarını gösteren kurumsal yapının anlayıĢı da kazanılmalıdır.

5.1.4 Denetim planlama aĢamasının temel amacı, kurumun internete bağlandığında hangi tehdit ve risklerle karĢılaĢacağını anlamaktır.

5.2 Ġzlenecek Adımlar 5.2.1 BS Denetçisi, internete bağlanma kararının kuruluĢun bütün gereksinimler değerlendirmesi sonucuna dayalı olarak verilip

verilmediğini dikkate almalıdır. Kurul ve yönetim, internet kullanımına dair verdikleri kararın tehditleri nasıl değiĢtirdiğini bilmeli ve risklerin farkında olmalıdır. BS Denetçisi, gözden geçirmenin kapsamı tanımlanırken toplanan, depolanan ve kurum içinde değiĢik amaçlarla kullanılan bilginin türü gibi etmenleri de göz önünde bulundurmalıdır.

173


5.2.2 BS Denetçisi, kurumun aĢağıdakilere sahip olup olmadığını saptamalıdır:

• Ġnternet politikası

• Güvenlik duvarı, ağ bağlantısı ve benzerini izleme ve izleme Rehberi

• Olay raporlama usulü

• Ana sayfa güncelleme Rehberi

• Eğitim ve farkındalık programları

BS Denetçisince, bunlar eğer mümkün ise değerlendirilmeli ve internet kullanımının politika ve usullere uygun olduğuna dair

makul bir güvence verilmelidir.

5.3 Ayrıntılı Gözden Geçirmenin Yapılması 5.3.1 BS Denetçisi, aĢağıdaki yönetim konularını değerlendirmelidir:

• Yönetimin sorumluluğu

• Ġnternet eriĢimi verilmesinin amacı

• Ġnternet eriĢiminin kısıtlanmasına ya da engellenmesine gerek duyulmasına yol açacak gizli/özel verilerin kuruluĢ bünyesinde olup olmadığı

• Bağlantı türü

• ÇalıĢanların eriĢimine temel olacak bir ihtiyaç değerlendirmesinin yapılması

• EriĢimin belli saatlerde ya da haftanın belli günlerinde kısıtlı olması

• ÇalıĢanların gezinmesi/bilgi toplaması için girebilecekleri yerlere dair bir kısıtlamanın varlığı

• KuruluĢun internetten ürün ya da hizmet satıĢı gerçekleĢtirmesi ve ödemelerin internetten yapılması

• KuruluĢun internet bağlantısını kurmak, izlemek ve sürdürmek için zaman ve kapasite açısından yeterli olması 5.3.2 Risk değerlendirmesi, en azında aĢağıdakileri kapsamalıdır:

• Tehditler

• Ġnternete bağlanıldığında tehditlerde oluĢacak değiĢiklikler

• Kullanılan bilgi güvenlik politikasının internet kullanımını kapsayıp kapsamadığı

• KuruluĢun veri suçluları için ilgi çekiciliği ya da endüstri ispiyonculuğuna hedef olma durumu

• Ġç/gizli bilginin yetkisiz giriĢ yapanların eline geçmesinin sonuçları

• Bir güvenlik vakası yaĢanmasının maliyeti

• Bir güvenlik vakası yaĢanmasının ihtimali

• Ġnternet bağlantısını güvenli kılmak için alınması gereken güvenlik önlemleri 5.3.3 Ġnternet kullanımıyla ilgili rehberler en azından Ģunları içermelidir:

• Güvenlik politikası bağlantısı

• Ġzin verilen hizmetlerin listesi

• Bu hizmetlerin kullanımına dair kabul edilir kurallar ve bu kuralların çiğnenmesinde uygulanacak yaptırımlar

• Yasa ve yönetmeliklere uygunluğun sağlanması için ağ izleme usullerinin açıklanması

• Etik tavırların belgelenmesi

• E-posta gönderme ve depolama kuralları

• Kullanıcı eğitimi gereksinimleri

• ĠĢbirliği yapan ortaklar arasındaki potansiyel anlaĢmalar

• Ġnternet trafiğini kaydetmek ve izlemekle ilgili yasaların, muhtemel çiğnenmesini engellemek için çalıĢanların Rehberleri okuduklarını, anladıklarını ve bunlara uyacaklarını doğruladıkları bir anlaĢmayı imzalamaları

5.3.4 Ġnternet operasyon belgesi en azından Ģunları içermelidir:

• Bütün teknik donanım ve altyapı

• Kayıt ve izleme kuralları

• Uyarma kurulumu

• Kayıt ve vaka izleme yöntemleri 5.3.5 Ġnternet bağlantı belgesi en azından aĢağıdakileri içermelidir:

• Ağ geniĢliğinin tanımı

• EriĢim noktalarının tanımı

• Bütün modem bağlantılarının tanımı

• Yönlendiricilerin ve muhtemel proxy sunucuların yapılandırması

• Güvenlik duvarı yapılandırması

• Kriptolama ve dijital imzalar gibi diğer güvenlik önlemlerinin konfigürasyonu

• Bir kere yaz çok kere oku (WORM), harici diskler ve bantlar gibi kayıt dosyalarının güvenli saklanma açıklamaları

• Sistem kayıt dosyalarının yeniden yaratılma usulleri

174


5.3.6 Ġzleme yöntemleri belgesi en azından aĢağıdakileri içermelidir:

• Yedekleme kaynaklarını da içeren internet bağlantısının bakım ve yönetim sorumluluklarının tanımı

• Güvenlik duvarı sistem kayıt dosyalarının gözden geçirilmesi

• Kullanılan sunuculardan yapılan aktarımların gözden geçirilmesi

• Kullanıcı faaliyetleri sistem kayıt dosyalarının gözden geçirilmesi

• Ağ istatistiklerinin gözden geçirilmesi

• Muhtemel güvenlik vaka ve teĢebbüslerin izlenmesi 5.4 Sorumluluklar 5.4.1 Kullanıcı sorumlulukları aĢağıdakileri içerir:

• BS politikaları, Rehberleri ve etik ölçütlerine uygunluk

• Bilginin toplandığı ülkedeki var olan yasa ve düzenlemelere saygı

• Telefon ve e-posta gibi haberleĢme araçlarında parolaları asla açıklamamak

• Bilinmeyen bir kiĢiden telefon ya da –e-posta ile gelen bir isteme dayanarak parolaları asla değiĢtirmemek

• Yerel ağda kullanılan kullanıcı adını ve parolayı asla internette kullanmamak

• Ġnternetten indirilen veriyi iĢ kararları, ticaret ya da ödeme öncesinde mutlaka doğrulamak 5.4.2 BT yönetimi sorumlulukları Ģunları içerir:

• Kullanılmakta olan internet güvenlik duvarı, yönlendirici, sunucu ve diğer BT donanımı bakımı ve izlemesi. Bu sorumluluk, sistem yazılım ve uygulamalarının doğru sürümünün kurulması ve kullanılmasını da içerir. Ayrıca, BT yönetimi güvenlik duvarı kayıtlarının günlük izlendiğinden ve yapılandırmasının yazılı rehberlere göre olduğundan emin olmalıdır.

• Kullanılmakta olan sistem ve uygulamalarla bir arada olan zaaf ve tehditlerin güncellenmesi güvenlik seviyesinin uygun sürdürümünün bir ön koĢuludur.

5.4.3 Güvenlik yönetimi sorumlulukları arasında aĢağıdakiler yer alır:

• Bilgi güvenliğinden sorumlu kiĢinin BT operatörlüğü, sistem çözümleyiciliği ya da programcılık gibi ek iĢlevleri üstüne almasını kısıtlamak

• Ġnternet kullanımıyla ilgili rehberler hazırlatmak ve güvenlik yöneticisinin ana görevi olan internetin kabul edilebilir ve etik kullanımı hakkında kullanıcılara bilgi vermek

• Bilgi güvenliği içinde en üst yönetime bir kaynak olarak hareket etmek

• Güvenlik duvarı sistem kayıtlarını gözden geçirmek

• Güvenlik sistemlerinden gelen raporlarını gözden geçirmek

• Güvenlik önlemlerinin düzenli olarak test edildiğinden emin olmak

• Süreklilik ve felaket planlarının kuruluĢ hizmetlerini kapsadığından emin olmak

• Güvenlik vaka ve giriĢimlerini izlemek

• Önemli güvenlik vakalarından yönetimi bilgili kılmak

• BT yönetimi gibi kullanılmakta olan sistem ve uygulamalarla bir arada olan zaaf ve tehditlerin güncellenmesi 5.4.4 Üst yönetim sorumlulukları aĢağıdakileri içerir:

• Genel internet politikasının biçimlendirilmesi

• Ġzleme politikaları ve ilgili süreçler

• Yeterli kaynağın sağlanması

• BT yönetimini politikaları uygulamak için güçlendirmek 5.5 Teknik Sorunlar ve Güvenlik Önlemleri 5.5.1 Teknik sorunlar arasında aĢağıdakiler sayılabilir:

• Sistem yazılımında, güvenlik uyarıları ve yetkisiz sistem kayıt vakaları etkinleĢtirilmelidir.

• Yerel ağ ve internet arasındaki bağlantı güvenlik duvarı tarafından korunmalıdır.

• Güvenlik duvarından sadece yönetimin izin verdiği hizmetler geçmelidir.

• Güvenlik duvarı izin verilmeyen bütün ağ protokollerini durdurmalıdır. 5.5.2 Hizmetle ilgili yöntemler arasında Ģunlar yer alır:

• E-posta

– Kritik iletiler Ģifrelenmelidir.

175

G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar(Devamı )

– Zamana duyarlı iletiler manuel olarak ile izlenmelidir.

– Zararlı kodların, muhtemel zararını önlemek için ekler taranmalıdır.

– Parolalar, e-posta ile gönderilmemelidir.

• WWW

– Ġnternet hizmetleri kullanılırken kiĢiler, yerel ağda kullandıklarından farklı kullanıcı adı ve parola kullanmalıdır.

– WWW‘den indirilen bilgi, kullanılmadan önce kontrol edilmeli ve doğrulanmalıdır.

– Sadece onaylı internet tarayıcısı kullanılmalı, yapılandırma, kurulum ve eklenti değiĢikliğine izin verilmemelidir.

– Ġnternetten indirilen bütün dosyalar virüslere ve casus yazılım gibi zararlı kodlara karĢı taranmalıdır.

• FTP

– Ġnternetten indirilen bütün dosyalar, virüslere ve casus yazılım gibi zararlı kodlara karĢı taranmalıdır.

• Haberler

– Kullanıcıların ―ATEġLĠ TARTIġMALARA‖ girmesine izin verilmemelidir.

– Kullanıcıların kurum, çalıĢanlar, iĢbirliği yapılan ortaklar, sağlayıcılar ya da rakipler hakkında olumsuz izlenimlere yol açabilecek yazılar yazmalarına izin verilmemelidir.

– Haberlerden toplanan bilgi kullanılmadan önce kontrol edilmeli ve doğrulanmalıdır.

• Telnet

– Eğer mümkün ise bir kerelik parolalar kullanılmalıdır.

• IRC/Çevrimiçi iletileĢme

– IRC ve çevrimiçi iletileĢmeye sadece tek duran, bağlantısız bilgisayarlardan izin verilmelidir

– IRC ve çevrimiçi iletileĢmede kuruma ait iç bilgilerin verilmesi yasaklanmalıdır. 5.5.3 Diğer güvenlik önlemleri aĢağıdakileri kapsar:

Ev ya da iĢyeri dıĢında farklı bir yerden giriĢ yapılırken, bir kerelik parola gibi doğrulama güvenliği olan bir VPN kullanılmalıdır.

DıĢ kullanıcıların, kullanımına ayrılmıĢ sunucular DMZ‘de kurulmalıdır.

• CGI dili ve internetten veri almada kullanılan diğer kodların kalite güvencesi olmalı ve bunlar hata ve zayıflıklar açısından denenmiĢ olmalıdır.


6.1 Bu rehber 1 Mart 2006 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir.


176

G34 Sorumluluk, Yetki ve Hesap Verebilirlik

1. ARKA PLAN

1.1. Standartlarla Bağlantı 1.1.1. S1 Denetim Yönetmeliği Standardı:‖ Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,

sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde

belgelenmelidir.‖ Ģeklinde ifade eder.

1.1.2. S3 Meslek Etiği ve Standardı: ―BS Denetçisi, ISACA Meslek Etik Kuralları‘na bağlı kalmalıdır‖. Ģeklinde ifade eder.

1.2. COBIT Bağlantısı 1.2.1. Yüksek seviye kontrol amacı M3 (bağımsız güvence edinimi), ―…kurumlar, müĢteriler ve üçüncü taraf sağlayıcılar arasında

güven ve gizliliği artıracak bağımsız güvenceyi edinmek‖. Ģeklinde ifade eder. 1.2.2. Yüksek seviye kontrol amacı M4 (bağımsız denetimin sağlanması) ―…güven seviyelerini ve en iyi uygulama önerilerini

artırmak için bağımsız denetimin sağlanması‖. Ģeklinde ifade eder. 1.2.3. Ayrıntılı kontrol amacı M4.1 (denetim sözleĢmesi), ―Denetim iĢlevi için sözleĢme kurumun üst yönetimi ile yapılmalıdır. Bu

belge denetim iĢlevinin sorumluluğunu, yetkisini ve hesap verilebilirliğini ortaya koymalıdır. Yönetmelik, düzenli olarak gözden geçirilerek sürmekte olan denetim iĢlevinin bağımsızlığı, yetkisi ve sorumluluğunu güvence altına alınmalıdır‖. Ģeklinde ifade eder.

1.3. COBIT Referansı 1.3.1. Belli bir denetim çerçevesine en uygun COBIT materyali seçimi, belli COBIT BT süreci ve göz önünde bulundurulan COBIT

kontrol hedefleri ve iliĢkili yönetim uygulamaları temeline dayanır. Gereksinimleri karĢılamak için en iliĢkili olduğu varsayılabilecek seçilen ve uyarlanan COBIT süreçleri aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan süreç ve kontrol hedefleri, söz konusu görevin kapsam ve koĢullarına bağlı olarak değiĢebilir.

1.3.2. Birincil:

• M2—Ġç kontrol yeterliliğinin değerlendirilmesi.

• M3—Bağımsızlık güvencesi edinimi.

• M4—Bağımsız denetimin sağlanması. 1.3.2. Ġkincil:

• PO6—Yönetim amaç ve yönelimlerini bildirmek

• PO7— Ġnsan kaynakları yönetimi

• PO8— DıĢ gerekliliklere uyumun sağlanması

• DS1— Hizmet seviyelerinin tanımlanması ve yönetilmesi

• DS2— Üçüncü taraf hizmetlerinin yönetimi

• DS10— Sorun ve vakaların yönetimi

• M1— Süreçlerin izlenmesi 1.3.4. Sorumluluk, yetki ve hesap verebilirlikler en iliĢkili bilgi kıstasları:

• Birincil—Etkinlik, verimlilik, eriĢebilirlik ve gizlilik

• Ġkincil—EriĢebilirlik, bütünlük ve güvenirlik

1.4. Rehberin Amacı 1.4.1. Sistem karmaĢıklığının sürekli artıĢı ve uzman iĢi haline gelen siber tehditler sonucunda kurumlar giderek daha yoğun olarak

sistem risk ve zaaflarını tanımlayıp, değerlendirip çözümler önerme bilgi, uzmanlık ve becerisine sahip uzmanlar aramaktadırlar. BS Denetçileri, hızla değiĢen bilgi teknolojisine, iliĢkili zaaflarına ve muhtemel açıklarına yanıt vererek kurum varlıklarını korumakta ve risk tanımlaması, değerlendirmesi ve azaltmasında temel bir rol oynarlar. BS Denetçileri, teknik BT becerileri ve denetim iĢlevinde –iç ya da dıĢ olması fark etmeksizin- uzmanlık sağlarlar ve finansal ve operasyonel ortamların teknolojik karmaĢıklığı kadar BT uzmanlığında yeterli bilgi ve beceri seviyesine sahip olup bunu sürdürmek giderek artan bir gereksinim olmuĢtur. Günümüzün de içinde yer aldığı çağda teknoloji temel iĢ sürükleyici güç ya da anahtar bir sağlayıcı olarak iĢ süreçlerini, kurumu ve paydaĢları destekleyen bir özelliğe sahip olmuĢtur. Bu noktada bunlar, BS Denetçisine yönetimin varlıkların korunmasını, veri bütünlüğü, etkinlik ve verimlilik, yeterince iyi gözetip gözetmediğini; Ģirket politikalarına bağlı kalıp kalmadığını; yasalara ve yasa benzerlerine uygun davranıp davranmadığını irdelemek için gerek duyarlar.

1.4.2. ISACA BS Denetim standartları ve COBIT açıkça, denetim yönetmeliğinde BS Denetçisinin sorumluluk, yetki ve hesap verebilirliğin yapacağı denetimler açısından belirlenmiĢ olması gereğini vurgular.

1.4.3. Bu bağlamda, BS Denetçilerinin yerine getirmeyi kabul edecekleri görevlerde sorumluluk, yetki ve hesap verebilirliği tanımlamalarına yardımcı olacak yol gösterici rehberlere gereksinimleri vardır.

1.4.4. Bu rehber, BS Denetim Standartları S1 Denetim Yönetmeliği ve S3 Mesleki Etik ve Standardı uygulamaları için yol göstericilik sağlar. BS Denetçisi, bu Rehberi yukarıdaki standartların nasıl uygulanacağına karar verirken kullanmalıdır, uygulama seçiminde mesleki yargılar kullanılmalı ve rehberden herhangi sapmayı gerekçelendirmeye hazır olmalıdır.

1.5. Rehber Uygulaması 1.5.1. BS Denetçisi, bu Rehberin uygulanmasında iliĢkili diğer ISACA standart ve Rehberlerini göz önünde bulundurmalıdır.

177

G34 Sorumluluk, Yetki ve Hesap Verebilirlik (Devamı)

2. SORUMLULUK

2.1. Mesleğe KarĢı 2.1.1. BS Denetçisi, mesleki iĢine yaklaĢımı açık sözlü, dürüst ve içten yaklaĢımlı olmalıdır. 2.1.2. BS Denetçisi, tavır ve görünümüyle denetim yapılan kurumdan bağımsız olmalıdır. 2.1.3. BS Denetçisi, ilgili meslek organınca tanımlanmıĢ meslek etik kurallarına, örneğin ISACA Mesleki Etik Kuralları, bağlı

kalmalıdır. 2.1.4. BS Denetçisi, faaliyetlerini yürürlükteki denetim standartları ve BS Denetim iĢine uygulanabilir genel kabul görmüĢ, örneğin

ISACA Denetim Standartları, Rehberleri ve Usulleri, uygulamalara göre yapmalıdır. 2.1.5. BS Denetçisi, denetim ortamının koĢulları nedeniyle uygunluğun sağlanamadığı durumlarda bu uygunluğun sağlanamama

nedenlerini ve uygunsuzluğun yürürlükteki denetim standartları üzerindeki etkilerini raporunda içermelidir. 2.1.6. BS Denetçisi, her zaman için meslek onurunu yükseltici olmalıdır. 2.1.7. BS Denetçisi, yürürlükteki ilgili yasal düzenlemelere uygun hareket etmelidir. 2.1.8. BS Denetçisi, kabul ettiği görevi yerine getirmek için gereken bilgi, uzmanlık ve tecrübeye sahip olmalıdır. 2.1.9. BS Denetçisi, BS Denetimine atanmıĢ tüm personeli BS Denetimi, kalite güvence ve yürürlükteki standartlarla uyumu

sağlayabilmesi ve personelin geliĢimini kolaylaĢtırabilmesi için gözetiminde bulundurmalıdır. 2.1.10. BS Denetçisi, ulaĢtığı sonuçları ve yaptığı önerileri destekleyen yeterli ve anlamlı destek unsurlarını elde etmeli ve

sunabilmelidir. Bir bilgi sistem ortamı denetiminde, denetim kanıtlarının çoğunluğu elektronik ortamda bulunabilir. BS Denetçisi, bu türlü unsurların güvenli ve yeterli bir depolama ortamında olduğunun ve gerektiğinde bütünlüğü bozmadan bunları geri getirebildiğinin makul güvencesini sağlamalıdır.

2.2 Denetlenene KarĢı (Kurum) 2.2.1 BS Denetçisi, denetlenenin iĢ amaçlarını, hedeflerini ve misyonunu tanımalı, anlamalı ve özümsemelidir. 2.2.2 BS Denetçisi, denetim yapılanın BS Denetçisinin mesleki gereksinimlerini, bağımsızlığın denetlenen tarafından sağlanması

da dahil olmak üzere anlamalıdır.. 2.2.3 Uygun olması halinde, BS Denetçisi ve denetlenen denetim görevinin kapsamı, amaçları ve iĢ tanımı üzerinde karĢılıklı

olarak mutabakata varmalıdır. 2.2.4 BS Denetçisi, iç kontrollerle ilgili yönetimin tutumunu, farkındalığını ve eylemlerinin yeterince anlaĢılmasını ve iç kontrol

çevresinin uygunluğunun öneminin değerlendirilmesini sağlamalıdır. 2.2.5 BS Denetçisi, yapılmakta olan gözden geçirme etkinliğiyle ilgili kontrol risklerinin ön değerlendirmesini yapmalıdır. Denetim

amaçları, bu değerlendirmenin sonuçlarını yansıtmalıdır. BS Denetçisi, kurumun kontrol sistemleri ve kontrol risklerinin değerlendirmesini anladığını denetim çalıĢma kâğıtlarıyla belgelemelidir.

2.2.6 BS Denetçisi, bütün denetim planını oluĢtururken uygun risk değerlendirme tekniklerini kullanmalıdır. BS Denetçisi, kontrol risklerinin daha düĢük seviyede değerlendirilmesi durumunda ayrıca ulaĢtığı sonucun temellerini belgelemelidir. BS Denetçisi, böyle bir durumda kendi kontrol risk değerlendirmesini destekleyecek kontrol testleriyle denetim kanıtı edinmelidir. BS Denetçisi, daha düĢük kontrol risk değerlendirmesi durumunda daha fazla denetim kanıtı edinerek BS iç kontrol sistemlerinin uygun tasarlandığını ve etkin iĢlediğini göstermelidir.

2.2.7 BS Denetçisi, kontrol testlerinin sonuçlarına dayanarak iç kontrollerin, kontrol risk değerlendirmesinde öngörüldüğü gibi tasarlanarak iĢleyip iĢlemediğini değerlendirmelidir. BS Denetçisi, kalıtsal ve kontrol risklerinin değerlendirmesini, denetim riskini kabul edilebilecek düĢük seviyeye indirmek için gerekli prosedürlerin özelliklerini, zamanlamasını ve kapsamını belirlenmesinde göz önünde bulundurmalıdır.

2.2.8 BS Denetçisi, denetim süresince elde edilen bağımsız süreçlerini ve diğer denetim kanıtı sonuçlarına dayanan kontrol risk değerlendirmesini doğrulamalıdır. Önceden tanımlanmıĢ kontrol sistemlerinden sapma durumunda BS Denetçisi yürüteceği özel araĢtırmalarla bu durumu göz önünde tutmalıdır. Bu türlü araĢtırmalara dayanarak BS Denetçisinin ulaĢtığı sonuçta kontrol riskleri ön değerlendirmesi desteklenmezse, değerlendirmeyi destekleyen diğer kontrol testlerinden elde edilen denetim bulguları yoksa denetçi bunu değiĢtirmelidir. BS Denetçisinin kontrol risk değerlendirme seviyesinin değiĢtirilmesi gerektiği sonucuna ulaĢması durumunda planlanmıĢ somut süreçlerin doğası, zamanlaması ve kapsamı yenilenmek zorundadır.

2.2.9 BS Denetçisi denetim yönetimiyle görüĢerek görevle ilgili denetim planı, denetim yöntemi, kaynaklar, zaman çerçevesi ve raporlama gerekleri üstüne hemfikir olmalıdır. Denetim parçaları planlaması denetim çevresinden etkilenebilir, BS Denetçisi BS faaliyetlerinin önemi ve karmaĢıklığına, belirtilen kontrollerin uygunluğuna, denetim için kullanılacak verinin kullanılabilirliği ve güvenirliğine dair anlayıĢı edinmelidir. Bu anlayıĢ Ģunları içerebilir:

Bilgi sistemi altyapısı [kurum tarafından kullanılan donanım, iĢletim sistem(ler)i ve uygulama yazılımları, son denetimden beri olduysa değiĢiklikler]

Her önemli uygulamanın sürecindeki önem ve karmaĢıklık

Kurum BS faaliyetlerinin kurumsal yapısının belirlenmesi ve sürecin kurum içinde yoğunlaĢması veya dağılımı, özellikle görev dağılımına muhtemel etkileri

Veri kullanılabilirliğinin, kullanılabilir verinin güvenirliğinin, kaynak belgelerin, bilgisayar dosyalarının ve BS Denetçisi tarafından gerek duyulabilecek diğer denetim unsurlarının belirlenmesi ki bunlar kısa süreliğine ya da sadece makinelerin okuyabileceği bir biçimde var olabilir. Bilgisayar bilgi sistemleri, materyal testlerin (özellikle çözümleyici süreçler) yapılmasında faydalı olabilecek raporlar üretebilir.

2.2.10 BS Denetçisi, denetimi gerekli özen ve mesleki dikkati göstererek yapmalıdır. 2.2.11 BS Denetçisi, atandığı iĢi gerçekleĢtirmek için anahtar niteliğindeki bilgi teknolojisinin risklerine ve kontrollerine ve bilgisayar

destekli denetim araçları ve diğer veri analiz tekniklerine dair bilgiye sahip olmalıdır. Denetimler, uzmanlık ve mesleki dikkat çerçevesinde gerçekleĢtirilmelidir. Denetim takımı bütün olarak, sorumluluklarını yerine getirmek için gerekli olan bilgi, beceri ve diğer yeterliliklere sahip olmalıdırlar.

178

G34 Sorumluluk, Yetki ve Hesap Verebilirlik (DEVAMI)

2.2.12 BS Denetçisi, denetmenin dikkatine takılan, iç kontrol sistemlerinin tasarım ya da iĢletimindeki önemli bir zayıflığı ilgili sorumlu seviyeye uygun biçimde ileterek yönetimi durumdan haberdar etmelidir.

2.2.13 BS Denetçisi, üst yönetimin kalıntı bir riski, kurum açısından kabul edilemeyeceğine inanırsa, durumu üst yöneticilerle görüĢmelidir. BS Denetçisi, kalıntı riske dair çözüm üretilmezse konunun çözülmesi amacıyla yönetim kuruluna raporlamayı düĢünmelidir..

2.2.14 BS Denetçisi, görevini yerine getirirken edindiği bilgilerin gizliliğine saygı göstermeli ve bu tür bilgiyi özel olarak alınmıĢ bir yetki yoksa veya yasal ya da mesleki zorunlulukların olmaması durumunda üçüncü taraflara açıklamamalıdır. Gizlilik gerekliliği, denetim görevi bittikten ya da denetleyen ve denetlenen arasındaki iliĢki yok edildikten sonra bile sürer.

2.2.15 BS Denetçisi, denetlenenle uygun bir iletiĢim kanalını sürekli olarak açık tutmalıdır. ĠletiĢim, doğru, tarafsız, açık, net, yapıcı, tam ve zamanında olmalıdır. Denetim sonuçları uygun taraflara ya da yetkililere sunulmalıdır.

2.2.16 Denetimin bitmesiyle birlikte BS Denetçisi uygun biçimde bir raporu iletmelidir. Rapor, eğer varsa sonuçların dağıtılması ve kullanılmasıyla ilgili kısıtları içermelidir. Rapor kurumu, niyet edilen alıcıları ve dolaĢım kısıtlamalarını tanımlamalıdır. BS Denetçisi bağlı olduğu denetim kurumunun raporlama standartlarını, politikalarını ve usullerini kullanmalıdır.

2.2.17 BS Denetçisi, tavır ve davranıĢlarıyla denetlenenden bağımsız bir duruĢ sergilemelidir. BS Denetçisinin rolü, kurumun BS/iç politikalarının, uygulamalarının ve usullerinin yeterli kontrolleri sağlayarak kurumun misyonunu baĢarıyla gerçekleĢtirmeye yeterli olup olmadığını denetlemektir. BS Denetçisi denetlenen kurumun bir parçası olsa dahi BS Denetçisinin bağımsızlığının sürdürülmesi gerekli ve önemlidir.

2.2.18 BS Denetçisinin kurumun kontrol çerçevesinin bir parçası olduğu durumlarda denetçi, gözden geçirilen kurumun BS/iç kontrollerin uygulanmasından sorumlu takımın bir parçası olmamasının makul güvencesini sağlamalıdır.

2.2.19 BS Denetçisi, uygun olan ve iĢ anlaĢmasının gerektirdiği biçimde davranmalıdır. BS Denetçisi gerekirse, yönetim faaliyetlerinin etkin uygulandığını ya da kıdemli yöneticilerin etkin olmama risklerini göz aldığını belirleyecek ve denetim sonrası izleme sürecini gerçekleĢtirmesi zorunludur.

2.3 PaydaĢlara KarĢı 2.3.1 BS Denetçisi, mesleğin saygınlığını zedelemeyecek, iĢin yüksek standartlarını koruyacak biçimde yasal ve dürüst bir biçimde

paydaĢların çıkarına hizmet eder. 2.3.2 BS Denetçisi, paydaĢların çıkarlarına doğrudan etkisi olan her maddi olay ya da vakayı açıklamak zorundadır. 2.3.3 BS Denetçisi, denetim altındaki alana ait gerçek ve doğru olayları, görev amaç ve kapsamı bağlamında açıklamalıdır. 2.3.4 BS Denetçisi raporunda yanıltıcı, muğlâk ya da yorumlanabilir nitelikte bildirimlerde bulunmamalıdır. 2.3.5 BS Denetçisi, denetim sırasında bağımsızlığına bir müdahalede bulunulursa, bu durumu açıklamalıdır.

2.4 Yasa ve Düzenleyicilere KarĢı 2.4.1 BS Denetçisi, yürürlükteki ilgili yasa, tüzük ve yönetmelikleri bir dikkate almalıdır. 2.4.2 BS Denetçisi, yürürlükteki ilgili yasa, tüzük, yönetmeliklere ve sözleĢmelere uygunluğu gözetmeli, gerekirse hukuki destek

almalıdır. 2.4.3 BS Denetçisi, yasaların zorunlu kıldığı bilgileri açıklamalı, uygun durumlarda denetlenenin de rızasını almalıdır. 2.4.4 BS Denetçisi, denetimi görevinin yürütülmesi sırasında lisanslı araçlar ve yazılımlar kullanmalıdır.

2.5 Topluma KarĢı 2.5.1 BS Denetçisi, toplumun ve denetlenenlerin BS güvenliği, kontrol, risk değerlendirmesi ve yönetimi, BS varlıklarının

korunması konularında eğitilmelerini desteklemelidir. 2.5.2 BS Denetçisi, toplumun ve denetlenenlerin teknoloji kullanımı ve muhtemel kötüye kullanımı, kontrol modelleri, kontrol

amaçları, genelde kabul görmüĢ kontrol uygulamaları, izleme ve güvence yöntemleri konularında eğitilmelerini desteklemelidir.

2.5.3 BS Denetçisi, toplumun ve denetlenenlerin teknoloji yardımıyla gerçekleĢtirilen iĢlemlerde alınan önlemler ve önleyici tedbirler konularında eğitilmelerini desteklemelidir.

3. YETKĠ

3.1. BS Denetçisinin Hakları 3.1.1. BS Denetçisi, denetimin iĢ tanımını, kapsam ve amacı netleĢtiren bir görevlendirme yazısı ya da denetim sözleĢmesine sahip

olma hakkına sahiptir. 3.1.2. BS Denetçisi, denetimi etkin ve verimli tamamlamak için gerekli uygun bilgi ve kaynaklara eriĢim hakkına sahiptir. 3.1.3. BS Denetçisince yapılan testler ve değerlendirmeler aksini kanıtlamıyorsa, BS Denetçisinin yönetimin sahtekârlıkları

önleyecek, caydıracak ve tespit edecek uygun kontrolleri kurduğuna inanma hakkı vardır. 3.1.4. BS Denetçisi, denetimin tarafsız olarak tamamlanmasına izin verecek bilgi ve açıklamaları uygun ve gerekli olması

durumunda isteme hakkı vardır.

179

G34 Sorumluluk, Yetki ve Hesap Verebilirlik

3.1.5. BS Denetçisi, denetim boyunca edindiği çalıĢma dosyalarını, belgeleri ve denetim kanıtlarını alıkoyma ve bunları ulaĢtığı sonuçları desteklemek amacıyla ve sorun ya da çeliĢkilerin yaĢanması durumunda referans olarak kullanma hakkı vardır.

3.2. Kısıtlamalar 3.2.1. BS Denetçisi, sahtekârlık göstergelerini tanımlamaya yeterli bilgiye sahip olmalıdır, ancak kendisinden temel sorumluluğu

sahtekârlığı tespit etmekten ve soruĢturmaktan sorumlu kiĢi olma uzmanlığına sahip olması beklenemez. 3.2.2. BS Denetçisi, zorunlu mesleki dikkat, özen ve uzmanlığı makul seviyede gösterebilmelidir. Ancak, mesleki dikkat mutlak

yanılmazlık anlamına gelmemektedir. 3.2.3. BS Denetçisi ,amaç, operasyon ve kaynakları etkileyebilecek önemli risklere karĢı uyarılmalıdır.Ancak, sadece süreçlerin

güvencesini sağlamak tam mesleki dikkatin gösterilmesi durumunda dahi, bütün önemli risklerin tanımlandığı anlamına gelmez.

3.2.4. BS Denetçisi, gerekli bilgiyi edinemediği, kaynaklara eriĢimin kısıtlandığı ya da iĢlevini yerine getirmesine dair bir sorun yaĢanması durumlarında kaygılarını daha kıdemli yönetim unsurlarıyla paylaĢmalıdır. BS Denetçisi, denetimi uzmanlığa uygun yollarla gerçekleĢtirmelidir.

3.2.5. BS Denetçisi, dıĢarıdan bir uzamanın hizmetlerinden yararlandığı durumda, bu uzmanın yaptığı iĢin yeterliliğini ve faydalılığını değerlendirmeli ve bu uzmanın bulgularını test ederek doğrulamalıdır.

3.2.6. BS Denetçisi, düzeltici faaliyetlerin uygulanmasından sorumlu değildir. 4. HESAP VEREBĠLĠRLĠK

4.1. Mesleki Hesap Verebilirlik 4.1.1. Geleneksel anlamıyla ve günlük konuĢmalardaki yorum itibarıyla hesap verebilirlik, bir kusurun belirlenmesi ve bundan dolayı

yaptırımın devreye girmesi sürecidir. Mesleki anlamda bu, olumlu – baĢarıların ve idareciliğin gösterilebilme fırsatı bir teĢvik olarak görülmelidir. Bu anlamda hesap verebilirlik, iĢin sahibi ile iĢi yapmakta sorumluluk sahibi olanların etkin iliĢkiler kurmanın ayrılmaz ve kaçınılmaz bir parçasıdır.

4.1.2. BS Denetçisinin açık rolü ve iliĢkileri, aldığı göreve ve kurumsal farklılıklara göre değiĢir. Bu nedenle, görevin kime hizmet ettiği ve görev amacının ne olduğunun net olması önemlidir. Denetçinin önemli üçüncü taraflarla iliĢkileri, denetlenenle hazırlanan görevlendirme yazısında tanımlanmalı ve kayıt altına alınmalıdır..

4.1.3. BS Denetçisinin kurum yönetiminde bağımsız ve tarafsız kalması ilkesel olarak genel olarak kabul edilmiĢtir. Kurul ya da yönetim genellikle kontroller ve diğer konularda daha büyük bir güvence arar. Yeterli iç kontrol yapısını kurmak ve sürdürmek, yönetimin sorumluluğudur. BS Denetçisi, bu koĢullarda sunulan raporların güvenirliğinden sorumludur.

4.1.4. Hesap verebilirlik, gerekli mesleki özenle, geleceğe dönük yaklaĢımla, verilen hizmetlerde Ģeffaflıkla ve ilgili-kaygılı gruplara raporlamayla güvenilir ve zamanında bilgi sağlanmasıyla oluĢturulabilir.

4.1.5. Hesap verebilirlik, performansa dair açıkça ve dolaylı olarak kabul edilen beklentilere karĢı bir sorumluluktur. 4.1.5. BS Denetçisi, meslekten kaynaklanan görevini yerine getirirken edindiği bilgileri kurum dıĢından birilerine açıklamamaya

dikkat etmeli, bu noktada eğer yürürlükteki yasal düzenlemelerin aksi bir durumu gerektirmemesi durumunda mutlaka kurumun rızasını almalıdır. BS Denetçisi, denetlenen kuruma uygulanabilir olan değiĢik yasal düzenlemeleri her zaman göz önünde tutmalı ve bilginin açıklanmamasıyla ilgili makul güvenceyi sağlamalıdır.

4.2. Mesleki Ġhmalkârlık 4.2.1. BS Denetçisi, genel kabul gören denetim uygulamalarına dayanarak elde ettiği ilgili denetim kanıtları ve yeterli ve ilgili bilgi

olmaksızın görüĢlerini dile getirmemelidir. 4.2.2. BS Denetçisi, denetim görevini gerçekleĢtirmekteyken dikkatini çeken ve usul, politika ve uygunluklardan farklı bir maddi

duruma rastlaması durumunda uygun tarafları ya da yetkilileri bir raporla haberdar etmelidir.

4.3. Kısıtlamalar 4.3.1. BS Denetçisi, bağımsızlığının zayıflatılacağı ya da bunun olabileceği algısına sahip olursa görevi kabul etmemelidir. Örneğin,

BS Denetçisi denetlenen kurumdan bir yararlanma hakkı elde etmekteyse ya da denetlenenden bağımsız değilse görevi kesinlikle kabul etmemelidir. Yararlanma hakkı göstergeleri, denetlenen kuruma maddi borçluluk ya da bu kuruma yapılmıĢ yatırım olabilir.

4.3.2. BS Denetçisi, yetkisiz kiĢi ve Ģirketlere denetim iĢini kendi adına yapma iznini kesinlikle vermemelidir. 4.3.3. BS Denetçisi, adil olmayan yollarla iĢ almaya çalıĢmamalı ya da bir denetim iĢi almak için aracılık yapmak, komisyon ödemek

gibi yollara baĢvurmamalıdır. 4.3.4. BS Denetçisi, hizmet ve baĢarılarının reklâmını yapmamalıdır. Kendilerini ve mesleki hizmetlerini duyururken BS Denetçileri

Ģunlara dikkat etmelidir:

• Meslek saygınlığına zarar verecek araçlar kullanılmamalıdır

• Verilen hizmete, sahip olunan niteliklere ve deneyime dair abartılı bildirimlerde bulunulmamalıdır

• Diğer BS Denetçilerinin iĢlerine iftira atmamalıdır. 4.3.5. BS Denetçisi, etik olmayan araçlarla iĢ almaya çalıĢmamalıdır.


5.1. Bu rehber 1 Mart 2006 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir.


180

G35 Denetim Sonrası Ġzleme Faaliyetleri

1. ARKA PLAN

1.1 Standartlarla Bağlantı 1.1.1 S8 Denetim sonrası izleme faaliyeti Standardı:‖Bulguların ve önerilerin raporlanmasından sonra, BS Denetçisi yönetim tarafından zamanında ve uygun bir Ģekilde harekete geçilip geçilmediğini belirlemek için ilgili bilgileri istemeli ve değerlendirmelidir.‖ Ģeklinde ifade eder. 1.2 COBIT Bağlantısı 1.2.1 Yüksek seviye kontrol amacı M3 (Bağımsızlık Güvencesi Edinimi) ,―…Kurumlar, müĢteriler ve üçüncü taraf sağlayıcılar

arasında artan güvenin artıracak bağımsız güvenceyi sağlarken‖. Ģeklinde ifade eder. 1.2.2 Yüksek seviye kontrol amacı M4 (Bağımsız Denetimin Sağlanması) demektedir ki ―…güven seviyelerini ve en iyi uygulama

önerilerini artırmak için bağımsız denetimin sağlanması‖.Ģeklinde ifade eder. 1.2.3 Ayrıntılı kontrol amacı M4.8 (Ġzleme Faaliyetleri), ―Denetim yorumlarına uyulması ,yönetime kalır.. Denetçiler, uygun

eylemlerin zamanında uygulanıp uygulanmadığını belirlemek için daha önceki denetimlerin bulguları, sonuçları ve önerileri konusunda yeterli bilgiye istemeli ve değerlendirmelidir. Ģeklinde ifade eder.

1.3 COBIT Referansı 1.3.1 Belli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, seçilen belli COBIT BT süreçleri ve, COBIT

kontrol hedeflerinin ve iliĢki yönetim uygulamalarının dikkate alınması temeline dayanır. Sorumluluğun yerine getirilebilmesi için BS Denetçisinin yetki ve Ģeffaflık gereksinimleri, seçilen ve uyarlanan en ilgili COBIT süreci aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan kontrol ve süreç hedefleri, özel görevlendirme kapsam ve Ģartlarına bağlı olarak değiĢiklik gösterebilir.

1.3.2 Birincil:

• M3—Bağımsızlık güvencesi edinimi

• M4—Bağımsız denetimin sağlanması 1.3.3 Yeterlilikle en iliĢkili bilgi kıstasları :

• Birincil: Etkinlik, etkililik, gizlilik, bütünlük ve uygunluk

• Ġkincil: EriĢebilirlik ve güvenirlik

1.4 Rehberin Amacı 1.3.2 Bu Rehberin amacı, raporlarda yapılan önerilerin ve denetim yorumlarının denetim sonrası izlemesini yapacak olan BS

Denetçilerinin yönlendirilmesini sağlamaktır. 1.3.3 Bu rehber, BS Denetim Standardı S8 Denetim Sonrası Ġzleme Faaliyeti Standardı uygulamasında yol göstericilik sağlar.

1.5 Rehber Uygulaması 1.5.1 BS Denetçisi, bu rehber uygulanırken, bu rehber ile diğer ilgili ISACA standartları ve Rehberlerinın rehberliğini dikkate

almalıdır.

2 DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ 2.1 Tanım

BS Denetçilerinin denetim sonrası izleme faaliyeti,, ―DıĢ denetçiler ve diğerleri tarafından da yapılanlar dahil olmak üzere, raporlanan öneri ve gözlemlerin sonucunda yönetim tarafından yapılan faaliyetlerin yeterliğini, etkililiğini ve zamanındalığını değerlendiren bir süreçtir‖. Ģeklinde tanımlanabilir. Denetim sonrası izleme süreci,, BS Denetçilerinin yaptığı gözden geçirmelerin sonuçlarının kurumun yönetiminin sorumluluğunda uygulanması ya da yönetimin önerilen çıktıları hayata geçirmede gecikmesinin veya hiç uygulamamasının kalıtsal risklerini bilmesini ve anlamasının sağlaması ihtiyacına makul bir güvence sağlanmasına yardımcı olmak için oluĢturulmuĢtur.

2.2 Önerilen Yönetim Eylemleri 2.2.1 BS Denetçisi, sözleĢme yapılan kurum ile BS Denetçisinin görüĢmelerin bir parçası olarak gerekli ise görevin sonuçları ve

faaliyetlerin geliĢtirilmesi konusunda eylem planları konusunda anlaĢma sağlamalıdır. 2.2.2 Yönetim, önerilen her eylemin ne zaman tamamlanacağacına tarihi konusunda bir uygulama/etkinlik tarihi vermelidir. 2.2.3 Yönetim, önerilen eylemleri ya da raporlanmıĢ önerileri uygulamak için denetim yorumlarını BS Denetçisi ile görüĢtüğü veya

ona bildirdiği zaman, bu faaliyetler, nihai raporda taahhüt edilen uygulama tarihe yönetimin cevabı olarak kayıt altına alınmalıdır.

2.2.4 BS Denetçisi ile sözleĢme yapılan kurum arasında belli bir öneri ya da denetim yorumu hakkında bir mutabakatsızlık var ise, bildirim metninde, her iki durum ve anlaĢmazlığın nedenleri belirtilebilir. Kurumun görüĢleri, yazılı olarak görevlendirme sonucunda yazılan rapora ek Ģeklinde yer almalıdır. Bir baĢka muhtemellık da kurumun görüĢlerini raporun bir parçası olarak ya da bir kapalı mektup zarfı içinde seçenek olarak sunulabilir. Üst yöneticiler de (varsa denetim komitesi) hangi görüĢü destekleyeceklerine sonra karar verebilirler. BS Denetçisinin, üst yönetimin (ya da denetim komitesi) bir konuda kurumun görüĢlerini geçerli kabul ederse bu konudaki özel öneriler, eğer gözlemin önemi ve etki seviyesini BS çevresindeki bir değiĢiklik dolayısıyla değiĢmemiĢse (bkz. Bölüm 2.4.3), denetim sonrası izleme faaliyetini takip etmesi gerekmez.

181

G35 Denetim Sonrası Ġzleme Faaliyetleri (Devamı)

2.2.5 Örneğin uygulama sistemleri ön uygulama gözden geçirmesi gibi bazı gözden geçirmeler esnasında, , bulgular proje

takımına ve/veya yönetime sürekli olarak düzenli aralıklarla sorun bildirimi Ģeklinde raporlanabilir. Bu durumlarda, sorunu çözmek için eylemler, sürekli olarak izlenmelidir. Sorun bildirimi önerileri uygulanırsa, nihai raporda öneriyle ilgili olarak ―TAMAMLANDI‖ ya da ―UYGULANDI‖ kayıtları düĢülebilir. ―Tamamlanan‖ ya da ―uygulanan‖ öneriler [kesinlikle] raporlanmalıdır.

2.3 Denetim Sonrası Ġzleme Usulleri 2.3.1 Ġzleme faaliyetleri için usuller belirlenmeli ve aĢağıdakileri içermelidir:

• Üzerinde hemfikir olunan önerilere dair yönetimin taahhüt ettiği zaman çerçevesinin kaydedilmesi,

• Yönetim müdahalesinin değerlendirmesi

• DüĢüncenin uygun olması durumunda müdahalenin doğrulanması (bkz. bölüm 2.7)

• Uygun olması durumunda çalıĢmaların izlenmesi

• Uygun yönetim uygun seviyesine yarım kalmıĢ ve yetersiz müdahaleler/faaliyetlerin bildirim usulleri

• Yönetimin ilgili risklerle ilgili varsayımına makul güvence sağlama süreci, iyileĢtirici hareketin gecikmesi veya uygulanmasının amaçlanmaması durumunda

2.3.2 Otomatik denetim sonrası izleme sistemi veya veritabanı izleme faaliyetlerinin gerçekleĢtirilmesine yardımcı olabilir: 2.3.3 Uygun denetim sonrası izleme usullerinin belirlenmesinde göz önünde tutulması gereken etmenler:

• BS Denetim ortamında raporlanan gözlemin önemini etkileyebilecek değiĢiklikler

• RaporlanmıĢ bulgu ya da önerinin önemi

• Düzeltici hareketin baĢarısız olması durumunda ortaya çıkabilecek etki

• RaporlanmıĢ sorunların düzeltilmesi için gerekli maliyet ve çabanın derecesi

• Düzeltici eylemin karmaĢıklığı

• Gerekli zaman süresi 2.3.4 BS Denetçisi, iç denetim ortamında çalıĢıyorsa, izleme sorumluluğu, iç denetim faaliyetleri yönetmeliğinde yazılmıĢ

olarak tanımlanmalıdır.

2.4 Denetim Sonrası Faaliyetlerinin Zamanlanması ve Planlanması 2.4.1 Denetim sonrası izleme faaliyetlerinin özellikleri, zamanlaması ve kapsamı raporlanmıĢ bulguların önemini ve düzeltici

faaliyetler yerine getirilmez ise bunun etkileri dikkate alınmalıdır. Asıl raporlamayla ilgili olarak BS Denetimi izleme faaliyetlerinin zamanlaması dikkate alınması gerekenlerin çokluğuna bağlı olarak mesleki yargı meselesidir, ilgili risklerin özellikleri veya büyüklüğü ve kuruma maliyeti gibi.

2.4.2 Üzerinde fikir birliği sağlanmıĢ yüksek riskli sorunların çıktıları, eylemlerin yerine getirilmesi tarihinden hemen sonra izlenmeye baĢlanmalı ve sürekli izlenmelidir.

2.4.3 BS Denetim sürecinin tamamlayıcı parçalarından birisi olması nedeniyle, izleme faaliyetleri her gözden geçirme için gerekli olan diğer adımlarla uyumlu bir Ģekilde planlanmalıdır. Belirli izleme faaliyetleri ve bu tür faaliyetlerin zamanlaması gözden geçirme sonuçlarından etkilenebilir ve zamanlama yatay yönetimle karĢılıklı danıĢılarak da belirlenebilir.

2.4.4 Özel bir raporda, yönetimin tüm düzeltme faaliyetleri, uygulama tarihleri ve iĢlevsel yönetim birimi farklı olsa bile birlikte izlenebilir. Diğer bir yaklaĢım, yönetim ile karar üzerinde anlaĢılan tarihlerle ilgili olarak müdahaleleri yönetimin kendisinin izlemesidir.

2.5 Denetim Sonrası Ġzleme Faaliyetlerinin Ertelenmesi 2.5.1 BS Denetçisi, geliĢtirilen görevlendirme çalıĢma planının bir parçası olarak izleme faaliyetlerini de planlamaktan sorumludur.

Denetim sonrası izleme faaliyetlerinin zamanlaması, risklere, açıklara ve uygulanacak düzeltici davranıĢın zamanlamasının önem ve zorluğu temelinde yapılır.

2.5.2 Bunun yanı sıra, BS Denetçisinin, ilgili görev gözlem ve önerilerin önemi düĢünüldüğünde yönetimin sözlü ya da yazılı olarak yeterli müdahaleyi sergilendiğine dair bildirimini yargıladığı durumlar da olabilir. Bu durumlarda, eylemlerin uygulama sonrası izlemesinin doğrulaması, ilgili sistem ya da sorunun üstesinden gelmek üzere tasarlanan bir sonraki görevlendirmenin bir parçası olarak gerçekleĢtirilebilir.

2.6 Denetim Sonrası Ġzleme Faaliyetlerinin Biçimleri 2.6.1 Yönetimden izleme tepkisi almanın en etkili yolu yönetimin elde edilen ilerleme ve izleme davranıĢlarına dair sorumluluğunu

doğrulayan ve zorlayan yazılı bildirimi kullanmaktır. Ayrıca, yazılı müdahaleler faaliyetlerin, , sorumlulukların ve hâlihazırdaki durumun hassas biçimde kaydına imkan sağlar. BS Denetçisine verilen sözlü cevaplarda kayıt altına alınır ve mümkün ise yönetimce doğrulanır. Eylemlerin, kanıtları ya da önerilerin uygulanması ayrıca yanıtlanmasıyla da sağlanabilir.

2.6.2 BS Denetçisi yönetimde, yönetimin üzerinde anlaĢmaya varılmıĢ olan özellikle yüksek riskli sorunlarda ve uzun vadedeki iyileĢtirici faaliyetler noktasında sağladığı ilerlemeleri değerlendirmek için düzenli güncellemeler sağlamasını isteyebilir.

2.7 Denetim Sonrası Ġzleme Faaliyetlerinin Özellikleri ve Kapsamı 2.7.1 BS Denetçisi, normalde izleme faaliyetleriyle ilgili gelinen duruma dair bilgiyi kabul edilmiĢ olan bir kısım ya da bütün

faaliyetlerin uygulama tarihi geçtikten hemen sonra ister. Bu durum, nihai raporun yeniden biçimlendirilerek kuruma önerilerin uygulanması için atılan adımları belgeleyeceği bir alan vermeyi gerektirebilir.

2.7.2 Kuruma, normal olarak önerilerin uygulanması için yerine getirilecek faaliyetlere ayrıntılarıyla müdahale için belirli bir zaman çerçevesi verilir.

2.7.3 Atılan adımları ayrıntılandıran yönetim müdahaleleri, mümkün ise asıl gözden geçirmeyi gerçekleĢtiren BS Denetçisince değerlendirilmelidir. Uygun olan yerlerde yerine getirilen faaliyetlerin denetim kanıtları, edinilmelidir. Örneğin, süreçler belgelenmeli ya da belli kesin bir yönetim raporu hazırlanmalıdır.

182

G35 Denetim Sonrası Ġzleme Faaliyetleri (Devamı)

2.7.4 Yönetimin, önerilerin uygulanması için atılan adımlara dair bilgi sağladığı yerlerde BS Denetçisi atılan adımlarla ya da bu

adımların etkililiğiyle ilgili bir Ģüpheye sahip olursa, gerçek durumu tespit etmek ya da izleme faaliyetlerini bitirmeden önceki durumu doğrulamak için uygun testler ya da diğer denetim süreçleri devreye sokulur.

2.7.5 BS Denetçisi, izleme faaliyetlerinin bir parçası olarak uygulanmayan bulguların hala ilgili ya da daha büyük bir öneme sahip olup olmadığını değerlendirmelidir. BS Denetçisi, belli bir önerinin uygulanmasının bir öneminin kalmadığına karar verebilir. Uygulama sistemlerinin değiĢtiği, denge kontrollerinin uygulandığı ya da iĢ amaç ve önceliklerinin değiĢtiği ve asıl riski önemli ölçüde azalttığı ya da bitirdiği durumlarda bu kararı verilebilir. Aynı biçimde, BS ortamındaki bir değiĢiklik önceden gözlemlenmiĢ bir etkinin önemini artırabilir ve çözüm zorunluluğu gerektirebilir.

2.7.6 Ġzleme görevlendirmesi, kritik öneme sahip faaliyetlerin uygulanmasını doğrulayacak biçimde planlanabilir. 2.7.7 BS Denetçisinin, yönetimin müdahaleleri ve faaliyetlerinin yetersiz olduğu fikrinde ise uygun seviyedeki yönetim birimine

iletmelidir. 2.8 Risklerin Yönetim Tarafından Kabulü 2.8.1 Yönetim, raporlanmıĢ görev gözlem ve öneriler konusunda atılacak uygun eylere karar vermekten sorumludur. BS Denetçisi,

görevlendirmenin gözlemleri ve önerileri ile raporundaki sorunların çözümü için yönetimin eylemlerinin uygunluğunun ve zamanındalığının değerlendirmesinden sorumludur.

2.8.2 Üst yönetim, maliyet veya diğer gerekçelerle raporlanmıĢ koĢulun düzeltilmemesinden kaynaklanabilecek riskleri kabul etmeye karar verebilir. Kurul (ya da varsa denetim kurulu), önemli görev gözlem ve önerileri hakkındaki tüm üst yönetim kararları konusunda bilgilendirilmelidir.

2.8.3 BS Denetçisi, kurumunun, kabul edilmesi uygun olmayan bir artık riski kabul ettiğini düĢünürse, durumu iç denetim ve üst yönetim ile paylaĢmalıdır. BS Denetçisi, artık risk konusunda verilen karara katılmıyorsa, BS Denetçisi ve üst yönetim durumu çözüm için kurula (ya da varsa denetim kuruluna) taĢımalıdır.

2.9 Ġç BS Ġç Denetçisince DıĢ Denetim Sonrası Ġzleme Faaliyeti 2.9.1 Sürekli olarak iç denetim faaliyetlerinin denetim sonrası izleme sorumluluğu, Ġç BS Denetim biriminin yönetmeliğinde ve diğer

denetim görevlendirmelerinde görevlendirme yazısında belirlenmelidir. 2.9.2 DıĢ BS Denetçileri, görevlendirmenin kapsam ve koĢullarına ve BS Denetim Standartlarına uygun Ģekilde, üzerinde

anlaĢılmıĢ önerileri izlemek için Ġç BS Denetim Birimine güvenebilirler.

3 DANIġMANLIK

3.1 DanıĢmanlık Türü Görevlendirmeler 3.1.1 DanıĢmanlık türü görevlendirme ya da hizmetler Ģöylece tanımlanabilir, ―DanıĢmanlık ve ilgili müĢteri hizmet faaliyetleri,

müĢteri ile birlikte kabul edilen kapsam ve doğa ve kurum operasyonlarını geliĢtirme ve bunlara bir değer katmak. Örnekler, hukuki danıĢmanlık, öneri, kolaylaĢtırma, süreç tasarımı ve yetiĢtirmeyi kapsar.‖

2 SözleĢme baĢlamadan önce sözleĢmenin

özellikleri ve kapsamı üzerinde anlaĢmaya varılmalıdır. 3.1.2 BS Denetçisi, kurumla üzerinde anlaĢılmıĢ kapsam konusunda danıĢmanlık görevlendirmesi sonuçlarını izlemelidir. Ġzleme

türleri, farklı türdeki danıĢmanlık görevlendirmeleri için uygun olabilir. Ġzleme çabaları, yönetimin görevlendirme çıktılarından açık çıkarlarına ya BS Denetçisinin proje riskleri değerlendirmesine ve/veya sözleĢmeyle tanımlanan kuruma potansiyel katma faktörlerine bağlı olabilir.

4 RAPORLAMA

4.1 Denetim Sonrası Ġzleme Faaliyetlerinin Raporlaması 4.1.1 BS Denetim raporundan çıkan üzerinde anlaĢılmıĢ iyileĢtirici eylemlerin durumu ve üzerinde anlaĢılan ve uygulanmamıĢ

önerileri de içeren dair rapor, bir adet hazırlanmıĢ ise denetim kuruluna ya da uygun seviyedeki kurum yönetimine sunulmalıdır.

4.1.2 BS Denetçisi, eğer bir sonraki görevlendirme esnasında yönetimin ―YAPILDIĞINI‖ söylediği bir uygulamanın gerçekte uygulanmadığını fark ederse, durum üst yönetime ya da var ise denetim komitesine bildirilmelidir.

4.1.3 Bütün iyileĢtirici uygulamalar gerçekleĢtirildiğinde, uygulanan/tamamlanan bütün davranıĢlar üst yönetime (varsa denetim kuruluna) iletilir.

5 YÜRÜRLÜK TARĠHĠ 5.1 Bu rehber 1 Mart 2006 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web


2 Profesyonel Ġç Denetim uygulaması Uluslar arası Standartları, Sözlükçe, IIA


183

G36 Biyometrik Kontroller

1. ARKAPLAN

1.1. Standartlarla Bağlantı 1.1.1. S6 Denetim ĠĢinin Yürütülmesi Standardı: BS Denetim Kadrosu, denetim hedeflerinin baĢarıldığının ve yürürlükteki mesleki denetim standartlarının karĢılandığının makul güvencesini sağlamak amacıyla denetimin iĢinin yürütülmesi esnasında gözden geçirilmelidir. Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir‖ Ģeklinde ifade eder. 1.1.2. S10 YönetiĢim Standardı:‖BS Denetçisi, BS iĢlevlerinin kurumun misyonu, vizyonu, değerleri, hedef ve stratejileriyle uyumlu olup olmadığını gözden geçirmeli ve değerlendirmelidir… BS Denetçisi, BS kaynaklarının ve performans yönetim sürecinin etkililiğini denetimli ve değerlendirmelidir.‖ Ģeklinde ifade eder.

1.2. COBIT Bağlantısı 1.2.1. AI1 OTOMATĠK ÇÖZÜM TANIMLAMALARI kontrol süreci ―BT için iĢ gereksinimlerini iĢ iĢlevselliğini ve kontrol

gereksinimlerini, teknik açıdan olabilir ve etkin maliyetli çözümleri tanımlamaya odaklanarak etkili ve etkin otomatik çözüm tasarımlarına çevirip gerekleri tatmin eden kendiliğinden çözümleri tanımlayan BT süreçleri üzerinde kontrol aĢağıdakilerle sağlanır:

• ĠĢ ve teknik gereksinimlerin tanımlanması

• GeliĢme standartlarında tanımlanan biçimiyle olabilirlik çalıĢmalarının yapılması

• Gereklilik ve olabilirlik çalıĢmalarının sonuçlarının onaylanması (veya reddedilmesi) Ve ölçümler için:

• Doğru olmayan olabilirlik çalıĢmaları dolayısıyla tamamlanmadığına inanılan projelerin sayısı

• ĠĢ süreci sahibi tarafından listeden çıkarılan olabilirlik çalıĢmalarının oranı

• Sağlanan iĢlevsellikten memnun olan kullanıcıların sayısı‖ 1.2.2. AI3 TEKNOLOJĠ ALTYAPISININ EDĠNĠMĠ VE SÜRDÜRÜMÜ kontrol süreci, , ―Tanımlı BT yapısı ve teknoloji standardı ile

paralel olan iĢ uygulamaları için uygun platformları sağlamaya odaklanan bütünleĢik ve standardize BT altyapısının edinilip sürdürülmesini sağlayarak iĢ gereksinimlerini karĢılayan teknoloji altyapısını edinip sürdüren BT süreci üzerinde kontrolü baĢarmak için:

• Teknoloji altyapı planıyla uyumlu bir teknoloji edinme planı üretmek

• Altyapı sürdürüm planlaması

• Ġç kontrollerin uygulanması, güvenlik ve denetlenme önlemlerinin uygulanması Ve ölçümler için:

• Tanımlanan BT mimarisiyle ve teknoloji standartlarıyla uyumlu olmayan düzeltmelerin oranı

• ĠĢlerliği geçmiĢ ya da geçmek üzere olan altyapı tarafından desteklenen kritik iĢ süreçlerinin sayısı

• ġimdi ya da gelecekte (yakın gelecekte değil) desteklenebilir olmayan/olmayacak altyapı unsurlarının sayısı‖ 1.2.3. AI5 BT KAYNAKLARININ SAĞLANMASI KONTROL SÜRECĠ ―BT tedarik risklerini azaltmak ve bütünleĢik ve standardize

bir BT altyapısının teslim edilmesi stratejisine denk gelen BT becerilerinin edinilmesi ve sürdürülmesine odaklanarak etkin maliyet geliĢtirip iĢ kârlılığına katkıda bulunan BT geliĢtirme iĢ gerekliliğini karĢılayan BT kaynakları edinimini içeren BT süreçleri üzerinde kontrol aĢağıdakilerle sağlanır:

• Uzmanlardan yasal ve sözleĢme temelli öneri almak

• Satın alma usul ve standartlarının tanımlanması

• Ġstenilen donanım, yazılım ve hizmetlerin tanımlı usuller kullanılarak edinilmesi Ve ölçümler için:

• Tedarik sözleĢmeleriyle ilgili yaĢanan uyuĢmazlık sayısı

• Azalan alım maliyeti

• Tedarikçilerden istediğini sağlayan anahtar paydaĢların oranı

• Platformların oranı‖ 1.2.4. AI5, KONTROL HEDEFĠ ―Kurulu iĢ iĢlevselliklerini ve teknik gereksinimlerini kurumun teknoloji yönelimine göre karĢılayan

teknolojik altyapı edinme, uygulama ve sürdürüm planını yapmak. Plan, kesinlikle geleceğe dair kapasite artırımı, geçiĢ maliyetleri, teknik riskler ve teknoloji yükseltimi için yatırımın ömrü esnekliklerini göz önünde bulundurmalıdır. Yeni teknik yeterlilikler, eklendiğinde sağlayıcı ve ürünün ticari ömrü ve maliyet karmaĢıklığı değerlendirilir‖. ġeklinde ifade eder.

1.3. COBIT Referansı 1.3.1. Belirli bir denetim kapsamına en uygun düĢen COBIT materyalinin seçimi, belli COBIT BT süreçleri ve göz önünde

bulundurulan COBIT kontrol hedefleri ve ilgili yönetim uygulamaları temeline dayanır. 1.3.2. Seçilen ve uyarlanan süreç ve kontroller, söz konusu görevlendirmelerin kapsam ve koĢullarına göre değiĢebilir.

Gereksinimleri karĢılamak için en ilintili olduğu varsayılabilecek seçilen ve uyarlanan COBIT süreçleri aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır:

1.3.3. Birincil:

• PO1—Stratejik BT planı tanımlaması

184

G36 Biyometrik Kontroller

• PO3—Teknolojik yönelimin belirlenmesi.

• PO5—BT yatırımları yönetimi.

• PO8—Kalite yönetimi.

• PO9—BT riskleri değerlendirmesi ve yönetimi.

• PO10—Proje yönetimi.

• AI1—Kendiliğinden çözümlerin tanımlanması.

• AI3—Teknoloji altyapısının edinimi ve sürdürümü.

• AI5—BT kaynaklarının tedariği.

• DS1— Hizmet seviyelerinin tanımlanması ve yönetilmesi.

• DS3—Performans ve kapasite yönetimi.

• DS4—Hizmet sürekliliğinin sağlanması.

• DS5—Sistemlerin güvenliğinin sağlanması.

• DS7—Kullanıcı eğitimi ve yetiĢtirilmesi

• M1— Süreçlerin izlenmesi.

• M2— Ġç kontrol yeterliliğinin değerlendirilmesi.

• ME3—Ġlgili yasalara uygunluk.

1.3.4. Ġkincil:

• PO6—Yönetim amaç ve yönelimleri bildiriminde bulunmak.

• AI6—DeğiĢikliklerin yönetimi.

• DS9—Konfigürasyon yönetimi.

• DS10—Sorun yönetimi.

• DS11—Veri yönetimi. Biyometrik kontrollerle en ilintili bilgi ölçütleri:

• Birincil—Etkinlik, verimlilik ve eriĢebilirlik

• Ġkincil—Gizlilik, bütünlük ve güvenirlik 1.4. Rehberin Amacı 1.4.1. Geleneksel tanımlama ve doğrulama araçları - eriĢim kontrolü kilit taĢları – kiĢisel tanımlama numarası veya parola gibi

―BĠLDĠĞĠN BĠR ġEY‖ ve akıllı kartlar veya ATM kartları gibi ―SAHĠP OLDUĞUN BĠR ġEY‖ temeline dayanır. Kartı unutmamak ya da parolayı hatırlamak gibi kiĢinin hafızasına güvenme gerekliliği dıĢında bu yöntemler kiĢileri eĢsiz yollarla ayırmaz. Parola ve jeton temelli sistemler, kendi zayıflıklarına sahiptirler ve genellikle, özellikle kriz anlarında darboğaz yaĢanmasına neden olurlar. Teknolojinin ilerlemesiyle, güvenilir eriĢim kontrol araçları ―OLDUĞUN ġEY‖ noktasına gelmiĢtir, biyometrik temelli eriĢim kontrolleri gibi.

1.4.2. Biyometrik eriĢim kontrolünün kritik özelliği doğruluğudur. Genellikle tanımlama, ‗TEKTEN-ÇOĞA‘ doğru depolanmıĢ görüntü veritabanında bireysel nitelikler araĢtırılırken doğrulamada ‗BĠRE BĠR‘ eĢleĢtirmeyle bireyin iddiası doğrulanır. Biyometrik, genellikle fiziksel eriĢim kontrolleri tanımlaması ve sanal eriĢim kontrolleri doğrulaması için uygulanır. Eğer asıl kiĢi, bir dolandırıcıdan ayırt edilemezse sistem kapanır. YanlıĢ reddetme (olumsuz yanlıĢ) ya da yanlıĢ kabul (olumlu yanlıĢ) oranlarının düĢük olması önemlidir ve belli bir oranda kurum için maliyet/risk değerlendirmesi sonucunda kabul edilebilir olabilir.

1.4.3. Biyometrik teknoloji kullanan güvenlik mimarisinin kullanımdaki artıĢıyla, BS Denetçisi için bu teknolojiyle ilgili riskler ve karĢı önlemler hakkında bilgili olmak kaçınılmaz bir zorunluluk olmuĢtur. BS Denetçisi, biyometrik kontroller, sistemini gözden geçiren iĢ hedeflerinin baĢarıyla gerçekleĢmesini sağlamak için teknolojiye, iĢ süreçlerine ve kontrol hedeflerine yönelik iyi bir görüĢe sahip olmalıdır.

1.4.4. Bu bağlamda, denetim görevini yerine getirirken biyometrik kontrolleri de gözden geçirmesi gereken BS Denetçilerine yol gösterecek rehber gereği kendini göstermektedir.

1.5 Rehber Uygulaması 1.5.1. Bu rehber, BS Denetim Standardı S6 Denetim Performansı ve S10 YönetiĢim uygulaması için yol göstericilik sağlar. 1.5.2. BS Denetçisi, bu Rehberi yukarıdaki standartların nasıl uygulanacağına karar verirken kullanmalıdır, uygulama seçiminde

mesleki yargılar kullanılmalı ve rehberden herhangi sapmayı gerekçelendirmeye hazırlanmıĢ olmalıdır. 1.5.3. BS Denetçisi, bu Rehberin uygulanmasında iliĢkili diğer ISACA standartları ve Rehberlerini da göz önünde bulundurmalıdır.

185

G36 Biyometrik Kontroller(Devamı)

2. BĠYOMETRĠK KONTROLLER

2.1. GiriĢ 2.1.1. ‗Biyometrik‘ sözü Yunanca ‗biyo‘ ve ‗yaĢam ölçümü‘ anlamına gelen ‗metrik‘ sözcüklerinden türetilmiĢtir. Anlam

olarak,bireyin davranıĢ ya da fizyolojik özelliklerini temel alarak otomatik tanıma ya da doğrulama demektir. Biyometrikler bilimi, bireylerin fizyolojik özelliklerinin ya da davranıĢlarının eĢsizliğini kullanır.

2.1.2. Biyometrik kontroller, bireyin fizyolojik ve davranıĢsal özelliklerinin kullanılması yardımıyla politikaların, süreçlerin, uygulamaların ve kurumsal yapının tasarlanması, böylece iĢ amaçlarını, tanımlandırma ve yetkilendirme anlamında, baĢarılmasında makul bir güvencenin sağlanması ve istenmeyen olayların engelleneceği, tespit edileceği ve düzeltileceği anlamına gelir.

2.1.3. Tipik biyometrik sistemler, biçim 1‘de listelenmiĢ iĢlevleri yerine getirir.

ġekil 1 – Tipik Biyometrik Sistem ĠĢlevleri

KAYDETME Kaydetme iĢlemi için söz konusu kullanıcı sisteme, dijitalize edilip deposunda saklayacağı referans Ģablon için

örnek sağlamalıdır. Çoğu biyometrik sistem çoklu örnek kullanır ve referans Ģablonun yaratılmasında bütün

Ģablonların ortalaması kullanılır.

VERĠ

DEPOLAMA

Bireyin referans Ģablonu, gerçek zamanlı eriĢimde kullanıcının biyometrik doğrulamasının yapılabilmesi için

eriĢilebilen depoda saklanır. Depolama, yerel biyometrik aygıtta, uzaktaki merkezi depoda, akıllı kart gibi

taĢınabilir jetonlarda yapılabileceği gibi bunların bileĢkeleri de kullanılabilir.

VERĠ EDĠNĠMĠ EriĢim kazanacak geçerli kullanıcının tanınması ve doğrulanması için veri edinilir. Kullanıcının eriĢim kazanmak

istediği her zaman veri edinilir.

AKTARIM Sistem, tanımlama ve doğrulama amacıyla edinilen veriyi aktarmak için bir aktarım kanalı kullanır. Bu kanal

biyometrik sistemin içinde yer alabileceği gibi dıĢarıda, örneğin bir yerel alan ağında da yer alabilir. (LAN)

SĠNYAL

ĠġLEME

Sinyal iĢleme ya da görüntü iĢleme, edinilen verinin depolanmıĢ veriyle eĢleĢtirilmesi ve geçerlileĢtirilmesidir.

Saklanan referans Ģablon edinilen veriyle eĢleĢtirilir ve sonucu eĢleĢtirme kalitesi belirler.

KARAR Kullanıcının eriĢiminin kabul veya ret edildiği ‗EġLEġME‘ YA DA ‗EġLEġMEME‘ kararının verildiği iĢlev

noktasıdır.

2.1 Tanımlamaya karĢı Doğrulama 2.1.1 Biyometrik, fizyolojik ve davranıĢsal niteliklerine bakarak yaĢayan bir bireyin kimliğinin otomatik tanınması ve doğrulanması

sürecidir. 2.1.2 Biyometrikte, tanımada tekten çoğa doğru saklanana verilerin bireysel niteliklere denkliği araĢtırılır. Biyometrik doğrulamada,

birebir eĢleĢtirme yapılarak iddia sahibinin gerçekten kendisi olduğu doğrulanır. 2.1.3 Tipik olarak biyometrikler, tanımayı fiziksel kontrollerde ve doğrulamayı sanal kontrollerde yapar.

2.2 Performans Ölçümü 2.2.1 Performans ölçümlerinin tasarlanma amacı, ürünlerin değerlendirilmesine temel sağlamaya yardımcı olmaktır. BS

Denetçileri, denetim görevi boyunca biyometrik sistem performansı değerlendirmesini de göz önünde tutmalıdır. Biyometrik sistemlerde birincil ölçümler aĢağıdaki ve biçim 2‘deki gibidir.

2.2.2 Hatalı reddetme oranı (FRR) ya da TĠPI HATA - Sistem tarafından geçerli öznenin kaç kere yanlıĢ yere reddedildiğinin

yüzdesinin ölçümüdür. FRR(%)= yanlıĢ reddetmelerin sayısı * 100/eĢsiz giriĢimlerin toplam sayısı. 2.2.3 Hatalı kabul oranı (FAR) ya da TĠP II HATA - Sistem tarafından geçersiz öznenin kaç kere yanlıĢ yere kabul edildiğinin

yüzdesinin ölçümüdür. FAR(%)= yanlıĢ kabul etmelerin sayısı * 100/eĢsiz giriĢimlerin toplam sayısı. 2.2.4 Çaprazlama geçiĢ hata oranı (CER) – FRR oranının FAR oranına eĢit olduğu ölçüm noktasıdır. Grafik üstünde bu nokta

FAR ve FRR kesiĢim noktası olarak görülmektedir. Çaprazlama geçiĢ oranı, performans ve hassaslık açısından sistemin iyi bir noktada olması demektir.

2.2.5 Kaydetme zamanı – Referans Ģablonun yaratılması için yeni bir öznenin sisteme kaydı için gereken zamandır. 2.2.6 BaĢarısız kayıt oranı (FTER) – BaĢarısız kayıt Kurumsallerinin oranını belirlemek için kullanılır. FTER = baĢarısız kayıtların

sayısı / kayıt faaliyetinde bulunan toplam kullanıcı sayısı. 2.2.7 ĠĢleme oranı – Sistemin, tanımlama ve doğrulama için girilen veriyi sakladığı bilgilerle karĢılaĢtırıp sonuçlandırmak için

kullandığı zamandır. Bu, sistem tarafından kabul yada red için iĢlem yetkilendirilen kiĢilerin oranıdır.

186

G36 Biyometrik Kontroller (Devamı) 2.4. Biyometrik Sistemlerin Türleri 2.4.1. Biyometrik sistemler, baĢlıca iki büyük sınıflandırmaya tabidir: Birincisi fizyolojik nitelikler, ‗Biz Kimiz‘ ve diğeri davranıĢsal

nitelikler, ‗NE YAPARIZ‘. 2.4.2. Fizyolojik nitelikleri temel alan biyometrik sistemler biçim 3‘de listelenmiĢtir.

ġekil 3 – Fizyolojik Nitelikleri Temel Alan Biyometrik Sistemler

Biyometrik Sistem Veri Kaydı / Edinimi

Parmak izi Özne parmağını cam ya da polikarbon düzleme bastırdığında elde edilen görüntüdür.

Parmak ucu Deri altındaki damar yapısı kayıt altına alınır.

Parmak eklemi Ġlk ve ikinci eklem arasındaki parmak yapısının kaydı alınır.

El geometrisi El ve parmakların uzunluk, geniĢlik ve yükseklik kaydıyla üç boyutlu görüntüsünün alınabilmesi için bir

kamera aynı anda yatay ve dikey görüntüleme yapar.

Retina taraması Göz küresinin arka iç tarafında yer alan retinanın kılcal damarlarının görüntüsü kamera ile alınır.

Ġris tanıma Kamera tarafından irisin (gözbebeğini çevreleyen renkli kısım) görüntüsünün alınması.

Bilek toplardamar Toplardamarın bilekteki görüntüsünün alınması.

Boğum izi Parmak boğumunun tutma sırasındaki görüntüsünün alınması.

Yüz tanıma Yüksek kalitede kameralarla yüz görüntüsünün kayıt edilmesi.

Yüz ısıl çizer Yüz dokusundaki ısı yolları ısı aygıtları kullanılarak alınır.

2.4.3. DavranıĢsal nitelikleri temel alan değiĢik biyometrik sistemler biçim 4‘de listelenmiĢtir.

ġekil 3 – DavranıĢsal Nitelikleri Temel Alan Biyometrik Sistemler

Biyometrik Sistem Veri Kaydı / Edinimi

Ses tanıma Ses, dijital olarak ses izlerine dönüĢtürülür ve ikili sayılar olarak saklanır.

TuĢlama dinamikleri Öznenin durma (tuĢa basılı tutma süresi) zamanı ve uçuĢ (tuĢlar arasındaki geçiĢ süresi) zamanı ölçülür.

Ġmza dinamikleri Öznenin imzası, kaydedilen imza ile hız, basınç ve zamanlama açısından kıyaslanır.

2.5 Veri Depolama 2.5.1. Kolay çağırma ve karĢılaĢtırmayı sağlamak için kaynak Ģablonları eriĢilebilir bir yerde saklanmalıdır. 2.5.2. Biyometrik okuyucu aygıt içinde yerel depolama referans Ģablonuna çabuk eriĢim ve hızlı eĢleĢtirmeye olanak verir ve

kullanımda esneklik sağlar. Ancak, yeterli yedekleme ve yenileme süreçleri ile desteklenen bir sistem yoksa sistem çökmesi sonucunda yeniden kayıt yapmak gerekebilir.

2.5.3. Büyük kurumlar, referans Ģablonları merkezi olarak depolarlar ve kullanıcılar ağa yerleĢtirilmiĢ bir biyometrik aygıtla merkezi bir konuma kayıt edilirler. Merkezi saklama, yedekleme, yenileme ve denetlenebilme özelliklerine olanak verir. Geri çağırma, özellikle veri boyutu/hacmi çok büyükse biraz yavaĢlayabilir.

2.5.4. Kullanıcıların biyometrik referans örneklerini taĢıdıkları durumlarda referans Ģablonu akıllı kartlarda depolanmalıdır ve kullanıcı referans Ģablonun gizliliğinden, mahremiyetinden, kullanırlığından ve bütünlüğünden sorumludur. Akıllı kartların, ayrıca ek güvenlik özellikleri vardır, Ģifreleme ve dijital imzalar ek güvenlik anlamına gelmektedir.

2.5.5. Veri gizlilik ve bütünlüğü, kiĢisel bilgiye yetkisiz eriĢimi önleyecek biçimde yönetilmelidir.

2.6. Biyometrik Sistem Risk ve Kontrolleri 2.6.1. BS Denetçisi, biyometrik sisteme özgü riskler ve kontrol önlemleri hakkında bilgili olmalıdır. En yaygın riskler ve karĢı

önlemler biçim 5‘de listelenmiĢtir.

ġekli 5 – Yaygın Biyometrik Sistem Riskleri ve KarĢı Önlemler

Riskler Örnekler KarĢı Önlemler

Aldatma ve taklit saldırıları Parmak izi, biyometrik aygıtı üzerinde yapay

parmak kullanımı

Çokdoruklu biyometrikler, canlılık tespiti,

etkileĢimli doğrulama

Yanıltıcı Ģablon riski Sunucuda yanıltıcı Ģablon depolanır Kriptolama, yetkisiz giriĢ izleme sistemi

(IDS), akıllı kartlar

Aktarım riski Kayıt ya da veri edinimi sırasında aktarılan

verinin ele geçirilmesi

EtkileĢimli doğrulama, tanımlı sinyallerin

reddi, sistem bütünlüğü

Çapraz sistem riski Farklı uygulamalarda ve farklı güvenlik

seviyelerinde aynı Ģablonun kullanımı

KarıĢtırma iĢlevleri, kodlama

algoritmaları

Unsur değiĢim riski Zararlı kodlar, Truva atları, vb. Sistem bütünlüğü, iyi uygulanan

güvenlik politikası

Kayıt, Yönetim ve sistem kullanım riski Kayıt, idare ya da sistem kullanımı sırasında

veri değiĢtirilmesi

Ġyi uygulanan güvenlik politikası

Kısa devre ve güç kesintisi riski Optik alıcı karĢısında parlayan ıĢıklar,

parmak izinin değiĢen ısısı ya da nemi

Ġyi uygulanan güvenlik politikası

Güç ve zaman analiz riski

Biyometrik Ģablon veri deposunun güç

analizleri ve faklı güç analizleri

Kısa devre jeneratörleri, biyometrik

aygıtta düĢük enerji tüketen yongalar

Artık karakteristik riski

Algılayıcı üzerinde kalan parmak izi değiĢik

biçimlerde kopyalanabilir

Teknoloji değerlendirmesi, çokdoruklu

eriĢim

187

ġekli 5 – Yaygın Biyometrik Sistem Riskleri ve KarĢı Önlemler

Riskler Örnekler KarĢı Önlemler

Benzer Ģablon/benzer karakteristik riski MeĢru olmayan bir kullanıcı meĢru

kullanıcının Ģablonuyla benzerlik taĢıyabilir

Teknoloji değerlendirmesi, çokboyutlu

eriĢim, ince ayar gözden geçirmesi

Kaba kuvvetle saldırı riski Saldırgan kaba kuvvet kullanarak, sistemi

ele geçirmek isteyebilir

Belli sayıdaki baĢarısız giriĢimden sonra

hesap kilitlenir

Enjeksiyon riski Ele geçirilen dijital sinyal doğrulama

sistemine zerk edilir

Güvenli aktarım; ısı algılayıcısının

etkinleĢtirdiği tarayıcı (vücut ısısını

algılama); görüntülerin dijital temsilinde

tarih/zaman pulu

Kullanıcının reddi Biyometrik tekniklerin yayılıcı doğası,

kullanıcıların bunu kullanmayı reddetmesine

yol açabilir

Kullanıcıların eğitimi ve farkındalığı ile

en az Saldırı tekniğin seçilmesi

Fiziksel özelliklerde değiĢiklik Bazı teknikler yüz ve el özelliklerine bağlıdır

ama bu özellikler zamanla değiĢir

CER izlemesi

Diğer eski sistemlerle bütünleĢtirme

maliyeti

Kullanılan önceki sistemlerle uyumluluğuna

bakıldıktan sonra sisteme dahil edilmelidir

Maliyet – fayda analizi

Veri kaybetme riski Sabit disk / donanım arızası Veri yedekleme ve iyileĢtirme

4. DENETĠM USULÜ

4.1 Biyometrik Sistem Seçimi ve Edinimi 4.4.1 BS Denetçisi, biyometrik sistem seçimi ve edinimiyle ilgili izlenecek usulü gözden geçirirken aĢağıdakileri dikkate almalıdır:

• Biyometrik sistem kurulumunun hedefi ve bu hedeflerin kurumun iĢ amaçlarıyla uyumluluğu

• Mahremiyet ve yasal konuları da dikkate alarak risk analizi ve varlık sınıflandırması temeline dayanarak biyometrik sistem seçimi çalıĢması

• Risk analizi etki ve azaltma planı

• Biyometrik kontrol kullanımının iĢe etkisi

• Biyometrik kontrollerin çalıĢanlar, müĢteriler ve iĢ ortakları üzerine etkileri

• Kullanıcı kimliği ve parola doğrulama gibi geleneksel eriĢim sistemlerine karĢı biyometrik sisteme yapılan yatırımın dönüĢü

• Biyometrik ürünlerin eskimesi

• Ürünün endüstriye ve ulusal/uluslararası standartlara uygunluğu

• Ürün performansı pazar analizi ve sağlayıcı hizmet desteği

• Satıcı sertifikası ve ürün sertifikası

• Veri toplama amacıyla sisteme zorla giriĢ

• Benzer endüstri ve diğer endüstri/kurumlar içinde kullanıcı kabulü

• Yasal gerekler ve kullanıcı hakları (gizlilik) 4.2 Biyometrik Sistem ĠĢletimi ve Bakımı 4.2.1. BS Denetçisi biyometrik sistemin iĢletimi ve bakımıyla ilgili olarak Ģu noktaları gözden geçirmede dikkate almalıdır:

• Biyometrik politika ve bunun kurum güvenlik politikasına uyumu

• Biyometrik bilgi güvenliği ile gizlilik, bütünlük ve kullanılırlığın (CIA) sağlanması, veri deposuna eriĢimin kısıtlanması

• Kayıt süresi, baĢarı oranı, baĢarısızlık oranı, iĢlem zamanı, kapanma süresi, olumlu yanlıĢ, olumsuz yanlıĢ, hatalar arası ortalama zaman (MTBF), onarım süresi ortalaması (MTTR) ve FTER gibi veri analizi ile biyometrik sistem etkinliğinin izlenmesi,

• Biyometrik sistemin diğer uygulamalar ve sistemlerle arayüzü (tek oturum açmak gibi)

• Kurumdaki diğer biyometrik sistemlerle arayüz

• ĠĢletme ve bakım maliyetleri analizi

• Veri depolama kapasite gereksinimleri

• Veri güvenliği, yedekleme ve yenileme usulleri

• Güncelleme ve yama yönetimi

• Kurumdan ayrılmalarından sonra kullanıcı kayıtlarının yok edilmesi

• Biyometrik sistem çökmesi durumunda iĢ sürekliliği ve hazır sistemlerin/dengeleyicilerin kullanılabilirliği

• Rol temelli eriĢimin kullanıldığı yerlerde uygun değiĢiklik kontrolleri 4.3 Kullanıcı Eğitimi ve Kabulü 4.3.1. BS Denetçisi, biyometrik sistem kullanıcı kabulü ve eğitimiyle ilgili olarak Ģu noktaları gözden geçirmede dikkate almalıdır:

• Biyometrik politikalar hakkında kurum içi iletiĢim

• Biyometrik bilginin ve eĢsiz kullanıcı bilgilerinin gizliliğinin sağlanması güvencesi

• Gizlilik ve biyometrik yasa ve düzenlemelerine uygunluk güvencesi

188

G36 Biyometrik Kontroller(Devamı)

• Biyometrik doğrulama sistemi kullanıcılarının farkındalığı

• Kimlik sahibinin biyometrik sisteme dair rol ve sorumlulukları

• Kullanıcıların eğitim gereksinimleri, eğitim planlaması, yardım masası ve destek hizmeti tanımlamaları

• Sistem kullanımı, korunması, sistem ve kiĢisel hijyen eğitimi

• Belgeli eğitim materyalinin ve iĢaret panosunun kullanılabilirliği

• Kurum içindeki sistem kullanıcılarının kabulü

• Kabullenmeyen kullanıcıların sisteme zarar verme veya sabote etme riski

4.4 Sistem Performansı 4.4.1. BS Denetçisi, biyometrik sistem gözden geçirmesinde sistem performansıyla ilgili olarak aĢağıdaki noktaları dikkate

almalıdır:

• Uygulamalara yönelik sistem arayüzü

• Kullanıcı kaydı, yeniden kullanıcı kaydı ve kayıt silme usulleri

• Özne ve sistem temas gereksinimleri

• Sistem testi, doğrulaması, geçerlemesi ve onaylaması

• EriĢim tanımlamalarının ve yönetim ayrıcalıkların testi

• Kurcalama veya sabotaja karĢı koruma

• Verinin tehlikelere karĢı korunması

• Veri yedeklemesi

• ĠĢ sürekliliği planı (BCP) ve sistem baĢarısızlığı testleri

• Düzenli testler (örneğin kaba kuvvet kullanımı)

• Uzun süreli kullanımda sahteciliğe direnme ve güvenirlik

4.5 Uygulama ve Veritabanı Kontrolleri 4.5.1. BS Denetçisi, biyometrik sistemin eriĢim kontrolleri ve konfigürasyon ayarlarını gözden geçirirken Ģu noktaları göz önünde

bulundurmalıdır:

• O anda ve kesin gerekli iĢ koĢulları hariç olmak üzere bütün biyometrik bilgiye eriĢimi sınırlamak da içerilmek üzere düzlem güvenliği yapılandırma ayarları

• Yetkisiz giriĢ tespit kontrolleri

• ĠĢlem kontrolleri

• Hatlar da dahil olmak üzere ağ kriptolaması

• Depoda saklanan verinin kriptolaması

• DeğiĢiklik yönetimi (yazılım ve donanım)

• Veritabanı bakımı ve yönetimi

• Donanım ve yazılım kurulumu

4.6 Denetim Ġzleri 3.6.1 BS Denetçisi, biyometrik sistemin denetim izlerini gözden geçirirken Ģu noktaları göz önünde bulundurmalıdır:

• EriĢim kaydı

• Faaliyet kaydı

• DeğiĢiklik kaydı

• EriĢim reddi sistem kaydı

• Sistem eriĢim aksama kaydı

4 DENETĠMDE GÖZ ÖNÜNDE BULUNDURULACAKLAR

4.1 Biyometrik Sistem Kullanımında Önemli Noktalar 4.1.1 Biyometrik kullanımında dikkate alınması gereken noktalar aĢağıdadır.:

• Gizlilik noktası—Belli sağlık olayları, Ģeker hastalığı ya da inmeler retinanın kılcal damar yapısında değiĢikliklere yol açabilir. Retina temelli biyometrik sistem kullanan kurumlar, sistem kullanıcısının belirleyici sağlık bilgisine uygun olmayan biçimde sahip olabilirler. Fiziksel niteliklerin alınması ve kullanılmasıyla ilgili yasal düzenlemeler biyometrik sistem kullanımından önce mutlaka göz önünde bulundurulmalıdır.

• Veri toplamaya yetkisiz giriĢ—Tarama sırasında kullanıcının özel alanına yetkisiz giriĢe karĢı kiĢinin hassasiyeti

• Algılanan sağlık sorunları—KirlenmiĢ yüzeye (örneğin parmak izi taraması) temasla salgın hastalığa maruz kalma kaygısı

• Sistem kullanma becerisi—Önemli kullanıcılar, sistemi kullanma becerilerine (okuryazarlık ya da yetenek) sahip değildir ya da sistemin gerçek performansından Ģüphe edebilirler. ĠĢletme koĢulları (yağlı el, tozlu alan gibi) sistem performansını düĢürebilir.

189

G36 Biyometrik Kontroller (Devamı)

• Sistemin yeniden baĢlatılması—Biyometrik teknoloji kusursuz değildir ve biyometrik uygulamaların güvenirliğiyle ilgili sorunların üstesinden gelmek gerekebilir. ĠĢletim ve saygınlık açılarından yanlıĢ ret ve kabulün etkileri gözden geçirilmelidir. Ġçeridekilerin engelleme ve sabotajlarının olma olasılığı da göz ardı edilmemelidir.

• Kurulma maliyeti—Her eriĢim noktasına biyometrik aygıtların yerleĢtirilmesi pahalı olabilir ve fazla kaynak tüketebilir. Doğruluk—Yetkisiz kullanıcıların eriĢim kazanması ve yetkili kullanıcıların eriĢiminin reddi olabilmektedir.

• DeğiĢime direnme—Biyometrik sistem kullanmayı reddedebilecek kullanıcılara rastlanabilir.

• Biyometrik sistem kullanımıyla ilgili yerel yasal gereklilikler ve kullanan topluluk tarafından sistem kabul edilebilirliği.


5.1 Bu rehber 1 ġubat 2007 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir.

Kaynaklar

BT YönetiĢim Enstitüsü, Biyometrik Teknoloji Kontrolleri ve Riskleri, USA, 2004


190

G37 Konfigürasyon Yönetim Süreci

1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1. S6 Denetim ĠĢinin Yürütülmesi Standardı: BS Denetim Kadrosu, denetim hedeflerinin baĢarıldığının ve

yürürlükteki mesleki denetim standartlarının karĢılandığının makul güvencesini sağlamak amacıyla denetimin iĢinin yürütülmesi esnasında gözden geçirilmelidir. Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir‖ Ģeklinde ifade eder.

1.2 COBIT 4.1‘e Bağlantı 1.2.1 Kontrol usulü AI2 Uygulama yazılımı edinimi ve bakımı, ‗ĠĢ gereksinimlerine paralel ve kullanılabilir BT uygulamalarıyla iĢ

gereksinimlerini karĢılayan BT uygulama yazılımlarının edinimi ve bakımı usulünü kontrol etmek ve maliyet etkin ve zamanında geliĢme sürecini sağlamak ve bunu zamanındalıkla makul maliyete odaklanarak baĢarmak için aĢağıdakilere dikkat edilmelidir Ģeklinde ifade eder:

• ĠĢ gereksinimlerini tasarım özelliklerine çevirmek

• Bütün değiĢikliklerin geliĢtirme standartlar ile uyumunu sağlamak

• GeliĢtirme, test ve iĢletim faaliyetlerini ayırmak Ve bunları ölçümlemek için:

• Önemli kesinti sürelerine yol açan her uygulama baĢına düĢen sorun sayısı

• GeliĢtirilen iĢlevselden tatmin olan kullanıcıların yüzdesi‘ 1.2.2 Kontrol usulü DS9 Konfigürasyon yönetimi, ‗BT varlıklarını dikkate alan ve BT altyapısını, kaynaklarını, yeterliğini ve

BT varlıklarını dikkate alan bir BT en iyileĢtirmesinin varlık nitelik ve dayanaklarının doğru ve tam depolanmasının kurulması ve sürdürülmesine ve asıl varlık yapısıyla kıyaslamaya odaklanarak iĢ gereksinimlerini karĢılayacak BT yapılandırma süreci usulü üzerinde kontrolü baĢarıyla sağlamak için aĢağıdakilere dikkat edilmelidir.‖ Ģeklinde ifade eder:

• Bütün konfigürasyon unsurları için merkezi havuz kurulması

• Konfigürasyon unsurlarını tanımlamak ve bakımlarını yapmak

• Konfigürasyon veri bütünlüğünün gözden geçirilmesi Ve bunları ölçümlemek için:

• Varlıkların uygunsuz konfigürasyonunun yol açtığı iĢ uygunluk sorunlarının sayısı

• Konfigürasyon havuzu ve asıl varlık konfigürasyonu arasında tanımlanan sapmaların sayısı

• Satın alınan lisans sayısı ve depoda sayılmayanların oranı‘ 1.2.3 Kontrol amacı DS 9.1 Konfigürasyon depo ve dayanağı, ‗Bir destek aracının ve bütün ilgili konfigürasyon unsuru

bilgisini içeren merkezi bir deponun kurulması. DeğiĢiklikler sonrasında dönülecek bir kontrol noktası olarak her sistem ve hizmet için konfigürasyon unsurları dayanağının sürdürülmesi.‘ Ģeklinde ifade eder.

1.2.4 Kontrol amacı DS 9.2 Konfigürasyon unsurlarının tanımlanması ve bakımı, ‗Yönetimi desteklemek için konfigürasyon usulleri kurmak ve her değiĢikliğin konfigürasyon havuzuna kaydı. Bu usullerin değiĢiklik yönetimi ve sorun yönetimi usulleriyle bütünleĢtirilmesi.‘ Ģeklinde ifade eder.

1.2.5 Kontrol amacı DS 9.3 Konfigürasyon bütünlüğü gözden geçirmesi bildirimine göre, ‗Kullanılmakta olan ve önceki konfigürasyonların bütünlüğünü onaylamak ve doğrulamak için konfigürasyon verisinin düzenli olarak gözden geçirilmesi. Düzenli gözden geçirmelerle, kurulu yazılımların yazılım politikasına aykırılığının, kiĢisel ya da lisanssız yazılım kullanımını tanımlamak ya da herhangi bir yazılımın kullanımının lisans anlaĢmasının dıĢına çıktığının tespit edilmesi. Etkilerin ve hata düzeltmelerinin ve sapmaların raporlanması.‘ Ģeklinde ifade eder.

1.3 COBIT Referansı 1.3.1 Özel denetim hedeflerine uygulanacak en uygun COBIT materyalinin tercihi, belli COBIT BS süreçlerinin seçimine ve COBIT

kontrol hedeflerinin göz önünde bulundurulması ve ilgili yönetim uygulamaları temeline dayanır. 1.3.2 Seçilen ve uyarlanan süreç ve kontrol hedefleri, söz konusu görevin kapsam ve koĢullarına göre değiĢebilir. Gereksinimleri

karĢılamak için en iliĢkili varsayılan seçilen ve uyarlanan COBIT süreçleri aĢağıdaki Ģekilde sınıflandırılmıĢtır.

• Birincil:

– PO9 BT riskleri değerlendirmesi ve yönetimi

– AI6 Değişiklik yönetimi

– DS9 Konfigürasyon yönetimi

– ME2 İç kontrollerin izlenmesi ve değerlendirmesi

• Ġkincil:

– PO1 Stratejik BT planının tanımlanması

– PO3 Teknolojik yönelimin belirlenimi

– PO6 Yönetim amaç ve yönelimiyle iletişim kurmak

– DS4 Hizmet sürekliliğini sağlamak 1.3.3. Konfigürasyon yönetimiyle en uygun bilgi ölçütleri:

• Birincil: Etkililik

• Ġkincil: Etkinlik, eriĢebilirlik, güvenirlik 1.3.4. BT yönetiĢimi, konfigürasyon yönetimiyle en uygun alanlara odaklanır:

• Birincil: Değer teslimi

• Ġkincil: Risk yönetimi

191

G37 Konfigürasyon Yönetim Süreci (Devamı)

1.4 Rehber Amacı 1.4.1 Konfigürasyon yönetimi araçları, doğru ve tam depolama yapısı kurmayı ve sürdürmeyi gerektiren donanım ve yazılım

konfigürasyonu bütünlüğünün makul güvencesini sağlar. Bu süreçte ilk konfigürasyon bilgisini toplama, dayanakların kurulması, konfigürasyon bilgisinin denetlenmesi ve onaylanması ve gerektiğinde depo konfigürasyonunun güncellenmesi yer alır. Etkin konfigürasyon yönetimi, sistem eriĢilebilirliğinin artıĢı, üretim sorunlarının azaltılmasını ve sorunların daha hızlı çözümünü kolaylaĢtırır..

1.4.2 Günümüz iĢletmeleri, temel süreçlerin örgütlenmesi temeline dayanır. Neredeyse dünyadaki her kurum etkinlik ve etkililiğin artan baskısına maruz kalmaktadır (Örneğin hizmet ve ürün kalitesinin artırılması, gelir artıĢı, maliyet azaltma, yeni ürün geliĢtirme gibi); daha hızlı, daha iyi ve daha ucuz olarak kurum bütünlüğüne seslenen sistem ve ağlar, iĢ sahiplerine yüksek kaliteli yazılım sağlayan kontrol sürecini değiĢtirmiĢtir. Ancak, , örneğin iĢletim sistemi ve veritabanı için masaüstü yazılımlar, ağlar, özel yazılımlar, sistem yazılımları gibi değiĢen çeĢitli unsurlar, yönetilmesi gereken önemli riskleri de birlikte getirmiĢlerdir.

1.4.3 Bu rehber, konfigürasyon yönetim usullerini gözden geçiren BS Denetçisine yardım etme amacındadır. BS Denetçileri öncelikli olmak üzere – iç ve dıĢ denetçiler – hazırlanan bu belge, bilgi sistem kullanılırlığı, veri bütünlüğü ve bilgi güvenliğinden sorumlu diğer BS uzmanları tarafından da kullanılabilir.

1.4.4 Bu rehber konfigürasyon yönetimini Ģu noktalardan betimlemektedir:

• Süreç akıĢı

• Roller ve sorumluluklar

• Varlık izleme ve izleme araçları

• Kontrol ve değiĢikliklerin sistem kaydı

• Sürüm yönetimini kapsayan gereksinim bildirimi

• RaporlanmıĢ ölçümler

1.5 Arka Plan ve Genel ĠĢlem AkıĢı 1.5.1 Konfigürasyon yönetimi sürecinin hedefleri :

• Sistem eriĢilebilirliğini geliĢtirerek yada sürdürerek kurumsal BT sisteminde, kaynaklarında ve ağında yapılan değiĢiklikleri etkin kontrol etmek ve yönetmek.

• DeğiĢikliklerin sebep olacağı risklerin yönetiminde ve etkilerinin tahmininin doğruluğunu artıĢı

• Bütün konfigürasyon unsurları ve geçmiĢteki temel konfigürasyon değiĢikliklerinin etki bilgilerini (Özellikle karmaĢık ortamlarda büyük ölçekli belli bir türdeki değiĢikliklerin baĢarılı ya da baĢarısız olması gibi) konumlandırmak için merkezi bir depo yaratmak ve sürdürmek.

• Kısa ve uzun vadede yapılması planlanan değiĢikliklerin türleri ve sayısını bildirilmesi. Bütün tarafları etkileyecek değiĢikliklerin durumu ve varlığı konusunda bilgilendirme süreci oluĢturulmalıdır.

1.5.2 Etkin Konfigürasyon yönetimi, yönetimin yeteri kadar hazırlanamamaktan dolayı vazgeçmesini ve/veya uyumsuz değiĢikliğin sistem kullanılırlığını ve veri iĢleme bütünlüğünü etkileme riskini azaltır.

2. DENETĠMDE GÖZ ÖNÜNDE BULUNDURULACAKLAR

2.1 Tipik Konfigürasyon Yönetimi Noktalarının Gözden Geçirilme 2.1.1 Kurum büyüklüğü ve karmaĢıklığına bağlı olarak, BS Denetçisi konfigürasyon yönetimi kontrol usulleri denetim göstergelerini

toplamalıdır. BS Denetçisi, üst yönetimin konfigürasyon yönetimi beklentilerini öğrenmelidir. Tipik olarak zayıf bir konfigürasyon yönetimi, sistem kullanılabilirliğine ve veri bütünlüğüne karĢı önemli riskler yaratır. Özellikle, kurum sistemleri, kaynakları ve ağlarında yapılan konfigürasyon değiĢiklikleriyle kritik sistem sorunları ve/veya zayıf veri bütünlüğü ve/veya kurum bilgilerinin gizliliğinin sağlanmasında zaaf yaĢanması arasında iliĢki vardır.

2.1.2 BS Denetçisi, kuruluĢ sistem ve ağında tekil unsurun donanım ve yazılımın değiĢmesi için gerekli belgelemeyi de içeren iletiĢim gereksinimlerinin çerçeveleyen konfigürasyon yönetimi politika ve usullerini anlamalıdır.

2.1.3 BS Denetçisi, kuruluĢ sistem ve ağını içeren iĢ uygulama yazılımı, özel yazılım ve veritabanı sistem yazılım ve donanımı arasındaki iliĢkileri ve bütünlüğü kapsayan bütün unsurları içeren genel bir anlayıĢı edinmelidir.

2.1.4 BS Denetçisi, BT varlık izleme sisteminden ya da tam olarak doğrulanabilir bir denk bilgi noktasından bütün yazılım ve donanım (model ve seri numarası) edinmelidir. EriĢilemiyor ise, bütün havuzun yeniden oluĢturulması gerekebilir.

2.1.5 BS Denetçisi, her unsurun bağlantılılığını ve bunların kendi arasındaki iliĢkinin diğer unsurlarla nasıl uyum sağladığını anlamalıdır.

2.1.6 Konfigürasyon yönetimi süreci gözden geçirmeleri genellikle aĢağıdakileri kapsar:

• Bütün konfigürasyon unsurları için merkezi depolamanın kurulması

• Konfigürasyon öğelerinin tanımlanması ve konfigürasyon verisinin muhafazası

• Depolamanın unsurlar, karĢılıklı iliĢkiler ve olaylar hakkında gerekli bilgiyi içerip içermediğini belirlemek

• Konfigürasyon verilerinin tedarikçi/satıcı kataloglarındakine uygun olup olmadığının belirlenmesi

• KarĢılıklı iliĢkili iĢlemlerin tam bütünlüğü olup olmadığına ve kurumun konfigürasyon verileri kullanma ve güncellemelerinin otomatik olarak yapılıp yapılmadığının belirlenmesi

• Konfigürasyon veri bütünlüğünün makul bir güvencenin sağlanması

• Tam değiĢiklik belgelemesi de dâhil olmak üzere resmi değiĢiklik talebi varlığının doğrulanması

• DeğiĢikliklerin kuruluĢ sistemi, kaynakları ve ağına verebileceği risklerin tanımlanarak belli seviyelerde sınıflandırılmasını sağlayan tutarlı bir yöntemin kullanılıp kullanılmadığının belirlenmesi.

192

G37 Konfigürasyon Yönetim Süreci(Devamı)

• Konfigürasyon yönetim kurulu ya da uygun yönetim seviyesinin gerekli görmesi üzerine istenen değiĢikliğin risk değerlendirmesi denetim göstergelerinin belirlenmesi. Risk değerlendirmesi, değiĢimin belli bir ortam ya da ağ ile sınırlı olup olmadığını ve etkilenecek iĢle ilgili kullanıcıların muhtemel sayısını ve iĢ bilgisini iĢlemedeki kritikliği göstermelidir.

• Risk değerlendirmesi sonuçlarının iĢ ve BT yönetiminin resmi onayının doğrulanması (Güvenlik duvarı ayarlarında değiĢiklik gibi)

• GeliĢtirilme aĢamasındaki değiĢikliğin kurulumunda ya da geliĢtirilmesinde satıcının güncellemesi olup olmadığının belirlenmesi (Örneğin sistem mühendisliği havuzu)

• Konfigürasyon değiĢiklikleri bitirilmeden önce, üretim ortamındaki altyapı ve iĢ yazılımının aynısı niteliğinde bir test ortamında yapılan testlerin sonucunda kuruluĢun diğer sistemlerinde, kaynaklarında ve ağlarında bir etkisinin görülmediğinin belirtilmesi

• KuruluĢun diğer sistemlerinde, kaynaklarında ve ağlarında muhtemel etkileri en aza indirmek için diğer değiĢikliklerin eĢgüdümüne dayanan değiĢikliklerin planlanması. Bu planlama, değiĢikliklerin iĢ üzerindeki etkisini en aza indirmek için kontrol yazılımlarının kümelenerek yükseltilmesini içeren sürüm yönetimi alt-süreçleri yardımıyla gerçekleĢtirilir.

• Yapılan yükseltme değiĢikliklerinin üretim sürecine kontrollü bir biçimde (mesai saatleri dıĢında) sokularak ve canlı üretim ortamında (örneğin veritabanı sistem yazılımı güncellemesi, depolanmıĢ kritik süreçlerin yürütülmesi ve veri bütünlüğü değerlendirmesinin tetiklenmesi ile) yapılır.

• Bütün varlıkların, konfigürasyon niteliklerinin ve dayanakların havuzunun kurulması. Konfigürasyon öğelerinin dayanaklarının, değiĢikliklerden sonra dönülecek kontrol noktaları olarak muhafaza edilmesinin doğrulanması.

• Her bir ayrı unsurun temel donanım ve yazılım verisinin bakımı, servisi, güvencesi, güncellemesi ve teknik değerlendirmesi için var olan raporlamanın doğrulanması

• Havuzdaki dayanaklarla asıl varlık konfigürasyonunun uyumluluğunun ve konfigürasyon havuzunun bütünlüğünün kurulmasının gözden geçirilmesi

• Yetkisiz yazılım kurulumunu önleyecek kuralların konup konmadığının ve bunu tespit edecek önlemlerin alınıp alınmadığının belirlenmesi

• Bakım ve güncellemeleri önceden görebilecek ve güncelleme ve teknoloji yenilenmeleri planlamasını sağlayacak bir sistemin olup olmadığının belirlenmesi

• DeğiĢiklik süreci yönetimi ve konfigürasyon yönetimi arasındaki bağlantının makul bir güvencesini sağlamak, böylece konfigürasyon gözden geçirme sürecindeki bütün değiĢiklik konularının anlaĢılması

2.2 Roller ve Sorumluluklar 2.2.1 BS Denetçisi, konfigürasyon yönetimini destekleyen rol ve sorumlulukların listesini edinmelidir. Bu rol ve sorumluluklar, her

BT unsurundan ve ilgili alandan sorumlu olan her bir BT yönetiminin iĢ tanımı içine yerleĢtirilmelidir. BS Denetçisi, eğer hâlihazırda bu yoksa, konfigürasyon yönetimi sorumlusunu araĢtırmalıdır (örneğin genel anlamda sürecin sahibi gibi).

2.2.2 Kurumsal sistemler, kaynaklar ve ağlarında yapılmakta olan değiĢikliklerin özelliklerini ve sayısını ölçmek için yönetimin kaynakları tanımladığını doğrulamalı ve bunu sağlamalıdır.

2.2.3 Hesap verebilirlik, konfigürasyon değiĢikliğinin 1. ve 2. katmanlarında oluĢturulmuĢtur. 2.3 Varlıklar Ġzlemesi ve Ġzleme Araçları 2.3.1 Varlıklar, her varlık ayrı ayrı çalınmaya, kötü niyetli kullanıma ve yanlıĢ kullanıma karĢı korumak amacıyla izlenmelidir. 2.3.2 Yazılımlar, etiketlenmeli, envantere kaydedilmeli ve uygun Ģekilde lisanslanmalıdır. Kütüphane yönetim yazılımı, program

değiĢikliklerinin denetim izi üretmek ve program sürüm numarası, yaratılma – tarih bilgisi ve önceki sürümlerin kopyalarını muhafaza etmek için kullanılmalıdır.

2.3.3 BS Denetçisi, yetkili yazılımların listesini edinmelidir ve bu mümkün ise, sunucuları ve masaüstü bilgisayarlar da dahil olmak üzere tüm donanım aygıtlarını otomatik olarak tarayan bir araçtan edinmelidir. Yazılım Ģu kritik bilgileri sağlar:

• Donanım tipi ve model numarası

• Birlikte çalıĢabilirliği doğrulayan arayüz program ve kontrollerini de içeren yazılım unsurları

• Sağlayıcı yazılımı:

– Sürüm

– Geçerli satıcı destek gereksinimleri belgelemesi

– Diğer yazılımlarla arayüzü etkileyebilecek, sağlayıcı tarafından dayanak için yapılmıĢ özelleĢtirmelerin belgelenmesi

2.3.4 BS Denetçisi, satın alınan bütün yazılımların ―BT Varlık Ġzleme Sistemine‖ kaydedildiğini doğrulayan yazılım edinme kontrollerine dair genel bir anlayıĢ edinmelidir.

2.4 DeğiĢikliklerin Kontrolü ve Sisteme Kaydedilmesi 2.4.1 Edinim sonrasında envantere sadece yetkili ve tanımlanabilir öğelerin kaydedilmesini doğrulayan usullerin oluĢturulduğu

tespit edilmelidir. Bu usuller, ayrıca konfigürasyon öğelerinin yok edilmesi, satılması ve kullanımdan kaldırılmasının yetkililiğini de gösterebilmelidir.

2.4.2 Konfigürasyon değiĢikliklerinin izlerini muhafaza etme usulleri yerinde olmalıdır (Örneğin, yeni öğe, prototip geliĢtirmede durum değiĢikliği gibi). Sistem kaydı ve kontrol, değiĢiklik kayıtlarının gözden geçirilmesini de içerecek biçimde konfigürasyon kayıt sisteminin tamamlayan bir parçası olmalıdır.

193

G37 Konfigürasyon Yönetim Süreci (Devamı)

2.5 Sürüm Yönetimini Ġçeren ĠletiĢim Gereksinimleri 2.5.1 Üst seviye BT yönetimi ve seçilen kıdemli iĢ yöneticileri, oluĢturacakları idare kurulu ile yüksek riskli konfigürasyon

değiĢikliklerini değerlendirmelidir (örneğin iĢ uygulamaları). DeğiĢikliklerin uygulanmasıyla ilgili kararlar tutanaklarıyla belgelenmelidir.

2.5.2 BS Denetçisi, değiĢiklik planı denetim göstergelerini edinmelidir ve bunlar farklı değiĢikliklerin üretim – iĢleme ortamına sokulma tarih ve zamanlarını belirten ―Sürüm Takvimlerini‖ de içermelidir. BS Denetçisi, tipik olarak, değiĢikliklerin yaygınlaĢtırılmasını gözlemlemelidir, böylece bilgisayar iĢletimleri, sistem sorunlarını daha temelden tanımlayabilir.

2.5.3 Önemli konfigürasyon değiĢikliklerinin iĢ sahiplerine iletildiğinin denetim kanıtı sıra dıĢı sistem olaylarını tespit etmek konusunda uyarmak .

2.6 Raporlanan Ölçümler 2.6.1 KuruluĢ, sistemler, kaynaklar ve ağlarda yapılan değiĢikliklerin özellikleri ve sayısının yapılan ölçümlerden ve gösterge

panosundan alınan sonuçlardır. Bazı tipik ölçüm örnekleri :

• Tutarsızlığın tanımlanması ve giderilmesi arasında geçen ortalama zaman(boĢluk)

• TamamlanmamıĢ ve kaybolmuĢ konfigürasyon bilgiyi ile ilgili tutarsızlıkların sayısı

• Performans, güvenlik ve eriĢebilirlik hizmet seviyeleriyle uyumlu konfigürasyon öğelerinin oranı

• Konfigürasyon deposu ve asıl varlık konfigürasyonu arasında tanımlanan sapmaların sayısı

• Satın alınan ve depoda sayılmayan lisansların yüzdesi

• Kullanılan lisanslanmamıĢ ve lisanslıların birbirine oranı

• Varlıkların uygunsuz konfigürasyonu dolayısıyla ortaya çıkan iĢ uyum sorunlarının oranı 2.6.2 Tepki süresi, sistem çalıĢırlığı, veri bütünlüğü kalitesi gibi hizmet seviye istatistiklerini içeren performans resmen belgelenir ve

BT yönetimi bilgisine sunulur. ÇalıĢan ve taĢeron (BT bölümünün dıĢ kaynaklı olması durumu) ölçümleri bu ölçülere göre yapılmalıdır.

2.6.3 DeğiĢiklikler için, yönetimin teslim zamanı süresini ölçüp ölçmediğini ve bunun yıkıcı olmayan değiĢikliklerin baĢarısı ya da baĢarısızlığında belirleyici olup olmadığını anlamak için;

• Teslim süresi önemli olduğunda, hassas tür ve büyüklükteki değiĢiklikleri tanımlayarak yıkıcılığı azaltmak

• DeğiĢikliklerin risk seviyelerini tanımlamak ve sınıflandırmak için daha iyi bir yöntem belirlemek

• Her kaydın teknik ve yönetimsel hesap verebilirliğinin olduğunu doğrulamak

• ĠĢ gereksinimleri temelinde, esnekliğe izin verirken kayıtların teknik değeri ve iĢ hazırlığı açısında tutarlı biçimde gözden geçirilmesine olanak veren bir süreci oluĢturmak.


3.1 Bu rehber, 1 Kasım 2007 tarihinde bütün bilgi sistem denetimleri için geçerlidir.

194

G38 EriĢim Kontrolleri

1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S1 Denetim Yönetmeliği Standardı:‖ Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,

sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde belgelenmelidir.‖ Ģeklinde ifade eder.

1.1.2. S3 Meslek Etiği ve Standardı: ―BS Denetçisi ISACA Meslek Etik Kuralları‘na bağlı kalmalıdır‖. Ģeklinde ifade eder.

1.2 Rehberlerle Bağlantı 1.2.1 G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı bildirimine göre, ‗BS Denetçisi, genel denetim planını ve

özel denetim planın yaparken seçilen risk değerlendirme tekniklerini kullanmalıdır. Diğer denetim teknikleriyle bir arada kullanılan risk değerlendirmesi Ģu planlama kararları alınırken aĢağıda yer alanları göz önünde bulundurulması gerektiğini ifade eder:

• Denetim usullerinin özellikleri, kapsamı ve zamanlaması

• Denetlenecek alanlar veya iĢ birimleri

• Denetim için ayrılan zaman ve kaynak miktarı'. 1.3 COBIT Bağlantısı 1.3.1 Kontrol süreci ME2 İç kontroller değerlendirme ve izlemesi:‖ BT ile ilgili faaliyetlerin iç kontrol süreçleri ve geliĢtirici

faaliyetlerin izlenmesine odaklanarak BT ilgili kanun ve düzenlemelere uyumun sağlanması ve BT hedeflerinin baĢarılması için BT hedeflerinin baĢarılmasını korunması için iĢletme ihtiyaçlarını karĢılayan BT süreçlerinin izlenmesi ve iç kontrolün değerlendirilmesi üzerindeki kontrol aĢağıdaki faaliyetlerle baĢarılabilir‘ Ģeklinde ifade eder:

• BT süreç çerçevesine yerleĢtirilmiĢ iç kontrol sisteminin tanımlanması

• BT üzerindeki iç kontrollerin etkililiğinin raporlanması ve izlenmesi

• Faaliyetler için yönetime kontrol beklentilerinin raporlanması ME2 ölçümleri için:

• Önemli iç kontrol ihlallerinin sayısı

• Kontrol geliĢtirme faaliyetlerinin sayısı

• Kontrol öz değerlendirmelerinin kapsam ve sayısı

1.3.2 ME3 dış gerekliliklerle uyumun sağlanması, ―ĠĢ gereksinimlerini, yürürlükteki bütün yasaları, yönetmelikleri ve sözleĢmeleri ve uygun BT seviyesini ve uygunsuzluktan kaynaklanabilecek riskleri en aza indirmek için BT süreçlerinin en uygun Ģekilde iyileĢtirmesine odaklanarak yasa, yönetmelik ve sözleĢme yükümlülüklerine uyumu sağlayarak karĢılamak için aĢağıdakiler gerçekleĢtirir:

• BT ile ilgili yasa, yönetmelik ve sözleĢme gereksinimlerini tanımlama

• Uygunluk gereksinimlerinin etkisinin değerlendirilmesi

• Bu gerekliliklere uyumun izlenmesi ve raporlanması ME3 Ģöyle ölçümlenir:

• Ceza ve yaptırımları da kapsayan BT uygunsuzluk maliyeti

• DıĢ uygunluk sorunları ve bunların çözümünün tanımlanması arasında geçen ortalama zaman

• Uygunluk gözden geçirmelerinin sıklığı 1.3.3 ME4 BT yönetişimi sağlanması, ―BT iĢ gereksinimlerini BT performansı, stratejisi, riskleri hakkında kurul raporu hazırlamaya

ve kurul yönlendirmelerine göre yönetiĢim gereksinimlerini yanıtlamaya odaklanarak BT yönetiĢiminin kapsamı içinde yer alınan kurumsal yönetiĢim amaçları ve uyulan yasa, yönetmelik ve sözleĢmeleri bütünleĢtirerek, aĢağıdakileri sağlar:

• BT yönetiĢim çerçevesinin kurumsal yönetiĢime entegrasyonu oluĢturmak

• BT yönetiĢim konumu üstünde bağımsızlık güvencesinin edinilmesi ME4 ölçümleri:

• BT konusunda paydaĢlara kurul raporlarının sıklığı (Olgunluk dahil)

• BT‘den kurula raporlama sıklığı (olgunluk dahil)

• Bağımsız BT uygunluk gözden geçirmelerinin sıklığı

1.4 COBIT Referansı 1.5.1 Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, belli COBIT BS süreçlerinin seçilmesine ve

COBIT kontrol hedeflerinin göz önünde bulundurulmasına ve ilgili yönetim uygulamalarına dayanır. BS Denetçilerinin sorumluluk, yetki ve hesap verebilirlik ihtiyaçlarını karĢılamak için seçilen ve uyarlanan en uygun COBIT süreçleri aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan süreçler ve kontrol hedefleri görevlendirmenin özel kapsam ve Ģartlarına bağlı olarak değiĢebilir.

1.5.1 COBIT süreçleri ya da özel hedefleri, bu Rehberin iĢaret ettiği alanların gözden geçirilmesinde birincil olarak ele alınmalıdır:

• PO1 BS risk değerlendirmesi

• PO2 Bilgi mimarisinin tanımlanması

• PO9 BT riskleri değerlendirmesi ve yönetimi

• DS5 Sistemlerin güvenliğinin sağlanması

• DS7 Kullanıcıların eğitimi ve yetiştirilmesi

195

G38 EriĢim Kontrolleri(Devam)

• DS9 Konfigürasyon yönetimi 1.4.3 Bu Rehberin iĢaret ettiği alanlarda gözden geçirme yapılırken ikincil olarak göz önünde bulundurulması gereken

özel COBIT süreci ya da hedefleri:

• PO6 Yönetim amaç ve yönelimleriyle iletişim kurmak

• PO7 BT insan kaynakları yönetimi

• AI1 Otomatik çözümlerin tanımlanması

• AI2 Uygulama yazılımları edinimi ve bakımı

• AI3 Teknoloji altyapısının edinimi ve bakımı

• AI6 Değişikliklerin yönetimi

• DS1 Hizmet seviyelerinin tanımlanması ve yönetimi

• DS2 Üçüncü taraf hizmetlerinin yönetimi

• DS10 Sorunların yönetimi

• DS12 Fiziksel çevre yönetimi

• ME1 BT performansının izlenmesi ve değerlendirmesi

• ME3 Dış gerekliliklere uygunluğun sağlanması 1.4.4 Sorumluluk, yetki ve hesap verebilirlikle en ilgili bilgi ölçütleri:

• Birincil: Etkililik, etkinlik ve gizlilik

• Ġkincil: EriĢebilirlik, bütünlük ve güvenirlik

1.5 Rehber Amacı 1.5.1 Kurumlar, birbirine bağlı asıl dünyada, varlıklarını yetkisiz kullanımdan korurken sadece yatırımlarını değil aynı zamanda bilgi

varlıklarını kasıtlı ya da kasıtsız yanlıĢ kullanımdan kaynaklanan risklerden de korumalıdırlar. Gerçek teknoloji uygulamaları, çeĢitli ve karmaĢıktır (Platformlar, uygulamalar, iĢletim sistemleri, veritabanları, e-posta araçları, güvenlik ve denetim araçları, internet ve fakslar gibi) ve bunların hepsi de yetkisiz kullanıma karĢı koruma altına alınmalıdır. Bina, donanım, telekomünikasyon, fotokopi makineleri, kameralar, dosya dolapları, genel yazıcı bilgileri ve müĢteri belgeleri gibi fiziksel varlıklar da ayrıca koruma altında olmalıdır. Bu çeĢitlilik nedeniyle, varlık kontrolü için tek bir standart süreç oluĢturmak kritik öneme sahiptir. Bu standart, kurumun belli ihtiyaçlarına iĢaret eden özelleĢtirilmiĢ bir dayanak noktası olarak iĢlerlik kazanacaktır.

1.5.2 Bu rehber, BS Denetim standartlar S1 ve S3 uygulamalarına yol göstericilik sağlar. BS Denetçisi, bu Rehberi yukarıdaki standartların nasıl uygulanacağına karar verirken kullanmalıdır, uygulama seçiminde mesleki yargılarını kullanılmalı ve rehberden herhangi sapmayı gerekçelendirmeye hazırlanmıĢ olmalıdır.

1.6 Rehber Uygulaması 1.6.1 BS Denetçisi, bu Rehberin uygulanmasında diğer ISACA standartları ve Rehberleriyle iliĢkisini göz önünde bulundurmalıdır.

1.7 Genel EriĢim Sınıflandırmaları 1.7.1 EN AZ ERĠġĠM-Kullanıcı sadece gerek duyulan belli kaynaklara eriĢebilir 1.7.2 BĠLME GEREĞĠ ESASI-Kullanıcı, kurumun iĢini yürütmek için gerekli kaynaklara eriĢebilir, kurum gerekleri içindir kiĢisel ilgisi

için değil 1.7.3 SAHĠP-Varlıktan sorumlu olan kullanıcı

2. GENEL TANIMLAR

2.1 Güvenlik Politikası 2.1.1 Güvenlik politikası, kurumun ve yönetimin sorumluluklarını tanımlayan ve güvenlik stratejisi ile iĢ hedeflerinin uyumunun

sağlanmasını tanımlayan yüksek seviye bir belgedir. Standartlar ve usuller, tam uygulama için yazılı hale getirilmelidir. Standartlar, politikalara uygunluk sağlamak için ―NE‖ yapılması gerektiğini tanımlar ve herkes için geçerli olma amacındadır. Usuller ‖NASIL‖ yapılması gerektiğini açıklar ve politikayı uygulamaktan sorumlu olanlara seslenir (kullanıcılar, teknoloji, sağlayıcı gibi). Bunlar, ayrı belgeler olabileceği gibi ‗EriĢim Kontrol Politikası‘ olarak tek belge olarak da hazırlanabilirler.

2.1.2 Güvenlik politikası yazılırken göz önünde bulundurulacak çok fazla kaynak vardır. Her bir kurum, iĢi, koruma ihtiyacı , kültürü ve bu hedefleri en iyi Ģekilde karĢılamak için uyarlamayla ilgili bilgiyi değerlendirmelidir.Bu politika, bütün çalıĢanlara iletilmeden ve imzalatılmadan önce, iĢ ve güvenlik uzmanlarınca yazılmıĢ olmalı ve yüksek seviyede yönetici veya genel müdürlerce onaylanmalıdır.

2.1.2 EriĢim Kurallarını Tanımlama Kriteri 2.2.1 Genellikle, ―ÖLÇÜT BĠLMESĠ GEREKTĠĞĠ KADAR‖ ilkesine dayanmalıdır. Her bir kurum, her çalıĢan grubu, satıcılar,

müĢteriler, düzenleyiciler ve denetçiler (rol temelli olması gibi) için uygun eriĢim seviyesini tanımlamalıdır. Bilgi varlıklarının tamamının envanteri yapılmalı, bu bağlamda bilginin önemi, zayıflıklar, BT ortamında var olan güvenlik önlemleri, bilginin iĢlendiği donanım ve bu bilgiyi (Fikri mülkiyet) yönetmek üzere görevli kiĢilerin tecrübeleri veya özel uzmanlıklar belirtilmelidir. Korunması gereken fiziksel varlıklar ya da kaynaklar, aĢağıda yer almaktadır.

• Enerji, güvenlik ve diğer altyapı öğelerini de içeren binalar (kesintisiz güç kaynağı [UPS], jeneratör, kameralar gibi)

• Veri merkezleri

• Telekomünikasyon odaları (çoklayıcı, göbekler, yönlendiriciler, özel otomatik Ģube değiĢimi [PABX], kablolar gibi)

• Kütüphaneler (bantlar, kartuĢlar, p kodları gibi)

196

G38 EriĢim Kontrolleri

• Kasa daireleri / alev geçirmez kasalar

• Kasalar ve anahtar kutuları

• Fakslar

• Fotokopi makineleri

• Teleks

• MüĢteri belgeleri

• Destek belgeleri (düzenleyici) 2.2.2 Kurum, kritik görev ayrılığını doğrulamak için eriĢim rolleri matrisini yaratmalı ve düzenli olarak gözden geçirmelidir. 2.2.3 Korunması gereken sanal varlıklar ya da kaynaklar:

• Sunucular (web sunucuları, uygulamalar gibi) ve bunların iĢletim sistemleri

• Veritabanı sistemleri ya da dosya sistemleri

• Uygulamalar

• Araç-gereçler

• Manyetik kartlar, anahtarlar, sertifikalar ve akıllı kartlar

• Sunucular, iĢ istasyonları ve PABX

• Genel anlamda veriler

• E-postalar (kurumsal hesaplar)

• Güvenlik duvarı / yetkisiz giriĢ tespit sistemi (IDS)

• Raporlar

• Denetim kayıtları

• Ağ (güvenlik çeperi)

2.3 Sahiplik ve Sorumluluklar 2.3.1 Her bir bilgi (ve BT ilgili fiziksel) varlığının sahibi, üstlendiği sorumluluğu resmi Ģekilde tanımlanmalıdır. Sorumluluklar, bilgi

sahibinin kurum tarafından hazırlanan, uygulanan ve izlenen eriĢim kontrol kural ve ilkelerinin dikkate alındığını güvence altına almalıdır.

2.4 Varlık Sınıflandırması 2.4.1 Varlık sınıflandırması, temelinde yönetilen bilgi türü (kısıtlı, gizli, içsel, genel gibi) olmalıdır.

2.5 Yönetim 2.5.1 EriĢim kontrol politikası, görev ve seviye değiĢikliği, bilgi güvenlik yönetimi (ISA)/ bölümüne transfer olmak gibi,çalıĢanların

konumunun değiĢmesi durumunda sorumluluk, roller ve usulleri açıkça tanımlamalıdır. Kullanıcı konumlarındaki değiĢiklikleri yönetecek bir usul belirlemek ve bu değiĢiklikle ilgili bilgi sahiplerine, kullanıcılara, üstün kullanıcılara, denetleyicilere bildirmek ya da yetkilendirmeleri/ayrıcalıkların verilmesi, kaldırılması ve değiĢtirilmesinde bölüme büyük öneme sahiptir. Güvenlik yöneticisi, güvenlik yönetiminin bütün sorumluluklarına sahip olmalıdır. ‗Yetkilendirme‘ kavramı, kullanıcılara eriĢim izni verilmesinin değiĢebilirliğidir.

2.6 Kullanıcı Kontrolleri 2.6.1 TanımlanmıĢ bir süre boyunca etkinleĢmemiĢ kullanıcıların, silinmesi ya da engellenmesi ve peĢ peĢe belli sayıda baĢarısız

giriĢ testinden sonra kullanıcının engellenmesi gibi kullanıcı faaliyetlerini izleme ve kontrol amacıyla bir takım kontroller tanımlanmalıdır. BaĢarılı Ģekilde kullanıcıya sistemde giriĢ kaydı, baĢarısız giriĢ testlerini saklamalı, baĢarılı giriĢin tarih ve zamanı sağlamalıdır.

2.7 Yetkilendirme Gözden Geçirmesi 2.7.1 Yetkilendirme gözden geçirmeleri, en azından altı ayda bir sahiplerin/denetçilerin kullanıcı yetkilendirmelerini ve yapılan

değiĢiklikleri doğrulamak için yapılmalıdır. Yetkilendirme gözden geçirmesinin yapılmasını gerekli kılan ‗usul‘ uygunluğu daha sık yetkilendirme gözden geçirmesini gerekli kılabilecek ortam (uygulama, dıĢ ağ eriĢimi gibi) değiĢiklikleri doğrulaması sağlanabilmesi için en azından yılda bir kere değerlendirilmelidir.

2.8 Yetkili Kullanım ve Yaptırımlar 2.8.1 Politika ve destekleyici belgeler (standartlar, rehberler gibi), diğer risklere iĢaret ederken kurumsal kaynakların sadece iĢ

amaçları için kullanılabileceğini ve kiĢisel fayda amaçlı kullanılamayacağını mutlaka ifade etmelidir. ĠĢ kaynaklarının yanlıĢ ya da uygunsuz kullanımıyla ilgili olarak cezalar/yaptırımlar olmalıdır.

2.8.2 Politika, özel hayatın dokunulmazlığı yasası, veri koruma ya da banka gizliliği gibi düzenleyici çerçeveleri(Kurumsal veya yerel) kapsamalıdır. Ayrıca, sahibi kurum olan bilginin kiĢisel çıkar amaçlı kullanımı, CD/disketlerde kiĢisel yazılım kullanımı, internetten yazılım indirmek, zincir mektuplaĢmalara katılım gibi faaliyetlerin yasak olduğu belirtilmelidir.

2.9 Ġstihdam Edilmeyen Personel 2.9.1 Politika, üçüncü taraf personellerinin ya da geçici danıĢmanların iĢlev ya da aktarımlar (güvenlik aktarımları, yetkilendirme

gibi) için eriĢilebilirliğinin olmadığını belirtmelidir. Bu iĢlev ve aktarımlara eriĢim ağ kontrolleriyle sağlanabilmeli ancak Ģirket e-postası ya da çevirmeli eriĢim ve benzeri eriĢilebilir olmamalıdır.

197

G38 EriĢim Kontrolleri(Devamı) 2.10 Hesap Verebilirlik ve Parola PaylaĢımı 2.10.1 Politika açıkça her kiĢinin kendi parolasıyla, yapılan iĢlemlerden, bu parolanın baĢkası tarafından kullanıldığı kanıtlansa dahi

sorumlu olduğunu belirtmelidir. Sistem, parolaların geçerliliğinin sona ermesine ve değiĢikliğe zorlaması gerekir. Daha önceki unsurlara dayanarak her kurum, çalıĢanların/müĢterilerin güncel iĢ gereksinimleriyle yasal gerekliliklere göre eriĢim gereksinimlerini tanımlar.

2.11 EriĢim Türü 2.11.1 Yerine bağlı olarak, eriĢim yerinden ya da uzaktan eriĢim olarak sınıflandırılabilir.. Yerinden eriĢim kaynağını kaynakların

fiziksel olarak konumlandırılmıĢ olduğu kurum içinden alır. Uzaktan eriĢim ise kaynağını diğer konumlardan, örneğin ev, alır ve tipik olarak acil değiĢiklik kontrol süreçleri ya da idarecinin planlı iĢlemleri için kullanılır. Sonuncusunda, yapılandırma ve virüs korunma yazılımı, güvenli bağlantı (Sanal özel ağlar [VPN], Ģifreleme, Güvenli Soket Katmanı [SSL] gibi) önlemleri alınmalı ve uzak etkinlik evdeki masa üstünden günlük kontrol edilmelidir.

2.11.2 Kablosuz ya da taĢınabilir aygıt kullanımı, en aza indirilmeli (Kritik süreçler ve bilgi için kullanılmamalı) ve sıkı biçimde kontrol edilmelidir. EriĢim, teknik/teknik olmayan ve konfigüre edilmiĢ/edilmemiĢ olarak sınıflandırılırken eriĢimin gerçekleĢmesi için gereken beceri ve karmaĢıklıklar göz önünde bulundurulur. Risk değerlendirme analizleri ve gerçekleĢme olasılığı için önemlidir.

2.12 Gereçler 2.12.1 Bilgi varlıklarına eriĢimle ilgili olarak tanımlama, doğrulama, yetkilendirme ya da inkar etmeye karĢı önlem alınmalıdır. 2.12.2 Kullanıcı kaynağa tanıtılmalıdır; bu genelde kullanıcı kimliği (ID) (rakam ve karakterlerden oluĢan en az sekiz karakterli bir

dizilim), ID kart ya da kiĢinin sesi, parmak izi ya da iris/retinası (biyometrik) gibi fiziksel ID ile sağlanır. 2.12.3 Kullanıcı doğrulaması, bu kiĢinin o kiĢi olduğunu gösteren gizli öğeli bir kaynağın sağlanması ile yapılmalıdır. Sınıflandırmaya

ve risk değerlendirmesine bağlı olarak, doğrulama durağan parolalarla, değiĢken parolalarla veya bir kerelik parolalarla (jetonlar), biyometriklerle, kiĢisel kimlik numaralarıyla (PIN)/ ticaret ortağı tanımlama numarası (TPIN) ile yapılabilir. Doğrulama iĢlevi, ‗BĠLDĠĞĠN BĠR ġEY‘, ‗SAHĠP OLDUĞUN BĠR ġEY‘ ya da ‗OLDUĞUN BĠR ġEY‘ kullanılarak baĢarılabilir. Etmenlerin bileĢkesi ile daha sağlam bir güvenlik olanaklı olabilir, örneğin otomatik vezne makinesi (ATM) iki etmenli doğrulama kullanır bildiğin bir Ģey (PIN) ve sahip olduğun bir Ģey (kart) . Örnek olarak, ERĠġĠM KONTROL POLĠTĠKASI için aĢağıdakine benzer bir tablo hazırlanmalıdır.

Bilgi sınıflandırması, risk

değerlendirmesi ve uygulama

kullanımı, eriĢim türü

Teknikler

PIN/TPIN Durağan Parolalar Bir Kerelik Parolalar Biyometrikler

Genel bilgi, düĢük risk,

aktarımsız uygulamalar, iç eriĢim

S D D D

Gizli bilgi, orta risk, aktarılan

uygulamalar ve iç eriĢim

I I D D

Kısıtlı bilgi, yüksek risk,

aktarılan uygulamalar ve uzak

eriĢim (web)

I I S D

Açıklamalar: S – Yeterli, I – Yetersiz, D-Ġstenilen

2.12.4 Kimlik ve doğrulama onaylanırsa, sistem söz konusu kaynaklara eriĢime izin verir. Kaynak türüne bağlı olarak değiĢik tekniklerle bu iĢlem gerçekleĢtirilir, örneğin:

• Binalar, odalar, kasa odaları ve veri merkezleri için-Kullanıcı eriĢim kartları, PIN ve biyometrik

• MüĢteri belgeleri, dolaplar ve fakslar için-Kullanıcı eriĢim anahtarları, kartlar ve denetmen bellekleri

• Güvenlik duvarları ve PROXYLER, diğer kaynaklara eriĢim sağlayan donanım varlıklarıdır ve çok önemli olmaları dolayısıyla özel koruma altında olmalıdırlar. Fiziksel ve sanal olarak, tek idareci rol kullanımı, konfigürasyon değiĢiklikleri ve uyarılar ve kayıtlar gibi unsurların kullanımıyla korunmalıdırlar. Her durumda, kullanımda olan hizmetlere (web hizmetleri, e-posta, FTP gibi) göre her Ģirket gereksinimlerinin analizini yapmalı ve önerilen en yüksek standartları/uygulamaları kullanmalıdırlar (örneğin bağlantı noktası 80‘in devre dıĢı bırakılması). Bu amacı baĢarmak için, her Ģirketin bir ya da daha fazla güvenlik bültenine (örneğin CERT, SANS, Microsoft, Ulusal Standartlar ve Teknoloji Enstitüsü [NIST]) aboneliği içeren zaaf ve tehdit yönetim usullerini dikkate alması önemlidir.

• IDS/etkin savunma sistemleri (ADS)/yetkisiz giriĢ engelleme sistemi (IPS), Ģüpheli trafiği çözümleyen ve tespit eden donanım ve yazılımlardır; bunlar, ivedi olarak gözden geçirmeyi gerektiren uyarımlar/kayıtlar oluĢturacak biçimde yapılandırılmalıdır. Alınan uyarım ve kayıtların gözden geçirilmesinde uygulanacak süreçleri belirlemek önemlidir, bu göstergelerin analizi risk ya da tehdide bağlı olarak yapılandırma değiĢikliklerinin gerekliliğini gösterebilir.

• Uygulama, iĢletim sistemi ve veritabanı yönetim sistemi (DBMS) kullanıcı görünüĢleri, uygulama/DBMS seviyesinde tanımlanır. Her bir kullanıcıya kullanıcı ayrıcalıkları verilir ve bunlar eriĢim kontrol listesine (ACL) yerleĢtirilir.

• Son kullanıcı için bilgisayar Excel iĢ tablosu, Access tabloları ve Fox/Dbase dosyaları var ise, sayfa parolalar, kullanıcı ayrıcalıkları, hücre parolaları ve benzeri yöntemlerle korunmalıdır. Bu araçların kritik iĢlemler için kullanılması önerilmez ,çünkü bunların sağladığı güvenlik kontrolleri (parola koruması gibi) uygulama/DBMS içinde olanlar kadar güçlü olmayabilir.

2.12.5 Ġnkâr edememe, aktarımı yapan kiĢinin bunun doğrulamasını inkâr edememesini hedeflemektedir. Dijital imzalar ve kayıtlar aracılığıyla bu amaca ulaĢılabilir.

198

G38 EriĢim Kontrolleri(Devamı)

2.13 Risk Değerlendirmesi 2.13.1 EriĢim riski değerlendirmeleri, tehditler ve tehdit senaryolarının özelliklerine uygun Ģekilde düzenli aralıklarla

gerçekleĢtirilmelidir. 2.13.2 Zayıf eriĢim kontrolü uygulamaları, gizli bilginin (gizlilik) yetkisiz açıklanmasına, yetkisiz veri değiĢimine (bütünlük) ya da iĢ

sürekliliğinin sağlanamamasına (eriĢebilirlik) yol açabilir. Yerinde uygun eriĢim kontrollerine sahip olmamanın sonuçlarının kuruma neye mal olacağı, varlıkların kurum açısından değeri itibarıyla hem sayısal hem de niteliksel –itibar kaybı, müĢteri algısı, zorunluluklara uyulamaması, uzlaĢmalar (sözleĢmeler, hizmet seviye anlaĢmaları [SLA], yasal etkiler (Para cezaları ve yaptırımlar), finansal etki, rekabet gücünün kaybı, gelir/bilanço kaybı gibi- açılardan göz önünde bulundurulmalıdır. Riskleri en aza indirmek için, önleyici kontroller (politikaya göre) mutlaka kullanılmalı ve riskler iĢ açısından kabul edilebilir seviyeye (artık risk) indirilmelidir. Tespit edici kontroller, süreç güvenliğinde ayrıca gereklidir.

2.13.3 Öngörülen bir sisteme duyulması gereken güvenin derecesi, bilgi varlıklarının değeri ve bu varlıklara yönelik algılanan risk tarafından belirlenir.

2.14 Risk Ġzleme ve Ölçüleri 2.14.1 EriĢim risk göstergeleri, kontrol risk öz değerlendirmesi gibi yöntemlerle tanımlanmalıdır. Bazı örnekler aĢağıda yer

almaktadır:

• DıĢarıdan saldırı giriĢimlerinin sayısı (BaĢarılı ya da BaĢarısız)

• Ġçeriden yetkisiz giriĢimlerin sayısı

• Yetkisiz eriĢimlerin yol açtığı güvenlik vakaların sayısı

• Uygunluk taĢımayan yetkilendirme gözden geçirmelerinin sayısı

• Onaylanan yetersiz eriĢim istemlerinin sayısı 2.15 EriĢime Özgü Tehditler 2.15.1 Kurumlar, ürün/hizmet/uygulamalarına bağlı olarak toplumsal mühendislik, oltalamaya, kimlik hırsızlığına, hizmet kesintisi

yaratma saldırılarına, web yanıltmasına ve siteler arası yazılık kod çalıĢtırmaya ne kadar açık olduğunun analizini yapmalıdır. Maruz kalınabilecek muhtemel tehditler temelinde, web uygulamaları ve altyapısı (WEB standartları politikası, etik korsanlık gibi) için özel önlemleri göz önünde bulundurmalıdır.

2.15.2 Kurum, yetkisiz giriĢ de dahil olmak üzere eriĢim ihlallerine uygun karĢılığı vermeye hazır olmalıdır.

2.16 Önleyici Kontroller 2.16.1 Önleyici kontroller aĢağıda yer almaktadır:

• Sistem eriĢimi, güçlü parolaların kullanımıyla doğrulanmalıdır (Parola uzunluğu ve karmaĢıklığı, değiĢtirme sıklığı, parola paylaĢımı ve benzerine dair kurallar)

• Resmi onayı, iĢ bilgi kaynaklarına eriĢim hakkı verilmeden önce iĢ sahibinin vermesi gereklidir

• EriĢim kontrol politikası, gerekli düzenlemelere (Ģirket ve yerel seviyelerde) ve politikalara göre eriĢim kontrol teknikleri uygulamalarını tüm çalıĢanlara bildirilmeli ve çalıĢanlar tarafından imzalanmalıdır.

• Kaynakların (insan kaynakları), doğru kullanımı için personel anlaĢması imzalanmalıdır

• Eğitim, iletiĢim ve personeli uygunsuzluk önlemleri ve doğru eriĢim hakkında bilinçli kılacak programlar olmalıdır • Sahipler ve yöneticiler tarafından tanımlama ve onaylı süreci, kullanım dıĢı bırakma, silme, değiĢtirme, bildirim, sistem

kaydı ve denetim eriĢim kaydı usulleri var olmalıdır

• Yönetim iĢlevleri üzerinde günlük kontrol de dahil olmak üzere kullanıcı yönetim usulleri olmalıdır

• Satıcılarca verilen tüm kullanıcı kimlikleri iĢ gereği yoksa silinmelidir

• ĠĢ gerekleri açısından zorunluluk içeren tedarikçi tarafından verilen kullanıcı kimlikleri için varsayılan ilk parolanın değiĢtirilmesi zorunlu olmalıdır

• Denetim araçları, güvenlik duvarları ve kimlikler gibi eriĢim kontrol araçları var olmalıdır

• YanlıĢ kullanımdan (e-posta, internet) dolayı personele yaptırım uygulanmasını da içeren kaynak kullanım politikası olmalıdır

• Üçüncü kiĢi eriĢim gereksinimleri (SLA ya da sözleĢmeler)

• Risk değerlendirme varsayımlarına bağlı olarak etiketleme usulleri

• Geçici personelin eriĢim kısıtları (güvenlik iĢlevleri, aktarım yetkileri)

• Mümkün ise, tüm platformlardaki varsayılan kullanıcı/eriĢim ayarlarının sıfırlanması

• Üretim hizmetleri hesaplarına kullanıcılar tarafından girilmesini kısıtlamak

• Bir eriĢim kontrolü olmasa da yetkisiz eriĢim etkilerini azalttığı için kriptolama kullanımı

• Dosya dolapları, fakslar, kasa odaları, belgeler gibi fiziksel kaynaklara eriĢim ve bunların alıkonma ve korunma gereksinimlerini de açıklayacak usullerin tanımlanması

• GÖREV AYRILIĞI UYGULAMALARI – Kritik veriye eriĢimi, iki ya da daha fazla kiĢi arasında karĢılıklı kontrol seviyesini sağlayacak biçimde bölmek

• PIN/TPN/güvenli internet parolası (HPIN), jetonlar, biyometrikler, kullanıcı profilleri, ayrıcalıklar, oturum zaman aĢımı, kablo kilidi, virüs korunma, casus yazılım korunma

2.17 Tespit Kontrolleri 2.17.1 Tespit kontrolleri arasında Ģunlar sayılabilir:

• Uygunsuz durumların kaldırılması, sistem kaydı, satıcı müĢteri, düzenleyiciler ve denetçilerin gözden geçirmesi ve giriĢlerini kapsayan yetkilendirme usullerinin gözden geçirilmesi

199

G38 EriĢim Kontrolleri(Devamı)

• Ayrıcalıklı ya da üstün kullanıcıların faaliyetlerinin kayıt hesaplarının, üst bilgisayar güvenlik yönetimi tarafından yakından izlenmesi ve gözden geçirilmesi

• Rol ve sorumluluklarla tırmandırma usullerini de içeren güvenlik vaka usulleri, yetersiz eriĢim/kaynakların kötüye kullanımı, Ģüpheli etkinlikler ve korsanları yönetecek biçimde var olmalıdır

• Yetkilendirmelerin denetim/kalite güvence gözden geçirmesi, yüksek ayrıcalıklı kullanıcılar, varsayılan kullanıcılar, özel gruplar/roller, güvenlik duvarı/IDS konfigürasyonu, uyarımlar ve kayıtlar kullanılmalıdır.

• Öz değerlendirme yöntemleri kullanılarak bütünleyici iç denetim gözden geçirmeleri yapılmalıdır. Örneğin, iĢ süreciyle bütünleĢik bir kontrol kümesi oluĢturulur ve bunlar riske göre belirlenen sıklıklarda her alanda yürütülür.

• Yıllık giriĢ test değerlendirmesi, uygun olan yerlerde iĢ süreci, kaynaklar, insanlar, ağlar içerilecek biçimde yapılmalıdır.

• OnaylanmamıĢ faaliyetleri içeren sistem kayıtları kaydedilmeli ve gözden geçirilmelidir.

2.18 Dengeleme Kontrolleri 2.18.1 Tespit etmeye ve önlemeye yönelik kontrollerin yetersiz kaldığı yerlerde dengeleyici kontroller göz önünde bulundurulmalıdır. 2.18.2 Bütün bu göstergeler için, güvenlik yönetiminin sorunların nedenini analizine ve bu soruna dair yönetimin azaltıcı/çözücü

hareket planını tanımlamasına izin veren bir değer tetiği tanımlanmalıdır (eğitimi güçlendirmek ve güvenlik araçları almak gibi).

2.19 EriĢim Yönetimi Usulleri 2.19.1 Yerel usullere, platformlara, araçlara ve eriĢim yönetim araçları tasarımına bağlı olarak bu görev kurumdan kuruma değiĢiklik

gösterir, ancak her durumda aĢağıdakileri kapsamalıdır:

• Her iĢlem için (eklemeler, silmeler, yeniden kurmalar ve profil değiĢiklikleri gibi) resmi olarak belgelenmiĢ eriĢim istemlerinde yeterli gerekçe ve sahibin onay mutlaka gereklidir..

• Yönetim iĢlemleri manuel yapıldığında (form ya da e-posta ile), istemi alan kullanıcı yönetici istemdeki onayların gerçekliğini kontrol etmelidir. Bazı durumlarda, bu süreç otomatikleĢtirilerek her kaynak/alanın sahibi/denetçisini içerir ve otomatik iĢ akıĢıyla onaylar sağlanır.

• Her kullanıcı yönetim operasyonun süreci için zaman çerçevesi tanımlanmalı ve iĢ açısından anlaĢmaya varılmalıdır (örneğin SLA, iĢ bildirimi gibi). Örneğin, kritik uygulamaları yeniden kuran bir kullanıcı SLA‘ya ya da uygun olarak belirlenmiĢ süre içinde yanıtlanmalıdır.

• Kullanıcılara ilaveler ve yeniden kurulumlar için gereken parolaların nasıl teslim edileceği açıkça tanımlanmalıdır. Bazı durumlarda bu iĢlem kendiliğinden uygulama tarafından yapılır ve yönetici bile kullanıcı parolasını bilmez. Ayrıca, parolalar oluĢturulduğunda (örneğin eklemeler ve kullanıcı tarafından yapılan yeniden kurulumlar sırasında) bunların sadece kullanıcı tarafından bilinmesi ve kriptolu saklanması istenilen bir durumdur, bunlar kısıtlı bilgi olarak ele alınmalıdır.

• ÇalıĢanlara ve müĢterilere PIN/TPIN teslimlerinde öğenin (kartlar, jetonlar) teslimi için kullanılandan farklı bir teslim kanalı kullanılmalı ve bunlar kendilerini etkinleĢtirecek kullanıcıya ulaĢana kadar etkin olmayan bir durumda olmalıdır.

• Belli bir süre içinde sahibine ulaĢtırılamayan parola/PIN/TPIN yok edilmesini onaylayacak bir kontrol mutlaka var olmalıdır.

2.20 Bilgi Güvenlik Yönetimi Kontrolü 2.20.1 Etkinlikler aĢağıdakileri kapsar:

• Bütün ISA faaliyetleri, sistem denetim kayıtlarına iĢlenmelidir.

• Bütün kullanıcı yönetim iĢleri,, diğer etkinliklerden (sistem yönetimi, iĢ aktarımları ve geliĢtirme faaliyetleri gibi) ayrılmalıdır; aksi takdirde görev ayrılığı uygunsuzlukları çıkar çatıĢmasına yol açacaktır.

• Bağımsız bir taraf bütün ISA faaliyetlerini 24 saat kontrol etmeli ya da sadece gerekli faaliyetlerin iĢleminin yapıldığını onaylayan bir ikili kontrol iĢlevinin uygulanması sağlanmalıdır.

• Bütün ayrıcalıklı kullanıcılar (idareciler, DBA‘lar) izlenmeli ve gerekçelendirme, belgeleme ve onay için daha sıkı kontrol iĢlemi olmalıdır.

2.21 Kullanıcı Faaliyetlerinin Kontrolü 2.21.1 Kullanıcı faaliyetlerinin kontrolü Ģunları içerir:

• BaĢarısız giriĢ faaliyetleri tanımlanmalı ve soruĢturulmalıdır.

• EngellenmiĢ ya da askıya alınmıĢ kullanıcı kimliklerinin (üç ya da daha fazla baĢarısız Kurumsal), gerçekten o kullanıcı tarafından kullanılmakta olup olmadığı soruĢturulmalı ve yetkisiz bir kiĢinin parolayı bulmaya çalıĢmadığından emin olunmalıdır.

• Etkin olmayan kullanıcılar izlenmeli ve süreye bakılarak gerekli düzeltici hareket uygulanmalıdır. Örneğin 60 gün etkinleĢmeyen kullanıcıların engellenmesi ve 90 gün etkin olmayan kullanıcıların silinmesi.

• Varsayılan kullanıcı (konuk, idareciler, sahip ya da kök gibi) ya da taĢeronların faaliyetleri, günlük olarak izlenmelidir. Bu görev için güvenlik araçlarının kullanımı önerilmektedir.

• Veri eriĢimi gün, hafta, ay ya da yılın belli bir kısmında olanaklı olmalıdır.

200

G38 EriĢim Kontrolleri (Devamı )

2.22 EriĢim Ġzlemesi Varsayımları 2.22.1 Kullanıcı faaliyetlerinin kontrolü Ģunları içerir:

• Kritik hesaplara, kayıt dosyalarına, veri dosyalarına ve veritabanına eriĢimler kesinlikle izlenmelidir.

• Ayrıcalıklı kullanıcıların faaliyetlerini ve baĢarısız eriĢim faaliyetlerini, izlemek için kayıtlar düzenli olarak gözden geçirilmelidir.

• Kötüye kullanılması durumunda yasalar, gizlilik ve etik açısından sorunlara yol açabilme olasılığı olan e-postalar izlenmelidir.

• Ayrıcalıklı sistem giriĢ hesapları, izlenmeli ve gerekçelendirilmelidir. Uygun olduğunda, bu tür kullanıcılar kendi giriĢ kimliklerini kullanmalı ve ayrıcalıklı yetki ile (Sistem Ġdareci Hesabı) giriĢ yapmalıdırlar çünkü genel kimliklerin paylaĢılması riski vardır.

• Tedarikçilerin sağladığı güvenlik ürünleri, ağ ve sunucu yetkisiz giriĢ tespiti gibi ve ilgili kayıtlar günlük olarak gözden geçirilmeli ve uyarılar buna göre yönetilmelidir.

3. DENETĠM SÜRECĠ 3.1 Planlama 3.1.1 Bir denetim programı, kurumun risk değerlendirmesi ve risk yönetimi stratejisi temelinde, denetim amacı, kapsamı ve

zamanlaması da içerilecek biçimde geliĢtirilmelidir. Denetim programında rapor düzenlemesi açıkça yer almalıdır.. Kurumun özellikleri ve büyüklüğü ve paydaĢlar göz önünde bulundurulmalıdır. BS Denetçisi, kurumun misyonu ve iĢ amaçları, teknik altyapının türü ve iĢ açısında kritik bilginin genel bir anlayıĢını edinmelidir.

3.1.2 Bilgi yönetimi, sahipler ve denetçileri içeren anahtar personelin rol ve sorumluluklarıyla birlikte kurumsal yapının anlayıĢı edinilmelidir.

3.1.3 Denetim planlama aĢamasının temel amacı, eriĢimin yanlıĢ tanımlanması, onaylanması, atanması, kullanılması ve kontrol edilmesi durumlarında kurumun karĢılaĢacağı risk ve tehditlerin anlaĢılmasıdır.

3.1.4 Yüksek riskli alanlara ağırlık vererek gözden geçirmenin kapsamını tanımlamak için geçerli risk değerlendirme yöntemleri kullanılmalıdır.

3.1.5 Uygulanabilir olması durumunda, test sonuçlarının sayısallaĢtırılması için denetim planlamasında uygun örneklem teknikleri dikkate alınmalıdır.

3.1.6 Daha önce yapılmıĢ denetim raporları gözden geçirilmeli ve yönetim hareket planına göre her sorunun çözülme seviyesi değerlendirilmelidir.

DENETĠM ĠġĠNĠN YÜRÜTÜLMESĠ 3.2 Denetim Görevi 3.2.1 BS Denetçisinin gözden geçirmelerde aĢağıdaki konuları dikkate almalıdır:

• Uygulanabilirse daha önce belirtilmiĢ önleyici ve tespit edici kontrollere bağlılık

• Güvenlikten sorumlu tüm personelin örgüt yapısı ve iĢ tanımları

• Güncel iĢ yükümlülüklerine oranlı biçimde bilgi kaynaklarına eriĢimle ilgili rollerin belirlenmesi

• Bilgi teknolojisi grubuyla ilgili olanlar da dahil olmak üzere çalıĢan hesaplarına eriĢim yetkisi verilenlerin var olan iĢ gereksinimlerinin doğrulanması amacıyla düzenli olarak geçerlileĢtirilmesi

• ÇalıĢma durumu sona erdirilmiĢ personele verilmiĢ giriĢ hesaplarının olanaklı olan en kısa sürede silinmesinin belirlenmesi

• Gösterge uygunluğunu, güncelliğini, doğruluğunu ve tamlığını doğrulamak için politika, kıstas ve iĢlemlerin uygulanması

• Onaylama usulü, sorumlulukların tanımlanması ve bunların güvenlikle ilgili iĢlevler için kabulü (Örneğin bilgi sahipleri, iĢ süreci sahipleri, uygulama sahipleri gibi)

• Varlıkların envanterlerinin sınıflandırılması ve risk değerlendirmelerin

• Özellikle yüksek ayrıcalıklı kullanıcılar için ISA sistem kayıtları ve günlük kontroller

• Güvenlik vakalarının çözümü, artırılması, bildirimi ve tespiti ve bunların gözden geçirmeye tabi oldukları süreç içersinde ölçümleri. Personelle, güvenlik vaka süreçleri farkındalıklarını değerlendirmek amacıyla rastlantısal görüĢmeler yapılması.

• Farkındalık ve eğitim programları ve ilgili ölçümler

• ISA iĢletim usulleri

• Eğer varsa, süreç boyunca güvenlik vaka raporlaması, artırımı ve çözümü göstergeleri, çıkarılan dersler ve uygulanan hareket planı

• Yönetici faaliyetlerin gerekçelendirilmesi ve onaylanması ve iĢlevsel kullanıcı gerekçesi

• Risk ve zayıflık değerlendirme raporları

• Genelde çalıĢma iliĢkisi baĢladığında insan kaynakları sürecinin bir parçası olarak imzalanan iĢ akitleri ve maddeleri

• Geçici personelle imzalanan sözleĢmeler

• Platform konfigürasyon raporları (sunucular, masa üstü bilgisayarlar, Hostlar gibi)

• Gözden geçirme süresi içindeki yetkilendirme gözden geçirme süreçlerinin kanıtları

• Güvenlik duvarı/IDS/IPS konfigürasyon raporları

• Tek etkin nokta için güvenlik duvarı/IDS/IPS kayıtları

• Özel standartlar/rehberler (güvenlik duvarı, web uygulamaları gibi)

• PaylaĢılan/üçüncü kiĢi hizmet sağlayıcıları içeren hizmet seviye sözleĢmeleri/anlaĢmaları

201

G38 EriĢim Kontrolleri (Devamı )

5 RAPORLAMA

5.1 Rapor OluĢturma ve Ġzleme 5.1.1 Taslak denetim raporu oluĢturulmalı ve ilgili personelle görüĢülmelidir. Sadece, açık kanıtlarla desteklenen konular içerilir. 5.1.2 Rapor, ISACA Rehberlerine göre bitirilmelidir ve sorunlar için geliĢtirme/çözme önerileri ve izleme seçenekleri içerilerek

yönetime sunulmalıdır. 5.1.3 Üst yönetim tarafından verilen izleme faaliyetleri, hareket planları, sorumluluklar, hedef tarihler, kaynaklar ve öncelikler

konusunda anlaĢma sağlanmıĢ olmalıdır.


6.1 Bu rehber, 1 ġubat 2008 tarihinde baĢlayacak bütün denetimler için geçerlidir.

202

G39 BT Örgütlenmesi

1. ARKA PLAN

1.4 Standartlarla Bağlantı 1.1.1 S10 YönetiĢim Standardı: BS Denetçisi, BS iĢlevlerinin kurumun misyonu, vizyonu, değerleri, hedef ve stratejileriyle

uyumlu olup olmadığını gözden geçirmeli ve değerlendirmelidir. BS Denetçisi, BS biriminin iĢ (etkililik ve etkinlik) tarafından beklenen hizmeti ve baĢarısının değerlendirilmesi hakkında açık bir bildirime sahip olup olmadığını gözden geçirmelidir.‖ Ģeklinde ifade eder.

1.2 COBIT Bağlantısı 1.2.1 PO1 Stratejik BT planı tanımı, ‗BT ve iĢ yönetimini, iĢ gereksinimlerinin hizmet önerilerine ve bu hizmetlerin Ģeffaf ve

etkili bir yolla geliĢtirme stratejisine çevrilmesi için bir araya getirmeye odaklanarak BT sürdürümü ya da iĢ stratejisini ve yönetiĢim gereksinimlerini, fayda, maliyetler ve riskler hakkında Ģeffaflığı sağlamak için iĢ gereksinimlerini karĢılayan stratejik BT planını tanımlayan BT süreçleri üzerinde kontrol sağlamaktır‘. Ģeklinde ifade eder.

1.2.2 PO4 BT işlemlerinin tanımlanması kurum ve iliĢkiler), ‗ġeffaf, esnek ve yanıtlayıcı BT kurumsal yapısı kurmaya ve BT süreçleri, iĢ ve karar alma süreçlerine sahipleri, sorumlulukları ve rolleri bütünleyerek tanımlamaya ve uygulamaya odaklanarak BT için iĢ gereksinimlerini, yönetiĢim gereksinimleriyle uyumlu biçimde temas noktası unsurlarını ve tanımlarını sağlayarak iĢ stratejisi karĢılıklarını çeviklikle sağlayarak iĢ gereksinimlerini karĢılayan BT iĢlemleri, kurum ve iliĢkileri açıklayan BT iĢlemleri üzerindeki kontrol‘ Ģeklinde ifade eder.

1.2.3 PO5 BT yatırımları yönetimi, ‗Etkin ve etkili BT yatırımları ve portfolyo kararlarına ve BT stratejisi ve yatırım kararlarıyla uyumlu bir BT bütçesi yapmaya ve izlemeye odaklanarak, son kullanıcıların beklentilerini karĢılayan standart ve bütünleĢik hizmetlerle iĢ kârlılığına katkı sağlayan sürekli ve gözle görülebilir olarak geliĢen BT maliyet etkinliğiyle iĢ gereksinimlerini karĢılayan BT yatırımları yönetimini içeren BT süreçleri üzerindeki kontrol‘ Ģeklinde ifade eder.

1.2.4 ME4 BT yönetişiminin sağlanması, ‗BT stratejisi, performansı ve riski üstlenen kurul raporlarının hazırlanması ve kurul kararlarına uygun biçimde yönetiĢim gereksinimlerinin karĢılanmasına odaklanarak BT yönetiĢiminin genel yönetiĢim hedefleriyle bütünlüğünü ve yasa ve düzenlemelere uygunluğunu sağlamaya yönelik BT iĢ gereksinimlerini karĢılayan BT yönetiĢiminin sağlanması BT süreci üzerindeki kontrol‘ Ģeklinde ifade eder.

1.2.5 Belirli denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, belirli COBIT BS süreçleri seçimi ve COBIT kontrol hedeflerinin göz önünde bulundurulması ve iliĢkili yönetim uygulamaları temeline dayanır. BS Denetçilerinin sorumluluk, yetki ve hesap verebilirlik gereksinimlerini karĢılamak için seçilen ve uyarlanan en iliĢkili COBIT süreçleri aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan kontrol hedefleri ve süreçler belirlenmiĢ kapsama ve görevlendirme Ģartlarına bağlı olarak değiĢebilir.

1.2.7 AĢağıdaki özel COBIT hedefleri ya da süreçleri, bu Rehberin iĢaret ettiği alanların gözden geçirilmesinde ikincil

olarak ele alınmalıdır:

• PO2 Bilgi Mimarisinin tanımlanması

• PO3 Teknolojik yönelimin belirlenmesi

• PO6 Yönetim amaç ve yönelimleri bildirimi

• PO7 BT insan kaynakları yönetimi

• PO8 Kalite yönetimi

• PO9 BT risklerinin değerlendirilmesi ve yönetimi

• PO10 Proje yönetimi

• DS1 Hizmet seviyelerinin tanımlanması ve yönetilmesi

• DS2 Üçüncü taraf hizmetlerinin yönetimi

• DS3 Performans ve kapasite yönetimi

• DS6 Maliyetlerin yönetilmesi ve tahsisi

• DS7 Kullanıcıların eğitimi ve yetiĢtirilmesi

• DS8 Hizmet masası ve vaka yönetimi

• DS9 Konfigürasyon yönetimi

• DS10 Sorunların yönetimi

• DS12 Fiziksel çevrenin yönetimi

• DS13 Operasyonların yönetimi

• AI2 Uygulama yazılımı edinimi ve bakımı

• AI3 Teknoloji altyapısının edinimi ve bakımı

• AI6 DeğiĢiklik yönetimi

• ME1 BT performansı izleme ve değerlendirmesi

1.2.8 BT örgütlenmesiyle en iliĢkili bilgi kıstasları:

• Birincil: Etkililik ve etkinlik

• Ġkincil: Gizlilik, eriĢebilirlik, bütünlük, uyum ve güvenirlik

203


1.3 Rehber Amacı 1.3.1 Yapı, kurumsal etkinliğin önemli bir sağlayıcısı ya da engelleyici olabilir, ancak tek baĢına kurumsal baĢarıyı etkilemez. Tek

bir doğru yapı yoktur çünkü iki kurum kesinlikle birbirisinin aynısı değildir. Bütün BT örgütleri, benzer amaçlara yönelik hizmet verirler ve benzer sorumluluklara sahiptirler ancak, kendi görünüĢ özellikleri, yönetim sistemleri, süreçleri, sınırları, güçlü ve zayıf yanları, her bir BT örgütünü eĢsiz kılar. Ancak yine de, en uygun BT örgütsel yapısını doğrulayan belirli özellikler vardır.

1.3.2 Bu rehber, BT standardı S10 YönetiĢimi uygulamasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartların uygulanmasının nasıl baĢarılacağını göz önünde bulundurmalı ve uygulamalarda mesleki yargısını kullanmalı ve standartlardan herhangi bir sapma durumunu gerekçelendirmeye hazır olmalıdır.

1.4 Rehberi Uygulaması 1.4.1 BS Denetçisi, bu rehber uygulanırken ilgili diğer ISACA standartları ve Rehberlerini göz önünde bulundurmalıdır.

2. BT ÖRGÜTLENMESĠ

2.1 Örgütlenme Türleri 2.1.1 Günümüz kurumlarının sınırları, çoğu durumda daha esnek, daha dinamik ve genel örneklere bakılacak olursa daha geniĢtir.

Kurumlar ve endüstriler, artık tüm süreçlere odaklanmaya baĢlayarak ve kurumun fiziksel duvarlarının ötesine geçmek zorunluluğunu fark etmiĢlerdir. ĠĢ ortaklarına, tedarikçilere ve müĢterilere ulaĢmak zorundadırlar. Doğru, uygun ve zamanında bilgi, yeni ekonomiler ya da genel olarak kullanılan adlandırmayla geniĢletilmiĢ kuruluĢlar için kaçınılmaz bir unsur olmuĢtur. GeniĢletilmiĢ kuruluĢların paydaĢları arasında bilgi/bilgi paylaĢım faaliyeti, iĢleyen bir kurumsal yönetiĢimi sağlamayı baĢarmanın anahtar etmenlerinden birisidir. Genel rekabet stratejisi, etkili bir bilgi yönetim stratejisi ve liderlik yapmayı gerektirmektedir. Bir kurum, uygun bilgi örgütlenmesiyle karar almada üst yönetimin gereksinim duyduğu bilgiyi sağlamalı diğer yandan da bu bilginin uygun seviyede kontrolünü sürdürmelidir.

2.2 BT Uyumu 2.2.1 ĠĢ ve iĢ unsurlarıyla BT uyuĢmasını en fazlalaĢtıracak tek boyutlu uygun yaklaĢım yoktur. ĠĢin doğası, büyüklüğü, pazarı, BT

bağımlılığı, liderlik tarzı ve kültürü belirleyici etmenlerdir. Kurum bünyesindeki BT yeterliği, dıĢ kaynaklara bağımlılık, dıĢ kaynağın doğası ve genel yönetiĢim yapısı gibi unsur ve yapı uyuĢmaları da olması gerekenin belirlenmesinde yardımcı etmenlerdir.

2.2.2 Son yıllarda, iĢin toplamı açısında BT bir arka oda unsuru olmaktan çıkıp doğrudan iĢin yapılabilirliğini belirleyen temel bir kolaylaĢtırıcı ya da sağlayıcı olmuĢtur. Doğru Ģekilde BT uyuĢması olmadan bir kuruluĢun uzun vadede paydaĢlarına yarattığı değerle varlığını baĢarılı bir biçimde idame ettirmesi olanaksız gibi görünmektedir. KuruluĢun genel stratejisi ile BT uyuĢması Ģans eseri olmaz. Bunun için kuruluĢun değiĢik seviyelerde ve etkinliklerde tam etkin olması ve yönetim odaklanması gereklidir. Bu sürekli çabada, kurum içi ya da dıĢ kaynaklı olması fark etmeksizin en üst seviyede beceri ve uzmanlık gerekir. Risk almak ama bunu uygun risk yönetimiyle yapmak için güçlü ve gösterilebilir yönetiĢim gereği vardır.

2.2.3 BT uyumunu baĢaracak uygun yönetiĢim için kuruluĢun en üst seviyesinin bağlılık ve liderliği gereklidir. Bunun için yönetim kurulu ve yönetim kurulu baĢkanının ileriye dönük katılımları gereklidir. Kurul aĢağıdaki durumlarda sorumlulukları almalıdır:

• BT stratejisinin iĢ stratejisi ile uyumunun sağlanması

• Stratejiye karĢı BT sunumunun sağlanması

• BT stratejisini, kurumu destekleyen sistemler arasında olduğu gibi yatırımları uyumlaĢtırılacak biçimde yönlendirmek, kuruluĢun dönüĢümü ya da büyümesi

2.3 BT Strateji Planı 2.3.1 Bir kurum, kurul seviyesinde BT Strateji Komitesi oluĢturmalıdır. Bu kurul, kurumsal yönetiĢiminin bir parçası olarak BT

yönetiĢimi noktasında bütün kurul adına baĢlıca yatırımları gözden geçirmeyi, stratejik yönelimlerle ilgili önerilerde bulunmayı sağlamalıdır.

2.3.2 BT strateji komitesi, BT‘nin kuruluĢun stratejik amaçlarına nasıl katkıda bulunacağını ve ilgili maliyet ve riskleri, ilgili paydaĢlarla iĢbirliği yaparak tanımladığı BT STRATEJĠK PLANINI yaratmalıdır. Bu plan, BT‘nin BT kullanılarak yapılan yatırım programlarına ve operasyonel hizmet teslimine nasıl destek sağlayacağını içermelidir. Plan amaçların nasıl karĢılanacağı, ölçüleceği ve paydaĢlardan imzaların resmen nasıl alınacağını açıklar. BT stratejik planı yatırım/operasyon bütçesi, fon kaynakları, kaynak stratejisi, edinim stratejisi ve yasal gereksinimleri kapsamalıdır.

2.3.3 Stratejik plan, taktik BT planlarının açıklanmasına izin verecek kadar ayrıntılı olmalıdır. BT stratejik planından, bir BT taktik planı portfolyosu yaratılmalıdır. Bu taktik planlar, gerekli BS faaliyetlerini, kaynak gereksinimlerini, kaynakların nasıl kullanılacağını, izlenen ve yönetilen faydaların nasıl sağlanacağını betimlemelidir. Taktik planlar proje planlarının açıklanmasına izin verecek kadar ayrıntılandırmalıdır. Taktik BS planları ve faaliyetleri seti, proje ve hizmet portfolyosu analizleriyle etkin olarak yönetilmelidir. Bu normalde, uygunluk ihtiyaçlarını ve düzenli olarak kaynakları kapsar, bunları stratejik ve taktik amaçların ve beklenen faydanın baĢarılmasıyla kıyaslayarak sapmalara karĢın uygun adımların atılmasını sağlar.

2.4 BT Yönetim Komitesi 2.4.1 Yürütme, iĢletme ve BT yönetiminden oluĢan bir BT yönetim komitesi (ya da denk organ) ve Ģu amaçlar için kurulmalıdır:

• Kurumsal iĢ stratejisi ve projelerin önceliklerini izleme durumunu ve kaynak çatıĢmasını BT yatırım programlarının önceliklendirilmesiyle uyumunu sağlamak

• Hizmet seviyeleri ve hizmet geliĢtirmelerinin izlemesi

204

G39 BT Örgütlenmesi (Devamı)

2.4.2 Stratejilerinin uygulanmasındaki gözetim rolüne sahip olan BT idare kurulu üyeleri arasında en azından bir tane (BaĢkanlık

edecek biçimde) yönetim kurulu üyesi olmalı, bu üye operasyon ve destek bölümleri baĢı olan baĢ bilgi memuru (CIO), baĢ teknik memur (veya benzeri), ve yasal, denetim, finans gibi anahtar katkı unsurları tarafından desteklenmelidir. Bu seviyedeki görüĢmelerin ayrıntıları BT strateji kurulunda beklenenlerden daha ayrıntılı olacak ve strateji kurulu çabalarına daha büyük bir girdi sağlanması beklenecektir, örneğin Ģu konularda öneriler:

• BT harcamalarının yıllık seviyesi

• Kurumsal mimari ile iĢ hedeflerinin uyumu

• Portfolyo yönetimi, BT ile ilgili önemli iĢ yatırımlarının proje planlarının onaylanması dahil

• Proje planlarının izlenmesi, iç ve dıĢ değiĢikliklerin yansımalarının güncel planda içeriliyor olmasının doğrulanması

• BT ile ilgili kaynakların edinimi ve bu kaynakların tasfiyesi

• Açıkça belirlenmiĢ iĢ öncelikleri temelinde BT kaynakları için çatıĢmaların izlenmesi

• ĠĢletim ve destek bölümlerindeki temsili aracılığıyla proje takımına stratejik amaçların bildirimi

• BT gösterge paneli, BT dengeli puanlama kartı ya da diğer anahtar ölçüler için ve bunların sonuçlarının yönetimi için planların biçimlendirilmesi

• BT değerinin paydaĢlara bildirimi. Bu Ģirket kapalı ağı aracılığıyla ya da çalıĢan bültenleri aracılığıyla, ancak daha da önemlisi Ģirket web sitesi ya da paydaĢ bildirimiyle paydaĢlara ve dıĢ çözümleyicilere ulaĢtırılabilir.

2.5 BT ĠĢlevlerinin ve Destek ĠĢlevlerinin Kurumsal YerleĢimi 2.5.1 BT iĢlevi, BT‘nin kuruluĢ içindeki önemine dayanan iĢ modelini içeren genel kurum yapısı içine yerleĢmelidir. Özelde ise, iĢ

stratejisi açısından kritikliği ve Et operasyonel bağımlılık seviyesi dikkate alınmalıdır. CIO raporlama hattı, kuruluĢ içindeki olanaklı olan BT faydası ve önemi ile orantılı olmalıdır.

2.6 BT Örgütsel Yapısı 2.6.1 Ġç ve dıĢ BT örgütsel yapısı, iĢ gereksinimlerini yansıtacak biçimde kurulmalıdır. Ayrıca, iĢ amaçları ve değiĢen Ģartların

gereği olarak kaynak stratejisini ve çalıĢan gereksinimlerini ayarlamak için BT örgütsel yapısını gözden geçirmeyi sağlayacak süreçler oluĢturulmalıdır.

2.6.2 Bir BT örgütünün tanımlamasında çalıĢan, beceri, iĢlevler, hesap verebilirlik, roller, sorumluluklar ve denetim dikkate alınmalıdır. Kurum, üst seviye yönetim ve iĢ yöneticilerinin, Ģeffaflık ve kontrol doğrulamalarının içine yerleĢtirildiği BT iĢlemlerine sahip olmalıdır.

2.6.3 BT strateji komitesi, kurul BT gözetimini doğrulamalı ve iĢ ve BT yönetiminin için yer aldığı bir ya daha fazla idari kurul iĢ açısından gerekli BT kaynaklarının belirlenen önceliğini onaylamalıdır. Süreçler, idare politikaları ve süreçlerin tam iĢlevselliği sağlayacak biçimde örgütlenmesi ve kontrol, kalite güvence, risk yönetimi, güvenlik, veri ve sistem sahipliği ve görev ayrılığına özel dikkat vermesi gerekir. ĠĢ gereksinimlerinin zamanında desteklenmesini doğrulamak için BT ilgili karar alma süreçlerine katılmalıdır.

2.6.4 BT süreç çerçevesi, BT stratejik planının yürütülmesi için oluĢturulmalıdır. Bu çerçeve, BT süreç yapısını ve iliĢkilerini (Süreç boĢlukları ve taĢmalarının yönetilmesi gibi), sahipliği, olgunluğu, performans ölçümünü, geliĢmeyi, uygunluğu, kalite hedeflerini ve bunları baĢaracak planları içermelidir. Bu ayrıca, BT‘ye has Kurumsal Portfolyo yönetimi, iĢ sürecini ve iĢ değiĢiklik süreci gibi süreçlerin birbiriyle bütünleĢmesini sağlamalıdır. BT süreç çerçevesi, kalite yönetim sistemi ve iç kontrol çerçevesi ile bütünleĢik olmalıdır.

2.7 Roller ve Sorumluluklar 2.7.1 BS ile ilgili olarak kurum içinde çalıĢan tüm personelin rol ve sorumlulukları tanımlanmalı ve verilen rol ve sorumlulukları

yerine getirebilmeleri için yeterli yetki verilmelidir. Rol tanımları yaratılmalı ve düzenli olarak güncellenmelidir. Bu tanımlamalar, yetkiyi ve sorumluluğu, ilgili konumun gerektirdiği deneyim ve becerilerle birlikte betimlemeli ve performans değerlendirmesinde kullanılmaya uygun olmalıdır. Rol tanımları, iç kontrole dair sorumluluk da içerilmelidir.

2.8 BT Kalite Güvence Sorumlulukları 2.8.1 Kalite güvence iĢlevi, performans sorumluluğu verilmeli ve kalite güvence grubuna uygun kalite güvence sistemleri,

kontrolleri ve iletiĢim uzmanlığı sağlanmalıdır. Kurumsal yerleĢim ve sorumluluklar ve kalite güvence grubunun boyutu kurumsal gereksinimleri karĢılamaya uygun olmalıdır.

205


2.9 DıĢ Kaynaklı Süreç 2.9.1 Çoğu kurumda, BT harcamalarının önemli kısmı operasyonlara ve kullanıcı desteğine ayrılır. Her ne kadar kurumun fiziken

bünyesinde olan BT birimleri bu hizmeti karĢılayabiliyor olsa da tepe yönetimdekiler giderek daha da fark etmektedirler ki yerel ve uzak hizmet sağlayıcılar daha büyük bir değer sunmakta ve müĢteri hizmetlerine daha disiplinli bir yaklaĢım geliĢtirmektedirler.

2.9.2 BT‘nin artan stratejik önemiyle, üst seviye yöneticilerin BT ile ilgili beklentileri de yükselmiĢtir. Bu durum nedeniyle, kurum içi dengeleri koruyan yeni ve yaratıcı dıĢ kaynak kullanımı artmaktadır. Çoğu örnekte, Kurum içi BT yapısı kullanıcı desteği, veri merkezi operasyonları ve uygulama geliştirmeleri gibi günlük hizmetleri verirken, stratejiye ve yeniliklere yol açamaya katkı sunmak için dıĢarıdan danıĢmanlar (uzmanlaĢmıĢ ve esnek) kullanılmaktadır. Bu eğilimler, bazen üst seviye yöneticiler tarafından artan iĢ destek düzenlemeleri dolayısıyla desteklenmektedir. BT sistemlerini değiĢtirmenin zaman almasından dolayı katkı sunması beklenen BT yapısındaki kusurlar da artmaktadır, bu eğilimlerin Ģiddetlenmesiyle sorunların çözülmesi için iç kaynak kullanımı daha da gerekli olabilmektedir. Üst seviye yöneticiler, BT stratejik kullanımına yönelik önerileri dikkate almıĢlardır, bunu BT örgütünden almadılarsa baĢka bir yerden almıĢlardır. Üçüncü taraf tedarikçilerin ve danıĢmanların öneri hizmetlerinin alınmasında, tarafsızlık eksikliği olabilir, bunlar stratejik ve sıradan faaliyetler için kendi ürünlerine dönük yönlendirmeler yapabilirler. BT örgütlenmesi, stratejik öneriler sağlayamazsa sıradan hizmetleri verme fırsatını da kaybedebilir. DıĢ kaynaklı süreç kullanımı, yönetim kararı sonucu olarak da kullanılabilir; yönetim ana faaliyetlerine odaklanmak ve maliyet etkin dıĢ kaynak kullanmak tercihinde bulunabilir, dıĢ kaynaklı BT süreçleri kurum içi uzmanlık sağlamaktan daha az maliyetli olabilir.

2.10 BT Altyapısı ve Bilgisayar Sistemi ĠĢletimleri 2.10.1 Tam ve doğru veri iĢleme için etkili veri iĢleme yönetimi ve donanım bakımı gerekmektedir. Bu süreçte, önleyici donanım

bakımı, altyapının izlenmesi, hassas çıktının korunması, planlanmıĢ sürecin etkili yönetimi için iĢletim politika ve usullerinin tanımlanması kapsar. Etkili sistem iĢletim yönetimi, veri bütünlüğünün sürdürülmesine, iĢ gecikmelerinin ve BT iĢletim maliyetlerinin azalmasına yardım eder.

2.10.2 Bilgisayar donanımının ve personelin korunması, iyi tasarlanmıĢ ve iyi yönetilen fiziki tesisler gerekmektedir. Fiziksel çevrenin yönetilmesi süreci fiziksel alan gereksinimlerinin tanımlanmasını, uygun tesislerin seçilmesini ve çevresel etmenleri izlemek ve fiziksel eriĢimi yönetmek için etkili süreçlerin tasarlanmasını içerir. Fiziksel çevrenin etkili yönetimi, personel ve bilgisayar donanımının kaynaklanan zararları azaltması dolayısıyla iĢ kesintisi azaltır. Ayrıca iyi bir önleyici bakım planlaması, donanımın normal çalıĢırlığının sürmesine yardımcı olur.

2.10.3 Donanım ve yazılım yapılandırma bütünlüğünün doğrulanması, doğru ve tam konfigürasyon havuzu kurulmasını ve sürdürülmesini gerektirir. Bu süreç, ilk konfigürasyon bilgisinin toplanmasını, dayanağın kurulmasını, yapılandırma bilgisinin doğrulanması ve denetlenmesini, yapılandırma muhafazasının gerektikçe güncellenmesini içerir. Etkili konfigürasyon yönetimi, daha hızlı sistem eriĢilebilirliğini kolaylaĢtırır, üretim sorunlarını en aza indirir ve sorunları daha hızlı çözer.

2.10.4 BT kullanıcı istek ve sorunlarının zamanında ve etkili yanıtlanması iyi tasarlanmıĢ ve iyi yönetilen hizmet masasını ve vaka yönetim süreçlerini gerektirir. Bu süreç, hizmet destek masasında kayıtlılığın olmasını, vaka yükseltmesini, eğilim ve kök gerekçe analizini ve çözümü içerir. ĠĢ faydaları ise kullanıcı isteklerinin çabuk çözümlenmesiyle verimliliğin artmasıdır. Ayrıca, sebep sonuç analizi (Zayıf kullanıcı eğitimi gibi) etkili raporlama yardımıyla tanımlayabilir.

2.10.5 BT hizmetlerinin sürekliliğinin sağlanması gereksinimi için, BT iĢ sürekliliği planının geliĢtirilmesi, bakımı ve test, kurum dıĢı yedekleme deposu ve düzenli olarak iĢ süreklilik plan talimi gerekmektedir. Etkili hizmet süreklilik iĢlemleri, anahtar iĢ birimleri ve süreçlerinde önemli BT hizmet kesintisi olasılığını ve bu kesintinin muhtemel etkilerini azaltır.

2.10.6 BS kaynakları kapasite ve performans yönetimi gereksinmesini karĢılamak için BS kaynaklarının güncel performans ve kapasite durumunun düzenli gözden geçirmesi bir süreç gereklidir. Bu süreçte, iĢ yükü, depo ve gereklilik olasılığı çerçevesinde gelecek öngörüsü içerilir. Bu süreç, iĢ gereklerini destekleyen bilgi kaynaklarının sürekli olarak kullanılabilir olmasının güvencesini sağlar.

2.10.7 BS yönetimi ve iĢin müĢterileri arasında verilen hizmetler hakkında etkili iletiĢim, BS hizmetleri ve hizmet seviyelerinin yazılı anlaĢma ve tanımlara dayanması ile sağlanır. Bu süreç, ayrıca hizmet seviyelerinin baĢarılmasının izlenmesi ve paydaĢlara zamanında raporlanmasını içerir. Bu süreç, BS hizmetlerinin ve ilgili iĢ gereksinimlerinin birbirleriyle uyumlaĢmasını sağlar.

2.11 Faaliyetler, Usuller ve Görevler 2.11.1 Et faaliyetleri standart usulleri tanımlanmalı, uygulanmalı ve sürdürülmelidir ve iĢletim personeli kendine verilen görevleri

tanıyor olmalıdır. ĠĢletim usulleri vardiya teslimine (faaliyetlerin, durum güncellemelerinin, iĢletim sorunlarının, yükseltme usullerinin, geçerli sorumlulukların resmen devri gibi) faaliyet sürekliliğini doğrulamayı kapsamalıdır.. Ayrıca, BT altyapısını ve ilgili olayları izleme usulleri tanımlanmalıdır.

2.12 Uygulama GeliĢtirme 2.12.1 Uygulama sistemleri, farklı Ģekillerde edinilebilir/geliĢtirilebilir, örneğin:

• Ġç kaynakların kullanılmasıyla özel geliĢtirme

• Kurum içinde ya da dıĢında konumlanmıĢ bir dıĢ kaynaktan kısmen ya da tamamen yararlanılarak geliĢtirme

• Uyarlama olmaksızın tedarikçi yazılım paketinin aynen uygulanması

• Özel gereksinimleri karĢılamak için tedarikçi yazılım paketinin uyarlanması

Çoğu zamanlarda, büyük ve karmaĢık uygulamalarda (kuruluĢ kaynak planlama kaynaklarını da kullanan) yukarıdakilerin bir

birleĢimi gerekebilir.

206


2.13 BT Biriminin DıĢ Kaynak SözleĢmesinin SözleĢmeye Uygunluğu 2.13.1 BT yardım masasından BT iĢletimlerine kadar çok sayıdaki BT hizmetleri üçüncü taraftan dıĢ kaynaklı olarak sağlanabilir.

Üçüncü taraftan alınan hizmetin iĢ gereksinimlerini karĢılaması için etkili bir üçüncü taraf yönetimi süreci gerekir. Bu süreç, baĢarıyla gerçekleĢtirmek için üçüncü taraf anlaĢmalarında roller, sorumluluklar ve beklentiler açıkça belirtilmeli ve anlaĢma etkililik ve uyum açılarından gözden geçirilmeli ve izlenmelidir. Üçüncü taraf hizmetlerinin etkili yönetimi iĢlevini yerine getirmeyen tedarikçilerden kaynaklanacak iĢ risklerini azaltır.

2.14 Üçüncü Taraflarla Ġlgili Süreçler 2.14.1 Üçüncü tarafın sağladığı bütün hizmetler, arz edici türü, önem ve kritikliğine göre tanımlanmalı ve sınıflandırılmalıdır. Rolleri,

sorumlulukları, amaçları ve teslim edilecek çıktıları kapsayan resmi bir teknik ve kurumsal iliĢkileri kapsayan belge, bu sağlayıcıların arzın temsilcisinin kaynaklarını da içermelidir. Her tedarikçi için üçüncü taraf iliĢki yönetimi oluĢturulmalıdır. ĠliĢkinin tarafları müĢteri sorunları üstünde ve güven ve Ģeffaflığa dayalı iliĢkinin kalitesinin doğrulanmasında birlikte hareket etmelidir; örneğin hizmet seviye anlaĢmaları (SLA). Üçüncü tarafın arz ettiği yeni bir hizmet gireceğinde, hizmet sağlayıcının iĢ değiĢikliklerini yansıtan hizmetlerini uyarlama ve geniĢletme yeterliği mutlaka göz önünde bulundurulmalıdır.

2.14.2 OluĢturulacak bir süreçle, sunulan hizmetler izlenmeli ve tedarikçinin geçerli iĢ gereksinimlerini karĢıladığı, sözleĢme ve SLA koĢullarına bağlı kalmayı sürdürdüğü ve diğer seçenekler ve pazar koĢulları göz önüne alındığında performansın rekabetçi olduğu doğrulanabilmelidir.

2.15 Risk, Güvenlik ve Uygunluk Sorumluluğu 2.15.1 BT risklerinin sahipliği ve sorumluluğu, uygun üst seviyeden de oluĢturulmalıdır..Bilgi güvenliği, fiziksel güvenlik ve uyum gibi

özel durumları da içeren kritik BT risklerini yönetecek roller tanımlanmalı ve atanmalıdır. Kurum çapındaki sorunların üstesinden gelmek için kuruluĢ içinde risk ve güvenlik yönetimi sorumlulukları oluĢturulmalıdır. Ek güvenlik yönetimi sorumluluklarının, güvenlik sorunlarının üstesinden gelmek için sistem seviyesinde verilmesi gerekebilir. Yönlendirme ya da rehberler, BT riski iĢtahı ve artık BT risklerinin onaylanması konusunda üst yönetimden (danıĢarak) sağlanmalıdır.

2.16 Personel Alımı ve Korunması 2.16.1 Ġstihdam gereksinimleri düzenli olarak ya da iĢ, iĢletim ya da BT ortamında büyük değiĢiklikler olduğu zaman

değerlendirilmeli ve BT birimi için yeterli sayıda BT personelinin istihdam edildiği doğrulanmalıdır. Ġstihdamda, iĢin değiĢik yerlerdeki ve BT personelinin çapraz iĢlevsel eğitimi, iĢ rotasyonu ve dıĢ kaynak fırsatları dikkate alınmalıdır.

2.16.2 Önemli BT personeli, açıklanmalı ve tanımlanmalı ve bunlara aĢırı güven duyma en aza indirilmelidir. Acil durumda gerekli personelle iletiĢim kurma planı hazırlanmalıdır. Ayrıca tanımlana ve uygulanan politika ve usullerle danıĢmanların ve diğer sözleĢmeli personelin faaliyetlerini kontrolü sağlanmalı, BT sürecinin kurumun bilgi varlığını koruduğundan ve sözleĢme hükümlerinin karĢılandığından emin olunmalıdır. Anahtar performans göstergeleri, personelin performansının beklenen seviyede olduğunu doğrulaya sağlamayı içerilmelidir.

3. DENETĠM SÜRECĠ

3.1 Planlama 3.1.1 Denetim amacı, kapsamı ve zamanlaması da içeren bir denetim programı, kurumun risk değerlendirmesi ve risk yönetimi

stratejisi temeline uygun biçimde geliĢtirilmelidir. Denetim programında, rapor düzenlenmesi açıkça yer almalıdır.Kurumun özellikleri ve büyüklüğü ve paydaĢları göz önünde bulundurulmalıdır. BS Denetçisi, kurumun misyonu ve iĢ amaçları, teknik altyapının türü ve iĢ açısında kritik iĢ verileri hakkında genel bir anlayıĢını edinmelidir.

3.1.2 Risk değerlendirme yöntemleri, yüksek riskli alanlara odaklanarak gözden geçirmenin kapsamını tanımlamakta kullanılmalıdır.

3.1.3 Daha önce yapılmıĢ denetim raporları gözden geçirilmeli ve yönetim eylem planına göre her sorunun çözülme seviyesi değerlendirilmelidir.

3.1.4 BS Denetçisi, BT örgütlenmesi hakkında aĢağıdaki bilgiyi edinmelidir:

• Bilgi yöneticileri, sahipleri ve gözetleyicileri içeren anahtar personelin rolleri ve sorumlulukları

• Üst yönetimin idari rol ve sorumlulukları

• Kurumsal hedefler ve uzun ve kısa vadeli planlar

• KuruluĢun stratejik yönelimlerinin belirlenmesi

• BT hedefleri ve uzun ve kısa vadeli planlar

• Durum raporları ve planlama/idare kurulu toplantı tutanakları

• Bilgi mimarisi modeli

• BT örgütü ve iliĢkileriyle ilgili politikalar ve usuller

• Görev tanımları, eğitim ve geliĢtirme kayıtları

• Üçüncü taraf hizmet sağlayıcılarla yapılan sözleĢmeler

• KuruluĢ tarafından belirlenen stratejik amaçlara ulaĢmak için gerekli BT altyapı ve yeterliliklerinin kuruluĢ tarafından geliĢtirilip geliĢtirilmediğinin belirlenmesi

3.1.5 BS Denetçisi, amaç ve hedeflerin alt seviyelere (yukarıdan aĢağıya) iletilmesinde kullanılan iletiĢim kanallarını ve uygunluğu izlemek için kullanılan bilgiyi (aĢağıdan yukarı) da içeren bölüm 4.1.1‘de belirtilen iĢlevleri yerine getirmeyi BT örgütlenmesine imkân sağlayan süreçlerin genel olarak tanımlamalı ve edinmelidir.

207


3.1.6 BS Denetçisi, kurumun BS stratejisi hakkında (belgelenmiĢ olsun olmasın) Ģunları da içeren bilgiyi edinmelidir:

• Kurumun misyon ve amaçlarını gerçekleĢtirmek için uzun ve kısa vadeli planları

• Bu planları destekleyen BT ve sistemler için uzun ve kısa vadeli strateji ve planlar

• BT stratejisinin oluĢturulmasında, plan geliĢtirmede ve bu planların ilerlemesinin izlenmesi yaklaĢımı

• Et strateji ve planları kontrol değiĢikliği yaklaĢımı

• BT faaliyetleri için BT görev bildirimi ve üzerinde anlaĢılmıĢ amaç ve hedefler

• Mevcut BT faaliyetlerinin ve sistemleri değerlendirmesi

3.2 BS Denetiminin Hedefleri 3.2.1 BT örgütünün denetiminin hedefleri,, hedeflenen kitlenin gereksinimlerinden ve istenilen yayılma seviyesinden etkilenebilir.

BS Denetçisi, genel denetim hedeflerini belirlerken aĢağıdaki seçenekleri göz önünde bulundurmalıdır:

• BT örgütü ve/veya onun etkililiği raporlanması

• BT faaliyetlerinin kurum misyon ve hedeflerini destekleyip desteklemediği

• Uygulamalar, teknoloji ve örgütlenmenin stratejik farklı seçeneklerin değerlendirilmesi 3.2.2 BT örgütünün BS Denetimi hedeflerinin ayrıntısı, üst seviye yönetim tarafından uygulanan iç kontrollerin çerçevesine bağlı

olarak değiĢir. Böyle bir çerçevenin oluĢturulmaması durumunda, COBIT çerçevesi ayrıntılı kontrol hedeflerinin oluĢturmak için en azından kullanılmalıdır.

3.3 Denetim Kapsamı 3.3.1 BS Denetçisi, BT faaliyetini planlaması ve örgütlemesi için ilgili süreçleri ve faaliyetlerin izleme süreçleri denetim kapsamında

yer almalıdır. 3.3.2 Denetim kapsamı, COBIT çerçevesinde tanımlanan BT kaynaklarının tamamının korunması ve kullanılmasıyla ilgili

kontrol sistemlerini içermelidir. Bunlar Ģunları içerir:

• Veri

• Uygulama sistemi

• Teknoloji

• Tesisler

• Ġnsanlar

• BT yönetiĢimi

3.4 Görevlendirme 3.4.1 BS Denetçisi, bu gözden geçirmeyi gerçekleĢtirecek personelin uygun kıdem ve yeterlilikte olduğunun makul güvencesi

sağlamalıdır.

4. DENETĠM GÖREVĠNĠN YÜRÜTÜLMESĠ

4.1 BT Örgütlemesinin ve Stratejik Planlama Sürecinin Gözden Geçirilmesi 4.1.1 BS Denetçisi, BT örgütlenmesinde iliĢkilerin gözden geçirmesinde, BT kurumunun doğru personel ve rol karıĢımına, iĢe göre

tanımlanmıĢ ve bildirilmiĢ rol ve sorumluluklarla sahip olup olmadığını dikkate almalıdır. BS Denetçisi, gözden geçirmenin aĢağıdakileri içerip içermediğine bakabilir:

• Politika bildirimi ve üst yönetimden, BT iĢlevi yetki ve bağımsızlığını doğrulayan bildirimler

• BT planlama/yönetim kurulunun üyeliği ve iĢlevlerinin oluĢturulduğu ve sorumluluklar tanımlandığı

• BT plan/yönetim kurulu Ģeması, kurul amaçlarını kurumun amaçlarıyla ve kısa ve uzun vadeli planlarıyla BT amaçlarını ve uzun ve kısa vadeli planları uyumlaĢtırılması.

• CIO raporlama hattı, kuruluĢun iĢiyle ilgili iĢlevinin önemiyle orantılı olur ve kuruluĢ endüstrisinin ve pazarının eğilimlerini izler

• DeğiĢen amaç ve koĢulların gereğini karĢılamak üzere kurumsal yapının iyileĢtirilmesi ve değerlendirilmesi için ihtiyaç duyulan politikalar

• Üst yönetimin gerçekleĢtirilen rol ve sorumlulukları doğrulaması

• Bilgi sistemi, iç kontrol ve güvenlik noktasında bütün kurum personelinin rol ve sorumlulukların çerçevesini çizen politikaların varlığı

• BT örgütlenmesinin kalite güvence iĢlevinin ve politikalarının varlığı

• Bütün önemli veri kaynakları ve sistemlerin, veri ve sistem sahipliğini kapsayan politika ve usullerin varlığı

• Bütün personelin rol ve sorumluluklarını yerine getirmesi için yeterli yetki ve kaynağa sahip olmasını, rol ve sorumlulukların uygun biçimde yerine getirildiğini doğrulayan uygulamaların denetimini betimleyen politika ve usullerin varlığı

208


• Sistem geliĢtirme ve bakımı, sistem geliĢtirme ve iĢletimi, sistem geliĢtirme/bakımı ve bilgi güvenliği, sistem iĢletim ve veri kontrolü, faaliyetler ve kullanıcılar, iĢletimler ve bilgi güvenliği arasında görev ayrılığını varlığı

• BT personeli ve yeterliği, etkili teknoloji çözümleri sunabilme yeterliğinin doğrulanmasıyla sürdürülür

• Sistem geliĢtirme yaĢam döngüsü faaliyetleri, bilgi güvenliği, edinim ve kapasite planlamasını da içeren anahtar süreçlerin uygun rol ve sorumlulukları varlığı

• Uygun ve etkili anahtar performans göstergeleri ve/veya kritik baĢarı etmenleri, kurumsal amaçlara ulaĢılırken BT iĢlevleri sonuçlarını ölçmek için kullanılır

• DanıĢmanların ve diğer sözleĢmeli personelin faaliyetlerini kontrol edecek ve dolayısıyla kurumsal varlıkları koruyacak politika ve usullerin varlığı

• Kurumsal satın alma politikalarıyla, tutarlılık ve yeterlilik için sözleĢmeli BT hizmetlerine uygulanabilir usuller

• Hem iç hem dıĢ BT iĢlevinin çıkarlarının belgelenmesi, bildirilmesi ve eĢ güdümlemesi için sürecin varlığı

• BT birimi hizmetlerinin, maliyetinin gerekçeli ve endüstri genel fiyatlarıyla maliyetleriyle uyumlu olduğunu güvence altına alan politika ve usullerin varlığı

• Kurumsal iĢe alma ve iĢten çıkarma usulleri, geçmiĢ denetiminin yapılması

4.1.2 BS Denetçisi, BT stratejik planlama sürecinin gözden geçirmesinde aĢağıdakilerin olup olmadığını dikkate almalıdır:

• BT misyon ve vizyonunun açık tanımı vardır.

• Stratejik BT planlama yönteminin vardır.

• Yöntem, BT amaç ve hedeflerinin iĢletme amaç ve hedefleriyle uyumlaĢtırmaktadır.

• Planlama süreci, düzenli olarak güncellenmektedir. (En azından yılda bir kere)

• Plan önemli BS faaliyetlerini ve kaynak gereksinimlerini tanımlar

• Bu süreçte yer alması zorunlu kiĢilerin katılım seviyesi uygundur

4.1.3 BS Denetçisi, mevcut sistem portfolyosunu idare etmek için kullanılan sürecin gözden geçirmesinde mevcut sistemin kurumsal stratejiyi ve destek alanını ne kadar kapsadığını göz önünde bulundurmalıdır. BS Denetçisi,gözden geçirmede aĢağıdakileri geçerli olup olmadığını bakabilir:

• ĠĢ stratejik planlama sürecinin tanımladığı stratejik alanlara dair politikaların genel kapsamı

• Üst seviye yönetimce ayrıntılandırılan, bildirilen, zorlanan ve izlenen politikalara uyumun izleme süreci

• Resmi olarak oluĢturulmuĢ izleyen konularda belgeli politikaların varlığı: Güvenlik, insan kaynakları, veri sahipliği, son kullanıcı bilgisayarı, fikri mülkiyet hakları, veri koruma, sistem edinimi ve uygulaması, dıĢ kaynak kullanımı, bağımsızlık güvencesi, süreklilik planı, sigorta ve gizlilik.

• Gözden geçirilen süreçlerde yer alan insanların rol ve sorumluluk tanımları (Örneğin, veri sahipliği, BT yönetimi, yürütücü yöneticilik) bu süreçleri desteklemek için uygundur.

• Gözden geçirilen süreçle ilgili insanların gözden geçirilen süreçlerle ilgili insanlar rollerinin gereği olan yetenek, deneyim ve kaynaklara sahiptir

• Ġç denetime uygun seviyede katılım sağlanır (Kurumun iç denetim kaynaklarına sahip olması durumunda)

• BT uzman personel ya da iĢlevin kurum içindeki konumu, iĢ amaçlarını baĢarmak için kurumun BT‘yi en iyi biçimde kullanmasını sağlamaya uygundur

• BT uzmanları ve BT sorumlulukları taĢıyan uzman olmayanların kurum ve yönetimi, örgütün hata, ihmal, usulsüzlük ya da yasa dıĢılıklar nedeniyle kurumun maruz kalabileceği risklere iĢaret etmeye yeterlidir

5 RAPORLAMA

5.1 Raporun OluĢturulması ve Denetim Sonrasının Ġzleme 5.1.1 Taslak denetim raporu, oluĢturulmalı ve ilgili personelle görüĢülmelidir. Sadece, açık denetim kanıtlarıyla desteklenen

sorunlar yer almalıdır. ĠyileĢtirme için yapılan öneriler, yönetimi temsil eden uygun seviyedeki personelle ele alınır. 5.1.2 Rapor, ISACA Rehberlerine göre bitirilmelidir ve sorunlar için geliĢtirme/çözme önerileri ve izleme seçenekleri içerilerek

yönetime sunulmalıdır. 5.1.3 Üst yönetimce, öngörülen izleme faaliyetleri, eylem planları, sorumluluklar, hedeflenen tarihler, kaynaklar ve öncelikler

konusunda anlaĢma sağlanmıĢ olmalıdır.

6 YÜRÜRLÜK TARĠHĠ

6.1 Bu rehber 1 Mayıs 2008 tarihinde baĢlayacak bütün denetimler için geçerlidir.

209

G 40 Güvenlik Yönetimi Uygulamalarının Denetimi

1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S1 Denetim Yönetmeliği Standardı: ―Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin

amacı, sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde belgelenmelidir‖ Ģeklindedir.

1.1.2 S3 Meslek Etiği ve Standardı , ‗BS Denetçisi, ISACA Meslek Etik Kurallarına bağlı kalmalıdır.‘Ģeklindedir.

1.2 COBIT Bağlantısı 1.2.1 Belli bir denetim kapsamında uygulanabilir en ilgili COBIT materyalinin seçimi, belli COBIT BT süreçlerinin seçimine

ve COBIT kontrol amaçlarının ve ilgili yönetim uygulamalarıyla iliĢkisini dikkate alınmasına bağlıdır. BS Denetçisince güvenlik yönetim uygulamalarının gözden geçirilmesinde, aĢağıdaki gibi birincil ve ikincil olarak sınıflandırılan ve COBIT‘teki süreçlerle en iliĢkili olabilen seçilir ve uyumlaĢtırılır. Seçilen ve uyarlanan süreç ve kontrol hedefleri, görevin özel kapsam ve Ģartlarına uygun biçimde değiĢebilir.

1.2.2 Bu rehberle iliĢkilendirilen alanda, gözden geçirilmesi yapılırken birincil olarak esas alınacak özel COBIT

hedef ya da süreçleri aĢağıdaki Ģekilde düĢünülmelidir:

PO2 Bilgi mimarisinin tanımlanması

PO9 BT risklerinin değerlendirmesi ve yönetimi

DS5 Sistemlerin güvenliğinin sağlanması

DS7 Kullanıcı eğitilmesi ve yetiĢtirilmesi,

ME2 Ġç kontrollerin izlemesi ve değerlendirilmesi

ME3 DıĢsal gereksinimlerle uyumun sağlanması

ME4 BT yönetiĢiminin sağlanması 1.2.3 Bu rehberle iliĢkilendirilen alanda gözden geçirme yapılırken ikincil özel hedefler ve COBIT süreçleri veya hedefleri aĢağıdaki Ģekilde düĢünülmelidir:

PO6 Yönetim amaç ve yönelimleri bildirimi

PO7 BT insan kaynakları yönetimi

DS1 Hizmet seviyelerinin tanımlanması ve yönetimi



DS10 Sorun yönetimi

DS12 Fiziksel çevrenin yönetimi

AI1 Otomatik çözümlerin tanımlanması

AI2 Uygulama yazılımı edinimi ve geliĢtirilmesi

AI3 Teknoloji altyapısı edinimi ve geliĢtirilmesi,

AI6 DeğiĢikliklerin yönetimi

ME1 BT performansı izlenmesi ve değerlendirilmesi 1.2.4 Sorumluluk, yetki ve hesap verebilirlikle en ilgili bilgi ölçütleri:

Birincil: Etkililik, faaliyet ve gizlilik

Ġkincil: EriĢebilirlik, bütünlük ve güvenirlik 1.3 Rehber Amacı 1.3.1 ĠĢ kapsamındaki en değerli varlık bilgidir.Bilgi,, rekabette baĢarı ve ekonomik sürdürülebilirlik için daha yaĢamsal

olmaktadır. Kurumlar, gerçekte birbiriyle bağlantılı dünyada, kasıtlı veya kasıtlı olmayan yetkisiz eriĢimden, hem yatırımlarını korumalı, hem de kaynakların kötüye kullanımından doğabilecek risklerden bilgi varlıklarını ayrıca korumalıdır. Bilgi varlıklarının bu biçimde korunması, kurumda ancak resmi ve ayrıntılı bir bilgi güvenlik yönetimi çerçevesininin uygulamasıyla baĢarılabilir. Bu rehber, yönetim tarafından uygulanan bilgi güvenlik yönetimi uygulamalarının tasarımı ve iĢletim etkinliğini değerlendirilmesinde ve sonuçlandırmakta ayrıntılı bir rehberlik sağlar.

1.4 Rehber Uygulaması 1.4.1 BS Denetçisi , bu rehber uygulanmasında, bu rehberin diğer ISACA standartları ve Rehberleriyle iliĢkisini dikkate

almalıdır. 1.5 Tanımlar 1.5.1 Bilgi, kurum tarafından uygun biçimde korunması gereken değerli bir varlıktır. Bilgi, kağıt, elektronik biçimde elektronik

depolama aygıtlarında ya da bu ortama uygun araçlarla diğer bir araca aktarılmıĢ bir biçimde olabilir. 1.5.2 Bilgi güvenliği, ihtiyaç duyulduğu zaman(EriĢilebilirlik), sadece yetkili kullanıcıların (gizlilik) doğru ve tam

bilgiye(bütünlük) eriĢim hakkı sağlayan önlemler bütünüdür. 1.5.3 Bilgi güvenliği yönetim sistemi(ISMS-EGYS), bilgi güvenliğini kurmak, uygulamak, iĢletmek,

izlemek, sürdürmek ve geliĢtirmek için iĢ-riskini temel alan bütüncül bir yönetim sistemidir. Güvenlik yönetimini uygulamalarını n yürütüldüğü kurumsal yapılar, politikalar, planlama aktiviteleri, sorumluluklar, usuller, süreçler ve kaynaklardan oluĢur.

1.5.4 ISO 27001 Bilgi Güvenlik Yönetimim – Kullanımı Özellikli Rehberi, BS7799-2‘nin yerini almıĢtır. ISO/IEC 9001:2000 ve 14001:2004 gibi diğer yönetim standartlarıyla uyumlu ve üçüncü taraf denetimi için bir temel oluĢturmayı amaçlamıĢtır.

210


2. GÜVENLĠK YÖNETĠM SĠSTEMĠNĠN3 UYGULAMASI

2.1 PlanlanmıĢ YaklaĢım 2.1.1 Bir kurum‘un ISMS‘yi uyarlamasında ,, güvenlik yönetim sisteminin uygulamasında için süreç tabanlı bir yaklaĢımı

izlemelidir. Böyle bir güvenlik yönetim sistemi uygulaması, ISMS oluĢturulması, uygulaması, iĢletmesi, izlemesi, gözden geçirmesi, bakımı ve geliĢtirilmesi gibi bütün faaliyetleri içermelidir. Kurum, bu çerçeveyi uygulamak için Planlama, Uygulama, Kontrol Etme ve Önlem Alma (PUKO) modelini uyarlamayı tercih edebilir.

2.2 Güvenlik Yönetim Sisteminin OluĢturulması 2.2.1 BS Denetçisi, kurumsal politikalara uygunluğu sağlamak ve kurumsal hedeflerini gerçekleĢtirmek, uygun risk

değerlendirme süreciyle tanımlanmıĢ riskleri yönetmek ve bilgi güvenlik uygulamalarını geliĢtirmek için kurum tarafından bilgi güvenlik politika ve usullerinin yazılı hale getirilip getirilmediğini ve uygulanıp uygulanmadığını doğrulamalıdır.

2.3 Güvenlik Yönetim Sisteminin Uygulanması ve ĠĢletilmesi 2.3.1 BS Denetçisi kurumun, bilgi güvenlik riskleriyle ilgili uygun kontrolleri, sorumlulukları ve öncelikleri tanımlayıp

tanımlamadığını ve bilgi güvenliğini korumak için riskleri ve ilgili hedefleri bildirmek amacıyla ihtiyaç duyulan bütün kontrollerin uygulayıp uygulamadığını doğrulamalıdır.Ayrıca, BS Denetçisi, personelin güvenlik yönetim sistemini uygulamak ve iĢletmek için bilgi güvenliğiyle ilgili uygun eğitim ve farkındalık programlarını alıp almadığını doğrulamalıdır. Ayrıca, BS Denetçisi, kurumun, güvenlik olaylarını tespiti ve müdahale önlemlerini de içeren kontrolleri iĢletilmesi için süreçlerin uygun yerinde amaçlandığı Ģekilde oluĢturulup oluĢturulmadığını da doğrulamalıdır.

2.4 Güvenlik Yönetim Sisteminin Ġzlenmesi ve Denetimi 2.4.1 BS Denetçisi, kurumun güvenlik yönetimi sisteminin etkililiğini ve etkinliğini izleme süreçlerine sahip olup olmadığını

doğrulamalıdır.

2.5 Güvenlik Yönetim Sisteminin Korunması ve GeliĢtirilmesi 2.5.1 BS Denetçisi kurumun, ISMS‘nin sürekli uygulanabilirliğini, yeterliliğini, etkililiğini ve etkinliğini doğrulayan gözden

geçirmelerin yönetim tarafından düzenli aralıklarla yapılmasını sağlayan süreçlere sahip olup olmadığını doğrulamalıdır. Ayrıca, BS Denetçisi kurumda yönetimin düzenli aralıklarla yapılan bu güzden geçirmelerden kaynaklı sonuçlara ve önerilere uygun önlem almasını sağlayacak ve ISMS etkililiğini geliĢtirecek süreçlerin var olup olmadığını doğrulamalıdır.

3. GÜVENLĠK YÖNETĠM SĠSTEMĠNĠN GÖZDEN GEÇĠRĠLMESĠ 3.1 Güvenlik Yönetim Uygulamaları 3.1.1 BS Denetçisi, kurumun politikaları, uygulamaları, güvenlik örgütlenmesini, güvenlik rollerini ve sorumluluklarını içeren

bir güvenlik yönetim pratikleri setine sahip olup olmadığını doğrulamalıdır. BS Denetçisi, risk değerlendirme süreciyle tanımlanan güvenlik gereksinimlerinin tanımlanmasından sonra, kurum tarafından güvenlik yönetimi uygulamaları oluĢturmuĢ ise kurum için bilginin korunmasıyla ilgili yasal, meĢru ve düzenleyici gereksinimlerin anlaĢılmasıyla ve kurum için ihtiyaç duyulan bilgi iĢleme gereksinimleri karĢılandığını doğrulamalıdır.

3.2 Bilgi Güvenliği Kurumsal Yapısı 3.2.1 BS Denetçisi, kurumun yönetim tarafından onaylanmıĢ ayrıntılı bir bilgi güvenlik politikasının yayınlanıp ve

bildirimler yapılarak güvenlik yönetimi pratiklerinin uygulamak üzere bir taahhüt olarak açık bir güvenlik politikası talimatına sahip olduğunu doğrulamalıdır.

3.2.2 BS Denetçisi, bilgi güvenlik politikasının asgari aĢağıdakileri kapsadığını doğrulamalıdır:

Bilgi güvenliği, hedefleri ve kapsamının tanımlanması

Yönetimin, güvenlik politikası açıklaması biçiminde güvenlik yönetim pratiklerini uygulama amacı

Güvenlik politikaları, ilkeleri, standartları ve uygunluk gereksinimleri listesi

Bilgi güvenlik yönetimi yapısı ve ilgili sorumluluklar

Güvenlik yönetim pratikleri uygulamasında daha ayrıntılı politikalar ve süreçler gibi destekleyici belgeler

3.2.3 BS Denetçisi, kurumun bilgi güvenlik politikasını kurumun tamamına bildirmek için sürekli eğitim ve farkındalık programlarını uygulayıp uygulamadığını ve kayıt altına alıp almadığını doğrulamalıdır.

3.2.4 BS Denetçisi, kurumun, güvenlik politikalarının uygulanabilirliğini ve etkililiğini sağlamak için bilgi güvenlik politikalarını sürekli olarak değerlendiren bir süreci uygulayıp belgelediğini doğrulamalıdır.

3.2.5 BS Denetçisi, kurumun güvenlik yönetim pratiklerinin uygulanması, sürekli değerlendirme, izleme ve geliĢtirme ile bilgi güvenliğini baĢarmak için güvenlik kontrolü kaynaklarının ve uygulanmalarının kolaylaĢtırılmasında sorumluluklarının tanımlanıp tanımlanmadığını doğrulamalıdır.

3.2.6 BS Denetçisi, kurumun, yeni bilgi iĢleme araçları uygulama öncesinde gözden geçirilmesini onaylamak için bir sürecinin olup olmadığını doğrulamalıdır.

3.3 Bilgiye Üçüncü Tarafın EriĢimi ve DıĢarıdan Kaynak Sağlanması 3.3.1 BS Denetçisi, kurumun, üçün tarafların bilgiye yetkisiz eriĢimi ya da kötüye kullanımını önlemek için uygun eriĢim

kontrol usullerini uygulayıp uygulamadığını doğrulamalıdır. Bu kontroller, üçüncü taraflara eriĢim sağlanmadan önce uygulanmalıdır.

3 Practice, faaliyet yada sistem anlamında kullanılması daha uygundur.

211


3.3.2 BS Denetçisi, kurumun, bir kısmı aĢağıdaki bütün kontrol gereksinimlerinin oluĢturulup oluĢturulmadığını doğrulamalıdır:

Gizlilik ve bütünlük

Kabul edilebilir kullanım

Varsa yasal gereklilikler

Tüm tarafların güvenlikle ilgili sorumluluklarının farkında olmasını sağlayan düzenlemeler

Kurumun iĢ varlıklarının gizlilik ve bütünlüğünü sağlayan kontroller

Fiziksel ve mantıksal güvenlik gereksinimleri

DıĢ kaynaklı hizmetlere eriĢilebilirlik

ÇalıĢanların arka plandan izlenmesi

Herhangi bir üçüncü tarafın sözleĢmesinde dıĢarıdan sağlanan araçların denetlenmesi hakkını kapsaması. 3.4 Varlık Sınıflandırması ve Kontrolü 3.4.1 BS Denetçisi, kurumun varlıkların korunması için bütün bilgi varlıkları için atanmıĢ sahiplik ve hesap

Verilebilirliğin tanımlanıp tanımlanmadığını doğrulamalıdır. Bu tür bir varlık sahipliği ve hesap verebilirlik süreci, koruma mekanizmalarının tanımlanması dıĢında sigorta ve finansal yönetim gibi değiĢik koruma yöntemlerine karar vermeye yardımcı olan varlık envanterini de içermelidir. Ayrıca, BS Denetçisi, kurum varlıklarının aĢağıdaki kategorileri içerip içermediğini de doğrulamalıdır:

Bilgi varlıkları (örneğin veritabanları, veri dosyaları, iĢ süreklilik planı, ağ Ģeması ve güvenlik mimarisi)

Yazılım varlıkları (örneğin uygulama ve sistem yazılımı, araçlar ve yardımcı uygulamalar, ilgili lisanslar)

Fiziksel varlıklar (örneğin bilgisayar ve iletiĢim donanımı, elektronik ortam)

Hizmetler (örneğin genel altyapı, ısıtma ve aydınlatma) 3.4.2 BS Denetçisi, kurumun, bilginin değerini, bilginin kaybının, bütünlüğünün ya da eriĢilememesinin iĢ

üzerindeki etkisi veya bütünlüğü yada eriĢilememesi, yasal gereksinimlere uygun korunması ve muhafaza edilmesini kapsayan iĢ açısından duyarlılığını ve kritikliğini esas alınarak bütün bilgi varlıklarının sınıflandırıp sınıflandırılmadığını, doğrulamalıdır.

3.4.3 BS Denetçisi, kurumun sınıflandırılmıĢ bütün bilgi varlıklarını etiketleyip etiketlemediğini ve değiĢik araçlarla kopyalama, depolama, aktarma ve yok etme amaçlı iĢleme usullerini tanımlayıp tanımlamadığını doğrulamalıdır. Bu tür etiketleme, fiziksel veya elektronik olabilir. Ayrıca, BS Denetçisi, bilgi sınıflandırması, etiketlemesi ve iĢleme usullerinin doğru uygulanmasını sağlamak için uygun izleme süreçlerinin kullanılıp kullanılmadığını doğrulamalıdır.

3.5 Personel Güvenliği 3.5.1 BS Denetçisi, kurumun aĢağıdakilerle ilgili durumunu doğrulamalıdır:

ĠĢ tanımı içinde güvenlik iĢ sorumluluklarını da içeren biçimde iĢe alma aĢamasında güvenlik sorumluluklarının belirtilmesi,

Özellikle hassas görevlerde, bütün çalıĢanların güvenliğinin izlemesini gerçekleĢtirecek uygulamaların kullanılması

Herhangi bir üçüncü tarafça ya da çalıĢanlarca gizlilik ya da açıklamama anlaĢmasının imzalanma gerekmesi

ĠĢ sözleĢmesinde ve koĢullarında bilgi güvenliğinin sorumluluğunun belirtilmesi 3.5.2 BS Denetçisi, kurumun tüm çalıĢanlara ve uygunsa çalıĢanı olmayanlara güvenlik politika ve usulleri hakkında

eğitim programı sağlayıp sağlamadığını doğrulamalıdır. BS Denetçisi ayrıca, kurum içinden kullanıcıları en azından örnekleme temelinde seçerek kullanıcıların güvenlik riski olasılığını en aza indirmek için bütün güvenlik usullerinden haberdar olup olmadığını ve bu usullere nasıl bağlı kalacaklarını bilip bilmediklerini doğrulamalıdır.

3.5.3 BS Denetçisi, kurumun aĢağıdakilerle ilgili durumunu doğrulamalıdır:

Olay müdahale süreçlerini kaydedilmesini ve raporlamasının uygulanması

Güvenlik raporlaması ve olay müdahale süreçleriyle ilgili olarak tüm kurumun bilgilendirilmesi ve eğitilmesi

Bilgi sistemlerinde, tanımlanan güvenlik zayıflıklara uygun iyileĢtirme faaliyetlerinin kullanıcılara raporlanmasının gerekmesi

Yazılım iĢlev bozukluğunun raporlamasıyla ilgili usullerin uygulanması ve kaydedilmesi,

Yönetimin yinelenen olayları tanımlamasını ve güvenlik kontrol gereksinimlerini uygun biçimde geniĢletmesini sağlayan uygun olay raporlama iĢlevselliklerinin kullanılıyor olması

Güvenlik ihlâli yapan çalıĢanlar için resmi disiplin iĢlemlerinin uygulanması ve kaydedilmesi 3.5.4 BS Denetçisi, kurumda kanıt toplamak için uygun usullerin bulunup bulunmadığını doğrulamalıdır. Bu usuller mutlaka,

ilgili yasal düzenlemelerin zorunlu kıldığı biçimde, yasal mercilere yansıyan (ceza ya da hukuk olabilir) bir kiĢi ya da kurumun karıĢmıĢ olduğu bilgi güvenlik olayını, yasaların belirlediği uygun kanıtı toplamak, saklamak ve sunmak (gerektiği gibi) için izleme faaliyetlerinin gerçekleĢtirmesini kapsamalıdır.

3.5.5 BS Denetçisi, kurumun güvenlik ihlâli yapan çalıĢanların iĢ sözleĢmelerinin resmi olarak feshedilmesi sürecinin olup olmadığını doğrulamalıdır. Bu tür bir resmi süreç Ģunları içermelidir:

ĠĢ sözleĢmesinin feshedilmesine yol açan koĢullar ve fesih kararının sorumluluğu

ĠĢ sözleĢmesinin, taĢeronluk sözleĢmesinin ya da üçüncü taraflarla yapılan anlaĢmaların sona ermesi ertesinde çalıĢanların, taĢeronların ve üçüncü tarafların kendilerine verilmiĢ kurum varlıklarını iade etmelerinin düzenlenmesi

ÇalıĢanların, taĢeronların ve üçüncü tarafların bilgiye ve bilgi iĢleme araçlarına eriĢimlerinin bunlarla yapılan sözleĢme ya da anlaĢmaların sona ermesi durumunda kaldırılması (ya da değiĢiklik nedeniyle ayarlanması)

3.6 Fiziksel Güvenlik 3.6.1 BS Denetçisi, kurumun ofis binasını fiziksel güvenlik tehditlerine karĢı güven altına almak için uygun güvenlik

kontrollerini kullanıp kullanmadığını doğrulamalıdır. Bu tür kontroller Ģunları içerir:

Bilgi ve bilgi iĢleme araçlarını içeren alanı korumak için güvenlik çapı

Güvenli alanlara sadece yetkili personelin giriĢine izin vermek için uygun giriĢ usulleri

Ofisler, odalar ve araçlar için fiziksel güvenlik

Doğal ya da insanlarca yapılan felâketlere karĢı fiziksel korunma

Güvenli alanlarda çalıĢma için fiziksel koruma

Ağ kabinlerine (telekom kabinleri de dahil) fiziksel eriĢim kontrolü

Bilgi iĢleme araçlarına yetkisiz eriĢimin gerçekleĢme ihtimali bulunan yükleme ve boĢaltma bölümleri gibi fiziksel konum ve eriĢim alanlarının ayrılması

212


3.6.2 BS Denetçisi, kurumun varlıkların riske atılmasını, zarar görmesini, kaybolmasını ve iĢ faaliyetlerinin kesintiye uğramasını önlemek için yeterli fiziksel güvenlik kontrolü uygulayıp uygulamadığını doğrulamalıdır. Bu kontroller arasında aĢağıdakiler yer alır:

Telekom ve ağ donanımını da içeren bütün donanımı, çevresel tehdit ve kazalardan kaynaklanan risklerle yetkisiz eriĢim fırsatlarını veren riskleri azaltmak için korumak

Destekleme araçlarının uygun bakımlarının yapılarak bunların donanım arızasının bir aksamaya yol açmasının önlenmesini sağlamak

Veri ya da destek bilgi hizmeti taĢıyan telekomünikasyon ve güç kablolarının dinlenmeden ya da zarar görmekten korunması

Donanımın sürekli eriĢilebilirlik ve bütünlüğünü sağlamak için uygun bakım

Kurum binaları dıĢında çalıĢmaktan kaynaklanan farklı riskleri dikkate alan dıĢarıdaki donanımı uygun koruma önlemleri

Ġmha ya da elden çıkarma sırasında herhangi bir donanım ya da depolama ortamındaki duyarlı bilginin ya da lisanslı yazılımın silinmesini ya da güvenli biçimde üzerine yazılmasını sağlayan kontroller

EriĢim kartı ya da jetonu gibi eriĢim aygıtlarının devrinden önce duyarlı bilginin silinmesi

Donanım, bilgi ya da yazılımın kurum dıĢına çıkarılması öncesinde uygun yetkilendirme gereksinimleri 3.7 ĠletiĢimlerin ve Faaliyetlerin Yönetimi 3.7.1 BS Denetçisi, kurumun iĢletim süreçlerini denetlerken aĢağıdakileri doğrulamalıdır:

ĠĢletim süreçleri, yayınlanmıĢ, güncellenmiĢ ve ihtiyaç duyan tüm kullanıcılara eriĢilebilir olmalıdır.

Bilgi iĢleme araçları ve sistemlerinin değiĢikliği, kontrol edilmelidir.

Görevler ve sorumluluk alanları, kurum varlıklarının yetkisiz, kasıtsız değiĢtirilmesi yada kötüye kullanımı fırsatlarını azaltmak için ayrılmalıdır.

GeliĢtirme, test ve iĢletme araçları, iĢletim sistemine yetkisiz eriĢim ya da değiĢiklik riskini azaltmak için ayrılmalıdır.

Üçüncü taraf hizmet sunumu anlaĢmasında, güvenlik kontrolleri, hizmet tanımları ve sunum seviyeleri, yer almalı, uygulanmalı ve üçüncü taraflarca sürdürülmelidir. Üçüncü tarafın sağladığı hizmetler, raporlar ve kayıtlar düzenli olarak izlenmeli, gözden geçirilmeli ve denetlenmelidir.

3.7.2 BS Denetçisi, kurumun aĢağıdakileri yayımladığını ve uyguladığını doğrulamalıdır:

Gerekli sistem performansını sağlamak için bütün bilgi kaynaklarının gelecekteki kapasite gereksinimini izleyen, ayarlayan ve projelendiren süreçlere sahip olduğunu,

Kabul öncesinde ve geliĢtirme sırasında sistem(ler)in uygun biçimde test edilmesini de içeren yeni bilgi sistemlerinin, güncellemelerin ya da yeni sürümlerin kabul ölçütlerine sahip olduğunu,

3.7.3 BS Denetçisi, kurumun zararlı yazılımlara karĢı korunmak için aĢağıdakileri yerinde kullandığını doğrulamalıdır:

Zararlı kodlara karĢı korunma için tespit, önleme ve iyileĢtirme kontrolleriyle uygun kullanıcı farkındalık usulleri kontrolleri. Bu korunma önlemleri, virüs korunma yazılımı ve casus yazılımlar ve reklâm yazılımlarını tespit eden ve kaldıran yazılımların kurulumu ve kullanımını içerebilir

Mobil kod kullanımı yetkilendirmesini, açıkça tanımlanmıĢ güvenlik politikasına uygun yetkilendirilen mobil kod kullanımının iĢletilmesini sağlayan uygun konfigürasyon kontrolleri ve yetkisiz mobil kod kullanımını önleyen kontroller

3.7.4 BS Denetçisi, kurumun üzerinde anlaĢmaya varılmıĢ yedekleme stratejisini uygulamak için rutin usulleri oluĢturulduğunu ve uyguladığını doğrulamalıdır: Kurtarma için gerekli kurtarma zamanı, yedekleme hatalarının log kayıtlarının testi, donanım çevresinin gerektiği gibi izlenmesi. Bu usuller bilginin yedeklenmesi, iĢleticilerin kaydedilmesi ve hataların kaydedilmesi içermelidir.

3.7.5 BS Denetçisi, bilgi iletilmesi dahil olmak kurumun ağlarını tehditlerden koruyabilmek, ağı kullanan sistemlerin ve uygulamaların korunmasını sağlamak, ağları yönetmek ve korumak için uygun kontrollerin oluĢturulup oluĢturulmadığını doğrulamalıdır. BS Denetçisi, ağ hizmetleri sözleĢmesinin olup olmadığını, hizmetlerin kurumdan yada dıĢarıdan sağlanıp sağlanmadığını, ağ hizmetlerinin güvenlik özellikleri, hizmet seviyeleri ve yönetim gereksinimlerini içerip içermediğini doğrulamalıdır. Korunma önlemleri, ihtiyaç duyulan saldırın testini kapsayan, güvenlik duvarı kurulumunu ve ağların taranmasını kapsamalıdır.

3.7.6 BS Denetçisi, kurumun aĢağıdaki resmi usulleri oluĢturup oluĢturmadığını doğrulamalıdır:

Kullanım gerekliliğinin sona ermesi durumunda aracın güvenli ve emniyetli biçimde boĢaltılması

Yetkisiz açıklanma ya da kötüye kullanımdan korumasında, bilginin yönetimi ve depolanması

Yetkisiz eriĢime karĢı sistem dosyalarının korunması 3.7.7 BS Denetçisi, kurumun aĢağıdakileri oluĢturup oluĢturmadığını doğrulamalıdır:

Bilgiyi, bilgi değiĢiminin her türde iletiĢim aracı kullanılarak yapılmasından korumak için resmi değiĢim politika, usul ve kontrolleri

Kurum ve dıĢ taraflar arasında bilgi ve yazılım değiĢimi için sözleĢmeler,

Kurumun fiziksel sınırlarının dıĢına taĢınacak bilgiyi içeren araçların yetkisiz eriĢime, yanlıĢ kullanıma ya da yolsuzluğa karĢı korunması

3.7.8 BS Denetçisi, kurumun aĢağıdakileri oluĢturup oluĢturmadığını doğrulamalıdır:

Birbiriyle bağlantılı iĢ bilgi sistemleriyle oluĢturulan bilginin korunması için politikalar ve usuller

Elektronik iletilerde kullanılan bilgiyi uygun korunma önlemleri

Genel ağlardan geçen elektronik ticaret için gerekli bilgiyi, dolandırıcılıktan, sözleĢme uyuĢmazlıklarından, yetkisiz açıklanma ve değiĢtirilmesinden korunmak için uygun korunma önlemleri

Çevrimiçi iĢlemlerin tam olarak aktarımını sağlayacak ve yanlıĢ yönlendirmeyi, yetkisiz ileti değiĢtirilmesini, yetkisiz açıklamayı, yetkisiz ileti çoğaltmayı ya da yanıtlamayı engelleyecek sağlayacak korumalar,

Genel sistemde eriĢilebilen bilginin bütünlüğünü sağlayacak koruma 3.8 Bilgi Varlıklarına EriĢim Kontrolü 3.8.1 BS Denetçisi, kurumun eriĢim için iĢ ve güvenlik gereksinimlerine dayanarak eriĢim kontrol politikasını oluĢturulup

oluĢturulmadığını doğrulamalıdır.

213

G 40 Güvenlik Yönetimi Uygulamalarının Denetimi (DEVAMI)

3.8.2 BS Denetçisi, kurumun, bütün bilgi sistemlerine ve hizmetlere eriĢimi vermek ve kaldırmak için resmi bir kullanıcı kayıt ve kayıt silme usulünü oluĢturduğunu ve uygulayıp uygulamadığını doğrulamalıdır. Bu usul Ģunları içermelidir: a)Ayrıcalıkların sınırlı ve kontrollü tahsisi ve kontrollü ile ayrıcalıkların kullanımı, b) Düzenli aralıklarla kullanıcıların eriĢim haklarının gözden geçirilmesi, c) EriĢimin zamanında kaldırılması.

3.8.3 BS Denetçisi, kurumun aĢağıdakileri sağlamak için kontrolleri oluĢturup oluĢturmadığını ve uygulayıp uygulamadığını doğrulamalıdır:

Bilgi kullanıcılarının parola seçiminde ve kullanımında iyi güvenlik uygulamalarını izlemeleri gereklidir.

Yönetici/ayrıcalıklı eriĢime sahip olanların, daha güçlü parolalar kullanması ve bunların diğerlerine kıyasla daha sık değiĢtirilmiĢtir. (öte yandan güçlü parolalar her kullanıcı için en iyi uygulamadır)

Bilgi kullanıcılarının, kullanılmayan araçlarının uygun koruma sahip olmasının sağlanması sağlanmıĢtır.

Bilgi kullanıcılar, basılı belgeler ve çıkarılabilir depolama aygıtları için temiz masa politikası ve bilgi iĢleme aygıtları için temiz ekran politikası uymaktadır..

3.8.4 BS Denetçisi, kurumun aĢağıda ağ eriĢim kontrolleriyle ilgili olanları yazılı hale getirip getirmediğini ve uygulayıp uygulamadığını doğrulamalıdır:

Uzaktaki kullanıcıların eriĢiminde uygun doğrulama ve yetkilendirme yöntemleri

Tanılamak ve konfigürasyon giriĢlerine fiziksel ve mantıksal eriĢim kontrolleri

Ağlardaki, bilgi hizmetleri, kullanıcılar ve bilgi sistemlerinin gruplarının ayrılması. Bunlar, özellikle kurumun sınırları dıĢından olanlar olmak üzere paylaĢılan ağlar için kullanıcılara, iĢ uygulamalarının gereksinimleriyle ve eriĢim kontrol politikalarıyla uyumlu bağlanma yeteneği sağlayan uygun kısıtlamaları içermelidir.

Bilgisayar bağlantılarının ve bilgi akıĢının iĢ uygulamaları eriĢim kontrol politikasını ihlal etmemesini sağlayan yönlendirme kontrolleri

3.8.5 BS Denetçisi, kurumun iĢletim sistemine eriĢimden korumak için aĢağıdakileri oluĢturup oluĢturmadığını ve uygulayıp uygulamadığını doğrulamalıdır:

ĠĢletim sistemine güvenli giriĢ usulü

Sadece bireysel kullanıma yönelik olarak kurum bünyesindeki herkes için eĢsiz tanımlayıcı (kullanıcı kimliği) ve kullanıcının iddia ettiği kiĢi olduğunu doğrulayan uygun doğrulama tekniği

ġifre yönetimi için etkileĢimli sistem ve parola kalitesini sağlamak

Uygulama kontrolleri ve sistem üzerine yazma yapabilecek destek programlarını eriĢimi kısıtlayan kontroller

Kullanılmayan sürenin tanımlanmasının ardından etkin olmayan oturumların kapatma kontrolü

Yüksek riskli uygulamalara ek güvenlik sağlamak için bağlantı zamanı kısıtlamaları 3.8.6 BS Denetçisi, kurumun uygulamalara eriĢim kontrolüyle ilgili olarak aĢağıdakileri yazılı hale getirip getirmediğini ve

uygulayıp uygulamadığını doğrulamalıdır:

Kullanıcılar ve destek personeli tarafından bilgi ve uygulama destek birimlerine tanımlanmıĢ eriĢim kontrol politikalarına uyumlu eriĢimin sağlanması

Hassas uygulamaların korumak için bilgisayar çevresinden yalıtılması 3.8.7 BS Denetçisi, sisteme eriĢimi ve kullanımı için aĢağıdakilerin yazılı hale getirilip getirilmediğini ve uygulanıp

uygulanmadığını doğrulamalıdır:

Mobil bilgisayar ve iletiĢim araçları risklerden korumak için resmi politikalar ve uygun güvenlik önlemleri

Bilgi güvenlik olaylarını, ayrıcalıkları ve kullanıcı faaliyetlerini kaydetmek için denetim kütükleri ve gelecekteki soruĢturmaları ve eriĢim kontrol izlemesine yardım etmek için üzerinde anlaĢılan bir süre boyunca bu kütükleri saklama usulleri

Bilgi iĢleme araçlarının kullanımının izlenmesi ve izleme faaliyetlerinin sonuçlarının gözden geçirilmesi usulleri

Onaysız değiĢikliklere ve yetkisiz eriĢimlere karĢı bilgi log kayıtlarının ve loglama araçlarının korunması kontrolleri

Sistem yöneticilerinin ve sistem iĢletmenlerinin faaliyetlerinin kaydedilmesi ve BT yönetici faaliyetlerinin düzeli aralıklarla izlenmesi usulleri

Hataların kaydedilmesi, analiz edilmesi ve önlem alma usulleri

Üzerinde anlaĢılmıĢ bir doğru zaman kaynağına göre güvenlik alanı ya da kurum içindeki bütün ilgili bilgi iĢleme sistemlerinin saatlerinin eĢ zamanlı hale getirilmesi

3.8.8 BS Denetçisi, kurumun aĢağıdakileri tamamlayıp tamamlamadığını doğrulamalıdır:

Ġç ve dıĢ saldırılar ve bunların kurum ağı, bilgi sistemi ve uygulamaları üzerindeki etkilerinin, tehdit ve zayıflıklarının Ģekli değerlendirmesi

Kurum ağına yapılan bir izinsiz giriĢi zamanında tanımlamak için izinsiz bir saldırı tespit mekanizmasının kullanılması,

Bilgi sistemlerinin mevcut güvenlik seviyesinden ödün vermeksizin sistem için gerekli güvenlik yamalarının ve diğer yamaların uygulanması için yeterli usuller

Herhangi bir güvenlik olayını önleyici, tespit edici ve düzeltici planlar 3.9 Sistem GeliĢtirme ve Bakımın OluĢturulması ve Uygulanması 3.9.1 BS Denetçisi, iĢ için yeni bilgi sistemi gerekliliğinin ifade edilip edilmediğini, ya da var olan bilgi

sisteminin güçlendirilip güçlendirilmediğini, güvenlik kontrolleri gereksinimlerinin tanımlanıp tanımlanmadığı doğrulamalıdır, aĢağıdakileri içermelidir:

Uygulama sistemlerine eriĢim kontrolü,

Verinin doğruluğunu ve uygunluğunu sağlamak için uygulamalara veri giriĢinin doğrulanması gerekliliği,

Kasti hareketler ya da iĢleme hatalarıyla bilgide herhangi bir bozulmayı belirlemek için uygulamadaki kontrollerin doğrulanması

Uygulamalarda iletinin bütünlüğünün sağlanması ve doğrulanması ihtiyacı

DepolanmıĢ bilginin doğru iĢlenmesini ve koĢullara uygun olmasını sağlamak için doğrulanmıĢ uygulama verisi çıktısının doğrulanması

3.9.2 BS Denetçisi, kurumun, bilginin korunması için kriptografik kontrolleri kullanım politikasını oluĢturup oluĢturmadığını ve uygulayıp uygulamadığını doğrulamalıdır. Bu kontroller, kurumun kritografik tekniklerini kullanımını desteklemek için anahtar yönetimi de içermelidir.

3.9.3 BS Denetçisi, kurumun iĢletim sistemine yazılım kurulumunu ve program kaynak kodlarına eriĢimi kontrol etmek için usuller oluĢturup oluĢturmadığını doğrulamalıdır.

214

G 40 Güvenlik Yönetimi Uygulamalarının Denetimi (DEVAMI)

3.9.4 BS Denetçisi, kurumun resmi değiĢiklik kontrol usulleri oluĢturup oluĢturmadığını doğrulamalıdır. Bu usuller aĢağıdakileri içermelidir:

Kurumsal iĢleyiĢ ya da güvenlikte ters bir etkisinin olmadığından emin olmak için iĢletim sistemleri değiĢtirildiğinde kritik iĢ uygulamalarının test edilmesi ve gözden geçirilmesi.

Yazılım paketlerindeki değiĢikliklerin gerekli değiĢikliklerle sınırlanması ve değiĢikliklerin kontrol edilmesi.

DıĢarıdan sağlanan yazılım geliĢtirmesinin izlenmesi.

Kullanılan bilgi sistemlerinin teknik zayıflıkları hakkında zamanında bilgi sağlamak için, bu zayıflıklara karĢı açıkların olmasını değerlendirmeyi ve vurgulanan riske uygun önlemleri almayı da içeren girdi süreçleri,

3.9.5 BS Denetçisi, sistemin geliĢtirilmesi ve uygulanması ertesinde, sistemin iĢ ve kontrol gereksinimlerini karĢılayıp karĢılamadığını değerlendirmek için sistemin uygulama sonrası gözden geçirmeyi gerçekleĢtirmelidir. BS Denetçisi bazı durumlarda, zamanında iyileĢtirme için, uygulamadan önce zayıflıkları tanımlamak ve geliĢmelerin kontrol edilmesi amacıyla

uygulama öncesi sistemin gözden geçirilmesi de gerçekleĢtirebilir.

3.10 ĠĢ Sürekliliği Yönetimi 3.10.1 BS Denetçisi, kurumun aĢağıdakileri oluĢturup oluĢturmadığını doğrulamalıdır:

Kurumun iĢ sürekliliği için gereken bilgi güvenlik gereksinimlerine iĢaret eden tüm kurumu içine alan iĢ süreklilik planı için yönetim süreci,

ĠĢ süreçlerinde kesinti yaratabilecek olayları ve bilgi güvenliği için bu kesintilerin ihtimalini ve etkilerini ve sonuçlarını tanımlayan bir süreç. Bu, felaket olayı müdahale yönetimi ve ilgili usulleri de içermelidir.

Gerekli seviyede ve gereken zaman ölçeğinde, kritik iĢ sürecindeki kesinti ya da arıza durumunu izleyen aĢamada süreçleri ve iĢleyiĢin sürdürülmesi ve düzeltilmesi ve bilgi kullanılabilirliğini sağlayan planlar.

Bütün planlar, bilgi güvenlik gereksinimlerine iĢaret etmede tutarlılık ve test ve bakım önceliklerinin tanımlanmasını sağlayan tek bir iĢ süreklilik plan çerçevesi.

ĠĢ süreklilik planlarının, güncel ve etkili olduklarından emin olmak için, test edilmesi ve düzenli güncellenmesi. BS Denetçisi, uygun olan yerlerde yönetimin iĢ sürekliliği planı test sürecini gözlemleyebilir.

Kurum içinde iĢ süreklilik sürecine katılımı tanımlanmıĢ olanların sorumlulukları hakkında eğitim/farkındalık sağlama planları 3.11 Uygunluk 3.11.1 BS Denetçisi, kurumun aĢağıdakileri yapıp yapmadığını doğrulamalıdır:

Bir bütün olarak ilgili bütün yasal, düzenleyici ve sözleĢme gereksinimlerinin tanımlanmıĢ, dosyalanmıĢ ve güncel tutuluyor olması ve kurumun her bir bilgi sisteminin gereksinimleri karĢılanmasının kurumsal yaklaĢımının tanımlanmıĢ, belgelendirilmiĢ ve güncellenmesi,

Fikri hakları ve fikri mülkiyet haklarının olabileceği yazılım ürünlerini de içerebilecek olan materyallerin kullanımında hakkındaki yasal, düzenleyici ve sözleĢme gereksinimlerine uygunluğu sağlayacak uygun usullerin kullanılması

Yasal, düzenleyici, sözleĢme ve iĢ gereksinimlerine uygun biçimde önemli kayıtların kaybolmaktan, yok olmaktan ve tahrifattan korunması

Ġlgili yasal, düzenleyici ve eğer varsa sözleĢme maddeleriyle uyumlu gerektirdiği biçimde veri koruma ve gizlilik kontrollerinin uygulanması

Kullanıcıları, bilgi iĢleme araçlarını yetkisiz amaçlarla kullanmaktan caydıran kontrollerin uygulanması

Kurumun tamamında kurulu olan yazılımların lisanslı ya da açık kaynaklı olması gerekliliğinin kontrollerinin uygulanması,

Ġlgili bütün anlaĢmalar, yasalar ve düzenlemelere uygun biçimde Ģifreleme kontrollerinin uygulanması 3.11.2 BS Denetçisi, kurumun aĢağıdakilerle uygunluğu sağlamak için bir süreç oluĢturup oluĢturmadığını doğrulamalıdır:

Müdürlerin, kendi sorumluluk alanlarındaki bütün güvenlik süreçlerini, güvenlik politika ve standartlarıyla uyumlu biçimde baĢarmalarının sağlanması

Bilgi sistemleri güvenlik uygulama standartlarına uygunluk açısından düzenli olarak kontrol edilir 3.11.3 BS Denetçisi, kurumun aĢağıdakileri sağlamak için bir süreç oluĢturup oluĢturmadığını doğrulamalıdır:

ĠĢletim sistemlerinin kontrolünü içeren denetim gereksinimleri ve faaliyetleri, iĢ süreçlerinde aksamaya yol açmayı en aza indirmek için planlanmıĢ ve üzerinde anlaĢılmıĢtır

Bilgi sistemleri denetim araçlarına eriĢim muhtemel yanlıĢ kullanım ya da riske etme ihtimalini önlemek için korunur

4. DENETĠM SÜRECĠ 4.1 Planlama 4.1.1 BS Denetçisi, denetimin kapsamı zamanlaması ve hedefleri içeren, kurumun risk değerlendirmesi ve risk yönetim

stratejisini temel alan, kurumun güvenlik yönetim sistemini gözden geçirmek için bir denetim programı hazırlamalıdır. Raporlamanın düzenlemeleri, denetim programında açıkça yer almalıdır. Kuruma, paydaĢlarına, büyüklüğüne ve doğasına dikkat edilmelidir. BS Denetçisi, kurumun misyonunu, iĢ hedefleri, kurumun bilgi varlıkları, teknoloji altyapısı ve güvenlik yönetim pratiklerini tam olarak anlamalıdır.

4.1.2 Kurumsal yapının, özellikle güvenlik yönetim uygulamalarını yaratan, bildiren, izleyen ve bunlara kurum içinde uyulmasından sorumlu anahtar personelin rol ve sorumluluklarını anlaĢılması gereklidir. Anahtar role sahip diğer personeli, bilgi yöneticileri, sahipleri ve danıĢmanları kapsar.

4.1.3 Denetim planlama aĢamasının birincil hedefi, denetimin hedefine ulaĢmasında kurumun karĢılaĢacağı güvenlikle ilgili tehditleri ve riskleri anlamak ve yüksek riskli alanları vurgulayan gözden geçirmenin kapsamını tanımlamaktır..

4.1.4 Uygun örnekleme teknikleri, eğer uygulanabiliyor ise test sonuçlarını ölçmek denetim planlamasında dikkate alınmalıdır.

4.1.5 Önceki denetim raporu gereklidir ve çözümün seviyesi yönetim eylem planına göre her bir konuyu değerlendirilmedir. 5. GÖREVĠN YÜRÜTÜLMESĠ 5.1 Denetim Görevi 5.1.1 BS Denetçisi, kurumun güvenlik yönetim hedeflerinin uygun biçimde baĢarıldığının güvencesini sağlamak için güvenlik yönetimi sistemi

ve uygulamalarının ayrıntılı ve bağımsız gözden geçirmesini gerçekleĢtirmelidir. 5.1.2 BS Denetçisi, bu tür bir güvenceyi sağlamak için bu rehberde çerçevesi çizilen güvenlik yönetim pratiklerinin bütün yanlarını gözden

geçirmelidir.

6. RAPORLAMA 6.1 Rapor OluĢturulması ve Denetim Sonrası Ġzleme 6.1.1 Taslak denetim raporu, hazırlanmalı ve ilgili personelle birlikte ele alınmalıdır. Sadece kesin kanıtlarla desteklenen konuları içermelidir. 6.1.2 Rapor, ISACA Rehberleri yol göstericiliğiyle son haline getirilmeli ve yönetime ya da yönetim kuruluna, kullanılabilir ve

uygunsa sorunların çözülmesi/giderilmesi önerileri ve denetim sonrası izleme seçenekleri içerilerek sunulmalıdır. Özellikle duyarlı güvenlik kusurları için, raporun dağıtımı yönetim kurulu ya da uygun yönetim seviyesi ile sınırlandırılmalıdır.

6.1.3 Üst yönetim ve/veya yönetim kurulu tarafından verilen denetim sonrası izleme faaliyetleri, hareket planları, sorumluluklar, hedef tarihler, kaynaklar ve öncelikler üstünde anlaĢmaya varılmalıdır.


7.1 Bu rehber, 1 Aralık 2008 tarihinde ve sonrasında baĢlayan bütün BS Denetimleri için yürürlüktedir.

215

G 41 GÜVENLĠK YATIRIMININ GERĠ DÖNÜġÜ (ROSI)

1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S10 BT yönetiĢimi standardı, ―BT denetim ve güvence uzmanlarından aĢağıdakilerin gözden geçirmeli:

BT biriminin kurumunn misyonu, vizyonu, değerleri, amaçları ve stratejileriyle uyumlu olup olmadığını değerlendirmesi ve denetlemesini,

BT biriminin iĢten beklenen performans (etkililik ve etkinlik) ve bunun baĢarısının değerlendirilmesi hakkında açık bildirimlerinin olup olmadığı

BT kaynaklarının ve performans yönetim süreçlerinin etkililiğini değerlendirmelidir.‖ Ģeklinde ifade eder. 1.2 COBIT‘le Bağlantısı 1.2.1 Belli bir denetim kapsamında uygulanabilir en ilgili COBIT materyalinin seçimi, belli COBIT BT süreçlerinin seçimine ve

COBIT kontrol amaçlarının ve ilgili yönetim uygulamalarıyla iliĢkisini dikkate alınmasına bağlıdır. BT Denetim ve güvence uzmanlarının güvenlik yatırımlarının geri dönüĢünü karĢılama ihtiyacını karĢılamak için, aĢağıdaki gibi birincil ve ikincil olarak sınıflandırılan ve COBIT‘teki süreçlerle en iliĢkili olabilen seçilir ve uyumlaĢtırılır. Seçilen ve uyarlanan süreç ve kontrol hedefleri, görevin özel kapsam ve Ģartlarına uygun biçimde değiĢebilir.

1.2.2 Birincil BT süreçleri aĢağıdadır:

PO1 Stratejik BT planının tanımlamak

PO3 Teknoloji yönelimini belirlemek

PO5 BT yatırımını yönetmek

PO9 BT risklerini değerlendirmek ve yönetmek

DS3 Performans ve kapasite yönetmek

DS6 Maliyetlerin tanımlamak ve tahsis etmek

ME1 BT performansını izlemek ve değerlendirmek

ME4 BT yönetişiminin sağlamak 1.2.3 Ġkincil BT süreçleri aĢağıdadır:

PO6 Yönetimin amaç ve yönünü bildirmek

AI1 Otomatik çözümleri tanımlamak

AI5 BT kaynakları satın almak

ME3 Düzenleyici uyumunu sağlamak 1.2.4 ROSI ile en ilgili bilgi ölçütleri aĢağıdadır.:

Birincil-Etkililik, etkinlik ve kullanılabilirlik

Ġkincil-Gizlilik, bütünlük ve güvenirlik

1.3 Kılavuzun Amacı 1.3.1 KuruluĢlar için BT güvenliği yatırımlarını yapmak giderek daha sıkıntı verici bir duruma gelmektedir. ROSI‘nin açıkça

tanımlanması, kuruluĢların iĢ amaçlarını gerçekleĢtirmesinde kritiktir. Makul derecede net bir ROSI öngörüsünde bulunabilmek için, kurum güvenlik ihtiyaçlarını, en uygun ROSI önlemlerini belirlemeye ve ROSI ölçümü için toplanması gereken bilgilerin ölçütlerini oluĢturmaya ihtiyaç duyar. Günümüzde yapılan kurumsal faaliyetleri, bir yandan güvenlik önlemlerinin öneminin diğer yanda da güvenlik ihmalinin kurumsal faaliyetlere etkilerine dair risk ve sonuçların öneminin farkındadır. Karar alıcılar, güvenlik önlemlerinin etkililiğimi sağlamak için düzenli aralıklarla güvenlik önlemlerini ölçmesi, gözden geçirmesi ve iyileĢtirmesi gereklidir. Ayrıca, iç, dıĢ ve mevzuat uygunluğu, güvenlik amaçlarının sürekli geliĢiminin sağlamak için gerekmektedir.

1.3.2 KuruluĢlar, ROSI uygunluğunu etkili biçimde baĢarmak için güvenlik ölçütlerine dair değerli önerileri görmezden gelecek kadar güçlü değildir. Ölçülebilir kullanıcı gereksinimlerinde güvenlik önlemleri, etkili güvenlik önlemlerini tanımlamak için üzerinde anlaĢmaya varılan bir yaklaĢımı içeren yol haritası geliĢtirmek ve sürekli geliĢen ROSI oluĢturmak için düzenli değerlendirmeler yapmak önemlidir.

1.3.3 BT denetim ve güvence uzmanları, ROSI için önerilerin değerini açıkça kavrayabilmelidir. Bu bağlamda, BT denetim ve güvence uzmanlarına, denetim görevleri sırasında güvenlik yatırımlarının geri dönüĢünü gözden geçirirken yol gösterecek bir kılavuza gerek duyulmaktadır.

1.4 Kılavuzun Uygulanması 1.4.1 Bu kılavuz, S10 BT YönetiĢimi Standardının uygulamasında yol göstericilik sağlar. 1.4.2 BT denetim ve güvence uzmanı, yukarıdaki standardın baĢarılı biçimde uygulanmasında bu kılavuzu göz önünde

bulundurmalı, uygulamada kendi kiĢisel yargılarını kullanmalı ve kılavuzdan ayrıldığı noktaları gerekçelendirmeye hazır olmalıdır.

1.4.3 BT denetim ve güvence uzmanı, bu kılavuzun uygulamasında, bunun diğer ilgili ISACA standart ve kılavuzlarıyla iliĢkisini dikkate almalıdır.

1.5 Risk Yönetimi 1.5.1 Bilgi varlılarının güvenliğinden sorumlu olanlar, sorumlu üst yönetim ile kuruluĢun bilgi varlıklarını yöneten iĢ

sahibinin/sahiplerinin iĢbirliğiyle düzenli risk değerlendirmesi geliĢtirilmelidir. Özellikle, kurum ve iĢ süreç sahipleri risk değerlendirmeleri, belirtilen kontrol katmaları, BT denetim ve güvence uzmanı tarafından, kontrol ortamının anlaĢılmasını sağlamak için değerlendirilmelidir. Örneğin, iĢ süreç sahibi tarafından, kritik bilgi varlıklarına eriĢimin yeniden geçerli kılınmasına dair yapılan düzenli önleyici kontrollerin yeterliliğinin değerlendirilmesini de içeren risk değerlendirilmesinin gerçekleĢtirilmesi dikkate alınmalıdır.

1.5.2 Güvenlik mühendislerinin/yöneticilerinin kurum açısından söz konusu olabilecek olan, karmaĢıklığı yüksek düzeyde kalıtsal risk sorunu vardır ki bunun tam olarak anlaĢılamayabilmesi ve gerekli risk azaltıcı kontrol süreçlerini tanımlanamaması sonucunda ortaya çıkabilir. Örneğin, bilgi varlıklarının güvenliği açısından sunucu güvenlik kontrollerine ek olarak ağ iletiĢiminin çeĢitli giriĢ ve çıkıĢ noktalarında teknik kontrollere gerek duyulabilir. Bu bağlamda, bütün güvenlik risklerini tam olarak anlamak için, sunucu eriĢim kontrolleri üzerinde temel bilgilere sahip bir güvenlik yöneticisine ek olarak ağ güvenliği için bir güvenlik uzmanına gerek duyulabilir. Böylece, bu risk değerlendirmesindeki kalıtsal risk, kuruluĢun maruz kaldığı bütün riskler olanaklar ölçüsünde yeterlice tanımlanıp, miktarı belirlenip azaltıldıktan sonra kalan söz konusu risktir. Buna göre, BT alanında muhtemel bütün risklerin tanımlanabilmesi ve gerekli azaltıcı kontroller için sondan sona güvenlik kontrollerinde bilgili çok sayıda uzmanlarca yapılacak bağımsız bir değerlendirmeye ihtiyaç duyulabilir.

216

G 41 GÜVENLĠK YATIRIMININ GERĠ DÖNÜġÜ (ROSI) (Devamı)

1.5.3 Bağımsız denetimi gerçekleĢtirecek olan denetçinin, risk düzeyiyle orantılı gerekli kontrol sürecini ve/veya risk düzeyini yeterince anlamamaktan dolayı oluĢturduğu kalıtsal risk de söz konusudur. Ayrıca, denetçinin, risk alanının her zaman tam olarak kapsanamaması sonucunu doğurabilen ölçek ekonomisi faktörünü ya da benzer kısıtlı yöntemler dolayısıyla kontrollerin etkinliği ve yeterliliği noktasında uygun sonuca ulaĢamama ihtimali vardır. Bu durumda yönetim, denetimin, denetçinin bütün kontrollerin yeterliliğini tam olarak tanımlamasını, test etmesini ve sonuçlandırmasını güvence altına almadığı gerçeğinin farkında olması gereklidir. Bu durumda, kuruluĢun bilgi varlıklarının büyüklüğü, karmaĢıklığı ve önemi bağlamında denetçinin değerlendirmesine ilave bir bakıĢ ve bağımsız değerlendirme, bir güvence oluĢturabilir.

2. ROSI 2.1 GiriĢ 2.1.1 Bir kurum için ROSI, manĢetlere bilgisayar korsanlarının, virüslerin ve siber teröristlerin çıktığı günümüz dünyasında önemli bir

önlemdir. Güvenliğin bir öncelik noktasına geldiği iĢletmeler için aĢağıdaki gibi soruların yanıtlanması gerekli olmuĢtur:

ĠĢletme ne kadar güvenli?

Ne kadar güvenlik yeterlidir?

ĠĢ açısından makul güvenlik düzeyi nasıl bilinebilir?

Güvenlik yatırımları nasıl gerekçelendirilmelidir?

Güvenlik için yatırılması gereken para ve harcanması gereken zaman ne kadardır?

Hangi sistem unsurları ya da diğer açılar öncelikle hedef alınmalıdır?

Özellikle, ROSI‘nin birincil temeli, maliyetlerin (güvenlik duvarları, güvenlik ihlalinin yol açtığı maliyetler, art yedekleme maliyeti ve aĢırıya kaçan sistem unsurlarının maliyetleri gibi) ve siber güvenlik ihlallerinin ve bunların yol açtığı kayıpların gerçekleĢme ihtimalini azaltan önleyici ve düzeltici avantajların kıyaslanmasıdır.

2.1.2 Risk ölçümü, bütün BT ilintili etkileriyle birlikte sistem eriĢilebilirliğide, veri doğruluğunda ve bilgi gizliliğinde belirtilir. 2.1.3 Yönetimdeki karar vericiler, güvenliğin toplamdaki etkisini anlamak isterler. Güvenlik harcama miktarının belirlemesini yapmak

için aĢağıdakileri bilmeye gereksinirler:

Güvenlik eksikliğinin iĢe maliyeti ne kadardır?

Güvenlik eksikliğinin verimlilik üstünde etkisi nedir?

Katastrofik bir güvenlik ihlalinin etkisi ne olacaktır?

Maliyet-etkin çözümler nelerdir?

Çözümlerin üretim üzerine etkisi neler olacaktır?

Açık azaltılabiliyor mu? 2.1.4 ROSI, BT güvenlik harcamalarının etkililiği ve etkinliğini ölçmeye yardım eden bir anahtar performans göstergesidir.

Yukarıdan aĢağıya doğru giden, kullanımdaki performans değerlendirme ve planlama için, BT güvenlik harcamalarıyla bunun verimliliğini somut ve karĢılaĢtırmalı olarak ortaya koyan bir ölçüm birimidir.

2.1.5 Kurum, ROSI‘yi tanımlamasıyla, uygun düzey BT güvenlik harcamasını ve iĢi korumak için gerek duyulan uygun düzey güvenliği belirlemeye izin veren bir araca sahip olur.

2.1.6 Müdürler, uygun planlamayla, tekil bir iĢlem için kuruluĢun iĢletme giderlerinin faydasını ya da bu ayrı zaman diliminin ötesine geçen sermaye yatırımının siber güvenlik etkinlikleri ufkunda ayırt edebilmelidirler.

2.2 ROSI Belirlemesi 2.2.1 Maliyetlerin tanımlanması ve tahsisi ROSI ilkelerinin kullanılmasının temelidir. Doğrudan giderler, belirli siber güvenlik

ihlalleriyle iliĢkilenebilirken dolaylı giderler (Örneğin, çok sayıdaki güvenlik ihlalleri için kapsamlı kontroller sağlayan izinsiz giriĢ tespit sistemleri) herhangi belli bir ihale doğrudan iliĢkilendirilemez.

2.2.2 Diğer bir nitelendirme de açık ve gizli maliyetlerdir. Açık maliyetler ölçülebilir, örneğin, güvenlik duvarlarının geliĢtirilmesi ve sürdürülmesi, diğer yandan gizli maliyetler ―kayıp fırsatlar‖ olarak adlandırılabilir, örneğin, ün kaybı, anlamsız öngörü gibi. Tahmin etmenin kolaylığına bakmaksızın, açık ve gizli maliyetler, bir biçimde sayısallaĢtırılarak maliyet-fayda analizlerinde içerilmelidirler.

2.2.3 Yatırım geri dönüĢü (ROI) belirlemede genelde kullanılan eĢitlik Ģudur: ROI= Beklenen getiriler - Yatırım maliyeti Yatırım maliyeti 2.2.4 ROSI için kullanılabilecek çok sayıda ölçüm yöntemi vardır. Örneğin, farklı zaman dilimleri için beklenen fayda ve

maliyetleri karĢılaĢtıran net bugünkü değer (NPV) vardır. Ayrıca, bir NPV çeĢidi olan iç getiri oranı (IRR), yatırımın NPV‘sini sıfıra eĢitleyen indirim oranını belirler. Bu yöntemlerin tamamı, artan siber güvenlik etkinliklerini kabul etmek ya da reddetmek için bir karar kuralı sağlar.

2.2.5 ROSI hesaplaması çizelgesi, paranın zaman değeri dikkate alınmaksızın, önleme maliyetine dayandırılarak, Ģekil 1‘de gösterilmiĢtir.

2.2.6 Risk açıklığı hesaplamasında, tek açık kaybının (SLE) öngörülen maliyetiyle beklenen yıllık gerçekleĢme oranı (ARO) çarpılır. Risk açıklığı = SLE * ARO SLE ve ARO tahmin yöntemleri, geçmiĢ deneyimlerden dahili olarak çıkarılan ya da dıĢ kaynaklardan elde edilen ölçümleri temel alır.

2.2.7 Idaho Üniversitesi‘nde (ABD) yapılan araĢtırmalar ROSI‘yi ortaya çıkan olaydan sonraki iyileĢtirme maliyetlerini temel alarak

açıklar: ROSI = R – yıllık kayıp beklentisi (ALE), ALE = (R – E) + T, örneğin ROSI = E – T

‗R‘, herhangi sayıdaki yıllık saldırıyı iyileĢtirme maliyetidir, ‗E‘ ise güvenlik aracı kullanımı sonucunda elde tutulabilen paradır, ‗T‘ de saldırı tespit aracın maliyetidir.

217


ġekil 1 – ROSI Hesaplaması (Paranın zaman değeri dikkate alınmaksızın, önleme maliyetine dayandırılarak)

# Sayılar 000lar olmak zorundadır

Seçenekler

A B C D

i Mali yatırım düzeyi 0 650.00 1,300.00 1,950.00

ii Yatırım olmaksızın siber güvenlik ihlallerinin yol açtığı toplam potansiyel kayıp

10,000.00 10,000.00 10,000.00 10,000.00

iii i'de belirtilen her mali yatırım düzeyinde kayıp olasılığı .75 .50 .40 .33

iv Her yatırım düzeyinde beklenen kayıp (iv) = (ii) x (iii)

7,500.00 5,000.00 4,000,00 3,300.00

ġekil 1 – ROSI Hesaplaması(Paranın zaman değeri dikkate alınmaksızın, önleme maliyetine dayandırılarak)

# Sayılar 000lar olmak zorundadır

Seçenekler

A B C D

Ġ Beklenen toplam siber güvenlik maliyetleri eĢittir yatırım maliyetleri artı ihalelerden kaynaklanan beklenen kayıplar (v) = (i) + (iv)

7,500.00 5,650.00 5,300.00 5,250.00

ii Yatırım düzeyindeki artıĢın sağladığı artan faydalar, beklenen kayıplarda azalma, örneğin, ek yatırımla (v) değerinde azalan değerler

Yok 2,500.00 1,000.00 700.00

iii Yatırım düzeylerinde yükselen yatırım düzeylerinde artıĢ, örneğin ham i değerlerinde artıĢ

Yok 650.00 650.00 650.00

iv Yatırım düzeyindeki artıĢın artan net getirileri Yok 1,850.00 350.00 50.00

ġekil 1 için basitleĢtirilmiĢ eĢitlik:ROSI = (Risk açıklığı * azaltılan risk düzeyi %) – Güvenlik yatırımı maliyeti Güvenlik yatırımı maliyeti 2.2.8 Bu yaklaĢımda ROSI, R ve ALE arasındaki farktan ya büyük olmalı ya da eĢit olmalıdır. Örnek için eke bakınız. 2.2.9 Ġki önemli sigorta unsuru vardır; önerilen güvenlik yatırımlarının azalttığı riskleri analiz etmek ve yatırımların verimliliğe

katkısını değerlendirme unsuru. Sigorta, bir ihlalin gerçekleĢme ihtimalini azaltmaz ama ihlalin olması durumunda ortaya çıkacak kayıpların aĢırılığını azaltır. Sigorta unsuru, zayıflıkların, tehditlerin ve var olan bilgi varlıklarıyla, ALE ölçmek için o an kullanılmakta olan güvenliğin tam bir analizini gerektirir. Güvenlik yatırımları ideal olarak risklerin yok edilmesini (güvenlik altyapısının geliĢtirilmesi), riskin nakledilmesini (sigorta satın alması), riskin kabulü (muhtemel kayıpların soğurulması) ya da bu üçünün birleĢimini baĢarmayı amaçlar.

ġekil 2 – NPV Kullanarak ROSI Hesaplaması

# Sayılar yuvarlanmıĢ 000lar olmak zorundadır

Seçenekler

A B C D

Ġ Dönemsel mali yatırım düzeyi T=0 0 650.00 1,300.00 1,950.00

Ġi Dönemsel yatırım olmaksızın siber güvenlik ihlalinden kaynaklanan muhtemel toplam kayıp, t = 1

10,000.00

10,000.00 10,000.00 10,000.00

Ġii i'de gösterilen her mali yatırım düzeyindeki muhtemel kayıp .75 .50 .40 .33

Ġv Her yatırım düzeyinde beklenen kayıp düzeyi (iv) = (ii) X (iii)

7,500.00 5,000.00 4,000.00 3,300.00

V Dönemsel olarak beklenen kaybın Ģimdiki değeri, t = 1 her yatırım düzeyinde (v) = (iv)/(1 + k) Not: k= faiz oranı

6,522.00 4,348.00 3,478.00 2,870.00

Vi Belenen toplam siber güvenlik maliyetlerinin Ģimdiki değeri = yatırım maliyetleri + ihlal dolayısıyla beklenen kaybın Ģimdiki değeri (vi) = (i) + (v)

6,522.00 4,998.00 4.7778.00 4.820.00

Vii Güvenlik yatırımındaki yükseliĢin artan getirilerinin (B) Ģimdiki

değeri (PV) ((B1/(1 + k) = beklenen kayıpların PV‘sinde

azalma (D değerleri sütununda azalma gibi)

Yok 2,174.00 870.00 609.00

Viii Artan yatırım düzeyi (C0), yatırım düzeylerinde yükselme, ii

değerlerinde yükselme gibi

Yok 650.00 650.00 650.00

Ġx Mali yatırım düzeyindeki yükselmenin artan net faydası

sonucunda NPV = ((B1/(1 + k) - C0 (ix) = (vii) – (viii)

Yok 1,524.00 220.00 41.00

2.2.10 Zaman değeri verilerek, çok sayıda zaman dilimi içerilecek biçimde, para bütün maliyet – fayda analizlerinde içerilmelidir.

ġekil 2, NPV yöntemini göstermektedir. 2.2.11 Bir yatırımın artan faydası, beklenen kayıpların Ģimdiki değerindeki azalmadır. Her yatırım düzeyi için beklenen kaybın

Ģimdiki değeri ‗v‘ olarak ve beklenen kaybın Ģimdiki değerindeki azalma da ‗vii‘ olarak Ģekil 2‘de verilmiĢtir. Ayrıca, ‗ix‘de derlenen değerler, ek mali yatırım düzeyi için NPV‘yi temsil eder (bakınız A‘da D‘ye sütunlar). Buna göre, en iyi yatırım düzeyini bulmak için, yatırımı, artan yatırım düzeyinin NPV‘si pozitif olana kadar yatırım yükselme eğiliminde tutulur.

2.2.12 Çizelge olarak ROSI hesaplaması, paranın zaman değerini dikkate almaksızın, önleme maliyetine dayandırılmıĢtır. YaklaĢımda açıkça gözükmektedir ki, ROSI‘yi belirlemek için kurum, anlamlı değerler çıkarmak ve tanımlamak için yinelenebilir ve tutarlı güvenlik ölçümlerine gerek duyar.

218


2.3 Güvenlik Ölçüleri 2.3.1 Güvenlik ölçüleri, ilgili performansla iliĢkili verinin toplanması, analizi ve raporlanmasıyla karar almayı kolaylaĢtırmak ve performans ve hesap verebilirliği geliĢtirmek için tasarlanan ölçülerdir. Güvenlik ölçüleri, kuruluşun, savunma güvenliği ihlal edildiği zaman ortaya çıkan iş kesintileri, bilgi veya para hırsızlığı, saygınlığını yitirme risklerini azaltmak ve yönetmek için gerçekleştirdiği eylemlere (ve bu eylemlerin sonuçlarına) odaklanır. Güvenlik ölçü programının geliĢtirilmesi ve uygulanmasında dikkate alınacak birincil unsurlar arasında Ģunlar yer alır:

Ölçüler, oran, ortalama ve sayı gibi ölçülebilir bilgi vermek zorundadır.

Ölçüleri destekleyen veri hazırda kullanılabilir olmalıdır.

Ölçüm için yalnızca yinelenebilir süreçler dikkate alınmalıdır.

Ölçüler performans izlemede ve kaynak yönlendirmede yararlı olmalıdır.

Ölçüler pahalı ya da çok zahmetli olmamalıdır. 2.3.2 Güvenlik ölçüleri aĢağıdaki değiĢik türlerde olabilir:

Uygulama ölçüleri-Güvenlik politikası uygulamasını ölçer.

Etkililik/etkinlik ölçüsü-Güvenlik çözümleri sonuçlarını ölçer.

Etki ölçüleri-Güvenlik olaylarının iĢ üzerindeki etkilerini ölçer. Gerçekçi olarak edinilebilecek ve yararlı olacak ölçü türleri, kuruluĢun güvenlik programına ve kontrol uygulamasına bağlıdır. Biz zaman süreci sonunda odaklanma ölçü toplamadan kontrolleri olgunlaĢtırmaya geçer. 2.3.3 Veri toplama, güvenlik ölçülerinin çok önemli bir unsurudur. Veri toplamada dikkate alınması gereken adımlar arasında Ģunlar yer alır:

Ölçü rol ve sorumlulukları, veri toplama, analiz etme ve raporlama sorumluluğu dahil

Veri toplama kitlesi

Toplama, analiz ve raporlama iĢlemi

Bütün kurum birimleriyle eĢgüdümü

Veri toplama ve izleme araçlarının yaratılması ya da seçimi ve gerekiyorsa iyileĢtirilmesi

Veri toplama, birleĢtirilmesi, depolanması ve veri analizine ve raporlamaya olanak sağlayacak biçime çevrilmesi

Ölçü özet raporlama biçimi

BoĢluk analizleri, nedenin ve düzeltici eylemin tanımlanması 2.3.4 Bazı yaygın güvenlik ölçüleri Ģunlardır:

Ana hat savunma kapsamı (virüs korunma, casus yazılımlardan korunma, güvenlik duvarı, vb.)- KuruluĢun, temel bilgi güvenliği tehditlerine karĢı ne kadar iyi korunduğunu ölçer

Yama gecikme süresi- Yamanın yayımlanmasıyla kuruluĢta baĢarılı biçimde uygulanması arasında geçen süre. Bu Ģirketin yama konusundaki disiplinini ve olaylara tepki verme yeteneğinin bir göstergesidir.

Parola sağlamlığı- Kötü parolaları azaltır, muhtemel zayıf noktaları tanımlar ve kırılması zor olan güçlü parolaların kullanımını destekler

Düzlem uyum skorları- Kabul edilebilir standartlara göre donanımsal karĢılaĢtırma yapar

MeĢru e-posta trafik analizi- KuruluĢa gelen ve kuruluĢtan giden trafiğin hacmini, trafik büyüklüğünü ve trafik akıĢ yollarını ve kurum harici trafiği analiz eder

Uygulama risk endeksi- muhtemel riskleri yüksek, orta ya da düĢük olarak sınıflandırmaya yardım eder 2.4 En Ġyi Bilgi Güvenliği Yatırımı: Gordon-Loen Modeli 2.4.1 Lawrence A. Gordun ve Martin P. Loeb, Maryland Üniverstiesi (ABD), varsayılan bilgi varlığı kümesini korumak için en iyi parasal

yatırımı niteleyen bir ekonomik çerçeve sunmuĢlardır. Model, tekil bir zaman diliminde bilgiyi korumaya dönük olarak bir kuruluĢun yatırımı için en iyi miktarı belirler. Gösterildiği üzere, muhtemel bir varsayılan kayıp için, bilgi varlığını korumak için harcanacak en iyi miktar her zaman bilgi kümesinin artıĢıyla birlikte artmaz. Ayrıca, model, bir Ģirketin bilgi varlıklarını korumak için yapılması gereken harcamanın genelde, beklenen kaybın yalnızca küçük bir parçası kadar olması gerektiğini gösterir.

2.4.2 Bir bilgi kümesi, aĢağıdaki üç parametre tarafından nitelenir:

λ— Parasal kayıp, ihlalin gerçekleĢmesine ĢartlanmıĢtır

t— Tehdidin gerçekleĢmesi olasılığı

v— zayıflık, tehdidin gerçekleĢmesi durumunda (örneğin bir saldırı) baĢarılı olabilme olasılığı olarak tanımlanır Her ne kadar gerçek dünyada üç parametre zaman içinde değiĢmesine rağmen, Gordon-Loeb modeli bunları önceden öngörülmüĢ değiĢmezler olarak varsayar. Gordon-Loeb modeli, S (z, v) fonksiyonunu olasılığı ifade ederken, ‗v‘ ile ifade edilen zayıflık, tehdidin gerçekleĢmesine bağlı olarak ihlal edildiğinde bilgi kümesinin korunması için kuruluĢun ‗z‘ ile ifade edilen bilgi güvenliği yatırımını yapmıĢ olduğunu varsayar. S (z, v) fonksiyonu, güvenlik ihlali olasılığı fonksiyonuna iĢaret eder. Neredeyse bütün ekonomik modellerde yaygın olarak, S (z, v) fonksiyonunun yeteri derecede düzgün ve sürekli olarak uslu hareket ettiği varsayılır, özelde ikili türevselliğe sahiptir. Genel kurama ek olarak, Gordon-Loeb, farklı sınıflardaki güvenlik ihlali olasılık fonksiyonlarını çalıĢmıĢlardır. Bunlardan bir tanesi: S (z, v) = vAZ+1 Burada, ‗α‘ (>0) parametresi, bilgi güvenliği verimliliği ölçümüdür, optimizasyon sorununa çözüm olarak kapalı biçimde yapılan derleme, bilgi

güvenliğine yapılan yatırımlardan beklenen net faydayı (ENBIS) maksimize eder: ENBIS = {v-S (z, v)} tλ-z.

Verili en iyi yatırım: z = z*(v) = ln {-1/(avtλlnv)}

a ln v

219


2.4.3 Modelin iki önemli kısıtı vardır- ‗ ג‘ kaybı değiĢmez olarak ele alınır ve yatırım olan ‗z‘ süreklidir, oysa gerçekte kayıp değiĢmez değildir ve yatırımda kesintiler vardır.

3. HEDEFLER 3.1 Denetim 3.1.1 ROSI‘ye denetim yaklaĢımı aĢağıdakilere yönelmelidir:

KuruluĢun güvenlik kapsamı için tanımlanmıĢ olan proje ya da programların ve/veya kuruluĢun tamamı için tam olarak tanımlanmıĢ güvenlik gereksinimlerinin kullanılabilirliğini sağlama

Bir maliyet olarak kritik güvenlik etkilerine odaklanarak, kuruluĢun tamamı ya da tekil iĢ birimleri tarafından baĢarılmak zorunda olan iĢ amaçlarını oluĢturma

Sistem zayıflığı, kullanılabilirliği ve güvenirliğine karĢı iĢin kullanıcılarının ve yönetimin farkındalığı

Maliyet - fayda ve güvenlik amaçlarının karĢılanmasında etkililik açılarından teknoloji ve operasyonel etkinliğin analizi 3.1.2 ÇalıĢanın/kullanıcının güvenlik algısını anlama, güvenlik yatırımı açısından önemli bir noktadır ve bunu baĢarma araçlarından

bir tanesi çalıĢanlar arasında yapılan araĢtırmalardır. ÇalıĢan araĢtırması mutlaka doğru yorumlanmalı ve araĢtırma sonucu ve mali performans arasında doğrudan iliĢki kurmalıdır. AraĢtırmada kabaca sayısal yanıtları olan ya da sayısal değerlere döndürülebilecek yanıtları olan sorular sorulmalıdır. Örneğin, her gün kaç tane istenmeyen ileti alınmakta (0 – 10, 10 – 30, 30 – 50, 50‘den fazla) ya da dosya sunucularının ne sıklıkta 10 dakikadan fazla süreyle kullanılamaz olduğu (günlük, haftalık, aylık, daha nadir) gibi. Risk ve açıklığı, yinelenebilir ve tutarlı bir yolla ölçmek önemlidir. Bu, etkili bir araĢtırma ve verimlilik ve güvenlik için sistem skorlamasının, harici değer önerme ölçümüyle birleĢimiyle olanaklı kılınabilir. BT denetçileri, iç araĢtırmanın yapılmıĢ olduğu yerlerde bu araĢtırmayı gözden geçirmelidirler.

3.1.3 Kesinti süresinin değerlendirilmesi, güvenlik olayı süresince yaĢanan verimlilik kaybının olay sonrası analizini sağlar. Verimlilik kaybı, güvenlik çözümlerinin ROI hesaplamasından ayrıca dikkate alınmalıdır. ġekil 3 ortalama aksama süresini ve verimliliği etkileyen etmenleri göstermektedir.

ġekil 3 – Verimliliği Etkileyen Etmenler ve Ortalama Aksama Süresi

Sorun Ortalama Aksama Süresi (Dakika)

Uygulama ve sistem çökmesi 10

E-posta filtresi, sıralama ve istenmeyen ileti 15

GeniĢ bant etkinliği ve iĢ çıkarma yetisi 10

Etkili ve etkin olmayan güvenlik politikası 10

Güvenlik politikalarının uygulattırılması 10

Bellekten sistemle ilgili yollananlar ve BT yükseltmeleri 10

ĠĢletim sistemleri ve uygulamalar için güvenlik yamaları 10

Güvenliksiz ve etkin olmayan ağ topolojisi 15

Virüsler ve virüs tarama 10

Solucanlar 10

Truva atı, anahtar kütükleme 10

Casus yazılım, sistem izleyiciler 10

Açılır pencere eklentileri 10

Uyumluluk meselesi – donanım ve yazılım 15

Ġzinler-güvenlik sorunları temelinde (kullanıcı/geçiĢ) 15

Dosya sistem düzensizliği 10

Bozuk ya da eriĢilemeyen veri 15

Ele geçirilmiĢ ya da çalınmıĢ bilgi ve veri 15

Yedekleme/yenileme 15

Uygulama kullanma sorunları 15

Kaynak: Sonnenreich, Wes; ‗Güvenlik Yatırımları Getirisi (ROSI): Ölçülebilir Pratik Bir Model‘,Journal of Research and Practice in

Information Technology, cilt., 38, no. 1, ġubat 2006, the Australian Computer Society yayınları, Avustralya, 2006

3.1.4 BT denetim ve güvence uzmanları, kayıp verimliliğin, anlamlı risk açıkları öngörüsü sağlayan pek çok yolu olduğunun ve

bunların her birinin ROSI hesaplamasında kullanılabildiğinin farkında olmalıdırlar. 3.1.5 ROSI gerekçelendirmesinde, azaltılan riskleri ölçmek kurum için önemlidir. Normal koĢullar altında, güvenlik çözümleri

doğrudan ölçülebilir değer yaratmazlar, daha çok kaybı önlerler. Önlenen bir kayıp, belki de kurum tarafından bilinmeyen bir kayıptır. Örneğin, kuruluĢun saldırı tespit sistemi (IDS) geçen yıl için 20 baĢarılı giriĢ gösterirken bu yıl için 10 adet gösteriyor olabilir. Bunun nedeni yeni güvenlik çözümlerinin uygulanması mıdır yoksa ağa daha az sayıda saldırı yapılması mıdır?

ġekil 4 – Güvenlik Çözümleri Nedeniyle Verimlilik Kaybı

Sorun Ortalama Aksama Süresi (Dakika)

Uygulama ve sistem çökmesi 10

Bant GeniĢliği etkinliği ve geçisi 10

AĢırı kısıtlayıcı güvenlik politikası 10

Güvenlik politikalarının uygulattırılması 10

Bellekten sistemle ilgili yollananlar ve BT yükseltmeleri 10

ĠĢletim sistemleri ve uygulamalar için güvenlik yamaları 10

Virüs taraması yüzünden dosya indirme sorunları 10

Uyumluluk meselesi – Donanım ve yazılım 15

AĢırı çok parola/izin nedeniyle güvenlik sorunları 15

Kaynak: Sonnenreich, Wes; ‗Güvenlik Yatırımları Getirisi (ROSI): Ölçülebilir Pratik Bir Model‘,Journal of Research and Practice in Information Technology, cilt., 38, no. 1, ġubat 2006, the Australian Computer Society yayınları, Avustralya, 2006

220


3.1.6 DüzeltilmiĢ ROSI elde etmek için kuruluĢun, güvenlik çözümlerinin baĢarısızlığı sonucunda ortaya çıkan zararı yakalaması önemlidir. Güvenlik çözümleri yalıtılmıĢ olarak çalıĢmazlar; diğer çözümlerin varlığı ve etkililiğinin güvenlik çözümünün performansı üzerinde baĢat etkileri vardır. En etkili güvenlik çözümleri, verimlilik üzerindeki kabul edilemez etkileri dolayısıyla nadiren uygulanırlar. ġekil 4, güvenlik çözümlerinin uygulanması sonucunda ortaya çıkan verimlilik kaybını gösterir.

3.1.7 BT denetim ve güvence uzmanları, güvenlik çözümü maliyetinin, çözümün verimlilik üzerindeki etkisini de kapsamak zorunda olduğu olgusunu dikkate almalıdırlar, çünkü bu sayı çoğu zaman önerilen çözümün sürdürülebilirliğini etkileyecek kadar büyüktür. Güvenlik çözümleri, bilgisayar korsanları zamanla bu çözümleri aĢabilecekleri ve yeni riskler yaratabilecekleri için zamanla daha az etkili hale gelirler. Bu nedenle, kuruluĢun, güvenlik çözümü performansını düzenli olarak değerlendireceği bir sisteme sahip olması önemlidir. BT denetim ve güvence uzmanları bu tür değerlendirme raporlarını ve bunlara göre gerekli eyleme geçilip geçilmediğini gözden geçirmelidirler.

3.1.8 Güvenlik çözümünün ilk tasarımı ve kurulması dıĢında, kuruluĢun uygulanan çözümü yönetmek için iyi bir sürece sahip olması ve güvenliği dinamik bir uygulama olarak gerçekleĢtirmesi eĢit derecede öneme sahiptir. Örneğin, IDS, yeni ―imzalar‖ ile sık aralıklarla güncellenmeye ihtiyaç duyar, güvenlik politikaları düzenli olarak denetlenmeli ve değerlendirilmelidir, yazılım yamaları düzenli olarak güncelleĢtirilmeli ve kurulmalıdır, güvenlik duvarları BT altyapısındaki değiĢiklikleri ve büyümeyi yansıtacak biçimde ayarlanmalıdır. BT denetim ve güvence uzmanları, uygulanan güvenlik çözümünün destek planını gözden geçirmelidir.

3.1.9 BT denetim ve güvence uzmanları, kuruluĢun yüz yüze olduğu sorunlara dair güvenlik çözümlerinin etkili uygulamasını ayrıca incelemelidir, örneğin:

Nitelikli iĢgücünün kullanılabilirliği

Eğitimli iĢgücünün muhafaza edilmesi

Güvenlik performansının 24x7 izlenmesi

Son saldırılar, zayıflıklar, yamalar, teknolojik ilerlemeler, yükseltmeler ve güvenlik çözümleri için güncellemeler

4. GÖRÜġLER 4.1 Denetim 4.1.1 Farklı ROSI modelleri vardır ve her kuruluĢa uyan bir tek model yoktur. Modelin uygulanabilirliği kuruluĢtan kuruluĢa değiĢir ve

dikkate alınması gereken değiĢik unsurlara bağlıdır, örneğin:

Açığın derecesi

Zayıflıkların doğası

Tehlikenin türü

Dengeleyici kontrollerin zayıflığı/yokluğu

Coğrafi konum-dıĢ etmenlerin tehdidi; savaĢ, doğanın aĢırılığı ve kontrol edilemeyen diğer etmenler 4.1.2 Kurum, güvenlik ihlalleri ve boĢlukları için iyi tanımlanmıĢ bir veri toplama sürecine sahip olmalıdır. Veri yakalama, kurum içinde

olan olaylarla sınırlı olmamalıdır ve aĢağıdakileri de dikkate alan bir rejimle bunun ötesine geçilmelidir:

ĠĢin doğası/türü

ĠĢ modeli (iĢten iĢe, iĢten tüketiciye gibi)

BT tarafından gerçekleĢtirilen kritik iĢ iĢlevleri

BT güvenliğine karĢı rakipler ve benzer endüstri stratejileri Bu tür veri iĢlenir ve uygunca analiz edilir ve sonuçlar üst yönetim tarafından gözden geçirilir.

4.1.3 Güvenlik yatırımları, güvenlik gerekliliklerinin, risk değerlendirmesinin, ürün performansının, tedarikçi hizmet düzey anlaĢmasının ve en önemlisi güvenlik planının genel iĢ hedeflerine göre konumlandırılmasının uygun analizleri yapıldıktan sonra yapılır.

4.1.4 Yeterli sigorta olmaksızın hiçbir güvenlik tam değildir. Kurum, uygun sigorta tarafından yeteri derecede korunmalıdır. 4.1.5 Güvenlik, bir inhibitör olarak değil, iĢin koruyucusu ve oldurucusu olarak ele alınmalıdır. Güvenlik maliyetini gerekçelendirme,

teknolojinin, iĢi, güvenlik politikasını ve süreçlerini doğrudan iĢ amaçlarıyla paralelleĢmeyi ve en yüksek güvenlik yatırımı değeri sonucunda ortaya çıkan güvenlik teknolojisini yönetme ve sürdürmeyi sağlama meselesidir.

4.1.6 Güven, güvenliğin en yüksek biçimidir. Kurum, kurum varlıklarını korumak ve beklenen saldırılar ne zaman olursa olsun bir erken uyarıyı geleceğe dönük sağlamak için önemli paydaĢlar tarafından eĢlik edilen bir ―güvenilir kuruluĢa‖dönüĢtürülmelidir.

4.1.7 Güvenlik politika ve süreçleri yürürlükteki yasalar ve düzenleyicilerin gereklilikleriyle uyumlu olmalıdır. 5. YÜRÜRLÜK TARĠHĠ 5.1 Bu kılavuz, 1 Mayıs 2010 tarihinde ve sonrasında baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir. EK

Örnekler

A1. ROSI kullanım örneği = (Risk açığı * Azaltılan risk %) – Güvenlik yatırım maliyeti

Güvenlik yatırım maliyeti

A Ģirketine daha önce bir virüs saldırısı yapılmıĢtır. Virüs saldırısı dolayısıyla ortaya çıkan ortalama zarar ve verimlilik kaybı 25.000 ABD dolarıdır. An itibarıyla, A Ģirketi yılda dört saldırıya maruz kalmaktadır ve maliyeti 25.000 ABD doları olan virüs tarama uygulama çözümüyle bu dört saldırıdan üçünü durdurmayı beklemektedir. AĢağıdaki örnekte ROSI Ģöyle hesaplanır: Risk açığı: Açık baĢında 25.000 ABD doları x 4 yılda 4 açık = 100.000 ABD doları Çözümle azaltılan risk: 4 saldırıdan 3‘ü, % 75 Güvenlik yatırımı maliyeti: 25.000 ABD doları ROSI = (100.000 Dolar * % 75) – 25.000 dolar = % 200 25.000 dolar Örnekte, güvenliğe yatırım yapmaya değer gözükmektedir. Ancak, farklı varsayımlar vardır ve bu nedenle gerçek bundan farklı olabilir. Örneğin, azaltılan saldırıların her biri 5.000 dolar maliyete denk olursa ve engellenemeyen dördüncü saldırı 85.000 dolar değerinde olursa ne olur? Ortalama 25.000 dolar olur ; ancak, dördüncü saldırı maliyetli bir saldırı olur.

221


A2. ROSI kullanan örnek= R – ALE, burada ALE = (R – E) + T, örneğin ROSI = E – T. A Ģirketi, internet üzerindeki iĢ iĢlemlerini korumak için güvenli web sunucuları kurmuĢtur. Web sunucusunun maliyeti 100.000 dolardır.

GeçmiĢte yaĢanan baĢlıca üç saldırı temel alındığında Ģirket yıllık iyileĢtirme maliyeti ve web sunucuların kurulması dolayısıyla elde tutulan miktar olarak 250.000 dolar öngörmektedir. Bu örnekte:

ALE = (500.0000$ - 250.000$) + 100.000 $ = 350.000 $

ROSI = 500.000 $ - 350.000 $ = 150.000 $ Kaynaklar Gordon, Lawrence A.; Martin P. Loeb; The Economics of Information Security Investment, ACM Transactions on Information and

System Security, November 2002, p. 438-457

Matsuura, Kanta; Information Security and Economics in Computer Networks: An interdisciplinary Survey and a proposal of Integrated

Optimization of Investment, Institute of Industrial Science, University of Tokyo, Japan, 2003

National Institute of Standards and Technology (NIST), Security Metrics Guide for Information Technology Systems, USA, 2003

Sonnenreich, Wes; ‗Return on Security Investment (ROSI): A Practical Quantitative Model‘, Journal of Research and Practice in

Information Technology, vol., 38, no. 1, February 2006, a publication of the Australian Computer Society, Australia, 2006

222

G 42 SÜREKLĠ GÜVENCE

1. ARKA PLAN

1.1 Standartlarla Bağlantı 1.1.1 S5 Planlama Standardı, BT denetim ve güvence uzmanı, denetim hedeflerini için biliĢim sistemleri denetimi kapsamını

yürürlükteki yasalara ve profesyonel denetim standartlarına uygun Ģekilde planlaması gerektiği Ģeklinde ifade eder. 1.1.2 S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, BT denetim ve güvence uzmanı, denetim süresince,denetim hedeflerini

baĢarmak için yeterli, güvenilir ve ilgili kanıt elde etmesini ifade eder.Denetim bulguları ve sonuçları bu kanıtların uygun analiz ve yorumlanmasıyla desteklenmelidir.

1.1.3 S7 Raporlama Standardı, BT denetim ve güvence uzmanı, raporlanan sonuçları desteklemek için uygun ve yeterli denetim kanıtına sahip olmasını ifade eder.

1.1.4 S14 Denetim Kanıtı Standardı, ,BT denetim ve güvence uzmanı, denetim sonuçlarının dayandığı makul sonuçlara ulaĢmak için yeterli ve uygun kanıt elde etmesini ifade eder.

1.2 Kılavuzlarla Bağlantısı 1.2.1 K2 Denetim Kanıtı Gereklilikleri Kılavuzu, BT denetim ve güvence uzmanına, biliĢim sistemleri denetiminde kullanılan

denetim kanıtının türü ve yeterliliğiyle ilgili kılavuzluk sağlar. 1.2.2 K3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı Kılavuzu (CAAT), BT denetim ve güvence uzmanına, değiĢik

denetim süreçlerinin yürütülmesi sürecinde kullanılabilecek bilgisayar destekli araçlar ve tekniklerin çok çeĢitli türleri hakkında kılavuzluk sağlar.

1.2.3 K10 Denetim Örneklemi Kılavuzu, BT denetim ve güvence uzmanına denetim örneklemi tasarlanması ve seçiminde ve örneklem sonuçlarının değerlendirilmesinde kılavuzluk sağlar.

1.3 COBIT‘le Bağlantısı 1.3.1 Belli bir denetim kapsamında uygulanabilir en ilgili COBIT materyalinin seçimi, belli COBIT BT süreçlerinin seçimine ve

COBIT kontrol amaçlarının ve ilgili yönetim uygulamalarıyla iliĢkisini dikkate alınmasına bağlıdır. BS Denetçisince güvenlik yönetim uygulamalarının gözden geçirilmesinde, aĢağıdaki gibi birincil ve ikincil olarak sınıflandırılan ve COBIT‘teki süreçlerle en iliĢkili olabilen seçilir ve uyumlaĢtırılır. Seçilen ve uyarlanan süreç ve kontrol hedefleri, görevin özel kapsam ve Ģartlarına uygun biçimde değiĢebilir.

1.3.2 Birincil referanslar:

DS5 Sistemlerin güvenliğini sağlamak

ME2 İç kontrolleri izlemek ve değerlendirmek

AI1 Otomatik çözümleri tanımlamak 1.3.3 En ilgili bilgi ölçütleri:

Birincil: Etkililik, etkinlik, gizlilik ve bütünlük

Ġkincil: EriĢilebilirlik, uygunluk ve güvenirlik

1.4 Kılavuz Ġhtiyacı 1.4.1 Geleneksel olarak, kontrollerin test edilmesi iĢlemi, sıklıkla, iĢ etkinliklerinin gerçekleĢtirilmesinin üzerinden aylar

geçtikten sonra geçmiĢe dönük olarak ya da döngüsel olarak yürütülür. Test usülleri, sıklıkla örneklem yaklaĢımını temel alır ve politikalar, süreçler, onaylar ve mutabakatlar gibi unsurların gözden geçirilmesini içeren örnekseme yaklaĢımına dayanır. Sürekli güvence, kontrol ve risk değerlendirmesini daha sık aralıklarla otomatik olarak gerçekleĢtirmeyi sağlamakta kullanılan bir yöntemdir. Bu yaklaĢımın en önemli faydası, muhtemel açıkların ve zayıflıkların anında izlenmesi ve iyileĢtirilmesine izin veren bildirimlerin zamanında yapılmasıyla sonuçlanacak biçimde kontrol ve risklerin test edilmesini sürekli sağlayan akıllıca ve etkin olmasıdır.

1.4.2 Sürekli güvence, BT denetimi ile sınırlı olmayan bir kavram olsa da, BT denetim ve güvence uzmanları, müĢterileri ya da kurumları için sıklıkla sürekli güvence süreç ve sistemleri geliĢtirmek, uygulamak ve sürdürmek için görevlendirilmektedirler. BT denetim ve güvence uzmanları, sürekli güvence süreç ve sistemlerini baĢarıyla uygulamak için iĢ ve teknik beceri ve deneyimle geniĢ anlamda iĢ ve BT paydaĢlarının katılımıyla sağlanacak eĢsiz bir kaldıraçla katma değer üretebilirler.

1.4.3 Bu rehber, BT denetim ve güvence uzmanlarına bir kurumdaki süreçlerin ve sistemlerin sürekli güvencesinin planlanması, uygulanması ve bakımı esnasında ilgili BT denetim ve Güvence Standartlarının uygulanmasında klavuzluk sağlar.

2. SÜREKLĠ GÜVENCE, DENETĠM VE ĠZLEME 2.1 BDDT ve Sürekli Güvence 2.1.1 Bilgisayar destekli denetim teknikleri (BDDT), genelleĢmiĢ denetim yazılımı, test verisi oluĢturucular, bütünsel test

araçları, bilgisayarlı denetim programları, özel denetim ve sistem yazılım araçlarıyla ilgili her türlü otomatik denetim teknikleridir.

2.1.2 Sürekli güvence, kesintisiz izleme yaklaĢımıdır. Bu, BT denetim ve güvence uzmanının, yönetimin sürekli izlemesinin gözetimiyle BT denetim ve güvence uzmanının BDDT kullanan sürekli denetim yaklaĢımının bir bileĢkesidir ve yönetim ve BT denetim ve güvence uzmanının kontrol ve riskleri sürekli olarak izlemesine ve teknolojiyi kullanarak seçici denetim kanıtını toplamasına olanak verir.

2.1.3 Sürekli güvence, BT denetim ve güvence uzmanları tarafından zamanında raporlamayı sağlamak için kullanılabilir ve yüksek riskli ve yüksek hacimli kâğıtsız ortamlarda kullanılmasına imkan sağlayan bir süreçtir. BT denetim ve güvence uzmanı için, etkin ve etkili bir yoldan kontrol ortamını değerlendirmek için ve denetim kapsamını geniĢletmek, daha tutarlı ve derin veri analizleri ve risk azaltmada önemli bir araçtır.

2.2 Sürekli Denetim 2.2.1 Sürekli denetim, BT denetim ve güvence uzmanı tarafından daha sık aralıklarla kontrol ve risk değerlendirme

gerçekleĢtirmede kullanılan bir yöntemdir. Bu yöntem, BT denetim ve güvence uzmanına kontrol ve riskleri sürekli olarak izlemeyi sağlayan BDDT‘yi kullanmayı içerir. Bu yaklaĢım, BT denetim ve güvence uzmanına, bilgisayar yardımıyla seçici denetim kanıtını bir araya getirmeyi sağlar.

2.3 Sürekli Ġzleme

223

G 42 SÜREKLĠ GÜVENCE (Devamı) 2.3.1 Sürekli izleme, süreklilik temelinde yönetimin, politika, süreç ve iĢ iĢlemlerinin etkili çalıĢıp çalıĢmadığını izledikleri

yönetim sürecidir. Yönetim için geliĢtirilmiĢ olan sürekli izleme sürecine ek olarak, eğer uygun ise, BT denetim ve güvence uzmanı tarafından gerçekleĢtirilen sürekli denetim de, yönetim tarafından gerçekleĢtirilen sürekli izleme sürecine dönüĢtürülebilir. Yönetim tarafından, BT denetim ve güvence uzmanı tarafından gerçekleĢtirilen sürekli denetimle bağlantılı olarak gerçekleĢtirilen sürekli izleme, kontrol süreçlerinin etkililiği ve karar vermede kullanılan ilgili ve güvenilir bilgiyi güvence altına alma taleplerini karĢılayacaktır.

3. PLANLAMA

3.1 Sürekli Denetim Alanlarının Seçimi 3.1.1 Sürekli denetim yöntemiyle gözden geçirilecek alanlar, yıllık denetim planı geliĢtirmenin bir parçası olarak seçilmeli,

eğer oluĢturulmuĢsa, kuruluĢun risk yönetim çerçevesinden faydalanılmalıdır. Gözden geçirmeleri standart bir döngüye göre planlamaktansa, bunların sıklığı alan ya da iĢ süreçlerindeki risk etmenlerini temel alan bir sıklıkta olmalıdır. BT denetim ve güvence uzmanı, sürekli denetim için öncelikli alanları belirlemede aĢağıdakileri dikkate almalıdır:

Riski temel alarak denetlenmesi ve öncelik verilmesi gereken kritik iĢ süreçlerini tanımlamak.

Eğer geliĢtirilmiĢse, kuruluĢun risk yönetim çerçevesini gözden geçirmek.

KuruluĢun önceki deneyimlerini gözden geçirme alanlarını dikkate almak.

Tanımlanan risk alanları için sürekli denetim verisinin eriĢilebilirliğini ve doğruluğunu anlamak.

KuruluĢ için zamanında yapılan raporlamanın daha fazla değer sağlayabileceğini göz önünde bulundurarak denetim için öncelikli alanları tanımlamak.

Denetlenen alanların denetlenme sıklığını belirlemek.

Denetim alanları için, iĢ tanımında da içerilmesi olası denetim hedeflerini oluĢturmak. 4. RĠSK YÖNETĠMĠ

4.1 Risk Tanımlama ve Değerlendirme 4.1.1 Sürekli denetim, riskleri tanımlama ve değerlendirmede ve kuruluĢta ortaya çıkan değiĢikliklere yanıt veren dinamik ve

akıllı eĢikleri oluĢturmada BT denetim ve güvence uzmanlarına yardımcı olur. Ayrıca, yıllık denetim planlamasının geliĢtirilmesine ve özel bir denetimin hedeflerinin tanımlanmasına katkıda bulunarak bütün denetim evreni için risk tanımlama ve değerlendirmesini destekler. BT denetim ve güvence uzmanı, eğer geliĢtirilmiĢ ise, kurumsal risk yönetim çerçevelerini gözden geçirmelidir.

5. SÜREKLĠ DENETĠM UYGULAMASI 5.1 Görevin[ÇalıĢmanın] Planlaması 5.1.1 BaĢarılı bir sürekli denetim uygulaması için, yönetimin ve paydaĢların katkısı ve en kritik iĢ sistemlerini baĢta gösteren

aĢamalı bir yaklaĢıma gerek vardır. Sürekli denetimin kullanımının geliĢtirilmesi ve kullanımının desteklenmesinde aĢağıdaki etkinlikler planlanıp yönetilmelidir:

Kapsanacak alanları önceliklendirmek ve uygun sürekli denetim yaklaĢımını seçmek.

MüĢterinin anahtar personelinin kullanılabilirliğini sağlamak.

Uygun çözümleme araçlarını seçmek – Bu kurumsal olarak yazılı kurallara bağlanmıĢ olabileceği gibi tedarikçi tarafından sağlanmıĢ yazılım da olabilir.

Kontrolleri değerlendirmek ve kusurları tanımlamak için sürekli denetim rutinlerini geliĢtirmek.

Sürekli denetim rutinini uygulama sıklığını belirlemek.

Çıktı ihtiyaçlarını tanımlamak.

Bir raporlama süreci geliĢtirmek.

Ġlgili yönetim kademesi ve BT yönetimiyle iliĢkiler kurmak.

Veri bütünlüğünü değerlendirmek ve veri hazırlamak.

Kaynak gerekliliklerini belirlemek, örneğin personel, iĢleme ortamı (kuruluĢun BT araçları ya da BT denetim araçları) gibi.

Yönetimin izleme rolünü (sürekli izleme) hangi sınırlar içinde yürüttüğünü anlamak.

5.2 Yönetimin Desteğini Edinmek 5.2.1 Sürekli denetim hedefleri tanımlandığında, üst yönetimin desteği mutlaka edinilmelidir. Üst yönetim, ön koĢullar, özel

olarak eriĢim gereklilikleri ve sonuçların ne zaman ve nasıl raporlanacağı hakkında bilgilendirilmelidir. Bu yapıldığında, iĢlemlerde sıra dıĢılıklar tanımlandığında, bunların açıklanması için yöneticilerle iletiĢime geçildiğinde, sürekli denetimin etkinliğinin meĢruiyeti sorgulanmayacaktır.

5.2.2 Yönetimin desteği, iĢ tanımı içindeki sürekli denetim kapsamı onaylanmasıyla bağlantılı olarak edinilebilir. Destek ayrıca, olması durumunda, denetim komitesinden de edinilmelidir. Sürekli denetim iĢ tanımında kapsanan süre genellikle tek bir görevin kapsandığı süreden daha uzundur ve sürenin yaklaĢık bir yıla kadar çıkması olağandıĢı değildir..

5.3 Denetlenen ile Düzenlemeler 5.3.1 Veri dosyaları, ayrıntılı iĢlem dosyaları gibi, çoğunlukla kısa süreler için muhafaza edilir. Bu nedenle, BT denetim ve

güvence uzmanı, uygun denetim çerçevesini kapsayacak Ģekilde veri muhafazasını mümkün kılan düzenlemeler yapmalıdır.

5.3.2 KuruluĢun üretim ortamı üzerindeki etkiyi en aza indirmek için, kuruluĢun BT tesislerine, programlarına/sistemlerine ve veriye eriĢim, gerekli zaman süreci için baĢtan düzenlenmelidir.

5.3.3 BT denetim ve güvence uzmanı, sürekli denetim rutinlerinin kullanımının üretim programlarının/sistemlerinde yol açabileceği değiĢikliğin etkisini değerlendirmelidir. Bunu yaparak, BT denetim ve güvence uzmanı, bu değiĢikliklerin sürekli denetim rutinlerinin doğruluğu ve yararlılığı ve program/sistem doğruluğu ile BT denetim ve güvence uzmanı tarafından kullanılan veri üzerindeki etkisini göz önünde bulundurmalıdır.

5.4 Sürekli Denetim Rutinlerinin GeliĢtirilmesi

224

G 42 SÜREKLĠ GÜVENCE (Devamı) 5.4.1 BT denetim ve güvence uzmanı, uygun planlama, tasarım, test, iĢleme ve belgelerin gözden geçirilmesinin yardımıyla

sürekli denetim rutininin doğruluğunun, güvenilirliğinin, yararlılığının ve gizliliğinin makul güvencesini edinmelidir. Bu, sürekli denetim rutinlerine güven duymaya baĢlamadan önce gerçekleĢtirilmelidir. BT denetim ve güvence uzmanı, sürekli denetim rutinlerinin doğruluk ve tamlığını sağlamak için sistem geliĢtirme yaĢam döngüsünün izlendiğini gösterebilmelidir.

5.5 Sürekli Güvence Testinin Kapsamı 5.5.1 BT denetim ve güvence uzmanı tarafından gerçekleĢtirilecek ayrıntılı kontrol ve risk testlerinin sınırlarının belirlenmesi

gerekir. Bu belirlemedeki anahtar bir etmen, kontrol ortamının ve izleme faaliyetlerinin yeterliliği olacaktır. BT denetim ve güvence uzmanı, eğer oluĢturulmuĢsa, kuruluĢ risk yönetim çerçevesinde iĢaret edilen kontrol çerçeve ve alanlarını incelemelidir. Yönetim, risk ve kontrolleri değerlendirmek için sürekli izlemeyi de içeren iyi kurulmuĢ ve iĢlevsel süreçlere sahipse, BT denetim ve güvence uzmanı, raporlanan kontrol ve risk düzeylerine daha fazla güven duyabilecektir. Ancak, bu süreçler yeterli değilse, BT denetim ve güvence uzmanının, zorunlu olmamakla birlikte, ayrıntılı kontrol ve risk değerlendirmesini daha çok sıklıkla sürekli olarak gerçekleĢtirmesi gerekli olacaktır.

5.6 Testin Sıklığı 5.6.1 BT denetim ve güvence uzmanı, sürekli denetim testlerinin alan, kapsam ve zamanını belirlerken sürekli denetimin

hedeflerini, kuruluĢun risk iĢtahını, sürekli yönetim izlemesinin doğasını ve düzeyini, kuruluĢun risk etkinliklerini göz önünde bulundurmalıdır. BT denetim ve güvence uzmanları, risklere öncelik vermeli ve ilk sürekli denetim uygulamasında yalnızca birkaç tane yüksek riskli alan ya da anahtar kontrol noktası seçmelidir.

5.6.2 Bir sonraki adım, sürekli denetim testlerinin hangi sıklıkla çalıĢtırılacağı belirlemektir. Sürekli denetim etkinliklerinin sıklığı, ayrıntılı iĢlemlerin gerçek zamanlı ya da yaklaĢık gerçek zamanlı olmasından ayrıntılı iĢlemlerin, anlık görünümlerinin ya da özetlenmiĢ verilerin düzenli analiz edilmesine kadar farklı aralıklarda yer alabilir. Sıklık, yalnızca incelenen sistem ya da sürecin maruz kalabileceği risk düzeyine bağlı değildir, kullanılabilir kaynaklar ve yönetim tarafından gerçekleĢtirilen izlemenin uygunluğuna da bağlıdır. Kritik sistemlerin anahtar kontrolleri, iĢlem verisinin gerçek zamanlı çözümlemesine tabi olabilir. Yıllık denetim planını destekleyen risk değerlendirmesi her çeyrekte gerçekleĢtirilebilirken tekil destekleyici denetim ve denetim önerilerinin izlenmesi geçici(ad hoc) özel temelde yapılabilir. Sürekli denetim rutinlerinin uygulanma sıklığı riske bağlıdır. Sıklık belirlemesinde dikkate alınması gereken önemli bir nokta sürekli denetim testlerinin otomasyonunun risk değerlendirmesi ve kontrol doğrulamasının gerçekleĢtirilme maliyetini düĢüreceğidir.

5.6.3 Son olarak, BT denetim ve güvence uzmanı, sürekli denetimin ne sıklıkta ve nerede gerçekleĢtirileceğini belirlerken yalnızca mevzuat düzenlemelerini değil aynı zamanda yönetimin iĢaret ettiği maruz kalınan riskleri ve muhtemel etkileri de dikkate almalıdır. Yönetimin, kontroller için sürekli izleme sistemlerini uygulamakta olduğu durumlarda kurum iç ya da dıĢ denetim ve güvence uzmanları bunu hesaba katarak, ayrıntılı kontrol testlerini azaltmak için sürekli izleme iĢlemine ne derece güvenebileceklerine karar verebilirler.

5.7 Veri Bütünlüğü ve Güvenlik Sorunu 5.7.1 BT denetim ve güvence uzmanı, veri analizi için bilgi çıkarmada sürekli denetim rutinlerinin kullanıldığı yerlerde, bilgi

sistemlerinin ve verinin içinde çıkarıldığı BT ortamının bütünlüğünü onaylamalıdır. 5.7.2 Hassas program/sistem bilgisi ve üretim verisi, güvenli biçimde muhafaza edilmelidir. BT denetim ve güvence uzmanı,

gizliliği sağlamak için program/sistem bilgisini ve üretim verisini uygun güvenlik düzeyinde korumalıdır. Bunu yaparak, BT denetim ve güvence uzmanı, veri sahibi olan kuruluĢ ve ilgili yasal düzenlemeler tarafından gerekli tutulan gizlilik ve güvenlik düzeyini göz önünde bulundurmalıdır.

5.7.3 BT denetim ve güvence uzmanı, sürekli denetim rutinlerinin sürekli doğruluğu, güvenirliği, yararlılığı ve güvenliğini sağlamak için uygun iĢlemlerin sonuçlarını kullanmalı ve dosyalamalıdır. Örneğin, sürekli denetim rutinlerinde yalnızca yetkili değiĢiklikler yapıldığını belirlemek için program bakımı ve program değiĢiklik kontrollerinin denetimini içermelidir.

5.7.4 Sürekli denetim rutinlerinin içinde bulunduğu ortamın BT denetim ve güvence uzmanının kontrolü altında olmadığı zaman, sürekli denetim rutinlerindeki değiĢiklikleri tanımlamak için uygun düzey kontroller etkilileĢtirilmelidir. Sürekli denetim rutinleri değiĢtirildiğinde, sürekli denetim rutinlerine güvenmeden önce BT denetim ve güvence uzmanı uygun planlama, tasarım, test, iĢleme ve belgelerin gözden geçirilmesi yardımıyla sürekli denetim rutininin doğruluğunun, güvenilirliğinin, yararlılığının ve gizliliğinin makul güvencesini edinmelidir.

6. SÜREKLĠ ĠZLEMENĠN GÖZETĠMĠ

6.1 Sürekli Ġzleme 6.1.1 Sürekli izleme, yönetimin, politikaların, iĢlemlerin ve iĢ süreçlerinin etkili çalıĢmasını sağlamak için oluĢturduğu

süreçlere iĢaret eder. Bu tipik olarak, yönetimin, kontrollerin yeterliliği ve etkililiğini değerlendirme sorumluluğuna iĢaret eder. Yönetimin, kontrolleri sürekli izlemek için kullandığı tekniklerin çoğu, BT denetim ve güvence uzmanı tarafından sürekli denetimin gerçekleĢtirilmesi için kullanılanlarla benzerdir. Sürekli güvence, ayrıca yönetim izlemesinin etkililiğini de izler.

6.1.2 Sürekli izlemenin anahtarı, etkili bir çevre kontrolü uygulamak ve sürdürmek için yönetimin sorumluluklarının bir parçası olarak yönetim tarafından sahiplenilmesi ve gerçekleĢtirilmesi gereken bir süreç olmasıdır. Yönetim, iç kontrollerden sorumlu olduğundan, kontrollerin tasarlandıkları gibi iĢleyip iĢlemediğini sürekli olarak belirlemek için bir araca sahip olmalıdır. Kontrol sorunlarının zamanında tanımlanıp düzeltilebilmesiyle toplamdaki kontrol sistemi geliĢtirilebilir. KuruluĢa tipik bir ek katkısı, hata göstergelerinin ve yolsuzlukların azaltılabilmesidir. Yönetimin izleme yeterliliği ve risk yönetim etkinlikleriyle BT denetim ve güvence uzmanlarının ayrıntılı kontrol testleri ve risk değerlendirmesi gerçekleĢtirme zorunluluğu arasında ters yönlü bir iliĢki vardır. BT denetim ve güvence uzmanının sürekli denetim yaklaĢımı ve miktarı yönetimin uygulamakta olduğu sürekli izlemeye bağlıdır.

6.2 Yönetimin Sorumlulukları 6.2.1 Yönetim, politikaları, iĢlemleri ve iĢ süreçlerini de içeren anahtar kontrollerin çalıĢmasının amaçlanan iĢ hedeflerini etkili

ve etkin bir Ģekilde baĢarılmasını sağlamak için kontrol ortamını sürekli izleyen süreçleri ve sistemleri uygulamaktan sorumludur.

225

G 42 SÜREKLĠ GÜVENCE (Devamı) 6.2.2 Yönetim, kontrol ortamının sürekli izlemesini gerçekleĢtirmek üzere çeĢitli teknikler kullanabilir, örneğin,

ĠĢ süreçlerindeki riski ve kontrol noktalarını açıklamak

ĠĢ süreçleri için kontrol hedeflerini ve savları tanımlamak

Özel kontrol hedeflerine iĢaret etmek için manüel ve otomatik kontrollerin tasarlanmak

Bu manüel ve otomatik kontrollerin çalıĢmasının test etmek

Normal iĢ iĢlemleri bağlamında manüel ve otomatik kontrollerin çalıĢmasını izlemek

Yönetim kontrolleri tarafından tanımlanan kontrol istisnalarını soruĢturmak

Kontrol zayıflıklarını veya belirlenen iĢlem hatalarını iyileĢtirmek için zorunlu önlemleri almak

ĠĢ süreçleri değiĢikliğini yansıtmak için manüel ve otomatik kontrolleri güncelleme ve yeniden test etmek

6.3 BT Denetim ve Güvence Uzmanlarının Sorumlulukları 6.3.1 BT denetim ve güvence uzmanları, eğer varsa denetim komitesine ve diğer paydaĢlara, sürekli izleme süreçlerin ve

sistemlerinin, belli kontrol hedeflerine iĢaret etmek için etkin ve etkili bir yolla çalıĢmasının gözetim ve güvencesini sağlarlar.

6.3.2 BT denetim ve güvence uzmanları, yönetimin sürekli izleme etkinliklerinin çalıĢmasını denetlemek için çok sayıda teknik kullanabilir, örneğin:

Dosyalama, sistem geliĢtirme yaĢam döngüsü, eğitim, sanal eriĢim ve anahtar sürekli izleme etkinlikleriyle iliĢkili kontrol değiĢikliklerini de içeren sürekli izleme mekanizmalarının geliĢtirilmesi üzerindeki kontrollerin denetimi ve testi

Yönetimin sürekli izleme etkinliklerinin çıktısının, BT denetim ve güvence uzmanı tarafından yürütülmüĢ benzer sürekli denetim iĢlemlerinin sonuçlarıyla kıyaslanması, örneğin yönetim raporlarının olası hataları tamamen ve hassasiyetle belirlediğini doğrulamak için istisna raporlarını karĢılaĢtırma

Önceki denetim raporlarını gözden geçirmek ve yönetimle, belirtilen istisnalara dair nelerin yapıldığını ve bu yapılanların çıktılarını görüĢmek

7. SÜREKLĠ DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ

7.1 Denetim Kanıtı Toplama 7.1.1 BT denetim ve güvence uzmanı tarafından sürekli denetim rutinlerinin kullanımı, denetim hedeflerinin ve rutinlerin ayrıntılı

özelliklerinin karĢılanmasının makul bir güvencesini sağlamak için kontrol edilmelidir. BT denetim ve güvence uzmanı, aĢağıdakileri yapmalıdır:

Uygun olan yerlerde kontrol toplamlarının mutabakatının gerçekleĢtirilmesi

Makul güvence için çıktı denetimi

Rutinlerin mantığının, parametrelerinin ya da diğer niteliklerinin gözden geçirilmesinin gerçekleĢtirilmesi

Sürekli denetim rutinlerinin doğruluğuna katkısı olabileceğinden, kuruluĢun genel BT kontrollerinin denetimi (örneğin, program değiĢiklik kontrolleri ve sisteme eriĢim ve/veya veri dosyaları)

7.2 Sürekli Denetim Sonuçlarının Yorumlanması 7.2.1 BT denetim ve güvence uzmanı, testler uygulandıktan sonra, , sorunların olduğu yerleri tanımlamak için sonuçları gözden

geçirmelidir. Kontrol zayıflıkları, kontrol testlerinde baĢarısız olan iĢlemlerle kanıtlanır. Risk düzeylerindeki artıĢ, karĢılaĢtırmalı analizlerle tanımlanabilir (Örneğin, bir sürecin diğer süreçlerle, bir bütünün diğer bütünlerle karĢılaĢtırma ya da aynı testleri yaparak ve farklı zamanlarda yapılan bu testlerin sonuçlarını karĢılaĢtırma). Sürekli denetim ya da izleme sistemlerinin uygulanmasında karĢılaĢılan pratik sorunlarından bir tanesi, kontrol istisnalarına ya da tanımlanan risklere etkin yanıttır. Sürekli denetim ya da izleme sistemi ilk olarak uygulandığı zaman, soruĢturma sonucunda tanımlanan çok sayıda istisnanın hiç ilgi noktası olmadığının kanıtlanması alıĢılmadık değildir. Sürekli denetim sisteminin, ayarlanan parametrelerinin, eğer uygun ise, alarm ya da bildirimlere yol açmaması gerekir. Bu tür yanlıĢ-olumluların tanımlanması süreci gerçekleĢtirildiğinde, artan biçimde sisteme yalnızca kontrol kusurlarını ya da önemli risk sorunlarını tanımlamada güvenilebilir. Ayrıca, tanımlanan iĢlemlere denetim yanıtının doğası değiĢebilir ve bunların hepsi için bir denetim ya da acil önlem gerekmez. Sonuçların öncelik durumları belirlenmeli ve buna göre hareket edilmelidir. Muhafaza edilmesi gereken ayrıntılar arasında aĢağıdakiler yer alır:

Elde edilen sonuçlar

Alınacak önleme dair kararlar

Kimin ve ne zaman haberdar edildiği

Beklenen yanıt tarihi

7.3 Yönetimin Eylemi 7.3.1 Sürekli denetimin bulguları yönetime iĢaret ediyorsa, BT denetim ve güvence uzmanı yönetimden hareket planı ve tarihinin

çerçevesini istemelidir. BT denetim ve güvence uzmanı, uygun hareket tarzı uygulamaya geçirildiğinde, kontrol zayıflığının iyileĢtirip iyileĢtirilmediğini ya da risk düzeyinin azaltılıp azaltılmadığını görmek için sürekli denetim testini yeniden uygular. Daha sonra uygulanan testlerin aynı sorunu yeniden tanımlamaması gerekmektedir.

7.4 Sürekli Güvence Rutinlerinin Hassas Ayarı 7.4.1 Uygun biçimde tasarlanmıĢ sürekli denetim uygulamasının kullanımı, yönetimin etkili bir kontrol çerçevesi ve etkin risk

yönetimi sürdürdüğünün güvencesini sağlama rolünü yerine getiren denetim etkinliğine yardımcı olur. Ancak, sürekli denetim esnek, açıklarda ve kontrol ortamında olan değiĢikliklere yanıt verici yapısını sürdürmelidir. Bu, uygulandıktan sonra aylarca tek baĢına bırakılacak bir Ģey değildir. BT denetim ve güvence uzmanı, sürekli denetim programının etkililiğini ve etkinliğini düzenli olarak denetlemelidir. Ek kontrol noktaları ya da risk açıklarının eklenmesi gerekebilir ve diğerlerinin çıkarılmasına gerek olabilir. ÇeĢitli analitikler için eĢiklerin, kontrol testlerinin ve parametrelerin sıkılaĢtırılması ya da gevĢetilmesi gerekebilir. Bu denetim sırasında BT denetim ve güvence uzmanı ayrıca, sürekli denetim sonuçlarının, kurumsal kaynak yönetimi, balans skor kart, performans ölçümü ve izleme etkinlikleri gibi diğer yönetim etkinliklerinde içerilmesini sağlamalıdır.

226

G 42 SÜREKLĠ GÜVENCE (Devamı)

7.5 Sürekli Güvence Sonuçlarının Belgelendirilmesi 7.5.1 . Sürekli denetim süreci, yeterli denetim kanıtı sağlayacak tatmin edici Ģekilde dosyalanmalıdır. 7.5.2 . Özel olarak, denetim çalıĢma kâğıtları, aĢağıdaki bölümde belirtilen ayrıntıları da içerir biçimde sürekli denetim rutinlerini

açıklayan yeteri kadar belge içermelidir.

7.6 Planlama Belgelendirilmesi 7.6.1 Belgelendirme içermesi gerekenler:

Sürekli denetim hedefleri

Kullanılan sürekli denetim rutinleri

Yönetimin sahiplendiği sürekli izleme iĢleminin bir değerlendirmesi

Kullanılan kontroller

Personel ve zamanlama

Raporu kimin aldığı

7.7 Uygulamanın Belgelendirilmesi 7.7.1 Uygulamanın içermesi gereken belgeler:

Sürekli denetim rutinleri için hazırlık, test süreçleri ve kontrolleri

Sürekli denetim rutinleri tarafından gerçekleĢtirilen testlerin ayrıntıları

Girdilerin (örneğin, kullanılan veri, dosya düzenleri), süreçlerin (örneğin, yüksek düzey iĢ akıĢ çizelgeleri, mantık), çıktıların (örneğin, kütük dosyaları, raporlar) ayrıntıları

Ġlgili parametrelerin ya da kaynak kodlarının listeleri

7.8 Denetim Kanıtlarının Belgelendirilmesi 7.8.1 Denetim kanıtının genel standart dosyalaması, sürekli denetim görevine de uygulanmalıdır. Dosyalamanın içermesi

gerekenler:

Üretilen çıktı

Çıktı üstünde denetimin tanımlanması ya da gerçekleĢtirilen denetim iĢinin analizi

Denetim bulguları

Denetim sonuçları

Denetim önerileri 7.8.2 Kullanılan veri ve dosyalar, güvenli bir konumda depolanmalıdır.

8. RAPORLAMA

8.1 Alan ÇalıĢmasının Tamamlanması ve Rapor Tarihi Arasında Geçen Zaman 8.1.1 Geleneksel denetim modelinde (hem iç hem dıĢ denetçiler tarafından kullanılır), alan çalıĢmasının tamamlanmasıyla ilgili

denetim raporunun verilmesi arasında bir zaman geçer. Örneklerin çoğunda, geciken raporlamanın etkisi, raporda içerilen bilginin daha az faydalı olması ya da kullanıcıya daha az yarar getirmesi biçiminde görülür. Bu sonucun nedeni, raporda içerilen bilginin eskimesidir ki tanımlanan kontrol zayıflıklarının ya da kusurların sonucunda denetlenenin tanımlanan kusurları düzeltmesinden ya da kontrol ortamının (veya denetlenenin ilgili verisinin) daha da bozulması gibi unsurlardan etkilenir.

8.2 Sürekli Güvencenin Raporlaması 8.2.1 Sürekli denetimde, bu nedenlerle, BT denetim ve güvence uzmanlarının, kullanılmakta olan modele göre çok daha kısa bir

zaman içinde konu hakkında raporlama yapmasını sağlayan bir tasarım yapılmıĢtır. Kuramsal olarak, bazı ortamlarda, raporlama zamanının çerçevesini anından ya da gerçekten sürekli güvenceyi sağlayacak kadar kısaltmak olanaklı olmalıdır. Raporlama iĢleminin, sürekli güvence uygulamalarından kaynaklanan raporlama konusunu ve tam zamanında yanıtlamayı sağlayacak biçimde paydaĢlarla birlikte tanımlanması gerekmektedir. Kritik konular olanaklı olan en kısa sürede raporlanmalıdır.

8.2.2 Tanım olarak, sürekli denetim, geleneksel denetime kıyasla, denetlenenin bilgi sistemlerine daha yüksek derecede güvenme gereksinimi içindedir. Bu, denetim testi için temel olarak dıĢarıdan üretilen bilgiden ziyade sistemin ürettiği bilgiye güvenme gereksiniminin bir sonucudur. BT denetim ve güvence uzmanları, bu nedenle, hem denetlenenin sisteminin hem de sistemin kendisi tarafından üretilen bilginin niteliği hakkında yargıya varma gereksinimindedirler. Yeterince nitelikli olmayan ya da daha az güvenilir bilgi üreten sistemler (ve daha çok manüel müdahaleye gereksinenler), yüksek nitelikli ve güvenilir bilgi üretenlere kıyasla sürekli denetime daha az yardımcıdır.

8.2.3 Yüksek nitelikli ve güvenilir bilgi üreten ortamlar, kısa süreli raporlamalar ve süreğen raporlamalar için daha uygundurlar. Yetersiz nitelikte ve daha az güvenilir bilgi üreten ortamlar, sistem tarafından iĢlenen bilgiyi denetlemek, onaylamak ve düzeltmek için kullanıcının zaman harcaması gerekeceğinden ortaya çıkan düzeltme zamanından dolayı daha uzun raporlama sürelerine gerek duyacaktır.

8.3 Sürekli Güvencenin Tanımlaması 8.3.1 Raporun hedefler, kapsam ve yöntem bölümleri, kullanılan sürekli güvence sürecini açık bir tanımını içermelidir. Bu tanım

yeteri kadar ayrıntılı olmalı ve okuyucuya iyi bir genel bakıĢ sunmalıdır. 8.3.2 Sürekli denetim rutini hedefleri açıklaması ayrıca raporun gövdesinde içerilmeli ve burada rutinin kullanımıyla ilgili özel

bulgular ele alınmalıdır. 8.3.3 Kullanılan rutinin tanımı çok sayıda bulguya uygulanabiliyorsa ya da aĢırı ayrıntılıysa, raporun hedefler, kapsam ve yöntem

bölümünde kısaca ele alınmalı ve okuyucu daha ayrıntılı bilgi için ekler kısmına yönlendirilmelidir.

9. YÜRÜRLÜK TARĠHĠ 9.1 Bu kılavuz, 1 Mayıs 2010 tarihinde baĢlayan bütün BT denetimleri için yürürlüktedir.

227

G 42 SÜREKLĠ GÜVENCE (Devamı)

10. REFERANSLAR 10.1 Ġç Denetçiler Enstitüsü, Sürekli Denetim: Güvence, Ġzleme ve Risk Değerlendirmesi için Uygulamalar, Küresel Teknoloji

Denetim Kılavuzu‘, ABD, 2005

11. TEġEKKÜRLER 11.1 .Kevin Mar Fan, CISA, CA, Brisbane Kent Konseyi, Avustralya, bu kılavuzun geliĢtirilmesine yardım etmiĢtir.

228

BT DENETİM VE GÜVENCE ARAÇ VE TEKNİKLERİ

P1 BS Risk Değerlendirme Ölçüm Usulü

1. ARKA PLAN

1.1 Standartlarla/Rehberlerle Bağlantı 1.1.1 S5 Planlama Standardı, ―BS Denetçisi bilgi sistemi denetim kapsamını denetim hedeflerini yürürlükteki yasalar ve

mesleki denetim standartlarına uygun Ģekilde planlamalıdır.‖ Ģeklinde ifade eder. 1.1.2 S6 Denetimin Yürütülmesi Standardı, ―Denetim süresince, BS Denetçisi denetim hedeflerini baĢarmak için yeterli,

güvenilir ve ilgili kanıt sağlamalıdır. Denetim bulguları ve sonuçları bu kanıtların uygun yorum ve analizleriyle desteklenmelidir.‖ Ģeklinde ifade eder.

1.1.3 G13 Denetim Planlamasında Risk Değerlendirmesi Rehberi denetimin planlanmasında rehberlik sağlar.

1.2 Usul Gereksinimi 1.2.1 Bu usul aĢağıdakileri sağlamak için tasarlanmıĢtır:

• BS Denetimi risk değerlendirmesinin tanımı

• Ġç denetim iĢlevinde kullanmak için BS Denetim risk değerlendirme yöntemi kullanımında rehberlik

• Risk derecelendirme ölçütlerinin ve ağırlıklandırmalarının kullanımı seçimine rehberlik

2. BS RĠSKĠ

2.1 Risk, kuruma ve kurum bilgi sistemi üzerinde olumsuz etkisi olacak bir davranıĢ ya da olayın gerçekleĢme olasılığıdır. Ayrıca, bir varlığın ya da bir grup varlığın zayıflıklarının sebep olacağı varlık kaybına ya da bunların zarar görmesine yol açması ihtimalide belirli bir risktir. Risk, genellikle olasılık ve etkinin bir birleĢimiyle ölçülür.

2.2 Kalıtsal risk, özel kontrollerin yokluğunda ortaya çıkan risklerle iliĢkiyi gösterir. 2.3 Artık risk, dikkate alınan olayın olması ihtimalini ve etkisini azaltacak kontroller düĢürdükten sonra dikkate alınması gereken

riskle iliĢkiyi gösterir. .

3. BS RĠSK ÖLÇÜMÜNÜN DEĞERLENDĠRME

3.1 Risk ölçümü değerlendirmesi, risk ve bunun muhtemel etkilerini tanımlamak ve değerlendirmek için kullanılan süreçtir..

4. BS DENETĠM RĠSK DEĞERLENDĠRME ÖLÇÜM YÖNTEMĠ

4.1 BS Denetim risk değerlendirme ölçümü, kurumun BS çevresi ve her bir denetim alanıyla ilgili risklerin tam olarak anlaĢılmasıyla BS Denetim kaynaklarının tahsis edilmesini en iyi Ģekilde sağlamak için risk modeli oluĢturacak bir yöntemdir. Denetlenebilir birimlerle ilgili olarak bakınız Bölüm 9.

4.2 Risk modelinin amacı, BS Denetim evreninin ve denetim evrenindeki her konuyla ilgili risklerin tam olarak anlaĢılmasıyla BS denetlim kaynaklarını tahsisini en iyi Ģekilde yapmaktır.

5. RĠSK-TABANLI BS DENETĠMĠ YAKLAġIMI

5.1 Giderek daha fazla sayıda kurum, sürekli denetim sürecini geliĢtirmek ve ilerletmek için uyarlanabilen risk temelli denetim yaklaĢımına geçmektedir. Bu yaklaĢım, riski değerlendirmek ve BS Denetçisine uygunluk testsi ya da sağlamlık testi yapma kararında yardımcı olmak için kullanılır. BS Denetçileri, risk temelli denetim yaklaĢımında sadece riski temel almaz. Ġç ve iĢletim kontrolleri gibi kurumsal bilgiyi de temel alır. Bu tür risk değerlendirme kararı, pratik tercihlere izin vererek bilinen riskin kontrolüne dair maliyet/fayda analizini iliĢkilendirmeye yardım edebilir.

5.2 ĠĢin özelliklerini anlayarak, BS Denetçileri gözden geçirmede kullanılacak risk modelini ya a yaklaĢımı daha iyi belirlemeyi sağlayan risk türlerini tanımlayabilir ve sınıflandırabilir. Risk değerlendirme modeli, iĢle ilintili risk türlerinin ağırlıklarının yaratılması ve denklemdeki risklerin tanımlanması kadar kolaydır. Diğer yandan, risk değerlendirmesi iĢin özellileri ya da riskin önemine göre risk ağırlıklarının dağıtıldığı bir Ģema olarak da yapılabilir.

5.3 BS Denetçisi kontrol edilemeyen riskler ve kritik kontrollerle de ilgilenir. Böylece, BS Denetçisi, risk temelli denetim yaklaĢımında, kabul edilebilir artık riskten daha fazlasının olduğu, teknoloji temelli iĢlevlerle ve yüksek kalıtsal risklerin olduğu iĢ iĢlevleri için kontrolleri sağlayan teknoloji temelli sistemlerle ilgilenecektir.

5.4 BS Denetim evreninin tanımlanması, risk derecelendirmesinde ilk öncelikli adımdır. Denetim evreninin belirlenmesinde, kurumun BT stratejik planını ve kurum yürüttüğü iĢleri, kurum örgütlenme Ģemasının, iĢlevlerinin ve tüm kurum iĢtiraklerinin sorumluluk bildirimlerinin, sorumlu idari personelle yapılan görüĢmelerin gözden geçirilmesiyle elde edilenleri bilme temeline dayanır.

5.5 Denetim planlama döngüleri, genellikle iĢ planlama döngüsüyle uyumludur. Sıklıkla, yıllık denetim planlama döngüsü bir takvim yılı ya da diğer bir on iki aylık süreç olarak seçilir. Çoğu kurumlar, on iki ay yerine altı ya da onsekiz aylık planlama döngülerini tercih eder. Sabit bir planlama döngüsünü tercih etmek yerine, bazı kurumlar kurulu bir dönemde dönen dönem bittiğinde yeniden baĢlamasını temel alan değiĢen planlanama döngüsünü kullanmaktadır. Tutarlılık için, bu süreç yıllık denetim planlama döngüsü olarak kabul edilir.

229


5.6 BS Denetim planına alınacak denetim projesinin seçimi, BS Denetim yönetiminin karĢı karĢıya geldiği en önemli sorunlardan

biridir. Denetim planlama süreci, yıllık BS Denetim planını tamamlamak için gerekli BS Denetim kaynaklarının miktarını tespit etme ve gerekçelendirilme imkanı sunar. Uygun projeyi seçmedeki baĢarısızlık, kontrollerin güçlendirilmesi ve faaliyet etkililiğinin kullanılmayan fırsatların kaçırılması anlamına gelir.

5.7 BS Denetim planı altında yatan varsayım Ģudur; gelecekteki denetim gözden geçirmesi/projesi değerlendirmesi, gözden geçirme/proje seçim kararını vermek için gereken bilgiyi toplamak için resmi iĢlemlerin yapılması daha etkili olacaktır. Burada açıklanan yaklaĢımlar, sağduyu ve mesleki yargıyı uygulamayı esas alan çerçevelerdir.

5.8 Yöntem göreceli olarak basit sunulmuĢtur. Ancak, çoğu büyük öneme sahip durumlarda, makul, ihtiyatlı ve savunulabilir bir BS Denetim gözden geçirme/proje seçim kararına ulaĢmaya yeterli olmalıdır. Maruz kalınabilecek risk analizi ve BS Denetim gözden geçirme/proje öncelik planı yapılmasında kullanılan çerçeve bu süreçte ayrıntılandırılır.

5.9 Burada kullanıldığı gibi, risk değerlendirme denetlenebilir birimleri incelemek ve en yüksek riske maruz kalan gözden geçirme/proje seçiminde kullanılan bir tekniktir. Denetim gözden geçirme/proje risk değerlendirme yaklaĢımı, BS Denetim kaynaklarının en iyi biçimde kullanıldığının makul güvencesini sağlayan araçları içerdiği için önemlidir, örneğin, BS Denetim planı, BS Denetim kaynaklarını en yüksek faydayı sağlayacak Ģekilde tahsis eder. Bu noktada, risk değerlendirme yaklaĢımı sistematik denetim projesi seçimi için somut kıstaslar sağlar. BS Denetim planı, tam olarak planlanmıĢ BS Denetim kapsamının tamamını ayrıntılandırmak için sıklıkla finansal ve faaliyet denetim planlarıyla birlikte ele alınır.

6. BS RĠSK DEĞERLENDĠRME ÖLÇÜM TEKNĠKLERĠ

6.1 BS Denetçisi, hangi iĢlevsel alanların denetleneceğinin belirlenmesinde çok sayıda denetim konusu ile karĢı karĢıya kalabilir. Eğer mümkün ise, kurumun bütün BS alanlarının tamamı risk değerlendirme çalıĢmasında kapsanmalıdır. Bazı kurumlar, sadece BS projelerini derecelendirir. Diğerleri, bütün BS denetlenebilir alanı/sistemi derecelendirir. Bunların her biri, değiĢik tür denetim risklerini içerir. BS Denetçisi, bu değiĢik türdeki risk adaylarını saptamalı değerlendirmeli ve bu sebeple denetlemelidir. Bu iĢlemin amacı:

• Kalıntı riskin kabul edilemeyecek kadar yüksek olarak tanımlanan alanlar

• Yüksek kalıtsal risklere iĢaret eden kritik kontrol sistemlerinin tanımlanması

• Kritik kontrol sistemlerindeki var olan iliĢkilerin değerlendirilmesi 6.2 Denetlenecek BS alanlarını belirlemek için risk değerlendirmesi kullanımı:

• Sınırlı BS denetim kaynaklarının yönetim tarafından etkili dağılımının yapılmasını sağlamak,

• Yönetim kurulu ve iĢlevsel alan yönetimleri de dahil olmak üzere, her seviye yönetimlerinden ilgili bilginin sağlanmasında makul güvence sağlaması. Genelde, bilgi, BS Denetim faaliyetlerinin yüksek iĢ riski olan alanlara yönelmesinin makul güvencesini sağlayan ve yönetimin sorumluluklarını etkili biçimde yerine getirmesini destekleyen, ayrıca yönetime değer katacak alanları içerir.

• BS Denetim iĢlevlerinin etkili yönetimi için temeli oluĢturur

• ĠĢ planları gibi tüm kurumda bireysel gözden geçirme konularının, bir Ģekilde özetini sağlar

7. BS RĠSK DEĞERLENDĠRME ÖLÇÜM YÖNTEMLERĠ

7.1 BS risk değerlendirmesini gerçekleĢtirmek için kullanılan çok sayıda yöntem vardır. Bu risk değerlendirme yaklaĢımlarından biri, teknik karmaĢıklık, sistem ve iĢlem değiĢiklik boyutu ve önemlilik gibi değiĢkenleri dikkate alan risk unsurlarının değerlendirilmesi temeline dayanan BS Denetimini önceliklileĢtirmeye yarayan puanlama sistemidir. Bu değiĢkenlere ağırlık verilir ya da verilmez. Ardından bu risk değerleri birbirleriyle kıyaslanır ve yıllık BS planı hazırlanır. BS Denetim planı, genelde denetim komitesi ya da yönetim kurulu baĢkanı[üst yönetici] tarafından onaylanır. Bu noktadan sonra gözden geçirme planı, BS Denetim planına göre planlanır. Diğer bir BS risk değerlendirme biçimi yargı temeline dayanır. Bunda, yürütme kurulu yönlendirmeleri, tarihsel perspektif ve kurumsal iklimine dayanan bağımsız karar alma ihtiyacı oluĢur.

8. VERĠ TOPLAMA

8.1 Kurumun, faaliyetlerinin bütün açılardan tanımlayan bilgi, farklı denetlenebilir birimleri tanımlamak ve birimin faaliyetlerindeki kalıtsal BS risklerini modellemek için kullanılabilecektir. Bu veri kaynakları Ģunları içerir:

• BS risk modelinin geliĢtirilmesi için veri toplama amacıyla üst yönetimle yapılan görüĢmeler

• BS risk model verisini toplamayı kolaylaĢtırmak için yönetime göndermek üzere hazırlanmıĢ yapılandırılmıĢ anketin geri dönüĢü

• Son yapılan raporların gözden geçirmesi

• BT strateji planı

• Faydalı bir bilgi kaynağı olabilecek bütçe süreci

• DıĢ denetçiler tarafından gündeme getirilen konular,

• Diğer kaynaklardan toplanmıĢ, BS Denetim bilgisi ve farkındalığın önemi konusu

• Görev için kullanılabilir zaman ve kaynakların yeterli olup olmayacağı konusunda, veri toplama için kullanılan özel yöntemler,

230

P1 BS Risk Değerlendirme Ölçüm Usulü (DEVAMI)

9. BS DENETLENEBĠLĠR BĠRĠMLERĠ

9.1 Bu model kurumdaki her bir BS denetlenebilir birimini (BS Denetim evreni) risk derecelemesini sağlar ve içerir. Denetlenebilir birim, her bir kurumun ve onun sisteminin farklı parçası olarak tanımlanabilir. Ayrı denetlenebilir birimi belirlemek ya da ayrıĢtırmak için belli kurallar yoktur. Ancak aĢağıdaki yol göstericileri her bir birim/konu/iĢlevin denetim risk modeline rehberlik eder:

• Makul bir zaman çerçevesinde denetlenebilirlik

• Bir sistem; örneğin girdi, süreç, çıktı ve sonuçlarının olması,

• Ayrılabilir, örneğin diğer sistemlere en az gönderme yapılarak denetlenebilir (Gözden geçirilen uygulama sisteminin çok fazla arayüz sistemine sahip olması durumunda bu zor olabilir)

10. ÖRNEKLER

10.1 BS risk değerlendirme ölçümlerini gerçekleĢtirmek için çok sayıda farklı yöntemler vardır. 11 ve 14. bölümler arasında çok sayıda BS risk değerlendirme türünü içermektedir.

11. ÖRNEK I

11.1 Örnek 1, sekiz anahtar değiĢkenli BS risk değerlendirme ölçümü incelemesini göstermektedir. BS Denetim evrenindeki her birim/alan, 1 (düĢük) ve 5 (yüksek) arasında sayısal değer derecelendirmesiyle bu sekiz anahtar değiĢkende derecelendirilir. Bu derecelendirme ifadesinin sonuçları, sonra 1 (düĢük) ve 10 (yüksek) arasında değiĢen önemli ağırlıklı unsurlarının derecelendirmeleriyle çarpılarak geniĢletilmiĢ değeri verir. Önemli ağırlık etmenine dair keyfi örnekler örnek 1 içinde yer almıĢtır. Bu geniĢletilmiĢ değerlerin birlikte toplamı toplam değeri verir. Denetlenebilir her birim/alan için toplam sonuçlar elde edildiğinde, denetlenebilir alan/birimler risklerle derecelendirilir. Yıllık BS Denetim planının çerçevesi, bu derecelendirmeye göre oluĢturulur. Sekiz anahtar değiĢken 11.1.1 – 11.1.3 arasında kısa açıklamalarıyla listelenmiĢtir.

11.1.1 Etkinin Ölçümü

• Faaliyetin Özelliği—Faaliyetin kritikliği ve bu faaliyetten yararlanan kurum parçası. Nadir ya da alıĢık olunmayan faaliyetler ya da projeler hata ya da etkinsizlikle sonuçlanmaya daha yatkındır ve denetim açısından daha çok ilgiye gerek duyarlar.

• Kesinti düzenlemeleri—Bu unsur, yeni sistemde sorun yaĢanırsa, faaliyetleri devam ettirmek için devreye sokulacak önlemlerle ilgilidir. ĠĢ süreklilik planları, felaket kurtarma planları, el kitapları ve eski sistem dikkate alınacak faktörler arasında yer alır.

Genel olarak nitelemek gerekirse, yukarıdaki konular baĢarılabilir ya da maliyet faydası olarak iĢaret edikten sonra, risk en düĢüktür.

• Yönetici kadro iĢlevinin hassasiyeti—Bu unsur, üst yönetici tarafından birim, iĢlev ya da alanı ne kadar önemli görüldüğüyle ilgilidir.

• Önemlilik—Kurum iĢlevselliğine etkisiyle ilgili olarak bilgi öğesinin önemine dair bir kavramdır.Bir bütün olarak kurumun tamamında bir konunun önemli yada göreceli olarak öneminin ifadesidir.

11.1.2 Olasığın Ölçülmesi

• Sistem ya da sürecin değiĢikliğinin büyüklüğü—Sistem ya da iĢleme değiĢikliği açısından dinamik bir çevre hata olasılığını artırır ve sonuçta denetim ilgisi artar. Sürecin önemli büyüklükte yeniden yapılandırılmasının yaĢanabilir. Sistem ya da iĢleme değiĢiklikleri uzun vadeli geliĢimi sağlarken, genelde kısa vadede değiĢiklikler denetim kapsamına alınması gereken sorunlara yol açarlar.

• KarmaĢıklık—Bu risk etmeni, karmaĢık ortam dolayısıyla tespit edilemeden kalmıĢ muhtemel hata ya da uygunsuzlukları gösterir. KarmaĢıklık derecelendirmesi çok sayıda etmene bağlıdır. Otomasyonun büyüklüğü, karmaĢık hesaplamalar, karĢılıklı iliĢkili ve bağımlı faaliyetler, ürün ya da hizmet sayısı, öngörülerden zaman sapması, üçüncü taraflara bağımlılık, müĢteri istemleri, iĢlem süresi, yürürlükteki yasalar ve düzenlemeler ve pek çok diğer unsur, kimi fark edilmese de, belli bir denetimin karmaĢıklığı hakkındaki yargıyı etkiler.

• Proje yönetimi—Proje yönetimi değerlendirmesinde aĢağıdaki varsayımlara dikkat edilmelidir:

– Kurum içi ya da dıĢı geliĢtiriciler

– Proje yapısı

– Personel becerileri

– Proje zaman çerçeveleri

Genel olarak belirtmek gerekirse, proje dıĢ kaynaklıysa risk paylaĢılmıĢtır.

11.1.3 Kontroller Konusunda Belirsizliği Ölçülmesi

• Son gözden geçirmeden beri geçen süre—Son gözden geçirmenin tamamlanmasından sonra geçen zaman yeni gözden geçirmenin değerini artırır. Gözden geçirmenin faydalı etkileri, sistem uygulamasından hemen önce ya da sonra olduğunda en büyük olur.

231

ÖRNEK I - BS RĠSK DEĞERLENDĠRME ÖLÇÜMÜNÜN DEĞERLENDĠRMESĠ

ANAHTAR

DEĞĠġKENLER

TANIMLAYICI DEĞER

1 (düĢük) 5 (yüksek)

AĞIRLIKLI

ÖNEMĠ

1 (düĢük)‘den

10‘a Kadar

(yüksek)

GENĠġLETĠLMĠġ DEĞER

1.Faaliyetin Özelliği Varsayım:

Ana Faaliyetler = 4 - 5

ĠĢ birimi = 2 - 3

Yerel sistem = 1

8*

2. Kesintiler Varsayım:

ĠĢ süreklilik planları

Felaket Kurtarma Planları

Manuel süreçler

Eski sistem

5*

3. Üst Yönetimin ĠĢlevin

Hassasiyetine BakıĢı

Büyük ilgi = 4 – 5

Makul ilgi = 2 - 3

DüĢük ilgi = 1

6*

4. Önemlilik Tüketilen kaynakların ya da yaratılan

gelirlerin ya da harcamaların önemi.

Proje bütçesi >$500,000 = 4 - 5

Proje bütçesi $100,000 - $500,000 = 2 - 3

Proje bütçesi <$100,000 = 1

Yada

Gelir/harcama >$500,000 = 4 - 5

Gelir/harcama $100,000 - $500,000 = 2 - 3

Gelir/harcama <$100,000 = 1

5*

5. Sistem, süreç, iĢlem

değiĢikliği büyüklüğü

Varsayım:

Yeniden yapılandırmanın büyüklüğü.

Büyük Yeniden Yapılandırma= 4 - 5

Ilımlı Yeniden Yapılandırma= 2 - 3

Küçük Yeniden Yapılandırma = 1

yada

Süreç olmaması = 4 veya 5

Yerel usuller = 3 veya 2

ġirket usulleri = 1

8*

6. KarmaĢıklık Varsayım:

Aktarım hacmi

Kullanıcı sayısı

MerkezileĢme ya da yerelleĢme

Arayüz sayısı

Çok karmaĢık = 4 - 5

Orta karmaĢıklık = 2 - 3

Basit = 1

7*

7. Proje yönetimi Varsayım:

Kurum içinde ya da dıĢı geliĢtiriciler

Proje yapısı

Personel becerileri

Proje zaman çerçevesi

7*

8. Son gözden geçirmeden

sonra geçen süre

Derecelendirmede 5 kullanılması, son

denetimden sonra 5 yıl ya da daha fazla

geçtiği ya da daha önce denetim yapılmadığı

anlamına gelir

1*

Toplam

Keyfi Önem Ağırlık Örneği kullanılmıĢtır.

232

12. ÖRNEK II

12.1 Örnek II, örnek I‘deki risk değerlendirme ölçüm incelemesini, iĢ risklerini örnek I‘de kullanılan sekiz BS anahtar değiĢkenine ekleyerek geniĢletir. BS Denetim risk derecelendirme etmeni (örnek I‘den) bu örnekte iĢ riskleriyle çarpılır. ĠĢ risk faktörleri(finansal, stratejik, iĢletimsel ve yasal uygunluk) her denetlenebilir birim/alanla ilgisi kadar dikkate alınır.

12.2 BS Denetim evrenindeki her birim/alan, sekiz anahtar değiĢkenle 1 (DüĢük) ve 5 (yüksek) arasında derecelendirilir. Bu yargısal derecelendirmenin sonucu, 1 (düĢük) ve 10 (yüksek) arasında değiĢen önemli ağırlıklı etmen derecelendirmeleriyle örnek I‘deki gibi çarpılır. Bu geniĢletilmiĢ değerler birlikte toplanır (örnek I gibi keyfi önem ağırlıkları kullanılmıĢtır). Bu toplam, BS Denetim risk derecelendirme faktörüdür..

12.3 Dört iĢ risk etmeni aĢağıda açıklanmıĢtır:

• Finansal risk—Kurum finansal performansı üstünde çoğu sistemin etkili olma olasılığı vardır, bu etkinin seviyesi ve ihtimali dikkate alınmalıdır. Beklenen risk, dolaylı ve sistem amaç ve etkilerine kıyasla ve/veya diğer denetlenebilir alanlara/sistemlere kıyasla tali sayılırsa, finansal risk etmeni için vereceğimiz derece 1 değil de 0 olur.

• Stratejik risk—Sistemlerin kurum üstünde doğrudan stratejik etkileri olabilir. Yönetici kadro tarafından tanımlanan risk etmenlerinin 1 olarak derecelenmesi beklenir.

• Faaliyet risk—Faaliyet riskleri, diğer iĢ risk etmenlerine kıyasla büyük olasılıkla 1 olarak derecelendirilecektir çünkü çoğu sistem kurumların günlük olarak gerçekleĢtirdiği iĢlemleri yerine getirme yolunu ya da etkililiği doğrudan belirleyecek biçimde tasarlanmıĢtır.

• Yasal uygunluk— Sistemlerin, kurumların yasal gereksinimleri nasıl karĢılayacağı noktasında doğrudan etkisi olabilir.

12.4 Her iş risk etmeni için 1 (ilgili) ya da 0 (ilgisiz) puanı girilir. Ardından her puan ilgili ağırlıkla çarpılır ve toplanır, her denetim konusu için toplam iş risk derecelendirme sonucu çıkar.

12.5 Puanlamada aĢağıdaki üç husus dikkate alınmalıdır:

• Denetlenen sistemden beklenen amaç ve hedefler nelerdir?

• Denetimden beklenen kapsam ve hedefler nedir?

• Sistem kurumun finansal/stratejik/iĢletimsel/uygunluk performansını doğrudan etkiler mi? Örneğin, eğer sistem beklendiği gibi iĢlemezse, kurumun finansal kayıp yaĢaması, stratejik dezavantajı olması, faaliyet sorunları yaĢaması veya ilgili yasal düzenlemeleri çiğnemesi ihtimali var mıdır?

12.6 Bu örnekteki son adım, denetim risk derecesini iş risk derece etmeni ile çarparak toplam risk derecesini bulmaktır. AĢağıdaki tabloda yer alan örneği inceleyiniz. Her denetlenebilir birim/alan için toplam risk derecesi bir kere edinildiğinde, denetlenebilir birim/alanlar riske göre derecelendirilebilir. BS yılık denetim planı çerçevesi, bu derecelendirmeye göre oluĢturulur.

ÖRNEK II – Ġġ RĠSK ETMENLERĠNĠ ĠÇEREN BS RĠSK DEĞERLENDĠRME ÖLÇÜMÜ ĠNCELEMESĠ

DENETLENEBĠLĠR

BĠRĠM

DENETĠM

RĠSK

DERECESĠ

(Örnek

I‘den)

Ġġ RĠSK ETMENLERĠ (DERECELENDĠRME 0 YA DA 1) Ġġ RĠSK

DERECEL

ENDĠRME

FAKTÖR

Ü

TOPLAM

RĠSK

DERECES

Ġ

FĠNANSAL STRATEJĠK FAALĠYETSEL YASAL

UYGUNLUK

ĠĢ Risk

Ağırlığı

5* 4* 3* 2*

Mali sistem 158 1 1 1 0 12 1896

ĠĢ sürekliliği 162 0 0 1 1 5 810

MaaĢlar 165 0 0 1 0 3 495

Yerel alan ağları 159 0 0 1 0 3 477

Bilgisayar

Faaliyetleri

146 0 0 1 0 3 438

Yazılım lisansları 123 0 0 0 1 2 246

RACF 152 0 0 1 0 3 456

Örneğin – Mali Sistem: 158* (5*1+4*1+3*1+2*0)= 158*(5+4+3)= 158*12=1896

233

13. ÖRNEK III

13.1 Bazı BS Denetçileri bütün BS denetlenebilir evreni yerine BS projesini derecelendirmeyi tercih eder. Örnek III BS proje derecelemesi yöntemi verir. BS Denetim evrenindeki her BS projesi, 1 (düĢük) ve 5 (yüksek) arasında sayısal değer derecelendirmesiyle sekiz anahtar değiĢkende derecelendirilir. Bu derecelendirme yargısının sonuçları, 1 (düĢük) ve 10 (yüksek) arasında değiĢen önemli ağırlıklı etmen derecelendirmeleriyle çarpılarak geniĢletilmiĢ değeri verir. Bu geniĢletilmiĢ değerlerin toplanmasıyla toplam sonuç çıkar. Denetlenebilir her proje için toplam sonuçlar elde edildiğinde denetlenebilir projeler riske göre derecelendirilir. Yıllık BS Denetim proje kapsam çerçevesi bu derecelendirmeye göre oluĢturulur. Örnek III için kullanılan sınıflandırmalar 13.2 ve 13.3‘te listelenmiĢtir.

13.2 Etkinin Ölçülmesi

• Proje bütçesi—Bir BS projesinin toplam bütçesi, dikkate alınması gereken önemli bir etmendir. Rehberlik etmesi açısından, bazı kurumlar 500,000 doları aĢan proje bütçelerini 4 ya da 5 risk seviyesinde kabul eder. Aynı kurumlar için 100,000 – 500,000 dolar arasındaki bütçeleri 2 ya da 3 risk seviyesinde görürler ve bütçe 100,000 dolardan az ise risk seviyesi 1 olarak kabul edilir.

• ĠĢlem hacmi—Sistem tarafından belirlenen bir süreçte iĢleneceği tahmin edilen toplam aktarım hacmidir.

• Faaliyetin Özelliği—Kritik faaliyet ve kurumun bu faaliyetten faydalanan parçası. Nadir ya da olağanüstü faaliyetler ve projeler, hata vermeye ya da etkin olmamaya elveriĢlidir bu nedenle denetimin ilgisinin daha büyük olması olasılığı vardır.

• Yönetici kadro ilgisi—Üst yönetimin, birim, iĢlev ya da alanın ne kadar önemli görüldüğüyle ilgili faktördür.

• Sistem Kesintisi—Yeni sistemde sorun yaĢanması durumunda, faaliyetlerin sürekliliğinin sağlanmasına yönelik önlemlerle ilgilidir. Göz önünde bulundurulması gereken etmenler: o ĠĢ süreklilik planları o Felaket kurtarma planları o Yazılı süreçler o Eski sistem

Genel olarak belirtmek gerekirse, yukarıdaki noktalar baĢarılabilir ya da maliyet etkin olarak iĢaret edilirse risk en azdır.

13.3 Olasılığın Ölçülmesi

• Usul değiĢiklikleri—Sistem uygulamasına eĢlik eden usul değiĢikliği ya da yeniden yapılanmanın büyüklüğü.

• Sistem karmaĢıklığı—Kullanıcı sayısı, sistem parçalarının sayısı, anabilgisayara karĢı kullanıcı sunucu ortamı karĢıtlığı (merkezi ve merkezi olmayan karĢıtlığı) ve dikkate alınan arayüz sayısı gibi dikkat edilmesi gereken etmenlerdir.

• Proje yönetimi— Proje yönetimi değerlendirmesinde Ģunlara dikkat edilmelidir: o Kurum içi ya da dıĢı geliĢtiriciler o Proje yapısı o Personel becerileri o Proje zaman çerçeveleri

Genel olarak belirtmek gerekirse, proje dıĢ kaynaklıysa risk paylaĢılmıĢtır.

234

ÖRNEK III –BT PROJESĠ RĠSK DERECELEMESĠ

Sınıflandırma Risk Seviyesi

1 (düĢük) - 5

(yüksek)

Önem ağırlığı

1 (düĢük) - 10 (yüksek)

Toplam

1. Proje bütçesi

>$500,000 = 4 - 5

$100,000 - $500,000 = 2 - 3

<$100,000 = 1

5

2. Aktarım hacmi 2

3. Faaliyetin Özelliği

Çekirdek konsey 4 - 5

ĠĢ birimi 2 - 3

Yerel sistem 1

8

4. Yönetici kadro ilgisi

Yoğun ilgi = 4 - 5

Normal ilgi = 2 - 3

DüĢük ilgi = 1

6

5. Sistem Kesintisi Düzenlemeleri

ĠĢ sürekliliği/yıkım iyileĢtirme planları

El ile sürdürülen süreçler

Esli sistem

7

6. Süreçlerdeki DeğiĢiklikleri (yeniden yapılanmanın büyüklüğü) Büyük ölçekli yeniden yapılanma = 4 - 5 Orta Ölçekli Yeniden Yapılanma = 2 - 3 Küçük Ölçekli Yeniden Yapılanma= 1

8

7. Sistem karmaĢıklığı Kullanıcı sayısı Parça sayısı Merkezi ya da Adem-i Merkezi (ana bilgisayar, istemci sunucu karĢıtlığı) Arayüzler

7

8. Proje yönetimi Kurum içi DıĢarıdan geliĢtirici Yapı Beceriler Zaman çerçevesi

7

Toplam

14. ÖRNEK IV—DENETLENEBĠLĠR BĠRĠMLER BS RĠSK DEĞERLENDĠRMESĠ

14.1 Örnek IV, BS denetlenebilir evrenindeki farklı denetim birimlerinin farklı sınıflandırmaları tanımlandıktan sonra derecelendirir. Sınıflandırma, bu birimlerin açık olduğu risklerin doğasına bağlı olarak listelenmiĢtir.. Ġlgili bilgi, finansal açıklık, iĢe etkisi ve kapsam gibi, toplanır. ġu sınıflandırmalar vardır:

i. Veri merkezi faaliyetleri ii. Uygulama sistemleri (üretim) iii. Uygulama sistemleri (geliĢtirme) iv. BS istihdamı (insan gücü ve materyal) v. Paket yazılım edinimi vi. Diğer BS iĢlevleri

14.2 Her sınıflandırma içinde, baĢlıca risk unsurları numaralandırmıĢtır. Risk türüne bağlı olarak, değiĢen bir ağırlık her risk unsuruna verilir. Ardından her risk unsuru alt bölünmeler yaĢar, ve buna bir puan iliĢtirilir. Belli bir risk unsurunun risk puanı ve onun ağırlığının bir ürünüdür. ĠĢlevin toplam risk puanı, onun bütün risk unsurları puanlarının toplamıdır. Kıyaslamayı kolaylaĢtırmak için, risk puanı 100 birimlik bir ölçekte ölçülür. Denetlenebilir her birim için ayrı risk değerlendirme çizelgeleri hazırlanabilir. Son olarak her denetlenebilir birimden edinilen puanlar toplanır ve denetim öncelikleri belirlenir.

235

BS Risk Değerlendirme Ölçüm Usulü P1

ÖRNEK IV—RĠSK DEĞERLENDĠRME—BS DENETĠMĠ

i. VERĠ MERKEZĠ ĠġLETĠMLERĠ

Derecelendirme Ölçütü Ağırlık Puan Verilen Puan

1 Veri merkezinin çalıĢan sayısı

Çok küçük 2 altı

Küçük 3—7

Orta 7—15

Büyük 16—25

Çok büyük 25 üstü

1

1

2

3

4

5

5

2 Grupların iĢine etkisi

Etkisiz

Az

Orta

Yüksek

Grup iĢ dıĢında

5

1

2

3

4

5

25

3 Uygulama sayısı

Tek

5‘ten az

5—15

16—25

25 üstü

5

1

2

3

4

5

25

4 Kullanıcı sayısı

25 altı

26—50

51—100

100—250

250 üstü

2

1

2

3

4

5

10

5 Önceki denetim bulguları

Önemli bir bulgu yok

Birkaç önemsiz bulgu

Çok sayıda önemsiz bulgu

Birkaç önemli bulgu

Çok sayıda önemli bulgu

1

1

2

3

4

5

5

6 ĠĢleme karmaĢıklığı

Toplu ĠĢlem

Toplu ĠĢlem/gerçek zamanlı

Toplu ĠĢlem/gerçek zamanlı/çevrimiçi

Kullanıcı/sunucu

Paralel/dağıtılmıĢ

2

1

2

3

4

5

10

7 Donanım/Yer/çalıĢan değiĢikliği

DeğiĢiklik yok

Orta değiĢiklik/düĢük geri dönüĢ

Düzlem değiĢikliği/düĢük devir hızı

Yüksek devir hızı

Yer değiĢikliği/yüksek devir hızı

1

1

2

3

4

5

5

8 Yer sayısı

1

2

3

4

5+

3

1

2

3

4

5

15

Toplam risk puanı 100 100

236



ii. UYGULAMA SĠSTEMLERĠ (ÜRETĠM)


1 Sistem hatası etkisi (kritiklik)

Ani etki yok

Kullanıcılar için uygunsuz

Ġtibar kaybı

Gelir kaybı

ĠĢ/gelir/itibar kaybı

5

1

2

3

4

5

25

2 Finansal açıklık (AED)

Hiç

Az (<100,000)

Orta (100,000—1 m)

Yüksek (1m—10 m)

Çok yüksek (>10 m)

5

1

2

3

4

5

25

3 Sistem kapsamı

Bir birim parçası

Bütün birim

Çoklu birim

Kurum çapında

Kurum içi ve dıĢı

2

1

2

3

4

5

10

4 Uygulama yaĢı

10 yıldan büyük

7—10 yıl

4—6 yıl

1—3 yıl

Bir yıldan az

1

1

2

3

4

5

5


Son denetim—zayıflık yok

Son denetim—küçük zayıflıklar

Denetim—Bir kaç zayıflık

Denetim—Çok sayıda zayıflık

Önceden denetim yapılmamıĢ

2

1

2

3

4

5

10

6 Uygulamanın büyüklüğü (program

sayısı)

25 altı

25—50

50—100

100—250

250 üstü

3

1

2

3

4

5

15

7 Yer/çalıĢan değiĢikliği

DeğiĢiklik yok

Orta değiĢiklik/düĢük devir hızı

Önemli değiĢiklikler/düĢük devir hızı

Yüksek devir hızı

Önemli değiĢiklikler ve yüksek devir hızı

1

1

2

3

4

5

5

8 Uygulanan yerlerin sayısı

1

2

3

4

5+

1

1

2

3

4

5

5


237



iii. UYGULAMA SĠSTEMLERĠ (GELĠġTĠRME)


1 Takımın büyüklüğü, örgütlenmesi ve deneyimi

Küçük, adanmıĢ ve deneyimli takım

Ortalama büyüklükte, merkezi ve deneyimli takım

Ortalama, deneyimli ve karıĢık öncelikli

Ortalama, diğer önceliklerle çoğunlukla merkezi

Büyük, merkezi olmayan, deneyimsiz ve belirsiz raporlama

3

1

2

3

4

5

15

2 Sistemin büyüklüğü

1 bölüm için az sayıda program

1 bölüm için ortalama sayıda program

Çok sayıda bölüm için çok sayıda program

Kurumun tamamı için ortalama sayıda program

Kurumun tamamı için çok sayıda program

3

1

2

3

4

5

15

3 GeliĢtirme döngüsünün süresi

3 aydan daha az

3—6 ay

6—12 ay

1—1 Buçuk Yıl

2 yıl yada daha fazla

2

1

2

3

4

5

10

4 GeliĢtirme Yeri

DenenmiĢ ve yaygın kullanım

Yeni sayılır ama dünya çapında kabul görmüĢ

Yeni sayılır ama dünya çapında kabul görmemiĢ

DenenmiĢ ve patenti var

Yeni, denenmemiĢ patenti var

3

1

2

3

4

5

15

5 Önceki denetimler

Yapılan Uygulamaların kontroller

Ġhtiyaç analiz aĢaması

Proje takviminin izlenmesi

Proje maliyetinin izleme

Yok

2

1

2

3

4

5

10

6 Sistem geliĢtirme yöntemi

Resmi olarak belirlenmiĢ standartlar ve usullerle standart yöntem

Resmi olarak belirlenmemiĢ standartlar ve usullerle standart yöntem

Standart yöntem yok ama deneyimli takım

DenenmemiĢ yöntem tecrübesi

GeliĢtirilmiĢ kullanılan bir yöntem, resmi olarak belirlenmiĢ

geliĢtirme standartları ve rehber yok

3

1

2

3

4

5

15

7 Proje yönetimi deneyimi

Çok yüksek

Ortalama üstü

Ortalama

Ortalama altı

Deneyimsiz/çoklu proje

1

1

2

3

4

5

5

8 DıĢarıdan sağlanan iĢ gücü

Az sayıda, tek tedarikçi

Az sayıda, farklı tedarikçiler

Önemli sayıda, tek tedarikçi

Önemli sayıda, farklı tedarikçiler

100%

1

1

2

3

4

5

5


238



iv. BS ĠSTĠHDAM (ĠġGÜCÜ VE MALZEME)


1 Etki

Ani etki yok


Ġtibar kaybı

Gelir kaybı


5

1

2

3

4

5

25

2 Finansal açıklıklar (AED)

Yok

Az (<100,000)

Orta (100,000—1 m)

Yüksek (1m—10 m)


5

1

2

3

4

5

25

3 Usuller ve rehberler

Resmi olarak yayınlanmıĢ ve test edilmiĢ usuller

Usuller resmi olarak yayınlanmamıĢ

Resmi olarak yayınlanmıĢ tam olarak uygulanmayan usuller

Resmi olarak yayınlanmıĢ usul yok ama kontrollü

Resmi olarak yayınlanmıĢ usul yok ve kontrolde yok

5

1

2

3

4

5

20


Son denetim—Zayıflık yok

Son denetim—Küçük zayıflıklar

Denetim—Birkaç zayıflık

Denetim—Çok sayıda zayıflıklar

Daha önce hiç denetlenmemiĢ

2

1

2

3

4

5

10

5 KarmaĢıklık

Bir bölüm için yerel kaynak

Kurumun tamamı için yerel kaynak

Bir teknoloji için uluslararası kaynak

Çoklu teknoloji için uluslararası kaynak

Çoklu teknoloji için uluslar arası ve yerel kaynak

3

1

2

3

4

5

15


239



v. PAKET YAZILIM EDĠNĠMĠ


1 Sistem kapsamı

Bölüm parçası

Bütün bölüm

Çok sayıda bölüm

Kurum çapında

Kurum içi ve dıĢı

5

1

2

3

4

5

25

2 Sistemle ilintili finansal açıklık (AED)

Yok

Az (<100,000)

Orta (100,000—1 m)

Yüksek (1m—10 m)


5

1

2

3

4

5

25

3 Paketin Özellikleri

Hazır ürün

Tedarikçi tarafından uyarlanmıĢ ve bakımı yapılan

Tedarikçi geliĢtirimi, kurum içi bakım

Ortak geliĢtirme, tedarikçi bakımlı

Ortak geliĢtirme, kurum içi bakım

2

1

2

3

4

5

10

4 Değerlendirme türü

Kullanıcı bölümü/BS/danıĢmanlarınca

BS/kullanıcılarınca

DanıĢmanlarca

BS Bölümünce

Kullanıcı bölümlerce

1

1

2

3

4

5

5

5 Paket maliyeti ve karmaĢıklığı

Önemsiz

Az

Orta

Önemli

Çok yüksek

2

1

2

3

4

5

10

6 Yöntem değerlendirmesi

Tedarikçi/ürün değerlendirildi

Sadece ürün değerlendirildi

Sadece tedarikçi değerlendirildi

Ġkisi de değerlendirilmedi Ģartlı olarak alındı

Değerlendirme yapılmadı Ģartsız alındı

3

1

2

3

4

5

15

7 Seçim

Çok aday arasından seçildi

Birkaç ünlü sağlayıcı arasından seçildi

Birkaç bilinen sistem arasından seçildi

Benzer sistem seçildi

Bilinmeyen bir sistem seçildi

1

1

2

3

4

5

5

8 ĠĢ etkisi

Ani etki yok


Ġtibar kaybı

Gelir kaybı

ĠĢ/itibar/gelir kaybı

1

1

2

3

4

5

5


240



vi. DĠĞER BS ĠġLEVLERĠ


1 ĠĢlev kaybının etkisi (kritiklik)

Ani etki yok


Ġtibar kaybı

Gelir kaybı


5

1

2

3

4

5

25

2 Finansal açıklık (AED)

Yok

Az (<100,000)

Orta (100,000—1 m)

Yüksek (1m—10 m)


5

1

2

3

4

5

25

3 ĠĢlevin kapsamı

Bir bölümün parçası

Bölümün tamamı

Çok sayıda bölüm

Kurum çapında

Kurum ve dıĢsal

2

1

2

3

4

5

10

4 ĠĢlevin yaĢı

10 yıl üstü

7—10 yıl

4—6 yıl

1—3 yıl

Bir yıldan az

1

1

2

3

4

5

5


Son denetim—Zayıflık yok

Son denetim—Tali zayıflıklar

Önceki denetim yok

Denetim—Bazı zayıflıklar

Denetim—Fazla sayıda zayıflıklar

2

1

2

3

4

5

10

6 ĠĢlevin karmaĢıklığı

Çok az

Az

Orta

Yüksek

Çok yüksek

3

1

2

3

4

5

15

7 ÇalıĢan sayısı

Bir

5‘ten az

6—10

11—25

25 üstü

1

1

2

3

4

5

5

8 Konum sayısı

1

2

3

4

5+

1

1

2

3

4

5

5



15.1 Bu usul, 1 Temmuz 2007 ve sonrasında baĢlayan bütün bilgi sistem denetimleri için geçerlidir.

241

P2 Dijital Ġmza ve Anahtar Yönetim Usulü

1. GĠRĠġ

1.1 Bu usulün amacı, sertifika yetkesini (CA) hem verilen hizmetin kalitesi hem de güvenirlik açısından değerlendirmeye yardımcı olacak bir araç sağlamaktır.

1.2 Doğrulama teknikleri, elektronik ticaret açısından temel bir rolü oynar, bunlar kurum intranetine eriĢim sağlamada kullanılıp kullanmadığı ya da iletiĢimi tanımlamak için ya da iĢ yapan taraflar (Özel ya da ticari) arasında kullanılabilir. ĠĢ ya da iletiĢimde tarafların doğrulanması, elektronik ticarette güveni sağlamak için kullanılan bir yöntemdir ve düzgün biçimde çalıĢtırılan güvenli ve güvenilir teknoloji altyapısına gerek duyar.

1.3 Doğrulama, değiĢik güvenlik seviyelerinde ve tarafların gereksinimlerine ve iĢ ya da iletiĢim niteliğine göre farklı teknolojilere dayanarak gerçekleĢtirilebilir. Yıllar boyunca insanlar doğrulama için parola ya da benzer yöntemler kullandılar, ancak günümüzde iletiĢimin bu kritik aĢamasını kolaylaĢtıran çok sayıda teknolojik yaklaĢım geliĢtirilmiĢtir. Günümüzde doğrulama için biyometrik ve kriptografik anahtar temelli değiĢik çözümler kullanılmaktadır. Bunlar tek baĢlarına, diğerleriyle bir arada ya da daha büyük bir teknolojik ortamın parçası olarak kullanılabilirler. Çoğu kurum, ticarette sağlam bir doğrulama sistemi olarak genel anahtar altyapısına (PKI) dayanan çözümlerin en ölçeklenebilir araç olduğuna inanmaktadır.

2. TEKNĠK TERĠMLER VE TEKNOLOJĠ TARAFSIZLIĞI

2.1 Doğrulama terimi, saf tanımlama ve yetkilendirmeden yasal tanımaya kadar bir takım iĢlevleri yerine getiren, geniĢ elektronik uygulamalar sınıflandırmasına iĢaret eder.

2.2 Belli bir doğrulama tekniğine iĢaret etmek gerekirse, elektronik imza ve dijital imza terimleri sıklıkla birbiri yerine kullanılmaktadır. Bu nedenle iki terimin kullanımında uluslar arası seviyede bir karmaĢa vardır. Dijital imza, elektronik imza teriminin alt baĢlıklarından biridir. Bu belgede kullanılan teknik terimler, uluslararası forumlarda tanınan ve belli oranda uluslararası seviyede kabul görmüĢ tanımlara dayanmaktadır.

2.2.1 Çoğu yazar tarafından elektronik imza terimi, veri iletisi içinde ya da ona iliĢik ya da sanal olarak ona uygun ve bir kiĢi tarafından ya da kiĢi adına internette bu kiĢiyi tanımak ve veri iletisi içeriğinin bu kiĢi tarafından onaylamasını göstermek için kullanılan bir imza olarak tanımlanmaktadır.

2.2.2 Sonuç olarak, dijital imza,,asimetrik kriptolama sistemi kullanılarak dönüĢtürülmüĢ iletiyi alan kiĢinin sahip olduğu imza sahibinin genel anahtarıyla dönüĢümün göndericinin özel anahtarı kullanılarak yaratılıp yaratılmadığını ve dönüĢümden sonra iletinin değiĢtirilip değiĢtirilmediğini doğru olarak tanımlanabilir.

2.3 Elektronik ve dijital imzalar arasındaki farklılık, politikaların odaklanması gerekenin elektronik imza mı yoksa dijital imza mı olması gerektiğine dair yapılan uluslararası tartıĢmanın da çekirdeğini oluĢturur. Sorun halen ortadadır ve usul hem elektronik imza hem de dijital imza doğrulama tekniklerine uygulanır.

3. DĠJĠTAL ĠMZA VE ANAHTAR YÖNETĠM USULÜ

3.1 Genel anahtar güvenlik teknolojisi için güvenlik doğrulamasına, güvenilir üçüncü taraf olarak bilinen sertifikalandırma kurumu (CA) dahil olur. CA, kullanıcı kriptolama ve kripto çözmede kullanılan elektronik anahtarlar ve kullanıcıları ve sunucuları doğrulamada kullanılan sunucu bilgisi ve elektronik sertifikalar dağıtır.

CA GENEL

BAKIġI

Usul ve BakıĢ açıları √

Kurumsal

yönetim

Önerilen usul(ler): CA‘nın, etkili bilgi ve sistem yönetimini kolaylaĢtıracak etkili kurumsal yapıya sahip olup

olmadığının belirlenmesi.

BakıĢ açısı: CA, gözden geçirilirken kurumsal unsurlar dikkatle ele alınmalıdır.

Sertifikalandırma/

Geçerleme

Önerilen usul(ler): CA‘nın güvenli iletileri konusunda uygun uluslararası akreditasyon kuruluĢu tarafından

onaylanıp onaylanmadığının belirlenmesi.

BakıĢ açısı: CA‘nın sahip olduğu, onaylı uluslararası standart kurumundan alınmıĢ sertifika ve

akreditasyonlar, hizmet ve ürünlerinin kalitesiyle ilgili değerli bilgiler sağlar.

Teknoloji

Mimarisi

Önerilen usul(ler): Uygun ve uygulanabilir standartları tanımlayarak (X.509 için destek sertifikası ve X.500

rehberi gibi) teknolojik mimarisinin bunlara dayanıp dayanmadığının belirlenmesi.

BakıĢ açısı: Teknolojik mimarisinin dayandığı standartlar güvence, ölçeklenebilirlik ve birlikte çalıĢabilirlik

niteliklerine olmalıdır.

Faaliyetlerin

Yönetimi

Önerilen usul(ler): CA‘nın, kullanıcıların kaydı, anahtarların hazırlanması, anahtar güncellemesi,

yedeklenmesi ve iyileĢtirme anahtarları, anahtarları geri alma ve yeniden hazırlama, anahtarları

kullanılamayacak hale getirmek ve yeniden iĢlevselleĢtirmek gibi hangi hizmetleri verdiğini tanımlamak. CA

hizmet idaresinin ve iĢletimimin, dıĢ hizmetlerinin ve dıĢ kaynaklardan sağlananların yeterli olup

olmadığının belirlenmesi. Uzman desteği ve yedekleme/muhafaza alanı kullanılabilirliğinin makul

güvencesinin sağlamak.

BakıĢ açısı: Yeterli faaliyet yönetimi, desteklenen faaliyetlerin etkililiğinin makul güvencesini sağlayacaktır.

Yukarıdaki kontrollerin amacı, veri ve belge toplamada CA‘nın nasıl iĢlediğini anlamaktır. Ayrıntılı konular, aĢağıdaki kontrol listesinde ele alınmıĢtır.

242

P2 Dijital Ġmza ve Anahtar Yönetim Usulü

CA AYRINTILI

BAKIġI USUL VE BAKIġ AÇILARI √

Kurumsal

yönetim

Önerilen usul(ler): Eğitim programının etkili ve sürekli bir süreci olup olmadığının belirlenmesi.

BakıĢ açısı: En büyük güvenlik tehditlerinden birisi bilgi eksikliğidir. Yöneticiler ve CA faaliyet yöneticileri için

oluĢturulmuĢ bir eğitim programı olmalıdır.

Önerilen usul(ler): CA‘nın özel olarak, güvenli kurumsal yapısı için BS 7799 (ISO 17799) ya da diğer uygulanabilir

standartlara uygunluğunun olup olmadığının belirlenmesi.

BakıĢ açısı: Ġngiliz BS 7799 (Ģimdi ISO 17799) eskiden Uygulama Kodu olarak adlandırıldı. Bu sertifikanın alınması

zorunlu olmasa da bu standarda bağlılık politika ve usullerin uysun tasarlanıp iĢlemsine makul bir güvence sağlar.

Sertifikalandır

ma/ Geçerleme

Önerilen usul(ler): Resmi güvenlik değerlendirmesinin gerçekleĢtirildiğinin ve sertifika alındığının belirlenmesi.

BakıĢ açısı: Çoğu ülke, CA‘lar pazara girmeden önce uygulanabilir standartlar (TCSEC, ITSEC gibi) çerçevesinde

güvenlik sertifikası almalarını zorunlu tutmaktadır. Bu zorunlu olmasa dahi CA‘lar bu sertifikayı uygulamayı dikkate

almalıdır.

Önerilen usul(ler): ISO 9000 kalite belgesinin alınıp alınmadığının belirlenmesi.

BakıĢ açısı: Bazı ülkeler CA‘ların KALĠTE SERTĠFĠKASI (ISO 9002) almasını zorunlu kılmıĢtır. Bu sertifika, maruz

kalınabilecek risklerinin azaltılması amacıyla, iyi tasarlanmıĢ bir yönteme göre tasarlanmıĢ ve uygulanan iç süreç ve

usulleri güvence altına alır.

Önerilen usul(ler): CA‘nın, CA akredistasyonu yasal gereklilik olan ortak iĢletim kullanım Rehberi olup olmadığının

belirlenmesi.

BakıĢ açısı: Yasalar, CA‘ların akreditasyonunun yapılmasını gerektirir. Akreditasyon baĢvurusu için CA faaliyet yönetimi

kullanım Rehberini, bastırarak CA iĢletim ve sorumluluklarını ve CA hizmetlerinin kullanımı ve sağlanması kontrollerini

ayrıntılandırır.

Önerilen usul(ler): CA güvenlik önlemlerinin resmi risk analizi yapan bağımsız bir üçüncü tarafça sertifikalandırıldığının

belirlenmesi.

BakıĢ açısı: Bağımsız bir üçüncü tarafın düzenli olarak gerçekleĢtirdiği risk değerlendirmeleri, CA iĢletim ve ortamının

güvenliğini geçerli kılar. Bu genellikle, CA‘nın resmi güvenlik sertifikası alması için zorunlu bir yasal gerekliliktir.

Teknoloji

yapısı

Önerilen usul(ler): CA yazılımının mahremiyet, güvenlik ve yerel gereklilikler açısından uygulanabilir uluslararası

standartlara uygunluğunun makul güvencesinin sağlanması.

BakıĢ açısı: Uluslararası standartlarda güvenlik, sadece bütün güvenlik altyapısını açıklamak için kullanılmak yerine

hassas bilgiyi korumak için kullanılan ürünlerin de güvenliğini kapsayacak biçimde kullanılır. Bazı ülkelerin yasal

düzenlemeleri onaylanmıĢ belli paketlerin ya da kriptolama algoritmalarının uyarlanmasını zorunlu tutar.

Önerilen usul(ler): CA‘nın farklı anahtar çiftlerini kriptolama ve dijital imza için destekleyip desteklemediğinin

belirlenmesi.

BakıĢ açısı: Taraflar arasındaki iletiĢim ihtiyaçlara göre değiĢiklik gösterebilir. Bir ileti imzalanabilir ya da kriptolanır veya

ikisi de aynı anda iletiye uygulanabilir. Bu durumda kriptolama ve dijital imza için farklı anahtar çiftleri gereği doğar. Bu

uygulama CA iĢletimleri için genelde yerel düzenlemelerde onaylanan bir usuldür.

Önerilen usul(ler): Genel anahtarların, sertifikaların sağlanmasında ve sertifikaların zamanında kullanım dıĢı

bırakılmasında kullanılan standart temelli bir rehber hizmetinin verilip verilmediğinin belirlenmesi.

BakıĢ açısı: Genel anahtarlara eriĢimi kolaylaĢtırmak için Hafif Dizin EriĢim Protokolü (LDAP) gibi standart temelli

eriĢim yöntemleri desteklenmelidir. Bazen LDAP yapısı ve iĢletimi özel kurallara tabidir, böylece birlikte çalıĢabilirlik makul

güvencesi sağlanmıĢ olur.

Önerilen usul(ler): Dizin hizmetinin bir parçası olarak ek bilgi sağlanıp sağlanmadığının, bunun CA‘ların birlikte

çalıĢabilirliğini etkileyip etkilemediğinin belirlenmesi.

BakıĢ açısı: Standart rehber hizmeti geçerli kullanıcılar için genel anahtarlar ve sertifikalar sağlar. Tipik bir rehber

hizmeti, kullanıcılara faydalı olabilecek diğer bilgileri de sağlayabilir. Bu ek bilgi, herhangi bir düzenlemeye tabi değildir ve

kurumsal politikaya bağlı olarak kullanılabilir duruma gelir. Birlikte çalıĢabilirliğin güvence altına alınması önemlidir

(Örneğin, bir CA tarafından verilmiĢ sertifika yasal bir diğer CA sertifikası tarafından kabul edilip doğrulanabilmelidir).

Önerilen usul(ler): X.509 güncel profilinin desteklenip desteklenmediğinin belirlenmesi.

BakıĢ açısı: Sertifika yapısı için günümüzde tanınan tek sertifika yapısı ITU-X.509 v3‘tür. Diğer biçimler CA birlikte

çalıĢabilirliğini etkileyebilir. X.509 v3 desteğiyle, bir CA daha esnek hizmet ve kapsamlı destek sağlayabilir.

Önerilen usul(ler): Bir CA‘nın diğer CA tarafından hazırlanmıĢ sertifikayı tanıma ya da geçerleme yapıp yapmadığının

belirlenmesi. Kullanılan CA ve sistemlerin asıl uygunluğunu belirlemek için çapraz sertifika testsinin gözden geçirilmesi.

Bunun canlı ortamda kullanılıp kullanılmadığı dikkate alınmalıdır.

BakıĢ açısı: Çapraz sertifikalandırma ya da karĢılıklı çalıĢabilirlik, bir CA‘nın bir baĢka CA tarafından hazırlanmıĢ

sertifikaları doğrulamasıdır.Kesin olarak, çapraz sertifikalandırma CA‘ların aynı teknolojiyi kullanıyor olmalarına bağlıdır,

ancak IEFT (Ġnternet Mühendisliği Görev Gücü) çalıĢma grubu, farklı teknolojileri kullanan CA‘ların birbirlerinin

sertifikalarını geçerli kılmalarına olanak veren arayüzleri tanımlamaktadır. Ayrıca kimi ülke düzenlemeleri çapraz

sertifikalandırmayı gerekli kılmıĢtır (Kriptolama algoritmaları, sertifika biçimleri, sertifika dağıtım politikaları)

Önerilen usul(ler): Farklı standart temelli doğrulama protokollerinin (OCSP gibi) desteklenip desteklenmediğinin

belirlenmesi.

BakıĢ açısı: Diğer geçerleme protokolleri günümüz PKI‘sı için bir zorunluluk olmaktadır, örneğin Identrus OCSP‘ye

gerek duyar. Diğer protokoller de tasarlanmaktadır (örneğin, DPV—Proxy Yol Doğrulaması).

Faaliyet

Yönetimi

Önerilen usul(ler): CA‘nın daima eriĢebilir olmasını sağlayan bir çevrimiçi yedeklemesinin olup olmadığının belirlenmesi.

BakıĢ açısı: CA sunucuları çökse bile kurumun sertifikaları doğrulaması ve genel anahtarları edinebilmesi gereklidir. Bir

CA, bu hizmetlerin eriĢilebilirliğinin sürekliliğini sağlamak zorundadır.

Önerilen usul(ler): Güvenli anahtar yedeklemesinin ve felaket kurtarılmasının desteklenip desteklenmediğinin

belirlenmesi.

BakıĢ açısı: Kullanıcının anahtar bilgisinin kazayla silinmesi ya da kullanıcının parolasını unutması gibi durumlarda,

güvenlikten ödün vermemek kaydıyla anahtarların düzeltilmesi her zaman mümkün olmalıdır. Bunun için anahtarların

güvenli yedeklemesi gerekir.

Önerilen usul(ler): CA‘nın yeterli seviyede bir felaket kurtarma planı olup olmadığının belirlenmesi.

BakıĢ açısı: Etkili yedekleme usulleriyle birlikte felaket kurtarma, CA‘nın temel iĢlevlerinde bir kesinti yaĢanması

durumunda bile iĢletimlerin sürekliliğinin makul güvencesini sağlar.

243

CA AYRINTILI

BAKIġI USUL VE BAKIġ AÇILARI √

Önerilen usul(ler): Gizlilik ile ilgili konuların uygun biçimde dikkate alındığının ve bu konuda ulusal ve uluslararası

düzenlemelere bağlı kalındığının makul güvencesinin sağlanması.

BakıĢ açısı: CA‘lar, adlar ve kiĢisel verilerden oluĢan, bazen çok hassas olan hastanelere verilen sertifikalar, doktor ve

hasta arasındaki iletiĢim ve aktarınlar gibi bilgilerin listesini muhafaza eder ve yönetirler. Çoğu ülke kiĢisel gizliliği,

mutlaka dikkate alınması gereken teknik düzenlemelerle korumaktadır.

Önerilen usul(ler): Yerel kayıt ofisi (LRA) modelinin, uygulanıp uygulanmadığının belirlenmesi.

BakıĢ açısı: LRA modeline göre CA‘lar sertifika yönetiminden ve kurum sertifika almasına izin verilen kiĢileri kontrolden

sorumludur. Böylece, kuruluĢ idari masraflardan kurutulurken yerel güvenlik üzerindeki kontrolü sürdürür. Bu bazen yasal

bir gerekliliktir.

Önerilen usul(ler): Kriptolama anahtar yönetimi için merkezi bir desteğin olup olmadığının belirlenmesi. BakıĢ açısı:

Anahtar yönetimi için çok sayıda iĢlev gereklidir: Güncelleme, yedekleme, iyileĢtirme, fesih, yeniden düzenleme, kullanım

dıĢı bırakma ve yeniden kullandırma. Güvenliğin kontrol altından tutulması için bu iĢlevlerin merkezi olarak yerine

getirilmesi gerekir. Merkezi anahtar yönetimi, sistem bütünlüğünü sürdürmeye yardım eder.

Önerilen usul(ler): CA‘nın, tam ve ayrıntılı politika ve süreçlere sahip olup olmadığının belirlenmesi.

BakıĢ açısı: Teknoloji tek baĢına güvenliğin makul güvencesi sağlamaya yeterli değildir. Kurumsal kontroller: Politika,

usul, standart ve Rehberlerin belgelenmesi; teknik eğitim; güvenlik farkındalığı; ve yönetim onayı- ayrıca son derece

önemlidir.

Önerilen usul(ler): CA, iĢletiminin rol temelli olup olmadığının belirlenmesi.

BakıĢ açısı: Rol-temelli iĢletim, güvenliği artırır çünkü etkili görev ayrımı ve muhtemel iç uyuĢmazlıkların azalmasını

sağlar. Örneğin, güvenlik politikalarının ayarlanması görevi, anahtar ve sertifika idaresindekinden farklı bir kiĢi tarafından

ele alınmalıdır.

Önerilen usul(ler): Anahtar ve sertifikaların çevrimiçi, güvenli ve Ģeffaf olarak, hem ilk kayıt ve hem de güncellemede ve

uyulması gereken yasal düzenlemeler karĢılanarak sağlanmasının mümkün olup olmadığının belirlenmesi.,

BakıĢ açısı: Anahtar yönetiminde çevrimiçi destek sağlanması, hızlı ve kolay kayıt sonucunu getirir. Çevrimiçi anahtar

yönetiminin tamamı – Kayıt istemleri, fesih ve anahtar ve sertifikaların dağıtımı – tam olarak kriptolanmalı ve

doğrulanmalıdır. Güvenlik ilk sırada yer alır, sonuç olarak CA yasalar göre baĢvuranın kimliğinin doğruluğunu

onaylayacak araçlara sahip olmalıdır. Yasala,r genellikle anahtar dağıtımının nasıl olması gerektiğini (belki rehberlerle)

düzenler.

Önerilen usul(ler): Kurum politikası çerçevesinde anahtar güncellemesinin güvenli ve Ģeffaf olarak zorlanıyor olup


BakıĢ açısı: Risk, anahtar ve sertifikaların ne sıklıkta güncelleneceğini yöneten politikaların oluĢturulmasıyla azaltılabilir.

Bu güncellemeler kurum politikalarına ve kullanıcı Ģeffaflığına dayanılarak kendiliğinden gerçekleĢtirilmelidir.

Önerilen usul(ler): Anahtar ve sertifikaların zaman damgası aldığı ve arĢivlendiği böylece dijital imzaların uzun zaman

sonra da doğrulanabilir olup olmadığının belirlenmesi.

BakıĢ açısı: Çoğu ülkelerde imzalı belgelerin, dolandırıcılık soruĢturmaları amacıyla saklanmasına dair yasal

düzenlemeler vardır, örneğin finansal belgelerin saklanma süresi on yıldır. CA zaman damgalı anahtar ve sertifikaları

geçmiĢte imzalanmıĢ ya da kriptolanmıĢ belgeleri doğrulama amacıyla saklamalıdır.

Önerilen usul(ler):Kullanım dıĢı bırakma desteğinin ve nasıl olduğunun belirlenmesi (Örneğin, merkezi ve çevrimiçi

destek CRL v2). Sertifikanın kullanım dıĢı bırakılmasıyla, bunun CRL‘de kamuoyuna bildirilmesi arasındaki süre olup


BakıĢ açısı: Bir kullanıcının güvenlik ayrıcalıklarının kaldırılmasının pek çok nedeni olabilir, örneğin kullanıcının kurumu

ya da kullanıcı anahtarını veya sertifikasını Ģüpheli durumda bırakması gibi. Kullanım dıĢı bırakma, yürütülmesi kolay ve

kesin olmalıdır. MerkezileĢtirme, durumunda fesih için gerekli zaman kısalabilir. CA‘lar, kullanım dıĢı bırakmayı sertifika

kullanım dıĢı bırakma listeleri (CAL) aracılığıyla gerçekleĢtirirler. Yöneticiler, kullanım dıĢı bırakılan sertifikaları CRL‘ye

yerleĢtirirler. Sertifikası CRL‘ye alınmıĢ kullanıcılar güvenli kaynaklara eriĢim sağlayamamalıdır. Bu durum, çoğu ülkede

yasalarla kayıt altına alınmıĢtır ve CA da CRLv2 (CRL yönetimine dair ikinci sürüm) sürümünü desteklemelidir. Genellikle,

kullanım dıĢı bırakılan sertifika CRl‘de 24 saat içinde görülebilmelidir.

Önerilen usul(ler): Kullanım dıĢı bırakma ve yeniden kullandırma, desteğinin merkezi olup olmadığının belirlenmesi.

BakıĢ açısı: Bazı durumlarda kullanıcının güvenlik unsurlarının askıya alınması gerekir, örneğin bir güvenlik ihlâlinden

Ģüphe edilmesi durumu gibi. Fesih ile kıyaslandığında kullanım dıĢı bırakma, güvenlik unsuru kullanımını anında engeller

(Fesih, kullanıcı ya da hizmet, sertifika listeye yerleĢtirildikten sonra CRL‘yi kontrol etmesiyle geçerlik kanır).

Önerilen usul(ler): CA‘nın güvenlik olaylarıyla ilgili denetim kayıtlarını koruyup korumadığının belirlenmesi.

BakıĢ açısı: Güvenlik denetim izi ödün riskini düĢürür ve güvenlik açığı dolayısıyla ortaya çıkan zararın sınırlanmasına

yardım eder.

4. YÜRÜRLÜK TARĠHĠ Bu usul, 1 Temmuz 2002 tarihinde ve sonrasında baĢlayan bütün bilgi sistemleri denetimleri için geçerlidir.

244

Kaynaklar

Genel Anahtar Altyapısı

• AICPA/CICA WebTrust Principles and Criteria for CAs

• Department of Energy Records Schedule (DOERS), http://ardor.nara.gov/doe/index.html

• Digital Signatures Security & Control, ISACF, 2002, Rolling Meadows, IL, USA

• DOE BT standards repository and program-related information, http://cio.doe.gov Select Standards Records Management Gen

Records Schedules (GRS), http://gopher.nara.gov:70/1/managers/federal/schedule

• National Institute of Standards and Technology Computer Security Division, PKI Specifications to support the DOE Travel Ma

Program, August 15, 1996, http://cio.doe.gov and select Computer Security Standards

• Telecommunications Security Manual, DOE M 200.1-1, chapter 9

Yasal Varsayımlar

• ABA-PKI Assessment Guidelines (currently only draft)

• American Bar Association Digital Signature Guidelines, www.abanet.org/scitech/ec/isc/dsg.html

• ANSI X9.79 and the AICPA/CICA WebTrust for Certification Authorities, www.cpawebtrust.org/CertAuth_fin.htm

• ESSI – Final report of the ESSI Expert Team

• EU Directive on the matter can be found at http://europa.eu.int/eur-lex/en/lif/dat/1999/en_399L0093.html

• IETF PKIX

• ITU X.509

• McBride, Baker & Coles, Summary of Electronic Commerce and Digital Signature Legislation, www.mbc.com/ds_sum.html

• PKI assessment guidelines of the American Bar Association. Available at www.abanet.org/scitech/ec/isc

• Software Industry Issues: Digital Signatures, www.SoftwareIndustry.org/issues/1digsig.html#s1

Uygulamalar

• Entrust ISVs, www.entrust.com/ click on search and type ISV.

• Netscape home page, www.netscape.com.

• NIST Special Publication 800-2, Public Key Cryptography.

• NIST: Public key infrastructure program (as of July 1998), http://csrc.nist.gov/pki/.

• OMG home page, www.omg.org.

• S/MIME Editor. S/MIME message specification PKCS security services for MIME.

245

P3 Saldırı Tespit Sistemi (IDS) Gözden Geçirme Usulü

1. ARKA PLAN

1.1 Standartlarla Bağlantı 1.1.1 S6 Denetim ĠĢinin Yürütülmesi Standardı, ―Denetim süresince BS Denetçisi, denetim amaçlarını baĢarmak için yeterli,

güvenilir ve ilgili kanıt sağlamalıdır. Denetim bulguları ve sonuçları, bu kanıtların uygun analiz ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.

1.2 COBIT Bağlantısı 1.2.1 COBIT çerçevesi, ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğundadır. Bu sorumluluğu yerine getirmek ve

beklentileri karĢılamak için yönetim yeterli seviyede iç kontrol sistemi kurmalıdır." Ģeklinde ifade eder. 1.2.2 COBIT Yönetim Rehberleri, sürekli ve geleceğe dönük Ģekilde kontrol öz değerlendirmesi için yönetim-eğilimli çerçeveyi

sağlarken aĢağıdakilere odaklanır:

• Performans ölçümü—BT iĢlevinin, iĢ gereksinimlerini ne kadar iyi desteklemektedir?

• BT kontrol profili—Önemli olan BT süreçleri nelerdir? Kontrol için kritik baĢarı faktörleri nelerdir?

• Farkındalık—Bu hedeflere ulaĢılamamasından kaynaklanabilecek riskler nelerdir?

• Kıyaslama—Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve kıyaslanabilir? 1.2.3 Yönetim Rehberi, BT performansının iĢ terimleriyle değerlendirilmesini sağlayan örnek ölçüler sağlar. Temel amaç

göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri süreç sağlayıcıların ölçümleriyle gerçekleĢtirilen sürecin ne kadar iyi olduğunu değerlendirir. Kıyaslama ve değerlendirme yeterliği sağlayan olgunluk modeli ve olgunluk özellikleri, yönetime kontrol yeterliğini ölçmek ve kontrol boĢluklarını tanımlamak ve geliĢtirme stratejisi belirlemekte yardımcı olur.

1.2.4 Yönetim Rehberi, öz değerlendirme atölye çalıĢmalarını desteklemek için kullanılabilir ve bunlar ayrıca BT yönetiĢim Ģemasının bir parçası olarak, yönetimin sürekli izleme ve geliĢtirme usullerinin uygulanmasını desteklemek için de kullanılabilir.

1.2.5 COBIT, bilgi sistemi yönetim ortamı için ayrıntılı kontrol teknikleri ve kontrol setleri sağlar. Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, seçilen özel COBIT BT süreçlerinin ve COBIT bilgi ölçütünün dikkate alınması temeline dayanır.

1.2.6 Bu rehberde, iĢaret edilen alanlarda yapılacak gözden geçirmelerde mutlaka göz önünde bulundurulması gereken özel COBIT süreci ya da hedefleri için bu belge ekinde yer alan COBIT kaynaklarına gönderme yapılmaktadır.

1.3 Usul Gereksinimi 1.3.1 Bu usulün amacı, BS Denetçisi tarafından izinsiz saldırı tespit sistemi (IDS) gözden geçirmelerinde atılacak adımları

belirlemektir. 1.3.2 Bu usul, aĢağıdakileri sağlamak için tasarlanmıĢtır:

• IDS tanımı ve nasıl iĢlediği

• IDS kullanmanın amacı ve faydası

• Temel IDS türleri ve bunların her birinin üstün ve zayıf yanları

• Uygun IDS uygulaması ve yönetimi için gerekli koĢullar konusunda rehberlik.

• IDS gözden geçirmesi planlamasının varsayımları

• Denetim yaklaĢımına genel bakıĢı

• Raporlama konuları

• Denetim usul ve kanıt türleri

1.3.3 Bu usul, üçüncü COBIT Çerçeve, 2000 basımı, BT YönetiĢimi, YönetiĢim Enstitüsü basımı IDS kontrollerini açıklar,.

2. IDS NEDĠR?

2.1 Tanımlama 2.1.1 Saldırı tespiti, özel donanım ve yazılım kullanımıyla sistem ve ağların yetkisiz kullanımının tespit etme sürecidir. Bir IDS‘nin

temel amacı, ağ ve sistem faaliyetlerini gerçek zamanlı olarak görmek ve yetkisiz faaliyeti tanımlamaktır. Ayrıca, bunlar neredeyse gerçek zamanlı otomatik müdahale de verebilirler. IDS ürünleri, ayrıca büyüyen eğilimler ve sorunları tanımlamak için bugünün faaliyetleri ile geçmiĢteki faaliyetlerle iliĢkilerinin analiz edilmesi imkanını sağlar.

2.2 IDS Amaçları ve Faydaları 2.2.1 Saldırı tespiti geçekleĢtirmenin temel amacı, tespit edilemeyecek Saldırıların neden olacağı sonuçların önlenmesine yardım

etmektir. Etkili güvenlik kontrol programı uygulamak, güvenlik destek altyapısı kurmak için iyi bir baĢlangıç noktasıdır. Etkili kontroller, etkili bilgi güvenlik politikalarını, standartları, politikaları ve uygun teknoloji kullanımını olgunlaĢtırır. Uygun teknoloji, kurum politikalarını destekleyen ve kurumu buna zorlayan teknoloji olarak tanımlanabilir. Saldırıyı, gerçek zamanlı olarak tespit edebilmek Saldırı tespitinin önemli bir parçasıdır. O anda yapılmakta olan bir saldırının farkında olmak ve anında önlem alabilmek Saldırı giriĢiminin önlenmesinde, önemli bir üstünlük sağlar ve Saldırıya çalıĢan kaynak noktayı belirlemeye olanak verir. Gerçek zamanlı tespit, arka planda bulunan bağlanmıĢ aygıtların bütün faaliyetlerini izleyen bir izleme sistemine sahip olmaya bağlıdır. Ġzleme sistemi, farklı vakaları yorumlayabilmeli ve gerçek saldırıları tanılayabilmelidir.

246

P3 Saldırı Tespit Sistemi (IDS) Gözden Geçirme Usulü

2.2.2 Geleneksel IDSler‘in çoğu, saldırılara karĢı tanımlama ve koruma yaklaĢımını temel alan ağ ya da host temelli yaklaĢımlardır.

Her iki durumda da IDSler, saldırı izlerini ararlar, belli yollar kötü niyet ve Ģüpheli etkinlikler için kullanılırlar. Gerçek anlamda etkili bir IDS her iki yöntemi de kullanır.

2.3 Temel IDS Türleri 2.3.1 Temel IDS türleri Ģunlardır:

• Host temelli

• Ağ temelli

– Ġstatistikî kuralsızlık

– ġablon eĢleĢtirme

2.4 Host Temelli IDS 2.4.1 Host temelli saldırı tespiti, ağlar bugünkü kadar yaygın, karmaĢık ve birbirine bağlı değilken 1980‘lerin baĢında kullanılmaya

baĢlanmıĢtır. Bu basit ortamda, Ģüpheli faaliyetlerin denetim kayıtlarını gözden geçirmek yaygın bir uygulamaydı. Saldırılar, nadir olduğundan, vaka sonrası analizler gelecekteki saldırıları önlemek için yeterli kabul ediliyordu.

2.4.2 Host temelli IDS‘ler, bugün de denetim kayıtlarını kullanır ama daha çok otomatiktirler, daha tepkisel ve karmaĢık tespit teknikleri kullanmaya baĢlamıĢlardır. Host temelli IDS‘ler tipik olarak sistemleri, olayları ve güvenlik kayıtlarını izlerler. Bu dosyalardan herhangi biri değiĢtiğinde, bir eĢleĢmenin olup olmadığını anlamak için IDS yeni kaydı saldırı imzalarıyla karĢılaĢtırır. Eğer varsa sistem idareciye uyarım verir ve diğer hareketleri çağırır. Sistemdeki dosyaları değiĢikliklere karĢı izler. Host temelli IDS amacı temelde tekil dosya değiĢikliklerine karĢı sistemi izlemektir.

2.4.3 Host temelli IDS‘ler, diğer teknolojileri içerecek biçimde geniĢlemiĢtir. Saldırı, tespit etmede yaygın bir yöntem, beklenmedik değiĢiklikleri aramak için düzenli aralıklarla anahtar sistem dosyalarını ve yürütülebilirleri sağlamayarak kontrol etmektir. Tepki süreci doğrudan havuz aralık sıklığıyla ilgilidir. Nihai olarak, bazı ürünler giriĢ faaliyetlerini izler ve tanımlı giriĢlere eriĢildiği zaman idareyi uyarır. Bu tür tespit baĢlangıç seviyesindeki ağ temelli saldırı tespitini host temelli ortama getirmiĢ olur.

2.4.4 Host temelli IDS‘ler ağ temelliler kadar hızlı değildir, ancak ağ temelli sistemlerle karĢılaĢtırılamayacak üstünlükleri sunar. Bu üstünlükler, arasında daha güçlü hukuki analiz, host temelli olay verisine daha yakından odaklanma ve daha düĢük giriĢ seviye maliyeti yer alır.

2.4.5 Host temelli IDS üstünlükleri aĢağıda yer almaktadır:

• Saldırının baĢarını ya da baĢarısızlığını doğrularlar. Ağ temelli IDS‘ler, erken uyarı sağlarken, host temelli IDS‘ler saldırının baĢarılı olup olmadığının doğrulamasını sağlarlar.

• Belirli sistem faaliyetlerini izlerler. Host temelli IDS‘ler, ağa bağlıyken bütün kullanıcı faaliyetlerini izleyebilirler. Ağ temelli sistemler için bu olay ayrıntısı seviyesinde izleme sağlamak oldukça zordur.

• Ağ temelli sistemler tarafından tanımlanamayan saldırıları tespit ederler. Örneğin, ağ içindeki klavyeden saldırı ağ temelli sistem tarafından tespit edilemeyebilir.

• Kriptolu ve anahtarlı ortamlar için oldukça uygundurlar. Host temelli sistemler kuruluĢ içindeki farklı hostlara dayandığından, kriptolu ve anahtarlı ortamlardaki ağ temelli sistemlerin bazı sorunlarının üstesinden gelebilirler. KuruluĢu tamamen kapsama amacı olduğunda IDS‘nin iç ağda nereye yerleĢtirileceğine karar vermek oldukça zordur. Host temelli sistem trafiği, gözden geçirdikçe veri akıĢı Ģifresi zaten çözülür.

• Neredeyse gerçek zamanlı tespit ve müdahale mümkündür. Kullanılmakta olan çoğu host temelli sistem, yeni bir dosya kaydı giriĢi olduğunda iĢletim sisteminden bir kesinti alırlar. Bu giriĢin ivedi olarak iĢlenmesi, saldırının tanınması ve tepkinin verilmesi arasındaki zamanı önemli ölçüde azaltır.

• Ek bir donanım unsuruna ihtiyaç duymazlar. Host temelli IDS‘ler, dosya sunucuları, web sunucular ve diğer paylaĢılan kaynakları içeren ağ altyapılarına dayanır.

• DüĢük giriĢ maliyetleri vardır. Ağ temelli IDS‘ler, küçük bir çabayla büyük bir kapsam sunarlar ve genellikle pahalıdırlar. Host temelli saldırı tespit sistemleri, tek bir ajan için yüzlerle ifade edilen dolara mal olurlar ve kısıtlı ilk giriĢ maliyetiyle kullanılmaya baĢlanabilirler.

2.4.6 Host temelli IDS olumsuzlukları aĢağıda yer almaktadır:

• Host makinesinin kabul ettiklerini bunlar da kabul ederler.

• ĠĢletim sistemine, ek yük bindirirler ve ağda korunan her makinenin bir kopyasına gerek duyarlar.

• Genellikle, virüs korunma yazılımlarıyla kıyaslanırlar ve kullanıcılar genelde sadece virüs korunma yazılımı kullanma eğilimindedir, hâlbuki IDS güvenlik özelliklerini virüs korunma yazılımı sağlamaz.

• Bunlar, çok özel uygulamalardır.

• Bunlar Windows NT, UNIX, VMS ve diğer ana bilgisayar iĢletim sistem dilleri arasında çeviri yapabilmelidirler. Bu sistemlerin bir parçası saldırıya uğrayan hostu temel aldığından host temelli IDS de saldırıya uğrayabilir ve zeki bir saldırgan tarafından etkisiz hale getirilebilir.

• Bir ağdaki bütün hostları tespit amaçlı taramaya uygun değildirler çünkü her hostdaki IDS sadece özel olarak alınan ağ paketlerini görür.

• Hizmet dıĢı bırakma saldırıları sırasında iĢletimde ve tespit etmekte güçlük yaĢarlar.

• Ġzledikleri hostun iĢleme kaynaklarını kullanırlar.

247

P3 Saldırı Tespit Sistemi (IDS) Gözden Geçirme Usulü (Devamı)

2.5 Ağ temelli IDS‘ler 2.5.1 Ağ temelli IDS‘ler, ham ağ paketlerini veri kaynağı olarak kullanırlar. Ağ temelli IDS‘ler, ayrımsız türde çalıĢan ağ

uyumlaĢtırıcılarından faydalanarak ağ trafiğini gerçek zamanlı olarak izler ve analiz ederler. Ayrımsız türün bir saldırgan tarafından tespit edilmesi ve konumlandırması oldukça zordur. Saldırı tanılama iĢlevi, iki yaygın tekniği kullanarak saldırı imzalarını tanır:

• Ġstatistikî kuralsızlık tespiti

• ġablon, ifade ya da bayt kod eĢleĢtirme

2.5.2 Ağ temelli IDS üstünlükleri arasında Ģunlar sayılabilir:

• En büyük varlığı gizliliğidir.

• Var olan sistem ya da altyapı üzerinde bir etkileri olmaksızın kullanılabilirler.

• Çoğu iĢletim sistemlerinden bağımsızdırlar. Kullanılan ağ temelli Saldırı algılayıcıları, varıĢ iĢletim sistemi türünün ne olduğuna bakmaksızın bütün saldırıları dinlerler.

2.5.3 Ağ temelli IDS olumsuzlukları arasında Ģunlar sayılabilir:

• Ölçeklenebilir değildirler; 100 mbps kapasite sürdürümü için çaba harcanması gerekir.

• Daha önceden tanımlanmıĢ saldırı imzaları temelinde çalıĢırlar – bu imzalar saldırganların bir sonraki adımının hep bir adım gerisindedir.

• IDS tedarikçileri bilinen saldırıların hepsini yakalayamazlar ve imza güncellemeleri virüs korunma yazılımları kadar sık değildir.

2.6 Ġstatistikî Kuralsız IDS‘ler 2.6.1 Kuralsızlık tespit modelinde, IDS sistem ya da kullanıcının normal davranıĢlarından farklı olan etkinliği arar. Kuralsızlık temelli

IDS‘ler, belli kullanıcı ya da ağ bağlantılarının normal davranıĢ profiliyle temellerini kurarlar ve ardından bu temelden sapan davranıĢları izlerler.

2.6.2 Ġstatistikî Kuralsızlık temelli IDS‘lerin üstünlükleri arasında aĢağıdakiler yer alır:

• GeçmiĢ saldırıların saldırı imza analizlerine dayanan Ģablon eĢleĢtirme IDS‘lerinin tersine çoğu güvenlik uzmanı daha önce görülmemiĢ saldırıları tespit etme yeterliğine sahip olduğunu duyumsar.

• Sıra dıĢı davranıĢları tespit edebildikleri için, onları bulmak için programlanmıĢ olmasalar da saldırıları tespit etme yeterliğindedirler.

2.6.3 Ġstatistikî Kuralsızlık temelli IDS‘lerin üstünlükleri arasında aĢağıdakiler yer alır:

• Kullanıcıların ve ağların öngörülemeyen yapıları dolayısıyla çok büyük miktarda yanlıĢ olumlu üretirler.

• Kuralsızlık temelli tespit yaklaĢımı, normal davranıĢ özelliklerini karakterize edebilmek için sistem olay kayıtları üstünde yoğun olarak çalıĢmak zorundadır.

• Dikkatli korsanlar bunları atlatabilir veya kullanım dıĢı bırakabilir.

2.7 ġablon EĢleĢtiren IDS‘ler 2.7.1 Ticari ürünlerin önemli bir kısmı, trafik izlemeye ve belgelenmiĢ saldırı yollarını aramaya dayanır. Bu, IDS‘nin bilinen istismar

tekniklerini tanımlamak üzere programlandığı anlamına gelir. Bu Ģablon eĢleĢtirme kadar basittir. Klasik örnek, ağ parçalarındaki her paketi inceleyerek, web sunucusunda zayıf koda eriĢim giriĢimlerini gösteren tanımlı Ģablon etkinliğini aramaktır. Bazı IDS‘ler, bu tür binlerce Ģablon içeren veritabanlarından oluĢturulur. IDS her paketi izler ve bu tanımlı Ģablonları içeren paketleri arar.

2.7.2 ġablon eĢleĢtiren IDS‘lerin üstünlükleri arasında aĢağıdakiler yer alır:

• Kuralsız IDS‘lerden daha kısa bir uygulama zamanına gerek duyarlar. Ancak, ağda çalıĢarak tanımlı Ģablon olaylarını arayan bir Ģablon eĢleĢtirme motoru zorunludur.

• Uygulama, güncelleme, kullanma ve anlama kolaylığı sağlarlar.

• Kuralsız IDS‘ye kıyasla az sayıda yanlıĢ olumlu üretirler çünkü daha fazla sayıda yanlıĢ olumsuz üretirler. Diğer bir deyiĢle, Ģablon eĢleĢtirme tespit sisteminde geçmiĢte kalmıĢ bir Ģeyi geçirmek kolaydır ama hızlı çalıĢırlar.

2.7.3 ġablon eĢleĢtiren IDS‘lerin olumsuzlukları arasında aĢağıdakiler yer alır::

• Normal ağ trafiği çok sayıda yanlıĢ olumluya neden olur ama kuralsız temelli IDS‘lere kıyasla görece daha azdır.

• Dikkatli korsanlar IDS‘yi etkisiz kılabilirler.

• ġablonu olmayan bir Ģeyi tespit edemezler.

• Yeni kurallarla sürekli güncellenmeleri gerekir.

• Ağ üzerinden parçalı paketler gönderilerek kandırılmaları, kuralsız IDS‘ye kıyasla daha kolaydır.

• ġablon güncellemelerinin çoğu tedarikçi tarafından sağlanır, tedarikçiye ağ güvenliğinde bir rol verilir. Tedarikçinin yeni tanımlanmıĢ saldırı Ģablonlarını sağlama yeterliği temel sürdürüm ve etkili Ģablon eĢleĢtirme IDS için kilit roldedir.

248

3. IDS UYGULAMALARI GÖZDEN GEÇĠRME USULLERĠ

Önerilen Usuller √

Gözden

Geçirmenin

Planlaması

Planlamayı bütünleyen bir parça da, kurumun bilgi sistemine bağımlılığının büyüklüğü, sistem

karmaĢıklığını ve sınırlarını BS Denetçisinin belirlemesi için yeterli seviyede kurum bilgi sistemi ortamını

anlamaktır. BS Denetçisi, kurumun misyon ve iĢ hedeflerini anlamalı, bilgi sistemlerinin hangi yollar

kullanılarak bilgi teknolojisinin ve bilgi sisteminin kurumu desteklediğini ve kurum hedefleri ve bilgi

sistemiyle ilgili riskleri ve açıkları bilmelidir. Ayrıca, edinilmesi gereken IDS‘nin bakımında sorumlu anahtar

BT personeli de dahil olmak üzere rol ve sorumlulukları içeren kurumsal yapının anlaĢılmasını

anlamalıdır.

Yedi COBIT bilgi kıstasına da iĢaret eden amaçlar geliĢtirmek ve kurumu bunlarla hemfikir kılmak

Yedi COBIT bilgi kıstası:

• Etkililik

• Etkinlik

• Gizlilik

• Bütünsellik

• EriĢebilirlik

• Uygunluk

• Bilgi güvenirliği

Ağ

Mimarisinde

IDS

konumlandırması

Ağ üzerinde nerelerde kritik varlıkların yerleĢtirildiğinin ve kurumun hangi noktada tespitin baĢlamasını

istediğinin belirlenmesi. Örneğin, eğer kurum yönlendirici çevresinin dıĢındaki trafiğin gözden geçirilmesini

istiyorsa, algılayıcı yönlendirici çevresinin önüne yerleĢtirilmelidir. Eğer, asıl kaygı duyulan nokta

yönlendirici çevresi ve güvenlik duvarı ve kritik sunuculardan önce ağa giren trafikse, algılayıcı bu noktada

kullanılmalıdır. IDS‘nin nereye yerleĢtirilmesi gerektiğinin belirlenmesinde dikkate alınması gereken

etmenler:

• Ağ trafiği izlemesi, ağ mimarisi içinde mi yoksa dıĢında mı izlenmek istenmektedir?

• Algılayıcının ağın yüksek hacimli parçalarına yerleĢtirilmesi, ağ gecikmesine neden olabilir.

Koruma ve ürün arasında bir tercih yapılmak zorundadır.

• Farklı zayıflıkları izlemek ve yük dengesi sağlamak için çoklu algılayıcı gerekli olabilir. Böylece

geçen paketlerin tam olarak incelenmiĢ olması güvence altına alınır ve izinsiz giriĢ tespit yeterliği

artmıĢ olur. Bu durum ―SAVUNMADA DERĠNLĠK‖ kavramıyla ifadelendirilir.

•Hangi sunucular/uygulamalar risk altında ve hizmet dıĢı bırakma saldırılarının kuruma etkisi ne

olur? Bu yerlere algılayıcılar yerleĢtirilmelidir.

Kurulum

Parametreleri

AĢağıdakilerin var olup olmadığı belirlenmelidir:

• Sistem, analiz motorundan veri alacak ya da buraya veri iteleyecek biçimde yapılandırılır. Veri iteleme,

tercih edilen yöntemdir. Ġtileme, vuku bulan saldırıları incelenmek üzere analiz motoruna gönderecek

biçimde yapılandırılabilir. Ġtme yönteminin bir eksikliği, algılayıcının saldırgana karĢılık vermesi böylece

saldırganın algılayıcıyı tanımlaması ve algılayıcıya yönelik ek saldırılar düzenlemesidir. Bu zayıflığı

gidermek için, algılayıcıları analiz motoruna, saldırı olmasa da saldırı oluyormuĢ gibi veri gönderecek

biçimde yapılandırmaktır. Çekme yöntemi için, analiz motoru algılayıcılardan veriyi edinir ve sorgulanmak

üzere bekler. Bu kipte uyarım gönderilmesi gene de olanaklıdır ama ayrıntıları almak için sorgulama

yapılmalıdır.

• IDS, kullanıcı davranıĢlarını ve Ģablonları tanımlamak üzere yapılandırılır. Bir IDS normal ve anormal ağ

trafiğini ayırt edebilecek biçimde yapılandırılmalıdır. Bu noktada ayrıca iyi bilinen zararlı imzalar

(solucanlar, Truva atları gibi) da tanımlanmalıdır. Örneğin, eğer IDS ağ dıĢından birinin adresini ağ

içinden birinin adresiyle aynı olarak kimliklerse, kırmızı bayrak, yani birinin ağı kandırdığı, kaldırılmalıdır.

• IDS, uzaktan yönetim özelliğine de sahiptir.

IDS Konfigürasyon parametrelerinin saldırıları taraması değerlendirilir. Belli parametreler sisteme,

uygulamaya zarar verir, sistem iade edilir.

AĢağıdakilerin makul güvencesi sağlanır:

• IDS, Ģüpheli dosyaları, veritabanı değiĢikliklerini ve hatta eklenen, açıklanamayan dosyaları

tanımlayacak biçimde yapılandırılır.

• Kurcalamaya karĢı kullanıcı hesapları, sistem dosyaları ve kütük dosyaları izlenir.

• IDS, yüksek seviye izinsiz giriĢ tepsi ettiğinde uyarım gönderecek ve yanlıĢ olumlu ve düĢük seviye

saldırılarda uyarımı azaltacak biçimde yapılandırılır.

• IDS, saldırı imzalarına dayanarak çalıĢır (Kötüye kullanımın tespiti).

• Uyarımlar sayfa, e-posta ve diğer araçlarla gönderilir.

• Verilen süreç içinde yapılan saldırıları raporlayan bir unsur vardır (Saatlik, Haftalık, Aylık gibi).

• Filtreleyiciler, güvenlik politikası temelinde yanlıĢ olumluları en aza indirecek biçimde konumlanmıĢtır.

Güvenlik

Duvarlarıyla

ĠliĢkisi

IDS için güvenlik duvarını bir yazılım kurulmasına gerek olmadığının belirlenmesi.

Saldırı vakaları tanımlandığın zaman uygun önlemlerin alındığının makul güvencesini sağlamak. Olay

müdahale usulleri, IDS uygulamalarıyla paralel biçimde geliĢtirilmelidir. Ağ saldırılarına müdahale etmede

temel yaklaĢımı hazırlığı, tespiti, sınırlandırmayı, silmeyi, iyileĢtirmeyi ve izlemeyi içermelidir.

Diğer AĢağıdakilerin var olup olmadığı belirlenir:

249


Önemli

Kontrol

Sorunları

• Yetkisiz modem hatlarıyla çalıĢanlar ağa bağlanabilirler (Hileli modemler)

• ÇalıĢanlar tehdit oluĢturuyor olsa bile yetkisiz yazılımları kullanabilirler, uzaktan kontrol yazılımı gibi,

örneğin, Back Office

• Zararlı kodlar içeren e-posta ekleri, verimlilik azaltılmaksızın engellenir.

• Personel güvenlik tehdidi olabilecek URL‘lerden haberdar edilir, çünkü web siteleri ağı kendi tarayıcıları

gibi istismar edecek biçimde yapılandırılmıĢtır.

• IDS‘nin bildirdiği vakalarla ilgili düzeltici davranıĢların geliĢtirilmesi. Örneğin, bir çalışan ağda kendisini

ilgilendirmeyen yerlere giriyor ve korsanlık araçları kullanıyorsa disiplin kovuşturması açılmalıdır.

Denetim

Görevinin

Yürütülmesi

Sistemin hem iĢletmen hem de bilgisayar tarafından iĢletilen kısımlarına dair bilgi toplanarak iĢ akıĢının

belgelenmesi. Denetim hedefi açısından önemli olan veri akıĢıyla ilgili süreçlere odaklanılmalıdır. BS

Denetçisi, kullanılan teknolojiye ve süreçlere bağlı olarak iĢ akıĢ belgelerinin yeterince iyi olmadığı

sonucuna ulaĢabilir. BS Denetçisi, bu durumda yüksek seviye diyagram ya da özet hazırlamalı ve varsa

kalite sistem belgelerinden yararlanmalıdır.

IDS kontrolleri tanımlaması ve testi. Riskleri azaltacak belli kontrollerin tanımlanması ve yeterli denetim

kanıtının elde edilerek kontrollerin istendiği gibi iĢlediğinin belirlenmesi. Bunlar aĢağıdaki Ģekilde usullerin

baĢarılmasıyla tamamlanabilir:

• Sorgulama ve gözlem

• Belgelerin gözden geçirilmesi

• IDS kontrolleri testi

AĢağıdakilerin var olup olmadığı belirlenir:

• Bilgi sağlamada ve olay müdahalede üçüncü taraf

• Sistem güvenlik duvarları ve yönlendiricilerle iletiĢim kurar ve bu iletiĢim ya güvenlidir ya da ayrı bir

kanal/ağ güvenli iletiĢim için gereklidir (paralel kontrol ağı)

• IDS, günlük olay kütüklerini özetleyen yazılı raporlar üreten bir araca sahiptir.

• Kendiliğinden müdahale mekanizması vardır.

AĢağıdakiler için makul güvenceler sağlanır:

• Ġmzalar sıklıkla güncellenir.

• Güncellemeler güvenli bir yolla dağıtılır (Kriptolu ya da dijital mühürlü olması gibi).

• IDS‘ler çok sayıda değiĢik saldırıyı tanıyabilir.

• YanlıĢ olumlular risk seviyesi temelinde yönetilirler.

• IDS kurallarının güncellenmesine gerek duyar.

• IDS kurallarının sağlanması/güncellenmesi için özel bir iĢaret gerekir.

• Son saldırılar bilgisi IDS‘yi güncel tutmak için kullanılır.

• IDS etkili biçimde ölçeklenebilir (Aynı zamanda çok sayıda algılayıcının izlenmesi/yönetilmesi gibi)

• Ürün ağ/Host performansı üstünde az bir etkiye sahiptir.

• IDS ile ilgili diğer performans konuları kontrol edilebilir.

• Ölçülen sistem için en üst seviyede band geniĢliği ile kayıpsız analiz yapılır ve yüzde yüz kapsamla

analizler yapılır, kurum gereklerini karĢılamaya yeterlidir.

• Eğer kurum ağ temelliyse, IDS bütün ağ protokollerini yerinde çözümler

• IDS yeterli ayrıntıyla daha üst seviye uygulama protokollerini analiz yeterliğine sahiptir.

• IDS hostuna bir yazılım kurulmasına gerek duymaz.

• Algılayıcı ve merkez yöneticisi arasındaki iletiĢim yeterince güçlüdür.

• Uyarıları yakalama güvenilirdir. Eğer yüksek hacimli uyarımlar oluĢturulursa hepsi birden yakalanır ve

veritabanına iĢlenir.

• IDS‘den elde edilen veri uygun ve etkili olarak yönetilir (Veri görselleĢtirmesi temel sorundur.).

• IDS bir sorun tespit ettiğinde yapılacakları açıklayan ayrıntılı usuller vardır.

• IDS çalıĢma mekanizması personel tarafından bilinir.

• IDS, ağ aygıtları yönetimi gibi ağ yönetimi faaliyetlerinde tamamlayıcı olarak kullanılabilir.

• IDS ağ çevresine ya da içine yerleĢtirilmek açısından ele alındığında her ikisi için de uygundur.

• Ürün, yetkili kullanıcı tarafından içeride yapılan istismarı uzun bir zaman sonra tespit eder.

• Belli site politika ya da gereksinimlerini karĢılamak üzere IDS uyarlanabilir ya da yapılandırılabilir.

• IDS‘ye eriĢebilen kiĢilerin listesi az ve kontrollüdür.

• IDS kurma ve bakımı için uzmanlık ve eğitim sağlanmıĢtır ve sonuçlar düzenli olarak çözümlenir.

• IDS diğer sistemlerin ürettiği kütüklerden faydalanır.

• IDS diğer zayıflık değerlendirme araçlarıyla bütünleĢebilir.

• IDS tepkisel karĢılık verebilir (Varsayılan saldırganın IP ağ adresinden gelen paketleri engellemek için

güvenlik duvarları ve yönlendiricilerle iletiĢim kurar).

• IDS raporlama araçları, doğru ve etkindir (Olay listeleri, biçimlerle temsil edilen GUI‘lar).

• IDS iĢletmenini/güvenlik yöneticisini uyarma yöntemi etkin ve etkilidir.

Raporlama Zayıflıklar yönetime raporlanır. Kontrol yokluğundan ya da uyumsuzluktan kaynaklanan, IDS gözden

geçirmesinde tanımlanan zayıflıklar yönetimin dikkatine sunulmalıdır. Saldırı tespit sistemi gözden

geçirmesinde zayıflıkların tanımlandığı yerler somut ya da önemli olarak tanımlanmalı ve uygun seviyede

250


yönetime konuyla ilgili düzeltici eylem sergilemesi önerilmelidir.

Kontrolleri güçlendirecek önerilere raporda yer verilmesinin dikkat edilmesi


4.1 Bu usul, 1 Ağustos 2003 ve sonrasında baĢlayan bütün bilgi sistem denetimleri için geçerlidir. Terimleri içeren tam bir sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir. .

EK

COBIT Referansı

Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, özel COBIT BT süreçlerinin seçimine ve

COBIT bilgi kıstasının dikkate alınmasına dayanır.

• PO6—Yönetim Amaçların ve Yönelimlerinin Bildirimi

• PO9—Risk Değerlendirmesi

• AI3—Teknoloji Altyapısının Edinimi ve Bakımı

• DS5—Sistemlerin Güvenliğinin Sağlanması

• DS7—Kullanıcı Eğitimi ve YetiĢtirilmesi

• DS10—Sorunları ve Olayların Yönetimi

IDS denetimiyle en ilintili bilgi kıstasları:

• Birincil: Gizlilik, bütünlük ve eriĢebilirlik

• Ġkincil: Etkinlik ve güvenirlik


251

P4 Virüs ve Diğer Zararlı Kod Usulü

1. ARKA PLAN

1.1 GiriĢ 1.1.1 Virüs ve zararlı korunma politikası, kurumun genel güvenlik politikasının bir parçasını oluĢturmalıdır. Bu ayrıca virüslerin

önlenmesi, tespiti ve düzeltilmesi usulleri için bir çerçeve sağlamalıdır.

1.2 COBIT Bağlantısı 1.2.1 COBIT çerçevesine, ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğundadır. Bu sorumluluğu yerine getirmek ve

beklentileri karĢılamak için yönetim yeterli seviyede iç kontrol sistemi kurmalıdır." Ģeklinde ifade eder. 1.2.2 COBIT Yönetim Rehberleri, sürekli ve geleceğe dönük kontrol öz değerlendirmesi için yönetim eğilimli çerçeveyi sağlarken

Ģunlara odaklanır:

• Performans ölçümü—BT iĢlevinin iĢ gereksinimlerini ne kadar iyi desteklemektedir?

• BT kontrol profili—Önemli olan BT süreçleri nelerdir? Kontrol için kritik baĢarı etmenleri nelerdir?

• Farkındalık—Bu hedeflere ulaĢılamamasının riskleri nelerdir?

• Kıyaslama—Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve kıyaslanabilir? 1.2.3 Yönetim Rehberleri, iĢ anlaĢmasında BT performansının değerlendirilmesini sağlayan örnek ölçüler sağlar.Bu temel hedef

göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, temel performans göstergeleri süreç sağlayıcıların sürecin ne kadar iyi gerçekleĢtirildiğini. Kıyaslama ve değerlendirme yeterliği sağlayan olgunluk modeli ve olgunluk özellikleri, yönetime kontrol yeterliğini ölçmek ve kontrol boĢluklarını tanımlamak ve geliĢtirme stratejisi belirlemekte yardımcı olur.

1.2.4 Yönetim Rehberleri, öz değerlendirme atölye çalıĢmalarını desteklemek için kullanılabilir ve bunlar ayrıca BT yönetiĢim Ģemasının bir parçası olarak, yönetimin sürekli izleme ve geliĢtirme usullerinin uygulanmasını desteklemek için de kullanılabilir.

1.2.5 COBIT, bilgi sistemi yönetim ortamı için ayrıntılı kontrol teknikleri ve kontrol setleri sağlar. Belli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, seçilen özel COBIT BT süreçlerine ve COBIT bilgi ölçütünün dikkate alınması temeline dayanır.

1.2.6 Bu rehber tarafından iĢaret edilen alanlarda yapılacak gözden geçirmelerde mutlaka göz önünde bulundurulması gereken özel COBIT süreci ya da amaçları için bu belge ekinde yer alan COBIT referansına gönderme yapılmaktadır.

2. VĠRÜS VE DĠĞER ZARARLI MANTIKLARIN ENGELLENMESĠ, TESPĠTĠ VE DÜZELTĠLMESĠ

2.1 BS Denetçisi, kurumun virüslerin engellenmesi, tespiti ve düzeltilmesi üstüne etkili belgelendirilmiĢ usullerinin olduğunun makul bir güvencesini saplamalıdır. AĢağıdaki kontrol listesi, BS Denetçisi tarafından yol gösterici olarak kullanılabilir:

Virüs BulaĢmasını Önlemek ve Yönetmek Ġçin Önerilen Usuller √

Yönetimin, kritik kaynakların analizi ve değerlendirmesi ve uygulanan koruma türlerinin gözden geçirilmesi. Kurumun virüs

korunma politikası, kurum bilgi sistemlerini en iyi biçimde korumak için risk ve zayıflıklar değerlendirmesine dayanmalıdır.

BT görüĢmeleriyle, bilgisayar sistemlerine bütün muhtemel giriĢleri tanımlamak, örneğin:

• Fiziksel Araçlar—disketler, CD-ROM ve daha gene olarak bütün çıkarılabilir ortam araçları

• PC çevre unsurları—modemler, seri, USB ya da kızıl ötesi giriĢlerle (PDA ve cep telefonları gibi) bağlanan aygıtlar

• Kurum dıĢında çalıĢan dizüstü bilgisayarlarla uzaktan bağlantı

• MüĢteri, tedarikçi ve yönetici gibi tanımlı üçüncü taraf kurumlarıyla ağ bağlantısı

• Kurum tarafından izin verilen internet protokolleri (HTTP, FTP ve SMTP)

Kullanıcılar, kurumun farkında olmaksızın çevirmeli bağlantı kullanabilirler bu nedenle modemlere özel bir dikkat vermek

gerekir. Örneğin, LAN ve iç ya da dıĢ modem yardımıyla internet eriĢimi açık olan dizüstü bilgisayarlar virüsler için bulaĢma

araçları olabilirler. Ayrıca, bu modemler kullanıcılara kontrolsüz bir biçimde kurum varlıklarına eriĢim verirler. Üçüncü taraf

kurumları politikaları zayıfsa ya da yoksa dıĢ tedarikçiler ciddi bir tehlike oluĢturabilirler.

ĠĢletim sistemleri, hizmetler (TCP/IP kümesi, posta kontrolörü gibi), posta, web tarayıcı ve diğer uygulama yazılımları

gibi her platformda kurulu yazılımların potansiyel katman zayıflıklarının oluĢturduğu risk tanımlanır. Çok çeĢitli kodlar virüsleri

yürütür ve tetikler (örneğin hizmet baĢlatıldığında ya da etkinleĢtirildiğinde).

Kurumun karĢılaĢacağı virüs risk değerlendirmesine dayanarak –genellikle kurumun genel risk analizinin bir parçasıdır- seçili

donanım unsurlarını ve bunlarla ilgili sistemleri inceleyerek hangi türdeki dosya ve kaynakların sistemde çalıĢmasına izin

verildiğini belirlemek, örneğin:

• Sistemin baĢlangıcında zararlı kod yüklü ön yükleme yapılabilen bir aygıtta baĢlatılması

• ĠĢletim sistemince, yürütülebilir dosyaların çalıĢtırılması

• Kodun bir uygulamayla yorumlanması ya da birlikte çalıĢtırılması (DLL, Java, Vba gibi)

• Komut ya da makro

Risk değerlendirmesi, her bir sistem için hangi dosya ve kaynakların erilebilir olması gerektiğinin belirlemesi

gerçekleĢtirilmelidir. BS Denetçisi, standart donanım/yazılımla ilgili var olan dosya ve kaynakları karĢılaĢtırmalıdır. BS

Denetçisi, ayrıca, potansiyel zayıflıkların olup olmadığını tanımlamak için güncel en iyi uygulamalara karĢı standartları gözden

geçirmelidir.

Son kullanıcılar için virüs korunma politikası gözden geçirilir çünkü değiĢik türdeki kullanıcılar virüsleri daimi kılacak değiĢik

davranıĢlara, farklı kaynak ve yöntemlere sahip olabilir. Virüsler, farklı kullanıcı sınıflarından giriĢ yapabilirler:

• Kurum çalıĢanları

252


• Kurumun diğer çalıĢanları (danıĢmanlar, taĢeronlar ve geçiciler gibi)

• Kurum dıĢındaki insanlar, müĢteriler, tedarikçiler ve diğer üçüncü taraflar

Bu analizin sonuçları, kurumun sistemlerinin kullanıcılarıyla ilgili bütün risklerin uygunluğunun ve ele alındığının

belirlenmesinde kurumsal politikanın gözden geçirilmesinde yardımcı olur.

Virüslerin yayılmak için kullanabileceği yolları belirlemek için kurum ağ mimarisinin gözden geçirilmesi:

• LAN‘lar kurum içinde yayılmak için virüslerin kullandığı en yaygın yoldur.

• Sunucular virüsleri depolayıp yayabilirler, örneğin posta uygulamaları.

• E-posta, web posta, indirme, yamasız iĢletim sistemleri, çalıĢanlar ya da taĢeronlar enfekte disketler getirebilirler.

• Zararlı kod içerdiği bilinen belli ek ya da dosya türlerinin engelleyen e-posta/güvenlik duvarı teknolojisinin kullanımı.

Bu değerlendirme, virüslerin taranacağı anahtar noktayı tanımlamak için virüs korunma mimarisinin gözden geçirmesine

yardımcı olacaktır. Son kullanıcı farkındalığını yaratmak ve politikalarla ilgili son kullanıcılara bildirimde bulunmak için bir

program doğru yerde kullanılmalıdır.

Virüs bulaĢmasından korunma amaçlı virüs korunma politikası önlemleri gözden geçirmesi. Bu, kurumda baĢlıca kurumsal

süreçlerden ve kurum içi iletiĢimden oluĢur.

EriĢim ve yürütme yeniden yazma, ayrıca iĢletim sistemi ve kullanıcıların iĢ istasyonlarındaki önemli uygulama yapılandırması

gözden geçirmesi. Bu politika, kullanıcıların sisteme nasıl veri gireceğini ya da kodları makinelerde nasıl çalıĢtıracaklarını

belirtmelidir. Örneğin, kullanıcıların gereksinimlerine bağlı olarak:

Çıkarılabilir ortam engellenebilir

Ġnternetten belli dosyaların e-posta ya da webden (örneğin yürütülebilirler ve Visual Basic dosyaları filtrelenebilir) indirilmesi yasaklanabilir

Makrolar engellenebilir ya da makrosuz belgeler tercih edilebilir (RTF, CSV gibi)

Tam uygulama yerine görüntüleyiciler kullanılabilir, eğer modifikasyon gerekmiyorsa

Otomatik e-posta virüs tespiti ve silmesi Her durumda, yazma eriĢimi ve yürütme hakları, ayrıca kullanıcı iĢ istasyonlarındaki iĢletim sistemi yapılandırması dikkatle belirlenmeli ve gözden geçirilmelidir.

Yetkisiz yazılım kullanımının sınırlamaları ve bu sınırlamanın nasıl güçlendirildiğini belirlemek için kurumun yetkisiz yazılımlarla

ilgili politikalarının gözden geçirilmesi. Ġdeal olan kullanıcıların iĢ istasyonlarına yazılım yükleme haklarının olmamasıyken,

çoğu örnekte, bu olanak vardır. Sonuçta kurum, çalıĢanlarca kurulan yetkisiz yazılımların yol açtığı riski değerlendirmeli ve

bunu tespit edecek yöntemlere sahip olmalıdır.

Kurum içinde geliĢtirilen yazılıma çalıĢanların zararlı kod sokma riski değerlendirmesi. Bu ayrıca, ürünün kullanıma

sokulmadan önce bağımsız bir donanımda testine kullanıcının izin vermesini de içeren var olan usullerin kullanılmasıyla da

baĢarılabilir.

Güvenliğin virüsleri temizlemesi için tedarikçi bilgi kaynaklarının gözden geçirilmesi. Usuller, bu yamaların zamanında

kurulmasını sağlamalıdır.

Kurum yedekleme stratejisinin belirlenmesi. Virüs varlığı nedeniyle sistemlerin, uygulamaların ve/veya veri yenilemesi gerekli

olabileceğinden, politikalardan sorumlu kiĢi, virüsün yol açtığı kesinti sonrasında önemli veri kaybı olmaksızın donanımı

yeniden baĢlatmaya yetecek stratejiyi sağlamalıdır. Çoğu virüs, iĢ istasyonu seviyesinde veri kaybına yol açtığından

kullanıcıların iĢ istasyonlarındaki verisin yedeklenmesini sağlayan usul ve politikaların farkında olması önemlidir.

Virüs bulaĢma riskini azaltacak politikaların gözden geçirilmesi, bulaĢmadan kaçınan önleyici davranıĢlar:

Zararlı olduğu kanıtlanabilir dosya ve belge türleri

E-postalardan kaynaklanan riskler

Kullanımdaki sistemin Ģüpheli davranıĢlarını raporlama Kullanıcılar virüs engelleme çabalarının önemli parçalarıdır. Kullanıcıların bir rolü de muhtemel bulaĢma kaynaklarını tanımlamaktır.

Virüslerin diğerlerine yayılmasıyla ve risk azaltmayla ilgili kurum politikalarının gözden geçirilmesi. Gönderilen e-postaların

sonuna ve kurumun bilgi paylaĢtığı diğer kiĢilerle yaptığı sözleĢme ve anlaĢmaların sonuna konacak bir bildirimle kurumun

sorumluluğunun sınırları çizilmelidir.

Virüs korunma yazılımı politikasının, açıkça tanımlandığı ve uygulandığının belirlenmesi. Her ne kadar önleme virüs

korunma politikasının önemli bir parçasıysa da virüsleri sisteme girer girmez tespit edebilmek de temel bir gerekliliktir.

Virüslerin kontrol edilebileceği dört seviye bağlamında virüs korunma yazılımının değerlendirilmesi:

Kullanıcı iĢ istasyonu kaynakları, disketler, sabit disk sürücüleri ve çıkarılabilir ortamlar

Dosya sunucuları—gelen ve giden dosyalar

Posta uygulamaları—yürütülebilir kodlar içerebilen ekli dosyalar

Ġnternet geçitleri—gelen veri akıĢı (SMTP, HTTP, FTP protokolleri) ve etkin unsurlar (Java ve ActiveX gibi) Politika, tehdit analizi yapılırken tanımlanmıĢ noktada kurulacak virüs korunma yazılımını betimlemelidir. Örneğin, internete

ISP ile eriĢen bir bilgisayar, yayılmadan önce virüsleri tespit edebilmek için yerel olarak korunmalıdır.

Virüsten korunma tedarikçisinin,, standart teknik analizi yapılır ve bunların zararlı kod usulleri değerlendirilir. Dikkate alınacak

bazı sorunlar:

Tanımlama güncellemelerini ne sıklıkta yayınlandığı

Önemli bir kesinti yaĢandığında özel güncellemelerin ne hızda teslim edildiği

Tedarikçinin hangi araçlarla ve ne öncelikte yeni tehditleri bildirdiği

253


Kullanma ve güncellemeye yardım etmek üzere sağlayan idari araçların ne olduğu

Tedarikçi, kesinti durumunda nasıl bir yardım önerdiği Kurumun tehdit analizi sonucuna ve karmaĢıklığına bağlı olarak, çok sayıda tedarikçiden virüs korunma yazılımları seçilebilir.

Örneğin, bir virüs korunma yazılımını kullanıcı iĢ istasyonlarını kurmak ve bir diğerini posta sunucularına kurmak, özellikle bu

virüs korunma yazılımları farklı teknolojiler kullanıyorsa virüsleri tespit etme Ģansını en yükseğe çıkarır. Kurum, ayrıca çok

sayıda virüs korunma tedarikçilerinden güncelleme almanın artarak karmaĢıklaĢan yapısını yönetmek zorundadır.

Kurum, tam tarama teknolojisi kullanma ve göreceli performans kaybı arasında değerlendirme yapıp yapmadığının

belirlenmesi. Kurumun, bu analizi yaptığını ve sonuçları uygun biçimde değerlendirdiğini doğrulayın (Eğer tama tarama

yaparken performans kaybı kabul edilemezse, kullanıcılar virüs korunma yazılımını kendi iĢ istasyonlarında kapatma ya da

atlatma eğiliminde olacaklardır ki bu da daha büyük bir riske maruz kalmak anlamına gelir). Tehdit değerlendirmesine ve ele

alınan kaynağa bağlı olarak uygulanacak tarama türünü politika açıklar. Bu noktada, hangi sıklıkta ya da hangi durumlarda

talep üzerine kontrol baĢlatılacağı belirlenmelidir, açık eriĢim taraması CPU tüketir. Örneğin incelenecek dosya türleri

listelenmelidir.

Virüs korunma yazılımları genellikle iki tür tarama sağlar:

Açık eriĢim, virüs korunma, hiçbir kullanıcı müdahalesi olmadan eriĢilen veriyi gerçek zamanlı olarak izler ve en azından dosya, posta sunucusu ve internet kaynakları seviyelerinde sürekli olarak çalıĢmalıdır.

Talep edildiğinde, virüs korunma yazılımı verilen zamanda belli bir kaynağı kontrol etmek üzere çalıĢmalıdır

Diğer tarama usulleri ayrıca dikkate alınmalıdır. Örneğin, bazı kurumlarda bir sunucuya yüklü yazılım diğerlerini de kontrol eder böylece her makineye bir yazılım kurulmaz. Bu türdeki tarama ―etkin‖ tarama ile birlikte çalıĢır.

Virüs varlığını raporlamak için oluĢturulmuĢ kurumsal usullerinin gözden geçirilmesi. Virüs varlığını kurum içinde kime (yardım

masası, virüs korunma görev gücü gibi) bildirileceği, vaka müdahale usulleri ve olay raporu tanımlanmalıdır. Kurum içinde

virüsün ortaya çıkıĢı ivedi olarak rapor edilmeli ve kurum ilgili müdahale etme sürecini iĢletmeli. Hangi adımların atılması

gerektiği, kullanıcı iĢ istasyonlarında kurulu virüs korunma yazılımı yapılandırmasını kapatabilecek ya da değiĢtirebilecek

kiĢinin sınırları, artırma ve raporlama usulleri karĢılık sürecinde tanımlanmalıdır.

Virüs korunma yazılım güncellenmesinin kapsam ve sıklığına dair makul güvencenin, virüs korunma yazılımı editörünün

önerilerine, kurum politikalarına ve her BT ortamı riskine göre verilmesi. Genelde iki tür güncelleme kullanılır:

Virüs korunma yazılımının çekirdeğinin değiĢtiği motor güncellemesi

Yeni virüsler keĢfedildiğinde yayınlanan virüs tanım güncellemeleri

Virüs tanımı ve virüs korunma motor güncellemelerinin, diğer her yazılım gibi, üretim ortamında kullanılmadan önce bağımsız

bir donanımda testinin makul güvencesinin sağlanması. Bazı editörler, önemli kesintiler yaĢandığında acil durum tanımları

güncellerler; bunların ivediliğinin gerektirdiği farkındalık yönetimde olmalı ve (uygun test yapıldıktan sonra) hızla

uygulayabilmelidir. Çoğu virüs korunma yazılımı, hem iĢ istasyonlarında hem de sunucularda kendiliğinden güncellemeleri

yapmaya ayarlı olarak gelmektedir. Bu iĢlevsellik dikkate alınmalıdır, el ile yapılan güncellemeler çok sayıda sunucu ve iĢ

istasyonu içeren büyük ağlı sistemlerde yoğun emek gerektirir.

Virüs korunma güncellik durumunun tamlık ve doğruluk için BT çalıĢanları tarafından uygun olarak izlendiğinin makul

güvencesinin sağlanması. Güncellenmeyen bir tek iĢ istasyonu virüs isyanının baĢlangıç noktasını oluĢturabilir. Bir LAN

ortamı içinde virüs korunma güncellemeleri sunuculara daima BT çalıĢanları tarafından kurulur. Tam tersine, istemciler/iĢ

istasyonlarında ise bu göre kullanıcılara yüklenir.

Virüs korunma stratejisinde güvenlik duvarı gibi araçların kullanımını kapsayan bir politikanın var olduğunun makul

güvencesinin sağlanması. Virüslerle baĢa çıkmak üzere hazırlanmamıĢ olan araçlar, etkinleĢtiklerinde Truva atlarını tespit

etmeye yarayabilirler. Diğer yazılım ürünleri posta uygulamalarının Ģüpheli davranıĢlarını tespit edebilir.

Virüs korunma yazılımınca, tespit edilemeyen ve silinemeyen virüsün bulaĢtığı kaynakları düzeltmek ve virüs yayılmasını

durdurmak için tasarlanmıĢ var olan usullerin gözden geçirilmesi (sunucuları kapatmak ve/veya ağa fiziksel bağlantıları

kesmek gerekebilir). Bu usul, virüs bulaĢtığından kuĢkulanıldığında devreye sokulmalıdır.Bu politika, virüs yayılmasını

engellemek için alınacak önlemleri ayrıntılandırmalıdır. Virüs türüne bağlı olarak bazı uygulamalar geçici olarak

durdurulmalıdır, posta uygulamaları ya da dosya sunucusu gibi. Kurum ağının parçası, gerekirse ayrıca yalıtılabilir. Virüs

sisteme ya tespit yollarını atlatarak girmiĢtir ya da virüs korunma yazılımı veritabanına henüz açıklaması girmemiĢtir. Bu

nedenle, virüs tanımları güncellemesi sonrasında talep üzerine yürütme politikada özel olarak belirtilmelidir. Virüsün

bulunamaması durumunda kuĢku duyulan dosyalar inceleme için tedarikçiye gönderilebilir.

Yayılmadan sistemin hangi parçalarının etkilendiğini belirlemek için hasar tespiti yapıldığının makul güvencesinin verilmesi.

Yedekler, ortam, program ve/veya veri iyileĢtirmesinde kullanılabilir. Yeni virüslerle baĢa çıkmak üzere virüs korunma

yazılımının güncellendiğinden emin olduktan sonra sistem yeniden baĢlatılabilir. Virüsün yedek ve iyileĢtirme dosyalarına

bulaĢmadığının makul güvencesi sağlanır.

Kurumun uyarım ve bildirim iĢlemlerinin gözden geçirilerek kurum içindeki diğer tüzel kiĢilerin herhangi bir yayılmadan

haberdar edildiğinden, onlara da bulaĢmıĢ olabileceğinden, emin olmak. Bu bilginin uygun ortaklara zamanında teslim

edilmesini açıklayan politika belirlenmiĢ olmalıdır.

Virüs korunma politikasının belgeye döküldüğünün ve uygulanacak yazılı usullerin ayrıntı seviyesinin daha yüksek olduğunun

makul güvencesinin verilmesi. Uygun biçimde belgelenmemiĢ usuller etkisizdir.

BelirlenmiĢ virüs korunma politikasını destekleyen uygun korunması ve muhafazası için etkili usul ve politikaların var

olduğunun makul güvencesinin sağlanması. Uygun izlemeyi sağlamak için belgeler alıkonmalıdır.

Öğrenilen konunun test edilmesi de içeren virüs korunma güvenlik politikası için oluĢturulan usullerde kullanıcı eğitiminin de

içerildiğinin makul güvencesinin sağlanması. BaĢarılı testlerden sonra kullanıcı, politika içinde belirlenmiĢ rolünü tanımlayan bir

belgeyi imzalar. Kullanıcılar virüs korunma politikasından Ģu araçlarla haberdar edilebilir:

254


ÇalıĢan toplantılarında sunumlar

E-posta bildirimleri

Güvenlik farkındalığı web sitesi

Usulün nasıl uygulandığını değerlendirmek ve aĢağıdaki her bir alanda yinelenme temelinde etkililiğin belirlenmesi:

Politika belgesi

Tehdit analizi

BulaĢmanın önlenmesi

BulaĢma tespit araçları

BulaĢmanın düzeltilmesi Politika değerlendirmesi sonuçları ve kurumun evrimi düzenli olarak gözden geçirilmeli ve virüs korunma politikasının güncel

tutulmasında kullanılmalıdır.

3. VĠRÜS VE DĠĞER ZARARLI MANTIK POLĠTĠKA VE USULLERĠNĠN ETKĠLĠLĠĞĠNĠ DEĞERLENDĠRME TEKNĠKLERĠ

3.1 Önerilen Teknikler

Virüs Ve Diğer Zararlı Mantık Politika Ve Usullerinin Etkililiğini Değerlendirme için Önerilen Teknikleri √

Ġleriye dönük önlemler, iĢletim sisteminin bütün geçerli yamalar ve düzeltmelerle bakımı; geçitlerde içerik filtreleme, kuruluĢ

çapında hatırlatıcı ve izleyici programları da içeren güvenlik farkındalık programı; ek ayıklama (.exe, .com, .vbs gibi); ―kum

havuzu‖ yöntemi kullanımı; güvenlik duvarı ya da masaüstü seviyesinde web temelli e-posta sitelerine eriĢimi kısıtlama;

gerekçelendirme gereği olanlar dıĢında internetten indirmeyi engelleme.

Belgelenen ağ diyagramlarını kullanarak kullanılan ağ altyapısını anlamak (ağ mimarisi ve tasarımı)

Masaüstü/PC, dizüstü, PDA, dosya sunucusu, e-posta geçitleri, internet bağlantı noktaları, ana yazılım türleri, uzak konumlar,

WAN, VAN, VPN bağlantılarının tanımlanıp tanımlanmadığının belirlenmesi.

Virüslerin giriĢ yapabileceği muhtemel bağlantı noktalarını tanımlamak; e-posta sistemleri, indirmeler, enfekte disketler, eksik

iĢletim sistemi yamaları ve yazılımların ağda kurulmadan önce bağımsız donanımda testi eksikliği.

Virüs tarama yazılımının nereye yerleĢtirildiğini, enfekte olmuĢ dosyaları nasıl belirlediğini, bunlara her düzlemde (güvenlik

duvarı, UNIX, PC gibi) nasıl iĢaret ettiğinin (bildirim, düzeltme, karantina gibi) belirlenmesi.

AĢağıdakileri de içeren ama bunlarla kısıtlı olmayan zararlı kodlarla ilgili bütün usul ve politikaların edinilmesi ve gözden

geçirilmesi:

Tanımlama ve yayılma

Virüslerin yayılmasını önlemede, yazılımın nasıl kullanılacağı ve virüs Ģüphesi olduğunda izlenmesi gereken usuller hakkında kullanıcıların, ağ ve sistem idarecilerinin ve yardım masası çözümleyicilerinin farkındalık eğitimi - Virüs korunma yazılımı güncellemesi için gerekiyorsa kullanıcılar bilgisayarlarını en az haftada bir kere kapatmalıdır - Kullanıcılar kendi masaüstlerinde virüs korunma yazılımını devre dıĢı bırakamazlar - Yeni edinilen ya da yazılım yeni sürümünün uygulanması - Yazılım (sistem ve uygulama) yama ve düzeltmelerinin uygulanması - Virüs korunma yazılımını daima güncel tutma bakımı - Sistem hesapları güvenlik politikası (idareci ya da konuk gibi) - Bütün hesapları ve kimlikleri kapsayan güvenlik politikası (parola uzunluğu, parolaların düzenli olarak değiĢtirilmesi,

parola geçmiĢi, toplu askıya alma, parola sağlamlığı gibi) ve ağ yapılandırma standartları (kuruluĢ yapılandırma yönetim araçlarının muhtemel kullanımı)

- Uygulama standartları E-posta standartları

- Bu politika ve usullerin zorunlu uygulama sorumluluğunun atanması

Belli testler yaparak güvenlik risk ve zayıflıklarının değerlendirilmesi, örneğin:

Bazı ağ sürücüleri seçilir ve virüs korunma yazılımı çalıĢtırılarak ağ sunucusunda enfekte dosya olup olmadığına bakılır.

NT idarecisiyle NT sunucusunda verilen hizmetler ve bunun gerekçeleri öğrenilir.

Rastgele seçilen bir masaüstü ya da dizüstü bilgisayarda geçerli virüs korunma yazılımının uygun ve yeterli biçimde ve son

sürüm olarak (kullanıcının virüs korunma yazılımını devre dıĢı bırakamadığından ya da bırakmadığından emin olmak gibi)

kurulduğundan emin olunur.

Virüs imzalarının en son sürümünün yüklü olduğunun belirlenmesi.

Rastgele seçilen bir masaüstü ya da dizüstü bilgisayarda geçerli virüs korunma yazılımı çalıĢtırılarak bir bulaĢmanın olup

olmadığı kontrol edilir.

Son kullanıcıların virüs korunma politikası bilgisine sahip olup olmadığının sorgulaması.

Üçüncü taraf virüs korunma politikası ve yapılandırmasını öğrenmek ve uygunluğunu değerlendirmek.

Ġhlal edilen usullerle ilgili olarak zamanındalığın ve hesap verebilirliğin belirlenmesi.

Bir vakaya iĢaret eden usullerin tanımlandığının ve kullanılmakta olduğunun makul güvencesinin sağlanması.

Verilen zaman aralığı süresince rapor edilen vakaların belgelerinin gözden geçirilerek Ģunların doğrulanması:

Uygun yöneticiler bilgilendirildi

Ayrıntılar belgelendi

Yayılma en aza indirildi

Vaka raporları diğer kullanıcılara bildirildi

255

Virüs Ve Diğer Zararlı Mantık Politika Ve Usullerinin Etkililiğini Değerlendirme için Önerilen Teknikleri √

Virüsler yok edildi

Vakalar soruĢturuldu

Vakalar uygun biçimde ele alındı

Yinelenme olasılığına karĢı hazırlık yapıldı

Sıra dıĢı etkinliklere karĢı ağ izlenmekte

Virüs silme iĢlemi gözden geçirmesi, internet eriĢiminin kesilmesi, tarayıcı ve tespit edici kullanılması, baĢlatma dosyalarının

kontrolü, bellek kontrolü, Truva atı yuvalarını arama ve Truva atı dosyalarını ve e-posta solucanlarını silme mutlaka

içerilmelidir.

Veri güvenliği denetimi yakın zamanda yapılmamıĢsa, yüksek seviye ayrıcalıklar için bütün hesap ve kimlik hakları gözden

geçirilerek, bu ayrıcalıkların sadece iĢ gereksinimleri için gerekli olan kiĢilere verildiğinin makul güvencesinin sağlanması

gerekir. Ayrıca bunlar için sağlam parolalar ve benzer diğer kontrollerin (güçlü araçlara eriĢimin kısıtlı olması gibi) gerektiğinin

makul güvencesinin sağlanması.

4. RAPORLAMA

4.1 BulaĢma ġüphesi 4.1.1 Her bir kullanıcı, kendi varlıklarından sorumludur (bilgisayar ve çevre donanımı). Kullanıcı, zararlı bir koddan bulaĢma

olduğundan kuĢku duyarsa bilgisayar kullanmayı hemen bırakmalı ve yönetim ve/veya güvenlik memuru tarafından sağlanmıĢ olan acil durum usulüne göre hareket etmelidir. Ayrıca kullanıcı uygun tarafları da sorun hakkında bilgilendirmelidir (güvenlik bölümü, yardım masası ve benzeri) böylece sonuçların etkileri ve zararlı kodun kurum içinde yayılması ihtimali azaltılabilir. Eğer kullanıcı, bu usulü izleyemiyorsa ivedi olarak bilgisayarın güç kaynağını kesmeli ve uygun tarafı destek için aramalıdır (güvenlik bölümü, yardım masası ve benzeri).


5.1 Bu usul, 1 Ağustos 2003 ve sonrasında baĢlayan bütün bilgi sistem denetimleri için geçerlidir. Terimleri içeren tam bir sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir.

EK

COBIT Referansı

Belli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, özel COBIT BT süreçlerinin seçimine ve

COBIT bilgi kıstasının dikkate alınmasıyla yapılır.:

• PO6—Yönetim Amaç ve Yönelimlerinin Bildirimi


• AI3—Teknoloji Altyapısının Edinimi ve Bakımı

• AI6—DeğiĢiklik yönetimi

• DS4—Hizmet sürekliliğinin sağlanması

• DS5—Sistem Güvenliğinin Sağlanması

• DS10—Sorun ve Vaka Yönetimi

Virüsler ve diğer zararlı mantık denetimiyle en ilintili bilgi kıstasları:

• Birincil: bütünlük ve eriĢilebilirlik

• Ġkincil: gizlilik ve güvenirlik


256

P5 Kontrol Risk Öz Değerlendirme Usulü (CRSA) 1. ARKA PLAN 1.1 ISACA Standartlarıyla Bağlantı 1.1.1 S5 Planlama Standardı,: ―BS Denetçisi, bilgi sistemi denetimi kapsamını denetim hedefleriyle uyumlu planlamalı ve

yürürlükteki yasalarla ve mesleki denetim standartlarıyla uyumlu olduğunu ifade etmelidir.‖ Ģeklinde ifade eder. 1.1.2 S6 Denetimin Yürütülmesi Standardı: ―BS Denetçisi, denetim süresince, denetim amaçlarını baĢarıyla gerçekleĢtirmek

için yeterli, güvenilir ve ilgili kanıt sağlamalıdır. Denetim bulguları ve sonuçları, bu kanıtların uygun analizi ve yorumlanmasıyla desteklenebilir olmalıdır.‖Ģeklinde ifade eder.

1.1.1 S7 Raporlama Standardı , ―BS Denetçisi, denetiminin tamamlanması sonrasında, uygun biçimde bir rapor hazırlar. Raporda kurum, ilgili alıcılar ve dolaĢım kısıtlamaları tanımlanmalıdır. Raporda yapılan denetim iĢinin kapsamı, amaçları, kapsadığı süre ve doğası, zamanı ve büyüklüğü belirtilmelidir. Rapor ayrıca bulguları, sonuçları ve önerileri ve BS Denetçisinin denetimle ilgili olarak sahip olduğu kapsam Ģüphelerini, niteliklerini veya kısıtlarını belirtmelidir. BS Denetçisi, raporlanan sonuçları desteklemeye yeterli ve uygun kanıtları edinmiĢ olmalıdır. Hazırlanmasından sonra BS Denetçisi raporu imzalı, tarihli ve iĢ sözleĢmesine ya da denetim çizelgesine uygun olarak dağıtılmıĢ olmalıdır.‖ Ģeklinde ifade eder.

1.1.2 S8 Ġzleme Faaliyetleri Standardı, ―BS Denetçisi, öneri ve bulguların raporlanması ertesinde, yönetimin gerekli davranıĢları sergileyip sergilemediğini belirlemek için ilgili bilgiyi istemeli ve değerlendirmelidir.‖ Ģeklinde ifade eder.

1.1.3 G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı Rehberi yol göstericilik sağlar. 1.2 COBIT Bağlantısı 1.2.1 COBIT çerçevesi, ―KuruluĢun bütün varlıklarını korumak, yönetimin sorumluluğundadır. Bu sorumluluğu yerine

getirmek ve beklentileri karĢılamak için yönetim yeterli seviyede iç kontrol sistemi kurmalıdır." Ģeklinde ifade eder. 1.2.2 COBIT Yönetim Rehberleri, sürekli ve iletiye dönük kontrol öz değerlendirmesi için yönetim eğilimli çerçeveyi sağlarken

aĢağıdakilere odaklanır:

Performans ölçümü—BT iĢlevinin iĢ gereksinimlerini ne kadar iyi desteklediği?

BT kontrol profili—Hangi BT süreçleri önemlidir? Kontrol için kritik baĢarı etmenleri nelerdir?

Farkındalık—Bu hedeflere ulaĢılamamasından kaynaklanabilecek riskler nelerdir?

Kıyaslama—Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve kıyaslanabilir? 1.2.3 Yönetim Rehberi, BT performansının iĢ anlaĢmalarında değerlendirilmesini sağlayan örnek ölçüler sağlar. Anahtar amaç

göstergeleri BT süreci çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri iĢleme sağlayıcı ölçümleriyle gerçekleĢtirilen iĢlemenin ne kadar iyi olduğunu değerlendirir. Kıyaslama ve değerlendirme yeterliği sağlayan olgunluk modeli ve olgunluk özellikleri değerlendirme ve karĢılaĢtırma. yönetime kontrol yeterliğini ölçmeyi ve kontrol boĢluklarını tanımlamayı ve geliĢtirme stratejisi belirlemeyi sağlar..

1.2.4 Yönetim Rehberi, öz değerlendirme atölyelerini desteklemek için kullanılabilir ve bunlar ayrıca BT yönetiĢim Ģemasının bir parçası olarak, yönetimin sürekli izleme ve geliĢtirme usullerinin uygulanmasını desteklemek için de kullanılabilir.

1.2.5 COBIT, bilgi sistemi yönetim çevresi için ayrıntılı kontrol teknikleri ve kontrol setleri sağlar. Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, seçilen özel COBIT BT süreçlerine ve COBIT bilgi ölçütünün dikkate alınması temeline dayanır.

1.2.6 Bu rehber tarafından iĢaret edilen alanlarda yapılacak gözden geçirmelerde mutlaka göz önünde bulundurulması gereken özel COBIT süreci ya da hedefleri için bu belge ekinde yer alan COBIT referansına gönderme yapılmaktadır.

1.3 Usul Gereksinimi 1.3.1 Bu usul aĢağıdakileri sağlamak için tasarlanmıĢtır:

Risk öz değerlendirme kontrolü tanımlaması (CRSA)

CRSA yönteminin kullanılması Rehberi

CRSA uygulama Rehberi 2. CRSA 2.1 CRSA Tanımı

CRSA, yönetim ve her seviyedeki çalıĢanın birlikte BS ile ilgili risk ve kontrolleri, bir yöneticinin ki bu BS Denetçisi olabilir, yönetimi altında tanımlayıp değerlendirmesini sağlayan yetkilendirme yöntemi/iĢlemidir. BS Denetçisi CRSA‘dan risk ve kontrollerle ilgili bilgiyi bir araya getirmek ve yönetim ve çalıĢanların daha ileri iĢbirliğini biçimlendirmek için faydalanabilir. Kontrol risk öz değerlendirme, risk ve kontrol öz değerlendirme terimleri CRSA yerine kullanılabilir. CRSA Ģunların yapılması için yönetim ve çalıĢanlara çerçeve ve araçlar sağlar: ĠĢ amaçlarının tanımlanması ve önceliklendirilmesi ĠĢ sürecinin yüksek riskli alanlarının değerlendirmesi ve yönetimi Kontrol yeterliği öz değerlendirmesi Risk tedavi eylem planı geliĢtirme ĠĢ amaçları ve riskleri tanımlama, tanıma ve değerlendirmesinin kurumun bütün seviyelerinde tutarlılığının sağlanması

257

P5 Kontrol Risk Öz Değerlendirme Usulü (DEVAMI) 2.2 Amaç 2.2.1 CRSA, iĢletim biriminin maruz kalınabilecek risklerin tanımlanması, düzeltici hareketlerin belirlenmesi, kontrol ve risk

sistemlerinin tasarlanması ve sürdürümüne daha yüksek katılımını sağlayarak değer katan bir tekniktir. CRSA iĢlemi Ģu BS denetim standartlarını destekler: Planlama, Denetim Performansı ve Raporlama.

2.3 BS Denetçisinin Katılımı 2.3.1. BS Denetçisinin CRSA‘ya katılım uygulamaları önemli olabilir ve himaye, tasarım, uygulama ve etkili Ģekilde CRSA

süreçlerinin yönetimi, CRSA eğitimlerinin yapılması, araçların tedarik edilmesi, önemli yönetim ve çalıĢanların katılımının yönetilmesi ve CRSA çıktılarının yazımı ve raporlanmasını içerebilir. Diğer CRSA uygulamalarına, BS denetçisinin bağlanımı en alt seviyede olabilir, ilgili bir taraf olarak hizmet edebilir ve bütün sürece danıĢmanlık edebilir ve takım tarafından yapılan değerlendirmelerin son noktadaki doğrulayıcısı olabilir. Çoğu alıĢtırmalarda, BS denetçisinin CRSA uygulamalarında katılımı bu iki aĢırı ucun arasında bir yerde olur.

2.3.2. CRSA iĢleminde BS Denetçisinin rolü ne olursa olsun, BS Denetçisi mesleki bağımsızlığını ve nesnelliğini S2-Standart Bağımsızlık ve G12 Kurumsal ĠliĢkiler ve Bağımsızlık Rehberi çerçevesinde sürdürür. Genelde BS Denetçisi, bir yönetici gibi davranır, iĢlevsel yatay yönetim uzmanlığını ve risk değerlendirmesi ve hareket planı geliĢtirmede çalıĢanları kullanır. BS Denetçisi, diğer denetim tekniklerini uygulamıĢ olduğundan, iç kontrollerin etkililiği, uygulanması ve değerlendirilmesiyle ilgili katkı olarak uzmanlığını sunar. Yatay yönetim, iç kontrollerin etkili iĢletiminde sorumlu olarak kalır ve önerilen risk yönetim eylem planı ve CRSA raporu olarak alınan öneriler temelinde değerlendirme ve karar verme sorumluluğu da bu yatay yönetimdedir.

2.3.3. CRSA alıĢtırmaları BS Denetçisinin geleneksel rolünü de büyütür çünkü denetçi yönetimin risk yönetimi ve kontrol iĢlemleri kurulması ve sürdürülmesi ve sistem yeterliğini değerlendirme sorumluluklarını yerine getirme görevinde yardımcı olur. CRSA alıĢtırmalarıyla, BS Denetçisi ve iĢ birimleri ve iĢlevleri, kontrol iĢlemlerinin ne kadar iyi çalıĢtığı ve artık risklerin ne kadar önemli olduğu hakkında daha iyi bilgi üretmek için iĢbirliği yaparlar.

2.3.4. CRSA daha geleneksel denetim tekniklerinin yedeği olarak düĢünülmektense, CRSA, geleneksel BS Denetim teknikleri, raporlama ve izleme faaliyetlerini içeren genel BS güvencesi ve denetim çerçevesi içinde bir araç olarak ele alınmalıdır.

2.3.5. CRSA uygulamaları iç denetim iĢlevinden bağımsız olarak yürütüldüğü yerlerde, BS Denetçisinin katılımı en alt düzeydedir. BS Denetçisinin CRSA sonuçlarını gözden geçirmek istediği bir durumdur, çünkü bu risk değerlendirmesi ve önerilen hareket planını geçerlemeye yardımcı olurken BS Denetçisinin ilgili iĢlev ya da alana iliĢik risk profili hakkında güncelliğini korumasına yardımcı olur.

2.4 CRSA Faydaları ve Üstünlükleri 2.4.1 CRSA, risk yönetim uygulamalarını ve kültürünü çalıĢanların iĢlerini yapma ve iĢ birimlerinin amaçlarını baĢarma yollarıyla

bütünleĢtirmeyi amaçlar. CRSA‘nın uygulanmasının baĢarısının çok sayıda yararları vardır:

Risk değerlendirme ve kontrol değerlendirme faaliyetlerinde doğrudan denetim müĢterisine bağlanır ve müĢteri ile BS Denetçisi arasında ortaklık yaklaĢımı yaratılmasına yardımcı olur

MüĢterinin risk değerlendirme ve kontrol değerlendirme faaliyetlerinde yer alan BS Denetçisinin kıt kaynakları daha iyi dağıtmasına izin verir

MüĢterinin risk değerlendirme ve kontrol değerlendirmede yönetim ve çalıĢanları eğitir

Kurumsal hedefler ile iĢ birimlerinin amaçlarını uyumlaĢtırır

Risk ve kontrol sahipliği duygusunu güçlendirir

Riskleri belirlemede takım çalıĢmasını yapılandırır

ĠĢ birimleri içinde ve kurum çapında iletiĢimi geliĢtirir

Yönetim ve çalıĢanların farkındalığını artıracak mekanizmalar sağlayarak kurumsal değerler, etik standartlar yeterliği ve liderlik türleri gibi yumuĢak kontrollerin toplam kurumsal kontrol sistemlerinin sağlıklılığı üzerindeki etkisini benimsetir.

2.5 CRSA Sınırları 2.5.1 CRSA, bir dolandırıcılık bulma tekniği değildir ve isnatların testini ve isnat testlerinin belgelenmesini içeren düzenleyici

denetimler için uygun olmayabilir. 2.5.2 Belli yönetim tarzları, meseleler görüĢmeye açıldığında, risk açıklamaları açısından katılımcıların içtenliğine güvenilememesi

ve birbirlerine güvenmemeleri ve bir takım olarak etkili çalıĢamamaları anlamına gelir. 2.5.3 CRSA, güçlendirme ve yetki devrinin olduğu kurumsal çevrede daha iĢlevsel olur. Yeniliğe ve iĢbirliğine açık olmayan

kurumlarda iyi çalıĢmaz. 2.5.4 Bir kuruma, yeni yönetim uygulamaları, teknikleri ya da kavramları sokulmaya çalıĢılırken zorluklar yaĢanabilir. CRSA süreci,

baĢlangıç ve sürekli yatırım gerektirir ve maliyet – fayda oranını belirlemek kolay değildir. 2.5.5 CRSA uygulamalarının yürütülmesinde rastlanabilen engellere/kısıtlar/tuzaklar olarak Ģunlar sayılabilir:

Üst yönetim desteğinin eksikliği

Yönetici olarak seçilen kiĢilerin yönetim, uzlaĢma eğilimli teknikler ve kontrol uygulaması ve kuram bilgisi yetersiz olması ya da çalıĢmayı yürüten kiĢinin CRSA çalıĢması için gözden geçirilen sistemin kendilerini tanımaya yeterince hazırlanmaması

BaĢarılı atölye çalıĢmaları için gereken yatırım, öğrenme ya da planlama tahminlerinin yetersiz kalması

Odağın daraltılması ve CRSA uygulamalarının muhtemel etkilerini sınırlandırmak

Ġlk olarak büyük projelere baĢlamak

258

P5 Kontrol Risk Öz Değerlendirme Usulü (DEVAMI) 2.6 CRSA Süreci Ġçin Uygun Olabilecek BS Alanları 2.6.1 CRSA, kullanılabilecek alanlar arasında sistem geliĢtirme projeleri, proje geliĢtirme takımları, veri merkezi faaliyetleri, iĢletim

sistemi sistem güvenliği, veritabanı ve uygulama sistemleri, yardım masası ve telefonla yardım merkezleri, telefon sistemleri, iĢ süreklilik ve felaket hazırlıkları, BS belgeleme, elektronik veri değiĢimi, web sunucusu yönetimi ve BT yönetiĢimi sayılabilir.

2.6.2 CRSA, hedef alanda ya da iĢlevde risk ve kontrolleri tanımlamak ve değerlendirmek ve bütünsel risk yönetim i eylem planı geliĢtirmek için kullanılabilir.

2.6.3 Eylem planı geliĢtirmeye ek ya da bir baĢka seçenek olarak CRSA ek testler gereken risk alan ve sorunlarının altını çizmekte kullanılabilir. Ek testler, geleneksel BS Denetim teknikleri kullanılarak yapılabilir ya da CRSA izleme faaliyetlerine bir özne olarak konabilir.

2.6.4 CRSA, risklerin erken tanımlanması ve değerlendirmesini ve risk yönetimi eylem planı geliĢtirmesi sağlayarak büyük projelerin planlamasına yardımcı olan değerli bir araç olabilir.

2.7 CRSA Sahipliği 2.7.1 CRSA katılımcıları, süreç sahipleridir, incelenmekte olan meseleden ve belli bir sistemden doğrudan etkilenen ya da buna

doğrudan karıĢan çalıĢanlar ve yönetim ki bunlar uygun iĢleme kontrollerinin uygulamasını en iyi bilen, kritik konumda kiĢilerdir. CRSA, kurumun her seviyesindeki çalıĢanların ve yöneticilerin, etkili ve sürekli risk yönetimi ve iç kontrollerden sorumlu olduğunu vurgular.

2.8 CRSA YaklaĢımı 2.8.1 CRSA‘nın birincil biçimi, yönetilen atölye çalıĢmaları ve yapılandırılmıĢ anketler veya araĢtırmalardır. Kurumlar birden fazla

yaklaĢımı bir arada kullanabilirler. 2.8.2 Yönetilen atölyeler sıklıkla tercih edilirler ve kısa sürede çok iyi sonuçlar elde etmek için çok güçlü araçlardır. 2.8.3 AraĢtırma ya da anket yaklaĢımı, istenilen katılımcıların çok sayıda olması ya da atölye çalıĢması için bir araya

getirilemeyecek kadar dağınık olunması durumlarında sıklıkla kullanılır. Bunlar, ayrıca kurumun açık ve içten görüĢmelerin yapıldığı atölyelere kültür olarak uygun olmadığı durumlarda ya da yönetimin bilgiyi toplamak için harcanan zamanı en aza indirmeyi istediği durumlarda da kullanılır. Öz değerlendirme anketleri, atölye çıktılarının izlenmesi yönünde yapılan bir anlaĢmanın gerektirdiği araç olarak anket kullanılarak yönetilen atölyelerin bir çıktısı olarak üretilebilir ya da yönetimin daimi olarak iç kontrolleri izlemesi ve sürdürmesinin aracı olarak kullanılabilirler.

2.9 Alanların Seçilmesi ve Yönetimin Ortaklığı 2.9.1 CRSA kurumun farklı seviyelerinde uygulanabilir. Stratejik olarak, kıdemli yönetim ve kurul Ģirket amaçlarının baĢarılmasına

etki edecek riskleri ve kontrolleri değerlendirebilir. Benzer biçimde, kurum içi iĢ birimleri ve iĢlevleri kendi amaç ve çıktıları bağlamında riskleri tanımlayabilir ve kontrolleri değerlendirebilir. Bir iĢ birimini ya da iĢlevini seçmede yol gösteren ilke, ilgili grup için amaç ve sonuç setinin tanımlanabilmesidir. Bu önemlidir çünkü grubun neyi baĢarması gerektiğine ve hangi risk ve kontrollerin dikkate alınıp değerlendirilebileceğine dair genel bir anlayıĢ ve kabul olmak zorundadır.

2.9.2 Her önemli giriĢimde olduğu gibi, yönetimin ortaklığı ve taahhütleri, CRSA baĢarısı için de temeldir. Üst yönetimin ilgisi ve katılımı, risk yönetiminin bütünleĢtirilmesi kararlılığını gösterecektir ve kurumun bütün seviyelerinde yapılan iĢlerin kontrol değerlendirmesini bir Ģekilde yapar. Bu kararlılık, üst yönetimin hazırlayacağı CRSA uygulaması ya da CRSA atölye bildirimleri politikası ya da talimatlarını yayınlayarak da gösterilebilir.

3. CRSA ATÖLYE ÇALIġMASI 3.1 Önerilen Usuller 3.1.1 CRSA amacı, iĢ birimlerine kendi risklerini değerlendirme ve izlemelerine destek verecek bilgi ve beceriyi kazandırmaktır. Bu

süreç, risk yönetimi ortak yaklaĢımı özendirir ve kurumsal alanları da sağlam bir kontrol ortamı geliĢtirmede BS Denetçisine yardımcı olabilir. BS Denetçisine, kurumsal hedeflerin baĢarılmasında öngörü ve iĢ birimlerinin hedeflerinin baĢarılmasına yardımcı olacak değer katan hizmetler sunmasını sağlar.

259

P5 Kontrol Risk Öz Değerlendirme Usulü (DEVAMI)

Önerilen usuller √

CRSA atölye planlaması

Kurumla iĢbirliği halinde açıkça atölye hedeflerini belirle ve kapsam ve beklenen çıktıları tanımlamak. BaĢarılı bir CRSA gerçekleĢtirmede yeterli planlama esastır. Bu BS Denetçisinin, uygun atölye stratejisini ve planını biçimlendirmesini sağlar. Atölyede kullanılacak yaklaĢım için sistem risk ve kontrollerini tanımlamanın en uygun aracı olarak aĢağıdaki baĢlangıç noktaları kullanılabilir. Her yaklaĢım aynı çıktıyı sağlamayı hedefler ve birinin peĢinen tercih edilmesini gerektirecek bir durum yoktur. ĠĢ hedefleri—ĠĢ amaçlarını baĢaracak en iyi yola odaklanılmalıdır. Atölye çalıĢması, önce iĢ

hedeflerini tanımlar, ardından hedeflerin gerçekleĢmesine yardım edecek kullanılan kontrolleri tanımlar ve hedeflerin baĢarılmasını engelleyebilecek artık riskler değerlendirilir.

ĠĢ riskleri—ĠĢ ya da sistemi etkileyecek her riski öncelikli olarak tanımlamaya odaklanmak, genellikle kalıtsal risk ya da risk sınıflandırmalarını içeren kontrol listelerine iĢaret etmek. Her olası engel,tehdit, zayıflıkları listeleyerek, atölye çalıĢması temel risk yönetiminin yeterliğini belirlemek için var olan kontrolleri inceler. Yeterli derecede azaltılamamıĢ riskler yükseltilir.

Ġç kontroller—Ġlk olarak geçerli kontrolleri tanımlamaya odaklanmak ve bunların riskleri azaltmada ve iĢ amaçlarının baĢarılmasında ne kadar iyi çalıĢtığını değerlendirir. Atölye kontrollerin çalıĢmakta olduğu noktayla yönetimin bu kontrollerin nasıl çalıĢmasını umduğu nokta arasındaki boĢluğun analizini yapar.

ĠĢ süreci—Atölye anahtar süreci inceleyerek ve her iĢleme ya da alt iĢlemenin uygun sonuçlar üretip üretmediğini değerlendirerek baĢlar. Sonuçların kabul edilemez ya da yetersiz olarak ele alındığı yerlerde kontroller çözümlenerek nedenler tanımlanır.

Atölye çalıĢmasının tamamlanma tarihinin ve rapor planının öngörülmesi.

Kapsam ve atölyede çözümlenen sorunlar hakkındaki bilginin edinilmesi ve gözden geçirilmesi. BS Denetçisi, atölyedeki çalıĢmasındaki süreçler, faaliyetler, kontroller ve vurgu alanlarına yakınlaĢmalıdır. Bunun için söz konusu alana etkisi olan politikalar, planlar, yasalar, tüzükler ve sözleĢmeler, kurumsal bilgi, finansala bilgi, önceki denetim sonuçları, en iyi sektör uygulamaları, sorunların ayrıntıları ve olanaklı olan yerlerde gelecekte yaĢanması beklenen önemli sorunlar ve fırsatların bilgisi edinilebilir.

Atölye sonuçlarının ne zaman, nasıl ve kime bildirileceğine karar vermek.

Katılımcıların Seçimi

Atölye çalıĢmasına katılmak üzere önemli süreç sahiplerini ve bu süreçlere katılan çalıĢanları seçmek. Atölye çalıĢmasının, hedefleri ve kapsamıyla önceden toplanmıĢ bilgilere dayanarak BS Denetçisi atölyeye katılması gereken iĢ birimlerini veya iĢlevlerini tanımlamalıdır. Kurum içindeki insanların bilgisine bağlı olarak, BS Denetçisi atölyeye özel katılımlar önerebilir.

Önemli müĢteriler ve iĢ birimi veya sürecine tedarik sağlayıcı kiĢiler gibi kilit paydaĢları atölye çalıĢmasına dahil edilmesi istenen bir durumdur.

Atölye ÇalıĢmalarının hazırlığı

Katılımcı iĢ birimi/iĢlevi ve katılımcı personel bilgisini, uygun yönetim seviyesine bildirmek. BS Denetçisi, katılımcıların ve uygun yönetim seviyesinin CRSA iĢlemlerini anladığının ve tanıdığının ve iĢlemlerdeki muhtemel değer ve faydasına bağlılıklarının makul bir güvencesini sağlamalıdır.

Kullanılacak risk değerlendirme ve oylama teknolojisini belirlemek ve çatıĢma veya anlaĢmazlıkları çözecek mekanizmaları ve CRSA çıktılarını izlemek için kullanılacak yaklaĢımı tanımlamak.

Atölye çalıĢması için konaklamayı düzenlemek ve araç ve teknolojiyi edinmek.

Atölye ÇalıĢmaları Araçları

Kaydedilmesi ve izlenmesi için atölye çalıĢması sırasında geliĢtirilen kararların ve planlı faaliyetlerin nasıl değerlendirileceğinin belirlenmesi. Kayıt ve izleme araçları rapor ve belge temelli sayfalar kadar basit olabilir ya da risk yönetim yazılımı kullanılabilir. Risk yönetim yazılımı sorgulama kolaylığı sağlayabilir, çok büyük miktarda bilgiyi muhafaza edebilir ve kurum boyunca ilgili risk bilgisini bir araya toplamaya yardımcı olabilir. Ayrıca hareket planı uygulandığında sorunların izlenmesini ve gözlenmesini kolaylaĢtırır. Her yazılımın bir maliyeti vardır, kulanım lisans ücreti ve Pazar ürününün iĢ gereksinimlerini tam olarak karĢılayamaması söz konusudur. Oylama teknolojisi risk yönetim yazılımıyla birlikte ya da ayrıca kullanılabilir. Genel oylama teknikleri atölye çalıĢması sırasında bilgi akıĢını ve bakıĢ açılarının yansımasını kolaylaĢtırmak ve çıkar grupları ve bakıĢ açıları arasındaki farklılıkları masaya yatırabilmek için tercih edilebilir.

Ortak dil konusunda karar vermek; sözlük, risk terimleri sözlükçesi, böylece iĢ birimleri ortak bir anlayıĢ edinecektir.

Risk kontrol listesi sağlamak; değerlendirme kıstası, göstergeler, bu liste yeni risklerin tanımlanması ya da var olan risklerin yeniden değerlendirilmesinde iĢlevseldir. Bu kontrol listeleri iĢ birimleri risk profillerinin yeniden ele alınması ve güncellenmesi gerektiğinde durum ve olay örnekleri sağlayabilirler.

Atölye yönetiminde süreç temelli yaklaĢım kullanımı — Yönetilen atölye çalıĢması, iĢ birimlerinin CRSA‘ya sokulması, ilk risk değerlendirmesi ve kontrol değerlendirmesinin yapılması ve bütünleĢtirilmiĢ iĢ uygulamalarına araç ve becerilerin

Hangi hedef ve sonuçların baĢarılması gerektiği konusunda anlaĢma ve ortak anlayıĢın baĢarılması. ĠĢ birimleri için iĢ hedefleri ve sonuçları, değerlendirilen, kontrol edilen ve değerlendirilen risklere karĢı bir içerik biçimlendirir. Bu sürecin bir parçası iĢ birim i hedeflerini kurum hedeflerine bağlamaktır. Bu iĢ birimi, için stratejik içeriği sağlar ve çalıĢanların kurum baĢarısına nasıl katkı sağlayabileceklerine dair farkındalıklarını artırır.

Atölye çalıĢmasında, en önemli riskler ve kontroller hakkında görüĢmelere odaklanmaya ve risk değerlendirmesi için stratejik içerik sağlamaya odaklanmaya yardım etmek için iĢ birim hedeflerine öncelilikleĢtirilmesi ve risklerin değerlendirilmesi için stratejik içerik sağlamak. Örneğin, Avustralya Risk Yönetim Standartları göndermesi (AS/NZS 4360).

Önemli iĢ hedeflerine karĢı risklerin tanımlanması ve değerlendirmesi. Bunun içeriğinde olasılık ve sonuç önlemleri ve her riskin toplam risk derecesi yer alır. Risk derecelendirme, en önemli riski önceliklendirmek için kullanılabilir. Bu süreci kolaylaĢtırmak için, risk kaynakları genel kontrol listesi kullanmak faydalı olabilir, bu belli iĢ hedeflerini etkileyebilecek riskleri tanımlamak için bir kolaylaĢtırıcı olur. Bu kaynaklar, ekonomik koĢullardan yönetim faaliyetleri ve kontrole kadar

260


aktarılmasında etkili bir araçtır. Süreç bazlı yaklaĢım kullanan atölye çalıĢmaları için önerilen biçim çerçevelendirilmiĢtir.

değiĢen bir aralıkta yer alır. Etki örnekleri arasında varlık ve kaynak temeli, gelir ve yetkiler, insanlar, zamanlama ve etkinlik planlaması yer alır. BS projesi ile ilintili riskler Ek 1‘de verilmiĢtir. Olabilirlik, sonuç ve risk derecelendirme tanımları üstünde grup uzlaĢmıĢ olmalıdır.

TanımlanmıĢ her risk için mevcut kontrol çerçevesinin incelenmesi. Bu süreci tamamlamakta faydalı bir araç, kontrol modelidir. Bu modeller, riske iĢaret eden kullanılabilir farklı türdeki kontrolleri çerçeveler, uygunluk kontrolü, kusur kontrolleri ya da planlama kontrolleri gibi. Atölye çalıĢması grubu, bu türlerin her birini gözden geçirebilir ve var olup olmadıklarını ve riske iĢaret etmekte etkili olup olmadıklarını değerlendirebilirler.

Var olan kontroller uygulandıktan sonra geriye kalan risk seviyesinin değerlendirilmesi. Belli bir riski yönetmekten sorumlu uygun risk sahipleri de ayrıca tanımlanmalıdır. Risk sahipleri, artık risk seviyesinin kabul edilebilirliğini ve ek risk davranıĢlarının gerekliliğini belirlemekten sorumludurlar ve hesap verirler.

Risk seviyesinin kabul edilebilir olmadığı risklere, iĢaret etmek için iyileĢtirme stratejisi ve zaman çizelgesi geliĢtirme. Risk sahibi, geliĢtirilen eylem planından sorumludur.

Atölye çalıĢmalarının sonuçlarının onaylanması

CRSA atölyesi çalıĢmasından, gelen bilginin incelenip değerlendirilerek geçerli ve meĢru olup olmadığının belirlenmesi. BS Denetçisinin hangi noktaya kadar bağımsız onaylamasına ihtiyaç duyulduğu artık risk seviyesine, sorunun önemine, bir katılımcıdan diğerine tanıklıkların tutarlılığına ve atölyeden sağlanan diğer destekleyici bilgiye, ayrıca BS Denetçisinin mesleki yargısına bağlıdır. BS Denetçisi atölyenin yüksek seviye kalıtsal riskleri düĢük seviye kalıcı risklere dönüĢtürdüğü kontrol geçerlemelerine özel önem ve dikkat vermelidir.

Onaylama, ayrıca izleme anketleri/araĢtırmaları ve denetim kanıtı toplamayı içerebilir. BS Denetçisi, uygun yönetim seviyesiyle, iĢ hedeflerini daha iyi karĢılamak için çok değerli olan geri beslenmeyi almak için yumuĢak kontrol değerlendirmesini görüĢmelidir.

Atölye çalıĢmalarının raporlaması

Her bir CRSA uygulamasından bir rapor üretilmelidir. Genelde raporun özü, müzakereler sırasında ilintili risklerin, kontrol zayıflıklarının ve önerilen çarelerin tanımlanması ve listelenmesiyle çıkarılır. Ele alınan değiĢik meselelerdeki grup uzlaĢması kaydedilir ve oturum sona ermeden önce grup önerilen nihai raporu gözden geçirir.

CRSA atölye çalıĢmasının sonuçlarından biri, iyileĢtirici eylem planıdır, bunun biçimi kullanıcının gereksinimlerine bağlıdır. BS Denetçisi, ayrıca CRSA iĢlemi ve sonuçlarıyla ilgili, ilintili arka planı, içeriği, risk derecelendirmelerini ve diğer materyalleri de içeren, ISACA BS Denetim Standardı S7 Raporlama Standardının içeriğine göre bir rapor hazırlamalıdır.

Sürekli Ġzlemenin

CRSA‘nın önemli bir parçası olarak, iĢ birimleri ve iĢleme sahipleri kesinlikle kendi risk değerlendirmelerini düzenli olarak yeniden ele almalı ve eylem planlarının uygulamasını izlemelidir. CRSA için sağlanan araçlar, bunu baĢarmakta destek olarak hareket edebilir. Ġzleme atölye çalıĢması ayrıca düĢünülebilir., iĢ birim temsilcileriyle ağda buluĢularak risk yönetim konuları ve sorunları görüĢülmelidir.

Normal denetimle uyumlu olarak anlaĢılan hareketlerin uygulanmasının izlenmesi ve güvence uygulaması ve ISACA BS Denetim S8 Denetim Sonrası Ġzleme Faaliyetlerine Standardı

4. YÜRÜRLÜK TARĠHĠ 4.1 Bu usul 1 Ağustos 2003 tarihinde ve sonrasında baĢlayacak bütün bilgi sistem denetimleri için geçerlidir. Terimlerin tam bir

sözlükçesi ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir.

EK COBIT Referansı Özel bir denetim kapsamına uygulanacak COBIT‘teki en uygun materyalinin seçimi, özel COBIT BT süreçlerinin seçimine ve COBIT‘in bilgi kıstasının dikkate alınmana dayanır.


261

P5 Kontrol Risk Öz Değerlendirme Usulü COBIT, bilgi sistem yönetim ortamı için kontrol teknikleri ve ayrıntılı kontrol setleri sağlar. Ġzlenen alan altında, COBIT yüksek seviye kontrol hedeflerine sahiptir – ―M2-Ġç Kontrol Yeterliliğinin Değerlendirilmesi - Ġç Kontrol Ġzlemesi, Ġç Kontrollerin Zamanında ĠĢletimi ve Ġç Kontrol Raporlaması gibi altı çizilecekler çok sayıda ayrıntılı kontrol hedefleri, vardır. Her bir ayrıntılı kontrol hedefinin baĢarılmasında risk öz değerlendirme teknikleri kontrolü kullanımıyla desteklenebilir. Kontrol risk öz değerlendirme teknikleri kontrolleri hem hangi alan ya da iĢlevin ne dereceye kadar bu ayrıntılı kontrol hedeflerini karĢılayacağını belirlemek hem de alan ya da iĢleve bu hedefleri karĢılamak için performansını geliĢtirmede yardım etmek için kullanılabilir. Planlama ve Örgütleme alanında, COBIT yüksek seviye kontrol hedeflerine sahiptir – ―P09-Risk Değerlendirmesi‖- Risk Tanımlama, Risk Ölçümü, Risk Hareket Planı gibilerinin altları çizilen çok sayıda ayrıntılı kontrol hedefleri vardır,. Her bir ayrıntılı kontrol amacının baĢarılması risk öz değerlendirme teknikleri kullanımıyla desteklenebilir. Kontrol risk öz değerlendirme teknikleri, kontrolleri iĢlev ya da alandaki kalıtsal ve artık riskleri tanımlama ve değerlendirmekte ve bu risklerin etkili yönetimi için eylem planı geliĢtirmede kullanılabilir. BT Projesiyle ĠliĢik Risklere Örnekler

• ĠĢ

– Proje/sistem gereksinimleri yeteri kadar açıklanmamıĢ

– Proje/sistem gereksinimleri değiĢiklikleri yönetilemiyor

– Proje çıktıları iĢ gereksinimlerini karĢılamıyor

– Proje çıktı zamanlaması iĢ gereksinimlerini karĢılamıyor

– Gerekli iĢ değiĢiklikleri yönetilmiyor

• SözleĢme

– Fiyat değiĢiklikleri

– Yüklenici kaynakları gerektiği gibi kullanılabilir değil

– Ürün ve hizmetler beklentileri karĢılamıyor

– Yüklenicinin baĢarısızlığı

– SözleĢme Ģartları ve hükümlerin zorlayıcı değil

• DıĢsal

– Yeni teknolojilerin çıkması

– Anahtar teknolojilerin baĢarısızlığı

– Temel hizmetlerin baĢarısızlığı, telekomünikasyon veya elektrik gibi

– Tedarikçinin ya da girdi sağlayan diğerinin baĢarısızlığı ve değiĢmesi

– Kurumun el değiĢtirmesi

• Finansal

– Fonların kısmen ya da tamamen kullanılmaz hale gelmesi

– Proje bütçesi yanlıĢlığının kanıtlanması

– Girdi maliyetlerinde önemli artıĢ

– SözleĢme çeĢitlerinin yönetilmemesi

– Proje bütçesinin aĢılması

• Uygulama o KarĢılıklı bağımlı projelerin gecikmesi ya da baĢarısızlığı o Proje yönetim yöntemi zayıflığı o Sistem geliĢtirme yöntemi zayıflığı o Etkisiz proje raporlaması o Projenin zamanında bitirilmemesi

• Çıktı

– -Projeden beklenen iĢ faydaları gerçekleĢtirilemedi

– Kötü belgeleme sistemi

– Uygulama sonrası sorunlar ve maliyetler

– Uzun vadede sistem bakım sorunları ve maliyetleri

• Kaynak o Uygulamayı baĢarıyla tamamlamak için becerilerin yetersizliği o Becerikli kaynakların kullanılamaz olması o Becerikli kaynakların elde tutulamaması o Gerekli donanımın olmaması

262

P5 Kontrol Risk Öz Değerlendirme Usulü (DEVAMI)

• Stratejik o Proje çıktıları kurum hedef ve önceliklerinin tutarsızlığını kanıtlamıĢtır o ġirket öncelik veya yönelimlerinde değiĢiklik o Proje kapsamının geniĢletilmesi

• Sistem Bütünlüğü o Uygun olmayan platform o Var olan ilintili sistemler, iĢlemler ya da donanım proje ile uyumlu değil

• Teknoloji

– Proje girdileri beklendiği gibi çalıĢmıyor

– Proje çıktıları beklendiği gibi çalıĢmıyor

263

P6 Güvenlik Duvarı Usulü 1. ARKA PLAN 1.1 Standartlarla Bağlantı 1.1.1 S6 Denetimin Yürütülmesi Standardı, ―Denetim amaçlarının baĢarıldığının ve uygulanabilir meslek standartlarının

karĢılandığının makul güvencesini sağlamak için BS Denetim çalıĢanları gözetlenmelidir.‖ Ģeklide ifade eder. 1.1.2 S6 Denetim Yürütülmesi Standardı, ―BS Denetçisi, denetim süresince denetim amaçlarını gerçekleĢtirmek için yeterli,

güvenilir ve uygun kanıtları elde etmelidir. Denetim bulguları ve sonuçları, bu kanıtların uygun analizleri ve yorumlarıyla desteklenmelidir.‖ Ģeklinde ifade eder.

1.1.3 G25 Sanal Özel Ağ Gözden Geçirme Ġncelemesi Kılavuzu yol göstericilik sağlar. 1.1.4 P3 Saldırı Tespit Sistemi (IDS) Gözden Geçirmesi Usulü yol göstericilik sağlar. 1.2 COBIT Bağlantısı 1.2.1 COBIT çerçevesi, ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğundadır. Bu sorumluluğu yerine getirmek ve

beklentileri karĢılamak için yönetim yeterli seviyede iç kontrol sistemi kurmalıdır." Ģeklinde ifade eder. 1.2.2 COBIT Yönetim Rehberleri, sürekli ve geleceğe dönük kontrol öz değerlendirmesi için yönetim eğilimli çerçeveyi sağlarken

Ģunlara odaklanır: Performans ölçümü—BT iĢlevinin iĢ gereksinimlerini ne kadar iyi desteklediği? BT kontrol profili—Önemli olan BT süreci nelerdir? Kontrol için kritik baĢarı etmenleri nelerdir? Farkındalık—Bu amaçlara ulaĢılamamasından kaynaklanabilecek riskler nelerdir? Kıyaslama—Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve kıyaslanabilir?

1.2.3 Yönetim Rehberi, BT performansının iĢ terimleriyle değerlendirilmesini sağlayan örnek ölçüler sağlar. Temel amaç

göstergeleri, BT süreci çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri iĢleme sağlayıcı ölçümleriyle gerçekleĢtirilen iĢlemenin ne kadar iyi olduğunu değerlendirir. Kıyaslama ve değerlendirme yeterliği sağlayan olgunluk modeli ve olgunluk özellikleri ise yönetime kontrol yeterliğini ölçmek ve kontrol boĢluklarını tanımlamak ve geliĢtirme stratejisi belirlemekte yardımcı olur.

1.2.4 Yönetim Rehberi, öz değerlendirme atölye çalıĢmalarını desteklemek için kullanılabilir ve bunlar ayrıca BT yönetiĢim Ģemasının bir parçası olarak, yönetimin sürekli izleme ve geliĢtirme usullerinin uygulanmasını desteklemek için de kullanılabilir.

1.2.5 COBIT, bilgi sistemi yönetim ortamı için ayrıntılı kontrol teknikleri ve kontrol setleri sağlar. Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, seçilen özel COBIT BT süreçlerine ve COBIT bilgi ölçütünün dikkate alınması temeline dayanır.

1.2.6 Bu rehber tarafından iĢaret edilen alanlarda yapılacak gözden geçirmelerde mutlaka göz önünde bulundurulması gereken özel COBIT süreci ya da hedefleri için bu belge ekinde yer alan COBIT kaynaklarına gönderme yapılmaktadır.

1.3 Usul Gereksinimi 1.3.1 Bu belge, güvenlik duvarı yapılandırmasından sorumlu BS güvenlik uzmanları ve iç ve dıĢ BS Denetçileri tarafından

kullanılması amacıyla hazırlanmıĢtır. 1.3.2 Günümüz iĢleri arz ve talep ağları içinde çekirdek süreçlerin setlerinin iĢletimi Ģeklinde örgütlenmiĢtir. Neredeyse dünyadaki

her kurum, artan etkinlik ve etkililik baskısıyla karĢı karĢıyadır (Örneğin, ürün ve hizmetlerde daha yüksek kalite gereksinimleri, artan gelir, maliyet azaltma, yeni ürün geliĢtirme gibi) ve daha iyi, hızlı ve ucuz süreçlerin baskısı görülmektedir. Giderek artan bu karmaĢık iĢletim ağları kullanılabilir iletiĢim teknolojileri tarafından desteklenmekte (baĢlıca internet), iĢin kendi temel sürecine ve ortaklarına odaklanmasına olanak tanımakta, müĢterilere daha büyük değer ulaĢtırılmasının önünü açmaktadır; bu bağlamda çoklu tehditler ve zayıflıkların karmaĢık biçimde ortaya çıkması da kaçınılmaz olmaktadır.

1.3.3 Eski süreçlerin, yeni iletiĢim kanallarıyla dönüĢtürülmesi sağlanmaktadır. Bu kanallar, farklı sistemler ve ağlar arasında yeni bağlantı olanaklarını çıkarmıĢ, bunları daha fazla insanın kullanımına sunmuĢ ve kurumlarla sürecinin etkileĢimini sağlamıĢtır.(örneğin e-satın alma ve e-dıĢ kaynak sağlama).

1.3.4 Bu yeni süreçler, kurum veri ve programlarına etkili eriĢime izin veren ve var olan dıĢ kaynaklı ağlarla karĢılıklı bağlantılı yeni kanalları kullanarak gerçekleĢtirilecek yetkisiz (çoğunlukla kasıtlı) eriĢimlerden koruyan yeni teknikleri gerekli kılmıĢtır. Bu bağlamda, özel iĢlevselliği olan (güvenlik duvarları) donanımlar geliĢtirilerek daha önce belirtilen riskleri en aza indirmeye yardım sağlanmıĢtır.

1.3.5 Çok çeĢitli, güvenlik duvarları vardır ve her biri özel koruma gereksinimine yanıt veren farklı yapılandırma seçenekleriyle kullanılmaktadırlar.

1.3.6 Bu belge, doğrudan bağlantı veya kiralık ağlar veya internet gibi araçlar ile faklı kurumlara karĢılıklı bağlanan yeni süreçlerin denetimi ve gözden geçirmesiyle karĢı karĢıya kalan BS Denetçilerine, bilgi bütünlüğü, eriĢebilirliği ve gizliliğinin makul güvencesini sağlayan koruma engellerinin güçlendirilmesinde rehberlik sağlar.

264

P6 Güvenlik Duvarı Usulü(DEVAMI) 2. GÜVENLĠK DUVARLARI 2.1 Güvenlik duvarı türleri Not: OSI, karĢılıklı açık standartlar bağlantısı kavramının kısaltılmıĢıdır. OSI katmanı / güvenlik duvarı

7 Uygulama

6 Sunum

5 Oturum

4 TaĢıma

3 Ağ

2 Veri bağlantısı

1 Fiziksel

Güvenlik duvarı olarak kullanılan yönlendiriciler

Paket filtreleri (her zaman desteklenmez)

Durumsal denetim

Melez güvenlik duvarı teknolojileri

Uygulama – Proxy geçidi (katman 7 iĢlevlerinin sonucu olarak kapsanır)

2.1.1 Ağ katmanı güvenlik duvarı, genellikle kararlarını varıĢ adresindeki kaynağa ve bağımsız IP paketleri temelinde verir. Basit

bir yönlendirici ―geleneksel‖ ağ katmanı güvenlik duvarıdır, çünkü gelen paketin aslında neden bahsettiği ve nereden geldiği konusunda özellikle karmaĢık kararlar veremez. Günümüz ağ katman güvenlik duvarları, giderek daha fazla karıĢıklaĢmakta ve artık kendilerinden geçen bağlantı durumu bazı veri akıĢlarının içeriği ve benzerleri hakkında daha fazla bilgi korumaktadır. Çoğu ağ katman güvenlik duvarı arasındaki önemli bir fark, trafiği doğruca kendi üstlerinden geçirmeleridir; böylece bunlardan birini kullanmak için ya geçerli olarak atanmıĢ bir IP adresini engelletmek ya da ―özel internet‖ adresi engellemesi kullanmak gerekir. Ağ katmanlı güvenlik duvarları, çok hızlı ve kullanıcılara çok Ģeffaf olma eğilimindedirler.

2.1.2 Görüntülenen host güvenlik duvarları, tek bir hosta ve hosttan eriĢimi kontrol ederken ağ katmanı iĢletimindeki yönlendiriciyi kullanır. Tek Host genel olarak kale (bastion host) hostdur – saldırılara direnebilecek savunulan ve güvenlik altına alınmıĢ güçlü noktadır.

Ġnternet DıĢ yönlendirici Kale Host Ġç ağ Güvenilen Araçlar trafik → trafik →← trafik →← trafik →← trafik ←

Görüntülenen host güvenlik duvarı

265

P6 Güvenlik Duvarı Usulü (DEVAMI) 2.1.3 Görüntülenen alt ağ güvenlik duvarları, bütün ağa ve bütün ağdan eriĢimi kontrol eder ve bu amaçla ağ katmanında iĢleyen

yönlendiriciyi kullanır. Görüntülenen hosta benzer ama bu etkili görüntülenen hosttan ağıdır.

Ġnternet DıĢ yönlendirici Kale Host Çevre Ağ Ġç yönlendirici Ġç ağ Güvenilen aygıt

trafik → trafik →← trafik →← trafik →← trafik →← trafik ←

Görüntülenen alt ağ güvenlik duvarları

2.1.4 Paket filtreleyici güvenlik duvarı (çevre çözümleri), gördüğü her paketi inceler, ardından bunları önceden tanımlanmıĢ kurallar

çerçevesinde iletir ya da iptal eder. Paket filtreleyici güvenlik duvarı, belki de en yaygın ve küçük, karmaĢık olmayan siteleri için kullanımı en kolay seçenektir. Ancak, bir takım eksiklikleri vardır ve diğerlerine kıyasla en az aru edilecek güvenlik duvarı da budur. Temel olarak, paket filtreleme yönlendiricisi internet (ya da bir alt ağ) geçidine kurulur ve ardından paket filtreleme kuralları yönlendiricide yapılandırılarak protokoller ve adresler filtrelenir ya da engellenir. Site sistemleri, genellikle internete doğrudan eriĢime sahiptir ve siste sistemine internetten eriĢimin çoğu engellidir. Ancak, yönlendirici seçilen politikaya bağlı olarak seçilen sistem ve hizmetlere izin verebilir. Genellikle kalıtsal tehlikeli hizmetler, NIS, NFS, X Windows gibi, engellenir. Paket filtreleyici güvenlik duvarları, genellikle TCP/IP temelli ağlarda bulunur ama katman 3 adreslemesi kullanan ağlarda da kullanılır (örneğin IPX). Kimi yönlendiriciler, ayrıca bazı temel iĢlevleri katman 4‘de de sağlarken durum denetim güvenlik duvarının basit bir uygulaması haline gelirler. Kullandıkları filtreleme kuralının basit olması nedeniyle yüksek iĢleme hızına izin verirler ancak aynı zamanda onları, kurum güvenlik politikası ile uyumlu olmayan kural tanımlarının yapılandırıldığı kuĢkusuna maruz bırakır. Daha yüksek veri katmanlarını incelemedikleri için, uygulama iĢlevini kullanarak yapılan saldırılara karĢı korunmak ve aldatma saldırılarını etkin karĢılama için uygun değildirler. Ayrıca, sistem kayıt kapasiteleri sınırlıdır. Bu türlü güvenlik duvarları, yüksek hızda iĢleme gerektiren ortamlarda kullanılır ama karmaĢık kayıt ya da doğrulama iĢlevleri yoktur. Bu iĢlevsellik tek güvenlik duvarı özelliği olarak (örneğin yönlendiricide) içerilebilir ya da daha yüksek katmanlarda çalıĢan diğerleriyle birlikte kullanılabilir.

Ġnternet Güvenlik Duvarı Ġç ağ Güvenilen Araçlar

trafik → trafik →← trafik →← trafik ←

266

P6 Güvenlik Duvarı Usulü (DEVAMI) 2.1.5 Durumsal soruĢturma(ya da dinamik paket filtreleyici), ağ katmanında çalıĢan bir güvenlik duvarı yapısıdır. BaĢlıktaki

bilgiyi temel alarak paketi inceleyen durağan paket filtrelemenin tersine, durum denetimi sadece baĢlığı değil ayrıca paket içeriğini de inceleyerek onun kaynak ve varıĢ bilgilerinin ötesinde bir belirlemede bulunur. Paket filtreleyici, durum denetimi ve proxy sunucu bileĢkesini kullanır. SI/DPF durum tablolarını ve yönlendirme talimatlarını kullanarak paket baĢlığı ve içeriğinden (uygulama durumu) elde ettiği bilgiyi uygulama katmanına doğru çözümler. SınıflandırılmıĢ trafiğin güvenlik duvarına içerik sağlaması için bilgi iĢlenir ve depolanır. Temel amaç, kurulu bağlantıların parçası olan paketleri tanımlamak ve belli giriĢleri trafik için açmak ve kapatmaktır. Durumsal soruĢturma güvenlik duvarı, ayrıca bağlantı durumunu izler ve bilgiyi durum tablosunda toparlar. Bu aygıtlar, paketleri inceler, hangi bağlantının hangi giriĢ numarasını kullandığını hatırlar ve bağlantı kapatıldıktan sonra bu giriĢlere eriĢimi kapatır. Filtreleri tanımlayan ifadeler tedarikçi tarafından yazılı hale getirilmiĢ olmalıdır. Durum soruĢturucu/dinamik paket filtreleme, uygulama durumunu ve paket baĢlık bilgisini bir tabloda depolayan güvenlik duvarı iĢletim sisteminin geniĢletilmiĢidir. Bu tablo, trafiği sınıflandırmak ve kurulu bağlantılara farklı iĢleme kurallarını uygulamak ve belli giriĢlerin açılmasını ve kapanmasını yönetmek için kullanılır.

2.1.6 Melez güvenlik duvarları, paket filtreleyici ve uygulama seviyesi filtrelemenin kimi yanlarının bir bileĢkesidir. Paket filtreleme gibi, bu güvenlik duvarları OSI modelinin ağ katmanında iĢlerler, gelen bütün paketleri kaynak ve varıĢ IP adresleri ve giriĢ numaralarını temel alarak filtrelerler ve oturumdaki paketlerin uygun olup olmadığını belirlerler. Her paket içeriğini uygulama seviyesine doğru gözden geçirebildikleri için uygulama seviyesi güvenlik duvarları gibi davranabilirler. Bunlar, genellikle iki paket filtrelemenin ve uygulama filtreleme ürünlerinin güvenlik özelliklerinin bir bileĢkesini kullanırlar. Melez güvenlik duvarları paket filtreleyici, durum soruĢturması ve proxy sunucuların bir bileĢkesini kullanırlar. Amaç, değiĢik türdeki trafiği taĢıdıkları riske göre iĢlemek ve iĢleme zamanını çıktıya göre dengelemektir. Bir melez uygulamada, bazı hostlar geleneksel güvenlik duvarının arkasındayken diğer hostlar dıĢarıda yaĢama devam ederler. Merkez sitedeki bir IPSec geçidi, dıĢarıdaki makinelerle bağlantıyı sağlar. Bu yapılandırmaya ana merkez siteye ve değiĢik sayıda kurum dıĢı çalıĢana sahip kurumlarda yaygındır. Sıradan sanal özel ağlarda (VPN) olduğu gibi, uzak hostlar IPSec tüneli dolayısıyla içeriye tam eriĢim sağlarlar. Ġçerideki makinelerden uzak noktalara olan trafik benzer biçimde korunur. Farklı olan nokta, uzak noktadan internetin geri kalanına gelen trafik merkezi site güvenlik politikası tarafından yönetilir. Yani, güvenlik duvarı yöneticisi, uzak noktalara güvenlik politikasını dağıtır. Ġdeal olarak, bu aynı politika bildiriminin geleneksel güvenlik duvarı kontrolü için de kullanılarak tutarlı güvenlik politikasının sağlanmasıdır.

2.1.7 Proxy sunuculu güvenlik duvarları, özel programların çalıĢmasına izin vermek ve doğrulamayı, filtrelemeyi ve kaydı zorlamak için yazılmıĢ özel yazılımları çalıĢtırırlar. Örneğin, bir http proxyyi sadece http eriĢimine izin vermek için yazılmıĢtır ve sadece http onun üstünden eriĢim sağlar. Ayrıca, kullanıcı seviyesinde özel olarak yapılması gereken Ģeyler vardır. Örneğin, Netscape içinde kullanıcı mutlaka araçlar diyaloguna girmek zorundadır- özel olarak ―GeliĢmiĢ‖e gidilir, ―Proxylere‖ e girilir ve uygun giriĢler buraya yapılır. Güvenlik duvarı, yeterlilikleri olmadığı için bir güvenlik duvarının arkasına yerleĢtirilmeleri zorunludur. DıĢ kaynaklara eriĢmesi gereken bir kullanıcı, kullanıcı doğrulamasını, kullanıcı faaliyetleri kaydını zorlayan ve tarama yapabilen proxy sunucuyu kullanmalıdır, örneğin web ve e-posta içerikleri. Ek destekleme iĢlevleri, içerik tarama, hizmet engelleme, virüs silme ve benzeridir. Proxy sunuculu güvenlik duvarları, tipik olarak kullanıcı istemlerinin ara durağı olarak çalıĢır, istenilen kaynağa ikinci bir bağlantıyı uygulama katmanında uygulama proxyi yardımıyla ya da oturum veya ulaĢım katmanında devre geciktirmeyle kurarlar. Ağa giren ve çıkan tüm iletileri durdururlar. Güvenlik duvarı, sadece dıĢ sistemlerin proxy sunucu ile iletiĢim kurmasına izin verir. Proxy sunucusu, etkili bir biçimde gerçek ağ adreslerini gizler.

DıĢ Host Ġnternet Güvenlik Duvarı AyrılmıĢ Proxy sunucusu

Ġç ağ Güvenilen Araçlar

trafik → trafik → trafik →← trafik →← trafik →← trafik ←

Proxy sunuculu güvenlik duvarlarının üstünlükleri:

Proxy, genellikle ele aldığı veri biçimlerinin yüksek oranda farkındadır ve çok fazla tutarsızlık arayabilir ve bunlardan korunma sağlayabilir.

Sadece desteklenen belli protokollere izin verilir. Proxy sunucu güvenlik duvarlarının olumsuzlukları:

Ġzin verilen her yeni protokol için, proxy bu protokolün gerekliliğinin özellikle farkında olmalıdır.

Var olan bir protokol geniĢletilirse, proxy yazılımının büyük olasılıkla güncellenmesi gerekecektir. Proxy sunuculu güvenlik duvarı, iç ve dıĢ sistemler arasında kontrollü ağ bağlantısı sağlar. Ġç istemci ve proxy sunucusu arasında sanal bir devre vardır. Ġnternet istemleri bu devre üzerinden proxy sunucuya gider ve proxy sunucu IP adreslerini değiĢtirdikten sonra bu istemleri internete teslim eder. DıĢ kullanıcılar sadece proxy sunucunun IP adresini görür. KarĢılıklar alınınca proxy sunucu bunları yine devre üzerinden iç kullanıcıya gönderir. Trafiğe izin verilirken, dıĢ kullanıcılar iç sistemi asla göremezler. Bu bağlantı türü genellikle ―GÜVENĠLĠR‖ iç kullanıcıyı internete bağlamak için kullanılır. Çoğunlukla, TCP bağlantılarıyla çıkan giden bağlantıları aktarmak için kullanılırlar ve kullanıcıya Ģeffaftırlar. Arama süresince, geçit aktarma programları baytları önde ve arkada kopyalar, geçit kablo gibi davranır. Örneğin, geçit dıĢındaki dıĢ hostlara oto-bağlantı yeterliği içerideki bir yazıcıya eriĢimi gerektirir. Atanan giriĢlerin kısıtları ve eriĢim kontrolleri uygulanır. Oto-bağlantı, yaratılan dıĢ hostda bir açık varsa bağlantı kontrolünü destekler. Manuel hizmet, istenilen varıĢ yerini tanımlamak için uygulanması gereken bağlantı hizmetine dair bir protokoldür. Bir proxy (varıĢ host adı) ya da SOCKS (IP adresleri) uygulanır. Kayıtlar baytları ve TCP varıĢ yerlerini depolar ama onları incelemez.

267

P6 Güvenlik Duvarı Usulü(DEVAMI) Otomatik proxy güvenlik duvar sunucularının üstünlükleri:

Uygulama geçidi kadar olmasa da paket seviye geçidinden daha güvenlidir

TCP bağlantılarını yanıtlar

Paket içeriğini anlama yeterliğine sahiptir

Otomatik proxy güvenlik duvar sunucularının olumsuzlukları:

Gelen bağlantılar, kalıtsal olarak risklidir. Paketleri denetlemeden aktarırlar, kısıtlı denetim yeterliği ve uygulama özel kontrol olmaması

Uygulama seviye kontrolü yoktur 2.1.8 ġeffaf güvenlik duvarları, proxy sunucu güvenlik duvarı ile ağ adres dönüĢümlü (NAT) (bakınız 4.1.1) bir karıĢımıdır.

Ġçerideki makine dıĢarı paket göndermek için sadece, NAT güvenlik duvarına benzer biçimde, dıĢarıdaki gönderim yerinin adresini bilmelidir. Ancak, güvenlik duvarı Ģeffaf bir biçimde, körü körüne onları iletmek yerine güvenlik amacıyla, belli bir trafik türünde proxy benzeri mekanizmayı çalıĢtırabilir. Ġç makinelerin, bir IP adresi olabilir yada olmayabilir.

ġeffaf güvenlik duvarlarının üstünlükleri:

NAT güvenlik duvarı gibi istemci tarafında özel bir yapılandırmaya gerek yoktur

Ġyi bilinen hizmetlerin korunmasına ve daha iyi kontrole izin verir ġeffaf güvenlik duvarlarının olumsuzlukları:

NAT güvenlik duvarlarının çoğu olumsuzluğunu paylaĢır. Standart olmayan bir giriĢte, özel uygulama protokolü kullanılmaktaysa, bütün ―ÖZEL‖ korumalar kaybolur. Ġzin verilen kurallara bağlı olarak, bunlar hiç olmayabilir de.

2.1.9. Uygulama seviyesi (geçit) güvenlik duvarları, proxy sunucuların bütün iĢlevselliklerinin yanı sıra güvenlik duvarı

iĢlevselliklerine de (Her proxy uygulaması, paketlere izin vermek ya da vermemek için güvenlik duvarı kural temeline eriĢir) sahiptir. Bunlar genelde, ağlar arasında doğrudan trafiğe izin vermeyen, özenli kayıt tutan ve kendilerinden geçen trafiği denetleyen proxy sunucuları çalıĢtıran hostlardır, bu nedenle bütün paketleri inceleyebilirler (VarıĢ adresi, giriĢ ve paketi içeriği). Bunlar, geliĢtirilmiĢ doğrulama yöntemleri kullanabilir, daha fazla bilgiyi bir araya getirebilirler (Ek bilgiyi, ağ katman adresi temelinde kullanıcıyı doğrulayan ve bu nedenle daha kolay atlatılan paket filtreleme ve durum denetim güvenlik duvarlarından daha fazla dikkate alırlar). Proxy uygulamaları, güvenlik duvarında çalıĢan yazılım unsurları olduğundan, kayıt ve eriĢim kontrolünü yapmak için burası iyi bir yerdir. Uygulama katmanı güvenlik duvarları, ağ adres çeviricileri olarak kullanılabilirler, çünkü trafik bir yandan girer diğerinden çıkar, uygulamadan geçirildikten sonra bağlantının baĢladığı kaynak etkili biçimde maskelenir. Yolda böyle bir uygulamanın olması, performansı etkileyebilir ve güvenlik duvarını daha az geçirgen yapar (Yüksek geniĢ bant uygulamalarda güvenlik duvarının arkasındaki atanmıĢ proxy sunucusu genelde tercih edilen bir çözümdür). Uygulama katmanı güvenlik duvarı, ikili ev geçidi olarak adlandırılır, proxy sunucunun çalıĢtığı yüksek güvenlikli bir hostdur. Her yanda bir tane olmak üzere iki ağ arayüzü vardır ve üstünden geçen her trafiği engeller.

Ġnternet Güvenlik Duvarı (Ġkili Yer hostu)


trafik → trafik →← trafik →← trafik ←

Uygulama seviye (geçit) güvenlik duvarlarının üstünlükleri:

Bütün gelen ve giden trafiğin kolay sistem kaydı ve kontrolü

Uygulama seviye güvenlik duvarları trafik aktarımını korumak için kriptolama ile birlikte çalıĢabilir Uygulama seviye (geçit) güvenlik duvarlarının olumsuzlukları:

Yönetim yoğunluğu- her ağ hizmeti ayrı yapılandırma gerektirir (http, telnet, posta, haberler gibi)

Ġç kullanıcılar, çoğu hizmet için proxy algılayıcı istemci kullanmalıdır

Hizmet istemcisinde daha fazla değiĢiklik yapılmazsa kullanıcı güvenlik duvarıyla bağlantı kurmak zorundadır.DeğiĢikliler, yapılarak bu bağlantının kullanıcı geçirgen olması sağlanabilir.

268

P6 Güvenlik Duvarı Usulü(DEVAMI) 3. GÜVENLĠK DUVARLARIYLA ĠLGĠLĠ YAYGIN ĠġLEVLER VE ÖZELLĠKLER 3.1 Ağ Adresi Çevirmesi 3.1.1 NAT, güvenlik duvarı ortamının gerisindeki ağ adresi Ģema sunumunu ―GĠZLEYEN‖ bir araçtır. Güvenlik duvarı gerisinde

seçilen adres Ģemasının kullanılmasına izin verirken güvenlik duvarından dıĢ kaynaklarla bağlantı kurma becerisini gene de sürdürür. Ayrıca, yönlendirilemeyen IP adreslerinin daha küçük yasal adres setleri olarak haritalanmasına izin verir. Ağ adresi dönüĢümü üç türde olur:

Durağan NAT—Sanal ağdaki her bir iç sistemin dıĢarıda bir muhatabı vardır, yönlendirilebilir IP adresleri onunla iliĢkilenir.

Bu teknikle, dıĢ kullanıcılar için eriĢim seçmeyi sağlayan beceri sürdürülmüĢ olur (Bir dıĢ sistem, iç sunucuya eriĢebilir ve güvenlik duvarı her yönde, gelen veya giden, haritalandırmayı yapar).

NAT gizleme—Bütün iç IP adresleri, tek bir IP adresi arkasına gizlenir. Bu yapılandırmanın önemli zayıflığı, güvenlik duvarı arkasına konumlanan dıĢ kullanıcıların, kaynakları kullanılabilir olması mümkün değildir, ters haritalandırma da, dıĢ sistemden iç sisteme doğru, olanaklı değildir, bu nedenle dıĢ sistemlere eriĢilmesi gereken sistemlerin adresleri kesinlikle haritalandırılmamalıdır. Bu tür uygulamada, güvenlik duvarı mutlaka kendi dıĢ arayüz adresini, yedek ya da çevrilmiĢ adres olarak, yapılandırma esnekliğini bozarak kullanmalıdır.

GiriĢ adres dönüĢtürmesi(PAT)—Ağ adresini çevirerek gizlemeye benzer ama bazı farklılıklar vardır. Güvenlik duvarı, dıĢ arayüzü IP adresini kullanmasına gerek yoktur ve güvenlik duvarı gerisindeki kaynaklara eriĢim, gelen bağlantıları belli hostların kesin giriĢ adreslerine yönlendirerek verilebilir.

3.1.2 NAT Üstünlükleri:

Normal yönlendirme yapılandırması dıĢında istemci tarafında özel yapılandırmaya gerek duymaz. Ġstemciler sadece kendilerinin varsayılan geçitlerini bilmek zorundadır.

3.1.3 NAT Olumsuzlukları:

―BU TRAFĠK TÜRÜNE ĠZĠN VER‖ ötesinde seçilecek bir ek güvenlik yoktur. Bir iç kullanıcının, izin verilen bir protokolle bir kere bağlantı kurduğunda, bu protokol sınırları içinde her Ģey olabilir.

Yapılan bağlantının iadesini gerektiren özel protokollere izin vermenin bir yolu yoktur.

3.1.4 Belli türdeki protokoller kısıtlandıysa, belli giriĢlere eriĢim sınırlı olabilir. Bir yandan, iç kullanıcılar standart olmayan giriĢlerdeki web sunucularına eriĢim sağlayamayabileceği için bu çok kısıtlayıcıdır. Aynı zamanda, izin verilmeyen hizmetlerin verildiği standart olmayan dıĢarıdaki giriĢlere iç kullanıcılar ulaĢabileceğinden çok keyfidir.

3.2 Saldırı Tespit Sistemi (IDS) 3.2.1 Bu sistemler, ağdaki sistem ya da kaynağa yetkisiz eriĢimi önlemek ve bildirmek için tasarlanmıĢlardır. Sıklıkla güvenlik

duvarlarıyla etkileĢime girerek, algılanan tehdide karĢı otomatik müdahale oluĢtururlar (Saldırı kaynağının engellenmesi gibi). 3.2.2 Saldırı tanılama ve yanıt yazılımı, ağ trafiğini sürekli olarak izleyip bilinen saldırı Ģablonlarını arayarak çalıĢır. Yazılım yetkisiz

bir etkinlik tespit ettiğinde, idare tarafından yapılandırılmıĢ tanımlı davranıĢı sergileyerek otomatik karĢılık verir. 3.2.3 Ġyi bir izinsiz giriĢ tespit sistemi için gerekenler:

KuruluĢ çapında güvenliği sağlamak için bütün ağı kapsayacak biçimde kurulum

Gelen ve giden trafiği izlemek

LAN, internet, kapalı ağ ve çevirmeli eriĢim güvenliği sağlamak

Yöneticiler ve güvenlik memurları gibi uygun personele gerçek zamanlı uyarılar sağlamak

Saldırganı otomatik olarak yok etmek ve yeniden saldırmasını önleyecek biçimde yapılandırma

Seçilen oturum verisinin sistem kaydı

Olay sonrası analizler için ve saldırıyı yeniden yapılandırmaya yardım etmek için denetim izleri sağlamak

Uzaktan idare edilebilmeli ve güvenlik amacıyla yönetici oturumunu kriptolayabilmeli (Eğer kullanıcı kurum tarafından gerekli görülürse)

3.2.4 Ġzinsiz giriĢ tespit sistemi Ģunlara yardımcı olamaz:

Ağ protokollerindeki zayıflığı dengelemek

MeĢgul ağlardaki bütün trafiği analiz etmek

Günümüzün bazı ağ donanımlarının ve ilgili özelliklerinin üstesinden gelmek

Zayıf kimliklendirme ve doğrulama mekanizmalarını dengelemek

Sistemin sağladığı bilginin bütünlüğü ve kalitesiyle ilgili sorunları dengelemek

Ġnsan müdahalesi olmadan saldırı soruĢturmalarını yapmak 3.2.5.1 IDS kurulumunda önce, ağ çevresi kurulmalı ve bütün muhtemel giriĢ noktalarının tanımlanması yapılmalıdır. Tanımlandığı

zaman, IDS algılayıcıları yerlerine yerleĢtirilir, yapılandırma merkez yönetim konsoluna raporlanır. Önerilen muhtemel yerleĢtirme yerleri Ģunlardır:

o Ġç ağ ile dıĢ ağ arasına o DMZ sunucularındaki saldırıları tanımlamak için güvenlik duvarı öncesinde DMZ‘ye (askersiz bölge) o Güvenlik duvarına giriĢ durumunda tehdidi tanımlamak için güvenlik duvarı ve ağ arasına o Uzaktan eriĢim ortamına o Ġçeriden saldırıları tanımlamak için, mümkün ise sunucular ve kullanıcı topluluğu arasına o Kapalı ağ (intranet), FTP ve veritabanı ortamları

269

P6 Güvenlik Duvarı Usulü (Devamı) 3.2.6 Saldırı tespit sistemleri iki sınıfa ayrılabilir, host temelli ve ağ temelli. Ağ temelli, Saldırı tespit sisteminin etkililiği genel

olarak host temelli sistemden daha iyidir çünkü çok sayıda sistem ve kaynağı izleyebilir. Bu tür sistemler, genellikle yanlıĢ saldırı tanımlamaları oluĢturur, gerçek saldırıları belirlemek için insan müdahalesine gerek duyarlar. Ġki sınıf IDS açıklamaları aĢağıdadır: Host temelli izinsiz giriĢ tespiti—ĠĢletim sistemiyle yüksek oranda bütünleĢiktir, korunacak her bilgisayar sistemine

bağımsız Ģekilde kurulur. Bu tür sistem kullanmaktan kaynaklanan bazı sorunlar vardır:

- Sistem performansı üstünde olumsuz etkileri vardır.

- Ağ temelliden daha etkili bir tespit sağlayamaz (örneğin hizmet kesintisi).

- Sistem istikrarını etkiler.

Ağ temelli izinsiz giriĢ tespiti—Protokolleri çözümler, trafiği izler, kesin saldırı türlerini gösteren belli dizileri arar. Bu tür sistem kullanmaktan kaynaklanan bazı sorunlar vardır:

- Çoğu durumda, çok sayıda pakete dağıtılmıĢ imzaları etkili biçimde tespit edemez.

- KarmaĢık kipte ağ arayüzü kurmak için genellikle özel donanım yapılandırmasına (bazen desteklenmez) gerek duyarlar.

- KarmaĢık kipte ağ arayüzü tanımlanmasıyla tespit edilebilirler.

- Bazen bir imzanın saldırıyı tanımladığını öngörmek zordur. 3.3 Sanal Özel Ağlar (VPN) 3.3.1 Bir sanal ağ, var olan ağ ortamının en üstünde kriptolu ya da kriptosuz biçimde, güvenilmeyen ağlar (örneğin internet)

arasında güvenli ağ bağlantısı kurmak için yapılandırılır. Bu teknoloji, Ģirket ağlarına ya da farklı kurumlar arasındaki ağ bağlantısına uzaktan güvenli eriĢim sağlamak için kullanılır. Kullanılan en yaygın protokoller:

o IPSec o PPTP (Microsoft Noktadan Noktaya Tünelleme Protokolü) o L2TP (Katman 2 Tünelleme Protokolü)

4. YAYGIN GÜVENLĠK DUVARI KON FĠGÜRASYONU 4.1 Yaygın Güvenlik Duvarı Yapılandırması Kullanımı 4.1.1 En yaygın kullanılan güvenlik duvarları:

o Ġç ve dıĢ ağlar eriĢim kontrolü (güvenlik duvarı çevresi)

Genel eriĢilebilir ve genel eriĢilemez sunuculara eriĢim kontrolü (DMZ güvenlik duvarları)

DeğiĢik güvenlik ve eriĢim gereksinimleriyle iç ağlar arasında eriĢim kontrolü

Modem havuzlarına ve özel çevirmeli ağlara eriĢim kontrolü

Üçüncü tarafın yönettiği host ve ağların ve ağlardan eriĢimin kontrolü

Hassas verinin aktarıldığı iç ve dıĢ ağların kriptolanması

DıĢ ağlardan iç ağ adreslerinin saklanması (NAT) 4.2 Askersiz Bölge (DMZ) 4.2.1 Bir DMZ ağ, güvenliği önemli ölçüde artırır, iç ağ ve paylaĢılan makine arasına güvenlik katmanı ekleyerek bir güvenlik duvarı

gerisindeki dıĢarıdan kullanılabilecek durumda olması gereken makineyi korur. Uygun Ģekilde konfigürasyon yapılır ise, bir saldırganın değerli bir Ģeyler bulabilmesi için iki katmanı aĢması gerekir.

4.2.2 Bu tür yapılandırma, iç ağa ulaĢmak isteyen dıĢarıdaki korsanın becerilerini çok fazla geliĢtirmesini gerektirir, böylece iç ağa girilmesi tehdidi önemli ölçüde düĢürülmüĢ olur. UyuĢabilen farklı teknolojilerin kullanımı maruz kalma ihtimalini ve riskleri önemli ölçüde düĢürür.

4.2.3 DMZ ağında, güvenilmeyen host güvenlik duvarı ―ĠÇĠNE‖ alınır ama kendi kendine ağda bir yere yerleĢir (güvenlik duvarı konuk eder ardından üç ağla karĢılıklı bağlantı kurar). Bu güvenilmeyen hostun güvenliğini, güvenirliğini ve kullanılabilirliğini artırır ancak diğer ―ĠÇERĠDEKĠ‖ hostların gücünün yettiği güven seviyesi artmaz. Farklı amaçlarla diğer güvenilmeyen hostlar, genel web siteleri ya da FTP sunucuları, kolaylıkla DMZ ağına yerleĢebilirler ve genel ağ hizmetleri yaratabilirler.

4.2.4 Bazen üç ağ arayüz kartıyla, tek bir güvenlik duvarı DMZ uygulamak için kullanılır. Kartlardan biri dıĢ ağa, ikincisi iç ağa ve üçüncüsü de DMZ ağına iliĢiktir. Bu yapılandırma, hizmet kesintisi yaratma saldırılarında hizmetin düĢmesini etkili biçimde engelleyemez.

Ġnternet Güvenlik Duvarı

DMZ (ikili ev) eth0/eth1 (SMTP/WWW/DNS, vb.)


trafik → trafik →← trafik →← Trafik →← trafik ←

270

P6 Güvenlik Duvarı Usulü (Devamı) 4.2.5 DMZ üstünlükleri ve varsayımları:

DMZ uygulaması için fazladan makinelerin donanım ve yazılım maliyetleri vardır

Performansta çok az bir düĢme

DMZ uygulaması için harcanan zaman maliyeti

DMZ‘ye eklenen sistemin sorunlarının yol açtığı maliyetler

Saldırgana eriĢebilirlik seviyesinin düĢmesi 4.3 Ġkili Güvenlik Konfigürasyonuyla DMZ 4.3.1 Ġkinci bir güvenlik duvarı hostu eklenmesiyle, kurum iç ağı güvenilmez ağdan daha da yalıtılmıĢ olur. Bir güvenlik duvarı

hostuyla güvenilmeyen ağ bağlantısı kurulurken kurum iç ağında diğeri ve DMZ kullanılır, iç ağ ve internet arasındaki trafik iki güvenlik duvarını ve DMZ‘yi iki yönde hareket ettirmelidir.

4.3.2 Daha bütünsel bir tanımla, bir dıĢ ağ (dıĢsal) ile iç ağ (içsel) arasında internet protokolü (IP) temelli bir altyapı olduğunu varsayalım. Böyle bir altyapı farklı türde makineler içerecektir: Ağ aygıtları (yönlendiriciler gibi); sistemler (e-posta ya da web sunucusu gibi uygulamaları çalıĢtıran sunucular) ve tabi ki güvenlik uygulamaları (güvenlik duvarları gibi). Altyapının farklı parçalarını temsi ettiği varsayılan her bir güvenlik duvarı arayüzü DMZ ağı olarak adlandırılır.

4.3.3 Bu yapıların her birinde, ağı güvenilmez ağlardan korumak temel amacı için ağ sınırında güvenlik duvarlı eriĢimi kontrol ederler. Bütün ağ içinde kurulan güvenlik duvarları ağın alt ağları arasında karĢılıklı koruma sağlar. Ġç alt ağlar arasında eriĢimi kontrol etmek ağ ve internet arasındaki eriĢimi kontrol etmekten farklı değildir, bu nedenle yukarıdaki mimarilerin tamamı iç ağ güvenlik duvarı mimarisi olarak kullanılabilirler.

4.3.4 Çoklu katman mimarisinde çalıĢan güvenlik duvarı az sayıdaki hostlar arasında dağıtılır, tipik olarak aradaki DMZ ağlarıyla seri bağlantılıdır. Bu yaklaĢımın tasarlanması ve iĢletimi daha zordur, ancak uygulanan savunmayı çeĢitlendirerek daha büyük bir güvenliği sağlar. Daha maliyetli olmasına karĢın, her birinde güvenlik duvarı hostu olan farklı teknolojiler kullanmak daha tedbirli bir davranıĢtır. Bu aynı uygulamada tüm katmanlarda ortaya çıkabilecek bozulma ya da konfigürasyon hatası risklerini en aza indirir. Bu yaklaĢımla, yineleme Ģansı ve uzlaĢma ihtimali önemli oranda azalacaktır. Bu tür yapıda en yaygın tasarım yaklaĢımı, bir DMZ ağına karĢılıklı olarak bağlı iki hosttan oluĢan internet güvenlik duvarıdır.

4.4 Proxy Sunucusu 4.4.1 Proxy sunucular, güçlü doğrulama yöntemlerinin ve iyi kayıt iĢlevinin gerektiği ortamlarda kullanılırlar, her proxy ajanı her tekil

ağ kullanıcısının doğrulamasını gerektirebilir. Diğer yandan, bu geliĢtirilmiĢ güvenlik yeterliği daha fazla iĢleme gücüne ihtiyaç duyulacak ve böylece bunlar yüksek bant geniĢliği gerektiren ortamlar için uygun sayılamayacaktır. Her uygulama trafiği için özel bir ajanın güvenlik duvarında olması gerekir. E-posta ve web içeriğini Ģunlarla çözümlerler:

Java uygulaması, ActiveX kontrolü, JavaScript filtreleme

MIME türlerinin engellenmesi

Virüs ve makro virüs taraması

Uygulama komut engelleme

Kullanıcı tanımlı engelleme iĢlevi 5. GÜVENLĠK DUVARLARIYLA RĠSKLERĠN KONTROLLERĠ

5.1 Yazılım Zayıflığına Dayanan Saldırılar 5.1.1 Bu tür saldırıların amacı, sunucuyu sanal çevrimdıĢı duruma getirmektir (hizmet kesintisi saldırıları, DoS), ancak yetkisiz

eriĢim ayrıca vuku bulur. 5.1.2 Tampon akıĢı, muhtemelen en etkili saldırı türüdür. Belli bir uygulamayla iliĢkili değildir ve bir hizmeti kullanan programda

hata koĢulu oluĢturmak için yazılım zayıflıkları ya da genel olarak bilinen hatalar kullanılır. Sorunun en yaygın kökeninde program tarafından kullanılan bellek parçalarının yeniden yazılması sırasında aĢırı akıĢ koĢulu yatar. Bu zayıflık kullanılarak yapılan saldırılara bir örnek olarak KIRMIZI KOD VĠRÜSÜ tarafından yapılanlar verilebilir.

5.1.3 Dizin çaprazlama saldırıları, web sunucularına yönelik olarak yapılır, yetkili sayfaların dıĢında dosya sistemlerine eriĢim için çabalanır. Bu veriye yetkisiz eriĢimle ya da yetkisiz kod yürütülmesiyle sonuçlanabilir. Yazılımın bazı en eski sürümlerinde, http://server/../../ gibi bir URL kullanmak yeterliydi. Bu zayıflıklar kullanılarak yapılan saldırılara bir örnek olarak NIMDA VĠRÜSÜ tarafından yapılanlar verilebilir.

5.1.4 Kaynak açıklama saldırıları, dinamik sayfaları iĢleyen web sunucularına karĢı yapılır. Kaynak koda eriĢmeye çalıĢırlar çünkü burada kullanıcı ID‘leri ve parolaları gibi veritabanı eriĢim bilgileri vardır. Bu biçimdeki saldırılar sunucunun yanlıĢ iĢleyeceği özel bir URL yaparak ya da sunucunun hata ya da hata içeren yazılım unsurlarını yürütmesi sağlanarak yapılabilir.

271

P6 Güvenlik Duvarı Usulü (DEVAMI)

5.1.5 MIME ĠSTĠSMAR SALDIRILARI, posta hizmetleri ve istemcileriyle, bazen de tarayıcılara karĢı düzenlenir. Saldırı, belli durumları harekete geçirmek, örneğin DOS, program yürütme, için baĢlıkların değiĢtirilmesinden oluĢur. Kullanılabilecek bazı kontroller:

Yayınlanan hata ve zayıflıkların sürekli izlenmesi ve yazılım güncelleme ve yamalarının kurulumu

Saldırıları tespit etmek için sistem kontrol ve uygulama dosyaları kayıt usulü 5.2 ĠĢleme Gücüne Dayanan Saldırılar 5.2.1 SYN TAġKINLARI, hizmeti kullanan programda hata oluĢturmak amacındadır. Bunların en basit biçimi, veri ya da program

tarafından kullanılan belleğin üzerine yazmak, böylece hata oluĢturmaktır. Daha tehlikeli biçimi, saldırgan tarafından sağlanan program kodunun yürütülmesini yöneten saldırılardır. Hizmetler, genellikle yüksek ayrıcalık seviyesinde yürütüldüğünden, bu tür saldırılar yüksek risklidir. Paketler genellikle yanlıĢ köken adresi içerir. SYN taĢkınları iki temel sorun yaratırlar – bant geniĢliği daralması ve sunucudaki bağlantı tablosunun büyümesi. Bu tür saldırılara karĢı kullanılabilecek kontroller (tam olarak etkili olmayacak olsalar da) Ģunlardır:

Güvenlik duvarlarını atlatma adresleri tespit edip filtreleyecek biçimde yapılandırmak

Bağlantı parametrelerini, bekleyen bağlantıların sayısı ve zaman aĢımları, ayarlayarak bağlantı tablosunun aĢırı büyümesinden kaçınmak

5.2.2. UDP TAġKINLARI, bir önceki duruma benzerler. BaĢlıca farkı, UDP‘nin bağlantı kavramını kullanmıyor olmasıdır. Saldırı, bant geniĢliğinin ve sonunda paketleri yanıtlamak için sunucu tarafından kullanılan kaynakların iĢgaline dayanır.

5.2.2. ICMP TAġKINLARI, geçmiĢteki en etkili saldırılardan biriydi. Saldırıları büyütmek için yapılandırma hatalarını kullanırlar. En yaygın olarak bilinen uygulamalardan biri olan SMURF nihai hedefe saldırmak için diğer ağları kullanma temeline dayanır.

5.2.3. DDOS SALDIRILARI, bir ya da daha fazla DoS saldırısıyla hedef siteye akmayı amaçlar. Yazılım hatalarını ya da yapılandırma hatalarını kullanmaz. Saldırı, kimliği bant geniĢliğinin yaygın kullanılmasına dayanır ve daha önceden etkilenmiĢ çok sayıda (yüzlerce) ağ düğümünün saldırıya katılmasına gerek duyar. Bu tür bir saldırıyı engellemenin çok da fazla yolu yoktur. Kullanılabilecek bazı kontroller Ģunlardır:

Paket filtreleme

Sitelerle ilgili zayıflıkların olabildiğinde iyi kontrol edilmesinin makul güvencesini sağlamak

Bağlantı tablosunun aĢırı büyümesini kontrol edecek parametrelerin ayarlanması 6. GÜVENLĠK DUVARLARININ GÖZDEN GEÇĠRMESĠ USULLERĠ


Önceki bilginin toplanması-Denetim iĢini planlamak için edinilebilecek bilgi örnekleri

Güvenlik politikasını edinmek

Güvenlik duvarı güvenlik politikasını edinmek

Güvenlik duvarının kurması amaçlanan hizmetleri tanımlamak ve COBIT tarafından tanımlanmıĢ yedi bilgi kıstasını dikkate alarak hassasiyet yüksek seviye risk değerlendirmesini yapmak

Ana tehdit kaynakları ve bunların gerçekleĢme olasılığını tanımlamak için risk değerlendirmesinin yerini tanımlamak

Doğrulama yöntemleri, güvenlik yönetimi ve donanım bakımı gibi güvenlik önlemlerini içeren teknolojinin nasıl kullanıldığına dair bir anlayıĢ geliĢtirmek

Güvenlik duvarı sistem yazılımının ve dıĢ ağdan (doğrudan eriĢilen ve arayüzlerle eriĢilenler) kullanılan uygulama setleri için sistem geliĢtirme yaĢam döngüsünde kullanılan usulleri tanımlamak

Sistem kaydının iĢlevselliğinin yerinde belirlenmesi

Kural temelli bakım için kullanılan usulleri tanımlamak

Kullanılan yazılımın, yeni zayıflıklarını ve hatalar izlemek için kullanılan usullerin tanımlanması

Saldırıları tespit etmek için sistem uygulamaları ve kayıtlarını gözden geçirmesi için kullanılan usullerin tanımlanması

KomĢu sitelerle bilgiyle ilgili teknik ve güvenlik vakalarının paylaĢılması için kullanılan usullerin tanımlanması

Konfigürasyon yönetim usullerini tanımlamak

Risk değerlendirmesi Güvenlik duvarının, koruması amaçlanan hizmetlerin hassaslığında kullanılan bilginin kapsamının, tanımlanmıĢ risklerinin ve gerçekleĢme olasılığının gözden geçirilmesi

Ayrıntılı planlama- Genel kurulum gözden geçirmeleri tarafından gözden geçirilebilen COBIT iĢlemlerinin seçiminin sonucu olarak tanımlanabilen bütün kontrol amaçlarıdır. Bu bölüm içinde güvenlik duvarı kurulumu gözden geçirmesinin parçası olabilecek özel usuller vardır. Bunlar gözden geçirmede yer alacak alanlara örnektir.

IDS kurulumu için, var olan ağın değerlendirilmesi, giriĢ noktalarının tanımı, güvenlik duvarının izin verdiği trafik, kullanılan analiz kuralları, uyarım ve bildirim Ģema seti hakkında yapılan analizlerin gözden geçirilmesi.

Tekil olarak her DMZ‘nin gözden geçirilmesi, diğerleri farklı ağlar ya da uygulanabilir bilgisayarlar gibi varsayılabilir. Bu yaklaĢımda, konfigürasyon ve kurallar DMZ ile ilgili ağların bütün trafik türlerine karĢı göz önünde bulundurulmalıdır.

Yazılım hataları gibi yeni saldırı türlerinin tanımlarının ve güvenlikle ilgili bilgi kaynaklarının (BaĢlıca web siteleri ve özel kaynaklar) izlemesinde kullanılan usullerin gözden geçirilmesi, bütün uygulanabilir güvenlik yamalarının uygulanıp uygulanmadığının doğrulanması

Görev ayrılığı, baĢlama, test gibi ağın dıĢ tarafında yayımlanan uygulamalar ve güvenlik duvarı yazılımının bir parçası olarak yürütülen kodlar üzerinde kontrol kuran sistem geliĢtirme yaĢam döngüsü gözden geçirmesi.

DıĢ ağdan eriĢim kontrolü için kullanılan ―Doğrulama Kontrollerinin‖ gözden geçirilmesi

Aygıt yönetimi için kullanılan usullerin gözden geçirilmesi (En azından fiziksel eriĢim ve yönetici parolaları yer alır ve böylece örneğin yetkisiz eriĢimle bağlantıların kurcalanması riski azaltılır)

Ağ aygıtları yönetimi için uzak eriĢim kontrolünde kullanılan usullerin gözden geçirilmesi

272


(Yöneticiler veya satıcılar)

Muhtemel zararlı trafiğin üstesinden gelmek için ve sistem kayıtlarının zamanında ve etkili gözden geçirmesi için kullanılan usullerin gözden geçirilmesi

Muhtemel ya da etkili saldırıların üstesinden gelmek için hazırlanmıĢ usullerin gözden geçirilmesi

Bakım iĢlevlerine eriĢim, talep etme usulleri, yeni ya da iyileĢtirilmiĢ kuralların testi ve üretimde kullanılması ve belgeleme gibi kural temelli bakım usullerinin gözden geçirilmesi. Üretim ortamında güvenlik duvarı talebi, gözden geçirmesi, onayı, yükseltmesi gibi ek ve değiĢiklikler için resmi ve kontrollü iĢlemlerin yerinde olduğunun belirlenmesi. Özellikle: 1-Resmi talebin, iĢ amaçlarını ve finansmanı, talep tarihini ve kuralın ne sürede (dönem) gerekli olduğunun içerilip içerilmediğinin belirlenmesi 2-Gözden geçirmenin kuralla ilgili riski anlayan, teknik açıdan yeterli bireylerce tamamlanıp tamamlanmadığının belirlenmesi. Gözden geçirmeyi yapan kiĢi, kurumun bütün bilgi altyapısının korunmasıyla ilgili riskleri belgelemelidir. 3-Onayın, hem güvenlik duvarı yöneticinin amiri ya da denetçisi tarafından hem de uygun iĢ yöneticisi tarafından verilip verilmediğinin belirlenmesi. Güvenlik duvarı kuralı talebinin onayı, resmi olarak yapılmalıdır. 4-Güvenlik duvarı kuralının, üretim iĢleme ortamına uyarlanmadan önce test ortamında test edilip edilmediğinin belirlenmesi. Uygun olan yerlerde, hizmet kesintisi testi (Örneğin, değiĢikliğin istendiği birimde alıĢılmadık miktarda mesai dıĢı çalıĢma saati tanımlaması)

Risk yönetim usullerinin gözden geçirilmesi

Var olan tek nokta baĢarısızlığının tanımlanması

Sanal özel ağ olup olmadığının gözden geçirmesi (ISACA‘nın sanal özel ağlar hakkındaki Rehberine bakınız)

Saldırı testi yapmak ve test sonrasında değiĢiklikler yapıldıktan sonra yeniden test etmek için plan gözden geçirmesi. Testde tanımlanan risklerin kapsanması

Filtreleme kurallarının yerindeliğinin tanımlanması (Güvenlik politikasında ve risk analizinde tanımlanan diğer uygulanabilir tehditlerde bütün sorunlara iĢaret edilip edilmediğinin belirlenmesi). Kurallar, izin verilmediyse güvenlik duvarı kuralının eriĢimi kısıtladığının doğrulanması.

Üretim ortamına gönderilmeden önce oluĢturulmuĢ kuralları test etme usullerinin gözden geçirilmesi

Güvenlik duvarı ve ekipmanları ağa bağlamak için fiziksel eriĢim kontrollerinin gözden geçirilmesi

Yeni yazılımın testinde ve güvenlik politikasında tanımlananları sağlamak için güvenlik konfigürasyonunda kullanılan usullerin gözden geçirilmesi

Felaket kurtarma ve acil durum usullerinin gözden geçirilmesi. Güvenlik duvarı aygıtlarından birinin yedeklemesinin iĢlevselliği sağlayamaması ihtimalinin dikkate alınması (Hizmetlerin genellikle yüksek eriĢilebilirlik zorunluluğu vardır.)

Konfigürasyon yönetim süreçlerinin gözden geçirilmesi

Durum SoruĢturması/Dinamik paket filtreleyici (SI/DPF)

SI/DPF sınır güvenlik duvarı olarak kullanıldığında ve arkasında bir baĢka güvenlik duvarı bulunduğunda SI/DPF‘nin diğer güvenlik duvarı tarafından sağlanan kontrolleri nasıl etkilediğini belgeleyiniz.

Kullanılan API SI/DPF (güvenlik duvarı iĢletim sisteminin bulunduğu kurum tarafından yazılan kodu yürütme) içindeyse, API‘de uygulanan herhangi bir program değiĢiklik kontrollerini doğrulayınız (Özellikle test kontrolleri)

SI/DFP durum tablosu ve programlı talimatlar kullanır. Uygulama katmanına doğru paket baĢlığı ve içeriği bilgilerini kullanır. Bilgi, güvenlik duvarına trafik sınıflandırma içeriği sağlamak için iĢlenir ve saklanır. Temel amaç, kurulu bağlantının parçası olan paketleri tanımlamak ve bu trafik için belli giriĢleri açmak ve kapamaktır. Doğru iĢliyor olduğunu doğrulamak için SI/DPF tarafından etkilenen trafik testini tasarlayıp uygulamak.

Filtre –geçitler, FTTP oturumları, X Windows, DNS, sabit adresler- gözden geçirmesinde dikkate alınması gerekenlere örnekler:

- Sadece dıĢarıdan eriĢimine izin verilen adreslerin eriĢimine izin verilir. - FTP ve telnet gibi yetkisiz hizmetlerin kullanımına izin vermez - Belli giriĢlere eriĢime izin vermez - Sadece dıĢ ağlardaki yetkili sitelerden gelen paketlere izin verir - Bütün kaynak yönlendiricili trafiği kovar

Aygıtların hizmet dıĢı bırakma saldırıları gibi istenmeyen iletiĢimi temsil eden paketlerin iptal edilmesi için alınan önlemleri ve eriĢim kontrol kurallarını değerlendirilmesi

IP aldatmacasından kaçınmak için kontrollerin yerinde olduğunu doğrulanması

NAT kullanılıyorsa, sadece iç ağdaki izin verilmiĢ IP adreslerinden gelen paketlerin geçmesine izin verildiğini ve gelen trafiğe sadece geçerli bir bağlantı kurulduğunda izin verildiğini doğrulanması

Paket filtreleme Sınır güvenlik duvarı olarak yönlendirici kullanıldığında ve arkasına bir baĢka güvenlik duvarı yerleĢtirildiğinde, diğer güvenlik duvarı tarafından sağlanan kontrollerin nasıl etkileneceğinin belgelenmesi

Paket baĢlığındaki kaynak/varıĢ, protokol ve giriĢ bilgisi açısından paketlerin nasıl filtrelediğinin anlayıĢının sağlanması( Yada yaratılması)

273


Paket filtreleme kullanmanın önemli risk alanlarını tanımlama ve kontrollere etkisinin değerlendirilmesi. AĢağıdakileri doğrulayan:

Sadece dıĢarıdan eriĢimine izin verilen adreslerin eriĢimine izin verir

FTP ve telnet gibi yetkisiz hizmetlerin kullanımına izin vermez

Belli giriĢlere eriĢime izin vermez

Sadece dıĢ ağlardaki yetkili sitelerden gelen paketlere izin verir

Bütün kaynak yönlendiricili trafiği kovar

Paket filtrelemenin etkilediği trafiğin testi için tasarım ve uygulama

Aygıtların hizmet dıĢı bırakma saldırıları gibi istenmeyen iletiĢimi temsil eden paketlerin iptal edilmesi kurallarını değerlendirilmesi

IP aldatmacasından kaçınmak için kontrollerin yerinde olduğunu doğrulayınız

NAT kullanılıyor ise iç IP adresine doğrudan yönlendirme yapılamadığını doğrulayınız

Paket filtrelemenin kalıtsal riskleri

Sistem kayıt(log) kapasitesı ya yoktur ya çok azdır, bu nedenle yöneticinin yönlendirici uzlaĢtı mı yoksa saldırıldı mı bunu anlaması kolay değildir

Paket filtreleme kurallarının testi kolay değildir, test edilmemiĢ zayıflıklara açık bir site kalmıĢ olabilir

Eğer karmaĢık filtreleme kuralları gerekiyorsa, filtreleme kuralları yönetilemez hale gelebilir

Her hostun internetten doğrudan eriĢimi önden doğrulama önlemleri için kendi kopyası gerekecektir

Melez güvenlik duvarları Melez güvenlik duvarı kullanımın ağ üzerindeki trafiği nasıl etkileyeceğinin belgelenmesi

Üç güvenlik duvarı (Paket filtreleme, durum denetimi, proxy sunucular) yaklaĢımının nasıl kullanıldığının anlayıĢını sağlamak (Ya da yaratmak)Her bir güvenlik duvarı süreçlerinden geçen trafiğin mantığının belirlenmesi

Melez yaklaĢımı kullanmanın yarattığı temel risk alanlarını tanımlama ve kontrollere etkisinin değerlendirmesi. Hangi güvenlik duvarı yaklaĢımının hangi tür trafiğe uygulanacağının belirlenmesinde kullanılan karar mantığının değerlendirilmesi

AĢağıdaki kurallar varsayımında SI/DPF tarafından etkilenen trafik testinin tasarlanması ve uygulaması:

- Melez içinde benzer protokollerin aynı iĢlemeye girme tutarlılığı olduğunun doğrulanması. - Durum denetiminde kullanılan API‘nın kontrol edildiğinin onaylanması. - Proxy iĢlemenin trafik ve uygulama arasındaki ayrımı sürdürdüğünün doğrulanması - Çıkan iĢ ve süreç kontrolü arasındaki dengenin uygunluğunun doğrulanması

Aygıtların hizmet dıĢı bırakma saldırıları gibi istenmeyen iletiĢimi temsil eden paketlerin iptal edilmesi için alınan önlemleri ve eriĢim kontrol kurallarını değerlendirilmesi

Proxy güvenlik duvarları Proxy güvenlik duvarı, ayrı bir aygıt ya da çok amaçlı güvenlik duvarı aygıtında çalıĢan bir hizmet olabilir. Amacı, tek tür trafik için özel iĢleme kontrolü eklemektir.

Hangi trafiğin proxy üzerinden gönderildiği ve hangi aygıtın çıktıyı aldığı anlamında proxy kullanımının anlayıĢını sağlamak (Ya da yaratmak)

Proxy tarafından iĢlenen türde bütün trafiğin proxy güvenlik duvarından geçmek zorunda olduğunu doğrulamak. Proxy içindeki bütün aygıtlar için, proxye atanmıĢ bütün trafiğin sadece proxy aygıt adresinden kabul edildiğini doğrulamak

Proxyin etkilediği trafiğin testi için tasarım ve uygulama, Ģunları dikkate alınız:

Bütün trafiğin proxye yönlendirildiğinden emin olun

Proxye atanan türdeki bütün trafiğin sadece proxy adresinden iĢlendiğinden emin olun

Proxy kayıtlarının gözden geçirilmesi için oluĢturulan usulleri ve kayıtlardan elde edilen muhtemel sorunların iĢaret edilmesinde kullanılan usullerin etkililiğini değerlendirmek

DMZ-DMZ ağının üç parçası olduğunu varsayalım: Biri dıĢarıya bağlantıyı belirlesin, biri içeriye bağlantıyı belirlesin ve biri, DMZ parçası, dıĢarıdan eriĢilebilen sistemin dayandığı alt ağ IP‘sinden oluĢsun.

Güvenlik duvarının dıĢarıdan görünmez olduğunu doğrulayınız

DMZ parçası üzerindeki sistemin dıĢarıdan görünme olduğunu doğrulayınız

DıĢ hizmet sağlayıcılar, hizmet sağlayıcılarla (ve genel olarak dıĢarıyla) yapılan bağlantı yeri olan DMZ ağının kenarında sorun giderme aygıtı konumlandırabiliyorsa, Ģunları doğrulayınız:

Testler, DMZ ağı içindekilerin haritalanabileceğini kesin olarak tanımlamıĢtır

Muhtemel istismar etkisi anlaĢılmıĢtır

DıĢarıdaki kuruluĢların aĢağıdakileri yönetmesi ya da konfigürasyonunun mümkün olmadığının makul güvencesini sağlamak için DMZ ağını gözden geçirilmesi:

Güvenlik duvarı

Ağ aygıtları ve DMZ Ağındaki sistemler (Hizmet sağlayıcılarla bağlantı kuran yönlendiriciler gibi dıĢ yüzdeki ağ aygıtları herhangi bir nedenle eriĢilebilirse, sorun giderme gibi, bu aygıtların konfigürasyonu ve yönetimi üzerinde kontrol olduğunu doğrulayınız.)

EriĢim kontrol kurallarının, dıĢ yüzey parçası ağ aygıtlarında, hizmet dıĢı bırakma (DoS) saldırıları gibi istenmeyen iletiĢimi temsil eden paketlerin reddedilmesi amacıyla kurulu olduğunu doğrulanması

DMZ katmanındaki sisteme varıĢ dıĢında, pakete devam etmesi için özel izin verilmemiĢse, güvenlik duvarları varsayılan ayarlarının her paketi reddetme kuralına dayandığının doğrulanmasının gözden geçirilmesi

274


DMZ parçasındaki sistemin, güvenlik duvarı üzerinden olmadığı sürece dıĢarıdaki sistemlerle iletiĢim kuramayacağını doğrulayınız. Ġstisnalar varsa, özel riskleri, gerekçeyi ve dengeleme kontrollerini değerlendiriniz

DMZ parçasındaki sistemin içeriyle iletiĢim baĢlatamayacak biçimde konfigüre edildiğini doğrulayınız. Burada da istisnalar varsa, özel riskleri, gerekçeyi ve dengeleme kontrollerini değerlendiriniz

DMZ ağındaki ağ aygıtları, güvenlik duvarları ve sistemlerin yapılandırmasında aygıtlar, güvenlik duvarı ve sistemler arasındaki yönlendirmenin iyi tanımlandığını doğrulayınız:

DMZ ağı içine, dıĢına ve üstünden bütün yönlendiriciler kolaylıkla tanımlanabilir

Yetkili iletiĢim akıĢını desteklemek için yönlendirme ayarları asgari seviyededir. (Yönlendirilemez iletiĢim protokolleri kullanılıyorsa bunların DMZ ağı güvenlik politika gereksinimleriyle tutarlı bir amaca sahip olduğunu doğrulayınız)

NAT kullanılıyorsa, bunun güvenlik politikası gereksinimleriyle tutarlı çalıĢtığının ve konfigürasyonunun(yapılandırmanın) hesap verecek bireyler tarafından düzenli olarak yeniden onaylandığının makul bir güvencesini sağlayınız.

Güvenlik duvarı ayarlarında aĢağıdakileri doğrulayınız:

Ġç ağlar için ayarlanmıĢ dıĢ kaynaklı IP adreslerinden giren paketlerin tamamının reddedilmesi

Ġçerisi için ayarlanmamıĢ iç IP kaynak adreslerinden gelen tüm paketlerin reddedilmesi

Yaygın olarak taranan ortak giriĢlerin (Bu giriĢleri dinleyen sistemlerin gerçekten var olup olmadığına bakılmaksızın) dıĢarıdan tarama giriĢimlerinin keĢfedilmesi için güvenlik duvarı kurallarının doğrulanması

Güvenlik duvarı ayarlarının reddedilen gelen paketi yanıtlamak için ileti göndermediğinin onaylanması

DMZ de dahil olmak üzere güvenlik duvarının her bir parçasının test edilerek, her parçadan geçebilecek ve geçemeyecek paketlerin tanımlandığının doğrulanması. Sonuçların genel güvenlik politikası ile tutarlılığının makul güvencesini sağlanması.

Güvenlik duvarındaki her kuralın güvenlik politikasıyla tutarlı olduğunu doğrulayınız. Bunun için, politikayla tutarlılığın makul güvencesini sağlamak, kabul edilebilmesi mümkün paketlerin, izleyen unsurlarının incelenmesinin doğrulamasıyla olur: Protokol, kaynak sistem IP adresi, varıĢ sistemi IP adresi, kaynak giriĢ ve varıĢ giriĢ. Örneğin, varıĢ sistemi ve giriĢi bileĢkesi kuralı DMZ parçasında varıĢ yeri sistem iĢlevi dikkate alındığında bir anlam çıkarmalıdır. Bir kuralı güvenlik duvarının kendisini korumalıdır; DMZ parçası üstündeki sistemin sağladığı iĢlevle uyumlu olmalıdır; iç ağdaki sistemlere DMZ parçasındaki sistemle iletiĢim baĢlatma izni vermelidir ya da DMZ parçasındaki sistemlere içeriden baĢlatılan iletiĢimi yanıtlama izni vermelidir. Eğer kural temelinde, test sırasında gözden geçirilecek çok fazla kural var ise bu zayıf bir güvenlik yapısı tasarımının iĢareti olabilir, yönetilmesi ve uygun kapsamın sağlanması çok zor olur.

Uygulama giriĢlerinin amaçlara uygun kullanımının makul güvencesini sağlamak için 1023 giriĢi üstündeki, TCP ya da UDP giriĢlerini de içeren giriĢlerde güvenlik duvarındaki kuralların bütün paketleri reddettiğini doğrulayınız.

Yüksek eriĢebilirlik, aĢırı yedekleme ya da devretme amacıyla DMZ‘de çoklu fiziksel güvenlik duvarı varsa güvenlik duvarı çalıĢma konfigürasyonun eĢit olduğunu doğrulanması

Dikkate alınacak önemli noktalar

Yapılandırma Güvenlik duvarı özel iĢlevleriyle ilgili olmayan DNS, e-posta, sunucu yük dengeleme hizmeti, yazılımlar ya da hizmetler güvenlik duvarı tarafından iĢlenmemeli ya da kurulmamalıdır

Güvenlik duvarları, kısıtlı iç DNS bilgilerini dıĢ ağlardan gizleyecek biçimde konfigüre edilmelidir.

DıĢ güvenlik duvarları, gelen SNMP sorgularını engellemelidir

Yönlendirici eriĢim kontrol listesi bir güvenlik duvarı çözümü için gerekli seviyede koruma sağlamaz. Güvenlik duvarı çözümünün bir parçası olarak yönlendirici kullanılmalıdır (Örneğin, filtreyle internetin ilk karĢılaĢması). Bu bağlantıyı sağlar ve güvenlik duvarının yükünü kısmen alır; sadece gerekli giriĢlerin geçmesine izin verir ve güvenlik duvarının her bir giriĢi filtrelemesi germez (Ancak, her duruma karĢı güvenlik duvarının kullanılmayan giriĢleri kural olarak engellenmelidir).

Güvenlik duvarını ―KAPATMAYI BAġARAMADI‖ olarak yapılandırmak

Ġç ağ bilginin dıĢ kaynaklardan saklamak

Güvenlik duvarını ―AÇIKÇA ĠZĠN VERĠLMEDĠĞĠ SÜRECE BÜTÜN HĠZMETLERĠ REDDET‖ biçiminde konfigüre etmek

DıĢ ağ ile iletiĢim kurmasına izin verilen iç ağ göbekleri adreslerinin çevrilmesi

Mümkün ise UDP temelli hizmetlerden kaçınmak

Java, JavaScript ve ActiveX taraması, filtrelemesi ya da engellemesi

Ġhtiyaç duyan kullanıcılara NNTP kısıtı koymak. Bu resmi olarak gerekçelendirilebilir

Mümkün ise, yönlendirme protokolü yerine durağan yönlendirme kullanmak

Güvenlik duvarının dayandığı hosta sağlam bir güvenlik politikasının uygulanması

Yetkisiz yollardan silinmesini ya da değiĢtirilmesini önlemek için güvenlik duvarının oluĢturduğu kayıtlara eriĢimin sınırlandırılması

Güvenlik duvarı sistemi unsurlarına, güvenlikle ilgili bütün yamaları ve benzerlerini uygulamak

Güvenlik politikasını doğrulamak için usullerin yerindeliğinin belirlenmesi (Örneğin Saldırı testi, kural dayanağının el ile gözden geçirilmesi, OS güvenlik gözden geçirmesi, vb.)

Var olan güvenlik duvarı sisteminde hassas sistem dosyaları için izleme bütünlüğünün doğrulanması

Ġzleme, denetim ve olay Güvenlik duvarı uyarılarını sürekli olarak izlemek

275


Müdahale Bütün güvenlik duvarı faaliyetlerini kaydetmek

Hassas ya da yüksek riskli bağlantıları belirleyip izinsiz giriĢ tespit sistemi gibi ek koruma araçları devreye sokmak,

Yedekleme ve Kurtarma Güvenlik duvarları genelde yüksek eriĢebilirliğe ihtiyaç duyan hizmetlerle ilgili unsurları olarak diğer hizmetlerin yüksek eriĢilebilirliği ile güvenlik duvarının uyumu için sürekliliğini doğrular.


7.1 Bu usul 1 Ağustos 2003 tarihinde ve sonrasında baĢlayacak bütün bilgi sistem denetimleri için geçerlidir. Terimlerin tam bir

sözlükçesi ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir. EK COBIT Referansı Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, özel COBIT BT süreçlerinin seçimine ve COBIT bilgi kıstasının dikkate alınmasına dayanır.. Bu usul, aĢağıdaki birincil olarak COBIT süreçleriyle bağlantılıdır:

PO9 Risk değerlendirmesi

DS4 Hizmet sürekliliğinin sağlanması

DS5 Sistemlerin güvenliğinin sağlanması (5.20 güvenlik duvarına özel kontrol amacıdır)

AI6 DeğiĢiklik yönetimi Bu usul, aĢağıdaki COBIT iĢlemleriyle bağlantılıdır:

AI2 Uygulama yazılımı edinimi ve bakımı

AI3 Teknoloji altyapısı edinimi ve bakımı (3.4, 3.5, 3.6 ve 3.7 kontrol amaçları)

AI4 BT usullerini geliĢtirme ve sürdürme

AI5 Sistemleri kurma ve geçerleme

DS1 Hizmet seviyelerinin tanımı ve yönetimi



DS10 Sorun ve olay yönetimi

PO2 Bilgi mimarisinin tanımlanması

M3 Bağımsız güvence sağlanması Güvenlik duvarı denetimiyle en iliĢkili bilgi kıstasları:

Birincil: Bütünlük, eriĢebilirlik ve gizlilik

Ġkincil: Etkililik ve güvenirlik Kaynaklar: Referans amacıyla ve sadece örnek olarak bazı sayfalar listelenmiĢtir: CERT/CC (Computer Emergency Response Team/Coordination Center), www.cert.org/tech_tips/packet_filtering.html Checkpoint FW1, www.checkpoint.com/products/security/index.html Cisco Pix, www.cisco.com/warp/public/cc/pd/fw/sqfw500/ Digital Robotics (Internet Firewall 2000), sysopt.earthweb.com/reviews/firewall/index3.html Federal Computer Incident Response Center (FedCIRC) www.fedcirc.gov./ Firewall Options Chart, www.networkbuyersguide.com/search/105242.htm Guardian, www.netguard.com/subpages/products.htmNational Infrastructure and Protection Center, niap.nist.gov/ NetScreen, www.netscreen.com/products/ Network Ice (Black Ice Defender), www.networkice.com/products/soho_solutions.html NIST‘s Vulnerability Database, icat.nist.gov Nokia, www.nokia.com/securitysolutions/network/index.html SANS Institute, www.sans.org/top20.htm Sonic FW, www.rosser.com.au/products/Sonic/sonproducts.htm Symantec/Axent, enterprisesecurity.symantec.com/content/productlink.cfm#2 SYN Flooding and IP Spoofing Attacks www.cert.org/advisories/CA-1996-21.html UDP Port Denial-of-Service Attacks www.cert.org/advisories/CA-1996-01.html


http://www.cert.org/tech_tips/packet_filtering.html

http://www.checkpoint.com/products/security/index.html

http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/

http://www.fedcirc.gov./

http://www.networkbuyersguide.com/search/105242.htm

http://www.netscreen.com/products/

http://www.networkice.com/products/soho_solutions.html

http://www.nokia.com/securitysolutions/network/index.html

http://www.sans.org/top20.htm

http://www.rosser.com.au/products/Sonic/sonproducts.htm

http://www.cert.org/advisories/CA-1996-21.html

http://www.cert.org/advisories/CA-1996-01.html

276

Güvenlik Duvarı Usulü P6 Ücretsiz Güvenlik Duvarı Yazılım Ürünleri Sygate, www.sygate.com/swat/products/default.htm Tiny Personal Firewall, www.tinysoftware.com/home/tiny?s=6007837888603234397A0&la=EN&va=aa&pg=prod_home ZoneAlarm, www.rosser.com.au/products/Sonic/sonproducts.htm Güvenlik Duvarı Raporlama Ürünleri www.stonylakesolutions.com/sls/insideout.jsp Donanım Düzlemleri (yaygın kullanılan yapılandırmalar) Dell HP/Compaq HP-UX IBM Macintosh Sparc Sun ĠĢletim sistemleri (yaygın kullanılan yapılandırmalar) Linux Macintosh Netware UNIX Windows

http://www.sygate.com/swat/products/default.htm

http://www.tinysoftware.com/home/tiny?s=6007837888603234397A0&la=EN&va=aa&pg=prod_home

http://www.rosser.com.au/products/Sonic/sonproducts.htm

http://www.stonylakesolutions.com/sls/insideout.jsp

277

P7 Aykırılıklar ve YasadıĢı Hareketlerin Usulü 1. ARKA PLAN

1.1 ISACA Standartları ve Rehberleriyle Bağlantı 1.1.1 S3 Meslek Etik Standardı, ―BS Denetçisi görevini yerine getirirken ISACA Meslek Etik Koduna bağlı kalmalıdır.‖

Ģeklinde ifade eder. 1.1.2 S3 Meslek Etik ve Standardı, ―BS Denetçisi, denetim görevini yerine getirirken yürürlükteki mesleki denetim

standartlarını gözetmek için gereken mesleki özeni göstermelidir.‖ Ģeklinde ifade eder. 1.1.3 G19 Aykırılıklar ve YasadıĢı Hareketler Rehberi yol göstericilik sağlar. 1.1.4 P1ES Risk Değerlendirme Ölçümü Usulü yol göstericilik sağlar. 1.1.5 G15 Planlama Rehberi yol göstericilik sağlar. 1.1.6 G6 Bilgi Denetimi için Rehber için Önemlilik Kavramı yol göstericilik sağlar. 1.1.7 G2 Denetim Kanıtı Gerekliliği Rehber yol göstericilik sağlar. ISACA Standartları ve Rehberleri bağlantısı.

1.2 COBIT® Bağlantısı 1.2.1 COBIT çerçevesine , ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek,

beklentileri karĢılamak için yönetim yeterli seviyede iç kontrol sistemi kurmalıdır." ġeklinde ifade eder. 1.2.2 COBIT Yönetim Rehberleri, sürekli ve ileriye dönük kontrol öz değerlendirmesi için yönetim eğilimli çerçeveyi sağlarken

aĢağıdakilere odaklanır: Performans ölçümü—BT iĢlevi, iĢ gereksinimlerini ne kadar iyi desteklemektedir? BT kontrol profili—Önemli olan BT süreci nelerdir? Kontrol için kritik baĢarı faktörleri nelerdir? Farkındalık—Bu hedeflerin baĢarılamamasından kaynaklanabilecek riskler nelerdir? Kıyaslama—Diğerleri ne yapmaktadır? Sonuçlar, nasıl ölçülebilir ve kıyaslanabilir?

1.2.3 Yönetim Rehberleri, BT performansının iĢ anlaĢmasındaki değerlendirilmesini sağlayan örnek ölçüler sağlar. Önemli amaç göstergelerini tanımlar ve BT süreci çıktılarını ölçer, önemli performans göstergeleri, sürecin sağlayıcı ölçümleriyle gerçekleĢtirilen süreçlerin ne kadar iyi olduğunu değerlendirir. Olgunluk modeli ve olgunluk özellikleri, yönetime kontrol yeterliliğinin ölçülmesini, kontrol açıklarının tanımlanmasını ve geliĢtirme stratejileri konusunda değerlendirme ve kıyaslama sağlar.

1.2.4 Yönetim Rehberleri, öz değerlendirme atölye çalıĢmasını desteklemek için kullanılabilir ve bunlar ayrıca BT yönetiĢimi konusunun bir parçası olarak, yönetimin sürekli izleme ve geliĢtirme usullerinin uygulanmasını desteklemek için de kullanılabilir.

1.2.5 COBIT, bilgi sistemi yönetim çevresi için ayrıntılı kontrol teknikleri ve kontrol setleri sağlar. Belirli bir denetim kapsamına uygulanacak en iliĢkili COBIT materyalinin seçimi, COBIT BT süreçlerinin seçimine ve COBIT‘in bilgi ölçütünün dikkate alınması temeline dayanır.

1.2.6 Bu rehber tarafından iĢaret edilen alanlar gözden geçirilirken, özel COBIT süreci ya da hedefleri için bu belge ekinde yer alan COBIT referansına gönderme yapılmasına dikkat edilmelidir.

1.3 Usul Gereksinimi 1.3.1 Her ne kadar BS Denetçisinin aykırılıkları tespit etmek ve engellemek gibi açık bir sorumluluğu yok ise de, BS Denetçisi

aykırılıkların neden olabileceği risk seviyesini değerlendirmelidir. Planlama esnasında uygulanan risk değerlendirmesi ve diğer usullerin sonucu, görev sırasında gerçekleĢtirilen usullerin özellikleri, büyüklüğünü ve zamanlamasını belirlemek için kullanılmalıdır. BS Denetçisi, kiĢisel mesleki yargısını kullanmalıdır. Bu belge, BS Denetçilerinin hedeflerini baĢarmalarına yardımcı olma amacındadır.

1.3.2 Denetim, aykırılıkların tespit edilmesini güvence altına almaz. Bir denetim, uygun biçimde planlansa ve uygulansa dahi aykırılıklar yine de bulunamayabilir.

1.3.3 BS Denetçisi, aykırılıklar ya da yasadıĢı faaliyetler hakkında duyulan Ģüpheler bildirilebilir ve daha fazla bilgi edinmek için veri analizi kullanılabilir.

2. TANIMLAR

2.1 Yaygın Kullanılan Terimler 2.1.1 Hata, kasti olmayan yanlıĢ bildirimler ya da ihmaller demektir. 2.1.2 Aykırılıklar, oluĢturulmuĢ yönetim politikalarının ya da düzenleyici gereksinimlerin kasten çiğnenmesi, denetlenen alana ya

da kurumun tamamına dair kasti yanlıĢ bildirimde bulunma ya da büyük ihmalkâr davranma yine umursamazlık ya da kasti olmayan yasadıĢı hareketlerdir.

2.1.3 YasadıĢı faaliyetler, yasaların belirlediklerinin tersine yapılan hareketlerdir.. 2.1.4 Yolsuzluk, yasadıĢı ya da gayrı meĢru üstünlük elde edilmesi için aldatmanın kullanımını gerektirir. 2.1.5 Ġki kavram arasında çok net farklar olmasa da, hata ve sahtekârlık arasında kastetmek ve önemlilik olan iki unsur farkı

tanımlar. BS Denetçisinin, kastı anlaması her zaman olanaklı olamayabilir, bu nedenle önemlilik tanımlayıcı faktör olmaktadır. Maddi hatalar, kurumlar tarafından tanımlandığında genellikle düzeltilir. Tanımlanmayan önemli bir maddi hata düzeltilemez de, bu nedenle aykırılık olur, örneğin kastedilmemiĢ bir hareketin kasıtlı bir harekete dönüĢtürülmesi gibi.

2.1.6 Bu belgenin uyumu açısından aykırılık dendiği zaman bunların hepsi kastedilecektir.

278

P7 Aykırılıklar ve YasadıĢı Hareketler Usulü (DEVAMI) 2.2 Önemlilik 2.2.1 BS Denetçisinin hedefi finansal iĢlemler iĢlenmesine dair faaliyetler ve sistemlerle iliĢkilendiğinde, sistem tarafından kontrol

edilen varlıkların değeri ya da günlük/haftalık/aylık/yıllık olarak gerçekleĢtirilen iĢlemlerin değerinin değerlendirmesinde önemlilik göz önünde tutulmalıdır.

2.2.2 Eğer finansal iĢlemler iĢlenmiyor ise, önemliliğin değerlendirilmesinde aĢağıdaki örnekler göz önünde bulundurulmalıdır:

Sistem ya da iĢletim tarafından desteklenen iĢ iĢlemlerinin kritikliği,

Sistem ya da iĢletim maliyeti (donanım, yazılım, personel, üçüncü taraf hizmetleri, genel giderler veya bunların bileĢkesi)

Muhtemel hata maliyeti (kaçırılan satıĢlar, garanti yükümlülükleri, geri dönülemez geliĢtirme maliyeti, uyarıları bilinir kılma maliyeti, düzeltme maliyeti, sağlık ve emniyet maliyeti, gereksiz yere yüksek maliyetli üretim ve boĢa harcanan kaynaklar ve benzeri)

Süreç baĢına iĢlenen eriĢim/aktarım/sorgulama sayısı

Saklanan dosyalar ve hazırlanan raporların özellikleri, zamanlaması ve büyüklüğü

Kullanılan malzemelerin doğası ve miktarı (değerleri olmaksızın döküm kayıtları gibi)

Hizmet seviye anlaĢması gereksinimleri ve muhtemel ceza maliyetleri

Yasa ve sözleĢme gereksinimleriyle uygunluk sağlayamama müeyyideleri

Kamu sağlığı ve güvenliği gereksinimleriyle uygunluk sağlayamama cezaları

Çözülemeden kalmıĢ aykırılıkların paydaĢlara, kuruma ya da yönetime olan sonuçları

3. SORUMLULUK 3.1 Yönetim 3.1.1 Yönetim, aykırılıkların tespitini ve önlenmesini de içeren iç kontroller sistemini tasarlamaktan, uygulamaktan ve sürdürmekten

sorumludur. BS Denetçisi, kontrol mekanizması olmasının aykırılık olasılığını yok etmeyeceğini bilmelidir ve aykırılıkların ortaya çıkmasına katkı sunabilecek gerçek etmenleri tanımlamak için aykırılık konusuna yeterince yakın olmalıdırlar.

3.1.2 Aykırılık tespitinin ön koĢulları Ģunlar olabilir:

Faaliyet ve kontrol ortamlarını inceleyerek kurumun aykırılık risklerinin belirlenmesi

ġunların da arasında yer aldığı belirtileri anlayabilmek:

Yetkisiz iĢlemler

Nakit fazlalığı ya da azlığı

Fiyatlarda açıklanamayan değiĢmeler

Kayıp belge

AĢırı iptaller ya da para iadesi

Görev ayrılığı ilkesinin eksikliği

Tahsilâtları zamanında kasaya yansıtmamak—Alıkonan mevduatlar, açığı kapatmak için sonraki günleri kullanmak

Usulsüzlük—Çok sayıdaki fon kaynağından akıĢı kullanarak nakit yaratmak ve çek takas zamanının üstünlük yaratmak

Mutabakat sağlanamayan hesaplar

Ayrıntılara gereken dikkatin verilmemesi

Uygunsuz mutabakat sağlama -Bilanço mutabakatını sağlamak için rakam katmak -Çok uzun süre bekleyen öğeleri uzun vadeye taĢımak

Yeterli mal ve hizmet tesliminde baĢarısız olmak

Yönetim tahminlerinin kötüye kullanılması -Amortisman -Kayıplara karĢılık ayırma -Gelecekte garanti iĢe karĢılık ayırma

ÇalıĢanların tatile çıkmaya ya da rotasyona isteksiz olmaları -Bu belirtilerin ortaya çıkmasına karĢı dikkatli olmak

3.2 BS Denetçisinin Sorumluluğu 3.2.1 BS Denetçisi, aykırılıkların ya da yasadıĢılıkların tespitinden ve önlenmesinden mesleki olarak sorumlu değildir. 3.2.2 Sonuçta, BS Denetçisine aykırılık ya da yasadıĢılığın vuku bulduğunu gösterecek bilgi olmadığı sürece, BS Denetçisi

aykırılıkları ya da yasadıĢılıkları tespit etmek üzere tasarlanmıĢ özel usulleri uygulamak zorunda değillerdir. 3.2.3 Ancak iĢ anlaĢması koĢullarına bağlı olarak, BS Denetçisinin aykırılıkları veya yasadıĢılıkları tespit etmek için özel olarak

tasarlanmıĢ usulleri uygulaması gerekebilir. 3.2.4 Etkili bir iç kontrol sistemi, yönetimin aykırılık ve hataları önleme ve tespit etmede kullanabileceği baĢlıca yöntemlerden

biridir. BS Denetçisinin bunlara güven duymak gibi bir zorunluluğu yoktur, yasal ya da anlaĢma doğası gereği bir engel yoksa bunları test eder.. Ancak, BS Denetçisi, iç kontrol mekanizmalarının zayıf olması durumunda çalıĢanların aykırılıklarda bulunmasının kolaylaĢacağını unutmamalıdır. BS Denetçisi, yönetimin kontrolleri çiğneyebiliyorsa, bu durum üst yönetim tarafından dolandırıcılık yapılmasını kolaylaĢtıracağını da akıllarında tutmalıdır. BS Denetçisi yolsuzluk olabilecek bir aykırılık belirlerse, konuyla ilgili hukuki destek almalıdır.

279

P7 Aykırılıklar ve YasadıĢı Hareketler Usulü (DEVAMI) 3.2.5 Risk, kurulu iç kontrol sisteminin, kurum ve onun bilgi sistemi üstünde olumsuz etkisi olacak bir davranıĢ ya da olayın

gerçekleĢmesini önleyememe ya da tespit edememe olasılığıdır. Bir varlığın ya da varlık grubunun zayıflıklarının kullanılarak varlıklara zarar verilmesi ya da kayıplara yol açılması da bir baĢka risk olarak karĢımıza çıkar. Etkilerin bileĢkesi ve gerçekleĢme ihtimali üzerinden hesap edilir. Kalıtsal risk, belli kontrollerin uygulanmaması durumunda ortaya çıkması olasılığı riskidir. Artık risk, gerekli kontroller alındıktan sonra kalan olma olasılığıdır.. Risk değerlendirme ölçümleri, riskleri ve muhtemel etkilerini tanımlamak ve değerlendirmek için kullanılan bir süreçtir.

3.2.6 BS Denetçisi, bir finansal denetim görevinde iç kontrolleri değerlendirirken aykırılık risklerini mutlaka değerlendirmelidir. Bu kontrol hedeflerine ulaĢmak için aĢağıdaki bilgi ölçütleri genellikle iĢlevsel olabilir:

Gizlilik

Bütünlük

Tamlık

EriĢebilirlik

Uygunluk

Güvenirlik

YasadıĢı iĢlemler

YasadıĢı alanlarda faaliyet ve yatırım

Spekülatif yatırımlar

Güvenilmez sistemler 4. DENETĠM VARSAYIMLARI 4.1 BS Denetçisi, kurumun önemli aykırılıkları tespit etme ve önlemede yeterli kontrollerinin olduğuna dair makul bir güvence

sağlamak gereği olabilir. AĢağıdaki kontrol listesi, bu amaçlarla sadece aĢırıya kaçmamakla birlikte anlamlı bir örnek oluĢturmaktadır:

Aykırılıklar ve YasadıĢılıklar: SoruĢturma PO9, Risk Değerlendirmesi ve DS5, Sistem güvenliğinin Sağlanması, DS11 Veri Yönetimi

Adli biliĢim uzmana ya da soruĢturmacıya danıĢma gerekliliği olup olmadığının belirlenmesi

ĠĢin özelliklerinin belirlenmesi, güvenilerek bırakılan varlıklar ve kötüye kullanılma Ģüphesi taĢıyan varlıklar gibi

Yönetimi haddinden fazla etkileyebilecek koĢulları tanımlamak, örneğin hisselerin muhafazası ya da yönetim ve performansla ilgili teĢvikler seçenekleri

Kâr öngörüsünü gerçekleĢtirmek için var olan baskının belirlenmesi

Yönetim dürüstlüğünün belirlenmesi

Üçüncü taraflarla sıra dıĢı ve/veya mesafeli iliĢki temeline dayanmayan aktarımları tanımlanmak

Ġlgili taraflarla aktarımların tanımlanması

Vergi cennetlerinde kayıtlı Ģirketlere yapılan sıra dıĢı aktarımların tanımlanması

Nakit akıĢı baskı ve borçlanma sınırlarına neredeyse ulaĢılıp ulaĢılmadığının belirlenmesi

Yönetimin savsakladığı iĢlerin belirlenmesi

Yetersiz kontrol personelinin tanımlanması

Görev ayrılığı ilkesinin bir eksiğinin olup olamadığının belirlenmesi

AĢırı yetki verilmiĢ kıdemli memurların tanımlanması

Zayıf sistemlerin tanımlanması

Risk Değerlendirme Sonuçları

AĢağıdakilerin makul güvencesinin sağlanabilmesi için gerekli denetim kanıtlarının elde edilmesi için gerekli testlerin özelliklerini, zamanlamasını ve büyüklüğünü belirlemek için risk değerlendirmesinin kullanılması: -Denetlenen alanda ya da bütün olarak kurumda önemli etkileri olabilecek aykırılıklar tanımlanmıĢtır. -Aykırılıkları önlemede ve tespit etmede baĢarısız olan kontrol zayıflıkları tanımlanmıĢtır.

Aykırılıkların doğrulanmasında ve/veya tespitinde denetçiye yardımcı olacak usuller, yüksek risk alanı olarak tanımlanmıĢ alanlara odaklanır ve denetim çevresi koĢullarını temel alırken denetleneni Ģu açılardan içerir: -Güvenlik ve iç kontrollere dair kurumsal ve yönetim tavırları ve standartlar -Fiziksel ve sanal güvenlik yöntemleri -Finansal baskılar -Faaliyet ve sektör ortamı -Yasal ortam ve gizlilik sorumlulukları -Ġç izleme kontrolleri -YasadıĢı faaliyetleri ve aykırılıkları tespit etmek ve/veya önlemek için kullanılan yönetim usulleri -Bilânço gerekleri ve istatistikî sapmaların ötesinde açıklanamayan etkinlikler

ĠĢe alma/izleme usullerini ve teĢvik programlarını içeren insan kaynakları politikaları

280

Aykırılıklar ve YasadıĢılıklar: SoruĢturma Analitik Usuller

Çok faydalı bir aykırılık tespit tekniği, önemli sayısal alanlar için oranlarını hesaplamaktır. Diğer seçenekler yanında, denetlenen alan göre, yaygın olarak kullanılan oranlar Ģunlardır: En yüksek değerden düĢük değere (anormal büyük farkların gözden geçirilmesi) En yüksek değerden bir sonraki en yükseğe (normdan önemli sapmaların gözden geçirilmesi) Önceki yıldan Ģimdiki yıla (yüksek riskli alanlara odaklanmaya yardımcı olur) Plan/bütçe gerçek farklılık analizi Çoklu yıl eğilim analizi

Görevler BS Denetçisi, aykırılıkların tespit edilmesi durumunda, bu faaliyetlerin denetim amaçları ve toplanan denetim kanıtının güvenirliği üstündeki etkilerini değerlendirmelidir.

BS Denetçisi, eğer denetim kanıtları aykırılıkların vuku bulabileceğine iĢaret ederse, yönetime soruĢturulan konunun ayrıntılı olarak soruĢturulmasını ya da uygun önlemlerin alınmasını önermelidir.

BS Denetçisi, denetim kanıtı aykırılığın bir yasa dıĢılıkla iliĢkililiğini gösterirse doğrudan yasal öneri almalı ya da yönetimin yasal destek almasını önermelidir.

Ġleri SoruĢturulacak alanları tanımlada BDDT‘nin uygulaması

Yüksek değerli kredi notlarının, bilançoların ve faturaların tanımlanması

OluĢturulmuĢ fatura sıralamasında boĢluklar olması

Mükerrer fatura, kredi ya da makbuzların tanımlanması

Doğru sıra ya da aralıkta olmayan fatura, makbuz ve kredilerin belirlenmesi

Yazılan faturalarda sıralamada boĢluk olmasının raporlanması

Ġndirim ayarlamalarının tanımlanması

Tedarikçilere sipariĢ olmaksızın kesilmiĢ büyük faturaların özetlenmesi

Makbuz ya da fatura miktarlarının alım sipariĢleri ya da sözleĢmeleriyle kıyaslanması

KopyalanmıĢ unsurların ya da seri numaralarının belirlenmesi

SatıĢlarda, fiyatlarda ve/veya maliyette ürün/tedarikçi seviyelerinde yapılan yüzde değiĢikliklerin belirlenmesi

Döküm makbuzlarının sağlayıcı kayıtlarıyla kıyaslanması ve farkların raporlanması

Varlıkların maliyetten daha büyük olduğunu göstermek için unsurlarda yapılan maliyet azaltmalarının gösterilmesi

Döküm sınıfı ve/veya unsuru geri dönüĢünün hesaplanması

Döküm makbuzlarının sağlayıcı defterlerindeki miktarlarla kıyaslanması ve farkların raporlanması

Sıra dıĢı teslim adreslerinin belirlenmesi

Yüksek geri dönüĢ ya da avans oranının

BelirlenmiĢ miktarın üstünde yazılmıĢ maaĢ çeklerinin ayrılması (çalıĢan sınıflandırmasıyla)

MaaĢ ödemeleri itibarıyla hastalık iznine ya da tatile çıkmamıĢ çalıĢanların belirlenmesi

TamamlanmamıĢ ya da kısman tamamlanmıĢ satıĢ iĢlemlerinin belirlenmesi

Her bir satıcıya alım sipariĢini geçen çalıĢanın belirlenmesi

Envanter seviyelerinin ve geri dönüĢ oranlarının kıyaslanması

Ayrı sözleĢmelerin kontrol edilmesi (aynı sağlayıcı ve aynı gün)

Ana sağlayıcı dosyasında mükerrer sağlayıcı numaralarının belirlenmesi

Satıcı ve çalıĢan adlarının, adreslerinin ve telefonlarının eĢleĢtirilmesi

Kredi limitleriyle ilgili olarak kredi kartı limitinin testi

Çift iade aktarımlarının belirlenmesi

SatıĢ olmaması ertesinde iptal edilmiĢ aktarımların tanımlanması

SatıĢ fiyatının altına satılmıĢ unsurların belirlenmesi

SatıĢ görevlisi tarafından yapılan iptal sayısının ve miktarının hesaplanması

Mağazada satıĢ yapılan günlerin dökümünün belirlenmesi

Mağazalardaki satıĢ fiyatlarının karĢılaĢtırılması

Net talep analizi yapmak için iĢ sipariĢi ve satıĢ sipariĢi ürünlerin kıyaslanması

Ana planların kıyaslanması ile kapasite geliĢtirme planlaması

TamamlanmıĢ bir projeden sorumlu olan öğelerin (emek ve malzemeler) tanımlanması

Mal maliyeti/geliri gibi oranların hesaplanması

Süren pazarlıkları desteklemek için tedarikçi nakit hareketleri özeti oluĢturmak

Askıdaki kredilerin kabul edilebilir pazar değerinin hesaplanması

Aynı zaman süreci için ikilenmiĢ iddialar

Çift faturaların tanımlanması

Çifte fatura adreslerinin tanımlanması

Eldeki çeklerin tanımlanması

Takas edilmemiĢ askıda/takasta gözüken hesap unsurlarının tanımlanması

SatıĢ görevlilerinin nakit fazlalıkları/azlıklarının belirlenmesi

Nakit bilânçolarının belirlenmesi

Bilgisayar eriĢim kontrollerinin yerinde olduğunun doğrulanması

Bilgisayar iĢleme istisnalarının izlendiğinin ve eksik aktarımların iĢlendiğinin doğrulanması

Bilgisayar yeniden çalıĢtırma analizlerinin doğrulanması

Bilgisayar hata analizlerinin doğrulanması

Bilgisayar kullanım kapasite analiz planlaması, analiz ve yönetim doğrulaması

281

P7 Aykırılıklar ve YasadıĢı Hareketler Usulü (DEVAMI) 4.2 Aykırılık Örnekleri 4.2.1 BS Denetçisi, Ģüphelenmeyi gerektirecek bir durum olmamasını güvence sayabilir ancak yönetimi dürüstlükle bağdaĢmaz

olarak veya sorgulanmaz olarak varsayılmamalıdır. BS Denetçisi, Bu usulün uygulanmasında aykırılığa iĢaret eden göstergeler bulabilir. Bu göstergelere örnek olarak Ģunlar verilebilir:

4.2.2 Yetersi kayıt / kontrol bozuklukları, Ģunları içerir:

Genel olarak yetersiz hesap kayıtları

YanlıĢ belgelendirilmiĢ denetim izleri

Uygulanmayan önemli kontrolleri

Kurum, belge koruma Rehberi yönlendirmelerine karĢın zamanı gelmeden imha edilmiĢ belgeler 4.2.3 Yetersiz açıklamalar, Ģunları içerir:

Beklentileri karĢılamayan rakamlar, eğilimler ve sonuçlar

Sıra dıĢı öğeler, mutabakatlar ya da bekleyen hesaplar

Güvence olarak tutulan fonların sıra dıĢı alanlara yatırılması

Büyük ve alıĢılmamıĢ aktarımlar, özellikle dönem sonuna doğru ve ilgili Ģirket ve bankalarla

Düzgün kayıt süresi ve raporlaması

ĠĢlemlerin düzgün sınıflandırması

A/R—Rapor sürecinin sonunda satıĢlarda da açıklanamayan bir birikim (fazladan satıĢlar)

A/R—A/R bilânçolarında açıklanamayan borç silmeler

A/P—Ödemelerin rapor dönemi sonrasına bırakılması (nakit pozisyonunu geliĢtirmek)

Alıcılar—açıklanamayan açıklar veya alıcı/mevduat 4.2.4 Sorgulanabilir ödemeler arasında Ģunlar yer alır:

Tanımlanamayan hizmetlerinden ötürü müĢavir ya da danıĢmanlara önemli ücret ödemeleri

Benzer iĢlere kıyasla çok yüksek ya da az gözüken aracılık ödemeleri ya da ücretler

Büyük nakit ödemeler ya da banka hesabından deniz aĢırı, birden fazla hesaba havaleler

Yurt içi memurlara ya da deniz aĢırı hükümetlerin memurlarına yapılan ödemeler

Genel olarak denetim kanıtlarını desteklemede eksiklik 4.2.5 Diğer sorgulanabilir koĢullar Ģunlardır:

Kurum ve düzenleyici yetke arasında yetki sorunları hakkında yapılan yazıĢmalar

Kurum ve hukuk danıĢmanı arasında, belli hareketin yapılmamasına dair yazıĢmalar ve kurumun bunu görmezden gelmesi

Hükümetin ilgili birimi ya da polis tarafından soruĢturma yapılması

Memur ve çalıĢanların savurgan yaĢam tarzlarının denetim kanıtı olması 5. RAPORLAMA

5.1 Önemli Zayıflıklar 5.1.1 Denetim sırasında iç kontrollerde saptanan önemli zayıflıkları, hızla yönetime (bakınız BS Denetim Rehberi G20 Raporlama),

ya da yasa tarafından öngörülmüĢ bir dıĢ organa raporlanmalıdır. 5.1.2 BS Denetçisinin yargısına göre,önemli zayıflık, oluĢturulmuĢ iç kontrol usulü ya da bunun uygulanma seviyesi ile

aykırılıkların tespit etmede veya önlemede yeterli makul güvencenin sağlanmamasıdır. 5.1.3 BS Denetçisi, bir aykırılığın vuku bulabileceğinden Ģüphelendiğinde, daha yüksek seviye bi risk ya da yasadıĢılığın ortaya

çıkması söz konusu olduğunda (hiç biri tespit edilemese bile) BS Denetçisi yönetime öneride ivedi biçimde bulunmalıdır.

5.2 Denetim Kanıtı 5.2.1 BS Denetçisinin aykırılıkları soruĢturma görevi, aykırılık ya da yasadıĢılığın vuku bulduğunda ya da yasadıĢı hareketin

gerçekleĢtiğinden Ģüphelendiğinde ortaya çıkar. 5.2.2 Bu durumda, BS Denetçisi, denetim raporu dıĢında hazırladığı bir raporu uygun taraflara yazılı olarak vermeli ve bu rapor en

azından Ģunları içermelidir:

ĠĢ anlaĢması[görevin] koĢullarının kapsadığı alanda yapılan değerlendirme sonucu olduğu, bu yüzden diğer aykırılıkların tanımlanamayabileceğini

Rapor, iç kontrol hakkında toplamda bir görüĢ içermemelidir

Tespit edilen zayıflıkların denetim raporunda dikkate alındığı

Yeterli seviyede iç kontrol kurma ve izlemenin, yönetimin sorumluluğu olduğu

Bu rapor, sadece bilgilendirme amacıyla hazırlanmalı ve bir baĢka amaçla kullanılamamalıdır

282

P7 Aykırılıklar ve YasadıĢı Hareketler Usulü (DEVAMI) 6. YÜRÜRLÜK TARĠHĠ

6.1 Bu usul 1 Kasım 2003 ve sonrasında baĢlayacak bütün bilgi sistem denetimleri için geçerlidir. Terimleri içeren tam bir

sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir. EK COBIT Referansı Belli bir denetim kapsamına en uygulanacak en uygun COBIT materyalinin seçimi, seçilen özel COBIT BT sürecine ve COBIT bilgi ölçütünün dikkate alınması temeline dayanır. COBIT Kontrol Amacı M2 kontrol, izleme ve iç kontrollerin zamanında iĢletimini kapsar ki bunlar yasadıĢılıkları ve aykırılıkları önleme ve tespit etmede temel unsurlardır.


283

P8 Güvenlik Değerlendirmesi-Saldırı Testi ve Zayıflık Analiz Usulü

1. ARKA PLAN

1.1. Standartlarla Bağlantı 1.1.1. S6 Denetim Görevinin GerçekleĢtirilmesi Standardı, ―BS Denetim personeli, denetim amaçlarının baĢarılmasının ve ilgili

meslek denetim standartlarının karĢılanmasının makul güvencesini sağlamak amacıyla gözetlenmelidir.‖ Ģeklinde ifade eder.

1.1.2. S6 Denetim Görevinin GerçekleĢtirilmesi Standardı, " BS Denetçisi, denetim iĢi süresince denetim amaçlarını baĢarmak için yeterli, güvenilir ve ilgili kanıtları edinebilmelidir. Denetim bulguları ve sonuçları, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir. " Ģeklinde ifade eder.

1.1.3. P3 Saldırı Tespit Sistemi Usulü Gözden Geçirmesi. 1.1.4. G25 Sanal Özel Ağ Gözden Geçirmesi Rehberi.

1.2. COBIT® Bağlantısı 1.2.1 COBIT çerçevesi, ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğundadır. Bu sorumluluğu yerine

getirmek ve beklentileri karĢılamak için yönetim yeterli seviyede iç kontrol sistemi kurmalıdır." Ģeklinde ifade eder. 1.2.2. COBIT Yönetim Rehberleri, sürekli ve geleceğe dönük kontrol öz değerlendirmesi için yönetim eğilimli çerçeveyi sağlarken

aĢağıdakilere odaklanır:

Performans ölçümü—BT iĢlevinin iĢ gereksinimlerini ne kadar iyi desteklemektedir?

BT kontrol profili—Önemli olan BT süreci hangileridir? Kontrol için kritik baĢarı etmenleri nelerdir?

Farkındalık—Bu amaçlara ulaĢılamamasından kaynaklanabilecek riskler nelerdir?

Kıyaslama—Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve kıyaslanabilir? 1.2.3. COBIT Yönetim Rehberleri BT performansının iĢ terimleriyle değerlendirilmesini sağlayan örnek ölçüler sağlar. Temel

amaç göstergeleri BT süreci çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri süreç sağlayıcı ölçümleriyle gerçekleĢtirilen sürecin ne kadar iyi olduğunu değerlendirir. Kıyaslama ve değerlendirme yeterliği sağlayan olgunluk modeli ve olgunluk özellikleri yönetime kontrol yeterliğini ölçmek ve kontrol boĢluklarını tanımlamak ve geliĢtirme stratejisi belirlemekte yardımcı olur.

1.2.4. Yönetim Rehberi, öz değerlendirme atölye çalıĢmalarını desteklemek için kullanılabilir ve bunlar ayrıca BT yönetiĢim Ģemasının bir parçası olarak, yönetimin sürekli izleme ve geliĢtirme usullerinin uygulanmasını desteklemek için de kullanılabilir.

1.2.5. COBIT, bilgi sistemi yönetim ortamı için ayrıntılı kontrol teknikleri ve kontrol setleri sağlar. Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, seçilen özel COBIT BT süreçlerine ve COBIT bilgi ölçütünün dikkate alınması temeline dayanır.

1.2.6. Bu rehber tarafından iĢaret edilen alanlarda yapılacak gözden geçirmelerde mutlaka göz önünde bulundurulması gereken özel COBIT süreci ya da hedefleri için bu belge ekinde yer alan COBIT kaynaklarına gönderme yapılmaktadır.

1.3. Usul Gereksinimi 1.3.1. Bu belge, iç ve dıĢ BS Denetçilerinin ve bilgi güvenliği sorumluluklarını taĢıyan diğer BS güvenlik uzmanlarının kullanımı için

hazırlanmıĢtır. 1.3.2. Günümüz iĢleri arz ve talep ağları içinde temel süreç setleri iĢletimi olarak örgütlenmiĢtir. Neredeyse dünyadaki her kurum

artan etkinlik ve etkililik baskısıyla karĢı karĢıyadır (Örneğin, ürün ve hizmetlerde daha yüksek kalite gereksinimleri, artan gelir, maliyet azaltma, yeni ürün geliĢtirme gibi) ve daha iyi, hızlı ve ucuz süreç baskısı görülmektedir. Giderek artan bu karmaĢık iĢletim ağları kullanılabilir iletiĢim teknolojileri tarafından desteklenmekte (BaĢlıca internet), iĢin kendi çekirdek sürecine ve ortaklarına odaklanmasına olanak tanımakta, müĢterilere daha büyük değer ulaĢtırılmasının önünü açmaktadır; bu bağlamda çoklu tehditler ve zayıflıkların karmaĢık biçimde ortaya çıkması da kaçınılmaz olmaktadır.

1.3.3. Eski süreçlerin dönüĢümü, yeni iletiĢim kanallarıyla sağlanmaktadır. Bu kanallar, farklı sistemler ve ağlar arasında yeni bağlantı fırsatlarını çıkarmıĢ, bunları daha fazla insanın kullanımına sunmuĢ ve kurumlarla sürecinin etkileĢimini olanaklılaĢtırmıĢtır (Örneğin, e-ihale ve e-kaynaklar).

1.3.4. Bu belge, giriĢ testi ve zayıflık değerlendirmesi gerçekleĢtirilirken tespit edilen zayıflıkların tanımlanması ve düzeltilmesiyle en aza indirilen muhtemel sistem açıklarını da içeren iç ve dıĢ tehditlerin makul güvencesini sağlamak için artarak gerekli olan iç kontrol ve çevre denetimi ya da gözden geçirmesini yapan BS Denetçilerine yol göstericilik sağlar.

1.3.5. Bu usul, kurum çapında risk değerlendirme ve genel iç kontroller ve finansal uygulama bildirimlerini de içeren bütün kritik uygulama ve altyapıların denetim uygulaması yerine geçmez. Kritik olmayan uygulama unsurlarındaki zayıflıklar kritik uygulama ve altyapı unsurları üzerinde etki sonucunu doğurabilir; bu nedenle, sistem çapında bir denetim toplamda gerçekleĢtirilmeli ve bu parça parça yapılarak bütüne eriĢme biçiminde olmamalıdır.

2. SALDIRI TESTĠ

2.1. GiriĢ ve Planlama 2.1.1. GiriĢ testi kapsamı bireysel görevlerin aĢamalı olarak mı tek seride mi ortaya çıktığını belirler. BS Denetçisinin gözden

geçirmesi, diğerleri yanında donanım ve/veya yazılım hataları, çalıĢan tavırları, veri hırsızlığı, dıĢarıdan saldırılar gibi kuruma yönelik olabilir tehditlerin soruĢturulmasıyla resmi risk değerlendirmesiyle baĢlamalıdır.

2.1.2. Yetkisiz eriĢimin doğurabileceği riskler, finansal kayıplardan kiĢisel, ticari ya da siyaseten hassas bilginin uygunsuz Ģekilde açıklanması, itibar kaybından toplam sistem kaybına kadar farklı ihtimalleri içerir. Bilgi kaynaklarına yetkisiz eriĢimin yol açacağı özel bilgi sistem riskleri arasında sistem kullanılabilirliğinin, veri ve iĢleme bütünlüğünün ve bilgi gizliliğinin kaybedilmesi sayılabilir.

284

P8 Güvenlik Değerlendirmesi-Saldırı Testi ve Zayıflık Analiz Usulü (DEVAMI)

2.1.3. Bu usulün amacı, yetkisiz eriĢime karĢı oluĢturulmuĢ kontrollerin test etmektir. Yetkisiz eriĢim için kullanılan yöntemlerin

çokluğu ve giderek karmaĢıklaĢmıĢ olması nedeniyle, usuller genel olarak açıklanmıĢ ve mümkün olan her durumda inceleme altındaki ortama en uygun araç ve tekniklerle tamamlanması gerekmektedir.

2.1.4. Yönetim yetkilendirmesi olmaksızın sızma testi yapan BS Denetçisi, ile bir korsan arasındaki önemli farklılık, ilkinin

kod/program kullanarak olabildiğince çok zayıflığı test etmesi amacı varken korsan, tipik olarak kontrolü ele geçirmek ya da

iĢletimi veya sistem iĢlerliğini çökertmek amacını gerçekleĢtirmek için belli bir zayıflığın arayıĢı içindedir. Korsan, bir tanesini

bulduktan sonra baĢka zayıflıkları da bulmaya çalıĢacaktır çünkü hem daha fazla sistem ayrıcalığı ister hem de tespit edilme

riskine karĢı hazırlıklı olma gereği duyar. Bu nedenle, sızma testi yapan BS Denetçisi, genel zayıflıkları ararken en genel

kapsamı kurmalıdır ki korsanın tanımlı zayıflıktan daha fazla yararlanabilme giriĢimlerinin yönünü bulabilsin.

2.2. Kayıt Muhafazası 2.2.1. Kayıtlar, yapılan testlerin sonuç ve bulgularını desteklemeye yetecek kadar olmalıdır:

Saldırı testi yapan BS Denetçisine karĢı etik olmayan ve yetkisiz uygulama suçlamalarına karĢı savunma

Zayıflıkların ayrıntılı tanımının ve nasıl tanımlanıp kullanıldığının kuruma sağlanması

Tanımlanan zayıflıklara dair gerekli önlemlerin alındığına dair makul güvencenin sağlanması amacıyla gelecekteki testler için denetim izlerinin sağlanması

Gerekli yeteneklere sahip azimli ve istekli bir saldırgan tarafından yapılacak yetkisiz eriĢim riskinin ve olasılığının gösterilmesi

3. GĠRME TESTĠ VE ZAYIFLIK DEĞERLENDĠRMESĠ TÜRLERĠ

3.1. Değerlendirme Kapsamı 3.1.1. DeğiĢik Ģartlara göre denetimin güvencesinin seviyesi, uyarlanan yöntem ve değerlendirme kapsamını etkileyen

kullanılabilecek çok çeĢitli türde Saldırı testleri vardır. 3.1.2 Uygun BT yönetiminin, kurum güvenliği için bireysel sorumluluğu gereğince değiĢik seçenekler değerlendirilmeli ve

maliyet fayda analizi çerçevesinde kurum için kabul edilebilir olan ―en az yıkıcılık seviyesinde en yüksek seviyede güvenceyi sağlayan‖ seçim yapılmalıdır.

3.1.3 Yapılacak Saldırı testi –Ġzinsiz giriĢ ya da değil- türü konusunda anlaĢmaya varılmıĢ olmalıdır.

4. DIġARIDAN SALDIRI TESTĠ VE ZAYIFLIK DEĞERLENDĠRMESĠ 4.1 Ġnternet 4.1.1 Ġnternet testinin amacı, hedef ağ ile uzlaĢmanın sağlamasıdır. Bu testin, yürütülmesi için gerek duyulan yöntem,

bilinen zayıflıkların kontrol edilmesi ve muhtemel güvenlik risklerinin aranmasıdır. Kullanılan yöntem aĢağıdaki süreci içermelidir:

Bilgi toplama (KeĢif amaçlı)

Ağ listelenmesi

Zayıflık analizi

Ġstismar

Sonuç analiz edilmesi ve raporlaması 4.1.2 Bölüm 4.1.1 içinde listelenen sürecin değiĢik çeĢitleri vardır. Ancak, yaygın, standart ve nesnel bir kod izlenerek

yürütmenin ayrıntılı ve kesin bir yöntemi sağlanmalıdır. Ayrıca, yeni zayıflıkların ve istismar yöntemlerinin karmaĢıklığı, geçmiĢ bilgi bilgisinden yararlanarak ayrıntılı çalıĢmayı gerektirir.

4.2 Çevirmeli Bağlanma 4.2.1 Saldırı çevirmesi, modem dinlemesinde hedef aralıktaki her bir numarayı sistematik olarak çevirmektir. Dinlenen bütün

modemler tanımlandığında, yetkisiz eriĢim kazanmak için, kaba kuvvetle varsayılan parola giriĢimi ya da stratejik tahmin giriĢimleriyle kullanıcı adı/parolasına meydan okuması (Bazen sadece parola gereklidir) yapılır.

4.2.2 Herhangi bir sisteme eriĢim sağlamak için ekran baĢlığına eriĢim temeldir. Bazı sistemler, parolaya gerek duyar ve bu parola, tedarikçi tarafından sağlanmıĢ varsayılan paroladır ya da sadece ―GĠRĠġ‖ tuĢuna basmak yeterlidir.

4.2.3 Zayıf konfigürasyon kullanılan durumlarda, giriĢ baĢlığı bile görüntülenmez ve eriĢim herhangi bir doğrulama mekanizması olmadan doğrudan verilir.

5. ĠÇERĠDEN SALDIRI TESTĠ VE ZAYIFLIK DEĞERLENDĠRMESĠ

5.1 Amaç 5.1.1 Saldırı testinin amacı, ağ çevresi içindeki zayıflıkları belirlemektir. Yapılan test BS Denetçisine verilen denetim iĢine

yakından paraleldir, büyüklük, karmaĢıklık ve eksik güvenlik kaygısıyla uygun risklere ayrılan finansal kaynaklar. Bütün amaç, iç ağ içindeki muhtemel zayıflıkları tanımlamak ve tespit etmek ve/veya önlemek için yerleĢtirilmiĢ kontrollerin zayıflıklarının, bilgi kaynaklarına yetkisiz eriĢim elde edebilecek ya da sistem yıkımına ya da sistem kesintisine neden olabilecek korsanlar/kötü niyetli çalıĢanlar/taĢeronlar tarafından istismar edilmesini engellemektir.

285

P8 Güvenlik Değerlendirmesi-Saldırı Testi ve Zayıflık Analiz Usulü

5.1.2 Ġlk aĢama, bilgi toplama aĢamasıdır ve bu bilgi kamusal bilgi araĢtırması, internet araması, iĢ ve

çalıĢanlar hakkında çok fazla bilgiyi edinerek hedef profilini çıkarmaya hizmet eder. Örneğin, bu aĢama, saldırı sitesinde kullanılan teknolojiyi anlamaya yardımcı olabilecek çalıĢanların özlük bilgisi/CV edinilmesiyle sonuçlanabilir.

5.1.3 Testin ilk amacı, kritik eriĢim yolları/noktaları ve internet protokolü (IP) adres aralığını da içeren aygıtların haritasını veren ĠÇ AĞ TOPOLOJĠSĠ ya da ayak izini belirlemektir. Bu, ağı keĢfetme aĢamasıdır.

5.1.4 Ağ içindeki kritik noktalar/aygıtlar, bir kere tanımlandığında, aygıtlarda çalıĢan iĢletim yazılımları (Örneğin., UNIX, NT, Apache, Netscape ve IIS gibi) ve sistem içinde bilinen farklı türlerdeki zayıflıklara saldırmak anlamına gelen sonraki adıma geçilir. ZAYIFLIK ANALĠZ AġAMASI, da burada yer alır.

5.1.5 Kullanma ve doğrulama, üçüncü ve son aĢamadır.

6. VERĠ MERKEZĠNE VE DĠĞER Ġġ ÇALIġMA ALANLARINA FĠZĠKSEL ERĠġĠM KONTROLLERĠ

6.1 Dolandırıcı EriĢim ÇıkıĢları 6.1.1 ĠletiĢim odaları ve veri merkez alanlarını da içeren kurum tesisleri içine ve dıĢına telekomünikasyon eriĢim yollarını

tanımlamak, veri iletiĢimlerini iyileĢtirme, engelleme ya da durdurma için kullanılacak muhtemel yöntemleri tanımlamak açısından kritik öneme sahiptir. Bu eriĢim yolları, fiziksel olarak yetkisiz eriĢime karĢı güvenli ve özel donanım ve kurum izni ve bilgisi olmadan eriĢilemez olmalıdır.

7. TOPLUM MÜHENDĠSLĠĞĠ TESTĠ

7.1 Kontrollerin Testi 7.1.1 Toplumsal mühendisliği teknikleri, ağ çevresi aygıtları, bunların savunmasıyla (IP adres aralığı, güvenlik duvarları,

varsayılan geçitler gibi) ve muhtemel iç hedeflerle ilgili bilgi edinme giriĢimlerinde kullanılır. KeĢif aĢamasında edinilen bilginin testinin temelini oluĢturur. Bu testin amacı, kritik bilginin kurum içi kaynaklardan, çalıĢanlardan/sözleĢmelilerden ve bilgi sahibi olabilecek diğer kiĢilerden, bunlar edinilen bilginin önemini fark etmeden ne kolaylıkta çıkarılacağını değerlendirmektir. Testte özel bir ilgi, kurumun yardım masasına yetkisiz ya da tanımlanmayan kullanıcıya yardımcı olup olmadığına gösterilir.

7.2 Telefon EriĢimi 7.2.1 Ġlk ve en önemlisi, testi yapan kiĢi kurum, çalıĢanlar ve ağ hakkında ne kadar bilgiye sahipse, bilgiyi

kolayca dıĢarı çıkarma ihtimali de o kadar fazladır. Testi yapan kiĢi bir senaryo hazırlamalıdır. Örneğin, testi yapan kiĢi, daha önce yardım masası aramasıyla bağlantı hakkında elde ettiği bilgiyle adını öğrendiği teknik destek personeli gibi davranarak ağ bilgisi isteyebilir. Tipik olarak, toplum mühendisliği, birbirinin tamamlayıcısı niteliğindeki iki kaynaktan peĢ peĢe elde edilen bilginin birlikte kullanılmasıyla baĢarıya ulaĢabilir.

7.2.2 Bir önceki örnekte, yardım masasından elde edilen bilgi kullanarak, kurumda çalıĢan bir kiĢinin üstü gibi davranarak telefonda parola değiĢikliği ya da sıfırlaması yapmak amacıyla sorulur. Bu testler, en iyi kurum içi telefonlardan yapılabilir çünkü yardım/güvenlik personeli, personel doğrulaması yapmadan, maskeyi kabul ederek bilgiyi vermeye daha eğilimlidirler. KızmıĢ, üzgün ya da sabırsız bir müĢteri gibi davranmak (Yardım masası çalıĢanlarına ad vermeksizin onların eriĢim gereksinimiyle ilgili olarak üstüyle görüĢmek istendiği söylenebilir) baĢarı ihtimalini artırabilir.

7.2.3 Testi yapan kiĢi tarafından bir çalıĢanın özgeçmiĢ bilgiyi, anne kızlık soyadı, posta kodu ya da sosyal güvenlik numarası gibi, testin yürütülmesine yardımcı olabilir. Ayrıca, internet taramasıyla veya yabancı bir kariyer uzmanı gibi davranarak çalıĢanların özgeçmiĢleri edinilebilir.

7.2.4 DanıĢman/denetçi taklidi yaparak, baĢka bir yaklaĢım kullanmaya gerek kalmaksızın doğrudan BT çalıĢanlarına ulaĢılabilir. Yönetim, gereksiz sorunları önlemek için bu yaklaĢımların anlamalı ve sorunları önlemelidir.

7.2.5 Testi yapan kiĢi, bu durumda gizli doğru bilgiyi bilmediğinden dolayı, kendilerine ikna edici gerekçeleri (Örneğin: Kendi iyi hissetmediğini, patronunun dıĢarıda olduğunu, yeterli zamanının olmadığı) kullanması tavsiye edilir.Her bir bilgi parçası, kritik bilgiye baĢarılı Saldırı olasılığını artırılmasın katkı sağlar.

7.2.6 Her kurumun farklı bir yapısı vardır (Örneğin aynı coğrafi alanda merkezi karĢısında büyük bir fiziksel alanda farklı yönetimler altında parçalanmıĢlar), büyüklük (orta büyüklükte bir bankada 500 – 800 çalıĢan varken büyük bir finansal kurumun çalıĢan sayısı 10,000 üstündedir), ağ karmaĢıklığı ve güvenlik farkındalığı (sürekli olarak giriĢ taramasıyla girilen iyi bilinen kurumlar ya da federal kurumlar). Bütün test türleri, değerli ve hassas bilginin toplum mühendisliği yoluyla edinilmesi açısında değer taĢır.

7.3 Çöp Gözleme 7.3.1 Bilgi için çöp kutularının ve çöp alanlarının gözden geçirmesi hassas güvenlik kaynağı olarak ve toplum

mühendisliği incelemelerinde, faydalı olacak bilginin kurum genelinde elde edilmesi anlamında değerli olabilir. Kâğıt geri dönüĢüm kutularına eriĢim, kritik bilgi kaynağı olarak değerlendirilmelidir.

286

P8 Güvenlik Değerlendirmesi-Saldırı Testi ve Zayıflık Analiz Usulü (DEVAMI)

7.3.2 Kurum çöplüğünde, enjeksiyon iğnelerinden zararlı kimyasallara kadar her Ģey olabileceğinden buraya girmek fiziksel

zarar görmeye neden olabilir. Saldırı testi sözleĢmesi, dıĢ danıĢmanlar tarafından yapılacaksa, bu test türlerine açıkça izin vermelidir.

7.4 Masaüstü Gözden Geçirmesi 7.4.1 Daha önce belirtildiği gibi, toplum mühendisliği amacıyla elde edilen bilgilerden hiçbiri tek baĢına anlamlı olamayacak iken,

bu usulde belirtilen diğer testlerle elde edilenlerle bir araya geldiklerinde bir anlam oluĢabilir. Bireylerin nezaketinin ya da kurum bilgi varlıklarının güvenliğine dair eğitim eksikliğinin istismarında en önemli taraf, birinin bilgiyi mutlaka açığa vuracağı ve asıl meselenin bu kiĢi ile bağlantıyı kurmak olduğunu bilmektir.

8. KABLOSUZ TEKNOLOJĠSĠ GEÇMĠġĠ 8.1 Kablosuz Teknolojilerin GeçmiĢi ve Bağlantılı Riskleri 8.1.1 Ses ve veri aktarımı için kablosuz teknolojinin çıkmasıyla birlikte iyi bilinen ve güvenilen çevre aygıtlarının kullanımı

ortadan kalktı. Güvenlik bekçileri, kameralar, kilitler gibi kablolu ağı ve veri aktarımını etkili koruyan fiziksel güvenlik kontrollerinin kalktı. Kablosuz teknoloji kullanıcılarının iĢaret edilmeyen baĢlıca zayıflıkları Ģunlardır:

Kriptolama için WEP‘e güvenmek

Diğer ağlardan ayrılamayan kablosuz ağlar

Betimleyici SSID veya AP adları kullanımı

Güçlü- kodlanmıĢ MAC adresleri

Zayıf ya da olmayan anahtar yönetimi

Ġzin verme - vermeme seçeneği sağlayan yol gösterici paketleri

DağıtılmıĢ AP‘ler

Varsayılan parola/IP adresleri

WEP zayıf anahtar kaçınması

WLAN‘larda kullanılan DHCP

Korunmayan sahte eriĢim noktaları

8.1.2 Kablosuz ağlara yapılan saldırılarla ilgili riskler ve tehditler yaygındır ve aĢağıdakileri içerir:

Ġleti trafiğinin ele geçirilip çözümlendiği ve kriptolarının kırıldığı saldırılar, örneğin baĢlama taĢıyıcısı—IV

Kaynak hırsızlığı, internet eriĢiminin elde edilmesi ve sonraki saldırılardan bu eriĢimin baĢlangıç noktası olarak kullanılması, örneğin döngüsel yedekleme denetimi (CRC-32)

Sinyal karıĢması nedeniyle hizmet kesintisi ve virüs ve solucanların yayılma/üreme tehdidi 8.1.3 Ayrıca, diğer teknoloji türleri gibi, kablosuz güvenliğin en zayıf yanı teknik yetersizliklerinden ziyade kutu dıĢı güvenliği

dikkate almayan kurulumlardır. Ġnsan faktörü, tipik olarak en zayıf halka olmaktadır. 9. WEB UYGULAMASI 9.1 Elle ve Otomatik 9.1.1 Web uygulama testi, kayıt bilgisi olmayan dıĢarıdan biri olarak site portalı testinin el ile ve otomatik olarak

yapılmasını içerir. Bu test, dıĢ sızma testine odaklanır. Testin amacı, bireylerin hassas veriye eriĢirken sistemle nasıl bir etkileĢime girdiklerini anlayabilmektir.

9.1.2 Ek testlerde, standart kayıtlı hesabı olan bir köstebek site portalını deneyebilir. Bu testin amacı, kayıtlı hesabının eriĢime izin vermediği hassas bilgiye eriĢimin ne kadar kolay olduğunu belirlemektir (Ayrıcalık yükseltme gibi).

9.1.3 Zayıflıkların tanımlanması ve kullanılması, farklı ticari ve açık kaynak zayıflık değerlendirme araçlarının kullanılmasıyla baĢarılabilir.

10. ÖNERĠLEN USULLER

ÖNERĠLEN SALDIRI TESTĠ VE ZAYIFLIK ANALĠZ USULLERĠ √

Planlama

Değerlendirmenin özellikleri, zamanlaması ve büyüklüğünü temel alarak kapsamının tanımlanması.

Hiçbir testin yerel ya da ulusal yasaları çiğnemediğini doğrulayınız. BS Denetçisince, saldırı testi araçları ve yöntemlerinin kullanılmasına izin veren yazılı bir ―YETKĠLENDĠRME YAZISI‖ kurumdan ayrıca alınmalıdır.

Saldırı testi ve zayıflık değerlendirmesi gerçekleĢtirmek için kullanılabilir otomatik araçları soruĢturmak ve kullanmak. Bu araçlar saldırı testinin etki ve etkinliğini geliĢtirecektir.

Gözden geçirme kapsamını aĢağıdaki soruları sorarak tanımlayınız:

Bilgi birimi, bilgisayar güvenlik birimi Ģefleri ve BT personeli sızma testinden haberdar edildi mi? Denetim testi internetten, çevirmeli eriĢimle (dıĢarıdan) ve kurum içinden (içeriden) bilgia eriĢim kontrol zayıflıklarını tespit etmeye odaklandı mı?

287


Yapılan sızma testi ağ ve bilgi kaynaklarının ne kadar derinine iniyor? Örneğin, yapılan test bilgi varlıklarına asıl eriĢimi mi hedefler ya da bir eriĢim kontrol noktasında mı yapılır (burada bilgi varlıklarına eriĢim baĢarılmaz ama testi temel alarak olabilirliği bilgisi edinilebilir)? Testte yanıltıcı giriĢ olacak mı olmayacak mı? Bütün sistem azalması nedir ve ne kadar sürer, sızma testinde kabul edilebilir mi? Kritik sistem kesintilerine yol açmamak için saldırı testi mesai saatleri dıĢında yapılabilir mi (Örneğin, haritaların güvenlik duvarına karĢı mesai saati dıĢında yürütülmesi, örneğin pazar sabahı, yani web uygulama hizmetleri kullanılmazken)?

Genel zayıflık veritabanına, bugtrQ, paket fırtınası gibi, eriĢim elde etmek. Testçi, en son zayıflık veritabanıyla güncellenmiĢ araçları belirlemelidir.

Gerekli beceriler

Güvenlik kusurları, hataları, zayıflıkları ve zaafları tür ve çeĢitlerini tanıyacak ve/veya tespit edebilecek yeterli teknik bilgiye ve beceriye sahip olmak. Örneğin, birey çevirmeli bağlantıya sızma, hizmet dıĢı bırakma, parola kırma, aĢırı tampon akıĢı ve kablosuz ile güncel zayıflıklar veritabanına eriĢim kazanmak gibi gerekli kontrollerin anlayıĢına sahip olmalıdır.

Güvenlik duvarı ve yönlendiriciler, izinsiz giriĢ tespit sistemleri ve farklı türdeki doğrulama mekanizmalarının değiĢik teknolojilerinin nasıl çalıĢtığının bilgisine sağlam biçimde sahip olmak

Uygulama programlarının çalıĢma bilgisine sahip olmak, örneğin, JAVA, Visual Basic ve C++.

Farklı iĢletim sistemlerinin çalıĢma bilgisine sahip olmak, örneğin, UNIX, Linux, NT/2000, Windows ve OS/390 (ya da güncel ana bilgisayar sürümü).

TCP/IP ve ağ protokollerinin çalıĢma bilgisine sahip olmak.

Web sunucu yazılımlarının, Microsoft IIS ve Apache dahil, çalıĢma bilgisine sahip olmak.

Hata ve zayıflıkları tespit etmek için seçilen saldırı araçlarını kullanma bilgisine sahip olmak.

NMAP, ISS, Whisker, Nikto, WebInspect, AppScan, ESM ve Root, Nessus gibi sızma ve zayıflık yürütme araçlarının iç sistem üzerindeki etkilerinin bilgisine sahip olmak.

AnlaĢmalar Saldırı ve zayıflık testleri süresince yapılan tüm faaliyetlerin, sözlü görüĢmeler ve tuĢ darbelerinin özellikleri ve ayrıntıları da dahil olmak üzere kayıtları saklanır. Bu kayıtlar, gerekmesi durumunda testi yeniden yaratmaya yeterli olmalıdır.

Saldırı testi kayıtlarının sonuçlarını ve diğer kayıtlarını, kurumun malı olduğunu bilerek gizli tutmak. Saldırı ve zayıflık testlerinin, bütün kayıtları kurum kontrolünde saklanmalıdır. Testçi, gizlilik anlaĢması ve test ve sonuçları kapsamında gizlilikle ilgili kurumlar etik kodlar bildirimini imzalamalıdır.

Test dıĢarıdan bir danıĢman tarafından yapılıyorsa ―KURUMU KORUYAN BĠR SÖZLEġME‖ yapılmalıdır. SözleĢmede yapılan iĢin kapsam ve sınırları, sonuçların ve test usullerinin sahipliği, gizlilik ve danıĢmanların etik kurallara bağlılıkları açıkça belirtilmelidir. Ayrıca, dıĢ danıĢman bilginin istenmeden yayılma riskini en aza indirmek için ―ZARAR VERMEME‖ ve güvenesi sağlamalıdır.

Kapsam sorgusu

Test, ağ çevresi içinden ve dıĢından bilgi altyapısına Saldırı temelinde ortam kontrolünün değerlendirilmesinden mi oluĢmaktadır? Örneğin, test internetten ağa Saldırı eriĢim giriĢimi temeline dayanan güvenlik duvarı kural seti değerlendirmesinden oluĢuyorsa değerlendirme ağ çevresine dıĢarıdan kontrol eriĢimine odaklanır. Saldırı testi kontrolleri kapsamı, kuruma dıĢarıdan gelecek bilgi varlıklarına yönelik tehditlerin güvenliğine dair fiziksel ve sanal kontroller kapsamıyla sınırlıdır. Ancak, çevre güvenliği kontrolleri uzlaĢıldığında, hedef bilgi sistemi kontrollerinin yeterliğinin belirlenip belirlenmeyeceğine karar verilmelidir. Tam tersine zayıflık testi, kurum içinden bilgi varlıklarına eriĢimi yasaklayan iç kontrol ortamlarının değerlendirilmesine de odaklanabilir.

BT güvenliğini de kapsayan uygun yönetim seviyesi, saldırı veya zayıflık testinden haberdar edildi mi? Eğer resmi test duyurusu yapıldıysa, güçlü iĢbirliği ve daha fazlasının değerlendirilmesi baĢarılabilir. Tam tersine duyurulmamıĢ test, gerçek riskler ve yönetimin yetkisiz eriĢime gerçek dünyada vereceği karĢılık daha iyi temsil edilir. En iyi durum senaryosunu ve zorunlu güvence seviyesini değerlendirmek esastır.

Testi yapan bireylere, kurum hakkında bilgi baĢtan verilmiĢ midir? Bu soru yönetimin testin yapısı ve kapsamından haberdar olup olmadığıyla birlikte gider. Ancak, testten sadece üst seviye yöneticilerin ya da BT üst yönetiminin haberdar edildiği durumlar olabilir ve çalıĢanlara bildirimde bulunulmaz. Ancak, eğer bilgi sağlanmıĢsa (ağ topolojisi gibi) ve testçi tarafından kullanılmıĢsa, hedef sistem ve iĢlemlerin daha kesin bir gözden geçirmesi incelenebilir ve muhtemelen risk ve zayıflıkların daha iyi tanımlanmasıyla sonuçlanır. Ancak, içerinin bilgisinin verilmesi zayıflıkların ve bunların istismar edilme ihtimalinin derinlemesine anlaĢılmasını zorlaĢtırabilir. Ayrıca, IP aralıkları yönetim tarafından sağlanmıĢsa test edilmelidir.

288


Ġnternet Saldırı Testi

ELDE EDĠLEN AĞ SAYIM BĠLGĠSĠ: Ağ kaynakları ve paylaĢımları, kutu dıĢı sayısal donanım ve yazılım kurulumları, tedarikçi kullanıcı kimlikleri, kimlikler ve grupları, uygulamalar ve baĢlıklar. Dikkate alınacak adımlar:

Alan adı, IP adres aralığı ve diğer kritik bilginin tanımlanması. Genellikle ―KĠM‖ sorgulaması kullanılır, bu tipik olarak hedef ağın adres (Alan adı sunucuları ve IP adres haritası gibi), idari iletiĢim ve faturalama bilgilerini sağlar. ―Kim‖ sorgulamasını yapan kiĢi tüm listelerin edinildiğinin ve ilk 50 unsur dıĢında, bunlar adların çoğul olarak gruplandırılmasını ya da değiĢtirilmiĢ durum adlarını gerektirebilir, makul güvencesini sağlamalıdır.

Kurumun sahibi olabileceği IP adres aralığının tanımlanması. Bu tipik olarak internet numara kayıtlarının, ARIN, RIP, APNIC ve LACNIC gibi, sorgulanmasıyla yapılır.

DNS sunucularından MX kayıt bilgini toplayarak dıĢ e-posta sunucularını tanımlamak.

Host makine adlarını ve ağ IP listelerini edinmek için DNS sunucusu olarak (Yedekleme sunucuları dahil) tanımlanmıĢ bütün sistemler arasında alan aktarımı giriĢimi. Alan aktarımı, belli alan için DNS içinde depolanmıĢ host adlarıyla ve IP adresleriyle eĢleĢen tam bir liste ister. Ayrıca, hem UNIX hem de Windows düzelmelerinin desteklediği ―NSLOOKUP‖, ilgilenen alan için yetkili olan DNS sunucusunu kullanarak alan aktarımı gerçekleĢtirmede kullanılabilir. Ayrıca makine host adları, kritik bilgi parçalarından biri olan amacı (Posta sunucusu ve güvenlik duvarı gibi) gösterir. Yeni teknolojiler baĢlatıcı aygıt olmaksızın alan aktarımını engellemektedir.

Kurum alan adı, iĢlevinin dıĢ kaynaklı bir internet hizmet sağlayıcıdan (ISP) alıp almadığının belirlenmesi. Bu iĢlevin dıĢ kaynaklı olduğu durumlarda, konuk sisteminin sızma testi kapsamında olup olmadığının açıkça belirtilmesi önerilir.

Alan aktarımı tespit edilebileceğinden sızma testinin yapılmakta olduğundan ağ çalıĢanlarının haberdar kılınması.

―GÜNCEL‖ ya da ―CANLI‖ IP adresleri makinelerini belirlemek için ICMP ya da TCP (Tam ya da yarım TCP el sıkıĢması) kırpıntılarını kullanmak. Her ne kadar, bu adım hangi aygıtların çalıĢmakta olduğu kritik bilgini sağlasa da, çevre güvenlik aygıtları ya da güvenlik duvarı hosta ICMP trafiğini büyük ihtimalle reddedecektir. Bu olmadığında filtrelenip aygıtın çöktüğü yanıtı verilerek reddedilebilir. Ġnternet paketleri araĢtırıcısı tarafından, araĢtırılan IP adreslerinin sırasının rastgeleliği NMAP çeĢitliliği nedeniyle tespitten kaçınmaya yardımcı olabilir. NMAP UNIX temelli ve Pinger sistemlerde yaygın olarak kullanılan bir araçtır ve Ws PingPro Pack Windows temelli ortamlarda internet paket araĢtırıcısı süpürmesi için kullanılır.

Ping paketlerinden varıĢ hedefi yolunu tanımlamasında, iz yönlendirme yöntemi kullanmak. Yönlendirme varıĢtaki canlı hostlara kadar izlenebilir, kurum yapı topolojisi haritasını tahmin etmek için tespit edilen pink kırpıntıları kullanılır. Yaygın olarak kullanılan iki araç izleyici yönlendirme ve tracert hem UNIX hem de Windows temelli iĢletim sistemlerinde kullanılabilir. Bu yöntemin amacı, güvenlik duvarı, filtreleme yönlendiricileri, diğer geçitler, yük dengeleme aygıtları ya da web yeniden yönlendiricileri içerebilecek varıĢ hedefine ulaĢmadan önce genel olan ve olmayan ―ATLAMALARI‖ tanımlamaktır. Ağ katmanları için internete çoklu bağlantılı olmak nadir görülen bir özellik değildir – Ağ grubunun bilmediği bir durum. Ancak bu yaygın olmayan yollar kontrolsüz bırakılırlarsa ağ uzlaĢmasına yol açabilirler.

Yanıt almak amacıyla kurumun sahip olduğu alana ―Sahte(Bogus)‖ e-posta iletileri göndermek. Muhtemel ağ yolları için alınan e-posta baĢlığı gözden geçirilir.

Zayıflık analizlerini gerçekleĢtirmek için:

Zayıflıklar tanımlamasına dayanarak muhtemel saldırı yöntemlerinin değerlendirilmesi. Bunu yapmak için, hedef ağdaki tanımlanmıĢ makinelerin tüm açık giriĢleri, iĢletim sistemlerini (OS), uygulamaları ve hostlarını (sürüm numarası, yama seviyesi ve/veya hizmet paketi) tanımlamak için incelenir. Ayrıca, bu bilgi internet zayıflık veritabanıyla kıyaslanarak güncel zayıflıklar ve hedef ağa uygulanabilecek istismarlar belirlenir.

Hedef hostda kullanılan iĢletim sistemini (OS) türünün tanımlanması. Ağ sayı dizisi aĢaması tanımlanmıĢ hedef hostlar için NMAP arası kullanılarak kullanılan OD türü tanımlanabilir. Kullanılan OD türü kullanılabilir hizmet türlerini öngörmekte ve yürütüldüğünde özel zayıflıkların var olduğunu belirleyecek giriĢle korunan hedeflenen hizmet analizi uydurmakta kritiktir. Bu adıma paralel olarak, kullanılan OS için geçerli zayıflıkların listesi, OS tedarikçisi web sitesi ve zayıflıklar veritabanı araĢtırmasıyla, ayrıntılı olarak ele geçirilebilir.

VarıĢ hedefinin ―CANLI‖ hostların port taraması yapmak için izin alınması. Güvenlik grubu, sızma testinin farkındaysa bütün muhtemel portların giriĢ taramasını yapmak gerekebilir (1-65535). Port listesi, zayıflıkları bilinen uygulamaları da içermelidir. Ġncelenen portlar zaaflarla, zayıflıklarla ve bilgi toplamayla ilgili olmalıdır. Örneğin, dosya aktarım protokolleri (FTP), Telnet ve RealSecure (21, 23 ve 2998 giriĢleri) giriĢleri zayıflıkları istismar etmek için sıklıkla kullanılırlar. NMAP standart bir araçtır ve varıĢ hedeflerindeki ―canlı‖ hostların (port tarayıcısından) giriĢlerini taramak için programlanabilir. Port taraması, korsanların kullanabileceği bir teknik olarak ifade edilmeksizin etik olmayan bir uygulamadır ve muhtemel sızma giriĢimleri güvenlik grubunu uyarmamalıdır.

Portlara atanmıĢ hizmetleri (uygulamalar) tanımlamak için uygulama listelemenin gerçekleĢtirilmesi. Port taramasına ek olarak, hizmetlerin (uygulamalar) atandığı özel giriĢler uygulama listesi olarak da bilinir. Hedef hostda çalıĢan uygulamaları bilerek zayıflık analizleri yapmak uzun bir yoldur. Genellikle, uygulamalar internette çalıĢır. Genellikle, tedarikçilerden ve zayıflık veritabanından gelen bu uygulamalar için bilinen zayıflıklar ve istismar listesini bulunuz.

289


Uygulama listesi ayrıca, çalıĢan uygulamaları tanımlamaya yardımcı olabilecek baĢlık gaspını da içerir. Çok sayıda uygulamayla bunu yapmak mümkündür, örneğin Netcat UNIX ve Windows komut satırında çalıĢır; Telnet; Ne ÇalıĢmakta (What‘s Running), Windows Gui aracı. Sistem ve uygulama yazılımları, zayıflık ve bilginin yaygın kaynaklarına örnekler: Bugtraq listeleri, Paket fırtınası ve SecurityFocus.

Sonuçları doğrulamak için ticari ya da açık kaynak ağ zayıflık değerlendirme araçlarını çalıĢtırmak. Yaygın araçlar arasında Ģunlar vardır: Nessus, ISS Internet Scanner, Foundstone‘s FoundScan, Eye‘s Retina Scanner ve GFI‘s LANguard.

Hedef sisteme ya da güvenilir kullanıcı hesabına eriĢim için temel ya da idari seviye eriĢim kazanma

giriĢimleri için zayıflık analizinde tanımlanan istismar zayıflıkları Ģunlardır:

EriĢim sağlanan paylaĢılan ad ya da dizin ve hostu içeren zayıflık analizinde tanımlanan eriĢim noktalarıyla hedeflenen sistemin komut satırlarına eriĢim ile ilgili bütün bilgiyi belgelemek; eriĢimin kazanıldığı hostdan; tarih, zaman ve eriĢim seviyesi; eriĢim kazanmak için istismar edilebilecek güvenlik açıkları.

UzlaĢılan hostdan, ağ üstündeki diğer sistemlere saldırı baĢlatmak. Eğer mümkün ise, zayıflıklarını belirlemek için hedeflenen diğer iĢletim sistemlerine uydurulan istismar edilen hosta araç kiti kurulur. Araç kiti Netcat, parola kırıcı, uzaktan yazılım kontrolü, dinleyiciler ve keĢif araçları içerebilir ki bunlar komut satırından yürütülebilir. Bu noktada, dıĢarıdan internete sızma yöntemi bölüm 5‘de açıklanan iç test yöntemiyle karıĢabilir.

Sistem çökmesine yol açacak kritik virüslerin kurulmasına izin verin eriĢim seviyesi sağlandıysa kuruma bildirimde bulunulur.

Çevirmeli Bağlantıya Saldırı Testi

Gelen bağlantıları dinleyen telefon hattı üstünden çevirmeyle sızma sağlama ve host makinesine

kaydolma. AraĢtırılan zayıflık örnekleri aĢağıdadır:

Donanım ve yazılım satıcıları, bakım amacıyla kullandığı (Kurulum yamaları gibi) makinelere bağlı yönlendiriciler gibi modemler

Kullanıcının masaüstünü etkin olarak dinleme için bağlanmıĢ sahte modemler

Uzaktan yönetim araçlarının kurulu olduğu modemler, herhangi bir yerdeki kiĢisel bilgisayarlar gibi

Güvenlik konfigürasyon yapılmamıĢ Ģekilde kullanılan modemler

Arama yapmak için kullanılan telefon numarası gruplarının toplanması. Kaynaklar arasında rehberlar,

çevrimiçi rehberler, Ģirket broĢürleri ve benzeri yer alır. Ġç telefon Rehberleri, eriĢilebilirlerse ayrıca bir

değere sahip olabilir. Bu anlamda, bölgesel olarak verilen telefon numaraları blokları da iĢlevsel olabilir.

Hedef kurumun fiziksel olarak yeri tespit edilir, böylece alan kodu öğrenilir.

Bu numaraları, kurum dıĢından elde etmeye çalıĢarak edinme zorluğunu belirlemek. Bir takım toplum mühendisliği uygulaması gerekebilir.

Hedef aralığındaki her numarayı rastgele arayarak dinlenen modemi tanımlamak. Saldırı aramaları yazılımı kullanılarak dinlene modemi tespit etmek için arama ve yanıtları kaydetme.

Dinlenen modem belirlendikten sonra, kullanıcı adı ve parolayı bulmak için stratejik tahmin ya da varsayılan yanıltmalar kullanılarak yetkisiz eriĢim sağlanır. Saldırı arama yazılımı, muhtemel en geniĢ liste ve/veya kullanıcı adı ve parola listesi seçimi kullanımıyla eriĢim giriĢimlerinde bulunmak için kullanılabilir. Seçilen varsayılanlar listesi, ayrıca kullanıcı adı/parola çiftinin stratejik tahminini de içerebilir. Örneğin, Cisco yönlendirici için, kullanıcı adı/parola çifti Cisco/Cisco ya da etkinleĢtir/Cisco ya da sadece parola soruluyorsa c, cc, cisco ve Cisco yönlendirici denenebilir. Satıcıların sağladığı kullanıcı adı/parola çiftleri denenebilir, bunlar genelde değiĢtirilmez ya da etkisizleĢtirilmez.

Kullanıcı adı ve parolasını almak için askersiz bölgede (DMZ) web aygıtlarında kurulu klavye kaydedicisi ve klavye kaydedici olup olmadığının belirlenmesi.

Arayan kullanıcı, bir yerde kiĢisel bilgisayar(PCAnywhere) kullanıyorsa, doğrulama olmadan bağlantıya izin verecek biçimde konfigüre edilmiĢ bir kiĢisel bilgisayarın kullanılıp kullanılmadığına dikkat edilmesi.

Ġçerden Saldırı Testi

Ağ keĢif testinin aĢağıdaki aĢamalarla yapılması:

Ping süpürgesi kullanarak canlı hostları tanımlamak. Yaygın olarak kullanılan araçlar arasında NMAP Pinger, NetScan araçları ve WS_Ping ProPack araçları yer alır.

Ayrıca, mümkün ise, ARP tablolarını, SNMP veri ve yönlendirici bilgisini tanımlayan dıĢ saldırı testinde giriĢ sağlanan hosta algılayıcılar(sniffer) kurulur.

Host amacını gösterebilecek olan bilgisayar adlarını ve iç IP adreslerini öğrenmek için alan aktarımını gerçekleĢtirmeyi test edin.

Kritik olarak kabul edilen hedef hostların listesinin ince ayarını yapmak için yönlendirici izlemesi gerçekleĢtirmeyi deneyin.

Bir saldırı düzenlemek için yönlendirici tablolarını, protokolleri, hata kayıtlarını, diğer sistem ve ağ verilerini içeren SNMP bilgisini edinmek için özel ya da genel olarak kurulmuĢ topluluk dizinlerini tahmin etmek. Ayrıca, yaygın olarak kullanılan topluluk dizilerini tahmin etmeye çalıĢın (örneğin, Cisco, {Ģirket adı}, yönlendirici, anahtar, ağ)

Yukarıdakileri tamamladıktan sonra, zayıflıkların tam listesini sağlayan host temelli otomatik keĢif araçlarını kurmak için güvenlik grubundan yetki edinin. Yaygın araçlar arasında, ―Kurum Güvenlik Yönetimi (ESM), ISS, ve diğerleri sayılabilir.

290


ĠÇERDEN SALDIRI TESTĠ

ġu adımları atarak zayıflık analizini gerçekleĢtirin:

Etkin hizmetleri tanımlamak için hedef hostlarda, port tarama ve baĢlık gasp etme programlarını yürütün. Bu dıĢardan sızma testi ile kıyaslanabilir. Bu adım NMAP kullanan Ping süpürmesi ile birlikte gerçekleĢtirilebilir.

Her tür sistem yazılımı için bilinen bağımsız zayıflıkları istismara açık portlarla birlikte deneyin. Örneğin, belli bir noktada komut istemi açmak için Netcat içeren kök kiti kurulumunu takiben ve istismar kodunu kullanarak zayıflıkların istismar edilebilirliğini belirlemek için bilinen ortak FTP zayıflıkları testi yapılmalıdır. Bilinen ve sayıları giderek artan çok sayıda zayıflıklar vardır.

Zayıflıkların tam listesini sağlayan host temelli otomatik keĢif araçlarını kurmak için güvenlik grubundan yetki edinin. Bu araçlar arasında, CyperCop, kurum Güvenlik Yönetimi (ESM), Ġnternet Güvenlik Tarayıcısı (ISS) ve Nessus sayılabilir.

IP adresleri host adları, sistem yazılım türleri (UNIX ve NT gibi), açık portlar ve uygulama (Netscape ve IIS ve Apache) tablosu oluĢturun.

AĢağıdaki adımları atarak istismarı ve doğrulamayı gerçekleĢtirin:

Kurumun istediği ve onayladığı saldırı seviyesini belirleyin.

Kurum tarafından sağlanan bilgi temelinde ya da keĢif ve analiz etme aĢamasında tanımlanan hedef hostlar ve açık portlara sağlanan eriĢim seviyesi temelinde saldırı seviyesini belirleyin. Örneğin, hedef host UNIX temelliyse, eriĢim kazandıktan sonra atılacak adım aygıt içindeki parola dosyasının kırılması olabilir. Ayrıca, saldırgan diğer aygıtlara ve değerli kurum bilgisine tespit edilmeksizin eriĢim sağlarsa, sızma baĢarılıdır.

Sistem çökmesine yol açacak kritik virüslerin kurulmasına izin verin eriĢim seviyesi sağlandıysa, kuruma bildirimde bulunulur ya da bir saldırganın fark edilmeden yetkisiz eriĢim kazanma becerisi gösterilir.

Bütün zayıflıkları kaydedin ve kuruma test sonrası izleme için ―Saldırı Testi/Zayıflık Değerlendirmesi‖ sonuçlarını ivedi olarak sağlayın.

Fiziksel EriĢim Kontrolleri

Ġstismar edilebilecek sahte eriĢim açıklarını araĢtırın. ĠĢ ve veri merkez alanlarına ve alanlarından telekomünikasyon eriĢim yollarını tanımlayın. EriĢim yolları yakılarak ya da iptal edilerek genel anlamda eriĢilebilirliği kaldırılmalıdır. Özellikle fiber optik kablo kullanımıyla çok da olanaklılığı kalmayan ama gene de tanımlanması gereken bir nokta tavan ya da odacıklarda kablolara yetkisiz giriĢlerin olabileceğini tanımayın.

Ağa eriĢim fiziksel olarak sağlandıktan sonra varsayılan kullanıcı kimliklerine eriĢim için kabalama ya da seçici eriĢim gerçekleĢtirin.

Fiziksel eriĢimi elde ettikten sonra 7inci bölümdeki usulleri kullanarak toplum mühendisliğini baĢlatın:

Doğrulanması olmayan bir çalıĢan olarak, engellenmeden eriĢim sağlamayı test edin. Mekanik, elektronik ya da fiziksel olarak korunan kurum binaları için bu test bir çalıĢana askıntı olarak sızmak ya da bir refakat olmadan imzayı atıp doğruca veri merkezi veya iĢ çalıĢma sitelerine gitmeyi de içeren pek çok yolla gerçekleĢtirilebilir.

Standart iĢ uygulamaları, tüm iĢ alanlarına doğrudan ve bir engelleme olmadan eriĢime izin vermemelidir.

Testi yapan danıĢmanlık anlaĢması ya da iç denetçi bu değerlendirmeye açıkça gerek duyar.

Veri merkezi denetimi, veri merkezi ve iĢ çalıĢma alanları fiziksel kontrollerini değerlendirecek biçimde yapılmalıdır.

Yetkisiz kiĢilerin aktarım sinyallerini almasını önlemek için veri merkezi çevresini dikenli tellerle koruma altına almak

TOPLUM MÜHENDĠSLĠĞĠ TESTĠ

Sanal güvenlik önlemlerinin atlatılması ya da toplumsal aldatmayı engelleyen kontrolleri test etmek için içeriden telefon eden bir kiĢi maskesi altında iĢ gereği kritik hassasiyette bilgiyi istemek ya da temel bilgisayar hizmetlerine eriĢim sağlamak gibi testler yapın.

Eğer bir dıĢ danıĢman tarafından yapılıyorsa sızma testi sözleĢmesinde çöp alanı testleri yapılmasını özellikle belirtin.

Kurumla ilgili basılı bilginin parçalanması ya da atılmasından sorumlu kiĢileri tam olarak belirlemek için ―GĠZLĠLĠK POLĠTĠKA VE UYGULAMALARINI‖ gözden geçirin.

Hassas bilgi içeren manyetik ortamların atılmasıyla ilgili önlemleri gözden geçirin.

ÇalıĢma alanlarına fiziksel eriĢim sağlanırsa, bilgisayar adları, diğer çalıĢanlara ait bilgi, kullanıcı kimliği gibi mülkiyet bilgileri için tekil çalıĢanların iĢ alanlarını ve yazıcı sepetlerini gözden geçirin. YapıĢtırmalı notlar ve yapılacaklar listeler, önemli bilgi kaynakları olabilir.

Kritik alanların, kat ve yapı Ģemaların edinin. Birincil hedefler kasa, ödeme veznesi ve idari bürolardır.

Bireysel masaüstü bilgisayarların ekran koruyucusu ve çekmecelerinin kilitli olup olmadığını belirleyin.

ÇalıĢma kapsamının hiçbir yasayı çiğnememesinin makul güvencesi sağlayın

291


Kablosuz Sokak ya da fiziksel coğrafi alan haritasına, kablosuz ağı bulup haritalayın. Kablosuz ağ sızma testi için gereksinecek araçlar bir dizüstü ya da PDS, kablosuz NIC (ORiNOCO veya Lucent PC, Card Dell TrueMOBIle 1150, Avaya Kablosuz PC Kartı, Compaq WL110, Enterasys Roamabout Elsa Airlancer MC-11), ücretsiz yazılım ve GPS antenidir. Kablosuz ağı, bulmak için kullanılan tekniklerden biri savaĢ arabasıdır(War Driving). Bu iĢaretin ve yayının tespitiyle gerçekleĢtirilir. SavaĢ arabası kablosuz bant sinyalini yakalamak ve haritalamak için kullanılır.

WEPCrack ve AirSnot gibi otomatik araçları kullanarak WEP (Kabloluya Denk Gizlilik) anahtarlarını kırın. Kullanılan teknikler arasında, ―IV COLLĠSĠONS VE WEAK ANAHTAR PAKETĠ‖ yakalama sayılabilir.

Ağ trafiğini izleyip çözümleyerek geçen paketlerin, SSID ve benzerlerinin sayısını belirleyin. Bunun için çok çeĢitli otomatik araçlar vardır,: PrismDump, Iris, AiroPeek ve Sniffer Wireless gib.

Anahtar öğrenildikten sonra, sızma testini tamamlamak için paketi yeniden kurun. Yönetim gözden geçirmesi için her noktayı not edin. Test öncesinde, amaçlanmasa da diğer hedeflerden bilgi paketlerinin alınması dolayısıyla testin hiçbir yasayı ve yasa benzerini çiğnemediğinin makul güvencesini sağlamak için gereken yerlerde belediyeler ve yerel yönetimlerde, tekil ülkelerdeki uygulamaları bilen hukuk temsilcilerine danıĢmak en iyisi olur.

Web Uygulaması

Web uygulamaları ve ortamı analizlerinde ilk olarak, riskleri belirlemek için bütün iĢlevselliklerim genel

anlaĢılması ve bütün sayfaların haritasını içeren bilgiyi toplayarak emekleme seviyesinden baĢlayın.

Zayıflıkları konumlandırmak ve gizli verinin yerini bulmak için kayıtlı proxyle (webproxy, ebsleuth gibi)

uygulamada el ile gezin. Bu araĢtırmayla birlikte, Ģunları da tamamlayın:

Endüstri uygulamalarının standartlarına ya da politikalarına göre SSL/TLS kriptolayacılarını belirlemek için bunları gözden geçirin.

Mekanizmaları ve oturum kimliklerini de içeren biçimde oturum izlerini çözümleyin.

Kullanılan kimlik doğrulama yöntemini tanımlayın, istemci sertifikası, denetim ve iyileĢtirme sertifikası, kriptolama kullanımı ya da http temelli doğrulama ve SSL kullanımı.

Saldırma ve çıkma mekanizmalarını tanımlayın (Önbellek engelleme tekniklerinin kullanımı, bir süre etkinlik olmayan oturumun kendiliğinden kapanması).

Her form unsurunun kaydıyla kullanıcı girdi noktalarının tamamını tanımlayın, özellikle: SQL komutu girilebilirliğini test edin Kontrolü ele geçirmek için arabellek taĢırmayı deneyin Çapraz site komutu (XSS) Özel karakterler (Borular, iadeler, vb.) Sayısal giriĢ için 0, negatif bir değer ve gerçekten büyük bir değer deneyin Gereksiz hata iletilerini kaydedin. Ayrıca kullanılmakta olan http baĢlıklarını girdi olarak

deneyin: Çerez, Yönlendirici, host, kullanıcı öğe Kullanılan değiĢim listesini kaydedin Gereksiz hata iletisini kaydedin POST için URL‘ye gömülmüĢ kullanıcı girdilerini deneyin

Web Uygulama çıktısını, gizli içerik ya da bilgi sızıntısı için gözden geçirin

Gereksiz bilgi için kullanıcı tarafındaki kodları araĢtırın (meta etiketleri, yorumlar gibi)

HTTP‘de gerek duyulmayan bilgi olup olmadığını sunucudan kontrol edin (Sunucu:, X-).

Java ve benzer uygulamaların derlenip derlenmediğini belirleyin.

Bilinen her dizin ve gözden geçirme için ―robots.txt ―dosyasını geri çağırın. AĢağıdaki testleri içererek oturum kimlikleri üstündeki güvenliğin gözden geçirilmesi: Tesadüflerini belirleyin, kullanım bilgisiyle ilgili olarak değil ama kaba kuvvete gelmeyecek

kadar büyük, güvenli yollarla aktarılan, karıĢtırmayı engelleyecek kontroller ve tespit mekanizması.

Çerezleri, oturum kimlikleriyle güvenli (Kriptolu) olarak iĢaretlendiğini, daimi olmadığını (sabit diskte depolanmadığı), alan ve yola makul kısıtlı ve uygunsa dijital imzalı olduğunu belirleyin.

Oturum kimlikleriyle URL gönderimin SSL gibi Ģifreli olarak gönderildiğini doğrulayın. GiriĢ kontrollerinin gözden geçirilmesinde içerilecekler:

Yetkisiz korsanlık giriĢimlerine karĢı uyarı baĢlığı ve hata iletileri uyarımı

Geçersiz parola ya da kayıt hesabıyla yapılan giriĢin özel yanlıĢlık bilgisini soysal iletiler sağlamaz

Ġlk kez sisteme giriĢ Ģifrelemesi, güven gerektirir.

Yarı açık oturumları önlemek için belli bir süre etkin olmama durumunda zaman aĢımı

Deneme yanılma saldırılarına, maruz kalmayı en aza indirmek için geçersiz giriĢ testlerini kilitleme mekanizması

Kilitleme mekanizması, askıdaki hesabın mevcut numarasının hizmet dıĢı kalması sonucunu doğurmaz, kızıĢtırma iĢleminden kaynaklanan saldırının bildirimini sağlar

Aktarılan bütün bilginin Ģifreli olduğunu belgeleyiniz, web tarayıcıda kilidin görüldüğünü doğrulayın. Alınan ve gönderilen bütün sayfaların Ģifreli olduğunu belirleyiniz.

AraĢtırma değerlendirmesi sonuçlarını ve portal testi adımlarının sonuçlarını birlikte gözden geçirerek,

sisteme kayıtlı hesabı ve sistem bilgisi olan bir köstebekle kayıt hesabı ve sistem bilgisi olmayan bir dıĢ

292


Web Uygulaması

saldırganın hassas bilgia eriĢim kazanmak için istismar edebileceği zayıflıkları belirleyin.

Not: Zaman geçtikçe port 80 ile tespit edilecek önemli sayıda açık olduğundan, farklı araĢtırma

belgelerinde, beyaz sayfalarda ve web sitelerinde açıklanandan fazla geçerli bilgia, bu testleri

gerçekleĢtiren kiĢilerin sahip olması önerilir. Ayrıca, web sunucularının denetim testi serisi vardır, bu

seride ―STANDART ERĠġĠM KONTROL LĠSTESĠ‖ değerlendirmesi ve bu usulün diğer bölümlerinde

içerilen ve mutlaka gerçekleĢtirilmesi gereken TCP/IP zayıflığı yer alır.

Sonuçları doğrulamak için ticari ya da açık kaynak zayıflık değerlendirme aracı uygulaması kullanın.

Yaygın araçlar arasında Nikto, WebInspect, ScanDo ve Appscan yer alır.

Yukarıdaki testlerin yapılmasıyla tespit edilebilecek çok sayıda muhtemel zayıflıklar vardır. Bu

bağlamda, ―ZAYIFLIKLARI ĠSTĠSMAR ETMEKTE ATILACAK ĠKĠNCĠ ADIM‖, bunlarla kısıtlı

olmamakla birlikte Ģunları içerir:

Çerez içeriklerini değiĢtirmek (Örneğin, URL üstünden uygulamaya geçen parametreleri değiĢtirmek) hassas bilgia eriĢimle ya da diğer bir kullanıcıyı taklit etmekle sonuçlanır.

Bir uygulama içindeki JavaScript ya da uygulama formunda saklı dosyaları değiĢtirmek, parametre kurcalama, SQL zerki (SQL kodunun uygulamaya geçmesi amaçlanmaz), çapraz site komutu (Web sitesi tamponundaki yürütülebilirlere sızmak).

Uygulama kontrolünü ele almak için içeriye metin alanlarına kod girin.

Sadece genellikle kaba kuvvet saldırısıyla doğrulanabilecek bir web sayfasına doğrudan eriĢin. YanlıĢ parola giren kullanıcı bilgilerini toplayın ve dizini bunlara karĢı yürütün.

Doğrudan arka kapıları ve onarım söz dizimini, URL‘de yürütmeyi de içeren onarım seçeneklerini istismar edin (Örneğin, CERT ve tedarikçi sitesi, www.nstalker.com gibi çeĢitli web sitelerinde zayıflıkların listesi yer alır).

Üçüncü taraf uygulamalarındaki, web ya da veritabanı uygulamaları, yapılandırma hatalarını istismar edin. Web sunucusunun bilinen zayıflıklarını istismar etmek için özel giriĢimlerde bulunun.

Diğer kullanıcıların göreceği metin alanlarına komut dilleri girin.

Uygulama isteminden aĢırı veri geçirin (Örneğin, web sitesi formuna/alanına çok büyük miktarda karakter gönderimi).

Raporlamak ISACA, BS Standartlarına uygun olarak aĢağıdakileri içeren bir rapor hazırlayın:

Kapsam tanımı

Amaçlar

ĠĢin yapılma süresi

Yapılan saldırı testi ve zayıflık değerlendirmesinin büyüklüğü, zamanlaması ve yapısı

Tanımlanan zayıflıkların önemi ve kontrollerin etkililiği sonuçları

Kontrollerin uygulandığının ve güvenlik açıklarının bilinen bütün zayıflıklara karĢı kapatıldığının makul güvencesini sağlamak için etkinlik sonrası izlemenin yapılması.

Çevreleyici güvenlik duvarı ve yönlendiricileri için özel süreci ve özellik gözden geçirmesi yapın ve tanımlanan riskleri yönetim ile görüĢün.

11. YÜRÜRLÜK TARĠHĠ 11.1 Bu rehber 1 Eylül 2004‘ten itibaren bilgi sistem denetimlerinde etkilidir. Kullanılan terimlere dair tam bir

Sözlükçe, ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir. EK COBIT Referansı Belirli bir denetim kapsama uygulanacak en uygun COBIT materyalinin seçimi, seçilen özel COBIT BT süreçlerine ve dikkate alınan COBIT bilgi kıstasına dayanır:

• PO6—Yönetim Amaç ve Yönelimlerinin Bildirimi


• A13—Teknoloji Altyapısının Edinimi ve Bakımı

• DS5—Sistemlerin Güvenliğinin Sağlanması

• DS7—Kullanıcıların Eğitimi ve yetiĢtirilmesi

• DS10—Sorunların ve Vakaların Yönetimi

Saldırı testi ve zayıflık değerlendirmesiyle en ilgili bilgi kıstası:

• Birincil: Gizlilik, bütünlük ve eriĢebilirlik

• Ġkincil: Etkinlik ve güvenirlik

http://www.nstalker.com/


293

KAYNAKLAR : -Bosworth, Seymour; Michel E. Kabay, Editor; Computer Security Handbook, 4th edition, John Wiley & Sons, Indianapolis, Indiana, USA, April 2002 -The CERT Guide to System and Network Security Practices, 1st -Edition, Addison-Wesley Publishing Co., June 2001 -e-Commerce Security: Security the Network Perimeter, BT Governance Institute, Rolling Meadows, Illinois, USA, 2002 -Klevinsky, T.J.; Scott Laliberte; Ajay Gupta; Hack I.T.—Security Through Penetration Testing, Addison-Wesley, Boston, Massachusetts, USA, June 2002 -Kreutz, Vines,;―The CISSP Prep Guide;‖ John Wiley & Sons, Inc.; 2001 -Rhoades, David; ―Hacking and Securing Web-based Applications,‖ Maven Security Consulting Inc., 12th USENIX Security Symposium, Washington, DC, USA, 4-8 August 2003 -Scambray, Joel; Stuart McClure; George Kurtz; Hacking Exposed—Network Security Secrets & Solutions, 2nd Edition, Osborne/McGraw-Hill, Berkeley, California, USA, 2001 -Yeager, Nancy J.; Robert E. McGrath; Web Server Technology, Morgan Kaufmann Publishers Inc.

294

P9 Kriptolama Yöntemleri Üzerindeki Yönetim Kontrolü Değerlendirmesi Usulü 1. GĠRĠġ 1.1 COBIT Referansı 1.1.1 Bu rehber tarafından iĢaret edilen alanların gözden geçirmesinde, dikkate alınması gereken belirli COBIT süreçlerinin ya da

hedefleri için baĢvurulan COBIT bağlantısı. Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, seçilen özel COBIT BT süreçlerine ve COBIT bilgi kıstaslarının dikkate alınmasına dayanır.

1.1.2 AĢağıdaki süreçlerde COBIT‘in rehberliği, denetimin gerçekleĢtirilmesinde dikkate alınmalıdır:

PO8—DıĢ gerekliliklere uygunluğun sağlanması

DS5—Sistemlerin güvenliğinin sağlanması

DS11—Veri yönetimi 1.1.3 Kriptolama teknolojisiyle en ilgili bilgi kıstasları:

Birincil—Etkililik, gizlilik, bütünlük, eriĢebilirlik ve uygunluk

Ġkincil—Etkinlik ve güvenirlik 1.2 Kriptolamanın Temelleri 1.2.1 Kriptolama, aracı okunabilir biçimdeki (ġifresiz ya da açık metin olarak bilinir) veriyi istihbaratı yapılamayacak (ġifreli metin)

biçime getirir. Bu tanım, bir açık metin iletisi için simge ya da simge setlerini (bir – kara, iki - deniz için) kodlama için değiĢir. 1.2.2 Matematiksel bir algoritmanın kriptolandığı veriye ―Ģifreli‖ denir. Günümüz Ģifrelerinin çoğu, veriyi sadece yetkili taraflarca

gizli bilgi parçası yada anahtarı açık metin verisini kriptolar. 17. Yüzyıla kadar, kritologistler kriptolanmıĢ verinin güvenliğinin, içerideki algoritma ya da Ģifreliden ziyade anahtar güvenliğine bağlı olduğunu anlamıĢlardı.

1.2.3 Kriptolama teknolojisi okunur bilgiye karĢı bir koruma sağlar ancak anlaĢılmaz veri paketlerine eriĢimi kısıtlamaz. Kriptolama araçlarının kullanımı, veri bütünlüğünü sağlar ama açık metin iletisinin Ģifrelenmesi veri gizliliğinden baĢka bir Ģey sağlamaz.

1.2.4 Bu usulle, çok yüksek güvenliğin gerekli olmadığı kurum ve Ģubelerde, ihtiyaç değerlendirmesini kapsar..Kriptolama anahtarlarının kontrol edildiği bağımsız iĢ birimlerinde güveni kullanımı artıran donanım araçlarına anahtarla verinin kriptolarak dönüĢtürülmesinde çeĢitli yöntemler vardır. Ancak, bu usul bununla ilgili özellikleri kapsamaz.

1.2.5 ABD de dahil olduğu çoğu hükümetler kriptolama ürünlerinin ihracatına kısıtlamalar getirmiĢtir. DüĢman milletlerin istihbarat örgütlerine, iletiĢiminin çözümlenmesini kolaylaĢtıran bu araçların kullanımının sınırlanması amaçlanmıĢtır.

1.3 Kriptolama Kullanımın Risk Değerlendirmesi 1.3.1 Kriptolamanın kritik konusu, kriptolanması gereken verinin belirlenmesi ve bu verinin nerede ve ne zaman kriptolanması

gerektiğidir. BS Denetçisi, yazılı Ģekilde belgelenmiĢ risk değerlendirmesi ya da politikayla kriptolama kullanımında aĢağıdaki yönetsel konuların değerlendirildiğinin makul bir güvencesini sağlamalıdır:

Kriptolama sisteminin en kritik yanı, kriptolanması gereken hassas verinin ne olduğunun belirlenmesidir. Tanınabilir ya da ayırt edilebilir veri/bilgi türleri, önemli bir iĢ zorunluluğu olmaması durumunda kriptolanmayabilir. Hangi veri ya da veri grubunun hassas olduğu ve kriptolamanın gerekliliği olup olmadığı risk değerlendirmesi yapılarak anlaĢılmalıdır. Ayrıca, bilginin kritik olarak tanımlandığı durumlar için farklı koruma araçları da vardır. Örneğin, sigorta Ģirketin hastalarla ilgili tıbbi durum bilgisini sürekli olarak veren büyük bir hastane söz konusu bilginin yeterince önemli olması dolayısıyla noktadan noktaya Ģifreleme yapabilen sanal özel ağ kullanarak bir güvence sağlayabilir. Kısaca, bütün bilginin yetkisiz görüntülenme riskine bakıĢ açısı ve maliyet/fayda veya risk azaltma gibi öngörülen iĢ gerekçeleri değerlendirilmelidir.

BS Denetçisi, muhtemel veri iletim yollarını ve sonunda veriye kimin eriĢim sağlayacağını değerlendirmelidir. BS Denetçisi, bugün yaygın olarak kullanılabilir olan araçlarla veri kolaylıkla kurum dıĢına çıkarılabileceği ve rakiplere satılabileceği ya da gizlilik yasalarını çiğneyebileceğini (HIPAA) anlamalıdır. Bu yöntemler arasında en azından güvenlik duvarından elektronik olarak ya da CD‘ye kopyalayıp yanında taĢıyarak kurum tesislerinden çıkarma sayılabilir. Ayrıca, parola gibi hassas bilgiler içeren veri paketlerini ağda nakledilirken ele geçirmek için kullanılması muhtemel yazılımlar da vardır. BS Denetçisi, bu durumda kriptolama yöntemlerini değerlendirirken en kötü durum senaryosunu kullanmalıdır.

Veri, merkezi konumundayken kriptolanabilir veya merkez konum içinde açık metin olarak dolaĢımına izin verilebilir ve son kullanıcıya gönderilirken kriptolanabilir. Nerede ve ne zaman kriptolanacağına, karar vermek kritik öneme sahiptir. Veri için sağlanan güvenlik, veriyi yetkisiz görüntülenmeden korumak için en zayıf ya da hiç olmayan kontrol kadar iyidir.

Örneğin, anahtarlar ve kullanılan Ģifrelemenin türü hakkındaki hassas bilgi sadece iĢin gerektirdiği kiĢilerin bilgisi dâhilinde olmalıdır. Güncel ve sıkı iĢ gereksinimlerine bağlı olarak, parola ve anahtarların kendisi anahtara tek eriĢime sahip olan güvenlik idari personeli tarafından kriptolanmalıdır. Kriptolamaya ait bütün bilgi, test ya da geliĢtirme ortamlarında muhafaza edilmek yerine eriĢimin daha sıkı kontrol edildiği üretim ortamında muhafaza edilmelidir. Benzer Ģekilde, test ortamında kullanılan aynı kriptolama anahtarı üretim ortamında kullanılmamalıdır.

BS Denetçisi, kriptolama uygulaması gerektiğinde anahtarların değiĢtirilmesi, kriptolamada kullanılan yöntem, kripto anahtarlarının sağlamlığı, veri biçim ve türü gibi kriptolamayla ilgili politikaları n bulunmasını sağlamalıdır.

295

P9 Kriptolama Yöntemleri Üzerindeki Yönetim Kontrolü Değerlendirmesi Usulü (Devamı)

Merkez konumda kriptolanan veri, kriptonun çözüleceği son kullanıcı iĢ istasyonuna kriptolu olarak çıkarılıp gönderilir, kaynakta güven altına alınır ve daha sonra gönderilir. Aksine, veri kriptosuz olarak veritabanında saklanır ve baĢka bir yolla gönderileceğinde kriptolanır. Ġkinci yöntem, daha az güvenli gözükmektedir, dengeleyici kontrollerin eksik olması durumunda yetkisiz eriĢim sağlanabilir, ancak üretim süreci gerekleriyle güvenlik arasında tercih yapma gerekliliği olabilir. Veritabanındaki veri ya da dosya, sürekli olarak güncelleniyorsa (oldukça hareketli) ve durağan değilse (değiĢmeyen) merkez konumda kriptolamaya uygun olmayabilir. BS Denetçisi, kriptolamanın nerede ve ne zaman yapılacağına dair bir yargı üretmemeli, aksine olabilecek en iyi kararı verebilmek için yönetimin bütün koĢulları tam olarak değerlendirip değerlendirmediğini sorgulamalıdır.

1.3.2 Kriptolama kullanımının değerlendirmesinde ele alınması gereken çok sayıda faktör vardır. Örneğin, veri kriptolamada tek yönlü ya da iki yönlü sağlama verilmesi gereken yaygın bir karardır. AĢağıda, yönetim kararının bir parçası olarak belgelenmesi gereken varsayımlar vardır:

Tek yönlü sağlama, veriyi kriptolar ve kriptonun çözülmesine izin vermez. Sistemdeki kriptolu veri, müĢteri tarafından girilen veri ile kıyaslanır ve sonra kriptolanır. Eğer iki değer eĢitse, kullanıcı tarafından girilen veri doğrulanır. Tek yönlü sağlama tipik olarak parola kriptolanmasında kullanılır ki bu durumda sadece sistem idarecisi parola yenileme yetkisine sahiptir ve o da onu göremez. Tek yönlü sağlama genellikle iki yönlü sağlamadan daha güvenli olduğu web uygulamalarında parola kriptolaması için kullanılır. Bu yöntemle iliĢkili bir risk, müĢteri veritabanının kaybolması durumunda büyük sayılardaki müĢteri parolalarının kurtarılamamasıdır. Bu nedenle, kurum müĢterilerin bilgilerini yeniden doğrular ve yeni bir parola almaları bildiriminde bulunmalıdır ve bu durum olumsuz bir halkla iliĢkilerle sonuçlanabilir.

Ġki yönlü sağlama, verinin kriptolanmasına ve kriptonun çözülmesine izin verir. Bu yöntemden kaynaklanabilecek temel risk, kripto anahtarının uygunsuz olarak alınabilir ve parolalar dahil bütün hassas bilginin, Ģifreleri çözülebilir. Tam tersine, eğer veritabanı çökerse, halkla iliĢkiler sorunları yaĢanmasını engellemek için kriptolu veri hızla iyileĢtirilebilir. Kripto anahtarının daha sağlam olması, içeriden eriĢimden tam olarak güvende olması ve daha sık değiĢtirilmesi için ek önleyici kontrolleri gerekir.

1.3.3 BS Denetçisi, yayılma öncesi çok sayıdaki yönetsel veri gizliliği risk türlerinin olabildiğince ele alınmıĢ olduğunun makul güvencesini sağlamalıdır. Basitçe söylemek gerekirse, yapısı gereği bütün kriptolama zayıflıkları teknik değildir ve BS Denetçisi en etkili kararın alındığından emin olmak için yönetimin karar alma süreçlerini açıkça değerlendirmelidir.

1.3.4 KriptolanmıĢ veriyi nakletmek için kullanılan çok sayıda üçüncü taraf ürünleri vardır. Kullanım tutarlılığını sağlamak için çoklu iĢletim düzlemlerinde (UNIX‘e karĢı Windows) kullanım gereğinden haberdar olarak seçim yapılmalıdır. Ayrıca, otomatik olarak kriptolamayı sağlayan araçlar da vardır, örneğin UNIX güvenlik kabuk (Secured Shell(ssh)) gibi.

1.3.5 BS Denetçisi, veri çevresindeki önleyici kontrollerin, veriye eriĢim noktalarının değerlendirmesi dahil, önemini anlamalıdır. Son olarak, yasal sorumluluklar ve kriptolama yöntemleri, yasal gereksinimleri sağlamak için tamamlanmalı ve onaylanmalıdır.

1.4 ÇağdaĢ ġifreleyicilerin Üç Temel Biçimi 1.4.1 Simetrik anahtar kriptolaması (Bazen gizli anahtar kriptolaması olarak da anılır) aynı anahtarı hem kriptolamak hem de

kriptoyu çözmek için kullanır. Simetrik anahtar kriptolayıcılar, asimetrik anahtar kriptolayıcılara kıyasla daha hızlıdır ama anahtarının dağıtılması gerekliliği bir sorundur, yüzyıllardır yetkisiz taraflardan anahtarı saklamak için uğraĢtırıcı kriptolayıcılar kullanılmıĢtır. ÇağdaĢ simetrik anahtar kriptolayacı örnekleri arasında DES, Blowfish, Twofish, CAST, IDEA, 3DES ve AES sayılabilir.

1.4.2 Genel anahtar kriptolaması (Asimetrik anahtar kriptolaması) anahtar çifti kullanır; ileti bir anahtarla Ģifrelenir ve sadece bu anahtarın diğer eĢi kriptoyu çözebilir. Genel anahtar sistemi kullanıcılar,ı bu anahtarlardan birini genelin eriĢimine sunmalı ve diğerini gizli tutmalıdır. Gönderici alıcıya kriptolu bir ileti göndermek istediğinde, gönderici alıcının genel anahtarına bakar ve bu anahtarla açık metni kriptolar. Alıcı, kendi genel anahtarıyla kriptolanmıĢ iletiyi aldığında bu ileti kriptosunu çözecek tek anahtar kendisinde vardır. Diffie-Hellman (DH) ve Rivest-Shamir-Adelman (RSA), örnek olarak verilebilir. Ayrıca, yazarın özel anahtarı kullanılarak kriptolanmıĢ bir ileti, özel anahtar sahibi tarafından ―ĠMZALANMIġ‖ sayılır. Yazarın genel anahtarını kullanan herkes ileti kriptoyu çözebilir ve okuyabilir ama sadece özel anahtarın sahibi iletiyi yaratabilir ya da değiĢtirebilir, böylece bütünlük ve doğrulama sağlanmıĢ olur.

1.4.3 Tek yönlü sağlama (Tek yönlü kriptolama, ileti doğrulama kodları (MAC) ya da ileti özeti), veriyi çevrilemez biçimde kriptolar. Tek yönlü sağlama, ayrı bir bilgi parçasından ziyade açık metin verilerini anahtar olarak kullanır ve sabit uzunlukta bir özet ya da bu açık metnin sağlamasını üretir. Sağlama iĢlevi, tek yönlü bir iĢlev olarak bilinir, sağlamadan açık metni çıkarmak olanaklı değildir. Tek yönlü sağlama, sıklıkla veri bütünlüğü ve bilgisayarda parolaları kriptolu olarak saklamak için kullanılır. Örnek, MD5 ve SHA-1‘dir

1.5 Yaygın Kriptolama Uygulamaları 1.5.1 Kriptolama, aĢağıdakilerin güvencesini sağlamak için kullanılabilir:

Gizlilik—Verinin sadece amaçlanan taraflarca görülmesini sağlar. Ġletilen verinin gizliliğini sağlamanın baĢ aracı simetrik algoritmaların kullanımında geçer, asimetrik kriptolama (Genel olarak anahtar kriptolama olarak bilinir) ayrıca daha küçük hacimli veri kriptolamasında da kullanılır.

Veri bütünlüğü—Verinin değiĢtirilmediğinin güvencesini verir, alınan veri gönderilen veriyle aynıdır. Veri bütünlüğü dijital imzalarla ve sağlama algoritmalarıyla sağlanabilir.

Kullanıcı doğrulama—Kullanıcı, sunucu ya da kurumun savladığı kiĢi olduğunu kanıtlama aracıdır. Asimetrik kriptolama, gizli anahtar bilgisinin testi aracılığıyla doğrulamasında kullanılabilir.

Ġnkâr Etmeme—Aktarım ya da iletinin varsayılan kiĢiden geldiğinin ve değiĢtirilmediğinin güvencesini sağlar. Elektronik ödemeler ve ticari belgeler için inkar etmeme temel bir zorunluluktur. Gönderici, daha sonra bu iletinin kendisinden gelmediğini ileri sürememelidir. Bu kanıt, yasalar karĢısında yeteri kadar güçlü olmalıdır. Ġnkar etmeme, kısa iletiler için dijital imzayla ve daha sık olarak MAC ve dijital imzanın birlikte kullanılmasıyla baĢarılabilir.

296

P9 Kriptolama Yöntemleri Üzerindeki Yönetim Kontrolü Değerlendirmesi Usulü (DEVAMI) 1.5.2 Güvenli Soket Katmanı/UlaĢtırma Katman Güvenliği (SSL/TLS) öncelikle internet üzerindeki http (web) trafiği olmak üzere ağ

trafiğini kriptolama aracıdır. SSL Netscape Communications Inc tarafından geliĢtirilmiĢ olmakla birlikte bu alanda fiilen standart haline gelmiĢtir. Ġnternet Mühendisliği Görev Gücü (IETF) standardı, gözden geçirilmiĢ ve yeniden UlaĢım Katman Güvenliği (Transport Layer Security(TLS)) olarak adlandırmıĢtır. Bu iki terim, birbirleri yerine kullanılmaktadırlar. SSL genel anahtar kriptolama, simetrik anahtar kriptolama ve tek yönlü sağlama bileĢkesini kullanarak web sunucusunun ―gizlilik, veri bütünlüğü ve doğrulamasını‖ sağlar. Kullanıcıların ve web sunucularının karĢılıklı doğrulaması ayrıca mümkündür. Ġnternet iletiĢimi için, SSL yaygın olarak genel anahtar altyapısıyla birlikte kullanılır.

1.5.3 Genel anahtar altyapısı (PKI), dijital sertifikalarla genel anahtarları dağıtma sistemidir. Bir PKI için politikalar, usuller, donanım, yazılım ve personel, genel anahtar sertifikalarının yaratılması, yönetilmesi, saklanması, dağıtılması ve iyileĢtirilmesi için gereklidir. Bir PKI sistemi, sertifikalarla dağıtılan genel anahtarların ait olduğu bireyleri ya da kurumları geçerler. Temel olarak, biri bir sertifikalandırma kurumundan (CA) Verisign ya da Thawte gibi, dijital sertifika edindiğinde birinin genel anahtarı vardır. CA, sertifikayı dijital olarak imzalar, böylece sertifikayı doğrular, böylece genel anahtar söz konusu kiĢiye ait olur. Sertifikalandırma kurumu sertifikaları, sertifika türüne bağlı olarak değiĢik fiyatlara satar. Bir birey ya da kurum sertifika türüne bağlı olarak doğrulama formu (Adres belgesi ya da kredi raporu gibi) sunmak zorunda kalabilir.

1.5.4 Dijital sertifikalar, sertifikalandırma kurumlarının genel anahtarları dağıtırken kullandıkları temel teslim mekanizmasıdır. Dijital sertifikalar, anahtar sahibi hakkında, anahtar doğruluğu hakkında ve genel anahtar kopyaları gibi bilgileri içerirler. Dijital sertifikalar, sertifikalandırma kurumunca imzalanır.

1.5.5 Dijital imzalar, ileti göndericisini doğrulama araçlarıdır. Ayrıca, ileti bütünlüğünü ve inkar edilememeyi sağlarlar. Gönderici, istenilen veri parçasını alır ve kendi özel anahtarıyla onu kriptolar. Alıcı, göndericinin genel anahtarıyla bu iletinin kriptosunu çözebilirse, bu iletinin ancak göndericinin özel anahtarıyla kriptolandığı anlamını doğurur.

1.5.6 ―Kriptolama teknolojileri, eriĢim kontrolü çözümleridir. PKI temelli çözümler, kullanıcı doğrulamasını sağlamak ve iĢ aktarımlarına koruma sağlamak için yaygınlaĢmıĢtır. PKI, genel anahtar altyapısının kısaltmasıdır ve yetkili, geçerli iĢ bilginin kurum içinde ya da kurumlar arasında değiĢimini sevk etmek ve yönetmek için ilgili dijital imza, sertifikalandırma kurumları, yazılım ve donanım kullanımına iĢaret eder.‖

4

1.5.7 Bu usulün amacı, sistem ya da tedarikçiler hakkında fikir vermek ya da farklı ülkelerde kullanılan kriptolama teknolojilerine farklı yaklaĢımları sorgulamak değildir. Kontrol listesinin amacı, BS Denetçisine denetimi gerçekleĢtirirken yararlanacağı bir çerçeve sağlamaktır, bu bağlamda bu bağlamda kriptolama teknolojilerinin doğru kullanımı da yer alır. E-ticaret gibi özel alanlara odaklanmaz.

1.5.8 Bazı durumlarda, değiĢik teknikler kullanılarak kriptolama gereğini aĢmak mümkündür, kaynak doğrulaması için geri arama usulü gibi, ancak bu seçenekler genellikle pahalı ve hantaldır. Kriptolama teknolojileri, genellikle maliyet etkindir. Denetim/gözden geçirme, ayrıca kriptolanacak veriyi ve bu veriye eriĢim izni verilecek kiĢiyi tanımlamak için yönetimin izlediği süreçlere odaklanmalıdır. ġifreleme sistemlerinin değerlendirmesi, yönetim tarafından istenilen seviyede veri korumasının sağlandığının makul güvencesini vermek üzere bilinen zayıflıkları da içermelidir.

1.5.9 Günümüzde, kriptolama çoğu güvenlik ürününün içinde üretilmektedir. Yaygın olarak farklı uygulamalarda görülebilir; örneğin pazarda, e-posta kriptolamak için kullanılan 128-bir anahtar uzunluğunda DES benzeri algoritmalar yaygındır. Güvenli bir web sayfası ziyaret edildiğinde, verilen güvenlik genellikle SSL (Secure socket layer(SSL) güvenli soket katmanı), tarayıcı sürümüne bağlı olarak değiĢen sağlamlıklarda kriptolama sunar.

5

2. ġĠFRELEME YASALARI/DÜZENLEMELERĠ 2.1 E-ticaret 2.1.1 Elektronik ticaretin geliĢmesi kriptolamanın kullanımıyla sıkı sıkıya bağlantılıdır, çünkü aksi takdirde internetin doğal

anarĢisinin baskın olacağı ortama düzen ve güvenlik getiren güvenli bir yöntemdir. 2.2 Hükümetin Kriptolama YaklaĢımı 2.2.1 Çoğu hükümetin kriptolama teknolojilerinin geliĢtirilmesine rehberlik etme arzusu gerçekten güçlü kriptolama ürünlerinin

yayımlanmasını ve ihracatını, kendi ulusal güvenlik çıkarları nedeniyle kısıtlamıĢtır. Hükümetler, kriptolamayla ilgili genellikle iki yaklaĢımdan birini kullanmaktadırlar.

2.2.2 Avrupa Birliği (AB), kriptolama yöntemleri ve kod çözücü aygıtların ticaretini ve kullanımını içeren hizmetleri de içeren bilgi hizmetlerinin ve telekomünikasyonun daha büyük bir serbestlik seviyesine ulaĢmasını amaçlar. AB üyesi ülkelerine, ulusal yasalarını topluluk yönetmelikleriyle uyumlu hale getirmeleri için baskı yapmaktadır. Avrupa ülkeleri, serbest piyasa ve gizlilik gereksinimleri hakkında oldukça hassas gözükmektedirler, örneğin:

Fransa, ücretsiz kriptolama kullanımını 40 bayttan(bite) 128 bayta çıkarmıĢken kriptolama kullanımına tam serbesti sağlama çabasındadır.

4 TechWeb Ansiklopedisi

5 Ouellette, Tim; "Encryption Quick Study," Computerworld, 25 January 1999

297

P9 Kriptolama Yöntemleri Üzerindeki Yönetim Kontrolü Değerlendirmesi Usulü (Devamı)

Finlandiya, ulusal kriptolama politikasına dair konumlarını bildiren rehberler serisi yayımlamıĢtır. Rehberlere göre, kriptolama ürünlerinin serbest satıĢı desteklenmektedir ve güçlü kriptolama kullanımı yasalar ya da uluslararası anlaĢmalar tarafından kısıtlanmamalıdır.

Ġrlanda, kriptolamayla ilgili yasama çalıĢmalarına dair gelecekteki anahtar ilkelerini duyurmuĢtur. Kullanıcılar, elektronik ticarette gizliliklerini sağlamak için sağlam ve güçlü kriptolama ürünlerine eriĢim ve bu ürünleri seçme hakkına sahip olacaklardır. Kriptolama teknolojilerinin Ġrlanda‘da üretimi, dıĢalımı ve kullanımı, yasal eriĢimden baĢka herhangi bir yasal kontrole tabi değildir. Kriptolama ürünlerinin ihracatı, AB Ġkili Kullanılan Malların, Teknolojilerin ve Geleneksel Silahların DıĢsatımı Düzenlemelerine göre düzenlenecektir.

Ġspanya, kriptolama yazılımlarının telekomünikasyon amacıyla kullanımına serbestlik sağlayan telekomünikasyon yasasını çıkarmıĢtır.

2.2.3 ABD, Kanada ve Rusya Federasyonu gibi diğer hükümetler ulusal güvenlikleri hakkında, hem yurtiçinde hem yurt dıĢında daha kaygılıdırlar.

E-gizlilik Yasası (Kriptolamanın Siber uzayda Bireylerin Haklarını Çiğnenmekten ya da Ġstismarında Koruması) ABD‘de önerildi fakat asla kabul edilmedi. Taslağın amacı, yasal iletiĢimlerin güvenlik, gizlilik ve bireysel gizliliğin ve mahremiyetin ve anayasal hakların dijital ortamlarda desteklenmesi için kriptolamanın kullanımını serbestleĢtirmekti. 2000 yılında ABD hükümeti, yeni kriptolama ihracatı düzenlemelerini yayınladı ve bundan sonra ABD‘deki Ģirket ve kiĢiler için, kullanılan teknoloji türü ya da dayanıklılıklarına bakılmaksızın güçlü kriptolama ürünlerinin ihracatı çok daha kolay hale geldi. ABD‘deki HIPAA sağlık bilgilerinin aktarımında kriptolama kullanımını zorunlu kılar.

Teknoloji sağlayıcıların, son kullanıcıların ve genel anlamda kamuoyunun baskısı, hükümetlerin kriptolama kullanımı serbestliğini daha yüksek seviyelere çıkarmasını sağlayabilir.

3. ġĠFRELEME TEKNOLOJĠLERĠ USULLERĠ 3.1 ĠletiĢim Ortamı 3.1.1 ġifreleme teknolojisi, aĢağıdakilerden en azından birinin doğru olduğu iletiĢim ortamında kullanılmalıdır:

Keyfi olarak eklenen veri yoktur.

Ağdan geçen bilgi gizlidir ve korunması zorunludur.

Ġstenen hizmet sadece izinli kullanıcılara verilir.

Bir kullanıcı aldığı belirli bir iletiyi inkar edemez (Adres doğrulama).

Her alıcı, göndericinin kimliğinden emindir (Gönderici doğrulama).

Yasal zorunluluklar ya da en iyi alan uygulamaları dikkate alınır.

3.1.2 AĢağıdaki kontrol listesi belirli konuları kapsar:

Kriptolamanın Konuları

Kriptolama Yöntemleri Üzerindeki Yönetim Kontrolleri Ġçin Önerilen Değerlendirme Usulü √

Kurumsal Yönetim

Anahtar yönetim kontrol önlemleri sorumluluklarının açıkça tanımlanmasını da içeren yazılı usul ve politikaların var olduğunu doğrulayın, bu noktada anahtar oluĢturma/yaratma; değiĢiklikler için kontrollü değerlendirme sürecini (üretim ortamına) içeren yükleme; ulaĢtırma, depolama; iyileĢtirme; kullanım dıĢı bırakma, ayırma/yok etme; çalınma ve gerekli kullanım sıklığı da içerilmelidir. Bunlarla birlikte, usuller anahtar güvenliliği zorunluluğu ve anahtarın üretim iĢleme ortamına uyarlanmasında da zorunluluk olmalıdır.

Hassas sayılması ve kriptolanması gereken veriyi tanımlamak için konmuĢ açıkça tanımlı yazılı usullerin olup olmadığını belirleyin. Ayrıca, bu usulün kriptolamanın ne zaman ve nasıl uygulanması gerektiğini kapsayıp kapsamadığını belirleyin. Özel olarak, kriptolanan verinin durağan veritabanında ya da dosya biçiminde mi olduğunu veya sadece internetten aktarılırken kriptolandığını belirleyin. Yukarıdakilerle birlikte, koruncak veri ve onun özelliklerinin listesinin yapılıp onaylandığını belirleyin. Ayrıca, korunan her veri unsurunun finansal değerinin ve korunma maliyetinin tahmin edilip edilmediğini belirleyin. NOT: Kriptolamayla, tamamen gizliliği gereken bilgi varlıklarının listesini gözden geçirirken Ģunları da dikkate alınız. Güvenliksiz ağ (internet) üstünden aktarılan veri, sadece özel durağan iç ağ iĢ istasyonları IP adreslerine güvenen iç ağ parçalarındaki kontrollü veritabanından daha fazla güvenliğe ihtiyaç duyar. Ayrıca, verinin kriptolandığı veritabanında kriptonun kopyalanmadığını ve risk değerlendirmesi bunu gerektirmiyorsa aktarım sırasında ikinci kez Ģifrelenemediğini doğrulayın. Kısaca, BS Denetçisi, kriptolanacak bilgiyi, kriptolama seviyesini ve kriptosu çözülen bilgia kimin eriĢeceğini belirlemek için usul ve politikaların var olduğunu doğrulamak zorundadır. BS Denetçisi, denetlenene, etkili örgütlenmeye, uygun biçimlendirmeye dayanan kriptolama teknolojilerinin baĢarısını bildirmelidir. Yönetimin çeĢitli sayıdaki manuel usulleri ve kriptolama sistemini bilen insanlar üzerinde kontrolü kurumsallaĢtırdığını doğrulayın ve en azından:

Fiziksel olarak yönetilmesi gereken bütün anahtarların sürdürümü ikili kontrolle olmalıdır.

Kriptolama sisteminin gücü, anahtarların gizli kalmasına bağlıdır. Ġdeal olanı, kimsenin kripto anahtarlarını kullanmasına ya da görmesine izin vermemektir.

Anahtarlar iki ayrı anahtar unsurundan oluĢmalı ve ayrı bilme ve ikili kontrol kavramları bağlamında sadece birisi aynı kiĢi tarafından bilinmelidir.

Anahtarlar programcılar ya da kullanıcılarca, eriĢilemeyen bir bilgisayarda saklanmalı ve sanal eriĢim yönlendirici kontrolü ve güvenli alan/odada hava boĢluğundan fazlasına izin vermeyen sağlam kontroller olmalıdır.

Kriptolama Sistemi Tasarım

KuruluĢun, etkin ve etkili kriptolama algoritmasının seçmek için kullandığı sürecin bir sürecin olduğunu doğrulayın. Seçmek için hangi algoritmanın en iyisi olduğunu belirlerken, yönetim kriptolama sisteminin çalıĢacağı ortamı dikkate almalıdır:

298



Kıstası Yeterli bütünleĢmeyi sağlamak için sistem aktarım ve iĢlem türü

Performans hizmet seviyesini sağlamak için gereken kısaltma da dahil olmak üzere aktarım yolları

Kullanıcıların ve iĢletmenlerin sistem ve anahtarları kullanmak için beceri ve eğitimleri

ĠletiĢimin güvenli ve güvenilir olmasını sağlamak için iĢletim ortamıyla bütünleĢme

Uygulama ve amaçlar bağlamında algoritma etkilidir

Yönetimden, seçilen algoritmanın istenen seviyede (Risk analizine göre) koruma sağladığını, maliyet etkin ve uygun olduğunu kanıtlayan belgeleri sağlayın ve gözden geçirin. Örneğin, sağlam bir kriptolama sistemi, pahalı ve bilgisayar kaynaklarını tüketici olabilir ve kurum içi aktarımlarda istenen koruma için gerekli olmayabilir.

Yönetimin arayüzlerde ve diğer sistemlerde, en az etkiyi sağlamak için diğer BT iĢlevleriyle iĢbirliği yaptığını doğrulayın. Böyle bir kriptolama sistemi seçiminde, sistem programlama ve BT içindeki UNIX idaresi gibi baĢlıca iĢlevsel alanlar, korunan verinin önemine (Ekonomik değerine) göre –Veri gizliliği ve bütünlüğü gereğiyle birlikte- dikkate alınmalıdır. Sistem mimarisiyle bütünleĢtiğini doğrulayın. Kriptolama sistemi, normal iĢletime ve sistem mimarisine müdahale etmemelidir.

Seçilen algoritmanın kripto çözme maliyetinin yetkili kullanıcıya yeterli maliyet engelleyici seviyede yansıdığını yönetimden edinilen kanıtlayıcı belgelerle doğrulayın. Bilgisayarlar giderek hızlandığından yeni algoritmalar ve daha uzun anahtarlar gerekmektedir. Kriptolu iletinin, kriptosunu çözme maliyeti bilginin kendisinin değerini geçmemelidir.

Yönetimin Ģifreleme sistemini uygulamalarla uyuĢur kılarken ilgili standartlara bağlı kalıp kalmadığını belirleyin. ġifreleme sistemleri içim SSL gibi standartlar vardır ve bunlar çeĢitli yazılım/donanım düzlemleri arasında uyuĢurluğu sağlarlar.

Yönetimin ilgili yerel ve uluslararası yasal düzenlemeleri uyup uymadığını belirleyin. Çoğu ülke kriptolama teknolojilerinin kullanımını yasalarla düzenlemiĢtir. Çoğu satıcı, iĢletme kurallarına sahiptir.

Sistemin sağlamlığını ve saldırılamazlığını kanıtlayan belgeleri yönetimden edinin ve gözden geçirin. Algılayıcı kiĢinin Ģifreleme algoritmaları bilgisi ya da kullanılan donanım/yazılım güvenirliğini azaltmamalıdır. Kurum için algoritma yaratmaktansa anahtar oluĢturmada bilinen ve test edilmiĢ algoritmaları kullanmak daha etkili olabilir. Ġyi (güçlü) kriptolama sistemi güvenliği algoritma değil sadece anahtar gizliliğine bağlıdır.

Anahtar Yönetimini Kapsayan Kriptolama Sistemi Üzerinde DeğiĢiklik Kontrolü

Denetim testiyle, kriptolama sistemi değiĢiklikleri ve güncellemelerinin kontrol altında olduğunu ve var olan yazılı politika ve usullere göre sadece yetkili kiĢilerin bunları gerçekleĢtirdiğini doğrulayın. Anahtar aktarımı için özel bir usul olduğunu doğrulayın. Anahtarın açıklanmasının taĢıdığı risk, alıcı(lar)ya anahtar aktarılmak zorunluluğunda daha da yüksektir.

Anahtarların zamana bağlı olarak kullanım dıĢına çıkarılmasının politikaları ya da en iyi alan uygulamaları temelinde olup olmadığını belirleyin. YanlıĢ ya da gereksiz değiĢiklikler ve güncellemeler kripto sisteminin etkililiğini azaltır.

KurcalanmıĢ anahtarların uygulamalarda kullanımına dikkate edilmelidir, bir güvenlik zayıflığı doğabilir. Özel olarak, anahtarlar sadece kurcalanamayacak yerlerde saklanmalıdır ve program ya da iĢletim sistemlerinde açık yazı olarak durmamalıdır, aksi takdirde yönetimin haber olmadan anahtarlar eĢleĢtirilebilir.

Anahtarların üretime yükseltilmesi seçilmiĢ güvenlik personeliyle ve sadece yükseltme güvenliği sağlanırken yapılmalıdır.

Anahtar kopyaları programcıların ya da kullanıcıların eriĢim sağlayabileceği ortamlarda ya da test ortamlarında saklanmamalıdır.

Kullanıcı ve iĢletmenlerin anahtarları kurcalamadığını doğrulayın. Otomatik anahtar yönetim sistemi bir anahtar Ģifresinin açıklanması riskini azaltabilir.

Kriptografik sistem anahtarının uzunluk, oluĢum ve anahtar yönetimi gibi gerekli kıstasları karĢıladığını doğrulayın.

Kripto sistemi anahtarının oluĢturulmasının ve değiĢtirilmesinin kolay olup olmadığını ve böylece Ģüpheli bir eĢleĢme ve düzenli olarak değiĢtirilme gerekliliğinde hızla değiĢtirilebileceğini belirleyin.

Kripto sistemine eriĢim için kullandığı anahtarın (Ya da bunun kullanım kilidini açacak parolanın) kolaylıkla tahmin edilemez olduğunu belirleyin.

Güvenlik mühendisi ya da denetlenenle görüĢerek Ģifre sistemi anahtarının, Ģifre sisteminin (algoritma) kullanım kolaylığı için kolaylıkla değiĢtirilebildiğini belirleyin. Verinin yetkisiz görüntülenme riskini dikkate alarak anahtarı sıklıkla değiĢtirmek gerekebilir.

299



Dijital imza Özel anahtarların asla yedeklenmemesi için yönetimin kurumsallaĢtırdığı kontroller olup olmadığını belirleyin. Özel bir anahtarı yedeklemek, riske açıklığı artırır. Ancak, genel anahtarlar yedeklenerek sona erme ya da iyileĢtirme ertesinde imzalar onaylanabilmelidir.

Yönetimin Ģifreleme ve dijital sertifikalandırma için farklı anahtar çiftleri kullanıp kullanmadığını belirleyin. Hükümet birimleri, özel Ģifre anahtarlarına gereksinebilir. Ancak, uygulanabiliyorsa doğrulayın, hükümet birimleri dijital imzalar için eĢ zamanlı anahtar almaz.

ġifre algoritması geçerlilik koĢulları

Yorucu, analiz ve istatistik saldırılarıyla çözülmeyi engelleyecek kadar karmaĢık matematik denklemleri ve formülleri gereğinin yönetim tarafından dikkate alınıp alınmadığını belirleyin. Açık metnin algoritma parçası ve ilgili kripto metni, saldırgan tarafından bilinse bile gerekli sağlamlıkla, kripto anahtarı olmadan tüm metni okunmasını sağlamak imkansızdır.

Matematiksel olarak daha az karmaĢık algoritmaların kullanıldığı yerlerde, yönetimin iletiyi iyileĢtirmek için gerekli maliyet ve zamanın, programlama adımları yada bilgisayar belleği açısından, yüksek olduğunu dikkate aldığını doğrulayın. ġifre çözme maliyeti, kriptolama sisteminin koruması gereken bilginin değerini aĢmamalıdır..

1. YÜRÜRLÜK TARĠHĠ 4.1 Bu rehber 1 Ocak 2005‘ten itibaren bilgi sistem denetimlerinde etkilidir. Kullanılan terimlere dair tam bir sözlükçe ISACA web

sitesinin www.isaca.org/glossary adresinde bulunabilir. EK Kaynak Piper, Fred; Simon Blake Wilson; John Mitchell; Digital Signatures Security & Controls, BT Governance Institute, USA, 1999


300

P10 ĠĢ Uygulaması DeğiĢiklik Kontrolü 1. GEÇMĠġ

1.1 Standartlarla Bağlantı 1.1.1 S6 Denetim Görevinin Yürütülmesi Standardı, ―BS Denetim personeli, denetim hedeflerinin baĢarıldığının ve

yürürlükteki mesleki denetim standartlarının karĢılandığının makul güvencesini sağlamak amacıyla gözetlenmelidir. BS Denetçisi, denetim süresi boyunca denetim hedeflerini baĢarmak için yeterli, güvenilir ve uygun kanıtları sağlamalıdır. Denetim bulguları ve sonuçları, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir‖ Ģeklinde ifade eder.

1.1 COBIT Bağlantısı 1.2.1 AI2 Yüksek seviye kontrol hedefleri (uygulama yazılımı edinimi ve bakımı), ―ĠĢ süreçlerine etkili destekleyen otomatik

iĢlevleri sağlamak için iĢ gereksinimlerini karĢılayan uygulama yazılımı edinimi ve bakımı BT iĢlemi üzerindeki kontrol iĢlev ve iĢletime dair belli gereksinimlerin bildirimi ve açık çıktıların aĢamalı uygulamasıyla sağlanır ve aĢağıdakiler dikkate alınır: ĠĢlev testi ve kabulü Uygulama kontrolleri ve güvenlik gereksinimleri Belgeleme gereksinimleri Uygulama yazılımı yaĢam döngüsü Kurum bilgi mimarisi Sistem geliĢtirme yaĢam döngüsü metodolojisi Kullanıcı – makine arayüzü Paketin isteğe uygun uyarlanması‘ Ģeklinde ifade eder.

1.2.2 Yüksek seviye kontrol hedefi AI3 (Teknoloji altyapısı edinimi ve bakımı) ,―ĠĢ uygulamalarını desteklemek için uygun platformların sağlanmasında iĢ gereksinimlerini karĢılayan teknoloji altyapısı edinimi ve bakımının BT süreci üzerinde kontrolü, makul yazılım ve donanım satın alınması, yazılımın standardize edilmesi, donanım ve yazılım performansının değerlendirilmesi ve tutarlı sistem idaresiyle sağlanır ve aĢağıdakileri dikkate alınır:

Teknoloji altyapısının düzenlemeleri ve standartlarıyla uygunluk

Teknoloji değerlendirmesi

Kontrollerin kurulum, bakımı ve değiĢikliği,

Güncelleme, dönüĢtürme ve yer değiĢtirme planları

Ġç ve dıĢ altyapıların ve/veya kaynakların kullanımı

Tedarikçi sorumlulukları ve iliĢkileri

DeğiĢiklik yönetimi

Toplam sahiplik maliyeti

Sistem yazılım güvenliği‘ Ģeklinde ifade eder. 1.2.3 Yüksek seviye kontrol hedefi AI6 (değiĢiklik yönetimi) , ―kesinti, yetkisiz değiĢiklik ve hata olasılığını en aza indirmek

için iĢ gereksinimlerini karĢılayan BT değiĢiklik yönetimi iĢlemi üzerinde kontrolü, bütün istenen değiĢikliklerin analizi, uygulaması ve izlenmesi sistem yönetimi tarafından sağlanır, mevcut BT altyapısını değiĢtirir ve aĢağıdakiler dikkate alınır:

DeğiĢikliklerin tanımlanması

Sınıflandırılması, önceliklendirilmesi ve acil durum usulleri

Etki değerlendirmesi

DeğiĢiklik yetkilendirmesi

Sürüm yönetimi

Yazılım dağıtımı

Otomatik araçların kullanımı

Konfigürasyon yönetimi

ĠĢ Süreçlerinin yeniden tasarlama‘ ġeklinde ifade eder.

1.2.4 Ayrıntılı kontrol hedefi PO9 (risklerin değerlendirmesi), ―KarmaĢıklığı azaltarak, nesnelliği yükselterek ve önemli karar faktörlerini tanımlayarak tehditleri karĢılayarak ve BT hedeflerinin gerçekleĢtirerek yönetimin kararlarını destekleyen ve iĢ gerekliliğini karĢılayan BT risk değerlendirme süreci üzerindeki kontrol, yönetimin BT risk tanımlaması ve etki analizine, disiplinler arası iĢlevlerin gerektiren ve riskleri azaltmak için etkin maliyetli önlemler almasıyla sağlanır ve aĢağıdakiler dikkate alınır:

Risk yönetim sorumluluğu ve hesap verebilirlik

Farklı türdeki BT riskleri (teknoloji, güvenlik, süreklilik, düzenleyici, vb.)

TanımlanmıĢ ve bildirilmiĢ risk tolerans profili

Sebep sonuç analizi ve risk beyin fırtınası oturumları

Niceliksel ve/veya niteliksel risk önlemleri

Risk değerlendirme metodolojisi

Risk eylem planı

Zamanında yeniden değerlendirme‘ ġeklinde ifade eder.

301

P10 ĠĢ Uygulama DeğiĢiklik Kontrolü (DEVAMI) 1.2.5 Ayrıntılı kontrol amacı PO10 (proje yönetimi) , ―Öncelikleri belirlemek ve zamanında ve bütçe sınırları içinde teslim iĢ

gereksinimlerini karĢılayan BT proje yönetim süreci üzerinde kontrol, yüklenilen her bir proje için kurumun faaliyet planı, proje yönetim teknikleriyle uyumu ve uygulanmasına uygun olarak kurum tarafından projelerin tanımlanması ve önceliklendirilmesiyle sağlanır ve aĢağıdakiler dikkate alınır:

Projelerin iĢ yönetimince desteklenmesi

Program yönetimi

Proje yönetim yeterlilikleri

Kullanıcı katılımı

Görev dağılımı, kilometre taĢı tanımları ve aĢama onaylamaları

Sorumlulukların dağıtımı

Kilometre taĢlarının ve çıktıların anlık izlenmesi

Maliyet ve emek gücü bütçesi, iç ve dıĢ kaynaklar dengelemesi

Kalite güvence plan ve yöntemleri

Program ve proje risk değerlendirmesi

GeliĢtirme aĢamasından iĢletime geçiĢ‘ Ģeklinde ifade eder. 1.2.6 Ayrıntılı kontrol hedefi PO11 (kalite yönetimi) ,‖ Öncelikleri belirlemek ve zamanında ve bütçe sınırları içinde teslim iĢ

gereksinimlerini karĢılayan BT proje yönetim süreci üzerinde kontrol, kurumun faaliyet planlarıyla yüklenilen her bir proje için doğru proje yönetim tekniklerinin uyumu ve uygulanması ve faaliyet planının projelerin tanımlanması v önceliklendirmesinin kurum tarafından uygunluğu ile sağlanır ve aĢağıdakiler dikkate alınır:

Projelere yönetimin desteği

Program yönetimi

Proje yönetim yeterlilikleri

Kullanıcı katılımı

Görev dağılımı, kilometre taĢı tanımları ve aĢama onaylamaları

Sorumlulukların dağıtımı

Kilometre taĢlarının ve çıktıların anlık izlemesi

Maliyet ve insan gücü bütçesi, iç ve dıĢ kaynaklar dengelemesi

Kalite güvence plan ve yöntemleri

Program ve proje risk değerlendirmeleri

GeliĢtirme aĢamasından iĢletime geçiĢ‘ Ģeklinde ifade eder. 1.2.7 Ayrıntılı kontrol amacı DS1 (hizmet seviyeleri tanımı ve yönetimi), ―Gerekli hizmet seviyelerinin ortak anlayıĢını oluĢturmak

için iĢ gereksinimlerini karĢılayan hizmet seviyelerinin tanımlanması ve yönetilmesi BT süreci üzerindeki kontrol, ölçülecek hizmet nitelik ve niceliğine karĢı performans ölçütlerini belirleyen hizmet seviye antlaĢmasıyla oluĢturulması sağlanır ve aĢağıdakiler dikkate alınır:

Resmi sözleĢmeler

Sorumluluk tanımları

Müdahale zamanı ve boyutları

Ücretlendirme

Bütünlük garantileri

Gizlilik anlaĢması

MüĢteri memnuniyeti kriteri

Zorunlu hizmet seviyelerinin maliyet/fayda analizleri

Ġzleme ve raporlama‘ ġeklinde ifade eder.

1.3. COBIT Referansı 1.3.1 Belirli denetim kapsamına uygulanacak en ilintili COBIT materyalinin tercihi, belli COBIT BS süreci seçimi ve COBIT kontrol

hedeflerinin göz önünde bulundurulması ve ilgili yönetim uygulamaları temeline dayanır. 1.3.2 Seçilen ve uyarlanan süreç ve kontrol hedefi, iĢ anlaĢmasının Ģartlarına ve özel kapsam ve koĢullarına göre değiĢebilir.

Gereksinimleri karĢılamak için CobIT‘teki en çok ilintili olduğu varsayılabilecek seçilen ve uyarlanan COBIT süreçler aĢağıda sınıflandırılmıĢtır:

Birincil:

- PO1—Stratejik BT planının tanımlanması.

- PO5—BT yatırımı yönetimi.

- PO9—Risklerin değerlendirmesi.

- PO10—Proje yönetimi.

302

P10 ĠĢ Uygulama DeğiĢiklik Kontrolü (DEVAMI)

- PO11—Kalite yönetimi.

- AI1—Otomatik çözümleri tanımlama.

- AI2—Uygulama yazılımı satın alma ve bakımı.

- AI5—Sistem kurmak ve yetki vermek.

- AI6—DeğiĢiklik yönetimi.

- DS1—Hizmet seviyeleri tanımı ve yönetimi.

- DS3—Performans ve kapasite yönetimi.

- DS4—Hizmet sürekliliğinin sağlanması.

- DS5—Sistemlerin güvenliğinin sağlanması.

- DS9—Konfigürasyon yönetimi.

- DS10—Sorun ve vaka yönetimi.

- M1—Süreçlerin izlenmesi.

- M2—Ġç kontrolün yeterliliğinin değerlendirmesi.

Ġkincil:

- PO3—Teknolojik yönelimi belirleme.

- PO6—Yönetimin amaç ve yöneliminin bildirimi.

- DS7—Kullanıcıların eğitimi ve yetiĢtirilmesi. 1.3.3 DeğiĢiklik kontrolüyle en ilintili bilgi ölçütleri:

Birincil: Etkililik ve etkinlik

Ġkincil: Güvenirlik, eriĢilebilirlik, uygunluk, bütünlük ve gizlilik 1.4 Usulün Amacı 1.4.1 Bu belge, temelde BS Denetçileri-Ġç ve DıĢ denetçiler- hedeflenmiĢ, bilgi sistemleri eriĢilebilirliği, veri bütünlüğü ve bilgi

gizliliği sorumluluğunu taĢıyan diğer BS uzmanları da bu belgeden faydalanabilir. 1.4.2 Günümüz iĢleri, temel süreçler seti olarak örgütlenmiĢtir. Neredeyse dünyadaki her kurum, etkinlik ve etkililiğin artan (örneğin

hizmet ve ürün kalitesinin artırılması, gelir artıĢı, maliyet azaltma, yeni ürün geliĢtirme gibi); iĢ sahipleri için yüksek kalitede yazılım sağlayan daha iyi, daha hızlı ve daha ucuz değiĢiklik kontrol süreçlerinin baskısına maruz kalmaktadır

1.4.3 Bütün BS Denetimleri gibi, bu usulde tanımlanan bütün test adımlarının hiç biri, gözden geçirilen özel proje geliĢtirmesiyle ilgili risk seviyesi nedeniyle uygulanabilir olamaz. Her bir test adımıyla ilgili çaba ve maliyetin seviyesi, eğer kontroller etkin bir Ģekilde iĢlediği doğrulanıyor ise kuruma bir değer katan makul güvence sağlandığı sürekli olarak değerlendirilmelidir. . Risk değerlendirmesinin tabi olduğu denetim yönetim sorumlusu kararı temelinde riskleri azaltan kontroller, bu usulde belirtildiği gibi önemsiz ya da etkisiz addedildiği için denenemeyebilir. Buna göre, test edilmesi gereken kontrolleri ve usulde tanımlanan hangi adımların uygulanabilir olduğunu belirlemek için risk değerlendirmesi yapılması önerilir.

1.4.4 BT denetim yönetimince, bu usulde tanımlanan test adımlarının çokluğu nedeniyle, etkili denetim planlaması ve yürütmesi için Proje Yönetim Enstitüsünün (PMI) proje yönetim yaklaĢımında kullanılan beĢ adımın uyarlanması dikkate alınmalıdır.

2. SĠSTEM GELĠġTĠRME YAġAM DÖNGÜSÜ (SDLC) 2.1 Genel Amaç 2.1.1 SDLC denetim amacı, yönetim tarafından onaylanan proje gereksiniminde tanımlanan çıktıları tam olarak karĢılayan

sistemlerin geliĢtirilmesi ya da edinilmesini değerlendirmek, edinilen ya da geliĢtirilen sistemin bütçe sınırları içinde olmasını değerlendirmek ve projenin tanımlanan çıktılarının bütçe sınırları içinde kalmayı baĢarıp baĢaramadığını üst yöneticiye ve/veya denetim komitesinin kurulunun yöneticilerine raporlamaktır.

2.1.2 iç denetim biriminin (IAD) SDLC denetimsi yapıldığında bütün hedefleri aĢağıdakilerin olup olmadığını değerlendirmektir:

ĠĢ süreçleri ve sistemler, yeterli iç kontrole sahip olarak tasarlanmıĢ ve uygulanmaktadır.

Proje yönetimi, proje hedeflerinin baĢarılması için makul güvenceyi sağlamaya yeterlidir

Bütçe tahminleri gerçekleĢtirilmiĢtir

Zorunlu iĢ iĢlevleri baĢarılmıĢtır.

Proje takımı, sistem geliĢtirme faaliyetleri, sistem kalitesini ve kurum politikalarına bağlılığı izlemek için kontrollü ve yapılandırılmıĢ bir yaklaĢım kullanıyorlar

2.1.3 Sistem geliĢtirmenin her bir aĢamasının izlemesini sağlamak için SGYD takımına yardımcı olacak ayrıntılı bir süreç geliĢtirilmiĢtir:

Kontrol sorunlarının zamanında tanımlanması (sistem, iĢ, yöntem ya da proje yönetimi)

Proje yaĢam döngüsü süresince, iç kontrol yapısının değerlendirmesine önceden katılım

ĠĢ süreçleri ve iĢlevlerinin artan bilgi nedeniyle gelecek denetim kapsamının geliĢtirilmesi

303

P10 ĠĢ Uygulama DeğiĢiklik Kontrolü (DEVAMI) 2.2 SGYD AĢamaları 2.2.1 SGYD aĢama amaçları, sistem geliĢtirme yaĢam döngüsünün her geliĢtirme aĢaması için özel denetim program ları

kullanacaktır. Ayrıca, proje yaĢam döngüsünün bütün aĢamalarını kapsayan genel proje yöntem i çerçeve denetim programı kullanılacaktır. SGYD, denetiminin baĢlıca aĢamaları tipik olarak:

ĠĢ gereksinimleri tanımı

Proje baĢlatma

Tasarım ve geliĢtirme(yapılandırma)

Test

Uygulama

Uygulama sonrası 2.2.2 Ancak, kullanıcı arayüzü (UI) tasarımını, ek kontrol iĢlemlerini içeren öngörülen geliĢtirme mekanizması, gözden geçirme

kapsamında gerekli olabilir ve içerilebilir. BS Denetçisi, bu sürece paralel olarak ve SGYD süreci boyunca UI tasarımı ve uygulama kodları arasındaki eĢgüdümün yeterliliğini testidir.

2.2.3 AĢamaların adları, SGYD yöntemine göre değiĢebilir; ancak kritik hedefler ve çıktılar tutarlıdır. Ayrıca, sistem geliĢtirme projesi aĢamalar,ı eĢ zamanlı olarak çalıĢabilir ve kırılma noktaları her zaman net değildir. Bu nedenle, bir özel aĢamanın çıktısı, tamamlanınca bir sonraki çalıĢtırılabilir.

3. ÖNEMLĠ KONTROL RĠSKLERĠNĠN OLUġTURULMAMASI VEYA BAĞLI KALINMAMASI 3.1 Örnekler 3.1.1 3.2‘deki örnekleri tam kapsayıcı değildir. Bu bilgi, risklerin kontrollerinin oluĢturulmadığı vurgulamayı sağlar.. 3.2 Genel ve Proje Yönetimi 3.2.1 Çıktı gerekli anahtar belgeleri (iĢlevsel gereksinim tanımı, teknik özellikler, geliĢtirme, test, belgelerin değerlendirmesi gibi),

değiĢiklik için artırılan kaynaklar ve yazılım değiĢikliği hesap verilebilirliğini oluĢturmak için iĢ sahibi tarafından onaylanmalıdır. Bu onay olmaksızın, BT ve iĢ sahiplerinin yapılan iĢ ve iĢin nihai çıktısı konusunda anlaĢmazlık riski vardır.

3.2.2 Proje ya da BT yönetici, diğer BT alanları ve iĢ sahipleriyle yazılım değiĢikliği etkisini değerlendirmek için çapraz iĢlevler toplantısı yapmalıdır. Bu görüĢmenin tutanakları hazırlanmalı ve etkileri gereksimin ve tasarıma yansıtılmalıdır. Bu etki değerlendirmesi olmaksızın, diğer iĢ birimleri olumsuz olarak etkilenebilir ya da tasarım etkinliğinin kaybı yaĢanabilir.

3.2.3 Modüler (ayrı) yazılım geliĢtirme çabaları, farklı geçitlerden farklı unsurları hızlandırma (tasarıma karĢı geliĢtirme) sonucu doğurabilir. Bu bir riske maruz kalmamasına karĢılık, iĢin geliĢiminin ertelenmesiyle sonuçlanabilecek nedensel sorunları içermeyen konu veya sorun listesi oluĢturma ihtiyacı genellikle vardır. Bu liste, geliĢtirme guruplarında yazılım geliĢtirme guruplarından, iĢ sahiplerine ve yüksek seviyede yönetime kadar tüm taraflarca onaylanmalıdır.

4. SGYD YÖNTEMĠ 4.1 ĠĢ Gereksinimleri Tanımı

Resmi sona erdirmeyi yaratmak ya da tam olarak gözden geçirmek için iĢ sahibinin gereksinimleri 3.2.1'de belirtilmiĢtir. Bu kontrol olmaksızın, iĢ birimleri proje / istem ayrılıklara yol açabilir - BT iĢ birimin ihtiyaç duyduğu iĢlevselliği yapılandırmayabilir.

4.2 Proje BaĢlatma 4.2.1 ĠĢ uygulamalarıyla gerekli bütün projeler/istekler yazılım kusurları ve geniĢletmelerini kapsayan iĢ alanlarından baĢlamalıdır.

Proje için öngörülen gerekli kaynaklar ve kapsamı, iĢ alanları tarafından tanımlanmalı ve/veya anlaĢılmalıdır. BT, bu kontrol yoksa, iĢ birim bilgisi olmaksızın yeni iĢlevleri güncelleme, uygulama ve değiĢiklikleri yapabilir.

4.2.2 Sorun/destek masası, iĢ sahipleri ve ilgili yönlendirme görüĢmeleri temelinde açılan konunun önemini belirler ve yönlendirir. Eğer sorun biletleri (sorun konuları) uygun biçimde önceliklendirilmediyse ve yönlendirilmediyse, yazılım değiĢiklikleri veya bakımı kaynakları etkili olarak uygulanamayabilir.

4.2.3 BT, iĢ sahibinin bütün proje ve istemlerini izlemek için, bir izleme sistemi kullanılmalıdır. Yardım masası biletleri ve sürüm kontrol kaynakları çapraz referanslı olmalıdır. Bu kontrolün olmaması durumunda, proje baĢlatma uygun biçimde kaydedilemeyebilir ve BT yönetimine görülebilir olmayabilir.

4.2.4 DeğiĢiklik karmaĢıklık ve büyüklüğünün bilinmesiyle, proje ya da BT yönetimi hangi belgenin üretilmesi gerektiğine karar vermelidir. Eğer bu kontrol yerinde yoksa, gerekli kontrollere bağlılığı göstermek üzere çok az ya da çok fazla belgeleme gerekebilir (tasarlama ve geliĢtirme süresi 30 saatten az olan küçük projeler için maliyet etkin değildir.

4.3 Tasarım ve GeliĢtirme (Yapı) 4.3.1 ĠĢ sahibin bu yeni iĢlevselliğe eriĢebilirlik rolünü tanımlamayı da içeren iĢlevselliğe uygun eriĢim güvenliğinin konulduğunu

belirleyin. Güvenlik dikkate alınmadan uygulanırsa, iĢ bilginin uygusuz görüntülenmesi ve değiĢikliği vuku bulabilir. 4.3.2 Sürüm kontrolünün yerindeliğini belirleyin. Eğer sürüm kontrolü yerinde değilse, BT yönetimi bilgisi dıĢında ve/veya kod

üstüne yazılma ya da dayanak yönetimi eksikliğinde üretim ortamında yeni bir modül ya da iĢlevsellik yapılandırmasındaki riskler artar.

4.3.3 ĠĢ kullanıcılarından, istemcilerden ve etkilenen diğer alanlardan, uygulama öncesi yazılı yetkilendirme alındığını belirleyin. Eğer alınmıyorsa, yeni uygulamanın ve/veya uygunsuz kodun proje/istem kapsamındaki bütün paydaĢların bilgisi olmaksızın gerçekleĢtirilmesi riski artar.

304

P10 ĠĢ Uygulama DeğiĢiklik Kontrolü (DEVAMI) 4.4 Test 4.4.1 ĠĢ kullanıcıları ya da uygulama geliĢtirme grubu dıĢındaki görevlendirdikleri, test koĢullarını ve test planını gözden geçirerek

genel test döngüsünün uygunluğunu sağlamalıdırlar. Ayrıca, gereksinimlerin büyüklüğü ve karmaĢıklığına bağlı olarak, çapraz referans ya da izlenebilirlik matrisi kullanılmalıdır. Ġzlenebilirlik matrisi, kullanım durumları da dahil olmak üzere test durumu gereksinimleriyle eĢleĢmelidir. Test koĢullarının uygun gözden geçirmesi olmaz ise, testlerde eksiklikler ortaya çıkabilir.

4.4.2 ĠĢ sahipleri, istediklerinin nedenlerini doğrulamak için test sonuçlarını (kullanıcı kabulü testi gibi) gözden geçirmelidir. ĠĢ kullanıcıları (ya da BT uygulama geliĢtirme grubu dıĢından temsilcileri) test sonuçlarını gözden geçirmeden ve kabul etmeden, test sonuçlarının gerçek geçerliği/doğrulaması doğru değildir ve proje/istekler karĢılanmıĢ olmaz.

4.4.3 Uygulama geliĢtirme BT yönetici (ya da programcıların uygun üst personeli), üretime sokulan kodları (değiĢiklikleri) gözden geçirmeli ve onaylamalıdır. Bu kontrol yoksa, BT yönetimi istenilen yeni iĢlevselliğin üretim aĢamasına sokulduğunun farkında olamayabilir. Not: Bu kontrole sahtekârlıkları belirlemede güvenilmemelidir.

4.5 Uygulama 4.5.1 Ayrıca, uygulama geliĢtiriciler, kodu üretime geçirebilme olanağına sahip olmamalıdırlar. Bu kontrol yok ise, yazılımda

yetkisiz değiĢiklikler ortaya çıkabilir. Ek olarak, iĢ bilgininde kontrol edilmeyen ya da yetkisiz değiĢiklikler sahtekârlıklara ve aykırılıklara yol açabilir. Son olarak, zararlı programlar üretim ortamına sokulabilir ki bu da sistem eriĢilebilirliği, veri bütünlüğü ve bilgi gizliliği sorunlarına yol açabilir.

4.6 Uygulama Sonrası 4.6.1 Sorun/yardım masası fiĢleri, ana neden ve çözüm yönteminin zamanında belgelenmesiyle kapatılmalıdır. Bu kontrol

uygulanmazsa, yazılım değiĢiklikleri ve/veya fiĢteki sorunun hala açık olduğu algısı gereği tanımlanmaksızın sorun yeniden ortaya çıkabilir.

4.6.2 Diğer etkinlikler arasında, hedeflerin baĢarıldığı,uygulamalar için önemli iç iĢ kontrollerin uygulamalarının gözden geçirilmesini saptamak için gözden geçirmeyi gerçekleĢtirilip gerçekleĢtirilmediğinin kapsamalıdır..

5 ÜRETĠM SÜRECĠNĠN SGYD ETKĠLEMESĠ 5.1 Acil DeğiĢiklik Süreci 5.1.1 PlanlanmamıĢ ve acil değiĢiklik alt süreci birlikte, standart değiĢiklik kontrol iĢlemi dıĢındaki araç ve yöntemleri kontrol

ederler. PlanlanmamıĢ değiĢiklik alt süreci kontrolleri değiĢikliği, kaçırılmıĢ teslim süresi ve/veya hedeflenen takvimin kaçırılmasına neden olur. Acil değiĢiklik alt süreci, doğrudan müĢteri hizmet seviyesini etkileyen sistem kesintilerinin çaresi olarak kullanılan araçlar ve yöntemler çevresindeki kontrolleri kurar. Bu bağlamda, acil değiĢiklik, önemi bir kesintinin yeniden ortaya çıkmasından kaçınmak ya da bunu engellemek için 24 saat içinde yapılan uygulama program değiĢikliğidir.

5.1.2 Acil durum iĢlemi yakından yönetilmelidir ki bu nedenle standart değiĢiklik iĢlemini göz ardı etmek için onaylama olmalıdır. Acil değiĢiklik sırasındaki faaliyetler kaydedilmeli ve yönetim tarafından uygulama geliĢtirme ve güvenlik hizmet grubuyla (sistem kullanılabilirliğinin kaldığı yerden devam etmesi için acil değiĢikliği tamamlamak amacıyla programcıya güçlü kullanıcı kimliklerinin verilmesi nedeniyle olabileceği gibi) birlikte gözden geçirilmelidir. Sistem iĢ kullanıcıları açısından kaldığı yerden devam etmeye baĢladıktan sonra aĢağıdaki adımlar atılmalıdır:

Programcının üretim ortamına eriĢiminin kaldırılması.

Sebep sonuç analizini içeren kesinti sonrası tamamlanması.

Acil programın diğer etkilenen sistem unsurlarını(veritabanı, etkileĢimli uygulamalar, değiĢimim ortaya çıktığı yerdeki diğer uygulamalar) düzeltip düzelmediğini belirlemek için tam regresyon testi uygulaması

Program düzeltmenin, iĢ ve yasal değiĢiklik riski temelinde gerekli zaman süresinde kaynak kodların korunması ve yedeklenmesini sağlayan kontrollü program kitaplığından yürütüldüğünü doğrulayın

Daimi bir değiĢiklik söz konusuysa, değiĢikliklerin daha sonraki program modifikasyonlarında üzerine yazılmayacağının makul bir güvencesini değiĢtirilen temel yazılım sürümü için sağlayın,

5.2 Sorun Yönetim Alt Süreci 5.2.1 Sorun yönetme alt süreci, uygulama değiĢikliği sırasında BT hizmetlerini etkileyen sorunları yönetmek için yönü belirli,

sistematik ve kontrollü bir yaklaĢım sağlar. Bu süreç, tüm yaĢam döngüsü boyunca sorun yönetimi için gerekli bütün görevleri içerir. Bu görevler, planlama, test, uygulama ve sorun çıkan hizmetlerin yenilenme usullerini kapsar. Bu kontrolün hedefi, müĢterileri etkileyen tekrar eden sorunları azaltmak ve ortadan kaldırmaktır. Bu sürecin çıktıları, tipik olarak acil ve planlanmamıĢ değiĢiklikler alt sürecini de içerir. Bu süreç, ayrıntılı olarak incelenmeli ve aĢağıdakileri içermelidir :

Sorunlara özel bir yönetim oluĢturulur ve her sistemin kendi sorun sırası var ise hesap verebilirlik oluĢturulmuĢtur

Acil değiĢiklikler, bu alt süreçte ilk olarak tamamen belgelenmiĢtir.

MüĢteri Ģikâyetleriyle ilgili belli istekleri önce bu süreç içinde ilk olarak kaydedilir ve, resmi sistem değiĢiklik istemi verilmeden önce değerlendirilir

Sebep sonuç analizi içeren uygulama sonrası değiĢiklik sorunları konusunda çözümler ve sorunu zamanında düzelten araç ve yöntemlerle tamamen belgelenir

Sorun fiĢleri, çözüm/sistem sorumlusu yöneticisi tarafından kapatılır

305

P10 ĠĢ Uygulama DeğiĢiklik Kontrolü (DEVAMI) 5.3 Tek Seferlik Programlar 5.3.1 Zaman zaman, iĢ özelliği ve eĢsizliği temelinde programlar yaratılır ve bir kere kullanılır. Örneğin bu programlar için

gereksinim özel veri yönetim hizmetini içerebilir. Bu programlar, aynı diğer program yaratma ya da değiĢiklik değiĢim iĢleminde olduğu gibi sistem kullanılabilirliği, veri ve program bütünlüğü riskleri temelinde aynı ciddiyet seviyesine tabidirler. Risk değerlendirmesi temelli bu kontrollerin, daha fazla azaltılması ve uygulaması için bakınız bölüm ―7.3 Test Programı Ġçinde Tanımlanan Kontrol Uygulamaları.‖

5.4 Üretim ĠĢleme Ortamı Üzerinde Kritik Kontroller 5.4.1 Sağlam bir değiĢiklik kontrol iĢlemi kurumsallaĢtırılabilir. Ancak, BS Denetçisi buna uyulmasından emin olmak için ek

önlemleri dikkate almalıdır (örneğin programcıların bu iĢlemi hep birlikte atlatamaması gibi). AĢağıdakiler, BS Denetçisinin sadece değiĢiklik kontrol iĢlemine değil büyük BS projesi uygunluğunu geçerlemesini de sağlar.

5.5 Tespit Edici Kontroller 5.5.1 Yukarıdaki bütün kontrollere karĢılık, programcılar değiĢiklik kontrol iĢlemi dıĢarısında ya da çevresinde üretim iĢleme

ortamında program yürütme yolları bulmaya yetecek kadar bilgilidirler. Bundan dolayı, uygulama geliĢtirme grubu dıĢında, bilgisayar iĢletimleri ya da bazı bağımsız grupların, üretim iĢleme ortamındaki faaliyetleri izleyerek programcılar (programcıya ait kullanıcı kimliğinin yaptığı iĢler gibi) tarafından yürütülen programların (iĢler gibi) tespit edilmesi önerilir. Bilginin bütünlüğünü korumak için bu tespit edici kontroller önerilir.

5.6 Önleyici Kontroller 5.6.1 BS Denetçisi, programcıların güncelleme eriĢimine sahip olup olmadığını belirlemek için üretim veri dosyaları ve veritabanına

eriĢimi gözden geçirmesi gereklidir. Ayrıca, üretim ortamında derleme yapılmamalı, üretim ortamındaki kaynak koda eriĢim olmamalı ve uygulama geliĢtiricilerin kaynak koda kontrol için eriĢimi kısıtlı olmalıdır.

5.6.2 Kuruma bağlı olarak, iĢ ve sistemle ilgili raporları oluĢturmak için ―okuma‖ eriĢimi kabul edilebilir olur ama bu durumda üretim ortamının ya da bilgisayar iĢletimlerinin bu faaliyetleri önden onaylamıĢ olması gerekir. Ancak, sağlam önleyici kontroller üretim iĢleme ortamında, iĢ planı ya da program yürütmeyi kontrol eden bazı otomatik araçlar (örnek:iĢ programları genel olarak bilgisayar iĢletmeni tarafından el ile baĢlatılmaz) dıĢında program yürütülmesini engelleyebilir. ĠĢ planlaması içindeki program yürütme ayarlarının yaratılmasının gözden geçirmesi (örnek, yürütülen programlar gibi) değiĢiklik iĢlemi denetimimim son adımı olmalı ve tüm değiĢikliklerin üretim hizmetleri/bilgisayar iĢletimleri yönetimi tarafından iĢ planına uygunluğunun onaylandığını doğrulayın da içermelidir.

5.7 Zayıf SGYD Süreciyle Ġlgili Riskler 5.7.1 Kontroller, verilen BT gurubu ve kurum büyüklüğüne ve tekil değiĢikliklerin karmaĢıklığına ve büyüklüğüne uygulanabilir.

Buna göre, çeĢitli kontrollerin belli tür değiĢikliklerle (stratejik ya da büyük, küçük, taktik veya acil değiĢiklik) ilintili olduğu karar matrisleri yaratma ve buna bağlı kalma gerekliliği vardır. Bu karar matrisi, program değiĢikliğinde kaynaklanan kabul edilebilir seviyedeki iĢ riskleriyle orantılı kontrol seviyesini sağlayacak olması nedeniyle kurum üst yönetimince onaylanmalıdır.

5.7.2 SGYD‘nin düzenli gözden geçirmesi (BT öz değerlendirme), bu sürecin izlenip izlenmediğini ya da gereksinimlerin güncellenip güncellenmediğini incelemek için gereklidir. Eğer bu kontrol, geliĢtirme ve uygulama çözümleri için süreç geliĢtirme için sürekli güncelleme SGYD noktasında değilse, BT grubu bunu izlemeyebilir ya da riskleri kontrol etmede etkili ve etkin olamayabilir.

6. KAYITLAR 6.1 Kayıt Muhafazası 6.1.2. Kayıtlar, denetim sonunda ulaĢılan sonuç ve bulguları desteklemeye yetecek kadar ayrıntılı olmalıdır. 6.1.2. DeğiĢiklik iĢlemi kontrolüne bağlılığı destekleyen denetim kanıtının korunması, aĢağıdaki değiĢik etmenlere dayanmalıdır, örneğin:

Bilgi hacmi ve onu arĢivleme maliyeti

Yasal gereklilikler

DeğiĢikliğin gelen iĢ gereksinimleri açısından önemi

SGYD sürecini azaltmak ve personel performansını yönetmek için daha sonra yapılacak gözden geçirmelere yönelik olarak proje belgeleme gereksinimi

7. ÖZEL SDLC GÖZDEN GEÇĠRMESĠ 7.1 Bu Usulde Yer Almayan Gözden Geçirmelerin Kapsamı 7.1.1 Farklı yazılım değiĢikliklerinin eĢsiz özelliği ve ilgili teknik gereklilikler yüzünden özelleĢtirilmiĢ SGYD gözden geçirme

gereksinimleri, değiĢiklik iĢlemi içindeki özel elementlerin tanımlanmasını da içerir, bu usul içinde yer almamıĢtır. Örneğin, aĢağıdaki yazılım ve donanım alanı, izleyen kontrollerin çoğu uygulanabilir olsa da eĢsiz olarak ele alınabilir:

SGYD web uygulamaları (çapraz site komutları ya da SQL içermesi gibi ve benzeri zayıflıklar için)

Yazılım kaynak kod gözden geçirmesi (yazılımların zararlı ve sahte kodlara karĢı gözden geçirilmesi gibi)

Özel teknik sistemler için iĢ yazılımları (EFT sistemleri)

306

P10 ĠĢ Uygulama DeğiĢiklik Kontrolü (DEVAMI) 7.2. Test AnlaĢması 7.2.1. Yapılacak değiĢiklik kontrol testi türü üzerinde anlaĢmaya varılmıĢ olmalıdır. Bu anlaĢma, yeterli kalite güvencesi

olmaması, testlerin iĢ kesintilerine sebep olması, değiĢiklik kontrol iĢlemlerinin ortaklaĢa genel maliyet/faydasını,gibi yazılımların ortak sorunlarına dayanması öngörülmelidir.

7.3. Test Programında TanımlanmıĢ Kontrollerin Uygulanması 7.1.3. BS Denetçisi için, proje büyüklüğünün tamamlanması için gerekli (gerekli çaba seviyesi) zaman çizgisi ile sürece

uygulanan uygun kontrol seviyesinin değiĢikliğinin kritikliği arasında dengeyi sağlamak zorunludur. Bu nedenle, aĢağıda önerilen usullerin tamamı her yazılım değiĢikliğine, özellikle küçük projelere uygulanmayabilir. Ancak, bu kontrollerin yerine olmamasıyla ilgili riskleri doğrulamak için bu kontroller yönetimle görüĢülmeli ve değerlendirilmelidir.

8. DEĞĠġĠKLĠK KONTROLÜ TESTĠ PROGRAMI

ÖNERĠLEN DEĞĠġĠM KONTROL TESTĠ SÜREÇLERĠ (+/-)

Planlama ve

YÖNETĠM VE

Devamı

Değerlendirme büyüklüğü, zamanlaması ve özellikleri temelinde kapsamı tanımlayın. ĠĢ ve yasalar

bakıĢıyla resmi risk değerlendirmesi, farklı yazılım değiĢikliklerinde gerçekleĢtirilmelidir. Örnek

seçimi, iĢ ortamını düzenleyen gereklilikler, maliyet/fayda, BT çevre etkisi ve benzerini içeren risk

değerine sıkı sıkıya bağlı yapılmalıdır.

Bütün anahtar kontrolleri bütün yazılım değiĢikliklerine uygulamayın. Özellikle, yazılım

değiĢikliklerinin büyüklüğü, kalite gözden geçirme süreci kanıtı için gerekli olan belgeleme

seviyesinin zorluğunu etkiler. OluĢturulacak belge için gerekli koĢullarını tanımlayan karar matrisi

yaratın. Kurumsal büyüklük ve değiĢikliğin karmaĢıklığı kontrol seviyelerini zorlayabilir.. Ancak,

bütün süreçler , görev ayrılığı ve programların üretim iĢleyiĢ ortamına uyarlanmasından önce tam

testiyle ilgili yeterli kontrolleri olmalıdır

Belgelemenin çeĢitli SGYD aĢamalarındaki bütün önemli sorunları/meseleleri içerecek biçimde yaratılıp yaratılmadığını belirleyin. BaĢlıca sorunlara (yumruk liste) dair listenin bir sonraki aĢamaya geçilmeden önce kıdemli BT yönetimi tarafından onaylandığını doğrulayın.

ĠĢ sözleĢmesinde bu denetimin, zararlı kodlar da dahil olmak üzere sahtekârlıkları tespit etme anlamında güvenilir olmadığını, bunun nedeninin de binlerce satırlık kodun gözden geçirilmesinin yorucu doğasının yol açtığı fahiĢ fiyat olduğunu, sözleĢmenin risklere özel olarak iĢaret etme gereği içerilmelidir.

Gerekli Beceriler Es personelince, kullanılan tasarım, geliĢtirme, test belgelendirmesi, standartlar, araçlar ve

yöntemleri kavrayın. BS Denetçisine, Denetlim yönetimince bunun baĢarılması için yeterli eğitim

ve rehberlik sağlanmalıdır.

Kontrol hedeflerinin baĢarılmasında terminoloji, özel araçlar ve yöntemleri kapsayan özel bilgiyi

değerlendirirken BS çalıĢanlarıyla iĢbirliği yapın.

Proje

Yönetimi

Metodolojisi

(Çerçevesi)

Kurum için bütün hedef , proje yaĢam döngüsü boyunca ile bir projeyi yönetmek için genel proje yönetim çerçevesini kurmaktır. Bu çerçeve, en azından asgari seviyede de olsa sorumlulukların dağılımını, görev dağılımı, zaman ve kaynak bütçelemesini, kilometre taĢlarını, kontrol noktalarını ve onaylamaları içermelidir. Proje yönetmek ve izlemek için proje yönetim metodolojisi çerçevesinin oluĢturulduğunu belirleyin. Bu çerçeve en azından proje kapsamını, sorumlulukların dağılımını, görev dağılımı, zaman ve kaynak bütçelemesini, kilometre taĢlarını, kontrol noktalarını ve onaylamaları içermelidir. Proje yöneticisi ile proje metodolojiyi tartıĢın ve hangi SGYD metodolojisinin izleneceğini belirleyin. Yönetim, bir SGYD metodolojisi onaylamıĢsa ve bu SGYD metodolojisi ve politikası metodoloji kullanımını gerektiriyor ise , bu SGYD metodolojisi mi izlenecek? Eğer izlenmeyecekse, onaylı metodolojiyi kullanmama nedenlerini belirleyin.

Ġzlenen metodolojinin aĢağıdakileri içerdiğini geçerleyin: Proje kapsam ve sınırlarının belgelenmesi Sorumlulukların dağıtımı Görev dağılımı Zaman ve kaynak bütçelemesi Proje kilometre taĢları Kontrol noktaları OnaylanmıĢ süreçler Risk değerlendirme ve azaltma usulleri ĠletiĢim yönetimi ĠletiĢim Yönetimi

ĠĢ yönetimi (paydaĢlar/proje mali destekçileri) sistem geliĢtirme yaĢam döngüsüne etkili biçimde katılır. ĠĢ yönetimi aĢağıdakileri doğrulamalı: ĠĢ gereksinimleri ve proje kapsamını gözden geçirildiğini ve onaylandığı Proje bütçesini onaylandığını ve etkin izlendiğini, Proje durum tutanaklarını alındığını ve/veya proje durum güncellemelerine katıldığını, Kritik sorun çözümlerine etkin olarak katıldığını

307


Proje

Yönetimi

Metodolojisi

(Çerçevesi)

Proje ana planı, proje yaĢamı süresi boyunca kontrolü sağlamak için oluĢturulmuĢtur. ġunları belirleyin: Proje ana planı yazılı olarak oluĢturulmuĢtur. Proje planı, maliyet-fayda analizi, zaman tahminleri ve proje çıktılarıyla tutarlıdır Yönetim proje planını onaylamıĢtır Proje yöneticileri, düzenli olarak, projenin değiĢik noktalarında proje planı kopyalarını

edinerek değiĢiklikleri yansıtacak plan güncellemeleri yapar Plan yukarıda yöntemde belirtilenleri ve aĢağıdakileri içerir:

-Tamamlanma kıstası ve kıyaslamalar - Bağımlılık kritik yollarla [Kritik Yol değerlendirmesi özel değerlendirme yöntemidir] -Her bir görevin beklenen baĢlama ve tamamlanma tarihleri

-Her bir göreve atanan bireyler.

Proje sırasında ortaya çıkan maliyetleri izlemek için bir yöntem uygulanır. ġunları belirleyin: Proje yaĢam süresi boyunca ortaya çıkacak maliyetleri izlemek üzere bir süreç uygulanmıĢtır.

AĢağıdakileri saptayın: Bütün proje giderlerini karĢılayacak usuller Planlanan maliyetle gerçekleĢen maliyeti kıyaslama yöntemi

Bu süreç aĢağıdakileri içerir: Bütün proje giderlerini karĢılayan usuller

Planlanan maliyetle gerçekleĢen maliyeti kıyaslama yöntemi

Projede görev alacakları belirlerken kullanılacak temel etkilenecek her alanın temsil edilmesini sağlamak ve proje takımının yeterli bilgi temeline sahip olmasıdır. Ayrıca, proje takımı üyelerinin yetki ve sorumlulukları tanımlanmalıdır. Belirlenecekler: Uygun seviyede iĢ ve teknik uzmanlığa sahip bir proje takımı oluĢturmak için proje takımı

üyeleri atanırken yönetim temel aldığı kıstaslar. Kurum içinde istenen seviye uzmanlık yoksa, uzmanlık edinimi ve/veya eğitimi için neler yapılacak?

Proje takımının projeden etkilenecek alanların temsilcilerini içerip içermediği Proje planının, proje takımının her bir üyesi için rol ve sorumlulukları açıkça belirtip

belirtmediği Takım üyelerinin bireysel olarak rol ve sorumluluklarını anlayıp anlamadığı Uygulanabilirliği varsa, tedarikçi ya da üçüncü taraf rol ve sorumluluklarının açıkça

tanımlanması

ĠĢte bir sonraki aĢamaya geçmeden önce, hem iĢ tarafından hem BT alanından temsilcilerin yer aldığı yönetim o aĢamanın sonuçlarını onaylar. Belirlenecekler: Etkilenen alan temsilcilerinin çıktıları sonuçlandırmak için atanıp atanmadığı Çıktıların onaylanması için hazırlanan plan hükümlerinin iĢ, kalite güvence (QA) ve BT

personelini içerip içermediği

Kalite güvence adımları proje ana planıyla bütünleĢik olmalı ve tüm taraflar tarafından gözden geçirilip onaylanmalıdır. Güvence görevleri, sistem geçerliliğini destekler ve iç kontrollerin ve güvenlik özelliklerinin ilgili gereksinimleri karĢılamasını sağlar. Belirlenecekler: QA adımları, proje planı gözden geçirilerek bu plana bütünleĢtirilir Kalite güvence süreci, nihai sonuçların aĢağıdakileri karĢılaması ya da bunların ötesine

geçmesinin makul güvencesini sağlamak için geliĢtirilen stratejik noktada proje çıktılarını gözden geçirme adımları içerir:

- ĠĢ gereksinimleri - Yasal gereklilikler - Kurum standartları - Güvenlik standartları - Ġç kontrol gereksinimleri - Güvenirlik gereksinimleri - Performans standartları

QA planı Ģunlara dair hükümler içerir: Sorun izlenmesi ve kaydedilmesi DeğiĢiklik/kusur izleme ve kaydetme Ana test stratejisinin geliĢtirilmesi

Resmi proje risk değerlendirmesi, projeyle ilgili riskleri tanımlamak, yok etmek ya da en aza indirmek için kurulmalıdır. Belirlenecekler: Proje takımının, projeyle ilgili riskleri tanımlayıp belgeleyip belgelemediği Risk yönetim sürecine ve sorun yönetimine bağlılık için proje durum raporu gözden

geçirmelerinin yapılıp yapılmadığı Proje yöneticisiyle görüĢülerek bilinen proje risklerini azaltmak için atılan adımlar Risklerin yönetime açıkça bildirilip bildirilmediği

308


Proje

Yönetimi

Metodolojisi

(Çerçevesi)

Proje yönetimine, proje durumunun zamanında ve güvenilir raporlanmasını sağlayacak süreç olmalıdır. Bu raporlama mekanizması, planla çeliĢmelerin raporlamasını ve karĢılaĢılan sorunları da içermelidir. Belirlenecekler: Proje durumunun nasıl değerlendirildiği. BS Denetçisinin proje bilgisi temelinde,

değerlendirme mekanizmasının yönetime projenin doğru durumunu yeterince verip vermediğini belirlemek için durum raporu gözden geçirmesine ve/veya durum görüĢmelerine katılır. Plandan uzaklaĢmaların ve sorunların da raporlandığını doğrulayın.

Yönetime proje durum raporlaması zamanlama ve yöntemi. Raporlama mekanizması yönetime güvenilir ve zamanında bilgi sağlamaya yeterli midir?

Proje takımı tarafından kullanılan görüĢmeler, yönetimin aldığı ve gözden geçirdiği durum raporları ve/veya katıldığı durum toplantıları ve izleme faaliyetleri unsurları ve raporlama mekanizmaları proje takımına yeterli bilgi sağlayıp sağlamadığı

Proje planı değiĢikliklerinin ve/veya plandan ayrılmaların raporlanıp raporlanmadığı ve yönetimin sorun çözümüne katılıp katılmadığı

Projeye katılan tüm tarafların yakın eĢgüdümünü ve iletiĢimini sağlayacak süreçler oluĢturulmalıdır. Belirlenecekler: Proje takımı üyelerinin tamamının, uygun seviyede proje toplantılarına katılıp katılmadığı ve

BT, QA ve iĢ alanı temsilcilerinin proje toplantılarına katılıp katılmadığı GeliĢtirilen resmi iletiĢim kanalları. Takım üyeleriyle görüĢerek, iletiĢimin zamanında ve etkili

olup olmadığını belirleyin. Proje belgelerinin muhafaza edilip edilmediği ve uygun kiĢilerin tamamının kullanımına açık

olup olmadığı. Bu belgeleri sadece yetkili kiĢilerin değiĢtirebildiğini doğrulayın. ġu belgelemelerin uygun olarak kullanılabilirliğini belirleyin:

- Proje kapsamı ve çıktıları - Maliyet fayda ve yapılabilirlik çalıĢmaları - Risk analizleri - Proje örgütlenme Ģeması - Proje durumu - Project plan - Kullanıcı gereksinimleri - Tasarım özellikleri - Sorun kaydı ve çözümler - Test stratejisi - DönüĢtürme yaklaĢımı - Uygulama planı - Eğitim planı - Uygulama sonrası gözden geçirme

Proje takımının, tedarikçi ya da diğer bir üçüncü tarafla muhatap olup olmadığı, proje takımı ve üçüncü taraf arasında kullanılmak üzere hazırlanan iletiĢim kanalının etkili olup olmadığı

Düzeltici faaliyetler için sorunların tanımlanması ve raporlanması için bir süreç kurulmalıdır. Belirlenecekler: Sorunları/meseleleri tanımlamak, önlemek ve düzeltmek için sürecin var olup olmadığı Sorunların zamanında ve uygun kiĢi tarafından çözülmesinin makul bir güvencesini

sağlamak için kurulan mekanizmalar Kritik meseleleri yönetime zamanında iletecek bir mekanizmanın var olup olmadığı Konu/sorun çözümlerini yönetimin gözden geçirip onaylayıp onaylamadığı

Düzeltici faaliyet için bütün istisnaların belgelendiği ve yönetime raporlandığını belirleyin. ĠyileĢtirmelerin belgelendiği, denetim çalıĢma kâğıtlarında yer almalıdır.

Proje baĢlatma

(Gereksimi ve

Onayı)

Bütün hedef,, kurumun faaliyet planlarıyla uyumlu projeleri tanımlanması ve önceliklendirmesi için bir metodoloji(yöntem )kullanması gerekliliğini karĢılamaktır. Kullanılan yöntemin, iĢ gereksinimlerini değerlendirme, proje maliyetleri, muhtemel riskler ve projeli faydaları değerlendiren bir süreci içerdiğini belirleyin. Ek olarak, yazılım değiĢiklik istemleri listesi merkezileĢtirilmeli ve eklenen stratejik iĢlevsellikten iĢ sahibi, yardım masası (sorun makbuzu gibi), taktik artırma (günden güne mink değiĢiklikler gibi) ve benzerini içeren kaynakların altını çizmelidir.

Etkilenen iĢ alanları ve BT alanları temsilcileri, proje tanımlamasına ve yetkilendirmesine katılmalıdır. ġunların olup olmadığını belirleyin: Proje değerlendirmesi için kurulan takım, bütün etkilenen iĢ alanlarından ve BT alanlarından

temsilcilerden oluĢmuĢtur.

Bu temsilciler ilgili görevi yerine getirmek için gerekli iĢ bilgisine ve/veya teknik bilgiye sahip olmalıdır. Gerektiği zaman konu uzmanlarının bilgisinin takımı desteklemek için kullanılıp kullanılmadığını belirleyin.

309


Projenin iĢ gereksinimlerini ve stratejik yönelimi karĢılamasını sağlamaya yardım etmek için proje baĢlatılmadan önce yönetimin onayını yazılı olarak almak için proje özellikleri ve kapsamı açıkça tanımlanmalıdır. ġunların olup olmadığını belirleyin: Proje istemi yetkili bir kaynaktan gelmiĢtir ve istem iĢ stratejik yönelimiyle tutarlıdır Yüksek seviye iĢ ve faaliyet gereksinimleri (eriĢebilirlik beklentileri gibi) proje için

aĢağıdakiler tanımlanmıĢtır:

- Beklenen fayda ve/veya iĢ gerekçelendirilmesi - Yüksek seviye iĢ gereksinimleri - Projeden etkilenmesi beklenen iĢ alanlarının ve sistemlerin tanımlanması - Beklenen müĢteri temeli - Sistem eriĢilebilirliği varsayımları - Beklenen sistem hacmi - Beklenen müdahale zamanı - ĠyileĢtirme beklentileri - Kullanırlık gereksinimleri - Yasal ve diğer uygunluk kıstasları

Proje kapsamı, açıkça tanımlanmıĢtır ve proje kapsamı belgelemesi proje sınırlarını tanımlar ve özelde projede yer alıp almaması gerekenleri açıkça tanımlar.

Proje gereksinimleri, bunların iĢ birimleri stratejik yönelimini ve toplamda Ģirket stratejik yönelimini desteklemesinin makul bir güvencesini sağlamak için değerlendirilir.

ĠĢ gereksinimlerini karĢılayan çözüm seçenekleri, en iyi çözümün seçilmesine yardım etmek için tanımlanmalıdır. AĢağıdakilerin olup olmadığını belirleyin:

ĠĢ sorununun bütün olanaklı çözümlerinin tanımlanarak dikkate alındığının makul bir güvencesini sağlamak için izlenen bir süreç vardır

ġu çözümler dikkate alınır:

- Kullanılan sistemin geliĢtirilmesi - El ile çözümler ve/veya incelikli çözümler - Tedarikçi çözümleri - Kurum içi tasarım ve geliĢtirme

Her çözüm iĢ gereksinimlerini ne kadar iyi destekleyeceği bağlamında değerlendirilir Tanımlanan her çözümle ilgili varılan sonuç belgelenir ve daha fazla araĢtırma ve analiz için

seçilenler varsa tanımlanır.

Her seçeneğin uygulanabilirliği, projenin ilerlemesi için alınan karar temel olmak üzere değerlendirilmelidir. AĢağıdakileri belirleyin: Önerilen her çözüm için uygulanabilirlik analizi gerçekleĢtirilmiĢtir ve bu çalıĢma sonuçları

yönetime sunulmak üzere belgelenmiĢtir Uygulanabilirlik çalıĢması kritik personelin kullanılabilirliğiyle birlikte aĢağıdakileri de

içermiĢtir: - ĠĢ personeli - QA personeli - Teknik ustalık geliĢtirme personeli

Çözümün uygulanması için gerekli olan zaman çerçevesi proje gereksinimleri için belirlenen zaman çerçevesine uygundur

Yazılım ve donanım analizi yapılarak aĢağıdakilerin makul bir güvencesi sağlanır: - Kullanılan teknoloji projeyi destekleyecektir. - Kurum teknolojiyi destekleyecektir. - Teknoloji, kurum teknik stratejisi ve yapısı ile aynı yöndedir.

310


Proje baĢlatma

(Gereksimi ve

Onayı)(Devamı)

Her bir çözümle ilgili maliyet ve fayda, projenin sürdürülmesi kararının temeli olmak üzere değerlendirilmelidir. Maliyet ve fayda, parasal ve parasal olmayan yönlerden incelenmelidir. Parasal anlamda maliyetten tasarruf ve faydalar ölçülebilir, sınırlı ve doğrulanabilir olmalıdır. AĢağıdakilerin olup olmadığını belirleyin: Önerilen her bir çözümün, maliyet-fayda analizi yapılmıĢtır ve sonuçlar yönetime

sunulmak üzere belgelenmiĢtir Maliyet fayda analizi bütün doğrudan, dolaylı, azalan ve yinelenen maliyetleri

içermiĢtir: - ĠĢçilik maliyetleri, projeye atanan altyapı ve iĢletim personeli, varsayılan(DBA)

geliĢtiriciler, QA ve iĢ personelleri - Yıllık lisans ve sözleĢme giderleri - Yazılım ve donanımı kullanılmakta oldukları seviyede sürdürmek ve sistem yaĢamı

boyunca sistem bakımını sürdürmek için güncellemelerin kurulumuyla iliĢkili maliyetler

- Donanım maliyetleri (yıpranma dahil) - Eğitim

Fayda Maliyet analizi proje faydalarını da içerir: - Zamandan tasarruf - ĠĢ gücünden tasarruf - Donanım ve/veya iĢletim tasarrufu - ĠĢ faydası nedeniyle gelirden beklenen artıĢ (yeni iĢ, artan müĢteri temeli gibi)

Tanımlanan maliyet ve faydanın ölçülebilir, sınırlı ve makul görünüp görünmediğini belirlemek için bu Kurum için bilgisayar ROI ve geri ödemeyi dikkate alın. Hesaplamalar makul göründüğünü belirleyin. Projelendirilen fayda maliyet gerçekçi sistem yaĢamı temel midir (örneğin beĢ yıl) ve teknolojinin eskimesi dikkate alınmıĢ mıdır?

Projeyle ilgili riskleri tanımlamak, yok etmek ya da en aza indirmek için risk yönetimi uygulanır. AĢağıdakileri belirleyin: Muhtemel her seçenek için bir risk değerlendirmesi tamamlanmıĢtır ve proje varsayımları ve

proje riskleri belgelenmiĢtir ve yönetime bildirilmiĢtir Bilinen riskleri azaltmak için yönetim olanaklı seçenekler geliĢtirmiĢtir

Proje, kaynakların projeye tahsisini sağlamak için uygun seviye yönetim tarafından uygun bulunup onaylanmalıdır. Yönetimin durumunu aĢağıdakilere göre belirleyin: Proje belgelerini gözden geçirmiĢ ve kapsam, uygulanabilirlik, maliyet-fayda ve proje

risklerini anlamıĢtır Proje için bütçeyi onaylamıĢtır ve bu onaylama proje ilerlemesini yeniden değerlendirmek

için kontrol noktaları içerir Proje hesap verilebilirliğini ve sahipliğini üstlenmiĢtir

Bütün istisnaların belgelenip belgelenmediğini ve düzeltici etkinlik için yönetime raporlanıp raporlanmadığını belirleyin. ĠyileĢtirmelerin belgelendiği, denetim çalıĢma kâğıtlarında yer almalıdır.

ĠĢ

Gereksinimlerinin

Tanımı

Bütün hedef, kapsayıcı bütün proje hedeflerini desteklemek için tanımlanan ve belgelenen iĢ gereksinimlerini sağlayan bir metodun kurum tarafından kullanılmasıdır.

Uygun personel, iĢ gereksinimleri geliĢtirmesine katılmalıdır. AĢağıdakilerin olup olmadığını doğrulayın: Projeden etkilenen bütün iĢ alanları iĢ gereksinimleri tanımlamasına katılmıĢtır Personel, iĢ gereksinimlerini tanımlamak için yeterli bilgi temeline sahiptir

ĠĢ gereksinimleri, açıkça belgelenmiĢ ve doğru, zamanında ve tamdır. AĢağıdakileri doğrulayın: Proje takımı bütün iĢ gereksinimlerine iĢaret eder. Proje ya da BT yönetici, diğer BT alanları ve iĢ sahipleriyle, yazılım değiĢikliğinin onların

iĢlevsel görevlerine etkisini değerlendirmek için çapraz iĢlev toplantıları çağrısı yapar. Bu görüĢmelerin tutanakları olmalıdır ve etkileri gerekliliklere ve tasarıma dahil edilmelidir.. Bu gereklilik/kontrol olmaksızın, diğer iĢ birimleri olumsuz etkilenebilir ya da tasarım etkinliğini kaybedebilir.

ĠĢ ihtiyaçları belgelidir ve aĢağıdakileri içerir: - ĠĢlev/teknik süreç ihtiyacı - Yasal ihtiyacı - Güvenlik ihtiyacı - Arayüz ihtiyacı - Zamanlama ve müdahale zamanı ihtiyacı - Raporlama ihtiyacı - Girdi ihtiyacı - Denetim ihtiyacı

Proje takımı, nihai iĢ ihtiyaçlarının kullanıcılara ve yönetime bildirilmesini sağlamıĢtır ĠĢ riskleri tanımlanmıĢ ve bunlara iĢ gereksinimlerinde iĢaret edilmiĢtir.

Sorun yönetimi meseleleri tanımlanmalı, kaydedilmeli ve çözülmelidir. Belirlenecekler: ĠĢ ihtiyaçlarının geliĢtirmesi sırasından tanımlanan sorunların yakalanması ve kaydedilmesi

için kullanılan yöntem Sorunlar, analiz ediliyor ve çözülüyor

311


ĠĢ gereksinimlerine karĢı, bütün muhtemel tedarikçi ürünlerinin dikkate alınmasını ve değerlendirilmesini sağlayan bir metodoloji . Belirlenecekler: Muhtemel tedarikçileri ve ürünleri değerlendirmek için bir yöntem geliĢtirilip geliĢtirilmediği Yapılan tedarikçi finansal istikrar analizi Tedarikçinin müĢteri mutluluğu tanımın değerlendirmesi Öneri istem iĢlemi (RFP) sanal ve iĢ gereksinimlerine göre ürün, fiyat, teknik düzlem,

güvenirlik, tedarikçi saygınlığı ve uygunluk temellerine dayanıp dayanmadığı Tedarikçinin RFP yanıtının yaygın kıstaslara göre değerlendirilip değerlendirilmediği (iĢ gereksinimleri gibi)

Tedarikçi iliĢkileri ve sözleĢmeleri uygun biçimde yönetilmelidir. AĢağıdakilerin olup olmadığını doğrulayın: Tedarikçi sözleĢmeleri yasal açıdan gözden geçirilir Üçüncü taraflarla yapılan sözleĢmeler tedarikçi ve iĢ yönetimi tarafından gözden geçirilir ve

onaylanır. SözleĢme aĢağıdakileri içerir:

- Ölçülebilir özel çıktılar - Ödeme planı - Ürünün geç teslim edilmesi ya da teslim edilmemesi cezaları - Teknik ve kullanıcı belgeleri ve eğitimiyle ilgili belirli sorumluluklar - Eğer varsa, yazılıma yapılacak iyileĢtirmelerin açıklamaları - DeğiĢiklik yönetim ölçütlerinin açıkça açıklanması - SözleĢme kapsamına dahil olanların ve bu kapsam dıĢında bırakılanların

açıklamaları - SözleĢme ötesinde ayrıca ücretlendirilecek olan etkinlikler ya da iĢler ve bunların

nasıl faturalandırılacağı (taban oranı, zaman ve malzemeler gibi) - Sistem bakım zorunlulukları, güncelleme sıklığı ve ücret ödemeleri

SözleĢme kaynak kodun emanete bırakılmasını düzenler Uygun gizlilik anlaĢması içerilir. Resmi iĢ gereksinimleri gözden geçirmesi ve onayı gerçekleĢtirilmelidir. Belirlenecekler: Resmi gözden geçirme yapılmıĢtır ve sonuçlar belgelenmiĢtir. Resmi gözden geçirme katılımcıları bütün iĢ gözeneklerini temsil eder, böylece bütün iĢ

gereksinimleri dengeli biçimde değerlendirilir

Uygun denetime odaklanmasının ve BT denetçisinin doğru kontrolleri aradığının makul güvencesini sağlamak üzere yazılım değiĢikliği (kurum içi geliĢtirme, üçüncü taraf çözümleri, en iyi cins, uyarlamasız) amaçlarını anlamak için BT stratejisi/politikasını gözden geçirin.

Bütün istisnaların belgelenip belgelenmediğini ve düzeltici etkinlik için yönetime raporlanıp raporlanmadığını belirleyin. ĠyileĢtirmeler, belgelendiği,denetim çalıĢma kâğıtlarında yer almalıdır..

Sistem tasarım ve

geliĢtirme

(DEVAMI)

Bütün hedef, özelliklerin kullanıcı gereksinimlerini karĢılamasının makul güvencesini sağlamak için tam ölçekli geliĢtirme öncesi onaylanan ve gözden geçirilen nihai özellikleri olan ve tam olarak açıklanmıĢ ve belgelenmiĢ bir sistem tasarımıdır. Not: Bu bölümü, BT ve iĢ iç denetçilerinden oluĢan bir takımın tamamlaması önerilir. Denetimciler tasarlanan uygulamanın kalıtsal risklerini tanımlamalıdır. Sistem tasarım belgeleri gözden geçirilerek bu riske iĢaret eden kontrollerin bu aĢamada tasarlandığının makul güvencesi sağlanmalıdır.

Tasarım özelliklerinin yeterli ayrıntıda belgelenmesi sağlanarak geliĢtiricilere bildirilmesini sağlayan uygulama için bir süreç olmalıdır. Belirlenecekler: Tasarım özelliklerinim belgelenip belgelenmediği. Bunlarla kısıtlı olmamakla birlikte

özellik ayrıntıları Ģunları içermelidir: - Sistem güvenlik ihtiyacı - Sistem akıĢ diyagramları - Sistem donanım özellikleri ve tasarım ihtiyaçları - Ekran özellikleri (ekran düzenlemeleri ve güvenlik senaryoları) - Arayüz tanımları (tamlık ve düzenleme kontrollerini içerir) - Dosya/veritabanı tasarımı - Sistem güncellemesi, hesaplamalar ve iĢleme gereksinimleri - GeçmiĢ veri depolaması ve dönüĢtürmesi - Rapor özellikleri(sıklık ve basım yeri dahil) - Kaynak belge gereksinimleri - Program özellikleri - Ġç ve dıĢ sistem arayüzleri - Sistem/uygulama denetim gereksinimleri

AĢağıdakilerin makul güvencesini sağlamak üzere yazılı usuller sistem tasarımına göre tasarlanıp belgelenmiĢtir: - Yeterli görev ayrılığı sürdürülebilmiĢtir. - Yeterli onay süreci geliĢtirilmiĢtir - Hata düzeltme usulleri tasarlanmıĢtır

312


Sistem tasarım ve

geliĢtirme

- Sistem dengeleme usulleri geliĢtirilmiĢtir

Uygun personel, tasarım özellikleri sürecine katılmalıdır. Belirlenecekler: Tasarım özelliklerine katılan personel yeterli bilgi temeline ve disipline sahiptir (ele alınan

konuda deneyimli uzman, veritabanı idarecisi, ağ teknikeri gibi) Sistemin etkilediği her alandan bir temsilci tasarım iĢleme sürecinde içerilir

Tasarım ayrıntılandırması sırasında ortaya çıkan sorunların tanımlanması, kaydedilmesi ve çözülmesinde uygulanacak bir süreç geliĢtirilmelidir. Belirlenecekler: Tasarım ayrıntısı sırasında ortaya çıkan meseleyi izlemek için kullanılan bir sürecin varlığı Sorunun çözümüne uygun insanların katılıyor olması Çözümlerin belgelenip bütün takıma, özellikle değiĢiklikleri uygulaması gereken program

geliĢtiricilere bildirilmesi ĠĢ ihtiyaçları karĢılanmaya devam ettiğinin ve çözümün proje kapsamı içinde olduğunun

makul güvencesini sağlamak için çözümün gözden geçirilmesi

Kaynak belgelerin yönetimi için bir usul tasarlanmalıdır. Belirlenecekler: Kaynak belge tasarımı Ģunları içerir:

- Koruma teknolojisi - Koruma uygulamaları - Kaynak bilgiyi yeniden çağırabilirlik - Tamlık ve doğruluk doğrulaması iĢlemi

Yeterli görev ayrılığı sağlayan kaynak belge bilgiyi alımı, onayı ve girdisi için tasarlanmıĢ süreç

Kaynak belgelerin yönetim süreci, güncel tasarlanmıĢ,yasal ihtiyaçlarla uyumludur.

Manuel ile veri saldırı yöntemleri tanımlanmalı, belgelenmeli ve geçerlenmelidir. Belirlenecekler: Girdi özellikler arasında girdi veri düzenlemesi vardır Hata tespiti, raporlaması ve/veya düzeltimi için tasarlanmıĢ usuller Proje takımı ekran sunumu için geliĢtirdiği standartla aĢağıdakilere makul güvence sağlar:

- Sistem boyunca aynı bakıĢ ve duygu - ĠĢlevsel yaygınlık, kurumun logo/marka tutarlılığı, iĢlev anahtarları, sayfa

yukarı/aĢağı yöntemleri, yuvarlama gibi - Kullanım ve ―kullanıcı dostluğu‖ açısından ekranlar gözden geçirilmiĢtir

Sistem tasarımında çevrimiçi kullanıcı yardımı içerilir.

Sistem arayüzü süreci ihtiyacı (hem girdi hem çıktı) tanımlanmalı ve belgelenmelidir. Belirlenecekler: BelgelenmiĢ kurallar/usuller bir program/iĢ/arayüzden bir sonrakine geçerken sonuçları

dengeler ve mutabakat sağlar Kullanılan sistemde iyileĢtirme içeren sistem tasarımı varsa, bu iyileĢtirmeler yeni sistemin

etkileyeceği, bu sistemden uygun insanlar gözden geçirir ve onaylar Politika ve usuller, arayüz baĢarısızlığı sorun çözme ve yükseltme için tasarlanmıĢtır

Veri açıklamaları ve gereksinimleri açıklanmalı ve belgelenmelidir. Belirlenecekler: Proje özellikler arasında, bilgi dosya biçimlerinin, veri sözlüklerinin ve veri akıĢ

diyagramlarının yer alması Ġçerilen her dosya/veritabanı için aĢağıdakilerin tanımlanması:

- Veri depolama gereksinimleri - Yedekleme stratejisi - Güvenlik gereksinimleri

Veritabanı uzmanının gerekli olup olmadığı. Veritabanı yöneticiyle ,veritabanı tasarımının veri bütünlüğü ve veri fazlalığı için değerlendirildiğini doğrulayın.

Veri dönüĢtürmesi beklentisinin varlığı ve dönüĢtürme stratejisinin aĢağıdakileri içererek tasarlanıp belgelendiği: - Kaynak sistemdeki verinin tamlık ve doğruluk gözden geçirmesi - Elektronik olarak dönüĢtürülmüĢ bilginin tamlık ve doğruluğunu doğrulamak için

yönetimin süreçleri , düzenleme kontrolü, gönderme bütünlük kontrolü, kayıt sayımı ve sağlama toplamı düzenlemeleri

- Yeni sistem verileri el ile girildiyse, yönetim için veri tamlık ve doğruluk doğrulaması süreci

- Yazılım iĢlev kontrollerinin özel veri parametreleri giriĢine gerek duyduğu tedarikçi paketleri uygulaması varlığı ve seçilen parametrelerin belgelenip belgelenmediği..

313


Eldeki verinin iĢlenmesi, güncellenmesi ve korunması açıklanmalı ve belgelenmelidir. ġunların olup olmadığını doğrulayın: ĠĢ kuralları, gereklilikler ve iĢ akıĢı tanımlanmıĢtır Ayrıntılı program özellikleri, geliĢtirilmiĢ ve iĢ özellikleriyle uyumu sağlanmıĢtır UyumlaĢtırma usulleri, eldeki verinin doğru sürdürümünün makul güvencesini sağlamak

üzere tasarlanmıĢtır (iĢ dengeleme iĢ programı gibi) ĠĢ sahibi, tamlıkları sağlamak için elde olan verilere ait raporları sonuçlandırır

ĠĢ çıktı ihtiyaçları, açıklanmalı ve belgelenmelidir. Belirlenecekler: Tasarım özellikleri arasında çıktı dosyaları belgelemesi, biçimi, raporlama ve belgeleme yer

alır (kontroller ya da kurum bildirimleri). AĢağıdakilere iĢaret edilip edilmediğini belirleyin: - Çıktı sıklığı - Çıktı üzerindeki güvenlik - Çıktı basım yeri ve dağıtımı

TanımlanmıĢ çıktı sonuçlarını dengeleyici/uyumlaĢtırıcı kurallar AçıklanmıĢ hata/sorun tanıma, izleme, raporlama ve düzeltme usulleri

Sistem mimarisi ihtiyaçları açıklanmalı ve belgelenmelidir. AĢağıdakileri olup olmadığını doğrulayın: Sistem personeli, tasarlanan mimaride aktarım hacmini, kullanıcı sayısını, beklenen

müdahale zamanını ve toplam performansı dikkate almıĢtır Mimari, kurum altyapısıyla tutarlı ve uyumludur AĢağıdakiler gibi diğer kısıtlar dikkate alınmıĢtır:

- Raporlama gereksinimleri - Toplu iĢlem döngüsü - Yedekleme gereksinimleri - Diğer sistemleri besleme ve diğer sistemlerden beslenme - Sistem eriĢebilirlik gereksinimleri - Sistem ve donanım bakımı - Sistem büyümesi (aktarım hacmi ve kullanıcılar) - Sistem bakımı ve döngüsel güncellemeler

- Sistem yapısı veritabanı ve program tasarımıyla uyumludur.

Uygulama kaynakları ve sistem güvenliğini sağlayacak bir strateji tasarlanmalı ve uygulanmalıdır. AĢağıdakilerin olup olmadığı belirlenir: Donanım ve sistem yazılımı üzerindeki fiziksel ve mantıksal güvenlik tasarlanmıĢ ve

belgelenmiĢtir Nesne kodu ve kaynak mantıksal güvenliği tasarlanmıĢ ve belgelenmiĢtir Uygulama dosyaları/veritabanları mantıksal güvenliği tasarlanmıĢ ve belgelenmiĢtir ĠĢlevsel uygulama güvenliği tanımlanmıĢ ve yeterli görev ayrılığı sağlanmıĢtır

Sistem tasarımı gözden geçirmesi için bir kalite güvence usulü var olmalıdır. Sistem tasarımını gözden geçirerek Ģunların olup olmadığını belirleyin: Sistemde, yeterli denetim izi tasarlanmıĢtır Ġç kontroller, tanımlı iĢ risklerini en aza indirmek/yok etmek için tasarlanmıĢtır Sistem verisinin tamlık ve doğruluğunun makul güvencesini sağlamak için yeterli

dengeleme, uzlaĢtırma ve hata iĢ programı tasarlanmıĢtır Tasarlanan sistem, yasal gereksinimleri karĢılayacaktır Tasarlanan sistem, güvenlik politikaları ve altyapı anlamında kurum standartlarına uygun

olacaktır Tasarım önceki iĢ çözümünde yer alan kontrol zayıflıklarına iĢaret etmektedir

Final özellikler, projeden etkilenen alanların ve son kullanıcılarla yönetim temsilcilerinin onayladığı sistem özelliklerinin iĢ ihtiyaçlarını karĢıladığının makul güvencesini sağlamak için gözden geçirilmelidir. AĢağıdakilerim olup olmadığını doğrulayın: GeliĢtirme takımı ve iĢ alanı, bütün iĢ gereksinimlerinin tam olarak karĢılandığının makul

güvencesini sağlamak için tasarımı birlikte gerçekleĢtirmiĢtir. Sistem tasarım özellikleri, iĢ yönetimi tarafından gözden geçirilir, anlaĢılır ve onaylanır.

314


GeliĢme ortamındaki, nesne kod ve kaynak kod yönetimi için usuller mutlaka geliĢtirilmelidir. Belirlenecekler: Kaynak kod yönetimi usulünün olup olmadığı Kaynak kod yönetimi ve sürüm kontrolü (sürüm kontrol aracı gibi) için, geliĢtirme ve test

aĢamalarıyla birlikte bir stratejinin geliĢtirilerek belgelenip belgelenmediği Tedarikçinin kaynak kodu yönetme yolu ve uygulama satın alınmıĢ bir sistemse, proje takımı

tarafından nesne kod yönetiminin nasıl gerçekleĢtirileceğinin belirlenmesi Uygulama kaynağı ve saklanan usullerin temel aldığı üretim kitaplıklarına eriĢim iĢ

gereksinimleriyle kısıtlı olmalıdır. Ayrıca, yazılım değiĢikliği veritabanı yapısında değiĢiklik gerektiriyorsa, veritabanı güvenliğinin ve sürüm kontrolünü içeren SGYD süreci parçasının makul güvencesi sağlanmalıdır.

Bir test ortamı/altyapısı tasarlanmalı ve belgelenmelidir. Belirlenecekler: Test ortamı tasarlanmıĢ ve yeni uygulamaların testini destekleyecek biçimde yapılandırılmıĢ Bu ortamın beklenen üretim ortamının kopyası olup olmadığı. Bu ortam beklenen üretim

ortamının birebir kopyası değilse, farklılıkları tanımlayın ve bu farklılıkların test sonuçlarının geçerliliği açısından nasıl etkileri olabilir belirtin.

Sistem ve program belgeleme standartları kaydedilmeli, BT personeline bildirilmeli ve uygulanmalıdır. AĢağıdakileri doğrulayın: Belgeleme yaratma, saklama ve depolama standartları/usullerinin kurulup kurulmadığı. Son

olarak yaratılmıĢ bir belgeyi gözden geçirin (alıĢ çizelgesi, veri akıĢ diyagramı, veri sözlükleri ve kayıt düzeni gibi)

Kaynak kod belgeleme standartlarının/usullerinin, programların öz belgelemesinin ve zorunluluğunun makul güvencesini sağlayıp sağlamadığı

Proje planının belgelemeye dair zaman çerçeveleri çizip çizmediği Uygulama satın alınmıĢ bir sistemse, tedarikçi tarafından sağlanacak/saklanacak belgelerin

neler olduğu. UyarlanmıĢ kod değiĢiklik belgesini kimin muhafaza edeceğini belirleyin.

Bütün istisnaların belgelenip belgelenmediğini ve düzeltici faaliyet için yönetime raporlanıp raporlanmadığını belirleyin. ĠyileĢtirmelerin, belgelendiği, denetim çalıĢma kâğıtlarında yer almalıdır.

TEST ETME

Tüm hedef, geliĢtirilen çözümlerin iĢ gereksinimlerini karĢılamasını, teknik gereksinimi karĢılamasını, beklenen iĢlem hacmi ve müdahale zamanı, sonuçların doğrulanması usullerinin ve güvenilir Ģekilde sürecinin makul güvence sağlamak için test metodolojisinin tanımlanması, belgelenmesi ve yönetilmesidir.

Sistem iĢlevselliklerinin, tam olarak testinin makul güvencesini sağlamak için test çabalarını yönetme ve izlemede test planı/metodolojisi olmalıdır. Belirlenecekler: Test planının varlığı ve belgelenmiĢliği GeliĢtirilen ve belgelenen testi tamamlamak için bir takvimin varlığı Test kıstaslarının açıkça tanımlanıp belgelenmesi Eksiksiz geliĢtirilen, tanımlanan ve belgelenen test durumlarının varlığı. Asıl test planı ve iĢ

sahibi tarafından onaylanmıĢ ve/veya oluĢturulmuĢ resmi, ayrıntılı ve belgelenmiĢ ― ihtiyaç belgesinde‖ yer alan özel gerekliliklerle çapraz referans matrisinin (izlenebilirlik matrisi gibi) eĢleĢip eĢleĢmediğini belirleyin. Çapraz referans matrisi yoksa, bütün gereksinimlerin denendiğinin nasıl doğrulandığına dair yönetimden destek ve belge edinin.

Test planının test sonuçlarını gözden geçirip onaylayacak kiĢiyi tanımlamıĢ olması Makul sorun/mesele çözme usullerini varlığı Testlere giriĢ ve çıkıĢ stratejilerinin olması Test sırasında tanımlanan vakalar için sorun çözme ve geri dönme zamanı.

Test baĢlamadan önce test planı tamamlanır. AĢağıdakileri belirlemek için test planını gözden geçirin: Test planı bütün uygulama iĢlevselliklerine (iĢ gereksinimleri gibi) iĢaret eder. Test planı

Ģunları içermelidir: - Veri giriĢi - Düzenleme (olumlu ve olumsuz raporlama) - Raporlar (yazdırma ve dağıtımı da içerir) - Güncellemeler, hesaplamalar ve süreçler - Hataları yönetimi ve raporlama - Arayüzler - Güvenlik iĢlevleri - Veri tamlığı, doğruluğu ve fazla olmamasının makul güvencesini sağlayan kontroller - Uygulama denetim izleri ve sistem kontrolleri

Test planında teknik unsurlar dikkate alınır, örneğin: - Performans testi - Stres testi (yazdırma dahil) - Hacim testi (normal ve zirve zamanlarında öngörülen en yüksek hacim - Ağ istikrarı

Yönetim testi, üretim ortamında ya da üretim ortamına benzer ortamda canlandırır Yönetim test yönteminin izlenmesini sağlamak üzere test iĢlemlerini izler

Test iĢleminde, değiĢiklikleri yönetmek için (hata düzeltme de dahil) bir usul var olmalıdır. Belirlenecekler: Sorun çözme/ hata/değiĢiklik kontrolleri için uygulanan usuller Sorunları tanımlama, raporlama, izleme ve iz sürme için kullanılan yöntem

315


TEST ETME

(DEVAM)

Sistem iĢlevselliğini ya da kapsamını etkileyebilecek sorun çözümü yükseltme ve değiĢikliklerine yönetimin katılımı olup olmadığı

Ġzi sürülen sorunlarda tanımlanmıĢ yönteme bağlı kalınıp kalınmadığı DeğiĢikliklere iĢaret eden standartların varlığı

Program sürümlerinin, uygun biçimde sürdürülmesinin makul güvencesini sağlayan yazılım yönetim usulü olmalıdır. Doğrulanacaklar: Test kitaplığı, programların içinde testsi ve depolanması amacıyla kurulur Program değiĢikliği, silme ve eklemesi için test kitaplığına kimlerin eriĢebildiği Yazılım yönetimi ve kod varlık yönetimi (CAM) için ilgili usullerin izlenmesi Çok kullanıcı tarafından program değiĢikliği yönetimi, diğer programların testsine ya da

tamamlanmıĢ kod üzerine yazmayı önler biçimdedir Test ortamına yeniden girilen kod değiĢikliklerinin kontrolünün ve tam olarak yeniden testinin

makul güvencesini sağlayan bir yöntem vardır. Kod değiĢiklikleri uygulandığında bütün iĢlevsellikler yeniden test edilir

Ayrı bir test ortamı kurulmalıdır. Belirlenecekler: Bütün test aĢamalarını sağlamak için yaratılan test ortamı Ģunları içerir:

- Dayanak - Birim - Sistem - BütünleĢiklik - Paralel - Geri çekilme - Kabul

Ġç ve dıĢ sistemler testleri için konan hükümler Test ortamının gerçek üretim ortamının aynası olabilecek nitelikte tam hacimli testleri

sağlama yeterliliği Test ortamı teknik unsurlarının performans testi, stres testi (yazdırma dahil), hacim

testi (normal ve öngörülen en yüksek hacimler) ve ağ istikrarı testlerini sağlama yeterliliği

Test gereksinimleri seviyesi değerlendirilmeli ve kapsam bu değerlendirmeye uygun olmalıdır. Test durum değiĢikliklerinin nasıl baĢladığını, belgelendiğini ve denendiğini belirleyin ve Ģunların olup olmadığını doğrulayın: Etkilenen iĢ alanlarından kiĢiler test durumlarının geliĢtirilmesinden test sonuçlarının

onaylanmasına kadar temsil edilirler Proje takımı bütün muhtemel iĢlevlerin, aktarımların, veri bileĢkelerinin ve hata

senaryolarının testide içermesini sağlarlar Ay sonu, çeyrek sonu ve yılsonu iĢlemleri ve veri gereksinimleri testide içerilir Bütün test durumları ve beklenen çıktılar belgelenir ĠĢ gereksinimlerine bağlı bütün test durumları ve bütün iĢ gereksinimleri denenir Test verisi bütünlüğü test iĢlemi süresince sağlanır Test kusurlarını ve çözümlerini izleme yöntemi vardır Ġstisnai iĢleme iĢlevleri, test durumlarında yer alır

Test planında mantıksal ve fiziksel güvenlik gereksinimleri içerilmelidir. Belirlenecekler: Test aĢamasında mantıksal ve fiziksel güvenlik iĢlevleri tanımlanmıĢtır ve yerindedir Test aĢamalarında güvenliği yönetecek kiĢi Test güvenliği için oluĢturulmuĢ ekranlara, iĢlevlere, veri ve raporlara eriĢim kapsar

ĠĢlem ve usuller yeni sistem eğitimini sağlamalıdır, bundan dolayı kullanıcılar teste etkin olarak katılabilir. Belirlenecekler: Test planında açıklandığı gibi ilgili zaman çerçevesine bağlı kalarak tedarikçi son kullanıcı

eğitimi verecektir Kurum içi geliĢtirilen sistemlerin eğitimi hazırlanmıĢtır Son kullanıcılara eğitim materyali dağıtılmıĢtır Test faaliyetlerine katılabilmelerini sağlayacak biçimde son kullanıcılara zamanında eğitim

verilmiĢtir Proje takımı yönetimi, son kullanıcılardan geri bildirimini alıp düzeltici faaliyetleri

gerçekleĢtirmeyi sağlayacak yeterli ve uygun eğitimi sağlamıĢtır

Testin nihai kabulü ve yönetimin imzasını edinmek için açıklanmıĢ bir süreç olmalıdır. Doğrulanacaklar: Test planına bağlı kalınarak bütün testlerin tamamlanması Proje planı/test planında belirtildiği üzere yönetim tarafından test sonuçları gözden geçirilip

onaylanır Tedarikçi ve iĢ yönetimince, üçüncü taraflarla yapılan sözleĢmeler gözden geçirilir ve

onaylanır Uygun yönetim tarafından bütün test sonuçları onaylanır ve imzalanır

Performans ölçümlemesi (en iyileĢtirme) için bir süreç olmalı ve bu yeni ve önemli farklılıkları bulunan yazılımın iĢletimi için insan kaynağı öngörüsünde bulunmalıdır. AĢağıdakilerin olup olmadığını belirle: Proje planı eğitim aĢamasını içerir Performans izleme iĢlemi varsa son kullanıcıların iĢ yükü ele alınır (çok fazla iĢ daha fazla

316


TEST ETME

emek gerektirir) El Rehberleri ve/veya çevrimiçi araçların güncelleme usulleri vardır

Test sonuçlarının tamamını belgeleyin. Beklenmeyen sonuçlar da dahil bütün test sonuçlarını ve asıl sonuçlarla gerekliyse düzeltici hareketleri belgelemesini doğrulayın.

Bütün istisnaların belgelenip belgelenmediğini ve düzeltici etkinlik için yönetime raporlanıp raporlanmadığını belirleyin. ĠyileĢtirmenin belgelendiği, denetim çalıĢma kâğıtlarında yer almalıdır.

UYGULAMA

Sistem uygulaması için tüm hedef,, üretim ortamına baĢarılı aktarımın makul güvencesini sağlayan bir plan oluĢturulması ve bu plana uygun yürütülmesidir.

Uygulama öncesinde eğitim ve sistem belgelemesi tamamlanmalıdır. Belirlenecekler aĢağıdadır: Kullanıcılar eğitilmiĢtirler ve uygulama öncesinde yeni sorumluluklarının farkında olmaları

sağlanmıĢtır Kullanıcılar, iĢletim personeli ve programcıların kullanımı için yeterli kaynak materyali Ģunları

içerir: - Kullanıcı el klavuzu, iĢ kuralları ve iĢlemleri, dengeleme ve uzlaĢtırma süreçleri, girdi

iĢleme, hata düzeltme usulleri ve sistem çıktı ve düzen özetini içeren - ĠĢletim Rehberleri; beklenmeyen bitiĢ usulleri, yedekleme planı, toplu iĢlem takvimi

planı, arayüz listelemesi ve usulleri, arama listeleri ve yükselme süreçlerini içerir. - Programcı Rehberleri; Program liste ve tanımlarını, ekran düzenini, dosya/veritabanı

açıklamalarını, akıĢ çizelgelerini ve iĢ listesi/planlarını içerir

Hizmet seviye anlaĢmaları ve iĢletim gereksinimleri uygulama öncesinde açıklanmalı ve geliĢtirilmelidir. Belirlenecekler: Tedarikçi veya kurum içi hizmet seviye anlaĢmaları ve/veya iĢletim gereksinimleri üstünde

uygulama öncesi anlaĢılır Uygulama öncesi aĢağıdaki iĢletim gereksinimlerinin vurgulanıp vurgulanmadığı,

- Yardım masası desteği (tedarikçi ya da kurum içi) - Felaket kurtarma ve iĢ süreklilik planı - DeğiĢiklik yönetimi (tedarikçi ya da kurum içi) - Yedekleme planı - Toplu iĢlem planlama (uygulanabilirliği varsa) - Arayüz planlaması (uygulanabilirliği varsa) - Normal ve düzenli donanım ve siste yazılım bakımı

Bir uygulama planı belgelenmeli, bildirilmeli ve onaylanmalıdır. Belirlenecekler: Uygulama öncesi adım adım kesme planı geliĢtirilmesi. Bu planın, görev zaman çizgileri,

görev karĢılıklı bağımlılıkları ve her görevi tamamlamak için atanan bireyi de içeren sistemi uygulamak için gerekli her bir görevi içerdiğini doğrulayın.

Uygulamanın aĢamalı olması durumunda, yönetim bir sonraki aĢamaya geçmeden önce aĢamayı nasıl tamamlayıp onayladığı

Plan geliĢtirilmesine etkilenen bütün alanların temsilcilerinin katılımı ve planın etkilenen bütün alanları için görevler içermesi (Etkilenen iĢ alanları, üretim kontrolü, sistem yazılımı ve ağ mühendisleri, veritabanı idarecileri). Bu gözden geçirmenin, etkileĢimli sistemler ya da altyapı unsurları gibi diğer değiĢikliklerle çeliĢmemesinin makul güvencesini sağlayan sürüm yönetimi sürecini içermesi.

Planın etkilenen bütün alanlara ve teknik alanlara bildirilmesi Planın yönetim tarafından onaylanması

Canlı verilen kararların onaylanması ve bildirilmesi için bir yöntem geliĢtirilmelidir. Belirlenecekler:

Yönetimin, sistemin üretime hazır olmasını sağlaması Nihai kararı vermeden sorumlu kiĢiyi de içeren canlıya atılma karar alma süreci Canlı alınan karardan bütün etkilenen alanların, haberdar edilmesinin makul bir güvencesini

sağlayan yöntemin uygulanması

Uygulama sorunlarının çözülmesi ve iletiĢimi için bir yöntem belgelenmeli ve etkilenen bütün taraflara bildirilmelidir. AĢağıdakileri doğrulayın: Uygulama sorunlarının çözülmesi ve bildirilmesi için bir plan oluĢturulmuĢ ve etkilenen

bütün taraflara bildirilmiĢtir (uygulama yardım masası, yükseltme usulü, arama ağacı gibi) Uygulama sorunlarına iĢaret eden bir mekanizma geliĢtirilmiĢ ve sorun yaĢanması

durumunda üretim sürecinin en az etkilenmesinin makul güvencesini sağlamaktadır Geri çekilme stratejisi geliĢtirilmiĢ ve belgelenmiĢtir. Geri çekilme stratejisi kararını

uygulamaktan sorumlu kiĢiyi belirleyin ve geri çekilme uygulama kıstaslarının belgelenip belgelenmediğini belirleyin.

Üretim verisi kesme/dönüĢtürme usulü geliĢtirilmeli, belgelenmeli ve onaylanmalıdır. AĢağıdakileri doğrulayın: Uygulama planının bir parçası olarak veri kesme belgelenmiĢtir. Yönetim, kesmenin veriyi etkilemediğini doğrulayacaktır ve yeni ve eski sistemler doğru, tam

ve artıksız olarak iĢler. Veri kesme iĢlemi, bütün verinin tam ve doğru olarak dönüĢümünün makul güvencesini

sağlayacaktır. Hata ve/veya veri atıkları el ile girilecekse, yöntemin tüm hataların dikkate alınmasını sağladığını ve sistemin hata giriĢi sonrası dengelendiğini/uyumlaĢtırdığını doğrulayın.

317


UYGULAMA

(DEVAMI)

Nihai kabulden, sistem kodunu üretim ortamına taĢımak için bir usul geliĢtirilmelidir. Belirlenecekler: Nihai kabulden sonra sistem kodunu üretim ortamına taĢımak için bir usulün varlığı Nihai kabulün ve üretim ortamının güvenliliği Kurum, kod varlık yönetimi iĢleminden yararlanılma durumu

Bütün istisnaların belgelenip belgelenmediğini ve düzeltici etkinlik için yönetime raporlanıp raporlanmadığını belirleyin. ĠyileĢtirmenin belgelendiği, denetim çalıĢma kâğıtlarında yer almalıdır.

Uygulama Sonrasının Gözden Geçirilmesi

Tüm hedef, projenin kullanıcı beklentilerini karĢıladığını, bütçe ve zaman çerçevesi içinde kaldığını kesinleĢtirmek için uygulama sonrası gözden geçirmenin gerçekleĢtirilmesidir. Ayrıca, uygulama sonrası gözden geçirme Ģunları içerecektir: ĠĢleme bütünlüğü—sistem dâhilindeki iç iĢ kontrolleri uygulaması Uygulama güvenliği

Yönetim, proje planına bağlı kalındığını doğrulamak için uygulama sonrası gözden geçirmeyi dikkate almalıdır. AĢağıdakilerin bulunup bulunmadığı belirlenmeli: Uygulama sonrası gözden geçirme gerçekleĢtirilmiĢtir. Bu gözden geçirmenin

aĢağıdakileri kapsadığını doğrulayın: - Bütçe gerçekleĢme kıyaslaması ve farklılıkların açıklaması - Planlanan ve olan zaman çerçevelerinin kıyaslanması ve farklılıkların açıklaması - Asıl kapsamla, teslim edilen sistemin kapsamının kıyaslanması ve farklılıkların

açıklaması ‗Öğrenilen dersler‘ ve ‗iyi iĢleyenler‘ belgelendi ya da en azından yinelenen hatalarda

gelecekteki proje takımlarına yardımcı olmak amacıyla görüĢüldü

Yönetim, uygulanan sistemin proje amaçlarını ne dereceye kadar karĢıladığını gözden geçirmelidir. Belirlenecekler: Sistem baĢarısı/baĢarısızlığı hakkında geri bildirim edinmek için yönetimin kullandığı yöntem ProjelendirilmiĢ sistem faydalarının gerçekleĢtirildiğini yönetimin nasıl ölçtüğü Beklenti ve nihai sistem teslim edilirleri arasında farklılıklar varsa, yönetimin bu farklılıkları

nasıl soruĢturacağı ve uzlaĢtıracağı Sistem içi kullanıcıların memnuniyeti. Kullanıcılar memnun değillerse, bu memnuniyetsizliğin

nedenlerinin belirlenmesi (Ekranların kullanıcı dostu olmaması, yavaĢ yanıt zamanı, yeterli eğitim eksikliği gibi)

Uygulama sonrası sorunlara iĢaret eden ve bunları izleyen bir usul yerinde olmalıdır. Belirlenecekler: Uygulama sonrası meseleleri izlemek, öncelemek ve çözmek için uygulanan bir usulün

olduğu, Kullanıcılar sorunları çözmek için yeterli kaynaklara sahip olup olmadığı (yardım masası,

alanında sistem uzmanı gibi) Son kullanıcı eğitimi uygun olup olmadığı ve kullanıcıların sistemi baĢarıyla kullanmasını

sağlar

Sistem geliĢtirmeden sistem bakımı/üretimine desteğe geçiĢ için bir yöntem olmalıdır. Belirlenecekler: Ġstenen uygulama artırmalarını izlemek ve önceliklendirmek için usullerin varlığı

(sorun/yardım masası biletleri, resmi proje veriliĢi, büyük projeler için idari kurul onayı gibi) Kaynak kod yönetimi için bir usul oluĢturulması Sistem geliĢtirmek ve uygulamak için gerekli olabilecek güvenlik ayrıcalıkları zamanında geri

alınır Paket bir tedarikçi paketiyse, tedarikçi bakım hizmetleri açıkça tanımlanmıĢtır Sorun/yardım masası fiĢleri, belli bir zaman diliminde kapatılırken (48 ila 72 saat içinde gibi)

sebep sonuç analizi de yapılır. Ayrıca, uygulama değiĢikliğiyle ilgili sorunların artıĢ eğilim analizi de uygun olabilir.

Yönetim, en azında bir kere döngüsel etkinlikler baĢarıyla iĢlenene kadar yeni sistem performansını izlemelidir. Yönetimin, aĢağıdakileri de içeren performans raporlarını gözden geçirdiğini doğrulayın: Müdahale zamanı ĠĢlem hacmi Hatalar Sistem eriĢilebilirliği Tedarikçi performansı

Bütün istisnaların belgelenip belgelenmediğini ve düzeltici etkinlik için yönetime raporlanıp raporlanmadığını belirleyin. ĠyileĢtirmelerin belgelendiği, denetim çalıĢma kâğıtlarında yer almalıdır.

PLANSIZ ACĠL

DEĞĠġĠKLĠK

Acil değiĢikliklerin tüm hedefi, sistem sorunlarını çözmek ve bu esnada kritik süreci sürdürmektir. BS Denetçileri, sistem bütünlüğünden ödün vermeksizin acil düzeltmeler gerçekleĢtirmenin makul güvencesini veren usullerin varlığını ve bunlara bağlılığı gözden geçirmelidir. AĢağıdakiler belirlenmeli: Acil değiĢiklik süreci ve bunların belgeleri Acil değiĢikliklerin uygunca belgelendiği ve onaylandığı Acil durum değiĢikliklerinin daimi hale getirilmeden önce, değiĢiklik kontrol kurulu

tarafından son olarak test edilmesi ve gözden geçirilmesi Acil durum değiĢiklikleri kimlikleri (ID)kullanma ve izleme süreci

318


PLANSIZ ACĠL

DEĞĠġĠKLĠK

(DEVAMI )

Sistem sorunlarını giderirken, kritik iĢlemlerin sürekliliğini sağlayan acil değiĢikliklerin gerekli olduğu zamanlar olabilir. AĢağıdakilerle, sistem bütünlüğünden ödün vermeden acil düzeltmelerin yapılmasına makul bir güvence sağlayan usullerin varlığını doğrulayın. ĠĢlemin anlaĢırlığını onaylamak için acil değiĢiklik kontrolü gözden geçirmesi gerçekleĢtirme Program değiĢikliği gerektirebilecek acil koĢullarına, yardım masası yanıtlarını belgeleyin Bu değiĢikliklerin, değiĢiklik kontrol iĢlemiyle iĢlendiğini doğrulayın

Kontrol yönetimi, standart değiĢiklik sürecini atlamayı onaylayabilecek bir yönetim yapısını gerektiren acil değiĢiklik iĢlemini de içerir. AĢağıdakileri doğrulayın: Acil değiĢiklik sırasında ortaya çıkan etkinlikler kaydedilir ve uygulama geliĢtirme ve güvenlik

hizmet grubuyla birlikte yönetim tarafından gözden geçirilir (sistem kullanılabilirliğinin yeniden sağlanabilmesi için acil değiĢikliği tamamlayacak olan programcılara güçlü kullanıcı kimlikleri veriliyor olması nedeniyle)

Sistemi müĢterilerin kullanımına uygun hale getirdikten sonra, programcının üretim ortamına eriĢimi kaldırılır, sebep sonuç içeren tam bir vaka sonrası değerlendirme yapılır ve tam regresyon testsi yapılarak acil program düzeltmesinin diğer sistem elementlerini etkileyip etkilemediği belirlenir (veritabanı, arayüz uygulamaları, değiĢimin olduğu birimdeki diğer uygulamalar gibi)

Programlama düzeltmesi program kitaplığından kontrol edilir, çünkü değiĢiklik riski bağlamında iĢ ve yasaların gerektirdiği süre boyunca kaynak kod muhafazası ve yedeklemesi burada yapılır.

Bütün acil değiĢikliklerin, sebep sonucu nedenleriyle birlikte kıdemli BS yönetimi tarafından düzenli olarak gözden geçirildiğini doğrulayın.

Acil durum ortaya çıktığında, belgeleme için denetim izleri ve kayıtları yaratılır.AĢağıdakileri doğrulayın: Aciliyet, sorun yönetim sisteminde, ivedi program değiĢikliği gereğini gösteren yüksek

önemde tam olarak belgelenir (örneğin yardım masası gibi) Bu sorun yönetim süreci, en azından bir iĢ sahibinden önemli iĢ sistem yıkımının yaĢandığı

ya da iĢ bilginin çöktüğünün denetim kanıtını içerir. Acil değiĢikliğin/düzeltmenin tamamlandığı tarih ve saati içeren sorun yönetim sistemi iĢaretlemelerinin yapıldığını doğrulayın.

BS kurumunun büyüklüğüne bağlı olarak, programcılara acil programlar verilebilir. Programcılar, üretim iĢleme ortamındaki elementleri değiĢtirmek için geliĢtirme ortamına eriĢmek için kullanılan standart eriĢim yöntemini kullanamazlarsa, üretim ortamına eriĢebilmeleri için (programlama kitaplığı gibi) üretim hizmetleri/bilgisayar iĢletimleri ya da güvenlik hizmetleri (uygulama geliĢtirme grubundan bağımsız bir grup) kontrolü altında programcıların acil kullanıcı kimliği edinmeleri zorunluluğunu doğrulayın.

Acil değiĢiklik sırasında, ortaya çıkan faaliyetler kaydedilir ve uygulama geliĢtirme ve güvenlik hizmet grubuyla birlikte yönetim tarafından gözden geçirilir (sistem kullanılabilirliğinin yeniden sağlanabilmesi için acil değiĢikliği tamamlayacak olan programcılara güçlü kullanıcı kimlikleri veriliyor olması nedeniyle) olduğunu belirleyin. Uygun onay olmaksızın, yeniden kullanımı önlemek için acil kullanıcı parolası muhtemel güvenlik birimince yeniden oluĢturulmalıdır.

Programcıların, sistem müĢteri tarafından yeniden kullanılabilir duruma geldikten sonra üretim ortamına (program ve veri kitaplığı ve veritabanları) eriĢiminin kaldırıldığını doğrulayın.

DeğiĢikliğin yeniden ortaya çıkmasını engellemek için düzeltici kontrolleri gözden geçirin. AĢağıdakileri doğrulayın: Sebep sonuç analizinin tanımlanmasını da, içeren olay sonrası inceleme gerektiği ve

tamamlandığı Ġnceleme sonucu, uygulanabilirliği varsa ek önleyici kontroller kuruldu (örneğin, sebep sonuç

olarak bir önceki değiĢikliğin test eksikliği görüldüyse, test üstünde ek yönetim kontrolü gerekli olabilir). Üretim ortamında, sistem kesintileri ve zayıf değiĢiklik kontrolleri arasında yüksek bir iliĢki vardır.

Acil program düzeltmesi, diğer sistem elementlerini (veritabanı, arayüz uygulamaları ve değiĢikliğin yaĢandığı birimde çalıĢan diğer uygulamalar gibi) etkileyip etkilemediğini belirlemek için sonraki gereklilik (acil değiĢiklik tamamlandıktan sonraki) ve tam regresyon testi yapılarak usul yeterliliği ve usule bağlılık doğrulanır.

Acil programların gözden geçirilmesi üzerindeki kontrollerin gözden geçirilmesi aĢağıdakileri kapsamalıdır:

Üretim kontrol gurubunca, kontrollü program kütüphanesinden program düzeltmelerinin gerçekleĢtirildiğini doğrulayın. Tüm uygulanan sistem kayıtlarını üretim ortamı tarafından sadece bu değiĢikliklerin acil değiĢikliklerle ilgili olduğuna makul güvence sağlamak için gözden geçirildiğini doğrulayın.

Acil programların(Hem kaynak hem yükleme) program kütüphanesinde yedeklendiğini ve değiĢikliğin iĢ ve yasal riskine dayanan zorunlu bir zaman diliminde bu kaynak kodları korunmaktadır.

Eğer uygulanabilir ise, bütün acil değiĢiklikler, programcılardan daha öte bilgisayar iĢletim personeli tarafından üretim süreci çevresinde yapılması/gönderilmesi zorunludur.

319


Yönetimin dayanağının bütünlüğünün sürdürüldüğünü, acil değiĢiklik ve ivedi program değiĢtirmesi (üretim ortamına yükseltilmiĢ olan öncekisi) üstüne yazmaktan kaçınmak için dayanağın bir parçası olacak olan acil durum değiĢikliklerinin içerip içermediğini kesinleĢtirmek için dayanan yönetim süreci gözden geçirmesiyle belirleyin.

Acil değiĢiklik istemi için gerekli bir resmi sürecin olup olmadığına göre Ģunları belirleyin: -Bir iĢ gereksinimi (acil, planlanmamıĢ ve ağır basan değiĢiklik) belgesi gerektiren standart değiĢiklik istemini de kapsayan denetim izi, planlanmamıĢ değiĢikliklerin değiĢiklik kaydı için kurma ve cayma planları vardır. - DeğiĢiklik istem formları için yeterli korunma süresi vardır. Gözden geçirme izlemesinin bir parçası olarak değiĢikliklerin sorun makbuzlarıyla (biletler) uyumlaĢması vardır. - DeğiĢiklik kaydı belgelemesi, standart iĢlemleri atlayarak tamamlanan değiĢikliklerin risk (yükseklik) seviyesine göre gerekçelendirilmesini gerektirir. -ĠĢ sahiplerinin (uygun yönetim seviyesinde) onayı, düzeltme yapıldıktan sonra bu değiĢiklikler için gereklidir.

9. YÜRÜRLÜK TARĠHĠ 9.1 Bu rehber 1 Ekim 2006 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlerin tam bir sözlükçesi ISACA web



320

P11 Elektronik Fon Transferi (EFT)

1. GĠRĠġ

1.1 COBIT Referansı 1.1.1 Bu denetim usulünde yer alan alanları gözden geçirirken özel hedefler veya CobIT süreçlerinin CobIT‘le iliĢkilendirmek için

dikkate alınmalıdır. Özel bir denetimin kapsamına uygulanabilir en uygun COBIT materyalinin seçimi, COBIT bilgi ölçütünün göz önünde tutulmasına ve özel COBIT BT süreçlerinin seçimine dayanmalıdır.

1.1.2 Elektronik fon transferi uygulaması ve denetiminde sürecinde en iliĢkili birincil bilgi ölçütleri:

Etkinlik

Etkililik

Gizlilik

Bütünlük

EriĢebilirlik

Güvenirlik

Uyum 1.1.3 AĢağıdaki süreçler için CobIT rehberleri, denetimin uygulanması ve gerçekleĢtirilmesiyle iliĢkilidir.:

ĠĢlemin ve transferin bütünlüğü ve güvenliği ve belgelenmesi: - PO2—Bilgi mimarisinin tanımlanması - PO9—BT risklerinin değerlendirilmesi ve yönetilmesi - DS5—Sistemlerin güvenliğinin sağlanması - DS10—Sorunların yönetimi - DS11—Veri yönetimi - ME2—Ġç kontrollerin izlenmesi ve değerlendirilmesi - ME3—Düzenleyici kurallara uygunluğun sağlanması

Destek sistemleri etkinliği ve güvenirliği: - AI1—Otomatik çözümleri tanımlamak - AI3—Teknoloji altyapısının edinimi ve bakımı - AI6—DeğiĢiklik yönetimi - AI7—Çözümleri ve değiĢiklikleri kurmak ve geçerlemek - DS1—Hizmet seviyelerinin tanımlanması ve yönetilmesi - DS2—Üçüncü taraf hizmetlerinin yönetilmesi - DS3—Performans ve kapasite yönetimi - DS4—Hizmet sürekliliğinin sağlanması - DS7—Kullanıcıları eğitmek ve yetiĢtirmek - DS9—Konfigürasyon yönetimi - DS12—Fiziksel çevrenin yönetilmesi - DS13—Faaliyetlerin yönetimi - ME1—BT performans izleme ve değerlendirme

1.2 Elektronik Fon Transferi 1.1.1 Elektronik fon transferi (EFT), talimatların elektronik olarak dünya çapında aktarılması için yaygın olarak kullanılan bir iletim

yöntemidir. Bu aktarımlar, finans kurumlarına yapılan ödemeler (çalıĢanlar, Ģirketler ve kurumlar için) olabileceği gibi kurumun müĢterinin parasının hareket yönünü değiĢtirmek üzere verilen talimatlar da olabilir. Bu bağlamdaki ―müĢteri‖ bireysel bir tüketici ya da Ģirket olabilir.

1.1.2 EFT süreçleri, genelde elektronik fon transferi konusundaki temel koĢulları, maliyetleri ve hakları yeteri kadar açık ve yeterli biçimde müĢterilere sağlayacak biçimde tasarlanmıĢtır. EFT hizmetleri sunan kurumlar Ģu bilgiler de dahil olmak üzere bazı bilgileri müĢterilerine sağlamak zorundadır:

Ġlk ve güncellenmiĢ EFT Ģartları

ĠĢlem bilgisi

Faaliyetlerin Düzenli raporlanması

Yetkisiz aktarımlarla ilgili müĢterinin muhtemel yükümlülükleri

Hata çözüm hakları ve usuller 1.2.3 EFT hizmetleri bunlarla kısıtlı olmamak üzere Ģunlardır:

Otomatik Ödeme Makineleri- ATM

Telefon fatura ödemeleri

Perakende mağazaları noktalarındaki satıĢ noktası aktarımları (POS)

Ġnternet üzerinden yapılan fon transferleri

MüĢteri hesabından ya da hesabına ön yetkilendirmeyle yapılan aktarımlar

321

P11 Elektronik Fon Transferi (EFT) (Devamı)

1.2.4 Bu denetim usulü amacı için kapsam –iĢlem türleri aĢağıdaki gibidir:

EFT, aynı ya da farklı ülkede konumlanmıĢ elektronik veri sistemleriyle taraflar ya da mevduat kurumları arasında fon aktarımıdır. EFT aynı gerçek ya da tüzel kiĢiye ait farklı hesaplar arasında yapılabileceği gibi farklı hesap sahipleri (bankalar arası ya da Ģirketler arası gibi) arasında da yapılabilir.

He ne kadar EFT e-ticaret olarak kabul edilmese de, iĢ – iĢ modeli uygulaması olarak görülebilir.

Genelde kart aktarımını içeren bütün diğer e-ticaret modelleri (iĢ – müĢteri, müĢteri – iĢ, ve benzeri) nakit yönetimi aktarımları olarak kabul edilir.

Tüm bu belgede, finansal kurumlar göndermesi bankaları ve EFT‘nin uyarlandığı diğer benzer kurumları kapsamaktadır. 1.2.5 Her bir uygulamaya bağlı olarak, aktarım aĢağıdaki noktalardan baĢlayabilir:

ATM aygıtı, müĢteri ATM ağının bağlı olduğu banka aracılığıyla ülke içi aktarımlarını gerçekleĢtirir. Teslimat yerindeki müĢterinin banka hesabı kullanılır.

Web hizmetlerinin bir parçası olarak bu seçeneği sunan bankalardan kablolu aktarım talimatları ve çevrimiçi bankacılık uygulamaları

MüĢterinin, alıcının aynı ya da farklı bir ülkede olması durumunda farklı bankaya aktarım yaptığı banka karĢılığı

Banka görevlisi ya da müĢteri hizmetleri görevlisinin müĢteri talimatlarına göre bir baĢka bankaya elektronik aktarımı gerçekleĢtirmesi

Otomatik Takas Merkezi Ağı—Katılımcı finansal mevduat kurumlarının elektronik ödemeleri bankalar arasında takas ettikleri küme temelli elektronik fon transferi

POS aygıtı, perakendecinin nakdini, envanterini ve müĢterilerini yönetmesine izin verir

Kurumsal kaynak planlama sistemi (ERP) ya da benzer uygulamalarla Ģirketler bir EFT dosyası oluĢtururlar ve banka sistemine iletimi gerçekleĢtirirler

Anahtar kitapla ile teleks iĢlemleri ya da faks iĢlemi 1.2.6 1.2.4 içinde sayılan tüm uygulamalar için, ön uç hizmet ya da müĢteri arayüzünü uygulaması yönetir ve talimatlar oluĢturur

ve bunları arka uç uygulamasına geçirir (çekirdek uygulama) burada küresel aktarım ağında banka tarafında yönetilir, SWIFT, MERVA ya da FED kablo gibi.

1.3 Uygulamaların Türü—Teknoloji Platformu 1.3.1 Ön uç teknolojisi Ģirket uygulamaları (ERP arayüzleri gibi) ve banka hizmetlerine (ATM‘ler, yardım masaları, karĢı aktarımlar

ve çevrimiçi bankacılık gibi) bağlıdır. 1.3.1 Uygulama/düzlem ya da ara yazılım kullanıcı sunucu mimarisine (LAN/WAN, örneğin ERP), kalıt uygulama (bütün

düzlemler), web uygulamaları (internet) ya da özel uygulamalar (ATM‘ler) temeline dayanabilir. 1.3.1 Arka uç ya da çekirdek uygulama EFT iĢleminin en kritik unsurudur, bu uygulama paranın farklı hesaplar, farklı bankalar ve

genelde farklı ülkeler arasındaki aktarımının nihai olarak yapıldığı noktadır. Bu nedenle bankalar genelde web teknoloji düzlemleri uygulamalarına güvenmektense, daha güvenli ve yüksek performanslı olan ve iliĢkisel veritabanı iĢletim sisteminde yerleĢik bulunan IBM OS400 gibi ana bilgisayarlara dayanan daha güçlü teknoloji düzlemlerini tercih ederler.

1.3. EFT SÜRECĠ 2.1. Tanım 2.1.1. EFT elektronik olarak, aynı kuruluĢ içinde ya da farklı kuruluĢlar içinde bir hesaptan diğer hesaba para aktarımı ya da

değiĢimidir. 2.4.3. EFT, farklı yöntemlerle farklı para birimlerinin kullanılmasıyla ortaya çıkan karmaĢık bir fon aktarım iĢlemidir. EFT

açısından yüksek derecede etkin içsel kontrollerin yer aldığı sistemlere gerek duyulur ve hem gönderici hem de alıcı tarafta kontrol edilen bir iĢlemdir. Bilginin geçtiği, depolandığı ve iĢlendiği ara aĢamalarda da kontrollere gerek duyulmaktadır.

3. RĠSK DEĞERLENDĠRMESĠ VE KONTROLLER

3.1 Riskler—Genel BT kontrolleri 3.1.1 Genelde EFT iĢlemleri gizlilik, bütünlük ve eriĢilebilirliği (CIA[GBE]) sağlamak zorundadır. Ancak özel türdeki uygulamalar

için IAC öncelik sırlaması –bütünlük, eriĢilebilirlik ve gizlilik[BEG] olarak CIA yerine kullanılabilir. Bu gereklilik farklı seviyelerdeki EFT uygulamalarının kontrol uygulamalarının bir gereği olarak ortaya çıkabilir, iĢ iĢleme kontrolleri, uygulama kontrolleri ve düzeltme kontrolleri gibi.

3.2 ĠĢ Süreci Kontrolleri 3.2.1 Genelde kullanılan yolda iĢ süreci EFT iĢleminde CIA‘yı sağlamalıdır. 3.2.2. Tek bir kiĢinin tüm aktarımı gerçekleĢtirmemesi gerekir. ĠĢlem görevlerin yapıcı/kontrolör ve gönderici arasında uygun görev ayrılığı dağılımı ile baĢarılır.

322

P11 Elektronik Fon Transferi (EFT) (Devamı) 3.2.3. Aktarım talimatlarının doğruluğu ve bütünlüğü kaynaktan hedefe kadar sürdürülmelidir. Uygun kontroller arasında

yerleĢtirme ve hesap mutabakatı, uygun hesaplar için doğrulama ve aktarımın tarih/zamanı oluĢturulmuĢ olarak, müĢterinin sağladığı aktarım ve hesap ayrıntıları doğrulanır, örneğin Faks aktarımı için birincil olarak ele alınacaklar:

Anahtar kitaplar usulü

Gereklilik (doğrulama)

Anahtar oluĢturma

Anahtar koruma ve değiĢiklik/iptal

Anahtara ait usullerin bildirimi 3.2.4 Aktarım, üzerinde anlaĢmaya varılmıĢ olan hizmet seviye anlaĢmasına (SLA) göre istenmeli, oluĢturulmalı ve

tamamlanmalıdır. 3.2.5. Ġlgili personel, SLA çerçevesinde müĢteri gereksinimlerini karĢılamaya yetecek bir eğitimi almıĢ olmalıdır. 3.2.6. Finans kurumu, iĢe alma sürecinden önce öz geçmiĢleri araĢtırmalı ve gizlilik ve açıklamama sözleĢmeleriyle önceden

sağlamalıdır. 3.2.7. ÇalıĢanların bağlayıcı ve iç yolsuzluklardan caydırıcı kuralları mutlaka göz önünde bulundurulmalıdır. 3.2.8. Gönderici ve alıcı ülkelerin yasal düzenlemelerinin etkileri göz önünde tutulmalıdır ve sınır ötesi aktarımlarla ilgili bütün

yasal gereklilikler karĢılanmalıdır. 3.2.9. Sistem ya da ağ sorunu yaĢandığında iĢ sürekliliğini sağlamak amacıyla kullanılabilecek farklı EFT aktarım iletim

kipleri kullanılabilir durumda olmalıdır. 3.2.10. Uygun verinin alınarak geçerli SLA bağlamında performans ölçümü yapılması da iĢ iĢlemleri kontrolleri arasında

sayılır. Ġstenilen seviye, EFT ölçütlerinin, bütün EFT aktarım iĢlemlerinin hesaplanması ve çözümlenmesidir. SözleĢme etkileri ve SLA tanımları ölçme analizlerinde mutlaka göz önünde bulundurulmalıdır.

3.3 Uygulama Kontrolleri 3.3.1 Uygulama seviye kontrolleri iletim talimatlarının gizlilik, bütünlük ve eriĢilebilirliğini (CIA) sağlamalıdır. 3.3.2 Tanımlama ve doğrulamada göz önünde tutulması gerekenler:

Özel EFT terminallerine giriĢler (terminal kısıtlamaları)

Durağan/dinamik parolalar (parolanın güçlendirilmesi)

Dijital sertifikalar ve oturum zaman aĢım sınırları 3.3.3 EriĢim kontrolleri ve yetkilendirme izinleri ve onaylama aĢamaları (yetkilendirme gözden geçirmeleri) belgelenmeli ve

izlenmelidir. 3.3.4 EFT aktarım ayrıntılarındaki değiĢiklikler aktarım kaynağındaki uygulamadan yapılmalıdır. Farklı yollarla yapılan değiĢiklikler

uygun tanıma, doğrulama ve onaylama araçlarıyla yapılmalı ve değiĢiklik bundan sonra gerçekleĢebilmelidir. 3.3.5 Gerçekçi olarak belirlenmiĢ en fazla aktarım ve en fazla günlük aktarım toplam sınırları bireysel EFT uygulama kullanıcılarına

uygulanmalıdır. ġirket müĢterileri için sınırlar SLA ve ilgili müĢteri politikasına bağlıdır. 3.3.6. Basılı alındıya ek olarak her aktarım, ilgili aktarım kullanıcısına e-posta ya da kısa iletiyle (SMS) cep telefonuna

gönderilerek doğrulama ya da uyarım yapılmalıdır. 3.4.7. Uygun uygulama seviye değiĢiklik yönetim kontrolleri olmalıdır.

3.4 Platform Kontrolleri 3.4.1 Dikkate alınması gereken kontroller arasında Ģunlar yer alır:

Kriptoma

Algoritma sağlamlığı

Anahtar sağlamlığı

Anahtar yönetimi

ĠletiĢim

ġifreleme türü

Donanım karĢı yazılım

ġifrelemenin uygulandığı ISO modeli seviyesi 3.4.2 Aktarımın ret edilememesi, örneğin dijital imzalar dikkate alınmalıdır. 3.4.3 Verinin bulunma konumu sınır ötesi düzenlemelere uygun olmalıdır. 3.4.4 ĠletiĢimde dikkate alınması gerekenler:

EĢler arası hatlara karĢı genel ağ

ĠletiĢim protokolleri

Kriptolama protokolleri

Özellikle uzun mesafeler için iletiĢim özellikleri 3.4.5 Bütünlük kontrolleri, çevrimsel hata denetimi (CRC), sağlama iĢlevi ve anahtar algoritmaları göz önünde bulundurulmalıdır. 3.4.5 Kullanılırlığı ve doğruluğu olanaklı kılan yüksek performanslı ve toleranslı (çoklu görev ve çoklu oturum) donanım

kullanılmalıdır. 3.4.5 Donanım, yazılım ve düzlem seviye değiĢiklik yönetimi kontrolleri dikkate alınmalıdır. 3.4.7 Güvenlik, idare ve kullanıcı hesap parametrelerini değiĢtirilmesi gerektiren idari iĢlevler ortak yetkilendirmeyi gerektirmelidir.

323


3.5 Yolsuzluğu Tespiti ve Önleyici Kontroller 3.4.5 Küresel olarak, EFT sistemlerindeki aktarımlar yüksek risklidir ve dolandırıcılıklara açıktır. Dolandırıcılıkların arkasında yatan

anahtar güdülerden biri finansal kazançken, EFT iĢlemini kontrol etme, duyulan heyecan, entelektüel karĢı duruĢ ve iĢverenden öç almak diğer güdüler olarak ele alınabilir. Temel metin dosyasını kolayca değiĢtirerek büyük bir kazanç elde edecek olmak dolandırıcılık için özendirme niteliğindedir. EFT içeriğinde, bu amaçla yapılacak bir değiĢiklikle bir birey çok fazla para kazanabilir. Ġstatistiklere göre büyük Ģirketler her yıl EFT dolayısıyla önemli miktarda para kaybetmektedir.

3.4.6 Herhangi yetkisiz bir veri değiĢikliği (dolandırıcılık) ya da hatalı veri giriĢi (hemen fark edilip düzeltilmezse) müĢteri hesabında önemli değiĢikliklere yol açar; bu nedenle bu sistemlere yetkisiz eriĢimi önlemek sistem için çok önemlidir.

3.4.7 Genellikle, değiĢik hesapların, bankaların ve ülkelerin içinde yer aldığı aktarımlarda, için önleyici kontrol olarak iĢlem öncesi geçerlik kazandırılan aktarılan verinin iĢlem öncesi onaylanmasının güvence altına alınmalıdır.

3.6 EFT Denetim Usulü 3.4.5 AĢağıdaki tablo EFT iĢlemlerinin (ERP ve çevrimiçi bankacılık gibi finans kurumları tarafından verilen iç uygulamalar) gözden

geçirilmesinde önerilen denetim iĢlemlerini içermektedir.

324


Gereksinimler Önerilen EFT Denetim Süreci Gereksinimleri

Genel kontrol

Gereksinimi

Gözden geçirme kapsam ve amaçlarının tanımlanması ve belgelerin edinilmesi.

EFT bölümünde çalıĢan personelin listesini edinmek.

ATM, POS, borç/kredi/akıllı kartların ve ağ ve bağlantılı tacirlerin de içerildiği çevrimiçi bankacılık dahil EFT iĢletim sistemi betimlemelerini almak.

EFT iĢlemleriyle ilgili kontrol açıklamalarını ve bütün iĢlem ayrıntılarını edinmek.

EFT iĢlemleriyle ilgili standart ve politikaları Ģunlar da dahil olmak üzere öğrenmek:

EFT iĢ iĢlemleriyle ilgili bilgi güvenlik gereksinimleri

Ürün ve uygulama denetim izleriyle ilgili denetim izleri usulleri

EFT iĢlemine uygulanacak tüm düzenlemeleri edinmek.

EFT iĢlemlerini desteklemek için kullanılan donanım, yazılım ve telekomünikasyon protokollerinin tam dökümünü edinmek ve gözden geçirme için EFT unsurları seçmek.

Risk değerlendirmesine, yapılan ve yapılmıĢ gözden geçirmelere göre denetim ve kapsam stratejisini tanımlamak.

Önceki denetim rapor ve bulgularını gözden geçirmek ve yönetimin nasıl hareket ettiğini belirlemek.

Kayıt muhafaza politikasını gözden geçirmek ve yeterliğini belirlemek.

ATM yükümlülüğü, iĢ kesintisi ve elektronik kayıtların kapsamı içinde olduğu sigortanın gözden geçirilmesi.

Terminallerin hırsızlık, çalma ve diğer risklere karĢı sigortalı olma durumunun belirlenmesi.

BelgelenmiĢ kullanıcı eğitim materyallerinin kullanılabilirliğinin ve kullanım noktasında görüldüğünün belirlenmesi.

ĠĢ süreklilik ve felaket yönetim planlarının kullanılabilir olduğunun belirlenmesi.

Fiziksel

kontroller

ATM, POS gibi terminallerin güvenli noktalarda konumlandırıldığının belirlenmesi.

Terminallerin kurulu eriĢim kontrol mekanizmalarıyla kilitli tutulduğunun belirlenmesi.

Terminallerin sadece yetkili kiĢiler tarafından eriĢilebilir olduğunun belirlenmesi.

Herhangi bir zamanda ortamda bulunabilecek en fazla kiĢi sayısı sınırlamasının olup olmadığının belirlenmesi.

Sırada bekleyen insanların kullanıcının ekrana girdiği bilgileri göremediklerinin belirlenmesi.

Terminallerde yeterli yönetim denetimi yapıldığının belirlenmesi.

Operasyon için kullanılan odanın ya da kablo odasının fiziksel güvenlik seviyesinin belirlenmesi.

Sistemin eriĢim kontrolü için fiziki jetonları (borç kartı/akıllı kartlar gibi) kullandığının belirlenmesi. Eğer bunlar kullanılmaktaysa, fiziksel jetonun alınması, depolanması ve çıkarılmasıyla ilgili yeterli kontrol var mı?

Ġlgili etkinlik ayrıntılarıyla birlikte kullanıcı görüntüsünün alınması, saklanması ve yeniden çağrılmasına izin veren bir sistemin kullanımda olduğunun belirlenmesi.

ATM‘ye nakit yatırılması ya da havalesiyle ve POS nakit taĢımayla ilgili yeterli güvenlik ve korumanın belirlenmesi.

Terminallerin dıĢarıdan görünürlüğünün belirlenmesi. Her iki durumun da olumlu ve olumsuz yanları vardır ve uygun dengeleyici kontroller uygulanmalıdır.

3

Süreç

Kontrolleri

EFT ile ilgili genel hesap defterinin düzenli olarak mutabakatının sağlandığının belirlenmesi.

Mutabakat istisnalarının düzenli olarak gözden geçirildiğinin ve gerekli adımların atıldığının belirlenmesi.

EFT sistemi ve asıl site uzlaĢtırmasının yeterli kontrol edildiğinin ve gözden geçirildiğinin belirlenmesi.

PaylaĢılan her EFT ağının hesap uyuĢmasının günlük olarak güncellendiğinin ve kontrol edildiğinin belirlenmesi.

Aktarım dengeleme ve uzlaĢtırma için güncel ve kullanılabilir belgeli usullerin varlığının belirlenmesi.

ĠĢletim sırasında el ile yapılan iĢlemlerin (teleks, anahtar kitabı gibi) gözden geçirilmesi.

Faaliyet süreçlerindeki mauel kontrollerin gözden geçirilmesi(Telefon, Teleks),

DenkleĢtirme ve ret edememe usullerinin etkililiğinin gözden geçirilmesi.

BütünleĢik BT risklerinin ve bütün seviyelerdeki EFT kontrol noktalarının tanımlanması.

Kayıtların depolanıp yönetildiği (çevrimiçi, çevrimdıĢı, kurum içi, kurum dıĢı gibi) kaynakların güvenliğinin çözümlenmesi.

Gereksindiğinde etkinliğin yeniden yaratılması ya da hata analizine yönelik denetim izinin gözden geçirilmesi.

EtkinleĢtirme/edilgenleĢtirme ya da silmeyle ilgili donanım ve yazılımda kurulu parametrelerin gözden geçirilmesi.

OluĢturulan her denetim izi için risk değerlendirme belgesinin edinilmesi ve değerlendirilmesi.

EFT denetim izleri (donanım, ağ, usuller gibi) üzerindeki kontrolün varlığının doğrulanması,.

Denetim izi kullanılabilirliği analizi için rutinlerin izlenmesi.

3 DıĢarıdan görülemeyen terminaller kullanıcıya gizlilik sağlarken, kötü niyetli kiĢilerin yasal olmayan etkinliklerini de gözden

kaçırmaktadır. Görülebilir terminaller de kötü niyetli kiĢileri engellemezler ama dıĢarıdaki herkes içeride ne yapılmakta olduğunu

görebilir.

325


Güvenlik yazılımı ya da anahtar yönetim raporlarındaki denetim izine eriĢim kontrolünün gözden geçirilmesi.

CIA güvencesini sağlamak için iletiĢim kontrollerinin (Ģifreleme, doğrulama gibi) gözden geçirilmesi ve değerlendirilmesi.

Kritik veri ve belgelerin saklanması ve sistem kayıt kütüklerinin muhafazasının değerlendirilmesi.

Yasal ve Ģirkete ait gerekliliklerle uyumluluğun değerlendirilmesi.

DıĢarıdan sağlanan hizmetlerin değerlendirilmesi(Var ise).

ERP tarafından oluĢturulan EFT eriĢim dosyalarına uygulanan eriĢim seviyesinin gözden geçirilmesi.

EFT istemci yazılımı içinde eriĢim ‗değiĢiklik‘ seviyesinin gözden geçirilmesi.

EFT istemci yazılımı içindeki güvenlik, yönetim ve kullanıcı hesapları parametreleri üzerindeki kontrolün gözden geçirilmesi.

Ġletim ve

sistem

hataları

Aktarım sırasında bir kesinti yaĢanması durumunda sistemin kabul edilmiĢ iletilerin kaydını sağladığının belirlenmesi.

Kabul edilmeyen iletilerin yeniden aktarımı için yazılı usullerin varlığının belirlenmesi.

Vaka kayıtlarının kesintiler ve tüm normal süreçler için saklandığının belirlenmesi.

Donanım sorunu durumunda, iĢlemin bir baĢka terminal üzerinde yapılabilirliğinin belirlenmesi.

Sistem iyileĢtirmesi ertesinde iĢlenen iletinin mükerrer iĢlenmesini engelleyecek kontrollerin varlığının belirlenmesi.

Hat sorunu olması durumunda, fazladan/yedek iletiĢim ortamının kullanılabilir olmasının belirlenmesi.

Sisteme

GiriĢ

kontrolleri

Sistemin bütün yetkili kullanıcılara geçerlilik kazandırıp kazandırmadığının belirlenmesi.

Oturum oluĢturma yollarının yetkili kiĢilerle kısıtlı olup olmadığının belirlenmesi.

Sistem kayıtlarının kimin oturum yolundan/giriĢinden alınıp alınmadığının anlaĢılırlığının belirlenmesi.

Sistemin yetkili olmayan iĢlemler için yapılan giriĢimlerin tamamını kaydettiğinin belirlenmesi. Eğer bu varsa, kayıtların düzenli gözden geçirildiğinin ve gerekli adımların atıldığının belirlenmesi.

Sistemin bütün parola/giriĢ ihlallerinin kaydını sağlayıp sağlamadığı ve bunların düzenli gözden geçirilmesinin belirlenmesi.

Oturum oluĢturulurken, sistemin terminal kimliğini geçerlileĢtirip geçerlileĢtirmediğinin belirlenmesi.

Sistemin, yetkili kullanıcı olarak istemciyi geçerlemek için güvenlik anahtarına gereksindiğinin belirlenmesi.

Aktarım öncesinde, sistemin bütün iletilerin yetkililiğini sağlayıp sağlamadığının belirlenmesi.

Sistemin yetkisiz iletilerin aktarımını engelleyip engellemediğinin belirlenmesi.

Sistemin sorgulanan müĢteriyi yetkili kullanıcı olarak geçerleyip geçerlemediğinin belirlenmesi.

Ġleti sırasında yetkisiz iletileri raporlayan usullerin olduğunun belirlenmesi.

Bütün girdi belgelerinin oluĢturucusu tarafından doğru yetkilendirildiğinin kontrol edildiğinin belirlenmesi.

Günlük/kiĢisel değer sınırının aĢılması durumunda ileti bildirimlerini sağlayan kontrollerin varlığının belirlenmesi.

ĠLETĠġĠM

KONTROLLERĠ

Her iletiye kırılamaz ardıĢık seri numaralarının verildiğinin belirlenmesi. Veriliyorsa, bunların girdi/kayıt belgesine iĢlendiğinin belirlenmesi.

Kesintilerin gözden geçirildiğinin belirlenmesi.

Ġletilen bütün iletiler için sürekli bir kaydın tutulduğunun belirlenmesi. Tutuluyorsa, bu kayıtların kabul edilen/ret edilen bütün iletileri içerdiğinin belirlenmesi.

Bireysel ileti verisinin düzeltilmesinin olanaklılığının belirlenmesi.

Bütün girdi iletilerinin denetim izinin üretildiğinin ve bunların kaydedildiğinin belirlenmesi:

– EĢsiz bir ileti referans numarası

– Girdi tarih ve zamanı

– Girdi doğrulama/yetkilendirmesinin kimin tarafından yapıldığı

– Oturum yolunu kimin açtığı

– Ġletim tarih ve zamanı

– Ġletinin kabul ya da ret edilmesi bilgisi

– Ġleti içeriği ayrıntıları

Denetim kaydının girdi iĢlevinden bağımsız birine teslim edildiğinin belirlenmesi.

Denetim kaydının sadece yetkili kiĢiler tarafından eriĢilebilir olduğunun belirlenmesi.

Denetim kaydının yönetim tarafından dikkatle incelendiğinin belirlenmesi.

Banka bildirimleri ve iletilen iletiler arasında mutabakatının düzenli olarak yapıldığının belirlenmesi.

Girdi iletileri kabul edildiğinde bütün göndericilerin bilgilendirildiğinin belirlenmesi.

Transfer

kontrolleri Gelen transfer kontrolleri için aĢağıdakilerin var olup olmadığının saptanması:

– Bütün iletiler standart biçimde gönderilir.

326


– Standart biçimin değiĢtirilmesi yasaktır.

– Sistem geçerli bütün alanların girilmesini sağlar.

– Sistem gerekli bütün alanların gereken biçimde girilmesini sağlar.

– Sistem beklenen aralığın dıĢındaki miktarları bildirir.

– Beklenen sınırların ötesindeki değerlerin kabul edilmesine izin vermeyen kontroller vardır.

– Ġletilerin toplam değerinin kararlaĢtırılmıĢ (günlük) sınırlar içinde olmasını sağlayan kontroller vardır.

– Sistem ulaĢtırılan iletilere dair tatminkâr bildirimler sağlar.

Giden transfer kontrolleri için aĢağıdakilerin var olup olmadığının saptanması:

– Girdi olan iletiler yeniden anahtarlanır.

– Yetkili memur, tüm iletileri kaynak belgelerle eĢleĢtirir.

– Kaynak belgeler girdi ve yetkilendirme zamanında uygun olarak onaylanır.

– Sistem farklılıklar olması durumunda kanıta gerek duyar ve yeniden giriĢ yapmayı zorlar.

– Hataların ele alınmasında yazılı usuller gözden geçirilir.

– Sistem girdi ileti değer ve sayısı için kontrol toplamları oluĢturur ve girdi kayıtlarına karĢı bunları kontrol eder.

– Sistem uygun kontrol toplamlarında kabul edilen ve ret edilen tüm iletilerin raporunu sağlar ve bunları girdi kayıtlarına karĢı kontrol eder.

– Retlerin üstesinden gelmek için yazılı usuller vardır.

– Sistem sınama toplamı ve benzeri oluĢturur.

– ĠletiĢim protokolleri hata tespit/düzeltme teknikleri kullanır.

PIN kontrolleri KiĢisel kimlik numarası (PIN) yayınlama usullerinin gözden geçirilmesi.

Depolama ve iletim sırasında PINlerin yeterince korunduğunun belirlenmesi.

PIN depolamasındaki kriptolama usullerinin gözden geçirilmesi.

PIN teslim usullerinin gözden geçirilmesi. PINler teslimatta maskeli olmalı ve basılı olarak kolayca gözükmemeli ve müĢterinin hesap numarası ile ilintili olmamalıdır. Görevli personel müĢteriye ait PIN‘i görememeli ya da geri çağıramamalıdır.

Teslimatta PIN ve kartın birlikte teslim edilmemesinin belirlenmesi. En güvenilir yol, PIN ve kartı farklı kurye Ģirketleriyle göndermektir.

Az sayıdaki yanlıĢ eriĢim giriĢiminden sonra PIN sisteminin eriĢimi engellediğinin belirlenmesi

BaĢarısız eriĢim giriĢimlerin gözden geçirilmesi ve müĢteri/kurum tarafından gerekenlerin yapılması.

UnutulmuĢ PIN ve yenilenen PIN‘ler için usullerin gözden geçirilmesi.

KART

kontrolleri

Kart çıkarma usullerinin gözden geçirilmesinde Ģunlar da dikkate alınır: - Kart temini üzerinde yeterli kontrolün olması - Kart üreticisi ile yazılı anlaĢma yapılması - Kart üreticisi denetim raporu - Kartların müĢterilere posta ve teslimi üzerindeki kontroller

Postalanan kartların adreste bulunmama durumunda iade adreslerinin olduğundan ve PIN‘lerin kartla birlikte gönderilmediğinin belirlenmesi.

ġunlar gözden geçirilir: - Ġade gelen ve kaybolan kartlara dair iĢlemler - EFT terminallerinde unutulan ya da makinenin yuttuğu kartlara dair iĢlemler - Test ya da gösterim kartlarının kontrolü - Hazır kart kullanan sistemlerin kontrolü

Kart kullanımı gözden geçirmesi: - Kartın etkinleĢtirilmesi - Verilen ve etkinleĢtirilmeyen kartlar - MüĢteri verisi ve hesapla ilintili bilgiler - KapatılmıĢ hesaplar, kullanılmayan hesaplar, ölü hesaplar

Kart üreticisiyle sözleĢmenin gözden geçirilmesi, üretici kalite güvence iĢlemleri, üretici veya üreticinin çalıĢanı tarafından yetkisiz olarak kart üretilmemesinin kontrolü ve üretici yanlıĢlarına karĢı yeterli korunmasının gözden geçirilmesi,

327


Yolsuzluğun

Önlenmesi

EFT ile ilgili dolandırıcılıkların önlenmesi için var olan mekanizmanın gözden geçirilmesi: - EFT süreci ve kontrol noktaları - EFT politikaları ve usulleri - Aktarımların biçimleri standartları - Bütün EFT unsurlarının fiziksel güvenliğinin sağlanması - EFT güvenlik uygulamasının etkililiği - Ağ iĢletim sistem güvenliğinin etkililiği - EFT verisi güvenliğinin etkililiği - Sistem kayıtlarının etkililiği - Görev dağılımının etkililiği (ĠĢlemi yapanı/kontrol eden/gönderen) - Mutabakatlar - EFT günlük toplam limit ve en fazla aktarım uygulaması içinde idarecilerin müĢterek yetki kullanmaları.

- Ġnternet üzerinden dolandırıcılık yapılmasına ya da para aklama ihtimaline karĢı örnek izleme kullanımı (giriĢ sıklığı, para çekme, aynı gün para çekme sıklığı, kullanma süresi gibi)

Arka uç

uygulamaları

Arka uç uygulamaları genellikle platformlara özgüdür. Arka uç uygulamalarının Ģunları sağlayıp sağlamadığının belirlenmesi: - Atomizelik—ĠĢ birimleri bölünmez, bütün etkinlikler baĢarılı ya da baĢarısızdır - Tutarlılık—ĠĢlem tek bir istikrarlı durum oluĢturmazsa ilk duruma geri dönülmelidir - Yalıtım—Bir iĢlemin davranıĢı aynı anda yapılan diğer bir aktarımı etkileyemez

- Süreklilik —Aktarım etkileri daimidir; sistem hatalarından etkilenmezler. Ön uç

uygulaması

/çevre güvenliği

Ön uç uygulamaları web tabanlı ise , gözden geçirme açısında ek riskler söz konusudur, örneğin:

- Hizmet dıĢı bırakma - Virüsler, casuslar ve kimlik bilgilerini çalma - Yamalama zaafı süreçlerinin eksikliği - Web sunucusu güvenliği - YanlıĢ yap ya da yapılandırma (güvenlik duvarları, IDS, DMZ)

-ATM ön uç uygulamaları için, PIN zayıflığı, yetersi farkındalık, Ģifreleme eksikliği ve benzeri dikkate alınabilir.

Aktarım

günlüğü Aktarım günlüğü bilgisi arasında Ģunların yer aldığının belirlenmesi:

- Gelen sorgu aktarımı - Gelen güncelleme aktarımı - Aktarım tipi - Aktarım numarası - Para birimi - DeğiĢim kuru - Miktar - Hesap numarası - Gönderilen banka ayrıntıları - Kaynak terminal - Kaynak iĢletmen - Zaman ve tarih - Sorgulama aktarımı yanıtı - Güncelleme aktarımı yanıtı - Yanıtın doğru olarak alındığının göstergesi - Girdide usul ihlali - Dosya yeniden yapılandırması baĢlangıç ve son kayıtları - Güncellenme tamamlama notu

Ayrıca dikkate alınacaklar: - Aktarım günlüğü muhafazası - Koruma ve yedekleme

-Yasa ve yasa benzeri gereksinimleri

Denetim izi

Sistemin günlük ve kütük kayıtlarının bulunup bulunmadığının belirlenmesi.

Denetim izlerinin Ģunlar için kullanılabilirliğinin belirlenmesi: - Denetçinin aktarım tarihini izlemesine izin vermek - Bir kullanıcının yanlıĢlıkla bir kaydı güncellenmesi ya da silmesi durumunda iyileĢtirmeye izin vermek - Hatalı bir kayıt bulunduğunda nedeninin soruĢturulması - Kitlesel dosya imhasının iyileĢtirilmesine destek olmak - Verinin programdan kaynaklı zarar gördüğü yerde dosya düzeltilmesini desteklemek - Sistem kullanıcısına gönderilen yanlıĢ bilginin düzeltilmesi - Muhtemel güvenlik açıklarına iĢaret etmek için usul ihlallerinin izlenmesi - Sistem hatasının doğru düzeltilmesine destek olmak - Sistemin kullanım yolunun izlenmesi - Diğer günlük kayıp sistem kayıtlarının kurtarılması - Mutabakat raporları için kaynak

- Koruma süresi için hizmet ve gereksinimlerin yasalar göre dikkate alınması

4 YÜRÜRLÜK TARĠHĠ 4.1 Bu usul 1 Mayıs 2007 ertesinde baĢlayacak bütün denetimler için geçerlidir. Terimlerin açıklamasını içeren tam bir sözlükçe

ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir.

EK

Kaynaklar

ISACA, Bilgi Sistem Kontrol Dergisi, ABD, Kasım 1999, Ocak 2000, Eylül 2002, Temmuz 2003

BT YönetiĢim Enstitüsü, COBIT 4.0, USA, 2005

Peltier, Thomas R.; BS Risk Analizleri, Auerbach, USA, 2001


328

BS Bağımsız Denetçi Standartları

Bilgi Sistemleri Denetim ve Kontrol Derneği tarafından hazırlanmıştır

510. Kapsam Bildirimi

510.010 Sorumluluk, Yetki ve Hesap Verebilirlik

Bilgi sistemi kontrol iĢlevlerinin sorumluluk, yetki ve hesap verebilirliği, uygun yönetim seviyesi tarafından uygun biçimde yazılı hale

getirilmeli ve onaylanmalıdır.

520. Bağımsızlık

520.010 Mesleki Bağımsızlık

Bilgi sistemi kontrolüyle ilgili bütün konularda, bilgi sistemi kontrol uzmanları tutumlarında ve görünümlerinde bağımsız olurlar.

520.020 Kurumsal ĠliĢki

Bilgi sistemi kontrol birimi bilgi sistemi kontrol uzmanlarının görevlerini tarafsız olarak tamamlamalarına izin verecek biçimde kontrol

edilen alandan yeterince bağımsız olmalıdır.

530. Mesleki Etik ve Standartlar

530.010 Mesleki Etik Kuralları

Bilgi sistemi kontrol uzmanı, Bilgi Sistemleri Denetim ve Kontrol Derneği tarafından Bilgi Sistemi Kontrol Uzmanları için hazırlanan Bilgi

Sistemi Uzmanı Mesleki Etik Kurallarına bağlı kalmalıdır.

530.020 Beklenen Mesleki Özen

Beklenen mesleki özen ve yürürlükteki mesleki standartlar, bilgi sistemi kontrol uzmanlarının iĢinin bütün konularında uygulanmalıdır.

540. Yeterlilik

540.010 Beceri ve Bilgiler

Bilgi sistemi kontrol uzmanı, kontrol uzmanlığı iĢini yapması için gerekli bilgi ve tecrübeye sahip ve teknik uzman olmalıdır.

540.020 Sürekli Mesleki Eğitim

Bilgi sistemi kontrol uzmanı, uygun sürekli mesleki eğitim ile yeterliğini sürdürmelidir.

550. Planlama

550.010 Kontrol Planlaması

Bilgi sistemi kontrol mesleği bilgi sistemlerinin kontrol iĢinde kontrol hedeflerini vurgulamak için planlamada ve önceliklendirmede risk

değerlendirmesini ve diğer uygun araçları kullanmalıdır.

560. Görevin Yürütülmesi

560.010 Denetim

Bilgi sistemi kontrol uzmanları, yürürlükteki meslek standartlarının karĢılanmasını ve kontrol hedeflerinin baĢarılmasına güvence

sağlamak için uygun biçimde gözetlenmeli ve eĢgüdümleri sağlanmalıdır.

560.020 Kanıt

Bilgi sistemi kontrol uzmanı, kontrol hedeflerini baĢarmak için gerçekleĢtirilen görev ve faaliyetlerin yeterli, güvenilir, ilgili,ve faydalı

kanıtları sağlamalıdır.Kontrol değerlendirmeleri, kanıtların uygun analiz ve yorumuyla desteklenmelidir.

560.030 Etkililik

Görevlerini yerine getirirken, bilgi sistemi kontrol uzmanları, Kapsam Bildiriminde belirtilen hedefleri ve kendi rollerinin hedefleri ile

birlikte baĢarmak için faaliyetlerin etkililiğini sağlamak için uygun önlemler oluĢturmalıdır.

570. Raporlama

570.010 D Raporlama

Bilgi sistemi kontrol uzmanı, hangi kontrol hedeflerinin baĢarıldığının kapsamı konusunda uygun yönetim seviyesine düzenli olarak

raporlamalıdır.

580. Ġzleme Faaliyetleri

580.010 Ġzleme

Bilgi sistemi kontrol uzmanı, kontrol usullerinin uygulanmasını izler ve kontrol faaliyetlerin etkililiğinin geri bildirimlerini gözden geçirir ve

gerekli yerlerde kontrol faaliyetlerinin etkinliğini uygun düzeltici faaliyetleri gerçekleĢtirerek sağlamalıdır.

Yürürlük Tarihi

Bu materyal 1 Mayıs 1999 tarihinde hazırlanmıĢtır ve 1 Eylül 1999 tarihinden sonra gerçekleĢtirilen bilgi sistem kontrol faaliyetleri için

yürürlüktedir.

329

GeçmiĢ

Bilgi Sistemi Denetim Standardı Bildirimleri (SISAS)

Yürürlükten Kaldırılan Belgeler

BaĢlık Yürürlükten Kaldırılma Tarihi

SISAS 3 (Kanıt Gerekliliği) 19 Haziran 1998

SISAS 7 (Denetim Raporları) 19 Haziran 1998

SISAS 9 (Denetim Yazılım Araçlarının Kullanımı) 19 Haziran 1998

SISAS 4 (Beklenen Mesleki Özen) 1 Ekim 1999

SISAS 6 (Denetim Kanıtlarının Belgelenmesi) 1 Ekim 1999

SISAS 2 (Sistem GeliĢtirme Sürecinde Gereklilikler) 1 Mart 2000

SISAS 8 (Düzensizlikler için Denetim Varsayımları) 1 Mart 2000

SISAS 1 (Tutum ve GörünüĢ – Kurumsal ĠliĢki) 1 Eylül 2000

SISAS 5 (Denetim Planlanmasında Risk Değerlendirmesinin Kullanımı) 1 Eylül 2000

BS Denetim Standartları, 25 Temmuz 1997‘de yürürlükte olmuĢtur- 1 Ocak 2005‘te yürürlükten kalkmıĢtır.

330

ISACA Standartları Belgeleri Yorumları

Sizlere daha iyi hizmet sunma sürekli çabalarımın devam etmesi için, sizden standartlar belgelerle ilgili olarak geri bildirimi rica

edilmektedir...

Yorumlarınızı, e-posta ([email protected]), faks (+1.847. 253 .1443) ya da posta ile (ISACA, 3701 Algonquin Road, Suite 1010,

Rolling Meadows, IL 60008 USA) ISACA Uluslar arası Merkezi, araĢtırma, standartlar ve akademik iliĢkiler müdürlüğü dikkatine

gönderebilirsiniz.

Lütfen her türlü eki okunaklı biçimde el ile yazarak ya da çıktı olarak gönderiniz. Yorumlarınızda olabildiğince açık olunuz. Ekleme ya

da silme önerilerinizde, sizden yorumunuzun ilgili olduğu paragraf numarasını vermenizi, uygun olması durumunda sözcükleri de

belirtmenizi rica ediyoruz. Referans noktanızı anlayabilmemiz için görüĢlerinizin dayanağını ya da gerekçesini de açıklayınız.

Lütfen aĢağıda Standartlar Kurulu‘nun, gelecekte ele alacağı konularda (yeni çıkan sorunlar ve sorun alanları) faydalı olacağını

düĢündüğünüz konu ya da standart önerilerini belirtiniz.

_____________________________________________________________________________________________________

Sadece Ġç Kullanım Ġçin Ġsteğe Bağlı Bilgi—karĢılığınızın iletildiği alıcıyı bilgilendirmek, önerilerinize açıklık getirebilmek ve yorumların

geldiği coğrafi alanların tanımlanmasında kullanılacaktır.

Ad_________________________________________________________ E-posta, Faks veya Telefon______________________

Kurum___________________________________________________ Unvan________________________________________

Adres______________________________________________________ Ülke_____________________________________

TeĢekkürler! Yorumlarınız, mesleki rehberliğin sistemleĢtirilmesinde ISACA ‗ya yardımcı olacak değerlerdir.

denetim, güvence ve kontrol uzmanlarının...bilgi sistemleri denetim ve kontrol derneği (isaca),...

Documents