Professional Documents
Culture Documents
Kamu Güvenli Veri Paylaşim Kriteri TASLAĞI v1.1
Kamu Güvenli Veri Paylaşim Kriteri TASLAĞI v1.1
PAYLAŞIM KRİTERİ
TASLAĞI v1.1
01.12.2014
Bu dokümana aşağıdaki web sayfasından erişilebilir:
2
İÇİNDEKİLER TABLOSU
İÇİNDEKİLER TABLOSU .................................................................................................................. 3
1. KAPSAM ........................................................................................................................................ 6
2. AMAÇ ............................................................................................................................................. 6
3. ATIF YAPILAN STANDARDLAR VE/VEYA DOKÜMANLAR............................................. 6
4. TERİM VE TARİFLER................................................................................................................. 6
4.1. Kaynak kurum .................................................................................................................... 6
4.2. Alıcı kurum .......................................................................................................................... 6
4.3. Veri ......................................................................................................................................... 6
4.4. Gizli veri................................................................................................................................ 6
4.5. Toplulaştırılmış veri .......................................................................................................... 6
4.6. Sanal Özel Ağ ..................................................................................................................... 6
5. KISALTMALAR............................................................................................................................. 7
6. VERİ PAYLAŞIMI PROTOKOLÜ.............................................................................................. 7
6.1. Verilerin kullanım amacı ................................................................................................. 7
6.2. Kişisel verilerin korunması ............................................................................................ 7
6.3. Personel listesi ................................................................................................................... 7
6.4. Değişiklik talepleri ............................................................................................................ 7
6.5. Protokol nüshaları ............................................................................................................. 7
6.6. Verilerin bir listesi ............................................................................................................. 7
6.7. Verilerin paylaşıma başlanılması ................................................................................. 7
6.8. Hizmet kesintisi ................................................................................................................. 7
6.9. Verilerin depolanması...................................................................................................... 8
6.10. Ek yatırım hususu ......................................................................................................... 8
6.11. Gizlilik Taahhüt Belgesi............................................................................................... 8
6.12. Hukuki sonuçlar ............................................................................................................. 8
7. YÜKÜMLÜLÜKLER ...................................................................................................................... 8
7.1. Alıcı kurum yükümlülükleri............................................................................................ 8
7.1.1. İz kayıtların tutulması ............................................................................................. 8
7.1.2. Güvenlik........................................................................................................................ 8
7.2. Kaynak kurum yükümlülükleri ..................................................................................... 8
7.2.1. İz kayıtlarının tutulması ......................................................................................... 8
7.3. Ortak Yükümlülükler ........................................................................................................ 9
7.3.1. Saat senkronizasyonu ............................................................................................. 9
7.3.2. Teknik Güvenlik ......................................................................................................... 9
7.3.3. Kriptografi kullanımı ................................................................................................ 9
3
8. VERİ PAYLAŞIMI VE TÜRLERİ .............................................................................................. 9
8.1. Fiziksel Ortamda Veri Paylaşımı .................................................................................. 9
8.1.1. Kurye ile Yığın Veri Paylaşımı ............................................................................... 9
8.1.2. Posta ile Veri Paylaşımı ........................................................................................... 9
8.1.3 Telefon ile Veri Paylaşımı ....................................................................................... 9
8.2. Elektronik Ortamda Veri Paylaşımı ............................................................................ 9
8.2.1. Elektronik Posta ....................................................................................................... 10
8.2.2. Web servisler ............................................................................................................ 10
8.2.3. Güvenli Dosya Taşıma Protokolü ...................................................................... 10
8.2.4. Sanal Özel Ağ ........................................................................................................... 10
9. Kanunlara ve mevzuata uyum ........................................................................................... 10
10. Uyumluluk .............................................................................................................................. 10
Kaynakça............................................................................................................................................ 11
4
0 GİRİŞ
Bilgi Teknolojilerinin bilgi toplama ve işleme amacıyla kullanılması neticesinde birçok kurum ve
kuruluşta farklı nitelikte veriler bulunmaktadır. Bu veriler, gün geçtikçe artmakla birlikte, bir kurum
veya kuruluşun daha önce topladığı, ürettiği ya da güncel tuttuğu veriye başka bir kurum tarafından
ihtiyaç duyulabilmektedir. Bu da kurumlar arası veri paylaşımı ihtiyacını ortaya çıkarmaktadır.
Kurumlar arası veri paylaşımı, hem kurumların hem de hizmet alan gerçek ve tüzel kişilerin işlerini
kolaylaştırarak veri üretimini ve bu üretimin oluşturduğu kaynak israfını azaltarak maliyetleri azaltsa
da kişisel verilen korunması, telif hakları ve ülke güvenliği gibi birçok konuyu da beraberinde
getirmektedir.
Kamu kurumları arasındaki veri paylaşımı ihtiyacını giderebilmek için bugüne kadar kişi ve kurumlar
kendi edindikleri tecrübelerden yola çıkarak çeşitli dokümanlar hazırlamışlardır. Bu doküman ile veri
paylaşımı konusunda edinilen tecrübeleri bir arada toplayıp güvenlik risklerini azaltmak
hedeflenmektedir.
5
1. KAPSAM
Bu kriter, kamu kurumları arasında güvenli veri paylaşım kurallarını ve prosedürlerini kapsamaktadır.
Kamu kurumlarının merkez ve taşra teşkilatları arasındaki veri paylaşımı da bu kriter kapsamındadır.
Bu kriter de bahsedilen veri paylaşımı; taşınabilir manyetik ortamlar, posta, ses, faks, elektronik
ortamlar ve yazıcı çıktısı gibi çeşitli formlarda olabilir.
2. AMAÇ
Kamu kurumları arasında güvenli veri paylaşımını sağlamak üzere kuralların ve prosedürlerin
belirlenmesi.
4. TERİM VE TARİFLER
Bu kriter için aşağıdaki terim ve tarifler geçerlidir.
4.3. Veri
Çeşitli yöntemlerle toplanan kişisel ve/veya kurumsal nicel ve/veya nitel bilgileri.
6
5. KISALTMALAR
AES : Gelişmiş Şifreleme Standardı
DDoS : Dağıtık Hizmet Engelleme (Distributed Denial-of-Service)
DoS : Hizmet Engelleme (Denial-of-Service)
IP : İnternet protokol
PPTP : Noktadan noktaya tünelleme protokolü (Point-to-Point Tunnelling Protocol)
RSA : Açık Anahtarlı Şifreleme
SFTP : Güvenli Dosya Paylaşım Protokolü (Secure File Transfer Protocol)
SOAP : Basit Nesne Erişim Protokolü (Simple Object Access Protocol)
VPN : Sanal Özel Ağ
XML : Genişletilebilir İşaretleme Dili (eXtensible Markup Language)
WSDL : Web Servisleri Tanımlama Dili (Web Service Description Language)
Tek seferlik veri taleplerinde gizli veri istenmesi durumunda, kurumlar protokol imzalamalıdır.
7
6.9. Verilerin depolanması
Paylaşılan verilerin depolanıp depolanmayacağı, depolanacak ise ne kadar süre zarfında ve hangi
şartlarda depolanacağı sözleşmelerde açıkça belirtilmelidir.
7. YÜKÜMLÜLÜKLER
7.1. Alıcı kurum yükümlülükleri
7.1.1. İz kayıtların tutulması
Alıcı kurum; kaynak kurum tarafından sağlanan verilere erişen sistemlerin, kullanıcıların erişim
kayıtlarını tutmalıdır. İz kayıtlarının içeriği; kullanıcı kimliği, oturum açma ve oturum kapama gibi
anahtar olayların tarihleri, saatleri ve detayları, başarılı ve reddedilmiş sistem erişim bilgileridir. İz
kayıtları kimlerin veriye eriştiğini açıklayacak şekilde olmalıdır, ortak kullanıcı adları ve şifreler gibi
kimin kullandığı belli olmayan erişim yetkileri doğru bir uygulama değildir. İz kayıtları, bütünlüğü ve
güvenilirliği temin etmek amacıyla zaman damgası kullanılarak imzalanmalı ve 1 (bir) yıl süre ile
saklanmalıdır.
7.1.2. Güvenlik
Alıcı, veri talebine uygun olarak yaptığı çalışmaların gizli verilerin açıklanmasına imkân vermeyecek
şekilde yürütülmesini sağlar. Verilerin istenilen amaç dışında kullanılmaması için her türlü önlemi alır
ve verinin incelenip değerlendirilmesi aşamasındaki gizli verinin bulunduğu ortama yetkisiz kimselerin
fiziksel veya elektronik yollarla erişiminin engellenmesi için gerek duyulan güvenlik sistemini kurar
veya gerekli tedbirleri alır.
8
7.3. Ortak Yükümlülükler
7.3.1. Saat senkronizasyonu
İz kayıtlarının incelenmesinde herhangi bir yanlış anlaşılmaya mahal verilmemek üzere saat
senkronizasyonu konusunda bir uzlaşıya varılması önerilir.
Bu hususu temin etmek maksadı ile bu hizmetleri ve hizmetlerin kullanıldığı sistemler yılda en az 1
(bir) kez sızma testine tabi tutulmalıdır. Bu kritere uyum kapsamında yapılacak tetkiklerde geriye
dönük olarak en az 5 (beş) yıllık test yapıldığına dair belgeleri saklar.
Elektronik ortamda veri paylaşımında her türlü bilgi paylaşımı için kullanılan kriptografik anahtarlar ve
parolalar en az yılda 1 (bir) kez değiştirilir. Kritere uyumluluk kapsamından değişikliklerin yapıldığı
tarih kayıt altına alınır.
9
8.2.1. Elektronik Posta
Veriler elektronik posta ortamda iletilirken sadece kurumsal uzantılı e-posta adreslerine gönderilir ve
veri ulaştıktan sonra bilgi verilmesi istenir. Hem veri alan hem de kaynak kurum geçerli bir SSL
sertifikası kullanmalıdır.
WS-Security 1.1, WS-Trust 1.3 ve WS-SecurityPolicy 1.2 web servis güvenliği standartlarını
desteklemesi gerekmektedir.
Veriye erişim için parola ve kriptografi göz önünde bulundurulmalıdır.
Kaynak kurum ile alıcı arasında sanal özel ağ (VPN) kurulabilir. Özel ağ sağlanamadığı
durumlarda kaynak kurum güvenlik duvarında (Firewall) sadece alıcı kurumun IP adresine izin
verilmelidir.
Web servis istemleri SOAP 1.2 standardına uygun olmalıdır.
Veri paylaşımı kaynak kurumun dosya paylaşım sunucusundan alıcıya veya dosya paylaşım istemci
uygulaması ile alıcı kurumun dosya paylaşım sunucusuna olmak üzere iki yönlü olarak kullanılabilir.
Alıcı veya kaynak kurumun hangisinin dosya paylaşım sunucusunu yöneteceğine protokolde yer
verilir. Paylaşım gerçekleştikten sonra dosyaların hangi sıklıkla silineceği protokolde belirtilmelidir.
10. Uyumluluk
Bu kritere uyum maddelerinin sağlanması ile kontrol edilir.
Bu kriter, hem veri alan, hem veri sağlayan ve her iki işlevi birden yapan kurumlar için düşünülmüştür.
Kamu kurumları tüm veri alışverişlerinde bu kriterin yükümlülüklerine uymalıdır.
10
Kaynakça
[1] TS ISO/IEC 27001, Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri –
Gereksinimler
[2] www.owasp.org
11