Subscribe to DeepL Pro to translate larger documents.

Visit www.DeepL.com/pro for more information.

Missouri Eyalet Denetçisi Ofisi

Nicole Galloway, CPA
Denetim Bulgularının Özeti
Siber Farkındalık Okul
Denetimleri
Rapor No. 2016-112
auditor.mo.gov
Ekim 2016
 Ekim 2016

Nicole Galloway, CPA

Missouri Eyalet Denetçisi VATANDAŞ ÖZETİ
Siber Farkındalık Okul Denetimlerinde Denetim Bulgularının Özeti
Arka plan Siber Farkındalık Okul Denetimleri, okul bölgelerinin öğrenciler ve aileleri
hakkında sahip oldukları bilgilerin güvenliğini artıran uygulamaları
belirlemeye odaklanarak gizlilik ve güvenlik kontrollerinin etkinliğini
değerlendirmek üzere tasarlanmıştır. Bu rapor, bu denetimler sonucunda
tespit edilen siber güvenlik risklerini özetlemektedir.

Veri Yönetişimi Denetimler, birçok durumda kapsamlı bir veri yönetişimi programının
oluşturulmadığını veya tamamlanmadığını tespit etmiştir. Veri yönetişimi,
veri ve bilgi yönetimine yönelik kurumsal bir yaklaşım olup, verilerin elde
edilmesinden kullanımına ve imhasına kadar tüm yaşam döngüsünü
kapsayan bir dizi politika ve prosedür olarak resmileştirilmiştir. Veri
güvenliği ve gizliliğinin korunması, veri erişimi ve veri paylaşımı ile ilgili
politikaların, prosedürlerin ve standartların oluşturulmasını içerir. Kapsamlı
bir veri yönetişimi programı olmadan, yürürlükteki veri yönetimi ve koruma
prosedürlerinin yetkisiz erişim veya verilerin kötüye kullanımı nedeniyle
veri gizliliği ve güvenlik risklerini azaltmada etkili olduğuna dair daha az
güvence vardır.
Kullanıcı
Hesapları Denetimler, sistem kaynaklarına erişim için kullanıcı hesaplarının
oluşturulması ve sürdürülmesine yönelik kontrollerin tam olarak
oluşturulmadığını tespit etmiştir. Örneğin, bir kullanıcının istihdamı sona
erdikten sonra kullanıcı hesaplarının zamanında devre dışı bırakılması veya
kaldırılmasına ilişkin politika ve prosedürler belgelenmemiş veya ek adımlar
gerektirmiş ve verilere ve diğer sistem kaynaklarına kullanıcı erişiminin
talep edilmesi, oluşturulması ve sürdürülmesine ilişkin politika ve
prosedürler resmi olarak belgelenmemiştir. Belirli bir süre boyunca
erişilmeyen veya kullanılmayan kullanıcı hesapları için proaktif izleme
gerçekleştirilmemiştir. Erişimin uygun ve iş görevleriyle uyumlu kalmasını
sağlamak için verilere kullanıcı erişiminin periyodik incelemeleri
yapılmamıştır. Bazı personel kullanıcı hesaplarını ve şifrelerini
paylaşıyordu, bu da yapılan işlemlerin belirli bir kullanıcıya kadar takip
edilememesi anlamına geliyordu. Uygun hesap erişim politikaları ve
prosedürleri olmadan, kullanıcılar uygunsuz veya yetkisiz erişime sahip
Güvenlik olabilir, bu da hassas verilerin kötüye kullanılması veya uygunsuz şekilde
ifşa edilmesi için fırsatlar sağlayabilir.
Kontrolleri
Birçok durumda denetimler, gerekli tüm güvenlik kontrollerinin
uygulanmadığını ve kişisel olarak tanımlanabilir bilgiler de dahil olmak
üzere bölge teknoloji varlıklarının uygunsuz erişim, kullanım ve ifşa riski
altında bırakıldığını tespit etmiştir. Örneğin, belirli personel resmi olarak
güvenlik yöneticisi olarak atanmamış veya güvenlik politikaları ve
prosedürlerinin oluşturulması, uygulanması ve sürdürülmesi için resmi
olarak sorumluluk verilmemiştir. Ağ şifrelerinin periyodik olarak
değiştirilmesi gerekmiyordu ve güçlü şifrelerin kullanılmasını zorunlu
kılacak kontroller gerekli değildi. Oturum açma banner'larının kullanımı ve
sistemlere eş zamanlı erişimi yönetmek için kontroller de dahil olmak üzere,
sistemlere ve verilere kullanıcı erişimine ilişkin politika ve prosedürler tam
olarak oluşturulmamıştır. Günlüğe kaydedilecek ve izlenecek güvenlik
olaylarının türlerini belirleyen politika ve prosedürler resmi olarak
belgelenmemiştir veya belgelenen politikaların geliştirilmesi gerekmektedir.
Teknoloji kaynaklarının korunmasını sağlamak için fiziksel güvenlik
kontrolleri tam olarak oluşturulmamıştır. Belirli güvenlik kontrollerine
ilişkin politika ve
prosedürler
belgelenmemiştir.
Güvenlik
yönetiminden
sorumlu personelin
resmi olarak
belirlenmemiş
olması ve
belgelenmiş ve
onaylanmış
politika ve
prosedürlerin
bulunmaması

Olaylara Müdahale ve
Süreklilik Planlaması
Güvenlik Farkındalık
Programı
Satıcı Kontrolleri
Bu raporun niteliği nedeniyle herhangi bir derecelendirme yapılmamıştır.
Tüm raporlara Web sitemizden ulaşabilirsiniz: auditor.mo.gov
prosedürleri, yönetimin kontrol faaliyetlerinin uygun ve düzgün bir şekilde
uygulandığına dair güvence sağlayamayabilir.
Denetimler, bir ihlal veya başka bir yıkıcı olay durumunda verileri korumak
için ek önlemlerin gerekli olduğunu tespit etmiştir. Güvenlik olaylarına
müdahale politikaları ve prosedürleri resmi olarak belgelenmemiş, kapsamlı
bir veri ihlali müdahale politikası oluşturulmamış veya eksiksiz bir
süreklilik planı belgelenmemiş ve resmi olarak test edilmemiştir. Güvenlik
olaylarına hızlı ve uygun müdahaleler yapılmazsa ihlaller devam edebilir ve
kurumun kaynaklarına zarar verebilir. Kapsamlı bir veri ihlali müdahale
politikası olmadan, yönetim bir ihlal durumunda hızlı ve etkili bir şekilde
yanıt vermek için yeterli donanıma sahip olmayabilir ve bu da etkilenen
bireylerin potansiyel zarar görme riskini artırır.
Denetimlerde resmi bir güvenlik ve gizlilik farkındalığı eğitim programının
eksikliği tespit edilmiştir. Eğitim kurumları daha güçlü bilgi sistemleri
uyguladıkça ve elektronik verilere daha fazla bağımlı hale geldikçe, proaktif
güvenlik farkındalığı programları bir öncelik haline gelmektedir. Bilgisiz
kullanıcılar eğitim kurumlarında veri güvenliği için büyük bir tehdittir.
Yeterli eğitim olmadan kullanıcılar sistem güvenlik risklerini ve bu riskleri
azaltmak için ilgili politika ve kontrollerin uygulanmasındaki rollerini
anlayamayabilirler.
Denetimler, satıcıların ve sözleşmelerin izlenmesine yönelik kontrollerin
tam olarak oluşturulmadığını tespit etmiştir. Bilgi teknolojisi satıcılarından
alınan veya dışarıdan temin edilen yazılımların veri güvenliği ilkelerine
uymasını sağlayacak süreçler mevcut değildi. Bazı durumlarda, kritik bir
bölge sisteminin satıcısı ile yazılı bir sözleşme yapılmamış veya sözleşme,
bölge verilerinin güvenliği ve bunlara erişim konusundaki beklentileri tam
olarak tanımlamamıştır. Yazılım alımı veya dış kaynak kullanımı riskini
izlemek ve yönetmek için etkili bir süreç olmadan ve veri güvenliği
beklentilerini tam olarak tanımlayan yazılı bir sözleşme olmadan, ilçeler
hizmetlerin mevcut ve gelecekteki veri gizliliği ve güvenliği ihtiyaçlarını
karşıladığına dair daha az güvenceye sahiptir.
Denetim Bulgularının Özeti
Siber Farkındalık Okul
Denetimleri İçindekiler
Devlet Denetçi Raporu 2

Giriş
Arka plan .........................................................................................................3

Denetim
1. Veri Yönetişimi .......................................................................................7
Sorunları
2. Kullanıcı Hesapları..................................................................................8
3. Güvenlik Kontrolleri ...............................................................................9
4. Olaylara Müdahale ve Süreklilik Planlaması ........................................13
5. Güvenlik Farkındalık Programı.............................................................15
6. Satıcı Kontrolleri ...................................................................................15

Ekler Denetim Raporları .................................................................................17

1
 NICOLE GALLOWAY, CPA
Missouri Eyalet Denetçisi

Saygıdeğer Jeremiah W. (Jay) Nixon, Vali ve

Genel Kurul Üyeleri ve
Dr. Margie Vandeven, Komisyon Üyesi
İlköğretim ve Ortaöğretim Bakanlığı Jefferson City, Missouri

Bu rapor, Devlet Denetçilerinin Siber Farkındalık Okul Denetimleri Girişimi kapsamında Mart ve Eylül
2016 tarihleri arasında tamamlanan beş denetimden yararlanılarak hazırlanmıştır. Bu girişim, okulların
öğrenci verilerinin güvenliğini artırmasına yardımcı olabilecek siber güvenlik önlemlerinin ve gizlilik
kontrollerinin belirlenmesi de dahil olmak üzere veri yönetimi programlarının etkinliğini değerlendirmeye
odaklanmıştır. Bu raporun amacı, bu denetimlerde tartışılan ortak siber güvenlik, gizlilik ve güvenlik
kontrolü sorunlarını ve tavsiyelerini özetleyerek farkındalığı artırmak ve diğer okul bölgelerine veri
yönetişimi programlarında iyileştirme yapılabilecek güçlü yönleri ve alanları belirlemelerinde yardımcı
olmaktır.

Tavsiyeler veri yönetişimi, kullanıcı hesapları, güvenlik kontrolleri, olay müdahale ve süreklilik
planlaması, güvenlik farkındalığı ve satıcı izleme gibi çeşitli konuları ele almaktadır. Ekte yayınlanan beş
denetim raporu listelenmektedir. Bu raporda sunulan konular ve tavsiyeler beş ilçenin her biri için geçerli
olmayabilir ve her ilçede her bir konu için farklı seviyelerde kontroller tesis edilmiş olabilir. Sonuç
olarak, her bir ilçe için geçerli bulgular ve tavsiyeler için o ilçenin denetim raporuna bakınız.

Nicole R. Galloway, CPA

Devlet Denetçisi

Buraporununhazırlanmasına aşağıdaki denetçiler katılmıştır:Devlet

Denetçi Yardımcısı: Wright, MBA, CPA

Denetim Direktörü: Douglas J. Porting, CPA, CFE
Denetim Müdürü: Jeffrey Thelen, CPA, CISA

2
Denetim BulgularınınDenetim
ÖzetiBulgularının Özeti
Siber Farkındalık Siber
OkulFarkındalık Okul
Denetimleri
Giriş
Denetimleri Giriş
Siber Farkındalık Okul Denetimleri, okul bölgelerinin öğrenciler ve aileleri
Arka plan hakkında sahip olduğu bilgilerin güvenliğini artıran uygulamaları
belirlemeye odaklanarak gizlilik ve güvenlik kontrollerinin etkinliğini
değerlendirmek üzere tasarlanmıştır.

İlçeler, öğrenci verilerini tutmak ve akademik ilerlemeyi takip etmek ve

izlemek için bir öğrenci bilgi sistemi (SIS) kullanır. SIS, değerlendirme testi
puanları ve diğer hassas veriler gibi özel ve gizli verileri muhafaza eder.
İlçeler, SIS'de tutulan çeşitli öğrenci verilerini yıl boyunca periyodik olarak
İlköğretim ve Ortaöğretim Bakanlığı (DESE), Missouri Öğrenci Bilgi
Sistemi (MOSIS) Veri Toplama bileşenine yükler. MOSIS Veri Toplama
bileşeni, işlenmek ve raporlanmak üzere okul bölgelerinden öğrenci
düzeyinde veri toplamak için kullanılır. İlçeler tarafından gönderilen veriler
arasında kayıt ve devam, demografik bilgiler, performans bilgileri ve
öğrencilerin başarı ve kazanımlarının değerlendirilmesinde kullanılan
üniversite ve kariyer verileri gibi unsurlar yer almaktadır. İlçeler ayrıca
çeşitli ilçe kaynaklarına kullanıcı erişimini yönetmek için bir mali muhasebe
sistemi ve bir ağ yönetim sistemi kullanır. Diğer sistemler ve uygulamalar
idari işlevler için ve öğrenci üretkenliğini ve sınıf işbirliğini geliştirmek için
kullanılır.

Siber tehditler ortaya İş faaliyetlerinin bağlanabilirliği arttıkça ve kuruluşlar bilgisayarlı sistemler

çıkmaya ve gelişmeye ve elektronik veriler de dahil olmak üzere teknolojiye giderek daha bağımlı
hale geldikçe, hiçbir okul bölgesi siber tehditlerden, güvenlik açıklarından
devam ediyor ve gizlilik risklerinden muaf değildir. Sonuç olarak, bilgi güvenliği ve
gizliliğin sadece bir bilgi teknolojisi meselesi olmaktan ziyade bir iş
meselesi olarak görülmesi önemlidir. Güvenlik tehditleri, güvenlik açıkları
ve gizlilik riskleri her kurumu zorlar ve anlaşılması, ele alınması ve
yönetilmesi gereken veri koruma ve gizlilik riskleri yaratır.

2015 Yüksek Risk Serisinde1 güncellemesinin ardından Hükümet

Sorumluluk Ofisi (GAO) bilgi güvenliği yüksek risk alanının kapsamını
kişisel olarak tanımlanabilir bilgilerin (PII) gizliliğinin korunmasını da
içerecek şekilde genişletmiştir.2 GAO bu risk alanını aşağıdakileri
sağlamanın zorlukları nedeniyle genişletmiştir

1
GAO-15-290 Raporu, Kongre Komitelerine Rapor, Yüksek Riskli Seriler Bir Güncelleme,
Şubat 2015, <http://www.gao.gov/assets/670/668415.pdf> adresinde mevcuttur.
2
Aile Eğitim Hakları ve Gizlilik Yasası'na (FERPA) göre, kişisel
tanımlanabilir bilgiler (PII) aşağıdakileri içerir ancak bunlarla sınırlı değildir: (a) öğrencinin
adı; (b) öğrencinin ebeveyninin veya diğer aile üyelerinin adı; (c) öğrencinin veya
öğrencinin ailesinin adresi; (d) öğrencinin sosyal güvenlik numarası, öğrenci numarası veya
biyometrik kayıt gibi kişisel bir tanımlayıcı; (e) öğrencinin doğum tarihi, doğum yeri ve
annesinin kızlık soyadı gibi diğer dolaylı tanımlayıcılar; ve (f) tek başına veya birlikte,
belirli bir öğrenciyle bağlantılı veya ilişkilendirilebilir olan ve ilgili koşullar hakkında kişisel
bilgisi olmayan okul topluluğundaki makul bir kişinin öğrenciyi tanımlamasına olanak
tanıyacak diğer bilgiler.

3
 Denetim Bulgularının Özeti
Siber Farkındalık Okul
Denetimleri Giriş

teknolojideki ilerlemelerin yarattığı kişisel bilgilerin gizliliği. Düşük veri

depolama maliyetleri ve artan birbirine bağlanabilirlik gibi teknolojik
gelişmeler, hem devlet hem de özel sektör kurumlarının büyük miktarda
PII'yi daha etkili bir şekilde toplamasına ve işlemesine olanak sağlamıştır.
PII'ye yönelik riskler kasıtsız ve kasıtlı tehditlerden kaynaklanabilir. Bu
riskler arasında dikkatsiz, hoşnutsuz veya yanlış eğitilmiş çalışanlar ve
yüklenicilerden kaynaklanan içeriden tehditler; bilgisayar korsanlığı
araçlarının elde edilmesi ve kullanılmasının kolaylaşması ve daha yıkıcı
saldırıların ve veri hırsızlıklarının ortaya çıkması yer almaktadır.

Teknolojideki ilerlemeler, kötü niyetli kişi veya grupların artan karmaşıklığı

ile birleştiğinde, PII'nin tehlikeye girme ve ifşa olma riskini artırmıştır. Buna
paralel olarak, hem özel sektörde hem de kamu sektöründe PII ile ilgili
rapor edilen güvenlik olaylarının sayısı son yıllarda önemli ölçüde artmıştır.
Aynı zamanda, okul bölgeleri, öğrenciler ve velilerle etkileşim kurmak ve
temel eğitim hizmetlerini sunmak için teknolojiye ve bilgi paylaşımına
giderek daha fazla bağımlı hale gelmektedir. Sonuç olarak, PII dahil olmak
üzere bilgilerin siber tehditlere karşı korunması ihtiyacı giderek daha önemli
hale gelmektedir.

Veri yönetişimi ABD Eğitim Bakanlığı, Gizlilik Teknik Destek Merkezi'ne (PTAC) göre,3
Veri yönetişimi, veri ve bilgi yönetimine yönelik kurumsal bir yaklaşım
olup, verilerin edinilmesinden kullanımına ve imhasına kadar tüm yaşam
döngüsünü kapsayan bir dizi politika ve prosedür olarak resmileştirilmiştir.
Veri güvenliği ve gizliliğin korunması, veri envanterleri, içerik ve kayıt
yönetimi, veri kalite kontrolü, veri erişimi ve veri paylaşımı ve yayılması ile
ilgili politikalar, prosedürler ve standartların oluşturulmasını içerir.

Kabul edilen standartlara göre, güvenlik kontrolleri, bir sistemin ve

Güvenlik ve gizlilik bilgilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için bir
kontrolleri bilgi sistemi için öngörülen yönetimsel, operasyonel ve teknik koruma
önlemleri veya karşı önlemlerdir. Gizlilik, kişisel gizliliğin ve özel bilgilerin
korunmasına yönelik araçlar da dahil olmak üzere, bilgi erişimi ve ifşası
üzerindeki yetkili kısıtlamaların korunmasını ifade eder. Bütünlük, bilginin
uygunsuz bir şekilde değiştirilmesine veya yok edilmesine karşı koruma
sağlamakla ilgilidir ve kullanılabilirlik, bilgiye zamanında ve güvenilir bir
şekilde erişilmesini ve bilginin kullanılmasını sağlar. Etkili gizlilik
kontrolleri, PII'yi işleyen, depolayan ve ileten bilgi sisteminde ve sistemin
faaliyet gösterdiği ortamda kullanılan önlemlere bağlıdır. Kuruluşlar temel
bir bilgi güvenliği temeli olmadan etkili bir gizliliğe sahip olamazlar.

3
ABD Eğitim Bakanlığı, Gizlilik Teknik Yardım Merkezi, Veri Yönetişimi Kontrol Listesi, şu
adreste mevcuttur
<http://ptac.ed.gov/sites/default/files/Data%20Governance%20Checklist%20%281%29.pdf>.

4
 Denetim Bulgularının Özeti
Siber Farkındalık Okul
Denetimleri Giriş

Kanunlar ve yönetmelikler Aile Eğitim Hakları ve Gizlilik Yasası (FERPA), Engelli Bireyler Eğitim
Yasası (IDEA) ve Öğrenci Haklarının Korunması Değişikliği (PPRA) dahil
olmak üzere hassas öğrenci verilerinin korunmasına ilişkin çeşitli federal ve
eyalet yasa ve yönetmelikleri bulunmaktadır. Ayrıca, RSMo, 161.096 sayılı
Bölüm, Eyalet Eğitim Kurulu'nun "öğrenci verilerine erişilebilirlik, şeffaflık
ve hesap verebilirlik" ile ilgili bir kural yayınlamasını gerektirmektedir.4

Standartlar ve en iyi Okul bölgelerinin veri yönetişimi programlarının etkinliğine ilişkin

uygulamalar değerlendirmemizi kabul edilmiş eyalet, federal ve uluslararası standartlara;
politika ve prosedürlere ve aşağıdaki kaynaklardan elde edilen bilgi
teknolojisi güvenliği ve gizlilik kontrollerine ilişkin en iyi uygulamalara
dayandırdık:

• Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)

• Hükümet Sorumluluk Ofisi (GAO)
• ISACA (daha önce Bilgi Sistemleri Denetim ve Kontrol Birliği olarak
biliniyordu)
• ABD Eğitim Bakanlığı, Gizlilik Teknik Destek Merkezi (PTAC)5

Okul bölgeleri, öğrenci verilerinin gizliliğini korumak ve bilgi güvenliği

Kontroller oluşturuldu kontrollerini uygulamak ve sürdürmek konusunda önemli bir sorumluluğa
sahiptir. İlçeler genellikle eğitim ve görevle ilgili operasyonları desteklemek
için bilgisayarlı sistemlere ve bu sistemlerde bulunan hassas verileri
korumak için bilgi güvenliği kontrollerine büyük ölçüde güvenmektedir.
Denetim Sorunları bölümünde tartışıldığı üzere, iyileştirmelere ihtiyaç
duyulan alanlar tespit etmekle birlikte, ilçelerin genel olarak bu kontrolleri
tesis etmiş olduklarını da tespit ettik:

• Bölge teknolojisine erişimi kolaylaştırmak ve teknolojiyi kullanmak için

çevrimiçi güvenlik, emniyet ve gizliliği teşvik etmek de dahil olmak
üzere güvenli bir ortam yaratmak için bir teknoloji kullanım politikası.
• FERPA veri ifşası ve kullanımı hükümlerine uygun olmak için gerekli
olan, geçerli veli/öğrenci formları da dahil olmak üzere politika ve
prosedürler.
• Çocukların İnternet Koruma Yasası (CIPA) ile uyumlu olmak için
gereken kontroller ve süreçler.
• Verilerin gizliliğini sağlamaya yardımcı olmak ve önemli sistemlerin ve
bu sistemlerde tutulan verilerin gizliliğini, bütünlüğünü ve
kullanılabilirliğini sağlamaya yardımcı olmak için tasarlanmış belirli
kontroller.

4
5 CSR Bölüm 20-700.100
5
Web sitesine göre, ABD Eğitim Bakanlığı PTAC'ı şu amaçlarla kurmuştur
Eğitim paydaşlarının öğrenci düzeyinde boylamsal veri sistemleriyle ilgili veri gizliliği,
gizlilik ve güvenlik uygulamaları hakkında bilgi edinmeleri için "tek durak" kaynak. PTAC,
çeşitli kaynaklar aracılığıyla gizlilik, mahremiyet ve güvenlik uygulamaları hakkında bilgi ve
rehberlik sağlar. PTAC bilgilerine <http://nces.ed.gov/programs/ptac> adresinden ulaşılabilir.

5
Denetim Bulgularının Özeti
Siber Farkındalık Okul
Denetimleri Giriş

Bazı ilçeler ek kontroller oluşturmuştur. Her bir ilçe tarafından oluşturulan

kontrollerin listesi için Ek'te listelenen münferit denetim raporlarına bakınız.

6
Denetim BulgularınınDenetim
Özeti
Özeti
Konularının
Siber Farkındalık Okul
Siber Farkındalık Denetimleri
Okul
Denetim
Sorunları
Denetimleri Denetim
Kapsamlı bir veri yönetişimi programı oluşturulmamış veya program
1. Veri
KonularıYönetişim tamamlanmamıştır. Sonuç olarak, yürürlükteki veri yönetimi ve koruma
prosedürlerinin yetkisiz erişim veya verilerin kötüye kullanımı nedeniyle
veri gizliliği ve güvenliği risklerini azaltmada etkili olduğuna dair daha az
güvence vardır.

Okul bölgeleri tarafından elektronik ortamda toplanan ve saklanan öğrenci

veri ve bilgilerinin miktarındaki sürekli artış, bu verilerin korunması ve
yönetilmesi ihtiyacını artırmıştır. Veri yönetişimi, hassas verilerin resmi
olarak yönetilmesini sağlamaya yardımcı olan bir dizi süreçtir, böylece
öğrenci verileri ihtiyaç duyanlar için kullanılabilirken aynı zamanda bireysel
öğrenci gizliliğinin korunmasını sağlar. Veri yönetişimi, öğrenci verilerinin
doğru olmasını ve kötüye kullanıma karşı korunmasını sağlamaktan sorumlu
kişileri belirler.

ABD Eğitim Bakanlığı, Gizlilik Teknik Destek Merkezi'ne (PTAC) göre,

verilerin gizliliğini, bütünlüğünü, kullanılabilirliğini ve kalitesini sağlamak
için veri yönetişimi gereklidir. Bir veri yönetişimi programı oluşturmak her
eğitim kurumu için kritik bir görevdir. Etkili bir program, karar verme
yetkisinin oluşturulmasını, hassas verilerin korunmasına yönelik politika ve
uygulamaların tanımlanmasını, paydaşların belirlenmesini ve desteğinin
alınmasını, programın uygulanmasını ve başarısının izlenmesini gerektirir.
Veri faaliyetlerine yönelik politikaları, standart prosedürleri, sorumlulukları
ve kontrolleri net bir şekilde belirleyen bir veri yönetişimi programı,
bilgilerin gizliliği, mahremiyeti ve güvenliği koruyacak şekilde
toplanmasını, muhafaza edilmesini, kullanılmasını ve yayılmasını
sağlamaya yardımcı olurken eğitim kurumlarının misyonlarını yerine
getirmelerine de olanak tanır.

Bölgelerin kapsamlı veri yönetişimi programlarına dahil etmedikleri önemli

bileşenler şunlardır:

• Veri yönetimi sorumluluğu

• Veri yönetimi
• Verilerin envanteri ve sınıflandırılması
• Verilerin kaynağı ve içeriği
• PII'nin yetkisiz ifşasının izlenmesi
• Verilerin yaşam döngüsünün sonunda arşivlenmesi ve/veya imha edilmesi

Resmi bir veri yönetişimi programı olmadan bölge, bölge tarafından tutulan
hassas ve kişisel olarak tanımlanabilir verilerin yetkisiz erişime, kötüye
kullanıma veya yanlışlıkla ifşa edilmeye karşı yeterince korunmasını ve
Tavsiye güvende olmasını sağlayamaz.

Verilerin elde edilmesinden kullanımına ve imhasına kadar tüm yaşam

döngüsünü kapsayan resmi bir veri yönetişimi programı oluşturun ve
uygulayın.

7
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Sistem kaynaklarına erişim için kullanıcı hesaplarının oluşturulması ve
2. Kullanıcı sürdürülmesine yönelik kontroller tam olarak oluşturulmamıştır.
Hesaplar
Bilgisayar sistemleri ve veriler, yetkisiz erişimi ve hassas verilerin kötüye
kullanımını önlemek için korunmalıdır. Erişimi yönetmenin ve bir sistemi
kimin kullandığını izlemenin yaygın bir yolu, kullanıcıları tanımlamak
(kullanıcı kimliği) ve kimliklerini doğrulamak (parola) için kullanıcı
hesapları kullanmaktır. Kullanıcı hesapları, bir kullanıcının bir sistemin ne
kadarına veya hangi bölümlerine erişebileceğini ve bir sistemdeyken
gerçekleştirebileceği eylemleri kontrol etmek için kullanılabilir. Bir bölge,
sistemlere ve verilere kullanıcı erişimini yetkilendirmek, gözden geçirmek
ve kaldırmak için politikalara ve prosedürlere sahip olmalı ve bu tür
yetkilendirmeleri ve eylemleri belgelendirmelidir. Kullanıcı hesabı erişim
kontrolleri, erişimi yalnızca işlerini yapmak için bu tür bir erişime ihtiyaç
duyan kişilerle sınırlamalı, artık gerekli olmayan hesapları kaldırmalı ve
kullanıcı erişim haklarının periyodik olarak gözden geçirilmesini
içermelidir.
2.1 Sonlandırılan
kullanıcılar Bir kullanıcı işten ayrıldıktan sonra kullanıcı hesaplarının zamanında devre
dışı bırakılması veya kaldırılmasına yönelik politika ve prosedürler
belgelenmemiştir veya ek adımlar gerektirmektedir. Eski kullanıcıların
ilçeden ayrıldıktan 30 gün veya daha uzun bir süre sonra hala ilçe
sistemlerine ve bilgilerine erişebildiğini tespit ettik.

İşten çıkarma sonrasında erişimin kaldırılmasına yönelik etkili prosedürler

olmaksızın, eski çalışanlar kritik veya hassas veri ve kaynaklara erişmeye
devam edebilir ve bu da veri ve bilgilerin yetkisiz kullanımı, değiştirilmesi
veya imha edilmesi riskini artırabilir.
Tavsiye
Kullanıcı hesaplarının ve ilgili erişim ayrıcalıklarının, kullanıcı
feshedildikten sonra zamanında kaldırılmasını sağlamak için politika ve
prosedürleri tam olarak oluşturun, belgeleyin ve izleyin.
2.2 Hesap talebi
Verilere ve diğer sistem kaynaklarına kullanıcı erişiminin talep edilmesi,
oluşturulması ve sürdürülmesine ilişkin politika ve prosedürler resmi olarak
belgelendirilmemiştir. Ayrıca, talep ve onay sürecini belgelemek için
standart bir kullanıcı erişim talep formu kullanılmamaktadır.

Hesapları yeterince kontrol etmek için, bir kuruluş sistem yöneticileri de

dahil olmak üzere tüm kullanıcı hesaplarını yetkilendirmek ve sürdürmek
için politikalar ve prosedürler oluşturmalıdır. Bu politika ve prosedürler
rutin işlemler için gereken kullanıcı erişimini, acil durum erişimini ve
verilerin kurum dışındaki kişi veya gruplarla paylaşılmasını ve elden
çıkarılmasını kapsamalıdır.

Uygun hesap erişim politikaları ve prosedürleri olmadan, kullanıcılara

uygunsuz veya yetkisiz erişim izni verilebilir, bu da hassas verilerin kötüye
Tavsiye kullanılması veya uygunsuz şekilde ifşa edilmesi için fırsatlar sağlayabilir.

8
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Sistemlere erişimin talep
edilmesi, onaylanması ve
sürdürülmesi için standart
formlar da dahil olmak
üzere resmi politikalar ve
prosedürler oluşturun ve
bunları belgelendirin.

9
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
2.3 Etkin olmayan Belirli bir süre boyunca erişilmemiş veya kullanılmamış kullanıcı hesapları
hesap izleme için proaktif izleme gerçekleştirilmez.

Etkin olmayan hesaplar, kullanıcıların artık hesaplar tarafından sağlanan

erişim ayrıcalıklarına ihtiyaç duymadığını gösterebilir. Uygun izleme
olmadan, güvenlik yöneticilerinin belirli bir süre boyunca erişilmeyen veya
kullanılmayan kullanıcı hesaplarını tespit etme olasılığı daha düşüktür.

Tavsiye Etkin olmayan hesapları belirlemek ve değerlendirmek için kullanıcı hesabı

erişimini periyodik olarak izleyin.

2.4 Kullanıcı erişiminin Erişimin uygun ve iş görevleriyle uyumlu kalmasını sağlamak için
gözden geçirilmesi kullanıcıların verilere erişimine ilişkin periyodik incelemeler yapılmamıştır.

Kullanıcıların iş atamaları ve iş sorumlulukları değiştikçe, bölge

sistemlerine erişim hakları eklenebilir, değiştirilebilir veya kaldırılabilir.
Zamanla, kullanıcılar artık gerekli olmayan erişim haklarını biriktirerek
bölge verilerine uygunsuz erişim riskini artırabilir.

Kullanıcı erişim hakları periyodik olarak gözden geçirilmediğinde, yetkisiz

hak değişikliklerinin tespit edilememesi veya erişim haklarının mevcut iş
görevleriyle uyumlu olmaması riski artar.

Erişim haklarının uygun kalmasını ve iş görevleri ve sorumluluklarıyla

Tavsiye orantılı olmasını sağlamak için verilere ve diğer bilgi kaynaklarına kullanıcı
erişimini periyodik olarak gözden geçirin.

Bazı personel kullanıcı hesaplarını ve şifrelerini paylaşır. Hesaplar

2.5 Paylaşılan hesaplar paylaşıldığından, hesap kullanıcıları tarafından gerçekleştirilen herhangi bir
eylem belirli bir kullanıcı ile tanımlanamaz. Bu hesaplar kullanılarak
gerçekleştirilen eylemlerin izlenmesi veya yönetim tarafından gözden
geçirilmesi gibi ek telafi edici kontroller mevcut değildir.

Telafi edici kontroller oluşturmadan birden fazla kullanıcının aynı hesabı

paylaşmasına izin vermek, sistem ayarlarında yapılan değişikliklerden
sorumlu olan kullanıcının tespit edilmesini imkansız olmasa da zorlaştırır.

Paylaşılan hesapların kullanımını ortadan kaldırın veya sistem faaliyeti için

Tavsiye bireysel hesap verebilirlik eksikliği riskini azaltmak için telafi edici izleme
kontrolleri oluşturun.

Gerekli tüm güvenlik kontrollerinin uygulanmaması, kişisel olarak

tanımlanabilir bilgiler (PII) de dahil olmak üzere bölge teknoloji varlıklarını
3. Güvenlik uygunsuz erişim, kullanım ve ifşa riski altında bırakmaktadır.
Kontroller

10
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Güvenlik kontrolleri, hassas öğrenci verileri de dahil olmak üzere bir
bölgenin bilgisayar sistemlerini ve verilerini korumaya yardımcı olmak için
insanların, süreçlerin ve teknolojinin yönetimini içerir. Güvenlik kontrolleri,
bilgisayar sistemleri, veriler, fiziksel mülkler veya diğer varlıklara yönelik
güvenlik risklerini önlemek, tespit etmek, bunlara karşı koymak veya en aza
indirmek için güçlü parolalar gibi koruma önlemleri veya karşı tedbirlerdir.
Güvenlik kontrolleri politikaların, denetimin, manuel süreçlerin, bireyler
tarafından gerçekleştirilen eylemlerin veya otomatik süreçlerin
oluşturulmasını içerir. Güvenlik kontrolleri, elektronik olarak depolanan
verilerin korunmasına yardımcı olmak için bilgisayar sistemlerine veya
cihazlarına yerleştirilebilir veya kaynakların bulunduğu alanları güvence
altına alarak dizüstü bilgisayarlar ve ağ cihazları gibi fiziksel bilgisayar
3.1 Güvenlik yöneticisi kaynaklarının korunmasına yardımcı olabilir.

Güvenlik yöneticisi olarak görev yapmak üzere belirli personel resmi olarak
atanmamış veya güvenlik politikaları ve prosedürlerinin oluşturulması,
uygulanması ve sürdürülmesi için resmi olarak sorumluluk verilmemiştir.

Teknoloji direktörü ve teknoloji personeli genellikle gayri resmi olarak

teknoloji kaynaklarının ve verilerin güvenliğini sağlamakla görevlendirilir.
Ancak, güvenlik yönetiminden sorumlu resmi bir personel ataması
yapılmadığında, güvenlik politikaları ve prosedürlerinin yeterince
Tavsiye tasarlanamaması, belgelenememesi, uygulanamaması ve güncellenememesi
riski artmaktadır.

3.2 Parola kontrolleri Bölge güvenlik politikaları ve prosedürlerinin geliştirilmesi ve

sürdürülmesinden sorumlu bir güvenlik yöneticisini resmi olarak atayın.

Ağ şifrelerinin periyodik olarak değiştirilmesi gerekmez ve güçlü şifrelerin

kullanılmasını zorunlu kılacak kontroller gerekli değildir. Sonuç olarak,
şifrelerin bilgisayar sistemlerine ve veri dosyalarına erişimi yalnızca yetkili
kullanıcılarla ve iş sorumluluklarını yerine getirmek için erişime ihtiyaç
duyan kişilerle etkili bir şekilde sınırlandırdığına dair daha az güvence
vardır. Sistemlere ve verilere yetkisiz erişim ve kullanım riskini azaltmak
için şifreler periyodik olarak değiştirilmeli ve güçlü şifre kontrolleri
uygulanmalıdır.

Parolaların periyodik olarak değiştirilmesini zorunlu kılmadan veya güçlü

Tavsiye parola kontrolleri uygulamadan, bir parolanın hesap sahibinden başka biri
tarafından bilinmesi riski artar ve bu da hassas bölge bilgilerine uygunsuz
erişim ve bunların kötüye kullanılmasıyla sonuçlanabilir.
3.3 Erişim kontrolleri
Parolaların periyodik olarak değiştirildiğinden emin olun ve bilgisayarlara
ve verilere yetkisiz erişimi önlemek için parola kontrollerini geliştirin.

Kullanıcıların sistemlere ve verilere erişimine ilişkin politika ve prosedürler

tam olarak oluşturulmamıştır. Sonuç olarak, sistemleri korumak için
gereken belirli erişim kontrolleri uygulanmamıştır.

11
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Oturum açma Oturum açma banner'ları bölge sistemlerine ve verilerine erişen kullanıcılara
afişleri gösterilmez. Oturum açma banner'ları sistem kullanıcılarına geçerli gizlilik
ve güvenlik bildirimleri ve geçerli yasalar, yönetmelikler ve politikalarla
gerekli uyumluluk hakkında bilgi göstermelidir. Görüntülenen bir oturum
açma b a ş l ı ğ ı olmadan, kullanıcılar sistemin ve verilerin yetkili veya
uygun kullanımı hakkında bilgi sahibi olmayabilir veya bunun farkında
olmayabilir.

Eşzamanlı Bölge sistemlerine eşzamanlı erişimi sınırlamak veya tespit etmek için
kullanıcılar kontroller oluşturulmamıştır. Eşzamanlı oturum kontrolleri, tek bir
kullanıcının herhangi bir zamanda belirli bir sayıdan fazla konumdan bir
bilgi sistemine erişmesini engeller. Bu kontroller, yetkisiz kullanıcıların
yetkili bir kullanıcı gibi görünerek sisteme erişmesini önlemeye yardımcı
olur. Aynı anda birden fazla konumdan erişimi sınırlamayan veya tespit
etmeyen yönetim, verilerin ve sistemin gizliliğini, bütünlüğünü ve
kullanılabilirliğini sağlayamayabilir.

Bölge sistemleri için uygun kullanımı gösteren oturum açma banner'ları

Tavsiye uygulayarak ve tek bir kullanıcı için eş zamanlı oturum sayısını yönetmek
ve izlemek için güvenlik kontrolleri oluşturarak erişim kontrol politikalarını
ve prosedürlerini tam olarak oluşturun.

Günlüğe kaydedilecek ve izlenecek güvenlik olaylarının türlerini belirleyen

3.4 Güvenlik kayıtları politika ve prosedürler resmi olarak belgelenmemiştir veya belgelenen
politikaların geliştirilmesi gerekmektedir. Sonuç olarak, tespit edilen ve
günlüğe kaydedilen güvenlik olaylarının uygun şekilde araştırıldığına ve
çözüldüğüne dair daha az güvence vardır.

Genellikle sistem varsayılan günlük ayarları kullanılır. Bölgeler hangi

olayların günlüğe kaydedileceğine ilişkin bu ayarları özelleştirmediğinden,
güvenlik günlükleri hacimlidir ve olağandışı veya şüpheli faaliyetler için
etkili bir şekilde izlenemez. Bir bölge ilgili kriterleri belirlemeli ve günlüğe
kaydedilmesi gereken önemli sistem olaylarını tanımlamalıdır. En azından,
hassas veya kritik sistem kaynaklarına erişim ve bunların değiştirilmesi de
dahil olmak üzere tüm bu önemli olaylar günlüğe kaydedilmelidir. Ayrıca,
kayıtlar bu tür önemli sistem olaylarının izlenmesini kolaylaştırmak için
uygun bilgileri içermelidir.

Güvenlikle ilgili önemli olayları belirlemek, günlüğe kaydetmek ve izlemek

için etkili bir yöntem olmadan, bir bölge yetkisiz veya uygunsuz sistem
faaliyetlerinin tespit edilememesi riskiyle karşı karşıyadır.

Hangi güvenlik olaylarının denetim günlüklerine yazılması ve güvenlik

Tavsiye olayları olarak izlenmesi ve araştırılması gerektiğini belirlemek için kriterler
oluşturun ve belgelendirin.

3.5 Fiziksel güvenlik Teknoloji kaynaklarının korunmasını sağlamak için fiziksel güvenlik
kontrolleri tam olarak oluşturulmamıştır. Örneğin, fiziksel güvenlik
12
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
sorumluluğu

13
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Teknoloji kaynaklarının güvenliği resmi olarak tahsis edilmemiştir;
teknoloji kaynaklarına fiziksel erişim için, kısıtlı veya hassas alanlara
kimlerin erişim yetkisine sahip olabileceği de dahil olmak üzere,
belgelenmiş bir politika oluşturulmamıştır; ve kısıtlı alanlara erişim için
anahtarlar yeterince kontrol edilmemekte veya yedek anahtarlar uygun
şekilde izlenmemektedir.

Yeterli fiziksel güvenlik kontrolleri olmadan, bir bölge, bilgisayar ağının

fiziksel altyapısının kazara veya kötü niyetli olarak hasar görmesi, tahrip
edilmesi veya kaybolması riski altındadır; bu da bölge için önemli sorunlara
Tavsiye neden olabilir.

Teknoloji kaynaklarının fiziksel olarak korunmasına yönelik sorumluluğu

resmi olarak belgeleyin ve fiziksel erişimi etkili bir şekilde kısıtlamak için
3.6 Güvenlik politika ve prosedürler geliştirin.
kontrollerinin
Belirli güvenlik kontrollerine ilişkin politika ve prosedürler
belgelendirilmesi belgelendirilmemiştir:

• Sistem erişimi için onay isteme ve alma.

• Bölge teknoloji kaynaklarına erişen kullanıcılar için kullanıcı kimliği ve
şifre gereksinimleri.
• Verilere ve diğer kaynaklara kullanıcı erişimi sağlamaya yönelik
prosedürler.
• Kullanıcıların hangi güvenlik gruplarına atanabileceğine i l i ş k i n
politikalar ve her gruba verilen erişim hakları.
• Sistemlere kimlere ayrıcalıklı erişim verilebileceğini açıklayan politikalar.
• Kayıp veya ele geçirilmiş parolaları sıfırlama.
• İstihdamı sonlandıran kullanıcılar için hesapları devre dışı bırakma
ihtiyacının güvenlik yöneticilerine bildirilmesi.
• İşten ayrılan kullanıcılar için hesapların nasıl devre dışı bırakılacağını
açıklayan politikalar.
• Verilere ve diğer bilgi kaynaklarına kullanıcı erişiminin periyodik olarak
gözden geçirilmesi.
• Üyelik ve gruplara verilen erişim hakları da dahil olmak üzere kullanıcı
gruplarının periyodik olarak gözden geçirilmesi.
• Flash bellekler gibi çıkarılabilir medyaların kullanımına izin verilmesi.
Kabul edilen standartlara göre, bilgisayar desteği ve operasyonlarının tüm
yönlerinin belgelendirilmesi süreklilik ve tutarlılığın sağlanması açısından
önemlidir. Operasyonel uygulamaların ve prosedürlerin yeterli ayrıntıyla
resmileştirilmesi, güvenlik açıklarının ve gözden kaçmaların ortadan
kaldırılmasına yardımcı olur, yeni personele yeterince ayrıntılı talimatlar
verir ve operasyonların doğru ve verimli bir şekilde gerçekleştirilmesini
sağlamaya yardımcı olacak bir kalite güvence işlevi sağlar.
Belgelendirilmiş ve onaylanmış politika ve prosedürler olmadan, yönetim
kontrol faaliyetlerinin uygun ve düzgün bir şekilde uygulandığına dair
Tavsiye güvenceye sahip olmayabilir.

Güvenlik politikalarını ve prosedürlerini tam olarak belgeleyin ve periyodik

14
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
olarak gözden geçirin.

15
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Bir ihlal veya başka bir yıkıcı olay durumunda verileri korumak için ek
4. Olaylara önlemler gereklidir.
Müdahale ve
Güvenlik olayları ve elektronik olarak depolanan verilerin ihlali tüm
Süreklilik kuruluşlar için giderek artan bir endişe kaynağıdır. Bir olay müdahale planı,
Planlama veri ihlali müdahale politikası ve olası olayları ele almak için bölge
politikalarını ve prosedürlerini özetleyen süreklilik planı oluşturmak ve
uygulamak, öğrenci verilerinin gizliliğini korumak için önemli bir adımdır.
Olayların tespit edilmesi ve bunlara müdahale edilmesi için bu planların
açıkça tanımlanmış roller ve sorumluluklarla birlikte oluşturulması, daha iyi
bir müdahale kabiliyeti sağlar ve olay müdahale ve kurtarma süresinin
kısaltılmasına yardımcı olabilir. Hızlı müdahale, daha fazla veri kaybı
riskini en aza indirmeye yardımcı olur ve olaydan etkilenen bireylere
potansiyel zarar da dahil olmak üzere bir olayın veya ihlalin olumsuz
sonuçlarını sınırlandırmaya yardımcı olur. Süreklilik planlaması, ister bir
siber saldırı ister doğal bir afet sonucu olsun, kaybolan, manipüle edilen
veya tehlikeye giren veriler de dahil olmak üzere kaynakların, bir bölgenin
operasyonları üzerindeki etkiyi en aza indirmek için hızlı bir şekilde
kurtarılabilmesini sağlamaya yardımcı olur.
4.1 Olay müdahale Güvenlik olaylarına müdahaleye yönelik politika ve prosedürler resmi
dokümantasyonu olarak belgelenmemiştir.

Kabul edilen standartlara göre bir güvenlik olayı, bir bilgi sisteminin veya
sistemin işlediği, depoladığı veya ilettiği bilgilerin gizliliğini, bütünlüğünü
veya kullanılabilirliğini fiilen veya potansiyel olarak tehlikeye atan veya
güvenlik politikalarının, güvenlik prosedürlerinin veya kabul edilebilir
kullanım politikalarının ihlalini veya yakın tehdidini oluşturan bir olaydır.
Bir kuruluşun güvenlik ihlallerini veya ihlal şüphelerini merkezi bir
güvenlik yönetim ofisine bildirmek için resmi yazılı prosedürlere sahip
olması önemlidir, böylece birden fazla ilgili olay tanımlanabilir, diğer
çalışanlar potansiyel tehditlere karşı uyarılabilir ve uygun soruşturmalar
gerçekleştirilebilir.

Güvenlik olaylarına hızlı ve uygun müdahaleler yapılmazsa, ihlaller devam

edebilir ve bir kuruluşun kaynaklarına süresiz olarak zarar verebilir. Ayrıca,
ihlalciler uygunsuz erişim faaliyetlerine devam etmekten caydırılamayacak
ve bu da gizli bilgilerin ifşa edilmesine ve mali kayıplara neden
olabilecektir.
Tavsiye Tüm güvenlik olaylarının merkezi olarak izlenmesini içeren bir olay
müdahale planı oluşturun ve belgeleyin.

4.2 Veri ihlali müdahale Kapsamlı bir veri ihlali müdahale politikası oluşturulmamıştır. Bir veri ihlali
politikası müdahale politikasının uygulanması, öğrenci verilerinin gizliliğinin
korunmasında önemli bir adımdır.

Veri ihlali, PII gibi hassas veya gizli verilere potansiyel olarak erişildiği,
çalındığı veya bir kişi tarafından kullanıldığı bir güvenlik olayıdır.
16
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
yetkisiz kişi. ABD Eğitim Bakanlığı, PTAC tüm eğitim kurumlarının bir
veri ihlali müdahale politikası oluşturmasını önermektedir. Politika,
müdahale süreci için hedefler belirlemeli ve bir ihlalin tanımını, personelin
rol ve sorumluluklarının yanı sıra raporlama, düzeltme ve geri bildirim
mekanizmalarını içermelidir. Politika iyi bir şekilde duyurulmalı ve
görevleri veri gizliliği ve güvenliğinin korunmasını içeren tüm personel için
kolayca erişilebilir hale getirilmelidir.

Kapsamlı bir veri ihlali müdahale politikası olmadan, yönetim bir ihlal
durumunda hızlı ve etkili bir şekilde yanıt vermek için yeterli donanıma
sahip o l m a y a b i l i r v e b u d a etkilenen bireylerin potansiyel
zarar görme riskini artırır.
Tavsiye
Korunan öğrenci verilerinin ihlali durumunda uygun bir müdahaleyi teşvik
etmek için kapsamlı bir veri ihlali müdahale politikasını resmi olarak
belgeleyin ve benimseyin.
4.3 Süreklilik
planlaması Tam bir süreklilik planı belgelenmemiş ve resmi olarak test edilmemiştir.
Bu görevleri yerine getirmekten sorumlu kişiler resmi eğitim almamıştır.

Bölgelerin belgelendirmediği süreklilik planının unsurları şunlardır:

• Kritik sistemlerin ve verilerin restorasyonuna yönelik öncelikler ve

prosedürler.
• Belirli sistemlerin ve verilerin restorasyonundan sorumlu kişilerin
tanımlanması.
• Bölgenin yedeklemelerinde yer alan kaynakların ve verilerin resmi
olarak tanımlanması.

Kabul edilen standartlara göre, kritik iş fonksiyonlarını ve uygulamalarını

eski haline getirmek için bir süreklilik planı veya ilgili planlar paketi
geliştirilmelidir. Planlar, olağan tesislerin önemli ölçüde hasar görmesi veya
bunlara erişilememesi durumunda alternatif işleme tesisleri için
düzenlemeleri içermelidir. Personel eğitilmeli ve acil durumları önleme,
hafifletme ve bunlara müdahale etme sorumluluklarının farkında olmalıdır.
Ayrıca, süreklilik planlarının test edilmesi, planların acil bir durumda
amaçlandığı gibi işleyip işlemeyeceğinin belirlenmesi için gereklidir.

Test edilmiş ve işlevsel bir süreklilik planı olmadan yönetim, kurumun iş

fonksiyonlarının ve bilgisayar işlemlerinin yıkıcı bir olay sırasında
sürdürülebileceği veya yıkıcı bir olaydan sonra derhal devam ettirilebileceği
konusunda sınırlı güvenceye sahiptir.
Tavsiye Kapsamlı bir süreklilik planı geliştirin ve planın geliştirilmesi, uygulanması
ve sürdürülmesi için uygun personele resmi olarak sorumluluklar verin. Plan
oluşturulduktan sonra, planın periyodik olarak test edildiğinden emin olun.

17
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Resmi bir güvenlik ve gizlilik farkındalığı eğitim programı
5. Güvenlik oluşturulmamıştır. Eğitim kurumları daha güçlü bilgi sistemleri uyguladıkça
Farkındalığı ve elektronik verilere daha fazla bağımlı hale geldikçe, proaktif güvenlik
farkındalığı programları bir öncelik haline gelmektedir. Bilgisiz kullanıcılar,
Programı eğitim kurumlarında veri güvenliği için büyük bir tehdittir.

Teknoloji çözümleri bir güvenlik olayını veya veri ihlalini önlemek için her
zaman çözüm değildir. Bölge çapında bir güvenlik farkındalığı eğitim
programı oluşturmak, çalışanların siber tehditlerin farkında olduğundan
emin olmanın etkili bir yoludur, böylece bir güvenlik olayı veya veri
ihlaliyle sonuçlanabilecek maliyetli hatalar yapmazlar. Uygun şekilde
eğitilmiş personel geliştirirken veri koruma ve güvenlik konularında
farkındalığı teşvik etmek, kapsamlı bir eğitim programı aracılığıyla çeşitli
alanların ele alınmasını gerektirir. Güvenlik bilinci eğitimi girişimleri sınıf
tarzı oturumları, güvenlik bilinci web sitelerini, e-posta yoluyla sağlanan
yararlı ipuçlarını ve ilan panosu bildirimlerini içerebilir. Bu yöntemler,
çalışanların bölge güvenlik politikaları, prosedürleri ve en iyi uygulamalar
hakkında sağlam bir anlayışa sahip olmalarını ve olası güvenlik sorunlarını
ve siber tehditleri tanımak ve bunlara uygun şekilde yanıt vermek için neler
yapabileceklerini anlamalarını sağlamaya yardımcı olabilir.

Kabul edilen standartlara göre, bilgisayar güvenliği farkındalığı, eğitimi ve

öğretiminin amacı (1) sistem kaynaklarını koruma ihtiyacı konusunda
farkındalığı artırarak ve bilgisayar kullanıcılarının işlerini daha güvenli bir
şekilde yapabilmeleri için beceri ve bilgi geliştirerek güvenliği artırmak ve
(2) kuruluşlar ve sistemler için güvenlik programları tasarlamak, uygulamak
veya işletmek için gerektiğinde derinlemesine bilgi oluşturmaktır. Uygun
güvenlik ve gizlilik farkındalığı eğitimi ve veri ve cihaz kullanım
politikalarının açık bir şekilde iletilmesiyle, çalışanlar siber güvenlik
olaylarına karşı ilk savunma hattı haline gelebilir.

Yeterli eğitim olmadan, kullanıcılar sistem güvenlik risklerini ve bu riskleri

azaltmak için ilgili politika ve kontrollerin uygulanmasındaki rollerini
anlayamayabilirler.

Resmi bir güvenlik ve gizlilik farkındalığı eğitim programı oluşturun.

Tavsiye
Satıcıların ve sözleşmelerin izlenmesine yönelik kontroller tam olarak
6. Satıcı Kontroller oluşturulmamıştır.

İlçeler, bilgisayar yazılımı ve veri yedekleme hizmetlerinin kullanımı da

dahil olmak üzere bilgi sistemi hizmetlerinin kullanımını satıcılarla yapılan
sözleşmeler ve lisans anlaşmaları yoluyla elde edebilir. Satıcılar, bir kurum
adına bilgi işlerken, depolarken veya iletirken ya da bilgi sistemlerini
işletirken kurumun kendisinin karşılaması gereken güvenlik gerekliliklerinin
aynısını karşılamalıdır. Bir satıcının bilgi sistemi hizmetlerinin
kullanımından kaynaklanan riskleri yönetme sorumluluğu bölge yetkililerine
aittir. Bu risk, kapsamlı yazılı politikalar oluşturularak yönetilebilir.

18
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Teknoloji tedarikçilerinin bölge güvenlik gereksinimlerine uymasını
sağlamak için sözleşmeler ve izleme süreçleri.

6.1 Satıcı izleme Bilgi teknolojisi tedarikçilerinden satın alınan veya dışarıdan temin edilen
yazılımların veri güvenliği ilkelerine uygunluğunu sağlamaya yönelik bir
süreç oluşturulmamıştır.

Mali bilgileri, insan kaynakları verilerini, öğrenci verilerini ve diğer bilgileri

yönetmek için çeşitli satıcıların yazılım ürünleri kullanılmaktadır.
Düzenlemeye bağlı olarak, bazı ürünler ilçenin sahip olduğu ekipmana
kurulur ve ilçe personeli tarafından bakımı yapılır (satıcıdan ek destekle),
diğerleri ise doğrudan satıcı tarafından barındırılır ve bakımı yapılır.
Sözleşmelerde genellikle satıcının bir bölge için uygun güvenlik
işlevselliğini sağlayacağını belirten bir madde bulunmaktadır. Ancak, bölge
personeli satıcılardan ürünlerinin güvenlik işlevselliğinin genel kabul
görmüş endüstri standartlarını karşıladığına dair belge sunmalarını
istememiştir.
Yazılım satın alma veya dış kaynak kullanımı riskini izlemek ve yönetmek
için etkili bir süreç olmadan, ilçeler bir tedarikçinin hizmetleri etkili, güvenli
ve güvenilir bir şekilde sunma ve hizmetlerin mevcut ve gelecekteki veri
gizliliği ve güvenliği ihtiyaçlarını karşılamasını sağlama becerisi konusunda
Tavsiye daha az güvenceye sahiptir.

Bölge verilerinin uygun şekilde korunduğundan ve tedarikçinin sözleşme

hüküm ve koşullarına uygun hareket ettiğinden emin olmak için bilgi
6.2 Satıcı sözleşmeleri teknolojisi tedarikçilerini resmi olarak izlemeye yönelik prosedürler
geliştirin.

Kritik bir bölge sisteminin satıcısı ile yazılı bir sözleşme yapılmamıştır veya
sözleşme bölge verilerinin güvenliği ve erişimine ilişkin beklentileri tam
olarak tanımlamamaktadır.

ABD Eğitim Bakanlığı, PTAC yazılı anlaşmalar yapan kuruluşlar için en iyi
uygulamaları sunmaktadır. Bu en iyi uygulamalar arasında PII'nin
sahipliğinin belirtilmesi; pazarlama, reklam, veri madenciliği kısıtlamaları
dahil olmak üzere PII'nin kullanımına ilişkin sınırlamalar üzerinde
anlaşmaya varılması; ve PII'yi uygun şekilde korumak için uygun teknik,
fiziksel ve idari önlemler uygulayarak verilerin güvenli bir şekilde muhafaza
edilmesi yer almaktadır. Ayrıca, veri imhası için şartların belirlenmesi,
uygunsuz ifşa için cezaların tanımlanması ve uyuşmazlık çözümü için
şartların tanımlanması da yer alır.
Veri güvenliği beklentilerini tam olarak tanımlayan yazılı bir sözleşme
Tavsiye olmadan, ilçeler verilerinin güvenliğini ve gizliliğini sağlayamaz ve bir
satıcı anlaşmazlığı veya uyumsuzluk durumunda uygulanabilir sözleşme
hükümlerine güvenemez.

Sağlanan hizmetleri ve bölge verilerinin güvenliği ve erişimine ilişkin

beklentileri tanımlayan yazılı bir sözleşme oluşturun ve/veya satıcı ile

19
 Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
mevcut sözleşmeyi
iyileştirin.

20
Denetim BulgularınınDevlet
Özeti ve Yerel Denetim Bulgularının Özeti - Gün Işığı
Siber Farkındalık EkOkul
Yasası
A
Denetim
Denetimleri Ek - Denetim
Raporları

Raporları
Rapor
Numara Başlık
Yayınlanm
a Tarihi
sı
2016-015 Boonville R-1 Okul Bölgesi - Öğrenci Veri Yönetişimi Mart 2016
2016-025 Waynesville R-VI Okul Bölgesi - Öğrenci Veri Yönetişimi Mayıs 2016
2016-058 Cape Girardeau Devlet Okul Bölgesi - Öğrenci Veri Yönetişimi Ağustos 2016
2016-084 Park Hill Okul Bölgesi - Öğrenci Veri Yönetişimi Eylül 2016
2016-089 Orchard Farm R-V Okul Bölgesi - Öğrenci Veri Yönetişimi Eylül 2016

17