Tüm dünyada olduğu gibi ülkemizde de, teknolojik gelişmelerin finans sektörüne hızla girişi ile bilginin güvenliğinin ve denetiminin sağlanması hayati öneme sahip olmuştur. Bu nedenle ülkemizde de finansal kuruluşların hem ülkesel hem global ölçekte bilgi güvenliğini en az asgari düzeyde sağlamaları için ulusal standartlar ve yasal düzenlemeler yapılması zaruri hale gelmiştir. Düzenlemelerin uluslararası standartlara uygun olması finans sektöründeki oyuncuların uluslararası boyutta güvenilirliğini tesis ettiğinden bu standartlarla uyumlu ve hatta bu standartlara atıf yapan düzenlemelerin yapılması zarureti hâsıl olmuştur.
Bu çalışmada, bilgi güvenliği ve denetimine ilişkin kavramlar ile uluslararası kabul görmüş bilgi güvenliği düzenleme ve standartları, ISO/IEC 27000 Serisi, COBIT, ITIL, gibi düzenleme ve standartlar konusunda kısa bilgiler verilerek finans sektörü özelinde Türkiye’deki regülasyonların bu standartlarla olan ilişkisi üzerinde durulacaktır.
Bilgi ile teknolojinin buluşma noktası olarak ifade edebileceğimiz bilişim kavramı kaynağını Fransızcadan dilimize alınarak emformasyon şeklinde Türkçeleştirilen sözcükten almaktadır. Aydın Köksal tarafından bilişmek fiilinin türetilmesiyle Türkçeye kazandırılan bilişim kavramı ise kökeni bilgiye dayandığı için çok daha yerinde ve tercih edilir bir kavram olarak dilimize yerleşmiştir. [1]
Bilişim, Dülger tarafından; “insanların teknik, ekonomik, siyasal ve toplumsal alanlardaki iletişiminde kullandığı bilginin, özellikle bilgisayar aracılığıyla düzenli ve akılcı biçimde işlenmesi, her türden düşünsel sürecin yapay olarak yeniden üretilmesi, bilginin bilgisayarda depolanması ve kullanıcıların erişimine açık bulundurulması bilimi” olarak tanımlanmıştır.[2]
Bilişim Teknolojileri Denetimi, organizasyonların ulusal veya uluslararası denetim standartları ve çerçeve dokümanlar dikkate alınarak bilişim sistemleri üzerinde sahip oldukları bilgilerin korunması, bütünlüğünün, erişilebilirliğinin ve güvenilirliğinin sağlanması amacıyla bu teknolojilerin organizasyonun amaçlarına uygun şekilde güvenli, etkin ve verimli bir şekilde işlediği hususunda makul bir güvence sağlayan incelemelerdir.[3]
Bilgi Güvenliği, bilginin saklandığı veya hareket halinde olduğu teknolojik ortam içinde gizliğinin (Confidentiality) bütünlüğünün (Integrity) ve kullanılabilirliğinin(Availability) yeterli düzeyde sağlanabilmesi olarak tanımlanabilir.[4]
II. ULUSLARARASI STANDARTLAR ve DÜZENLEMELER
Bilginin gizliliği, bütünlüğü ve kullanılabilirliğini sağlamak hedefiyle onu destekleyen süreç ve sistemlerle ilgili riskleri yönetmek için gerekli denetim ortamının kurulması ve bakımının sağlanması amacıyla bilgi güvenliği yönetimi için bir takım standartlar getirilmiştir.[5] Bilgi güvenliği standart ve düzenlemeleri üzerinde uzlaşıya varılmış bir dizi belgelendirilmiş politika prosedür ve süreçler bütünü olarak ifade edilebilir.[6] Bu amaçla çeşitli sektörler için küresel olarak geliştirilen çok sayıda standart ve düzenleme vardır. Bu standart ve düzenlemelerden bilgi güvenliği ile ilgili olan ve en yaygın kullanım alanı bulanlar ISO/IEC 27000 Serisi, COBIT, ITIL standartları ve düzenlemeleridir.
Bilgi Güvenliği Yönetim Sisteminin (BGYS) tarihçesine bakıldığında, Bilgi Güvenliği Yönetim Sistemi kavramından ilk olarak 1998 yılında British Standards Institute (BSI) tarafından yayınlanmış BS 7799-2 standardında söz edilmiştir. Sonrasında, Uluslararası Standartlar Örgütü (ISO) bu standardı kabul ederek, ISO/IEC 27001:2005 olarak yayınlanmış ve böylelikle ilgili aileye mensup diğer standartlarla birlikte uluslararası düzeyde tanınan ve referans alınan bir çerçeve oluşmuştur.[7]
ISO/IEC 27001 standardı, tüm kuruluşlarca uygulanabilecek, genel bir çerçeve olup, BGYS’nin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gerekli şartları belirlemektedir. ISO/IEC 27001 standardı teknik ve teknoloji bağımlı bir standart olmamakla birlikte yapısı gereği belli bir ürün veya bilgi teknolojisini esas almaz. Hedefi bilgi güvenliğinin sağlanması olan bu standart, irili ufaklı tüm organizasyonlar için bilgi güvenliğinin sağlanması konusunda yapılacak ve izlenecek hususları belirler.[8]
Teknolojinin hızla değişen gelişen bir yapıda olmasının doğal bir sonucu olarak BGYS canlı bir süreçtir. Buradan hareketle standardın belirlediği döngü “Planla- Uygula- Kontrol Et- Önlem Al (PUKÖ)” şeklindedir. Bu döngü modeli ise şu şekilde özetlenebilir;[9]
Planlama: Kurumun BGYS prosedür ve politikalarının oluşturulması, amaç ve hedeflerinin belirlenmesini ifade eder.
Uygulama: amaç ve hedefler doğrultusunda planlanan prosedür ve politikaların gerçekleştirilmesi, işletilmesi mekanizmasını ifade eder.
Kontrol etme: Uygulanan BGYS politika ve prosedürlerinin kontrol edilmesi, takibi, performansının ölçülmesi ve sonuçların değerlendirilmesi amacıyla yönetime raporların sunulması süreçlerini ifade eder.
Önlem alma: Uygulanan BGYS’nin devamlılığının sağlanması, iyileştirilmesi, raporlara göre düzeltilmesi ve önleyici tedbirlerin alınmasını ifade eder.
Görüldüğü gibi bu döngü daimi bir biçimde birbirini takip ederek canlı bir sistem meydana getirmektedir.
Bu döngü, standardın 2005 yılı versiyonunda olmasına rağmen 2013 versiyonunda bulunmamaktadır. Fakat buna rağmen 2013 versiyonunda belirtilen iyileştirmeye ve geliştirmeye yönelik düzenlemenin bir gereği olarak güncel versiyonda da bu döngüden istifade edilmesi mümkündür.[10]
COBIT, 1969 yılında Information Bilgi Sistemleri Denetim ve Kontrol Birliği-Systems Audit and Control Association (ISACA) tarafından sunulmuş, bilişim sistemleri yönetimi ve denetimi konusunda en geniş çerçeveye sahip standart olma özelliğine sahiptir.[11]. Ayrıca COBIT kurumsal BT Yönetişimi ve yönetimini destekleyen tek iş çerçevesi olarak tüm dünyada yaygın olarak kullanılmaktadır. 1996 yılında ilk kez yayınlanan COBIT, teknolojik değişim ve gelişimlere paralel bir şekilde güncelliğini korumak gayesi ile güncellenerek, 1998’da 2., 2000 yılında 3. ve 2005 yılında 4., 2007 yılında 4.1 ve son ürünü olarak da COBIT 5 versiyonuna ulaşmıştır. COBIT “Kurumsal BT Yönetişimi” kavramını belirleyen ve herhangi bir kurumda yer alabilecek tüm teknoloji süreçlerini kapsayan, gruplanmış 4 süreç alanı ve 34 tane temel BT sürecini belirleyen oldukça etkin bir standarttır.[12] COBIT, organizasyonların BT birimleri için bir yönetim denetim mekanizması olarak geliştirilmesi ve zamanla bir BT yönetişim standardı haline gelmesi ile, yenilikçi ve etkin bir şekilde bilgi güvenliği, güvence, risk yönetimi ve yönetişim konularında çalışan uzmanlara ve BT liderlerine, bilgi ve teknolojiden sağladıkları faydayı artırmaları ve bunlara ilişkin riskleri yönetmeleri konusunda destek sağlamaktadır.[13]
COBIT, organizasyon içinde etkili BT sürecinin gerçekleştirilmesi hedefiyle kontrol hedefleri ve bu kontrol hedeflerine uygun rolleri önermek ve organizasyonun yönetişim olgunluk seviyesini yükseltmek konusunda yönetsel ihtiyaçlara cevap veren niteliktedir.[14]
COBIT, iş hedeflerinin bilgi işlem hedeflerine dönüşümü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getirmektedir.[15
COBIT iş gereksinimleri, BT kaynakları, BT süreçleri ve kurumsal bilgilerden olmak üzere 4 temel süreçten oluşur. İş gereksinimleri, etkinlik, verimlilik, gizlilik, bütünlük, erişilebilirlik, uyumluluk ve güvenilirlik kıstaslarından, BT kaynaklarını uygulama, bilgi, altyapı (teknoloji) ve insan (olanaklar) oluşturmaktadır. BT süreçlerini ise etki alanları, süreçler ve faaliyetler oluşturmaktadır. Öncelikle bu süreçlerde bilgi teknolojileri kullanımı ile risk ve kaynak optimizasyonu sağlamaktadır.[16]
İngiltere Ticaret Bakanlığınca 1990’lı yıllara gelirken BT alt yapı ve hizmet süreçlerinin belli bir standarda bağlanması amacıyla oluşturulmuş bir kütüphane olan ITIL, 1990’lı yıllarda Avrupa Ülkelerinde oldukça benimsenmiş ve uygulamaya koyulmuş bir endüstri standardı haline gelmiştir.[17]
ITIL, hizmet sunumu ve desteği süreçlerinden oluşan hizmet yönetiminin en etkin şekilde yapılmasına yönelik detaylı bir rehber niteliği taşır. ITIL BT süreçlerinin birbirine entegre edilmesi, kullanıcı memnuniyetine öncelik vermesi, ölçeği her ne olursa olsun tüm kurumlarda uygulanabilirliğinin olması, süreç odaklı bir rehber niteliği taşıması sebebiyle ihtiyaca cevap veren bir niteliktedir. Süreç odaklı olmasının bir sonucu olarak ITIL, müşteri, tedarikçi, IT ve kullanıcıları arasında entegre olmuş BT geliştirme ve işlemlerini hedefleyen bir yapıdadır. [18]
ITIL günümüzde bir rehber, bir kütüphane olmaktan çıkmış ve COBIT ile birbirini tamamlayan bir BT yönetim metodolojisi halini almıştır. [19]
ITIL güvenlik politikası, BT varlıklarının doğru/yanlış işlenmesi, erişim kontrolü, e-posta, internet, anti virüs, bilgi sınıflandırma, uzaktan erişim gibi konuları kapsamaktadır.
III. TÜRKİYE’DE BT DENETİMİNDE BİLGİ GÜVENLİĞİ’NE İLİŞKİN STANDART VE REGÜLASYONLAR
İş hayatında bilgi teknolojilerinin kullanımının artması Türkiye’de de dünyaya paralel olarak artmıştır. Ülkemizde kamu kuruluşları ve özel sektördeki kuruluşlar, teknolojideki gelişmelere bağlı hızlı bir dönüşüm süreci içinde bulunmakta, faaliyetlerinin büyük bir kısmını gerçekleştirirken sistemlerden ve uygulamalardan yararlanmaktadırlar. Türkiye’de de uluslararası düzenlemelerle paralel olarak BT denetim standartları oluşturulmuştur. Ülkemizde denetim standartları konusunda üst kurul Kamu Gözetim Kurumu’dur. KGK tarafından Türkiye Denetim Standartları hazırlanmış ve yayımlanmıştır. Ayrıca Türkiye’de, Bankacılık Düzenleme ve Denetleme Kurumu’nun, Bankacılık Kanunu ve 6493 sayılı Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ışığında yaptığı düzenlemeler ile finans sektörü bilgi teknolojileri kapsamında zorunlu denetimlerden geçmektedir. Sermaye Piyasası Kurulu (SPK), aracı kurumlarda uygulanacak iç denetim sistemine ilişkin esaslar hakkında bir tebliğ çıkarmış olup, Gelirler İdaresi Başkanlığı da yeni nesil Ödeme Kaydedici Cihazlar için Güvenilen Servis Sağlayıcılarda BT denetimlerini zorunlu hale getirmiştir.
Ülkemizde Bilgi Güvenliği denetiminde ISO/IEC 27001 standartlarının referans alındığı söylenebilir. Bu standart Türk Standartları Enstitüsü (TSE) tarafından da benimsenerek, Bilgi Teknolojisi- Güvenlik Teknikleri- Bilgi Güvenliği Yönetim Sistemleri- Gereksinimler adı altında TS EN ISO/IEC 27001 standardı hazırlanmıştır. Bu standart referans aldığı ISO/IEC 27001 standardında olduğu gibi, teknik bir standart olmayıp, kurumların Bilgi Güvenliği Sistemi oluşturması, işletmesi takip etmesi denetlemesi, sürdürmesi ve iyileştirilmesi konularında bir model oluşturur.[20]
T.C. Hazine ve Maliye Bakanlığı İç Denetim Koordinasyon Kurulu (İDDK) tarafından 2014 yılında yayımlanan uluslararası kabul görmüş risk tabanlı bir denetim yaklaşımını benimseyen Kamu BT Denetimi Rehberinde BT yönetim süreçleri, COBIT, ISO/IEC 27001 ve ITIL çerçeveleri referans alınarak hazırlanmıştır.[21]
Sayıştay, ülkemizde 6085 sayılı Sayıştay Kanunu’nun 5. Maddesi gereğince Kamu idarelerinde mali denetim konusunda yetkilendirilen bir kurumdur. Sayıştay, özellikle kamu kurumlarının BT ile olan adaptasyonu ile BT alanında da denetim yapma zarureti içine girmiş ve bu amaçla da Ülkemizde BT denetimi açısından düzenlemeler gerçekleştiren bir diğer kurum olan Sayıştay, 6085 Sayıştay Bilişim Sistemleri Denetim Rehberi yayımlanmıştır. Rehber Bilgi Güvenliği Standartları (ISO/ 17799, ISO/IEC 27001 gibi), Uluslararası Sayıştaylar Birliği (INTOSAI) rehber ve standartları, ISACA rehberlerinden yararlanılarak hazırlanmıştır. Ayrıca Sayıştay tarafından yapılan BT denetimlerinin de ISO/IEC 27001 güvenliği standartlarını referans alarak yapıldığı söylenmelidir.[22]
15 Mart 2020 tarihinde resmi gazetede yayımlanarak 01.01.2021 tarihinde yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile 2007 yılından beri yürürlükte olan ve çeşitli tarihlerde değişikliğe uğrayan Bankalarda Bilgi Sistemleri Yönetiminde Esas alınacak İlkelere ilişkin Tebliğ yürürlükten kaldırılmıştır. Yürürlükten kaldırılan eski Tebliğ, ISACA organizasyonu tarafından oluşturulmuş olan COBIT 4.1 standardını referans alan bir düzenleme idi. Öyle ki BDDK 2006 yılından itibaren yayımladığı tebliğ ve yönetmeliklerle BT Denetimi konusunda COBIT referanslı bir denetim mekanizması öngörmekteydi.[23] Yürürlükten kaldırılan Tebliğ’in Genel Kontroller başlıklı 22. Maddesinin 2. Fıkrası, “Banka, genel kontrollerin tesisi amacıyla uluslararası kabul görmüş bir standart, çerçeve veya metodolojiyi belirleyerek, buna göre kontrolleri tesis eder. Seçilecek standart, çerçeve veya metodoloji, bankanın faaliyet kapsamı ve faaliyetlerde yararlanılan bilgi teknolojileri ağırlığı ve karmaşıklığı göz önünde bulundurularak belirlenir. Bankanın bilgi sistemleri genel kontrollerini tesis etmek üzere kullanacağı standart, çerçeve veya metodolojinin COBIT’te ele alınan kontrol hedeflerini gerçekleyebilmesi, eğer bu konuda eksiklikleri varsa buna ilişkin kontrollerin ayrıca ele alınarak tesis edilmesi gerekir.” Şeklindeki maddesi ile de doğrudan COBIT’e atıf yapmış bir düzenleme olmuştur. Yürürlüğe giren Yönetmelikte ise, doğrudan COBIT’i ya da ISO/IEC 27001’i referans gösteren bir madde bulunmasa da BDDK tarafından belirlenen bilgi güvenliği denetimi standartları COBIT, ITIL ve ISO/IEC 27001 standartlarını referans alarak finansal teknolojilerdeki gelişmeler ve Kişisel Verilerin Korunması Kanunu dikkate alınarak hazırlanmış olup, yönetmeliğin ISO/IEC 27001’in izdüşümü olduğunu söylemek mümkündür. [24]
Yönetmelikte, yürürlükten kaldırılan Tebliğ’den farklı olarak elektronik bankacılıktaki ve teknolojideki gelişmeler ve son yıllarda BDDK tarafından banka ve bağımsız denetim kurumlarına gönderilen ek talep ve denetim yönlendirmelerine de yer verilmiştir.[25]
Uyum sürecinde ise hem yönetişim bakış açısıyla değerlendirilmesi gereken hem de geçiş aşamasında köklü süreç değişikliklerine neden olabilecek birtakım başlıklar getirilmiştir.
Yönetmeliğin 4. ve 8. Maddelerinde bilgi güvenliği fonksiyonu doğrudan Yönetim Kurulu’na ya da Genel Müdür’e bağlanmış, böylelikle bilgi Sistemleri Yönetişimi konusunda rol ve sorumluluklar netleştirilirmiş ve görevler ayrılığı keskinleştirilmiştir. [26]
Yönetmeliğin 6. Maddesinde, ISO/27001 standardı ile paralel bir şekilde banka bünyesinde Banka bünyesinde varlık envanteri hazırlanarak envanterle paralel bir şekilde sınıflandırma kılavuzlarının hazırlanması da öngörülmüştür. [27]
Yine 10. Maddede de, Kişisel Verilerin Korunması Kanunu’na paralel olacak şekilde “Müşterinin, bilgilerini paylaşmaya dair açık rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.” düzenlemesi getirilmiştir.[28]
11. maddede ise kimlik ve erişim yönetimi ile ilgili doğrulama mekanizmaları veri gizliliği esas alınarak düzenlenmiş ve yükümlülükler netleştirilirmiştir.
Yönetmeliğin 18. Maddesinde ise, Kurumsal SOME kurulması ve raporlama kriterlerinin kıstasları ve Kurumsal SOME’ye ilişkin iletişim bilgilerinin BDDK’ya iletilmesi şartları düzenlenmiştir.
25. maddede ise Birincil (asıl) ve ikincil (yedek) sistemlerin barındırılması konusunda yurt içinde olmak koşulu ile bulut sistem veya dış hizmet sağlayıcıdan barındırma hizmetinin alınması mümkün kılınmıştır.
29. maddede ise dış hizmet alımlarına ilişkin çeşitli kriterler getirilerek bankaların dış hizmet sağlayıcının bilgi güvenliği sistemlerine ilişkin yönetim, değerlendirme ve denetim mekanizmaları işletecek standartların oluşturulmasını ve “Dış hizmet alımı kapsamında banka verilerinin dış hizmet sağlayıcıya aktarılmasının gerekli olduğu durumlarda, dış hizmet sağlayıcının güvenlik konusundaki prensip ve uygulamalarının en az bankanın uyguladığı düzeyde olması için gerekli tedbirlerin alınması,” kriterinin dikkate alınmasını gerekli kılmıştır.
Yine çeşitli maddelerde elektronik bankacılık, internet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık hizmetleri ve ATM bankacılığına ilişkin kimlik doğrulama ve işlem güvenliğine ilişkin kriterler belirlenmiştir. [29]
13.01.2010 tarihli resmi gazetede yayımlanan ve bankaların bilgi sistemleri ile bankacılık süreçlerinin, yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ilgili usul ve esasları düzenleyen Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğin Tanımlar ve kısaltmalar başlıklı 4. Maddesi açıkça COBIT’i tanımlamış, ve yönetmelik doğrudan yönetmelikte hüküm bulunmayan hallerde uluslararası standartlara ve COBIT’e atıf yapmıştır. Yönetmelikte, Bilgi Sistemleri Bağımsız Başdenetçisinin bilgi sistemleri ve bankacılık süreçleri raporuyla ilgili sorumluluğu üstlendiği ve bu unvana sahip olabilmek için asgari 10 yıllık tecrübeyle birlikte CISA sertifikasının ön koşul olarak bulunduğu görülmektedir. CISA sertifikasyon programı ISACA tarafından yürütülen bir program olup, bilgi sistemleri denetimi alanında dünya genelinde kabul görmektedir.[30]
02.04.2015 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bankaların Bağımsız Denetimi Hakkında Yönetmelik m.4 / f. 3 ‘te “Bağımsız denetim raporu, TDS’de öngörülen hususlara ilave olarak bankanın iç kontrol sisteminin; finansal tabloların “Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ve TMS hükümleri ile Kurul tarafından bankaların hesap ve kayıt düzenine ilişkin yayımlanan diğer düzenlemelere, Kurum genelge ve açıklamalarına uygun olarak, tüm önemli yönleriyle gerçeğe uygun bir biçimde hazırlanmasını ve sunulmasını sağlayacak nitelikte olduğu, uygun muhasebe politikalarının seçildiği ve uygulandığına ilişkin ibareleri de içerecek şekilde düzenlenir.” Şeklindedir. Buradan hareketle denetim raporlarının belirli bir raporlama metodolojisi ile yapılacağının düzenlenmiş olduğu görülmektedir. Blgi Teknolojileri denetimine has metodoloji standartları ISO 27001, ISAE3402 vb. standartlar olup, düzenleme uluslararası standartlarla paralel bir metodoloji öngörmektedir.[31]
26 Haziran 2020 tarihli ve 31167 sayılı Resmi Gazete ’de yayımlanan 7247’nolu Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun (“Kanun”) yürürlüğe girmiştir. Bu gelişme ile finansal hizmet veren kuruluşlar için müşteri edinim aşamalarındaki “Kimlik Tespiti” ve “Sözleşme” süreçlerinin fiziki olarak yürütülmesi zorunluluğu ortadan kalkmaktadır.
Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK“) tarafından 01.04.2021 tarihinde yayımlanan; Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik (“Yönetmelik“) ile birlikte, bankalar, Fintechler ve Finansal kuruluşular tarafından yeni müşteri kazanımında ve müşteri kimliğinin doğrulanmasında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ilişkin detaylar belirlenmiştir. Bu düzenleme ile, Bankaların, Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in 34.üncü maddesi ile birlikte Yönetmelik içerisinde belirlenen standartlara göre uzaktan kimlik tespiti yöntemlerine ilişkin süreci başlatması öngörülmektedir. Buna göre uzaktan kimlik tespitini yapacak müşteri temsilcisi ve çalışma ortamı, Sürecin başlatılması ile uyulması gereken genel ilkeler, Kullanılabilecek kimlik belgesi ve doğrulanması, Kimliği tespit edilecek kişinin doğrulanması, Görüntülü görüşmede sürecin sonlandırılması, Verilerin kaydedilmesi ve saklanması, Uzaktan kimlik tespitinde sorumluluk, Kimlik tespitini müteakip sözleşme ilişkisinin kurulması hususları Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’e atıfla COBIT, ISO 27001 standartlarına paralel bir şekilde düzenlenecektir. [32]
Ayrıca, 30.04.2021 tarihli Resmi Gazetede yayımlanarak 01.05.2021 tarihinde yürürlüğe giren Uzaktan Kimlik Tespitini Düzenleyen Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra no:19) ile Finansal kuruluşular (Bankalar, Factoring, Leasing, Finansman ve Varlık Yönetim şirketleri, Ödeme Kuruluşları ve Elektronik para şirketleri vb.) ile finansal olmayan yükümlüler (kuyumcular, emlakçılar, avukatlar, noterler, SMMM’ler) tebliğ ile belirlenen uzaktan kimlik tespiti yöntemlerini uygulayacaklardır. İlgili tebliğin Dördüncü bölümünde Uzaktan kimlik tespitinde alınması gereken sıkılaştırılmış tedbirle başlıklı 6. Maddesinin de yine Uluslararası BT standartları ile paralel düzenlemeler içerdiğini söylemek mümkündür.
19.11.2019 tarihinde, 509 Sıra No.lu Vergi Usul Kanunu Genel Tebliğinde belirtilen e-Belge uygulamaları kapsamında, GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının e-Belge uygulamaları ile ilgili özel entegratörlük faaliyet ve süreçlerine ilişkin bilgi sistemlerinin denetimi hususunda usul ve esasları düzenleyen E-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu yayımlanmıştır. Başkanlıkça bu Kılavuzda belirtilen isteklerin karşılanıp karşılanmadığına yönelik bilgi sistemleri bağımsız denetim faaliyetinin gerçekleştirilmesine ve özel entegratör kuruluşlar nezdindeki sonuçlarına ilişkin usul ve esasları belirlemek üzere hazırlanmıştır. Kılavuzun 15. Maddesine göre “Bu Kılavuzda yer almayan veya yorumunda tereddüt duyulan bir hususla karşılaşılması halinde, uluslararası kabul görmüş bilgi teknolojileri kontrol hedefleri sunan ISO standartları ya da COBIT dokümanlarında yer alan usul ve esasları uygulanır” demekle açıkça COBIT ve ISO/IEC 20000: Bilgi Teknolojileri Servis Yönetimi Standardını, ISO 22301: Uluslararası İş Sürekliliği Yönetimi Standardını, ISO/IEC 27001: Bilgi Güvenliği Yönetim Sistemi Standardını referans aldığı görülmektedir. [33]
Güvenli Mobil Ödeme ve Elektronik Belge Yönetim Sistemi (“GMÖEBYS”) İlk olarak 1 Haziran 2019 tarihli ve 30791 sayılı Resmi Gazete ’de yayımlanan 507’nolu Vergi Usul Kanunu Genel Tebliği ile yayımlanmıştır. 30 Aralık 2019 tarihinde yayınlanan GMÖEBYS Kılavuzu ve Uyumluluk Test Adımları Tablosu ile birlikte söz konusu sistemi işletmek isteyen kuruluşlara yönelik başvuru, izin / onay ve denetim konularında yönlendirmelerde bulunmuş, 21 Mayıs 2020 tarihinde ise ilgili kılavuz güncellenmiştir.
Güvenli Mobil Ödeme ve Elektronik Belge Yönetim Sistemi (“GMÖEBYS”); mal ve hizmet satışlarında belirlenen bedellerin tahsilatının gerçekleştirilmesi ile birlikte, bu bedeller doğrultusunda oluşturulacak mali belgelerin elektronik ortamda oluşturulması ve yönetilmesi için GİB tarafından oluşturulan sistemdir.[34] Finansal Kuruluşlar (Bankalar, E-Para Kuruluşları, Ödeme Sistemi Kuruluşları) ya da Ödeme Kaydedici Cihaz Üreticisi şirketlerden dileyenler, işbirliği yaptığı özel entegratör ile imzaladığı protokolü de sunmak şartıyla, GMÖEBYS’ni işletmek üzere “İşletici Kuruluş” yetkisi almak için GİB’e yazılı olarak başvuruda bulunabileceklerdir. Başvuru sürecinin tamamlanmasının ardından söz konusu kuruluşlar sistemden faydalanabilecek mükellef gruplarına hizmet sunabileceklerdir. Başvuru sürecinde ve izin verilen kuruluşlara yapılacak olan periyodik denetlemelerde, Güvenli Mobil Ödeme ve Elektronik Belge Yönetimi Sistemi Paketi içerisinde bulunan “Test ve Doğrulama Adımları Dokümanı” doğrultusunda, kuruluşların bilgi sistemleri incelemeye alınacaktır. Bu inceleme ise Kılavuza ve atfen COBIT ve ISO standartlarına göre yapılacaktır. [35]
Ödeme kuruluşları ve elektronik para kuruluşlarının Kanun kapsamındaki faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimine ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesine ilişkin usul ve esasları düzenlemek amacıyla 24 Haziran 2014 tarih 29043 sayılı Resmi gazetede Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ yayımlanarak yürürlüğe girmiştir. Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler’in düzenlendiği tebliğde süreç yönetimi esası benimsenmiş ve BDDK’nın BT Denetimi için referans aldığı COBIT çerçevesi burada da kendisini göstermektedir. [36]
Ülkemizde sadece bankalarda değil, finans ve üretim sektörlerinde de COBIT süreç yönetimi kullanılmaktadır. Yasal mevzuat açısından incelendiğinde, Sermaye Piyasası Kurulu’nun yayımladığı “Sermaye Piyasasında Bağımsız Denetim Standartları Hakkında Tebliğ (Seri:X, No:22), BT denetimi ile ilgili olarak bir bilgi güvenliği standardına vurgu yapmamakla birlikte, bilgi güvenliği konusuna işaret etmektedir. SPK’nın yayımladığı bir diğer tebliğ, doğrudan BT denetimini hedef alan Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2)dir. Söz konusu Tebliğ 2018 yılında 30292 sayılı Resmi Gazetede yayımlanmıştır. Tebliğin Üçüncü Bölümü’nde “Bilgi Sistemleri Bağımsız Denetim Faaliyetinde Bulunma Şartları” ile ilgili hükümler yer almaktadır. Bu bağlamda m. 12 /f. 1/ b. a ya göre;[37]
“Madde 12 – (1) Bilgi sistemleri bağımsız denetimi yapmak üzere görevlendirilecek denetçi yardımcısı dışında kalan denetçilerin;
(a) Bilgi Sistemleri Bağımsız Denetim Lisans Belgesi veya Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) tarafından verilen Bilgi Sistemleri Denetçisi Sertifikasına (CISA) sahip olmaları” şartı getirilmiştir.
CISA sertifikası alabilmek için, denetçilerin CISA sınavında başarılı olmaları gerekmektedir. CISA sınavında ise COBIT, ISO 27001 ve ITIL dokümanlarının okunmasının faydalı olacağı belirtilmektedir. [38]O halde SPK’nın BT denetiminde bilgi güvenliği konusunda COBIT, ISO 27001 ve ITIL standartlarını göz önünde bulundurduğunu söylemek mümkündür.
Teknolojinin hızla gelişimi karşısında çalışmamızın konusu olan finans ve finansal teknoloji sektörünün iç ve dış yapıda teknoloji yoğunluklu iş süreçlerinin hacmi de hızla artmaktadır. İçinde bulunduğumuz pandemi dönemi de ulusların, kamu kurumlarının, özel sektörün, birbirleri, çalışanları, tedarikçileri ve müşterileri ile olan tüm iş süreçlerinin BT gereksinimleri ile gerçekleştirdiği ve her geçen gün de bu gereksinimin hızla artacağı düşünüldüğünde, ulusal ve uluslararası regülasyonların tüm bu gelişmelere paralel bir şekilde değişeceği ve gelişeceği eş zamanlı olarak da BT denetim ve standartlarının bu gelişimi ve değişimi takip edeceği aşikârdır. Finans ve Finansal teknoloji sektörünün temas ettiği bilginin niteliği gereği de BT denetimi ve standartlarının oldukça önemli bir role sahip olduğu ve olmaya da devam edeceği görülmektedir. Bu bağlamda, globalleşen dünyada teknoloji konusunda standartların, regülasyonların yeknesaklığının sağlanması da, sistemin doğru ve güvenilir bir şekilde işlemesini sağlayacak ve suiistimal hallerine karşı mücadeleyi etkin kılacak en önemli faktörlerdendir.
Hazırlayan : Av. Feride Hilal İMAL
ALIÇ Emre / ONAY DURDU Pınar, Bilgi Teknolojileri Proje Yönetişimi: Türkiye’deki Organizasyonların Durumu. 9. Ulusal Yazılım Mühendisliği Sempozyumu (UYMS), s. 349-361, 2015.
BEKAR Mustafa, Finansal Kuruluşlarda Bilgi Sistemleri Denetiminin Katma Değerinin Aktörler Açısından Değerlendirilmesi, BDDK Yayınları.
BOZKURT Said Vakkas / ERKEN Hasan, Bilgi Sistemleri Denetçiliği Sertifikası, Denetişim Dergisi, S. 2, s. 104-107, 2009.
DÜLGER, Murat Volkan, Bilişim Suçları ve İnternet İletişim Hukuku, Seçkin Yayıncılık, 7. Baskı, Ankara 2018.
GÖKOĞLAN Kadir, COBIT ve COSO İç Kontrol Yaklaşımlarının Karşılaştırılması, International Journal of Management and Administration, S.2, ss.66-80, 2018.
GÜNDOĞAN, Burcu, Bilgi Sistemleri Denetiminde ISO/IEC 27001 Ve ISO/IEC 27002 Standartlarının Yeri, Muhasebe ve Denetim Dünyası Dergisi, S.1, s.15-28, 2016.
GÜNEŞ Fatih / KIZILDENİZ Sabih / SELÇUK Selim / SUNA Bahadır / COŞKUN Sinan, Bilgi Teknolojileri Denetimi ve COBIT’in Sektörel Uygulanabilirliği, Akademik Bilişim Konferansı, s.1-8, Ocak 2013.
KAYRAK Musa, Bilişim Sistemleri Stratejisinin Önemi ve Sayıştay Deneyimi, Sayıştay Dergisi, S.65, s.199-208, 2007.
KOÇ Selahattin / ŞEKER Sevgi / ŞEKER Fatma, Bilişim Teknolojileri (BT) Denetiminde Bilgi Güvenliği İle İlgili Uluslararası Standartlar ve Türkiye'deki Uyum Çabalarının İncelenmesi, Muhasebe ve Finans Araştırmaları Dergisi, S. Kasım; s. 121-139, 2019
KÖKSAL, Aydın, Adı Bilgisayar Olsun, 21. Bası, İstanbul, Cumhuriyet Kitapları, 2010.
MARTTİN Vedat, PEHLİVAN İhsan, ISO 27001:2005 Bilgi Güvenliği Yönetimi Standardı ve Türkiye’deki Bazı Kamu Kuruluşu Uygulamaları Üzerine Bir İnceleme, Mühendislik Bilimleri ve Tasarım Dergisi, S.1, s.49-56, 2010.
MERAL Erkan, Türkiye’de Bilgi Sistemleri Denetimi ve Kamu Gözetimi Kurumu’nun Bilgi Sistemleri Denetiminde Üstlendiği Misyon, Muhasebe ve Denetim Dünyası, S.1, s. 83-99, 2016.
ÖZALP Özgür, Elektronik Para Ve Ödeme Kuruluşlarının Bilgi Sistemleri Denetimi, Vıı.Bilgi Teknolojileri Yönetişim Ve Denetim Konferansı, İstanbul, 2016.
Şen ŞENOL / YERLİKAYA Tarık, ISO 27001 Kurumsal Bilgi Güvenliği Standardı, Akademik Bilişim 2013- XV. Akademik Bilişim Konferansı Bildiriler Kitabı, s. 677-681, 2013.
TAKÇI Hidayet / AKYÜZ Türker / UĞUR Alper, KARABAĞ Rahim / SOĞUKPINAR İbrahim, Bilgi Güvenliği Yönetiminde Varlıkların Risk Değerlendirmesi İçin Bir Model, Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi, S.3, s.47-52, 2010.
VURAL Yılmaz, SAĞIROĞLU Şeref, Kurumsal Bilgi Güvenliği: Güncel Gelişmeler. Uluslararası Katılımlı Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, Ankara, s.191-199, 2007.
YILMAZ, Hasan, TS ISO/IEC 27001 Bilgi Güvenliği Yönetimi Standardı Kapsamında Bilgi Güvenliği Yönetim Sisteminin Kurulması ve Bilgi Güvenliği Risk Analizi, Denetişim Dergisi, S.15, s. 45-59, 2019.
Dijital Kaynaklar
KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017. https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf E.T: 04.05.2021
KPMG, Küresel Fintech Araştırma Raporu, 2018. https://home.kpmg/tr/tr/home/gorusler/2018/05/kuresel-fintech-arastirmasi-2018.html E.T:04.05.2021
https://www.isaca.org/resources/cobit/cobit-publications E.T:04.05.2021
KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017. https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf ET: 04.05.2021
https://lostar.com.tr/2020/07/yonetisim-bakis-acisiyla-bankalarin-bilgi-sistemleri-ve-elektronik-bankacilik-hizmetleri.html ET:04.05.2021
KPMG bankaların Bilgi Sistemleri ve Elekronik Bankacılıkta Yeni Dönem, https://assets.kpmg/content/dam/kpmg/tr/pdf/2019/03/bilgi-sistemleri-yonetmeligi.pdf ET:04.05.2021
http://www.denetimnet.net/UserFiles/Documents/Makaleler/BT%20Denetim/CobiT%20%C3%87er%C3%A7evesi.pdf
KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017, https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf ET:04.05.2021
https://www.gib.gov.tr/guvenli-mobil-odeme-ve-elektronik-belge-yonetim-sistemine-iliskin-vergi-usul-kanunu-genel-tebligi E.T:04.05.2021
https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/07/guvenli-mobil-odeme-elektronik-belge.pdf ET:04.05.2021
KPMG, Uzaktan Müşteri Edinimi https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/08/uzaktan-musteri-edinimi.pdf ET:04.05.2021
[1] KÖKSAL, Aydın, Adı Bilgisayar Olsun, 21. Bası, İstanbul, Cumhuriyet Kitapları, 2010, s. 44
[2] DÜLGER, Murat Volkan, Bilişim Suçları ve İnternet İletişim Hukuku, Seçkin Yayıncılık, 7. Baskı, Ankara 2018, s.68.
[3] GÜNDOĞAN Burcu, Bilgi Sistemleri Denetiminde ISO/IEC 27001 Ve ISO/IEC 27002 Standartlarının Yeri, Muhasebe ve Denetim Dünyası Dergisi, S.1, 2016, s.18
[4] VURAL Yılmaz, SAĞIROĞLU Şeref, Kurumsal Bilgi Güvenliği: Güncel Gelişmeler. Uluslararası Katılımlı Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, Ankara, s.191-199, 2007, s. 509.
[5] TAKÇI Hidayet / AKYÜZ Türker / UĞUR Alper, KARABAĞ Rahim / SOĞUKPINAR İbrahim, Bilgi Güvenliği Yönetiminde Varlıkların Risk Değerlendirmesi İçin Bir Model, Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi, S.3, s.47-52, 2010, s. 170.
[6] KOÇ Selahattin / ŞEKER Sevgi / ŞEKER Fatma, Bilişim Teknolojileri (BT) Denetiminde Bilgi Güvenliği İle İlgili Uluslararası Standartlar ve Türkiye'deki Uyum Çabalarının İncelenmesi, Muhasebe ve Finans Araştırmaları Dergisi, S. Kasım; s. 121-139, 2019, s.124.
[7] MARTTİN Vedat, PEHLİVAN İhsan, ISO 27001:2005 Bilgi Güvenliği Yönetimi Standardı ve Türkiye’deki Bazı Kamu Kuruluşu Uygulamaları Üzerine Bir İnceleme, Mühendislik Bilimleri ve Tasarım Dergisi, S.1, s.49-56, 2010, s. 50.
[8] GÜNDOĞAN, s. 20.
[9] Şen ŞENOL / YERLİKAYA Tarık, ISO 27001 Kurumsal Bilgi Güvenliği Standardı, Akademik Bilişim 2013- XV. Akademik Bilişim Konferansı Bildiriler Kitabı, s. 677-681, 2013, s.678.
[10] GÜNDOĞAN, s. 21.
[11] KAYRAK Musa, Bilişim Sistemleri Stratejisinin Önemi ve Sayıştay Deneyimi, Sayıştay Dergisi, S.65, s.199-208, 2007, s. 204.
[12] KOÇ / ŞEKER / ŞEKER, s.130.
[13] https://www.isaca.org/resources/cobit/cobit-publications E.T:04.05.2021
[14] ALIÇ Emre / ONAY DURDU Pınar, Bilgi Teknolojileri Proje Yönetişimi: Türkiye’deki Organizasyonların Durumu. 9. Ulusal Yazılım Mühendisliği Sempozyumu (UYMS), s. 349-361, 2015, s. 351.
[15]http://www.denetimnet.net/UserFiles/Documents/Makaleler/BT%20Denetim/CobiT%20%C3%87er%C3%A7evesi.pdf
[16] GÖKOĞLAN Kadir, COBIT ve COSO İç Kontrol Yaklaşımlarının Karşılaştırılması, International Journal of Management and Administration, S.2, ss.66-80, 2018, s. 70.
[17] KOÇ / ŞEKER / ŞEKER, s.131.
[18] KOÇ / ŞEKER / ŞEKER, s.131.
[19] KOÇ / ŞEKER / ŞEKER s.132.
[20] YILMAZ, Hasan, TS ISO/IEC 27001 Bilgi Güvenliği Yönetimi Standardı Kapsamında Bilgi Güvenliği Yönetim Sisteminin Kurulması ve Bilgi Güvenliği Risk Analizi, Denetişim Dergisi, S.15, s. 45-59, 2019, s.51.
[21] MERAL Erkan, Türkiye’de Bilgi Sistemleri Denetimi ve Kamu Gözetimi Kurumu’nun Bilgi Sistemleri Denetiminde Üstlendiği Misyon, Muhasebe ve Denetim Dünyası, S.1, s. 83-99, 2016, 92-93.
[22] Sayıştay Bilişim Sistemleri Denetimi Rehberi, Ankara https://www.sayistay.gov.tr/tr/Upload/95906369/files/mevzuat/Rehberler/Bilisim_sistemleri_denetim_rehberi.pdf ET: 04.05.2021
[23] GÜNEŞ Fatih / KIZILDENİZ Sabih / SELÇUK Selim / SUNA Bahadır / COŞKUN Sinan, Bilgi Teknolojileri Denetimi ve COBIT’in Sektörel Uygulanabilirliği, Akademik Bilişim Konferansı, s.1-8, Ocak 2013, s. 5.
[24] KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017, https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf ET:04.05.2021
[25] KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017. https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf ET: 04.05.2021
[26] https://lostar.com.tr/2020/07/yonetisim-bakis-acisiyla-bankalarin-bilgi-sistemleri-ve-elektronik-bankacilik-hizmetleri.html ET:04.05.2021
[27] KPMG bankaların Bilgi Sistemleri ve Elektronik Bankacılıkta Yeni Dönem, https://assets.kpmg/content/dam/kpmg/tr/pdf/2019/03/bilgi-sistemleri-yonetmeligi.pdf ET:04.05.2021
[28] https://lostar.com.tr/2020/07/yonetisim-bakis-acisiyla-bankalarin-bilgi-sistemleri-ve-elektronik-bankacilik-hizmetleri.html ET:04.05.2021
[29] KPMG bankaların Bilgi Sistemleri ve Elektronik Bankacılıkta yeni Dönem, https://assets.kpmg/content/dam/kpmg/tr/pdf/2019/03/bilgi-sistemleri-yonetmeligi.pdf ET:04.05.2021
[30] BEKAR Mustafa, Finansal Kuruluşlarda Bilgi Sistemleri Denetiminin Katma Değerinin Aktörler Açısından Değerlendirilmesi, BDDK Yayınları, Ankara.
[31] KPMG, Uzaktan Müşteri Edinimi https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/08/uzaktan-musteri-edinimi.pdf ET:04.05.2021
[32] KPMG, Uzaktan Müşteri Edinimi https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/08/uzaktan-musteri-edinimi.pdf ET:04.05.2021
[33] KOÇ / ŞEKER / ŞEKER, s.136.
[34] https://www.gib.gov.tr/guvenli-mobil-odeme-ve-elektronik-belge-yonetim-sistemine-iliskin-vergi-usul-kanunu-genel-tebligi E.T : 04.05.2021
[35] https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/07/guvenli-mobil-odeme-elektronik-belge.pdf ET:04.05.2021
[36] ÖZALP Özgür, Elektronik Para Ve Ödeme Kuruluşlarının Bilgi Sistemleri Denetimi, Vıı.Bilgi Teknolojileri Yönetişim Ve Denetim Konferansı, İstanbul, 2016.
[37] Kayrak, s.205.
[38] BOZKURT Said Vakkas / ERKEN Hasan, Bilgi Sistemleri Denetçiliği Sertifikası, Denetişim Dergisi, S.2, s.104-107, 2009, s.104-106.
Tüm dünyada olduğu gibi ülkemizde de, teknolojik gelişmelerin finans sektörüne hızla girişi ile bilginin güvenliğinin ve denetiminin sağlanması hayati öneme sahip olmuştur. Bu nedenle ülkemizde de finansal kuruluşların hem ülkesel hem global ölçekte bilgi güvenliğini en az asgari düzeyde sağlamaları için ulusal standartlar ve yasal düzenlemeler yapılması zaruri hale gelmiştir. Düzenlemelerin uluslararası standartlara uygun olması finans sektöründeki oyuncuların uluslararası boyutta güvenilirliğini tesis ettiğinden bu standartlarla uyumlu ve hatta bu standartlara atıf yapan düzenlemelerin yapılması zarureti hâsıl olmuştur.
Bu çalışmada, bilgi güvenliği ve denetimine ilişkin kavramlar ile uluslararası kabul görmüş bilgi güvenliği düzenleme ve standartları, ISO/IEC 27000 Serisi, COBIT, ITIL, gibi düzenleme ve standartlar konusunda kısa bilgiler verilerek finans sektörü özelinde Türkiye’deki regülasyonların bu standartlarla olan ilişkisi üzerinde durulacaktır.
Bilgi ile teknolojinin buluşma noktası olarak ifade edebileceğimiz bilişim kavramı kaynağını Fransızcadan dilimize alınarak emformasyon şeklinde Türkçeleştirilen sözcükten almaktadır. Aydın Köksal tarafından bilişmek fiilinin türetilmesiyle Türkçeye kazandırılan bilişim kavramı ise kökeni bilgiye dayandığı için çok daha yerinde ve tercih edilir bir kavram olarak dilimize yerleşmiştir. [1]
Bilişim, Dülger tarafından; “insanların teknik, ekonomik, siyasal ve toplumsal alanlardaki iletişiminde kullandığı bilginin, özellikle bilgisayar aracılığıyla düzenli ve akılcı biçimde işlenmesi, her türden düşünsel sürecin yapay olarak yeniden üretilmesi, bilginin bilgisayarda depolanması ve kullanıcıların erişimine açık bulundurulması bilimi” olarak tanımlanmıştır.[2]
Bilişim Teknolojileri Denetimi, organizasyonların ulusal veya uluslararası denetim standartları ve çerçeve dokümanlar dikkate alınarak bilişim sistemleri üzerinde sahip oldukları bilgilerin korunması, bütünlüğünün, erişilebilirliğinin ve güvenilirliğinin sağlanması amacıyla bu teknolojilerin organizasyonun amaçlarına uygun şekilde güvenli, etkin ve verimli bir şekilde işlediği hususunda makul bir güvence sağlayan incelemelerdir.[3]
Bilgi Güvenliği, bilginin saklandığı veya hareket halinde olduğu teknolojik ortam içinde gizliğinin (Confidentiality) bütünlüğünün (Integrity) ve kullanılabilirliğinin(Availability) yeterli düzeyde sağlanabilmesi olarak tanımlanabilir.[4]
II. ULUSLARARASI STANDARTLAR ve DÜZENLEMELER
Bilginin gizliliği, bütünlüğü ve kullanılabilirliğini sağlamak hedefiyle onu destekleyen süreç ve sistemlerle ilgili riskleri yönetmek için gerekli denetim ortamının kurulması ve bakımının sağlanması amacıyla bilgi güvenliği yönetimi için bir takım standartlar getirilmiştir.[5] Bilgi güvenliği standart ve düzenlemeleri üzerinde uzlaşıya varılmış bir dizi belgelendirilmiş politika prosedür ve süreçler bütünü olarak ifade edilebilir.[6] Bu amaçla çeşitli sektörler için küresel olarak geliştirilen çok sayıda standart ve düzenleme vardır. Bu standart ve düzenlemelerden bilgi güvenliği ile ilgili olan ve en yaygın kullanım alanı bulanlar ISO/IEC 27000 Serisi, COBIT, ITIL standartları ve düzenlemeleridir.
Bilgi Güvenliği Yönetim Sisteminin (BGYS) tarihçesine bakıldığında, Bilgi Güvenliği Yönetim Sistemi kavramından ilk olarak 1998 yılında British Standards Institute (BSI) tarafından yayınlanmış BS 7799-2 standardında söz edilmiştir. Sonrasında, Uluslararası Standartlar Örgütü (ISO) bu standardı kabul ederek, ISO/IEC 27001:2005 olarak yayınlanmış ve böylelikle ilgili aileye mensup diğer standartlarla birlikte uluslararası düzeyde tanınan ve referans alınan bir çerçeve oluşmuştur.[7]
ISO/IEC 27001 standardı, tüm kuruluşlarca uygulanabilecek, genel bir çerçeve olup, BGYS’nin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gerekli şartları belirlemektedir. ISO/IEC 27001 standardı teknik ve teknoloji bağımlı bir standart olmamakla birlikte yapısı gereği belli bir ürün veya bilgi teknolojisini esas almaz. Hedefi bilgi güvenliğinin sağlanması olan bu standart, irili ufaklı tüm organizasyonlar için bilgi güvenliğinin sağlanması konusunda yapılacak ve izlenecek hususları belirler.[8]
Teknolojinin hızla değişen gelişen bir yapıda olmasının doğal bir sonucu olarak BGYS canlı bir süreçtir. Buradan hareketle standardın belirlediği döngü “Planla- Uygula- Kontrol Et- Önlem Al (PUKÖ)” şeklindedir. Bu döngü modeli ise şu şekilde özetlenebilir;[9]
Planlama: Kurumun BGYS prosedür ve politikalarının oluşturulması, amaç ve hedeflerinin belirlenmesini ifade eder.
Uygulama: amaç ve hedefler doğrultusunda planlanan prosedür ve politikaların gerçekleştirilmesi, işletilmesi mekanizmasını ifade eder.
Kontrol etme: Uygulanan BGYS politika ve prosedürlerinin kontrol edilmesi, takibi, performansının ölçülmesi ve sonuçların değerlendirilmesi amacıyla yönetime raporların sunulması süreçlerini ifade eder.
Önlem alma: Uygulanan BGYS’nin devamlılığının sağlanması, iyileştirilmesi, raporlara göre düzeltilmesi ve önleyici tedbirlerin alınmasını ifade eder.
Görüldüğü gibi bu döngü daimi bir biçimde birbirini takip ederek canlı bir sistem meydana getirmektedir.
Bu döngü, standardın 2005 yılı versiyonunda olmasına rağmen 2013 versiyonunda bulunmamaktadır. Fakat buna rağmen 2013 versiyonunda belirtilen iyileştirmeye ve geliştirmeye yönelik düzenlemenin bir gereği olarak güncel versiyonda da bu döngüden istifade edilmesi mümkündür.[10]
COBIT, 1969 yılında Information Bilgi Sistemleri Denetim ve Kontrol Birliği-Systems Audit and Control Association (ISACA) tarafından sunulmuş, bilişim sistemleri yönetimi ve denetimi konusunda en geniş çerçeveye sahip standart olma özelliğine sahiptir.[11]. Ayrıca COBIT kurumsal BT Yönetişimi ve yönetimini destekleyen tek iş çerçevesi olarak tüm dünyada yaygın olarak kullanılmaktadır. 1996 yılında ilk kez yayınlanan COBIT, teknolojik değişim ve gelişimlere paralel bir şekilde güncelliğini korumak gayesi ile güncellenerek, 1998’da 2., 2000 yılında 3. ve 2005 yılında 4., 2007 yılında 4.1 ve son ürünü olarak da COBIT 5 versiyonuna ulaşmıştır. COBIT “Kurumsal BT Yönetişimi” kavramını belirleyen ve herhangi bir kurumda yer alabilecek tüm teknoloji süreçlerini kapsayan, gruplanmış 4 süreç alanı ve 34 tane temel BT sürecini belirleyen oldukça etkin bir standarttır.[12] COBIT, organizasyonların BT birimleri için bir yönetim denetim mekanizması olarak geliştirilmesi ve zamanla bir BT yönetişim standardı haline gelmesi ile, yenilikçi ve etkin bir şekilde bilgi güvenliği, güvence, risk yönetimi ve yönetişim konularında çalışan uzmanlara ve BT liderlerine, bilgi ve teknolojiden sağladıkları faydayı artırmaları ve bunlara ilişkin riskleri yönetmeleri konusunda destek sağlamaktadır.[13]
COBIT, organizasyon içinde etkili BT sürecinin gerçekleştirilmesi hedefiyle kontrol hedefleri ve bu kontrol hedeflerine uygun rolleri önermek ve organizasyonun yönetişim olgunluk seviyesini yükseltmek konusunda yönetsel ihtiyaçlara cevap veren niteliktedir.[14]
COBIT, iş hedeflerinin bilgi işlem hedeflerine dönüşümü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getirmektedir.[15
COBIT iş gereksinimleri, BT kaynakları, BT süreçleri ve kurumsal bilgilerden olmak üzere 4 temel süreçten oluşur. İş gereksinimleri, etkinlik, verimlilik, gizlilik, bütünlük, erişilebilirlik, uyumluluk ve güvenilirlik kıstaslarından, BT kaynaklarını uygulama, bilgi, altyapı (teknoloji) ve insan (olanaklar) oluşturmaktadır. BT süreçlerini ise etki alanları, süreçler ve faaliyetler oluşturmaktadır. Öncelikle bu süreçlerde bilgi teknolojileri kullanımı ile risk ve kaynak optimizasyonu sağlamaktadır.[16]
İngiltere Ticaret Bakanlığınca 1990’lı yıllara gelirken BT alt yapı ve hizmet süreçlerinin belli bir standarda bağlanması amacıyla oluşturulmuş bir kütüphane olan ITIL, 1990’lı yıllarda Avrupa Ülkelerinde oldukça benimsenmiş ve uygulamaya koyulmuş bir endüstri standardı haline gelmiştir.[17]
ITIL, hizmet sunumu ve desteği süreçlerinden oluşan hizmet yönetiminin en etkin şekilde yapılmasına yönelik detaylı bir rehber niteliği taşır. ITIL BT süreçlerinin birbirine entegre edilmesi, kullanıcı memnuniyetine öncelik vermesi, ölçeği her ne olursa olsun tüm kurumlarda uygulanabilirliğinin olması, süreç odaklı bir rehber niteliği taşıması sebebiyle ihtiyaca cevap veren bir niteliktedir. Süreç odaklı olmasının bir sonucu olarak ITIL, müşteri, tedarikçi, IT ve kullanıcıları arasında entegre olmuş BT geliştirme ve işlemlerini hedefleyen bir yapıdadır. [18]
ITIL günümüzde bir rehber, bir kütüphane olmaktan çıkmış ve COBIT ile birbirini tamamlayan bir BT yönetim metodolojisi halini almıştır. [19]
ITIL güvenlik politikası, BT varlıklarının doğru/yanlış işlenmesi, erişim kontrolü, e-posta, internet, anti virüs, bilgi sınıflandırma, uzaktan erişim gibi konuları kapsamaktadır.
III. TÜRKİYE’DE BT DENETİMİNDE BİLGİ GÜVENLİĞİ’NE İLİŞKİN STANDART VE REGÜLASYONLAR
İş hayatında bilgi teknolojilerinin kullanımının artması Türkiye’de de dünyaya paralel olarak artmıştır. Ülkemizde kamu kuruluşları ve özel sektördeki kuruluşlar, teknolojideki gelişmelere bağlı hızlı bir dönüşüm süreci içinde bulunmakta, faaliyetlerinin büyük bir kısmını gerçekleştirirken sistemlerden ve uygulamalardan yararlanmaktadırlar. Türkiye’de de uluslararası düzenlemelerle paralel olarak BT denetim standartları oluşturulmuştur. Ülkemizde denetim standartları konusunda üst kurul Kamu Gözetim Kurumu’dur. KGK tarafından Türkiye Denetim Standartları hazırlanmış ve yayımlanmıştır. Ayrıca Türkiye’de, Bankacılık Düzenleme ve Denetleme Kurumu’nun, Bankacılık Kanunu ve 6493 sayılı Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ışığında yaptığı düzenlemeler ile finans sektörü bilgi teknolojileri kapsamında zorunlu denetimlerden geçmektedir. Sermaye Piyasası Kurulu (SPK), aracı kurumlarda uygulanacak iç denetim sistemine ilişkin esaslar hakkında bir tebliğ çıkarmış olup, Gelirler İdaresi Başkanlığı da yeni nesil Ödeme Kaydedici Cihazlar için Güvenilen Servis Sağlayıcılarda BT denetimlerini zorunlu hale getirmiştir.
Ülkemizde Bilgi Güvenliği denetiminde ISO/IEC 27001 standartlarının referans alındığı söylenebilir. Bu standart Türk Standartları Enstitüsü (TSE) tarafından da benimsenerek, Bilgi Teknolojisi- Güvenlik Teknikleri- Bilgi Güvenliği Yönetim Sistemleri- Gereksinimler adı altında TS EN ISO/IEC 27001 standardı hazırlanmıştır. Bu standart referans aldığı ISO/IEC 27001 standardında olduğu gibi, teknik bir standart olmayıp, kurumların Bilgi Güvenliği Sistemi oluşturması, işletmesi takip etmesi denetlemesi, sürdürmesi ve iyileştirilmesi konularında bir model oluşturur.[20]
T.C. Hazine ve Maliye Bakanlığı İç Denetim Koordinasyon Kurulu (İDDK) tarafından 2014 yılında yayımlanan uluslararası kabul görmüş risk tabanlı bir denetim yaklaşımını benimseyen Kamu BT Denetimi Rehberinde BT yönetim süreçleri, COBIT, ISO/IEC 27001 ve ITIL çerçeveleri referans alınarak hazırlanmıştır.[21]
Sayıştay, ülkemizde 6085 sayılı Sayıştay Kanunu’nun 5. Maddesi gereğince Kamu idarelerinde mali denetim konusunda yetkilendirilen bir kurumdur. Sayıştay, özellikle kamu kurumlarının BT ile olan adaptasyonu ile BT alanında da denetim yapma zarureti içine girmiş ve bu amaçla da Ülkemizde BT denetimi açısından düzenlemeler gerçekleştiren bir diğer kurum olan Sayıştay, 6085 Sayıştay Bilişim Sistemleri Denetim Rehberi yayımlanmıştır. Rehber Bilgi Güvenliği Standartları (ISO/ 17799, ISO/IEC 27001 gibi), Uluslararası Sayıştaylar Birliği (INTOSAI) rehber ve standartları, ISACA rehberlerinden yararlanılarak hazırlanmıştır. Ayrıca Sayıştay tarafından yapılan BT denetimlerinin de ISO/IEC 27001 güvenliği standartlarını referans alarak yapıldığı söylenmelidir.[22]
15 Mart 2020 tarihinde resmi gazetede yayımlanarak 01.01.2021 tarihinde yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile 2007 yılından beri yürürlükte olan ve çeşitli tarihlerde değişikliğe uğrayan Bankalarda Bilgi Sistemleri Yönetiminde Esas alınacak İlkelere ilişkin Tebliğ yürürlükten kaldırılmıştır. Yürürlükten kaldırılan eski Tebliğ, ISACA organizasyonu tarafından oluşturulmuş olan COBIT 4.1 standardını referans alan bir düzenleme idi. Öyle ki BDDK 2006 yılından itibaren yayımladığı tebliğ ve yönetmeliklerle BT Denetimi konusunda COBIT referanslı bir denetim mekanizması öngörmekteydi.[23] Yürürlükten kaldırılan Tebliğ’in Genel Kontroller başlıklı 22. Maddesinin 2. Fıkrası, “Banka, genel kontrollerin tesisi amacıyla uluslararası kabul görmüş bir standart, çerçeve veya metodolojiyi belirleyerek, buna göre kontrolleri tesis eder. Seçilecek standart, çerçeve veya metodoloji, bankanın faaliyet kapsamı ve faaliyetlerde yararlanılan bilgi teknolojileri ağırlığı ve karmaşıklığı göz önünde bulundurularak belirlenir. Bankanın bilgi sistemleri genel kontrollerini tesis etmek üzere kullanacağı standart, çerçeve veya metodolojinin COBIT’te ele alınan kontrol hedeflerini gerçekleyebilmesi, eğer bu konuda eksiklikleri varsa buna ilişkin kontrollerin ayrıca ele alınarak tesis edilmesi gerekir.” Şeklindeki maddesi ile de doğrudan COBIT’e atıf yapmış bir düzenleme olmuştur. Yürürlüğe giren Yönetmelikte ise, doğrudan COBIT’i ya da ISO/IEC 27001’i referans gösteren bir madde bulunmasa da BDDK tarafından belirlenen bilgi güvenliği denetimi standartları COBIT, ITIL ve ISO/IEC 27001 standartlarını referans alarak finansal teknolojilerdeki gelişmeler ve Kişisel Verilerin Korunması Kanunu dikkate alınarak hazırlanmış olup, yönetmeliğin ISO/IEC 27001’in izdüşümü olduğunu söylemek mümkündür. [24]
Yönetmelikte, yürürlükten kaldırılan Tebliğ’den farklı olarak elektronik bankacılıktaki ve teknolojideki gelişmeler ve son yıllarda BDDK tarafından banka ve bağımsız denetim kurumlarına gönderilen ek talep ve denetim yönlendirmelerine de yer verilmiştir.[25]
Uyum sürecinde ise hem yönetişim bakış açısıyla değerlendirilmesi gereken hem de geçiş aşamasında köklü süreç değişikliklerine neden olabilecek birtakım başlıklar getirilmiştir.
Yönetmeliğin 4. ve 8. Maddelerinde bilgi güvenliği fonksiyonu doğrudan Yönetim Kurulu’na ya da Genel Müdür’e bağlanmış, böylelikle bilgi Sistemleri Yönetişimi konusunda rol ve sorumluluklar netleştirilirmiş ve görevler ayrılığı keskinleştirilmiştir. [26]
Yönetmeliğin 6. Maddesinde, ISO/27001 standardı ile paralel bir şekilde banka bünyesinde Banka bünyesinde varlık envanteri hazırlanarak envanterle paralel bir şekilde sınıflandırma kılavuzlarının hazırlanması da öngörülmüştür. [27]
Yine 10. Maddede de, Kişisel Verilerin Korunması Kanunu’na paralel olacak şekilde “Müşterinin, bilgilerini paylaşmaya dair açık rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.” düzenlemesi getirilmiştir.[28]
11. maddede ise kimlik ve erişim yönetimi ile ilgili doğrulama mekanizmaları veri gizliliği esas alınarak düzenlenmiş ve yükümlülükler netleştirilirmiştir.
Yönetmeliğin 18. Maddesinde ise, Kurumsal SOME kurulması ve raporlama kriterlerinin kıstasları ve Kurumsal SOME’ye ilişkin iletişim bilgilerinin BDDK’ya iletilmesi şartları düzenlenmiştir.
25. maddede ise Birincil (asıl) ve ikincil (yedek) sistemlerin barındırılması konusunda yurt içinde olmak koşulu ile bulut sistem veya dış hizmet sağlayıcıdan barındırma hizmetinin alınması mümkün kılınmıştır.
29. maddede ise dış hizmet alımlarına ilişkin çeşitli kriterler getirilerek bankaların dış hizmet sağlayıcının bilgi güvenliği sistemlerine ilişkin yönetim, değerlendirme ve denetim mekanizmaları işletecek standartların oluşturulmasını ve “Dış hizmet alımı kapsamında banka verilerinin dış hizmet sağlayıcıya aktarılmasının gerekli olduğu durumlarda, dış hizmet sağlayıcının güvenlik konusundaki prensip ve uygulamalarının en az bankanın uyguladığı düzeyde olması için gerekli tedbirlerin alınması,” kriterinin dikkate alınmasını gerekli kılmıştır.
Yine çeşitli maddelerde elektronik bankacılık, internet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık hizmetleri ve ATM bankacılığına ilişkin kimlik doğrulama ve işlem güvenliğine ilişkin kriterler belirlenmiştir. [29]
13.01.2010 tarihli resmi gazetede yayımlanan ve bankaların bilgi sistemleri ile bankacılık süreçlerinin, yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ilgili usul ve esasları düzenleyen Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğin Tanımlar ve kısaltmalar başlıklı 4. Maddesi açıkça COBIT’i tanımlamış, ve yönetmelik doğrudan yönetmelikte hüküm bulunmayan hallerde uluslararası standartlara ve COBIT’e atıf yapmıştır. Yönetmelikte, Bilgi Sistemleri Bağımsız Başdenetçisinin bilgi sistemleri ve bankacılık süreçleri raporuyla ilgili sorumluluğu üstlendiği ve bu unvana sahip olabilmek için asgari 10 yıllık tecrübeyle birlikte CISA sertifikasının ön koşul olarak bulunduğu görülmektedir. CISA sertifikasyon programı ISACA tarafından yürütülen bir program olup, bilgi sistemleri denetimi alanında dünya genelinde kabul görmektedir.[30]
02.04.2015 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bankaların Bağımsız Denetimi Hakkında Yönetmelik m.4 / f. 3 ‘te “Bağımsız denetim raporu, TDS’de öngörülen hususlara ilave olarak bankanın iç kontrol sisteminin; finansal tabloların “Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ve TMS hükümleri ile Kurul tarafından bankaların hesap ve kayıt düzenine ilişkin yayımlanan diğer düzenlemelere, Kurum genelge ve açıklamalarına uygun olarak, tüm önemli yönleriyle gerçeğe uygun bir biçimde hazırlanmasını ve sunulmasını sağlayacak nitelikte olduğu, uygun muhasebe politikalarının seçildiği ve uygulandığına ilişkin ibareleri de içerecek şekilde düzenlenir.” Şeklindedir. Buradan hareketle denetim raporlarının belirli bir raporlama metodolojisi ile yapılacağının düzenlenmiş olduğu görülmektedir. Blgi Teknolojileri denetimine has metodoloji standartları ISO 27001, ISAE3402 vb. standartlar olup, düzenleme uluslararası standartlarla paralel bir metodoloji öngörmektedir.[31]
26 Haziran 2020 tarihli ve 31167 sayılı Resmi Gazete ’de yayımlanan 7247’nolu Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun (“Kanun”) yürürlüğe girmiştir. Bu gelişme ile finansal hizmet veren kuruluşlar için müşteri edinim aşamalarındaki “Kimlik Tespiti” ve “Sözleşme” süreçlerinin fiziki olarak yürütülmesi zorunluluğu ortadan kalkmaktadır.
Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK“) tarafından 01.04.2021 tarihinde yayımlanan; Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik (“Yönetmelik“) ile birlikte, bankalar, Fintechler ve Finansal kuruluşular tarafından yeni müşteri kazanımında ve müşteri kimliğinin doğrulanmasında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ilişkin detaylar belirlenmiştir. Bu düzenleme ile, Bankaların, Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in 34.üncü maddesi ile birlikte Yönetmelik içerisinde belirlenen standartlara göre uzaktan kimlik tespiti yöntemlerine ilişkin süreci başlatması öngörülmektedir. Buna göre uzaktan kimlik tespitini yapacak müşteri temsilcisi ve çalışma ortamı, Sürecin başlatılması ile uyulması gereken genel ilkeler, Kullanılabilecek kimlik belgesi ve doğrulanması, Kimliği tespit edilecek kişinin doğrulanması, Görüntülü görüşmede sürecin sonlandırılması, Verilerin kaydedilmesi ve saklanması, Uzaktan kimlik tespitinde sorumluluk, Kimlik tespitini müteakip sözleşme ilişkisinin kurulması hususları Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’e atıfla COBIT, ISO 27001 standartlarına paralel bir şekilde düzenlenecektir. [32]
Ayrıca, 30.04.2021 tarihli Resmi Gazetede yayımlanarak 01.05.2021 tarihinde yürürlüğe giren Uzaktan Kimlik Tespitini Düzenleyen Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra no:19) ile Finansal kuruluşular (Bankalar, Factoring, Leasing, Finansman ve Varlık Yönetim şirketleri, Ödeme Kuruluşları ve Elektronik para şirketleri vb.) ile finansal olmayan yükümlüler (kuyumcular, emlakçılar, avukatlar, noterler, SMMM’ler) tebliğ ile belirlenen uzaktan kimlik tespiti yöntemlerini uygulayacaklardır. İlgili tebliğin Dördüncü bölümünde Uzaktan kimlik tespitinde alınması gereken sıkılaştırılmış tedbirle başlıklı 6. Maddesinin de yine Uluslararası BT standartları ile paralel düzenlemeler içerdiğini söylemek mümkündür.
19.11.2019 tarihinde, 509 Sıra No.lu Vergi Usul Kanunu Genel Tebliğinde belirtilen e-Belge uygulamaları kapsamında, GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının e-Belge uygulamaları ile ilgili özel entegratörlük faaliyet ve süreçlerine ilişkin bilgi sistemlerinin denetimi hususunda usul ve esasları düzenleyen E-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu yayımlanmıştır. Başkanlıkça bu Kılavuzda belirtilen isteklerin karşılanıp karşılanmadığına yönelik bilgi sistemleri bağımsız denetim faaliyetinin gerçekleştirilmesine ve özel entegratör kuruluşlar nezdindeki sonuçlarına ilişkin usul ve esasları belirlemek üzere hazırlanmıştır. Kılavuzun 15. Maddesine göre “Bu Kılavuzda yer almayan veya yorumunda tereddüt duyulan bir hususla karşılaşılması halinde, uluslararası kabul görmüş bilgi teknolojileri kontrol hedefleri sunan ISO standartları ya da COBIT dokümanlarında yer alan usul ve esasları uygulanır” demekle açıkça COBIT ve ISO/IEC 20000: Bilgi Teknolojileri Servis Yönetimi Standardını, ISO 22301: Uluslararası İş Sürekliliği Yönetimi Standardını, ISO/IEC 27001: Bilgi Güvenliği Yönetim Sistemi Standardını referans aldığı görülmektedir. [33]
Güvenli Mobil Ödeme ve Elektronik Belge Yönetim Sistemi (“GMÖEBYS”) İlk olarak 1 Haziran 2019 tarihli ve 30791 sayılı Resmi Gazete ’de yayımlanan 507’nolu Vergi Usul Kanunu Genel Tebliği ile yayımlanmıştır. 30 Aralık 2019 tarihinde yayınlanan GMÖEBYS Kılavuzu ve Uyumluluk Test Adımları Tablosu ile birlikte söz konusu sistemi işletmek isteyen kuruluşlara yönelik başvuru, izin / onay ve denetim konularında yönlendirmelerde bulunmuş, 21 Mayıs 2020 tarihinde ise ilgili kılavuz güncellenmiştir.
Güvenli Mobil Ödeme ve Elektronik Belge Yönetim Sistemi (“GMÖEBYS”); mal ve hizmet satışlarında belirlenen bedellerin tahsilatının gerçekleştirilmesi ile birlikte, bu bedeller doğrultusunda oluşturulacak mali belgelerin elektronik ortamda oluşturulması ve yönetilmesi için GİB tarafından oluşturulan sistemdir.[34] Finansal Kuruluşlar (Bankalar, E-Para Kuruluşları, Ödeme Sistemi Kuruluşları) ya da Ödeme Kaydedici Cihaz Üreticisi şirketlerden dileyenler, işbirliği yaptığı özel entegratör ile imzaladığı protokolü de sunmak şartıyla, GMÖEBYS’ni işletmek üzere “İşletici Kuruluş” yetkisi almak için GİB’e yazılı olarak başvuruda bulunabileceklerdir. Başvuru sürecinin tamamlanmasının ardından söz konusu kuruluşlar sistemden faydalanabilecek mükellef gruplarına hizmet sunabileceklerdir. Başvuru sürecinde ve izin verilen kuruluşlara yapılacak olan periyodik denetlemelerde, Güvenli Mobil Ödeme ve Elektronik Belge Yönetimi Sistemi Paketi içerisinde bulunan “Test ve Doğrulama Adımları Dokümanı” doğrultusunda, kuruluşların bilgi sistemleri incelemeye alınacaktır. Bu inceleme ise Kılavuza ve atfen COBIT ve ISO standartlarına göre yapılacaktır. [35]
Ödeme kuruluşları ve elektronik para kuruluşlarının Kanun kapsamındaki faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimine ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesine ilişkin usul ve esasları düzenlemek amacıyla 24 Haziran 2014 tarih 29043 sayılı Resmi gazetede Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ yayımlanarak yürürlüğe girmiştir. Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler’in düzenlendiği tebliğde süreç yönetimi esası benimsenmiş ve BDDK’nın BT Denetimi için referans aldığı COBIT çerçevesi burada da kendisini göstermektedir. [36]
Ülkemizde sadece bankalarda değil, finans ve üretim sektörlerinde de COBIT süreç yönetimi kullanılmaktadır. Yasal mevzuat açısından incelendiğinde, Sermaye Piyasası Kurulu’nun yayımladığı “Sermaye Piyasasında Bağımsız Denetim Standartları Hakkında Tebliğ (Seri:X, No:22), BT denetimi ile ilgili olarak bir bilgi güvenliği standardına vurgu yapmamakla birlikte, bilgi güvenliği konusuna işaret etmektedir. SPK’nın yayımladığı bir diğer tebliğ, doğrudan BT denetimini hedef alan Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2)dir. Söz konusu Tebliğ 2018 yılında 30292 sayılı Resmi Gazetede yayımlanmıştır. Tebliğin Üçüncü Bölümü’nde “Bilgi Sistemleri Bağımsız Denetim Faaliyetinde Bulunma Şartları” ile ilgili hükümler yer almaktadır. Bu bağlamda m. 12 /f. 1/ b. a ya göre;[37]
“Madde 12 – (1) Bilgi sistemleri bağımsız denetimi yapmak üzere görevlendirilecek denetçi yardımcısı dışında kalan denetçilerin;
(a) Bilgi Sistemleri Bağımsız Denetim Lisans Belgesi veya Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) tarafından verilen Bilgi Sistemleri Denetçisi Sertifikasına (CISA) sahip olmaları” şartı getirilmiştir.
CISA sertifikası alabilmek için, denetçilerin CISA sınavında başarılı olmaları gerekmektedir. CISA sınavında ise COBIT, ISO 27001 ve ITIL dokümanlarının okunmasının faydalı olacağı belirtilmektedir. [38]O halde SPK’nın BT denetiminde bilgi güvenliği konusunda COBIT, ISO 27001 ve ITIL standartlarını göz önünde bulundurduğunu söylemek mümkündür.
Teknolojinin hızla gelişimi karşısında çalışmamızın konusu olan finans ve finansal teknoloji sektörünün iç ve dış yapıda teknoloji yoğunluklu iş süreçlerinin hacmi de hızla artmaktadır. İçinde bulunduğumuz pandemi dönemi de ulusların, kamu kurumlarının, özel sektörün, birbirleri, çalışanları, tedarikçileri ve müşterileri ile olan tüm iş süreçlerinin BT gereksinimleri ile gerçekleştirdiği ve her geçen gün de bu gereksinimin hızla artacağı düşünüldüğünde, ulusal ve uluslararası regülasyonların tüm bu gelişmelere paralel bir şekilde değişeceği ve gelişeceği eş zamanlı olarak da BT denetim ve standartlarının bu gelişimi ve değişimi takip edeceği aşikârdır. Finans ve Finansal teknoloji sektörünün temas ettiği bilginin niteliği gereği de BT denetimi ve standartlarının oldukça önemli bir role sahip olduğu ve olmaya da devam edeceği görülmektedir. Bu bağlamda, globalleşen dünyada teknoloji konusunda standartların, regülasyonların yeknesaklığının sağlanması da, sistemin doğru ve güvenilir bir şekilde işlemesini sağlayacak ve suiistimal hallerine karşı mücadeleyi etkin kılacak en önemli faktörlerdendir.
Hazırlayan : Av. Feride Hilal İMAL
ALIÇ Emre / ONAY DURDU Pınar, Bilgi Teknolojileri Proje Yönetişimi: Türkiye’deki Organizasyonların Durumu. 9. Ulusal Yazılım Mühendisliği Sempozyumu (UYMS), s. 349-361, 2015.
BEKAR Mustafa, Finansal Kuruluşlarda Bilgi Sistemleri Denetiminin Katma Değerinin Aktörler Açısından Değerlendirilmesi, BDDK Yayınları.
BOZKURT Said Vakkas / ERKEN Hasan, Bilgi Sistemleri Denetçiliği Sertifikası, Denetişim Dergisi, S. 2, s. 104-107, 2009.
DÜLGER, Murat Volkan, Bilişim Suçları ve İnternet İletişim Hukuku, Seçkin Yayıncılık, 7. Baskı, Ankara 2018.
GÖKOĞLAN Kadir, COBIT ve COSO İç Kontrol Yaklaşımlarının Karşılaştırılması, International Journal of Management and Administration, S.2, ss.66-80, 2018.
GÜNDOĞAN, Burcu, Bilgi Sistemleri Denetiminde ISO/IEC 27001 Ve ISO/IEC 27002 Standartlarının Yeri, Muhasebe ve Denetim Dünyası Dergisi, S.1, s.15-28, 2016.
GÜNEŞ Fatih / KIZILDENİZ Sabih / SELÇUK Selim / SUNA Bahadır / COŞKUN Sinan, Bilgi Teknolojileri Denetimi ve COBIT’in Sektörel Uygulanabilirliği, Akademik Bilişim Konferansı, s.1-8, Ocak 2013.
KAYRAK Musa, Bilişim Sistemleri Stratejisinin Önemi ve Sayıştay Deneyimi, Sayıştay Dergisi, S.65, s.199-208, 2007.
KOÇ Selahattin / ŞEKER Sevgi / ŞEKER Fatma, Bilişim Teknolojileri (BT) Denetiminde Bilgi Güvenliği İle İlgili Uluslararası Standartlar ve Türkiye'deki Uyum Çabalarının İncelenmesi, Muhasebe ve Finans Araştırmaları Dergisi, S. Kasım; s. 121-139, 2019
KÖKSAL, Aydın, Adı Bilgisayar Olsun, 21. Bası, İstanbul, Cumhuriyet Kitapları, 2010.
MARTTİN Vedat, PEHLİVAN İhsan, ISO 27001:2005 Bilgi Güvenliği Yönetimi Standardı ve Türkiye’deki Bazı Kamu Kuruluşu Uygulamaları Üzerine Bir İnceleme, Mühendislik Bilimleri ve Tasarım Dergisi, S.1, s.49-56, 2010.
MERAL Erkan, Türkiye’de Bilgi Sistemleri Denetimi ve Kamu Gözetimi Kurumu’nun Bilgi Sistemleri Denetiminde Üstlendiği Misyon, Muhasebe ve Denetim Dünyası, S.1, s. 83-99, 2016.
ÖZALP Özgür, Elektronik Para Ve Ödeme Kuruluşlarının Bilgi Sistemleri Denetimi, Vıı.Bilgi Teknolojileri Yönetişim Ve Denetim Konferansı, İstanbul, 2016.
Şen ŞENOL / YERLİKAYA Tarık, ISO 27001 Kurumsal Bilgi Güvenliği Standardı, Akademik Bilişim 2013- XV. Akademik Bilişim Konferansı Bildiriler Kitabı, s. 677-681, 2013.
TAKÇI Hidayet / AKYÜZ Türker / UĞUR Alper, KARABAĞ Rahim / SOĞUKPINAR İbrahim, Bilgi Güvenliği Yönetiminde Varlıkların Risk Değerlendirmesi İçin Bir Model, Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi, S.3, s.47-52, 2010.
VURAL Yılmaz, SAĞIROĞLU Şeref, Kurumsal Bilgi Güvenliği: Güncel Gelişmeler. Uluslararası Katılımlı Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, Ankara, s.191-199, 2007.
YILMAZ, Hasan, TS ISO/IEC 27001 Bilgi Güvenliği Yönetimi Standardı Kapsamında Bilgi Güvenliği Yönetim Sisteminin Kurulması ve Bilgi Güvenliği Risk Analizi, Denetişim Dergisi, S.15, s. 45-59, 2019.
Dijital Kaynaklar
KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017. https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf E.T: 04.05.2021
KPMG, Küresel Fintech Araştırma Raporu, 2018. https://home.kpmg/tr/tr/home/gorusler/2018/05/kuresel-fintech-arastirmasi-2018.html E.T:04.05.2021
https://www.isaca.org/resources/cobit/cobit-publications E.T:04.05.2021
KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017. https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf ET: 04.05.2021
https://lostar.com.tr/2020/07/yonetisim-bakis-acisiyla-bankalarin-bilgi-sistemleri-ve-elektronik-bankacilik-hizmetleri.html ET:04.05.2021
KPMG bankaların Bilgi Sistemleri ve Elekronik Bankacılıkta Yeni Dönem, https://assets.kpmg/content/dam/kpmg/tr/pdf/2019/03/bilgi-sistemleri-yonetmeligi.pdf ET:04.05.2021
http://www.denetimnet.net/UserFiles/Documents/Makaleler/BT%20Denetim/CobiT%20%C3%87er%C3%A7evesi.pdf
KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017, https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf ET:04.05.2021
https://www.gib.gov.tr/guvenli-mobil-odeme-ve-elektronik-belge-yonetim-sistemine-iliskin-vergi-usul-kanunu-genel-tebligi E.T:04.05.2021
https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/07/guvenli-mobil-odeme-elektronik-belge.pdf ET:04.05.2021
KPMG, Uzaktan Müşteri Edinimi https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/08/uzaktan-musteri-edinimi.pdf ET:04.05.2021
[1] KÖKSAL, Aydın, Adı Bilgisayar Olsun, 21. Bası, İstanbul, Cumhuriyet Kitapları, 2010, s. 44
[2] DÜLGER, Murat Volkan, Bilişim Suçları ve İnternet İletişim Hukuku, Seçkin Yayıncılık, 7. Baskı, Ankara 2018, s.68.
[3] GÜNDOĞAN Burcu, Bilgi Sistemleri Denetiminde ISO/IEC 27001 Ve ISO/IEC 27002 Standartlarının Yeri, Muhasebe ve Denetim Dünyası Dergisi, S.1, 2016, s.18
[4] VURAL Yılmaz, SAĞIROĞLU Şeref, Kurumsal Bilgi Güvenliği: Güncel Gelişmeler. Uluslararası Katılımlı Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, Ankara, s.191-199, 2007, s. 509.
[5] TAKÇI Hidayet / AKYÜZ Türker / UĞUR Alper, KARABAĞ Rahim / SOĞUKPINAR İbrahim, Bilgi Güvenliği Yönetiminde Varlıkların Risk Değerlendirmesi İçin Bir Model, Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi, S.3, s.47-52, 2010, s. 170.
[6] KOÇ Selahattin / ŞEKER Sevgi / ŞEKER Fatma, Bilişim Teknolojileri (BT) Denetiminde Bilgi Güvenliği İle İlgili Uluslararası Standartlar ve Türkiye'deki Uyum Çabalarının İncelenmesi, Muhasebe ve Finans Araştırmaları Dergisi, S. Kasım; s. 121-139, 2019, s.124.
[7] MARTTİN Vedat, PEHLİVAN İhsan, ISO 27001:2005 Bilgi Güvenliği Yönetimi Standardı ve Türkiye’deki Bazı Kamu Kuruluşu Uygulamaları Üzerine Bir İnceleme, Mühendislik Bilimleri ve Tasarım Dergisi, S.1, s.49-56, 2010, s. 50.
[8] GÜNDOĞAN, s. 20.
[9] Şen ŞENOL / YERLİKAYA Tarık, ISO 27001 Kurumsal Bilgi Güvenliği Standardı, Akademik Bilişim 2013- XV. Akademik Bilişim Konferansı Bildiriler Kitabı, s. 677-681, 2013, s.678.
[10] GÜNDOĞAN, s. 21.
[11] KAYRAK Musa, Bilişim Sistemleri Stratejisinin Önemi ve Sayıştay Deneyimi, Sayıştay Dergisi, S.65, s.199-208, 2007, s. 204.
[12] KOÇ / ŞEKER / ŞEKER, s.130.
[13] https://www.isaca.org/resources/cobit/cobit-publications E.T:04.05.2021
[14] ALIÇ Emre / ONAY DURDU Pınar, Bilgi Teknolojileri Proje Yönetişimi: Türkiye’deki Organizasyonların Durumu. 9. Ulusal Yazılım Mühendisliği Sempozyumu (UYMS), s. 349-361, 2015, s. 351.
[15]http://www.denetimnet.net/UserFiles/Documents/Makaleler/BT%20Denetim/CobiT%20%C3%87er%C3%A7evesi.pdf
[16] GÖKOĞLAN Kadir, COBIT ve COSO İç Kontrol Yaklaşımlarının Karşılaştırılması, International Journal of Management and Administration, S.2, ss.66-80, 2018, s. 70.
[17] KOÇ / ŞEKER / ŞEKER, s.131.
[18] KOÇ / ŞEKER / ŞEKER, s.131.
[19] KOÇ / ŞEKER / ŞEKER s.132.
[20] YILMAZ, Hasan, TS ISO/IEC 27001 Bilgi Güvenliği Yönetimi Standardı Kapsamında Bilgi Güvenliği Yönetim Sisteminin Kurulması ve Bilgi Güvenliği Risk Analizi, Denetişim Dergisi, S.15, s. 45-59, 2019, s.51.
[21] MERAL Erkan, Türkiye’de Bilgi Sistemleri Denetimi ve Kamu Gözetimi Kurumu’nun Bilgi Sistemleri Denetiminde Üstlendiği Misyon, Muhasebe ve Denetim Dünyası, S.1, s. 83-99, 2016, 92-93.
[22] Sayıştay Bilişim Sistemleri Denetimi Rehberi, Ankara https://www.sayistay.gov.tr/tr/Upload/95906369/files/mevzuat/Rehberler/Bilisim_sistemleri_denetim_rehberi.pdf ET: 04.05.2021
[23] GÜNEŞ Fatih / KIZILDENİZ Sabih / SELÇUK Selim / SUNA Bahadır / COŞKUN Sinan, Bilgi Teknolojileri Denetimi ve COBIT’in Sektörel Uygulanabilirliği, Akademik Bilişim Konferansı, s.1-8, Ocak 2013, s. 5.
[24] KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017, https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf ET:04.05.2021
[25] KPMG, BT Denetim Standartları ve Uygulamaları Araştırma Raporu, 2017. https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf ET: 04.05.2021
[26] https://lostar.com.tr/2020/07/yonetisim-bakis-acisiyla-bankalarin-bilgi-sistemleri-ve-elektronik-bankacilik-hizmetleri.html ET:04.05.2021
[27] KPMG bankaların Bilgi Sistemleri ve Elektronik Bankacılıkta Yeni Dönem, https://assets.kpmg/content/dam/kpmg/tr/pdf/2019/03/bilgi-sistemleri-yonetmeligi.pdf ET:04.05.2021
[28] https://lostar.com.tr/2020/07/yonetisim-bakis-acisiyla-bankalarin-bilgi-sistemleri-ve-elektronik-bankacilik-hizmetleri.html ET:04.05.2021
[29] KPMG bankaların Bilgi Sistemleri ve Elektronik Bankacılıkta yeni Dönem, https://assets.kpmg/content/dam/kpmg/tr/pdf/2019/03/bilgi-sistemleri-yonetmeligi.pdf ET:04.05.2021
[30] BEKAR Mustafa, Finansal Kuruluşlarda Bilgi Sistemleri Denetiminin Katma Değerinin Aktörler Açısından Değerlendirilmesi, BDDK Yayınları, Ankara.
[31] KPMG, Uzaktan Müşteri Edinimi https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/08/uzaktan-musteri-edinimi.pdf ET:04.05.2021
[32] KPMG, Uzaktan Müşteri Edinimi https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/08/uzaktan-musteri-edinimi.pdf ET:04.05.2021
[33] KOÇ / ŞEKER / ŞEKER, s.136.
[34] https://www.gib.gov.tr/guvenli-mobil-odeme-ve-elektronik-belge-yonetim-sistemine-iliskin-vergi-usul-kanunu-genel-tebligi E.T : 04.05.2021
[35] https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/07/guvenli-mobil-odeme-elektronik-belge.pdf ET:04.05.2021
[36] ÖZALP Özgür, Elektronik Para Ve Ödeme Kuruluşlarının Bilgi Sistemleri Denetimi, Vıı.Bilgi Teknolojileri Yönetişim Ve Denetim Konferansı, İstanbul, 2016.
[37] Kayrak, s.205.
[38] BOZKURT Said Vakkas / ERKEN Hasan, Bilgi Sistemleri Denetçiliği Sertifikası, Denetişim Dergisi, S.2, s.104-107, 2009, s.104-106.