KVKK Teknik Tedbirler ve Güvenlik Çözümleri

Aralık 6, 2018
Posted in Blog
Aralık 6, 2018 prfj

Kişisel verilerin korunması kanunu (KVKK) ile birlikte kişisel veri barındıran ve işleyen tüm kurumların alması gereken teknik tedbirler bulunmaktadır. Bu tedbirlerle ilgili veri güvenliği rehberi Kişisel Verileri Koruma Kurumu’ nun web sitesinde yayınlanmıştır.

Yayınlanan teknik tedbirler kılavuzunda yer alan önlemleri sıralamak gerekirse;

KVKK Teknik Tedbirler

  • Bilgi güvenliği açısından değerlendirme yapılması ve kişisel verilerin bulunduğu BT altyapısı ve ağ sistemlerinin veri güvenliği açısından kontrol edilmesi
  • Yetki kontrolünün yapılması ve yetki matrisinin çıkarılması
  • Veri içeren ve veri akışını sağlayan tüm sistemlerin yedeklerinin düzenli olarak alınması ve raporlanması
  • Yapısal ve yapısal olmayan verilerin keşfi, takibi ve yönetimi için çözümler kullanılması
  • Veri sınıflandırma çözümleri ile birlikte veri kaybı önleme yazılımları (DLP) kullanılması
  • Yönetici yetkisi kısıtlamaları, denetim izleri yönetimi, erişim yetkisi olan kullanıcının yaptığı işlemlerin takip edilebilmesi
  • SIEM çözümleri ile log kayıtlarının tutulması ve güvenlik yönetimi
  • Şifreleme ile ilgili gerekli aksiyonların alınması (Disk, Dosya, USB)
  • Firewall, IPS, DDOS gibi çözümlerle ağ güvenliğinin sağlanması
  • Antivirüs ve sandbox çözümleriyle zararlı yazılım analizlerinin statik ve dinamik analizlerle sağlanması
  • NAC çözümleri ile ağa erişimlerin kontrollü ve yetkilendirme ile yapılmasının sağlanması
  • Uygulama güvenliği için WAF çözümlerinin kullanılması, güvenli yazılım geliştirme süreçlerinde statik kod analizi yapan ürünler ile uygulamaların kontrolleri
  • Veri tabanı güvenliği ve veri maskeleme için veri tabanı aktivite izleme ve veri tabanı güvenlik duvarı çözümlerinin kullanımı
  • Mail güvenliği çözümleri ile mail üzerinden olası veri kaybının önlenmesi
  • DNS güvenliği çözümleri ile kullanıcıların internete güvenli ve kriptolu erişimlerinin sağlanması

Rehberde yer alan bu tedbirlerin uygulanması ile KVKK sürecine uyum sağlanabildiği gibi 27001 Bilgi Güvenliği Yönetim Sistemi sürecinizdeki isterler de karşılanabilir. Teknik tedbirlerle ilgili gerekli aksiyonları aldıktan sonra gözden geçirme ve denetim çalışmasının gerçekleştirilmesi ve raporlanması önemlidir.

Veri Sızıntısı Önleme – DLP Çözümleri

Teknik tedbirler kapsamındaki çözümlerden en kritik olanlarından birisi Veri Sızıntısı Önleme – DLP çözümleridir. Kişisel verinin kurum içerisinde kalması ve güvenli saklanması için verinin tespit edilmesi, çıkış noktalarının belirlenmesi ve bu kanalların izlenmesi gereklidir. Hem son kullanıcı seviyesinde hem de network seviyesinde DLP ürünlerinin konumlandırılması ile web, mail, printing, usb, chat, uygulama gibi kanallardan veri sızıntısı engellenebilmektedir. Son kullanıcı makinelerinde ajan ile, ağ seviyesinde ise web ve mail trafiklerinde mirror veya araya girme yöntemiyle koruma sağlanmaktadır. Hassas verilerin kasıtlı veya istem dışı ağ dışına aktarılması ile ilgili ağ seviyesindeki tüm kontroller Network modülleri içerisinde yer alır.

Hassas veriler belirlendikten sonra bu verileri niteleyebileceğiniz herhangi bir yolla (adı, uzantısı, içeriği, boyutu, kelime setleri, regex patterni, bulunduğu dizin, fingerprint, machine learning…) politikalar yazılarak monitör veya engelleme modunda DLP kullanılabilir. Discover – Keşif modülleri ile ağ ve son kullanıcı makineleri seviyesinde tarama yapılarak verinin keşfi sağlanabilir. Dosyaların ve veri tabanlarındaki verilerin parmak izlerinin alınması ile veritabanları ve dosya sunucuları üzerindeki verilerin belirlenmesi, izlenmesi ve korunması mümkün olmaktadır.

Endpoint modülü ise son kullanıcı makinelerinde çalışacak ajanları temsil eder. Uç noktada gerçek zamanlı olarak trafiği izleyerek kritik bilgileri kimin nasıl kullandığını ve nereye gönderildiğini tespit eder ve tanımlı aksiyonu gerçekleştirir.

DLP çözümleri ile aşağıdaki senaryoları tespit ve kontrol etmek mümkündür.

  • Sql vb. veritabanında bulunan bilgilerin fingerprint (parmak izi) bilgisi alınarak, hem uç noktada hem de istemci tarafına kurulacak ajan yardımı ile dışarı çıkması engellenebilir.
  • İçerisinde banka hesap numarası geçen bir dokümanın usb diske kopyalanması engellenebilir.
  • Kişisel mail ortamlarında kritik bilginin çıkması engellenebilir.
  • Kurum içi kullanılacak usb aygıtların device id bazında takibi yapılabilir.
  • Kritik bir belgenin belli bir kısmının copy/paste ile alınarak dışarı çıkarılmasının engellenmesi sağlanabilir.
  • Bir dokümanın benzerlik yüzdesine göre sızıntısının engellenmesi sağlanabilir.
  • Bir uygulama açık olduğunda kullanıcının ekran görüntüsü almasını engelleme yapılabilir.
  • Verinin içeriğine göre dosyaların farklı klasörlere taşınması takip edilebilir.
  • Verinin transfer olduğu ortama göre gerekirse şifrelenmesi sağlanabilir. (Örneğin usb aygıta atılan veriler)
  • Şifreli verinin tespit edilmesi ve transferinin engellenmesi mümkündür.
  • Meta data kontrolü yaparak, meta datasında gizli yazan dokümanların transferine engel olunabilir.
  • Dosya sunucusu üzerinde yetki takibi yapılabilir.
  • Bir resim üzerinde yer alan tc kimlik no, sürücü lisans numarası, telefon numarası tespit edilip engellenebilir.

Özetle…

Veri çıkış noktalarının belirlenmesi, belirli politikalarla çıkmasının engellenmesi veya izlenmesi iyi organize edilmiş DLP projeleriyle mümkündür. Hassas verileri içeren kelime setlerinin belirlenmesi, kuralların öncelikle monitör modda devreye alınması, ön tanımlı kuralların test edilerek devreye alınması, false positive incident’ ların incelenerek kuralların iyileştirilmesi, son kullanıcı makinelerinde performans problemi yaşanmaması için gerekli exclusion’ ların tanımlanması DLP projelerinde dikkat edilmesi gereken püf noktalar olarak sıralanabilir.

KVKK süreçlerinizde veri güvenliğinin sağlanması açısından en faydalı olabilecek ürünlerden birisi DLP çözümleridir. Veri güvenliğinin sağlanmasının yanında DLP ve veri sınıflandırma projeleri ile kişisel verileri keşfetmeniz ve takip etmeniz kolaylaşacaktır.

, , ,