2021 yılı Sayıştay Denetim Raporları

İdarede, kullanıcıların yetkilerinin tahsisine ve yönetimine ilişkin yazılı düzenlemelerin bulunmadığı ve bunlara ilişkin düzenli gözden geçirme ve güncelleme faaliyetleri yürütülmediği anlaşılmıştır.

26.12.2007 tarih ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliğinin “Bilgi Sistemleri Kontrolleri” başlıklı 12 No’lu standardının; 1 ve 2’nci şartlarına göre; “Bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlayacak kontroller yazılı olarak belirlenmeli ve uygulanmalıdır”. “Bilgi sistemine veri ve bilgi girişi ile bunlara erişim konusunda yetkilendirmeler yapılmalı, hata ve usulsüzlüklerin önlenmesi, tespit edilmesi ve düzeltilmesini sağlayacak mekanizmalar oluşturulmalıdır.”

Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planının 6’ncı ana eylem maddesi olan “Kamu Bilgi Güvenliği Programı” kapsamında hazırlanan Kamu Kurumlarının Uyması Gereken Asgari Bilgi Güvenliği Kriterlerinin 4.1 Kamu Kurumlarının Sağlaması Gereken Kriterler bölümüne göre; “Kurum yöneticisi tarafından… diğer kurum çalışanlarından beklentilerin açıklandığı bir politika dokümanı yayınlanmalıdır. Kurum yönetimi politika dokümanı ile bilgi güvenliğini önemsediğini ve sahiplendiğini açıkça göstermelidir.”

Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılmasına ilişkin bilgi ve iletişim güvenliği tedbirlerini içeren, 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Dijital Dönüşüm Ofisi Başkanlığı tarafından hazırlanan Bilgi ve İletişim Güvenliği Rehberi’nin;

3.1.12.8 Kullanıcı Yetkilerinin Güncellenmesi tedbirine göre; “Sistem yöneticilerinin ve kullanıcılarının yetkileri düzenli olarak gözden geçirilmeli, görev değişikliklerinde erişim yetkileri güncellenmelidir. Bir personelin veya yüklenicinin sorumluluklarının değişmesinden hemen sonra hesapları devre dışı bırakmak ve sistem erişimini iptal etmek için süreç oluşturulmalı ve uygulanmalıdır.”

3.2.3 Yetkilendirme bölümüne göre; “Kullanıcıların uygulamaya erişimlerini tanımlayan yetki matrisi oluşturulmalı ve belirli aralıklarla güncellenmelidir. Kullanıcı sadece yetkilendirildiği uygulama bileşenlerine ve kaynaklara erişebilmeli ve bunları kullanabilmelidir. Uygulamaya yapılan her istek için yetki denetimi kontrolü uygulanmalıdır. Kullanıcılara verilecek yetkiler, yürütülen görevler ve ihtiyaçlar doğrultusunda belirlenmelidir. En az yetki prensibine göre kullanıcının gerçekleştirebileceği ilgili işlemler için gereken asgari yetkilerin haricinde bir ayrıcalık tanımlanmamalıdır.”

Yapılan incelemelerde, İdarede kullanıcıların erişim haklarının ve uygulamalardaki yetkilerinin tahsisine ve yönetimine ilişkin yazılı kuralların olmadığı, kullanıcıların İdarenin bilgi sistemlerine ve uygulamalara erişimlerini tanımlayan yetki matrislerinin düzenlenmediği, yetkilendirmelerin sözlü olarak yapıldığı ve yetkilerin düzenli aralıklarla gözden geçirilerek güncellenmediği görülmüştür.

Kamu İdaresi cevabında; yetki işlemlerinin resmi yazışmalar ile gerçekleştirildiğini ifade etmekte olup, yetkilendirmelerin ve buna istinaden yapılacak diğer kontroller ile oluşturulacak mekanizmaların yazılı olarak dökümante edilmediği anlaşılmaktadır.

En az yetki prensibi çerçevesinde, kullanıcıların uygulamaya erişimlerini tanımlayan yetki matrisi düzenlenmeli, kullanıcı erişim hak ve yetkileri yazılı hale getirilerek gelişmelere uygun olarak güncelleştirilmelidir.