Bilgi ve İletişim Güvenliği Uyum Denetimi

TRSİBER Denetim ekibinin, Denetimlerinde temel hedefi aşağıda yer verilen kriterlerin ölçülmesidir.
a) Rehber uygulama sürecinin etkinliği
b) Varlık gruplarına uygulanan tedbirlerin etkinliği

1.1 Denetim Planlama
Denetimin bütüncül bir yaklaşımla ele alınması ve verimli bir şekilde yürütülmesine zemin hazırlamak amacıyla TRSİBER denetim ekibi takip edilmesi gereken adımları belirler ve yol haritasını oluşturur.
Planlama aşamasında yer alan alt süreçler aşağıdaki gibidir;
a) TRSİBER yönetimi tarafından denetim ekibi belirlenir ve denetlenecek kurum yetkilisinin onayına sunularak kesinleştirilir.
b) Denetlenecek kurum hakkında denetim ekibi tarafından kurumun anlaşılmasına yönelik bilgi toplanır. Kurumun teşkilat ve organizasyon yapısı hakkında denetim ekibi bilgi edinir.
Kurumun faaliyet alanına yönelik bilgi toplanır. Ayrıca kurum bilgi sistemlerinin işletilmesi ve güvenliğinin sağlanmasına yönelik yasal düzenlemeler hakkında denetim ekibi bilgi sahibi olmalıdır.
c) Denetimin kapsamı belirlenir ve “EK-B Varlık Grupları ve Denetim Kapsamı” ile kayıt altına alınır. Denetim kapsamında kurumun yazılı onayı olmadan herhangi bir değişiklik yapılmaz.
d) Kapsama uygun olarak “EK-C Denetim Programı” hazırlanır ve denetim öncesi kurum yetkilisi ile e-posta ile paylaşılarak hazırlıkların yapılması sağlanır.

1.2 Denetim Prosedürlerinin Uygulanması
Denetimin bu adımında, varlık gruplarına yönelik tedbirlerin etkinliği TRSİBER Denetim ekibi tarafından değerlendirilir. Denetim görüşünün oluşturulmasına makul güvence sağlayacak düzeyde denetim kanıtlarını toplar, elde edilen bulguları değerlendirir, sınıflandırır.

Bu süreçte TRSİBER denetim ekibi, Rehberde yer alan her varlık grubu ve tedbir maddesi için tanımlı denetim yöntemi ve denetim soru önerilerinden faydalanılır.
TRSİBER denetçileri, tedbirlerin etkinliğini değerlendirirken aşağıdaki denetim
yöntemlerinden faydalanır.
a) Mülakat: Denetim yapılan birim kapsamında söz konusu çalışmaların nasıl gerçekleştirildiği bilgisinin ilgili kurum personeli ile yüz yüze görüşülerek edinilmesidir. Gerekli görülmesi durumunda dokümantasyon inceleme çalışması ile desteklenir.
b) Gözden Geçirme: Denetim yapılan birim kapsamında söz konusu çalışmalara yönelik güvenlik gereksinimleri göz önünde bulundurarak detaylı be sistematik olarak yapılan incelemedir.
c) Güvenlik Denetimi: Bilgi teknolojileri ve güvenlik sistemlerine ait kuralların, sıkılaştırma ve yapılandırma çalışmalarının teknik olarak denetlenmesidir. Gerekli görülmesi durumunda otomatik araç kullanımı ile desteklenir.
d) Sızma Testi: Bilgi teknolojileri ve güvenlik sistemleri kapsamında güvenlik açıklarının tespit edilmesini sağlamaya yönelik olarak gerçekleştirilen güvenlik testleridir. Kurumun hangi sıklıkla sızma testi yaptırdığı sorgulanır, daha önce yapılan sızma testi raporlarında elde edilen bulguların giderildiğine yönelik doğrulama testleri yapılabilir veya ilgili raporlar değerlendirilir.
e) Kaynak Kod Analizi: Güvenli yazılım geliştirme konusunda uzman kişiler tarafından kaynak kodların incelenmesi ve güvenlik açıklarının tespit edilmesini sağlayan denetim çalışmasıdır.
1.3 Denetim Kanıtlarının Toplanması
Denetim kanıtı, denetim raporuna ve TRSİBER denetçisinin görüşüne dayanak sağlamak için denetim süresince elde edilen tüm bilgi, belge ve dokümanı ifade eder. TRSİBER Denetçisi, denetim kanıtı toplarken önceki dönem denetim raporu ve bulgularından faydalanabilir. Denetim riskinin makul bir düzeye düşürülmesi için yeterli, uygun ve güvenilir denetim kanıtı TRSİBER denetçileri tarafından toplanmalıdır. Denetim kanıtında olması gereken temel unsurlara ve açıklamalara aşağıda yer verilmiştir:
a) Güvenilirlik: Denetim kanıtının elde edildiği kaynağın uygunluğu, hangi koşullar altında ve hangi zamanda elde edildiğidir.
b) Uygunluk: Denetim kanıtı ile etkinliği değerlendirilecek tedbirin amacı arasında mantıksal bir bağ olmasıdır.
c) Yeterlilik: Denetim kanıtının, denetçinin yapacağı değerlendirmeyi güçlendirecek düzeyde olmasıdır.
ç) Tekrar edilebilirlik: Denetçinin elde ettiği kanıtın aynı şartlar altında başka bir denetçi tarafından elde edilebilmesidir.

1.4 Denetim Sonuçlarının Raporlanması
TRSİBER Denetim ekibinin Rehber uyum faaliyetlerinin etkinliği ile ilgili kanaatini objektif, açık, öz ve anlaşılır bir dille beyan ettiği belge denetim raporunu ifade eder. Denetim ekibi, denetim görüşünü oluşturacak yeterli bilgi, belge ve dokümanın Kurum tarafından sağlanmadığı durumlarda veya denetimin bağımsızlığını ya da tarafsızlığını zedeleyecek herhangi bir durumun varlığında Kurumun ilgili birimlerine bunu yazılı olarak bildirir. Denetim ekibi, denetim görüşünü oluşturmaya yönelik herhangi bir kısıt veya engel ile karşılaşmadığı durumda denetim raporunu hazırlar.

2. TRSİBER DENETÇİLERİNİN UYMASI GEREKEN ETİK İLKELER
2.1 Dürüstlük: TRSİBER Denetçisi mesleki faaliyetlerinde ve iş ilişkilerinde doğru ve güvenilir olmalıdır.
2.2 Tarafsızlık: TRSİBER Denetçisinin mesleki muhakemesine çıkar, ön yargı gibi herhangi bir durum veya ilişki etki etmemelidir.
2.3 Mesleki Yeterlilik ve Özen: TRSİBER Denetçisi mesleki konularda güncel ve yeterli bilgiye sahip olmalıdır ve yaptığı işlerde bu bilgiyi dikkatle uygulamalıdır.
2.4 Sır Saklama: TRSİBER Denetçisi mesleki faaliyetlerinde edindiği bilgilerin gizliliğini sağlamalıdır.
2.5. Mesleğe Uygun Davranış: TRSİBER Denetçisi mesleki itibarını zedeleyecek her türlü, davranış ve eylemden kaçınmalıdır.