Kurumlar için 5651 sayılı kanun ve gerektirdikleri
(Yayınlanma Tarihi 04.02.2008)
Bu inceleme belgesi, kamu kurumlar ını kanunun getirdikleri ile ilgili olarak bilgilendirmek üzere hazırlanmıştır.
1- Bu Kanunun amaç ve kapsamı; içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.
2- Kanunda tanımlı bazı terimleri doğru anlamak yükümlülükleri belirlemek için gereklidir.
- Erişim sağlayıcı: Kullanıcılarına internet ortamına erişim olanağı sağlayan her türlü gerçek veya tüzel kişileri,
- İçerik sağlayıcı: İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri,
- Toplu kullanım sağlayıcı: Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayanı,
- Yer sağlayıcı: Hizmet ve içerikleri barındıran sistemleri sağlayan veya isleten gerçek veya tüzel kişileri,
- Yer sağlayıcı trafik bilgisi: internet ortamındaki her türlü yer sağlamaya ilişkin olarak; kaynak IP adresi, hedef IP adresi, bağlantı tarih-saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgisi gibi bilgileri, (26680 sayılı yönetmelik)
- Trafik bilgisi: internet ortamında gerçekleştirilen her türlü erişime ilişkin olarak taraflar, zaman, süre, yararlanılan hizmetin türü, aktarılan veri miktarı ve bağlantı noktaları gibi değerleri,
- Erişim sağlayıcı trafik bilgisi: internet ortamına erişime ilişkin olarak abonenin adı, adı ve soyadı, adresi, telefon numarası, abone başlangıç tarihi, abone iptal tarihi, sisteme bağlantı tarih ve saat bilgisi, sistemden çıkış tarih ve saat bilgisi, ilgili bağlantı için verilen IP adresi ve bağlantı noktaları gibi bilgileri (26680 sayılı yönetmelik)
3- Buradaki tanımların, kamu kurumlar’ına yansımalarına bakıldığında şunlar görülmektedir.
- Kurumlar birer “Erişim Sağlayıcı” dır. Çünkü personeline internet erişim olanağı sağlayan tüzel kişilerdir.
- Kurumlar birer “İçerik Sağlayıcı” dır. Çünkü internet üzerinden personeline ve hizmet alanlara veri üreten ve sağlayan tüzel kişilerdir.
- Başka kamu kurumlar ının sistemleri için sistem odası, internet erişimi gibi hizmetler sağlayan kurumlar “Yer Sağlayıcı” dır.
Bunlar unutulmadan kanun değerlendirilmelidir.
4- Bilgilendirme Yükümlülüğü
Erişim sağlayıcıları ve yer sağlayıcıları aşağıda belirtilen tanıtıcı bilgilerini kendilerine ait internet ortamında, kullanıcıların ana sayfadan doğrudan ulaşabileceği şekilde, iletişim başlığı altında, doğru, eksiksiz ve güncel olarak bulundurmakla yükümlüdür. (bkz. 5651.3, 26880.14)
- Tüzel kişi ise unvanı ve sorumlu kişiler, vergi kimlik numarası veya ticaret sicil numarası,
- Yerleşim yeri, tüzel kişi ise merkezinin bulunduğu yer,
- Elektronik iletişim adresi ve telefon numarası,
- Sunduğu hizmet bir merciin iznine veya denetimine tabi bir faaliyet çerçevesinde yapılıyor ise yetkili denetim merciine ilişkin bilgiler.
5- Kurumlar içerik sağlayıcı olduklarından; internet ortamında kullanıma sunduğu her türlü içerikten sorumludur. Bir bağlantı verilmiş içerik varsa, bununla ilgili kendi görüsünü belirtmeden vermelidir. (bkz. 5651.4-2)
6- Kurumlar erişim sağlayıcı olduklarından; (bkz. 5651.6)
- Kendi personeline içerik yayınlama izni vermemeli ya da yasadışı içerikten haberdar edildiğinden bu içeriği kaldırmalıdır. (örneğin kişisel web sayfaları). Bu nedenle Güvenlik Duvarı sistemi bulundurmalıdır.
- Tüm internet erişim trafik bilgisini (yukarıdaki tanımlarda belirtilmiştir) 1 yıl saklamakla yükümlüdür. Bu bilgileri yani kayıtları üretildiği anda hash değerini almalı (örneğin md5sum ya da sha1sum ile) daha sonra bunu bir zaman damgası hizmeti veren kurumdan damgalatmalı ve bu şekilde saklamalıdır. Günümüzdeki elektronik imza servis sağlayıcıların ve bir kısım gsm operatörleri bu hizmeti vermektedir. Zaman damgasından amaç kayıtların daha sonradan değiştirilmediğinden emin olmaktır. Kayıtları alan sistemleri bulundurmalıdır. (Örneğin Güvenlik Duvarları). Bu sisteme gelen IP bağlantıları değiştirilemez şekilde gerçek kişilerle esleştirilebilmelidir. Bu nedenle sabit IP kullanmaya başlamalı ve güvenlik duvarı üzerinde IP-MAC esleme yapmalıdır. Bu temel çözüm kanunun gereği için yeterlidir. Daha ileri bir çözüm olarak NAC çözümleri uygulanabilir. Diğer yandan E-posta Güvenlik Ag Geçidi sistemleri (antispam, antivirüs) sayesinde de gelen ve giden tüm iletilerin log u tutulur. Bu nedenle bu sistemin de konuşlanmış olması önemlidir. Kurumlar merkezi bir log lama yapmalıdır. Bu nedenle Merkezi Log lama çözümü bulundurmalıdır.
- Tüm erişim kayıtlarını başkalarınca erişilmemesi için korur. Bu nedenle kayıtların bulunduğu noktayı korumalıdır.
Bu amaçla Saldırı Tespit ve Önleme Sistemi kullanmalıdır. Ayrıca bu verileri sakladığı sistemlerin güvenli olup olmadığını düzenli olarak kontrol etmek için Güvenlik Tarayıcı / Zayıflık Analizi Sistemi kullanmalıdır.
7- Erişim sağlayıcı, TK ile aralarındaki bağlantıdan erişimi engellenecek adreslere ilişkin gönderilecek bilgileri kendi sistemlerinde derhal ve en geç 24 saat içinde uygulanabilmesi için, gerekli olan donanım ve yazılımı kurarak lazım olan düzenlemeleri yapmakla yükümlüdür. Örneğin bir yasak web sitesine erişimi engelleyebilmelidir.
Bu nedenle Web Filtreleme ve içerik Filtreleme sistemleri kullanmalıdır.
8- TK’nca erişimin engellenmesi istenen bir karar erişim sağlayıcı tarafından yerine getirilmezse 6 aydan 2 yıla kadar hapis cezası gerektirir. İdari tedbir olarak verilen bir karar erişim sağlayıcı tarafından yerine getirilmezse 10-100bin YTL ceza gerektirir.
9- Kurumlar içerik sağlayıcı olduklarından internetten sundukları tüm içeriklerin belli onay makamlarından geçtiğinden emin olmalıdır.
10- Hem Erişim hem de içerik sağlayıcı olmaları nedeniyle, ağ ve internet sorumluları, web sayfası ve içerik sunum sorumluları gibi teknik personel kanunla ilgili bilgilendirilmelidir.
Kontrol Listesi
Kanun kapsamında gerekli olan yapı için uygun olup olmadığınızı aşağıdaki kontrol listesi ile hızlıca görebilirsiniz.
- Kontrol Maddesi Uygulandı mı?
- Güvenlik Duvarı
- Güvenlik Duvarında IP-MAC esleme
- Güvenlik Duvarında güvenli log kaydı
- Merkezi Yönetim ve Log Sistemi
- Kullanıcılara zimmetlenmiş sabit IP dağıtımı
- Saldırı Tespit ve Önleme Sistemi
- Güvenlik Tarayıcı/Zayıflık Analiz Sistemi
- Web ve İçerik Filtreleme Yazılımı
- E-posta Güvenlik Ağ Geçidi
- Kurumsal web sayfasında madde 4’teki bilgiler
- Kanun Hakkında teknik personele eğitim
- Web sayfalarına içerik koyarken kontrol prosedürü
- Kişisel web sayfalarına izin verilmediği