Bilgi Güvenliği Testleri

            Birikimli ve konusunda uzman personeli ile nitelikli güvenlik testleri gerçekleştiren SİSOFT, güvenliği bir bütün olarak ele alarak sistemlerdeki tüm açık noktaları tespit ediyor.

Güvenlik Testleri

            PCI, HIPAA, ISO27001 gibi standartlar Penetrasyon testi yaptırmayı zorunlu tutuyor. Sisoft, hizmet sunduğu kurum ve kuruluşlara danışmanlık hizmeti vererek, sistemdeki tüm açıkları ve çözüm yöntemlerini raporluyor.

            Testler; uzman ekip tarafından ağ altyapısı, işletim sistemi, servis platformu ve uygulama katmanında gerçekleştiriliyor. Hastanenin isteği doğrultusunda güvenlik denetlemeleri (whitebox testing) ve sızma Testleri (penetration testing) kapsama dahil ediliyor.

            Otomatik test araçları ile birlikte manuel yöntemler de kullanılarak özellikle web  uygulamaları  tarafından  sunulan tüm sayfalar için detaylı inceleme yapılarak, sunulan sonuç raporunda açıklıklar ve açıkları kapatma yöntemleri  detaylı olarak anlatılıyor.

Güvenlik İhtiyaçlarını Ortaya Çıkaran Sebepler

            Hastaneler, HBYS’de (Hastane Bilgi Yönetim Sistemi) elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde paylaşımı, bilgiye her noktadan erişilebilirlik gibi ortamlarda güvenlik açıklarının oluşması nedeniyle büyük tehdit altına girebiliyor. Bu tehditlerin kurumsal maddi kayıplara neden olmaması, verilerin gizliliği ve sistemin sürekliliği esaslarının sağlanabilmesi için bütünlüklü güvenlik ihtiyaçlarının sağlanması gerekiyor.

Güvenlik İhtiyaçları

Bu ihtiyaçları üç temel başlıkta toplayabiliriz;

            1-Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi.

            2-Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi.

            3-Erişebilirlik: Yetkilendirilmiş kullanıcıların, gerek duyduklarında bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi.

            Bunların eksikliği ticari zarara, ciddi iş kaybına, prestij zedelenmesine yol açabilir. Başlama noktası, her türlü yönetim sistemi gibi risk analizidir. Networkun ve Hastane Bilgi Yönetim Sisteminin hızlı çalışabilmesi için de, sisteme kontrol mekanizmaları yerleştirilmesi gerekiyor. Virüslerde Antivirüs Programı, İnternet ve dış sorgu istemlerinde IPS, IDS için güvenlik duvarı (firewall), Bilgisayarların kontrolü için Active Directory (domain) yapısı gibi sistemlerin kullanılıyor olması gerekiyor.

HBYS’de Oluşan Hata Oranları

            Hastane Bilgi Yönetim Sistemlerinde oluşan hatalar da sağlıklı bir iş akışını engelleyen unsurlar olarak karşımıza çıkıyor.

            Bu hataların yüzde değerlerini aşağıdakiler gibi özetlemek mümkündür; %18'i enerji kesintisi, %17'si kullanıcı hatası, %17'si LAN hatası, %14'ü dış kaynaklı virüsler, % 9'u WAN hatası, % 6'sı çalışanların bilerek verdiği zarar, % 6'sı operatör hatası, %13'ü diğer hatalar.

            Kurumun varlıklarının doğru değerlendirilmesi gerektiği gibi, bilgi hırsızlığı, yangın, sel baskını, deprem ve verinin tahribini önlemek gibi konular için dışarıdan uzman desteği alması gerekebiliyor. Sözü geçen güvenlik politikaları ayrıca ISO 27001 standardına dayandığından, bu belgeye sahip olunması kalite hizmet kavramının geliştirildiğini ve uyguladığını ortaya koyuyor.

Bilgi Güvenliği Yönetim Sistemi’nin Oluşturulması

            1.Bilgi için bir Yönetim Platformu oluşturulması; hedeflerin, amaçların, bilgi güvenliği politikasının belirlenmesi,

            2.Güvenlik risklerinin belirlenmesi ve değerlendirilmesi,

            3.Kontrollerin seçimi ve uygulanması.

            4.ISO 27001 standardına uygun bir bilgi güvenliği yönetim sisteminin kurulması, kuruluşun güvenlik saldırılarına karşı tamamen koruma altına alınması.

BGYS Yargı Maddeleri

            1- ANAYASA md. 20

            12 Eylül 2010 Anayasa değişikliği ile Anayasamıza eklenen 'Kişisel Verilerin Korunması' başlıklı madde

            Md. 20: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla islenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

            2- 5651 SAYILI KANUN

            5651 Sayılı ”İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”

            Md. 7/2: Ticari amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.

            3- 26678 SAYILI YÖNETMELİK

            Başbakanlık tarafından çıkarılan 26687 sayılı “internet toplu kullanım sağlayıcıları hakkında yönetmelik”

            Md. 4: İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:

a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.

b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.

            4- 2005/153 SAYILI GENELGE

            Sağlık Bakanlığı tarafından çıkarılan 2005/153 sayılı “Veri Güvenliği” Genelgesinde, Sağlık Bakanlığına bağlı tüm Kamu Kurum ve Kuruluşlarının bilgi güvenliği ile ilgili uyması gereken kurallar belirtilmiştir. Genelgenin birkaç çarpıcı maddesini belirtmek gerekirse:

            Yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır.

            Elektronik hasta kayıtlarına internet ortamından erişim mümkün olmamalıdır.

            Kullanıcı aktiviteleri (yapılan tüm işlemler ve erişimler) izlenebilmelidir. Veri tabanı üzerinde yapılan şüpheli işler denetlenebilmelidir. Sistemin hem etkin bir şekilde yönetilmesi, hem de yetkisiz erişimlerin engellenmesi ve izlenmesi anlamında gelişmiş bir kontrol mekanizması olmalıdır. Sistem, hangi kullanıcının sistemin hangi kısmına ne zaman ve nereden eriştiğine dair (zaman damgası-date stamp, işlem, kullanılan istemci bilgisayar tanımı gibi bilgileri de içeren) kayıt tutmalıdır.

            5- 2010/61 SAYILI GENELGE

            Son olarak Sağlık Bakanlığı tarafından 2010 yılının Ağustos ayında çıkarılan 2010/61 sayılı “Sağlık Bilgi Sistemleri” Genelgesinde de Bilgi Güvenliği ile ilgili önemli hükümler getirilmiştir:

            Genelgenin girişinde “Sağlık hizmeti veren tüm kurum ve kuruluşlar sağlık bilgi sistemleri ile ilgili uygulamalara yönelik olarak bundan böyle aşağıdaki hükümler doğrultusunda hareket edecektir.” denmekle tüm kamu kurumlarının bu genelge doğrultusunda hareket etme zorunluluğu vurgulanmıştır.

            Md. 7.1: Kişisel sağlık verilerinin gizlilik, bütünlük, güvenlik, erişilebilirlik ve mahremiyetini sağlamak her kurum/kuruluş ve çalışanların sorumluluğunda olup Anayasa, Yasalar ve diğer alt mevzuat ile Bakanlığımızca yayınlanan Bilgi Güvenliği Politika Belgelerine aykırı davranılamaz.

            6- DİĞER DÜZENLEMELER

            Bilgi güvenliği ile ilgili yukarıda sayılan mevzuat hükümlerine ek olarak ülkemizin imzalamış olduğu Uluslararası Antlaşmalar da bulunmaktadır.

            Bilgi güvenliğinin ihlal edilmesi halinde uygulanacak olan yaptırımlar “bilişim suçları” olarak Türk Ceza Kanunuda düzenlenmiş olup 6 ay ile 7 yıl arasında değişen hapis cezaları öngörülmüştür.

            Ayrıca Sağlık Bakanlığı’nca Eylül 2007 de yayınlanmış olan, yöneticiler için ve personel için bilgi güvenliği politikalarında da bilgi güvenliği ile ilgili alınması gereken önlemler ve ilkeler belirtilmektedir.

            SONUÇ OLARAK:

            Belirtilen tüm bu yasal düzenlemeler ışığında toplu bilgisayar ve internet kullanımı sağlayanlar, bilgi güvenliği ve sistem güvenliğini sağlamak ve konusu suç olan içeriklere erişimi önleyici tedbirleri almak zorundadır. Aksi takdirde yetkililer ve sorumlular hakkında yasal yaptırımlar gündeme gelecektir.

            ÖZETLE:

            Kurum, kuruluş ve işyeri yöneticilerinin, bilgi güvenliğinin sağlanması için mevzuatın emrettiği tüm önlemleri almak ve gereken iyileştirme çalışmalarını yapmak hukuki yükümlülükleridir.