SureLog SIEM, Denetimler ve Canlı Log
Denetim, Yönetmelik ve Kanunlar açısından SIEM ve Logların T.C. Mahkemelerince Geçerliliği birden çok yönetmelik ve kanunlarla sağlanmıştır.
Aşağıda loglarla ilgili yönetmelik ve kanunlardan ilgili yerleri bulacaksınız.
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
22- (4) Denetim izleri asgari 5 yıl saklanır.
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) Bilgi ve belge saklamaya ilişkin diğer mevzuat hükümleri saklı kalmak kaydıyla denetim izleri asgari 3 yıl süreyle denetime hazır bulundurulur ve yedek alınması suretiyle, yaşanacak olası felaketler sonrasında da erişilebilir olmaları temin edilir.
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ”
Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır.
Burada da tebliğ denetime hazır 10 yıl diyor.
KVKK:
Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları: En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl
5651 Sayılı Yasa:
2 Yıl
TCMB, SPK ve BDDK tebliğlerinin loglarla ilgili maddelerine dikkatlice bakılırsa:
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
22- (4) Denetim izleri asgari 5 yıl saklanır.
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) 3 yıl süreyle denetime hazır bulundurulur
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞİ”:
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır
SPK 5 yıl saklanır diyor BDDK ve TCMB ise 3 yıl süreyle denetime hazır bulundurulur diyor. Yani BDDK ve TCMB 3 yıl saklanır demek yerine 3 yıl süreyle denetime hazır bulundurulur diyor. Sizce fark nedir? İkisinin arasında bir fark olduğu açık değil mi?
Burada logların denetim sırasında makul sürede gelmesini isteyen denetmenler olduğu gibi buna dikkat etmeyenler de olabiliyor. Mesela ben “Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ” içerisindeki 3 yılı canlı üç yıl olarak isteyen denetim süreçlerine tanık oldum.
Ayrıca denetim sırasında şirketlerin uygulamak istedikleri pratikler var. Mesela Sermaye Piyasası Kurulu denetimi son1 yılı kapsadığı için ve o 1 yıldan rastgele günler seçildiği için, log arşivdeyse geri yükleme vs. ile uğraşmamak için bazı firmaların Teftiş birimi 1 yıllık log canlıda olsun, hızlıca cevap verelim diyor denetim taleplerine.
Bir de mahkemelerde logların delil olabilmesi durumu var. Bu konuda 5651 sayılı yasa ile ilgili
Resmî Gazetenin 30 Kasım 2007 CUMA tarihli 26716 Sayısındaki
İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİNE DAİR USUL VE ESASLAR HAKKINDA YÖNETMELİK İçerik Sağlayıcıları, Yer Sağlayıcıları ile Erişim Sağlayıcılarının
Sorumluluk ve Yükümlülükleri kısmında “Dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle,” yükümlüdür diyor.
Burada logların kriptografik yöntemler, hash alma veya başka bir yöntemle sadece log bütünlüğü ve değişmezliğini sağlamanın yetmeyeceği bilinmeli.
Yine tebliğlerde mesela Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞİ” Oturum özellikleri ve denetim izleri kısmında
“25 — (5) Zaman damgası, 5070 sayılı Kanun kapsamında tanımlanan zaman damgasına dayanır” deniyor.
Logların mahkemece istenmesi durumunda eğer lehte bir avantaj sağlayacaksa şirket avukatlarını veya hukuki mercileri karşı tarafın logları ile birlikte zaman damgalarını da mahkemece istenmesi sağlanmalı.
Ayrıca GDPR, PCI, Basel II, HIPAA, SOX, NISPOM, CISP gibi uluslararası pek çok regülasyon da logların 1 ila 7 yıla kadar saklanması gerektiğini söylüyor. Bunlardan PCI bunu ayırmış mesela ve 90 gün canlı olmalı sonrasını nasıl istersen öyle derken diğerleri canlı veya arşiv diye ayırmadan süre belirtmiş.
Dolayısı ile bir SIEM veya içinde Bir SIEM olan hizmet alırken şu sorular sorulması gereken sorulardır.
Logları 1 yıl canlıda tutabiliyor muyuz?
Eğer bir yılı canlıda tutulabiliyorsak 1 yıl için toplamda ne kadar disk kullanıyoruz?
Eğer birkaç aydan sonrası arşivde ise:
Arşivden 1 günü arama ne kadar sürüyor?
Arşivden 1 haftayı arama ne kadar sürüyor?
Arşivden 1 ayı arama ne kadar sürüyor?
Logların kriptografik yöntemler, hash alma veya başka bir yöntemle sadece log bütünlüğü ve değişmezliğini mi sağlıyoruz yoksa bununla birlikte logların T.C. Mahkemelerince Geçerliliği sağlamak için 5651 sayılı yasaya uygun olarak zaman damgası basıyor muyuz?
Bazı sektörlerde şu soru da sorulmalı. TÜBİTAK KAMU SM gibi BTK Tarafından yetkilendirilmiş Zaman Damgası Sağlayıcılarından alınmış zaman damgalarını kullanabiliyor muyuz?
SureLog SIEM bütün bu özelliklere sahip bir SIEM Çözümüdür. SureLog SIEM ile ortalama 5000 EPS için logları 1 yıl canlıda tutabilmek için 5 TB disk yeterlidir.
