Embed Size (px)
Citation preview
BİLİŞİM SİSTEMİ SORULARININ SORULMASI:
SÜREÇ:
1-Sorular, Bilgi İşlem birimi üst yöneticisine e-postayla gönderilir.
Not: (Denetimi), (Bilgi) şeklinde başlayan cümleler silinir.
2-Cevabı gelince,
3-Bilgi İşlem birimi üst yöneticisine telefon edilir,
4-Teknik ekiple beraber, şu saatte gelmeleri istenir.
5-Sorular sorulduktan sonra,
6-Bilişim Sistemi Denetim Kılavuzundaki sorular sorulur:
Sy. 15 ten başlıyor.
Bilişim Sistemleri Denetimi Kılavuzu-Sayıştay-Ey-2019-Tıklayınız
==0
001-Kurumun internet sitesinde, personele ve vatandaşa hangi hizmetler verilmektedir?
CEVAP:
(Örnekler: Vatandaş kr kartı ile emlak ver borcunu ödüyor. İstek şikayetini bildiriyor. ada/parsel numarasını girince, ilgili taşınmazın haritası ve
imar planını görüyor vs.
==0
002-Kurumda e-imza kullanılıyor mu?
Not: Hastanelerde e-imza zorunlu (e-reçete, sağlık kurulu raporları vs).
==0
003-Aşağıda ismi yazılı kişilerin, son bir yılda bilişim sistemine giriş bilgileri.
(Listeye, son bir yıl içinde (emeklilik, istifa, nakil, ihraç vs) nedeniyle, kurumdan ayrılan personelin ismi yazılacak)
DENETİMİ: Kurumdan ayrılan personel, bilişim sistemine girmiş mi?
==0
004-Bilişim sistemi modüllerine giriş yetkisi verilen personelin adı, modül ve yetki tarihi listesi.
DENETİMİ: Personel, yetkisi dışında modüllere girmiş mi?
NOT: Genel bütçe, Özel bütçe ve Düzenleyici denetleyici kurum) dışındaki diğer kurumlarda bu denetim yapılır.
(Genel bütçeli, özel bütçeli daireler, düzenleyici denetleyici kurumlar, Maliye Bak.nın muhasebe sistemini kullanıyor. Bakanlık yetki dışı modül
kullanımına izin vermez)
==0
005-Log kayıtlarından faydalanılarak, aşağıdaki tablonun doldurulması: (Excel olarak)
SON AYDA BİLİŞİM SİSTEMİNİ KULLANAN PERSONEL LİSTESİ:
Personel ismi
Tarih
Saat
Girilen bilişim sisteminin adı
Girilen modülün adı
DENETİMİ: Personel yetkisi dışında olan modüllere girmiş mi?
==0
006-Bilişim sistemini oluşturan unsurların,
-en son yapılan,
-bakım veya kontrol kartlarını veya belgelerini,
-elektronik olarak veriniz.
(Bilişim sistemi unsurları: Sunucular, yazılımlar, veri depolama üniteleri, güvenlik duvarı, kesintisiz güç kaynağı, jeneratör, klima, kamera,
yangın tüpü, yangın söndürme sistemi, duman algılayıcı, nem kontrol sistemi, ve diğerleri)
DENETİMİ: Bulgu: Bilişim sistemi unsurlarının bakımı, kontrolü düzenli olarak yapılmıyor.
==0
007-Son bir yılda doğrudan temin ve ihaleyle satın alınan mal ve hizmetlerle ilgili Excel tablosunu gönderiniz.
(Not: İhaleyi veya satın almayı hangi birim yaptıysa, o birimden bilgi alınır)
DENETİMİ: 260 Hesabı kullanılmalı. Ödeme belgeleri onlarda yok.
==0
HASTANE DENETİMİ:
008-A-Hurdaya ayrılıp satılan bilgisayar, sunucu, veri depolama ünitesi, Tablet bilgisayar, Seyyar bellek, Harddisk, Hafızalı yazıcılar, Hafızalı
faks cihazı var mı?
008-B-Varsa belgelerini getiriniz.
==0
008-A-İdari Mali İşler Dairesi taşınır yetkilisine sorulacak:
Hurdaya ayrılan taşınırların satışıyla kim ilgileniyor?
Cevap: İMİD ihale birimi
008-B-İMİD-ihale birimine soru: İhalesi yapılan hurda satışı belgelerini getiriniz.
DENETİMİ: Satılan hurdalara bak. Aşağıdaki malzemeler varsa, bulgu yaz:
Veri depolama özelliği olan cihazlar:
Veri depolama ünitesi,
Masaüstü bilgisayar kasası,
Dizüstü bilgisayar,
Tablet bilgisayar,
Seyyar bellek,
Harddisk,
Hafızalı yazıcılar,
Hafızalı faks cihazı,
DENETİM: Kuruma ait önemli bilgilerin depolandığı veri depolama cihazlarının hafıza bölgelerinin, fiziki olarak tahrip edilmeden başka kişi ve
kurumlara verilmesi bir risktir.
(Silmek çözüm değil. Silinen dosyalar geri getirilebiliyor)
009-Telsiz sistemi varsa, analog mu sayısal (dijital) mıdır?
010- Kurum telefon santralı analog mu sayısal (dijital) mıdır?
011- Kurumda e-Devlet Kapısı kullanılıyor mu?
( https://www.turkiye.gov.tr/ ) (kamu kurumları) (belediyeler) bölümünde kurumun adı ve verdiği hizmetler yazıyor mu? (Bazı kurumlarda
sadece evrak doğrulama hizmeti veriliyor)
012-Bilişim sistemi, bilgi güvenliği, acil durum değişiklikleri yönetimi, yedekleme ve bilişim personelinin istihdamı, eğitimi konularında yazılı
bir düzenleme var mıdır? (yönerge, yönetmelik, talimat, genelge, yazı vs) (ör: Bilgi İşlem Müd. Çalışma Yönetmeliği)
013-Elektronik olarak verilmesi.
014-Bu düzenleme yönetim tarafından onaylandıysa tarihi.
015-Bu düzenleme güncel mi, ihtiyacı karşılıyor mu?
016-Düzenleme, bilişim sistemlerine ilişkin tehditleri, bu tehditlerin kuruma yönelik muhtemel etkileri ve bu tehditlere karşılık risklerin etkisinin
nasıl minimize edileceği konusunda bir bilgi içeriyor mu?
DENETİMİ:
Yönetmelik incelenecek.
017- Bilişim sistemi güvenliği (tehditler) konusunda personele yazılı bir bilgi verildi mi?
018- Bilişim sistemine zarar verebilecek muhtemel riskler düzenli olarak gözden geçiriliyor mu?
019-‘Kurum Risk Listesi’ düzenlendiyse, elektronik olarak gönderiniz.
020- Risk değerlendirilmesi ile görevli bir birim var mıdır?
021- Bilişim sistemi, bağımsız firmalarca incelendi mi?
DENETİMİ:
Firmalar çok yüksek paralar istiyor.
022-Bilişim sistemine yapılan saldırılar rapor halinde düzenli olarak üst yöneticiye veriliyor mu?
-Sistemi kullanan personele, zamanında ve yeterli düzeyde teknik yardım ve destek nasıl verilmektedir? (yardım masası, telefon vs)
CEVAP:
BİLGİ: Program satıcılar teknik destek veriyor. (Ör: Sampaş,
Antivirüs pr Trend Micro, Güvenlik duvarının vs teknik desteği var)
023- Bilişim Sistemleri personelinin istihdamı ve eğitimi konusunda kurumun bir yönergesi vs var mıdır?
024- Bilişim sistemiyle ilgili personellerin görevleri yazılı olarak belirlenmiş midir?
025- Personel iş tariflerinde, hangi kriterlerin/becerilerin esas alınacağı belirtilmekte midir?
026-İzinsiz kullanılan yazılımların listesini veriniz.
DENETİMİ:
İzinsiz program kullanılması risk taşır.
027- İnternet için, resmi bina dışında bakır kablo kullanılıyor mu?
DENETİMİ:
Fiber optik kablo yerine bakır kablo kullanılması, internet kalitesini düşürmektedir.
Fiber kablonun özelliği:
-içinde cam vardır.
-yazı-resim ışık hızına çevrilir,
-kabloyla gider,
-karşı tarafın bilgisayarında tekrar yazı-resme çevrilir.
028- Diğer hizmet binalarınızdaki personel, kurum içi ağa (intranete) ADSL ile mi yoksa fiber optik kablo ile mi bağlanmaktadır?
029- Ek binalarda sunucu var mıdır?
030- Varsa: Sunucuyla ilgili teknik sorunlar çıkınca, ilgili birim mi, yoksa Bilgi İşlem Birimi mi ilgilenmektedir?
DENETİMİ:
Ek binalarda bulunan sunucuların, ana binadaki sunucudan bağımsız olması risktir.
BİLGİ:
Sistem Odasında bulunan cihazlar:
1-Veri depolama cihazları (storage): Bunlarda veriler/ bilgiler depolanır.
2-Sunucular (server): Verileri yönetir.
Bir kaç tane olur. Ör:
-Güvenlek duvarı,
-Web sunucusu,
-E-posta sunucusu,
-Saycap sunucusu (Sayıştayda)
-Saynet sunucusu (Sayıştayda)
-vs
A-Fiziksel sunucular (birkaç tane olabilir) (veri tabanı sunucusu ve uygulama sunucusu)
B-Sanal sunucular (birkaç tane olabilir). (Fiziksel sunucularda, sanallaştırma yazılımı ile oluşturuluyor)
==0
SİSTEM ODASIYLA İLGİLİ:
DENETİMİ:
Sistem odasında buzdolabı büyüklüğünde kabin vardır ve içinde raflar vardır.
Bir kabine 20 civarında sunucu sığabilir.
Bilişim sistemiyle ilgili cihazlar (donanım) ve yazılımlar (programlar) bulunur.
Kabin yerden 7 veya 8 cm yukarıda olur.
031-Sistem odasına bağlı jeneratör var mı?
DENETİMİ:
Elektrik kesilince, jeneratör devreye girer. Ama hemen devreye girer. Mazotun gelmesi, ateşleme nedeniyle on saniye sonra elektrik üretilir.
On saniyelik enerjisiz kalmak, sunuculara zarar verir.
Bu nedenle güç kaynağı kullanılır.
032-Jeneratör en son ne zaman kontrol edilmiştir?
033-Sistem odasını besleyen kaç adet Kesintisiz Güç Kaynağı (UPS) vardır?
DENETİMİ:
(İki adet olmalıdır. Biri arızalanınca diğeri devreye girer.
Bir adet olması risktir)
1-Güç kaynağı (UPS) çalışma şekli:
Elektrik güç kaynağına gelir. Güç kaynağından sistem odasına gider.
Elektrik kesildiğinde UPS anında devreye girer ve sistem odasına elektrik gönderir.
Güç kaynağı arızalı ise, sistem odasına elektrik gitmez, sistem durur.
2-Jeneratör:
Elektrik üretir ve sunucuyu çalıştırır. Ancak, jeneratörün devreye girmesi 10 saniyeyi bulur. Sistemin aniden kapanması, çalışma halindeki
sunucu kartlarına zarar verebilir. UPS olursa 10 saniyelik kesinti yaşanmaz. Elektrik kesilince, UPS anında devreye girer.
034-UPS en son ne zaman kontrol edilmiştir?
DENETİMİ:
UPS, altı ayda bir kontrol edilmelidir.
(Sistem odasına üç adet kablo gitmelidir: 1-Şebekeden gelen elektrik. 2-1.ups cihazına bağlı. 3-2.ups cihazına bağlı)
(Güç kaynağından sistem odasına şebeke ve UPS olmak üzere iki adet elektrik kablosu gidiyorsa risktir: Fare, ezilme vs sebebiyle UPS kablosu
fiziken zarar görürse, sistem odasına elektrik gitmez. Not: İki adet UPS varsa sorun olmaz)
036-Sistem odası kaçıncı kattadır?
DENETİMİ:
Bodrum katta olması risktir. Su basması, nem riski vardır.
Çatı katında olması risktir. Su sızıntısı olabilir.
037-Kapısı tahta mı çelik midir?
DENETİMİ:
Tahta kapı yangına karşı koruma sağlamaz.
038-A-Kapı nasıl açılıyor?
038-B-Kilit sistemi varsa:
1-Anahtarı nerede?
2-Çekmecede kilitli olarak saklanıyor mu?
3-Anahtarı her personel alabiliyor mu?
040-Girişte elektronik kart kullanılıyor mu?
DENETİMİ:
Kamera yeterli değil, görüntüyü birkaç ay saklıyor. Oysa kimlik kartıyla giriş yapılsa, sistem giriş/çıkış kayıtlarının tamamını verir.
041-Yüz tanıma veya parmak okuma sistemi var mı?
042-Kapı önünde kamera var mı?
043-İçeride kamera var mı?
044-Kamera görüntüleri kaç gün saklıyor?
BİLGİ:
1-Üç aydan az ise risktir.
2-Bazı kameralar sensörlüdür. Hareket olunca fotoğraf çekiyor. Bunların hafızası çabuk dolmaz.
045-soru-Görüntüler nerede saklanıyor?
-DVR (video kayıt cihazı)’nda mı?
-NVR sunucusunda mı?
CEVAP:
-DVR (video kayıt cihazı)’nda mı? (video kayıt cihazı görüntüyü iki ay saklar, sunucu olmaması risktir)
-NVR sunucusunda mı? (birkaç sene saklar)
046-Kameralar en son ne zaman kontrol edilmiştir?
047-Sistem odasında klima (soğutucu) kaç adet?
048-Klima en son ne zaman kontrol edildi?
DENETİMİ:
Klima bir adet olursa ve arızalanırsa, sistem ısınır ve kendini kapatır. Kurum hizmet veremez.
Sistem odasında iki adet klima olmalıdır. Biri arızalanınca diğeri devreye girer.
049-Klima eş yaşlandırma sistemi var mıdır?
(Bu sistemde, iki adet klima kullanılır. Bir klima on dakika çalışır. Sonra durur diğer klima çalışır. Bu sayede klimaların 24 saat çalışması
nedeniyle arızalanması riski önlenmiş olur)
==0
050-Sistem odasında yangın tüpü var mı?
051-Yangın tüpü en son ne zaman kontrol edilmiştir?
052-Otomatik yangın söndürme sistemi var mı?
053-Varsa en son ne zaman kontrol edilmiştir?
054-Duman algılayıcı var mı?
(Duman dedektörü dumanı algılayınca alarm çalıyor)
055-Varsa, en ne zaman kontrol edilmiştir?
056-A-Nem algılayıcı var mı?
056-B-Varsa, en ne zaman kontrol edilmiştir?
057-A-Sistem, nem sorununu nasıl haber veriyor?
057-B-Otomatik olarak SMS mesajı gönderiyor mu?
BİLGİ:
Sistem odasındaki ısı 18 derece olmalıdır.
Klima ısıyı 18 derecede tutar,
Nem yüzde 60 olmalıdır.
(Fazla nem statik elektriği geçiriyor. Kısa devre-yangın olabilir)
(Nem azsa yangın riski fazladır, kıvılcım çıkınca daha çabuk alevlenir)
a-Nem 60’ın üzerinde çıkarsa (nem artarsa), klima otomatik olarak nemi alır.
b-Nem 60’ın altına inerse klima bir şey yapamaz. İki çözümü vardır:
1-Cep telefonuna mesaj gelir veya
2-İklimlendirme sistemi kurulur, nem azalınca otomatik olarak içeriye nem-buhar verilir.
==0
058-A-Sıvı algılayıcı var mı?
VARSA:
058-B-Nasıl haber veriyor?
058-C-En ne zaman kontrol edilmiştir?
060-A-Neme karşı iklimlendirme sistemi var mı?
060-B-Varsa, en ne zaman kontrol edilmiştir?
061-Sistem odasında cihazları koruyan anti-statik döşeme var mıdır?
DENETİMİ:
insan bedenindeki elektrik sunucuya zarar verebilir. ör: üzerinde yünlü bir elbise varsa.
062-Sunucular (kabin) depreme karşı duvara veya tabana sabitlenmiş mi?
DENETİMİ:
Sunucu sabitlenmezse, depremde zarar görebilir.
Duvara monte edilecekse hava akımını engellememelidir.
063-Kaç adet yedekleme yapılmaktadır?
064-Yedekler, sistem odasının olduğu binada mı?
DENETİMİ:
Yedekler, sistem odasının olduğu binada tutulursa, deprem gibi bir durumda, sistemle beraber yedekler de zarar görür.
Bazı belediyeler, firmalardan “Bulut yedekleme” hizmeti satın alıyor. Ör: Acronis firması.
A.belediyesi iki kez güvenlik uyguluyor:
1-şifreyle buluta giriliyor,
2-veriler şifrelenip buluta yükleniyor-şifreleme pr adı: Acronis
==0
065-A-Yedekten geri dönüş testleri yapıldı mı?
DENETİMİ: Test yapılarak, yedeklerin işe yarayıp yaramadığı anlaşılır.
BİLGİ: Kurumda iki adet sunucu olmalıdır. Yedekler ikinci sunucuya kurulur. Eğer bir adet sunucu varsa, kurum iki gün sistemi pasif yapacak,
yedekleri kuracak. Bu da hizmetlerin durması demektir ki hiçbir kurum bunu yapmaz.
==0
065-B-Yapıldıysa belgelerini getiriniz.
==0
065-C-
-Sunucuların,
-yedeklerin,
-veri depolama ünitelerinin,
kapasite kullanım yüzdelerini gönderiniz.
==0
066-Yukarıdaki cihazların kapasite kullanım yüzdelerini hangi sıklıkta takip ediyorsunuz?
DENETİMİ: Yedek vs sunucuların kapasitesi dolduysa, hizmet veremez.
==0
068-Deprem gibi olağanüstü durumlarda sistemin kesintisiz çalışmasını sağlayan, Felaket Kurtarma Merkeziniz var mıdır?
069-Nerede?
BİLGİ:
Sistem odasının aynısı başka bir binada yapılır ve sistemle eşzamanlı olarak çalışır, sistem arızalandığında devreye girerek sistemi devam ettirir.
Felaket Kurtarma Merkezi kurma gerekçesi: Yedekleme yapılsa bile bu yeterli gelmeyebilir. Ör: Alınan yedek sıhhatli olmayabilir, ayrıca
yedekten sistemi tekrar kurmak, bir kaç saat sürebilir. Bu sürede kurum hizmet veremez, vatandaşlar mağdur olur.
Kurumda Felaket Kurtarma Merkezi olmalıdır:
Tıklayınız-bilgi-islem-felaket-kurtarma-merkezi-kurulumu
==0
070-A-Felaket kurtarma planı (iş süreklilik planı) var mıdır?
070-B-Firewall (güvenlik duvarı) cihazı var mıdır?
BİLGİ:
1-Sunucunun içinde güvenlik duvarı olmaz.
2-Güvenlik duvarı bir cihazdır. Ayrıca satın almak gerekir.
3-Bazı belediyelerde, güvenlik duvarı yok, internet firmasından güvenlik duvarı hizmeti alıyorlar. Ancak pahalı, aylık 5000-lira. Güvenlik duvarı
alımı 50.000-TL, kendini bir iki senede amorti eder.
Türk Telekomun verdiği güv duvarı hizmeti (DDOS vs) kapsamlı değil.
Güv duvarı cihazı daha kapsamlı.
==0
Güvenlik duvarında yapılan kısıtlamalar:
1-site bazlı engelleme,
2-kelime bazlı engelleme,
3-kategori bazlı engelleme,
(ör: oyun, video sitesine giremez)
==0
071- Kaç adet güvenlik duvarı vardır?
BİLGİ:
İki adet olmalı, biri saldırıya uğrarsa, diğeri devreye girer.
072- Domain kullanıyor musunuz?
BİLGİ:
1-Domain varsa, ip adresine göre kişiye özel sınırlama yapılabilir. Kişi başka odada kendi oturumunu açabilir-kendi bilgisayarını görür-(daha
güvenli)
2-Domain yoksa, güvenlik duvarında kişiye özel sınırlandırma yapılabilir, ancak personel ip adresini değiştirebilir-(güvenli olmaz-)
==0
073-Cevap evet ise: domaine bağlı olmayan (yetki sınırlaması yapılmayan) bilgisayar var mıdır?
BİLGİ:
Bazı bilgisayarların domaine bağlı olmaması risktir.
074-Dışarıdan getirilen bir bilgisayar, kullanıcı adı ve şifresini yazmadan kurumun internet ağına girebiliyor mu?
CEVAP:
BİLGİ:
Yabancı bir bilgisayara, kurumun internet kablosunu takınca internete giriyorsa güvenlik açığı vardır:
1-Ya güvenlik duvarı yok,
2-veya güvenlik duvarı etkin değil,
3-veya domain kullanılmıyor.
(Öneri: Kurumda sunum yapmak isteyen misafirler olursa, kurumun dizüstü bilgisayarını kullanır)
==0
075-soru-Log kaydı tutuluyor mu?
CEVAP:
BİLGİ:
1-Belediye güvenlik duvarı, site adreslerini kaydediyor.
2-İstenirse, programı kullanılan firmadan log kayıtları alınabiliyor (ör: Sampaş firması)
==0
Log Nedir? Log Kaydı ve Log Tutma
Log, meydana gelen olayların ve hareketlerin kayıt altına alındığı dosyalardır. Yazılımlar, işletim sistemleri ve web sunucuları olmak üzere
birçok alanda loglar aktif olarak kullanılmaktadır.
Log kaydı; tüm hareketlerin birer birer kayıt altına alınmış olduğu dosyalardır. Örneğin bir web sunucusunun içerisinde yer alan log dosyaları
incelenerek ziyaretçilerin nereden geldiği ve web sunucusuna hangi istekleri gönderdiği kolaylıkla anlaşılabilir. Log dosyaları iyi birer analiz
araçları olabileceği gibi sorun teşhisi konusunda da oldukça faydalı kayıtlardır. Örneğin bilgisayarınızın işletim sisteminin üretmiş olduğu log
kayıtlarını inceleyerek sistemde meydana gelen sorunun neden kaynaklandığını öğrenebilir ve buna göre çözümler üretebilirsiniz.
Log Tutma
Log tutma veya rapor tutma bazen sistem tarafından varsayılan olarak sunulan bir seçenek halindeyken bazen de sizin aktif etmeniz gerekebilir.
Log tutma işleminin aktif hale getirilmesi için her sistem içerisinde takip edilmesi gereken adımlar farklı olabilir. Bu nedenle sistemin log kayıt
desteği olup olmadığını öğrendikten sonra asıl kılavuz kaynaklar aracılığıyla bu bilgiye kolaylıkla ulaşabilirsiniz.
==0
Log kayıtları: Bilgisayarı kullanan kişilerin yaptığı bazı işler sistem tarafından kaydedilir. Bunlara log kayıtları denir.
Bilgisayarda işler programlar (yazılımlar) ile yapıldığından, log kaydını bu program yapar.
Ör: Google Ayarlar-geçmişte-önceki girilen site isimleri yazar.
Bilgisayardaki bütün bilgiler, veri tabanında sütunlar halinde kaydedilir. Buna Veri Tabanı denir. Burada binlerce sütun vardır.
Log kaydı, Excel olarak çıktısı alınır. Ancak binlerce sütun olduğu için, sınırlama yapmak zorundayız.
Bilgiler-işlemler bölümlere ayrılmıştır. Her bölüme Modül denir. Belediyelerde Kent Bilgi Sistemi, EBYS, Yön Bilgi Sistemi kullanılıyor.
==0
Örneğin bir belediyede Sampaş bilgi sistemi kullanılıyor. Bu programda bulunan modüller:
-sampaş pr da bulunan modüller:
-Ortak sicil
-Analitik bütçe ve muhasebe
-tah esaslı muhasebe
-Genel tah ve tahsilat
-satın alma
-Memur takip
-İşçi takip
-Personel takip
==0
1. Belediyesindeki log kayıtları:
1-Belediye sunucusunda bulunan log kayıtları: Güvenlik duvarı cihazı, girilen site adreslerini kaydediyor. Ör: Falanca gazetedeki şu haberi
okumuş. Hotmaile girilmiş (Ancak eposta içeriğini sadece Hotmail firması bilir) (Word, Excell içeriğini bilemez)
2-Sampaş sistemi log kayıtları: İlgili firmadan isteniyor. Çünkü veri tabanları bunlarda. (Eğer bilgi sistemi programını belediye yapsaydı, veri
tabanları belediyede olurdu). (Firma isterse, log kayıtlarına müdahale edebilir: Verileri silebilir, ekleyebilir, düzeltebilir. Ancak Bu sıkıntı çıkarır:
Bu sefer, Sampaşın verileriyle, belediyenin verileri uyumsuz olur)
Ör: Emlak vergisi servisinin kullandığı modül:
Emlak beyanı log kaydı:
Log kayıtlarında sütunlar kullanılır.
Her satır, bir adet işlemi ayrıntılı olarak gösterir.
Her sütun, o işlemin ayrıntısını verir. Ör:
Sicil no satırında:
Bir sütun: Yılı
Bir sütun: İşlem tarihi
Bir sütun: Mahalle
Bir sütun: Cadde
Bir sütun: Ada no
Bir sütun: Parsel no
Bir sütun: Mülkün iktisap tarihi
Bir sütun: m2 si
Bir sütun: Değeri
Sütun adlarında veya satırda, ingilizce kelimeler, (U) veya (D) gibi kısaltmalar kullanılıyor.
Bunların ne anlama geldiği, firmaya sorulur.
Ör: Sütun adı: L_TURU: D (Delete-Silme işlemi yapılmış)
==0
076-soru-Bilişim sistemiyle ilgili personelin istihdam biçimi:
.. adet 657.s.K.m4/A
.. adet 657.s.K.m4/B
.. adet 657.s.K.m4/D
… adet firma personeli
077-Firma personeli varsa: Bu kişilerin sisteme giriş yetkileri var mıdır?
078-soru-Yetkileri varsa:
1-Bu kişiler için, ihaleden sonra güvenlik soruşturması yapıldı mı?
2-Bu personelle gizlilik sözleşmesi yapıldı mı?
3-Yapıldıysa sözleşmeyi gönderiniz.
==0
081-Sistemi kullanan personelde görev değişikliği olduğunda veya işten ayrıldığında, sisteme erişim haklarının güncellenmesi/iptal edilmesi,
anahtar ve kimliklerinin alınması konusunda yazılı bir düzenleme var mı?
082-Yönetici haklarına sahip personelin (ayrıcalıklı kullanıcıların) işlemleri kaydediliyor mu? Bu konuda yönetime rapor veriliyor mu?
083-ISO 9001 Kalite Yönetim Sistemi sertifikası alındı mı?
084- ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası alındı mı?
(Bu standart, bilgi güvenliğini içeriyor. Bu sertifikayı alan kurum, bilgi güvenliğini sağlamış olur)
KURUMUN VERİ GÜVENLİĞİNDEN ÜÇÜNCÜ KİŞİLER SORUMLU İSE;
085-Bu kişiler kurum tarafından denetleniyor mu?
086-Bu kişilerin verileri uygun şekilde yedekleyip yedeklenmediği, kontrol ediliyor mu?
087-Bu konularda, yapılan sözleşmede hükümler var mı?
088- Kamu kurumları dışındaki firmalara veri alıp gönderiliyorsa cevaplayınız:
Sağlıklı veri transferi için yazılı bir düzenleme ve iletişim protokolü var mı?
BİLGİ:
Kurum, özel / kamu kurumuyla anlaşma yapıyor,
veri alıp, gönderiyor.
Ör:
1-Hitit Üniversitesi, kamu kurumlarına veri gönderip alıyor:
yök-yöksis
mernis-nüfus
ösym-öğrenci web servisi
özel firmalarla veri transferi anlaşması yok.
2-Belediye bir firma veya kurumla anlaşma yaparak, veri alıp, gönderirse, bunun kurallarını belirlemelidir.
Kurum, verilerin transferinde ağ yapıları, disketler veya diğer taşıma araçları kullanıldığında, transferin elektronik imza ve veri şifreleme
yöntemleri kullanılarak hem tam hem de doğru biçimde yapıldığından emin olmak zorundadır. Verinin ağ yapısı ile iletiminde, iletilen verinin
formatının belirlenmesi ve otomatik hata belirleme ve doğrulama olanaklarını içeren bir iletişim protokolünün olması gerekmektedir.
3-ör: Takbis: Veri alma-gönderme yok,
4-ör: KBS: İlgili kurumun kendi sistemine giriliyor. Bu sistemler, yukarıdaki soruyla ilgili değil.
==0
089- Sisteme giriş kodları düzenli olarak değiştiriliyor mu?
090-Bir firmadan veri merkezi hizmeti alınıyorsa firma merkezinin adresi?
DENETİM: Firma merkezinin yurt dışında olması bir risktir.
091- Bulut hizmeti kullanılıyor mu?
Bir firmanın bulut hizmetini kullanıyorsanız, o firmanın BTK (Bilgi Teknolojileri ve İletişim Kurumu) izin belgesini veriniz.
DENETİM: Firma merkezinin yurt dışında olması bir risktir.
Bilişim sistemi konusunda bir firmadan hizmet satın alınıyorsa:
Bilişim sistemi konusunda firmadan hizmet satın alınması:
-güç kaynakları bakım-onarımı
-sistem odasının yangın söndürme sistemi, klima, ısı, nem, duman, gaz basıncı bakım onarımı, (erken uyarı sistemi)
-bilgi depolama ünitelerinin bakım onarımı,
-personel bilgi yazılımıyla ilgili sorunlarda,
-bilimsel araştırma projesi yazılımıyla ilgili sorunlarda,
==0
092-Aşağıdaki tabloyu doldurunuz:
BİLİŞİM SİSTEMİ
ARIZASININ ADITARİHİ SAATİ
FİRMANIN
MÜDAHALE
TARİHİ
MÜDAALE SAATİ
093-Arıza tespit ve giderilmesiyle ilgili belgeleri elektronik olarak veriniz.
094-Firmayla yapılan sözleşmede sorunun çözülmesiyle ilgili hükümleri elektronik olarak veriniz.
==0
Bir firma ile bir program (yazılım) yapma veya mevcut yazılımı geliştirme konusunda bir sözleşme yapıldıysa:
095-Patent hakkı (kaynak kod) kime aittir?
==0
096-Bu konuda varsa sözleşme hükmünün elektronik olarak verilmesi.
097-099: Boş
ŞİFRE BELİRLENMESİYLE İLGİLİ SORULAR:
100-Sistem 1,2,3,4 gibi ardı ardına takip eden rakam ve harfleri şifre olarak kabul etmekte midir?
BİLGİ: Bir şifre kaç ayda kırılır?
https://howsecureismypassword.net/
Enter password
==0
102-Sunucu, veri depolama ünitesi, güvenlik duvarı gibi cihaz/ yazılım alındıktan sonra fabrika çıkış şifresi değiştiriliyor mu?
103-Her sistem kullanıcısına özel ve kendisi tarafından tanımlanmış bir şifresi var mıdır?
104- Bu şifrelerin belirli aralıklarla değiştirilmesini zorunlu kılan düzenlemeler var mıdır?
BİLGİ:
Bir şifrenin aylarca, yıllarca kullanılması risktir.
105- Şifre değiştirirken; (eski şifre) (yeni şifre) (yeni şifre tekrarı) kısımlarından oluşuyor mu?
(Yeni şifre belirlenirken sistem, eski şifreyi istiyor mu?)
106- Kurumun kullanıcı şifreleriyle ilgili yazılı politikası var mı? (Biçim, parola değişikliği, alfabetik veya sayısal karakterlerin kullanılması,
gizlilik, yeniden kullanılabilirlik, ortak şifre kullanılması, şifre paylaşımı, acil durum şifrelerinin kullanılması, tek yönlü veri şifrelemesi
konularında belirlenmiş bir politika var mıdır?
BİLGİ:
Sunucunun kendisinde şifreleme politikası var. İstenirse aktif hale getirilir ve şifreler daha güvenli yapılabilir.
107-Belirli sayıda başarısız şifre denemesinden sonra sistem, o şifrenin kullanımını devre dışı bırakıyor mu?
108-Sisteme girişte, başarısız şifrelerde sınır var mı?
BİLGİ:
Bu özellik yoksa log kayıtları şişer.
Her hareketin log kayıtları tutulduğundan, başarısız şifreleme hareketleri log kayıtlarını şişirir, sistemi yavaşlatır veya çökertir. Ayrıca robot,
yüzlerce kez şifre girebilir.
(EBYS-de var: şifre beş defa yanlış girilirse kullanıcı adı pasif olur)
==0
109- Kullanıcı şifreleri, şifre dosyalarında kodlanarak korunuyor mu?
110-Sistem yöneticisi şifreleri biliyor mu?
111- Yazılan şifrenin ekranda görünmemesi sağlandı mı?
BİLGİ:
Şifrenin ekranda görünmesi risktir. Ekran okuma yazılımı vardır.
112-Sistem, aynı şifre ile aynı anda birden fazla giriş yapılmasına izin veriyor mu?
113-Sisteme şifre ile giriş yapıldıktan sonra, sistem açık bırakılarak belirli bir süre kullanılmadığında, sistem otomatik olarak kapanıyor mu?
BİLGİ:
Sistemin belli bir süre kullanılmadığında, otomatik olarak kapanmasının şu zararı vardır:
Personel, veri girişi yaptı ve kaydetmeyi unuttu.
Sistem otomatik kapanınca, sadece Word, Excell dosyasında otomatik kurtarma vardır. Autocad vs programda çalışılırken, sistem kapanınca
veriler kaybedilebilir.
==0
114- İşletim sistemine, veri dosyalarına ve uygulamalara erişimin kısıtlanması için mantıksal erişim kontrolleri kullanılıyor mu?
115-Kullanıcıların, yetki ve sorumluluklarına bağlı olarak, sisteme erişimleri sınırlandırılıyor mu?
116-Belirli bir uygulama içerisinde çalışması gereken personelin, diğer uygulamalara erişimi engelleniyor mu?
117-Sisteme erişim ayrıcalıkları tam olarak tanımlandı mı?
118-Bilişim sistemi yöneticisi, işletim hatalarını ve erişim ihlallerini düzenli olarak takip ediyor mu?
119-Bu hata ve ihlalleri kaydediyor mu?
120-Ve bunları yazılı olarak yönetime verip, bilgilendiriyor mu?
121-Görev yeri değişen veya kurumdan ayrılan personelin sisteme erişim yetkileri, derhal kaldırılıyor mu?
122-Kurumun Bilişim Stratejik Planı var mıdır?
123-Stratejik planlamayla ilgili bir kurul oluşturuldu mu?
124-İç denetim birimi tarafından bilişim sistemi denetlendi mi?
125-6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki kişisel verilerin işlenmesi, saklanması ve imhası hükümleri uygulanıyor mu?
126-Bilgi Güvenliği Yönetim Sistemi (BGYS) sertifikası alındı mı?
127-Bilgi Güvenliği Sorumlusu atandı mı? Atandıysa ismi?
128-Bilişim sistemi, veriler, yazılımlar, donanım vs bütün bilgi varlıkları, güvenlik ihtiyacına göre, önem, hassasiyet veya başka açılardan
sınıflandırıldı mı?
129-
131-Kurumun yaptığı, patent hakkı kendisine ait olan yazılımların listesi, (elektronik olarak)
Listede;
Yapım tarihi,
Yazılımın, hangi ihtiyacı karşıladığı belirtilmelidir.
==0
132-Kurumun satın aldığı, patent hakkı kendisine ait olmayan yazılımların listesi, (elektronik olarak)
Listede;
Alım tarihi,
Yazılımın, hangi ihtiyacı karşıladığı belirtilmelidir.
DENETİMİ: Bu iki listeyi karşılaştır: Bulgu: Kurumda bir yazılım var. Geliştirilse ihtiyacı karşılayacak. Bunun yerine yeni bir yazılım alınıyor.
Kaynak israfı.
==0
BELEDİYELER İÇİN:
133-Kurumun sahip olduğu taşınmaz mallar listesinin elektronik ortamda gönderilmesi.
Bak: 1.200,00 şeklinde olmalı. Eğer 1,200.00 şeklindeyse, nokta yerine virgül varsa, bulgu konusu. (Kullanılan taşınmaz mal yazılımı, nokta
yerine virgül kullandığı için, taşınmazların değerlerini toplamak mümkün olmamaktadır)
==0
134-soru- SOME (Siber Olaylara Müdahale Ekibi) kuruldu mu?
Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ madde-4
Kılavuzdaki sorular cevaplandırılacak. Sy. 15 ten başlıyor.
Bilişim Sistemleri Denetimi Kılavuzu-Sayıştay-Ey-2019-Tıklayınız
SORULARIN SONU
