KVKK ve GDPR kapsamında firmaların mevcut durum analizi üzerine bir inceleme
Yükleniyor...
Dosyalar
Tarih
2020
Yazarlar
Dergi Başlığı
Dergi ISSN
Cilt Başlığı
Yayıncı
İstanbul Ticaret Üniversitesi
Erişim Hakkı
info:eu-repo/semantics/openAccess
Özet
ÖZET Bu tez, firmaların bilgi teknolojileri altyapılarına yönelik KVKK ve GDPR kapsamına uyum sürecinde aldıkları aksiyonlar doğrultusunda mevcut durumlarını analiz etmek ve elde edilen analizler doğrultusunda firmaların bilgi güvenliği farkındalıklarını, KVKK ve GDPR hakkındaki bilgi düzeylerini ve bilgi varlıklarını koruma maksadıyla aldıkları çözüm önerilerini saptamak amacıyla oluşturulan bir anket çalışmasını içermektedir. Detaylı olarak bahsetmek gerekirse, söz konusu çalışma kapsamında Türkiye’de birbirinden farklı 38 firmadan 38 bilgi teknolojileri altyapı ve güvenlik alanında yetkili uzmanlar ile görüşmeler yapılmıştır. Bu görüşmeler 3 farklı nokta odak alınarak gerçekleştirilmiştir. İlk olarak, görüşülen yetkili kişilerin bilgi güvenliği farkındalık seviyelerini ölçmeye yönelik sorular yöneltilmiş daha sonra KVKK ve GDPR hakkında sorular sorularak bu uyum süreçleri hakkındaki bilgi düzeyleri ölçülmeye çalışılmıştır. Son olarak; firmaların uğradıkları saldırılar ve bu saldırılara karşı aldıkları güvenlik önlemleri saptanmak istenmiştir. Anahtar Kelimeler: BGYS, bilgi güvenliği, GDPR, ISO 27001, KVKK, sızma testleri. ABSTRACT This thesis, contains a questionnaire study that is aimed to analyze firms’ current situation in the direction of actions that they take during orientation period in the scope of KVKK and GDPR towards their Firms’ Information Technologies Infrastructures and to determine towards the result of analysis, Firms’ Information Security Awareness, their knowledge level and the solution suggestions to secure information assets about KVKK and GDPR. In detail, within the mentioned study, interviews are done with 38 qualified personnel from Information Technologies Infrastructures and Security Areas of 38 different companies. These interviews were focused on 3 different focal points. Firstly, questions enquired to measure the information security awareness levels of the persons who are authorized. Then, questions about the KVKK and GDPR are asked to them, in order to see their knowledge levels about the adaptation process. Lastly, it is aimed to determine the attacks that companies faced, and the security measures taken against those attacks. Keywords: GDPR, KVKK, information security, ISMS, ISO 27001, penetration tests. İÇİNDEKİLER İÇİNDEKİLER . i ÖZET . ii ABSTRACT . iii TEŞEKKÜR . iv ŞEKİLLER. v ÇİZELGELER. viii KISALTMALAR . ix 1. GİRİŞ . 1 2. LİTERATÜR ÖZETİ . 3 3. KURUMSAL BİLGİ GÜVENLİĞİ . 6 3. 1 Kurumsal Bilgi Güvenliğine Yönelik Tehditler. 7 3. 1. 1. İnsan kaynaklı tehditler: . 7 3. 1. 2. Doğa kaynaklı tehditler: . 11 3. 2 Kurumsal Bilgi Güvenliğine Yönelik Alınabilecek Önlemler . 11 3. 2. 1. Teknolojik önlemler . 11 3. 2. 2. Yetkilendirme denetimi. 14 3. 2. 3. Eğitim ve farkındalık. 14 3. 2. 4. Yönetsel önlemler . 14 3. 2. 5. Yedekleme ve felaket kurtarma merkezi . 14 4. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS). 16 4. 1. BGYS Kurulumunda Yapılması Gerekenler. 17 5. KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) ve GENEL VERİ KORUMA YÖNTEMLERİ (GDPR) . 20 5. 1. Kişisel Verilerin Korunması Kanunu . 20 5. 1. 1. Birinci bölüm . 20 5. 1. 2. İkinci bölüm . 21 5. 1. 3. Üçüncü bölüm . 23 5. 1. 4. Dördüncü bölüm . 24 5. 1. 5. Beşinci bölüm . 24 5. 1. 6. Altıncı bölüm . 25 5. 1. 7. Yedinci bölüm. 25 5. 2. Genel Veri Koruma Yöntemleri . 25 5. 2. 1. Birinci bölüm . 25 5. 2. 2. İkinci bölüm . 25 5. 2. 3. Üçüncü bölüm . 26 5. 2. 4. Dördüncü bölüm . 26 5. 2. 5. Beşinci bölüm . 26 5. 2. 6. Altıncı bölüm . 26 5. 2. 7. Yedinci bölüm. 27 5. 2. 8. Sekizinci bölüm . 27 5. 2. 9. Dokuzuncu bölüm . 27 5. 2. 10. Onuncu bölüm . 27 5. 3. KVKK ve GDPR Arasındaki Temel Farklar. 27 6. SIZMA TESTLERİ . 29 6. 1. Sızma Testlerinin Amaçları . 29 6. 2. Sızma Testinde Kapsam Yaklaşımları. 29 6. 3. Sızma Testi Saldırı Türleri . 30 6. 3. 2. İkinci Yaklaşım. 31 6. 4. Sızma Testleri Aşamaları . 31 6. 4. 1. Planlama . 31 6. 4. 2. Bilgi toplama . 32 6. 4. 3. Zafiyetlerin bulunması. 32 6. 4. 4. Zafiyetlerin kullanılması . 32 6. 4. 5. Raporlama. 32 6. 5. Sızma Testlerinde Kullanılan Araçlar . 32 6. 5. 1. Bilgi toplama araçları . 33 6. 5. 2. Tarama araçları . 33 6. 5. 3. Zafiyet tarama araçları. 34 6. 5. 4. Zafiyet kullanma Araçları . 36 6. 6. Sızma Testlerinde Kullanılan Standartlar ve Klavuzlar. 36 6. 6. 1. OSSTMM (The Open Source Security Testing Methodology Manual) . 37 6. 6. 2. NIST (National Institute of Standarts and Technology) . 37 6. 6. 3. OWASP (The Open Web Application Security Project) . 37 6. 6. 4. ISACA (Information Systems Audit and Control Association) . 38 6. 6. 5. PTES (Penetration Testing Execution Standart) . 38 6. 6. 6. ISSAF (Information Systems Security Assessment Framework) . 38 6. 6. 7. FEDRAMP(The Federal Risk and Authorization Management Program)……………………………………………………………………………. …. 33 7. BULGULAR . 40 7. 1. Sektör Bazlı Yaklaşım . 40 7. 2. Kurumlarda BGYS Bulunan Firmalara Yönelik Yaklaşım. 71 7. 3. KVKK ve GDPR Kapsamında Kişisel Veri Kavramına Yönelik Yaklaşım . 89 7. 4. Sızma Testi Yaptıranlara Yönelik Yaklaşım . 107 8. SONUÇ VE ÖNERİLER ……………………………………………………………………. 123 KAYNAKLAR . 127 ÖZGEÇMİŞ…………………………………………………………………………………………. 130
Açıklama
Tez (Yüksek Lisans) -- İstanbul Ticaret Üniversitesi -- Kaynakça var.
Anahtar Kelimeler
Bilgisayar güvenliği, Veri koruma, Bilgisayar ağları_Güvenlik önlemleri, Bilgi otobanı_Güvenlik önlemleri, Computer security, Data protection, Computer networks_Security measures, Information superhighway_Security measures
