Başkanlığımız tarafından Kurumsal Bilgisayar Tanımlama Sistemi (KBTS) işlemleri 02.01.2023 tarihi itibariyle başlamıştır. Üniversitemizde uygulanmaya başlanan Kurumsal Bilgisayar Tanımlama Sistemi (KBTS) öncelikle Bilgi İşlem Daire Başkanlığımızda uygulanmaya başlamış, gerekli testler yapılmış ve sorunsuz olarak kullanılmaktadır.
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Genelgesi ve ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Kapsamında Üniversitemiz birimlerinde kullanılan bilgisayarların Kurumsal Bilgisayar Tanımlama Sistemi (KBTS) tanımlanması işlemleri yapılacaktır.
Kurumsal Bilgisayar Tanımlama Sistemi İle İlgili Sıkça Sorulan Sorular
- Etki alanı (KBTS) nedir?
Etki alanı (KBTS) bir veri tabanıdır. Etki alanı sayesinde kullanıcılar ağ kaynaklarına kendi yetkileri dâhilinde erişim sağlarlar. Etki alanı kullanıcıların kurumsal kimlik bilgilerini tutar. Merkezi veri tabanında tutulan bu şifrelenmiş kullanıcı adı ve parola bilgileri ile kullanıcılar kurumsal tüm servislere (EPOSTA, PC, Kablosuz Ağ gibi vb.) tek hesap ile giriş yapabilmektedirler. Örnek olarak günümüzde güvenliği en üst noktada tutmaya çalışan bankalar dahil bu sistemi kullanmaktadırlar.
- Etki alanının (KBTS) avantajları nelerdir?
Etki alanı ile aynı zamanda kurumsal güvenlik politikaları merkezi olarak bilgisayarda uygulanabilmektedir. Etki alanı içindeki kullanıcılar sadece yetkilendirildikleri kaynaklara erişebilirler. Ayrıca iş birliğini kolaylaştırmak için diğer kullanıcılarla paylaşılabilecekleri paylaşım klasörleri merkezi bir havuzda depolanır ve iş sürekliliğini sağlamak için Bilgi İşlem ekipleri tarafından uygun şekilde yedeklenir. Kullanıcının göz ardı etmiş olduğu güvenlik politikaları direkt olarak uygulanır. Günümüzde açığı çıkan zafiyetler ile ilgili güncelleştirmeler otomatik olarak bilgisayarınıza yansır.
- Etki alanına (KBTS) katılmada kanuni zorunluluk var mı?
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 GENELGE ’sinin 9. 10. 15. Maddesine göre ve Dijital Dönüşüm Ofisinin yayınlamış olduğu BİLGİ ve İLETİŞİM GÜVENLİĞİ REHBERİ ’nin 3. Maddesi ve Kastamonu Üniversitesi Bilgi Güvenliği Politikaları, Üniversitemiz Senato'sunun 18.10.2023 tarihli toplantısında 2023/25-02 sayılı kararı ile demirbaşa kayıtlı olan tüm kamu bilişim ürünlerinin domaine katılma zorunluluğu bulunmaktadır.
- Bilgisayarları Etki alanına (KBTS) dâhil olan başka kamu kurumları var mı?
Bu hususta örnek verilebilecek birçok devlet kurumu ve üniversite mevcuttur. Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi önderliğinde T.C. Cumhurbaşkanlığı, Bakanlıkları ve Bağlı Kamu Kurumlarının tamamı, YÖK, Bankalar ve birçok üniversite bu sistemleri aktif olarak kullanmaktadır. Yurt dışında ise; neredeyse tüm üniversiteler, orta ve büyük ölçekli işletmeler ve tüm kamu kurumları tarafından kullanılmaktadır.
- Bilgisayarım neden Etki alanına (KBTS) dâhil olmalı?
Madde 2’deki avantajlardan yaralanmak için ve Madde 3’teki kanuni zorunluluklardan dolayı domaine dahil olmalısınız.
- Bilgisayarımı Etki alanından (KBTS) ayrılabilir miyim?
Madde 3’de belirtilen kanuni zorunluluklardan dolayı bilgisayarınız domainden ayrılamaz. Aksi durumda oluşabilecek tüm güvenlik zafiyetlerinden ve yasal gereklilikler nedeniyle oluşabilecek tüm zararlardan sorumluluk durumu söz konusu olacaktır.
- KBTS’ye dahil olduktan sonra bilgisayarım başkaları tarafından izlenebilir hale mi gelecek?
Hayır. Domaine dahil edilen bilgisayarlar tarafımızca sadece demirbaş tahsisi yapılan kişi tarafınca oturum açabileceği şekilde yapılandırılmaktadır. Bu nedenle o kişi haricinde kimse o bilgisayarda oturum açıp evraklara vb. öğelere erişim sağlayamaz. Ortak alan ve ortak kullanılan kurumsal bilgisayarlarda tüm kullanıcıların oturum yetkisi bulunmaktadır. Bu tür bilgisayarlarda kişisel veri, idari ve akademik çalışmalara ait bilgiler barındırılmamalıdır. Bu ortak kullanımdaki cihazlar domain yapılandırması ile veri barındırmayacak şekilde yapılmıştır. Bu husustaki izlenebilirlikten kasıt ağ trafiğinin izlenmesi ise 5651 sayılı kanun gereğince internet trafiğiniz zaten zorunlu ve sürekli olarak kayıt altına alınmaktadır.
- Cumhurbaşkanlığı Dijital dönüşüm Ofisinin Bilgi ve İletişim Güvenliği Rehberi konulu yazının kapsamı nedir?
Bu rehberde alınması gereken tedbirler belirtilmektedir. Bu tedbirler Donanım Envanterinin Yönetimi, Kurum Ağı Bağlantı Noktalarında Kimlik Denetimi Yapılması, Zararlı Yazılımların Engellenmesi, Son Kullanıcıların Yetkisiz Program Ekleme/Kaldırma İşlemlerinin Engellenmesi, İşletim Sistemlerinin Güvenlik Mekanizmalarının Etkinleştirilmesi, Zararlı Yazılımdan Korunma Uygulamalarına Ait Kayıtların Merkezi Olarak Tutulması, kimlik doğrulama ve Kullanıcı yetkilerinin güncellenmesi şeklinde devam etmektedir. Mevcut ağ ve sistem alt yapımız göz önünde bulundurulduğunda ve diğer kamu kurumlarındaki bu tür mevcut yapılar incelendiğinde rehberde listelenen bu tedbirlerin uygulamaya alınabilmesi domain sistemi ile mümkündür.
- Akademik çalışmalarıma başkaları erişebilecek mi?
KVKK (Kişisel Verileri Koruma Kanunu) ve ilgili kanunlar gereği ile herhangi bir veriye erişmesi söz konusu değildir. Kişisel nitelikli verilere erişimi ve kullanılması halinde 5237 sayılı Türk Ceza Kanunu uyarınca adli para ve hapis cezaları öngörülmektedir.
- Bilgi İşlem Daire Başkanlığı domainde mi ve hangi birimler domaine alındı?
Bilgi İşlem Daire Başkanlığı ve tüm İdari Birimlerde çalışan tüm personeller domaine dâhil edildi.
- 5651 Sayılı kanuna göre gerçekleştirilen kayıt altına alma işlemi nasıl yapılmaktadır?
İlgili kanun gereğince iç ağımıza bağlanan cihazların ip adresi bilgilerinin kullanıma verilmesinden itibaren başlama ve bitiş tarihleri ve kullanan kişinin bilgilerinin eşleştirilmesiyle saklanmasını kapsamaktadır. Saklanan bu dosyalar zaman damgası ile imzalanmakta ve bu kayıtlar 2 Yıl süre ile saklanmaktadır.
- Cumhurbaşkanlığı Bilgi ve İletişim Tedbirleri Genelgesince yapılması gereken işlemlerin yerine getirilmemesi söz konusu olabilir mi? Yasal süreç nasıl işler? Sorumluluklar nelerdir?
Hayır. 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Konulu T.C. Cumhurbaşkanlığı Genelgesi içerisinde belirtilmekte olan “Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, rehberde yer verilen usul ve esaslara uyulması zorunludur. Mevcut bilgi teknolojisi alt yapıları güvenlik seviyesi öncelikleri dikkate alınarak yayımlanmasına müteakip rehberde yer alacak plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir.” İbaresi gereğince bu işlemlerin yerine getirilmesi zorunludur.