Loglama sistemimiz 5651 sayılı kaunun zorunluluklarını yerine getirmektedir.
5651 Sayılı Kanun Nedir?
Tam adı "İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN" olan 5651 sayılı kanun 2007 Mayıs ayında yürürlüğe girmiştir. Kanunun amacı giderek daha yaygın kullanıma ulaşan İnternet servislerinin denetlenmesi yoluyla İnternet üzerinden zararlı içeriklerin yayılmasının engellenmesidir. Kanun bu amaçla yalnızca yer sağlayıcılarına (sunucu/hosting işletmeleri) ve içerik sağlayıcılarına (İnternet sitesinin içeriğinden sorumlu olan gerçek ve tüzel kişiler) değil, toplu kullanım sağlayıcılarına(insanların internete erişimlerini sağlayan gerçek/tüzel kişiler) da ticarî amaçla olup olmadığına bakılmaksızın sorumluluklar yüklemektedir.
Yasanın Kurumlara Getirdiği Yükümlülükler Nelerdir?
Yalnızca İnternet Cafe gibi toplu erişim sağlayarak ticari kazanç sağlayan işletmeler değil personelinin İnternet erişimi olan tüm kurum ve kuruluşlar bu yasayla belli yükümlülüklere uymak zorundadır. Kurumların uyması gereken yükümlülükler 7. maddenin 2. fıkrasında aşağıdaki gibi açıklanmıştır:
Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
5651 Sayılı Kanunla İlgili Önlemler Ne Kapsamda Alınmalıdır?
Bu kanun kapsamında kamu kurumlarının ve işletmelerin kesin bir yükümlülükleri vardır. Kurumlar
1. Personelinin İnternet erişimini denetleyebilmeli
2. Suç oluşturan zararlı içeriğin olabildiğince filtrelenmesini sağlamaya gayret göstermeli
3. Personelin İnternet etkinliğini kayıtlarda tutabilmeli (loglama) ve bu kayıtlarda(loglarda) ayrıntılı arama yapabilmelidir
Burada 3. madde yani loglama zorunluluğu kanun içerisinde açıkça belirtilmese de 7. madde 2. fıkranın bir yorumuyla fiilen(de facto) uygulanmaktadır. Ayrıca kurumun 1 yıl boyunca silinmeyecek kayıtlarla İnternet kaynağını kullanan gerçek kullanıcıları bilebilmesi gerekmektedir.
Hangi Önlemleri 5651 Kapsamında Almak Gerekli Değildir?
Kurumsal sistem güvenlik ve denetleme yazılımı denince akla gelebilecek aşağıdaki önlemler yasanın kapsamında değildir. Bunların alınması yalnızca kurumun bilgi güvenliğiyle ilgili yüksek hassasiyeti olması durumunda gerekli olabilir.
- HTTP yani normal internet sitelerinin gezilmesi dışında diğer ağ protokollerinin (SMTP:e-posta, XMPP:sohbet gibi) denetlenmesi. Kanun İnternet yoluyla yayınlanan bilgilere erişimin sınırlanması yükümlülüğünü getirmiştir. Kişilerin İnternet yoluyla kurduğu iletişiminin kayıt altına alınması kanun kapsamında değildir. Yani personelin e-posta(email) ya da sohbet(chat) yoluyla kurum içinde ya da dışındaki insanlarla kurduğu iletişimin denetlenmesi ya da denetlenmemesi kurumun iç işleyişiyle ilgili alması gereken bir karardır.
- Personelin kurum içindeki kişisel bilgisayarındaki etkinliklerinin denetlenmesi, loglanması ve kısıtlanması da kanun içinde değildir. Yani;
- Yazıcıda çıktı alınan dosyaların adlarının bilinmesi
- Kişi başına yazıcıdan çıktı alma miktarının bilinmesi
- Tarama(scan etme) logları tutulması
- USB diske kaydedilen dosyaların adlarının bilinmesi
- Windows sistemlerin denetlenmesi ve kısıtlama konulması:
Kullanıcı hesaplarının merkezi denetlenmesi
- Dosya paylaşımlarının merkezi denetlenmesi
- Windows bileşenlerinin kurulumunun kısıtlanması ve loglanması
- Program kurulumunun kısıtlanması ve loglanması
gibi kurumsal güvenlik yazılımını ilgilendirebilecek özelliklerin 5651 Sayılı Kanun çerçevesinde öne sürülecek çözümler içerisinde değerlendirilmesi uygun değildir.
