Loglar “3–10 Yıl Süreyle Denetime Hazır Bulundurulur”
Aşağıda BDDK ve TCMB tebliğleri açısından canlı logları inceleyeceğiz.
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) Bilgi ve belge saklamaya ilişkin diğer mevzuat hükümleri saklı kalmak kaydıyla denetim izleri asgari 3 yıl süreyle denetime hazır bulundurulur ve yedek alınması suretiyle, yaşanacak olası felaketler sonrasında da erişilebilir olmaları temin edilir.
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ”
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır.
Denetime hazır 10 yıl diyor.
Çalışanlarla ilgili özlük dosyasın 10+1 yıl (Çalışana ait şirket içindeki internet aktivitesi veya kaynak erişimleri de özlüğe dahildir) tutulması gerekliliğini bu noktada hatırlamak gerekir.
KVKK:
Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları: En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl
KVKK kapsamında veri silme logları için 3 yıl (3+1 yıl) gerekliliğini de vurgulamak gerekir.
5651 Sayılı Yasa:
2 Yıl
Aşağıda TCMB ve BDDK tebliğlerinin loglarla ilgili maddelerine dikkatlice bakılırsa:
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) 3 yıl süreyle denetime hazır bulundurulur
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞİ”:
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır
TCMB ve BDDK ise 3 yıl süreyle denetime hazır bulundurulur diyor. Yani TCMB ve BDDK 3 yıl saklanır demek yerine 3 yıl süreyle denetime hazır bulundurulur diyor. Sizce fark nedir? “Saklanır” ile “denetime hazır tutulur” arasında bir fark olduğu açık değil mi?
Burada logların denetim sırasında makul sürede gelmesini isteyen denetmenler olduğu gibi buna dikkat etmeyenler de olabiliyor. Mesela ben “Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ” içerisindeki 3 yılı canlı üç yıl olarak isteyen denetim süreçlerine tanık oldum.
Ayrıca denetim sırasında şirketlerin uygulamak istedikleri pratikler var. Mesela Sermaye Piyasası Kurulu denetimi son1 yılı kapsadığı için ve o 1 yıldan rastgele günler seçildiği için, log arşivdeyse geri yükleme vs. ile uğraşmamak için bazı firmaların Teftiş birimi 1 yıllık log canlıda olsun, hızlıca cevap verelim diyor denetim taleplerine.
Ayrıca GDPR, PCI, Basel II, HIPAA, SOX, NISPOM, CISP gibi uluslararası pek çok regülasyon da logların 1 ila 7 yıla kadar saklanması gerektiğini söylüyor. Bunlardan PCI bunu ayırmış mesela ve 90 gün canlı olmalı sonrasını nasıl istersen öyle derken diğerleri canlı veya arşiv diye ayırmadan süre belirtmiş.
Bildiğiniz gibi canlı loglar her an elinizin altında ve ne sorsanız hemen cevap alabileceğiniz loglardır.
Arşiv loglar ise bir eti derin dondurucuda, buzda beklettiğinizi düşünün, işte arşiv loglar etin o hali gibidir. İşinize yaraması için mutlaka arşivden açılması gerekir. Yani etin dondurucudan çıkması, buzunun çözülmesinin beklenmesi gerekir ki bu loglarda bazı durumlarda haftalar sürebilir (Mesela son 6 ayın tamamını içeren arama ve raporlarda).
O zaman ikinci soruyu sormanın vakti geldi. O zaman neden loglar devamlı canlıda durmuyor? Bunun nedeni ihtiyaç duyulan disk miktarının büyüklüğü. Bu yüksek disk kullanımı probleminden kurtulmak için loglar birkaç ay sonra arşive kaldırılır.
Dolayısı ile bir SIEM veya içinde Bir SIEM olan hizmet alırken şu sorular sorulması gereken kritik ama atlanan sorulardır.
🔵 Logları 1 yıl canlıda tutabiliyor muyuz?
🔵 Eğer bir yılı canlıda tutulabiliyorsak 1 yıl için toplamda ne kadar disk kullanıyoruz?
Eğer birkaç aydan sonrası arşivde ise:
🔵 Arşivden 1 günü aramak ne kadar sürüyor?
🔵 Arşivden 1 haftayı aramak ne kadar sürüyor?
🔵 Arşivden 1 ayı aramak ne kadar sürüyor?
🔵 Arşivden 6ayı aramak ne kadar sürüyor?
🔵 Arşivden 12 ayı aramak ne kadar sürüyor?
