Özel Entegratör Kuruluşları Bilgi Sistemleri Denetimi

Hazine ve Maliye Bakanlığı-Gelirler İdaresi Başkanlığı tarafından 19.11.2019 tarihinde “e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu” yayınlanmıştır: https://ebelge.gib.gov.tr/duyurular.html
Yayınlanan kılavuz GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının e-Belge uygulamaları ile ilgili özel entegratörlük faaliyet ve süreçlerine ilişkin bilgi sistemlerinin Başkanlıkça bu Kılavuzda belirtilen isteklerin karşılanıp karşılanmadığına yönelik bilgi sistemleri bağımsız denetim faaliyetinin gerçekleştirilmesine ve özel entegratör kuruluşlar nezdindeki sonuçlarına ilişkin usul ve esasları belirlemek üzere hazırlanmıştır.
Mevcut durumda özel entegratörlük iznine sahip firmalara ilk denetimlerini yaptırmak üzere 31/12/2020 tarihine kadar süre verilmiştir. Firmalar ilk denetim tarihini takip eden her 2 yılda bir bilgi sistemleri süreçleri denetimi yaptırmak zorundadır.
Kılavuz ile denetim yapma yetkisi Bankacılık ve Sermaye Piyasası Mevzuatı çerçevesinde bilgi sistemleri denetimi yapma yetkisine haiz bağımsız denetim kuruluşlarına verilmiştir. “GÜRELİ Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri A.Ş.” SPK ve BDDK nezdinde bilgi sistemleri denetimi yapmaya yetkili az sayıda denetim kuruluşundan biridir. e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu’na uyum çalışmaları ve denetimi konularında sizlere destek olmak isteriz.
e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu
Kritik varlıklar ve aktörler
ÖEBSD Kılavuzu içinde Kritik varlıklar ve aktörler ile ilgili tanımlara yer verilmiştir:
- Kritik Varlıklar
Sistemde var olan ve ifşa olması veya tahrif edilmesi durumunda sistemin gizliliğini, bütünlüğünü, kaynak/kimlik doğruluğunu veya erişilebilirliğini olumsuz yönde etkileyecek varlıklardır:
- Birincil Varlıklar: Mükellef/Kullanıcı Bilgileri, İşlem Kayıtları, Güvenli Haberleşmeye Dair Parametrelerin yanı sıra e-Fatura, e-Arşiv, e-İrsaliye, e-Belge Saklama gibi Verilen Hizmetlere Ait Bilgiler
- İkincil Varlıklar: Birincil varlıkları korumak için özel entegratör tarafından kullanılan her türlü kriptografik anahtar, kullanıcı adı, erişim şifresi, HSM vb. özelleşmiş cihazlar, aktif ağ cihazları, sunucular, personel bilgisayarları ve diğer yazılımlar
- Aktörler
Yetkili Kullanıcılar ve Yetkisiz Kullanıcılar (Hacker, Siber Terörist, vb.) olarak ikiye ayrılan aktörler ile ilgili tehditler tanımlanmıştır.
Bilgi Sistemleri Yönetimi
Ayrıca aşağıdaki başlıklar altında bilgi sistemlerinde tesis edilmesi ve işletilmesi gereken kontrollere yer verilmiştir:
ÖEBSD Süreci ve Sonuçları
ÖEBSD Kılavuzunda özel entegratörün ÖEBSD’ye ilişkin sorumlulukları, ÖEBSD raporunun içeriği ve oluşturulması ve ÖEBSD raporuna bağlı olarak GİB tarafından uygulanacak yaptırımlar tanımlanmıştır.
GİB, ÖEBSD raporunun sonuçlarına göre farklı yaptırımlar uygulayabilir. Buna göre;
|
Olumlu Görüş: Rapor sonucunun olumlu olması halinde özel entegratör, varsa kendisine tebliğ edilen eksikliklerin veya iyileştirmelere ilişkin alacağı tedbirleri içeren eylem planını ve buna ilişkin faaliyetleri ve tamamlama sürelerini GİB’e 15 gün içinde bildirir. Buna uymayan özel entegratör bir yazıyla uyarılır. GİB, eylem planına ilişkin tamamlama sürelerinde değişiklik yapmaya yetkilidir.
|
|
Şartlı Görüş veya Görüşten Kaçınma: Şartlı görüş veya görüşten kaçınma halinde, özel entegratör ivedilikle bir yazıyla uyarılır ve denetimi en geç 90 gün içinde tekrarlaması istenir. Üst üste 2 kez şartlı görüş veya görüşten kaçınma olması durumunda, olumlu görüş alacağı yeni bir denetim sonucuna kadar özel entegratörün faaliyeti askıya alınır. Faaliyetin askıya alınması nedeninin 2 kez üst üste görüşten kaçınma olması durumunda, faaliyetin askıya alınma süresi 3 aydan daha kısa olamaz.
|
|
Olumsuz Görüş: Rapor sonucunun olumsuz olması halinde özel entegratörün faaliyeti ivedilikle geçici süreyle durdurulur. 6 ay içinde olumlu görüş bildiren yeni bir denetim raporunun GİB’e ibraz edilmemesi halinde özel entegratörün yetkisi iptal edilir. Özel entegratör, 6 ay içinde yaptıracağı her yeni denetime ilişkin, denetim öncesinde ve sonrasında GİB’i bilgilendirmekle mükelleftir.
|
ÖEBSD Konuları
ÖEBSD_SER: Uluslararası Sertifikasyonlar, Sızma Testi Hizmeti ve BİS Raporu Bu değerlendirme sınıfı, özel entegratörlerin sağlaması gereken uluslararası sertifikasyonların varlığı ve uygunluğu ile sızma testlerinin uygunluğunun kontrol edilmesini amaçlamaktadır.
|
|
ÖEBSD_PER: Personelin Niteliği Özel entegratörün, verdiği özel entegratörlük hizmetine uygun nitelikte ve sayıda personel istihdam edip etmediğinin kontrol edilmesini amaçlamaktadır.
|
|
ÖEBSD_SIS: Sistem ve Güvenlik Değerlendirme Sınıfı Özel entegratörlerin bilgi sistemlerinde uyması gereken alt yapının, sistem mimarisi ve benzeri her türlü fiziki unsur ile iş sürekliliğinin temininin, gerekli güvenlik ve risk değerlendirme süreçlerinin oluşturulmasının, işletilmesinin, değişiklik yönetiminin, denetim izlerinin oluşturulmasının ve dışarıdan hizmet alınması durumundaki gerekliliklerin kontrol edilmesini amaçlamaktadır. |
|
|
ÖEBSD_SIS.1 Fiziki Şartlar ve Güvenlik Tedbirleri: Özel entegratörün sağlaması gereken uluslararası sertifikasyonları varlığı ve uygunluğu ile sızma testlerinin uygunluğu kontrol edilecektir.
|
|
ÖEBSD_SIS.2 Erişim Güvenliği: Özel entegratörün bilgi sistemlerinin sağlaması gereken fiziki ve elektronik erişim güvenliği kontrol edilecektir. |
|
ÖEBSD_SIS.3 İş Sürekliliği, Risk Yönetimi ve Acil Durum Planları: Özel entegratörün “İş Sürekliliği, Risk Yönetimi ve Acil Durum Planları” kurallarına uygunluğu kontrol edilecektir. |
|
ÖEBSD_SIS.4 Değişiklik Yönetimi: Özel entegratörün “Değişiklik Yönetimi” kurallarına uygunluğu kontrol edilecektir. |
|
ÖEBSD_SIS.5 Denetim İzleri Yönetimi: Özel entegratörün “Denetim İzleri Yönetimi” kurallarına uygunluğu kontrol edilecektir. |
|
ÖEBSD_SIS.6 Dış Hizmet Sağlayıcılarının Yönetimi: Özel entegratörün “Dış Hizmet Sağlayıcılarının Yönetiminin” kurallara uygunluğu kontrol edilecektir. |
|
ÖEBSD_SIS.7 Hizmet Yazılımlarına İlişkin Kontroller: Özel entegratörün hizmetlerinde kullandığı uygulama yazılımlarının, ilgili GİB kılavuzları, e-Fatura, e-Saklama, e-Arşiv, e-İrsaliye, e-Defter ve e-imza standartları ve hizmetin akışına uygun normları taşıyıp taşımadığı kontrol edilecektir. |