Önceki Ders

Düzenleyici yapı

İlgili Düzenlemeleri ve Standartları Anlamak Olay raporlamaya ilişkin düzenleyici çerçeve, sektöre ve yetki alanına göre değişir. Ancak tüm olay raporlama gereksinimleri için geçerli olan bazı genel ilkeler vardır. Bu ilkeler şunları içerir:
  • Zorunlu raporlama: Belirli türdeki olaylar, olayın ciddiyetine bakılmaksızın uygun yetkililere rapor edilmelidir. Örneğin Amerika Birleşik Devletleri'nde kritik altyapıyı etkileyen tüm siber saldırıların Siber Güvenlik ve Altyapı Güvenliği Ajansı'na (CISA) bildirilmesi gerekiyor.
  • Zamanında raporlama: Olayların belirli bir zaman çerçevesinde, genellikle olayın keşfedilmesinden sonraki 72 saat içinde rapor edilmesi gerekir.
  • Doğru raporlama: Olay raporları doğru ve eksiksiz olmalı ve olayla ilgili tüm bilgileri içermelidir.
  • Gizlilik: Olay raporlarının kişilerin mahremiyetini korumak ve hassas bilgilerin ifşa edilmesini önlemek amacıyla gizli tutulması gerekmektedir.
Bu genel ilkelere ek olarak, olay raporlamayı düzenleyen sektöre özel bir dizi düzenleme ve standart da bulunmaktadır. Örneğin, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), sağlık hizmeti sağlayıcılarının, korunan sağlık bilgilerinin (PHI) ihlallerini Sağlık ve İnsani Hizmetler Bakanlığı'na (HHS) bildirmelerini gerektirir.
Olay Raporlamasına İlişkin Uyumluluk Gereksinimleri Olay raporlama gereksinimlerine tabi kuruluşların, olayları tanımlamak, raporlamak ve araştırmak için bir sisteme sahip olması gerekir. Bu sistem aşağıdaki bileşenleri içermelidir:
  • Olay tanımlama: Kuruluşların potansiyel olayları tanımlamaya yönelik bir süreci olmalıdır. Bu, sistem günlüklerinin izlenmesini, çalışan raporlarının incelenmesini ve düzenli denetimlerin yapılmasını içerebilir.
  • Olay raporlama: Kuruluşların, olayları uygun yetkililere raporlamak için bir süreci olması gerekir. Bu, belirli bir sektöre ve yetki alanına yönelik raporlama gereksinimlerinin takip edilmesini içerir.
  • Olay incelemesi: Kuruluşların olayları araştırmaya yönelik bir süreci olmalıdır. Bu, olayın nedeninin belirlenmesini, olayın etkisinin belirlenmesini ve gelecekteki olayların önlenmesi için düzeltici önlemlerin alınmasını içerir.
Olayları Bildirmemenin Hukuki Sonuçları Bir olayın rapor edilmemesi kuruluşlar açısından ciddi hukuki sonuçlar doğurabilir. Bu sonuçlar şunları içerebilir:
  • Sivil cezalar: Kuruluşlar, olayları bildirmedikleri için para cezasına çarptırılabilir. Örneğin, HIPAA kapsamında kuruluşlar, PHI ihlalini bildirmemeleri nedeniyle ihlal başına $1,5 milyona kadar para cezasına çarptırılabilir.
  • Cezai cezalar: Bazı durumlarda kuruluşlar, olayları bildirmedikleri için cezai olarak suçlanabilir. Örneğin, Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası (CFAA) uyarınca kuruluşlar, kritik altyapıyı etkileyen bir siber saldırıyı bildirmedikleri için ağır suçla suçlanabilir.
  • Zarar sorumluluğu: Kuruluşlar, bir olayı bildirmemelerinden kaynaklanan zararlardan sorumlu tutulabilirler. Örneğin, bir kuruluşun bir veri ihlalini bildirmemesi ve ihlalin kimlik hırsızlığıyla sonuçlanması durumunda, etkilenen kişiler kuruluşa dava açabilir.
Bu hukuki sonuçların yanı sıra bir olayın rapor edilmemesi de kurumun itibarına zarar verebilir ve iş yapılmasını zorlaştırabilir.
tr_TRTurkish
en_USEnglish es_MXSpanish tr_TRTurkish