Acronis Advanced Security + EDR Bölüm 5: Uyumluluk (NIST CSF, ISO 27001, KVKK)

Uyumluluk (NIST CSF, ISO 27001, KVKK)

Siber güvenlik çözümlerini değerlendirirken, sadece teknik özellikler değil aynı zamanda ilgili standart ve regülasyonlara uygunlukları da göz önünde bulundurulur. Acronis Advanced Security + EDR, hem kendi operasyonel güvenliği açısından global standartlara uygun geliştirilmiş bir hizmettir, hem de müşterilerin mevzuat yükümlülüklerini karşılamalarına yardımcı olacak özellikler barındırır. Bu bölümde, NIST Cybersecurity Framework (CSF), ISO/IEC 27001 ve Türkiye’nin KVKK (Kişisel Verileri Koruma Kanunu) gibi önemli standartlar çerçevesinde Acronis çözümünün durumunu inceleyeceğiz.

NIST Cybersecurity Framework ile Uyum

NIST CSF, siber güvenlik pratikleri için gönüllü bir rehber olarak yaygın kabul görmüştür. “Identify, Protect, Detect, Respond, Recover” başlıklarından oluşan bu çerçeveyi Acronis çözüm mimarisi bölümünde detaylandırmıştık. Acronis Advanced Security + EDR, bir ürün olarak NIST CSF’nin tüm fonksiyonlarını tek platformda karşılayabilmeyi hedeflemektedir. Bu, özellikle MSP’ler için, NIST uyumlu bir hizmet sunmayı kolaylaştırır.

NIST CSF’nin alt kategorilerine baktığımızda Acronis şu katkıları sağlar:

• Identify (Varlık Yönetimi): Acronis, envanter yönetimi (donanım, yazılım), veri keşfi ve sınıflandırma gibi özelliklerle kurumların varlıklarını ve risklerini tanımlamasına yardımcı olur. Bu, NIST ID.AM (Asset Management) ve ID.RA (Risk Assessment) alanlarına destek verir.
• Protect (Koruma Önlemleri): Acronis’in patch management, device control, anti-malware, backup gibi modülleri, NIST PR.IP (Koruma süreçleri) ve PR.DS (Veri güvenliği) alt kategorilerini adresler. Örneğin PR.IP-1 (güvenlik konfigürasyonları yönetilmeli) – Acronis ile merkezi policy yönetimi bunu sağlar. PR.DS-1 (veri atıl durumda korunmalı) – Acronis backup şifreleme ve saklama politikalarıyla destek verir. Ayrıca PR.MA (bakım) alt başlığı altında entegre yama uygulama bir katkıdır.
• Detect (Tespit): EDR modülünün kendisi, NIST DE.CM (Security Continuous Monitoring) alt kategorilerini doğrudan karşılar. DE.CM-1 (ağda anormal etkinlik tespiti) – Acronis EDR ağ bağlantılarını ve davranışları izleyerek uygunsuz hareketleri algılar. DE.CM-3 (host tabanlı anti-malware) – Acronis’in AV/EDR motoru. DE.DP (tespit süreçleri) kapsamında Acronis platformu olayları tanımlar, analiz eder ve raporlar.
• Respond (Tepki): NIST RS (Respond) fonksiyonu, incident’lara müdahale planlarını içerir. Acronis EDR’nin isolation, containment, eradication, communication mekanizmaları RS.MI (Mitigation) alt başlığına tam uyumludur. Örneğin RS.MI-1 (incident yatıştırma faaliyetleri uygulanmalı) – Acronis ile izolasyon, proses öldürme vb. anında yapılır. RS.CO (iletişim) alt başlığında ise Acronis olayları raporlar, PSA entegrasyonlarıyla paydaş iletişimini kolaylaştırır.
• Recover (Kurtarma): Acronis’in belki de en güçlü kısmı, NIST RC (Recovery) fonksiyonudur. RC.RP (Kurtarma planları) – Acronis backup ve disaster recovery planlaması yapmaya olanak sağlar. RC.IM (İyileştirme) – Rapid Rollback ve yedekten dönme kabiliyetleri saldırı sonrası iyileştirmeyi hızlandırır. Örneğin RC.CO-1 (kurtarma aktiviteleri ile ilgili iletişim) – Acronis portalı üzerinden kurtarma durum raporları alınabilir. NIST’in “sistemler hızlıca eski haline getirilmeli” prensibi, Acronis ile güçlü biçimde gerçekleşir.

Birçok kurum, NIST CSF’ye uyumu bir metrik olarak kullanır. Acronis, kendi pazarlama dokümanlarında da NIST çerçevesiyle tam kapsam sağladığını vurgular. Bu, çözümü değerlendirirken bir artı puan olarak düşünülebilir. Tabii NIST CSF uyumu sadece teknolojiyle değil süreçlerle de ilgilidir; Acronis, teknolojik altyapıyı sunarak kurumların süreçlerini bu çerçeveye uygun inşa etmesini kolaylaştırır.

ISO/IEC 27001 Uyum ve Sertifikasyon

ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) standardı olarak globalde yaygın bir sertifikasyon ölçütüdür. Hem Acronis hizmetinin kendisi ISO 27001 sertifikalı mıdır sorusu hem de Acronis kullanarak müşteriler ISO 27001 gereksinimlerini karşılayabilir mi konusu ele alınmalıdır:

• Acronis’in ISO 27001 Sertifikasyonu: Acronis International GmbH, kendi iç bilgi güvenliği yönetim sistemini ISO/IEC 27001:2013 standardına uygun olarak kurmuş ve sertifika almıştır. Bu, bağımsız denetçiler tarafından Acronis’in süreçlerinin, veri güvenliği kontrollerinin ve risk yönetiminin ISO 27001’e uygun bulunduğu anlamına gelir. Acronis bu standarda uygun politikalar izlediğini şeffaflık adına web sitesinde de belirtir. Özellikle Acronis Cloud altyapısını barındıran veri merkezleri ve operasyon ekipleri bu kapsam altındadır. Bu sertifika, Acronis hizmetini kullanmayı düşünen müşterilere güvence sağlar: “Acronis, uluslararası kabul görmüş en iyi uygulamalara göre kendi ev ödevini yapıyor.”
• Müşterilerin ISO 27001 Uyumu: ISO 27001, 114 maddelik bir kontrol seti (Annex A) içerir. Acronis Advanced Security + EDR, bu kontrollerden bazılarının uygulanmasına yardımcı olur. Örneğin:
• A.12.3 (Yedekleme) – Acronis’in backup modülü, düzenli yedeklemeleri otomatikleştirerek bu kontrolü karşılar.
• A.12.2.1 (Kötü amaçlı yazılımlara karşı koruma) – Acronis’in anti-malware ve EDR bileşenleri bu kontrolü adresler.
• A.16.1 (Bilgi güvenliği olay yönetimi) – EDR, olayların tespiti, kayıt altına alınması, analiz edilmesi, raporlanması süreçlerini destekler; bu da 16. bölümdeki kontrolleri (olay bildirim, zayıflık yönetimi vs.) kolaylaştırır.
• A.13 (İletişim güvenliği) – Acronis, verileri şifreli iletişimle aktarır (HTTPS/TLS), böylece iletişim güvenliği kontrolüne katkı sunar.
• A.9 (Erişim kontrolü) – Acronis portalına çok faktörlü kimlik doğrulama (2FA) sunarak idari erişim güvenliğini arttırır (yine ISO gereksinimi).
• Müşteriler, ISO 27001 denetimlerinde Acronis kullanımını nasıl gösterir? Tipik olarak, eğer bir şirketin ISO 27001 sertifikası varsa, EDR ve backup gibi mekanizmaları risk tedavi planlarında ve uygulanan kontrollerde belirtir. Acronis’e dair dökümantasyon (ör. nasıl konfigure edildiği, raporların saklanması vs.) denetçiye sunulur. Acronis’in kendi sertifikalı olması da, tedarikçi değerlendirmesi (A.15) açısından işleri kolaylaştırır; çünkü üçüncü taraf bulut hizmeti olan Acronis, ISO 27001 belgesini vererek güven telkin eder.
• Diğer Sertifikalar ve Uyumluluklar: Acronis, ISO 27001 dışında da çeşitli sertifikasyonlara sahiptir (ör. SOC 2 Type II raporu, HIPAA uyumluluğu beyanları vb. olabilir). Acronis Trust Center sayfasında, “global compliance and regulatory requirements how we meet” diye listeler bulunduğu görülür. Bu muhtemelen GDPR, HIPAA, PCI DSS gibi mevzuatlara uyumla ilgili taahhütlerini içerir. Kurumların ISO 27001, NIST gibi çerçeveleri benimserken Acronis’i kullanması, genellikle pozitif bir unsur olarak değerlendiriliyor çünkü Acronis hem dokümantasyon hem teknik önlemler açısından yardımcı oluyor.

KVKK (Kişisel Verileri Koruma Kanunu) ve Veri Mahremiyeti

KVKK, Türkiye’de GDPR benzeri bir kişisel verilerin korunması kanunudur. Acronis Advanced Security + EDR kullanımı, KVKK bağlamında iki açıdan incelenmelidir: (1) Acronis’in bir bulut hizmeti olarak KVKK’ya uyumu (yani Acronis, veri işleyen pozisyonunda kendi yükümlülüklerini yerine getiriyor mu?), (2) Acronis’in müşterilerin KVKK yükümlülüklerini yerine getirmelerine katkısı.

1. Acronis’in KVKK Kapsamındaki Durumu: Acronis, KVKK’nın farkındadır ve global gizlilik politikasında Türkiye’ye özgü bir bölüm de bulundurmaktadır. Acronis Gizlilik Beyanı’nda açıkça “6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)” atfı yapılarak, Türkiye’deki kullanıcıların haklarının gözetildiği ve başvuru yöntemleri belirtilmiştir. Bu, Acronis’in Türkiye’de hizmet sunarken KVKK’ya tabi olduğunu kabul ettiğini gösterir. Acronis, KVKK gereği veri sahibine tanınan erişim/düzeltme/silme gibi haklara saygı duyar ve bunun için iletişim kanalı sağlar (Türkiye’de veri sorumlusu temsilcisi atamış olabilir, KVKK 11. maddeye uygun şekilde başvuru adresi vs. bildirilmiştir).
2. Veri Merkezleri ve Veri Lokalizasyonu: KVKK, her ne kadar GDPR kadar katı bir veri ülke içinde tutma zorunluluğu getirmese de, hassas verilerin yurt dışına çıkarılmasında bazı şartlar arar. Bu noktada Acronis, Türkiye’de yerel bir veri merkezi açmıştır (2021 itibariyle bir Acronis Cyber Cloud Data Center İstanbul’da devreye alınmıştır). Bu, Türkiye müşterileri açısından önemli bir avantajdır: İstedikleri takdirde verilerini Türkiye sınırlarında tutabilirler. Acronis duyurularında, Türkiye’deki siber güvenlik hizmet sağlayıcılarının KVKK gereksinimlerini karşılaması için bu yerel veri merkezinin açıldığı belirtilmiştir (ör. sosyal medyada bu konuda paylaşım yapıldı). Yerel DC, backup verilerinin Türkiye’de kalması, dolayısıyla kişisel verilerin yurt dışına çıkmaması anlamına gelir. Acronis Cloud altyapısı genel olarak dünya çapında 50+ lokasyonda data center barındırır; Türkiye de bu ağın bir parçasıdır.
3. Sözleşmeler ve Taahhütler: KVKK gereği bulut hizmeti alan şirketler, hizmet sağlayıcılarla veri işleyen sözleşmesi yapmak durumundadır. Acronis’in MSP’lere ve kurumsal müşterilere sunduğu sözleşmelerde muhtemelen GDPR DPA (Data Processing Addendum) benzeri maddeler bulunur ki KVKK’ya da uyum sağlansın. Acronis Privacy Statement, KVKK’ya özel bir alt bölüm içermekle beraber, Avrupa GDPR çerçevesi ile büyük oranda paralel şekilde kaleme alınmıştır; bu da Acronis’in benzer yükümlülükleri (örn. veri minimizasyonu, güvenlik önlemleri, yetkili makamlarla iş birliği vs.) üstlendiğini gösterir.
4. ISO 27001 ve KVKK İlişkisi: KVKK Teknik Tedbirler konusunda ISO 27001 standardına atıf yapar (KVKK Rehberi’nde ISO kontrol seti önerilir). Acronis’in ISO 27001 sertifikalı olması, KVKK’nın teknik tedbirler (şifreleme, erişim kontrolü, izleme vs.) kısmına uyumlu olduğunu da ima eder. Bu da Acronis kullanan bir müşterinin, KVKK’nın veri güvenliğine dair beklentilerini (madde 12) karşılamasına yardımcı olur.
5. Acronis’in Müşterilerin KVKK Uyumluluğuna Katkısı:
6. Veri Sızıntısı Önleme: KVKK’nın en temel amacı, kişisel verilerin yetkisiz erişim ve sızıntılara karşı korunmasıdır. Acronis EDR, veri ihlaline yol açabilecek siber saldırıları önleyerek dolaylı olarak KVKK ihlallerini engeller. Örneğin bir saldırgan şirket ağından müşteri verilerini çalmaya çalıştığında, EDR bunu tespit edip durdurursa, aslında KVKK kapsamında oluşabilecek bir veri ihlalini (data breach) engellemiş olur. Bu sayede, kurum KVKK bildirim yükümlülüğü gerektiren bir olayla karşılaşmaz.
7. İhlal Tespiti ve Bildirimi: KVKK, veri sorumlusuna bir ihlal durumunda en kısa sürede ilgili kişiye ve Kurul’a bildirimde bulunma yükümlülüğü verir. Acronis’in kapsamlı logging ve raporlama özellikleri, bir ihlal gerçekleştiğinde bunu hızlı fark etmeyi sağlar. Forensic backup ve incident raporları, ihlalin boyutunu (kaç kayıt, hangi tip veriler etkilendi vs.) analiz etmede yardımcı olur, bu da bildirim sürecini sağlıklı yürütmek için kritiktir.
8. Veri Minimizasyonu ve Şifreleme: Acronis, istemci verilerini (ör. yedeklemeleri) güçlü kriptografi ile şifreler. Ayrıca bulutta tutulan veriyi minimizasyon prensiplerine uygun işler. KVKK’nın madde 12’de bahsettiği teknik ve idari tedbirler arasında, verilerin şifreli tutulması ve erişim kontrolleri sayılır – Acronis bu gereksinimleri yerine getirir. Örneğin bir MSP müşterisinin yedeklerini Acronis Cloud’a koyduğunda, bunlar AES-256 ile şifrelenmiş haldedir, Acronis dahi içeriğini göremez (anahtarlar müşteridedir).
9. Yerel Depolama Seçeneği: Bazı KVKK bilinçli kurumlar, bulut yerine kendi ülkesi içinde veri tutmayı tercih edebilir. Acronis bu kurumlara on-premise çözüm sunarak (ya da Türkiye’deki DC’yi kullanarak) esneklik verir. Örneğin kamu kurumları buluta gidemeyebilir; on-prem Acronis ile benzer korumaları lokal olarak sağlayabilirler.
10. Personel ve Farkındalık: KVKK sadece teknoloji değil, insan faktörünü de kapsar. Acronis Security Awareness Training modülü ile personelin siber farkındalığını artırmak dolaylı olarak KVKK ihlali risklerini düşürür (çünkü çoğu veri ihlali phishing ile başlar). Bu modül, KVKK’nın idari tedbirler kısmına (personel eğitimleri) hitap eder.

Sonuç olarak, Acronis Advanced Security + EDR çözümü, uyumluluk noktasında hem kendisi bir güvenilir hizmet sağlayıcı profili çizer hem de müşterilerinin regülasyonlara uygun güvenlik kontrolleri uygulamasını kolaylaştırır. NIST CSF ile tam bir hizalanma, ISO 27001 sertifikasyonu ve KVKK/GDPR bilinci, ürünün kurumsal piyasada kabul görmesini artıran unsurlardır.

Özellikle KVKK perspektifinden, Türkiye pazarı için Acronis’in attığı adımlar (yerel DC, Türkçe dil desteği, KVKK’ya uyum taahhütleri) onun bu alanda ciddiyetini gösterir. Bu da yerel kurumların bulut tabanlı bir EDR çözümünü benimsemesinde önemli bir teşviktir.

Bir sonraki bölümde, bu çözümün pratikte denenmesi (PoC) ve bir test planı oluşturulmasına dair önerileri ele alacağız.