Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz: 1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar 2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği 3. Zaman damgası sunucusu senkronizasyonu 4. Denetim izlerinin bütünlüğünün periyodik kontrolü

1. BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve
ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar
ve Bu Logların T.C Mahkemelerince Geçerliliği
Toplanan logların denetim, yönetmelik ve kanunlar açısından geçerliliğini dört başlık altında
değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Canlı loglar
Sermaye Piyasası Kurulu "BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ":
22- (4) Denetim izleri asgari 5 yıl saklanır.
https://www.resmigazete.gov.tr/eskiler/2018/01/20180105-9.htm
Bankacılık Düzenleme ve Denetleme Kurumunun "FİNANSAL KİRALAMA, FAKTORİNG
VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE
DENETİMİNE İLİŞKİN TEBLİĞİ:"
9- (6) Bilgi ve belge saklamaya ilişkin diğer mevzuat hükümleri saklı kalmak kaydıyla denetim
izleri asgari 3 yıl süreyle denetime hazır bulundurulur ve yedek alınması suretiyle, yaşanacak
olası felaketler sonrasında da erişilebilir olmaları temin edilir.
https://www.bddk.org.tr/Mevzuat/DokumanGetir/21
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA
KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ
SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM
SERVİSLERİNE İLİŞKİN TEBLİĞ”
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği,
bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle
saklanır.
https://www.tcmb.gov.tr/wps/wcm/connect/80b75c08-7e61-4c79-ab5f-
6791f2f2973d/Tebli%C4%9F.pdf?MOD=AJPERES&CACHEID=ROOTWORKSPACE-
80b75c08-7e61-4c79-ab5f-6791f2f2973d-oiL37us
Denetime hazır 10 yıl diyor.
Çalışanlarla ilgili özlük dosyasın 10+1 yıl (Çalışana ait şirket içindeki internet aktivitesi veya
kaynak erişimleri de özlüğe dahildir) tutulması gerekliliğini bu noktada hatırlamak gerekir.

2. KVKK:
Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları: En Az 2
Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl
KVKK kapsamında veri silme logları için 3 yıl (3+1 yıl) gerekliliğini de vurgulamak gerekir.
5651 Sayılı Yasa:
2 Yıl
Aşağıda TCMB, SPK ve BDDK tebliğlerinin loglarla ilgili maddelerine dikkatlice bakılırsa:
Sermaye Piyasası Kurulu "BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ":
22- (4) Denetim izleri asgari 5 yıl saklanır.
Bankacılık Düzenleme ve Denetleme Kurumunun "FİNANSAL KİRALAMA, FAKTORİNG
VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE
DENETİMİNE İLİŞKİN TEBLİĞİ:"
9- (6) 3 yıl süreyle denetime hazır bulundurulur
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA
KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ
ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN
TEBLİĞİ”:
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği,
bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle
saklanır
SPK 5 yıl saklanır diyor TCMB ve BDDK ise 3 yıl süreyle denetime hazır bulundurulur diyor.
Yani TCMB ve BDDK 3 yıl saklanır demek yerine 3 yıl süreyle denetime hazır bulundurulur
diyor. Sizce fark nedir? İkisinin arasında bir fark olduğu açık değil mi?
Burada logların denetim sırasında makul sürede gelmesini isteyen denetmenler olduğu gibi buna
dikkat etmeyenler de olabiliyor. Mesela ben “Bankacılık Düzenleme ve Denetleme Kurumunun
"FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ
SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ" içerisindeki 3
yılı canlı üç yıl olarak isteyen denetim süreçlerine tanık oldum.
Ayrıca denetim sırasında şirketlerin uygulamak istedikleri pratikler var. Mesela Sermaye
Piyasası Kurulu denetimi son1 yılı kapsadığı için ve o 1 yıldan rastgele günler seçildiği için, log
arşivdeyse geri yükleme vs. ile uğraşmamak için bazı firmaların Teftiş birimi 1 yıllık log canlıda
olsun, hızlıca cevap verelim diyor denetim taleplerine.
Ayrıca GDPR, PCI, Basel II, HIPAA, SOX, NISPOM, CISP gibi uluslararası pek çok regülasyon
da logların 1 ila 7 yıla kadar saklanması gerektiğini söylüyor. Bunlardan PCI bunu ayırmış
mesela ve 90 gün canlı olmalı sonrasını nasıl istersen öyle derken diğerleri canlı veya arşiv diye
ayırmadan süre belirtmiş.

3. Bildiğiniz gibi canlı loglar her an elinizin altında ve ne sorsanız hemen cevap alabileceğiniz
loglardır.
Arşiv loglar ise bir eti derin dondurucuda, buzda beklettiğinizi düşünün, işte arşiv loglar etin o
hali gibidir. İşinize yaraması için mutlaka arşivden açılması gerekir. Yani etin dondurucudan
çıkması, buzunun çözülmesinin beklenmesi gerekir ki bu loglarda bazı durumlarda haftalar
sürebilir (Mesela son 6 ayın tamamını içeren arama ve raporlarda).
O zaman ikinci soruyu sormanın vakti geldi. O zaman neden loglar devamlı canlıda durmuyor?
Bunun nedeni ihtiyaç duyulan disk miktarının büyüklüğü. Bu yüksek disk kullanımı
probleminden kurtulmak için loglar birkaç ay sonra arşive kaldırılır.
Dolayısı ile bir SIEM veya içinde Bir SIEM olan hizmet alırken şu sorular sorulması gereken
kritik ama atlanan sorulardır.
Logları 1 yıl canlıda tutabiliyor muyuz?
Eğer bir yılı canlıda tutulabiliyorsak 1 yıl için toplamda ne kadar disk kullanıyoruz?
Eğer birkaç aydan sonrası arşivde ise:
Arşivden 1 günü arama ne kadar sürüyor?
Arşivden 1 haftayı arama ne kadar sürüyor?
Arşivden 1 ayı arama ne kadar sürüyor?
Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın
yetersizliği
Canlı logların yanı sıra bir de mahkemelerde logların delil olabilmesi durumu var. Bu konuda
5651 sayılı yasa ile ilgili
Resmî Gazetenin 30 Kasım 2007 CUMA tarihli 26716 Sayısındaki
İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİNE DAİR USUL
VE ESASLAR HAKKINDA YÖNETMELİK İçerik Sağlayıcıları, Yer Sağlayıcıları ile Erişim
Sağlayıcılarının
Sorumluluk ve Yükümlülükleri kısmında “Dosya bütünlük değerlerini zaman damgası ile birlikte
saklamak ve gizliliğini temin etmekle,” yükümlüdür diyor.
https://www.resmigazete.gov.tr/eskiler/2007/11/20071130-6.htm
Burada logların kriptografik yöntemler, hash alma veya başka bir yöntemle sadece log bütünlüğü
ve değişmezliğini sağlamanın yetmeyeceği bilinmeli.

4. Yine tebliğlerde mesela Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK
PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ
SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM
SERVİSLERİNE İLİŞKİN TEBLİĞİ”
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği,
bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl
süreyle saklanır.
Oturum özellikleri ve denetim izleri kısmında
"25 - (5) Zaman damgası, 5070 sayılı Kanun kapsamında tanımlanan zaman damgasına dayanır"
deniyor.
Yine Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi
aşağıdaki maddede zaman damgası isteniyor.
3.1.8.4 1: Detaylı Kayıt Tutulması: Sistem iz kayıtları; olay açıklaması, olay kaynağı, olay
zamanı, kullanıcı/sistem bilgisi, kaynak adresleri, hedef adresleri ve işlem detayları bilgilerini
içerecek şekilde tutulmalı ve bütünlüğü zaman damgası ile korunmalıdır.
https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf
ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ yönergelerinde de konu ile ilgili EK
A.12.4.1, A.12.4.2, A.12.4.3 de atıflar var.
https://cbddo.gov.tr/SharedFolderServer/Projeler/File/ISO27001%20-
%20BGRehberEslestirmeTablosu.pdf
Ayrıca logların değişmezlik garantisini sağlamak için uygulanan kriptografik yöntemlerin veya
hash alma periyodunun da logların değiştirilemeyeceği sıklıkla olması diğer önemli bir
durumdur. Mesela eğer bu süre 1 dakikadan daha fazla ise mahkeme karşısında bu sürede
logların değişmediğini ispat etmeniz istenirse loglarınız delil niteliğini kaybedebilir.
Logların mahkemece istenmesi durumunda eğer lehte bir avantaj sağlayacaksa şirket avukatlarını
veya hukuki mercileri karşı tarafın logları ile birlikte zaman damgalarını da mahkemece
istenmesi sağlanmalı. Ayrıca karşı taraf zaman damgası sağlayamıyor ama değişmezlik ve
bütünlük konularında kriptografik yöntemler veya hash kullandığında ısrar ediyorsa bu sefer de
logların değişmezlik garantisini sağlamak için uygulanan kriptografik yöntemlerin veya hash
alma periyodunun da logların değiştirilemeyeceği sıklıkla olduğunun ispatını isteyin. Mesela
eğer bu süre 1 dakikadan daha fazla ise mahkeme karşısında bu sürede logların değişmediğini
ispat etmesini isteyin ve karşı tarafın loglarına karşı avantaj elde edin ama başta dediğim gibi
eğer lehte bir avantaj sağlayacaksa
Logların kriptografik yöntemler, hash alma veya başka bir yöntemle sadece log bütünlüğü ve
değişmezliğini mi sağlıyoruz yoksa bununla birlikte 5651 sayılı yasaya uygun olarak ve ilgili
yönetmeliklere göre zaman damgası basıyor muyuz?
Bazı sektörlerde şu soru da sorulmalı. TÜBİTAK KAMU SM gibi BTK Tarafından
yetkilendirilmiş Zaman Damgası Sağlayıcılarından alınmış zaman damgalarını kullanabiliyor
muyuz? Bu önemli bir soru çünkü şu anda lazım olmasa bile ileride istenirse kullanabilecek
miyiz?

5. Zaman damgası sunucusu senkronizasyonu
Sermaye Piyasası Kurulu "BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ":
Zaman senkronizasyonu
MADDE 23 – (1) Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinde kullandıkları zaman
bilgisi tek bir referans kaynağına göre senkronize edilir. Zaman bilgisi atomik saatler vasıtasıyla
temin edilir.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi madde 3.1.8.3
Kayıtlarda zaman damgalarının tutarlı olması için ağa bağlı tüm sistemlerin (sunucular, iş
istasyonları, güvenlik ürünleri, ağ aygıtları vb.) düzenli olarak zaman bilgisinin alındığı; yedekli
yapıda ve senkronize zaman sunucusu kullanılmaktadır. Sunucularda ilgili NTP ayarlamaları
yapılarak tüm sunucularda zaman senkronizasyonu sağlanmaktadır.
ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ yönergelerinde de konu ile ilgili EK
EK A.12.4.4 de atıflar var.
Yukarıdaki tebliğlerde istenen şeyi kısaca özetlemek gerekirse log sunucusunun zamanı
değiştirilse bile şirketin resmi olarak tanımlayacağı bir NTP sunucu kullanarak zaman damgası
basması gerekir.
Örnek NTP sunucu listesi:
1. 0.tr.pool.ntp.org
2. 1.tr.pool.ntp.org
3. 2.tr.pool.ntp.org
4. 3.tr.pool.ntp.org
5. ime.google.com
6. time1.google.com
7. time2.google.com
8. time3.google.com
9. time4.google.com
10.time.windows.com
11. time-a-g.nist.gov
12. time-b-g.nist.gov
13. time-c-g.nist.gov
14. time-d-g.nist.gov
15. time-a-wwv.nist.gov
16. time-b-wwv.nist.gov
17. time-c-wwv.nist.gov
18. time-d-wwv.nist.gov
19. time-a-b.nist.gov

6. Denetim izlerinin bütünlüğünün kontrolü
Sermaye Piyasası Kurulu "BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ":
22- (2) Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma
durumunda bunun tespit edilebilmesi için gerekli teknikler kullanılır. Denetim izlerinin
bütünlüğü düzenli olarak gözden geçirilir ve olağandışı durumlar üst yönetime raporlanır
Yukarıdaki tebliğde denetim izlerinin bütünlüğü düzenli olarak gözden geçilmesi isteniyor. Yani
günde 1 veya haftada bir gibi bir periyotla otomatik olarak kontrol edip raporlayın bir araç (Eğer
manuel yapmayı denemezseniz!!!) ihtiyacına atıfta bulunuluyor.