ISO/IEC 27037 Ne İçin Kullanılır? Dijital Delil Yönetimi Standardı

ISO/IEC 27037:2012, dijital delilin tanımlanması, toplanması (collection), elde edilmesi (acquisition) ve korunması (preservation) için hazırlanmış uluslararası rehber standardıdır. Olay yerinde ilk müdahale eden personel (DEFR) ve uzman incelemeci (DESS) rollerini tanımlar, delil bütünlüğünü hash ile zorunlu kılar. Türkiye'de CMK 134 ile birlikte mahkeme kabul edilebilirliğinin temelidir.

TL;DR

• ISO/IEC 27037:2012 dijital delil yönetiminin 4 aşamalı uluslararası rehberidir.
• Aşamalar: identify, collect, acquire, preserve.
• DEFR (ilk müdahale) ve DESS (uzman) iki temel rolü tanımlar.
• Türkiye'de CMK 134 ile uyumlu kullanılır.
• Hash doğrulama (SHA-256 önerilir) ve delil zinciri belgesi zorunludur.

Detaylı cevap

Standardın kapsamı

ISO/IEC 27037, ISO 27000 serisinin bilgi güvenliği soruşturma koluna aittir. Standart, dijital cihaz veya potansiyel dijital delili (PDE) içeren her türlü ortamda uygulanır:

• Sabit diskler, SSD, NVMe medya
• Bellek (RAM) görüntüleri
• Mobil cihazlar, IoT ve gömülü sistemler
• Ağ trafiği yakalama (PCAP), bulut log'ları
• CCTV ve dijital kamera kayıtları

Standart neyi nasıl yapacağınızı sıkı kurallarla dayatmaz; geriden kontrol edilebilir, savunulabilir bir süreç çerçevesi sunar. Detaylı teknik yöntemler ISO/IEC 27041, 27042 ve 27043 ile tamamlanır.

Dört temel aşama

Aşama	Açıklama	Tipik çıktı
Identify	Delil olabilecek dijital varlıkların belirlenmesi	Sahne envanteri, fotoğraf
Collect	Cihazın fiziksel toplanması, taşınması	Etiketleme, chain-of-custody form
Acquire	İmaj alınması (bit-by-bit veya canlı)	dd/E01 imaj + hash
Preserve	Delilin saklanması, yetkisiz erişimden korunması	Faraday çantası, kasa, log

DEFR ve DESS rolleri

Standart iki rolü ayırır. DEFR (Digital Evidence First Responder) olay yerinde delili tanır ve güvenli şekilde toplar; gelişmiş analiz yapmaz. DESS (Digital Evidence Specialist) ise laboratuvarda imaj alma, ileri analiz ve raporlama yetkisindedir. Bu ayrım, siber olay müdahale playbook NIST 800-61 süreciyle birebir paraleldir.

Hash doğrulama zorunluluğu

ISO/IEC 27037 bütünlük için kriptografik hash'i şart koşar. Pratikte SHA-256 standart, MD5 çift doğrulama olarak korunur. Hash, imaj alındığı anda hesaplanır ve delil zinciri formuna yazılır. İki ayrı zamanda tekrar hesaplanan değer aynı olmalıdır; aksi halde delil bütünlüğü kırılmış sayılır. Algoritma seçim ayrıntıları için hash doğrulama nedir MD5 SHA1 SHA256 yazımıza bakılabilir.

Türkiye uygulaması: CMK 134 ile uyum

5271 sayılı CMK'nın 134. maddesi, dijital cihazların aramasında imajın hakim kararı ile alınmasını ve iki kopya çıkartılarak birinin sanığa/zilyede verilmesini emreder. ISO/IEC 27037'nin acquire ve preserve aşamaları bu yasal gerekliliği teknik olarak karşılar. Yargıtay kararlarında imaj alınmadan yapılan incelemenin delil değeri tartışmalı bulunmuştur.

Kurumsal olaylarda KVKK Kurul kararlarının veri ihlali sürecinde delil sunumunu beklediği unutulmamalı; KVKK 72 saat veri ihlali bildirim şablonu bu ihtiyacı karşılar.

Pratik kontrol listesi

1. Olay yerine ulaşıldığında cihaz fotoğraflanır, çalışıyorsa ekran görüntüsü alınır.
2. Cihaz açıksa RAM imajı (FTK Imager, Magnet RAM Capture) önce alınır.
3. Kapalıysa açılmadan kabloları çıkartılır; Faraday çantasına konur.
4. Laboratuvarda yazma-koruyucu (write-blocker) ile bağlanır.
5. dd, FTK Imager veya X-Ways ile bit imaj alınır.
6. SHA-256 + MD5 hesaplanır, tutanağa işlenir.
7. Orijinal cihaz güvenli kasada, imaj ise yedekli sistemde saklanır.
8. Her erişim chain-of-custody formuna yazılır.

Yaygın hatalar

• Cihazı açmaya çalışmak (delili değiştirir).
• Write-blocker olmadan bağlamak (zaman damgalarını bozar).
• Yalnız MD5 kullanmak; çift hash önerilir.
• Faraday çantasız mobil taşımak; uzaktan silme komutu gelebilir.
• Yedek imaj almamak; tek imaj kaybolursa süreç biter.

Fidye yazılım ilk 24 saat aksiyon çizelgesi gibi kriz dokümanlarımız ISO/IEC 27037'yi başlangıç noktası alır.

Sertifikasyon ve eğitim

ISO/IEC 27037'nin kendisi bireysel sertifika sunmaz; ancak ENFSI (Avrupa Adli Bilimler Enstitüleri Ağı), IACIS CFCE, GIAC GCFE/GCFA gibi sertifikalar bu standartla uyumlu eğitim verir. Türkiye'de TÜBİTAK BİLGEM ve üniversitelerin adli bilişim yüksek lisans programları benzer içeriği kapsar.

Uçucu delil önceliği (order of volatility)

ISO/IEC 27037, RFC 3227 ile uyumlu olarak en uçucu delilden en kalıcıya doğru toplama önceliği belirler:

1. CPU register ve cache içeriği.
2. RAM (canlı bellek), açık ağ bağlantıları, çalışan süreçler.
3. Geçici dosyalar, swap, hibernation dosyası.
4. Disk içeriği, kullanıcı dosyaları.
5. Uzak log'lar, fiziksel konfigürasyon.
6. Yedek ortamlar, arşiv medya.

DEFR olay yerinde RAM imajı alma yetkinliğine sahip değilse, cihazı açık tutarak DESS gelene kadar bekletmek tercih edilir. Bu kural özellikle disk şifreleme (FileVault, BitLocker, LUKS) açık olan cihazlarda anahtarın bellekte kalmasını sağlar.

SSS

ISO/IEC 27037 zorunlu mu?

Hukuki olarak zorunlu değildir, ancak mahkemede delil kabul edilebilirliği için fiili standarttır. Kurumsal politikalar ve KVKK uyumu kapsamında uyulması güçlü tavsiyedir.

ISO/IEC 27037 ile 27041 farkı nedir?

27037 delilin toplanması ve korunmasına odaklanır; 27041 ise analiz yönteminin doğruluğunun nasıl kanıtlanacağına dair rehberdir. 27042 analiz ve yorumlama, 27043 olay araştırma süreçleridir.

Cihazı açık bırakmalı mı yoksa kapatmalı mı?

Çalışan sistemde uçucu veriler (RAM, açık bağlantılar, şifreleme anahtarları) varsa açık bırakılır ve önce canlı imaj alınır. Boş şüphe yoksa fişten çekme tercih edilir; düzgün kapatma cache yazımı ile delili değiştirebilir.

Bulut delili nasıl toplanır?

Bulut servis sağlayıcısının log API'leri ve resmi yasal talep kanalları kullanılır. ISO/IEC 27037 bulut için 27050 ve CSA rehberleri ile birlikte yorumlanır.

DSET ISO/IEC 27037 uyumlu hizmet veriyor mu?

Evet. DSET, Hacettepe Teknokent Beytepe yerleşkesinde ISO/IEC 27037 ile uyumlu imaj alma, hash doğrulama ve delil zinciri yönetimi süreçlerini yürütmektedir. İletişim: +90 536 662 38 09, [email protected].