EN
TR
Bu doküman Resmi Gazete dışında bir kaynakta yayınlanmıştır.
BİRİNCİ BÖLÜM
Amaç, Dayanak ve Tanımlar
Amaç
Bu Yönergenin amacı Türkiye İş Kurumu bünyesinde bilgi ve veri güvenliği konularında gerekli önlemleri almak, politikaları, ilkeleri, usul ve esasları belirlemektir.
Kapsam
Bu Yönerge, Kurum merkez ve taşra teşkilatındaki tüm personel ile kendilerine herhangi bir nedenle Kurum bilişim kaynaklarını kullanma yetkisi verilen diğer tüm kullanıcılar için kurumsal ve kişisel bilgi güvenliği ilke ve kurallarını kapsamaktadır.
Hukuki dayanak
Bu Yönerge, Başbakanlıklara Bağlı, İlgili, İlişkili Kurum ve Kuruluşlar ile Diğer Kurum ve Kuruluşların Teşkilatı Hakkındaki 4 numaralı Cumhurbaşkanlığı Kararnamesi’nin 623 üncü maddesine dayanılarak hazırlanmıştır.
Tanımlar
Bu Yönergede geçen terimler tanımlarıyla birlikte aşağıda verilmiştir:
Kurum: Türkiye İş Kurumu
Genel Müdür: Türkiye İş Kurumu Genel Müdürü
Antivirüs: İstemcileri ve sunucuları virüs, solucan, truva atı gibi zararlı yazılımlardan koruyan yazılım.
BİDB: Bilgi İşlem Dairesi Başkanlığı.
DMZ: Kurum içi ağı ile Kurum dışı ağı birbirinden ayıran yapı.
Firmware : Sayısal veri işleme yeteneği bulunan donanımların kendisinden beklenen işlevleri yerine getirilebilmesi için kullandığı yazılım.
Güvenli Kanal: Güçlü bir şifrelemeye sahip iletişim kanalı.
Güvenlik Duvarı (Firewall): Bir kural kümesi temelinde ağa gelen giden paket trafiğini kontrol eden donanım tabanlı ağ güvenliği sistemi.
IP: İnternet Protokolü; ağdaki cihazların birbirini tanımak, birbirleriyle iletişim kurmak ve veri alışverişinde bulunmak için kullandıkları benzersiz bir numara.
IPSec (Internet Protocol Security) VPN: Genel ve özel ağlarda şifreleme ve filtreleme hizmetlerinin bir arada bulunduğu ve bilgilerin güvenliğini sağlayan iletişim kuralı ile uç kullanıcıya güvenli uzaktan erişim sağlayan protokol.
Kullanıcı: Kurum merkez ve taşra teşkilatındaki tüm personel ile kendilerine herhangi bir nedenle Kurum bilişim kaynaklarını kullanma yetkisi verilen diğer tüm kullanıcılar.
LDAP (Light weight Directory Access Protocol): Aktif dizin ve e-posta gibi programlardan bilgi almak için kullanılan ağ protokolü.
MAC adresi: Bir ağ cihazının tanınmasını sağlayan kendisine özel adres.
Ortak Klasör (Public Folder): Kurum içi bilgileri toplamaya, düzenlemeye ve başka kişilerle paylaşma olanağı sağlayarak ortak ilgi alanlarında (işsizlik, işe yerleştirme, muhasebeciler vb.) bilgi paylaşımı sağlayan yapı.
RADIUS (Remote Authentication Dialin User Service): Sunuculara uzaktan bağlanan kullanıcılar için kullanıcı adı-şifre doğrulama, raporlama/erişim süresi ve yetkilendirme işlemlerini yapan internet protokolü.
Risk:Kurumun bilgi sistemlerinin gizliliğini, mevcudiyetini ve bütünlüğünü etkileyen faktörler.
Sahte e-posta: Başka bir kişi gibi davranarak ve gerçek göndereni maskeleyerek kişinin güvenini kazanmak ve kişisel bilgilerine (tamamen yasadışı yoldan) erişilmesi için kullanılan e-posta.
SNMP: Bilgisayar ağları üzerindeki birimleri denetlemek amacıyla tasarlanmış protokol.
Spam: Yetkisiz ve/veya istenmeyen reklam içerikli e-posta.
SSL (Secure Socket Layer): Ağ üzerinde güvenlik ve gizliliğin sağlanması amacıyla geliştirilmiş bir güvenlik protokolü.
Sunucu (Server): Herhangi bir ağ üzerinde bir programı veya bir bilgiyi farklı kullanıcılara, sistemlere paylaştıran ve dağıtan donanım ve yazılıma verilen genel isim.
Şifreleme: Veriyi istenmeyen kişilerin anlayamayacakları bir biçime dönüştüren özel bir algoritma.
Uygulama Sunucusu: Herhangi bir ağ üzerinde bir programı veya yazılımı farklı kullanıcılara paylaştıran ve dağıtan bilgisayara verilen genel isim.
Uzaktan Erişim: Kurum ağına ve bilgisayarlarına uzaktan erişim sağlamak ve fiziksel olarak bağlıymış gibi ağ üzerinden veri alışverişinde bulunma.
Veritabanı: Birbirleriyle ilişkili bilgilerin kolayca erişilebilecek, yönetilebilecek ve güncellenebilecek şekilde depolandığı veri topluluğu.
VLAN (Virtual LAN): Sanal yerel ağ. Birçok farklı ağ bölümüne dağılmış olan, ancak aynı kabloya bağlıymışlar gibi birbiri ile iletişim kurmaları sağlanan, bir veya birkaç yerel ağ üzerindeki cihazlar grubu.
VPN: Bir ağa güvenli bir şekilde uzaktan erişimi sağlayan teknoloji.
Yedekleme: Verilerin/dosyaların veya veritabanının başka bir yere kopyalanması işlemi.
Yetkilendirme: Çok kullanıcılı sistemlerde sisteme girebilecek kişilere giriş izni ve kişilere bağlı olarak da sistemde yapabileceği işlemler için belirli izinler verilmesi.
Zincir e-posta: Bir kullanıcıya gelen e-postanın art arda diğer kullanıcılara gönderilmesi.
İKİNCİ BÖLÜM
Bilgi Güvenliği Tanımı, Kapsam ve Hedefler
Bilgi Güvenliği Tanımı
Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur.
a. Gizlilik: Bilginin yetkisiz kişilerin eline geçmesini engelleme ve yetkisiz erişime karşı korunmasıdır.
b. Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
c. Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.
Bu üç temel unsur birbirinden bağımsız olarak düşünülememektedir. Bilginin gizliliğinin sağlanması o bilginin erişilebilirliğini engellememelidir. Aynı zamanda erişilebilen bilginin bütünlüğünün de sağlanması önemlidir. Dolayısıyla bilgi güvenliği kavramı temel olarak bu üç unsurun bir arada sağlanması demektir. Bu unsurlara ek olarak bilgi güvenliği açıklanabilirlik, inkâr edememe ve güvenilirlik gibi özellikleri de kapsar.
Bilgi güvenliğinin önemi ve kapsamı
Kurumumuz yararlanıcılarının bilgi varlıklarına zamanında, eksiksiz, doğru ve kesintisiz biçimde ulaşması büyük önem taşımaktadır. Kurumumuz için bilgi, değerli ve korunması gereken bir varlıktır. Bilginin gizliliği, bütünlüğü ve gerektiği zamanda hazır ve hizmette olması Kurumun hizmet kalitesi ve imajı ile doğrudan ilgilidir.
Bilgi Güvenliği; bilgi varlıkları, uygulama yazılımları, sistem yazılımları, ağ cihazları, güvenlik cihazları, sunucular, bilgisayarlar, iletişim donanımı ve veri depolama ortamlarını içeren fiziksel varlıklar ile iklimlendirme ve kablolama gibi unsurlardan oluşan tüm bilişim ile ilgili varlıkları kapsamaktadır.
Bilgi Güvenliğinin Hedefi
Bilgi Güvenliği şartlarını yerine getirerek, çalışanların bilgi güvenliği farkındalıklarını arttırmak ve Kurumun temel faaliyetlerinin en az kesinti ile devam etmesini sağlamak, kurumsal riskleri en alt seviyeye indirerek Kurumun güvenliği ile güvenilirliğini ve imajını korumaktır.
Bilgi Güvenliği İlkeleri
Kurumun bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes aşağıdaki ilklere uymakla yükümlüdür. İlkelerin uygulama detayı bu yönetmelikte ileriki bölümlerde yer alan politikalarda belirtilmiştir.
a. Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde çalışanlar Kurum bilgilerinin gizliliğini korur.
b. Çok gizli, gizli, hizmete özel bilgiler gerekli güvenlik önlemi alınmadan posta, faks veya elektronik ortamda aktarılmaz. Yine bu seviyedeki bilgiler, izinsiz kişilerin eline geçme riski olduğundan, cep telefonu, sesli mesaj, telefon gibi ortamlarda kaydedilmez.
c. Çok gizli, gizli, hizmete özel güvenlik seviyesine sahip bilgi varlıklarına sahip kişiler, bu varlığın bilmesi gerekenlerden başkasının görmemesini sağlamakla yükümlüdür.
d. Bilgi kritiklik seviyesine göre bu yönetmelikte ilgili politikada belirtildiği şekilde yedeklenir.
e. Risk düzeylerine göre güvenlik önlemleri alınır.
f. Bilgi güvenliği ihlalleri personelin kendi biriminde raporlanır ve Bilgi İşlem Dairesi Başkanlığı’na bildirilir.
g. Kurumu ilgilendiren konularda kitap, broşür, bilgi notu, cd, slayt, taşınır bellek, haber, kupür, telefon konuşması, e-posta, mesaj vb. Kurum içi bilgi kaynakları yetkili amirden izin alınmadan paylaşılmaz.
h. Kurum bilişim kaynakları yasalara ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacı ile kullanılmaz.
i. Tüm Kurum çalışanları kendi yükümlü oldukları iş ve işlemlerin yürütülmesinde kullandıkları bilgi sistemleri ile ilgili bilgi güvenliğinden sorumludur.
j. Her kullanıcı güvenlik tehditlerini önlemek, saptamak ve bu sorunları çözmek için işbirliği içinde ve zamanında hareket eder.
k. Kullanıcı, bilgi teknolojileri kapsamındaki bilişim kaynaklarına zarar veremez, işleyişi aksatma, yavaşlatma veya durdurma eylemlerinde bulunamaz.
l. Personel, görevinin bitmesiyle kendisine zimmetli bilgisayar, yazıcı, disk ve benzeri tüm donanım ve malzemeleri, tüm yazılım ürünleri ve kodları ile bilişim sistemleri kullanımına yönelik tüm şifreleri içeren Kuruma ait tüm bilişim varlıklarını iade eder ve yetkili merci tarafından kişinin bilgi ve bilgi işlem olanaklarına erişim hakları kaldırılır.
ÜÇÜNCÜ BÖLÜM
Bilgi Güvenliği Politikaları
Bilgi Sistemleri Genel Kullanım Politikası
Bilgi sistemlerine sahip olma ve bu sistemleri genel kullanım kuralları aşağıda belirtilmiştir:
a. Kurumun güvenlik sistemleri kişilere makul seviyede mahremiyet sağlasa da, Kurumun bünyesinde oluşturulan tüm veriler Kurumun mülkiyetindedir.
b. Kullanıcılar bilgi sistemlerini kişisel amaçlarla kullanmaz. Bu konuda Kurumun belirlediği ilgili politikalar dikkate alınır.
c. Kurum, bu politika çerçevesinde ağları ve sistemleri periyodik olarak denetleme ve internet trafik raporlarını depolama hakkına sahiptir.
ç. Kurum bilgisayarları etki alanına dâhil edilir. Etki alanına bağlı olmayan Kurum dışı kişisel bilgisayarlar yerel ağdan çıkarılır, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi olamaz.
d. Kuruma ait bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmaz ve kopyalanamaz.
e. Kurumda BİDB’nin bilgisi ve onayı olmadan Kurum ağ sisteminde (web hosting, e-posta servisi vb.) sunucu nitelikli bilgisayar bulundurulamaz.
f. BİDB personeli ve ilgili teknik personel haricindeki yetkisiz kişilerce ağa bağlı cihazlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri gibi ayarlara müdahale edilemez.
g. Bilgisayarlara lisanssız program yüklenemez.
ğ. Gerekmedikçe bilişim sistemleri kaynakları paylaşıma açılmaz. Paylaşıma açılması durumunda da mutlaka güçlü bir şifre oluşturulur ve işin bitiminde de iptal edilir.
E-Posta Politikası
Bu politika ile kullanıcıların elektronik ortamlarda haberleşirken yüksek seviyede bilgi güvenliğinin sağlanması amaçlanmaktadır. E-posta Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Kurumun e-posta kaynakları, Kurum iş ve işlemleri için kullanılır.
b. Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul eder, Kurum çıkarlarıyla çelişen veya normal operasyon ve iş aktivitelerini engelleyecek şekilde kullanamaz, uygunsuz içeriği saklayamaz, kötü amaçlı ve kişisel çıkarlar ve uygun olmayan içerikleri (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajlar, ticari amaçlı vb.) bağlantı olarak vermek, erişmek veya göndermek için kullanamaz.
c. Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderdiği e-postalardan doğacak idari yaptırımlardan ve hukuki işlemlerden sorumludur.
ç. Kullanıcı e-posta parolasının kırıldığını fark ettiği anda BİDB’ye haber verir.
d. Kullanıcılar, e-posta sistemini kullanmak için gerekli kimlik bilgilerini başkalarına veremez.
e. Kullanıcı, kurumsal e-postalarının, Kurum dışındaki şahıslar ve yetkisiz şahıslar tarafından görülmesini ve okunmasını engeller.
f. Kurum e-posta kaynakları; reklam, aldatma, karalama vb. istenmeyen mesajlar (SPAM) göndermek için kullanılamaz. Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmaz. Bu tür özelliklere sahip bir mesaj alındığında BİDB’ye bilgi verilir.
g. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmaz ve tehdit unsuru olduğu düşünülen e-postalar BİDB’ye haber verilir.
ğ. Kullanıcılar, saklanması gereken e-postaları kendi bilgisayarlarında yedekler.
h. Gizli nitelikli e-posta mesajları veya mesajla birlikte gönderilmiş dosyalar sisteme kaydedilmez. Kaydedilmesi durumunda, sorumluluk kullanıcıya aittir.
ı. Her 90 (doksan) günde bir, silinmiş öğelerde bekleyen mesajlar, sistem tarafından otomatik olarak silinir.
i. Birimlerin talebi üzerine açılan e-posta gruplarındaki kişi sayısı, BİDB tarafından, e-posta kotaları ve iş yoğunluğu dikkate alınarak tespit edilir.
j. Her birim personeli sadece kendi birim e-posta grubuna ileti (e-posta) gönderebilir. Örneğin; Artvin ilinde çalışan personel sadece Artvin e-posta grubuna ileti gönderebilir, Kocaeli ilinin bulunduğu e-posta grubuna ileti gönderemez.
k. Toplu e-posta gönderimi için gerekli olan teknik izin BİDB’den alınır ve daha sonra talep eden birim tarafından e-posta gönderimi yapılabilir.
l. Bayram, kandil vb. günlere dair tüm personele yönelik iletiler; sadece Genel Müdür, Genel Müdür Yardımcıları ve Daire Başkanları tarafından gönderilebilir.
m. Personel, konusuyla ilgili e-postaları Ortak Klasör içerisinden takip eder. Ortak klasörlerde en fazla 6 (altı) aylık ileti bulundurulabilir. Ortak klasörlerdeki e-postalar sorumlu personel tarafından yönetilir. Ortak klasörlerden sorumlu personeller ilgili Başkanlığın talebi ve önerisi doğrultusunda BİDB tarafından yetkilendirilerek belirlenir.
n. E-Posta grupları ve ortak klasörler amaçları dışında kullanılamaz. Bu grupları amacı dışında kullananların e-posta hesabı, BİDB tarafından, e-posta ile kendisine ve ilgili Birim amirine bilgi verilerek 1-3 gün süre boyunca ileti gönderimine kapatılır.
o. E-dönüşüm sistemi üzerinden otomatik gelen e-posta doğrultusunda, Kurumdan ayrılan personelin (geçici görevlendirme, emekli, istifa, ücretsiz izin, uzun süreli hastalık , askerlik vb.) e-posta hesabı otomatik olarak kapatılır.
Parola Politikası
Parola kullanımı kullanıcı hesapları için ilk güvenlik aşamasıdır. Bu politika ile güçlü bir parola oluşturulması, oluşturulan parolanın korunması ve değiştirilme sıklığı hakkında standart oluşturulması amaçlanmaktadır. Parola Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Sistem hesaplarına ait parolalar (örnek; root, administrator, vs.) en geç 6 (altı) ayda bir değiştirilir.
b. Kullanıcı hesaplarına ait parolalar (örnek, e-posta, web, masaüstü bilgisayar vs.) en geç 45 (kırk beş) günde bir değiştirilir.
c. Sistem yöneticisi, sistem ve kullanıcı hesapları için farklı parolalar kullanır.
ç. Parolalar e-posta iletilerine veya herhangi bir elektronik forma eklenmez.
d. Kullanıcı, parolasını başkası ile paylaşmaması, kâğıtlara ya da elektronik ortamlara yazmaması konusunda bilgilendirilir ve eğitilir.
e. Kurum çalışanı olmayan kişiler için açılan kullanıcı hesapları kolayca kırılamayacak güçlü bir parolaya sahip olmalıdır.
f. Bütün parolalar Kuruma ait gizli bilgiler olarak düşünülmeli ve kullanıcı, parolalarını hiç kimseyle paylaşmaz.
g. Web tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki “parola hatırlama” seçeneği kullanılmaz.
ğ. Güvenlik taraması sonucunda parolalar tahmin edilirse veya kırılırsa kullanıcıdan parolasını değiştirmesi talep edilir.
h. Kullanıcı güçlü bir parola oluşturmak için aşağıdaki parola özelliklerini uygular:
• En az 8 haneli olur.
• İçerisinde en az 1 tane harf bulunur. (a, b, C...)
• İçerisinde en az 2 tane rakam bulunur. (1, 2, 3...)
• En az 1 tane özel karakter içerebilir. (@, !,?,^,+,$,#,&,/,{,*,-,],=,...)
• Aynı karakterler peş peşe kullanılmaz (aaa, 111, XXX, ababab...)
• Sıralı karakterler kullanılmaz. (abcd, qwert, asdf,1234,zxcvb...)
• Kullanıcıya ait anlam ifade eden kelimeler içermez. (Aileden birisinin, arkadaşının, sahip olduğu hayvanın ismi, arabanın modeli vb.)
Antivirüs Politikası
Bu politika ile istemcilerin ve sunucuların virüs algılama ve engelleme standardına sahip olması için gerekliliklerin belirlenmesi amaçlanmaktadır. Antivirüs Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Kurumun tüm istemci ve sunucularında antivirüs yazılımı bulundurulur.
b. Sistem yöneticileri, antivirüs yazılımının sürekli ve düzenli çalışmasından ve istemcilerin ve sunucuların virüsten arındırılması için gerekli prosedürlerin oluşturulmasından ve uygulanmasından sorumludur.
c. Kullanıcı hiç bir sebepten dolayı antivirüs yazılımını bilgisayarından kaldıramaz.
ç. Antivirüs güncellemeleri antivirüs sunucusu üzerinden yapılır. Sunucular internete sürekli bağlı olup, sunucuların veri tabanları otomatik olarak güncellenir. Etki alanına bağlı istemcilerin, otomatik olarak antivirüs sunucusu tarafından antivirüs güncellemeleri yapılır.
d. Etki alanına dâhil olmayan kullanıcıların güncelleme sorumluluğu kendilerine ait olup, herhangi bir sakınca tespit edilmesi durumunda, sistem yöneticileri bu bilgisayarları ağdan çıkartır.
e. Bilinmeyen veya şüpheli kaynaklardan dosya indirilemez.
f. Kurumun ihtiyacı haricinde okuma/yazma hakkı veya disk erişim hakkı tanımlamaktan kaçınılır. İhtiyaca binaen yapılan bu tanımlamalar, ihtiyacın ortadan kalkması durumunda iptal edilir.
g. Optik medya ve harici veri depolama cihazları antivirüs kontrolünden geçirilir.
İnternet Erişim ve Kullanım Politikası
Bu politika ile internet kurallarına, etiğe ve yasalara uygun kullanımının sağlanması ve güvenli internet erişimine sahip olunması için gereken standartların belirlenmesi amaçlanmaktadır. İnternet Erişim ve Kullanım Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Kurumun bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvarları üzerinden internete çıkar.
b. Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılır. İstenilmeyen siteler (Oyun, kumar, şiddet içeren vs.) yasaklanır.
c. Kurumun ihtiyacı doğrultusunda Saldırı Tespit ve Önleme Sistemleri kullanılır.
ç. Kurumun ihtiyacı ve olanakları doğrultusunda antivirüs sunucuları kullanılır. İnternete giden ve gelen bütün trafik virüslere karşı taranır.
d. Kullanıcıların internet erişimlerinde firewall, antivirüs, içerik kontrol vs. güvenlik kriterleri hayata geçirilir.
e. Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmez.
f. İş ile ilgili olmayan (müzik, video dosyaları) dosyalar gönderilmez ve indirilmez. Bu konuda gerekli önlemler alınır.
g. Uygunsuz materyal içeren yasaklı sitelere çeşitli uygulamalar kullanarak erişmek yasaktır.
ğ. Yönetim Kurulu Üyeleri, Genel Müdür Yardımcıları, Daire Başkanları ve BİDB ilgili teknik personelleri hariç Kurum personelinin internet kullanımının her yöne açık olabilmesi için talep edilme amacı ve hangi tarih aralığı için talep edildiği bilgisini içeren Makam Onayı gerekir. Makam Onayı alınarak resmi yazı ile BİDB’ye bildirilmesini müteakip talep yerine getirilir.
Sunucu Güvenlik Politikaları
Sunucularla ilgili sorumluluklar ve kurallar aşağıda belirtilmiştir:
a. Kurumda bulunan sunucuların yönetiminden, BİDB’deki ilgili Şube Müdürlükleri ve ilgili sunucuyla yetkilendirilmiş personel(ler) sorumludur.
b. Sunucu kurulumları, konfigürasyonları, yedeklemeleri, yamaları, güncellemeleri BİDB’deki ilgili Şube Müdürlükleri ve sorumlu personel(ler) tarafından yapılır.
c. Sunuculara ait bilgilerin yer aldığı tablo oluşturulur. Bu tabloda, sunucuların isimleri, ip adresleri ve yeri, ana görevi ve üzerinde çalışan uygulamalar, işletim sistemi sürümleri ve yamaları, donanım, kurulum, yedekleme, yama yönetimi işlemlerinden sorumlu personel(ler)in isimleri ve telefon numaraları bilgileri yer alır ve bu tablo güvenli erişilebilir bir ortamda bulundurulur. Tüm bilgiler, sistem yöneticisinin belirlediği kişi(ler) tarafından güncel tutulur.
ç. Kullanılmayan servisler ve uygulamalar kapatılır.
d. Servislere erişimler kaydedilir ve erişim kontrol yöntemleri ile koruma sağlanır.
e. Sunucu üzerinde çalışan işletim sistemleri, hizmet sunucu yazılımları ve antivirüs vb. koruma amaçlı yazılımlar sürekli güncellenir. Antivirüs ve yama güncellemeleri otomatik olarak yazılımlar tarafından yapılır.
f. Sistem yöneticileri “Administrator” ve “root” gibi genel sistem hesapları kullanmaz. Sunuculardan sorumlu personelin istemciler ve sunuculara bağlanacakları kullanıcı adları ve parolaları farklıdır.
g. Sunuculara bağlantılar teknik olarak güvenli kanal (SSL, IPSec VPN gibi şifrelenmiş ağ) üzerinden yapılır.
ğ. Sunucular fiziksel olarak korunmuş sistem odalarında bulunur.
h. Sunucular elektrik, ağ altyapısı, sıcaklık ve nem değerleri düzenlenmiş, tavan ve taban güçlendirmeleri yapılmış ortamlarda bulundurulur.
ı. Sistem odalarına giriş ve çıkışlar erişim kontrollü olur.
i. Sunucuların yazılım ve donanım bakımları belirli periyotlarla yapılır.
Ağ Cihazları Güvenlik Politikası
Ağ cihazları güvenlik politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Ağ cihazlarının IP ve MAC adres bilgileri yazılı olarak bulunur.
b. Yerel kullanıcı hesapları açılmaz. Ağ cihazları kimlik tanımlama için LDAP, RADIUS veya TACAS+ protokollerinden birini kullanılır.
c. Yönlendirici ve anahtarlardaki tam yetkili şifre olan “enable şifresi” kodlanmış formda saklanır. Bu şifrenin tanımlanması Kurum içerisinden yapılır.
ç. Kurumun standart olan SNMP (Simple Network Management Protocol) community string değerleri kullanılır.
d. Tüm ağ cihazları, BİDB’in bilgisi ve izni ile Kurum sistemine kurulur.
e. Yazılım ve firmware güncellemeleri önce test ortamlarında denenir, daha sonra çalışma günlerinin dışında üretim ortamına taşınır.
f. Cihazlar üzerinde kullanılmayan servisler kapatılır.
g. Bilgisayar ağında bulunan kabinetler, aktif cihazlar, ağ kabloları (UTP ve fiber optik kablolar) ve diğer cihazların portları etiketlenir.
Ağ Yönetim Politikası
Bir ağ ortamında kullanılan sistemlerin ve bu sistemler üzerinde saklanan her türlü verinin korunması ancak etkin bir ağ güvenliği denetimi ile yapılabilir. Ağ Yönetim Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Ağ cihazları yönetim sorumluluğu, sunucu ve istemcilerin yönetiminden ayrılır.
b. Bilgisayar ağlarının ve bağlı sistemlerin iş sürekliliğini sağlamak için düzenli denetimler yapılır ve güncellemeler uygulanır.
c. Erişimine izin verilen ağlar, ağ servisleri ve ilgili yetkilendirme yöntemleri belirtilir ve yetkisiz erişimle ilgili tedbirler alınır.
ç. Gerek görülen uygulamalar için, portların belirli uygulama servislerine veya güvenli ağ geçitlerine otomatik olarak bağlanması sağlanır.
d. Sınırsız ağ dolaşımı engellenir. Ağ servisleri, varsayılan durumda erişimi engelleyecek şekilde olup, ihtiyaçlara göre serbest bırakılır.
e. Harici ağlar üzerindeki kullanıcıları belirli uygulama servislerine veya güvenli ağ geçitlerine bağlanmaya zorlayıcı teknik önlemler alınır.
f. İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden güvenlik duvarı gibi ağ cihazlarıyla önlemler alınır ve kayıtlar tutulur.
g. Ağ erişimi VPN, VLAN gibi ayrı mantıksal alanlar oluşturularak sınırlandırılır. Kurum kullanıcılarının bilgisayarlarının bulunduğu ağ, sunucuların bulunduğu ağ, DMZ ağı birbirlerinden ayrılır ve ağlar arasında geçiş güvenlik duvarı (firewall) üzerinden sağlanır.
ğ. Uzaktan teşhis ve müdahale için kullanılacak portların güvenliği sağlanır.
h. Bilgisayar ağına bağlı bütün makinelerde kurulum ve yapılandırma parametreleri, Kurumun güvenlik politika ve standartlarıyla uyumlu olmalıdır.
ı. Sistem tasarımı ve geliştirilmesi yapılırken Kurum tarafından onaylanmış olan ağ ara yüzü ve protokolleri kullanılır.
i. İnternet trafiği, İnternet Erişim ve Kullanım Politikası ve ilgili standartlarda anlatıldığı şekilde izlenir.
j. Bilgisayar ağındaki adresler, ağa ait yapılandırma ve diğer tasarım bilgileri 3. şahıs ve sistemlerin ulaşamayacağı şekilde saklanır.
k. Ağ cihazları görevleri dışında başka bir amaç için kullanılmaz.
l. Ağ cihazları yapılandırılması BİDB denetiminde yapılır ve değiştirilmez.
m. Ağ dokümantasyonu hazırlanır ve ağ cihazlarının güncel yapılandırma bilgileri gizli ortamlarda saklanır.
Uzaktan Erişim Politikası
Uzaktan Erişim Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. İnternet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar VPN teknolojisini kullanırlar. Bu; veri bütünlüğünün korunması, erişim denetimi, mahremiyet, gizliliğin korunması ve sistem devamlılığını sağlamaktadır. VPN teknolojileri IpSec, SSL, VPDN, PPTP, L2TP vs. protokollerinden birini içerir.
b. Uzaktan erişim güvenliği denetlenir.
c. Kurum çalışanları bağlantı bilgilerini hiç kimse ile paylaşmaz.
ç. Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya sözleşme sahipleri bağlantı esnasında aynı anda başka bir ağa bağlı olamaz.
d. Telefon hatları üzerinden uzaktan erişim, mümkün olan en üst düzeyde güvenlik yapılandırması ile kullanılır.
e. Kurum ağına uzaktan erişecek bilgisayarların işletim sistemi ve antivirüs yazılımı güncellemeleri yapılır.
f. Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri BİDB’ye bildirilir, yetkiler ve hesap özellikleri buna göre güncellenir.
Kablosuz İletişim Politikası
Kablosuz iletişim ile ilgili gereklilikler aşağıda belirtilmiştir:
a. Güçlü bir şifreleme ve erişim kontrol sistemi kullanılır. Bunun için Wi-Fi Protected Access2 (WPA2-kurumsal) şifreleme kullanılır. IEEE 802.1x erişim kontrol protokolü ve TACACS+ ve RADIUS gibi güçlü kullanıcı kimlik doğrulama protokolleri kullanılır.
b. Erişim cihazlarındaki firmware yazılımları donanım üreticisi tarafından çıkarılan güvenlik ile ilgili yamaların uygulanması için düzenli olarak güncellenir.
c. Cihaza erişim için güçlü bir parola kullanılır. Erişim parolaları varsayılan ayarda bırakılmaz.
ç. Varsayılan SSID isimleri kullanılmamalıdır. SSID ayarı bilgisi içerisinde Kurumla ilgili bilgi olmaz, mesela Kurum ismi, ilgili bölüm, çalışanın ismi vb.
d. Radyo dalgalarının binanın dışına taşmamasına özen gösterilmelidir. Bunun için çift yönlü antenler kullanılarak radyo sinyallerinin çalışma alanında yoğunlaşması sağlanır.
e. Kullanıcıların erişim cihazları üzerinden ağa bağlanabilmeleri için, Kurum kullanıcı adı ve parolası bilgilerini etki alanı adı ile beraber girmeleri sağlanır ve Kurum kullanıcısı olmayan kişilerin, kablosuz ağa yetkisiz erişimi engellenir.
f. Erişim cihazları üzerinden gelen kullanıcılar Firewall üzerinden ağa dâhil edilir.
g. Erişim cihazları üzerinden gelen kullanıcıların internete çıkış bant genişliğine sınırlama getirilir ve kullanıcılar tarafından Kurumun tüm internet bant genişliğinin tüketilmesi engellenir.
ğ. Kullanıcı bilgisayarlarında kişisel antivirüs ve güvenlik duvarı yazılımları yüklü olmalıdır.
h. Erişim cihazları bir yönetim yazılımı ile devamlı olarak gözlemlenir.
Kimlik Doğrulama ve Yetkilendirme Politikası
Kimlik Doğrulama ve Yetkilendirme Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Kurum sistemlerine erişecek tüm kullanıcıların kurumsal kimlikleri doğrultusunda hangi sistemlere, hangi kimlik doğrulama yöntemi ile erişeceği belirlenir ve dokümante edilir.
b. Kurum sistemlerine erişmesi gereken firma kullanıcılarına yönelik ilgili profiller ve kimlik doğrulama yöntemleri tanımlanır ve dokümante edilir.
c. Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veritabanları, işletim sistemleri ve logon olarak erişilen tüm sistemler üzerindeki kullanıcı rolleri ve yetkiler belirlenir, dokümante edilir ve denetim altında tutulur.
ç. Tüm kurumsal sistemler üzerindeki kullanım hakları (kullanıcıların kendi sistemlerine yönelik olarak birbirlerine verdikleri haklar dâhil) periyodik olarak gözden geçirilir ve bu gereksinimler gerekli minimum yetkinin verilmesi prensibi doğrultusunda revize edilir.
d. Erişim ve yetki seviyelerinin sürekli olarak güncelliği temin edilir.
e. Sistemlere başarılı ve başarısız erişim istekleri düzenli olarak tutulur, tekrarlanan başarısız erişim istekleri/girişimleri incelenir.
f. Kullanıcılara erişim hakları yazılı olarak beyan edilir.
g. Kullanıcı hareketlerini izleyebilmek üzere her kullanıcıya kendisine ait bir kullanıcı hesabı açılır.
ğ. Sistemler üzerindeki tüm roller, rollere sahip kullanıcılar ve rollerin sistem kaynakları üzerindeki yetkileri uygun araçlar kullanılarak belirli aralıklarla listelenir. Bu listeler yetki seviyeleri ile karşılaştırılır. Eğer uyumsuzluk varsa dokümanlar ve yetkiler düzeltilerek uyumlu hale getirilir.
Veritabanı Güvenlik Politikası
Veritabanı sistemleri için güvenlik kuralları aşağıda belirtilmiştir:
a. Veritabanı sistemleri envanteri dokümante edilir ve bu envanterden sorumlu personel tanımlanır.
b. Veritabanı işletim kuralları belirlenir ve dokümante edilir.
c. Veritabanı sistem kayıtları tutulur ve BİDB tarafından izlenir.
ç. Veritabanında kritik verilere her türlü erişim işlemleri (okuma, değiştirme, silme, ekleme) kaydedilir.
d. Veritabanı sistemlerinde tutulan bilgiler sınıflandırılır ve uygun yedekleme politikaları oluşturulur, yedeklemeden sorumlu sistem yöneticileri belirlenir ve yedeklerin düzenli olarak alınması kontrol altında tutulur.
e. Yedekleme planları dokümante edilir.
f. Manyetik kartuş, DVD veya disk ortamlarında tutulan log kayıtları en az 2 (iki) yıl süre ile güvenli ortamlarda saklanır.
g. Veritabanı erişim politikaları “Kimlik Doğrulama ve Yetkilendirme” politikaları çerçevesinde oluşturulur.
ğ. Hatadan arındırma, bilgileri yedekten dönme kuralları oluşturulur ve dokümante edilir.
h. Bilgilerin saklandığı sistemler fiziksel güvenliği sağlanmış sistem odalarında tutulur.
ı. Veritabanı sistemlerinde oluşacak problemlere yönelik bakım, onarım çalışmalarında yetkili bir personel bilgilendirilir.
i. Yama ve güncelleme çalışmaları yapılmadan önce bildirimde bulunulur ve sonrasında ilgili uygulama kontrolleri gerçekleştirilir.
j. İşletme sırasında ortaya çıkan beklenmedik durum ve teknik problemlerde destek için temas edilecek kişiler belirlenir.
k. Veritabanı sunucusu sadece ssh, rdp, ssl ve veritabanının orijinal yönetim yazılımına açık olmalıdır; bunun dışında ftp, telnet vb. gibi açık metin şifreli bağlantılara kapalı olmalıdır. Ancak ftp, telnet vb. açık metin şifreli bağlantılar veri tabanı sunucudan dışarıya yapılabilir.
l. Uygulama sunucularından veritabanına rlogin vb. şekilde erişilemez.
m. Veritabanı sunucularına erişim şifreleri kapalı bir zarfta imzalı olarak Kurumun kasasında saklanır ve gereksiz yere açılmaz.
n. Arayüzden gelen kullanıcılar bir tabloda saklanır, bu tablodaki kullanıcı adı ve şifreleri şifrelenir.
o. Veritabanı sunucusuna ancak zorunlu hallerde “root” veya “admin” olarak bağlanılır. Root veya admin şifresi yetki verilmiş tanımlı kişi/kişilerde olur.
ö. Veritabanına bağlanacak kişilerin kendi adlarına kullanıcı adı verilir ve yetkilendirme yapılır.
p. Bütün kullanıcıların yaptıkları işlemler kaydedilir.
r. Veritabanında bulunan farklı şemalara, kendi yetkili kullanıcısı dışındaki diğer kullanıcıların erişmesi engellenir.
s. Veritabanı sunucularına internet üzerinden erişimlerde VPN gibi güvenli bağlantılar tesis edilir.
ş. Veritabanı sunucularına ancak yetkili kullanıcılar erişir.
t. Veritabanı sunucularına kod geliştiren kullanıcı dışında diğer kullanıcılar bağlanıp sorgu yapamaz. İstekler arayüzden sağlanır.
u. Veritabanı sunucularına giden veri trafiği şifrelenir.
ü. Bütün şifreler Parola Politikasına uygun olarak düzenli aralıklarla değiştirilir.
v. Veritabanı sunucuları için yukarıda bahsedilen ve uygulanabilen güvenlik kuralları uygulama sunucuları için de geçerlidir.
Yazılım Geliştirme Politikası
Yazılım Geliştirme Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Kurum içinde geliştirilmiş/geliştirilecek yazılımlar ve seçilen paket yazılımlar ihtiyaçları karşılamalıdır.
a. Yazılım geliştirmede, analiz, tasarım, geliştirme, test ve bakım safhalarını içeren sağlıklı bir metodoloji kullanılır.
b. İhtiyaçlar, uygun bir şekilde tanımlanır.
c. Kurulum yazılımlarında mevcut olan kontroller, kullanılacak yeni bir yazılım veya mevcut yazılımlara yapılacak olan güncellemeler ile etkisiz hale getirilemez.
ç. Kurumda kişisel olarak geliştirilmiş yazılımların kullanılması engellenir.
d. Hazırlanan yazılımlar mevcut prosedürler dâhilinde, işin gerekliliklerini yerine getirdiklerinden ve iç kontrol yapıldığından emin olunması açısından test edilir, yapılan testler ve test sonuçları belgelenerek onaylanır.
e. Yeni alınmış veya revize edilmiş bütün yazılımlar test edilir ve onaylanır.
f. Eski yazılımlara ait veriler tamamen, doğru olarak ve yetkisiz değişiklikler olmadan yeni yazılım veritabanına aktarılır.
g. Yazılımların uygulama ortamına aktarılma kararı ilgili birim tarafından verilir.
ğ. Yeni yazılımların dağıtımı ve uygulanması kontrol altında tutulur.
h. Yazılımlar sınıflandırılır ve envanterleri çıkarılarak muhafaza edilir.
ı. Yazılım konfigürasyon yönetimi yapılır, yazılım ile ilgili tüm dosyalar sunucularda saklanır, hassas bilgi olarak nitelendirilir, erişim yetkileri ve erişimleri kayıt altına alınır.
i. Parametrelerin manipüle edilmesinin önlenmesi için http post kullanılır.
j. Güvenli ve performanslı yazılım geliştirme standartları ve isimlendirme standartlarına uyulur ve yazılım modüler yapıda geliştirilir. Bu standartlara göre kod gözden geçirme yapılarak geliştirilen kodlar uygulamaya alınır.
k. Test aşamasında modül, fonksiyon, entegrasyon ve yetkisiz erişimi engellemek için erişim testleri yapılır.
Değişim Yönetimi Politikası
Değişim Yönetimi Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Bilgi sistemlerinde değişiklik yapmaya yetkili personel ve yetki seviyeleri dokümante edilir.
b. Bilgi işleme olanakları ve sistemlerinde olan değişiklikler kontrol edilir, değişimle ilgili prosedür ve diğer dokümanlar hazırlanır.
c. Yazılım ve donanım envanteri oluşturularak, yazılım sürümleri kontrol edilir.
ç. Herhangi bir sistemde değişiklik yapmadan önce, bu değişiklikten etkilenecek tüm sistem ve uygulamalar belirlenir ve dokümante edilir.
d. Değişiklikler gerçekleştirilmeden önce Güvenlik Politikaları yöneticisi ve ilgili diğer yöneticilerin onayı alınır.
e. Tüm sistemlere yönelik yapılandırma dokümantasyonu oluşturulur, yapılan her değişikliğin bu dokümantasyonda güncellenmesi sağlanarak kurumsal değişiklik yönetimi ve takibi temin edilir.
f. Planlanan değişiklikler yapılmadan önce yaşanabilecek sorunlar ve geri dönüş planlarına yönelik kapsamlı bir çalışma hazırlanır ve ilgili yöneticiler tarafından onaylanması sağlanır.
g. Teknoloji değişikliklerinin Kurumun sistemlerine etkileri belirli aralıklarla gözden geçirilir ve dokümante edilir.
Bilgi Sistemleri Yedekleme Politikası
Bilgi Sistemleri Yedekleme Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Bilgi sistemlerinde oluşabilecek hatalar karşısında; sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en aza indirmek için, sistemler üzerindeki konfigürasyon, sistem bilgileri ve kurumsal veriler düzenli olarak yedeklenir.
b. Verinin operasyonel ortamda online olarak aynı disk sisteminde farklı disk volümlerinde ve offline olarak manyetik kartuş ortamında yedekleri alınır.
c. Taşınabilir ortamlar (manyetik kartuş) fiziksel olarak bilgi işlem odalarından farklı odalarda veya binalarda güvenli bir şekilde saklanır. Veriler offline ortamlarda yasal saklama süresine göre saklanır.
ç. Kurumsal kritik verilerin saklandığı veya sistem kesintisinin kritik olduğu sistemlerin bir varlık envanteri çıkartılır ve yedekleme ihtiyacı bakımından sınıflandırılarak dokümante edilir.
d. Düzenli yedeklemesi yapılacak varlık envanteri üzerinde hangi sistemlerde ne tür uygulamaların çalıştığı ve yedeği alınacak dizin, dosya bilgi sistemlerinde değişiklik yapmaya yetkili personel ve yetki seviyeleri dokümante edilir.
e. Yedekleme konusu bilgi güvenliği süreçleri içinde çok önemli bir yer tutmaktadır. Bu konuyla ilgili sorumluluklar tanımlanır ve atamalar yapılır.
f. Yedekleri alınacak sistem, dosya ve veriler dikkatle belirlenir ve yedeği alınacak sistemleri belirleyen bir yedekleme listesi oluşturulur.
g. Yedek ünite üzerinde gereksiz yer tutmamak amacıyla, kritiklik düzeyi düşük olan veya sürekli büyüyen izleme dosyaları yedekleme listesine dâhil edilmez.
ğ. Yedeklenecek bilgiler değişiklik gösterebileceğinden yedekleme listesi periyodik olarak gözden geçirilir ve güncellenir.
h. Yeni sistem ve uygulamalar devreye alındığında, yedekleme listeleri güncellenir.
ı. Yedekleme işlemi için yeterli sayı ve kapasitede yedek üniteler seçilir ve temin edilir. Yedekleme kapasitesi artış gereksinimi periyodik olarak gözden geçirilir.
i. Yedekleme ortamlarının düzenli periyotlarda test edilmesi ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanır.
j. Geri yükleme prosedürlerinin düzenli olarak kontrol ve test edilerek etkinlikleri doğrulanır ve operasyonel prosedürlerin öngördüğü sürelerde tamamlanır.
k. Yedek ünitelerin saklanacağı ortamların fiziksel uygunluğu ve güvenliği sağlanır.
l. Yedekleme standardı ile doğru ve eksiksiz yedek kayıt kopyaları bir felaket anında etkilenmeyecek bir ortamda bulundurulur.
m. Veri yedekleme standardı, yedekleme sıklığı, kapsamı, gün içinde ne zaman yapılacağı, ne koşullarda ve hangi aşamalarla yedeklerin yükleneceği ve yükleme sırasında sorunlar çıkarsa nasıl geri dönüleceği belirlenir. Yedekleme ortamlarının ne şekilde işaretleneceği, yedekleme testlerinin ne şekilde yapılacağı ve bunun gibi konulara açıklık getirecek şekilde hazırlanır ve işlerliği periyodik olarak gözden geçirilir.
Bakım Politikası
Bakım Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Kurum sistemlerinin tamamı (donanım, uygulama yazılımları, paket yazılımlar, işletim sistemleri) periyodik bakım güvencesine alınır.
b. Üreticilerden veya yetkili firmalardan sistemler ile ilgili bakım prosedürleri sağlanır.
c. Firma teknik destek elemanlarının bakım yaparken bu yönergeye uygun davranmaları sağlanır ve kontrol edilir.
ç. Sistem üzerinde yapılacak değişiklikler ile ilgili olarak “Değişim Yönetimi Politikası” ve ilişkili standartlar uygulanır.
d. Bakım yapıldıktan sonra tüm sistem dokümantasyonu güncellenir.
e. Sistem bakımlarının ilgili politika ve standartlar tarafından belirlenmiş kurallara aykırı bir sonuç vermediğinden ve güvenlik açıklarına yol açmadığından emin olmak için periyodik uygunluk ve güvenlik testleri yapılır.
f. Sistem bakımlarından sonra bir güvenlik açığı yaratıldığından şüphelenilmesi durumunda bu yönerge uyarınca hareket edilir.
Personel Güvenliği Politikası
Personel Güvenliği Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Çeşitli seviyelerdeki bilgiye erişim hakkının verilmesi için personel yetkinliği ve rolleri kararlaştırılır.
b. Kullanıcılara erişim haklarını açıklayan yazılı bildiriler verilir ve teyit alınır.
c. Bilgi sistemlerinde sorumluluk verilecek kişinin yeterliliği araştırılır.
ç. Bilgi sistemleri ihalelerinde sorumluluk alacak firma personeli için güvenlik gereksinim ve incelemeleriyle ilgili koşullar eklenir.
d. Kritik bilgiye erişim hakkı olan çalışanlar ile gizlilik anlaşmaları imzalanır.
e. Kurumsal bilgi güvenliği bilinçlendirme eğitimleri düzenlenir.
f. İş tanımı değişen veya Kurumdan ayrılan kullanıcıların erişim hakları kaldırılır.
g. Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurulur.
ğ. Kurum bilgi sistemlerinin işletmesinden sorumlu personelin konularıyla ilgili teknik bilgi düzeylerini güncel tutmaları çalışma sürekliliği açısından önemli olduğundan, eğitim planlamaları periyodik olarak yapılır, bütçe ayrılır, eğitimlere katılım sağlanır ve eğitim etkinliği değerlendirilir.
h. Yetkiler, “görevler ayrımı” ve “en az ayrıcalık” esaslı olmalıdır. “Görevler ayrımı”, rollerin ve sorumlulukların paylaştırılması ile ilgilidir. Bu paylaşım ile kritik bir sürecin tek kişi tarafından kırılma olasılığı azaltılır. “En az ayrıcalık” ile kullanıcıların gereğinden fazla yetkiyle donatılması engellenir. Sorumlu oldukları işleri yapabilmeleri için yeterli olan asgari erişim yetkisine sahip olmalıdır.
ı. Çalışanlar, kendi işleri ile ilgili olarak bilgi güvenliği sorumlulukları, riskler, görev ve yetkileri hakkında periyodik olarak eğitilir. Yeni işe alınan personel için de bu eğitim, uyum süreci sırasında verilir.
i. Çalışanların güvenlik ile ilgili aktiviteleri izlenir.
j. Çalışanların başka görevlere atanması ya da işten ayrılması durumlarında işletilecek süreçler tanımlanır. Erişim yetkilerinin, kullanıcı hesaplarının, akıllı kart gibi donanımların iptal edilmesi, geri alınması veya güncellenmesi sağlanır, varsa devam eden sorumluluklar kayıt altına alınır.
Fiziksel Güvenlik Politikası
Fiziksel Güvenlik Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Kurumun binalarının fiziksel olarak korunması, farklı koruma mekanizmaları ile donatılması temin edilir.
b. Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binalarda ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanır ve erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları teşkil edilir.
c. Kurum dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi yetkili güvenlik görevlileri gözetiminde gerçekleştirilir.
ç. Kritik bilgilerin bulunduğu alanlara girişler kontrolü akıllı kartlar veya biyometrik sistemler ile yapılır ve izlenir.
d. Tanımlanan farklı güvenlik bölgelerine erişim yetkilerinin güncelliği sağlanır.
e. Personel kimliği ve yetkilerini belirten kartların ve ziyaretçi kartlarının düzenli olarak taşınması sağlanır.
f. Kritik sistemler özel sistem odalarında tutulur.
g. Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine, yangın ve benzer felaketlere karşı korunur ve iklimlendirilmesi sağlanır.
ğ. Fotokopi, yazıcı vs. tür cihazlar çalışma olmadığında kullanıma kapatılır, mesai saatleri içerisinde yetkisiz kullanıma karşı koruma altına alınır.
h. Çalışma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması temin edilir.
ı. Hassas bilgilerin bulunduğu alanlar (kimlik doğrulama kartı ve PIN koruması gibi yöntemlerle) yetkisiz erişime kapatılır.
i. Yangın, sel, deprem, patlama ve diğer tabii afetler veya toplumsal kargaşa sonucu oluşabilecek hasara karsı fiziksel koruma tedbirleri alınır ve uygulanır.
j. Yedeklenmiş materyal ve yedek sistemler sistem odasından yeterince uzak bir yerde konuşlandırılır.
k. Fiziksel ortamların taşınmasında; paketleme, içeriğin fiziksel hasarlardan yeterince korunmasını sağlayacak şekilde yapılır.
l. Acil durumlar için her zaman alternatif yol ve iletişim kanalları mevcut olmalıdır.
Kriz / Acil Durum Politikası
Bu politika Kurum çalışanlarının, bilgi güvenliliği ve iş sürekliliği ile ilgili acil bir durum oluştuğunda sorumlulukları dâhilinde gerekli müdahaleleri yapabilmelerine yönelik standartları belirlemektedir. Acil Durum Politikası ile ilgili kurallar aşağıda belirtilmiştir:
a. Acil durum sorumluları atanır, yetki ve sorumlulukları belirlenir ve dokümante edilir.
b. Bilgi sistemlerinin kesintisiz çalışabilmesi için gerekli önlemler alınır. Problem durumlarında sistem, kesintisiz veya makul kesinti süresi içerisinde felaket kurtarma veri merkezi veya aynı veri merkezi üzerinden çalıştırılır.
c. Bilişim sistemlerinin kesintisiz çalışmasının sağlanması için sistemler tasarlanırken minimum sürede iş kaybı hedeflenir.
ç. Acil durumlarda Kurum içi işbirliği gereksinimleri tanımlanır.
d. Acil durumlarda sistem kayıtları incelenmek üzere saklanır.
e. Güvenlik açıkları ve ihlallerinin rapor edilmesi için kurumsal bir mekanizma oluşturulur.
f. Yaşanan acil durumlar sonrası politikalar ve süreçler yeniden incelenerek ihtiyaçlar doğrultusunda revize edilir.
g. Bir güvenlik ihlali yaşandığında ilgili sorumlulara bildirimde bulunulur ve bu bildirim süreçleri öncesinde tanımlanır.
ğ. Acil durumlarda bilgi güvenliği yöneticisine erişilir, ulaşılamadığı durumlarda koordinasyonu sağlamak üzere önceden tanımlanmış ilgili yöneticiye bilgi verilir ve zararın tespit edilerek süratle önceden tanımlanmış felaket kurtarma faaliyetleri yürütülür.
h. Bilgi güvenliği yöneticisi tarafından gerekli görülen durumlarda konu hukuksal zeminde incelenmek üzere ilgili makamlara iletilir.
DÖRDÜNCÜ BÖLÜM
Çeşitli Hükümler
Yürürlük
Bu Yönerge onaylandığı tarihte yürürlüğe girer.
Yürütme
Bu Yönerge hükümlerini Genel Müdür yürütür.
