VizyonİK ile işinizi kolaylaştırıyoruz.

Bu doküman VBT içerisinde bilgi sistemlerinin güvenliğinin sağlanması için asgari uyulması gereken kuralları içermektedir. Aşağıdaki politikalar aşağıda belirtilen amaçları taşımaktadır.

Bilgi sistemlerinde paylaşılmakta olan her türlü verinin güvenliğini sağlamak İş devamlılığını sağlamak ve güvenlik ihlalinden kaynaklanabilecek kanuni riskleri en aza indirmek Kurumun itibarını ve yatırımlarını korumak Politikalar bilgi sistemleri tasarlarken veya işletirken uyulması gereken kuralları açıklamaktadır.

E-posta Politikası

Bu politika şirket içerisinde e-posta altyapısına yönelik kuralları içermektedir. Kurum içerisinde kullanılan e-posta hesapları kurum kimliği taşımaktadır. Kurum bünyesinde oluşturulan e-posta hesaplarının tüm personeller için doğru kullanımını kapsamaktadır.

Anti-Virüs Politikası

Bu politika kurum içindeki tüm pc-tabanlı bütün bilgisayarları kapsamaktadır. Bunlar tüm masaüstü ve dizüstü bilgisayar ve sunuculardır.

Tüm bilgisayarlar ve sunucularda anti-virüs yazılımı yüklüdür. Güncellemeleri, günde en az iki kez yapılmaktadır. Sistem yöneticileri anti virüs yazılımının sürekli olarak çalışır durumda olmasından ve güncellenmesinden sorumludur. Kullanıcıların bilgisayarından anti virüs yazılımını kaldırmaları engellenmiştir. Virüs bulaşan bilgisayar tam olarak temizlenmeden ağa eklenmemelidir.

Internet Erişim ve Kullanım Politikası

Bu politikanın amacı internet kullanıcılarının güvenli internet erişimi için gerekli olan kuralları kapsamaktadır. İnternet erişim ve kullanım politikası kapsamı:

1. Kurumun içerişinden kullanıcıların internet erişimi bir firewall üzerinden sağlanmaktadır.
2. İhtiyaç doğrultusunda içerik filtrelenmeli ve istenmeyen, yasaklı ve operasyonel ihtiyaç dışında kalan onaysız siteler engellenmelidir.
3. Gerektiğinde port bazlı erişimler kontrollü olarak verilmektedir.
4. Hiçbir kullanıcı peer-to-peer yoluyla (kaza, emula, limewire vb) internete bağlanamamaktadır.
5. Bilgisayarlar üzerinden mesajlaşma ve sohbet programları kullanılmamaktadır ve bunlar vasıtasıyla dosya transferi yapılamamaktadır.
6. Çalışma saatleri içerisinde aşırı şekilde iş ile ilgisi olmayan sitelerde gezinmek yasaklanmıştır.
7. İş ile ilgili olmayan (müzik, video vb) yüksek hacimli dosyalar göndermek ve indirmek yasaklanmıştır.
8. İnternet üstünden kurum tarafından onaylanmamış yazılımlar indirilememektedir ve bilgisayarlara kurulamamaktadır. Bu gibi ihtiyaçlarda bilgi sistemleri çalışanlarından onay alınmalıdır.
9. Üçüncü kişilerin kurum içerisinden internet ihtiyaçları "misafir ağı" üzerinden kontrollü şekilde kurum ağına bağlanmadan sağlanmaktadır.

Sunucu Güvenlik Politikası

Bu politikanın amacı kurum bünyesindeki sunucuların temel güvenlik konfigürasyonlarının nasıl olması gerektiğini belirtir. Bu temel güvenlik konfigürasyonların yapılmasından ve işletilmesinden bilgi işlem sistem yöneticileri sorumludur.

1. Sunucular üzerindeki kullanılmayan servisler ve uygulamalar kapatılmaktadır.
2. Uygulama servislerine erişimler loglanmakta ve erişim kontrol logları incelenmektedir.
3. Sunucu üstünde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının, yönetim yazılımlarının vb. koruma amaçlı yazılımların kontrollü sürekli güncellenmesi yapılmaktadır. Anti virüs güncellemeleri otomatik, yama güncellemeleri sistem yöneticileri tarafından kontrollü şekilde yapılmaktadır. Bu yama güncelleme işlemi bir test ve onay mekanizmasından geçirilerek uygulamaktadır.
4. Sistem ve uygulama yöneticileri gerekli olmadıkça "administrator", "root" vb kullanıcı hesaplarını kullanmamaktadırlar. Gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmaktadırlar. Önce kendi kullanıcı hesapları ile giriş yapıp daha sonra genel yönetici hesaplarına geçiş yapmaktadırlar.
5. Ayrıcalıklı bağlantılar teknik olarak güvenli kanallar (ssh veya ssl, ipsec vpn gibi şifrelenmiş ağ) üzerinden yapılmaktadır.
6. Sunucular fiziksel olarak korunmuş sistem odalarında korunmaktadırlar.

Ağ Cihazları Güvenlik Politikası

Bu politika kurumun ağındaki yönlendirici (router) ve anahtarların (switch) sahip olması gereken minimum güvenlik konfigürasyonlarını tanımlamaktadır.

1. Bilgisayar ağında bulunan tüm cihazların ip'leri ve mac adresleri envanter listesinde yer almaktadır.
2. Yönlendirici ve anahtarlarda enable şifresi kodlanmış olarak formda saklanmaktadır.
3. IP directed broats yapılmamaktadır.
4. Yönlendirici giriş portuna gelen geçersiz IP adresleri yasaklanmıştır.
5. Yönlendirici ve anahtarlarda çalışan güvenli web servislerine erişim sadece bilgi işlem çalışanlarına verilmektedir.
6. Yönlendiricilerde ve anahtarlarda SNMP kullanıldığı durumlarda varsayılan olarak kullanılan "public", community string’e farklı değerler atanmaktadır.
7. İhtiyaçlar kontrollü şekilde eklenmektedir.
8. Yazılım ve firmware’ler ilk önce test ortamlarında denendikten sonra çalışma günlerinin veya saatlerinin dışında çalışan yapıya ortamına taşınmaktadır.
9. Cihazlar üzerinde varsayılan servisler kapatılacaktır (telnet, http). Bunların yerine güvenli protokoller ile bağlanılmalıdır (SSH, https).
10. Her bir yönlendirici ve anahtarlama cihazında aşağıdaki uyarı yazısı yer almaktadır. Yönlendiriciye ulaşan kullanıcılar yasal veya yasadışı kullanıcılar uyarılmaktadır.

"Bu cihaza yetkisiz erişimler yasaklanmıştır. Bu cihaza erişim ve konfigürasyon için yasal hakkınızın olması gerekmektedir. Aksi halde gerekli yasal takip ve işlemler yapılabilir."

Ağ Yönetimi Politikası

Ağ yönetim politikası, ağın güvenliği ve sürekliliğini karşılayan kuralları belirlemekte, standartlaştırılmasını amaçlamaktadır.

1. Bilgisayar ağlarının ve bağlı sistemlerinin iş sürekliliğini sağlamak için yedeklilik sağlanmaktadır.
2. Ağ üzerinde kullanıcının erişebileceği servisler kısıtlanmaktadır.
3. Sınırsız ağ dolaşımı engellenmiştir.
4. İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden teknik önlemler alınmıştır (Firewall vb).
5. Ağ erişimi VLAN gibi ayrı mantıksal alanlar oluşturularak sınırlandırılmıştır.
6. Uzaktan teşhis ve müdahale için kullanılacak portların güvenliği sağlanmıştır.
7. Ağ bağlantıları periyodik olarak kontrol edilmelidir.
8. Ağ üzerindeki yönlendirme kontrol edilmektedir.
9. Bilgisayar ağına bağlı bütün makinelerde kurulum ve konfigürasyon parametreleri kurumun güvenlik politika ve standartlarıyla uyumlu olarak yapılmaktadır.
10. Firewall olarak kullanılan cihazlar başka amaç için kullanılmamaktadır.
11. Bilgisayar ağıyla ilgili sorumlulukları desteklemek amacıyla ağ dokümantasyonu hazırlanmakta, ağ cihazlarının güncel konfigürasyon bilgileri saklanmaktadır.
12. Bilgisayar ağı üzerinde gerçekleşen işlemler takip edilmektedir.

Uzaktan Erişim Politikası

Bu politikanın amacı herhangi bir yerden kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar yetkisiz kullanımdan dolayı kuruma gelebilecek potansiyel zararları en aza indirmek için tasarlanmıştır.

1. Internet üzerinden kurumun herhangi bir yerindeki bilgisayar ağına erişen kişi veya kurumlar VPN teknolojisini kullanmaktadır. VPN teknolojisinde IpSec, SSL, PPTP, L2TP vb. protokollerden herhangi biri kullanılmaktadı
2. Uzaktan erişim güvenliği sıkı bir şekilde denetlenmektedir.
3. Kurum çalışanları hiçbir şekilde kendilerinin login ve e-posta şifrelerini hiç kimseye vermemelidirler.
4. Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya diğer kişiler bağlantı esnasında aynı anda başka bir ağa bağlı olmadıklarını kontrol etmelidirler. Tamamiyle kullanıcının kontrolünde olan ağlar için bu kural geçerli değildir.
5. Çalışanlar kurum ile ilgili yazışmalarında kurum dışındaki e-posta hesaplarını kullanamazlar.
6. Uzaktan erişim ile kuruma erişen bütün bilgisayarlar en son güncellenmiş anti virüs yazılımına sahip olmalıdır.
7. Kurum ağına standart dışı erişim isteğinde bulunan kurumlar veya kişiler bilgi işlem direktörünün özel izni ile geçici olarak erişmektedirler.
8. Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların kimlikleri ve hesapları kapatılmaktadır.

Kablosuz İletişim Politikası

Bu politika kurum bünyesinde kullanılabilecek bütün kablosuz haberleşme cihazlarını (dizüstü bilgisayar, cep telefonları, PDA vs) kapsamaktadır. Kablosuz cihazların gerekli güvenlik tedbirleri alınmaksızın kurumun bilgisayar ağına erişimini engellemeyi amaçlamaktadır.

1. Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmaktadır.
2. Erişim cihazlarındaki firmware’ler düzenli olarak güncellenmektedir.
3. Erişim cihazları, fiziksel olarak kolay erişilebilecek bir yerde olmaması sağlanmıştır.
4. Cihaza erişim için güçlü bir bir şifre belirlenmiş ve haftada bir değiştirilmektedir.
5. Kablosuz ağlar üzerinden kullanıcıların şirket ağına erişmeleri gerektiğinde, sadece VPN erişimi olan kullanıcılar, vpn hesaplarını kullanarak şirket ağına erişebilir.
6. Erişim cihazları bir yazılım aracılığıyla düzenli olarak kontrol edilmektedir.

İş Sürekliliği Politikası

Bilgi güvenliği ve iş sürekliliğiyle ilgili standartları belirlemektedir.

Bu kapsamda;

1. Bilgi sisteminin kesintisiz çalışması için gereken önlemler alınmıştır.
2. Kurum bilişim sistemlerinin kesintisiz çalışmasını sağlanması için aynı ortamda kümeleme (cluster), uzaktan kopyalama (remote replication), yerel kopyalama (local replication) uygulanmaktadır.
3. Acil durumlarda sistem logları yedeklenmektedir.
4. Bir güvenlik ihlali yaşandığında bilgi teknolojileri direktörüne bildirilmektedir.
5. Acil durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır:
   • Seviye A(Bilgi Kaybı): Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.
   • Seviye B(Servis Kesintisi): Kurumsal servislerin kesintisi veya kesintiye yol açabilecek durumlar.
   • Seviye C(Şüpheli Durumlar): Yukarıda tanımlı iki seviyedeki durumlara sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.
6. Herbir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu risk oluşmadan önce ve oluştuktan sonra hareket planları tanımlanmalı ve dokümante edilmelidir.
7. Acil durumlarda şirket çalışanları bilgi işlem departmanına haber vermektedir.

Kimlik Doğrulama ve Yetkilendirme Politikası

Bu politika kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarını tanımlamaktadır. Bilgi sistemlerine erişen kurum çalışanları ve kurum dışı kullanıcılar bu politika kapsamındadır.

1. Kurum sistemlerine erişebilecek kurumdaki kullanıcıların ve kurum sistemlerine erişmesi gereken diğer firma kullanıcılarının hangi sistemlere, hangi kimlik doğrulama yönetimi ile erişebileceği belirlenmiş ve dokümante edilmiştir.
2. Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve log-on olarak erişen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenerek denetim altında tutulmaktadır.
3. Gerekli minimum yetkinin verilmesi prensibi benimsenmektedir.
4. Erişim ve yetki seviyeleri belirli periyotlarda kontrol edilip gerekli durumlarda güncellenmektedir.
5. Tüm kullanıcılar kurum tarafından kullanımlarına tahsis edilen sistemlerdeki bilgilerin güvenliğinden sorumludur.
6. Sistemlere başarılı ve başarısız erişim logları düzenli olarak tutulmaktadır. Log girişimleri incelenmektedir.
7. Kullanıcı hareketlerini izleyebilmek için her kullanıcıya kendisine ait bir kullanıcı hesabı açılmaktadır.

Veri Tabanı Güvenlik Politikası

Kurumdaki veritabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik standartları tanımlar. Tüm veritabanı sistemleri bu politikanın kapsamındadır.

1. Veritabanı sistemleri envanteri ve bu envanterden sorumlu kişi tanımlanmıştır.
2. Veritabanı işletim kuralları belirlenmiştir.
3. Veritabanı sistem logları tutulmakta, gerektiğinde bilgi işlem departmanı tarafından kontrol edilmektedir.
4. Veritabanı yedekleme politikaları oluşturulmuş, yedeklemeden sorumlu sistem yöneticileri belirlenmiş ve yedeklerin düzenli olarak alındığı kontrol edilmektedir.
5. Veritabanı erişim politikaları “Kimlik doğrulama ve yetkilendirme” çerçevesinde oluşturulmuştur.
6. Hatadan arındırma, bilgileri yedekten dönme kuralları “ İş sürekliliğine” uygun, kurumun ihtiyaçlarına yönelik olarak oluşturulmuştur.
7. Bilgilerin saklandığı sistemler, fiziksel güvenliği sağlanmış sistem odasında tutulmaktadır.
8. Yama ve güncellemeler yapılmadan önce bildirimde bulunulmakta ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmektedir.
9. Veritabanı sunucularında sadece rdp, ssl ve orjinal veritabanı yönetim yazılımları kullanılmakta, bunun dışında ftp, telnet vb clear text bağlantılara kapanmıştır.
10. Veritabanı sunucusuna ancak zorunlu hallerde root ve administrator olarak bağlanılmaktadır. Root ve administrator şifresi yetkili kişilerde bulunmaktadır.
11. Bütün kullanıcıların yaptıkları işlemler loglanmaktadır.
12. Veritabanı yöneticiliği sadece bir kişidedir.
13. Veritabanı sunucularına 3. Partyların destek amaçlı erişimleri için VPN bağlantısı tahsis edilmiştir.
14. Veritabanı sunucularına ancak yetkili kişiler erişebilmektedir.
15. Veritabanı sunucularında kod geliştiren kullanıcıların dışında hiçbir kullanıcı bağlanıp sorgu yapamamaktadır.
16. Bütün şifreler belirli aralıklarla değiştirilmekte ve erişim şifreleri kapalı bir zarfta kurumun kasasında saklanmaktadır.

Değişim Yönetimi Politikası

Kurum bilgi sistemlerinde yapılması gereken konfigürasyon değişikliklerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesine yönelik politikaları belirlemektedir.

1. Bilgi sistemlerinde değişiklik yapmaya yetkili personel, bilgi işlem departmanındaki sistem yöneticileri ve uygulama yöneticisidir.
2. Yazılım ve donanım envanteri oluşturularak yazılım sürümleri kontrol edilmektedir.
3. Herhangi bir değişiklik yapılmadan önce, bu değişiklikten etkilenecek tüm sistemler ve uygulamalar belirlenmekte ve dokümante edilmektedir.
4. Değişiklik gerçekleştirilmeden önce bilgi teknolojileri direktöründen ve ilgili yöneticilerden onay alınmaktadır.
5. Planlanan değişiklikler yapılmadan önce yaşanabilecek sorunlar ve geri dönüş planlarına yönelik kapsamlı bir çalışma oluşturulmakta ve bilgi teknolojileri direktöründen onay alınmaktadır.
6. Ticari programlarda yapılacak değişiklikler, ilgili üretici tarafından onaylanmış kurallar çerçevesinde gerçekleştirilmektedir.
7. Sistemler üzerinde yapılan değişikliklerden sonra loglar incelenerek kontrol edilmektedir.

Bilgi Sistemleri Yedekleme Politikası

Bu politika kurumun bilgi sistemleri yedekleme politikasının kurallarını tanımlamaktadır. Tüm kritik bilgi sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar bu politika kapsamındadır.

1. Bilgi sistemlerinde oluşabilecek hatalar karşısında, sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en aza indirmek için, sistemler üzerindeki konfigürasyonun, sistem bilgilerinin ve kurumsal veriler düzenli olarak yedeklenmektedir.
2. Verinin operasyon ortamında online olarak manyetik kartuşa yedekleri alınmaktadır.
3. Taşınabilir ortamlarda manyetik kartuşlar fiziksel olarak kurum binasından farklı binada saklanmaktadır.
4. Yedekleme konusuyla ilgili olarak hangi sistemlerin ne kadar sıklıkla yedeklerinin alınacağı bilgi işlem departmanı tarafından belirlenmekte ve dokümante edilmektedir.
5. Yedekleme ortamlarının düzenli periyotlarla test edilmekte ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanmaktadır.