Bu doküman VBT içerisinde bilgi sistemlerinin güvenliğinin
sağlanması için asgari uyulması gereken kuralları içermektedir.
Aşağıdaki politikalar aşağıda belirtilen amaçları taşımaktadır.
Bilgi sistemlerinde paylaşılmakta olan her türlü verinin
güvenliğini sağlamak
İş devamlılığını sağlamak ve güvenlik ihlalinden
kaynaklanabilecek kanuni riskleri en aza indirmek
Kurumun itibarını ve yatırımlarını korumak
Politikalar bilgi sistemleri tasarlarken veya işletirken
uyulması gereken kuralları açıklamaktadır.
Bu doküman VBT (şirket - kurum) içerisinde çalışan her personeli
bağlayıcı niteliktedir. Politikaların ihlali durumunda
gerektiğinde kurum içinde ihlalde bulunan adına yasal işlem
yapılabilir.
E-posta Politikası
Bu politika şirket içerisinde e-posta altyapısına yönelik
kuralları içermektedir. Kurum içerisinde kullanılan e-posta
hesapları kurum kimliği taşımaktadır. Kurum bünyesinde
oluşturulan e-posta hesaplarının tüm personeller için doğru
kullanımını kapsamaktadır.
-
Yasaklanmış Kullanım
- Kurumun e-posta sistemi, taciz, suistimal veya
herhangi bir şekilde alıcının haklarına zarar
vermeye yönelik öğeleri içeren mesajların
gönderilmesi için kesinlikle kullanılamaz.
- Mesajların gönderilen kişi dışında başkalarına
ulaşmaması için gönderilen adrese ve içeriğe
azami derecede özen gösterilmesi gerekir.
- Kurum içindeki gizli bilgiler mesajlaşma yoluyla
veya eklenerek gönderilemez.
- Mesajlara eklenmiş çalıştırılabilir dosya içeren
e-postalar alındığında hemen silinmeli ve
kesinlikle başkalarına iletilmemelidir.
- Spam, zincir e-posta, sahte e-posta vb. zararlı
ve şüpheli postalara yanıt yazılmamalıdır.
- Kullanıcıların kullanıcı bilgilerinin (kullanıcı
adı, şifre vb) yazılmasını isteyen e-postalar
alındığında derhal alıcı tarafından
silinmelidir.
- Çalışanlar e-posta ile uygun olmayan içerikler
(pornografi, ırkçılık, siyasi propaganda vb.)
gönderemezler.
-
Kişisel Kullanım
- Çalışanlara verilen e-postalar kurum içi ve
dışı iletişim için verilmiştir. Kişisel
amaçlı mesajlaşmalar olabildiğince makul
seviyelerde tutulmalıdır.
- Şirket dışına atılan her e-postanın atında
"gizlilik notu" ve sorumluluk notu" yer
almalı, Kurumun bu e-posta içeriğinden ve
niteliğinden dolayı sorumlu tutulamayacağı
belirtilmelidir.
- Personel kendi kullanımı için verilen
kullanıcı adını ve şifresini başkaları ile
paylaşmamalı, kullanımı için başkasına
vermemelidir.
- Kurum çalışanları mesajlarını düzenli olarak
kontrol etmeli, kurumsal mesajlara cevap
vermelidir.
- Kurum çalışanları, kurumsal maillerin kurum
dışındaki kişiler ve yetkisiz kişilerce
görülmesini engellemelidir.
- Kişiye verilmiş olan kurumsal e-posta hesabı
gerektiğinde kurumda yetkilendirilmiş
kişiler tarafından denetlenebilir.
Hazırlanan e-posta sistemi virüs, solucan, truva atı veya
diğer zararlı kodlar bulaşmış e-postaları tarayacak ve
gerektiğinde tehlikeleri ortadan kaldıracak anti-virüs ve
anti-spam çözümleri bulunmaktadır. Şirket dışına atılan her
e-postanın atında "gizlilik notu" ve sorumluluk notu" yer
almakta ve kurumun bu e-posta içeriğinden ve niteliğinden
dolayı sorumlu tutulamayacağı belirtilmektedir. Bilgi
teknolojileri sorumlusu mail altyapısının güvenli ve
sorunsuz çalışmasından sorumludur.
Şifre Politikası
Bu politikanın amacı güçlü bir şifreleme oluşturulması,
oluşturulan şifrenin korunması ve şifrenin değiştirilme sıklığı
hakkında standartlar oluşturulmasıdır.
Kullanıcıların kurum içerisinde kullanmış olduğu şifreler,
bilgi güvenliği kapsamında kullanıcı hesapları için ilk
güvenlik katmanıdır. Kurum çalışanları ve uzak noktadan
erişenler aşağıda belirtilen kurallar dahilinde şifreleme
yapmakla yükümlüdür.
- Bütün sistem seviyeli şifreler (root, administrator vb)
en az ayda bir değiştirilmektedir.
- Şifreler en az 7 karakterlidir (7-23 arası)
- Bütün kullanıcı seviyeli şifreler (e-posta, masaüstü
bilgisayar vb) en az ayda bir kere değiştirilmektedir.
- Sistem yöneticileri her sistem için farklı kendi
şifreleri kullanmaktadır.
- Şifreler e-posta veya herhangi bir elektronik forma
eklenmemektedir.
- SNMP kullanıldığı durumlarda varsayılan olarak
kullanılan "public" community string’e farklı değerler
atanmaktadır.
- Kurum dışındaki destek firmalarına verilen şifreler
kırılmayacak derecede güçlü şifreler olarak
seçilmektedir.
- Şifreleri ilgili kişiye "kişiye özel" olarak
gönderilmektedir.
Anti-Virüs Politikası
Bu politika kurum içindeki tüm pc-tabanlı bütün bilgisayarları
kapsamaktadır. Bunlar tüm masaüstü ve dizüstü bilgisayar ve
sunuculardır.
Tüm bilgisayarlar ve sunucularda anti-virüs yazılımı yüklüdür.
Güncellemeleri, günde en az iki kez yapılmaktadır. Sistem
yöneticileri anti virüs yazılımının sürekli olarak çalışır
durumda olmasından ve güncellenmesinden sorumludur.
Kullanıcıların bilgisayarından anti virüs yazılımını
kaldırmaları engellenmiştir. Virüs bulaşan bilgisayar tam olarak
temizlenmeden ağa eklenmemelidir.
Internet Erişim ve Kullanım Politikası
Bu politikanın amacı internet kullanıcılarının güvenli internet
erişimi için gerekli olan kuralları kapsamaktadır. İnternet
erişim ve kullanım politikası kapsamı:
- Kurumun içerişinden kullanıcıların internet erişimi bir
firewall üzerinden sağlanmaktadır.
- İhtiyaç doğrultusunda içerik filtrelenmeli ve istenmeyen,
yasaklı ve operasyonel ihtiyaç dışında kalan onaysız siteler
engellenmelidir.
- Gerektiğinde port bazlı erişimler kontrollü olarak
verilmektedir.
- Hiçbir kullanıcı peer-to-peer yoluyla (kaza, emula, limewire
vb) internete bağlanamamaktadır.
- Bilgisayarlar üzerinden mesajlaşma ve sohbet programları
kullanılmamaktadır ve bunlar vasıtasıyla dosya transferi
yapılamamaktadır.
- Çalışma saatleri içerisinde aşırı şekilde iş ile ilgisi
olmayan sitelerde gezinmek yasaklanmıştır.
- İş ile ilgili olmayan (müzik, video vb) yüksek hacimli
dosyalar göndermek ve indirmek yasaklanmıştır.
- İnternet üstünden kurum tarafından onaylanmamış yazılımlar
indirilememektedir ve bilgisayarlara kurulamamaktadır. Bu
gibi ihtiyaçlarda bilgi sistemleri çalışanlarından onay
alınmalıdır.
- Üçüncü kişilerin kurum içerisinden internet ihtiyaçları
"misafir ağı" üzerinden kontrollü şekilde kurum ağına
bağlanmadan sağlanmaktadır.
Sunucu Güvenlik Politikası
Bu politikanın amacı kurum bünyesindeki sunucuların
temel güvenlik konfigürasyonlarının nasıl olması gerektiğini
belirtir. Bu temel güvenlik konfigürasyonların yapılmasından ve
işletilmesinden bilgi işlem sistem yöneticileri sorumludur.
Genel Konfigürasyon Kuralları
- Sunucular üzerindeki kullanılmayan servisler ve uygulamalar
kapatılmaktadır.
- Uygulama servislerine erişimler loglanmakta ve erişim
kontrol logları incelenmektedir.
- Sunucu üstünde çalışan işletim sistemlerinin, hizmet sunucu
yazılımlarının, yönetim yazılımlarının vb. koruma amaçlı
yazılımların kontrollü sürekli güncellenmesi yapılmaktadır.
Anti virüs güncellemeleri otomatik, yama güncellemeleri
sistem yöneticileri tarafından kontrollü şekilde
yapılmaktadır. Bu yama güncelleme işlemi bir test ve onay
mekanizmasından geçirilerek uygulamaktadır.
- Sistem ve uygulama yöneticileri gerekli olmadıkça
"administrator", "root" vb kullanıcı hesaplarını
kullanmamaktadırlar. Gerekli yetkilerin verildiği kendi
kullanıcı hesaplarını kullanmaktadırlar. Önce kendi
kullanıcı hesapları ile giriş yapıp daha sonra genel
yönetici hesaplarına geçiş yapmaktadırlar.
- Ayrıcalıklı bağlantılar teknik olarak güvenli kanallar (ssh
veya ssl, ipsec vpn gibi şifrelenmiş ağ) üzerinden
yapılmaktadır.
- Sunucular fiziksel olarak korunmuş sistem odalarında
korunmaktadırlar.
Ağ Cihazları Güvenlik Politikası
Bu politika kurumun ağındaki yönlendirici (router)
ve anahtarların (switch) sahip olması gereken minimum güvenlik
konfigürasyonlarını tanımlamaktadır.
- Bilgisayar ağında bulunan tüm cihazların ip'leri ve mac
adresleri envanter listesinde yer almaktadır.
- Yönlendirici ve anahtarlarda enable şifresi kodlanmış olarak
formda saklanmaktadır.
- IP directed broats yapılmamaktadır.
- Yönlendirici giriş portuna gelen geçersiz IP adresleri
yasaklanmıştır.
- Yönlendirici ve anahtarlarda çalışan güvenli web
servislerine erişim sadece bilgi işlem çalışanlarına
verilmektedir.
- Yönlendiricilerde ve anahtarlarda SNMP kullanıldığı
durumlarda varsayılan olarak kullanılan "public", community
string’e farklı değerler atanmaktadır.
- İhtiyaçlar kontrollü şekilde eklenmektedir.
- Yazılım ve firmware’ler ilk önce test ortamlarında
denendikten sonra çalışma günlerinin veya saatlerinin
dışında çalışan yapıya ortamına taşınmaktadır.
- Cihazlar üzerinde varsayılan servisler kapatılacaktır
(telnet, http). Bunların yerine güvenli protokoller ile
bağlanılmalıdır (SSH, https).
- Her bir yönlendirici ve anahtarlama cihazında aşağıdaki
uyarı yazısı yer almaktadır. Yönlendiriciye ulaşan
kullanıcılar yasal veya yasadışı kullanıcılar
uyarılmaktadır.
"Bu cihaza yetkisiz erişimler yasaklanmıştır. Bu cihaza
erişim ve konfigürasyon için yasal hakkınızın olması
gerekmektedir. Aksi halde gerekli yasal takip ve işlemler
yapılabilir."
Ağ Yönetimi Politikası
Ağ yönetim politikası, ağın güvenliği ve
sürekliliğini karşılayan kuralları belirlemekte,
standartlaştırılmasını amaçlamaktadır.
- Bilgisayar ağlarının ve bağlı sistemlerinin iş sürekliliğini
sağlamak için yedeklilik sağlanmaktadır.
- Ağ üzerinde kullanıcının erişebileceği servisler
kısıtlanmaktadır.
- Sınırsız ağ dolaşımı engellenmiştir.
- İzin verilen kaynak ve hedef ağlar arası iletişimi aktif
olarak kontrol eden teknik önlemler alınmıştır (Firewall
vb).
- Ağ erişimi VLAN gibi ayrı mantıksal alanlar oluşturularak
sınırlandırılmıştır.
- Uzaktan teşhis ve müdahale için kullanılacak portların
güvenliği sağlanmıştır.
- Ağ bağlantıları periyodik olarak kontrol edilmelidir.
- Ağ üzerindeki yönlendirme kontrol edilmektedir.
- Bilgisayar ağına bağlı bütün makinelerde kurulum ve
konfigürasyon parametreleri kurumun güvenlik politika ve
standartlarıyla uyumlu olarak yapılmaktadır.
- Firewall olarak kullanılan cihazlar başka amaç için
kullanılmamaktadır.
- Bilgisayar ağıyla ilgili sorumlulukları desteklemek amacıyla
ağ dokümantasyonu hazırlanmakta, ağ cihazlarının güncel
konfigürasyon bilgileri saklanmaktadır.
- Bilgisayar ağı üzerinde gerçekleşen işlemler takip
edilmektedir.
Uzaktan Erişim Politikası
Bu politikanın amacı herhangi bir yerden kurumun
bilgisayar ağına erişilmesine ilişkin standartları saptamaktır.
Bu standartlar yetkisiz kullanımdan dolayı kuruma gelebilecek
potansiyel zararları en aza indirmek için tasarlanmıştır.
- Internet üzerinden kurumun herhangi bir yerindeki bilgisayar
ağına erişen kişi veya kurumlar VPN teknolojisini
kullanmaktadır. VPN teknolojisinde IpSec, SSL, PPTP, L2TP
vb. protokollerden herhangi biri kullanılmaktadı
- Uzaktan erişim güvenliği sıkı bir şekilde denetlenmektedir.
- Kurum çalışanları hiçbir şekilde kendilerinin login ve
e-posta şifrelerini hiç kimseye vermemelidirler.
- Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar
veya diğer kişiler bağlantı esnasında aynı anda başka bir
ağa bağlı olmadıklarını kontrol etmelidirler. Tamamiyle
kullanıcının kontrolünde olan ağlar için bu kural geçerli
değildir.
- Çalışanlar kurum ile ilgili yazışmalarında kurum dışındaki
e-posta hesaplarını kullanamazlar.
- Uzaktan erişim ile kuruma erişen bütün bilgisayarlar en son
güncellenmiş anti virüs yazılımına sahip olmalıdır.
- Kurum ağına standart dışı erişim isteğinde bulunan kurumlar
veya kişiler bilgi işlem direktörünün özel izni ile geçici
olarak erişmektedirler.
- Kurumdan ilişiği kesilmiş veya görevi değişmiş
kullanıcıların kimlikleri ve hesapları kapatılmaktadır.
Kablosuz İletişim Politikası
Bu politika kurum bünyesinde kullanılabilecek bütün
kablosuz haberleşme cihazlarını (dizüstü bilgisayar, cep
telefonları, PDA vs) kapsamaktadır. Kablosuz cihazların gerekli
güvenlik tedbirleri alınmaksızın kurumun bilgisayar ağına
erişimini engellemeyi amaçlamaktadır.
- Güçlü bir şifreleme ve erişim kontrol sistemi
kullanılmaktadır.
- Erişim cihazlarındaki firmware’ler düzenli olarak
güncellenmektedir.
- Erişim cihazları, fiziksel olarak kolay erişilebilecek bir
yerde olmaması sağlanmıştır.
- Cihaza erişim için güçlü bir bir şifre belirlenmiş ve
haftada bir değiştirilmektedir.
- Kablosuz ağlar üzerinden kullanıcıların şirket ağına
erişmeleri gerektiğinde, sadece VPN erişimi olan
kullanıcılar, vpn hesaplarını kullanarak şirket ağına
erişebilir.
- Erişim cihazları bir yazılım aracılığıyla düzenli olarak
kontrol edilmektedir.
İş Sürekliliği Politikası
Bilgi güvenliği ve iş sürekliliğiyle ilgili
standartları belirlemektedir.
Bu kapsamda;
- Bilgi sisteminin kesintisiz çalışması için gereken önlemler
alınmıştır.
- Kurum bilişim sistemlerinin kesintisiz çalışmasını
sağlanması için aynı ortamda kümeleme (cluster), uzaktan
kopyalama (remote replication), yerel kopyalama (local
replication) uygulanmaktadır.
- Acil durumlarda sistem logları yedeklenmektedir.
- Bir güvenlik ihlali yaşandığında bilgi teknolojileri
direktörüne bildirilmektedir.
-
Acil durum kapsamında değerlendirilen olaylar aşağıda farklı
seviyelerde tanımlanmıştır:
- Seviye A(Bilgi Kaybı): Kurumsal değerli bilgilerin
yetkisiz kişilerin eline geçmesi, bozulması,
silinmesi.
- Seviye B(Servis Kesintisi): Kurumsal servislerin
kesintisi veya kesintiye yol açabilecek durumlar.
- Seviye C(Şüpheli Durumlar): Yukarıda tanımlı iki
seviyedeki durumlara sebebiyet verebileceğinden
şüphe duyulan ancak gerçekliği ispatlanmamış
durumlar.
- Herbir seviyede tanımlı acil durumlarda karşılaşılabilecek
riskler, bu riskin kuruma getireceği kayıplar ve bu risk
oluşmadan önce ve oluştuktan sonra hareket planları
tanımlanmalı ve dokümante edilmelidir.
- Acil durumlarda şirket çalışanları bilgi işlem departmanına
haber vermektedir.
Kimlik Doğrulama ve Yetkilendirme Politikası
Bu politika kurumun bilgi sistemlerine erişimde
kimlik doğrulaması ve yetkilendirme politikalarını
tanımlamaktadır. Bilgi sistemlerine erişen kurum çalışanları ve
kurum dışı kullanıcılar bu politika kapsamındadır.
- Kurum sistemlerine erişebilecek kurumdaki kullanıcıların ve
kurum sistemlerine erişmesi gereken diğer firma
kullanıcılarının hangi sistemlere, hangi kimlik doğrulama
yönetimi ile erişebileceği belirlenmiş ve dokümante
edilmiştir.
- Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm
uygulama yazılımları, paket programlar, veri tabanları,
işletim sistemleri ve log-on olarak erişen tüm sistemler
üzerindeki kullanıcı rolleri ve yetkileri belirlenerek
denetim altında tutulmaktadır.
- Gerekli minimum yetkinin verilmesi prensibi
benimsenmektedir.
- Erişim ve yetki seviyeleri belirli periyotlarda kontrol
edilip gerekli durumlarda güncellenmektedir.
- Tüm kullanıcılar kurum tarafından kullanımlarına tahsis
edilen sistemlerdeki bilgilerin güvenliğinden sorumludur.
- Sistemlere başarılı ve başarısız erişim logları düzenli
olarak tutulmaktadır. Log girişimleri incelenmektedir.
- Kullanıcı hareketlerini izleyebilmek için her kullanıcıya
kendisine ait bir kullanıcı hesabı açılmaktadır.
Veri Tabanı Güvenlik Politikası
Kurumdaki veritabanı sistemlerinin kesintisiz ve
güvenli şekilde işletilmesine yönelik standartları tanımlar. Tüm
veritabanı sistemleri bu politikanın kapsamındadır.
- Veritabanı sistemleri envanteri ve bu envanterden sorumlu
kişi tanımlanmıştır.
- Veritabanı işletim kuralları belirlenmiştir.
- Veritabanı sistem logları tutulmakta, gerektiğinde bilgi
işlem departmanı tarafından kontrol edilmektedir.
- Veritabanı yedekleme politikaları oluşturulmuş, yedeklemeden
sorumlu sistem yöneticileri belirlenmiş ve yedeklerin
düzenli olarak alındığı kontrol edilmektedir.
- Veritabanı erişim politikaları “Kimlik doğrulama ve
yetkilendirme” çerçevesinde oluşturulmuştur.
- Hatadan arındırma, bilgileri yedekten dönme kuralları “ İş
sürekliliğine” uygun, kurumun ihtiyaçlarına yönelik olarak
oluşturulmuştur.
- Bilgilerin saklandığı sistemler, fiziksel güvenliği
sağlanmış sistem odasında tutulmaktadır.
- Yama ve güncellemeler yapılmadan önce bildirimde
bulunulmakta ve sonrasında ilgili uygulama kontrolleri
gerçekleştirilmektedir.
- Veritabanı sunucularında sadece rdp, ssl ve orjinal
veritabanı yönetim yazılımları kullanılmakta, bunun dışında
ftp, telnet vb clear text bağlantılara kapanmıştır.
- Veritabanı sunucusuna ancak zorunlu hallerde root ve
administrator olarak bağlanılmaktadır. Root ve administrator
şifresi yetkili kişilerde bulunmaktadır.
- Bütün kullanıcıların yaptıkları işlemler loglanmaktadır.
- Veritabanı yöneticiliği sadece bir kişidedir.
- Veritabanı sunucularına 3. Partyların destek amaçlı
erişimleri için VPN bağlantısı tahsis edilmiştir.
- Veritabanı sunucularına ancak yetkili kişiler
erişebilmektedir.
- Veritabanı sunucularında kod geliştiren kullanıcıların
dışında hiçbir kullanıcı bağlanıp sorgu yapamamaktadır.
- Bütün şifreler belirli aralıklarla değiştirilmekte ve erişim
şifreleri kapalı bir zarfta kurumun kasasında
saklanmaktadır.
Değişim Yönetimi Politikası
Kurum bilgi sistemlerinde yapılması gereken
konfigürasyon değişikliklerinin güvenlik ve sistem sürekliliğini
aksatmayacak şekilde yürütülmesine yönelik politikaları
belirlemektedir.
- Bilgi sistemlerinde değişiklik yapmaya yetkili personel,
bilgi işlem departmanındaki sistem yöneticileri ve uygulama
yöneticisidir.
- Yazılım ve donanım envanteri oluşturularak yazılım sürümleri
kontrol edilmektedir.
- Herhangi bir değişiklik yapılmadan önce, bu değişiklikten
etkilenecek tüm sistemler ve uygulamalar belirlenmekte ve
dokümante edilmektedir.
- Değişiklik gerçekleştirilmeden önce bilgi teknolojileri
direktöründen ve ilgili yöneticilerden onay alınmaktadır.
- Planlanan değişiklikler yapılmadan önce yaşanabilecek
sorunlar ve geri dönüş planlarına yönelik kapsamlı bir
çalışma oluşturulmakta ve bilgi teknolojileri direktöründen
onay alınmaktadır.
- Ticari programlarda yapılacak değişiklikler, ilgili üretici
tarafından onaylanmış kurallar çerçevesinde
gerçekleştirilmektedir.
- Sistemler üzerinde yapılan değişikliklerden sonra loglar
incelenerek kontrol edilmektedir.
Bilgi Sistemleri Yedekleme Politikası
Bu politika kurumun bilgi sistemleri yedekleme
politikasının kurallarını tanımlamaktadır. Tüm kritik bilgi
sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar
bu politika kapsamındadır.
- Bilgi sistemlerinde oluşabilecek hatalar karşısında,
sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en
aza indirmek için, sistemler üzerindeki konfigürasyonun,
sistem bilgilerinin ve kurumsal veriler düzenli olarak
yedeklenmektedir.
- Verinin operasyon ortamında online olarak manyetik kartuşa
yedekleri alınmaktadır.
- Taşınabilir ortamlarda manyetik kartuşlar fiziksel olarak
kurum binasından farklı binada saklanmaktadır.
- Yedekleme konusuyla ilgili olarak hangi sistemlerin ne kadar
sıklıkla yedeklerinin alınacağı bilgi işlem departmanı
tarafından belirlenmekte ve dokümante edilmektedir.
- Yedekleme ortamlarının düzenli periyotlarla test edilmekte
ve acil durumlarda kullanılması gerektiğinde güvenilir
olması sağlanmaktadır.