Bilgi Güvenliği Politikası
Bu doküman VBT içerisinde bilgi sistemlerinin güvenliğinin sağlanması için asgari uyulması gereken kuralları içermektedir. Aşağıdaki politikalar aşağıda belirtilen amaçları taşımaktadır.
- Bilgi sistemlerinde paylaşılmakta olan her türlü verinin güvenliğini sağlamak
- İş devamlılığını sağlamak ve güvenlik ihlalinden kaynaklanabilecek kanuni riskleri en aza indirmek
- Kurumun itibarını ve yatırımlarını korumak
Politikalar bilgi sistemleri tasarlarken veya işletirken uyulması gereken kuralları açıklamaktadır.
Bu doküman VBT (şirket - kurum) içerisinde çalışan her personeli bağlayıcı niteliktedir. Politikaların ihlali durumunda gerektiğinde kurum içinde ihlalde bulunan adına yasal işlem yapılabilir.
Bu politika şirket içerisinde e-posta altyapısına yönelik kuralları içermektedir. Kurum içerisinde kullanılan e-posta hesapları kurum kimliği taşımaktadır. Kurum bünyesinde oluşturulan e-posta hesaplarının tüm personeller için doğru kullanımını kapsamaktadır.
Yasaklanmış Kullanım
- Kurumun e-posta sistemi, taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.
- Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içeriğe azami derecede özen gösterilmesi gerekir.
- Kurum içindeki gizli bilgiler mesajlaşma yoluyla veya eklenerek gönderilemez.
- Mesajlara eklenmiş çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
- Spam, zincir e-posta, sahte e-posta vb. zararlı ve şüpheli postalara yanıt yazılmamalıdır.
- Kullanıcıların kullanıcı bilgilerinin (kullanıcı adı, şifre vb) yazılmasını isteyen e-postalar alındığında derhal alıcı tarafından silinmelidir.
- Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda vb.) gönderemezler.
Kişisel Kullanım
- Çalışanlara verilen e-postalar kurum içi ve dışı iletişim için verilmiştir. Kişisel amaçlı mesajlaşmalar olabildiğince makul seviyelerde tutulmalıdır.
- Şirket dışına atılan her e-postanın atında "gizlilik notu" ve sorumluluk notu" yer almalı, Kurumun bu e-posta içeriğinden ve niteliğinden dolayı sorumlu tutulamayacağı belirtilmelidir.
- Personel kendi kullanımı için verilen kullanıcı adını ve şifresini başkaları ile paylaşmamalı, kullanımı için başkasına vermemelidir.
- Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli, kurumsal mesajlara cevap vermelidir.
- Kurum çalışanları, kurumsal maillerin kurum dışındaki kişiler ve yetkisiz kişilerce görülmesini engellemelidir.
- Kişiye verilmiş olan kurumsal e-posta hesabı gerektiğinde kurumda yetkilendirilmiş kişiler tarafından denetlenebilir.
Hazırlanan e-posta sistemi virüs, solucan, truva atı veya diğer zararlı kodlar bulaşmış e-postaları tarayacak ve gerektiğinde tehlikeleri ortadan kaldıracak anti-virüs ve anti-spam çözümleri bulunmaktadır. Şirket dışına atılan her e-postanın atında "gizlilik notu" ve sorumluluk notu" yer almakta ve kurumun bu e-posta içeriğinden ve niteliğinden dolayı sorumlu tutulamayacağı belirtilmektedir. Bilgi teknolojileri sorumlusu mail altyapısının güvenli ve sorunsuz çalışmasından sorumludur.
Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve şifrenin değiştirilme sıklığı hakkında standartlar oluşturulmasıdır.
Kullanıcıların kurum içerisinde kullanmış olduğu şifreler, bilgi güvenliği kapsamında kullanıcı hesapları için ilk güvenlik katmanıdır. Kurum çalışanları ve uzak noktadan erişenler aşağıda belirtilen kurallar dahilinde şifreleme yapmakla yükümlüdür.
- Bütün sistem seviyeli şifreler (root, administrator vb) en az ayda bir değiştirilmektedir.
- Şifreler en az 7 karakterlidir (7-23 arası)
- Bütün kullanıcı seviyeli şifreler (e-posta, masaüstü bilgisayar vb) en az ayda bir kere değiştirilmektedir.
- Sistem yöneticileri her sistem için farklı kendi şifreleri kullanmaktadır.
- Şifreler e-posta veya herhangi bir elektronik forma eklenmemektedir.
- SNMP kullanıldığı durumlarda varsayılan olarak kullanılan "public" community string’e farklı değerler atanmaktadır.
- Kurum dışındaki destek firmalarına verilen şifreler kırılmayacak derecede güçlü şifreler olarak seçilmektedir.
- Şifreleri ilgili kişiye "kişiye özel" olarak gönderilmektedir.
Bu politika kurum içindeki tüm pc-tabanlı bütün bilgisayarları kapsamaktadır. Bunlar tüm masaüstü ve dizüstü bilgisayar ve sunuculardır.
Tüm bilgisayarlar ve sunucularda anti-virüs yazılımı yüklüdür. Güncellemeleri, günde en az iki kez yapılmaktadır. Sistem yöneticileri anti virüs yazılımının sürekli olarak çalışır durumda olmasından ve güncellenmesinden sorumludur. Kullanıcıların bilgisayarından anti virüs yazılımını kaldırmaları engellenmiştir. Virüs bulaşan bilgisayar tam olarak temizlenmeden ağa eklenmemelidir.
Bu politikanın amacı internet kullanıcılarının güvenli internet erişimi için gerekli olan kuralları kapsamaktadır. İnternet erişim ve kullanım politikası kapsamı:
- Kurumun içerişinden kullanıcıların internet erişimi bir firewall üzerinden sağlanmaktadır.
- İhtiyaç doğrultusunda içerik filtrelenmeli ve istenmeyen, yasaklı ve operasyonel ihtiyaç dışında kalan onaysız siteler engellenmelidir.
- Gerektiğinde port bazlı erişimler kontrollü olarak verilmektedir.
- Hiçbir kullanıcı peer-to-peer yoluyla (kaza, emula, limewire vb) internete bağlanamamaktadır.
- Bilgisayarlar üzerinden mesajlaşma ve sohbet programları kullanılmamaktadır ve bunlar vasıtasıyla dosya transferi yapılamamaktadır.
- Çalışma saatleri içerisinde aşırı şekilde iş ile ilgisi olmayan sitelerde gezinmek yasaklanmıştır.
- Genel ahlak ilkelerine aykırı internet sitelerine girilmesi ve dosya indirilmesi yasaklanmıştır.
- İş ile ilgili olmayan (müzik, video vb) yüksek hacimli dosyalar göndermek ve indirmek yasaklanmıştır.
- İnternet üstünden kurum tarafından onaylanmamış yazılımlar indirilememektedir ve bilgisayarlara kurulamamaktadır. Bu gibi ihtiyaçlarda bilgi sistemleri çalışanlarından onay alınmalıdır.
- Üçüncü kişilerin kurum içerisinden internet ihtiyaçları "misafir ağı" üzerinden kontrollü şekilde kurum ağına bağlanmadan sağlanmaktadır.
Bu politikanın amacı kurum bünyesindeki sunucuların temel güvenlik konfigürasyonlarının nasıl olması gerektiğini belirtir. Bu temel güvenlik konfigürasyonların yapılmasından ve işletilmesinden bilgi işlem sistem yöneticileri sorumludur.
Genel Konfigürasyon Kuralları
- Sunucular üzerindeki kullanılmayan servisler ve uygulamalar kapatılmaktadır.
- Uygulama servislerine erişimler loglanmakta ve erişim kontrol logları incelenmektedir.
- Sunucu üstünde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının, yönetim yazılımlarının vb. koruma amaçlı yazılımların kontrollü sürekli güncellenmesi yapılmaktadır. Anti virüs güncellemeleri otomatik, yama güncellemeleri sistem yöneticileri tarafından kontrollü şekilde yapılmaktadır. Bu yama güncelleme işlemi bir test ve onay mekanizmasından geçirilerek uygulamaktadır.
- Sistem ve uygulama yöneticileri gerekli olmadıkça "administrator", "root" vb kullanıcı hesaplarını kullanmamaktadırlar. Gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmaktadırlar. Önce kendi kullanıcı hesapları ile giriş yapıp daha sonra genel yönetici hesaplarına geçiş yapmaktadırlar.
- Ayrıcalıklı bağlantılar teknik olarak güvenli kanallar (ssh veya ssl, ipsec vpn gibi şifrelenmiş ağ) üzerinden yapılmaktadır.
- Sunucular fiziksel olarak korunmuş sistem odalarında korunmaktadırlar.
Bu politika kurumun ağındaki yönlendirici (router) ve anahtarların (switch) sahip olması gereken minimum güvenlik konfigürasyonlarını tanımlamaktadır.
- Bilgisayar ağında bulunan tüm cihazların ip'leri ve mac adresleri envanter listesinde yer almaktadır.
- Yönlendirici ve anahtarlarda enable şifresi kodlanmış olarak formda saklanmaktadır.
- IP directed broats yapılmamaktadır.
- Yönlendirici giriş portuna gelen geçersiz IP adresleri yasaklanmıştır.
- Yönlendirici ve anahtarlarda çalışan güvenli web servislerine erişim sadece bilgi işlem çalışanlarına verilmektedir.
- Yönlendiricilerde ve anahtarlarda SNMP kullanıldığı durumlarda varsayılan olarak kullanılan "public", community string’e farklı değerler atanmaktadır.
- İhtiyaçlar kontrollü şekilde eklenmektedir.
- Yazılım ve firmware’ler ilk önce test ortamlarında denendikten sonra çalışma günlerinin veya saatlerinin dışında çalışan yapıya ortamına taşınmaktadır.
- Cihazlar üzerinde varsayılan servisler kapatılacaktır (telnet, http). Bunların yerine güvenli protokoller ile bağlanılmalıdır (SSH, https).
- Her bir yönlendirici ve anahtarlama cihazında aşağıdaki uyarı yazısı yer almaktadır. Yönlendiriciye ulaşan kullanıcılar yasal veya yasadışı kullanıcılar uyarılmaktadır.
"Bu cihaza yetkisiz erişimler yasaklanmıştır. Bu cihaza erişim ve konfigürasyon için yasal hakkınızın olması gerekmektedir. Aksi halde gerekli yasal takip ve işlemler yapılabilir."
Ağ yönetim politikası, ağın güvenliği ve sürekliliğini karşılayan kuralları belirlemekte, standartlaştırılmasını amaçlamaktadır.
- Bilgisayar ağlarının ve bağlı sistemlerinin iş sürekliliğini sağlamak için yedeklilik sağlanmaktadır.
- Ağ üzerinde kullanıcının erişebileceği servisler kısıtlanmaktadır.
- Sınırsız ağ dolaşımı engellenmiştir.
- İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden teknik önlemler alınmıştır (Firewall vb).
- Ağ erişimi VLAN gibi ayrı mantıksal alanlar oluşturularak sınırlandırılmıştır.
- Uzaktan teşhis ve müdahale için kullanılacak portların güvenliği sağlanmıştır.
- Ağ bağlantıları periyodik olarak kontrol edilmelidir.
- Ağ üzerindeki yönlendirme kontrol edilmektedir.
- Bilgisayar ağına bağlı bütün makinelerde kurulum ve konfigürasyon parametreleri kurumun güvenlik politika ve standartlarıyla uyumlu olarak yapılmaktadır.
- Bilgisayar ağındaki adresler, ağa ait konfigürasyon ve diğer tasarım bilgileri 3. şahıs ve sistemlerin ulaşamayacağı bir şekilde saklanmaktadır.
- Firewall olarak kullanılan cihazlar başka amaç için kullanılmamaktadır.
- Bilgisayar ağıyla ilgili sorumlulukları desteklemek amacıyla ağ dokümantasyonu hazırlanmakta, ağ cihazlarının güncel konfigürasyon bilgileri saklanmaktadır.
- Bilgisayar ağı üzerinde gerçekleşen işlemler takip edilmektedir.
Bu politikanın amacı herhangi bir yerden kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar yetkisiz kullanımdan dolayı kuruma gelebilecek potansiyel zararları en aza indirmek için tasarlanmıştır.
- Internet üzerinden kurumun herhangi bir yerindeki bilgisayar ağına erişen kişi veya kurumlar VPN teknolojisini kullanmaktadır. VPN teknolojisinde IpSec, SSL, PPTP, L2TP vb. protokollerden herhangi biri kullanılmaktadır.
- Uzaktan erişim güvenliği sıkı bir şekilde denetlenmektedir.
- Kurum çalışanları hiçbir şekilde kendilerinin login ve e-posta şifrelerini hiç kimseye vermemelidirler.
- Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya diğer kişiler bağlantı esnasında aynı anda başka bir ağa bağlı olmadıklarını kontrol etmelidirler. Tamamiyle kullanıcının kontrolünde olan ağlar için bu kural geçerli değildir.
- Çalışanlar kurum ile ilgili yazışmalarında kurum dışındaki e-posta hesaplarını kullanamazlar.
- Uzaktan erişim ile kuruma erişen bütün bilgisayarlar en son güncellenmiş anti virüs yazılımına sahip olmalıdır.
- Kurum ağına standart dışı erişim isteğinde bulunan kurumlar veya kişiler bilgi işlem direktörünün özel izni ile geçici olarak erişmektedirler.
- Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların kimlikleri ve hesapları kapatılmaktadır.
Bu politika kurum bünyesinde kullanılabilecek bütün kablosuz haberleşme cihazlarını (dizüstü bilgisayar, cep telefonları, PDA vs) kapsamaktadır. Kablosuz cihazların gerekli güvenlik tedbirleri alınmaksızın kurumun bilgisayar ağına erişimini engellemeyi amaçlamaktadır.
- Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmaktadır.
- Erişim cihazlarındaki firmware’ler düzenli olarak güncellenmektedir.
- Erişim cihazları, fiziksel olarak kolay erişilebilecek bir yerde olmaması sağlanmıştır.
- Cihaza erişim için güçlü bir bir şifre belirlenmiş ve haftada bir değiştirilmektedir.
- Kablosuz ağlar üzerinden kullanıcıların şirket ağına erişmeleri gerektiğinde, sadece VPN erişimi olan kullanıcılar, vpn hesaplarını kullanarak şirket ağına erişebilir.
- Erişim cihazları bir yazılım aracılığıyla düzenli olarak kontrol edilmektedir.
Bilgi güvenliği ve iş sürekliliğiyle ilgili standartları belirlemektedir.
Bu kapsamda;
- Bilgi sisteminin kesintisiz çalışması için gereken önlemler alınmıştır.
- Kurum bilişim sistemlerinin kesintisiz çalışmasını sağlanması için aynı ortamda kümeleme (cluster), uzaktan kopyalama (remote replication), yerel kopyalama (local replication) uygulanmaktadır.
- Acil durumlarda sistem logları yedeklenmektedir.
- Bir güvenlik ihlali yaşandığında bilgi teknolojileri direktörüne bildirilmektedir.
- Acil durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır:
- Seviye A(Bilgi Kaybı): Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.
- Seviye B(Servis Kesintisi): Kurumsal servislerin kesintisi veya kesintiye yol açabilecek durumlar.
- Seviye C(Şüpheli Durumlar): Yukarıda tanımlı iki seviyedeki durumlara sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.
- Herbir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu risk oluşmadan önce ve oluştuktan sonra hareket planları tanımlanmalı ve dokümante edilmelidir.
- Acil durumlarda şirket çalışanları bilgi işlem departmanına haber vermektedir.
Bu politika kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarını tanımlamaktadır. Bilgi sistemlerine erişen kurum çalışanları ve kurum dışı kullanıcılar bu politika kapsamındadır.
- Kurum sistemlerine erişebilecek kurumdaki kullanıcıların ve kurum sistemlerine erişmesi gereken diğer firma kullanıcılarının hangi sistemlere, hangi kimlik doğrulama yönetimi ile erişebileceği belirlenmiş ve dokümante edilmiştir.
- Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve log-on olarak erişen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenerek denetim altında tutulmaktadır.
- Gerekli minimum yetkinin verilmesi prensibi benimsenmektedir.
- Erişim ve yetki seviyeleri belirli periyotlarda kontrol edilip gerekli durumlarda güncellenmektedir.
- Tüm kullanıcılar kurum tarafından kullanımlarına tahsis edilen sistemlerdeki bilgilerin güvenliğinden sorumludur.
- Sistemlere başarılı ve başarısız erişim logları düzenli olarak tutulmaktadır. Log girişimleri incelenmektedir.
- Kullanıcı hareketlerini izleyebilmek için her kullanıcıya kendisine ait bir kullanıcı hesabı açılmaktadır.
Kurumdaki veritabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik standartları tanımlar. Tüm veritabanı sistemleri bu politikanın kapsamındadır.
- Veritabanı sistemleri envanteri ve bu envanterden sorumlu kişi tanımlanmıştır.
- Veritabanı işletim kuralları belirlenmiştir.
- Veritabanı sistem logları tutulmakta, gerektiğinde bilgi işlem departmanı tarafından kontrol edilmektedir.
- Veritabanı yedekleme politikaları oluşturulmuş, yedeklemeden sorumlu sistem yöneticileri belirlenmiş ve yedeklerin düzenli olarak alındığı kontrol edilmektedir.
- Veritabanı erişim politikaları “Kimlik doğrulama ve yetkilendirme” çerçevesinde oluşturulmuştur.
- Hatadan arındırma, bilgileri yedekten dönme kuralları “ İş sürekliliğine” uygun, kurumun ihtiyaçlarına yönelik olarak oluşturulmuştur.
- Bilgilerin saklandığı sistemler, fiziksel güvenliği sağlanmış sistem odasında tutulmaktadır.
- Yama ve güncellemeler yapılmadan önce bildirimde bulunulmakta ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmektedir.
- Veritabanı sunucularında sadece rdp, ssl ve orjinal veritabanı yönetim yazılımları kullanılmakta, bunun dışında ftp, telnet vb clear text bağlantılara kapanmıştır.
- Veritabanı sunucusuna ancak zorunlu hallerde root ve administrator olarak bağlanılmaktadır. Root ve administrator şifresi yetkili kişilerde bulunmaktadır.
- Bütün kullanıcıların yaptıkları işlemler loglanmaktadır.
- Veritabanı yöneticiliği sadece bir kişidedir.
- Veritabanı sunucularına 3. Partyların destek amaçlı erişimleri için VPN bağlantısı tahsis edilmiştir.
- Veritabanı sunucularına ancak yetkili kişiler erişebilmektedir.
- Veritabanı sunucularında kod geliştiren kullanıcıların dışında hiçbir kullanıcı bağlanıp sorgu yapamamaktadır.
- Bütün şifreler belirli aralıklarla değiştirilmekte ve erişim şifreleri kapalı bir zarfta kurumun kasasında saklanmaktadır.
Kurum bilgi sistemlerinde yapılması gereken konfigürasyon değişikliklerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesine yönelik politikaları belirlemektedir.
- Bilgi sistemlerinde değişiklik yapmaya yetkili personel, bilgi işlem departmanındaki sistem yöneticileri ve uygulama yöneticisidir.
- Yazılım ve donanım envanteri oluşturularak yazılım sürümleri kontrol edilmektedir.
- Herhangi bir değişiklik yapılmadan önce, bu değişiklikten etkilenecek tüm sistemler ve uygulamalar belirlenmekte ve dokümante edilmektedir.
- Değişiklik gerçekleştirilmeden önce bilgi teknolojileri direktöründen ve ilgili yöneticilerden onay alınmaktadır.
- Planlanan değişiklikler yapılmadan önce yaşanabilecek sorunlar ve geri dönüş planlarına yönelik kapsamlı bir çalışma oluşturulmakta ve bilgi teknolojileri direktöründen onay alınmaktadır.
- Ticari programlarda yapılacak değişiklikler, ilgili üretici tarafından onaylanmış kurallar çerçevesinde gerçekleştirilmektedir.
- Sistemler üzerinde yapılan değişikliklerden sonra loglar incelenerek kontrol edilmektedir.
Bu politika kurumun bilgi sistemleri yedekleme politikasının kurallarını tanımlamaktadır. Tüm kritik bilgi sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar bu politika kapsamındadır.
- Bilgi sistemlerinde oluşabilecek hatalar karşısında, sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en aza indirmek için, sistemler üzerindeki konfigürasyonun, sistem bilgilerinin ve kurumsal veriler düzenli olarak yedeklenmektedir.
- Verinin operasyon ortamında online olarak manyetik kartuşa yedekleri alınmaktadır.
- Taşınabilir ortamlarda manyetik kartuşlar fiziksel olarak kurum binasından farklı binada saklanmaktadır.
- Yedekleme konusuyla ilgili olarak hangi sistemlerin ne kadar sıklıkla yedeklerinin alınacağı bilgi işlem departmanı tarafından belirlenmekte ve dokümante edilmektedir
- Yedekleme ortamlarının düzenli periyotlarla test edilmekte ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanmaktadır.