560 likes | 1.17k Views
Bilgi Güvenliği. İÇİŞLERİ BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI. Hülya MARAŞ Sistem Yönetim Şubesi Bilgi Güvenliği. BİLGİ GÜVENLİĞİ POLİTİKALARI. E-Posta Politikası Parola Politikası Antivirüs Politikası İnternet Erişim ve Kullanım Politikası Uzaktan Erişim Politikaları
E N D
Bilgi Güvenliği İÇİŞLERİ BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI Hülya MARAŞ Sistem Yönetim Şubesi Bilgi Güvenliği
BİLGİ GÜVENLİĞİ POLİTİKALARI E-Posta Politikası Parola Politikası Antivirüs Politikası İnternet Erişim ve Kullanım Politikası Uzaktan Erişim Politikaları Kablosuz İletişim Politikaları Bilgi Sistemleri Genel Kullanım Politikaları Donanım ve Yazılım Envanteri Oluşturma Politikaları Kriz ve Acil Durum Politikaları Fiziksel Güvenlik Politikası Kimlik Doğrulama ve Yetkilendirme Politikası Personel Güvenliği Politikası Bakım Politikası
BİLGİ NEDİR? Bilgi, diğer önemli ticari varlıklar gibi bir organizasyon için belirli bir değeri olan varlıktır. Dolayısıyla uygun bir şekilde korunması gerekir. BS ISO 27002:2005 Bilgi Güvenliği
Bilgi Hangi Formlarda Bulunabilir? - Elektronik Dosya (Yazılım kodları, veri dosyaları) - Kağıt Belgeler (Basılı materyal, elle yazılan bilgiler, fotoğraflar) - Kayıtlar (Video kaydı, ses kaydı) - Sözlü İletişim (Telefon, yüzyüze) - Yazılı İletişim (E-posta, faks, anlık ileti) Bilgi Güvenliği
BİLGİ GÜVENLİĞİ NEDİR? (1/2) Bilginin; hukuka aykırı, her türlü yetkisiz erişimden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunması işlemidir. Bilgi Güvenliği
BİLGİ GÜVENLİĞİ NEDİR? (2/2) • Bilgi güvenliği, 3 temel unsurdan oluşmaktadır. • Gizlilik; • Bilginin yetkisiz kişilerce erişilememesidir. Bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. • Bütünlük; • Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır. Kazara veya kasıtlı olarak bilginin bozulmamasıdır. • Erişilebilirlik; • Bilginin her ihtiyaç duyulduğunda sadece erişim yetkisi olanlar tarafından kullanıma hazır durumda olması demektir.
BİLGİ GÜVENLİĞİNİN AMACI • Veri Bütünlüğünün Korunması • Erişim Denetimi • Gizliliğin Korunması • Sistem Devamlılığının Sağlanması
1. E – POSTA POLİTİKASI(1/2) Bu politika ile kullanıcıların elektronik ortamlarda haberleşirken, yüksek seviyede bilgi güvenliğinin sağlanması için Kurum e-posta altyapısına yönelik kuralların belirlenmesi ve uygulanması amaçlanmaktadır. • Kullanıcı e-posta hesabına ait parolaları paylaşmamalıdır ve mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidir. • Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. • Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar ilgili birime haber vermelidir.
1. E – POSTA POLİTİKASI(2/2) • Kullanıcı hesaplarını, kişisel amaçlarına yönelik kullanmamalıdır. • Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır. • Kurumsal E-postalar yetkili kişilerce hukuksal açıdan gerekli görülen yerlerde önceden haber vermeksizin denetlenebilir. • 6 ay süreyle kullanılmamış e-posta adresleri kullanıcıya haber vermeden kapatılmalıdır.
Kimlik avı (Phishing) nedir? • Kimlik avı (İngilizcesi phishing), kişisel ve finansal bilgileri bir e‑posta iletisi veya web sitesi aracılığıyla elde etmek amacıyla bilgisayar kullanıcılarını kandırmak için kullanılan bir yöntemdir. Phishing Saldırıları Nasıl Gerçekleşir? Saldırgan kişiler özellikle bankalar, mail servisleri, alış-veriş siteleri, sosyal paylaşım ağları(Facebook, Twitter, MySpace vb.) gibi arkadaşlık ve anlık sohbet sistemleri, online oyunlar gibi kullanıcı adı ve parola kullanılarak giriş yapılan sistemlerin bir kopyasını hazırlayarak ilk adımı atarlar. Saldırganlar ellerinde mevcut olan e-posta listelerine veya hedefledikleri kişilere gönderdikleri e-postalarla kurbanlarını hazırladıkları sahte sayfalara yönlendirirler. Kurbanların sahte sayfalara girerek istenen bilgileri paylaşmasıyla saldırı amacına ulaşmış olur.
Sahte E-posta Nasıl Anlaşılır? • Gönderenin Adresi"Kimden" satırı orijinalini taklit eden resmi görünen bir adres içerir. 2) Genel Karşılamalar"Sayın Kullanıcı" ifadesinin veya e-posta adresinizin kullanıldığı şahsa yönelik olmayan karşılamalara dikkat edin. 3) Yazım Hataları/Hatalı Dil Bilgisi KullanımıTanınmış şirketler tarafından gönderilen e-postalar neredeyse hiç yazım ve dil bilgisi hatası içermez. 4) Aciliyet Hissi UyandırmaSahte e-postaların birçoğu önemli bilgilerin hemen güncellenmemesi durumunda hesabınızın tehlikede olacağını belirtir. 5) Sahte BağlantılarSahte bağlantılar gerçek gibi görünebilir ancak sizi kandırmaya yöneliktir. E-postadaki bir bağlantıyı tıklamadan önce URL'nin üzerine gidip tarayıcınızdaki URL ile karşılaştırarak bağlantının sizi nereye yönlendireceğini kontrol edin. 6) Ekler Casus yazılım veya virüs içerebileceğinden, gerçek olduğundan %100 emin olmadıkça eki sakın açmayın.
1. E – POSTA POLİTİKASI(5/5) Kimlik Avı (Phishing) Saldırılarına Karşı Alınması Gereken Güvenlik Önlemleri Nelerdir? • Bilgisayarınızın güncellemelerini yapmayı ihmal etmeyin. Ayrıca güncel ve kaliteli bir anti virüs programı kullanın. • Yasal olmayan veya kaynağı belirsiz yazılımları yüklememek, çalıştırmamak. • Gelen e-posta’nın kimden geldiğinden emin değilseniz dikkate almayınız. • Mail yoluyla gelen her site URL’sine (Adresine) tıklamayınız.
2. PAROLA POLİTİKASI (1/4) Parola kullanımı kullanıcı hesapları için ilk güvenlik katmanını oluşturmaktadır. Bu politika ile güçlü bir parola oluşturulması, oluşturulan parolanın korunması ve bu parolanın değiştirilme sıklığı hakkında standart oluşturulması amaçlanmaktadır. • Parolalar e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir. • Sistem hesaplarına ait parolalar (örnek; root, administrator, enable, vs.) en geç 6(altı) ayda bir değiştirilmelidir. • Kullanıcı hesaplarına ait parolalar (örnek, e-posta, web, masaüstü bilgisayar vs.) en geç 45(kırk beş) günde bir değiştirilmelidir.
2. PAROLA POLİTİKASI (2/4) • Kullanıcı, parolasını başkası ile paylaşmamalı, kâğıtlara ya da elektronik ortamlara yazmamalıdır. • Parola hatırlatma özelliği olan uygulamalarda “parola hatırlama” seçeneği kullanılmamalıdır.
2. PAROLA POLİTİKASI (3/4) Parolalar genel olarak iki şekilde ele geçirilebilir: 1)Tahmin ederekya da deneme yanılma yolu ile ele geçirilebilir. 2) Parolanızın çalınmasıile yani hırsızlık yaparak ele geçirilebilir. Olası Senaryolar: Tanıdığın bir kişi senin hakkında bildikleriyle parolanı tahmin edebilir. Tanımadığın bir kişi ise herkesin sık kullandığı bilinen, basit parolaları deneyerek şifreni bulabilir. Parolanı bulmak isteyen kişi özel programlar kullanarak sık kullanılan yüzlerce parola örneğini ya da sözlüklerdeki binlerce kelimeyi hızlıca deneyerek parolanı belirleyebilir. İyi korunmayan, yazılı ya da sözlü olarak paylaşılan parolalar, yazılı bulunduğu ortama ulaşılarak ya da kulak misafiri olunarak ele geçirilebilir. Bilgisayar virüsleri gibi zararlı programlar da bilgisayardaki işlemlerini izleyerek parolanı ele geçirebilir.
2. PAROLA POLİTİKASI (4/4) Güvenli Parola Nasıl Olmalı? • En az 8 haneli olmalıdır. • İçerisinde en az 1 tane harf bulunmalıdır. • İçerisinde en az 2 tane rakam bulunmalıdır. • İçerisinde en az 1 tane özel karakter bulunmalıdır. (@, !,?,^,+,$,#,&,/,{,*,-,],=) • Aynı karakterler peş peşe kullanılmamalıdır. • Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...) • Kullanıcıya ait anlam ifade eden kelimeler içermemelidir. (Aileden birisinin, arkadaşının, bir sanatçının, sahip olduğu bir hayvanın ismi, arabanın modeli vb.)
celik Kullanıcının soyismi. 8 karakterden az.Sadece harfler kullanılmış. Özel karakterler, rakamlar kullanılmamış. alicelik Kullanıcının adı ve soyadı Ali_celik1234 İçerisinde kullanıcı ismi ve soyismi geçiyor. ali123 Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. antalya Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir. 34bg356 Araç plakası. 13nisan1967 Doğum tarihi ya da önemli bir tarih. Qwerty123 Çok kullanılan karakter sıraları. Mercedes Özel isim Kalem Sözlüklerde bulunan bir kelime. Bunun yanında 8karakterden az. Kalem111 Kelimenin türevi Kötü Şifre Örnekleri
3. ANTİVİRÜS POLİTİKASI (1/3) Antivirüs; istemcileri ve sunucuları virüs, solucan, Truva Atı gibi diğer zararlı yazılımlardan korumaktadır. Bu politika ile istemcilerin ve sunucuların virüs algılama ve engelleme standardına sahip olması için gerekliliklerin belirlenmesi amaçlanmaktadır. • Kurumun tüm istemcileri ve sunucuları antivirüs yazılımına sahip olmalıdır. Kullanıcı hiçbir sebepten dolayı antivirüs yazılımını bilgisayarından kaldırmamalıdır. • İstemcilere ve sunuculara virüs bulaştığı fark edildiğinde etki alanından çıkartılmalıdır . • Antivirüs güncellemeleri antivirüs sunucusu ile yapılmalıdır. • Sunucu ve istemci bilgisayarlarının tamamı optik media ve harici veri depolama cihazlarını antivirüs kontrolünden geçirecek şekilde yapılandırılmalıdır.
3. ANTİVİRÜS POLİTİKASI (2/3) Zararlı Programlar Neler Yapabilir? • Bilgisayarınızdaki bilgileri çalabilir ve başkalarına gönderebilirler. • İşletim sisteminizin veya diğer programlarınızın çalışmamasına, hatalı çalışmasına neden olabilirler. • Bilgisayarınızdaki dosya / klasörleri silebilir, kopyalayabilir, yerlerini değiştirebilir veya yeni dosyalar ekleyebilirler.
3. ANTİVİRÜS POLİTİKASI (3/3) • Yaptığınız her şeyi kaydedebilirler. Klavyede yazdığınız herşey, fare ile yaptığınız herşey gibi. • Tüm verisiyle diski silebilir, hatta biçimlendirebilirler. • Saldırganların kullanması için güvenlik açıklıkları oluşturabilirler.Başka zararlı programların bulaşmasına neden olabilirler. • Bilgisayarınız üzerinden başkalarına saldırabilirler. • Ekranda can sıkıcı veya kötü amaçlı web sitelerine yönlendiren açılır pencereler oluşturabilirler. • Bilgisayarınızın ya da internetin kaynaklarını kullanır, yavaşlamalara neden olabilirler.
Zararlı kodlar: Kötücül yazılımlar (malware) da sistemin ele geçirilmesine aracılık edebilirler: a) Virüsler: Virüsler, yayılmak için kullanıcı etkileşimini gerektiren zararlı program kodlarıdır. Virüsler genellikle işletim sistemlerinin ya da yazılım uygulamalarının açıklarından bağımsız olarak çalışırlar. Virüsler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir
b) Solucanlar (worm): Solucanlar yayılmak için sistem ya da ağlardaki açıkları kullanırlar. Yayılmak için kullanıcı etkileşimine ihtiyaç duymazlar ve sisteme zarar vermektense sisteminizi gizli bir saldırgan haline getirebilirler. Sisteminizi bir botnet’e dahil eden solucanlar, sisteminizi spam göndermek veya başka bilgisayarlara saldırıda bulunmak amacıyla hacker’lara alet edebilirler. Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler alınmalıdır.
c) Truva Atları (Trojan) Görüntüde istenilen fonksiyonları çalıştıran, ancak arka planda kötü amaçlı fonksiyonları da gerçekleştiren yazılımlardır Bunlar teknik olarak virüs değillerdir ve farkında olmadan kolayca download edilebilirler Saldırgana sistemin sahibinden daha yüksek ayrıcalıklar tanıyan ve çok tehlikeli sayılacak becerilere sahip olan trojanlar vardır Truva atları, ücretsiz olarak yüklediğiniz yazılımlarla bir arada da gelebilir
d) Casus yazılımlar (spyware): Spyware farkında olmadan bir web sitesinden download edilebilen veya herhangi bir üçüncü parti yazılım ile birlikte yüklenebilen kötü amaçlı bir yazılım tipidir. Genelde, kullanıcının izni olmaksızın kişisel bilgilerini toplar. Herhangi bir kullanıcı etkileşimi olmaksızın bilgisayar konfigürasyonunu değiştirebilmektedirler. Çoğunlukla web reklamları ile bütünleştirilmiştir. En belirgin bulgusu, tarayıcı açılış sayfasının değiştirilmesidir. Özellikle ücretsiz yazılım araçlarının kurulumlarına dikkat edilmesi gerekmektedir.
e) Botnet: Zombi Bilgisayarlar Kötü amaçlı yazılımlar tarafından ele geçirilmiş sistemlerdir. Bu sistemler bir kısır döngü içerisinde sürekli olarak zararlı yazılım yayarlar ve kullanıcıları bunun farkında değildir. Aynı zamanda bilişim suçları için potansiyel bilgisayarlardır. Botnet, spam yollamak ve şantaj yapmaya çalışmaktan, devlet ağlarına saldırmaya kadar farklı alanlarda, siber suçlular tarafından saldırıları yürütmek amacıyla kullanılabilir. Hatta bu yüzden işlemediğiniz suçlar ile ilgili adli makamlarla muhatap bile olabilirsiniz.
Bilgisayarların en büyük kullanım amacı, aynı zamanda en tehlikeli olanı: Web’de gezinmek. • Symantec’e göre, geçtiğimiz yıl içinde web tabanlı zararlı kod saldırıları %93 artmış. • Güvenlik programlarının bu durumda internet bağlantısını, tarayıcıyı yavaşlatmadan incelemeleri gerekiyor.
4. İNTERNET ERİŞİM VE KULLANIM POLİTİKASI Bu politika ile Internet’in kurallarına, etiğe ve yasalara uygun kullanımının sağlanması ve güvenli internet erişimine sahip olması için gereken standartların belirlenmesi amaçlanmaktadır. • Kurumun bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvar(lar)ı üzerinden internete çıkmalıdır. • Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır. İstenilmeyen siteler (oyun, kumar, şiddet içeren vs.) yasaklanmalıdır. • Kurumun ihtiyacı doğrultusunda ‘Saldırı Tespit ve Önleme’ sistemleri kullanılmalıdır. • Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir.
SOSYAL MÜHENDİSLİK • Sosyal Mühendislik, normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır. • Etkileme ve ikna yöntemlerini kullanırlar. • Kullandığı en büyük silahı, insanların zafiyetleridir. • İnsan, güvenliğin en zayıf halkasıdır. Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” (Albert Einstein)
SOSYAL MÜHENDİSLİK • Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür. • Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki, hiç kuşku uyandırmaz ve kurbanın güvenini sömürür. )
SOSYAL MÜHENDİSLİK YÖNTEMLERİ • Sahte senaryolar uydurmak • Güvenilir bir kaynak olduğuna ikna etmek (phishing) • Truva atları • Güvenilir bilgi karşılığında para, hediye, vs önermek • Güven kazanarak bilgi edinmek • Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak
SOSYAL MÜHENDİSLİK • Amaç kurum yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır. • Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, bilinen en iyi örnekleridir.
SOSYAL MÜHENDİSLİK ÖNLEME YÖNTEMLERİ • Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir • Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri incelenmelidir • Kurum çöpleri (büro malzemeleri, not kağıtları, bordrolar vs.) tamamen kullanılmaz hale getirilmeli daha sonra atılmalıdır • Sistem yöneticilerinin, kurumsal bilgileri posta listelerinde, arkadaş ortamlarında ve benzeri yerlerde anması önlenmelidir • Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır
5. UZAKTAN ERİŞİM POLİTİKALARI Bu politika ile herhangi bir yerden Kurumun bilgisayar ağına erişilebilmesine ilişkin standartların belirlenmesi amaçlanmaktadır. • Internet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar VPN teknolojisini kullanmalıdırlar. • Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri yürütülen projeler üzerinden otomatik olarak alınmalı, yetkiler ve hesap özellikleri buna göre güncellenmelidir.
6. KABLOSUZ İLETİŞİM POLİTİKALARI Bu politika ile kablosuz cihazların, gerekli güvenlik tedbirleri alınmaksızın, Kurumun bilgisayar ağına erişiminin engellemesi amaçlanmaktadır. • Kurumun bilgisayar ağına bağlanan bütün erişim cihazları ve ağ arabirim kartları kayıt altına alınmalıdır . • Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmalıdır. Wi-Fi Protected Access2 (WPA2-kurumsal) şifreleme kullanılmalıdır. • Radyo dalgalarının binanın dışına taşmamasına özen gösterilmelidir. • Erişim Cihazları üzerinden gelen kullanıcılar güvenlik duvarı üzerinden ağa dâhil olmalıdır.
7. BİLGİ SİSTEMLERİ GENEL KULLANIM POLİTİKALARI Kullanıcıların günlük aktivitelerini yerine getirebilmesi için bu kuralların iyi bilinmesi ve uygulamanın sorumluluğunu taşıması gerekmektedir. • Kullanıcılar bilgi sistemlerini kişisel amaçlarla kullanamaz. • Kurum; bünyesindeki ağları ve sistemleri periyodik olarak denetleme hakkına sahiptir. • Tüm kurum bilgisayarları, etki alanına dahil edilir. • Bilgi İşlem Dairesinin bilgisi ve onayı olmadan bakanlık ağ sisteminde (web hosting, e-posta servisi vb.) sunucu nitelikli bilgisayar bulundurulmaz.
8. DONANIM VE YAZILIM ENVANTERİ OLUŞTURMA POLİTİKALARI • Oluşturulan envanter tablosunda şu bilgiler olmalıdır: • sıra no, • bilgisayar adı, • bölüm, marka, model, • seri no, • özellikler, • ek aksamlar, • işletim sistemi, • garanti süresi vs . • Bu tablolar merkezi bir web sunucuda tutulmalı ve belirli aralıklarla güncellenmelidir . • Envanter bilgileri sık sık kontrol edilmelidir. Bu şekilde bilgi eksikliğinin yol açacağı kayıp ve maliyetlere engel olunmalıdır.
9. KRİZ VE ACİL DURUM POLİTİKALARI (1/2) Bu politika ile Kurum çalışanlarının, bilgi güvenliliği ve iş sürekliliği ile ilgili acil bir durum oluştuğunda sorumlulukları dâhilinde gerekli müdahaleyi yapabilmelerine yönelik standartları belirlemesi amaçlanmaktadır. • Acil durum sorumluları atanmalı ve yetki ve sorumlulukları belirlenmeli ve dokümante edilmelidir. • Bilgi sistemlerinin kesintisiz çalışabilmesi için gerekli önlemler alınmalıdır. Problem durumlarında sistem kesintisiz veya makul kesinti süresi içerisinde felaket ve/veya iş sürekliliği merkezi üzerinden çalıştırılabilmelidir. • Sistemler tasarlanırken minimum sürede iş kaybı hedeflenmelidir.
9. KRİZ VE ACİL DURUM POLİTİKALARI (2/2) • Acil durumlar oluştuğunda ilk aranacak numaralar : • 0 506 852 1203 • - 1204 • 0 312 422 4633 • – 4634 • – 4635 • – 4636 • – 4637 • - 4638
10. FİZİKSEL GÜVENLİK POLİTİKASI(1/3) Bu politika ile Kurum personeli ve kritik kurumsal bilgilerinin korunması amacıyla sistem odasına, kurumsal bilgilerin bulundurulduğu sistemlerin yer aldığı tüm çalışma alanlarına ve kurum binalarına yetkisiz girişlerin yapılmasının önlemesi amaçlanmaktadır. • Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binalarda ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanmalı ve erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları teşkil edilmelidir. • Kurum dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi yetkili güvenlik görevlileri gözetiminde gerçekleştirilmelidir.
10. FİZİKSEL GÜVENLİK POLİTİKASI(2/3) • Kritik bilgilerin bulunduğu alanlara girişler kontrolü akıllı kartlar veya biyometrik sistemler ile yapılmalı ve izlenmelidir. • Personel kimliği ve yetkilerini belirten kartların ve ziyaretçi kartlarının düzenli olarak taşınması sağlanmalıdır. • Kritik sistemler özel sistem odalarında tutulmalıdır.
10. FİZİKSEL GÜVENLİK POLİTİKASI(3/3) • Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzer felaketlere karşı koruma altına alınmalı ve iklimlendirilmesi sağlanmalıdır. • Fotokopi, yazıcı vs. türü cihazlar mesai saatleri dışında kullanıma kapatılmalı, mesai saatleri içerisinde yetkisiz kullanıma karşı koruma altına alınmalıdır. • Çalışma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması temin edilmelidir.
11. KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI Bu politika ile Kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarının tanımlanması amaçlanmaktır. • Kurum bünyesindeki bütün oturum açarak erişilen sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenmeli, dokümante edilmeli ve denetim altında tutulmalıdır. • Sistemlere başarılı ve başarısız erişim istekleri düzenli olarak tutulmalı, tekrarlanan başarısız erişim istekleri/girişimleri incelenmelidir. • Kullanıcılardan erişim haklarını anladıklarını ve bu hakları ihlal etmeleri halinde disiplin sürecine veya yasal işleme tabi olacaklarını anladıklarına ilişkin imzalı beyan alınır.
12. PERSONEL GÜVENLİĞİ POLİTİKASI Bu politika ile Kurum ilgili personelinin seçimi, sorumluluk ve yetkilerinin atanması, eğitilmesi, işten ayrılması, görev değişiklikleri vb konularının güvenlik ile ilgili boyutunun belirlenmesi amaçlanmaktadır. • Bilgi sistemlerinde sorumluluk verilecek kişinin özgeçmişi araştırılmalı, beyan edilen akademik ve profesyonel bilgiler teyit edilmeli, karakter özellikleriyle ilgili tatmin edici düzeyde bilgi sahibi olmak için iş çevresinden ve dışından referans sorulması sağlanmalıdır. • Kritik bilgiye erişim hakkı olan çalışanlar ile gizlilik anlaşmaları imzalanmalıdır. • Çalışanların güvenlik ile ilgili aktiviteleri izlenmelidir. • Yetkiler, “görevler ayrımı” ve “en az ayrıcalık” esaslı olmalıdır.