1. AMAÇ: Antepsan  ’in kurumsal olarak yürüteceği faaliyetleri kapsamında bilginin toplanması, değerlendirilmesi, raporlanması ve paylaşılması süreçlerinde güvenliğin sağlanmasına yönelik tedbir almak, bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden veya dışarıdan kasıtlı ya da kazayla oluşabilecek tüm tehditlerden korunmasını sağlamak, son kullanıcı, idareci, sistem ve veri tabanı yöneticileri ve teknik personelin bilgi sistem ve ağları üzerinde yapacakları çalışmalarda bilgi güvenliği farkındalık, duyarlılık ve teknik bilgi düzeylerinin artırılması ile sistemsel güvenlik açıklarının ortadan kaldırılmasını sağlayarak, insan kaynaklı zafiyetlerin önlenmesi ve gizliliği, bütünlüğü ve erişilebilirliği sağlanmış bilişim alt yapısının kullanılması ve sürdürebilirliğinin temin edilmesi sureti ile; veri ve bilgi kayıplarının önlenmesi bu yolla ekonomik zarara uğranılmaması ve kurumsal prestij kaybı yaşanmaması ana ilke ve amaçlar olarak öngörülmektedir.

  1. KAPSAM: Bu doküman Antepsan    içerisinde çalışan her personeli bağlayıcı niteliktedir. Politikaların ihlali durumunda İnsan Kaynakları Disiplin Yönetmeliği kapsamında gerektiğinde kurum içinde ihlalde bulunan adına yasal işlem yapılabilir.

Bu politika bilgi güvenliğinin sağlanması için  ve bilgi sistemleri tasarlarken veya işletirken asgari uyulması gereken kuralları açıklamaktadır. Ayrıca Antepsan  ’de bu amaca yönelik olarak yayınlanmış tüm Bilgi güvenliği politikaları için şemsiye oluşturmaktadır. Bu politikalar temel olarak aşağıda belirtilen hedefleri amaçlamaktadır. 

  • Bilgi Sistemlerinde paylaşılmakta olan her türlü verinin güvenliğini sağlamak
  • İş devamlılığını sağlamak ve güvenlik ihlalinden kaynaklanabilecek kanuni riskleri en aza indirmek
  • Kurumun itibarını ve yatırımlarını korumak

  1. TANIMLAR:  

BGYK: Bilgi Güvenliği Yönetim Kurulu.

BGYS: Bilgi Güvenliği Yönetim Sistemi.

  1. SORUMLULAR: Antepsan Organizasyon Şemasına bağlı personel.

  1. UYGULAMA:
    1. E-Posta Politikası: Bu politika şirket içerisinde e-posta altyapısına yönelik kuralları içermektedir. Kurum içerisinde kullanılan e-posta hesapları kurum kimliği taşımaktadır. Kurum bünyesinde oluşturulan e-posta hesaplarının tüm personeller için doğru kullanımını kapsamaktadır. 

Bu konuda E-Posta Kullanım Politikası adında ayrı ve kapsamlı bir politika oluşturulmuştur.

    1. Şifre Politikası: Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve şifrenin değiştirilme sıklığı hakkında standartlar oluşturulmasıdır. Bu konuda Şifre Politikası adında ayrı bir politika oluşturulmuştur.
    2. Anti-Virüs Politikası: Bu politika kurum içindeki tüm PC tabanlı bütün bilgisayarları kapsamaktadır. Bunlar tüm masaüstü ve dizüstü bilgisayar ve sunuculardır.

Anti virüs yazılımının sürekli olarak çalışır durumda olmasından ve güncellenmesinden  Bilgi Teknolojileri Personelleri sorumludur.

Tüm bilgisayarlar ve sunucularda standart ve tek anti-virüs yazılımı yüklüdür. Güncellemeleri otomatik olarak kullanıcı müdahalesi olmadan merkezi sunucu üzerinden yapılmaktadır. 

Sunucu güncellemeleri standart anti-Virüs yazılımı firmasının tanımlanmış ilgili bağlantısından internet üzerinde yapmaktadır.

Kullanıcıların bilgisayarından anti virüs yazılımını kaldırmaları uzun ve kırılması güç şifreyle engellenmiştir.

Virüs bulaşan bilgisayar tam olarak temizlenmeden ağa eklenmez.

Anti-Virüs konusunda şirket standartları ve kullanıcıların uyması gereken kurallar Bilişim Kaynakları Kullanım Standartları Politikası’nda Anti-Virüs Yazılımı Kullanımı başlığında detaylıca verilmiştir.

    1. İnternet Erişim ve Kullanım Politikası: Bu politikanın amacı internet kullanıcılarının güvenli internet erişimi için gerekli olan kuralları kapsamaktadır. İnternet erişim ve kullanım politikası kapsamı, oluşturulan ayrı bir İnternet Erişim ve Kullanım Politikası adlı politikada belirlenmiştir.

    1. Sunucu Güvenlik Politikası: Bu politikanın amacı kurum bünyesindeki sunucuların temel güvenlik konfigürasyonlarının nasıl olması gerektiğini belirtir. Bu temel güvenlik konfigürasyonların yapılmasından ve işletilmesinden Bilgi İşlem Sorumlusu sorumludur.

      1. Genel Konfigürasyon Kuralları:
  • Sunucular üzerindeki kullanılmayan servisler ve uygulamalar kapatılmaktadır.
  • Uygulama servislerine erişimler loglanmakta ve erişim kontrol logları incelenmektedir.
  • Sunucu üstünde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının, yönetim yazılımlarının vb. koruma amaçlı yazılımların kontrollü sürekli güncellenmesi yapılmaktadır. Anti virüs güncellemeleri otomatik, yama güncellemeleri sistem yöneticileri tarafından kontrollü şekilde yapılmaktadır. Bu yama güncelleme işlemi, değişiklik yönetiminden sayılmamaktadır. 
  • Sistem ve uygulama yöneticileri gerekli olmadıkça “administrator”, “root” vb. kullanıcı hesaplarını kullanmamaktadırlar. Windows ortamında gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmaktadırlar. Önce kendi kullanıcı hesapları ile giriş yapıp daha sonra genel yönetici hesaplarına geçiş yapmaktadırlar.
  • Ayrıcalıklı bağlantılar teknik olarak güvenli kanallar (ssh veya ssl, ipsec vpn gibi şifrelenmiş ağ) üzerinden yapılmaktadır.
  • Sunucular fiziksel olarak korunmuş sistem odalarında korunmaktadırlar.

    1. Ağ Cihazları Güvenlik Politikası: Bu politika kurumun ağındaki yönlendirici (router) ve anahtarların (switch) sahip olması gereken minimum güvenlik konfigürasyonlarını tanımlamaktadır.
    • Bilgisayar ağında bulunan tüm cihazların IP’leri ve mac adresleri aktif cihaz listesinde yer almaktadır.
    • Yönlendirici ve anahtarlarda enable şifresi kodlanmış şekilde saklanmaktadır.
    • Yönlendirici giriş portuna gelen IP adresleri kullanıcı şifresi ile kabul edilir.
    • Yönlendirici ve anahtarlarda çalışan güvenli web servislerine erişim sadece  Bilgi Teknolojileri çalışanlarına verilmektedir.
    • Yönlendiricilerde ve anahtarlarda SNMP kullanıldığı durumlarda varsayılan olarak kullanılan “public”,  community string’e farklı değerler atanmaktadır.
    • İhtiyaçlar kontrollü şekilde eklenmektedir.
    • Yazılım ve firmware’ler ilk önce test ortamlarında denendikten sonra çalışma günlerinin veya saatlerinin dışında canlı ortama taşınmaktadır.
    • Cihazlar üzerinde varsayılan servisler kapatılacaktır (telnet, http). Bunların yerine güvenli protokoller ile bağlanılmalıdır (SSH, https).
    • Her bir yönlendirici ve anahtarlama cihazında aşağıdaki uyarı yazısı yer almaktadır. Yönlendiriciye ulaşan kullanıcılar yasal veya yasadışı kullanıcılar uyarılmaktadır.

    1. Ağ Yönetimi Politikası: Ağ yönetim politikası, ağın güvenliği ve sürekliliğini karşılayan kuralları belirlemekte, standartlaştırılmasını amaçlamaktadır.
  • Bilgisayar ağlarının ve bağlı sistemlerinin iş sürekliliğini sağlamak için yedeklilik sağlanmaktadır.
  • Ağ üzerinde kullanıcının erişebileceği servisler kısıtlanmaktadır.
  • Sınırsız ağ dolaşımı engellenmiştir.
  • İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden teknik önlemler alınmıştır (Firewall vb.).
  • Ağ erişimi VLAN gibi ayrı mantıksal alanlar oluşturularak sınırlandırılmıştır.
  • Uzaktan teşhis ve müdahale için kullanılacak portların güvenliği sağlanmıştır.
  • Ağ bağlantıları periyodik olarak kontrol edilmelidir.
  • Ağ üzerindeki yönlendirme kontrol edilmektedir.
  • Bilgisayar ağına bağlı bütün makinelerde kurulum ve konfigürasyon parametreleri kurumun güvenlik politika ve standartlarıyla uyumlu olarak yapılmaktadır.
  • Bilgisayar ağındaki adresler, ağa ait konfigürasyon ve diğer tasarım bilgileri 3. şahıs ve sistemlerin ulaşamayacağı bir şekilde saklanmaktadır.
  • Firewall olarak kullanılan cihazlar başka amaç için kullanılmamaktadır.
  • Bilgisayar ağıyla ilgili sorumlulukları desteklemek amacıyla ağ dokümantasyonu hazırlanmakta, ağ cihazlarının güncel konfigürasyon bilgileri saklanmaktadır.
  • Bilgisayar ağı üzerinde gerçekleşen işlemler takip edilmektedir.

    1. Uzaktan Erişim Politikası: Bu politikanın amacı herhangi bir yerden kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar yetkisiz kullanımdan dolayı kuruma gelebilecek potansiyel zararları en aza indirmek için tasarlanmış olup, Erişim Politikası dokümanı ile detaylandırılmıştır.

    1. Kablosuz İletişim Politikası: Bu politika kurum bünyesinde kullanılabilecek bütün kablosuz haberleşme cihazlarını (dizüstü bilgisayar, akıllı cep telefonları, PDA, tablet vs.) kapsamaktadır. Kablosuz cihazların gerekli güvenlik tedbirleri alınmaksızın kurumun bilgisayar ağına erişimini engellemeyi amaçlamaktadır. Erişim Politikası içinde ele alınmış ve detaylandırılmıştır.

    1. İş Sürekliliği Yönetimi Politikası: Bilgi güvenliği ve iş sürekliliğiyle ilgili standartlar belirlenmektedir. 

Bu kapsamda;

    • Bilgi sisteminin kesintisiz çalışması için gereken önlemler alınmıştır.
    • Kurum bilişim sistemlerinin kesintisiz çalışmasını sağlanması için aynı ortamda kümeleme (cluster), uygulanmaktadır. Risk işleme planı ile ele alınmış ve değerlendirilmiştir.
    • Acil durumlarda sistem logları yedeklenmektedir.
    • Bir güvenlik ihlali yaşandığında BGYK acil olarak bilgilendirilmektedir.
    • Acil durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır:
      • Seviye A (Bilgi Kaybı): Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.
      • Seviye B (Servis Kesintisi): Kurumsal servislerin kesintisi veya kesintiye yol açabilecek durumlar.
      • Seviye C (Şüpheli Durumlar): Yukarıda tanımlı iki seviyedeki durumlara sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.
    • Her bir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu risk oluşmadan önce ve oluştuktan sonra hareket planları Risk İşleme Planı ile dokümante edilmiştir.
    • Acil durumlarda şirket çalışanları Bilgi Teknolojilerine rapor etmektedir, ihlal bildirimi doğrudan BGYK’ya raporlanmaktadır.
    • Bu konuda Bilgi Güvenliği İş Sürekliliği Yönetimi Prosedürü, Acil Durum Eylem Planı ve Bilgi Güvenliği İhlal Yönetimi Politikası hazırlanarak yayınlanmıştır.

    1. Kimlik Doğrulama ve Yetkilendirme Politikası: Bu politika kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarını tanımlamaktadır. Bilgi sistemlerine erişen kurum çalışanları ve kurum dışı kullanıcılar bu politika kapsamındadır.
    • Kurum sistemlerine erişebilecek kurumdaki kullanıcıların ve kurum sistemlerine erişmesi gereken diğer firma kullanıcılarının hangi sistemlere, hangi kimlik doğrulama yönetimi ile erişebileceği belirlenmiş ve Erişim Politikası ile dokümante edilmiştir.
    • Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket  programlar, veri tabanları, işletim sistemleri ve log-on olarak erişen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenerek denetim altında tutulmaktadır.
    • Antepsan   Portal’da devreye alınan erişim talepleri kayıt altına alınmaktadır.
    • Gerekli minimum yetkinin verilmesi prensibi benimsenmektedir.
    • Erişim ve yetki seviyeleri belirli periyotlarda kontrol edilip gerekli durumlarda güncellenmektedir.
    • Tüm kullanıcılar kurum tarafından kullanımlarına tahsis edilen sistemlerdeki bilgilerin güvenliğinden sorumludur.
    • Sistemlere başarılı ve başarısız erişim logları düzenli olarak tutulmaktadır. Log girişimleri incelenmektedir.
    • Kullanıcı hareketlerini izleyebilmek için her kullanıcıya kendisine ait bir kullanıcı hesabı açılmaktadır.

    1. Veri Tabanı Güvenlik Politikası: Kurumdaki veritabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik standartları tanımlar. Tüm veritabanı sistemleri bu politikanın kapsamındadır.
    • Veritabanı sistemleri envanteri ve bu envanterden sorumlu kişiler tanımlanmıştır.
    • Veritabanı işletim kuralları belirlenmiştir.
    • Veritabanı sistem logları tutulmakta, gerektiğinde Bilgi Teknolojileri Bölümü tarafından kontrol edilmektedir.
    • Veritabanı yedekleme politikaları oluşturulmuş, yedeklemeden sorumlu sistem yöneticileri belirlenmiş ve yedeklerin düzenli olarak alındığı kontrol edilmektedir.
    • Veritabanı erişim politikaları “kimlik doğrulama ve yetkilendirme” çerçevesinde oluşturulmuştur.
    • Hatadan arındırma, bilgileri yedekten dönme kuralları “iş sürekliliğine” uygun, kurumun ihtiyaçlarına yönelik olarak oluşturulmuştur.
    • Bilgilerin saklandığı sistemler, fiziksel güvenliği sağlanmış sistem odasında tutulmaktadır.
    • Yama ve güncellemeler yapılmadan önce bildirimde bulunulmakta ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmekte olup, değişim yönetiminden sayılmamaktadır.
    • Veritabanı sunucularında sadece  rdp, ssl ve orijinal veritabanı yönetim yazılımları kullanılmakta, bunun dışında ftp, telnet vb. clear text bağlantılara kapanmıştır.
    • Veritabanı sunucusuna ancak zorunlu hallerde root ve administrator olarak bağlanılmaktadır. Root ve administrator şifresi yetkili kişilerde bulunmaktadır.
    • Bütün kullanıcıların yaptıkları işlemler loglanmaktadır.
    • Veritabanı sunucularına 3. tarafların destek amaçlı erişimleri için statik IP bağlantısı tahsis edilmiştir.
    • Veritabanı sunucularına ancak yetkili kişiler erişebilmektedir.
    • Veritabanı sunucularında kod geliştiren kullanıcıların dışında hiçbir kullanıcı bağlanıp sorgu yapamamaktadır.
    • Şifreler 72 günlük aralıklarla değiştirilmekte ve erişim şifreleri kapalı bir zarfta kurumun kasasında saklanmaktadır.

    1. Teknik Açıklık Yönetimi Politikası: Bilgi sistemlerinde var olan teknik açıklıkların tespit edilmesi, açıklıkların değerlendirilip önlemlerin ortaya konması, uygun önlemlerin seçilerek uygulanması ve uygulama sonuçlarının gözlenmesine yönelik Teknik Açıklık Yönetimi Politikası yürürlüktedir.  Antepsan  ’de ihtiyaç duyulduğu durumlarda Penetrasyon Testi yapılır.

    1. Görevler Ayırımı : Antepsan  ’de varlıklarının yanlışlıkla ya da kasıtlı olarak yanlış kullanım riskini azaltmak için yetkilendirmeler kurallara bağlanmıştır.

Kuruluş varlıklarının yanlış kullanımını azaltmak amacıyla çelişen görevler ve sorumluluklar ayrılır.

Bir olayın başlatılması onun yetkilendirilmesinden ayrılır. Bununla birlikte faaliyetlerin izlenmesi, denetim kayıtları ve yönetimin gözetimi gibi diğer kontroller dikkate alınır.

Kullanıcıların yetki kuralları ve görevlerin ayrımı Kullanıcı Yetki Kuralları ve Görevler Ayrımı Politikası’nda kapsamlı olarak belirlenmiştir.

Kurumun bilgi varlıklarına erişim için Erişim Politikası ve standartlar içinse Bilişim Kaynakları Kullanım Standartları Politikası oluşturulmuş ve yayınlanmıştır.

    1. Değişim Yönetimi Politikası: Kurum bilgi sistemlerinde yapılması gereken konfigürasyon değişikliklerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesine yönelik politikaları belirlemektedir. Değişim yönetimi için Değişim Yönetimi Politikası adında ayrı bir politika oluşturulmuştur.

    1. Bilgi Sistemleri Yedekleme Politikası: Bu politika kurumun bilgi sistemleri yedekleme politikasının kurallarını tanımlamaktadır. Tüm kritik bilgi sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar bu politika kapsamındadır. Ayrı bir Yedekleme Prosedürü belirlenmiştir.
    2. Kişisel ve Harici Ekipmanların Kullanımı Politikası: Bu politika kurum çalışanlarının ve üçüncü parti firmaların kendi bilgi işleme ekipmanlarını Antepsan   bünyesinde yada uzaktan bağlantı yaparak iş amaçlı kullanmasındaki kuralları belirler.
  • Prensip olarak Antepsan çalışanlarının kendi özel ekipmanlarını iş amaçlı kullanmalarına müsaade edilmez. İstisnai durumlarda bu türden ekipmanların iş amaçlı kullanımı yalnızca uzaktan bağlantı (VPN) altyapısıyla mümkündür.
  • Tedarikçi firmaların ekipmanlarının kurum bünyesinde yada uzaktan iş amaçlı kullanılması durumunda BGYS güvenlik gereksinimleri dikkate alınır. 
  • Bu türden bağlantılarla ilgili tüm kayıt altına alınma gereksinimleri dikkatlice ve noksansız yerine getirilir, aktivite geçmişi (loglar) düzenli bir şekilde takip edilir.  
  • Erişim Politikası, Bilgi Güvenliği Kullanıcı El Kitapçığı  ve Bilişim Kaynakları Kullanım Standartları Politikası’nda öngörülen BGYS gereksinimleri bu türden bağlantılarda aksatmadan uygulanır.

    1. Veri Transfer Politikası: Bu politikanın amacı üçüncü parti kişi ve kuruluşlarla ve kurum içi çalışanlarla bilginin taşınması sürecinde izlenecek yöntemleri belirlemektir.
    • Tüm bilgi varlıklarının taşınması ve aktarılması varlık sahibinin bilgisi ve onayıyla mümkündür.
    • Taşıma ya da aktarma sürecinde bilgi güvenliği gereksinimleri yerine getirilmeli. Bilginin bütünlüğü, gizliliği ve erişilebilirliğini etkileyebilecek riskler tespit edilerek bu risklerin bertaraf edilmesi yoluna gidilmelidir.
    • Aktarma ortamlarında, taşıma kanallarında ve haberleşme tesislerinde güvelik standartlarına uyulmalıdır. 
    • Kullanılması gereken elektronik bilgi taşıma kanallarının seçiminde (Ör: e-posta, FTP, wetransfer, Dropbox vb.) Bilgi Teknolojileri Bölümünün onayına başvurulmalıdır. Güvenliği onaylanmamış ve bilinmeyen transfer yöntemleri kesinlikle kullanılmamalıdır.
    • Verinin güvenli ve istenen şartlarda aktarıldığını temin için İletim, sevk ve alındı kontrolü yapılmalıdır.
    • Bilgi transferinde bilgi etiketleme kuralları göz önünde bulundurularak bilgi varlığının paylaşımında “Genel”, “Dahili”,  “Gizli” ve “Kişisel” bildirim etiketlerine göre dağıtımı yada aktarması yapılmalıdır. Örnek “Genel” etiketli bir bilginin dağıtımı yapılabilirken “Dahili” etiketli bilgi varlığının aktarılmasında mutlaka varlık sahibinin, “Gizli” ve “Kişisel” etiketli bilgi varlığı için Varlık Risk sahibinin onayı alınmalıdır. Bu konuda Bilgi Etiketleme ve İşleme Prosedürü’ne başvurulmalıdır.
    • Bilgininin elektronik ortamda transferinde “Gizli” ve “Kişisel” etiketli veriler şifrelenmelidir.
    • Bilginin gizlilik ve ifşa edilmemesi anlaşmaları kuruluşun çalışanları ve üçüncü parti firmalarla yapılarak yasak güvence altına alınmalıdır.
    • Bilgi transfer sürecinde oluşabilecek her türlü bilgi güvenliği ihlal olayları anında BGYK’na bildirilmeli ve “Bilgi Güvenliği İhlal Bildirimi” kaydı açılmalıdır. Tespit edilen ihlaller Düzeltici Faaliyet Formu ile kayıt altına alınır.
    • Bilgi Transferlerinde oluşabilecek her türlü güvenlik ihlali BGYK tarafından hızla ele alınarak önleyici tedbirler acilen hayata geçirilmeli ve kayıt altına alınmalıdır.

    1. Risk Yönetimi Politikası: Antepsan  ’de Risk Yönetimi; Kurumun Stratejik Hedeflerini gerçekleştirme sürecini olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir.

Buna göre kurumun temel risk yaklaşımı;  

    • BGYS Risk Yönetim Sisteminin üretim tesisi ile iş sürekliğini temin etmek,
    • İç ve dış mevzuata uygun olarak tesis edilen Risk Yönetim Sistemini, kurumsal yapının entegre bir parçası haline getirmek,
    • Risk yönetimini kurum stratejileri doğrultusunda yapmak, proaktif aksiyonlarla riskleri kabul edilebilir seviyelerde tutmak,
    • Riskleri, katılımcı yönetim anlayışı ile tanımlamak ve risk portföyünü devamlı güncellemek,
    • Her tehditte fırsatlar, her fırsatta tehditler olabileceği anlayışı ile risklere yaklaşmak, 
    • Risk tutumunu, değişen şartlar doğrultusunda güncelleyerek, doğru risklerin doğru miktarda alınmasını sağlamak,
    • Etkin iletişim ve raporlama ile paydaşlar nezdinde itibar ve güven ortamını tesis etmek,
    • Risk yönetim sisteminin performansını ölçmek, risk yönetim sistemi ve riskleri sürekli iyileştirerek, kurumsal yapıyı dinamik bir yapıda tutmak,
    • Değişen ve gelişen şartlar doğrultusunda Risk Politikasını gözden geçirmek ve iyileştirmek.

Bu kapsamda Risk gerek varlık temelli ve gerekse de süreç bazlı olarak ele alınıp tehdit ve açıklıklardan hareketle risk değerlendirmesi yapılır.

Risk Değerlendirmesi yöntemi ve seçilen metodoloji BGYS Risk Değerlendirme Prosedürü’nde ele alınmıştır.

    1. Kriptografik Kontroller ve Anahtar Yönetimi Politikası:
      1. Giriş: Veriyi korumanın yollarından biri de şifrelemedir. Hassas bilgiler bilinen ve test edilmiş şifreleme yöntemleri ile saklanmalıdır. Süreç içerisinde kırılması uzun zaman alan algoritmalar daha kısa zamanda çözülebilmektedir, bu nedenle uygulama içindeki algoritmalar zamanla gözden geçirilmeli ve güncellenmelidir.

Antepsan  ’de Kriptografik Kontroller aşağıdaki maksatlarla kullanılır;

  1. Gizlilik: Saklanan veya iletilen hassas veya kritik bilgiyi korumak için şifrelemenin kullanılması,
  2. Bütünlük/Güvenilirlik: Saklanan veya iletilen hassas veya kritik bilginin güvenilirlik veya bütünlüğünü korumak için sayısal imzaların veya mesaj doğrulama kodlarının kullanılması,
  3. İnkar edilemezlik: Bir olay veya faaliyetin oluşumu veya oluşmadığının kanıtını elde etmek için kriptografik tekniklerin kullanılması.

      1.  Uygulama:
  • Personelin gönderdiği maillerde, hiçbir şekilde yönetici, kullanıcı gibi hesap şifreleri bulundurulmamalıdır.
  • İşletim sistemi üzerinde saklanan kullanıcı ve yönetici hesabı şifrelerinin kriptolu olarak saklandığı belirli zaman aralıklarında kontrol edilmelidir.
  • Sunuculara kriptolu bağlantı ile bağlanılmalı, kripto kullanmayan yöntemler tercih edilmemelidir. Düz metin kullanarak veri alışverişi yapan yöntemlerin kullandığı portlar gerekirse kapatılmalıdır.
  • Kripto kullanımı ile ilgili hangi iş bilgisinin korunacağı konusunda genel prensipler belirlenmelidir.
  • Risk belirleme esasına dayalı olarak gereksinim duyulan koruma seviyesi ile şifreleme algoritmasının türü, gücü ve niteliği ortaya konulmalıdır.
  • Taşınabilir ortam, cihaz ve iletişim hatlarında iletilen hassas bilginin korunması için şifreleme mekanizmalarının kullanımı belirlenmelidir.
  • İçerik denetimi üzerinden yapılan kontrollerde şifrelenmiş bilgi kullanımının etkileri değerlendirilmelidir.
  • Kriptografik anahtarların korunması, şifrelenmiş bilginin kaybolması, tehlikeye düşmesi veya hasar görmesi durumunda tekrar geri alınması ile ilgili metotları içeren anahtar yönetimi uygulanmalıdır.
  • Politikanın uygulanması, anahtar üretimini de içeren anahtar yönetimi ile ilgili görevler ve sorumluluklar belirlenmelidir.
      1. Anahtar Yönetimi: Anahtar yönetiminde aşağıda belirtilen ve üzerinde mutabık kalınan standartlar, prosedürler ve güvenli yöntemler seti dikkate alınmalıdır;

 

  1. Farklı şifreleme sistemleri ve farklı uygulamalar için anahtarların üretimi,
  2. Anahtarın alınmasını takiben nasıl faaliyete geçirileceği de dahil kullanıcılara anahtar dağıtımı,
  3. Yetkili kullanıcıların anahtar erişiminin sağlanmasını da kapsayan anahtarların saklanması,
  4. Anahtarların ne zaman ve nasıl değiştirileceğinin kurallarını da kapsayan anahtarların değişimi ve güncellenmesi,
  5. Güvenliği tehlikeli bir duruma düşmüş anahtarlar,
  6. Anahtarların geri alımı ve kullanılmaz hale getirilmesini kapsayan anahtarın yürürlükten kaldırılması (Örneğin, anahtarın güvenliğinin tehlikeli bir duruma düşmüş olması veya kullanıcının kuruluştan ayrılması durumları),
  7. Anahtarların arşivlenmesi ve imhası,
  8. Anahtar yönetimi ile ilgili faaliyetlerin izleme kayıtlarının (log) tutulması.

    1. Bilgi Sistemleri Kabul Edilebilir Denetim Koşulları Politikası:

Amaç: Kurum, bilgi sistemlerine yapılan denetimlerin süreçler üzerinde yapacağı bilgi güvenliği etkilerini azaltmak.

Kapsam: Kurum Bilgi sistemlerine yapılan iç ve dış denetimler.

  • Sistemler ve veriye erişim için denetim gereksinimleri konusunda ilgili yönetim ile mutabık olunur.
  • Teknik denetim testlerinin kapsamına karar verilir ve kontrol edilir.
  • Denetim testleri, yazılım ve veriye sadece okunabilir erişim ile sınırlandırılır.
  • Sadece okunabilir erişim dışında kalan erişim için, sistem dosyalarının ayrı bir ortamdaki kopyalarına izin verilir, bu kopyalar denetim tamamlandığında silinir veya denetim dokümantasyon şartları altında bu tür dosyaları tutmak için bir zorunluluk varsa uygun koruma sağlanır.
  • Özel ve ek bir işleme için gerekler tanımlanır ve kararlaştırılır.
  • Sistem erişilebilirliğini etkileyebilecek denetim testleri çalışma saatleri dışında çalıştırılır.
  • Tüm erişimler izlenir ve referans kaydı oluşturmak için kaydedilir.

    1. Fikri Mülkiyet Hakları Politikası:

Kapsam: Fikri mülkiyet hakları; yazılım veya belge telif haklarını, tasarım haklarını, markaları, patentleri ve kaynak kod lisanslarını kapsar.

Uygulama:

    • Tüm çalışanların sorumluluğundadır. Kuruluşumuz ulusal ve uluslararası tüm yasa ve düzenlemelere uymayı taahhüt eder.
    • Yazılım ve diğer ürünlerinin yasal kullanımını belirleyen fikri mülkiyet haklarına uyum İnsan Kaynakları İş Etiği Kuralları Prosedürü’nde ele alınmıştır. 
    • Yazılım ve lisanslar satınalmaları telif haklarının ihlal edilmemesini temin etmek için sadece bilinen ve seçilmiş tedarikçilerden alınır.
    • Fikri mülkiyet hakları farkındalığını arttırmak için

  • BGYS Farkındalık Eğitiminde konu en az beyaz yaka çalışanlara anlatılır
  • BGYS Kullanıcı El Kitapçığı tüm çalışanlara dağıtılır.
  • İnternet Erişim ve Kullanım Politikası’nda, E-Posta Kullanım Politikası’nda ve Bilişim Kaynakları Kullanım Standartları Politikası’nda konu vurgulanır.

    • Fikri Mülkiyet Hakkının çalışan tarafından ihlali İnsan Kaynaklarının İlgili Disiplin Yönetmeliği kapsamında ele alınır.
    •  Varlık envanterleri oluşturularak tüm lisanslar ve fikri mülkiyet hakkı kapsamındaki bilgi varlıkları kayıt altına alınır.    
    • Lisansların, ana disklerin, kılavuzların ve benzerlerinin sahipliğine dair ispat ve deliller muhafaza edilir.
    • Kurum bilişim ekipmanlarına yazılım ve lisanslı ürünlerin kuruluşu yalnızca yetkili Bilgi Teknolojileri Ekibi tarafından yapılır.
    • Yazılımların ve lisansların üçüncü taraflara transferi veya yok edilmesi Ekipman İmha Bağış ve Kayıttan Düşme Prosedürü’nde ele alınır.
    • Telif hakkı yasası tarafından izin verilen dışında kitapların, makalelerin, raporların ve diğer belgelerin tam veya kısmen kopyalanmasına izin verilmez.

  1. KURALLAR: -

  1. KAYITLARIN SAKLANMASI:
    1. Tüm kayıtlar, Dokümante Bilgi Prosedürü’ ne göre saklanır.

  1. İLGİLİ DOKÜMANLAR:
    1. Dokümante Bilgi Prosedürü

 

Çerez Kullanımı

www.antepsanshop.com internet sitesinde, siz kullacılarımıza daha iyi bir deneyim sunmak için Çerez kullanmaktadır. İnternet sitemizi kullanmaya devam ederek Çerez kullanımını kabul etmektesiniz. Çerez kullanımına ilişkin politikamız hakkında daha fazla bilgi için ÇEREZ POLİTİKASINI inceleyiniz.