Transcript Bilgi İşlem Dairesi Başkanlığı
1 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Bilgi Güvenliği
İÇİŞLERİ BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI
Hülya MARAŞ Sistem Yönetim Şubesi Bilgi Güvenliği
2 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
3 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Bilgi Güvenliği
Bilgi, diğer önemli ticari varlıklar gibi bir organizasyon için belirli bir değeri olan varlıktır. Dolayısıyla uygun bir şekilde korunması gerekir.
BS ISO 27002:2005
4 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Bilgi Güvenliği
- Elektronik Dosya (Yazılım kodları, veri dosyaları) - Kağıt Belgeler (Basılı materyal, elle yazılan bilgiler, fotoğraflar) - Kayıtlar (Video kaydı, ses kaydı) - Sözlü İletişim (Telefon, yüzyüze) - Yazılı İletişim (E-posta, faks, anlık ileti)
5 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Bilgi Güvenliği
Bilginin; hukuka aykırı, her türlü yetkisiz erişimden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunması işlemidir.
6 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Bilgi güvenliği, 3 temel unsurdan oluşmaktadır.
Gizlilik; Bilginin yetkisiz kişilerce erişilememesidir. Bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Bütünlük; Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır. Kazara veya kasıtlı olarak bilginin bozulmamasıdır. Erişilebilirlik; Bilginin her ihtiyaç duyulduğunda sadece erişim yetkisi olanlar tarafından kullanıma hazır durumda olması demektir.
7 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Veri Bütünlüğünün Korunması Erişim Denetimi Gizliliğin Korunması Sistem Devamlılığının Sağlanması
8 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
9 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Bu politika ile kullanıcıların elektronik ortamlarda haberleşirken, yüksek seviyede bilgi güvenliğinin sağlanması için Kurum e-posta altyapısına yönelik kuralların belirlenmesi ve uygulanması amaçlanmaktadır .
Kullanıcı e-posta hesabına ait parolaları
paylaşmamalıdır
engellemelidir.
ve mesajlarının yetkisiz kişiler tarafından okunmasını Bakanlık ile ilgili olan
gizli
bilgi, gönderilen mesajlarda yer almamalıdır.
Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar ilgili birime haber vermelidir.
10 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Kullanıcı hesaplarını, kullanmamalıdır.
kişisel amaçlarına
yönelik
Spam , zincir e-posta ,
yanıt yazılmamalıdır.
sahte e-posta
vb. zararlı e-postalara Kurumsal E-postalar yetkili kişilerce hukuksal açıdan gerekli görülen yerlerde önceden haber vermeksizin
denetlenebilir.
6 ay süreyle kullanılmamış e-posta adresleri kullanıcıya haber vermeden kapatılmalıdır .
11 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Kimlik avı (Phishing) nedir?
• Kimlik avı (İngilizcesi phishing), kişisel ve finansal bilgileri bir e-posta iletisi veya web sitesi aracılığıyla elde etmek amacıyla bilgisayar kullanıcılarını kandırmak için kullanılan bir yöntemdir.
Phishing Saldırıları Nasıl Gerçekleşir?
Saldırgan kişiler özellikle bankalar, mail servisleri, alış-veriş siteleri, sosyal paylaşım ağları(Facebook, Twitter, MySpace vb.) gibi arkadaşlık ve anlık sohbet sistemleri, online oyunlar gibi kullanıcı adı ve parola kullanılarak giriş yapılan sistemlerin bir kopyasını hazırlayarak ilk adımı atarlar. Saldırganlar ellerinde mevcut olan e-posta listelerine veya hedefledikleri kişilere gönderdikleri e-postalarla kurbanlarını hazırladıkları sahte sayfalara yönlendirirler. Kurbanların sahte sayfalara girerek istenen bilgileri paylaşmasıyla saldırı amacına ulaşmış olur.
12 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Sahte E-posta Nasıl Anlaşılır?
1) Gönderenin Adresi
"Kimden" satırı orijinalini taklit eden resmi görünen bir adres içerir.
2) Genel Karşılamalar
"Sayın Kullanıcı" ifadesinin veya e-posta adresinizin kullanıldığı şahsa yönelik olmayan karşılamalara dikkat edin.
3) Yazım Hataları/Hatalı Dil Bilgisi Kullanımı
Tanınmış şirketler tarafından gönderilen e-postalar neredeyse hiç yazım ve dil bilgisi hatası içermez.
4) Aciliyet Hissi Uyandırma
Sahte e-postaların birçoğu önemli bilgilerin hemen güncellenmemesi durumunda hesabınızın tehlikede olacağını belirtir.
5) Sahte Bağlantılar
Sahte bağlantılar gerçek gibi görünebilir ancak sizi kandırmaya yöneliktir. E-postadaki bir bağlantıyı tıklamadan önce URL'nin üzerine gidip tarayıcınızdaki URL ile karşılaştırarak bağlantının sizi nereye yönlendireceğini kontrol edin.
6) Ekler
Casus yazılım veya virüs içerebileceğinden, gerçek olduğundan %100 emin olmadıkça eki sakın açmayın.
13 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
14 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
15 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Kimlik Avı (Phishing) Saldırılarına Karşı Alınması Gereken Güvenlik Önlemleri Nelerdir?
Bilgisayarınızın güncellemelerini yapmayı ihmal etmeyin. Ayrıca güncel ve kaliteli bir anti virüs programı kullanın. Yasal olmayan veya kaynağı belirsiz yazılımları yüklememek, çalıştırmamak. Gelen e-posta’nın kimden geldiğinden emin değilseniz dikkate almayınız. Mail yoluyla gelen her site URL’sine (Adresine) tıklamayınız.
16 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
17 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Parola kullanımı kullanıcı hesapları için ilk güvenlik katmanını oluşturmaktadır. Bu politika ile güçlü bir parola oluşturulması, oluşturulan parolanın korunması ve bu parolanın değiştirilme sıklığı hakkında standart oluşturulması amaçlanmaktadır.
Parolalar e-posta herhangi bir eklenmemelidir.
iletilerine elektronik veya forma Sistem hesaplarına ait parolalar (örnek; root , administrator , enable , vs.) en geç 6(altı) ayda bir değiştirilmelidir.
Kullanıcı hesaplarına ait parolalar (örnek, e-posta, web, bilgisayar vs.) en geç masaüstü 45(kırk beş) günde bir değiştirilmelidir.
18 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Kullanıcı, parolasını başkası ile elektronik ortamlara yazmamalıdır.
paylaşmamalı , kâğıtlara ya da Parola hatırlatma özelliği olan uygulamalarda seçeneği kullanılmamalıdır.
“parola hatırlama”
19 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Parolalar genel olarak iki şekilde ele geçirilebilir:
1) Tahmin ederek
ya da
deneme yanılma
yolu ile ele geçirilebilir.
2) Parolanızın çalınması
ile yani
hırsızlık yaparak
ele geçirilebilir.
Olası Senaryolar:
1.Tanıdığın bir kişi senin hakkında bildikleriyle parolanı tahmin edebilir. 2.Tanımadığın bir kişi ise herkesin sık kullandığı bilinen, basit parolaları deneyerek şifreni bulabilir. 3.Parolanı bulmak isteyen kişi özel programlar kullanarak sık kullanılan yüzlerce parola örneğini ya da sözlüklerdeki binlerce kelimeyi hızlıca deneyerek parolanı belirleyebilir. 4.İyi korunmayan, yazılı ya da sözlü olarak paylaşılan parolalar, yazılı bulunduğu ortama ulaşılarak ya da kulak misafiri olunarak ele geçirilebilir. 5.Bilgisayar virüsleri gibi zararlı programlar da bilgisayardaki işlemlerini izleyerek parolanı ele geçirebilir.
20 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Güvenli Parola Nasıl Olmalı?
En az 8 haneli olmalıdır.
İçerisinde en az 1 tane harf bulunmalıdır.
İçerisinde en az 2 tane rakam bulunmalıdır. İçerisinde en az 1 tane özel karakter bulunmalıdır. (@, !,?,^,+,$,#,&,/,{,*,-,],=) Aynı karakterler peş peşe kullanılmamalıdır.
Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...) Kullanıcıya ait anlam ifade eden kelimeler içermemelidir. (Aileden birisinin, arkadaşının, bir sanatçının, sahip olduğu bir hayvanın ismi, arabanın modeli vb.)
21 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
22 /37
celik alicelik
28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Kötü Şifre Örnekleri
Kullanıcının soyismi. 8 karakterden az.
Sadece harfler kullanılmış. Özel karakterler, rakamlar kullanılmamış.
Kullanıcının adı ve soyadı Ali_celik1234 ali123 antalya 34bg356 13nisan1967 Qwerty123 Mercedes Kalem Kalem111 İçerisinde kullanıcı ismi ve soyismi geçiyor. Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir.
Araç plakası.
Doğum tarihi ya da önemli bir tarih.
Çok kullanılan karakter sıraları.
Özel isim Sözlüklerde bulunan bir kelime. Bunun yanında 8 karakterden az. Kelimenin türevi
23 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Antivirüs; istemcileri ve sunucuları virüs, solucan, Truva Atı gibi diğer zararlı yazılımlardan korumaktadır. Bu politika ile istemcilerin ve sunucuların virüs algılama ve engelleme standardına sahip olması için gerekliliklerin belirlenmesi amaçlanmaktadır.
Kurumun tüm istemcileri ve sunucuları antivirüs yazılımına sahip olmalıdır. Kullanıcı hiçbir sebepten dolayı antivirüs yazılımını bilgisayarından kaldırmamalıdır.
İstemcilere ve sunuculara virüs bulaştığı fark edildiğinde etki alanından çıkartılmalıdır .
Antivirüs güncellemeleri antivirüs sunucusu ile yapılmalıdır. Sunucu ve istemci bilgisayarlarının tamamı optik media ve harici veri depolama cihazlarını antivirüs kontrolünden geçirecek şekilde yapılandırılmalıdır.
24 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Zararlı Programlar Neler Yapabilir?
• Bilgisayarınızdaki bilgileri çalabilir ve başkalarına gönderebilirler.
• İşletim sisteminizin veya diğer programlarınızın çalışmamasına, hatalı çalışmasına neden olabilirler.
• Bilgisayarınızdaki dosya / klasörleri silebilir, kopyalayabilir, yerlerini değiştirebilir veya yeni dosyalar ekleyebilirler.
25 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
• Yaptığınız her şeyi kaydedebilirler. Klavyede yazdığınız herşey, fare ile yaptığınız herşey gibi.
• Tüm verisiyle diski silebilir, hatta biçimlendirebilirler. • Saldırganların kullanması için güvenlik açıklıkları oluşturabilirler.Başka zararlı programların bulaşmasına neden olabilirler.
• Bilgisayarınız üzerinden başkalarına saldırabilirler.
• Ekranda can sıkıcı veya kötü amaçlı web sitelerine yönlendiren açılır pencereler oluşturabilirler.
• Bilgisayarınızın ya da internetin kaynaklarını kullanır, yavaşlamalara neden olabilirler.
26 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Zararlı kodlar:
Kötücül yazılımlar (malware) da sistemin ele geçirilmesine aracılık edebilirler:
a) Virüsler:
Virüsler, yayılmak için kullanıcı etkileşimini gerektiren zararlı program kodlarıdır. Virüsler genellikle işletim sistemlerinin ya da yazılım uygulamalarının açıklarından bağımsız olarak çalışırlar.
Virüsler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir
27 /37 28.04.2020
b) Solucanlar (worm):
Bilgi İşlem Dairesi Başkanlığı
Solucanlar yayılmak için sistem ya da ağlardaki açıkları kullanırlar. Yayılmak için kullanıcı etkileşimine ihtiyaç duymazlar ve sisteme zarar vermektense sisteminizi gizli bir saldırgan haline getirebilirler. Sisteminizi bir botnet’e dahil eden solucanlar, sisteminizi spam göndermek veya başka bilgisayarlara saldırıda bulunmak amacıyla hacker’lara alet edebilirler.
Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler alınmalıdır.
28 /37 28.04.2020
c) Truva Atları (Trojan)
Bilgi İşlem Dairesi Başkanlığı
Görüntüde istenilen fonksiyonları çalıştıran, ancak arka planda kötü amaçlı fonksiyonları da gerçekleştiren yazılımlardır Bunlar teknik olarak virüs değillerdir ve farkında olmadan kolayca download edilebilirler Saldırgana sistemin sahibinden daha yüksek ayrıcalıklar tanıyan ve çok tehlikeli sayılacak becerilere sahip olan trojanlar vardır Truva atları, ücretsiz olarak yüklediğiniz yazılımlarla bir arada da gelebilir
29 /37 28.04.2020
d) Casus yazılımlar (spyware):
Spyware farkında olmadan bir web sitesinden download edilebilen veya herhangi bir üçüncü parti yazılım ile birlikte yüklenebilen kötü amaçlı bir yazılım tipidir.
Genelde, kullanıcının izni olmaksızın kişisel bilgilerini toplar.
Herhangi bir kullanıcı etkileşimi olmaksızın bilgisayar konfigürasyonunu değiştirebilmektedirler.
Çoğunlukla web reklamları ile bütünleştirilmiştir. En belirgin bulgusu, tarayıcı açılış sayfasının değiştirilmesidir.
Özellikle ücretsiz yazılım araçlarının kurulumlarına dikkat edilmesi gerekmektedir.
Bilgi İşlem Dairesi Başkanlığı
30 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
e) Botnet: Zombi Bilgisayarlar
Kötü amaçlı yazılımlar tarafından ele geçirilmiş sistemlerdir.
Bu sistemler bir kısır döngü içerisinde sürekli olarak zararlı yazılım yayarlar ve kullanıcıları bunun farkında değildir.
Aynı zamanda bilişim suçları için potansiyel bilgisayarlardır.
Botnet, spam yollamak ve şantaj yapmaya çalışmaktan, devlet ağlarına saldırmaya kadar farklı alanlarda, siber suçlular tarafından saldırıları yürütmek amacıyla kullanılabilir.
Hatta bu yüzden işlemediğiniz suçlar ile ilgili adli makamlarla muhatap bile olabilirsiniz.
31 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
32 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
• Bilgisayarların en büyük kullanım amacı, aynı zamanda en tehlikeli olanı:
Web’de gezinmek.
• Symantec’e göre, geçtiğimiz yıl içinde web tabanlı zararlı kod saldırıları
%93
artmış.
• Güvenlik programlarının bu durumda internet bağlantısını, tarayıcıyı yavaşlatmadan incelemeleri gerekiyor.
33 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Bu politika ile Internet’in kurallarına, etiğe ve yasalara uygun kullanımının sağlanması ve güvenli internet erişimine sahip olması için gereken standartların belirlenmesi amaçlanmaktadır.
Kurumun bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvar(lar)ı üzerinden internete çıkmalıdır.
Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır. İstenilmeyen siteler (oyun, kumar, şiddet içeren vs.) yasaklanmalıdır.
Kurumun ihtiyacı doğrultusunda Tespit ve Önleme’ ‘Saldırı sistemleri kullanılmalıdır.
Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir.
34 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
SOSYAL MÜHENDİSLİK
• Sosyal Mühendislik, normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır.
• Etkileme ve ikna yöntemlerini kullanırlar.
• Kullandığı en büyük silahı, insanların zafiyetleridir.
• İnsan, güvenliğin en zayıf halkasıdır .
Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” (Albert Einstein)
35 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
SOSYAL MÜHENDİSLİK
• Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür.
• Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki, hiç kuşku uyandırmaz ve kurbanın güvenini sömürür.
)
36 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
SOSYAL MÜHENDİSLİK YÖNTEMLERİ
• • • Sahte senaryolar uydurmak Güvenilir bir kaynak olduğuna ikna etmek (phishing) Truva atları • Güvenilir bilgi karşılığında para, hediye, vs önermek • Güven kazanarak bilgi edinmek • Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak
37 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
SOSYAL MÜHENDİSLİK
Amaç çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kurum yapısı, kullanılabilecek kurumsal her türlü ağın yapısı, materyalin toplanmasıdır.
Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, bilinen en iyi örnekleridir.
38 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Facebook muhteşem bir sosyal mühendislik kaynağı.
39 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
SOSYAL MÜHENDİSLİK ÖNLEME YÖNTEMLERİ
Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri incelenmelidir Kurum çöpleri (büro malzemeleri, not kağıtları, bordrolar vs.) tamamen kullanılmaz hale getirilmeli daha sonra atılmalıdır Sistem yöneticilerinin, kurumsal bilgileri posta listelerinde, arkadaş ortamlarında ve benzeri yerlerde anması önlenmelidir Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır
40 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Bu politika ile herhangi bir yerden Kurumun bilgisayar ağına erişilebilmesine ilişkin standartların belirlenmesi amaçlanmaktadır.
Internet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar VPN teknolojisini kullanmalıdırlar.
Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri yürütülen projeler üzerinden otomatik olarak alınmalı, yetkiler ve hesap özellikleri buna göre güncellenmelidir.
41 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Bu politika ile kablosuz cihazların, gerekli güvenlik tedbirleri alınmaksızın, Kurumun bilgisayar ağına erişiminin engellemesi amaçlanmaktadır.
Kurumun bilgisayar ağına bağlanan bütün erişim cihazları ve ağ arabirim kartları kayıt altına alınmalıdır .
Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmalıdır. Wi Fi Protected Access2 (WPA2 kurumsal) şifreleme kullanılmalıdır. Radyo dalgalarının gösterilmelidir.
binanın dışına taşmamasına özen Erişim Cihazları üzerinden gelen kullanıcılar güvenlik duvarı üzerinden ağa dâhil olmalıdır.
42 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Kullanıcıların günlük aktivitelerini yerine getirebilmesi için bu kuralların iyi bilinmesi ve uygulamanın sorumluluğunu taşıması gerekmektedir.
Kullanıcılar bilgi kişisel amaçlarla sistemlerini kullanamaz.
Kurum; bünyesindeki ağları ve sistemleri periyodik olarak denetleme hakkına sahiptir.
Tüm kurum bilgisayarları, etki alanına dahil edilir.
Bilgi İşlem Dairesinin bilgisi ve onayı olmadan bakanlık ağ sisteminde (web hosting, e-posta servisi vb.) sunucu nitelikli bilgisayar bulundurulmaz.
43 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Oluşturulan envanter tablosunda şu bilgiler olmalıdır: sıra no, bilgisayar adı, bölüm, marka, model, seri no, özellikler, ek aksamlar, işletim sistemi, garanti süresi vs .
Bu tablolar merkezi bir web sunucuda tutulmalı ve belirli aralıklarla güncellenmelidir . Envanter bilgileri sık sık kontrol edilmelidir. Bu şekilde bilgi eksikliğinin yol açacağı kayıp ve maliyetlere engel olunmalıdır.
44 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Bu politika ile Kurum çalışanlarının, bilgi güvenliliği ve iş sürekliliği ile ilgili acil bir durum oluştuğunda sorumlulukları dâhilinde gerekli müdahaleyi yapabilmelerine yönelik standartları belirlemesi amaçlanmaktadır.
Acil durum sorumluları atanmalı ve yetki ve sorumlulukları belirlenmeli ve dokümante edilmelidir.
Bilgi sürekliliği sistemlerinin çalışabilmesi için gerekli önlemler alınmalıdır.
Problem sistem kesintisiz veya makul kesinti süresi içerisinde felaket ve/veya iş merkezi kesintisiz durumlarında üzerinden çalıştırılabilmelidir.
Sistemler tasarlanırken minimum sürede iş kaybı hedeflenmelidir.
45 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Acil durumlar oluştuğunda ilk aranacak numaralar :
• 0 506 852 1203 - 1204 • 0 312 422 4633 – 4634 – 4635 – 4636 – 4637 - 4638
46 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Bu politika ile Kurum personeli ve kritik kurumsal bilgilerinin korunması amacıyla sistem odasına, kurumsal bilgilerin bulundurulduğu sistemlerin yer aldığı tüm çalışma alanlarına ve kurum binalarına yetkisiz girişlerin yapılmasının önlemesi amaçlanmaktadır.
Kurumsal bilgi varlıklarının dağılımı göre ve bulundurulan bilgilerin kritiklik seviyelerine binalarda ve çalışma alanlarında izinleri bu farklı güvenlik bölgeleri tanımlanmalı ve erişim doğrultuda belirlenerek gerekli kontrol altyapıları teşkil edilmelidir.
Kurum dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi yetkili güvenlik görevlileri gözetiminde gerçekleştirilmelidir.
47 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Kritik bilgilerin bulunduğu alanlara girişler kontrolü akıllı kartlar veya biyometrik sistemler ile yapılmalı ve izlenmelidir.
Personel kimliği ve yetkilerini belirten kartların ve ziyaretçi kartlarının düzenli olarak taşınması sağlanmalıdır.
Kritik sistemler özel sistem odalarında tutulmalıdır.
48 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzer felaketlere karşı koruma altına alınmalı ve iklimlendirilmesi sağlanmalıdır.
Fotokopi, yazıcı vs. türü cihazlar mesai saatleri dışında kullanıma kapatılmalı, mesai saatleri içerisinde yetkisiz kullanıma karşı koruma altına alınmalıdır.
Çalışma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması temin edilmelidir.
49 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı Bu politika ile Kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarının tanımlanması amaçlanmaktır.
Kurum açarak erişilen sistemler üzerindeki kullanıcı bünyesindeki rolleri bütün ve oturum yetkileri belirlenmeli, dokümante edilmeli ve denetim altında tutulmalıdır.
Sistemlere başarılı ve başarısız erişim istekleri düzenli olarak tutulmalı, tekrarlanan başarısız erişim istekleri/girişimleri incelenmelidir.
Kullanıcılardan erişim haklarını anladıklarını ve bu hakları ihlal etmeleri halinde disiplin sürecine veya yasal işleme tabi olacaklarını anladıklarına ilişkin imzalı beyan alınır.
50 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Bu politika ile Kurum ilgili personelinin seçimi, sorumluluk ve yetkilerinin atanması, eğitilmesi, işten ayrılması, görev değişiklikleri vb konularının güvenlik ile ilgili boyutunun belirlenmesi amaçlanmaktadır.
Bilgi sistemlerinde sorumluluk verilecek kişinin özgeçmişi araştırılmalı, beyan edilen akademik ve profesyonel bilgiler teyit edilmeli, karakter özellikleriyle ilgili tatmin edici düzeyde bilgi sahibi olmak için iş çevresinden ve dışından referans sorulması sağlanmalıdır.
Kritik bilgiye erişim hakkı olan çalışanlar ile imzalanmalıdır.
gizlilik anlaşmaları Çalışanların güvenlik aktiviteleri izlenmelidir.
ile ilgili Yetkiler, “ görevler ayrımı ” ve “ en az ayrıcalık ” esaslı olmalıdır.
51 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Bakım politikası ile Kurum bilgi sistemlerinin bakımı ile ilgili kuralların belirlenmesi amaçlanmaktadır.
Kurum sistemlerinin tamamı (donanım, uygulama yazılımları, paket yazılımlar, işletim sistemleri) periyodik bakım güvencesine alınmalıdır. Bunun için gerekli anlaşmalar için yıllık bütçe ayrılmalıdır.
Sistem bakımlarının ilgili politika ve standartlar tarafından belirlenmiş kurallara aykırı bir sonuç vermediğinden olmak için ve güvenlik açıklarına yol açmadığından emin periyodik uygunluk ve güvenlik testleri yapılmalıdır.
52 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
53 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
54 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı
Son Söz
Tehlike hiç ummadığınız bir anda, hiç ummadığınız bir yerden gelebilir.
Tanımadığınız kişilerden gelen isteklere karşı temkinli davranılmalıdır.
Size özel bilginizi (örneğin parolanızı) kimseyle paylaşmamalıdır.
- Sistem yöneticisi - Yan masada oturan mesai arkadaşınız Kurumdaki tüm personele periyodik olarak bilgi güvenliği bilinçlendirme eğitimleri verilmelidir.
Kurumunuzda periyodik olarak, sosyal mühendislik saldırı testini de içeren, bilgi güvenliği testleri gerçekleştirilmelidir.
55 /37 28.04.2020
Bilgi İşlem Dairesi Başkanlığı