Transcript PowerPoint Sunusu - Bingöl Kamu Hastaneleri Birliği Genel

Bingöl KHB Bilgi Güvenliği Politikaları Eğitimi
Bilgi Güvenliği Politikası Kılavuzu- C- Politikalar
Erişim Yönetimi ve Erişim Kaydı Tutulması
Uzaktan Erişim Yönetimi
Veritabanı Güvenliği
Kaydedilebilir Taşınır Materyaller Güvenliği
Yedekleme ve İş Sürekliliği Yönetimi
Güvenlik İhlal Bildirim Yönetimi
Sedat ADEMOĞLU
Bingöl Kamu Hastaneleri Birliği
Genel Sekreterliği
C.18. Erişim Yönetimi ve Erişim Kaydı Tutulması
Veri tabanlarına erişen
kullanıcıların yapmış
oldukları işlemler
loglanmalı, gerektiğinde
erişim yetkilisinin kayıt
silme logları da
listelenebilir olmalıdır.
Bakanlık sunucularına
erişim için IP/SEC ya da SSL
VPN kullanılmalıdır.
Sunuculara kullanıcı erişimi
için SSH, RDP gibi
protokollerle sunucu
yönetimi için belirli portlar
erişim verilmelidir.
Kullanıcıların sunucu
yönetim için sağlanan
erişimde merkezi kullanıcı
yönetimi (MS AD, LDAP,
ssh-key) ile yapılmalıdır.
C.18.2. Kayıt Tutulması (Log tutulması)
Kurumun güvenlik
cihazlarına ait loglar
güvenlik birimi
tarafından
yönetilmeli ve
değerlendirilmelidir.
Kurumun veri
tabanlarına ait loglar
veri tabanları birimi
tarafından
yönetilmeli ve
değerlendirilmelidir
Tüm sunuculara ve
servislere sağlanan
tüm yönetici
erişimleri uzak ve
merkezi bir kayıt
sunucusuna
gönderilmelidir.
Merkezi kayıt
sunucusu üzerindeki
başarılı girişler de
istatiksel veriler
halinde
raporlanabilmelidir.
C.19. Uzaktan Erişim Yönetimi
Uzaktan erişim
için
yetkilendirilmiş
kurum
çalışanları
bağlanmalıdır
İnternet
üzerinden
Kurumun
herhangi bir
yerindeki
bilgisayar ağına
erişen kişiler
ve/veya
kurumlar VPN
teknolojisini
kullanmalıdırlar
Kurum
çalışanları
bağlantı
bilgilerini hiç
kimse ile
paylaşmamalıdır
Kurumun ağına
uzaktan bağlantı
yetkisi verilen
çalışanlar veya
sözleşme
sahipleri
bağlantı
esnasında aynı
anda başka bir
ağa bağlı
olmamalıdır
C.19. Uzaktan Erişim Yönetimi
Kurum ağına
uzaktan erişecek
bilgisayarların
işletim sistemi ve
anti virüs yazılımı
güncellemeleri
yapılmış olmalıdır
Uzak erişimde
yapılan tüm
network hareketleri
loglanmalıdır
Uzak erişim için
kullanılacak olan
servisler ve
protokoller ön
tanımlı olmalıdır.
VPN ile erişecek
olan kullanıcı VPN
Erişim formunu
doldurmak
zorundadır.
C.22. Veri Tabanı Güvenliği
Veri tabanı sistemleri
envanteri dokümante
edilmeli ve bu
envanterden sorumlu
personel tanımlanmalıdır.
Veri tabanı sistem kayıtları
tutulmalı ve gerektiğinde
idare tarafından
izlenmelidir.
Veri tabanı yedekleme
planları dokümante
edilmelidir. Hangi veri
tabanının, hangi yöntem
ile hangi gün ve saatte
yedeğinin alındığını
içermelidir.
Manyetik kartuş, DVD veya
CD ortamlarında tutulan
log kayıtları en az 2 (iki) yıl
süre ile çelik kasa gibi
güvenli ortamlarda
encrypted olarak
saklanmalıdır.
C.22. Veri Tabanı Güvenliği
C.22. Veri Tabanı Güvenliği
Veri tabanı sunucusu
sadece ssh, rdp, ssl ve veri
tabanının orijinal yönetim
yazılımına açık olmalı;
bunun dışında ftp, telnet
vb. gibi açık metin şifreli
bağlantılara kapalı
olmalıdır.
Veri tabanı sunucularına
erişim şifreleri kapalı bir
zarfta imzalı olarak
kurumun kasasında
saklanmalı ve gereksiz yere
açılmamalıdır. Zarfın
açılması durumunda ilgili
yetkililer bilgilendirilmelidir.
Veri tabanı sunucusuna
ancak zorunlu hallerde
"root" veya "admin" olarak
bağlanılmalıdır. Root veya
admin şifresi tanımlı
kişi/kişilerde olmalıdır.
C.23. Kaydedilebilir Taşınır Materyaller Güvenliği
Taşınacak veri eğer
usb disk ile
taşınacaksa bu usb
diskin tehdit unsuru
olan bir yazılım
içermediğine emin
olunmalıdır.
Taşınacak verinin de
tehdit unsuru içeren
herhangi bir yazılım
içermediğine emin
olunmalıdır.
Veriyi ister usb disk
isterse de cd, dvd
ortamında taşınsın
kesinlikle
şifrelemelidir.
Veriyi usb disk ile
taşıyorsak; bunları
bilgisayara takarken
usblerin sağlıklı
çalıştığından emin
olmalıyız
C.23. Kaydedilebilir Taşınır Materyaller Güvenliği
C.25. Yedekleme ve İş Sürekliliği Yönetimi
Kurumun bütün verisinin, … tamamının yedeği uygun ve düzenli
olarak alınmalıdır.
Yedekleme sistemi iş sürekliliği planında yer alan veri yedekleme
ihtiyacını karşılamalıdır.
Yedekleme işlemlerinin sağlanması için yedekleme politikasına
uygun olarak bir yedekleme planı oluşturulmalıdır.
C.25. Yedekleme ve İş Sürekliliği Yönetimi
Yedekleme işlerine ait kayıtlar tutulmalıdır.
Yedekleme medyalarının kopyaları alınarak ana sistem odasına zarar verebilecek
felaketlerden etkilenmeyecek kadar uzakta ve güvenli olarak depolanmalıdır.
Başarısız olan yedekleme işleri takip edilmeli ve yedeği alınamamış verinin yedeği
alınmalıdır.
Yedeklenmiş verinin düzenli aralıklarla geri döndürme testi yapılmalıdır.
C.25. Yedekleme ve İş Sürekliliği Yönetimi
Yedeklerin bir kopyası
doğal afetlerden ve olası
tehlikelerden korumak
maksadıyla ana
merkezden uzak bir
merkezde saklanmalıdır.
Yedekleme bilgisine
uygun seviyede fiziksel ve
çevresel koruma
sağlanmalıdır.
Geri yükleme süreci
düzenli olarak kontrol ve
test edilmelidir.
C.25.2. İş Sürekliliği Yönetimi
Kuruluşun karşılaşabileceği risklerin olasılığı, zaman
içerisindeki etkisi, kritik iş süreçleri belirlenmelidir.
Kritik iş süreçleri kapsamındaki varlıklar belirlenmelidir.
Hangi bilgi güvenliği olaylarının iş sürekliliğinde
kesintilere neden olduğu ve etkisi araştırılmalıdır.
Operasyonel risk yönetiminin olabileceği gibi tüm iş
sürekliliği sürecinin bir parçasının sigorta ettirilmesi
değerlendirilmelidir.
C.25.2. İş Sürekliliği Yönetimi
İş sürekliliği prosedürleri ve
tüm sorumluluklar
belirlenmelidir.
Farklı senaryoların
masa üstü testleri
yapılmalıdır.
İş operasyonlarının
kurtarılması ve yeniden
başlatılması için
prosedürler uygulanmalıdır.
Kabul görmüş işlev ve
prosedürler dokümante
edilmelidir.
İş Sürekliliği Yönetimi
C.25.2. İş Sürekliliği Yönetimi
Teknik kurtarma testleri yapılmalıdır.
Alternatif bir yerde geri yükleme test
edilmelidir.
Tam bir tatbikat (kuruluşun, personelin, malzemenin,
tesislerin ve süreçlerin kesintilerin üstesinden gelme
durumunun test edilmesi) gerçekleştirilmelidir.
https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir
C.29. İhlal Bildirim ve Yönetimi
Kurumun bilgi güvenliği yetkilisine bildirilmeli
Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi,
Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve
işlemin sonlandırılmasını sağlayan uygun bir geri besleme süreci
oluşturulmalıdır.
Güvenlik olayının oluşması durumunda olay anında raporlanmalıdır.
C.29. İhlal Bildirim ve Yönetimi
İhlali yapan
kullanıcı tespit
edilmeli ve ihlalin
suç unsuru içerip
içermediği
belirlenmelidir.
Güvenlik ihlaline
neden olan
çalışanlar, üçüncü
taraflarla ilgili
resmi bir disiplin
sürecine
başvurulur.
Tüm çalışanlar,
üçüncü taraf
kullanıcıları ve
sözleşme tarafları
bilgi güvenliği
olayını önlemek
maksadıyla
Bilgi sistemi
arızaları ve hizmet
kayıpları, zararlı
kodlar, dos atakları,
tamamlanmamış
veya yanlış iş
verisinden
kaynaklanan
hatalar
C.29.13. Kanıt toplama
Disiplin
Uyarma
Personel Yönetmeliği
gereğince aşağıdaki
yaptırımlardan bir ya
da birden fazla
maddesini
uygulayabilir
Kınama
Para
cezası
Sözleşme
feshi
Bingöl KHB Bilgi Güvenliği Politikaları Eğitimi
Sorularınız
Sabırla Dinlediğiniz için
Teşekkür Ederiz.
Sedat ADEMOĞLU
Bingöl Kamu Hastaneleri Birliği
Genel Sekreterliği