|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
1/9 |
|||
|
GÜVENLİK POLİTİKASI AMAÇ; Bu politikanın amacı; Uzunköprü
Ticaret Borsasının hizmet sunduğu birimlerin sahip olduğu bilgi varlıklarının
korunması ve uygun bir biçimde yönetilmesidir. KAPSAM; Uzunköprü Ticaret Borsası, Bilgi
Güvenliği Yönetim Sistemi tüm birimlerini kapsar. Bu politikanın uygulanması
hizmet sunulan birimlerle olan ilişkilerde uygunluğunu göstermek ve sürdürmek
için önemlidir. TANIMLAR: BGYS POLİTİKAMIZ; ·
Kurumumuza İçeriden veya dışarıdan, bilerek ya da
bilmeyerek meydana gelebilecek her türlü tehdide karşı Kurumumuzun bilgi
varlıklarını korumak, bilgilere erişilebilirliği
BGYS sistemi kapsamında tanımlanan yöntemlerle sağlamak ve yasal mevzuat
şartlarına uymak, ·
Kurumumuzda yürütülen tüm faaliyetlerde Bilgi
Güvenliği Yönetim Sisteminin üç temel öğesi olan Gizlilik, Bütünlük ve
Erişilebilirlik ilkelerinin etkin bir şekilde uygulanmasını ve sürekliliğini
sağlamak. ·
Kurumumuzda var olan elektronik, yazılı, basılı,
sözlü ve benzeri ortam da bulunan tüm verilerin güvenliğini sağlamak. ·
Teknolojik gelişmeleri takip ederek ilkeli ve
korunaklı bir şekilde üyelerine hizmet etmek. ·
Kurumumuz bünyesinde çalışan tüm personele
eğitimler vererek Bilgi Güvenliği konusunda bilinçlendirmeyi sağlamak. ·
Sistemimizde tespit edilen ya da olası bütün
Bilgi Güvenliği açıklarını, BGYS sorumlularına rapor etmek ve
soruşturulmasını sağlamak. ·
Bilgi Güvenliği konusunda periyodik olarak
değerlendirmeler yaparak mevcut riskleri tespit etmek. Değerlendirmeler
sonucunda, yapılan işlemleri gözden geçirmek ve takibini yapmak. ·
Bilgi Güvenliği açısından sözleşmelerden
doğabilecek her türlü uygunsuzlukları sisteme zarar
vermeyecek şekilde önlemek ve engellemek. ·
Bilgi Güvenliği Yönetim Sisteminin ihtiyacı olan
kaynakları temin etmek. |
||||
|
|
||||
|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
2/9 |
|||
|
UYGULANABİLİRLİK; Bilgi Güvenliği Yönetim Sistemi,
kapsanan bilgi varlıklarıyla herhangi bir ilişkisi olan tüm kurum çalışanları
bu politikayı uygulamakla yükümlüdürler ve politikayı onaylamış olan
yönetimin desteğine sahiptir. Kurumumuzun Uygulanabilirlik Bildirgesi
Yönetimce yayınlanmıştır. İLKELER; 1. Uygun
risk değerlendirmesi aracılığıyla bilgi varlıklarının değerini tespit etmek,
zayıf noktalarının ve onları riske atabilecek tehditleri anlamak, 2.
Riskleri kabul edilebilir düzeylere indirmek, 3.
Kanunlara uymak, 4.
Müşteri sözleşme şarlarına uymak, 5.
Kontrol prosedürlerine ve talimatlarına uymak, POLİTİKALAR: Erişim Denetimi Politikası 1.
Borsaya giriş
sisteminde bulunan parmak okuma cihazına her personel için tanımlanma
yapılmıştır. 2.
Borsa içerisinde
kullanılan ana makinedeki İşletim Sisteminde tüm bilgisayarların kullanıcı tanımlarının
ve erişim yetkilerinin belirlendiği aktif dizin oluşturulmuştur 3.
Aktif dizine
bağlanan kullanıcı parolaları bilgi teknolojileri kullanıcı sözleşmelerinde
yer aldığı gibi belirlenir. 4.
Borsa içerisinde
kullanılan tescil, muhasebe ve üye modülü programları için de benzer
yetkilendirme kendi içerisinde yapılmıştır. 5.
Her personel
kullanıcı şifresi ile sisteme girebilmektedir. Yetkilendirme sadece üst
yönetim tarafından yapılmaktadır. Ağ Erişim Denetimi 1. Ağ
üzerinde aktif dizin kullanıcıları için çeşitli birim klasörleri
oluşturulmuştur. 2.
Klasör birimler ve kullanıcılara göre yetkilendirilmiştir. 3.
Paylaşımlar BGYS yöneticisi tarafından belirlenmektedir. 4.
Yazılım dizinine sadece yazılım grubuna ait üye kullanıcıların dosya
oluşturma, ekleme, değiştirme yetkisi bulunmaktadır. Uygulama ve Bilgi Erişim Kontrolü 1.
Kurumumuzun
müşterilerine(üyelerine) erişimi ayrı bir networkte tutulan web sunucusu ile sağlanmaktadır. 2.
Dışarıdan bağlanan
kişiler sadece bu web sunucusu ile bağlanabilir. Güvenliksiz bağlantı yasaklanmıştır. |
||||
|
|
|
|||
|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
3/9 |
|||
|
İşletim Sistemi Erişim Kontrolü 1.
İşletim Sistemine
sadece aktif dizin kullanıcıları erişebilir. Bu kullanıcılar dışındaki
kişilerin erişimi engellenmiştir. 2.
Bu kullanıcıların
erişim yetkisi Erişim Denetimi Politikasında tanımlanmıştır. 3.
İşletim
sistemlerine erişim için güvenli bir oturum açma işlemini bilgisayar kullanım
talimatına göre yapmaktadır. 4.
Sistemin üzerine
yazabilme yeteneği olabilecek yardımcı sistem programlarının kullanımı yasaklanmıştır. 5.
Kullanıcıların
bağlantı süresinde bir kısıtlama yapılmamıştır. 6. Her kullanıcı istediği bilgisayarda parolası
ile sisteme bağlanabilir. Mobil bilgi işleme ve uzaktan çalışma
kontrolü 1.
Kurumumuz
bünyesinde bulunan elektronik posta sunucusuna, mobil telefonlar veya
internet erişimi olan herhangi bir bilgisayar üzerinden erişim
sağlanabilmektedir. Erişim için aktif dizinde kullanıcı hesabı ve yetkisi
olmalıdır. 2.
Büromuzun uzaktan
erişimi bulunmaktadır. Erişim için aktif dizinde kullanıcı hesabı ve yetkisi
olmalıdır. Temiz Ekran ve Temiz Masa Politikası 1. Sistemlerde kullanılan şifreler, masa üstü veya ekran üstü gibi herkes
tarafından görülebilecek yerlere yazılmaz. 2. Personel, bilgisayarını belli bir süre kullanmadığı zaman otomatik olarak
şifre ile oturum açmasını gerektirecek şekilde(en geç 20 dk) ayarlar. Ya da
oturumlarını açık olarak bırakılmamak için Windows+ L tuşlarına basarak ağ oturumunu otomatik olarak kilitlerler. 3.
Personel, bilgisayarındaki, USB belleğindeki, harici diskindeki ve benzeri
veri depolamanın mümkün olduğu
ortamlardaki gizlilik dereceli bilgi içeren her türlü belgenin güvenliğini sağlamakla yükümlüdür. E-mail Politikası 1. Şirket
içerisinde sonradan ihtiyaç duyulacak bilgi aktarımı e-mail yoluyla yapılır. 2. Gönderilecek
e-mailler kısa, açık ve anlaşılır olmalıdır. Mesaj, birden fazla kişiye
gidecek ise konunun gerçekten mesaj gidecek kişileri ilgilendirip
ilgilendirmediğine dikkat edilir. Konu ile sadece haberdar olması gerekli
kişiler “cc” bölümüne yazılır. 3. Mesaj
birden fazla kişiye gönderiliyor ve bu farklı kişilerin birbirinden haberdar
olması gerekmiyor ise “To” kısmı yerine “Bcc” kısmı kullanılır. 4. Mesaj
karşılığı verilmek istendiğinde gereksiz adresler ve gerekmiyor ise orijinal
mesaj silinir. 5. Herhangi
bir dağıtım listesinden (birçok kişiye gönderilen toplu mail adresleri) gelen
bir ilan ya da bildiriye cevap (reply) vermek istendiğinde mesajın gerekmiyor
ise tüm liste abonelerine değil de sadece bildiri sahibine gittiğinden emin
olunur. 6. “Urgent”
(acil) ibaresi gerekmedikçe kullanılmaz. |
||||
|
|
|
|||
|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
4/9 |
|||
|
7. Kişileri
kışkırtıcı, onur kırıcı, kutsal inançlara saldıran, ırkçı, karalayıcı,
müstehcen ya da benzeri mesajlar gönderilmez. 8. Mesajın
ulaştığından emin olunmak isteniyorsa teyit ettirilir. 9. Zincir
mesajlar kesinlikle gönderilmez. (örn: “ Bu mesajı x kadar kişiye
gönderirseniz y gün sonra bir dileğiniz gerçekleşecek” türünde yazılar içeren
mesajlar) 10. Firmanız dışına göndereceğiniz toplu mesajlara dikkat
edilir. 11. Alınan e- maillerin göndericisine dikkat edilir.
Gönderenin kim olduğu bilinmeyeni alışık olunmayan, beklenmeyen mesajlara
şüphe ile yaklaşılır. Bu tarz mesajlar virüs taramasından geçirildikten sonra
açılır. İnsan Kaynakları
ve Zafiyetleri Yönetimi 1. Çalışan personele ait şahsi dosyalar
kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay
ulaşılabilir bir yerde olmamalıdır. 2. Gizlilik ihtiva eden yazılar kilitli
dolaplarda muhafaza edilmelidir. 3. ÇKYS üzerinden kişiyle ilgili bir
işlem yapıldığında(izin kağıdı gibi) ekranda bulunan kişisel bilgilerin diğer
kişi veya kişilerce görülmesi engellenmelidir. 4. Diğer kişi, birim veya kuruluşlardan
telefonla ya da sözlü olarak çalışanlarla ilgili bilgi istenilmesi halinde
hiçbir suretle bilgi verilmemelidir. 5. İmha edilmesi gereken (müsvedde
halini almış ya da iptal edilmiş yazılar vb.) kağıt kesme makinasında imha
edilmelidir. 6. Tüm çalışanlar, kimliklerini
belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır. 7. Görevden ayrılan personel, zimmetinde
bulunan malzemeleri teslim etmelidir. 8. Personel görevden ayrıldığında veya
personelin görevi değiştiğinde elindeki bilgi ve belgeleri teslim etmelidir. 9. Görevden ayrılan personelin kimlik
kartı alınmalı ve yazıyla idareye iade edilmelidir. Fiziksel ve Çevresel Güvenlik Fiziksel
ve çevresel güvenlik, işyerine yetkisiz erişimlerin engellenmesi ve bilgi
varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır. Günümüzde
de fiziksel güvenlik önemini korumakta ve bu konuyla ilgili gerekli
çalışmalar yapılmaktadır. Örneğin, bina etrafına yüksek duvarlar ya da
demirler yapılması, bina girişinde özel güvenlik ekiplerinin bulundurulması,
önemli verilerin tutulduğu odaların kilitlenmesi ya da bu odalara şifreli güvenlik
sistemleri ile girilmesi gibi önlemler kullanılmaktadır. ·
Fiziksel
Güvenlik Sınırı; o
Bilgi
işleme servisini korumak amacıyla herhangi bir fiziksel sınır güvenliği
tesisi kurulmuş olmalıdır. (Kart kontrollü giriş, duvarlar, insanlı nizamiye) o
Fiziksel
sınır güvenliği, içindeki bilgi varlıklarının güvenlik ihtiyaçları ve risk
değerlendirme sürecinin sonucuna göre oluşturulmalıdır. |
||||
|
|
||||
|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
5/9 |
|||
|
·
Fiziksel
Giriş Kontrolleri; o
Kurum
içerisinde belli yerlere sadece yetkili personelin girişine izin verecek
şekilde kontrol mekanizmaları kurulmalıdır. o
Kapsam
ve prosedürü idarelerce belirlenmek suretiyle ziyaretçilerin giriş ve çıkış
zamanları kaydedilmelidir. o
Hassas
bilgilerin bulunduğu alanlar (kimlik doğrulama kartı ve PIN koruması gibi
yöntemlerle) yetkisiz erişime kapatılmalıdır. o
Kapsam
ve prosedürü idarelerce belirlenmek suretiyle tüm personel ve ziyaretçiler
güvenlik elemanları tarafından rahatça teşhis edilmelerini sağlayacak kimlik
kartlarını devamlı takmalıdır. o
Güvenli
alanlara erişim hakları düzenli olarak gözden geçiriliyor olmalıdır. ·
Ofislerin
ve Odaların Güvenliğinin Sağlanması; o
Ofisler
ve odalarla ilgili fiziksel güvenlik önlemleri alınmalıdır. o
Personel
güvenliği ve sağlığı ile ilgili yönetmelikler uygulanmalıdır. o
Kritik
tesisler kolayca ulaşılamayacak yerlere kurulmuş olmalıdır. o
Binada
bilgi işlem faaliyetlerinin yürütüldüğüne dair işaret, tabela vb.
bulunmamasına dikkat edilmelidir. o
Bilgi
işlem merkezlerinin konumunu içeren dâhili/harici telefon rehberleri halka
kapalı olmalıdır. ·
Harici
ve Çevresel Tehditlerden Korunma; o
Yangın,
sel, deprem, patlama ve diğer tabii afetler veya toplumsal kargaşa sonucu
oluşabilecek hasara karsı fiziksel koruma tedbirleri alınmalı ve
uygulanmalıdır. o
Komşu
tesislerden kaynaklanan potansiyel tehditler göz önünde bulundurulmalıdır. o
Yedeklenmiş
materyal ve yedek sistemler ana tesisten yeterince uzak bir yerde
konuşlandırılmış olmalıdır. ·
Güvenli
Alanlarda Çalışma; o
Güvenli
çalışma alanlarındaki personel veya bu alanda yürütülmekte olan çeşitli
faaliyetlerde bulunan personel ve üçüncü parti çalışanları için
"ihtiyacı kadar bilme" prensibi uygulanmalıdır. o
Kayıt
cihazlarının güvenli alanlara sokulmasına engel olunmalıdır. o
Kullanılmayan
güvenli alanlar kilitleniyor ve düzenli olarak kontrol ediliyor olmalıdır. o
Kötü
niyetli girişimlere engel olmak için güvenli bölgelerde yapılan çalışmalara
nezaret edilmelidir. o
Güvenli
bölgelere örneğin sistem odasına yapılan girişler kayıt altına alınmalıdır. ·
Bilgi
işlem servisleri ile dağıtım ve yükleme alanları ve yetkisiz kişilerin
tesislere girebileceği noktalar birbirinden izole edilmiş olmalıdır. |
||||
|
|
Yönetim Kurulu
Başkanı |
|||
|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
6/9 |
|||
|
Ekipman Güvenliği ·
Masalarda
ya da çalışma ortamlarında korumasız bırakılmış bilgiler yetkisiz kişilerin
erişimleriyle gizlilik ilkesinin ihlaline, yangın, sel, deprem gibi
felaketlerle bütünlüğünün bozulmalarına ya da yok olmalarına sebep olabilir.
Tüm bu veya daha fazla tehditleri yok edebilmek için aşağıda yer alan belli
başlı temiz masa kurallarına ilişkin politikalar geliştirilmeli ve bu
politikaların çalışanlar tarafından haberdar olunması sağlanmalıdır. ·
Belli
başlı temiz masa kuralları; o
Hassas
bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca
ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve
belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir. o
Personelin
kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa terkedilecekse
ekran kilitlenmelidir. Bu işlem Windows + L tuşuna basılarak yapılabilir. o
Sistemlerde
kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran
üstlerinde veya masa üstünde bulunmamalıdır. o
Kullanım
ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kâğıt
öğütücü, disk/disket kıyıcı, yakma vb. metotlarla imha edilmeli, bilginin
geri dönüşümü ya da yeniden kullanılabilir hale geçmesinin önüne geçilmelidir o
Faks
makinelerinde gelen giden yazılar sürekli kontrol edilmeli ve makinede yazı
bırakılmamalıdır. o
Her
türlü bilgiler, şifreler, anahtarlar ve bilginin sunulduğu sistemler, ana
makineler (sunucu), PCler vb. cihazlar yetkisiz kişilerin erişebileceği
şifresiz ve korumasız bir şekilde başıboş bırakılmamalıdır. ·
Ekipman
Yerleşimi ve Koruması; o
Ekipman
yerleşimi yapılırken çevresel tehditler ve yetkisiz erişimden
kaynaklanabilecek zararların asgari düzeye indirilmesine çalışılmalıdır. o
Ekipman,
gereksiz erişim asgari düzeye indirilecek şekilde yerleştirilmelidir. o
Kritik
veri içeren araçlar yetkisiz kişiler tarafından gözlenemeyecek şekilde
yerleştirilmelidir. o
Özel
koruma gerektiren ekipman izole edilmiş olmalıdır. o
Nem
ve sıcaklık gibi parametreler izlenmelidir. o
Hırsızlık,
yangın, duman, patlayıcılar, su, toz, sarsıntı, kimyasallar, elektromanyetik
radyasyon, sel gibi potansiyel tehditlerden kaynaklanan riskleri düşürücü
kontroller uygulanmalıdır. o
Bilgi
işlem araçlarının yakınında yeme, içme ve sigara içme konularını düzenleyen
kurallar olmalıdır. |
||||
|
|
Yönetim Kurulu
Başkanı |
|||
|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
7/9 |
|||
|
·
Destek
Hizmetleri; o
Elektrik,
su, kanalizasyon ve iklimlendirme sistemleri destekledikleri bilgi işlem
dairesi için yeterli düzeyde olmalıdır. o
Elektrik
şebekesine yedekli bağlantı, kesintisiz güç kaynağı gibi önlemler ile
ekipmanları elektrik arızalarından koruyacak tedbirler alınmış olmalıdır. o
Yedek
jeneratör ve jeneratör için yeterli düzeyde yakıt bulundurulmalıdır. o
Su
bağlantısı iklimlendirme ve yangın söndürme sistemlerini destekleyecek
düzeyde olmalıdır. o
Acil
durumlarda iletişimin kesilmemesi için servis sağlayıcıdan iki bağımsız hat
alınmalıdır. o
Kurum
bu konuda yasal yükümlülüklerini yerine getirmelidir. ·
Kablolama
Güvenliği; o
Güç
ve iletişim kablolarının fiziksel etkilere ve dinleme faaliyetlerine karşı
korunması için önlemler alınmış olmalıdır. o
3
Karışmanın ("interference") olmaması için güç kabloları ile
iletişim kabloları ayrılmış olmalıdır. o
Hatalı
bağlantıların olmaması için ekipman ve kablolar açıkça etiketlenmiş ve
işaretlenmiş olmalıdır. o
Hassas
ve kritik bilgiler için ekstra güvenlik önlemleri alınmalıdır. o
Alternatif
yol ve iletişim kanalları mevcut olmalıdır. o
Bağlantı
panelleri ve odalara kontrollü erişim altyapısı kurulmuş olmalıdır. ·
Ekipman
Bakımı; o
Ekipmanın
bakımı doğru şekilde yapılmalıdır. o
Ekipmanın
bakımı, üreticinin tavsiye ettiği zaman aralıklarında ve üreticinin tavsiye
ettiği şekilde yapılmalıdır. o
Bakım
sadece yetkili personel tarafından yapılıyor olmalıdır. o
Tüm
şüpheli ve mevcut arızalar ve bakım çalışmaları için kayıt tutulmalıdır. o
Ekipman
bakım için kurum dışına çıkarılırken kontrolden geçirilmelidir. o
İçindeki
hassas bilgiler silinmelidir. o
Üretici
garantisi kapsamındaki ürünler için garanti süreleri kayıt altına alınmalı ve
takip edilmelidir. ·
Ekipmanın
Güvenli İmhası ya da Tekrar Kullanımı; o
Ekipman
imha edilmeden önce gizli bilginin bulunduğu depolama cihazı fiziksel olarak
imha edilmelidir. o
Depolama
cihazının içerdiği bilginin bir daha okunamaması için klasik silme veya
format işlemlerinin ötesinde yeterli düzeyde işlem yapılmalıdır. |
||||
|
|
Yönetim Kurulu
Başkanı |
|||
|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
8/9 |
|||
|
·
Varlıkların
Kurumdan Çıkarılması; o
Ekipman,
bilgi veya yazılımın yetkilendirme olmadan tesis dışına çıkarılmamasını
sağlayan kontrol mekanizması oluşturulmalıdır. o
Kurum
varlıklarının yetkisiz olarak kurum dışına çıkarılıp çıkarılmadığını saptamak
için denetleme yapılmalıdır. o
Kurum
çalışanları bu tip denetlemelerden haberdar olmalıdır. İşletim Sistemleri ve Son Kullanıcı
Güvenliği İşletim Sistemleri Güvenliği 1. Kurum son kullanıcı düzeyinde hangi
işletim sistemini kullanacağına karar verir ve bu işletim sistemine uygun
yazılım donanım sistemlerinin kurulumunu temin eder. 2. Kurum, işletim sistemlerinin güncel
ve güvenli olması için yama yönetimi yapmalıdır. 3. Kurum, bilgisayar başındaki
kullanıcının doğru kullanıcı olup olmadığını tespit etmek için her
bilgisayarda etki alanı kimlik doğrulamasını sağlamalıdır. 4. Kurum, mevcut envanteri haricindeki
donanımların kurum bilgisayarlarında kullanımını engellemelidir. 5. İşletim sistemlerinde kurulumda gelen
yönetici hesaplarının (Administrator, root) kaba kuvvet saldırılarına karşı,
Microsoft ürünlerinde pasif hale getirilmesi, Linux tabanlı ürünlerde root
hesabına ssh erişiminin engellenmesi gerekir. Son Kullanıcı Güvenliği ·
Son
kullanıcılar sistemlere, etki alanları dâhilinde kendilerine verilmiş
kullanıcı adı ve şifreleri ile bağlanmalıdır. ·
Son
kullanıcılar, yetkileri dâhilinde sistem kaynaklarına ulaşabilmeli ve
internete çıkabilmelidir. ·
Son
kullanıcıların yetkileri, içinde bulundukları grup politikasına göre
belirlenmelidir ·
Son
kullanıcıların aktiviteleri, güvenlik zafiyetlerine ve bilgi sızdırmalarına
karşı loglanarak kayıt altına alınmalıdır. ·
Güvenlik
zafiyetlerine karşı, son kullanıcılar kendi hesaplarının ve/veya sorumlusu
oldukları cihazlara ait kullanıcı adı ve şifre gibi kendilerine ait
bilgilerin gizliliğini korumalı ve başkaları ile paylaşmamalıdır. ·
Son
kullanıcılar bilgisayarlarında ki ve sorumlusu oldukları cihazlarda ki
bilgilerin düzenli olarak yedeklerini almalıdır. ·
Son
kullanıcılar, güvenlik zafiyetlerine sebep olmamak için, bilgisayar başından
ayrılırken mutlaka ekranlarını kilitlemelidir. ·
Son
kullanıcılar, bilgisayarlarında ya da sorumlusu oldukları sistemler üzerinde
USB flash bellek ve/veya harici hard disk gibi removable media (taşınabilir
medya) bırakmamalıdır. ·
Son
kullanıcılar, mesai bitiminde bilgisayarlarını kapatmalıdır. |
||||
|
|
Yönetim Kurulu
Başkanı |
|||
|
|
GÜVENLİK VE POLİTİKALAR TALİMATI |
Doküman No |
T16-09 |
|
|
Yayın Tarihi |
26.04.18 |
|||
|
Revizyon No |
00 |
|||
|
Revizyon Tarihi |
-- |
|||
|
Sayfa No |
9/9 |
|||
|
·
Kullanıcı
bilgisayarlarında, güncel anti virüs bulunmalıdır. ·
Kurum,
son kullanıcı güvenliğine dair oluşturulmuş grup politikalarını, etki alanı üzerinden
kullanıcı onayı olmaksızın uygulamalıdır. ·
Kurum,
son kullanıcıların farkında olmadan yapabilecekleri ve sonunda zafiyet
yaratabilecek değişikleri merkezi grup politikalarıyla engellemelidir. ·
Kullanıcılarına
yeni parolaları bildirilirken sms gibi daha güvenli yöntemler
kullanılmalıdır. ·
Temiz
masa, temiz ekran ilkesi benimsenmeli ve hayata geçirilmelidir. Gizlilik Sözleşmeleri ·
Gizlilik
veya ifşa etmeme anlaşmaları yasal olarak uygulanabilir terimleri kullanarak
gizli bilgileri korumanın gerekliliğini ele almalıdır. Gizlilik veya ifşa
etmeme anlaşmaları için aşağıdaki unsurlar dikkate alınmalıdır: o
Korunacak
bilginin bir tanımı (örneğin; gizli bilgileri), o
Gizliliğin
süresiz muhafaza edilmesi gereken durumlar da dahil olmak üzere anlaşma süresi,
o
Anlaşma
sona erdiğinde yapılması gereken eylemler, o
Yetkisiz
bilginin açığa çıkmasını önlemek için sorumluluklar ve imza eylemlerinin
belirlenmesi (‘bilmesi gereken’ gibi), o
Bilginin
sahibinin, ticari sırların ve fikri mülkiyet haklarının ve bu gizli
bilgilerin nasıl korunması gerektiği, o
Gizli
bilgilerin kullanım izni ve bilgileri kullanmak için imza hakları, o
Gizli
bilgileri içeren faaliyetleri izleme ve denetleme hakkı, Yetkisiz açıklama ya
da gizli bilgilerin ihlal edilmesinin bildirimi ve raporlama prosesi, o
İade
veya imha anlaşmasına bırakılacak bilgi için terimler, o
Bu
anlaşmanın ihlali durumunda yapılması beklenen eylemler. ·
Bir
kuruluşun güvenlik gereksinimlerine dayalı olarak, diğer unsurlarla bir
gizlilik veya ifşa etmeme anlaşması gereklidir. ·
Gizlilik
ve ifşa etmeme anlaşmaları uygulandığı yerin geçerli tüm yasa ve
yönetmeliklerine uygun olmalıdır. ·
Gizlilik
ve ifşa etmeme anlaşmaları için gerekler periyodik olarak veya gerekleri
etkileyecek bir değişiklik olduğunda gözden geçirilmelidir. ·
Gizlilik
ve ifşa etmeme anlaşmaları kurumsal bilgileri korumalı ve imzalayanın,
bilginin korunmasından, kullanılmasından ve ifşa edilmesinden yetkili ve
sorumlu olduğunu belirtmelidir. ·
Farklı
koşullarda gizlilik ve ifşa etmeme anlaşmaları kuruluşun ihtiyaçları
doğrultusunda farklı şekillerde kullanılmalıdır. SORUMLULUK; Bu politikaların uygulanmasından ve
takibinden bütün birimler sorumludur. |
||||
|
|
Yönetim Kurulu
Başkanı |
|||