Ana Sayfa27 Ağustos 2016 Cumartesi -

Bilgi Güvenliği Politikaları Kılavuzu Bakanlık Makamının 28/02/14 tarihli ve 5181.1272 sayılı onayı ile Bilgi Güvenliği Politikalar Yönergesinin eki olarak yürürlüğe konulmuştur.

Günümüzde hızla gelişen bilim ve teknoloji insan hayatını oldukça kolaylaştırmaktadır. Bilgisayarlar, tabletler, akıllı cep telefonları vb. elektronik aletler günlük hayatımızda sürekli kullandığımız cihazlardır. İnternet teknolojisi ile bu cihazların kullanımı artmış, bilgiye ulaşmak kolaylaşmıştır. Bu küresel iletişim ağı bilimsel araştırmaların, üretkenliğin, kültürel değişmelerin, küresel ticaretin ve küresel eğitimin ana bilgi kaynağı olmuştur. Bu ağ dünyada yaşayan tüm insanlar arasında yazılı, sözlü ve görüntülü iletişim kurmak için küresel bir merkez oluşturmuştur. Dünyanın bir ucundaki kütüphanede bulunan bilgilere çok hızlı ve çok kolay bir şekilde ulaşabilmektedir. Artık kâğıt ortam yerini elektronik ortama bırakmış ve böylece bilgi akışı hızlanmış, bilgi ile belge saklama, depolama ve korumada büyük kolaylık sağlanmıştır. İstenilen bilgi, belge, doküman ve verilere ulaşımda zaman kazanılmış, maliyet azalmış ayrıca çevreyi koruma açısından önemli bir adım atılmıştır.
Günümüzde kurumlar bilgilerinin büyük bir kısmını elektronik ortamda bulundurmakta ve bu bilgileri bilişim sistemleri altyapısı kullanarak işlemektedir. İş ve işlemlerin elektronik ortama taşınması, kamu hizmetlerinin etkinleştirilmesi, yasa dışı faaliyetlerin tespit edilebilmesi ve önlenmesine yönelik olarak kişisel bilgilerin de elektronik ortamda bulunması ve işlenmesi yoğun bir şekilde artmıştır. Ancak bu durum, kişisel bilgilerin sahiplerinin isteği dışında ilgisiz ve yetkisiz tarafların eline geçmesi, kişisel bilgi sahibini rahatsız edecek veya onlara zarar verecek şekilde yasa dışı olarak kullanılması ve kişi mahremiyetinin ihlali tehlikesini de doğurmaktadır. Dolayısı ile gelişen bilişim teknolojileri bilgi güvenliği olgusunu da beraberinde önce ihtiyaç sonra zorunluluk haline getirmiştir.
Sağlık sektöründe güncel teknolojinin hissedilir şekilde kullanılmasıyla birlikte teknolojinin taşıdığı bazı risklerle de yüz yüze gelinmiştir. Elektronik ortamdaki tüm veriler gibi, kişisel sağlık bilgilerini tehdit eden riskler için güvenlik önlemlerinin alınması zorunlu hale gelmiştir. Kişisel sağlık bilgileri, kişinin doğum öncesinden ölüm sonrasına kadar geçen süreyi kapsayan sağlık bilgilerinin tümüdür. Sağlık kayıtlarının sayısallaştırılması etkin sağlık hizmeti için yadsınamayan ciddi bir hamledir. Güncel teknolojilerin kişisel sağlık bilgilerinin gizlilik, bütünlük ve erişilebilirlik risklerini artırmasından dolayı sağlık bilgilerinin güvenliği zedelenmektedir. Kişisel sağlık bilgilerinin mahremiyeti esastır. Bu nedenle önlemlerin alınması, risklerin saptanıp indirgenmesi zorunlu hale gelmiştir.
Sağlık Bakanlığı olarak hazırlamış olduğumuz bu kılavuz sizlere yapılması gereken bilgi güvenliği çalışmalarında önderlik yapacaktır. Bir program dâhilinde ilerlemenizi sağlayacak, tüm yönetici ve son kullanıcıların bu kapsamda yapmaları gereken işler çerçevesinde bir rehber olarak hazırlanmıştır.


BİLGİ GÜVENLİĞİ POLİTİKALARI YÖNERGESİ VE KILAVUZA DAİR GENEL AÇIKLAMALAR

Bakanlığımız bilgi güvenliği çalışmaları; iki ana eksen üzerine oturtulmaya çalışılmıştır. Bunlardan Bilgi Güvenliği Politikaları Yönergesi ile hukuki ve idari alt yapı oluşturulmuş, yönergeden alınan yetki ile ise bilgi güvenliği teknik, sistemsel unsurlarının yer aldığı Bilgi Güvenliği Politikaları Kılavuzu hazırlanarak kullanıma sunulmuştur.
Kılavuzda yer alan teknik terminolojinin herkesçe anlaşılabilmesi için kılavuzun sonunda “Bilgi Güvenliği Terimleri Sözlüğü” ne yer verilmiştir.
Bu kılavuz Bakanlık Makamının 28/02/14 tarih ve 5181.1272 sayılı, onayı eki ile yürürlüğe konulan “Bilgi Güvenliği Politikaları Yönergesinin” ilgili hükümleri çerçevesinde Sağlık Bilgi Sistemleri Genel Müdürlüğünce hazırlanmak sureti ile yönergenin kapsam maddesinde belirtilen tüm ilgili taraflara resmi yazı ekinde ve bilgiguvenligi.saglik.gov.tr/ adresinde yayınlanmak sureti ile iletilmektedir.
Kılavuzda temel amaç; Sağlık Bakanlığının görevleri kapsamında bilginin toplanması, değerlendirilmesi, raporlanması ve paylaşılması süreçlerinde güvenliğin sağlanmasına yönelik tedbir almak, bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içerden veya dışardan kasıtlı ya da kazayla oluşabilecek tüm tehditlerden korunmasını sağlamak, son kullanıcı, idareci, sistem ve veri tabanı yöneticileri ve teknik personelin bilgi sistem ve ağları üzerinde yapacakları çalışmalarda bilgi güvenliği farkındalık, duyarlılık ve teknik bilgi düzeylerinin artırılması ile sistemsel güvenlik açıklarının ortadan kaldırılmasını sağlayarak, insan kaynaklı zafiyetlerin önlenmesi ve gizliliği, bütünlüğü ve erişilebilirliği sağlanmış bilişim alt yapısının kullanılması ve sürdürebilirliğinin temin edilmesi sureti ile; veri ve bilgi kayıplarının önlenmesi bu yolla ekonomik zarara uğranılmaması ve kurumsal prestij kaybı yaşanmaması ana ilke ve amaçlar olarak öngörülmektedir.


Şekil 1 - Güvenlik Açıkları

Kılavuzun 1.versiyonu içerisindeki bazı başlıklar çalışmaları devam ettiğinden 2.versiyonda tamamlanacaktır.
Bu çalışmada, Bakanlık merkez ve bağlı kuruluşların görüş ve önerileri dikkate alınmış olmakla beraber, kılavuza ilişkin yapılacak çalışmalarda dikkate alınmak üzere tüm kullanıcılar ile kurum ve kuruluşlar, olabilecek görüş ve önerilerini bgkilavuzu@saglik.gov.tr mail adresine gönderebilirler.
Bu kılavuzda esasen bilgi sistemleri güvenliğine yönelik yaklaşım benimsenmiş olup; “kişisel veri ve bilgilerin ” kullanımı ve mahremiyet ilkelerine ilişkin hususlar; 663 sayılı KHK’da ön görüldüğü üzere Sağlık Hizmetleri Genel Müdürlüğü görevleri arasında yer alan “8. Maddesinin j fıkrasında” ifade edilen “İlgili mevzuat çerçevesinde kişisel verilerin korunmasına ve veri mahremiyetinin sağlanmasına yönelik düzenleme yapmak” hükmü çerçevesinde hazırlanacak olan düzenlemeye bırakılmıştır.
Bilgi güvenliği konusunda bilgi kaynaklarına erişim sağlanması amacı ile kılavuzun sonunda “yararlı kaynaklar “ başlığı altında bazı ulusal ve uluslar arası bağlantılar belirtilmiş olup; bunlardan bilgiguvenligi.gov.tr ve Bakanlığımız bilgiguvenligi.saglik.gov.tr/ sayfası takip edilmek suretiyle en güncel ve yararlı bilgi güvenliği belgelerine erişim sağlanmış olacaktır.
Bilgi güvenliği yetkilisinin görevlendirilmesinde; yönerge üst yönetimleri yetkili kılmış olmakla kurumların mevcut personel yapısının ortak amaçlar için kullanılmasına imkan sağlamıştır. Bu çerçevede üst idarelerin kararları doğrultusunda birkaç veya grup alt düzey kurumların “koordinatör bilgi güvenliği yetkilisi” görevlendirme noktasında esnek bir yaklaşım benimsemelerine imkan tanınmıştır. Bilgi güvenliği yetkilisi öncelikle bilişim alt yapısı yeterli personel içerisinden seçilmiş olabileceği gibi mevcut personeller içerisinden en uygun olanında seçilmesi şeklinde görevlendirilmesi mümkün olacaktır.
Bilgi Güvenliğinin sağlanmasında yönetsel, teknik, idari, hukuki araçlar sistematik olarak kullanılmalıdır. Bilgi güvenliğinin sağlanmasında standart bir yaklaşımın tesis edilmesi çerçevesinde yönetsel bir araç olarak, bilgi güvenliği yönetim sistemi yaklaşımı kurumsal düzeyde kullanılmakta olup, bu yaklaşımın temeli TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardıdır. Bu standart kurumlara bilgi güvenliğinin sağlanmasında sistematik ve dokümantasyon tabanlı bir anlayışın entegre edilmesinde önemli bir araç olarak kullanılmaktadır. Kurumlar, TS ISO 27001 Standardı uyumlaşma çalışmaları neticesinde, TSE başta olmak üzere akredite edilmiş kurum ve kuruluşlar tarafından sertifikalandırılmaktadır. Ancak, bilgi güvenliğinin sağlanmasında alınmış bir Bilgi Güvenliği Yönetim Sistemi sertifikasyonundan ziyade, içselleştirilmiş bir kurumsal farkındalık, duyarlılık ve bilgi düzeyinin kurumun bilgi güvenliği alt yapısı itibari ile çok daha önemli olduğu gerçeği göz ardı edilmemelidir.


Şekil 2 - Bilgi Güvenliği Nasıl Sağlanır?

TS ISO 27001 uyumlaşma çalışmaları her kurumun kendi çabaları ve kurumsal kapasiteleri ile gerçekleştirilebilecek bir alan olup, bu konuda üçüncü taraflar yerine Bakanlığımız Sağlık Bilgi Sistemleri Genel Müdürlüğü tüm kurum ve kuruluşlarımıza rehberlik ve danışmanlık desteği sağlama noktasında alt yapısını geliştirme çalışmalarını yürütmektedir. TS ISO/IEC 27001 BGYS standart şablon dokümanları bilgiguvenligi.saglik.gov.tr/ adresinde yayınlanacak, bilgi güvenliği ve BGYS konularında uzaktan eğitim modülü yayına alınmak sureti ile aynı anda çok sayıda personelin bilgi güvenliği farkındalık, duyarlılık ve bilgi düzeylerinin geliştirilmesi sağlanmış olacaktır. Bilgi Güvenliği Politikaları Yönergesi ilgili maddeleri gereğince bilgi güvenliği eğitimleri ile ilgili eğitim planlamaları Sağlık Bilgi Sistemleri Genel Müdürlüğünce yapılacak olup, konu yıllık hizmet içi eğitim planlamalarında da yer alacaktır. Kılavuzda ifade edilen hususlarda; tüm kullanıcıları kapsayan madde başlıkları olabildiği gibi sadece sistem ve veri tabanı yöneticilerini, hizmet sağlayıcıları, yöneticileri ilgilendiren müstakil konu başlıkları da yer almaktadır. Sorumluluk düzeylerinin belirlenmesinde ilgililik ve yetki düzeyleri temel kriterler olarak ön görülmeli, hazırlanacak olan bilgi güvenliği planlarında yönetimsel, teknik ve son kullanıcı düzeyinde sorumluluk ve yetki alanları belirtilmelidir.

Günümüzde devlet kurumları ve ticari şirketler işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin önemi artmış, sadece güvenli bir şekilde saklanması ve depolanması gelişen ihtiyaçlara cevap verememiş aynı zamanda bir yerden bir yere nakil edilmesi de kaçınılmaz bir ihtiyaç haline gelmiştir. Bilgiye olan bu bağımlılık bilginin korunması ihtiyacını gündeme getirmiştir. Bu anlamda bilgi, kurumun sahip olduğu varlıklar arasında çok önemli bir yere sahiptir. Bilgiye yönelik olası saldırılar, tahrip edilmesi, silinmesi, bütünlüğünün ve/veya gizliliğinin zarar görmesi, bilgi altyapısının bozulmasına ve bu da beraberinde işlerin aksamasına neden olmaktadır. Bu çerçevede bilgi ve bilgi güvenliği kavramları karşımıza çıkmaktadır.
Bilgi güvenliği, “bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önleme olarak” tanımlanır. Bilgisayar teknolojilerinde güvenliğin amacı ise “kişi ve kurumların bu teknolojilerini kullanırken karşılaşabilecekleri tehdit ve tehlikelerin analizlerinin yapılarak gerekli önlemlerin önceden alınmasıdır.
Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır. Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.
Bilgi birçok biçimde bulunabilir. Bilgi, kâğıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür.
Bilgi güvenliği temelde üç unsuru hedefler: • Gizlilik • Bütünlük • Süreklilik


Şekil 3 - Gizlilik, Bütünlük, Süreklilik

Bu kavramları biraz daha açacak olursak gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmaması diyebiliriz. Kullanılabilirlik, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

• Tüm yöneticiler, yönetim alanları ve yerine getirmekle yükümlü oldukları tüm iş ve işlemlerin yürütülmesinde kullandıkları bilgi sistemleri ile ilgili olarak; bilgi güvenliği duyarlılığı çerçevesinde hareket etmekle, yönetim alanları ve işleri ile ilgili olarak bilgi güvenliği iş planı hazırlamakla ve yürürlüğe koymakla yükümlüdürler.
• Her kullanıcı Kılavuzda yer alan kişisel veya çalışma alanı ile ilgili hususlara uymakla yükümlüdür.
• Kullanıcı, bilgi sistemleri ve ağlarının güvenliğinin gerekliliği ve güvenliği artırmak için neler yapabileceği konularında bilinçli olmalıdır.
• Tüm yöneticiler kendi sorumluluk alanlarındaki bilgi sistemleri ve ağlarının güvenliğinden sorumludurlar.
• Kullanıcı, güvenlik tehditlerini önlemek, saptamak ve bunlara tepki verebilmek için işbirliği içinde ve zamanında eyleme geçmekten sorumludur.
• Kullanıcılar, bilgi sistem ve ekipmanlarının kullanımında birbirlerinin haklarına saygı göstermekle yükümlüdürler.
• Kullanıcı, idarece yapılmış olan risk değerlendirmelerinde kendileriyle ya da çalışma alanlarıyla ilgili öngörülen tedbirlere uymak zorundadır.
• Kullanıcı, güvenliği, bilgi sistem ve ağlarının önemli bir unsuru olarak değerlendirmelidir.
• Kurumlar hedeflenmek sureti ile içerden ya da dışarıdan yapılacak siber saldırılara karşı kurumsal sorumluluk ve yetkiler çerçevesinde gerekli tedbirler alınmalıdır.
• Yönetimler, bilgi güvenliği yönetimi ile ilgili kapsamlı bir yaklaşım benimsemelidir.
• Yönetimler, bilgi sistem ve ağlarının güvenliklerini incelemeli ve yeniden değerlendirmelidir. İnceleme ve yeniden değerlendirme neticesinde, güvenlik ile ilgili politika, uygulama, önlem ve prosedürlerde gerekli değişiklikleri zamanında yapmakla yükümlüdür.

Bakanlığımız, T.C. Anayasası ve kanunlar çerçevesinde yürütmekte olduğu iş ve işlemlerin işleyen süreçlerinde ülke nüfusunun tamamı ile ilgili olan sağlık ve tüm alt unsurları ile ilgili olarak doğum öncesinden ölüme kadar olan tüm süreçlerde çalışmakla yükümlendirilmiş bir kurum olma hüviyeti ile ülkedeki her bir vatandaşa karşı sorumlulukları olan kuruluşlardan birisidir.Her bir vatandaşın sağlık kuruluşuna müracaat ettiğinde en gizli ve mahrem sayılabilecek bilgilerine dair erişebilen kaydedebilen yegâne kuruluştur.
T.C. Sağlık Bakanlığı hasta sıfatı ile bir bireyle muhatap olduğunda ve bireyin herhangi bir verisini ve bilgisini kayıt altına aldığında, kayıt altına alınan bireye ait her türlü veri ve bilginin kendisine emanet edilmiş bir değer olduğu düşüncesiyle kendisini bu sorumluluğun yerine getirilmesinde mükellef olarak görmektedir.
T.C. Sağlık Bakanlığı kişi verilerinin ve bilgilerinin korunması ve güvenliği ile alakalı her türlü “teknik idari ve hukuki yöntemi” kullanmak sureti ile emanetinde bulunan tüm bilgi sistemleri kaynaklarını “bilgi güvenliği ana politikası çerçevesinde” korumakla ve bu hususta tüm tedbirleri almakla yükümlü olduğunun bilincindedir.
Tüm teşkilatımızda üretilen bilginin de en üst seviyelerde güvenlik anlayışı içerisinde korunması gerektiği bilinci ile hareket eden T.C. Sağlık Bakanlığı misyon ve vizyonuna bağlı kalarak Bilgi Güvenliği konseptinin esasını oluşturan basılı ve elektronik ortamdaki bilgilerin yasal mevzuat ışığında ve risk metotları kullanılarak “gizlilik, bütünlük ve erişilebilirlik” ilkelerine göre yönetilmesi amacıyla;

• Bilgi Güvenliği Standartlarının gerekliliklerini yerine getirmek,
• Bilgi Güvenliği ile ilgili tüm yasal mevzuata uyum sağlamak,
• Bilgi varlıklarına yönelik riskleri tespit etmek ve sistematik bir şekilde riskleri yönetmek,
• Bilgi Güvenliği Yönetim Sistemini sürekli gözden geçirmek ve iyileştirmek,
• Bilgi Güvenliği farkındalığını artırmak için, teknik ve davranışsal yetkinlikleri geliştirecek şekilde eğitimler gerçekleştirmek,
ana politikalar olarak öngörülmektedir.

Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm çalışanların katılımı ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi teknolojileri ile ilgili teknik önlemlerden oluşmaz. Fiziksel ve çevresel güvenlikten, insan kaynakları güvenliğine, iletişim ve haberleşme güvenliğinden, bilgi teknolojileri güvenliğine birçok konuyu da kapsar.
Bilgi güvenliği bilinçlendirme süreci kurum içinde en üst seviyeden en alt seviyeye kadar çalışanların katılımını gerektirmektedir. Kurum çalışanları, yüklenici firma personeli, yarı zamanlı personel, stajyerler, diğer kurum çalışanları, ziyaretçiler, iş ortaklarının çalışanları, destek alınan firmaların personeli, kısaca kurumun bilgi varlıklarına erişim gereksinimi olan herkes kullanıcı kategorisine girmektedir. Kullanıcılar, bilgi güvenliği bilinçlendirme sürecindeki en büyük ve önemli hedef kitledir. Kurum içindeki işler yürütülürken istemeden yapılan hataları ve bilgi sisteminde oluşabilecek açıklıkları en aza indirmek onların elindedir. Yöneticiler, bilgi güvenliği bilinçlendirme ve eğitimi sürecinin gereklerine personelinin uymasını sağlamakla sorumludurlar.
Başarılı ve etkin işleyen bir bilgi güvenliği bilinçlendirme süreci oluşturulabilmesi için bu alandaki görev ve sorumlulukların açık ve net bir biçimde belirlenmesi gerekmektedir. Olgunlaşmış bir bilinçlendirme süreci, bu görev ve sorumlulukların sahipleri tarafından doğru anlaşılması, bilinmesi ve uygulanması ile mümkündür.
Sonuç olarak Bilgi Güvenliği Politikasının amacı bilgi varlıklarını korumak, bilginin ve verinin gizliliğini sağlamak, bütünlüğünü bozmaya çalışacak yetkisiz kişilerin erişimine karşı korumak ve böylece Bakanlığımızın güvenini ve itibarını sarsacak durumları bertaraf etmektir.

A.1.2.1. Genel Müdürlük tarafından, bilgi güvenliğinin iç organizasyonunun sağlanması için bilgi güvenliği konusunda uzmanlaşmış, bilgi sistemlerinin kapsamı göz önüne alınarak yeterli sayıda personelden oluşan, teknik, idari ve hukuki süreçlerde çalışmalarda bulunmak üzere “Bilgi Güvenliği Yönetim Komisyonu” oluşturulur.

A.1.2.2. Komisyona bağlı olarak çalışmak üzere bilgi güvenliğinin farklı alt alanlarında “çalışma grupları” teşkil edilir. Çalışma gruplarının oluşturulurken teknik, hukuki ve idari disiplinlerden personel bulunmalıdır.

A.1.2.3. Komisyonun görevleri;
• Bilgi güvenliği politika ve stratejilerini belirler, gerektiğinde Bilgi Güvenliği Politikaları Yönergesine bağlı olarak çalışma grupları tarafından hazırlanacak olan kılavuzlarla ilgili revizyon kararlarını verir,
• Bilgi güvenliği politikalarının uygulamasının etkinliğini gözden geçirir,
• Bilgi güvenliği faaliyetlerinin yürütülmesini yönlendirir,
• Bilgi güvenliği eğitimi ve farkındalığını sağlamak için plan ve programları hazırlar,
• Bilgi güvenliği faaliyetleri ve kontrollerinin tüm kurum ve kuruluşlarda koordine edilmesini sağlar.

A.1.2.4. Bakanlık Merkez, bağlı kuruluşlar ve taşra teşkilatları kurumları bünyesinde, bilgi güvenliği faaliyetlerini yürütmek ve koordine etmek üzere “Bilgi Güvenliği Yetkilisi ” görevlendirilir. Bakanlık Merkez, bağlı kuruluşlar ve taşra teşkilatları üst yönetimleri hangi seviyede ve hangi alt kuruluşlarında “Bilgi Güvenliği Yetkilisi” görevlendireceklerine kurum bilgi sistemleri kapsamı, etki alanı, personel sayısı gibi kriterleri göz önüne alarak, ölçek yaklaşımı çerçevesinde karar verirler ve görevlendirecekleri Bilgi Güvenliği Yetkilisinin sorumluluk kapsamını belirlerler.

A.1.2.5. Bilgi Güvenliği Yetkilisinin ana işlevi; bulunduğu kurumdaki bilgi güvenliği faaliyetlerini Genel Müdürlük ile koordineli bir şekilde yürütmektir. Bilgi Güvenliği Yetkilisi olarak görevlendirilen personel Genel Müdürlük tarafından ana ilke ve politikalar konusunda eğitilir ve yönlendirilir.

A.1.2.6. Bilgi güvenliği ihlal bildirimleri anında Bilgi Güvenliği Yetkilisine bildirilir. Bilgi Güvenliği Yetkilisi, Kurumu için Kılavuz çerçevesinde “Bilgi Güvenliği Planı” yapar ve bu Plan görev yaptığı kurum idaresince onaylanır.

A.1.3.1. Bilgi güvenliği olaylarının rapor edilmesi; • Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin sonlandırılmasını sağlayan idari uygulama planı oluşturulur.
• Bilgi güvenliği ihlâli oluşması durumunda kişilerin tüm gerekli faaliyetleri hatırlamasını sağlamak maksadıyla bilgi güvenliği olayı rapor formatı hazırlanır.
• Güvenlik ihlal olayının oluşması durumunda olay anında raporlanır.
• Güvenlik ihlaline neden olanlar hakkında, hukuki süreç başlatılır.

A.1.3.2. Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor ederler.

• Genel Müdürlük Yönergenin kapsam maddesinde belirtilen tüm unsurlarla ilgili Kılavuzda belirtilen hususlarda bilgi güvenliği denetimleri yapar.
• Bilgi güvenliği denetimlerini yapacak personelin nitelikleri Genel Müdürlükçe belirlenir.
• Senaryoları idarece önceden onaylanmak kaydıyla “bilişim güvenliği ve sosyal mühendislik testleri” yapılabilir.
• Genel Müdürlük, bilgi güvenliği denetimlerinde yer almak üzere yeteri kadar personelin eğitimi ile ilgili çalışmaları yapar.

• Kılavuz; Genel Müdürlük tarafından Yönergenin kapsam maddesinde tanımlanan tüm unsurlarla ilgili olarak; bilgi güvenliğinin sağlanması ile ilgili; yönetsel, teknik, idari, hukuki süreçlerin tüm detaylarının yer alacağı bir doküman olarak hazırlanır.
• Kılavuzun ilk versiyonu Bakanın onayı ile yürürlüğe girer, daha sonraki versiyonlar Genel Müdürlük onayı ile yürürlüğe konulur. • Kılavuz; periyodik olarak, teknolojik gelişmeler paralelinde gözden geçirilerek revize edilir ve elektronik ortamda yayınlanacak bir rehber doküman olarak hazırlanır.
• Kapsam maddesinde belirtilen tüm Bakanlık ve bağlı kuruluşları unsurları Kılavuzda yer alan hususlara uymakla yükümlüdürler. Gerekli hallerde Genel Müdürlükçe teknik destek talepleri karşılanır. Genel Müdürlük, Bakanlık internet ana sayfası üzerinde bilgi güvenliği alanı oluşturur. Bu alan üzerinde bilgi güvenliği konularında üretilen ulusal ve uluslararası kılavuz, rapor, bilgi notu, tez vb. dokümanlara erişim sağlar.
• Genel Müdürlük, Bilgi Güvenliği Terimleri Sözlüğü hazırlar ve internet üzerinden yayına sunar.

• Kılavuzun uygulanması ile ilgili olarak; yöneticiler hazırlayacakları bilgi güvenliği planları içerisinde “Kılavuza Uyumlaşma Takvimi ” hazırlar ve kılavuzun uygulanması ile ilgili gerekli idari tedbirleri alır.

• Genel Müdürlük, bilgi güvenliği eğitim planlamasını tüm Bakanlık ve bağlı kuruluşları için yapmak suretiyle her seviyedeki personelin bilgi güvenliği farkındalık düzeylerini artırmak yönünde eğitim faaliyetlerinde bulunur. Yıllık hizmet içi eğitim planlamalarında bilgi güvenliği başlığı planlara dahil edilir. Teknik seviyedeki personelin bilgi düzeyinin artırılması yönünde ileri seviyede bilgi güvenliği eğitim planlamalarını yapar.
• Ulusal düzeyde siber güvenlik ile ilgili kurum ve kuruluşlarla ortak eğitim, seminer, konferans, sempozyum gibi faaliyetler gerçekleştirilmesine yönelik yıllık planlar yapar.
• Bilgi güvenliği ile ilgili uzaktan eğitim modülünü devreye sokarak, teknik ve farkındalık eğitimlerini web tabanlı olarak sunar.

Genel Müdürlük bilgi güvenliği çalışmalarının standartlaştırılması ve çalışmalara sistematik bir anlayış entegre edilmesi yaklaşımı ile ulusal ve uluslararası bilgi güvenliği standartlarına uyumlaşma ve sertifikasyonun gerçekleştirilmesi yönünde çalışmalar yapar. Bu konuda ulusal ve uluslararası kuruluşlarla işbirliği gerçekleştirir.

TS ISO/IEC 27001 Standardı bir Bilgi Güvenliği Yönetim Sistemi Standardı olup; bu standarda uyumlaşmak ve sertifikalandırılmak isteyen kurumlar kurumsal kapasiteleri çerçevesinde kuracakları Bilgi Güvenliği birimleri veya çalışma grupları ile uyumlaşma ve sertifikasyon sürecini, Sağlık Bilgi Sistemleri Genel Müdürlüğünün rehberliğinde ve dokümantasyon desteği ile kurup işletebilirler. Gerekli eğitim ve danışmanlık hizmeti Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından talepler çerçevesinde karşılanacaktır.
Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar.
Bilgi Güvenliği Yönetim Sistemi deyimi ilk kez 1998 yılında BSI (British Standards Institute) tarafından yayınlanan BS 7799-2 standardında kullanılmıştır. Daha sonra bu standart Uluslararası Standartlar Kurumu ISO tarafından kabul edilmiş ve ISO/IEC 27001:2005 olarak yayınlanmıştır. BSI tarafından yayınlanan bir diğer standart BS 7799-1 ise bilgi güvenliğinin sağlanmasında kullanılacak kontrollerden bahsetmektedir. Bu da yine ISO tarafından kabul edilmiş ve ISO/IEC 27002:2005 olarak yayınlanmıştır. ISO/IEC 27002:2005 bu standardın Temmuz 2007’den itibaren kullanılan ismidir, bu tarihe kadar standart ISO/IEC 17799:2005 olarak adlandırılıyordu.
Bilgi güvenliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO/IEC 27002:2005 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO/IEC 27002:2005 rehber edinilerek kurulan BGYS’nin belgelendirmesi için “ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir BGYS’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. İş risklerini karşılamak amacıyla ISO/IEC 27002:2005’te ortaya konan kontrol hedeflerinin kurum içerisinde nasıl uygulanacağı ve denetleneceği ISO/IEC 27001:2005’te belirlenmektedir.


Şekil 4 - TS ISO/IEC 27001

Her iki standardın Türkçe hali TSE tarafından sırasıyla TS ISO/IEC 17799:2005 ve TS ISO/IEC 27001:2005 isimleri ile yayınlanmıştır. Söz konusu standardın belgelendirmesi konusunda TSE tarafından TS 13268-1 BGYS Belgelendirmesi İçin Gereksinimler ve Hazırlık Kılavuzu standardı yayınlanmıştır.
ISO/IEC 27001 ve ISO/IEC 27002 standartları BGYS konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Hatta bilgi teknolojileri güvenliği dahi bu standartların içerisinde yer almaz. Tek ilgi alanı vardır, o da bilgi güvenliğidir. BGYS standartları kapsamında BGYS’in kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. PUKÖ modelini görsel olarak anlatan Şekil 5, bir BGYS’nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir.
Bilgi güvenliği yönetimi, başlangıç ve bitiş tarihleri olan bir proje gibi görülmemelidir. Sürekli devam eden bir gelişim süreci olarak düşünülmelidir. PUKÖ modelinde gösterildiği gibi (Planla – Uygula – Kontrol et – Önlem al) faaliyetleri bir döngü içinde durmaksızın sürekli devam etmelidir. PUKÖ modeli özet olarak ne yapılacağına karar verilmesi, kararların gerçekleştirilmesi, çalıştığının kontrol edilmesi hedefine uygun çalışmayan kontroller için önlemlerin alınmasıdır. BGYS kurulumu PUKÖ modelinin ilk adımını (Planla) teşkil etmektedir. Yerleşik bir sistemden bahsedebilmek için diğer adımların da uygulanması ve bunların bir döngü içinde yaşaması gerekir.


Şekil 5 - PUKÖ Modeli


Şekil 6 - BGYS Aşamaları

Risk, Fransızca risque olarak dilimize geçmiş olup sözlük anlamı “Riziko, zarara uğrama tehlikesi” şeklindedir. Risk (riziko), bir olayın gerçekleşme olasılığı ve olaydan etkilenme olanağı olarak tanımlanmaktadır. Genellikle risk olumsuz bir durum yani tehlike olarak değerlendirilir. Bu nedenle risklerin olumsuz etkilerinden zarar görmemek için olasılıklar göz önüne alınarak, önlemler almaya yönelik, çalışma ve planlama faaliyetlerini içeren ve risk yönetimi olarak anılan bir disiplin ortaya çıkmıştır. Risk, gelecekte oluşabilecek potansiyel problemlere, tehdit ve tehlikelere işaret eden, belirli bir zaman aralığında, hedeflenen bir sonuca ulaşamama, kayba ya da zarara uğrama olasılığı olarak da tanımlanabilir.
Risk Yönetimi ise bir kurumun ya da kuruluşun çalışabilirliği, ticari kuruluşlar içinse öncelikle kârlılığını olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir. Risk yönetiminde, riskin tamamıyla ortadan kaldırılması mümkün değildir. Sorunlara sistematik ve dikkatli bir şekilde yaklaşılması ve almaya karar verilen risklerin dikkatli yönetimi yoluyla gereksiz kayıpların engellenmesi amaçlanmaktadır. Başarılı bir risk yönetimi için, kuruluşların bilgi varlıklarına ve hedeflerine yönelik risklerin belirlenerek, analiz edilmesi, tanımlanan risklerin denetim altında tutularak izlenmesi gereklidir. Riski yönetmenin en doğru yolu, gerçekleşme olasılığı ve gerçekleştiğinde vereceği zarar en yüksek olan riskleri azaltacak bilgi teknolojisi risk yönetim sürecinin oluşturulmasıdır.

Varlık, sistemin bir parçası olan ve kurum için değeri olan her şeydir. Varlık kurum için değer taşıdığından korunması gerekir. Bir BT sisteminde sadece yazılım ve donanımlar varlık olarak düşünülmemelidir. Aşağıdaki örnekler varlık olarak nitelendirilebilecek değerlerdir.

• Bilgi,
• Donanım (kişisel bilgisayarlar, yazıcılar, sunucular),
• Yazılım (işletim sistemleri, geliştirilen uygulamalar, ofis programları),
• Haberleşme cihazları (telefonlar, hatlar, kablolar, modemler, anahtarlama cihazları),
• Dokümanlar(stratejik toplantıların tutanakları, sözleşmeler vb.),
• Üretilen mallar,
• Servisler,
• Personel,
• Kurumun prestiji / imajı.
Varlıkların belirlenmesinde kullanılabilecek bazı bilgi toplama teknikleri mevcuttur.

Tehdit, herhangi bir tehdit kaynağının kasıtlı olarak veya kazayla bir açıklığı kullanarak varlıklara zarar verme potansiyelidir. Tehdit kaynağı ise varlıklara zarar verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir. En bilinen tehdit kaynakları şunlardır:
Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi tehditler.
Çevresel tehditler: Uzun süreli elektrik kesintileri, hava kirliliği, sızıntılar vs.
İnsan kaynaklı Tehditler: İnsanlar tarafından yapılan veya yol açılan bilinçli veya bilinçsiz olaylar. Örneğin yanlış veri girişi, ağ saldırıları, zararlı yazılımların yüklenmesi, yetkisiz erişimler vs.
Tehdit değerlendirmesi sırasında hiçbir tehdidin küçümsenerek göz ardı edilmesi doğru değildir. Göz ardı edilen tehdit kurum güvenliğinde zayıflık yaratabilir.
Tehdit değerlendirmesi için gerekli girdi varlık sahiplerinden, kullanıcılardan, BT uzmanlarından, kurumun korunmasından sorumlu kişilerden elde edilebilir. Ayrıca tehditlerin belirlenmesinde tehdit katalogları da kullanılabilir.
Aşağıdaki tablo BT sistemlerinde sıklıkla karşılaşılan tehditleri ve bunların kaynaklarını içermektedir (tehdidin kaynağı bölümünde kullanılan kısaltmalar B: İnsan kaynaklı ve bilerek, K: İnsan kaynaklı ve kazayla, D: Doğal, Ç:Çevresel).


Tablo 1 - BT sistemlerinde karşılaşılan tehditler ve kaynakları

Açıklık, sistem güvenlik prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve bilgi güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır. Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir. Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir.

Risk analizinde bir açıklığın gerçekleşme olasılığının belirlenmesi büyük önem taşır ve tespit edilen tüm açıklıklar için olasılık değerlendirmesi yapılmalıdır. Olasılığın belirlenmesi için tehdit kaynağının motivasyonu ve becerisi, açıklığın cinsi, mevcut kontrollerin varlığı ve etkinliği göz önünde bulundurulmalıdır. Olasılık değerlendirmesi için kurum kaç kademeli bir değerlendirme yapacağını ve kademelerin nasıl belirleneceğini tanımlamalıdır. Üç seviyeli bir olasılık değerlendirmesi için aşağıdaki örnek tablo kullanılabilir.


Tablo 2 - Üç seviyeli bir olasılık değerlendirmesi için olasılık tanımları

Risk derecelendirmesi yapabilmek için olasılık değerlendirmesinden sonra gelen adım etki analizidir. Etki analizinde herhangi bir açıklığın gerçekleşmesi halinde yaşanacak olası olumsuz etki seviyesi belirlenir. Bunun için varlığın görevi, kritikliği, varlığın etkilediği verinin hassasiyeti ve varlığın mali değeri göz önüne alınmalıdır. Bu bilgiler daha önceden yapılmış iş etki analizi raporlarından alınabilir. Eğer daha önce yapılmış böyle bir çalışma yoksa sistemin kritiklik seviyesi sistemin (ve sakladığı veya işlediği verinin) bütünlüğünü, gizliliğini ve erişilebilirliğini korumak için gerekli koruma göz önüne alınarak niceliksel olarak çıkarılabilir. Ayrıca sistemin yenilenme maliyeti, çalışmaması durumunda oluşabilecek gelir kaybı gibi bazı niteliksel etkiler de etki analizinde göz önüne alınabilir.
Niceliksel bir etki analizinde olasılık değerlendirmesinde olduğu gibi kurum kaç kademeli bir değerlendirme yapacağını ve kademelerin nasıl belirleneceğini tanımlamalıdır. Üç seviyeli bir etki değerlendirmesi için aşağıdaki örnek tablo kullanılabilir.


Tablo 3 - Üç seviyeli bir etki değerlendirmesi için etki tanımları

Bu adımın amacı, varlıkları tehdit eden risklere değerler atayıp onları derecelendirmektir. Uygun kontrollerin seçilmesi burada belirlenen risklere ve seviyelere göre yapılır. Risk bir tehdidin bir açıklığı gerçekleme olasılığının, açıklığın ne kadar kolay gerçekleştirilebildiğinin ve mevcut veya planlanan kontrollerin yeterliliğinin bir fonksiyonudur. Yani kısaca olasılık değerlendirmesinde ve etki analizinde belirlenen değerlere bağlıdır. Risklerin ölçülebilmesi için risk sınıflandırma matrisi oluşturulmalıdır ve bu sınıflandırma için tanımlamalar yapılmalıdır.

Yukarıda örnek olarak verilen üç seviyeli olasılık değerlendirmesi ve etki analizi için şu şekilde bir risk derecelendirme matrisi oluşturulabilir.


Tablo 4 - Örnek risk derecelendirme matrisi

Bu matristeki değerleri kurum kendisi belirlemelidir. Bunun için istenirse sayısal değerler kullanılabilir. Örneğin olma olasılıklarına 0 ile 1 arasında, etki seviyesine ise 0 ile 100 arasında değerler atanır. Risk dereceleri için aralıklar belirlenir. Olma olasılığı ve etki seviyesi çarpımının düştüğü aralık risk derecesini belirler. Örneğin bu matrise göre olma olasılığı “Orta” ve etki seviyesi “Yüksek” olan bir açıklığın risk derecesi “Orta” olarak sınıflandırılmıştır.

Risk derecelendirme matrisinde belirlenen risk dereceleri bir açıklığın gerçekleşmesi halinde karşı karşıya olunan riski belirlemektedir. Bu risk derecelerinin tanımlanması yönetimin risklerle ilgili alacağı kararlar açısından önemlidir. Ayrıca bu aşamada kurumun kabul edebileceği risk seviyesi de belirlenmelidir. Belirlenen bu seviyeye göre kurum bazı riskleri kabul ederek karşı önlem almamayı tercih edebilir.
Yukarıdaki risk seviye matrisine uygun olarak aşağıdaki tanımlamalar örnek olarak gösterilebilir.


Tablo 5 - Risk dereceleri ve tanımları

Yapılan risk derecelendirme çalışmalarının sonucunda risklerin azaltılmasını veya ortadan kaldırılmasını sağlayacak kontrol önerileri belirlenmelidir. Önerilecek kontrollerin amacı riski kurumun kabul edebileceği bir değere düşürmek olmalıdır. Önerilecek kontrollerde kontrollerin etkinliği, yasalar ve düzenlemeler, iş yapma biçimine getireceği değişiklikler, kurum politikaları ve güvenlik konuları dikkate alınması gereken başlıca konulardır.
Uygulanabilecek olası kontroller belirlenirken başvurabilecek kaynaklardan biri “TS ISO/IEC 27001:2005 Bilgi Teknolojisi – Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardıdır. Bu standart, güvenlik politikası, bilgi güvenliği organizasyonu, varlık yönetimi, insan kaynakları güvenliği, fiziksel ve çevresel güvenlik, haberleşme ve işletim yönetimi, erişim kontrolü, bilgi sistemleri edinim, geliştirme ve bakımı, bilgi güvenliği ihlal olayı yönetimi, iş sürekliliği yönetimi ve uyum ana başlıkları altında pek çok kontrol önerisi içermektedir. Ayrıca bu kontrollerin gerçekleştirilmesine ait öneriler ve en iyi uygulamalar için TS ISO/IEC 27002:2005 standardına başvurulmalıdır.

Sonuçların dokümantasyonu risk analizi sürecinde en önemli adımlardan biridir. Bu dokümanlar mevcut risk ve kontrollerin herkes tarafından bilinmesini sağlarlar. Ayrıca bu dokümanlar daha sonraki risk analizlerine girdi teşkil ederler.
Risk analizi süreci tamamlandığında sonuçlar bir rapor olarak dokümante edilmelidir. Bu rapor yönetimin ve süreç sahiplerinin politikalarda, prosedürlerde, bütçede ve sistemin kullanımında veya yönetiminde yapılacak değişikliklerde karar verirken kullanacağı yönetimsel bir rapordur.
Yönetimin riskleri rahat bir şekilde anlayabilmesi için rapor açık ve sistematik olmalıdır. Belirlenen riskler için yapılması gerekenlere, bu rapor göz önünde bulundurularak karar verilecektir.

Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır.

Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir.

ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında(izin kağıdı gibi) ekranda bulunan kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir.

Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir.

İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kağıt kesme makinasında imha edilmelidir.

Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır.

Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim etmelidir.

Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi ve belgeleri teslim etmelidir.

Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade edilmelidir.

Fiziksel ve çevresel güvenlik, işyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır.
Geçmiş zamanlarda önemli bilgiler, taşlara kazınarak daha sonra da kâğıtlara yazılarak fiziksel ortamlarda saklanmış, duvarlarla, kale hendekleriyle ve başlarına dikilen nöbetçilerle koruma altına alınmıştır. Çoğu zaman fiziksel koruma yeterli kalmamış ve bilgilerin çalınması ve başka kişilerin eline geçmesi engellenememiştir. Bu durum, verileri korumak için fiziksel güvenliğin tek başına yeterli olmadığını göstermektedir.
Günümüzde de fiziksel güvenlik önemini korumakta ve bu konuyla ilgili gerekli çalışmalar yapılmaktadır. Örneğin, bina etrafına yüksek duvarlar ya da demirler yapılması, bina girişinde özel güvenlik ekiplerinin bulundurulması, önemli verilerin tutulduğu odaların kilitlenmesi ya da bu odalara şifreli güvenlik sistemleri ile girilmesi gibi önlemler kullanılmaktadır.

C.2.1.1. Bilgi işleme servisini korumak amacıyla herhangi bir fiziksel sınır güvenliği tesisi kurulmuş olmalıdır. (Kart kontrollü giriş, duvarlar, insanlı nizamiye)

C.2.1.2. Fiziksel sınır güvenliği, içindeki bilgi varlıklarının güvenlik ihtiyaçları ve risk değerlendirme sürecinin sonucuna göre oluşturulmalıdır.

C.2.2.1. Kurum içerisinde belli yerlere sadece yetkili personelin girişine izin verecek şekilde kontrol mekanizmaları kurulmalıdır.

C.2.2.2. Kapsam ve prosedürü idarelerce belirlenmek suretiyle ziyaretçilerin giriş ve çıkış zamanları kaydedilmelidir.

C.2.2.3. Hassas bilgilerin bulunduğu alanlar (kimlik doğrulama kartı ve PIN koruması gibi yöntemlerle) yetkisiz erişime kapatılmalıdır.

C.2.2.4. Kapsam ve prosedürü idarelerce belirlenmek suretiyle tüm personel ve ziyaretçiler güvenlik elemanları tarafından rahatça teşhis edilmelerini sağlayacak kimlik kartlarını devamlı takmalıdır.

C.2.2.5. Güvenli alanlara erişim hakları düzenli olarak gözden geçiriliyor olmalıdır.

C.2.3.1. Ofisler ve odalarla ilgili fiziksel güvenlik önlemleri alınmalıdır.

C.2.3.2. Personel güvenliği ve sağlığı ile ilgili yönetmelikler uygulanmalıdır.

C.2.3.3. Kritik tesisler kolayca ulaşılamayacak yerlere kurulmuş olmalıdır.

C.2.3.4. Binada bilgi işlem faaliyetlerinin yürütüldüğüne dair işaret, tabela vb. bulunmamasına dikkat edilmelidir.

C.2.3.5. Bilgi işlem merkezlerinin konumunu içeren dâhili/harici telefon rehberleri halka kapalı olmalıdır.

C.2.4.1. Yangın, sel, deprem, patlama ve diğer tabii afetler veya toplumsal kargaşa sonucu oluşabilecek hasara karsı fiziksel koruma tedbirleri alınmalı ve uygulanmalıdır.

C.2.4.2. Komşu tesislerden kaynaklanan potansiyel tehditler göz önünde bulundurulmalıdır.

C.2.4.3. Yedeklenmiş materyal ve yedek sistemler ana tesisten yeterince uzak bir yerde konuşlandırılmış olmalıdır.

C.2.5.1. Güvenli çalışma alanlarındaki personel veya bu alanda yürütülmekte olan çeşitli faaliyetlerde bulunan personel ve üçüncü parti çalışanları için "ihtiyacı kadar bilme" prensibi uygulanmalıdır.

C.2.5.2. Kayıt cihazlarının güvenli alanlara sokulmasına engel olunmalıdır.

C.2.5.3. Kullanılmayan güvenli alanlar kilitleniyor ve düzenli olarak kontrol ediliyor olmalıdır.

C.2.5.4. Kötü niyetli girişimlere engel olmak için güvenli bölgelerde yapılan çalışmalara nezaret edilmelidir.

C.2.5.5. Güvenli bölgelere örneğin sistem odasına yapılan girişler kayıt altına alınmalıdır.

Bilgi işlem servisleri ile dağıtım ve yükleme alanları ve yetkisiz kişilerin tesislere girebileceği noktalar birbirinden izole edilmiş olmalıdır.

Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline, yangın, sel, deprem gibi felaketlerle bütünlüğünün bozulmalarına ya da yok olmalarına sebep olabilir. Tüm bu veya daha fazla tehditleri yok edebilmek için aşağıda yer alan belli başlı temiz masa kurallarına ilişkin politikalar geliştirilmeli ve bu politikaların çalışanlar tarafından haberdar olunması sağlanmalıdır.

C.3.2.1. Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir.

C.3.2.2. Personelin kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa terkedilecekse ekran kilitlenmelidir. Bu işlem Windows + L tuşuna basılarak yapılabilir.

C.3.2.3. Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulunmamalıdır.

C.3.2.4. Kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kâğıt öğütücü, disk/disket kıyıcı, yakma vb. metotlarla imha edilmeli, bilginin geri dönüşümü ya da yeniden kullanılabilir hale geçmesinin önüne geçilmelidir.

C.3.2.5. Faks makinelerinde gelen giden yazılar sürekli kontrol edilmeli ve makinede yazı bırakılmamalıdır.

C.3.2.6. Her türlü bilgiler, şifreler, anahtarlar ve bilginin sunulduğu sistemler, ana makineler (sunucu), PCler vb. cihazlar yetkisiz kişilerin erişebileceği şifresiz ve korumasız bir şekilde başıboş bırakılmamalıdır.

C.3.3.1. Ekipman yerleşimi yapılırken çevresel tehditler ve yetkisiz erişimden kaynaklanabilecek zararların asgari düzeye indirilmesine çalışılmalıdır.

C.3.3.2. Ekipman, gereksiz erişim asgari düzeye indirilecek şekilde yerleştirilmelidir.

C.3.3.3. Kritik veri içeren araçlar yetkisiz kişiler tarafından gözlenemeyecek şekilde yerleştirilmelidir.

C.3.3.4. Özel koruma gerektiren ekipman izole edilmiş olmalıdır.

C.3.3.5. Nem ve sıcaklık gibi parametreler izlenmelidir.

C.3.3.6. Hırsızlık, yangın, duman, patlayıcılar, su, toz, sarsıntı, kimyasallar, elektromanyetik radyasyon, sel gibi potansiyel tehditlerden kaynaklanan riskleri düşürücü kontroller uygulanmalıdır.

C.3.3.7. Paratoner kullanılmalıdır.

C.3.3.8. Bilgi işlem araçlarının yakınında yeme, içme ve sigara içme konularını düzenleyen kurallar olmalıdır.

C.3.4.1. Elektrik, su, kanalizasyon ve iklimlendirme sistemleri destekledikleri bilgi işlem dairesi için yeterli düzeyde olmalıdır.

C.3.4.2. Elektrik şebekesine yedekli bağlantı, kesintisiz güç kaynağı gibi önlemler ile ekipmanları elektrik arızalarından koruyacak tedbirler alınmış olmalıdır.

C.3.4.3. Yedek jeneratör ve jeneratör için yeterli düzeyde yakıt bulundurulmalıdır.

C.3.4.4. Su bağlantısı iklimlendirme ve yangın söndürme sistemlerini destekleyecek düzeyde olmalıdır.

C.3.4.5. Acil durumlarda iletişimin kesilmemesi için servis sağlayıcıdan iki bağımsız hat alınmalıdır.

C.3.4.6. Kurum bu konuda yasal yükümlülüklerini yerine getirmelidir.

C.3.5.1. Güç ve iletişim kablolarının fiziksel etkilere ve dinleme faaliyetlerine karşı korunması için önlemler alınmış olmalıdır.

C.3.5.2. Kablolar yeraltında olmalıdır.

C.3.5.3. Karışmanın ("interference") olmaması için güç kabloları ile iletişim kabloları ayrılmış olmalıdır.

C.3.5.4. Hatalı bağlantıların olmaması için ekipman ve kablolar açıkça etiketlenmiş ve işaretlenmiş olmalıdır.

C.3.5.5. Hassas ve kritik bilgiler için ekstra güvenlik önlemleri alınmalıdır.

C.3.5.6. Alternatif yol ve iletişim kanalları mevcut olmalıdır.

C.3.5.7. Fiber optik altyapı yapılandırılmalıdır.

C.3.5.8. Bağlantı panelleri ve odalara kontrollü erişim altyapısı kurulmuş olmalıdır.

C.3.6.1. Ekipmanın bakımı doğru şekilde yapılmalıdır.

C.3.6.2. Ekipmanın bakımı, üreticinin tavsiye ettiği zaman aralıklarında ve üreticinin tavsiye ettiği şekilde yapılmalıdır.

C.3.6.3. Bakım sadece yetkili personel tarafından yapılıyor olmalıdır.

C.3.6.4. Tüm şüpheli ve mevcut arızalar ve bakım çalışmaları için kayıt tutulmalıdır.

C.3.6.5. Ekipman bakım için kurum dışına çıkarılırken kontrolden geçirilmelidir.

C.3.6.6. İçindeki hassas bilgiler silinmelidir.

C.3.6.7. Ekipman sigortalıysa, gerekli sigorta şartları sağlanıyor olmalıdır.

C.3.6.8. Üretici garantisi kapsamındaki ürünler için garanti süreleri kayıt altına alınmalı ve takip edilmelidir.

C.3.7.1. Kurum alanı dışında bilgi işleme için kullanılacak ekipman için yönetim tarafından yetkilendirme yapılıyor olmalıdır.

C.3.7.2. Tesis dışına çıkarılan ekipmanın başıboş bırakılmamasına, seyahat halinde dizüstü bilgisayarların el bagajı olarak taşınmasına dikkat edilmelidir.

C.3.7.3. Cihazın muhafaza edilmesi ile ilgili olarak üretici firmanın talimatlarına uyulmalıdır.

C.3.7.4. Evden çalışma ile ilgili tedbirler alınmalıdır. Cihazların sigortaları, tesis dışında korumayı da kapsamalıdır.

C.3.7.5. Kurum alanı dışında kullanılacak ekipmanlar için uygulanacak güvenlik önlemleri, tesis dışında çalışmaktan kaynaklanacak farklı riskler değerlendirilerek belirlenmelidir.

C.3.8.1. Ekipman imha edilmeden önce gizli bilginin bulunduğu depolama cihazı fiziksel olarak imha edilmelidir.

C.3.8.2. Depolama cihazının içerdiği bilginin bir daha okunamaması için klasik silme veya format işlemlerinin ötesinde yeterli düzeyde işlem yapılmalıdır.

C.3.9.1. Ekipman, bilgi veya yazılımın yetkilendirme olmadan tesis dışına çıkarılmamasını sağlayan kontrol mekanizması oluşturulmalıdır.

C.3.9.2. Kurum varlıklarının yetkisiz olarak kurum dışına çıkarılıp çıkarılmadığını saptamak için denetleme yapılmalıdır.

C.3.9.3. Kurum çalışanları bu tip denetlemelerden haberdar olmalıdır.

C.4.1.1. Kurum son kullanıcı düzeyinde hangi işletim sistemini kullanacağına karar verir ve bu işletim sistemine uygun yazılım donanım sistemlerinin kurulumunu temin eder.

C.4.1.2. Kurum, işletim sistemlerinin güncel ve güvenli olması için yama yönetimi yapmalıdır.

C.4.1.3. Kurum, bilgisayar başındaki kullanıcının doğru kullanıcı olup olmadığını tespit etmek için her bilgisayarda etki alanı kimlik doğrulamasını sağlamalıdır.

C.4.1.4. Kurum, mevcut envanteri haricindeki donanımların kurum bilgisayarlarında kullanımını engellemelidir.

C.4.1.5. İşletim sistemlerinde kurulumda gelen yönetici hesaplarının (Administrator, root) kaba kuvvet saldırılarına karşı, Microsoft ürünlerinde pasif hale getirilmesi, Linux tabanlı ürünlerde root hesabına ssh erişiminin engellenmesi gerekir.

C.4.2.1. Son kullanıcılar sistemlere, etki alanları dâhilinde kendilerine verilmiş kullanıcı adı ve şifreleri ile bağlanmalıdır.

C.4.2.2. Son kullanıcılar, yetkileri dâhilinde sistem kaynaklarına ulaşabilmeli ve internete çıkabilmelidir.

C.4.2.3. Son kullanıcıların yetkileri, içinde bulundukları grup politikasına göre belirlenmelidir.

C.4.2.4. Son kullanıcıların aktiviteleri, güvenlik zafiyetlerine ve bilgi sızdırmalarına karşı loglanarak kayıt altına alınmalıdır.

C.4.2.5. Güvenlik zafiyetlerine karşı, son kullanıcılar kendi hesaplarının ve/veya sorumlusu oldukları cihazlara ait kullanıcı adı ve şifre gibi kendilerine ait bilgilerin gizliliğini korumalı ve başkaları ile paylaşmamalıdır.

C.4.2.6. Son kullanıcılar bilgisayarlarında ki ve sorumlusu oldukları cihazlarda ki bilgilerin düzenli olarak yedeklerini almalıdır.

C.4.2.7. Son kullanıcılar, güvenlik zafiyetlerine sebep olmamak için, bilgisayar başından ayrılırken mutlaka ekranlarını kilitlemelidir.

C.4.2.8. Son kullanıcılar, bilgisayarlarında ya da sorumlusu oldukları sistemler üzerinde USB flash bellek ve/veya harici hard disk gibi removable media (taşınabilir medya) bırakmamalıdır.

C.4.2.9. Son kullanıcılar, mesai bitiminde bilgisayarlarını kapatmalıdır.

C.4.2.10. Kullanıcı bilgisayarlarında, güncel anti virüs bulunmalıdır.

C.4.2.11. Kurum, son kullanıcı güvenliğine dair oluşturulmuş grup politikalarını, etki alanı üzerinden kullanıcı onayı olmaksızın uygulamalıdır.

C.4.2.12. Kurum, son kullanıcıların farkında olmadan yapabilecekleri ve sonunda zafiyet yaratabilecek değişikleri merkezi grup politikalarıyla engellemelidir.

C.4.2.13. Kullanıcılarına yeni parolaları bildirilirken sms gibi daha güvenli yöntemler kullanılmalıdır.

C.4.2.14. Temiz masa, temiz ekran ilkesi benimsenmeli ve hayata geçirilmelidir.


Şekil 7 - Son Kullanıcı Güvenliği

Güvenliğin oluşturulacağı birim için kullanılan programlarda uygulanan parola standardı belirlenmeli, bu parola sistemi aşağıdaki unsurları içerecek standarda getirilmelidir.

Bilgi Güvenliği Yetkilisinin devreye girmesi ile parola standardı belirlenerek uygulanmaya başlanmalı, geliştirilerek aşağıdaki yapıya çekilmesi konusunda plan yapılmalıdır.

C.5.2.1. Parola en az 8 karakterden oluşmalıdır.

C.5.2.2. Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir.

C.5.2.3. Büyük ve küçük harfler bir arada kullanılmalıdır.

Bu kurallara uygun parola oluştururken genelde yapılan hatalardan dolayı saldırganların ilk olarak denedikleri parolalar vardır. Bu nedenle parola oluştururken aşağıdaki önerileri de dikkate almak gerekir.

C.5.3.1. Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin 12345678, qwerty, doğum tarihiniz, çocuğunuzun adı, soyadınız gibi)

C.5.3.2. Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.

C.5.3.3. Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır.

Bu kurallara uygun parola oluştururken genelde yapılan hatalardan dolayı saldırganların ilk olarak denedikleri parolalar vardır. Bu nedenle parola oluştururken aşağıdaki önerileri de dikkate almak gerekir.


Tablo 6 - Güçlü Parola Yöntemleri

Basit bir cümle ya da ifade içerisindeki belirli kelimeler özel karakter veya rakamlarla değiştirilerek güçlü bir parola elde edilebilir.


Tablo 7 - Güçlü Parola Yöntemleri

Kriptografik kontroller aşağıdaki maksatlarla kullanılır;

C.6.1.1. Gizlilik: Saklanan veya iletilen hassas veya kritik bilgiyi korumak için şifrelemenin kullanılması,

C.6.1.2. Bütünlük/Güvenilirlik: Saklanan veya iletilen hassas veya kritik bilginin güvenilirlik veya bütünlüğünü korumak için sayısal imzaların veya mesaj doğrulama kodlarının kullanılması,

C.6.1.3. İnkar edilemezlik: Bir olay veya faaliyetin oluşumu veya oluşmadığının kanıtını elde etmek için kriptografik tekniklerin kullanılması.

Personelin gönderdiği maillerde, hiçbir şekilde yönetici, kullanıcı gibi hesap şifreleri bulundurulmamalıdır.

İşletim sistemi üzerinde saklanan kullanıcı ve yönetici hesabı şifrelerinin kriptolu olarak saklandığı belirli zaman aralıklarında kontrol edilmelidir.

Sunuculara kriptolu bağlantı ile bağlanılmalı, kripto kullanmayan yöntemler tercih edilmemelidir. Düz metin kullanarak veri alışverişi yapan yöntemlerin kullandığı portlar gerekirse kapatılmalıdır.

Kripto kullanımı ile hangi iş bilgisinin korunacağı ile ilgili genel prensipler belirlenmelidir.

Risk belirleme esasına dayalı olarak gereksinim duyulan koruma seviyesi ile şifreleme algoritmasının türü, gücü ve niteliği ortaya konulmalıdır.

Taşınabilir ortam, cihaz ve iletişim hatlarında iletilen hassas bilginin korunması için şifreleme mekanizmalarının kullanımı belirlenmelidir.

Organizasyon çapında etkin bir uygulama için uyarlanması gereken standartlar ortaya konulmalıdır.

İçerik denetimi üzerinden yapılan kontrollerde şifrelenmiş bilgi kullanımının etkileri değerlendirilmelidir.

Kriptografik anahtarların korunması, şifrelenmiş bilginin kaybolması, tehlikeye düşmesi veya hasar görmesi durumunda tekrar geri alınması ile ilgili metotları içeren anahtar yönetimi uygulanmalıdır.

Politikanın uygulanması, anahtar üretimini de içeren anahtar yönetimi ile ilgili görevler ve sorumluluklar belirlenmelidir.

Anahtar yönetiminde göz önüne alınacak hususlar aşağıda belirtilmiştir;

• Farklı kriptografik sistemler ve farklı uygulamalar için anahtar üretimi,
• Açık anahtar sertifikası üretimi ve elde edilmesi,
• Anahtarın alınmasını müteakip nasıl faaliyete geçirileceği dâhil kullanıcılara anahtar dağıtımı,
• Yetkili kullanıcıların anahtar erişiminin sağlanmasını da kapsayan anahtarların saklanması,
• Anahtarların ne zaman ve nasıl değiştirileceğinin kurallarını da kapsayan anahtarların değişimi ve güncellenmesi,
• Güvenliği tehlikeli bir duruma düşmüş anahtarlar,
• Anahtarların geri alımı ve kullanılmaz hale getirilmesini kapsayan anahtarın yürürlükten kaldırılması (Ör. Anahtarın güvenliğinin tehlikeli bir duruma düşmüş olması veya kullanıcının kuruluştan ayrılması durumları),
• İş süreklilik yönetiminin bir parçası olarak kaybolan veya bozulan anahtarların kurtarılması (Örn: Kriptolanmış bilginin kurtarılması),
• Anahtarların arşivlenmesi,
• Anahtarların imhası,
• Anahtar yönetimi ile ilgili faaliyetlerin izleme kayıtlarının (log) tutulması.

Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz.

İş dışı konulardaki haber grupları kurumun e-posta adres defterine eklenemez.

Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara SPAM, phishing mesajlar göndermek için kullanılamaz.

Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici nitelikte e-posta mesajları gönderilemez.

İnternet haber gruplarına mesaj yayımlanacak ise, kurumun sağladığı resmi e-posta adresi bu mesajlarda kullanılamaz. Ancak iş gereği üye olunması yararlı internet haber grupları için yöneticisinin onayı alınarak Kurumun sağladığı resmi e-posta adresi kullanılabilir.

Hiçbir kullanıcı, gönderdiği e-posta adresinin kimden bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz.

E-posta gönderiminde konu alanı boş bir e-posta mesajı göndermemelidir.

Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.

E-postaya eklenecek dosya uzantıları “.exe”, “.vbs” veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak ( zip veya rar formatında) mesaja eklenmelidir.

Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.

Kullanıcı, kurumun e-posta sistemi üzerinden taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajları göndermemelidir. Bu tür özelliklere sahip bir mesaj alındığında Sistem Yönetimine haber verilmelidir.

Kullanıcı hesapları, doğrudan ya da dolaylı olarak ticari ve kâr amaçlı olarak kullanılmamalıdır. Diğer kullanıcılara bu amaçla e-posta gönderilmemelidir.

Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında başkalarına iletilmeyip, Sistem Yönetimine haber verilmelidir.

Spam, zincir, sahte vb. zararlı olduğu düşünülen e-postalara yanıt verilmemelidir.

Kullanıcı, e-posta ile uygun olmayan içerikler (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, vb.) göndermemelidir.

Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul etmektedir. Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden kullanıcı sorumludur.

Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir.

Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın Sistem Yönetimine haber vermelidir.

Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermelidir.

Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar Sistem Yönetimine haber verilmelidir.

Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolasının kırıldığını fark ettiği anda Sistem Yönetimine haber vermelidir.

C.8.1.1. Bakanlığa hizmet veren tüm uygulama, veri tabanı sunucuları ve disk üniteleri Bakanlık veri merkezlerinde veya idarece uygun görülen güvenli fiziksel alanlarda konumlandırılmalıdır.

C.8.1.2. Farklı lokasyonlarda konumlandırılmış yerel sunucuların Sağlık Özel Ağına bağlanması engellenmelidir.

C.8.1.3. Servislere erişimler kaydedilmeli ve servis erişimleri, erişim kontrol yöntemleri ile sağlanmalıdır.

C.8.1.4. Sunucu üzerinde çalışan işletim sistemleri, hizmet sunucu yazılımları, anti virüs vb. koruma amaçlı yazılımlar sürekli güncellenmelidir.

C.8.1.5. Güncellemelerde değişiklik yapılacak ise bu değişiklikler, önce değişiklik yönetimi kuralları çerçevesinde, uygulama sahipleri tarafından test mekanizmasından geçirilmeli, onaylanmalı sonra uygulanmalıdır. Test sürecinden başarılı bir şekilde geçen değişiklikler Sistem Yönetimi onayı ile uygulamaya alınır.

C.8.1.6. Sistem yöneticileri 'Administrator' ve 'root' gibi genel sistem hesapları kullanmamalıdır.

C.8.1.7. Ayrıcalıklı bağlantılar teknik olarak güvenli kanal (SSL, IPSec VPN gibi şifrelenmiş ağ) üzerinden yapılmalıdır.

C.8.1.8. Kurumda bulunan sunucuların yönetiminden, ilgili sunucu yönetimi için yetkilendirilmiş personel sorumludur. Yetkilendirme Sistem Yönetimi tasarrufunda yapılmalıdır. Görevinden ayrılan personelin tüm erişim yetkileri anında iptal edilmelidir.

C.8.1.9. Sunucu kurulumları, konfigürasyonları, işletim sistemi yedeklemeleri, yamaları, güncellemeleri Sistem Yönetimi tarafından yapılmalıdır.

C.8.1.10. Sunuculara ait bilgilerin yer aldığı envanter veri tabanı oluşturulmalıdır. Bu veri tabanında, sunucuların isimleri, IP adresleri, yeri, ana görevi, üzerinde çalışan uygulamalar, işletim sistemi sürümleri ve yamaları, donanım, kurulum, yedek, yama yönetimi işlemlerinden sorumlu personelin isimleri ve telefon numaraları yer almalıdır. Bu tablo bir portal üzerinde bulundurulmalıdır.

C.8.1.11. Sunucuların yazılım ve donanım bakımları, üretici firma tarafından belirlenmiş aralıklarla, yetkili uzmanlar tarafından yapılmalıdır.

C.8.2.1. Kurum'da bulunan sunucuların yönetiminden, ilgili sunucuyla yetkilendirilmiş personel sorumludur.

C.8.2.2. Sunucu kurulumları, konfigürasyonları, işletim sistemi yedeklemeleri, yamaları, güncellemeleri sadece sorumlu personel tarafından yapılmalıdır.

C.8.2.3. Tüm bilgiler, sistem yöneticisinin belirlediği kişi(ler) tarafından güncel tutulmalıdır.

C.8.2.4. Sunucular ile ilgili, üçüncü parti firmalar ile yapılacak çalışmalarda, ilgili sunucuyla yetkilendirilmiş personel eşlik etmelidir.

C.8.3.1. Sunucu kurulumları, yapılandırmaları, yedeklemeleri, yamaları, güncellemeleri Genel Müdürlük talimatlarına göre yapılmalıdır.

C.8.3.2. Kullanılmayan servisler ve uygulamalar kapatılmalıdır.

C.8.3.3. Servislere erişimler, kaydedilerek ve erişim kontrol yöntemleri ile koruma sağlanmalıdır.

C.8.3.4. Sunucu üzerinde çalışan işletim sistemleri, hizmet sunucu yazılımları ve anti virüs vb. koruma amaçlı yazılımlar sürekli güncellenmelidir. Anti virüs ve yama güncellemeleri otomatik olarak yazılımlar tarafından yapılmalıdır. Güncellemelerde değişiklik yapılacak ise bu değişiklikler, önce değişiklik yönetimi kuralları çerçevesinde, bir onay ve uygulama sahipleri tarafından test mekanizmasından geçirilmeli, sonra uygulanmalıdır. Bu çalışmalar için yetkilendirilmiş bir sistem biriminden, bir de uygulama biriminden personel olmalıdır.

C.8.3.5. Sistem yöneticileri 'Administrator' ve 'root' gibi genel sistem hesapları kullanmamalıdır. Sunuculardan sorumlu personelin istemciler ve sunuculara bağlanacakları kullanıcı adları ve parolaları farklı olmalıdır.

C.8.3.6. Sunuculara ait bağlantılar normal kullanıcı hatlarına takılmamalıdır. Sunucu VLAN'larının tanımlı olduğu portlardan bağlantı sağlanmalıdır.

C.8.3.7. Sunucular üzerinde lisanslı yazılımlar kurulmalıdır.

C.8.3.8. Sunucular fiziksel olarak korunmuş sistem odalarında bulunmalıdır.

C.8.4.1. Kritik sistemlerde, uygulamalar kaydedilmeli ve kayıtlar aşağıdaki gibi saklanmalıdır.

C.8.4.2. Kayıtlara çevrimiçi olarak en az 90(doksan) gün süreyle erişilmelidir.

C.8.4.3. Günlük tape backuplar en az 1(bir) ay saklanmalıdır.

C.8.4.4. Haftalık tape backuplar en az 1(bir) ay saklanmalıdır.

C.8.4.5. Aylık fiili backuplar en az 6(altı) ay saklanmalıdır.

C.8.4.6. Kayıtlar sunucu üzerinde tutulmalarının yanı sıra ayrı bir sunucuda da saklanmalıdır.

C.8.4.7. Sunucu üzerinde zararlı yazılım (malware, spyware, hack programları, warez programları, vb.) çalıştırılmamalıdır.

C.8.4.8. Kayıtlar sorumlu kişi tarafından değerlendirilmeli ve gerekli tedbirler alınmalıdır.

C.8.4.9. Port tarama atakları düzenli olarak yapılmalıdır.

C.8.4.10. Yetkisiz kişilerin ayrıcalıklı hesaplara erişip erişemeyeceğinin kontrolü periyodik yapılmalıdır.

C.8.4.11. Denetimler, Bilgi İşlem grubu tarafından yetkilendirilmiş kişilerce yönetilmeli ve belli aralıklarda yapılmalıdır.

C.8.4.12. Sunucuların bilgileri yetkilendirilmiş kişi tarafından tutulmalı ve güncellenmelidir.

C.8.5.1. Sunucular, sıcaklık ve nem değerleri düzenlenmiş; elektrik, ağ altyapısı kuvvetli; tavan ve taban güçlendirmeleri yapılmış ortamlarda bulundurulmalıdır.

C.8.5.2. Sunucuların yazılım ve donanım bakımları üretici firma tarafından belirlenmiş aralıklarla, yetkili uzmanlar tarafından yapılmalıdır.

C.8.5.3. Sistem odalarına giriş ve çıkışlar kontrol edilmelidir.

C.9.1.1. Ağ cihazlarının IP ve MAC adres bilgileri envanter dosyasında yer almalıdır.

C.9.1.2. Cihazlar üzerinde yerel kullanıcı hesapları açılmamalıdır.

C.9.1.3. Yönlendirici ve anahtarlardaki tam yetkili şifre olan 'enable şifresi' kodlanmış formda saklanmalıdır. Bu şifrenin tanımlanması kurumun içerisinden yapılmalıdır.

C.9.1.4. Kurumun belirlemiş olduğu SNMP community string'leri kullanılmalıdır. Bu bilgi sadece yetkilendirilmiş kişiler tarafından bilinmelidir. Ayrıca SNMP v3 kullanılmasına dikkat edilmelidir.

C.9.1.5. İhtiyaç duyulduğu zaman erişim listeleri eklenmelidir.

C.9.1.6. Yönlendirici ve anahtarlar Ağ Yönetimi kontrolünde olmalıdır.

C.9.1.7. Yazılım ve firmware güncellemeleri önce test ortamlarında denenmeli, sonra çalışma günlerinin dışında üretim ortamına taşınmalıdır.

C.9.1.8. Cihazlar üzerinde kullanılmayan servisler kapatılmalıdır.

C.9.1.9. Cihazlara yetkili kişiler dışında cihazın başında olarak erişilmesini önlemek amacıyla Console(Konsol) portu için de “enable şifresi” gibi kodlanmış ayrı bir parola verilmelidir.

C.9.1.10. Cihazları yönetecek kurum içindeki kişiler için cihaz üzerinde “enable şifresinden” farklı olarak kullanıcı adı, parola ve yetki seviyesini belirleyen privilege numarası tanımlanmalıdır.

C.9.1.11. Cihazlar Sistem odası gibi yerlerde şifreli kabinlerde konumlandırılmalıdır. Sistem odası dışında kalan cihazlar yine uygun kabinlerde kapalı dolap ya da şifreli kabinlerde muhafaza edilmelidir.

C.9.2.1. Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmalıdır. Bunun için Wi-Fi Protected Access2 (WPA2-kurumsal) şifreleme kullanılmalıdır. IEEE 802. lx erişim kontrol protokolü ve TACACS+ ve RADIUS gibi güçlü kullanıcı kimlik doğrulama protokolleri kullanılmalıdır.

C.9.2.2. Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmalıdır. Bunun için Wi-Fi Protected Access2 (WPA2-kurumsal) şifreleme kullanılmalıdır. IEEE 802. lx erişim kontrol protokolü ve TACACS+ ve RADIUS gibi güçlü kullanıcı kimlik doğrulama protokolleri kullanılmalıdır.

C.9.2.3. Cihaza erişim için güçlü bir parola kullanılmalıdır. Erişim parolaları varsayılan ayarda bırakılmamalıdır.

C.9.2.4. Varsayılan SSID isimleri kullanılmamalıdır. SSID ayar bilgisi içerisinde kurumla ilgili bilgi olmamalıdır, mesela kurum ismi, ilgili bölüm, çalışanın ismi vb.

C.9.2.5. Radyo dalgalarının binanın dışına taşmamasına özen gösterilmelidir. Bunun için çift yönlü antenler kullanılarak radyo sinyallerinin çalışma alanında yoğunlaşması sağlanmalıdır.

C.9.2.6. Kullanıcıların erişim cihazları üzerinden ağa bağlanabilmeleri için, Kurum kullanıcı adı ve parolası bilgilerini etki alanı adı ile beraber girmeleri sağlanmalı ve Kurum kullanıcısı olmayan kişilerin, kablosuz ağa yetkisiz erişimi engellenmelidir.

C.9.2.7. Erişim cihazları üzerinden gelen kullanıcılar Firewall üzerinden ağa dâhil olmalıdırlar.

C.9.2.8. Erişim cihazları üzerinden gelen kullanıcıların internete çıkış bant genişliğine sınırlama getirilmeli ve kullanıcılar tarafından kurumun tüm internet bant genişliğinin tüketilmesi engellenmelidir.

C.9.2.9. Erişim cihazları üzerinden gelen kullanıcıların ağ kaynaklarına erişim yetkileri, internet üzerinden gelen kullanıcıların yetkileri ile sınırlı olmalıdır.

C.9.2.10. Kullanıcı bilgisayarlarında kişisel anti-virüs ve güvenlik duvarı yazılımları yüklü olmalıdır.

C.9.2.11. Erişim cihazları bir yönetim yazılımı ile devamlı olarak gözlemlenmelidir.

C.9.2.12. Kablosuz erişim noktalarının aktif cihazlara giden kablolamasında fiziksel güvenliğe dikkat edilmelidir.

C.9.2.13. Kurum çalışanlarının kullandığı ile misafirler için olan SSID’ler farklı olmalıdır.

C.9.2.14. Kablosuz ağa dahil olan kurum çalışanları için bile erişimler sınırlandırılmalıdır. Sadece internete çıkacak olan kullanıcıların kablosuz ağ üzerinden diğer uygulamaların (ses, güvenlik, mobilite vb) çalıştığı networklere erişimi engellenmeli gerekirse networkler farklı IP aralıkları üzerinde ayarlanmalı, cihaz üzerinde Access Control Listler (Yetki kuralları) oluşturulmalıdır.

C.9.2.15. Kablosuz ağ cihazlarına erişim sadece yetkili kişiler tarafından SSH ile ya da cihaz başında console (konsol) ile yapılmalı, http ve telnet kapatılmalıdır. Ayrıca kablosuz cihazlara erişim için de “enable ve console (konsol) şifresi” oluşturulmalıdır.

Mal ve hizmet alımlarında İlgili kanun, genelge, tebliğ ve yönetmeliklere aykırı olmayacak ve rekabete engel teşkil etmeyecek şekilde gerekli güvenlik düzenlemeleri Teknik Şartnameler de belirtilmelidir.

Belirlenen güvenlik gereklerinin karşılanması için aşağıdaki maddelerin anlaşmaya eklenmesi hususu dikkate alınmalıdır:

• Bilgi güvenliği politikası,
• Bilgi, yazılım ve donanımı içeren kuruluşun bilgi varlıklarının korunması prosedürleri,
• Gerekli fiziki koruma için kontrol ve mekanizmalar,
• Kötü niyetli yazılımlara karşı koruma sağlamak için kontroller,
• Varlıklarda oluşan herhangi bir değişimin tespiti için prosedürler; örneğin, bilgi, yazılım ve donanımda oluşan kayıp veya modifikasyon,
• Anlaşma sırasında, sonrasında ya da zaman içinde kabul edilen bir noktada, bilgi ve varlıkların iade veya imha edildiğinin kontrolü,
• Varlıklarla ilgili gizlilik, bütünlük, elverişlilik ve başka özellikleri,
• Bilgilerin kopyalama ve ifşa kısıtlamaları ve gizlilik anlaşmalarının kullanımı,
• Kullanıcı ve yönetici eğitimlerinin methodu, prosedürü ve güvenliği,
• Bilgi güvenliği sorumluluğu ve sorunları için kullanıcı bilinci sağlama,
• Uygun olduğu yerde personel transferi için hüküm,
• Donanım ve yazılım kurulumu ve bakımı ile ilgili sorumluluklar,
• Açık bir raporlama yapısı ve anlaşılan raporlama formatı,
• Değişim yönetimi sürecinin açıkça belirlenmesi,
• Erişim yapması gereken üçüncü tarafın erişiminin nedenleri, gerekleri ve faydaları,
• İzin verilen erişim yöntemleri, kullanıcı kimliği ve şifresi gibi tek ve benzersiz tanımlayıcı kullanımı ve kontrolü,
• Kullanıcı erişimi ve ayrıcalıkları için bir yetkilendirme süreci,
• Korumanın bir gerekliliği olarak mevcut hizmetleri kullanmaya yetkili kişilerin ve hakları ile ayrıcalıkları gibi kullanımları ile ilgili olan bir bilgilerin bir listesi,
• Erişim haklarının iptal edilmesi veya sistemler arası bağlantı kesilmesi için süreç,
• Sözleşme de belirtilen şartların ihlali olarak meydana gelen bilgi güvenliği ihlal olaylarının ve güvenlik ihlallerinin raporlanması, bildirimi ve incelenmesi için bir anlaşma,
• Sağlanacak ürün veya hizmetin bir açıklaması ve güvenlik sınıflandırması ile kullanılabilir hale getirilmesini tanımlayan bir bilgi,
• Hedef hizmet seviyesi ve kabul edilemez hizmet seviyesi,
• Doğrulanabilir performans kriterlerinin tanımı, kriterlerin izlenmesi ve raporlanması,
• Kuruluşun varlıkları ile ilgili herhangi bir faaliyetin izlenmesi ve geri alınması hakkı,
• Üçüncü bir taraf tarafından yürütülen denetimler için sözleşmede belirtilen denetleme sorumlulukları hakkı ve denetçilerin yasal haklarının sıralanması,
• Sorun çözümü için bir yükseltme sürecinin kurulması,
• Bir kuruluşun iş öncelikleri ile uygun elverişlilik ve güvenilirlik de dahil olmak üzere hizmet sürekliliği gerekleri,
• Anlaşmayla ilgili tarafların yükümlülükleri,
• Hukuki konularla ilgili sorumlulukları ve yasal gereklerin nasıl karşılanması gerektiğinden emin olunmalıdır, (örneğin, veri koruma mevzuatı, anlaşma diğer ülkelerle ile işbirliği içeriyorsa özellikle farklı ulusal yargı sistemleri dikkate alınarak)
• Fikri mülkiyet hakları (IPRs), telif hakkı ve herhangi bir ortak çalışmanın korunması,
• Üçüncü tarafların alt yüklenicileri ile birlikte bağlılığı ve altyüklenicilere uygulanması gereken güvenlik kontrolleri,
• Anlaşmaların yeniden müzakeresi ya da feshi için şartlar,
• Taraflardan birinin anlaşmayı planlanan tarihten önce bitirmesi durumunda bir acil durum planı olmalıdır.
• Kuruluş güvenlik gereklerinin değişmesi durumunda anlaşmaların yeniden müzakere edilmesi,
• Varlık listeleri, lisanslar, anlaşmalar ve hakların geçerli belgeleri ve onlarla ilişkisi.

Farklı kuruluşlar ve farklı türdeki üçüncü taraflar arasında yapılan anlaşmalar önemli ölçüde değişebilir. Bu nedenle; anlaşmalar, belirlenen tüm riskleri ve güvenlik gereklerini içerecek şekilde yapılmalıdır. Gerektiğinde güvenlik yönetim planındaki gerekli kontroller ve prosedürler genişletilebilir.

Bilgi güvenliği yönetimi dış kaynaklı ise anlaşmalarda üçüncü tarafın güvenlik garantisinin yeterliliğini nasıl ele alındığı anlaşmada belirtilmelidir. Risk değerlendirmede tanımlandığı gibi, risklerdeki değişiklikleri belirlemek ve başa çıkmak için güvenliğin nasıl adapte edileceği ve sürdürüleceği ele alınmalıdır.

Dış kaynak kullanımı ve üçüncü taraf hizmet sunumunun diğer formları arasındaki farklılıkların bazıları; sorumluluk, geçiş durumu planlama ve işlemler süresince potansiyel kesinti süresi, acil durum planlaması yönetmelikleri ve durum tespitinin gözden geçirilmesi, güvenlik olayları hakkında bilgi toplanması ve yönetimi konularında sorular içerecektir. Bu nedenle, dış kaynaklı bir yönetmelik geçişinde; kuruluş değişiklikleri yönetmek için uygun süreçlere ve anlaşmaların yeniden müzakere edilmesi ya da fesh edilmesi hakkına sahip olduğu için kuruluşun planlaması ve yönetimi önemlidir.

Üçüncü taraflarla yapılan anlaşmalar diğer tarafları içerebilir. Üçüncü taraflara erişim hakkı verilmeden önce, erişim hakkı ve katılım için diğer tarafların ve koşulların belirlenmesi amacıyla anlaşmaya varılması gerekir.

Genellikle anlaşmaların esasları kuruluşlar tarafından geliştirilmiştir. Bazı durumlarda anlaşmaların üçüncü taraflarca geliştirilmesi ve kuruluşa empoze edilmesi durumu olabilir. Kuruluşlar, kendi yapılarına üçüncü taraflarca empoze edilecek anlaşmalarda kendi güvenliklerinin gereksiz yere etkilenmesini engeller.

Gizlilik sözleşmeleri;

C.10.8.1. Gizlilik veya ifşa etmeme anlaşmaları yasal olarak uygulanabilir terimleri kullanarak gizli bilgileri korumanın gerekliliğini ele almalıdır. Gizlilik veya ifşa etmeme anlaşmaları için aşağıdaki unsurlar dikkate alınmalıdır:

• Korunacak bilginin bir tanımı (örneğin; gizli bilgileri),
• Gizliliğin süresiz muhafaza edilmesi gereken durumlar da dahil olmak üzere anlaşma süresi,
• Anlaşma sona erdiğinde yapılması gereken eylemler,
• Yetkisiz bilginin açığa çıkmasını önlemek için sorumluluklar ve imza eylemlerinin belirlenmesi (‘bilmesi gereken’ gibi),
• Bilginin sahibinin, ticari sırların ve fikri mülkiyet haklarının ve bu gizli bilgilerin nasıl korunması gerektiği,
• Gizli bilgilerin kullanım izni ve bilgileri kullanmak için imza hakları,
• Gizli bilgileri içeren faaliyetleri izleme ve denetleme hakkı,
• Yetkisiz açıklama ya da gizli bilgilerin ihlal edilmesinin bildirimi ve raporlama prosesi,
• İade veya imha anlaşmasına bırakılacak bilgi için terimler,
• Bu anlaşmanın ihlali durumunda yapılması beklenen eylemler.

C.10.8.2. Bir kuruluşun güvenlik gereksinimlerine dayalı olarak, diğer unsurlarla bir gizlilik veya ifşa etmeme anlaşması gereklidir.

C.10.8.3. Gizlilik ve ifşa etmeme anlaşmaları uygulandığı yerin geçerli tüm yasa ve yönetmeliklerine uygun olmalıdır.

C.10.8.4. Gizlilik ve ifşa etmeme anlaşmaları için gerekler periyodik olarak veya gerekleri etkileyecek bir değişiklik olduğunda gözden geçirilmelidir.

C.10.8.5. Gizlilik ve ifşa etmeme anlaşmaları kurumsal bilgileri korumalı ve imzalayanın, bilginin korunmasından, kullanılmasından ve ifşa edilmesinden yetkili ve sorumlu olduğunu belirtmelidir.

C.10.8.6. Farklı koşullarda gizlilik ve ifşa etmeme anlaşmaları kuruluşun ihtiyaçları doğrultusunda farklı şekillerde kullanılmalıdır.

C.11.1.1. Mevcut sistem yazılımları üzerine kurulacak, kullanılacak yeni bir yazılım veya mevcut sisteme yapılacak olan güncellemeler ile etkisiz hale getirilmemelidir.

C.11.1.2. Yönetim sadece uygun yazılım projelerinin başlatıldığından ve proje altyapısının uygun olduğundan emin olmalıdır.

C.11.1.3. Uygulama yazılımlarının kurum içerisinde mi hazırlanacağı yoksa satın mı alınacağının belirlenmesi, uygun bir şekilde tanımlanmalıdır.

C.11.1.4. Sistem geliştirmede, ihtiyaç analizi, fizibilite çalışması, tasarım, geliştirme, deneme ve onaylama safhalarını içeren sağlıklı bir iş planı kullanılmalıdır.

C.11.1.5. Kurum içinde geliştirilmiş yazılımlar ve seçilen paket sistemler ihtiyaçları karşılamalıdır.

C.11.1.6. Yazılım geliştirme ve temin politikalarına uygun olmayan, ulusal ve uluslararası yazılım geliştirme standartları çerçevesinde geliştirilmemiş ve kurum talebi olmaksızın üretilmiş olan yazılımların kurumsal sistemler üzerine entegre edilmesine izin verilmemelidir.

C.11.1.7. Hazırlanan sistemler mevcut prosedürler dâhilinde, işin gerekliliklerini yerine getirdiklerinden ve iç kontrol yapıldığından emin olunması açısından test edilmeli, yapılan testler ve test sonuçları belgelenerek onaylanmalıdır.

C.11.1.8. Yeni alınmış veya revize edilmiş bütün yazılımlar test edilmeli ve onaylanmalıdır.

C.11.1.9. Eski sistemlerdeki veriler tamamen, doğru olarak ve yetkisiz değişiklikler olmadan yeni sisteme aktarılmalıdır.

C.11.1.10. Uygulama ortamına aktarılma kararı uygun bilgilere dayalı olarak, ilgili yönetim tarafından verilmelidir.

C.11.1.11. Yeni yazılımların dağıtımı ve uygulanması kontrol altında tutulmalıdır.

C.11.1.12. Yazılımlar sınıflandırılmalı/etiketlenmeli ve envanterleri çıkarılarak bir yazılım kütüğünde muhafaza edilmelidir.

C.11.1.13. İlgili yazılım denetim süreçlerine göre yazılım geliştirme sureci politikasının gözden geçirilmesini önerilmektedir.

C.11.1.14. 3. Taraflarca geliştirilen yazılımın proje yönetimi, yazılım geliştirme, test ve kabul esasları tanımlanmalıdır.

C.11.1.15. Kurumsal yazılım geliştirme esasları yayınlanmışsa ona uygun geliştirme talep edilmelidir. Fonksiyon isimlendirme, yorum kullanımı, kullanılan yazılım dili vb.

C.11.1.16. Sistem yazılımında mevcut olan kontroller, kullanılacak yeni bir yazılım veya mevcut sistem yazılımına yapılacak olan güncellemeler ile etkisiz hale getirilmemelidir.

C.11.1.17. Sistem geliştirmede, ihtiyaç analizi, fizibilite çalışması, tasarım, geliştirme, deneme ve onaylama safhalarını içeren sağlıklı bir iş planı kullanılmalıdır.

C.11.1.18. Kurum içinde geliştirilmiş yazılımlar ve seçilen paket sistemler ihtiyaçları karşılamalıdır.

C.11.1.19. Kurumda kişisel olarak geliştirilmiş yazılımların kullanılması engellenmelidir.

C.11.1.20. Hazırlanan sistemler mevcut prosedürler dâhilinde, işin gerekliliklerini yerine getirdiklerinden ve iç kontrol yapıldığından emin olunması açısından test edilmeli, yapılan testler ve test sonuçları belgelenerek onaylanmalıdır.

C.11.1.21. Yeni alınmış veya revize edilmiş bütün yazılımlar test edilmeli ve onaylanmalıdır.

C.11.1.22. Eski sistemlerdeki veriler tamamen, doğru olarak ve yetkisiz değişiklikler olmadan yeni sisteme aktarılmalıdır.

C.11.1.23. Uygulama ortamına aktarılma kararı uygun bilgilere dayalı olarak, ilgili yönetim tarafından verilmelidir.

C.11.1.24. Yeni yazılımların dağıtımı ve uygulanması kontrol altında tutulmalıdır.

C.11.1.25. Yazılımlar sınıflandırılmalı/etiketlenmeli ve envanterleri çıkarılarak bir yazılım kütüğünde muhafaza edilmelidir.

C.11.2.1. Bilişim sisteminin yapısı ile bütün iş ve işlemler açıkça belgelenmeli ve bu belgeleme inceleme amacıyla kolaylıkla ulaşılabilir durumda olmalıdır.

C.11.2.2. İş akışları uygun şekilde belgelenmelidir.

C.11.2.3. Belgeleme, tarih belirtilerek yapılmalı ve yedek kopyaları güvenli bir yerde muhafaza edilmelidir.

C.11.2.4. Girdi türleri ve girdi form örnekleri belgelenmelidir.

C.11.2.5. Ana dosyalar ile diğer dosyaların içerik ve şekilleri belgelenmelidir.

C.11.2.6. Çıktı form örnekleri ve çıktıların kimlere dağıtılacağı belgelenmelidir.

C.11.2.7. Programların nasıl test edildiği ve test sonuçları belgelenmelidir.

C.11.2.8. Bütün program değişikliklerinin detayları belgelenmelidir.

Bu sunuculara sistem biriminin admin/root yetkisi bulunmalıdır. Yapılacak tüm işlemler sistem güvenlik birimi nezaretinde yürütülmelidir. Kuruma ait sunucularda, sadece yetkili kişilerin erişebileceği administrator/root yetkisi bulunmalıdır.

Kuruma ait sunucular üzerinde bulunan, tüm kullanıcı hesapları (administrator ve root hesaplarıda dahil olmak üzere) güçlü şifreler ile korunmalıdır.

Yapılacak tüm işlemler düzgün bir şekilde dokümante edilmeli ve ilgili birim sorumlularına iletilmelidir.

Güvenlik yazılım ve donanımlarının erişim logları, merkezi log sisteminde tutulmalı ve izlenmelidir.

Güvenlik yazılım ve donanımlarının logları, her bir yazılım ve donanım için belirlenen disk alanlarında tutulmalı ve ilgili birim tarafından yönetilmelidir.

Güvenlik donanımları, yetkisiz kişiler tarafından erişilememesi için gerekli güvenlik tedbirleri alınmış sistem odalarında tutulmalıdır.

Güvenlik donanımlarının konfigürasyon yedekleri düzenli olarak alınmalı ve bir back-up sunucusunda tutulmalıdır.

Kurumda kullanılan güvenlik yazılım ve donanımları en güncel ve stabil yamaya (patch) sahip olmalıdır.

Kurumda kullanılan güvenlik donanımları, harici izleme yazılım ya da donanımları ile izlenmeli ve cihazlarda oluşan sorunlar sms ve/veya eposta aracılığı ile ilgili sorumlulara iletilmelidir.

Kurumun tüm istemcileri ve sunucuları anti-virüs yazılımına sahip olmalıdır. Ancak sistem yöneticilerinin gerekli gördüğü sunucular üzerine istisna olarak anti-virüs yazılımı yüklenmeyebilir.

İstemcilere ve sunuculara virüs bulaştığı fark edildiğinde etki alanından çıkartılmalıdır.

Sistem yöneticileri, anti-virüs yazılımının sürekli ve düzenli çalışmasından ve istemcilerin ve sunucuların virüsten arındırılması için gerekli prosedürlerin oluşturulmasından sorumludur.

Kullanıcı hiç bir sebepten dolayı anti-virüs yazılımını bilgisayarından kaldırmamalıdır.

Anti-virüs güncellemeleri anti-virüs sunucusu ile yapılmalıdır. Sunucular internete sürekli bağlı olmalı, sunucuların veri tabanları otomatik olarak güncellenmelidir. Etki alanına bağlı istemcilerin, anti-virüs sunucusu tarafından anti-virüs güncellemeleri otomatik olarak yapılmalıdır.

Etki alanına dâhil olmayan kullanıcıların güncelleme sorumluluğu kendilerine ait olup, herhangi bir sakınca tespit edilmesi durumunda, sistem yöneticileri bu bilgisayarların internet bağlantılarını kesebilme opsiyonuna sahip olmalıdır.

Bilinmeyen veya şüpheli kaynaklardan dosya indirilmemelidir.

Kurumun ihtiyacı haricinde okuma/yazma hakkı veya disk erişim hakkı tanımlamaktan kaçınılmalıdır. İhtiyaca binaen yapılan bu tanımlamalar, ihtiyacın ortadan kalkması durumunda iptal edilmelidir.

Optik Media ve harici veri depolama cihazları anti-virüs kontrolünden geçirilmelidir.

Bilgi güvenliği ile ilgili görev ve sorumluluklar belirlenmelidir.

C.13.1.1. Kurum içerisinde kullanılan tüm bilgisayarların zararlı yazılımlara karşı en güncel anti virüs yazılımına sahip olmalıdır.

C.13.1.2. Bilgisayarlarda kullanılan anti virüs yazılımları düzenli olarak güncellenmelidir.

C.13.1.3. Bilgisayarların üzerinde kullanılan işletim sistemleri düzenli olarak güncelleştirilmelidir.

C.13.1.4. Bilgisayarlar üzerinde korsan yazılımlar bulundurulmamalıdır.

C.13.1.5. Kurum için hazırlanacak uygulamalar güvenlik zafiyetlerini en aza indirmek için güvenli yazılım yaşam döngüsüne uygun olarak tasarlanmalıdır.

C.13.1.6. Geliştirilen yazılımlar gizlilik, bütünlük ve erişebilirlik şartlarına uygun olmalıdır.

C.13.1.7. Yazılım geliştirme sürecinde, giriş doğrulama, yetkilendirme, kimlik doğrulama, konfigürasyon yönetimi, hassas bilgi, kriptografi, parametre manipülasyonu, hata yönetimi ve kayıt tutma ve denetimi kriterleri dikkate alınmalıdır.

C.13.1.8. Yazılım geliştirme süreci boyunca, gerekli bütün testler eksiksiz şekilde yapılmalıdır.

C.13.1.9. Kurum için geliştirilen uygulamalar ve satın alınan yazılımlar, güvenlik zafiyetlerine neden olmamak için en son stabil yamalara ve güncelleştirmelere sahip olmalıdır.

C.13.1.10. Uygulamalar geliştirilme süreçlerinde gerçek ortamda uygulanmadan önce test sunucularında test edilmelidir. Uygulamalar gerçek ortamda kurumun uygun bulduğu mesai saatleri dışında bir zaman diliminde devreye alınmalıdır.

C.13.1.11. Kurum için geliştirilen uygulamalar, uluslararası kabul görmüş standartlara bağlı dokümante edilmelidir. Uygulama için yazılmış olan dokümanlar uygulama ile beraber kuruma teslim edilmelidir.

C.13.2.1. Kuruma ait sistemler ve sunucular dışarıdan gelebilecek saldırılara karşı, güncel teknolojilere sahip donanımsal firewall cihazları ile korunmalıdır.

C.13.2.2. Kurum çalışanlarının internete çıkışlarının kontrol edilerek, zararlı ve kurum politikasına uymayan sitelere erişimlerinin engellenmesi için proxy cihazları ile korunmalıdır.

C.13.2.3. Kuruma ait uygulamaların güvenli bir şekilde çalışması ve uygulamalara gelebilecek saldırıların engellenmesi için Web Application Firewall (Web Uygulama Güvenlik Duvarı) ile korunmalıdır.

C.13.2.4. Kurum ile dış dünya arasında ki yazışmalar bir eposta güvenlik cihazı ile kontrol edilmelidir. SPAM, virüs, kurum politikalarına uygun olmayan içerikler engellenmelidir.

C.13.2.5. Kurumda ki güvenlik cihazları sürekliliğin sağlanması için cluster (yedekli yapıda) bulunmalıdır.

C.13.2.6. Kurumda kullanılan güvenlik cihazlarının loglarının düzenli olarak alınması ve encrypt (şifreli) olarak saklanması gerekmektedir.

C.13.2.7. Kurumda kullanılan bütün güvenlik cihazlarının konfigürasyon yedekleri periyodik olarak alınmalı, doğru şekilde etiketlenerek saklanmalıdır.

C.13.2.8. Kurumda kullanılan bütün sistem ve güvenlik donanımları, kurumun ihtiyaçlarına bağlı olarak sadece izin verilen erişimlere göre konfigüre edilmelidir.

Bulut bilişim popülerliğini artırdıkça, bu yeni modelle ortaya çıkan güvenlik sorunları endişeleri artırmıştır. Geleneksel koruma mekanizmalarının etkinliği ve verimliliği yeniden değerlendirilmektedir, bu yeni yerleştirme modelinin özellikleri büyük ölçüde geleneksel mimarilerden farklılık arz etmektedir.

Özel bulut ekipmanlarının fiziksel kontrolünün yapılabilirliği ekipmanların tesis dışında ve başkalarının kontrolünde olmasından daha güvenlidir. Veri bağlantılarının güvenliği için fiziksel kontrol ve veri bağlantılarını görsel olarak incelemek ve portlara erişebilmek gereklidir. Bulut bilişimin benimsenmesi yolundaki engellerin sebebi çoğunlukla kamu ve özel sektörünün güvenlik tabanlı hizmetlerinin harici yönetiminin korku ve endişeye sebep olmasıdır. Bulut bilişim tabanlı hizmetlerin dışarıdan sağlanması ise en temel özelliğidir. Bu durum bulut bilişim hizmet sağlayıcılarına güvenli hizmetlerin yönetimini kurma ve sürdürmeye öncelik verilmesi hususunda iticidir.

Fiziksel Güvenlik Sunuculara erişimlerinin fiziksel olarak güvenliğinin en az TIER-3 seviyesinde sağlanmalıdır.

Network Güvenliği Network ekibi tarafından sağlanacak güvenlik tedbirleri refere edilmelidir.

Data güvenliği;

Kriptografi: Veriyi korumanın yollarından biri de şifrelemedir. Bugün şifreleme çalışmaları oldukça ilerlemiş, bilgisayarlar oldukça gelişmiştir. Fakat bu durum saldırganlar için de geçerlidir. Hassas bilgiler bilinen ve test edilmiş şifreleme yöntemleri ile saklanmalıdır. Ayrıca daha önce kırılması uzun zaman alan algoritmalar günümüzde daha kısa zamanda çözülebilmektedir. Dolayısıyla uygulama içindeki algoritmalar zamanla gözden geçirilmeli ve güncellenmelidir.

Kimlik erişim yönetimi;

Yetkisiz erişimlerin tespiti ve ağ sistemlerinin korunması için gerekli kontrol faaliyetleri sağlanmalıdır.

C.14.5.1. Konfigürasyon Yönetimi; Konfigürasyon, uygulama ile ilgili hassas bilgileri içermektedir. Örnek vermek gerekirse veri tabanına erişim için gerekli bağlantı bilgilerini içeren dosyalar bu kapsamdadır. Konfigürasyona müdahale uygulamanın işleyişini değiştirebilir veya çalışmamasına sebep olabilir. Konfigürasyon dosyalarının sunucularda saklanıyor olması yeterli güvenlik önlemlerinin alındığı anlamına gelmemektedir. Konfigürasyon dosyaları hassas bilgi olarak nitelendirilmeli, şifrelenmiş bir şekilde tutulmalı ve bu dosyalara erişim kayıt altında tutulmalıdır.

C.14.5.2. Hassas Bilgi (Sensitive Information); Hassas bilginin ne olduğunun belirlenebilmesi için uygulamanın ve işin bir arada ele alınması gereklidir. Uygulama geliştirici işin niteliğini tam olarak bilemediğinden, diğer yandan işin sahibi de uygulamanın teknik altyapısı hakkında sınırlı bilgiye sahip olacağından bu iki taraf tek başlarına hassas bilgi için yeterli tanımlama yapamayacaklardır. İki tarafın bir araya gelmesiyle hassas bilgileri içeren bir liste oluşturulmalı ve bu listeyi koruyacak bir politika oluşturulmalıdır.

C.14.5.3. Kayıt Tutma ve Denetim; Uygulama veya uygulamanın yöneticileri saldırı altında olduklarını anlamalıdır. Bu durum aslında neyin normal neyin anormal olduğunun belirlenmesi ile sağlanır. Bir uygulamaya ilişkin normal süreç ve şablon tanımlanmalı ve bunu dışında bir olay olduğunda saldırı ihtimali ele alınmalıdır. Örneğin, normal senaryoda bir uygulamaya dakikada ortalama beş kişinin erişmesi beklenirken bu sayı bine ulaşıyorsa muhtemelen bir “Servis Dışı” bırakma atağı söz konusudur.

Bilgiyi taşımanın kolay bir yolu laptop ve akıllı telefonlar gibi mobil cihazlardır.Bu cihazlarda bulunan hassas bilgiler ve erişim yetkileri de düşünüldüğünde mobil cihazlarda güvenliğin dikkat edilmesi gereken bir konu olduğu anlaşılmaktadır.

Mobil cihazlara erişimde mutlaka parola kullanılmalıdır.

Mobil cihazınızda ne tür bilgiler sakladığınızın farkında olun, hassas ve gizli bilgileri mümkün olduğunca mobil cihazınızda bulundurmayınız.

Verilerinizin yedeklerini alın ve güncel bir kopyasını farklı bir yerde saklayınız.

Kaybolması ve çalınması kolay olduğundan mobil cihazlar başıboş bırakılmamalıdır.

Bilgi sistemlerinin iletişim ve işletim görev ve sorumlulukları kuruluşun varlıklarının yetkisiz veya kasıtsız olarak değiştirilmesi ve yanlış kullanılmasını engellemek maksadıyla ayrılmalıdır. Hiçbir personel denetimsiz veya yetkisiz olarak sistemlere erişemez ve sistemleri değiştiremez.

Bilgi İşleme ve İşletim Yönetimi aşağıda belirtilen konuları kapsar;

• Bilgi işleme ve bulundurma gereksinimlerinin belirlenmesi,
• Bilginin yedeklenmesi,
• En erken işe başlama ve en geç işi tamamlama zamanlarının belirlenmesi,
• Sistem kullanım kısıtları hata mesajlarını yöneten talimatların oluşturulması,
• Beklenmeyen işletim ve teknik sorunlar karşısında destek irtibatları belirlenmesi,
• Güvenli çıktı alma talimatlarının hazırlanması,
• Sistem hatası durumunda yeniden başlatma ve kurtarma süreçlerinin belirlenmesi,
• Sistem izleme kayıtlarının yönetiminin planlanması ve uygulanması.

Uygulama geliştirme, test ve operasyonel sistemlerinin ayrılması;

C.16.3.1. Yazılımın geliştirme sistemlerinden uygulama sistemlerine aktarımı kuralları belirlenmeli ve dokümante edilmelidir.

C.16.3.2. Geliştirme ve uygulama yazılımları ayrı işlemcilerde, ayrı sistemlerde, ayrı etki alanlarında veya kütüphanelerde çalıştırılmalıdır.

C.16.3.3. İhtiyaç olmadığı durumlarda operasyonel sistemlerde derleyici, editör, ve diğer geliştirme araçları bulundurulmaz.

C.16.3.4. Test sistemi operasyonel sistemle mümkün olduğunca aynı sistem olmamalıdır.

C.16.3.5. Kullanıcılar test ve uygulama sistemlerinde farklı kullanıcı tanımları kullanmalıdır.

Üçüncü taraflardan hizmet alımı esnasında gereken aktarımlar (bilgi, bilgi işleme imkânları ve taşınan diğer unsurlar) planlanmalı ve güvenlik daima göz önünde bulundurulmalıdır. Üçüncü taraf hizmetlerinin izlenmesi ve gözden geçirilmesi kapsamında;

C.16.4.1. Hizmet performans seviyesinin anlaşmaya uyumlu olduğu izlenmelidir.

C.16.4.2. Üçüncü tarafça hazırlanan hizmet raporları gözden geçirilmeli, anlaşmada belirtildiği şekilde geliştirme toplantıları yapılmalıdır.

C.16.4.3. Alınan hizmete ilişkin üçüncü taraf tarafından tutulan güvenlik olayları kayıtları, operasyonel sorunlar, hatalar, hizmet kesintileri gözden geçirilmelidir.

C.16.4.4. Varsa tespit edilen sorunlar yönetilmeli ve çözülmelidir.

Üçüncü taraf hizmetlerinde yapılan değişikliklerde;

• Ağdaki değişimler,
• Yeni teknolojilerin kullanımı,
• Yeni ürünlerin daha yeni sürüm ve baskılara uyumu,
• Yeni geliştirme araç ve ortamları,
• Hizmetlerin verildiği fiziksel yerin değişimi göz önüne alınmalıdır.

Üçüncü taraflardan hizmet alımlarında değişiklik olması durumunda; kuruluş tarafından yapılan değişikliklerde;

• Sunulan hizmetteki gelişmeler,
• Yeni uygulama ve sistemlerin geliştirilmesi,
• Kurumun politikalarındaki değişiklik ve güncellemeler,
• Güvenliği geliştirmek ve bilgi güvenliği olaylarını çözmek için geliştirilen yeni kontroller göz önüne alınmalıdır.

Bilgi işlem teçhizatının kapasite yönetimine ilişkin olarak anahtar konumundaki sistem kaynaklarının kullanım durumu sistem yöneticileri tarafından sürekli izlenir, her yeni veya devam eden faaliyetin kapasite gereksinimi belirlenir. Sistemden en uygun şartlarda verim almak için sistem ayarları sürekli kontrol edilir. Gelecekteki sistem ihtiyaçları, ileriye yönelik planlanan yeni iş uygulamaları ve mevcut kapasite göz önüne alınarak değerlendirilir.

Ağ güvenliği;

Üçüncü taraflardan hizmet alımı esnasında gereken aktarımlar (bilgi, bilgi işleme imkânları ve taşınan diğer unsurlar) planlanmalı ve güvenlik daima göz önünde bulundurulmalıdır. Üçüncü taraf hizmetlerinin izlenmesi ve gözden geçirilmesi kapsamında;

C.16.8.1. Mümkün olduğu takdirde ağdan sorumlu personel bilgisayar işletiminden sorumlu personelden ayrı görevlendirilmelidir.

C.16.8.2. Uzak cihazların yönetimiyle ilgili sorumluluklar belirlenmelidir.

C.16.8.3. Halka açık ağ veya kablosuz ağlardan iletilen verinin bütünlüğünü sağlayacak tedbirler alınmalıdır.

C.16.8.4. Güvenlikle ilgili olayların kaydedilmesini sağlayıcı uygun izleme yöntemleri kullanılmalıdır.

C.16.8.5. Hizmet kalitesini artırmak ve bilgi işleme altyapısının sürekli kontrolünü sağlamak için yönetim faaliyetleri yakından koordine edilmelidir.

C.16.8.6. Ağ hizmetlerinin güvenli bir şekilde verildiği düzenli olarak izlenmelidir.

C.16.8.7. Ağ güvenliği için yetkilendirme, kriptolama, bağlantı kontrolü vb. güvenlik tedbirleri uygulanmalıdır.

C.16.8.8. Gerekli görüldüğünde ağ kullanımına sınırlar getirilmelidir.

C.16.8.9. Özellikle sağlık bilgisinin iletildiği ağların kesintiye uğraması durumundaki riskler ayrıca değerlendirilmelidir.

Taşınabilir ortamların yönetimi;

Üçüncü taraflardan hizmet alımı esnasında gereken aktarımlar (bilgi, bilgi işleme imkânları ve taşınan diğer unsurlar) planlanmalı ve güvenlik daima göz önünde bulundurulmalıdır. Üçüncü taraf hizmetlerinin izlenmesi ve gözden geçirilmesi kapsamında;

C.16.9.1. İhtiyaç kalmadığında tekrar kullanılabilir ortamların içeriği tekrar düzeltilemeyecek hale getirilmelidir.

C.16.9.2. Gerek görüldüğünde kurumdan taşınan ortam için yetkilendirme yapılır ve kayıt altına alınmalıdır.

C.16.9.3. Tüm ortamlar üretici talimatında belirtildiği şekilde emniyetli ve güvenli ortamda saklanmalıdır.

C.16.9.4. Ortamın saklama kapasitesinden daha uzun bir süre saklanmasına ihtiyaç duyulan bilgi, aynı zamanda farklı bir ortam üzerinde de saklanmalıdır.

C.16.9.5. Veri kayıplarını engellemek maksadıyla taşınabilir ortamları kayıt altına alınmalıdır.

C.16.9.6. Çıkarılabilir ortam sürücüleri sadece iş ihtiyaçları için kullanılabilir hale getirilmelidir.

C.16.9.7. Taşınan medya üzerinde kişisel sağlık bilgisi yer alıyorsa mutlaka kriptolanmalıdır.

Ortamın imha edilmesi;

C.16.10.1. Hassas bilgi içeren ortamlar yakılarak, silinerek, parçalanarak güvenli ve emniyetli bir şekilde yok edilmelidir.

C.16.10.2. Üzerindeki hassas bilgiyi ayırmaktan çok ortamları toplu olarak güvenli bir şekilde imha etmek daha kolay olabilmekte olup, bu durum imha aşamasında göz önüne alınmalıdır.

C.16.10.3. Birçok kurum atık toplama ve imha etme hizmeti vermekte olup, böyle bir kurumun seçimi durumunda güvenlik açısından uygun kontroller geliştirilmelidir.

C.16.10.4. Mümkün olduğu takdirde imha işlemi kayıt altına alınmalıdır.

Bilgi işleme süreci aşağıda belirtilen hususları kapsar;

C.16.11.1. Bilgi belirlenen sınıflandırma seviyesine işlenmeli ve etiketlenmelidir.

C.16.11.2. Yetkisiz personelin erişimini önlemek için erişim kısıtlamaları konulmalıdır.

C.16.11.3. Veriyi alan yetkililer kayıt altına alınmalıdır.

C.16.11.4. Girdi verisinin tamlığı, işlemenin uygun şekilde tamamlandığı ve çıktı doğrulamasının yapıldığı garanti edilmelidir.

C.16.11.5. Çıktı için havuzda bekleyen verinin hassasiyetine göre korunması sağlanmalıdır.

C.16.11.6. Üreticinin belirlediği özelliklere göre ortamların saklanması sağlanmalıdır.

C.16.11.7. Kopyalanan ortamların yetkili alıcının dikkatini çekmek için açık bir şekilde işaretlenmesi sağlanmalıdır.

C.16.11.8. Yetkili alıcı listeleri ile dağıtım listelerinin belirli aralıklarla gözden geçirilmesi sağlanmalıdır.

C.16.11.9. Özellikle sağlık bilgisi fiziksel olarak çok iyi korunmalı ya da şifrelenmelidir.

Sistem dokümantasyonunun güvenliği;

C.16.12.1. Sistem dokümantasyonu güvenli bir ortamda saklanmalıdır.

C.16.12.2. Sistem dokümantasyonuna erişim uygulama sahibi tarafından yetkilendirilmeli ve minimum seviyede tutulmalıdır.

C.16.12.3. Halka açık ağlarda tutulan veya bu ağlar üzerinden gönderilen sistem dokümantasyonu uygun bir biçimde korunmalıdır.

Sistem dokümantasyonunun güvenliği;

C.16.13.1. Bilgi değişiminin kopyalanması, değiştirilmesi, yanlış yönlendirilmesi ve imhasından korunması sağlayıcı tedbirler alınmalıdır.

C.16.13.2. Elektronik iletişim kullanılarak iletilen bilginin zararlı kodlara karşı korunması için tedbir alınmalıdır.

C.16.13.3. İletilen elektronik bilginin eklentilerinin korunmasına yönelik tedbir alınmalıdır.

C.16.13.4. Elektronik iletişimin uygun kullanımına ilişkin politika ve prensipler geliştirilmeli ve yayınlanmalıdır.

C.16.13.5. Riskleri göz önüne alarak kablosuz iletişim kullanımı ile ilgili kurallar belirlenmelidir.

C.16.13.6. Çalışanlar, sözleşme tarafları ve diğer kullanıcıların kurumu karalayıcı, sıkıntıya sokucu, ardı ardına zincir posta, haksız kazanç sağlama gibi faaliyetlere katılmama sorumlulukları ortaya konulmalıdır.

C.16.13.7. Bilginin gizliliği, bütünlüğü ve güvenilirliğini korumak için kriptografik tekniklerin kullanımı değerlendirilmelidir.

C.16.13.8. Ulusal ve uluslararası mevzuat dâhilinde tüm mesajları kapsayan iş yazışmalarının saklanması ve imhası ile ilgili kurallar belirlenmelidir.

C.16.13.9. Kritik ve hassas bilgi, yazıcılar, kopyalayıcı cihazlar, faks makineleri vb. cihazlar üzerinde bırakılarak yetkisiz kişilerin erişmelerine imkân verilmemelidir.

C.16.13.10. Elektronik imkânlar kullanılarak mesajların dış adreslere otomatik iletilmesine kısıtlar getirilmeli ve kontrol edilmelidir.

C.16.13.11. Telefonla görüşürken hassas bilginin ifşa edilmemesi, bilginin dinlenmemesi için tedbir alınmasına dikkat edilmelidir.

C.16.13.12. Yetkisiz personel tarafından tekrar dinlenebileceğinden, yanlışlıkla numara çevrilebileceğinden hassas bilgi otomatik cevap kayıtlarına, iletişim sistemlerine konulmamalıdır.

C.16.13.13. Personel faks makinelerinin dikkatsiz kullanımının bilgi güvenliği açısından verebileceği zararlar konusunda bilinçli olmalıdır.

C.16.13.14. Personel, yetkisiz bilgi toplamayı engellemek için demografik veri, e-posta adresleri, kişisel bilgi vb. kayıt edilmemesi konusunda bilinçli olmalıdır.

C.16.13.15. Personel faks ve fotokopi makinelerinin arıza yapması halinde hafızalarında bilgi kaldığı, onarılmayı müteakip bu bilginin basıldığı veya iletildiği konusunda bilinçli olunmalıdır.

Dış taraflarla yapılacak bilgi değişim anlaşmalarında aşağıda belirtilen hususlar göz önüne alınır;

C.16.14.1. Bilgi gönderme ve alımının kontrolü için sorumluluklar belirlenmelidir.

C.16.14.2. Gönderenin, gönderim ve alımla ilgili bilgilendirilmesi sağlanmalıdır.

C.16.14.3. İnkâr edilemezlik ve izlenebilirlik garanti edilmelidir.

C.16.14.4. Paketleme ve transfer için asgari teknik standartlar belirlenmelidir.

C.16.14.5. Emanet anlaşmaları yapılmalıdır.

C.16.14.6. Kurye belirleme standartları belirlenmelidir.

C.16.14.7. Bilginin kaybolması gibi bilgi güvenliği olaylarındaki sorumluluklar tayin edilmelidir.

C.16.14.8. Bilginin uygun şekilde korunduğunu garanti etmek maksadıyla karşılıklı mutabık kalınmış bir etiketleme sisteminin hassas ve kritik bilgi üzerinde kullanılması sağlanmalıdır.

C.16.14.9. Veri koruma, telif hakları ve lisans uyumlulukları için sorumlulukların sahibi belirlenmelidir.

C.16.14.10. Kriptografik anahtarlar gibi hassas bilginin korunmasında ihtiyaç duyulacak özel kontroller belirlenmelidir.

Fiziksel ortamların taşınması;

C.16.15.1. Güvenilir taşıma şekli ve kuryeler kullanılmalıdır.

C.16.15.2. Yönetim tarafından yetkili bir kurye listesi belirlenmelidir.

C.16.15.3. Kuryelerin kimliğini kontrol eden süreçler geliştirilmelidir.

C.16.15.4. Paketleme, içeriğin fiziksel hasarlardan yeterince korunmasını sağlayacak şekilde yapılmalıdır.

C.16.15.5. Hassas bilgi, kilitli kapların kullanılması, elden teslim, kurcalanmaya karşı korunmalı, gerekirse farklı yollardan parçalı olarak gönderim yöntemleri kullanılarak açığa vurulması veya değiştirilmesi önlenmelidir.

Elektronik Mesajlaşma;

C.16.16.1. Mesajların yetkisiz erişim, değiştirilme veya hizmet engelleme saldırısından koruma, mesajın doğru adreslemesi ve iletiminin sağlanması, servisin genel güvenirliği ve kullanılabilirliği, elektronik imza vb. hukuki sebepler, anlık mesajlaşma veya dosya paylaşımı gibi halka açık dış servisleri kullanmadan önce onay elde etme, halka açık ağ erişimlerinde daha güçlü kimlik denetimi yapma konuları göz önüne alınır.

C.16.16.2. Uzmanlar arasında e-posta ile iletilen sağlık bilgisi mutlaka şifrelenmelidir.

C.16.16.3. VPN kullanıcılarına verilen şifreler e-posta yoluyla değil sms aracılığıyla gönderilmelidir.

Çevrimiçi işlemlerle ilgili güvenlik açısından aşağıdaki hususlar dikkate alınır;

• İşlem içerisinde yer alan her iki tarafın elektronik imzalarının kullanımı,
• Her iki tarafın kullanıcı yetkilendirmelerinin doğru olduğu ve doğrulandığı, işlemlerin güvenli olduğu, her iki tarafın gizliliğinin sağlandığı,
• Tüm tarafların iletişiminin şifrelenmesi,
• Tüm tarafların iletişim protokollerinin güvenli olması,
• İş detaylarının saklandığı yerin herkes tarafından erişilemeyen bir yerde bulunması,
• Uçtan uca elektronik imzanın kullanıldığı güvenli bir yetkilendirme,
• Sağlık bilgi sistemlerinde herkese açık bilginin değiştirilmeden arşivlenmesi.

Erişim kontrolüne ilişkin olarak sistem kayıtları asgari aşağıdaki hususları kapsar;

• Kullanıcı tanımları,
• Sisteme giriş-çıkış tarihi, zamanı gibi ana faaliyetler,
• Terminal kimliği ve mümkünse yeri,
• Başarılı ve ret edilen sisteme erişim girişimleri,
• Başarılı ve ret edilen veri ve diğer kaynaklara erişim girişimleri,
• Sistem konfigürasyonundaki değişiklikler,
• Ayrıcalıkların kullanımı,
• Sistem olanakları ve uygulamalarının kullanımı,
• Erişilen dosyalar ve erişim türü,
• Ağ adresleri ve protokoller,
• Erişim kontrol sisteminin verdiği uyarılar,
• Anti virüs ve saldırı önleme sistemleri gibi koruma sistemlerin başlatılması ve sonlandırılması.
• Sağlık bilgilerinde yapılan güncellemelerde kayıtların önceki durumları ayrıca log’lanır ve arşivlenir.

Kullanıcı hesabı tanımlanması için 2 yöntem uygulanır.

C.17.1.1. Bağlı bulunulan kurumdan resmi yazı yazılması şeklinde yapılmalıdır.

C.17.1.2. Bağlı bulunulan kurum yetkilisi tarafından @saglik.gov.tr uzantılı bir resmi e-posta adresi ile talep ettikleri yeni kullanıcılar için hazırlanan formu doldurarak eposta@saglik.gov.tr resmi e-posta adresine taleplerini göndermeleri şeklinde yapılmalıdır. Kullanıcı talebine göre yetki verilmesi durumunda ayrıca taahhütname istenilebilir.

Yeni kullanıcı oluşturulması taleplerinde, kişinin Başbakanlık DTVT sistemine uygun olarak konumlandırılacağı Kurum birimi, ekleneceği yetki grupları, görev tipine göre istenir. 657, 4A, 4B dışındaki personel için çalışma süre aralığının belirtilmesi gereklidir.

Kullanıcı hesabının dondurulması, kapatılması kullanıcının bağlı olduğu personel işleri veya bilgi işlem tarafından C.17.1.1 ve C.17.1.2 maddelerindeki erişim kanalları ile bildirilmelidir.

Kullanıcı hesabı kapatma talebi gelmesine istinaden dondurulur ve dondurulmuş hesaplar klasöründe bir sene süresince yasal takip ihtiyaçlarına binaen saklanır ve bir sene sonunda silinmelidir.

Veri tabanlarına erişen kullanıcıların yapmış oldukları işlemler loglanmalı, gerektiğinde erişim yetkilisinin kayıt silme logları da listelenebilir olmalıdır.

C.18.1.1. Kurumun erişim sağlanacak sunucularına admin/root yetkili yönetici kullanıcılar, sudo ve runas yetkili kısıtlı yönetici kullanıcılar ve dış dünyadan erişen, uygulamayı kullanan kullanıcılardan oluşmaktadır.

C.18.1.2. Bakanlık sunucularına erişim için IP/SEC ya da SSL VPN kullanılmalıdır. Mümkünse kullanıcıların erişimi için SSL ve VPN tercih edilmelidir. Güvenlik Birimi tarafından sağlanmalıdır.

C.18.1.3. Sunuculara kullanıcı erişimi için SSH, RDP gibi protokollerle sunucu yönetimi için belirli portlar erişim verilmelidir.

C.18.1.4. Sunucuların kendi aralarında servis ve yönetimleri için belirli portlarla erişim sağlanması gerekmektedir.

C.18.1.5. Kullanıcıların sunucu yönetim için sağlanan erişimde admin/root yetkisi sistem grubu dışında verilmemelidir. Parola yönetimi bakanlık bilgi güvenliği kılavuzundaki parola yönetim politikaları ile yürütülmelidir.

C.18.1.6. Kullanıcıların sunucu yönetim için sağlanan erişimde merkezi kullanıcı yönetimi (MS AD, LDAP, ssh-key) ile yapılmalıdır.

C.18.1.7. Kullanıcıların sunucu yönetim için sağlanan erişimde sudo, runas gibi erişim kısıtlı erişim yetkileri tanımlanmalıdır.

C.18.1.8. Dış dünyadan sunucular üzerindeki servislere erişim için 80, 443, 7001, 8080, 8443 gibi servis portları da özel durumlarda verilmelidir. Güvenlik Birimi tarafından bu işlem sağlanmalıdır.

C.18.1.9. Sunucu servislerinin yönetim işlemlerinde yetkili kullanıcı bilgileri, sistem gurubuna teslim edilmelidir. Sistem birimi nezaretinde ve tarafından yürütülmelidir.

C.18.1.10. Sunucu servislerinin yönetim işlemleri merkezi kullanıcı yönetimi ve kısıtlı erişim yetkileriyle kullanıcılara sağlanmalıdır.

C.18.1.11. Kurumun yedekleme sistemlerine sadece memur ya da danışman yetkili kişi erişim yapmaktadır. Firmaların yapacakları tüm işlemler sistem birimi nezaretinde yürütülmelidir.

C.18.2.1. Kurumun güvenlik cihazlarına ait loglar güvenlik birimi tarafından yönetilmeli ve değerlendirilmelidir. İstendiğinde sistem birimiyle işbirliği içinde raporlar paylaşılmalıdır.

C.18.2.2. Kurumun veri tabanlarına ait loglar veri tabanları birimi tarafından yönetilmeli ve değerlendirilmelidir. İstendiğinde sistem birimiyle işbirliği içinde raporlar paylaşılmalıdır.

C.18.2.3. Kurumun network cihazlarına ait loglar network birimi tarafından yönetilmeli ve değerlendirilmelidir. İstendiğinde sistem birimiyle işbirliği içinde raporlar paylaşılmalıdır.

C.18.2.4. Tüm sunuculara ve servislere sağlanan tüm yönetici erişimleri uzak ve merkezi bir kayıt sunucusuna gönderilmelidir.

C.18.2.5. Merkezi kayıt sunucusu üzerinde yapılan analizler sonucunda başarısız erişimler raporlanmalıdır.

C.18.2.6. Merkezi kayıt sunucusu üzerinde alınan başarısız erişim istekleri uyarı olarak yetkili Birimlere gönderilmelidir.

C.18.2.7. Merkezi kayıt sunucusu üzerindeki başarılı girişler de istatiksel veriler halinde raporlanabilmelidir.

C.18.2.8. Merkezi kayıt sunucusu üzerindeki kayıt verileri belirli tarih aralığında tutulmalı ve istenildiğinde raporlanabilir olmalıdır.

C.18.2.9. Merkezi kayıt sunucusu kayıtlar üzerinde yaptığı analizler doğrultusunda saldırı ve normal olmayan durumları tespit edip, uyarı gönderebilmelidir.

Uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluklara sahip olmalıdır.

İnternet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar VPN teknolojisini kullanmalıdırlar. Bu; veri bütünlüğünün korunması, erişim denetimi, mahremiyet, gizliliğin korunması ve sistem devamlılığını sağlamalıdır. VPN teknolojileri IpSec, SSL, VPDN, PPTP, L2TP vs. protokollerinden birini içermelidir.

Uzaktan erişim güvenliği sıkı şekilde denetlenmelidir. Kontrol tek yönlü şifreleme (one-time password authentication, örnek; Token Device) veya güçlü bir passphrase (uzun şifre) destekli public/private key sistemi kullanılması tavsiye edilmelidir. Daha fazlası için parola politikasına bakınız.

Kurum çalışanları bağlantı bilgilerini hiç kimse ile paylaşmamalıdır.

Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya sözleşme sahipleri bağlantı esnasında aynı anda başka bir ağa bağlı olmamalıdır.

Mobile VPN ile uzaktan erişim, mümkün olan en üst düzeyde güvenlik yapılandırması ile yapılmalıdır.

Kurum ağına uzaktan erişecek bilgisayarların işletim sistemi ve anti virüs yazılımı güncellemeleri yapılmış olmalıdır.

Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri yürütülen projeler üzerinden otomatik olarak alınmalı, yetkiler ve hesap özellikleri buna göre güncellenmelidir.

Uzak erişimde yapılan tüm network hareketleri loglanmalıdır.

Uzak erişim için kullanılacak olan servisler ve protokoller ön tanımlı olmalıdır.

Uzak erişim verilecek olan kullanıcılara sözleşmesine göre günlük saatlik izinler verilmelidir. Sınırsız izin verilmekten kaçınılmalıdır.

VPN ile erişecek olan kullanıcı VPN Erişim formunu doldurmak zorundadır.

Uzak erişim bağlantısında boşta kalma süresi (Herhangi bir işlem yapılmadığı takdirde connection time out süresi) kurumun ihtiyacına göre limitlenmelidir.

Acil erişim yetkilendirme gerektiren durumlarda uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluklara sahip olmalıdır.

Kurum bünyesindeki bütün dahili sunucuların, ağ güvenliği ve şebeke cihazları ile veri tabanı yönetiminden yetkilendirilmiş sistem yöneticileri sorumludur.

Kurum bünyesindeki yazılım ve veri güvenliğini sağlarken yetkilendirilmiş sistem yöneticisi Güvenliği sağlamaktan sorumlu Ağ ve Sistem Güvenliği birimi ile birlikte uyumlu çalışarak sağlamak zorundadır.

Sunuculara ve cihazlara acil erişim yetkilendirilmesi gereken durumlarda; kurum içi kullanıcı, yetkilendirilmiş sistem yöneticisine başvurarak sistem üzerinde yetki istemelidir.

Veri tabanına acil erişim yetkilendirilmesi gereken durumda; kurum içi kullanıcı için erişim yetkilendirmesinde veri tabanı güvenlik politikası maddelerine bakılır.

Acil erişim yetkisi gereken durumlarda kurum dışı kullanıcılar için resmi taahhütname gelmeden uzak erişim yetkisi verme isteği acil erişim gereken birim yetkilisi tarafından verilmelidir.

Başka birimlerden alınması gereken erişim yetkisinin sorumluluğu, isteği yapan birimin yetkilendirilmiş yöneticisinin sorumluluğundadır.

Sistem üzerinde verilecek erişim yetkisi ve bunun doğuracağı sorumluluk sunucu/cihaz üzerinde yetki veren yetkilendirilmiş sistem yöneticisinindir.

Kritik sistemlerde veri güvenliğini sağlamak için sistem yöneticisi gerekli güvenlik tedbirlerini almalıdır. Güvenliği sağlamak için gereken durumlarda başka birimler ile birlikte çalışmalıdır.

Veri tabanlarında bulunan bir veriye acil olarak erişilmesi gerektiğinde, verinin bulunduğu tablonun sahibinden eposta ortamında izin alındıktan sonra erişim izni veri tabanı birimi tarafından verilmelidir.

Kurumun veri merkezinde yedek enerji ve soğutma sistemleri olmalıdır.

Kurumun veri merkezi (Sistem odaları) yangın söndürme sistemlerine sahip olmalıdır. Yangın söndürme çözümleri veri merkezinde bulunan elektronik cihazlara ve personel sağlığına zarar vermeyecek şekilde olmalıdır. Bu yüzden bu özelliğe sahip gazlar kullanılmaktadır. Yangın söndürmede FM200, FE25, Argon ve Novec 1230 gazları kullanılmalıdır.

Kurumun veri merkezi olarak kullanılacak odalarda dışarıya açılan pencere veya kapı (balkon kapısı) bulunmamalıdır. Girişler için sadece tek kapı bulunmalıdır ve bu kapıda da gerekli güvenlik tedbirleri (biometric giriş, card-reader, şifre paneli) alınmış olmalıdır. Veri Merkezine yetkisiz personelin girişi engellenmelidir.

Veri Merkezi 7/24 güvenlik kameraları ile gözetlenmeli ve kayıt altına alınmalıdır. Oluşabilecek istenmeyen bir durumda 7/24 izleme yapan personeller öneme göre sorumlu personelle irtibata geçmeli ya da kendisi veri merkezine müdahale edebilecek yakınlıkta olmalıdır. Veri Merkezinde bulunan iklimlendirme sistemlerinden sızan su sızıntıları, sıcaklık, yangın, voltaj değişimleri ve içeride bulunan havanın neminin izlenmesi amacıyla anlık bilgilendirme yapabilen sistemler ile takip edilmelidir. Bu bilgilendirmeler mail ve ya sms yoluyla sorumlu kişiye iletilebilmelidir.

Veri Merkezi için 7/24 güvenlik personeli bulunmalı ve tesisin fiziksel güvenliğini sağlamalıdır.

Veri Merkezine yapılacak tüm giriş ve çıkışlar kayıt altına alınmalıdır. İlgili personel tarafından, giriş yapan kişilerin bilgileri ayrıca log’lanmalıdır. (imzalı kayıt defteri gibi).

Veri merkezinde çalışacak personeller Veri Merkezi yönetimi konusunda yetkin olmalı ve gerekli durumlarda ilgili personele teknik ve farkındalık eğitimleri verilmelidir.

Veri merkezinde bulunan bütün güvenlik, acil durum ve iklim sistemlerinin periyodik bakımları yapılmalı ve bu bakımlar dokümante edilmelidir.

Veri merkezi içerisinde, sunucu yönetimi uzak masaüstü veya SSH gibi protokoller kullanılarak yapılmalıdır.

Veri merkezi içerisinde, acil durumlarda ya da felaket anında ki görev ve sorumluluklar belirlenerek dokümante edilmelidir.

Veri Merkezi Zemin Döşemesi kablo kanallarına ve soğuk hava akışına imkân verecek şekilde uygun bir yükseklikte (asgari 50 cm) yapılmalıdır. Kullanılacak döşeme malzemeleri kabinlerdeki tam dolu olma durumu göz önünde tutularak 1000 kg kadar basınca dayanabilecek sağlamlıkta seçilmelidir. Günümüz kabinlerinin 1500 kg kadar yük taşıma kapasitelerine sahip olabildikleri göz önünde bulundurulmalıdır. Zemin altında karoları tutan destek ayakları mümkün olduğunca kabin ayaklarının basacağı noktaların altına veya yakınına konarak kabin yüklerinin taşınması kolaylaştırılmalıdır. Kabinlerin sallanması gibi ihtimallere karşı bu ayaklar yerlerinden kolayca oynamayacak ve birbirine destek olabilecek şekilde yerleştirilmelidir. Ayrıca kabinler için Deprem Ayağı da konulmalıdır.

Veri Merkezinde, sunucu kabinler ve kablolama işleri aşağıdaki standartlar çerçevesinde olmalıdır.

C.21.12.1. UTP, fiber ve enerji kablolarını birbirinden ayırmak için kanallar kullanılmalıdır. Kablolar birbirinin manyetiğinden etkilenmemelidir. Yanmaz kablolar tercih önceliğine sahip olmalıdır.

C.21.12.2. Kablo sonlandırmaları olabildiğince sağlıklı yapılmalı gerekirse sonlandırma yapıldıktan sonra kabloda performans ölçme cihazlarıyla test yapılmalıdır.

C.21.12.3. Manyetik alanın yüksek olacağı yerlerde mutlaka fiber kablo kullanılmalı, manyetik alandan etkilenmediği için böyle noktalarda verileri fiber ile taşımalıdır.

C.21.12.4. Kablolar döşenirken kıvrılmalara izin verilmemeli, 90 derecelik keskin dönüşler daha yumuşak şekilde yapılmalıdır. Kabloların kırılmalarını veya dışlarındaki muhafazasına zarar verecek keskin kenarlar üzerinden geçmelerini engelleyecek malzemeler kullanılmalıdır.

C.21.12.5. Kabinler yerde sabit ayaklarda durmaları küçük sarsıntılarda ileri geri hareket etmelerini engelleyecek bir yapı oluşturulmalıdır. Deprem gibi durumlarda devrilme yer değiştirme gibi ihtimaller düşünülerek yerleşim yapılmalı, kablo bağlantıları çok gergin tutulmamalıdır.

C.21.12.6. Kabin kapakları şifreli olmalı yetkisiz personel tarafından açılmamalıdır.

C.21.12.7. Gerek elektrik gerek data kablolarında mutlaka ana bağlantıların yedekli olarak çekilmesine önem verilmelidir. Kabloların yedekliliğinin yanında yedek kabloların sistem odasına farklı bir güzergâhtan girişlerinin sağlanmalıdır.

C.21.12.8. Sunucular doğru şekilde etiketlenmeli, sunucu kabinleri çalışma yapılmadığı zamanlarda kilitlenmelidir. Sunucu kabinlerinde kablolamalar düzgün ve kolayca ayırt edilecek şekilde yapılmalıdır. Bütün kablolar ayrı ayrı etiketlenmelidir.

C.21.12.9. Sunucular arası kablo bağlantıları yer altından yapılmalıdır.

Veri merkezi kurulumunda ve kurulum sonrasında periyodik olarak gerekli testler yapılmalı ve yapılan bu testler dokümante edilmelidir.

Veri tabanı sistemleri envanteri dokümante edilmeli ve bu envanterden sorumlu personel tanımlanmalıdır.

Veri tabanı işletim kuralları belirlenmeli ve dokümante edilmelidir.

Veri tabanı sistem kayıtları tutulmalı ve gerektiğinde idare tarafından izlenmelidir.

Veri tabanında kritik verilere her türlü erişim işlemleri (okuma, değiştirme, silme, ekleme) kaydedilmelidir.

Veri tabanı sistemlerinde tutulan bilgiler sınıflandırılmalı ve uygun yedekleme politikaları oluşturulmalı, yedeklemeden sorumlu sistem yöneticileri belirlenmeli ve yedeklerin düzenli olarak alınması kontrol altında tutulmalıdır. Belirli aralıklarla yedekten geri dönme senaryoları ile backupların güvenirliği test edilmelidir.

Veri tabanı yedekleme planları dokümante edilmelidir. Hangi veri tabanının, hangi yöntem ile hangi gün ve saatte yedeğinin alındığını içermelidir.

Manyetik kartuş, DVD veya CD ortamlarında tutulan log kayıtları en az 2 (iki) yıl süre ile çelik kasa gibi güvenli ortamlarda encrypted olarak saklanmalıdır.

Veri tabanı erişim politikaları kimlik doğrulama ve yetkilendirme usulleri çerçevesinde oluşturulmalıdır.

Hatadan arındırma, bilgileri yedekten dönme kuralları "Acil Durum Yönetimi" politikalarına uygun olarak oluşturulmalı ve dokümante edilmelidir.

Bilgilerin saklandığı sistemler fiziksel güvenliği sağlanmış sistem odalarında tutulmalıdır.

Veri tabanı sistemlerinde oluşacak problemlere yönelik bakım, onarım çalışmalarında yetkili bir personel bilgilendirilmelidir.

Yama ve güncelleme çalışmaları yapılmadan önce bildirimde bulunulmalı ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmelidir.

Bilgi saklama medyaları kurum dışına çıkartılmamalıdır.

Sistem dokümantasyonu güvenli şekilde saklanmalıdır.

İşletme sırasında ortaya çıkan beklenmedik durum ve teknik problemlerde destek için temas edilecek kişiler belirlenmelidir.

Veri tabanı sunucusu sadece ssh, rdp, ssl ve veri tabanının orijinal yönetim yazılımına açık olmalı; bunun dışında ftp, telnet vb. gibi açık metin şifreli bağlantılara kapalı olmalıdır.

Uygulama sunucularından veri tabanına rlogin vb. şekilde erişilememelidir.

Veri tabanı sunucularına erişim şifreleri kapalı bir zarfta imzalı olarak kurumun kasasında saklanmalı ve gereksiz yere açılmamalıdır. Zarfın açılması durumunda ilgili yetkililer bilgilendirilmelidir.

Ara yüzden gelen kullanıcılar bir tabloda saklanmalı, bu tablodaki kullanıcı adı ve şifreleri şifrelenmiş(encrypted) olmalıdır.

Veri tabanı sunucusuna ancak zorunlu hallerde "root" veya "admin" olarak bağlanılmalıdır. Root veya admin şifresi tanımlı kişi/kişilerde olmalıdır.

Bağlanacak kişilerin kendi adına kullanıcı adı verilmeli ve yetkilendirme yapılmalıdır.

Veri tabanlarında yönetici yetkisine sahip (sysdba, sysoper, admin vb.) kullanıcı haklarına hangi kullanıcıların sahip olduğu kontrol edilmelidir.

Veri tabanlarında kullanıcı oluşturulabilmesi için üst idare tarafından hazırlanacak bir taahhütname doldurulmalıdır. Üst idare’ye resmi yazı ile başvurulmalıdır. Veri tabanındaki herhangi bir nesne için yapılacak yetki talepleri, ilgili nesnenin sahibi olan birim sorumlusundan veya proje yöneticisinden yazılı olarak veya e-posta yoluyla yapılmalı ve telefon ile teyit edilmelidir.

Bütün kullanıcıların yaptıkları işlemler kaydedilmelidir.

En üst düzey veri tabanı yöneticiliği yetkisi sadece bir kullanıcıda olmalıdır.

Veri tabanında bulunan farklı şemalara, kendi yetkili kullanıcısı dışındaki diğer kullanıcıların erişmesi engellenmelidir.

Veri tabanı sunucularına internet üzerinden erişimlerde VPN gibi güvenli bağlantılar kullanılmalıdır.

Veri tabanı sunucularına ancak yetkili kullanıcılar erişmelidir.

Veri tabanı sunucularına kod geliştiren kullanıcı dışında diğer kullanıcılar bağlanıp sorgu yapmamalıdır. İstekler ara yüzden sağlanmalıdır. (örnek; Kullanıcılar tablolardan "select" sorgu cümleciklerini yazarak sorgulama yapmamalıdır.

Veri tabanı kullanıcılarının mesai saatleri içerisinde deployment yapmaları engellenmelidir.

Veri tabanı sunucularına giden veri trafiği ağ trafiğini dinleyen casus yazılımların verilere ulaşamaması için mümkünse şifrelenmelidir.

Bütün şifreler düzenli aralıklarla değiştirilmelidir. Şifre belirleme konusunda “Parola Güvenliği Politikası” esas alınmalıdır.

Sisteme giriş denemelerinde maksimum yanlış şifre giriş değeri belirlenmeli, bu değerin aşılması durumunda belirli bir süre kullanıcı hesabı kapatılmalıdır.

Veri tabanı kullanıcıları belirli aralıklarla incelenmeli ve veri tabanının kendi oluşturduğu veya sonradan oluşturulan ama kullanılmayan kullanıcı hesapları belirlenmeli ve kilitlenmelidir.

Veri tabanı sunucuları için yukarıda bahsedilen ve uygulanabilen güvenlik kuralları uygulama sunucuları için de geçerlidir.

Alınan veri tabanı yedekleri disklerdeki doluluk oranına bağlı olarak en azından en son full yedek ve devamındaki incremental yedekleri olacak şekilde saklanmalıdır.

Veri tabanı yedeklerinin başarılı bir şekilde alınıp alınmadığı bilgisi, yedekleme işleminin sonunda otomatik olarak e-posta yoluyla veri tabanı yöneticilerine gönderilmelidir.

Veri tabanı tablo erişim hakları belli aralıklarla denetlenmelidir.

Uygulama kullanıcısı üzerinden gelen DB sorgularının sorguyu yapan uygulama kullanıcısı ile eşleştirilmesi için gerekli altyapı/kodlama sağlanmalıdır.

USB flash diskler ve harici hddler; yüksek veri kapasiteleri, boyutları, taşınabilirlikleri ve farklı sistemlerde sorunsuzca çalışabilmeleri ile yanımızdan hiçbir zaman ayırmadığımız temel ihtiyaçlarımızdandır. Hemen hemen her sistemde çalıştırılabiliyor olmaları nedeniyle de bilgisayarlar arası veri alışverişimizi USB diskler ve harici hddler yardımıyla yapıyoruz.

USB disklerimizi onlarca farklı bilgisayarda kullanıyor, yine bilgisayarımıza onlarca farklı diskin takılmasına izin veriyoruz. Aslında USB diskleri tehlikeli kılan da bu çok da denetimli olmayan taşınabilirlikleri. Taşınabilir medya üzerinden bilgisayara giren zararlı yazılımlar başta bilgi sızdırma, uzaktan komut koşturma ve servis dışı bırakma olmak üzere birçok güvenlik zafiyetine neden olabilmektedir.

Taşınacak veri eğer usb disk ile taşınacaksa bu usb diskin tehdit unsuru olan bir yazılım içermediğine emin olunmalıdır.

Usb disk biçimlendirdikten sonra veriyi kopyalanmalıdır. Aksi takdirde içerisinde tehdit unsuru olan casus yazılımlar usb disk içindeki verinin silinmesine veya başkalarını eline geçmesine neden olabilir.

Taşınacak verinin de tehdit unsuru içeren herhangi bir yazılım içermediğine emin olunmalıdır.

Veriyi ister usb disk isterse de cd, dvd ortamında taşınsın kesinlikle şifrelemelidir.

Veriyi usb disk ile taşıyorsak; bunları bilgisayara takarken usblerin sağlıklı çalıştığından emin olmalıyız. Aksi taktirde aygıtımızın bozulmasına neden olabilir.

Usb diskleri bilgisayardan çıkartırken aygıtı düzenli şekilde çıkart dedikten sonra bilgisayardan çıkartmalıyız aksi taktirde aygıtımız bozulabilir.

Harici taşınabilir disklerin içi mekanik yapıya sahip olduğundan dolayı darbelere karşı çok hassastır. Bu nedenle kullanırken ve taşırken dikkat edilmelidir. Özellikle hard diskler taşınırken koruyucu kılıflar içerisinde taşınmalıdır.

Cd ve dvdlerde veri saklamak için ise kaliteli medyalar kullanmalı, düşük hızla yazdırmalı, alt yüzeye mümkün olduğunca temas etmemeli, nemli, ışık almayan ortamlarda cdleri çok fazla sıkıştırmadan saklamalıdır.

Kötü amaçlı kimselerin bilgilerimize ulaşmasını engellemek için taşınabilir materyallerimizi güvenilir şekilde muhafaza etmeliyiz. Gerekirse kilitli dolaplarda veya çelik kasalarda muhafaza edilmelidir.

Taşınır materyaller çalışma masasında veya bilgisayarda güvensiz şekilde bırakılmamalıdır. Yanımızda, kaybedebileceğimizden dolayı mümkün olduğunca taşınmamalıdır. Eğer taşınıyorsa veri kesinlikle şifrelenmelidir.

Bakanlık politikalarına uygun ihtiyaçlar hızlı ve güvenli bir şekilde sağlanmalıdır.

Yatırım yapılan teknolojilerde üretici bağımsız ve yaygın ürünler tercih edilmelidir.

Bilgi sistemleri ihtiyaçları tam, sorunsuz karşılayacak ürünler tercih edilmelidir.

Tüm bilgi sistemleri ihtiyaçları, kapasite planlaması yapılarak tespit edilmelidir. Gerekli ihtiyaçlar ivedilikle yönetime sunulmalıdır.

Üreticilerden sistemler ile ilgili bakım prosedürleri sağlanmalıdır.

Firma teknik destek elemanlarının bakım yaparken “Sağlık Bakanlığı Bilgi Güvenliği Politikaları” na uygun davranmaları sağlanmalı ve kontrol edilmelidir.

Sistem üzerinde yapılacak değişiklikler ile ilgili olarak "Değişim Yönetimi Politikası" uygulanmalıdır.

Bakım yapıldıktan sonra tüm sistem dokümantasyonu güncellenmelidir.

Sistem bakımlarının ilgili politika ve standartlar tarafından belirlenmiş kurallara aykırı bir sonuç vermediğinden ve güvenlik açıklarına yol açmadığından emin olmak için periyodik uygunluk ve güvenlik testleri yapılmalıdır.

Sistem bakımlarından sonra bir güvenlik açığı oluştuğundan şüphelenilmesi durumunda "Bilgi Güvenliği Politikaları" uyarınca hareket edilmelidir.

Kurum sistemlerinin tamamı (donanım, uygulama yazılımları, paket yazılımlar, işletim sistemleri) periyodik bakım güvencesine alınmalıdır. Bunun için bütçe ayrılmalıdır.

Yüklenici teknik destek elemanlarının bakım yaparken bu kılavuza uygun davranmaları sağlanmalı ve kontrol edilmelidir.

Bilgi sistemleri edinimi ve sistem geliştirmede güvenlik gereksinimi analizi;

C.24.13.1. Kontrol gereksinimlerinin belirtimi bilgi sistemi içerisindeki otomatik kontrolleri ve manüel kontrolleri kapsar. Aynı kontroller iş ihtiyaçları için geliştirilen veya sipariş edilen yazılım paketleri için de dikkate alınmalıdır.

C.24.13.2. Güvenlik gereksinimleri ve kontroller bilgi varlıklarının iş değerini ve güvenlik kaybı veya güvenlik hatalarından kaynaklanan potansiyel iş kayıpları göz önüne alınarak düzenlenmelidir.

C.24.13.3. Bilgi güvenliği için sistem gereksinimleri ve güvenliği uygulama süreçleri bilgi sistemleri projelerinin ilk aşamalarında entegre edilmelidir. Tasarım aşamasında oluşturulan kontrollerin uygulanması ve geliştirilmesi sistemlerin kurulması veya kurulması aşamasından sonraki aşamalardaki uygulanmasından daha az maliyetli olacaktır.

C.24.13.4. Eğer ürünler sipariş edilmiş ise bir test ve edinim süreci takip edilir. Üreticiler ile yapılan sözleşmeler belirlenmiş güvenlik gereksinimlerini karşılamalıdır. Güvenlik fonksiyonlarının gereksinimleri karşılamadığı noktada, satın almadan önce riskler belirlenmeli ve ilgili kontroller oluşturulmalıdır.

Uygulama yazılımlarında giriş verisinin geçerlemesi;

C.24.14.1. Sınır dışı değerler, veri alanlarındaki geçersiz karakterler, kayıp veya eksik veri, üst ve alt değer sınırlarının aşımı, yetkisiz veya tutarsız kontrol verisi gibi hataları gidermek için çift giriş, sınır kontrolü, gibi giriş değeri kontrolleri yapılmalıdır.

C.24.14.2. Anahtar alanların veya veri dosyalarının geçerliliğini ve bütünlüğünü korumak için içeriklerinin periyodik olarak gözden geçirilmesi sağlanmalıdır.

C.24.14.3. Geçerleme hatalarına karşılık olarak izlenecek süreçler belirlenmelidir.

C.24.14.4. Makul girdi verisinin test süreçleri uygulanmalıdır.

C.24.14.5. Veri girişi ile görevlendirilen personelin sorumlulukları belirlenmelidir.

C.24.14.6. Veri giriş prosesi için izleme (log) kayıtları tutulmalıdır.

Uygulama yazılımlarında iç işleyişin kontrolü;

C.24.15.1. Veri değişikliklerini işlemek için ekleme, değiştirme ve silme fonksiyonları kullanılmalıdır.

C.24.15.2. Programların yanlış sırada çalışmasını veya önceki programın hataya düşmesi durumunda sıradaki programın çalışmasını önlemek maksadıyla kontroller yapılmalıdır.

C.24.15.3. Tampon belleğin aşırı işlem/taşma durumunu kullanarak yapılan ataklara karşı koruma sağlanmalıdır.

İç işleyiş ile ilgili kontrol listeleri aşağıdaki hususları dikkate almalıdır;

• İşlem güncellemelerinden sonra veri kütüklerini dengeleyen ve düzenleyen oturum süresince veya toplu kipte yürütülen kontroller,
• Önceki kütük kapatmalarına karşı açma dengelemelerini kontrol etmek için programların çalışması esnasında, kütük güncellemeleri bazında ve programlar bazında yapılan dengeleme ayarları,
• Sistem tarafından üretilen girdi verisinin doğrulanması,
• Merkezi ve uzak sistemler arasında indirilen veya karşı tarafa yüklenen veri veya yazılımın bütünlüğü, yetki durumu ve diğer güvenlik seviyesinin kontrolü,
• Kayıtların ve kütüklerin özetleme algoritmalarının toplamları,
• Uygulama programlarının doğru zamanda çalıştığının kontrolü,
• Programların doğru sırada çalışması, hata durumunda çalışmanın kesilmesi ve sorun çözülünceye kadar çalışmanın durdurulduğunun kontrolü,
• İşlev kapsamındaki faaliyetlerin izleme kayıtlarının (log) yaratılması,
• Uygulamalarda yetkilendirme ve mesaj bütünlüğünün korunması, bu maksatla uygun kontrollerin belirlenmesi.

Uygulama yazılımlarında çıkış verisinin geçerlemesi;

C.24.17.1. Çıktı verisinin uygunluğu kontrol edilmelidir.

C.24.17.2. Tüm verinin işlenmesini sağlanmalıdır.

C.24.17.3. Bilginin doğruluğunu, tam olduğunu, hassasiyetini ve sınıflandırmasını belirtmek maksadıyla yeterli bilgi sağlanmalıdır.

C.24.17.4. Çıktı geçerleme testleri uygulanmalıdır.

C.24.17.5. Çıktı geçerleme testlerinin izleme kayıtları (log) tutulmalıdır.

C.24.17.6. Sağlık bilgi sistemlerindeki çıktıların doğruluğunun taşıdığı hayati önem daima göz önünde bulundurulmalıdır.

Operasyonel sistemlerdeki arızaları en aza indirmek ve güvenli işletim için aşağıdaki hususlara dikkat edilmelidir;

C.24.18.1. Yazılım uygulamaları ve program kütüphanelerinin güncellemesi eğitimli personel tarafından uygun yönetim yetkisi alında yapılmalıdır.

C.24.18.2. Operasyonel sistemler sadece onaylanmış çalıştırılabilir kodları tutar, bu sistemlerde geliştirme kodları veya derleyiciler bulunmamalıdır.

C.24.18.3. Uygulama ve operasyon sistem yazılımları geniş kapsamlı ve başarılı testlerden sonra sisteme yüklenmelidir. Bu testler kullanılabilirlik, güvenlik, diğer sistemler üzerindeki etkiler ve kullanım kolaylığı testlerini içerir ve ayrı sistemlerde uygulanmalıdır. Karşılık gelen program kaynak kütüphanelerinin güncellenmesi sağlanmalıdır.

C.24.18.4. Sistemin konfigürasyonu dokümante edilmeli, uygulanan yazılımların kontrolü için bir konfigürasyon kontrol sistemi oluşturulmalıdır.

C.24.18.5. Değişiklikler yürürlüğe girmeden önce bir geri kurtarma stratejisi belirlenmelidir.

C.24.18.6. Operasyonel program kütüphanelerinin güncellenmesinde izleme kayıtlarının (audit log) tutulması sağlanmalıdır.

C.24.18.7. Beklenmedik durumlar için uygulama yazılımlarının önceki versiyonlar saklanmalıdır.

C.24.18.8. Veri arşivlendiği sürece yazılımların eski versiyonları, gerekli bilgi, parametreler, prosedürler, konfigürasyon detayları ve destek yazılımları ile birlikte arşivlenmelidir.

Operasyonel verinin test verisi olarak kullanılırken güvenliğinin sağlanması;

C.24.19.1. Operasyon sistemi için kullanılan erişim kontrol usulleri test uygulama sistemlerinde de kullanılır.

C.24.19.2. Test sistemine operasyon bilgisinin her kopyalanışında ayrı bir yetkilendirme yapılmalıdır.

C.24.19.3. Test tamamlanmayı müteakip operasyonel bilgi test sisteminden hemen silinmelidir.

C.24.19.4. Operasyonel bilginin kopyalanması ve kullanımının izleme kayıtları (audit log) tutulmalıdır.

C.24.19.5. Sağlık bilgi sistemlerinde saklanan veriler asla test maksatlı olarak kullanılamaz.

Program kaynak kodlarına erişimin kontrolü;

C.24.20.1. Mümkün olduğu takdirde programların kaynak kütüphaneleri operasyonel sistemler üzerinde tutulmaz.

C.24.20.2. Programların kaynak kodları ve kaynak kodu kütüphaneleri kontrol altında bulundurulmalıdır.

C.24.20.3. Destek personeli program kaynak kodu kütüphanelerine sınırsız erişim yetkisine sahip olamaz.

C.24.20.4. Program kaynak kütüphanelerinin, ilgili öğelerin ve program kaynaklarının programcılara yayımı uygun yetkiler alındıktan sonra yapılmalıdır.

C.24.20.5. Program listeleri güvenli bir ortamda saklanmalıdır.

C.24.20.6. Program kaynak kütüphanelerine erişimlerin izleme kayıtları (log) tutulmalıdır.

C.24.20.7. Program kaynak kütüphanelerinin bakımı, kopyalanması sıkı değişim kontrolleri ile kontrol altında bulundurulmalıdır.

Değişim kontrolleri aşağıda belirtilen hususları içermelidir;

C.24.21.1. Kararlaştırılmış yetki seviyelerinin kaydı tutulmalıdır.

C.24.21.2. Değişikliklerin yetkili kullanıcılar tarafından yapılması sağlanmalıdır.

C.24.21.3. Değişikliklerin mevcut durumu tehlikeye atmaması için kontroller ve bütünlük süreçleri gözden geçirilmelidir.

C.24.21.4. İyileştirme gerektiren yazılımın tamamı, bilgi, veri tabanı varlıkları ve donanım belirlenmelidir.

C.24.21.5. İşin başlamasından önce resmi bir onay alınmalıdır.

C.24.21.6. Yetkili kullanıcıların uygulamadan önce değişiklikleri üstlenmeleri sağlanmalıdır.

C.24.21.7. Her değişiklikten sonra sistem dokümantasyonunun güncellenmesi, eski dokümantasyonun arşivlenmesi veya imha edilmesi sağlanmalıdır.

C.24.21.8. Tüm yazılım güncellemeleri için sürüm kontrolü sağlanmalıdır.

C.24.21.9. Tüm değişiklik gereksinimlerinin izleme kayıtları (log) tutulmalıdır.

C.24.21.10. Operasyon dokümanlarının uygun bir şekilde değiştirilmesi sağlanmalıdır.

C.24.21.11. Değişiklik uygulamalarının iş süreçlerini bozmayacak şekilde uygun zamanda yapılması sağlanmalıdır.

İşletim sistemindeki değişikliklerden sonra uygulamaların teknik olarak gözden geçirilmesi;

C.24.22.1. Uygulama kontrollerinin ve bütünlük prosedürlerinin işletim sistemi değişikliklerinden zarar görmediğini garanti etmek için gözden geçirilmesi sağlanmalıdır.

C.24.22.2. Yıllık destek planı ve bütçenin işletim sistemi değişikliğinden kaynaklanan gözden geçirme ve sistem testlerini karşılaması sağlanmalıdır.

C.24.22.3. İş süreklilik planlarında uygun değişikliklerin yapılması sağlanmalıdır.

Yazılım paketlerinde değişiklik yapıldığında aşağıdaki hususlar dikkate alınmalıdır;

C.24.23.1. Yazılım içindeki kontroller ve bütünlüğün tehlikeye düşme riski değerlendirilmelidir.

C.24.23.2. Satıcının izninin alınıp alınmayacağı belirlenmelidir.

C.24.23.3. İhtiyaç duyulan değişikliklerin satıcıdan standart program güncellemesi olarak alınma ihtimali değerlendirilmelidir.

C.24.23.4. Eğer kurum değişiklikler sonucunda ileriki bakımlar için sorumlu olacaksa bunun etkisi değerlendirilmelidir.

Bilgi sızma risklerini kısıtlamak maksadıyla aşağıdaki hususlar dikkate alınmalıdır;

C.24.24.1. Saklı bilgi için gönderilen ortam ve iletişimin taranması sağlanmalıdır.

C.24.24.2. Üçüncü tarafların sistem ve iletişim durumlarından muhtemel bilgi çıkarmalarını azaltmak için bu durumlar maskelenir veya değiştirilmelidir.

C.24.24.3. Yüksek seviyede bütünlük sağlayan sistem ve yazılımlar kullanılmalıdır.

C.24.24.4. Mevcut mevzuat ve düzenlemeler çerçevesinde personel ve sistemin düzenli olarak gözlenmesi sağlanmalıdır.

C.24.24.5. Bilgisayar sistemlerindeki kaynak kullanımı izlenmelidir.

Dışarıdan (dış kaynaktan) sağlanan yazılım geliştirme ile ilgili olarak aşağıda belirtilen konular dikkate alınmalıdır;

• Lisans anlaşmaları, kod mülkiyeti, telif hakları,
• Yürütülen işin kalitesi ve doğruluğuna ait sertifikasyon,
• Üçüncü tarafın başarısız olması durumunda alınacak tedbirler,
• Yapılan işin kalite ve doğruluğunun izlenmesi için yetki,
• Kodun kalitesi ve güvenlik fonksiyonelliği için sözleşme gereksinimleri,
• Kurulumdan önce zararlı ve trojan kodları tespit etmek için test etme.

Teknik açıklıkların kontrolü;

C.24.26.1. Açıklıkları gözleme, açıklık risk belirlemesi, yamalar, varlıkların izlenmesi, gerekli koordinasyon sorumlulukları dâhil teknik açıklıkların yönetimiyle ilgili görevler ve sorumluluklar belirlenmelidir.

C.24.26.2. Teknik açıklıkları belirlemek ve bunlarla ilgili farkındalığı sağlamak için kullanılacak kaynaklar belirlenmelidir. Bu kaynaklar envanter değişikliklerinde veya yeni kaynaklar bulunduğunda güncellenmelidir.

C.24.26.3. Potansiyel teknik açıklık bildirimlerine reaksiyon göstermek için bir zaman çizelgesi oluşturulmalıdır.

C.24.26.4. Potansiyel bir teknik açıklık ortaya çıktığında ilgili riskler ve alınacak tedbirler belirlenmeli böyle bir tedbir açıklık olan sistemlerin yamalanması veya diğer kontrolleri içerebilmelidir.

C.24.26.5. Teknik açıklığın belirlenmesinin aciliyetine bağlı olarak alınan tedbir değişim yönetimiyle ilgili kontrollere göre veya güvenlik ihlali durumunda uygulanacak süreçlere göre devam ettirilmelidir.

C.24.26.6. Eğer yama mevcutsa yamanın oluşturabileceği riskler ile teknik açıklığın riskleri karşılaştırılmalıdır.

C.24.26.7. Yamalar yüklenmeden önce etkinliğini ve tolerans gösterilemeyecek yan etkilerini ortaya koymak maksadıyla test edilmelidir. Eğer yama mevcut değil ise açıklıkla ilgili servisler ve imkânlar kapatılmalı, ağ sınırlarına güvenlik duvarı kurulması gibi erişim kontrolleri ilave ve adapte edilmeli, mevcut atakları önlemek ve tespit etmek için izleme artırılmalı ve açıklığın farkındalığı artırılmalıdır.

C.24.26.8. Uygulanan tüm prosedürler için izleme kaydı (log) tutulmalıdır.

C.24.26.9. Yüksek riskli sistemler öncelikle belirlenmelidir.

C.25.1.1. Veri yedeklemesi kurumun kritik BT işlemlerinden birisidir. Kurum politikasında yedekleme konusu mutlaka yer almalı ve veri yedeklemesi için yönetim prensiplerini ortaya koyan bir politika bulunmalıdır. Kurum verisinin yedekleme işlemleri yedekleme politikasına göre yerine getirilmelidir.

C.25.1.2. Kurumun bütün verisinin, kurum çapında kullanılan işletim sistemlerinin ve uygulamaların tamamının yedeği uygun ve düzenli olarak alınmalıdır.

C.25.1.3. Yedekleme sistemi iş sürekliliği planında yer alan veri yedekleme ihtiyacını karşılamalıdır.

C.25.1.4. Yedeği alınacak veri ve uygulamalar için sınıflandırma yapılmalı ve her bir sınıf için kabul edilmeli veri kaybı süresi belirlenmelidir.

C.25.1.5. Kabul edilir veri kaybı süresi yönetim tarafından onaylanmalıdır.

C.25.1.6. Yedekleme işlemlerinin sağlanması için yedekleme politikasına uygun olarak bir yedekleme planı oluşturulmalıdır.

C.25.1.7. Yedekleme işlerine ait kayıtlar tutulmalıdır.

C.25.1.8. Başarısız olan yedekleme işleri takip edilmeli ve yedeği alınamamış verinin yedeği alınmalıdır.

C.25.1.9. Yedekleme medyaları etiketlenmeli ve hangi medyada hangi yedeğin bulunduğuna dair kayıtlar tutulmalıdır.

C.25.1.10. Yedekleme medyalarının kopyaları alınarak ana sistem odasına zarar verebilecek felaketlerden etkilenmeyecek kadar uzakta ve güvenli olarak depolanmalıdır.

C.25.1.11. Yedeklenmiş verinin düzenli aralıklarla geri döndürme testi yapılmalıdır.

C.25.1.12. Yedekleme altyapısı, yedekleme ve geri döndürme işlemleri için talimatlar hazırlanmalıdır.

C.25.1.13. Yedeklemesi alınacak bilginin seviyesi belirlenmelidir.

C.25.1.14. Yedekleme kopyalarının doğru ve tam kayıtları ve dokümante edilmiş geri yükleme süreçleri sağlanmalıdır.

C.25.1.15. Yedeklemenin türü (tam yedekleme/değişen kayıtların yedeklenmesi), yedeklemenin sıklığı iş gereklerine, güvenlik gereksinimlerine ve bilginin kritiklik derecesine göre belirlenmelidir.

C.25.1.16. Yedeklerin bir kopyası doğal afetlerden ve olası tehlikelerden korumak maksadıyla ana merkezden uzak bir merkezde saklanmalıdır.

C.25.1.17. Yedekleme bilgisine uygun seviyede fiziksel ve çevresel koruma sağlanmalıdır.

C.25.1.18. Herhangi bir tehlike durumunda kullanımını sağlamak maksadıyla yedekleme bilgisi düzenli olarak test edilmelidir.

C.25.1.19. Geri yükleme süreci düzenli olarak kontrol ve test edilmelidir.

C.25.1.20. Gizliliğin önemli olduğu durumlarda yedeklemelerin kriptolu olarak alınması göz önünde bulundurulmalıdır. Bu kapsamda özellikle kişisel sağlık bilgilerinin kriptolu olarak yedeklenmesine dikkat edilmelidir.

C.25.2.1. Kuruluşun karşılaşabileceği risklerin olasılığı, zaman içerisindeki etkisi, kritik iş süreçleri belirlenmelidir.

C.25.2.2. Kritik iş süreçleri kapsamındaki varlıklar belirlenmelidir.

C.25.2.3. Hangi bilgi güvenliği olaylarının iş sürekliliğinde kesintilere neden olduğu ve etkisi araştırılmalıdır.

C.25.2.4. Operasyonel risk yönetiminin olabileceği gibi tüm iş sürekliliği sürecinin bir parçasının sigorta ettirilmesi değerlendirilmelidir.

C.25.2.5. Önleyici ve zararı azaltıcı ilave kontroller uygulanmalıdır.

C.25.2.6. Belirlenmiş bilgi güvenliği gereksinimleri için yeterli finansal, kurumsal, teknik ve çevresel kaynakların tahsis edilmesi sağlanmalıdır.

C.25.2.7. Personel güvenliği, bilgi işleme tesisleri ve kurumsal varlıkların korunması garanti altına alınmalıdır.

C.25.2.8. Kabul görmüş iş sürekliliği stratejisi paralelinde bilgi güvenliği gereksinimlerine işaret eden iş sürekliliği planları formüle ve dokümante edilmelidir.

C.25.2.9. Uygulamaya konulan plan ve süreçlerin düzenli olarak test edilmesi ve güncellenmesi sağlanmalıdır.

C.25.2.10. İş sürekliliği yönetiminin kurumun süreçleri ve yapısı ile birleştirilmesi, iş sürekliliği yönetim sorumluluklarının kurum içerisinde uygun seviyelere atanması konuları göz önüne alınmalıdır.

C.25.2.11. Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme;

    C.25.2.11.1. İş sürekliliği prosedürleri ve tüm sorumluluklar belirlenmelidir.
    C.25.2.11.2. Kabul edilebilir bilgi ve hizmet kayıpları belirlenmelidir.
    C.25.2.11.3. İş operasyonlarının kurtarılması ve yeniden başlatılması için prosedürler uygulanmalıdır.
    C.25.2.11.4. Kurtarma ve yeniden başlatmayla ilgili askıda kalan işlerin tamamlanmasını sağlayan operasyonel prosedürler belirlenmelidir.
    C.25.2.11.5. Kabul görmüş işlev ve prosedürler dokümante edilmelidir.
    C.25.2.11.6. Kriz yönetimi dâhil kabul görmüş işlev ve prosedürlerle ilgili personel eğitilmelidir.
    C.25.2.11.7. Planlar test edilmeli ve güncel bulundurulmalıdır.

C.25.2.12. İş sürekliliği planlarını test etme;

    C.25.2.12.1. Farklı senaryoların masa üstü testleri (örnek kesintiler kullanılarak iş kurtarma düzenlemelerinin tartışılması) yapılmalıdır.
    C.25.2.12.2. Simülasyonlar (özellikle insanların olay/kriz yönetimindeki rolleri ile ilgili eğitimleri) gerçekleştirilmelidir.
    C.25.2.12.3. Teknik kurtarma testleri (bilgi sistemlerinin etkin olarak geri yüklenmesinin sağlanması), yapılmalıdır.
    C.25.2.12.4. Alternatif bir yerde geri yükleme (iş süreçlerinin kurtarma operasyonlarına paralel olarak esas yerden uzakta çalıştırılması) test edilmelidir.
    C.25.2.12.5. Üreticilerin hizmetleri ve kolaylıkları (haricen sağlanan hizmet ve ürünlerin sözleşme hükümlerini karşılamasının sağlanması) test edilmelidir.
  C.25.2.12.6. Tam bir tatbikat (kuruluşun, personelin, malzemenin, tesislerin ve süreçlerin kesintilerin üstesinden gelme durumunun test edilmesi) gerçekleştirilmelidir.
    C.25.2.12.7. Sağlık bilgi sistemlerinde iş sürekliliğinin sağlanmasının taşıdığı hayati önem göz önüne alınarak alınacak tedbirler eksiksiz yerine getirilmelidir.

Bakanlık ve Bağlı Kuruluşlar kendi bünyelerinde oluşturacakları arşivden sorumludur. Evraklar idari ve hukuki hükümlere göre belirlenmiş Evrak Saklama Planı’na uygun olarak muhafaza edilmesi gerekmektedir.

Yasal bekleme süreleri sonunda tasfiyeleri sağlanmalıdır. Burada Özel ve Çok Gizli evraklar “Devlet Arşiv Hizmetleri Yönetmeliği” hükümleri gereği oluşturulan “Evrak İmha Komisyonu” ile karar altına alınmalı ve imha edilecek evraklar kırpma veya yakılarak imhaları yapılmalıdır. İmha edilemeyecek evrak tanımına giren belgeler geri dönüşüme devirleri yapılmalıdır.

Bilgi Teknolojilerinin (Disk Storage Veri tabanı dataları vb.) 14 Mart 2005 Tarihli 25755 sayılı Resmi Gazete ’de yayınlanmış, sonraki yıllarda da çeşitli değişikliklere uğramış katı atıkların kontrolü yönetmeliğine ve Basel Sözleşmesine göre donanımların imha yönetimi gerçekleşmelidir. Komisyonca koşullar sağlanarak donanımlar parçalanıp, yakılıp (Özel kimyasal maddelerle) imha edilmelidir.

İmha işlemi gerçekleşecek materyalin özellik ve cinsine göre imha edilecek lokasyon belirlenmelidir.

Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır.

Yetkilendirilmiş personel tarafından imhası gerçekleşen atıklara data imha tutanağı düzenlenmesi ve bertaraf edilen ürünlerin seri numaraları ve adet bilgisinin data-imha tutanağı düzenlenmelidir.

Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır.

Tamamen tahrip edilememiş disk parçalarının delme, kesme makinaları ile kullanılamaz hale getirilmelidir.

Hacimsel küçültme işlemi için parçalanmalıdır.

Son ürünlerin gruplar halinde fotoğraflanarak ilgili kişi ve/veya kuruma iletilmesi gereklidir.

Çıkan metallerin sınıflarına göre ayrılarak, biriktirildikten sonra eritme tesislerine iletilmesi gerekmelidir.

Kurum içerisinde bilgi güvenliği teknik ve farkındalık eğitimleri için yıllık bir plan yapılmalıdır.

Yıllık planlar çerçevesinde bilgi güvenliği teknik ve farkındalık eğitimleri gerçekleştirilmelidir.

Sunulan bilgi güvenliği teknik ve farkındalık eğitimleri katılım öncesi ve sonrası çeşitli ölçme teknikleriyle ölçülmeli ve eğitim etkililiği hususunda değerlendirme yapılmalıdır.

Kurumların teknik işlerinde (Bilişim faaliyetleri), uygulama geliştirme, sistem güvenliği kapsamında hizmet veren personellerin kişisel gelişimlerinin devamlılığı konusunda eğitimler düzenlenmelidir.

Eğitime katılım formları muhafaza edilmelidir.

Eğitim faaliyetleri işlemlerinin, kurum içerisinde nasıl yürütülmesi gerektiği hususunda bir prosedür geliştirilmelidir.

Bilgi sistemlerinde değişiklik yapmaya yetkili personel ve yetki seviyeleri dokümante edilmelidir.

Yazılım ve donanım envanteri oluşturularak, yazılım sürümleri kontrol edilmelidir.

Herhangi bir sistemde değişiklik yapmadan önce, bu değişiklikten etkilenecek tüm sistem ve uygulamalar belirlenmeli ve dokümante edilmelidir.

Değişiklikler gerçekleştirilmeden önce kurumun ilgili biriminden onay alınmalıdır.

Tüm sistemlere yönelik yapılandırma dokümantasyonu oluşturulmalı, yapılan her değişikliğin bu dokümantasyonda güncellenmesi sağlanarak kurumsal değişiklik yönetimi ve takibi temin edilmelidir.

Planlanan değişiklikler yapılmadan önce yaşanabilecek sorunlar ve geri dönüş planlarına yönelik kapsamlı bir çalışma hazırlanmalı ve ilgili yöneticiler tarafından onaylanması sağlanmalıdır.

Ticari programlarda yapılacak değişiklikler, ilgili üretici tarafından onaylanmış kurallar çerçevesinde gerçekleştirilmelidir.

Teknoloji değişikliklerinin kurumun sistemlerine etkileri belirli aralıklarla gözden geçirilmeli ve dokümante edilmelidir.

Değişiklik yönetimini işletmek için bir talep yönetim sistemi kurmak ve işletmek önemlidir. Talebin nasıl alınacağı ve değerlendirileceği gibi esaslar tanımlanmalıdır.

Değişiklik onayının, “hangi kontroller ne şekilde yapıldıktan sonra verileceği” tanımlanmalıdır.

Değişiklik öncesi test süreci tanımlanmalıdır.

Değişikliğin varlık kritikliğine göre yapılacağı zaman ve yöntemler tanımlanmalıdır.

Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumlarında mutlaka kayıt altına alınmalıdır.

Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin sonlandırılmasını sağlayan uygun bir geri besleme süreci oluşturulmalıdır.

Bilgi güvenliği ihlâli oluşması durumunda kişilerin tüm gerekli faaliyetleri hatırlamasını sağlamak maksadıyla bilgi güvenliği olayı rapor formatı hazırlanmalıdır.

Güvenlik olayının oluşması durumunda olay anında raporlanmalıdır.

İhlali yapan kullanıcı tespit edilmeli ve ihlalin suç unsuru içerip içermediği belirlenmelidir.

Güvenlik ihlaline neden olan çalışanlar, üçüncü taraflarla ilgili resmi bir disiplin sürecine başvurulur.

Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor edilir.

Bilgi sistemi arızaları ve hizmet kayıpları, zararlı kodlar, dos atakları, tamamlanmamış veya yanlış iş verisinden kaynaklanan hatalar, gizlilik ve bütünlük ihlâlleri, bilgi sistemlerinin yanlış kullanımı gibi farklı bilgi güvenliği olaylarını bertaraf edecek tedbirler alınır.

Normal olasılık planlarına ilave olarak olayın tanımı ve sebebinin analizi, önleme, tekrarı önlemek maksadıyla düzeltici tedbirlerin planlanması ve uygulanması, olaylardan etkilenen veya olaylardan kurtulanlarla iletişim, eylemin ilgili otoritelere raporlanması konuları göz önüne alınır.

İç problem analizi, adli incelemeler veya üretici firmadan zararın telafi edilmesi için aynı türdeki olayların izleme kayıtları (log) toplanır ve korunur.

Güvenlik ihlallerinden kurtulmak için gereken eylemler, sistem hatalarının düzeltilmesi hususları dikkate alınır.

Bilgi güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi ile edinilen tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini önleyecek veya yüksek etkili olayların oluşmasını engelleyecektir.

Kanıt toplama; kuruluş içerisinde disiplin faaliyeti için delil toplanırken uygulanacak genel kurallar şunlardır;

• Kanıtın mahkemede kullanılıp kullanılamayacağı ile ilgili kabul edilebilirlik derecesi,
• Kanıtın niteliği ve tamlığını gösteren ağırlığı.

Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, kurum Personel Yönetmeliği gereğince aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulayabilir:

• Uyarma,
• Kınama,
• Para cezası,
• Sözleşme feshi.

Bilgi Güvenliği Sistemi düzenli olarak denetlenmesi sağlanmalıdır.

Kurum yetkilileri tarafından Bilgi Güvenliği İç Denetimleri yapılmalıdır.

Hazırlanacak Bilgi Güvenliği İç Denetim soru listeleri hazırlanmalıdır.

Denetim yapacak personelin Bilgi Güvenliği konusunda yetkilendirilmiş kurumlardan iç denetim eğitimi almaları, denetime katılacak kişilerin iç denetçi sertifikasının olması gerekir.

İç denetimler için bütün birimleri kapsayacak şekilde denetim planı hazırlanmalıdır.

Denetim sonuçları iç denetim raporu şeklinde hazırlanmalı ve üst yönetime sunulmalıdır.

Denetimlerde tespit edilen bulgular için çözüm önerileri geliştirilmelidir.

Bir sonraki yapılacak iç denetimlerde, bir önceki tespit edilen bulguların çözümlenip çözümlenmediği hususunda takip yapılmalıdır.

Kılavuzda belirtilen standartların uygulanmasının kontrolleri hususunda yıllık plan yapılmalı, bu plan ile takvim günleri belirlenmelidir.

Belirlenen yıllık plana uygun olarak kullanıcı seviyesinde, yöneticiler seviyesinde, sistem yürütücü ekip seviyesinde, makineler seviyesinde, network seviyesinde gerekli kontroller, testler yapılmalıdır.

Yapılan kontrol, testler sonucunda çıkan sonuçlar puanlandırılarak raporlanmalıdır. Rapor içeriğindeki ilgili bölümlerin puanlandırma seviyesine göre gerekli hallerde ek farkındalık eğitimleri, seminerler verilmelidir. Makine ve network sistemi için gerekli görülen ek ayar düzeltmeleri yapılmalıdır.

Puanlandırma sisteminin oluşturulmasında sahadan Bilgi Güvenliği Kılavuzuna uygun olarak oluşturulmuş formlara belirlenecek personel tarafından veri bildirimleri girdirilmeli ve bu formlara uygun olarak yılın belirlenecek zamanlarında formlara uygun olarak oluşturulacak puanlamaların fiziksel kontrolleri sağlanmalıdır.

Yapılacak kontroller ve testler ISO 27001 sistemine, TÜBİTAK UEKAE, Siber Güvenlik Enstitüsü standartlarına bağlı kalınarak yürütülmelidir.

Acil durumlar için acil durum ekibi belirlenmelidir ve eğitilmelidir. Acil durum ekibi ve görev tanımları aşağıda belirtilmiştir;

C.32.1.1. Ekip başı:

    • Paniğe engel olur.
    • Acil durumlarda müdahale şeklini belirler ve yönetir.
    • Acil durumda hemen müdahale edilmesi için tedbir ve takviye için talimatlar verir.
    • Ekibindeki kişilerin güvenliğini sağlar.
    • Olay yerine gelen itfaiye, emniyet, ambulans vs. ye gereken tüm bilgileri verir.
    • Kendi ekibi ile gelen takviye ekiplerin uyumlu çalışmasını sağlar.

C.32.1.2. Haberci:

    • Acil durum ihbarı gelmesi ile tüm dahili ve harici ilgisiz telefon görüşmelerini kestirir.
    • İlgili tüm birimlere bilgi verir.
    • Jandarma ve emniyet ile temasa geçerek dış kargaşaların önlenmesini sağlar.(gerekliyse)
    • Varsa yaralılar hakkında hastanelere bilgi aktarır.
    • Ekip başının talimatlarını uygular.

C.32.1.3. Müdahale ekibi ve yardımcıları:

    • Ekip başının talimatlarıyla olaylara müdahale ederler.
    • Olaya müdahalede can güvenliğini ön plana alırlar.
    • Olayla ilgili gelen ekiplerin talimatına göre görevine devam ederler.
    • Can kurtarma ve enkaz kaldırma çalışmalarına yardımcı olurlar.

C.32.1.4. Kurtarıcı:

    • Acil durum ihbarı ile kurumun toplanma bölgesinde bulunur.
    • Olay mahallinde önce can olmak üzere kurtarma çalışmaları yapar.
    • Kurtarma çalışmalarına katılan diğer tüm insanlara kılavuzluk yapar.
    • Olaya müdahale çalışmalarında görevli diğer tüm ekiplerle işbirliği halinde çalışır.

C.32.1.5. Koruyucu:

    • Olay bölgesine lüzumsuz araç girişlerini önler.
    • Çalışmalara katılmak üzere gelen yardımcı ekiplere yol gösterir.
    • Görevlilerin dışındaki insanların olay mahalline girmelerine engel olur.
    • Acil duruma müdahale çalışmalarında görevli diğer tüm ekiplerle işbirliği halinde çalışır.

C.32.1.6. İlkyardımcı:

    • Acil durum ihbarına göre sağlık - ilkyardım malzemeleri ve sedye ile toplanma bölgesinde ilkyardıma hazır olur.
    • İlkyardımı kurallarına göre çok seri ve dikkatli yapar.

Acil durum eylem planı oluşturulmalıdır.

Acil durum planlarının ihtiyaç olmaksızın test edilmesi gerekmektedir.

Acil durum eylem planı test programından elde edilen bulgular, prosedürlere, dokümantasyona ve bir sonraki eğitime dahil edilmelidir.

Olay Yönetimi (Acil Durum Planlaması) aşağıdaki prosedürleri içermelidir;

C.32.5.1. Olayın başka bir etkisi olmaması için kaynak sınırlandırılmalı veya ayrılmalıdır.

C.32.5.2. Olay ve önemi; açıklıklar ve sızılan kaynakların tespit ile belirlenmelidir.

C.32.5.3. Taktik olarak olaydan dolayı ortaya çıkan etkilerin neden olduğu (Organizasyon Öncelikler ve en uygun durum dikkate alınarak), zararın yayılması engellenmelidir.

C.32.5.4. Olayın tekrar gerçekleşmesinin önlenmesi öncelikli hedeftir( PUKÖ Modeline uygun olarak), ardından Düzeltici Eylemler gerçekleştirilebilir.

C.32.5.5. Düzeltici Eylemlerde iletişimin etkileneceği hesaba katılmalıdır.

C.32.5.6. Bilgi Güvenlik Yönetimine, dahili olarak olay hemen raporlanmalıdır.

Olayın belirlenmesi ve Düzenleyici Eylem Prosedürleri, Problemin kaynağı olabilecek tüm deliller, herhangi bir ihlalin meydana gelme olasılığına karşı toplanmalıdır.

Bilgi Güvenliği Yetkilisi, daha sonra ihtiyaç olabilecek kanıtlanabilir delillerin toplanması konusunda eğitimli olmalıdır.

“Gizlilik” uygulamasının amacı, kamu kurum ve kuruluşlarının güvenliğini sağlamak, yürütülen işlemlerin ve muhafaza edilen her türlü gizlilik dereceli, bilgi, belge, evrak, doküman ve malzemelerin, düşman veya yetkili ve ilgili olmayan kimseler tarafından öğrenilmesine veya elde edilmesine engel olmaktır. Bu amaca ulaşmak için yapılan bütün düzenlemelere ve alınan bütün önlemlere” güvenlik tedbirleri” denir.

Taşınılabilir materyaller üzerine iletilen verinin içeriği ile ilgili herhangi bir şey yazmamalıdır. Genel başlıklar kullanmalıdır. Örneğin gizli evrakların bulunduğu bir cd üzerine “gizli evraklar” yazılmamalıdır.

İçinde veri bulunan taşınır materyal başka bir yere gönderiyorsa tutanak ile yetkili bir kişiye teslim edilmelidir.

Harici taşınabilir disklerin içi mekanik yapıya sahip olduğundan dolayı darbelere karşı çok hassastır. Bu nedenle kullanırken ve taşırken dikkat edilmelidir. Örneğin özellikle hard diskler taşınırken koruyucu kılıflar içerisinde taşınmalıdır.

Çok gizli evraklar, torba veya çanta gibi kilitli muhafaza içinde ve “Çok Gizli” gizlilik dereceli güvenlik belgesi olan özel kurye ile gönderilirler. Eğer normal kargo ile gönderilmesi zorunlu ise, içerik uygun bir şekilde kripto edilir (şifrelenir). Dışarıdan kargonun takip edilmemesi için kargo takip numarasının maskelenmesi yapılmalıdır.

Gizli evraklar veya cd, dvd, usb bellekler gönderilirken, iki adet zarf kullanmalıdır. Birinci zarfın üzerine içeriğin niteliğine göre sınıflandırılmalı ve zarfın kapağı mühürlenmelidir. İkinci zarf ise normal adres yazılan zarf olmalıdır. “GİZLİ” yazılı olan zarf diğer normal zarfın içine koyulmalıdır.

Sosyal mühendislik, normalde insanların tanımadıkları birisi için yapmayacakları şeyleri yapmalarını sağlama sanatı olarak tanımlanmaktadır. Başka bir tanım ise; İnsanoğlunun zaaflarını kullanarak istediğiniz bilgiyi, veriyi elde etme sanatına sosyal mühendislik denir. Sosyal mühendisler teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanların zaaflarından faydalanıp, en çok etkileme ve ikna yöntemlerini kullanırlar.

Taşıdığınız ve işlediğiniz verilerin öneminin bilincinde olunmalıdır.

Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edilmelidir.

Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edilmelidir.

Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgileriniz paylaşılmamalıdır.

Şifre kişiye özel bilgidir. Sistem yöneticiniz dahil telefonda veya e-posta ile şifrenizi paylaşmamalısınız. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapabilmelidir.

Oluşturulan dosyaya erişecek kişiler ve hakları “bilmesi gereken” prensibine göre belirlenmelidir.

Erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır.

Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır.

Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir.

Kazaa, emule gibi dosya paylaşım yazılımları kullanılmamalıdır.

Sosyal medya hesaplarına giriş için kullanılan şifreler ile kurum içinde kullanılan şifreler farklı olmalıdır.

Kurum içi bilgiler sosyal medyada paylaşılmamalıdır.

Kuruma ait hiçbir gizli bilgi, yazı sosyal medyada paylaşılmamalıdır.

Kılavuzun 2. versiyonunda yazılacaktır.

Kılavuzun 2. versiyonunda yazılacaktır.