PROSEDÜR. Bu Prosedürün yürütülmesinden Veri sorumlusu irtibat kişisi ve KVKK Kurulu sorumludur.

Transkript

1 Sayfa : 1/1 1. AMAÇ VE KAPSAM Bu Prosedür, 6698 Sayılı Kişisel Verilerin korunmasına ilişkin kanun kapsamında Kişisel verilerin korunması ve güvenliğinin sağlanmasına ilişkin kuralları içermektedir. 2. SORUMLULUK VE YETKİ Bu Prosedürün yürütülmesinden Veri sorumlusu irtibat kişisi ve KVKK Kurulu sorumludur. 3. UYGULAMA 6698 Sayılı Kanunun 22.Maddesinin 1.nolu fıkrasının ç ve e bentleri uyarınca Özel Nitelikli Kişisel verilerin işlenmesine yönelik KVKK Kurulu tarafından düzenlemeler gerçekleştirilmiştir. Buradan hareketle, Verilere erişim yetkisine sahip kullanıcıların yetki kapsamı ve sürelerinin net olarak tanımlanması Periyodik olarak yetki kontrollerinin gerçekleştirilmesi Görev değişikliği yada işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması,bu kapsamda veri sorumlusu tarafından kendisine verilen envanterin iade alınması gerekmektedir. Özel Nitelikli verilerin işlendiği ortamlar elektronik ortamlar ise Verilerin Kriptografik yöntemler kullanılarak muhafaza edilmesi Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması Veriler üzerinde gerçekleştirilen tüm hareketlere ilişkin işlem kayıtlarının güvenli olarak loglanması Verilerin bulunduğu ortamlara ilişkin güvenlik güncellemelerinin sürekli takip edilmesi,gerekli güvenlik testlerinin sürekli olarak yapılması/yaptırılması,test sonuçlarının kayıt altına alınması Verilere bir yazılım aracılığı ile erişiliyorsa,bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması,bu yazılımların güvenlik testlerinin yapılması/yaptırılması,,test sonuçlarının kayıt altına alınması

2 Sayfa : 2/1 Verilere uzaktan erişim gerekiyorsaen az iki kademeli kimlik doğrulama sisteminin sağlanması Özel Nitelikli verilerin işlendiği ortamlar Fiziksel ortamlar ise Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin alındığından emin olunması Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerekmektedir. Özel Nitelikli Kişisel Veriler aktarılacaksa Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle,veya kayıtlı elektronik posta (KEP) hesabı kullanılarak aktarılması Taşınabilir bellek,cd,dvd gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamlarda tutulması Farklı Fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa sunucular arasında VPN kurularak vea sftp yöntemiyle veri aktarımının gerçekleştirilmesi Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması,kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilmesi Gerekmektedir. Yurtiçi Lojistik A.Ş. de Sistem Güvenliği Politikaları; İnternet Erişimi ve Güvenliği, VPN Erişim Güvenliği,İç Kullanım ve Sistem Yönetimi olmak üzere başlıklar altında incelenir ve belirlenir. Donanım ve Yazılım İnternet Erişim Güvenliği İnternet bağlantısı sırasındaki güvenliği sağlamak amacıyla donanımsal firewall kullanılır. Bu firewall'a bağlı üç adet network bağlantısı bulunur. Bağlantılardan biri Internet'e, ikincisi dahili network yapısına, üçüncüsü ise internet ile dahili network arasındaki mail DNS, Web Server gibi gerekli sunuculara tanımlanır. Firewall Internet te bulunan yetkisiz kullanıcıların lokal network ağına erişmelerini engeller. İnternet erişiminde ekstra güvenlik amacı ile Proxy Server kullanılır. Proxy Server lokal network ile firewall arasında çalışarak kullanıcı tanımlarını kontrol eder.

3 Sayfa : 3/1 Güvenlik nedeniyle, yarı geçişli bölge üzerindeki sunucularda LAN yöneticileri için hak tanımlanmaz. Böylece yarı geçişli bölgeden, iç network e ve iç network den dışarıya erişim kontrol altına alınır. VPN Erişim Güvenliği Yurtiçi Lojistik Servisi A.Ş. de Sanal Özel Şebeke kapsamına giren cihazlar; Güvenlik Duvarları (Netscreen ISG1000, PaloAlto, Cisco ASA) Cisco VPN (Sanal Özel Şebeke) Client Sanal Özel Şebeke nin amacı Internet üzerinden şirket içerisinde Sistemlere erişim gereksinimi duyan personel için oluşturulmuştur. VPN erişimi ihtiyacı duyan ilgili personel bağlı bulunmuş olduğu departmanın ilgili sorumlusu tarafından talebin karşılanması amacıyla Helpdesk (Yardım Masası) e mesaj atarak talepte bulunur. Gelen talep Sistem Yönetim Müdür ve/veya Sistem Yönetim Müdür Yardımcısı tarafından değerlendirildikten sonra gerekli tanımlama Sistem Yönetim Uzmanı tarafından karşılanır ve geri bildirimde bulunur. Talebin olumsuz sonuçlanması durumunda ise Sistem Yönetim Müdür ve/veya Sistem Yönetim Müdür Yardımcısı gereçleri ile ilgili talebi oluşturan ilgili birim Yöneticisine geri bildirimde bulunur. Personel bu sayede uzak lokasyondan ihtiyaç duymuş olduğu sistem ve servislere erişebilir, gerekli çalışması yapabilir durumda olacaktır. Masaüstü, Mobil, El Cihazlarında Sanal Özel Şebekeye bağlantı imkanı sağlayan servis işletim sisteminde gerekli ayarların yapılması ile beraber, merkez tarafında da ilgili güvenlik duvarında Sanal Ağ Şebekesi kurulma imkanı sağlamaktadır. Sanal Özel Şebeke güvenli bir platform kullanarak Internet üzerinde de Güvenli bir bağlantı sağlamayı amaçlamaktadır. İç Kullanım Güvenliği Güvenliğin sağlanması ve dosya erişimlerinin gözlemlenebilmesi için Windows 2003 ve 2008 sunucularda, Microsoft un disk lerde güvenli alan tanımı (NTFS) kullanılır. NTFS ile tüm kullanıcılar, sistem yöneticisi tarafından tanımlanan haklar seviyesinde diskdeki bilgilere erişir.

4 Sayfa : 4/1 Kullanıcılar, sunucu üzerinde paylaştırma veya hak değiştirme işlemi yapamazlar. Bu işlemin elle yapılması ve güvenlik gediği oluşturma riskinin bulunması nedeniyle, bu tür işlemler talep edilerek onay alınması durumunda sistem yöneticisi tarafından yapılır. Bütün kullanıcılar değerli ve gizli verilerini veri sunucusu üzerinde kendilerine ayrılan dizinde saklar. Kullanıcıların güvenlik gediklerine neden olabilecek herhangi bir servisi (FTP vb.) çalıştırmalarına izin verilmez. Kullanıcılar için 3 tür şifre tanımlanır. Kargo Otomasyonunda şifre tanımı Bilgi Sistemleri Sistem Destek Grubu tarafından yapılır. İşletim sistemi ve elektronik posta sistemi, intranet üzerindeki kaynaklara erişebilme yetkilendirmesi ise YK BS Sistem Yönetim tarafından yetkilendirilmiş kullanıcılar tarafından yapılır. Network kaynaklarını kullanmak için tanımlanan şifre en az 6 karakterdir. Kullanıcı şifreyi kendisi tanımlar ve sadece kendisi bilir. Şifreler 90 gün sonra otomatik olarak süresini doldurur ve sistem tekrar kullanıcıdan yeni şifre girmesini bekler. Girmiş olduğu son beş şifreyi kullanamaz.oracle ERP kullanıcı şifreleri ERP sistem yöneticileri tarafından, yetkilendirilmiş kullanıcılara sağlanır. Sistem yöneticisi tarafından değiştirilen şifrelerin, kullanıcılar tarafından sisteme ilk girişlerde değiştirilmesi gerekir. Sistem yönetcisi tarafından verilen kullanıcı adı ve şifre, portal,erp ve discoverer yazılımlarına erişim sağlar. Sistem Yönetim Güvenliği Sunucular üzerine yüklenen her yazılımın yasallığı, virüs taşıyıp taşımadığı, sistem üzerinde güvenlik gediği oluşturma riski olup olmadığı, kurulmadan önce, test sistemleri üzerinde kontrol edilir. Yönetici şifreleri karmaşık olmalı, içlerinde büyük harfler, küçük harfler, rakamlar ve izin verilen noktalama işaretleri bulunmalı, uzunluğu da en az 6 karakter olmalıdır. Gereksiz olan WEB, FTP, GOPHER, TELNET gibi servisler sunucuların üzerinden silinir. Guest (Misafir) kullanıcı tanımı bütün sunucularda Disabled durumunda tanımlanır. Bütün sunucuların ROOT ve WINDOWS dizinleri GUEST ve EVERYONE erişimine kapatılır. Kritik verilerin ve uygulama sunucularının izlenmesi Audit Administrator tarafından yapılır. Sunucularda tüm loglar 7 gün dolduğunda en eskisinden başlamak üzere otomatik olarak silinir. Bütün sunucular, çevre birimleri ile birlikte, güvenliği sağlanmış sistem odasında muhafaza edilir. Bu odanın bakımının yapılması yetkili gözetiminde sağlanır.

5 Sayfa : 5/1 Yedekler ve yedekleme üniteleri güvenli bir ortamda saklanır. Yedekleme sistemine bağlı olarak kartuşlar, Yedekleme Prosedüründe belirtildiği üzere Arıkanlı Holding Finans kasasında saklanır. Sunucular, hafta içi ve haftasonu sürekli açıktır. Ancak 2 günü geçen tatillerde Bilgi Sistemleri Genel Müdür Yardımcısından aksine bir talimat gelmediği sürece sunucular ve diğer network elemanları kapatılır. Merkezi sistemler elektriksel sorunlara karşı UPS ile beslenir. Elektrik kesintisine karşı Jenaratör sistemi devreye girerek sistemi besler. Bölge Müdürlükleri ve şubelerde UPS ile sistem güvenliği sağlanır. Sistem Odası Şartlar ve Kontroller Sistem Odasının yangın, giriş yetki, ortam sıcaklığı, fiziksel güvenlik gibi şartları teknik şartname ve sözleşmede tanımlanır. Şartların uygunluğu sözleşme hükümlerine uygun olarak Sistem Yönetimi Müdürlüğü tarafından kontrol edilir. Yedekleme Yedekler periyodik olarak HP Data Protector Backup programı ile alınır.yedekleme süreçleri Yedekleme Talimatında detaylı olarak anlatılmıştır. Server Kurulum ve Konfigurasyon Fiziksel güvenlik: Kurumun binalarının fiziksel olarak korunması, farklı koruma mekanizmaları ile donatılması temin edilmelidir. Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binalarda ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanmalı ve erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları teşkil edilmelidir. Kurum dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi yetkili güvenlik görevlileri gözetiminde gerçekleştirilmelidir. Kritik bilgilerin bulunduğu alanlara girişlerin kontrolü akıllı kartlar veya farklı sistemler ile yapılmalı ve izlenmelidir. Tanımlanan farklı güvenlik bölgelerine erişim yetkilerinin güncelliği sağlanmalıdır. Personel kimliği ve yetkilerini belirten kartların ve ziyaretçi kartlarının düzenli olarak taşınması sağlanmalıdır. Kritik sistemler özel sistem odalarında tutulmalıdır. Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzer felaketlere karşı koruma altına alınmalıdır.

6 Sayfa : 6/1 Fotokopi, yazıcı vs türü cihazlar mesai saatleri dışında kullanıma kapatılmalı, mesai saatleri içerisinde yetkisiz kullanıma karşı koruma altına alınmalıdır. Kuruma giriş yapacak ziyaretçi veya kurye teslimatların, gerekli fiziksel güvenlik kontrollerinden geçirildikten sonra geçişine izin verilmelidir. Çalışma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması temin edilmelidir. Sistem odaları ve Ana Kapı Girişi Log kayıtları tutulmaktadır. Fotoğraf, video, ses vb kayıt cihazlarının yetki verilmeyen kişiler tarafından güvenli alanlara sokulmasının yasaklanmalıdır. Veri tabanı güvenliği: Veri tabanı sistemleri envanteri ve bu envanterden sorumlu personel tanımlanmalı ve dokümante edilmelidir. Veritabanı işletim kuralları belirlenmeli ve dokümante edilmelidir. Veritabanı sistem logları tutulmalı ve izlenmelidir. Veritabanı sistemlerinde tutulan bilgiler sınıflandırılmalı ve uygun yedekleme politikaları oluşturulmalı, yedeklemeden sorumlu sistem yöneticileri belirlenmeli ve yedeklerin düzenli alınması kontrol altında tutulmalıdır. Yedekleme planları dokümante edilmelidir. Veritabanı erişim politikaları kimlik doğrulama ve yetkilendirme politikaları çerçevesinde oluşturulmalıdır. Hatadan arındırma, bilgileri yedekten dönme kuralları acil durum yönetimi politikalarına uygun olarak oluşturulmalı ve dokümante edilmelidir. Bilgilerin saklandığı sistemler fiziksel güvenliği sağlanmış sistem odalarında tutulmalıdır. Veritabanı sistemlerinde oluşacak problemlere yönelik bakım, onarım çalışmaları yetkili bir personel gözetiminde yapılmalıdır. Yama ve güncelleme çalışmaları yapılmadan önce bildirimde bulunulmalı ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmelidir. Bilgi saklama ortamlarının kurum dışına çıkarılması için yetkilendirme yapılması ve bu durumun izleme takip amacıyla kaydedilmesi gerekir. Sistem dokümantasyonu güvenli şekilde saklanmalıdır. Işletme sırasında ortaya çıkan beklenmedik durum ve teknik problemlerde destek için kurulacak temaslar belirlenmelidir.

7 Sayfa : 7/1 Sunucu güvenliği Sahip Olma ve Sorumluluklar Kurum bünyesindeki bütün dahili sunucuların yönetiminden sistem yöneticileri sorumludur. Sunucu konfigurasyonları sadece bu grup tarafından yapılacaktır. Bütün sunucular ilgili kurumun yönetim sistemine kayıt olmalıdır. En az aşağıdaki bilgileri içermelidir... Sunucuların yeri ve sorumlu kişi... Donanım ve işletim sistemi... Ana görevi ve üzerinde çalışan uygulamalar... Işletim sistemi versiyonları ve yamalar. Genel Konfigurasyon Kuralları İşletim sistemi konfigürasyonları Bilgi Işlem talimatlarına göre yapılmaktadır. Kullanılmayan servisler ve uygulamalar kapatılmaktadır. Sunucu üzerinde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının ve anti-virüs vb. koruma amaçlı yazılımların sürekli güncellenmesi sağlanmaktadır. Yama ve anti virüs güncellemeleri otomatik olarak yazılımlar tarafından yapılmakta, ancak değişiklik yönetimi kuralları çerçevesinde bir onay ve test mekanizmasından geçirildikten sonra uygulanmaktadır. Uygulama erişimleri için standart güvenlik prensiplerini çalıştırılması, gereksiz servislerin açılmaması gerekmektedir. Sistem yöneticileri gerekli olmadığı durumlar dışında Administrator ve root gibi genel kullanıcı hesapları kullanmamalı, gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmalıdır. Genel yönetici hesapları yeniden adlandırılmalıdır. Gerekli olduğunda önce kendi hesapları ile log-on olup, daha sonra genel yönetici hesaplarına geçiş yapmalıdırlar. Ayrıcalıklı bağlantılar teknik olarak mümkünse güvenli kanal (SSH veya IPSec VPN gibi şifrelenmiş ağ) üzerinden yapılmalıdır. Gözlemleme Kritik sistemlerde oluşan bütün güvenlikle ilgili olaylar loglanmalıdır ve aşağıdaki şekilde saklanmaktadır:.. Bütün güvenlikle ilgili loglar minimum 1 hafta saklanmaktadırdır ve online olarak erişilmektedir... Aylık full backuplar en az 6 ay tutulmaktadır. Güvenlikle ilgili loglar sorumlu kişi tarafından değerlendirilmektedir. Güvenlikle ilgili olaylar aşağıdaki gibi düzenlenmektedir:.. Port tarama atakları... Yetkisiz kişilerin ayrıcalıklı hesaplara erişmeye çalışması... Sunucuda meydana gelen mevcut uygulama ile alakalı olmayan anormal olaylar.

8 Sayfa : 8/1 Şifreleme Güvenliği Yurtiçi Lojistik Bilgi Güvenliği Politikaları içerisindeki Şifre Politikasında Şifreleme Süreçleri anlatılmaktadır. YURTİÇİ LOJİSTİK ERİŞİM KONTROL POLİTİKASI a) Kurum ve firma arasında şifreli iletişim hatları kullanılacaktır; internet üzerinden kurumun herhangi bir yerindeki bilgisayara erişen kişi veya kurumlar VPN teknolojisini kullanacaklardır. b) Uzaktan erişilen yer mutlaka statik IP ye sahip olmalı ve bu IP kurumun güvenlik cihazlarında tanımlanmış olmalıdır. c) Firma uzaktan kimlerin hangi rollerde kurum bilgisayarlarına eriştiğini belirtecek ve ayrıca ilgili kişilerin bilgisayarlara erişimde kullandığı kullanıcı adı ve şifreleri kurumdaki en üst yetkiliye teslim edecektir. d) Kullanıcıların erişim şifreleri en az 4 ayda bir değiştirilecektir. Verilen şifreler kurumun şifreleme politikasına uygun olacaktır. e) Firma, kurumun hiçbir bilgisini görüntüleyemez, ekran çıktısını alamaz, transfer edemez ve kurum dışına çıkartamaz. Aksi takdirde oluşacak yasal yükümlülüklerden firma sorumlu olacaktır. f) Uzaktan erişim için mümkünse tek yönlü şifreleme veya güçlü bir uzun şifre destekli ppublic/private key sistemi kullanılması tavsiye edilmektedir. g) Firma çalışanları hiçbir şekilde kendilerinin login şifrelerini aile bireyleri dahil olmak üzere hiç kimseye veremezler h) Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar bağlantı esnasında aynı anda başka bir ağa bağlı olmadıklarından emin olmalıdırlar. i) Uzaktan bağlanan kişi makinasında zararlı kod, truva atı, vs. olduğundan şüpheleniyorsa bağlantıyı gerçekleştirmemelidir. j) Uzaktan erişim yöntemi ile kuruma erişen bilgisayar ağında güvenlik tedbirleri alınmış olmalıdır.(örn, firewall, Domain altyapısı vs.) k) Kurum ağına standart dışı erişim isteğinde bulunan organizasyon veya kişiler kurumun bilgi işlem biriminden izin almak zorundadırlar. l) Firma, periyodik olarak kullanıcı kimlikleri ve hesapları kontrol etmeli gereksiz kullanıcı kimlikleri ve hesapları kaldırılmalıdır. m) Firma, kurum ile hassas veriye erişim hakkında gizlilik anlaşması imzalamalıdır. n) Kurum, firmanın alması gereken güvenlik tedbirlerinde herhangi bir aksaklık gördüğünde kurum ve firma arasındaki uzaktan erişim bağlantısını eksiklik düzeltilinceye kadar kesebilir.

9 Sayfa : 9/1 o) Kurum güvenli erişimin sağlanabilmesi için gerekli gördüğü takdirde firmanın sadece belli zaman aralıklarında veya istek yapılan durumda uzaktan erişimine izin verebilir.