Veri Güvenliği ve Gizliliği İlkeleri IBM Bulut Hizmetleri

Transkript

1 Veri Güvenliği ve Gizliliği İlkeleri IBM Bulut Hizmetleri

2 2 Veri Güvenliği ve Gizliliği İlkeleri: IBM Bulut Hizmetleri İçindekiler 2 Genel Bakış 3 Yönetişim 3 Güvenlik İlkeleri 3 Erişim, Müdahale, Aktarma ve Ayırma Denetimi 4 Hizmet Bütünlüğü ve Sağlanabilirlik Denetimleri 4 Etkinlik Günlüğü ve Girdi Denetimi 4 Fiziksel Güvenlik ve Giriş Denetimi 4 Sipariş Denetimi 4 Uyumluluk 5 Üçüncü Kişi Alt İşleyicileri Genel Bakış IBM bulut hizmetleri, altyapı, platform ve yazılım olanaklarını içerir. Teknik ve organizasyonel güvenlik ve gizlilik önlemleri, her bulut hizmeti için, ilgili hizmetin mimarisine, kullanım amacına ve sağlanan hizmet tipine göre IBM ilkesine uygun olarak uygulanır. Şekil 1'de her hizmet tipine ilişkin genel sorumluluk ayrımı gösterilmektedir. IaaS Açıklama Şekil 1: IBM bulut hizmeti olanağı tipleri IBM Hizmet Olarak Sunulan (IaaS) olanakları, müşterilerin, üzerlerinde kendi tercih ettikleri işletim sistemleri, çalıştırma zamanları, ara katman yazılımları ve uygulamalar gibi yazılımları devreye alabileceği ve çalıştırabileceği bilgi işlem kaynaklarını sağlar. Hizmet Olarak Sunulan müşterileri, fiziksel olmayan veri güvenliği ve gizliliği önlemlerinin uygulanması ve yönetilmesi dahil olmak üzere Hizmet Olarak Sunulan çözümü üzerinde devreye aldıkları uygulamalardan, içerikten, çalıştırma zamanlarından, ara katman yazılımlarından ve işletim sistemlerinden sorumludurlar. IBM Bulut Hizmetleri PaaS Müşteri Tarafından Yönetilir SaaS IBM Tarafından Yönetilir IBM Hizmet Olarak Sunulan (PaaS) olanakları, müşterilerin, bir hizmetin kapsamına dahil edilebilecek sistemleri, ağları, depolamayı, çalıştırma zamanı çerçevelerini, kitaplıkları ve bütünleştirme ve yönetim araçlarını kullanarak, bulut uygulamalarını oluşturmalarını, devreye almalarını ve yönetmelerini sağlar. Hizmet Olarak Sunulan müşterileri, kendi uygulamaları ve verileri için veri güvenliği ve gizliliği önlemlerinin uygulanması ve yönetilmesi dahil olmak üzere Hizmet Olarak Sunulan çözümü üzerinde devreye aldıkları uygulamaları ve içeriği yönetirler. IBM Hizmet Olarak Sunulan Yazılım (SaaS) olanakları, arka plandaki ara katman yazılımları, platformlar ve altyapı da dahil olmak üzere IBM'in uygulamaların devreye alma, sistem yönetimi, operasyon, bakım ve güvenliğini yönettiği bulut ortamlarındaki standartlaştırılmış uygulamaları sağlar. Hizmet Olarak Sunulan Yazılım müşterileri, kendi son kullanıcı hesaplarını, IBM Hizmet Olarak Sunulan Yazılım olanağının uygun kullanımını ve işledikleri verileri, bulut hizmetleri sözleşmesinin koşullarına uygun olarak yönetmeye devam ederler. Hizmet Olarak Sunulan Yazılım müşterileri, kendi gereksinimleri söz konusu olduğunda, IBM'in uyguladığı standart veri güvenlik ve gizlilik önlemlerinin uygunluğunu değerlendirmekten sorumlu olurlar. Tipinden bağımsız olarak her bir bulut hizmeti için IBM'in özel yönetim sorumlulukları ilgili olanak sözleşmesinde belirtilir. Diğer özelliklerin yanı sıra, IBM bulut hizmetlerini; yanlışlıkla kayıp, yetkisiz erişim ve müşteri verilerinin yetkisiz kullanımı gibi risklere karşı savunmak için tasarlanmış veri güvenlik ve gizlilik önlemleri, sağlanabilecek yapılandırılabilir seçenekler ve hizmetler de dahil olmak üzere her bir hizmet tanımında belirtilir veya ilgili hizmet tanımına dahil edilir. Bu Veri Güvenlik ve Gizlilik İlkeleri belgesinde, atıf yoluyla her bir hizmet tanımına dahil edilen önemli IBM ilkeleri ve uygulamaları açıklanmaktadır. KUP TRTR -01

3 Veri Güvenliği ve Gizliliği İlkeleri: IBM Bulut Hizmetleri 3 Yönetişim Yaptırım gücünü belirli kurumsal yönergelerden alan IBM'in BT güvenliği ilkeleri, IBM CIO (Bilgi Teknolojileri Direktörü) organizasyonu tarafından oluşturulup yönetilmekte olup IBM'in ticari faaliyetlerinin ayrılmaz bir parçasını oluşturur. Dahili BT ilkelerine uyumluluk zorunludur ve denetlenir. Güvenlik İlkeleri IBM bilgi güvenliği ilkeleri en az yılda bir kez gözden geçirilir ve modern tehditlere karşı güncelliği korumak ve ISO/IEC ve gibi geniş çapta kabul görmüş uluslararası standartlara ilişkin güncellemelerle uyumlu kalmak için gerektiği şekilde iyileştirilir. IBM, belirli süreli çalışanlar da dahil olmak üzere tüm yeni işe alınan çalışanlar için bir dizi zorunlu istihdam doğrulama koşulunu izler. Bu standartlar, tamamına sahip olunan yan kuruluşlar ve ortak girişimler için de geçerlidir. Zaman içinde değiştirilebilen bu koşullar arasında, sabıka kaydı denetimleri, kimlik doğrulama kanıtı ve aday, önceden bir devlet kuruluşu için çalıştıysa ek kontroller yer alabilir, ancak tümü bunlarla sınırlı değildir. Her IBM şirketi, yerel yasalarca geçerli olduğu ve izin verildiği ölçüde işe alım sürecinde yukarıdaki koşulları uygulamaktan sorumludur. IBM'in İş Adabı İlkeleri başlıklı belgede belirtildiği şekilde, IBM çalışanlarının, yıllık güvenlik ve gizlilik eğitimlerini tamamlamaları ve IBM'in etik iş adabı ilkeleriyle gizlilik ve güvenlik gereksinimlerini karşıladıklarını her yıl yeniden onaylamaları zorunludur. Güvenlik olayları, geçerli yasalar kapsamındaki veri ihlali bildirimi gereksinimleri dikkate alınarak IBM olay yönetimi ve müdahale ilkeleri uyarınca ele alınır. IBM'in küresel siber güvenlik olay yönetimi uygulamasının temel işlevleri, IBM'in Bilgisayar Güvenliği Olaylarına Müdahale Ekibi (CSIRT) tarafından yürütülür. CSIRT, IBM'in Bilgi Güvenliği Direktörü tarafından yönetilir ve kadrosu küresel olay yöneticilerinden ve adli araştırma analistlerinden oluşur. Bilgisayar güvenlik olaylarının ele alınmasına yönelik ABD Ticaret Bakanlığı, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) yönergeleri, geliştirme birimini bilgilendirmiş olup IBM'in küresel olay yönetimi süreçlerinin temelini oluşturur. CSIRT, şüpheli olayları araştırmak için IBM'in diğer birimleriyle koordineli olarak hareket eder ve izin verilirse uygun müdahale planını tanımlar ve yürütür. IBM, bir güvenlik olayının ortaya çıktığı belirlendikten sonra, etkilenen bulut hizmetleri müşterilerine derhal uygun bir şekilde bildirim gönderecektir. Erişim, Müdahale, Aktarma ve Ayırma Denetimi IBM bulut hizmetlerinin mimarisi, müşteri verilerinin mantıksal olarak ayrılmasını sağlar. Dahili kurallar ve önlemler, sözleşme amaçlarına uygun olarak veri ekleme, değiştirme, silme ve aktarma gibi veri işlemelerini ayırır. Görevler ayrılığı ilkelerine uygun olarak yalnızca kimlik ve erişim yönetimi ilkeleri kapsamında titiz bir biçimde denetlenen ve IBM'in dahili yetkili kullanıcı izleme ve denetleme programına uygun olarak izlenen yetkili personelin, tüm kişisel veriler de dahil olmak üzere müşteri verilerine erişmesine izin verilir. IBM tarafından sağlanan ayrıcalıklı erişim yetkisi, kişi ve görev esasına göre ve düzenli aralıklara yapılan doğrulamalara tabi olarak verilir. Müşteri verilerine erişim, müşteriye hizmet ve destek sunmak için gereken seviyeyle (başka bir deyişle, gereken en düşük ayrıcalık) sınırlıdır. IBM ağı içindeki veri aktarımı, kablosuz ağ kullanılmadan kablolu altyapı üzerinde ve güvenlik duvarlarının ardında gerçekleşir. İstek üzerine veya bulut hizmeti sözleşmesinin koşulları doğrultusunda hizmet sona erdirildiğinde, müşteri verileri, medya temizlemeye ilişkin NIST yönergelerine uygun olarak kurtarılamayacak hale getirilir.

4 4 Veri Güvenliği ve Gizliliği İlkeleri: IBM Bulut Hizmetleri Hizmet Bütünlüğü ve Sağlanabilirlik Denetimleri IBM bulut hizmetleri, üretim için yayınlanmadan önce sızma testinden ve güvenlik açığı taramasından geçirilir. Ayrıca IBM ve yetkili bağımsız üçüncü kişiler tarafından düzenli olarak sızma testi, güvenlik açığı taraması ve etik bilgisayar korsanlığı gerçekleştirilir. İşletim sistemi kaynaklarında ve uygulama yazılımlarında yapılan değişiklikler, IBM değişiklik yönetimi ilkelerine tabidir. Ağ aygıtlarındaki ve güvenlik duvarı kurallarındaki değişiklikler de, değişiklik yönetimi ilkelerine tabidir ve uygulamadan önce güvenlik personeli tarafından ayrı olarak incelenir. IBM'in veri merkezi hizmetleri, verilerin HTTPS, SFTP ve FTPS gibi kamuya açık ağlar üzerinden aktarılmasına ilişkin olarak çeşitli bilgi iletimi iletişim kurallarını desteklemektedir. IBM, üretim veri merkezi kaynaklarını 7 gün, 24 saat sistematik olarak izlemektedir. Potansiyel açıkların tespit edilmesine ve çözülmesine yardımcı olması için yetkili sistem yöneticileri tarafından düzenli olarak dahili ve harici güvenlik açığı taraması gerçekleştirilmektedir. Her IBM bulut hizmeti, Bilgi Güvenliği Denetimleri için ISO Uygulama İlkesine uygun olarak geliştirilen, sağlanan, doğrulanan ve test edilen iş sürekliliği ve olağanüstü durum kurtarma planlarına sahiptir. Her bir bulut hizmeti için kurtarma noktası ve zamanı hedefleri, ilgili hizmetin mimarisine göre oluşturulur ve hizmet tanımında veya başka bir işlem belgesinde sağlanır. Eğer varsa, uzak konumda depolanmak üzere oluşturulan yedek veriler, aktarılmadan önce şifrelenir. Güvenlik yapılandırması ve yama yönetimi etkinlikleri gerçekleştirilir ve düzenli olarak gözden geçirilir. IBM'in altyapısı, acil durum planlaması kavramlarına (örneğin, olağanüstü durumdan kurtarma ve sabit disk ikizleme) tabidir. IBM altyapısı için geliştirilen iş sürekliliği planları belgelenir ve düzenli aralıklarla yeniden doğrulanır. Etkinlik Günlüğü ve Girdi Denetimi IBM ilkesi, bulut hizmetlerinin bilgi işlem ortamlarındaki sistem yöneticisi erişiminin ve etkinliğinin günlüğe kaydedilip izlenmesini ve günlüklerin IBM'in dünya genelindeki kayıt yönetim planına uygun şekilde arşivlenmesini ve saklanmasını gerektirir. Üretim bulut hizmetleri üzerinde yapılan değişiklikler, IBM değişiklik yönetimi ilkesine uygun şekilde kaydedilir ve yönetilir. Fiziksel Güvenlik ve Giriş Denetimi IBM, veri merkezi kaynaklarına yetkisiz fiziksel erişimin kısıtlanması amacıyla tasarlanan fiziksel güvenlik standartları uygulamaktadır. IBM veri merkezlerine giriş noktaları sınırlıdır, erişim okuyucuları tarafından denetlenir ve gözetim kameraları tarafından izlenir. Yalnızca yetkili personelin erişimine izin verilir. Teslimat alanları, yükleme platformları gibi yetkisiz kişilerin tesislere girebileceği noktalar titizlikle denetlenir. Teslimatların zamanı önceden belirlenir ve yetkili personelin onayını gerektirir. Operasyonlara, tesislere veya güvenlik kadrosuna dahil olmayan personel, tesislere girişleri sırasında kaydedilir ve tesislerde bulunduğu süre boyunca bu kişilere yetkili personelce eşlik edilir. İşine son verilen çalışanlar, erişim listesinden kaldırılır ve erişim kartlarını geri vermeleri zorunlu tutulur. Erişim kartlarının kullanımı günlüğe kaydedilir. Sipariş Denetimi Veri işleme süreci, IBM'in, bulut hizmeti olanağına ilişkin koşulları, işlevselliği, desteği, bakımı ve müşteri verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini sürdürmek üzere alınan önlemleri tanımladığı olanak sözleşmesine göre yürütülür. Uyumluluk Bulut hizmetlerine yönelik IBM bilgi güvenliği standartları ve yönetimi uygulamaları, bilgi güvenliği yönetimine ilişkin ISO/IEC standardına uygun hale getirilmiş olup Bilgi Güvenliği Denetimleri için ISO/IEC Uygulama KUP TRTR -01

5 Veri Güvenliği ve Gizliliği İlkeleri: IBM Bulut Hizmetleri 5 İlkesine de uygundur. Bilgi güvenliği standartlarına uyumluluğun izlenmesi için IBM tarafından düzenli olarak değerlendirmeler ve denetimler gerçekleştirilir. Ayrıca tüm IBM üretim veri merkezlerinde yıllık olarak üçüncü kişiler tarafından endüstri standardında denetimler gerçekleştirilir. Üçüncü Kişi Alt İşleyicileri IBM bulut hizmetleri, üçüncü kişi alt işleyicilerin sözleşmeye dayalı görevlerini normal bir şekilde gerçekleştirmesi için müşteri verilerine erişmesini gerektirebilir. Böyle bir üçüncü kişi alt işleyici bir bulut hizmetinin sağlanmasında rol alırsa, istek üzerine alt işleyici ve görevi sağlanacaktır. IBM, sözkonusu tüm alt işleyicilerin IBM tarafından sağlanan genel güvenlik ve gizlilik düzeyini koruyan standartlara, uygulamalara ve ilkelere uymasını zorunlu kılar. Copyright IBM Corporation 2016 IBM Corporation Route 100 Somers, NY ABD'de Üretilmiştir Nisan 2016 IBM, IBM logosu ve ibm.com, International Business Machines Corp.'un dünya çapındaki birçok yargı yetkisi alanındaki tescilli ticari markalarıdır. Diğer ürün ve hizmet adları IBM'in veya diğer şirketlerin ticari markaları olabilir. IBM ticari markalarının güncel bir listesi, ibm.com/legal/copytrade.shtml adresindeki "Copyright and trademark information" (Telif hakkı ve ticari marka bilgileri) başlıklı bölümde bulunabilir. Bu belge, ilk yayın itibarıyla günceldir ve herhangi bir zamanda IBM tarafından değiştirilebilir. IBM ürünleri, kapsamında sağlandıkları sözleşmelerin kayıt ve koşullarına uygun olarak garanti kapsamına alınmıştır. Lütfen Geri Dönüştürün