Balıkesir Kamu Hastaneleri Birliği Genel Sekreterliği. Bilgi Güvenliği Eğitimi Volkan YILMAZ

Transkript

1 T. C. Sağlık Bakanlığı Türkiye Kamu Hastaneleri Kurumu Balıkesir Kamu Hastaneleri Birliği Genel Sekreterliği Bilgi Güvenliği Eğitimi Volkan YILMAZ

2 BİLGİ TOPLAMA, İŞLEME VE PAYLAŞMA YETKİSİ MADDE 47- (1) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve hızlı biçimde yerine getirebilmek için, bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkilidir. (2) Bakanlık ve bağlı kuruluşları işlediği kişisel sağlık verilerini ilgili üçüncü kişiler ve kamu kurum ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanunen yetkili olması halinde ve görevlerini yapmalarına yetecek derecede paylaşabilir. (3) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri yerine getirebilmek için gereken bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkilidir. İlgili kişi ve kuruluşlar istenilen bilgileri vermekle yükümlüdür. (4) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür. (5) Bu maddenin uygulanmasına ilişkin hususlar Bakanlıkça çıkarılacak yönetmelikle düzenlenir. 2/49

3 GİZLİLİK, GÜVENLİK, MAHREMİYETİNİN KORUNMASINI DÜZENLEYEN MEVZUAT 663 Sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname de yer alan Sağlık Hizmetleri Genel Müdürlüğü nün görev yetki ve sorumluluklarını düzenleyen 8. Maddenin j) Bendi İlgili mevzuat çerçevesinde kişisel verilerin korunmasına ve veri mahremiyetinin sağlanmasına yönelik düzenleme yapmak. denilmektedir. 3/49

4 GİZLİLİK, GÜVENLİK, MAHREMİYETİNİN KORUNMASINI DÜZENLEYEN MEVZUAT Anayasa(Madde 20) Avrupa İnsan Hakları Sözleşmesi (Madde 8) Kişisel Verilerin Korunması Hakkında Kanun (Tasarısı) Türk Ceza Kanunu (Madde ) Türk Medeni Kanunu (Madde 24-25) Tababet ve Şuabatı San atlarının Tarzı İcrasına Dair Kanun (Madde 70) Sağlık Hizmetleri Temel Kanunu (Madde 3) Aile Hekimliği Pilot Uygulaması Hakkında Kanun (Madde 5) Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu (Madde 100) 4/49

5 GİZLİLİK, GÜVENLİK, MAHREMİYETİNİN KORUNMASINI DÜZENLEYEN ALT MEVZUAT YÖNETMELİK, TEBLİĞ, YÖNERGE, GENELGE, BELGE VE KILAVUZLAR Aile Hekimliği Uygulama Yönetmeliği Hasta Hakları Yönetmeliği Tıbbi Deontoloji Nizamnamesi Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesi 2010/61 Sayılı Genelge (7. Bölüm) 2011/45 Sayılı Genelge Son Kullanıcılar İçin Bilgi Güvenliği Politika Belgesi Yöneticiler İçin Bilgi Güvenliği Politika Belgesi Hastane Bilgi Sistemleri Alım Kılavuzu (2 ve 10. Bölüm, Ekte yer alan Gizlilik Sözleşmesi Örneği) 5/49

6 GİZLİLİK, GÜVENLİK, MAHREMİYETİNİN KORUNMASINI DÜZENLEYEN ALT MEVZUAT YÖNETMELİK, TEBLİĞ, YÖNERGE, GENELGE, BELGE VE KILAVUZLAR Aile Hekimliği Uygulama Yönetmeliği Hasta Hakları Yönetmeliği Tıbbi Deontoloji Nizamnamesi Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesi 2010/61 Sayılı Genelge (7. Bölüm) 2011/45 Sayılı Genelge Son Kullanıcılar İçin Bilgi Güvenliği Politika Belgesi Yöneticiler İçin Bilgi Güvenliği Politika Belgesi Hastane Bilgi Sistemleri Alım Kılavuzu (2 ve 10. Bölüm, Ekte yer alan Gizlilik Sözleşmesi Örneği) 6/49

7 Bilgi Güvenliği Kavramı Bilgi Güvenliği Konusu : Sadece Bilgi işlemin sorumluluğunda değildir. Kurumlarımız da ortak bir çalışmayı gerekli kılar. Bu konuda Hastanedeki Eğitim,Kalite Koordinatörleri, Bilgi işlem sorumlularından oluşan ve hastane idarecilerimizden birinin başkanlığında komite kurularak kurumumuzda oluşabilecek riskler konusunda denetleyici,eğitici ve önleyici faaliyetler de bulunulması gerekmektedir. Eğitim Koordinatörlerimiz : Tüm hastane çalışanlarına Kalite ve Bilgi işlemciler tarafından eğitim verilmesini ve Bilgi Güvenliği politikalarını içeren dokümanların tebliğ- tebellüğ edilmesini sağlamak Kalite Koordinatörleri : Sağlık Kalite Standartlarına uygun sistemi denetlemek, görülen eksiklikleri Bilgi Güvenliği Komitesine sunmak ve takipçisi olmak Bilgi İşlem Sorumluları: Görülen ihlallerin düzeltilmesi için altyapı, fiziki şartlar ve HBYS firmasına yetkilendirme ile ilgili eksiklikleri yaptırmak 7/49

8 Bilginin yer aldığı belli başlı ortamlar» Fiziksel ortamlar; Kâğıt, tahta, pano, faks, çöp/atık kâğıt kutuları, dolaplar» Elektronik ortamlar; Bilgisayarlar, e-posta, USB, CD, Disk, Disket vb. manyetik ortamlar.» Sosyal ortamlar; Telefon görüşmeleri, muhabbetler, yemek araları, toplu taşıma araçları vb. sosyal aktiviteler.» Tanıtım platformları; internet siteleri, broşürler, reklamlar, sunular, video ya da görsel ortamlar. 8/49

9 Bilginin Yer Aldığı Belli Başlı Ortamlar - Bu bilgilerin bir kısmı, kişiye özel, hizmete özel olabilmektedir ve güvenliğinin sağlanması gerekmektedir. Yani ilgilisi olmayan kişilerin eline geçmemelidir. - Bilgi güvenliği, bilgileri izinsiz erişimlerden ve kullanımından, ifşa edilmesinden,yok edilmesinden, değiştirilmesinden veya hasar verilmesinden koruma işlemidir. 9/49

10 Bilgi Güvenliği Kavramı 10/49

11 GİZLİLİK Bilgiye, yetkisi olmayan kişi, varlık veya süreçlerin ulaşımının engellenmesidir. Gizlilik hem kalıcı ortamlarda saklı bulunan (disk, teyp kaseti vs) hem de ağ üzerinde bir yerden bir yere gönderilen veriler için söz konusudur. Sakırganlar, yetkisi olmayan birçok veriye çeşitli yollarla erişmeye çalışmaktadır. Şifre dosyalarının çalınması, sosyal mühendislik, bilgisayar başında bir kullanıcının özel bir bilgisini ona fark ettirmeden alma (parolasını girerken gözetleme gibi), ağ trafiği izlenirken veri paketlerinin içindeki bilgilerin okunması, gizliliğin ihlali olarak değerlendirilir. 11/49

12 BÜTÜNLÜK ERİŞİLEBİLİRLİK- KURTARILABİLİRLİK Bütünlük : Anlamının değişeceği şekilde bütünlüğünün bozulmasının engellenmesidir. Veri paketi bir yerden bir yere giderken göndericiden çıktığı haliyle alıcıya ulaşması sağlanmalıdır. Veri yolunda deformasyona uğramamalıdır ya da saklandığı yerde değişikliğe uğratılmamalıdır. Erişilebilirlik : İstenen bilgiye yetki çerçevesinde istenilen zamanda ulaşılmasının sağlanmasıdır. Hizmet sektöründe performans açısından verilere ulaşımda kesinti olmamalıdır. Erişimi, sadece kötü niyetli kişilerin saldırısı değil, yazılım hataları, eğitimsiz personel, ortam şartları (nem, ısı, topraklama eksikliği, elektrik kesintisi vs) gibi faktörler engelleyebilmektedir. Kurtarılabilirlik :Herhangi bir hasar, kayıp ve hata durumunda anlam bütünlüğünü bozmadan geri getirilebilmesi için gerekli tedbir alınmasıdır. 12/49

13 Hangi Bilgiler Gizlidir?» Hastaya ve hastalığına ait bilgiler Demografik bilgiler (nüfus bilgileri) Teşhis ve tetkik bilgileri» Personele ait bilgiler Kişisel bilgiler (resim, mesaj vs) Şifreler Bordro bilgileri (maaş, ek ödeme vs)» Birime ait bilgiler Soruşturma dosyaları Satın alma dosyaları ( yaklaşık maliyet v.b)» Kuruma ait bilgiler Finansal bilgiler Altyapı ve donanım bilgileri 13/49

14 Bilginin güvenliğinin sağlanması iki boyutludur. Bilginin güvenliğinin sağlanması iki boyutludur. 1- Bilginin üretildiği ve kullanıldığı ortamda, 2-Taşındığı ve saklandığı ortamda, gerekli güvenlik tedbirleri alınmalıdır. 14/49

15 Üretildiği ve Kullanıldığı Ortamda Güvenlik Tedbirleri; Çalışan personele bilgi güvenliği eğitimi verilmelidir. Bu eğitim kullanıcıları bilinçsizlikten kurtarır ve sisteme ve kendisine farkında olmadan zarar vermesi önlenebilir. - Bilgi Güvenliği sadece iş hayatında değil özel hayatta da önem arz ettiği belirtilmelidir. - Güvenlik, aslında bir davranış biçimidir. Bu davranışı kazandırmak gerekir. Örneğin; insanların parola bilgisini yanındaki kişiye vermesi ona güven duygusu verebilir ancak aynı zamanda karşı tarafa sorumluluğu da beraberinde vermektedir. - Olabilecek herhangi bir olumsuzluk durumunda ilk sorumlu şifre paylaşılan kişi olacaktır. Bu yüzden şifreler kişiye hastır ve paylaşılmaması gerekir. Personelin şifre öğrenmeye meraklı olmaması anlatılmalıdır. Kişisel, kimlik tanımlayıcı dokümanları umuma açık yerde bulundurmamalıyız. 15/49

16 Taşındığı ve saklandığı ortamda güvenlik tedbirleri; - Kurumun bilgisayar ağına rastgele girişler engellenmelidir. - Dışarıdan gelen bir bilgisayar, ilgili birimin izni ve tanımlamasıyla giriş yapabilmelidir. Görevi,sözleşmesi biten kişi ya da kuruluşların; giriş yetkileri, izinleri kaldırılmalı, şifreleri iptal edilmelidir. -Sistem odasına giriş ve çıkışlar kontrollü olmalı ve kayıt altına alınmalıdır. Hangi kullanıcının hangi saatte giriş yaptığı sistem tarafından kaydedilmesi için gerekli tedbir alınmalıdır. -Dışarıdan ve içeriden gelebilecek tehdit ve saldırılara karşı, hizmet veren sunucular güvenlik duvarının arkasında olmalıdır. Saldırı sadece kurum dışından değil, virüs yüklü içerideki bir bilgisayardan da gelebilir. Bu yüzden içerideki kullanıcılara karşı da güvenlik duvarı oluşturulmalıdır. 16/49

17 Taşındığı ve saklandığı ortamda güvenlik tedbirleri; Sistem odası fiziki şartları gerekli standartları sağlamalıdır. - Oda düzenli olmalı, amaç dışında malzeme ya da eşya olmamalıdır. Kablolamalar karışık ve dağınık değil, düzenli, hangi kablonun hangi porta gittiği belirgin bir şekilde olmalıdır. -Ortam ısısını ve nemini takip edecek sensörler bulunmalıdır. Mümkünse bunlar eşik değer aşıldığında belirlenen cep telefonlarına mesaj göndermelidir. - Merkezi güç kaynağından bağımsız en az 10 dk kesintisiz elektrik sağlayacak güç kaynağı ve jeneratör sistemi bulunmalıdır. -Ortamı 22 derecenin üzerine çıkarmayacak güçte soğutma sistemi bulunmalıdır. Yangın söndürme sistemi, donanıma zarar vermeyecek şekilde, gazlı yangın söndürme sistemi olmalıdır. - Kurumun veri kaybını talere edebileceği sürede yedek alınmalı ve bu yedekler farklı mekânlarda saklanmalıdır. 17/49

18 Taşındığı ve saklandığı ortamda güvenlik tedbirleri; -Kişiye özel, gizli bilgiler veritabanında geri dönüşü olmayacak şekilde kriptolu olarak kaydedilmelidir. -Hangi kabinde hangi sunucunun olduğunu gösteren ve bu sunucuların görevlerini, IP adreslerini belirten bir tablo bulunmalıdır. -Sunuculara dışarıdan erişimle ilgili, hangi durumda kimlerin erişebileceği belirlenmeli ve bu erişimler kayıt altına alınmalıdır. -Yapılan kullanıcı girişleri, yetki değişiklikleri, zaman bilgisiyle birlikte kaydedilmelidir. Silme ve düzeltme işlemleri yapan kişi, zaman bilgisiyle kaydedilmelidir. -Veritabanı şifresi kapalı zarfta, kurum en üst yetkilisine teslim edilmelidir. Değişiklikler aynı şekilde bildirilmelidir. 18/49

19 Bilgi Sistemleri- Günümüzde 19/49

20 Bilgi Güvenliği Kavramı Bilişim ürünleri/cihazları ile bu cihazlarda işlenmekte olan verilerin gizliliğini, bütünlüğünü ve sürekliliğini korumayı amaçlayan çalışma alanıdır. Güvenliğin sadece % 20 gibi küçük bir kısmı teknik güvenlik önlemleri ile sağlanıyor. Büyük kısım ise % 80 oranında kullanıcıya bağlıdır. 20/49

21 Dahili Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım - Temizlik görevlisinin sunucunun fişini çekmesi - Eğitilmemiş yada deneyimsiz çalışanın veri tabanını silmesi - Bilinçsizce ağ kablosunun tekrar swhice geri takılması ile sistem durması Kötü Niyetli Hareketler - İşten çıkarılan çalışanın, Kuruma ait bilgilerle işlem yapması - Bir çalışanının, Ağda illegal yazılımlar kurarak güvenlik duvarını aşmak istemesi - Sahte ler ile size ait özel şifre,bilgi içeren formlar doldurulması, dalgınlıkla bu formların doldurulması ile şifrelerin alınması - Keyloger gibi yazılımlar ile bilgisayarda yazılan her karakterin sistem içerisine yazılması, yazılanların dışarıya gönderilmesi 21/49

22 Sahte mail ile bilgi istenmesi 22/49

23 Harici Tehdit Unsurları Hedefe Yönelmiş Saldırılar - Bir saldırganın Kurum Web sitesini değiştirmesi - Bir saldırganın Kurumun korunan bilgisini çaldırması - Birçok saldırganın kurum Web sunucusunu servis dışı bırakma saldırısı yapması - Kurumdaki bir bilgiyi dışarıya çıkarması 23/49

24 Bilg. Tekn. Kötüye Kullanımı Sonucu Oluşan Zararlar Bilginiz başkalarının eline geçebilir Kurumun onuru, toplumdaki imajı zarar görebilir (en kötü durum) Donanım, yazılım, veri ve kurum çalışanları zarar görebilir Önemli veriye zamanında erişememek Parasal kayıplar Vakit kayıpları 24/49

25 Kullanıcı Bilincinin Önemi Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir. Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır. Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır. Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır. Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir. Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır. Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir. 25/49

26 Şifreler Güvenli Muhafaza Edilmeli 26/49

27 Şifre Güvenliği- 1 En önemli kişisel bilginiz şifrenizdir. Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır. Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir. Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız. En az 6 karakterli olmalı ve rakam, özel karakterler vs) içermelidir. Büyük ve küçük harf karakteri kullanılmalıdır. Kişisel bilgilerle ilişkili olmamalıdır.(çocuğunuzun ismi, evlenme yıldönümü vs) Örnek: Güçlü bir şifre: AG685kt?! 27/49

28 Şifreler- Kötü Şifre Örnekleri abcdef aaaaa bbbbbbb ilyas1 Doğum yılınız volkan123 ababa.. 28/49

29 Yazılım Yükleme- Güncelleme Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır. Güvenilir olmayan sitelerden yazılımlar indirilmemeli ve kullanılmamalıdır 29/49

30 Donanım Ekleme Bilgi işlem yetkililerine danışmadan hastane sistemlerine farklı cihaz ve donanımlar bağlanmamalıdır. İnternet e erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır. Bilgisayarlara modem takılmamalıdır. Bluetooth ve 3G modemler ile İnternet bağlantısı yapılmamalıdır 30/49

31 Yazıcı Kullanımı Mümkünse Gizli Bilgi içeren Satınalma ve Disiplin birimlerini network ağından basımsız ve local yazıcılar kullanılması tavsiye edilir. Gizli bilgi içeren dokümanların çıktıları alınırken, Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında) Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir. Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır. Çıktı alındıktan sonra yazıcıdan silindiğinden emin olunmalı. 31/49

32 Zararlı Programlar- Virüsler Tüm bilgisayarlarda virüs koruma programı çalıştırılmalı ve güncellemesi yapılmalıdır. Anti virüs programı kapatılmamalıdır. Dosyalar virüs taramasından geçirilmelidir. Bilinçsizce kurulan şarkı indirme programları aynı zamanda document,video,mp3 gibi değişik formatta aynı türden dosyaları paylaşma açma ihtimali 32/49

33 5651 Sayılı Kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) Madde 1:Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir. 33/49

34 E-posta Güvenliği Virüslerin en fazla yayıldığı ortam e-postalardır. Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır. Güvenilmeyen eklentiler açılmamalıdır. Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. Spam e-postalara cevap verilmemelidir. E-posta adres bilgisi güvenilir kaynaklara verilmelidir. 34/49

35 E-posta Güvenliği 35/49

36 Kötü amaçlı yazılımlar tarafından ele geçirilmiş sistemlerdir. Bu sistemler bir kısır döngü içerisinde sürekli olarak zararlı yazılım yayarlar ve kullanıcıları bunun farkında değildir. Aynı zamanda bilişim suçları için potansiyel bilgisayarlardır. Botnet, spam yollamak ve şantaj yapmaya çalışmaktan, devlet ağlarına saldırmaya kadar farklı alanlarda, siber suçlular tarafından saldırıları yürütmek amacıyla kullanılabilir. Hatta bu yüzden işlemediğiniz suçlar ile ilgili adli makamlarla muhatap bile olabilirsiniz. 36/49

37 Kötü amaçlı yazılımlar tarafından ele geçirilmiş sistemlerdir. d) Casus yazılımlar (spyware): Spyware farkında olmadan bir web sitesinden download edilebilen veya herhangi bir üçüncü parti yazılım ile birlikte yüklenebilen kötü amaçlı bir yazılım tipidir. Genelde, kullanıcının izni olmaksızın kişisel bilgilerini toplar. Herhangi bir kullanıcı etkileşimi olmaksızın bilgisayar konfigürasyonunu değiştirebilmektedirler. Çoğunlukla web reklamları ile bütünleştirilmiştir. En belirgin bulgusu, tarayıcı açılış sayfasının değiştirilmesidir. Özellikle ücretsiz yazılım araçlarının kurulumlarına dikkat edilmesi gerekmektedir. 37/49

38 c) Truva Atları (Trojan). Görüntüde istenilen fonksiyonları çalıştıran, ancak arka planda kötü amaçlı fonksiyonları da gerçekleştiren yazılımlardır Bunlar teknik olarak virüs değillerdir ve farkında olmadan kolayca download edilebilirler Saldırgana sistemin sahibinden daha yüksek ayrıcalıklar tanıyan ve çok tehlikeli sayılacak becerilere sahip olan trojanlar vardır Truva atları, ücretsiz olarak yüklediğiniz yazılımlarla bir arada da gelebilir 38/49

39 b) Solucanlar (worm): Solucanlar yayılmak için sistem ya da ağlardaki açıkları kullanırlar. Yayılmak için kullanıcı etkileşimine ihtiyaç duymazlar ve sisteme zarar vermektense sisteminizi gizli bir saldırgan haline getirebilirler. Sisteminizi bir botnet e dahil eden solucanlar, sisteminizi spam göndermek veya başka bilgisayarlara saldırıda bulunmak amacıyla hacker lara alet edebilirler. Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler alınmalıdır. 39/49

40 Kablosuz Ağlar için önlemler Bu politika ile kablosuz cihazların, gerekli güvenlik tedbirleri alınmaksızın, Kurumun bilgisayar ağına erişiminin engellemesi amaçlanmaktadır. Kurumun bilgisayar ağına bağlanan bütün erişim cihazları ve ağ arabirim kartları kayıt altına alınmalıdır. Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmalıdır. Wi-Fi Protected Access2 (WPA2-kurumsal) şifreleme kullanılmalıdır. Radyo dalgalarının binanın dışına taşmamasına özen gösterilmelidir. Erişim Cihazları üzerinden gelen kullanıcılar güvenlik duvarı üzerinden ağa dâhil olmalıdır. 40/49

41 Zararlı yazılımların etkisi Yaptığınız her şeyi kaydedebilirler. Klavyede yazdığınız herşey, fare ile yaptığınız herşey gibi. Tüm verisiyle diski silebilir, hatta biçimlendirebilirler. Saldırganların kullanması için güvenlik açıklıkları oluşturabilirler.başka zararlı programların bulaşmasına neden olabilirler. Bilgisayarınız üzerinden başkalarına saldırabilirler. Ekranda can sıkıcı veya kötü amaçlı web sitelerine yönlendiren açılır pencereler oluşturabilirler. Bilgisayarınızın ya da internetin kaynaklarını kullanır, yavaşlamalara neden olabilirler. 41/49

42 Zararlı Programlar Neler Yapabilir? Bilgisayarınızdaki bilgileri çalabilir ve başkalarına gönderebilirler. İşletim sisteminizin veya diğer programlarınızın çalışmamasına, hatalı çalışmasına neden olabilirler. Bilgisayarınızdaki dosya / klasörleri silebilir, kopyalayabilir, yerlerini değiştirebilir veya yeni dosyalar ekleyebilirler. Zararlı kodlar: Kötücül yazılımlar (malware) da sistemin ele geçirilmesine aracılık edebilirler: a) Virüsler: Virüsler, yayılmak için kullanıcı etkileşimini gerektiren zararlı program kodlarıdır. Virüsler genellikle işletim sistemlerinin ya da yazılım uygulamalarının açıklarından bağımsız olarak çalışırlar. Virüsler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir 42/49

43 Uzak erişim ve yetkiler hakkında Bu politika ile herhangi bir yerden Kurumun bilgisayar ağına erişilebilmesine ilişkin standartların belirlenmesi amaçlanmaktadır. Internet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar VPN teknolojisini kullanmalıdırlar. Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri yürütülen projeler üzerinden otomatik olarak alınmalı, yetkiler ve hesap özellikleri buna göre güncellenmelidir. 43/49

44 Bu politika ile Internet in kurallarına, etiğe ve yasalara uygun kullanımının sağlanması ve güvenli internet erişimine sahip olması için gereken standartların belirlenmesi amaçlanmaktadır. Kurumun bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvar(lar)ı üzerinden internete çıkmalıdır. Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır. İstenilmeyen siteler (oyun, kumar, şiddet içeren vs.) yasaklanmalıdır. Kurumun ihtiyacı doğrultusunda Saldırı Tespit ve Önleme sistemleri kullanılmalıdır. Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir. 44/49

45 Sosyal Mühendislik Alınacak önlemler Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin. Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin. Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapacaktır. 45/49

46 Sosyal Mühendislik Alınacak önlemler Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri incelenmelidir Kurum çöpleri (büro malzemeleri, not kağıtları, bordrolar vs.) tamamen kullanılmaz hale getirilmeli daha sonra atılmalıdır Sistem yöneticilerinin, kurumsal bilgileri posta listelerinde, arkadaş ortamlarında ve benzeri yerlerde anması önlenmelidir Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır 46/49

47 2007 YILINDA SAĞLIK BAKANLIĞI YÖNETİCİLER VE PERSONEL İÇİN BİLGİ GÜVENLİĞİ POLİTİKASI YAYINLAMIŞTIR. 47/49

48 Hastane kullanıcılarına yapılan farkındalık anket sonucu Kullandığınız sistem sizi şifre değişikliğine zorluyor mu? 72,40% 27,60% evet hayır Şifre Belirleme Yöntemleri şifremi en az altı karakterden oluşturuyorum unutmamak için bütün şifrelerimi aynı yapıyorum akılda kalan kolay bir şifre belirliyorum ilk belirlenen ve bana verilen şifreyi kullanıyorum 6,50% 30,90% 28,40% 43,50% 48/49

49 Bilgi güvenliğinin ihlali durumunda TCK madde 136 hakkında bilginiz var mı? 60% 40% evet hayır MADDE (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır. 49/49

50 Hastane kullanıcılarına yapılan anket sonuçları 50/49

51 ISO/IEC STANDARTI ISO/IEC 27001:2005 Bir Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması, izlenmesi, sürdürülmesi ve geliştirilmesi için gerekli adımları ortaya koyan süreçsel yaklaşımın çerçevesini çizer. 51/49

52 52/49

53 53/49

54 54/49