T.C. SAĞLIK BAKANLIĞI MERSİN KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ BİLGİ GÜVENLİĞİ POLİTİKASI

Transkript

1 SAĞLIK BAKANLIĞI MERSİN KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ Hazırlayan: Sağlık Bilgi Sistemleri Birimi

2 YÖN. RH /19 İÇİNDEKİLER 1. AMAÇ KAPSAM DAYANAK BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU BİLGİ GÜVENLİĞİ EĞİTİMLERİ İNSAN KAYNAKLARI YÖNETİM POLİTİKASI TEMİZ MASA TEMİZ EKRAN POLİTİKASI ŞİFRE KULLANMA POLİTİKASI İNTERNET KULLANIM POLİTİKASI AĞ (NETWORK) POLİTİKASI E-MAİL POLİTİKASI BİLGİ KAYNAKLARI ATIK VE İMHA YÖNETİMİ SOSYAL MÜHENDİSLİK ZAFİYETLERİ VE SOSYAL MEDYA GÜVENLİĞİ MAL VE HİZMET ALIM GÜVENLİĞİ İHLAL BİLDİRİM VE YÖNETİMİ... 17

3 YÖN. RH /19 MERSİN KAMU HASTANELERİ GİRLİĞİ GENEL SEKRETERLİĞİ BİLGİ GÜVENLİĞİ POLİTİKALARI Bilgi Güvenliği Politikası, T.C. Sağlık Bakanlığı TKHK Mersin Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları uyulması gereken kuralları içeren bir dokümandır. Bu politikada: Bilgi güvenliği standartlarının gereklerini yerine getirmek; Bilgi güvenliği ile ilgili yasal mevzuata uyum sağlamak; Bilgi varlıklarına yönelik riskleri tespit etmek ve yönetmek; Bilgi güvenliği yönetim sistemi politikalarını sürekli gözden geçirerek iyileştirmek; Bilgi güvenliği farkındalığını artırmak için teknik ve davranışsal yeterlilikleri geliştirecek şekilde eğitimleri yapmak ve sürekliliğini sağlamak; Ana politikalar olarak yer almaktadır. 1. AMAÇ Bilgi güvenliği yönetim sisteminin amacı kurumumuz bünyesinde tüm bilgi varlıklarımızın, bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesi, yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunması, her ihtiyaç duyulduğunda yetkili kişilerin kullanımına hazır durumda olmasının sağlanmasıdır. Kurumumuz bünyesindeki bilgi varlıklarının gizliliğini ve bütünlüğünü sağlamak kullanılabilir durumda bulundurmak yetkisiz kişilerin erişimini engellemek kurumun güven ve itibarını sarsacak durumları da bertaraf edecektir. 2. KAPSAM Bu politika, kurum bilgi varlıklarına erişim hakkı olan tüm personeli, kurum bilgi işlem altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen

4 YÖN. RH /19 kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır. 3. DAYANAK a) T.C. Sağlık Bakanlığı Bilgi İşlem Daire Başkanlığı 17 Eylül 2007 tarih ve 2023 sayılı "Bilgi Güvenliği Politikaları" konulu yazıları, b) T.C. Sağlık Bakanlığı İdari ve Mali İşler Daire Başkanlığının 2010/61 sayılı Genelgeleri. 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ Bilgi güvenliği yönetimi kapsamına alınan tüm süreçlerde ve varlıklarda gizlilik, bütünlük ve erişilebilirlik prensiplerine uyacak önlemler almak amacı ile aşağıda detayları belirtilen maddelerle ilgili faaliyetler aksatılmadan yürütülmelidir BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU Kurumumuz başkanlığında il genelinde bilgi güvenliğinin iç organizasyonunun sağlanması için Bilgi Güvenliği Komisyonu oluşturulmuştur. Bilgi Güvenliği Komisyonunun Görevleri Bilgi güvenliği politika ve stratejilerini belirler, gerektiğinde Bilgi Güvenliği Politikaları Yönergesine bağlı olarak çalışma grupları tarafından hazırlanacak olan kılavuzlarla ilgili yenilenme kararlarını verir. Bilgi güvenliği politikaları uygulamasının etkinliğini gözden geçirir. Bilgi güvenliği faaliyetlerinin yürütülmesini yönlendirir. Bilgi güvenliği eğitimlerinin plan ve programlarını hazırlar. Bilgi güvenliği faaliyetleri ve kontrollerinin tüm kurum ve kuruluşlarda koordine edilmesini sağlar. Bilgi güvenliği komisyonu belirli aralıklarla toplanarak bilgi güvenliği ile ilgili durum değerlendirmeleri ve verimlilik analizleri yapar.

5 YÖN. RH / BİLGİ GÜVENLİĞİ EĞİTİMLERİ Kurumumuzda çalışan her seviyede personelin bilgi güvenliği farkındalık düzeylerini artırmak amacı ile eğitimler düzenlenir. Kurum yıllık eğitim planlarında bilgi güvenliği eğitimine yer verilir. Teknik seviyede personelin bilgi düzeyinin artırılması amacı ile ileri seviyede bilgi güvenliği eğitim planları yapılır FİZİKSEL VE ÇEVRESEL GÜVENLİK POLİTİKASI 1) Kurum içerisinde belli yerlere sadece yetkili personelin girişine izin verecek şekilde kontrol mekanizmaları kurulmalıdır. 2) Kapsam ve prosedürü idarelerce belirlenmek suretiyle ziyaretçilerin giriş ve çıkış zamanları kaydedilmelidir. 3) Kapsam ve prosedürü idarelerce belirlenmek suretiyle tüm personel ve ziyaretçiler güvenlik elemanları tarafından rahatça teşhis edilmelerini sağlayacak kimlik kartlarını devamlı takmalıdır. 4) Güvenli çalışma alanlarındaki personel veya bu alanda yürütülmekte olan çeşitli faaliyetlerde bulunan personel ve üçüncü parti çalışanları için "ihtiyacı kadar bilme" prensibi uygulanmalıdır. 5) Kayıt cihazlarının güvenli alanlara sokulmasına engel olunmalıdır. 6) Kullanılmayan güvenli alanlar kilitleniyor ve düzenli olarak kontrol ediliyor olmalıdır. 7) Kötü niyetli girişimlere engel olmak için güvenli bölgelerde yapılan çalışmalara nezaret edilmelidir. 8) Güvenli bölgelere örneğin sistem odasına yapılan girişler kayıt altına alınmalıdır. 9) Bilgi işlem servisleri ile dağıtım ve yükleme alanları ve yetkisiz kişilerin tesislere girebileceği noktalar birbirinden izole edilmiş olmalıdır. 10) Bilgi işlem odasının nem ve sıcaklık gibi parametreler izlenmelidir. 11) Bilgi işlem odası sürekli kilitli tutulmalı sadece yetkili kişilerin odaya girmesi sağlanmalıdır. Odaya girişler kayıt altına alınmalıdır. 12) Bilgi İşlem erişim hakları belirli aralıklarla gözden geçirilmelidir. 13) Binada bilgi işlem faaliyetlerinin yürütüldüğüne dair işaret, tabela vb. bulunmamalıdır.

6 YÖN. RH /19 14) Paratoner kullanılmalıdır. 15) Bilgi işlem araçlarının yakınında yeme, içme konularını düzenleyen kurallar olmalıdır İNSAN KAYNAKLARI YÖNETİM POLİTİKASI 1) Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır. 2) Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir. 3) ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında (izin kâğıdı gibi) ekranda bulunan kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir. 4) Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir. 5) İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kâğıt kesme makinesinde imha edilmelidir. 6) Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır. 7) Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim etmelidir. 8) Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi ve belgeleri teslim etmelidir. 9) Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade edilmelidir TEMİZ MASA TEMİZ EKRAN POLİTİKASI 1) Hassas bilgiler içeren evraklar, bilgi ve belgeler masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulundurulmaz. Bu bilgi ve belgeler kilitli yerlerde muhafaza edilmelidir. 2) Personel, Bilgisayara ve/veya işletim sistemine şifre tanımlamalı, bilgisayar başından kalkarken mutlaka oturumu kilitlemeli, bilgisayarını belli bir süre kullanmadığı zaman otomatik olarak şifre ile oturum açmasını gerektirecek şekilde ayarlanmalıdır. Bu işlem Windows + L tuşuna basılarak yapılabilir.

7 YÖN. RH /19 3) Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulunmamalıdır. 4) Kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kâğıt öğütücü, disk/disket kıyıcı, yakma vb. metotlarla imha edilmeli, bilginin geri dönüşümü ya da yeniden kullanılabilir hale geçmesinin önüne geçilmelidir. 5) Faks makinelerinde gelen giden yazılar sürekli kontrol edilmeli ve makinede yazı bırakılmamalıdır. 6) Her türlü bilgiler, şifreler, anahtarlar ve bilginin sunulduğu sistemler, ana makineler (sunucu), PC ler vb. cihazlar yetkisiz kişilerin erişebileceği şifresiz ve korumasız bir şekilde başıboş bırakılmamalıdır. 7) Personel, bilgisayarındaki, USB belleğindeki, harici diskindeki ve benzeri veri depolamanın mümkün olduğu ortamlardaki gizlilik dereceli bilgi içeren her türlü belgenin güvenliğini sağlamakla yükümlüdür. USB veya harici diske gizli/önemli verilerin konulması gerekiyorsa şifrelenerek saklanır ŞİFRE KULLANMA POLİTİKASI 1) Kullanıcı, kurumda kullanılan ve belirli bir şifre ile girilmesi zorunlu olan her türlü uygulama için şifre belirler. 2) Kullanıcının şifrelerini belirlerken dikkat edeceği kurallar şunlardır: a) Şifreler en az 6 karakter olmalı küçük ve büyük karakterlere (örnek, a-z, A-Z), hem dijit hem de noktalama karakterleri ve harflere (örnek;0-9,!@#$% A &*()_+ ~-=V{}[]:";'<>?,./) sahip olmalıdır. b) Herhangi bir dildeki argo, lehçe veya teknik bir kelime olmamalıdır. 3) Kişisel bilgiler, aile isimleri, sözlük kelimeleri (baba adı, doğum tarihi, plaka vb.) şifre olarak kullanılmamalıdır. 4) Şifrelerin Bakanlıkça belirlenecek sayıda hatalı girilmesi sonucu, kullanıcı hesabı kilitlenebilir. İlgililere başvurulması halinde aktif hale getirilir.

8 YÖN. RH /19 5) Şifreler herhangi bir kişi ile paylaşılmaz, bütün kullanıcı seviyeli şifreler (örnek, e- posta, web, masaüstü bilgisayar vs.) en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi her üç ayda birdir. 6) Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir. 7) Şifreler kâğıt, ajanda, matbu ortam veya elektronik ortamlarda yazılı tutulmamalıdır. 8) Herhangi bir kişiye telefonda şifre verilmemelidir. 9) Şifreler ikinci şahıslarla paylaşmamalıdır. 10) Bir kullanıcı adı ve şifre birim zamanda birden çok bilgisayarda kullanılmamalıdır. 11) Farklı sistemlerde farklı şifreler kullanılmalıdır. 12) "Yönetici/Admin" kullanıcı şifreleri sadece sistem yöneticilerinde olur, kesinlikle son kullanıcılarla ve yüklenici firmalarla çalışıldığı zaman firma personeliyle paylaşılmaz İNTERNET KULLANIM POLİTİKASI 1) Tüm kullanıcılar interneti bilinçli kullanmak, başkalarının hakkını ihlal edici ve bilişim sisteminin işleyişini engelleyici, bozucu faaliyetlerde bulunmamakla yükümlüdürler. 2) Telif hakları ve lisansları ihlal eden, Müdürlük ağında yoğun ağ trafiğine sebep olan, iki veya daha fazla kullanıcı arasında veri paylaşmak için kullanılan noktadan noktaya (Peer-to-peer - torrent) uygulamaları kullanılmaz. 3) Kullanıcılar Kurumdaki internet üzerinden herhangi bir sisteme, ağ kaynağına veya servise saldırı niteliğinde girişimde bulunamazlar. 4) İnternet ortamında Kurumla ilgili bilgilerin paylaşımı kesinlikle yapılamaz. 5) Bilgisayarlar arası ağ üzerinden resmi görüşmeler haricinde, Messenger v.b. mesajlaşma ve sohbet programları gibi chat programlarının kullanılmamalı. Bu chat programları üzerinden dosya alışverişinde bulunulmamalıdır. 6) Hiçbir kullanıcı internet üzerinden Multimedia Streaming yapmamalıdır. 7) Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir. 8) İş ile ilgili olmayan (müzik, video dosyaları ) yüksek hacimli dosyalar gönderme (upload) ve indirme (download) işlemleri yapılmamalıdır.

9 YÖN. RH /19 9) İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirilmemeli ve kurum sistemleri üzerine bu yazılımlar kurulmamalıdır. 10) Bilgisayarlar üzerinden genel ahlak anlayışına aykırı (bahis siteleri, korsan yazılım siteleri, porno siteler) internet sitelerine girilmemeli ve dosya indirimi yapılmamalıdır. 11) Bilgisayar İşletim Sistemleri için büyük ölçüde tehdit ettiği için internet üzerinden ekran koruyucu, masaüstü resimleri, yardımcı program olduğu belirtilen araçlar gibi her türlü dosya ve programların indirilmemeli/kopyalanmamalıdır. 12) Üçüncü şahısların kurum içerisinden internetini kullanmaları Bilgi İşlem sorumlusunun izni ve bu konudaki kurallar dâhilinde gerçekleştirilmelidir. 13) Kurum, iş kaybının önlenmesi için çalışanların internet kullanımı hakkında gözlemleme ve istatistik yapabilir AĞ (NETWORK) POLİTİKASI 1) Kullanıcılar; a) Müdürlük sunucuları üzerinde kendisine tahsis edilen kullanıcı adı, şifre ve IP adresi kullanılarak gerçekleştirilen her türlü etkinlikten sorumludur. b) Ağ üzerinde paylaştırılan klasörlere kişi bazında yetki verilmesi, şifre kullanılarak yetkisiz kişilerin ulaşması engellenmelidir. c) Kullanıcılar, diğer kullanıcılara ait verileri bozmamalı ya da zarar vermemelidir. d) Kullanıcılar ağ üzerinde gizlilik hakkını ihlal edemez, yasaklanmış her türlü materyali üretemez ya da dağıtamaz. e) Yerel, ulusal, uluslararası bilgisayarları veya hizmetleri kasıtlı olarak yetkisiz kullanamaz. f) Başkalarının telif haklarını ihlal edici konumda olan yazı, makale, kitap, film, müzik eserleri gibi materyali edinemez, yayınlayamaz, dağıtamaz. 2) Bilgisayarlara tahsis edilen IP numarası ve ortam erişim kontrolü adresi (MAC adresi) ile BIOS ayarları Müdürlük tarafından yetkilendirilmiş kişiler dışında değiştirilemez. 3) Kurum ağına sistem yöneticisinin bilgisi dışında herhangi bir aktif ağ cihazı eklenemez.

10 YÖN. RH /19 4) Kullanıcılar, kişisel bilişim kaynaklarını kurum ağında sistem yöneticisinden izin almadan kullanamaz. 5) Kurum içinde hizmet veren sunucu, sistem veya kullanıcı bilgisayarlarına uzaktan erişim, zorunlu hallerde sistem yöneticisinin onayı/izni alınarak yapılır. 6) Ağ üzerinde bulunan güvenlik duvarı (firewall), ağ üzerindeki işlemlerin (siteler, dosya indirme, dosya paylaşımı) kayıtlarını tutar ve ihlal tespit edilmesi durumunda kişi hakkında yasal işlem başlatılabilir. 7) Bina içerisinde ağ kablolaması Müdürlük tarafından yetkilendirilmiş kişiler tarafından yapılır. Yetkililer dışında kablo tesisatında ekleme, değiştirme, vb. yapılmamalıdır. 8) Bina içerisinde bulunan switch, hub, ap, vb. ağ cihazlarına yetkililer dışında kesinlikle müdahale edilmemelidir E-MAİL POLİTİKASI 1) Kullanıcı, e-posta adresi olarak, Başkanlıkça kendisine tahsis edilen adresi kullanmalıdır. Bunun dışındaki e-posta servisleri resmî işlerde kullanılmaz. 2) Kurumun e-posta sistemi, taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz. 3) Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir. 4) Kişisel kullanım için Internet'teki listelere üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır. 5) Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır. 6) Kullanıcıların kullanıcı kodu/şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir. 7) Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme, vb) gönderemezler. tahsis edilen e-posta adresini sohbet yapmak için kullanamazlar.

11 YÖN. RH /19 8) Kullanıcı, hesabını ticari ve kâr amaçlı olarak kullanamaz. Çok sayıda kullanıcıya toplu halde reklam, tanıtım, duyuru ve benzeri amaçlı e-posta gönderemez ve zincir e- posta, sahte e-posta ve benzeri zararlı e-postalara yanıt yazamaz. 9) Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidirler. Bu yüzden şifre kullanılmalı ve e-posta erişimi için kullanılan donanım/yazılım sistemleri yetkisiz erişimlere karşı korunmalıdır. Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. 10) Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları cevaplandırmalıdır. 11) Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Çünkü bu mailler virüs, bombaları ve Truva atı gibi zararlı kodları içerebilirler. 12) Kurum dışından güvenliğinden emin olunmayan bir bilgisayardan web posta sistemi kullanılmamalıdır. 13) Elektronik postaların sık sık gözden geçirilmesi, gelen mesajların uzun süreli olarak genel elektronik posta sunucusunda bırakılmaması ve bilgisayardaki kişisel klasör'a (personel folder) çekilmelidir. 14) Kurum çalışanları gönderdikleri, aldıkları veya sakladıkları lerde kişisellik aramamalıdır. Yasadışı ve hakaret edici e-posta haberleşmesi yapılması durumunda yetkili kişiler önceden haber vermeksizin mesajlarını denetleyebilir ve kullanıcı hakkında yasal ve idari işlemler başlatılabilir. 15) Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve gönderilen e- postalardan doğacak hukuki işlemlerden sorumludurlar. Şifrelerinin kırıldığını fark ettikleri andan itibaren yetkililerle temasa geçip durumu haber vermekle yükümlüdürler. 16) Eposta adresine sahip kullanıcı herhangi bir sebepten birim değiştirme, emekli olma, işten ayrılma sebepleriyle kurumdaki değişikliğinin yetkililer tarafından Bilgi İşlem Daire Başkanlığına en kısa zamanda bildirilmesi gerekmektedir.

12 YÖN. RH /19 17) Mesaj başlıkları anlamlı verilmedir. 18) Geri dönüşüm istenilen talepler, tekbir alıcı ile sınırlandırılmalıdır. Birden fazla kişiye gönderilen mesajlar mesajda kimin direkt olarak ilgili olduğu konusunda karışıklığa yol açabilir. Konu ile sadece haberdar olması gerekli kişiler cc bölümüne yazılır. 19) Mesajlar mümkün olduğu kadar kısa tutulur. 20) Mesajın gönderildiği kişiler mümkün olduğu kadar kısıtlı tutulur. cc kısmına gerçekten gerekli olmayan kişiler eklenmez. 21) Mesaj birden fazla kişiye gönderiliyor, bu farklı kişilerin birbirlerinden haberdar olması gerekmiyor ise to kısmı yerine bcc kısmı kullanılır. 22) urgent (acil) ibarasi gerekmedikçe kullanılmaz. 23) Read receipt (okunmuşluk kontrolü) gerekmedikçe kullanılmaz. 24) Çok acil olmadıkça çok büyük boyutlu dosyalar içeren mesajlar atılmaz BİLGİ KAYNAKLARI ATIK VE İMHA YÖNETİMİ 1) Yasal bekleme süreleri sonunda evrakların tasfiyeleri sağlanmalıdır. Burada Özel ve Çok Gizli evraklar "Devlet Arşiv Hizmetleri Yönetmeliği" hükümleri gereği oluşturulan "Evrak İmha Komisyonu" ile karar altına alınmalı ve imha edilecek evraklar kırpma veya yakılarak imhaları yapılmalıdır. İmha edilemeyecek evrak tanımına giren belgeler geri dönüşüme devirleri yapılmalıdır. 2) Bilgi Teknolojilerinin (Disk, Storage, Veri tabanı dataları, vb.) 14 Mart 2005 Tarihli sayılı Resmi Gazete 'de yayınlanmış, sonraki yıllarda da çeşitli değişikliklere uğramış katı atıkların kontrolü yönetmeliğine ve Basel Sözleşmesine göre donanımların imha yönetimi gerçekleşmelidir. 3) Komisyonca koşullar sağlanarak donanımlar parçalanıp, yakılıp (Özel kimyasal maddelerle) imha edilmelidir. 4) İmha işlemi gerçekleşecek materyalin özellik ve cinsine göre imha edilecek lokasyon belirlenmelidir. 5) Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır.

13 YÖN. RH /19 6) Yetkilendirilmiş personel tarafından imhası gerçekleşen atıklara, veri imha tutanağı düzenlenmesi ve bertaraf edilen ürünlerin seri numaraları ve adet bilgisinin veri-imha tutanağına yazılması gerekmektedir. 7) Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır. 8) Tamamen tahrip edilememiş disk parçalarının delme, kesme makinaları ile kullanılamaz hale getirilmelidir. 9) Hacimsel küçültme işlemi için parçalanmalıdır. 10) Son ürünlerin gruplar halinde fotoğraflanarak ilgili kişi ve/veya kuruma iletilmesi gereklidir. 11) Çıkan metallerin sınıflarına göre ayrılarak, biriktirildikten sonra geri dönüşüm tesislerine iletilmesi gerekmektedir SOSYAL MÜHENDİSLİK ZAFİYETLERİ VE SOSYAL MEDYA GÜVENLİĞİ 1) Sosyal mühendisler teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanların zaaflarından faydalanıp, en çok etkileme ve ikna yöntemlerini kullanırlar. Taşınan ve işlenen verilerin öneminin bilincinde olunmalıdır. 2) Verilerin kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edilmelidir. 3) Arkadaşlarla paylaştığınız bilgileri seçerken dikkat edilmelidir. 4) Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgileriniz paylaşılmamalıdır. 5) Şifre kişiye özel bilgidir. Sistem yöneticisi dahil telefonda veya e-posta ile şifre paylaşılmamalıdır. 6) Sistem yöneticisi gerekli işlemi şifreye ihtiyaç duymadan da yapabilmelidir. 7) Oluşturulan dosyaya erişecek kişiler ve hakları "bilmesi gereken" prensibine göre belirlenmelidir.

14 YÖN. RH /19 8) Dosyaya erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır. 9) Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır. Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir. 10) Kazaa, emule gibi dosya paylaşım yazılımları kullanılmamalıdır. 11) Sosyal medya hesaplarına giriş için kullanılan şifreler ile kurum içinde kullanılan şifreler farklı olmalıdır. 12) Kurum içi bilgiler sosyal medyada paylaşılmamalıdır. 13) Kuruma ait hiçbir gizli bilgi, yazı sosyal medyada paylaşılmamalıdır MAL VE HİZMET ALIM GÜVENLİĞİ Belirlenen güvenlik gereklerinin karşılanması için aşağıdaki maddelerin anlaşmaya eklenmesi hususu dikkate alınmalıdır. 1) Bilgi güvenliği politikası, 2) Bilgi, yazılım ve donanımı içeren kuruluşun bilgi varlıklarının korunması prosedürleri, 3) Gerekli fiziki koruma için kontrol ve mekanizmalar, 4) Kötü niyetli yazılımlara karşı koruma sağlamak için kontroller, 5) Varlıklarda oluşan herhangi bir değişimin tespiti için prosedürler; örneğin, bilgi, yazılım ve donanımda oluşan kayıp veya modifikasyon, 6) Anlaşma sırasında, sonrasında ya da zaman içinde kabul edilen bir noktada, bilgi ve varlıkların iade veya imha edildiğinin kontrolü, 7) Varlıklarla ilgili gizlilik, bütünlük, elverişlilik ve başka özellikleri, 8) Bilgilerin kopyalama ve ifşa kısıtlamaları ve gizlilik anlaşmalarının kullanımı, 9) Kullanıcı ve yönetici eğitimlerinin metodu, prosedürü ve güvenliği, 10) Bilgi güvenliği sorumluluğu ve sorunları için kullanıcı bilinci sağlama, 11) Donanım ve yazılım kurulumu ve bakımı ile ilgili sorumluluklar, 12) Açık bir raporlama yapısı ve anlaşılan raporlama formatı, 13) Değişim yönetimi sürecinin açıkça belirlenmesi, 14) Erişim yapması gereken üçüncü tarafın erişiminin nedenleri, gerekleri ve faydaları,

15 YÖN. RH /19 15) İzin verilen erişim yöntemleri, kullanıcı kimliği ve şifresi gibi tek ve benzersiz tanımlayıcı kullanımı ve kontrolü, 16) Kullanıcı erişimi ve ayrıcalıkları için bir yetkilendirme süreci, 17) Korumanın bir gerekliliği olarak mevcut hizmetleri kullanmaya yetkili kişilerin ve haklan ile ayrıcalıkları gibi kullanımları ile ilgili olan bir bilgilerin bir listesi, 18) Erişim haklarının iptal edilmesi veya sistemler arası bağlantı kesilmesi için süreç, 19) Sözleşme de belirtilen şartların ihlali olarak meydana gelen bilgi güvenliği ihlal olaylarının ve güvenlik ihlallerinin raporlanması, bildirimi ve incelenmesi için bir anlaşma, 20) Sağlanacak ürün veya hizmetin bir açıklaması ve güvenlik sınıflandırması ile kullanılabilir hale getirilmesini tanımlayan bir bilgi, 21) Hedef hizmet seviyesi ve kabul edilemez hizmet seviyesi, 22) Doğrulanabilir performans kriterlerinin tanımı, kriterlerin izlenmesi ve raporlanması, 23) Kuruluşun varlıkları ile ilgili herhangi bir faaliyetin izlenmesi ve geri alınması hakkı, 24) Üçüncü bir taraf tarafından yürütülen denetimler için sözleşmede belirtilen denetleme sorumlulukları hakkı ve denetçilerin yasal haklarının sıralanması, 25) Sorun çözümü için bir yükseltme sürecinin kurulması, 26) Bir kuruluşun iş öncelikleri ile uygun elverişlilik ve güvenilirlik de dahil olmak üzere hizmet sürekliliği gerekleri, 27) Anlaşmayla ilgili tarafların yükümlülükleri, 28) Hukuki konularla ilgili sorumlulukları ve yasal gereklerin nasıl karşılanması gerektiğinden emin olunmalıdır, (örneğin, veri koruma mevzuatı, anlaşma diğer ülkelerle ile işbirliği içeriyorsa özellikle farklı ulusal yargı sistemleri dikkate alınarak) 29) Fikri mülkiyet hakları (IPRs), telif hakkı ve herhangi bir ortak çalışmanın korunması, 30) Üçüncü tarafların alt yüklenicileri ile birlikte bağlılığı ve altyüklenicilere uygulanması gereken güvenlik kontrolleri, 31) Anlaşmaların yeniden müzakeresi ya da feshi için şartlar,

16 YÖN. RH /19 32) Taraflardan birinin anlaşmayı planlanan tarihten önce bitirmesi durumunda bir acil durum planı olmalıdır. 33) Kuruluş güvenlik gereklerinin değişmesi durumunda anlaşmaların yeniden müzakere edilmesi, 34) Varlık listeleri, lisanslar, anlaşmalar ve hakların geçerli belgeleri ve onlarla ilişkisi. 35) Farklı kuruluşlar ve farklı türdeki üçüncü taraflar arasında yapılan anlaşmalar önemli ölçüde değişebilir. Bu nedenle; anlaşmalar, belirlenen tüm riskleri ve güvenlik gereklerini içerecek şekilde yapılmalıdır. Gerektiğinde güvenlik yönetim planındaki gerekli kontroller ve prosedürler genişletilebilir. Bilgi güvenliği yönetimi dış kaynaklı ise anlaşmalarda üçüncü tarafın güvenlik garantisinin yeterliliğini nasıl ele alındığı anlaşmada belirtilmelidir. Risk değerlendirmede tanımlandığı gibi, risklerdeki değişiklikleri belirlemek ve başa çıkmak için güvenliğin nasıl adapte edileceği ve sürdürüleceği ele alınmalıdır. Dış kaynak kullanımı ve üçüncü taraf hizmet sunumunun diğer formları arasındaki farklılıkların bazıları; sorumluluk, geçiş durumu planlama ve işlemler süresince potansiyel kesinti süresi, acil durum planlaması yönetmelikleri ve durum tespitinin gözden geçirilmesi, güvenlik olayları hakkında bilgi toplanması ve yönetimi konularında sorular içerecektir. Bu nedenle, dış kaynaklı bir yönetmelik geçişinde; kuruluş değişiklikleri yönetmek için uygun süreçlere ve anlaşmaların yeniden müzakere edilmesi ya da fesh edilmesi hakkına sahip olduğu için kuruluşun planlaması ve yönetimi önemlidir. Üçüncü taraflarla yapılan anlaşmalar diğer tarafları içerebilir. Üçüncü taraflara erişim hakkı verilmeden önce, erişim hakkı ve katılım için diğer tarafların ve koşulların belirlenmesi amacıyla anlaşmaya varılması gerekir. Genellikle anlaşmaların esasları kuruluşlar tarafından geliştirilmiştir. Bazı durumlarda anlaşmaların üçüncü taraflarca geliştirilmesi ve kuruluşa empoze edilmesi durumu olabilir. Kuruluşlar, kendi yapılarına üçüncü taraflarca empoze edilecek anlaşmalarda kendi güvenliklerinin gereksiz yere etkilenmesini engeller.

17 YÖN. RH / İHLAL BİLDİRİM VE YÖNETİMİ 1) Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin sonlandırılmasını sağlayan uygun bir geri besleme süreci oluşturulmalıdır. 2) Bilgi güvenliği ihlâli oluşması durumunda kişilerin tüm gerekli faaliyetleri hatırlamasını sağlamak maksadıyla bilgi güvenliği olayı rapor formatı hazırlanmalıdır. 3) Güvenlik olayının oluşması durumunda olay anında raporlanmalıdır. 4) İhlali yapan kullanıcı tespit edilmeli ve ihlalin suç unsuru içerip içermediği belirlenmelidir. 5) Güvenlik ihlaline neden olan çalışanlar, üçüncü taraflarla ilgili resmi bir disiplin sürecine başvurulur. 6) Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor edilir. 7) Bilgi sistemi arızaları ve hizmet kayıpları, zararlı kodlar, dos atakları, tamamlanmamış veya yanlış iş verisinden kaynaklanan hatalar, gizlilik ve bütünlük ihlâlleri, bilgi sistemlerinin yanlış kullanımı gibi farklı bilgi güvenliği olaylarını bertaraf edecek tedbirler alınır. 8) Normal olasılık planlarına ilave olarak olayın tanımı ve sebebinin analizi, önleme, tekrarı önlemek maksadıyla düzeltici tedbirlerin planlanması ve uygulanması, olaylardan etkilenen veya olaylardan kurtulanlarla iletişim, eylemin ilgili otoritelere raporlanması konuları göz önüne alınır. 9) İç problem analizi, adli incelemeler veya üretici firmadan zararın telafi edilmesi için aynı türdeki olayların izleme kayıtları (log) toplanır ve korunur. 10) Güvenlik ihlallerinden kurtulmak için gereken eylemler, sistem hatalarının düzeltilmesi hususları dikkate alınır. Kanıt toplama; kuruluş içerisinde disiplin faaliyeti için delil toplanırken uygulanacak genel kurallar şunlardır;

18 YÖN. RH /19 a) Kanıtın mahkemede kullanılıp kullanılamayacağı ile ilgili kabul edilebilirlik derecesi, b) Kanıtın niteliği ve tamlığını gösteren ağırlığı. Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, kurum personel yönetmeliği gereğince aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulayabilir: a) Uyarma, b) Kınama, c) Para cezası, d) Sözleşme feshi DESTEK HİZMETLERİ Elektrik, su, kanalizasyon ve iklimlendirme sistemleri destekledikleri bilgi işlem dairesi için yeterli düzeyde olmalıdır. Elektrik şebekesine yedekli bağlantı, kesintisiz güç kaynağı gibi önlemler ile ekipmanları elektrik arızalarından koruyacak tedbirler alınmış olmalıdır. Kesintisiz güç kaynağı prizleri sadece bilgisayar için kullanılmalıdır. Yedek jeneratör ve jeneratör için yeterli düzeyde yakıt bulundurulmalıdır. Su bağlantısı iklimlendirme ve yangın söndürme sistemlerini destekleyecek düzeyde olmalıdır. Acil durumlarda iletişimin kesilmemesi için servis sağlayıcıdan iki bağımsız hat alınmalıdır. Kurum bu konuda yasal yükümlülüklerini yerine getirmelidir.