700.EY.POL.01 01.06.2017 REV:00 1/34 700.EY.POL.01 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ GENEL KULLANIM POLİTİKASI 1. GİRİŞ... 4 1.1. BİLGİ GÜVENLİĞİ NEDİR?... 4 1.2. BİLGİ GÜVENLİĞİ AMAÇLARI... 4 2.0 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ... 5 2.1 GİRİŞ... 5 2.2 AMAÇ... 5 2.3 KAPSAM... 5 2.3.1.İç Kapsam... 6 2.3.2.Dış Kapsam... 6 2.4 TANIMLAR... 7 2.5 SORUMLULUKLAR... 8 2.5.1 Yönetim Sorumluluğu... 8 2.5.2.BGYS Yöneticisinin Sorumluluğu... 9 2.5.3. BGYS Ekibinin Sorumluluğu... 9 2.5.4. İç Denetçi Sorumluluğu... 9 2.5.5.Bölüm Yöneticileri Sorumluluğu... 10 2.5.6.Tüm Çalışanların Sorumluluğu... 10 2.5.7.Üçüncü Tarafların Sorumluluğu... 10 2.6 BİLGİ GÜVENLİĞİ HEDEFLERİ... 10 2.6.1 RİSK YÖNETİM ÇERÇEVESİ... 11 2.6.2 BİLGİ GÜVENLİĞİ GENEL ESASLARI... 11 2.6.3. POLİTİKANIN İHLALİ VE YAPTIRIMLAR... 12 2.6.4 YÖNETİMİN GÖZDEN GEÇİRMESİ... 12 2.6.5. BİLGİ GÜVENLİĞİ POLİTİKA DOKÜMANI GÜNCELLENMESİ VE GÖZDEM GEÇİRİLMESİ... 12 3.4. BİLGİ GÜVENLİĞİ KAPSAMI... 14 4.YÖNETİMİN DESTEĞİ... 15 5. GÜVENLİK POLİTİKASI DOKÜMANI GÜNCELLENMESİ VE GÖZDEN GEÇİRİLMESİ... 15 6.KURUMSAL GÜVENLİK... 16 6.1. BİLGİ GÜVENLİĞİ ALTYAPISI... 16 6.2 ÜÇÜNCÜ ŞAHISLARIN BİLGİYE ERİŞİMİ... 16 6.3 DIŞ KAYNAK SAĞLANMASI... 16 7. VARLIKLAR... 17 7.1 VARLIKLARIN SINIFLANDIRILMASI VE DENETİMİ... 17 7.2 PERSONEL YETKİNLİK VE FARKINDALIĞI... 17 7.3 FİZİKSEL GÜVENLİK... 18 7.3.1.Güvenlik Korumalı Bölgeler... 18 7.4. DONANIMSAL GÜVENLİK... 18 7.5.GENEL GÜVENLİK DENETİMLERİ... 19 8. SİSTEMLERİN İŞLETİM GÜVENLİĞİ... 19 8.1.İŞLETİM PROSEDÜRLERİ... 19
700.EY.POL.01 01.06.2017 REV:00 2/34 8.2.OLAY YÖNETİMİ PROSEDÜRLERİ... 20 8.3.GELİŞTİRME, TEST VE İŞLETİM SİSTEMLERİNİN AYRILMASI... 20 8.4 SİSTEM PLANLAMA VE GENİŞLETME... 21 8.5. KÖTÜ NİYETLİ YAZILIMLARA KARŞI KORUNMA... 21 8.6 AĞ YÖNETİMİ... 21 8.7.BİLGİ ORTAMI YÖNETİMİ VE GÜVENLİĞİ... 21 8.8. BİLGİ VE YAZILIM DEĞİŞİMİ... 22 9.ERİŞİM DENETİMİ... 22 9.1.GEREKLİLİKLER... 22 9.2.KULLANICI ERİŞİMİ YÖNETİMİ... 22 9.3.AĞ ERİŞİMİ DENETİMİ... 23 9.4. İŞLETİM SİSTEMİ ERİŞİMİ DENETİMİ... 23 9.5.UYGULAMA ERİŞİMİ DENETİMİ... 23 9.6 DIŞARIDAN SİSTEME ERİŞİM DENETİMİ... 23 10 UYGULAMA SİSTEMİ GELİŞTİRİLMESİ VE İDAMESİ... 23 10.1.SİSTEM GÜVENLİK GEREKLİLİKLERİ... 23 10.2.SİSTEMLERDE GÜVENLİK... 24 10.3.SİSTEM DOSYALARI GÜVENLİĞİ... 24 11. İŞ SÜREKLİLİĞİ YÖNETİMİ... 24 12.UYUM SÜRECİ... 24 12.1 YASAL GEREKSİNİMLERE UYUM... 24 12.2.SİSTEM DENETLEME GEREKLİLİKLERİ... 25 13.TEKNİK GÜVENLİK İLKELERİ... 25 13.1 BİLGİ SİSTEMLERİNİ GÜVENLİ KULLANIM POLİTİKASI;... 25 13.2 KULLANICI PAROLA POLİTİKASI... 26 13.3 MOBİL CİHAZ GÜVENLİĞİ İLKESİ... 27 14.İNTERNET VE E-POSTA KULLANIM İLKELERİ... 27 15. VİRÜS VE ZARARLI İÇERİKTEN KORUNMA İLKELERİ... 29 16. MOBİL CİHAZLAR KULLANIM POLİTİKASI... 30 17. KULLANICI BİLGİ GÜVENLİĞİ EĞİTİMİ... 31 18. ROLLER VE SORUMLULUKLAR... 32 18.1. BAŞKAN, BAŞKAN YARDIMCILARI SORUMLULUKLARI... 32 18.2.BİRİM MÜDÜRLERİNİN SORUMLULUKLARI... 32 18.3 BGYS YÖNETİCİSİNİN SORUMLULUKLARI... 32 18.4.BGYS SORUMLUSUNUN SORUMLULUKLARI... 32 18.5. BİM PERSONELİN SORUMLULUKLARI... 33 18.6 KULLANICILARIN SORUMLULUKLARI... 33 18.7 GÖREVLERİN AYRILIĞI... 33 19.YÖNETİMİN ONAYI... 33
700.EY.POL.01 01.06.2017 REV:00 3/34 BİM BGYS Envanter Truva Atı Kısaltma Üst Yönetim BGYS Yöneticisi Destek kayıt sistemi VLAN(Sanal yerel ağ) YGG KISALTMALAR TABLOSU Bilgi İşlem Müdürlüğü Tanım Bilgi Güvenliği Yönetim Sistemi Bilgi işlem tarafından önem arz eden her türlü kurum varlığı Bilgisayarlara izinsiz yüklenerek, dışarıdan bağlantıyı mümkün kılan kötü niyetli yazılım Eyüpsultan Belediye Başkanı ve yardımcıları Üst Yönetim tarafından BGYS kurulması ve yönetilmesinden sorumlu kişi Kullanıcıların Bilgi İşlem Müdürlüğüne taleplerini iletmek için kullandıkları yardım masası yazılımı (http://taleptakip.eyup.bel.tr/) Birçok farklı ağ bölümüne dağılmış olan ancak birbirleri ile iletişim kurmaları sağlanan bir veya birkaç yerel ağ cihazları grubu. Yönetimin Gözden Geçirmesi
700.EY.POL.01 01.06.2017 REV:00 4/34 1. Giriş 1.1. Bilgi Güvenliği Nedir? Bilgi güvenliği; bilgiyi, yetkisiz kişilerin görmesinden, değiştirmesinden, bilgilerin silinmesinden korumaktadır. Şüphesiz kamu kurumlarında vergi bilgileri, tapu bilgileri, imar bilgileri gibi birçok bilgi yetkisiz kişiler tarafından görülmemesi gereken ve silindiğinde ve yetkisiz kişilerin eline geçtiğinde kurumu sıkıntıya sokacak bilgilerdir. Bilgi güvenliği, kurumlarda bilişim sistemlerinin kullanılmasıyla daha önemli hale gelmiştir. Bilgi saklama ortamları olarak çoğunlukla kâğıt kullanıldığı zamanlarda güvenlik önlemleri olarak fiziksel güvenlik önlemlerine ağırlık verilmiş, ancak, gelişen teknolojiler kullanılarak bilgilerin dijital ortamlarda, veri tabanlarında, CD, disket gibi saklama ortamlarında kullanıcısının 24 saat erişebileceği şekilde saklanması gündeme geldiğinde fiziksel güvenlik önlemleri yetersiz kalmaya başlamıştır. Gerek bilişim sistemlerinin bağlantı ihtiyaçları sonucunda Internet erişimleri nedeniyle dünya üzerindeki birçok saldırganın tehdit oluşturması, gerekse iç kullanıcıların bilinçli veya bilinçsiz olarak bilgi güvenliğinde açıklıklara neden olması, kurumlarda bilgi güvenliğine olan ihtiyacı gün geçtikçe daha fazla artırmaktadır. Bilgi güvenliğine duyulan ihtiyaçla birlikte, güvenliğin sağlanması için bilinçli personel barındırmak ve güvenlik sürecinin işletilmesi için yeterli doküman ve prosedürlerin oluşturulması da bir zorunluluk olmuştur. Bilgi güvenliği, bu politikada aşağıdakilerin korunması olarak tanımlanır: i. Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek; ii. Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek; iii. Kullanılabilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek. Bilgi güvenliği politikası dokümanı, yukarıdaki korumaları ve gereksinimleri sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin belirtildiği dokümandır. 1.2. Bilgi Güvenliği Amaçları Teknik olanaklar aracılığıyla ulaşılabilen güvenlik sınırlıdır ve uygun yönetim ve yöntemlerle desteklenmelidir. Eyüpsultan Belediyesi nde uygulanan Bilgi Güvenliğinin
700.EY.POL.01 01.06.2017 REV:00 5/34 amacı uygun ve etkili politikalar kullanarak bilgi sistemlerinin güvenlik seviyesini artırmaktır. Eyüpsultan Belediyesi Bilgi Güvenliğinin hedefi ise her seviyede kullanıcıya Bilgisayar Sistemleri ni kullanımları esnasında ne şekilde hareket etmeleri gerektiği konusunda yol göstermek, kullanıcıların bilinç ve farkındalık seviyelerini artırmak ve bu şekilde bilgi sistemlerinde oluşabilecek riskleri minimuma indirmek, kurumun güvenilirliğini ve temsil ettiği makamın imajını korumak, üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak, kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamaktır. Kurumun risk yönetim çerçevesi, bilgi güvenliği risklerinin tanımlanmasını, değerlendirilmesini, işlenmesini kapsar. Risk değerlendirmesi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl kontrol edildiğini tanımlar. 2.0 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 2.1 Giriş BGYS politikası, kurum bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken kuralları içeren bir rehberdir. Bu politikada tüm çalışanları ilgilendiren maddeler olduğu gibi sadece bazı bölümleri ilgilendiren maddeler de bulunmaktadır. 2.2 Amaç Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarımızın gizliliği, bütünlüğü ve gerektiğinde yetkili kişilerce erişilebilirliğini sağlamaktır. Bu politikanın amacı, hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek için, üst yönetiminin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir. Bilgi güvenliği yönetim sistemimiz ISO 27001:2013 standardına uygun olarak kurulmuş ve bu standardın gerekliliklerini karşılayacak şekilde PUKÖ (Planla, Uygula, Kontrol et, Önlem al) sürekli iyileştirme döngüsü çerçevesinde bir süreç olarak uygulanmaktadır. 2.3 Kapsam Eyüpsultan Belediyesinin bilgi işlem faaliyetlerinin bilgi varlıklarının ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliği ile ilgili iş süreçlerini kapsar.
700.EY.POL.01 01.06.2017 REV:00 6/34 2.3.1.İç Kapsam İdare, kuruluşa ilişkin yapı, roller ve yükümlülükler; Eyüpsultan Belediyesi, Başkanlığı bünyesinde bulunan kapsam dahilindeki departmanlar; Bilgi İşlem Müdürlüğü, İnsan Kaynakları ve Eğitim Müdürlüğüdür. Bu birimlerin; Genel Yönetim Organizasyon Şemasında belirtilmiş olan roller ve görev tanımlarındaki sorumlulukları kapsamaktadır. Yerine getirilecek politikalar, hedefler ve stratejiler; Tüm yönetim sistemleri El Kitabında tanımlanan politikalar, BGYS Politikaları, Yönetimce belirlenmiş yıllık BGYS hedefleri, Kaynaklar ve bilgi birikimi cinsinden anlaşılan yetenekler (örneğin, anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler), Bilgi Güvenliği Yönetim Sisteminin kurulması, işletilmesi ve sürdürülmesi için Eyüpsultan Belediyesi Başkanlığı tarafından atanan BGYS Yöneticisi ve BGYS ekibi, İç paydaşlarla ilişkiler ve onların algılamaları ve değerleri, kuruluşun kültürü, kuruluş tarafından uyarlanan standartlar, kılavuzlar ve modeller, sözleşmeye ilişkin ilişkilerin; biçim ve genişliğini kapsamaktadır. 2.3.2.Dış Kapsam Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam, Küresel Rekabet Hukuku, Politikaları ve Prosedürleri, Tedarikçi ve paydaşların verilerinin gizliliği, Kalite Odaklılık, Kuruluşun hedefleri üzerinde etkisi bulunan paydaşlarla ilişkiler ve onların algılamaları ve değerleri, Vatandaş memnuniyetin sağlanması için Üst Yönetim dahil tüm Eyüpsultan Belediyesi çalışanları, İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartlar, standartlar,
700.EY.POL.01 01.06.2017 REV:00 7/34 TSE ve diğer kuruluşlarla olan ürün belgelendirmeleri dış kapsamdır. 2.4 Tanımlar BGYS: Bilgi Güvenliği Yönetim Sistemi. Envanter: Kurum için önemli olan her türlü bilgi varlığı. Üst Yönetim: Eyüpsultan Belediyesi Başkanlığı; Başkan ve Yardımcıları Bilgi Güvenliği: Bilgi, tüm diğer kurumsal ve ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun şekilde korunması gereken bir varlıktır. Eyüpsultan Belediyesi, süreç, teknik ve yöntem, paydaş kayıtları, personel bilgileri, siyasi bilgiler, teknolojik bilgiler ve sırlar GİZLİ BİLGİ olarak kabul edilir. Gizlilik: Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır. (Ör: Şifreli e-posta gönderimi ile e- postanın ele geçmesi halinde dahi yetkisiz kişilerin e-postaları okuması engellenebilir) Bütünlük: Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler çıkarmalar yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır. (Ör: Veri tabanında saklanan verilerin özet bilgileri ile birlikte saklanması, dijital imza) Erişilebilirlik/Kullanılabilirlik: Varlığın ihtiyaç duyulduğu her an kullanıma hazır olmasıdır. Diğer bir ifadeyle, sistemlerin sürekli hizmet verebilir halde bulunması ve sistemlerdeki bilginin kaybolmaması ve sürekli erişilebilir olmasıdır. (Ör: Sunucuların güç hattı dalgalanmalarından ve güç kesintilerinden etkilenmemesi için kesintisiz güç kaynağı ve şasilerinde yedekli güç kaynağı kullanımı). Bu dokümanda Erişilebilirlik olarak kullanılacaktır. Bilgi Varlığı: Eyüpsultan Belediyesi sahip olduğu, işlerini aksatmadan yürütebilmesi için önemli olan varlıklardır. Bu politikaya konu olan süreçler kapsamında bilgi varlıkları şunlardır: Kâğıt, elektronik, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri,
700.EY.POL.01 01.06.2017 REV:00 8/34 Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım, Bilginin transfer edilmesini sağlayan ağlar, Bölümler, birimler, ekipler ve çalışanlar, Tesisler ve özel alanlar, Çözüm ortakları, Üçüncü taraflardan sağlanan servis, hizmet veya ürünlerdir. 2.5 Sorumluluklar Sorumluluk ve yetkileri belirlenmiş görevlerin nitelik ve yeterlilikleri görev tanımlarında tanımlanmıştır. Bilgi güvenliği ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden Bilgi İşlem Ekibi ve BGYS yöneticisi sorumludur. BGYS yöneticisi Üst Yönetim tarafından atanmıştır. 2.5.1 Yönetim Sorumluluğu Eyüpsultan Belediyesi Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli kaynakları tahsis edeceğini, sistemin tüm çalışanlar tarafından anlaşılmasını sağlayacağını taahhüt eder. BGYS kurulumu sırasında BGYS Yöneticisi, atama yazısı ile atanır. Gerekli olduğu durumlarda üst yönetim tarafından doküman revize edilerek atama tekrar yapılır. Yönetim kademesindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan anlayış, kurumun en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden tüm yöneticiler yazılı ya da sözlü olarak güvenlik talimatlarına uymaları, güvenlik konularındaki çalışmalara katılmaları yönünde çalışanlarına destek olurlar. Üst Yönetim, Bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.
700.EY.POL.01 01.06.2017 REV:00 9/34 2.5.2.BGYS Yöneticisinin Sorumluluğu BGYS nin (Bilgi Güvenliği Yönetim Sistemi) planlanması, kabul edilebilir risk seviyesinin belirlenmesi, risk değerlendirme Yöntem biliminin belirlenmesini, BGYS kurulumunda destekleyici ve tamamlayıcı faaliyetler için gerekli kaynakların sağlanması, kullanıcı kabiliyetlerinin sağlanması/iyileştirilmesi ve farkındalığın oluşması, eğitimlerin yapılması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması, BGYS uygulamalarının yürütülmesi ve yönetilmesi, değerlendirmelerin, iyileştirmelerin ve risk değerlendirmelerinin sürekliliğinin sağlanması, İç denetimler, hedeflerin ve yönetim gözden geçirme toplantıları ile BGYS ve kontrollerin değerlendirilmesi, BGYS 'de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur. 2.5.3. BGYS Ekibinin Sorumluluğu Bölümleri ile ilgili varlık envanteri ve risk analiz çalışmalarının yapılması, Sorumluluğu altında bulunan bilgi varlıklarında bilgi güvenliği risklerini etkileyecek bir değişiklik olduğunda, risk değerlendirmesi yapılması için BGYS yöneticisini bilgilendirmesi, Departman çalışanlarının politika ve prosedürlere uygun çalışmasını sağlanması, Bölümleri ile ilgili BGYS kapsamında farkındalığın oluşması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması, BGYS' de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur. 2.5.4. İç Denetçi Sorumluluğu İç denetim planı doğrultusunda, görev verilen iç denetimlerde denetim faaliyetlerinin yapılmasından ve raporlanmasından sorumludur.
700.EY.POL.01 01.06.2017 REV:00 10/34 2.5.5.Bölüm Yöneticileri Sorumluluğu Bilgi Güvenliği Politikasının uygulanması ve çalışanların esaslara uymasının sağlanmasından, 3. tarafların politikadan haberdar olmasının sağlanmasından ve fark ettiği bilgi sistemleri ile ilgili güvenlik ihlal olaylarının bildirilmesinden sorumludurlar. 2.5.6.Tüm Çalışanların Sorumluluğu Çalışmalarını bilgi güvenliği hedeflerine, politikalarına ve bilgi güvenliği yönetim sistemi dokümanlarına uygun olarak yürütmekten, Kendi birimi ile ilgili bilgi güvenliği hedeflerinin takibini yapar ve hedeflere ulaşılmasını sağlar. Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamaktan, Üçüncü taraflar ile yapılan hizmet sözleşmelerine (danışmanlık vb.) ilave olarak gizlilik sözleşmesi yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur. 2.5.7.Üçüncü Tarafların Sorumluluğu Bilgi güvenliği politikasının bilinmesi ve uygulanması ile BGYS kapsamında belirlenen davranışlara uyulmasından sorumludur. 2.6 Bilgi Güvenliği Hedefleri Bilgi Güvenliği Politikası, Eyüpsultan Belediyesi çalışanlarına kurumun güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini arttırmak ve bu şekilde kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, güvenilirliğini ve imajını korumak ve üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunlukları sağlamak amacıyla kurumun tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarının korunmasını hedefler. Yönetim Tarafından belirlenen hedefler belirlenmiş periyodlarda izlenir ve YGG toplantılarında gözden geçirilir
700.EY.POL.01 01.06.2017 REV:00 11/34 2.6.1 Risk Yönetim Çerçevesi Kurumun risk yönetim çerçevesi; Bilgi güvenliği risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl kontrol edildiğini tanımlar. Risk işleme planının yönetiminden ve gerçekleştirilmesinden BGYS Ekibi sorumludur. Tüm bu çalışmalar, varlık envanteri ve risk değerlendirme talimatında detaylı olarak anlatılmaktadır. 2.6.2 Bilgi Güvenliği Genel Esasları a) Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, Eyüpsultan Belediyesi çalışanları ve 3. taraflar bu politikaları bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür. b) Bu kural ve politikalar, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır. c) Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001 "Bilgi Teknolojisi Güvenlik Teknikleri (Information Technology Security Techniques) ve Bilgi Güvenliği Yönetim Sistemleri Gereksinimler (Information Security Management Systems Requirements)" standardını temel alarak yapılandırılır ve işletilir. d) BGYS nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmalarını, ilgili tarafların katkısıyla yürütür. BGYS dokümanlarının gerektiği zamanlarda güncellenmesi sorumluluğundadır. e) Kurum tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça kuruma aittir. f) Çalışanlarla, danışman firmalarla, hizmet alımı yapılan firmalarla, tedarikçi firmalarla ve stajyerler ile gizlilik anlaşmaları yapılır. g) İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır. h) Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut kurum çalışanlarına ve yeni işe başlayan çalışanlara verilir. i) Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır.
700.EY.POL.01 01.06.2017 REV:00 12/34 j) Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır. k) Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir. l) Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır. m) Kuruma ait bilgi varlıkları için kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır. n) Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır. o) Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme Yapılandırmalarıyla ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır. p) Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır. q) Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir. r) Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır. s) Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır. 2.6.3. Politikanın İhlali ve Yaptırımlar Eyüpsultan Belediyesine Bilgi Güvenliği Politikasına ve Standartlarına uyulmadığının tespit edilmesi durumunda, bu ihlalden sorumlu olan çalışanlar için 903.EY.YÖN.14.İK YÖNETMELİK İŞLEMLERİ ne göre 3. Taraflar için de geçerli olan sözleşmelerde geçen ilgili maddelerinde belirlenen yaptırımlar uygulanır. 2.6.4 Yönetimin Gözden Geçirmesi Yönetim gözden geçirme toplantıları BGYS Yöneticisi, Üst Yönetim ve Bölüm yöneticileri katılımı ile gerçekleştirilir. Bilgi Güvenliği Yönetim Sisteminin uygunluğunun ve etkinliğinin değerlendirildiği bu toplantılar en az yılda bir kez gerçekleştirilmektedir. 2.6.5. Bilgi Güvenliği Politika Dokümanı Güncellenmesi ve Gözdem Geçirilmesi Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS Yöneticisi sorumludur.
700.EY.POL.01 01.06.2017 REV:00 13/34 Doküman, en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa üst yönetime onaylatılarak yeni sürüm olarak kayıt altına alınmalıdır. Her yenilenme tüm kullanıcıların erişebileceği şekilde yayınlanmalıdır. 3.0 Bilgi Güvenliği Politika, Prosedür ve Rehberleri BGYS Politikası kurumumuzca yayınlanan birçok farklı politika, prosedür, talimat ve rehberi kontrol ve risk yönetimi amaçları çerçevesinde adresler. 3.1 Bilgi Güvenliği Politikası ve Rehberi Bilgi sistemleri tarafından yayınlanan bu dokümanda genel bilgi güvenliği kuralları tanımlanmıştır. Her çalışan bu dokümanda belirtilen kurallara uymakla sorumludur. 3.2 Bilgi Güvenliği Prosedürleri ve Planları Bilgi yedekleme, ihlal olayı müdahale, iç denetim, doküman ve kayıtların kontrolü, kullanıcı tanımlama, iş sürekliliği planı, acil durum eylem planı, risk işleme planı gibi prosedür ve planlarda sistemin işleyişi anlatılmaktadır. İlgili çalışanlar yönetimce tanımlanan ve yayınlanan bu prosedür ve planlara uygun hareket etmelidirler. 3.3. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKA LİSTESİ 700.EY.POL.01.BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ GENEL KULLANIM POLİTİKASI 700.EY.POL.02.BİLGİ SİSTEMLERİNİ GÜVENLİ KULLANIM POLİTİKASI.docx 700.EY.POL.03.İNTERNET ERİŞİM POLİTİKASI.docx 700.EY.POL.04.E-POSTA KULLANIM POLİTİKASI.docx 700.EY.POL.05.ANTİVİRÜS YÖNETİM POLİTİKASI.docx 700.EY.POL.06.ŞİFRE YÖNETİM POLİTİKASI.docx 700.EY.POL.07.KABLOSUZ ERİŞİM POLİTİKASI.docx 700.EY.POL.08.UZAKTAN ERİŞİM POLİTİKASI.docx 700.EY.POL.09.KRİZ ACİL DURUM YÖNETİM POLİTİKASI.docx 700.EY.POL.10.FİZİKSEL VE SİSTEM ODASI GÜVENLİK POLİTİKASI.docx 700.EY.POL.11.SUNUCU GÜVENLİK POLİTİKASI.docx
700.EY.POL.01 01.06.2017 REV:00 14/34 700.EY.POL.12. AĞ CİHAZLARI GÜVENLİK POLİTİKALARI.docx 700.EY.POL.12. AĞ CİHAZLARI GÜVENLİK POLİTİKALARI_v2.docx 700.EY.POL.13.AĞ CİHAZLARI YÖNETİM POLİTİKASI.docx 700.EY.POL.14.VERİTABANI GÜVENLİK POLİTİKASI.docx 700.EY.POL.15.DEĞİŞİM YÖNETİM POLİTİKASI.docx 700.EY.POL.16.GÜVENLİK AÇIKLARI TESPİT ETME POLİTİKASI.docx 700.EY.POL.17.SANAL ÖZEL AĞ POLİTİKASI.docx 700.EY.POL.18.KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI.docx 700.EY.POL.19.LİSANS YÖNETİM POLİTİKASI.docx 700.EY.POL.20.YAZILIM GELİŞTİRME POLİTİKASI.docx 700.EY.POL.21.KABUL EDİLEBİLİR KULLANIM POLİTİKASI.docx 700.EY.POL.22.TECHİZATIN ELDEN ÇIKARILMASI POLİTİKASI.docx 700.EY.POL.23.ORTAMIN ELDEN ÇIKARILMASI POLİTİKASI.docx 700.EY.POL.24.TEMİZ MASA TEMİZ EKRAN POLİTİKASI.docx 700.EY.POL.25.IP TELEFON SANTRALİ YÖNETİM POLİTİKASI.docx 700.EY.POL.26.ZİYARETÇİ KABUL POLİTİKASI.docx 700.EY.POL.27.MOBİL CİHAZ POLİTİKASI.docx 700.EY.POL.28.BİLGİ VE YAZILIM ALIŞVERİŞİ POLİTİKASI.docx 700.EY.POL.29. ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI.docx 700.EY.POL.30.VARLIKLARA YÖNELİK SORUMLULUK POLİTİKASI.docx 700.EY.POL.31.BASILI ÇIKTI VE DAĞITIM POLİTİKASI.docx 700.EY.POL.32.BİLGİ SINIFLANDIRMA POLİTİKASI.docx 700.EY.POL.33.OLAY İHLAL BİLDİRİM POLİTİKASI.docx 700.EY.POL.34.MEDYA ARŞİV SUNUCU YÖNETİMİ POLİTİKASI.docx 700.EY.POL.35.E_İMZA KULLANIM POLİTİKASI.docx 700.EY.POL.36.MOBİL İMZA KULLANIM POLİTİKASI.docx 700.EY.POL.37.KAMERA TAKİP POLİTİKASI.docx 700.EY.POL.38.LED EKRAN YÖNETİM POLİTİKASI.docx 700.EY.POL.39.KURUMSAL WEB SİTESİ YÖNETİM POLİTİKASI.docx 700.EY.POL.40.YAZICI VE TONER POLİTİKASI.docx 700.EY.POL.41.YEDEKLEME VE DEPOLAMA YÖNETİM POLİTİKASI.docx 700.EY.POL.42.KRİPTOGRAFİK KONTROLLER POLİTİKASI.docx 700.EY.POL.43.SOSYAL MEDYA YÖNETİMİ POLİTİKASI.docx 700.EY.POL.44.KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI.docx 3.4. Bilgi Güvenliği Kapsamı BGYS kapsamı olarak Eyüpsultan belediyesi bilgi işlem varlıklarını, süreçlerini, Sistem Odası, Bilgi İşlem Odası ve Bilgi İşlem İnsan kaynaklarını ve üçüncü taraf
700.EY.POL.01 01.06.2017 REV:00 15/34 olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır. Bu doğrultuda bilgi işlem varlıkları ile etkileşim içerisinde olan süreçler belirlenmiş olan risk yönetimi yöntemleri çerçevesinde incelenecektir. 4.Yönetimin Desteği BGYS kurulurken üst yönetim tarafından BGYS yöneticisi, Kurum BGYS Yöneticisi Görevlendirme dokümanı ile atanmalıdır. BGYS yöneticisi değiştiğinde, işten ayrıldığında üst yönetim tarafından doküman revize edilerek atama tekrar yapılmalıdır. BGYS yöneticisini belirlemek ve değiştirmek üst yönetimin yetkisindedir. Atanan BGYS yöneticisi, nu, BGYS SORUMLUSU VE EKİBİ ATAMA YAZISI ile belirler. BGYS sorumlusunu belirlemek ve ihtiyaç duyduğunda değiştirmek BGYS yöneticisinin sorumluluğundadır. Yönetim kademelerinde bulunan personel müdürlerinin ve birim müdürlerinin güvenlik konusunda ısrarcı olmaları, alt kademelerde bulunan personele sorumluluk verme ve örnek olma konusunda çok yardımcı olmaktadır. Üst kademelerden başlayan ve uygulanan bir güvenlik anlayışıyla, kurumun en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden kurumdaki müdürlüklerin, gerek yazılı gerekse sözlü olarak güvenlik prosedürlerine uymaları, güvenlik konusundaki çalışmalara katılmaları ve güvenlik ile ilgili çalışmalarda bulunan personele destek olmaları gerekmektedir. 5. Güvenlik Politikası Dokümanı Güncellenmesi ve Gözden Geçirilmesi Politika dokümanının sürekliliğinin sağlanması ve gözden geçirilmesi BGYS Sorumlusu tarafından yapılır. Bilgi Güvenliği Politikası Dokümanı, yılda bir periyodik gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa sürüm değişimi olarak kayıt altına alınmalı ve her sürüm BGYS yöneticisi ve Üst Yönetimine onaylatılmalıdır. Her sürüm değişikliği tüm kullanıcılara e-mail yolu ile ortak dosya paylaşım sunucusunda ve destek kayıt sisteminde yayımlanmalıdır. Gözden geçirmelerde; Politikanın etkinliği, kaydedilmiş güvenlik arızalarının yapısı, sayısı ve etkisi aracılığıyla gözlemlenmelidir. Politikanın güncelliği teknolojik değişimlerin etkisi vasıtasıyla gözlemlenmelidir Politikanın güncelliği değişen personelle birlikte gözden geçirilmeli, yeni personelin katılımı sağlanmalıdır. Politika, sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra gözden geçirilmelidir.
700.EY.POL.01 01.06.2017 REV:00 16/34 6.Kurumsal Güvenlik 6.1. Bilgi Güvenliği Altyapısı Bilgi güvenliği ile ilgili tüm faaliyetlerden BGYS yöneticisi sorumludur. BGYS Koordinasyon ekibi, her birimden bilgisayar bilgisi yüksek, bilişim teknolojilerine vakıf bir çalışandan oluşmaktadır. Bu koordinasyon toplantılarının amacı ISO 27001 Bilgi Güvenliğinde alınan kararları birimlerde bulunan diğer personele aktarılması, birimlerin Bilgi İşlem Müdürlüğü ile alakalı görüş ve önerilerinin aktarılması amaçlanmaktadır. Bu toplantılara Bilgi İşlem Müdürlüğünden BGYS yöneticisi ve en az bir tane Bilgi İşlem Personeli katılmak zorundadır. BGYS Koordinasyon ekibi en az senede bir kez toplanmalıdır. Önemli bir güvenlik olayı olduğu zamanda da olağanüstü toplanmalıdır. BGYS yöneticisi, BGYS Koordinasyon Ekibinin toplanmasından sorumludur. Toplantı gündemi aşağıdaki maddeleri içermelidir. Bilgi güvenliği politikalarının ve sorumlulukların gözden geçirilmesi, Büyük tehditlere karşı varlıklardaki önemli değişikliklerin değerlendirilmesi, Bilgi güvenliği olaylarının ve hatalarının gözden geçirilmesi, Bilgi güvenliği için önceliklerin gözden geçirilmesi. BGYS yöneticisi, yukarıda belirtilen gündeme konu ekleyebilir, gündemden konu çıkarabilir ve gündem tarihini ortak bir başka tarihe değiştirebilir. BGYS Ekibi, BGYS konusunda bilgili, bilgi teknolojileri konusunda deneyim sahibi ve kurum BGYS yapısını kurup işletmek konusunda görev alan personellerden oluşmaktadır. BGYS Ekibi, ya da BGYS Sorumlu başkanlığında ya gerekli gördüğü zamanlarda ya da belirli aralıklarla toplanır. 6.2 Üçüncü Şahısların Bilgiye Erişimi Eyüpsultan Belediyesi personeli olmayan üçüncü tarafların, bilgi sistemlerini kullanma ihtiyacı olması durumunda (ör: kurum dışı bakım onarım personeli) BGYS Sorumlusu, bu kişilerin kurum ile ilgili bilgi güvenliği politikalarından haberdar olmalarından sorumludur. Bu amaçla geçici ya da sürekli çalışma sözleşmelerinde sözleşme imzalanmadan önce kararlaştırılmış ve onaylanmış güvenlik anlaşmaları yapılmalıdır. Gerektiği takdirde bakım personelinin politikaya uyması için süre tahsis edilmelidir. Gizlilik sözleşmesi ve Bilgi Güvenliliği sözleşmesi imzalanacak firma ve kişileri acil olduğu durumlarda BGYS yöneticisi normal koşullarda BGYS Ekibini belirler. 6.3 Dış Kaynak Sağlanması Bilgi Teknolojisi Sistemleri, bilgi ağı ve/veya kullanıcı bilgisayarı ortamlarının yönetimi dış kaynaklara verilirken, bilgi güvenliği ihtiyaçları ve şartları her iki taraf arasında kabul edilmiş bir sözleşmede açıkça yer almalıdır.
700.EY.POL.01 01.06.2017 REV:00 17/34 7. Varlıklar Varlık: Bir kurum için değeri olan ve bu nedenle uygun olarak korunması gereken tüm unsurlardır. 7.1 Varlıkların Sınıflandırılması ve Denetimi - Kurum bünyesinde kullanılmakta olan her bir varlık envanter kayıtlarına geçirilmelidir. - Envanter kayıtları sürekli olarak güncel tutulmalı ve yeni varlıklar envanter kayıtlarına hemen girilmelidir. - Belli başlı bilgi, yazılım, donanım ve hizmet varlıkları için sahipler atanmalı ve varlıkların sahipleri envanter kayıtlarında bulunmalıdır. - Herhangi bir bilgi teknolojisi varlığının sahibi olarak belirlenmiş personel, bu varlığın korunmasından sorumludur. - Tüm bilgi, veri ve dokümanlar anlaşılır bir biçimde etiketlenmelidir. Bu şekilde, kullanıcılar bilgi varlığının sahibinden ve sınıflandırmasından haberdar olacaklardır. - Bilgi varlıklarının sınıflandırılmasından ve bu sınıflandırmanın belirli zamanlarda gözden geçirilmesinden sorumludur. Gerektiğinde BGYS sorumlusu sınıflandırmayı belirleyebilir veya belirlemek üzere BGYS Ekibi ne aktarabilir. - Erişim kontrol prosedürü ve risk analizi tedavi planı hazırlanırken varlık envanteri listesi göz önünde bulundurulmalıdır. 7.2 Personel Yetkinlik ve Farkındalığı - Bilgi güvenliği performansını etkileyen kendi kontrolü altında çalışan kişilerin gerekli yeterlilikler BİLGİ İŞLEM MÜDÜRLÜĞÜ PERSONEL YETKİNLİKLERİ VE YETERLİLİKLERİ TABLOSU nda belirtilmiştir. - Tüm çalışanlar, kurumun bilgi güvenliği politikalarına uymakla yükümlüdürler. Kullanıcılar, politikalara uygun olmayan davranışları sonucu meydana gelebilecek bilgisayar olaylarından sorumlu olacaklardır. - Kurum çalışanları, kurum personeli olduğu sürece ve kurumdan ayrılmaları (emeklilik, istifa, vs.) durumlarında belediye bilgilerini gizlilik prensibine uygun olarak korumaktan sorumludur. - İşten ayrılan veya kurum içinde görev değişikliği olan personel için kullanıcı hesaplarının silinmesi, erişim yetkilerinin değiştirilmesi gibi gerekli kontroller hemen yapılmalıdır.
700.EY.POL.01 01.06.2017 REV:00 18/34 - Üçüncü şahıslar da dâhil olmak üzere, Eyüpsultan Belediyesi bilgi sistemlerini kullanması gereken her personel için Bilgi İşlem olanaklarının doğru kullanımı da dâhil olmak üzere uygun güvenlik politikaları ve prosedürleri konusunda gerekli taahhütnameler hazırlanmalı ve ilgili personele imzalatılmalıdır. - Kullanıcı hesabı açılmış tüm kurum personeline farkındalık eğitimi verilmelidir. Bu eğitimler, her yeni personel alımı sonrasında yeni personel için de tekrarlanmalıdır. 7.3 Fiziksel Güvenlik 7.3.1.Güvenlik Korumalı Bölgeler - Kritik veya hassas iş faaliyetlerini desteklediği belirlenen tüm bilgi teknolojisi araçları, kart kontrollü girişlerle korunan, fiziksel erişim kontrolü gerektiren alanlarda bulunmalıdır. - Personel, Sistem Odası Kart Sahibi Sorumlulukları Prosedürüne uygun davranmalıdır. Kendisinin izni olmayan alanlara girmek için başkalarının kartını kullanmamalıdır. - Güvenli alanlara alınacak ziyaretçilere atanmış belediye personeli sürekli eşlik etmeli ve ziyaretleri süresince güvenli bölgelerde yalnız bırakılmamalarına dikkat edilmelidir. - İzin verilmediği sürece güvenli alanlarda fotoğraf çekmek, görüntü almak ve ses kaydetmek yasaktır. - Güvenli alanlara erişen kart sahibi dışındaki tüm kişilerin giriş ve çıkış saatleri ziyaret defterine kaydedilmelidir. 7.4. Donanımsal Güvenlik - Personel, önemli varlıkların bulunduğu güvenli alanlarda sigara içmemeli, yiyecek ve içecekle güvenli alana girmemelidir. - Bilgi teknolojisi araçlarının, herhangi bir elektrik kesintisinde çalışmalarına devam etmeleri için kullanılan UPS, jeneratör gibi güç kaynakları yılda bir sefer olmak üzere periyodik olarak üreticinin talimatlarına uygun biçimde kontrol edilmelidir. - Tüm donanımların, elverişliliği ve güvenilirliği garanti etmek amacıyla üretici firmanın talimatlarına uygun olarak, düzenli dönemlerde bakımları yapılmalıdır. - Dizüstü bilgisayar, belge, disket, CD ve taşınabilir bellek gibi taşınabilir kurum varlıklarının korunması için gerekli önlemlerin alınmasından envanter sisteminde varlık sahibi olarak kaydedilmiş kişi sorumludur. Herhangi bir kaybolma veya çalınma durumunda da hasarı karşılayacak kişi varlık sahibidir.
700.EY.POL.01 01.06.2017 REV:00 19/34 - Çalışanlar, adlarına kayıtlı taşınabilir cihazların korunmasından kurum dışına çıkıldığı durumlarda da sorumludurlar. - Kurum dışına çıkarılabilen varlıklar kurum dışında çalışırken gizlilik prensipleri ve varlık sınıflandırmaları göz önünde bulundurulmalı ve bilgi varlıklarının dışarı çıkarılabilmesine varlık sınıflandırması sonucuna uygun olduğu takdirde izin verilmelidir. - Personel, kendisine ait varlıkları (şahsi dizüstü bilgisayar, avuç içi bilgisayar vb. ) ndan habersiz kurum sistemlerine sokamaz. - Hassas bilgiler içeren depolama aygıtları, 700.EY.POL22.TEÇHİZATIN ELDEN ÇIKARILMASI politikasına uygun olarak işlenmelidir. İmha yönetmeliği yok ise güvenlik birim başkanı ve ekibi tarafından oluşturulmalıdır. 7.5.Genel Güvenlik Denetimleri - Kullanıcılar, kullanmadıkları zamanlarda ekranlarının izinsiz kişilerce görülmesini engellemek için işletim sisteminin ekran kilitlenmesi özelliğini etkin hale getirmek gibi gerekli önlemleri almalıdırlar. İlkenin tam olarak uygulanması için, merkezi olarak buna uygun kurallar bütün kullanıcı bilgisayarları ve sunuculara dağıtılmalıdır. - Kurum kullanıcıları, kendilerine verilmiş olan kullanıcı adı ve şifrelerinin sadece kendileri tarafından kullanılması ilkesini koruma sorumluluğuna uymalıdırlar. Bu ilkenin ihlali durumda kullanıcı sorumlu olacaktır. - Varlık sınıflandırmasında hassas bilgi olduğu belirlenen dokümanların kâğıt baskılarının erişim yetkisi olmayan kişilerce erişimini engellemek amacıyla kurum personeli tarafından temiz masa politikası uygulanmadır. Temiz masa politikası, önemli dokümanların diğer kişilerce görülmesini engellemek amacıyla, kullanılmadığı zamanlarda masa üstlerinden kaldırılıp gerekli korumaları alınmış çekmecelerde saklanmasıdır. Bu şekilde masa üstlerinde hassas bilgilerin bulunmayacağı garanti altına alınmaktadır. - Kullanıcıların çalıştıkları ortamdaki masa ve dolap çekmecelerini kilitli tutmaları ve anahtarları sorumlu kişiler haricinde kimseyle paylaşmamaları gerekmektedir. - Personelin kişisel bilgisayarının sabit diski üzerinde bulunan dokümanlarının kişiye özel kalacağı garanti edilemez. Belediye, haber vermeden her türlü bilgiyi izleme, kaydetme ve inceleme hakkına sahiptir. 8. Sistemlerin İşletim Güvenliği 8.1.İşletim Prosedürleri Kurum içi donanım ve uygulamaların işletim prosedürleri hazırlanmalı ve aşağıdaki hususlara uyulmalıdır:
700.EY.POL.01 01.06.2017 REV:00 20/34 - Yazılı prosedürler ihtiyaç duyulduğunda tarafından hazırlanır ve BGYS yöneticisi tarafından onaylanarak güncellenmelidir. - Onaylı olmayan işletim prosedürleri geçersizdir. - Belediye genelinde tüm işletim prosedürleri yazılı olarak bulunur ve ihtiyaç duyulduğunda sürekli erişilebilen ortamlarda yayınlanır (web, basılı doküman, vs.). - Prosedürlerin süreklilikleri atanmış sahipleri tarafından kontrol edilmeli, değişen işletim talimatları prosedürlere yansıtılmalıdır. 8.2.Olay Yönetimi Prosedürleri - Herhangi bir güvenlik olayı başlangıcında, sırasında ve sonrasında yapılması gereken adımları içeren 700.EY.PRS.14.OLAY İHLAL prosedürü uygulanmalıdır. - Bilgi güvenliği ihlal olayı olarak değerlendirilen her durum için düzeltici önleyici faaliyet raporu oluşturulmalı ve Talep Takip Sistemine kayıt açılmalıdır. - Belirlenen eksiklikler tamamlanarak olayların tekrar gerçekleşmesinin önüne geçilmelidir. - Kullanıcı kimlikleri, - Sistem faaliyetleri, - Oturum açma ve oturum kapatma gibi anahtar olayların tarihleri, saatleri ve detayları, - Mümkünse aygıt kimliği ya da yeri ve sistem tanımlayıcısı, - Başarılı ve reddedilmiş, sistem erişim girişimlerinin kayıtları, - Başarılı ve reddedilmiş, veri ve diğer kaynaklara erişim girişimlerinin kayıtları, - Sistem yapılandırma değişiklikleri, - Ayrıcalıkların kullanımı, - Sistem araçları ve uygulamalarının kullanımı, - Erişilen dosyalar ve erişim türü, - Ağ adresi ve protokolleri, - Erişim kontrol sistemi tarafından üretilen alarmlar, - Anti-virüs sistemleri ve saldırı tespit sistemleri gibi koruma sistemlerinin etkinleştirilmesi ve devre dışı bırakılması, 8.3.Geliştirme, Test ve İşletim Sistemlerinin Ayrılması Geliştirme, işletim ve test sistemleri birbirinden fiziksel olarak ayrılmalı, her bir sistem için ayrı cihazlar tahsis edilmelidir. Ayrıca her bir sistem için sorumlu personel atanmalıdır.
700.EY.POL.01 01.06.2017 REV:00 21/34 8.4 Sistem Planlama ve Genişletme Varlık envanterinde kaydı bulunan her türlü varlık performans ve yeterlilik kapsamında yardımcı programlar vasıtasıyla, sürekli gözden geçirilmeli. Yetersizlik veya ihtiyaç durumlarında değişim planlaması yapılarak satın alma süreci başlatılmalıdır. 8.5. Kötü Niyetli Yazılımlara Karşı Korunma Belediye genelinde kötü niyetli yazılımlara karşı gerekli korunma önlemleri alınmakta ve altyapı yeni tehditlere karşı sürekli olarak gözden geçirilip güncellenmektedir. Gerekli görülen ek önlemler BGYS ekibi Toplantısı nda tartışıldıktan ve gerekli testleri yapıldıktan sonra sisteme entegre edilmelidir. Ancak, kullanıcılar önlemlere güvenerek sistemi savunmasız bırakacak biçimde hareket etmemelidir. 8.6 Ağ Yönetimi - Tüm ağ ( ana omurga ve aktif cihazlar) yönetimi yapılanması ve kurulumu Bilgi İşlem Müdürlüğü tarafından yapılmaktadır. - Kurum ağı içerisinde ayrı vlan yapıları olması zorunludur. Kritik sistemler ve kullanıcı bilgisayarları farklı vlan üzerinde bulunmalıdır. - Kurum ağı içerisinde kullanıcılar sadece gerekli olan sunuculara erişimleri bulunmakla birlikte sadece gerekli olan portlara erişimleri olmalıdır. - Ağ altyapı elemanlarında kimlik doğrulama açık olmalıdır. Anahtarlama cihazında kimlik doğrulama; cihaza yönetimsel veya denetimsel erişim söz konusu olduğu zaman kişinin doğru kişi olup olmadığının kontrolüdür. - Ağ altyapı cihazlarına fiziksel erişim ile (konsol bağlantısı ile) veya uzaktan erişim (telnet, web, ssl, ssh üzerinden, yönetim yazılımı veya snmp ile) bağlantıları için kimlik kontrolü yapılmalıdır. 8.7.Bilgi Ortamı Yönetimi ve Güvenliği - Taşınabilir ortamdaki bilgi artık kullanılmayacaksa, silinmelidir. - Gerekli olmadığı sürece bilgi varlıkları yetkisiz kişilerle paylaşılmamalıdır. - İşlemlerin, prosedürlerin, veri yapılarının, yetkilendirme işlemleri gibi hassas bilgilerin bulunduğu sistem dokümantasyonu, yetkisiz kişilerin erişimini engellemek amacıyla güvenli ortamlarda bulundurulmalı, elektronik kopyalarına iç ağ üzerinden ilgili kişilerin erişebileceği şekilde erişim kontrolü prensipleri uygulanmalıdır. - Dışarıdan yardım alınacak üçüncü şahıs firmaları ve dış kaynaklı çalışma personeline gerektiği takdirde geçici yetkileri bulunan kullanıcı hesapları tanımlanmalıdır. Bu hesaplar çalışma biter bitmez devreden çıkarılmalıdır.
700.EY.POL.01 01.06.2017 REV:00 22/34 8.8. Bilgi ve Yazılım Değişimi - Bilgi varlıklarının dağıtımı veya nakli sırasında uygun güvenlik tedbirlerinin alınmasına dikkat edilmelidir. Bu tedbirler, özel güvenlikli paketleme, güvenli kurye kullanma veya elektronik ortamlar için sayısal imzalama ve şifreleme kullanma gibi önlemler olabilir. - E-posta hizmetlerini kullanan tüm kurum personeli, e-postaların güvenliğini sağlamak amacıyla oluşturulmuş olan Bilgi Sistemleri Kabul Edilebilir Kullanım Politikasında belirtilen kurallara uymakla yükümlüdürler - Web sitesi, çevresel bilgi sistemi ve diğer yollarla İnternet üzerinde bulunan halka açık belediye bilgilerinin izinsiz olarak değiştirilmesine, eklenmesine veya silinmesine karşı gerekli koruma önlemleri alınmalı ve yetkilendirmeler yapılmalıdır. - Ftp sunucusuna yapılan bağlantılar kullanıcı adı ve şifre korumalı olmalı ftp üzerindeki her türlü hareket kayıt altına alınmalıdır. Ftp kullanım hakkı ilgili formun doldurulması birim yöneticisinin imzalı onayı ve Bilgi İşlem Müdürü onayı sonrası verilmelidir 9.Erişim Denetimi 9.1.Gereklilikler - Eyüpsultan Belediyesi Bilgi Sistemlerini kullanan tüm kurum personeli, hizmet sağlayıcı kurum dışı personel ve diğer üçüncü şahıslar 700.EY.PRS.07.TAŞINABİLİR ORTAM VE ERİŞİM YÖNETİMİ prosedürüne uymakla yükümlüdürler. 9.2.Kullanıcı Erişimi Yönetimi - Her kullanıcı, kendine ait hesabı kullanarak işlemlerini yürütür. Kullanıcılar kendi hesaplarının güvenliğini, şifrelerini saklayarak, başkalarının kendi hesabını kullanmasına izin vermeyerek ve gerektiğinde oturum kilitleme gibi özellikleri kullanarak korumakla yükümlüdürler. - Her kullanıcıya bir sözleşme imzalatılarak erişim haklarıyla ilgili bilgi verilmektedir. - İnsan Kaynakları tarafından Bilgi İşlem Müdürlüğü ne bildirilen işten ayrılan personel için gerekli hesap kapatma, birim değiştiren kullanıcıların ise erişim haklarının düzenlemesi işlemleri hemen yapılmalıdır. - Gereksiz kullanıcı hesaplarının kontrol edilmesi ve kaldırılması işlemi ayda en az bir defa yapılmalıdır. - Kullanıcıların erişim hakları her değişiklikten sonra veya belirli aralıklarla gözden geçirilmelidir.
700.EY.POL.01 01.06.2017 REV:00 23/34 - Kullanıcıların sunuculara olan yetkisiz erişim denemeleri ile hak sahibi personelin erişimleri Bilgi İşlem Müdürlüğünce kullanılan güvenlik yazılımlarıyla kontrol edilmeli, gerektiği takdirde erişimler ve erişim denemeleri rapor edilmelidir. 9.3.Ağ Erişimi Denetimi - Ağ hizmetlerini kullanan tüm personel ve üçüncü taraflar, Ağ kontrolleri prosedürüne uymalıdır. 9.4. İşletim Sistemi Erişimi Denetimi - Başarısız oturum girişimleri güvenlik yazılımları tarafından kaydedilip, gerektiğinde incelenmek üzere saklanmaktadır. - Bilgi İşlem Müdürlüğü tarafından onaylı olmayan yazılımların kullanıcı bilgisayarlarına yüklenmesi yasaktır. - İşletim sistemi erişimi için personele sağlanan kullanıcı adı ve şifreleri düzenli olarak (6 ayda bir) değiştirilmelidir. Bu süreç merkezi olarak etki alanı denetçileri sunucuları tarafından denetlenmelidir. 9.5.Uygulama Erişimi Denetimi - Uygulama sistemlerinin kullanıcıları, erişim isteklerini EBYS de bulunan ilgili formu doldurup bağlı bulundukları birim müdürünün imzalı onayı ile Bilgi İşlem Müdürlüğüne ileterek erişim yetkisi talebinde bulunurlar ve sadece onay verilen kısma ulaşabilirler. - Uygulamalara erişimler, bizzat uygulamanın sağladığı izleme hizmetleri tarafından kayıtlanmalı ve bu kayıtlar merkezi kayıt izleme yazılımına yönlendirilmeli ve saklanmalıdır. 9.6 Dışarıdan Sisteme Erişim Denetimi Dış ağlardan belediye iç ağına doğru yapılan erişimler sürekli olarak denetlenmelidir. Saldırı tespit ve önleme sistemi, anti virüs ve kötü niyetli kod engelleme sistemleri daima aktif durumda tutulmalıdır. 10 Uygulama Sistemi Geliştirilmesi ve İdamesi 10.1.Sistem Güvenlik Gereklilikleri Sistem tasarımı/planlamasında güvenlik gerekleri göz önünde bulundurulmalı, gerektiği zaman BGYS ekibi tarafından tartışılmalıdır. Kurum tarafından geliştirilen yazılımlar, 700.EY.PRS.11. YAZILIM GELİŞTİRME PROSEDÜRÜ ne uygun yazılmalıdır. Kurumda geliştirilmekte olan yazılımın bütünlüğü, erişim kontrolleri, kısıtlanmış haklar bu prosedürde tanımlanmıştır.
700.EY.POL.01 01.06.2017 REV:00 24/34 10.2.Sistemlerde Güvenlik - Geliştirilmekte olan uygulama yazılımlarında hatalı girdi ve çıktı kontrolleri bulunmalıdır. Bu şekilde sıra dışı değerler, geçersiz karakterler, tampon taşması yaratabilecek değerler girilmesi engellenmektedir. - Geliştirilen sistemler, teknolojiye uygun güvenlik açığı tarama sistemleri tarafından periyodik olarak kontrol edilmeli, bulunan açıklar sürüm değişiklikleri ile kapanmalıdır. 10.3.Sistem Dosyaları Güvenliği - Geliştirilen yazılımlar test ortamında denendikten ve operasyonel sistemlerde bir problem çıkartmadığına emin olunduktan sonra işletim ortamına aktarılmalıdır. - Testler için kullanılmakta olan verilerin sahibi atanmıştır. Test verilerinin sahibi olarak atanan personel, verilerin korunmasından ve kontrolünden sorumludur. - Test için operasyonel veriler kullanılmaktaysa, bu verilerin gizlilik sınıflandırmalarına uygun olarak korunmaları düşünülmelidir. - Programların kaynak kütüphaneleri operasyonel sistemlerden ayrı olarak tutulmalı, gerekli erişim kontrol prensipleri sıkı bir şekilde uygulanmalıdır. 11. İş Sürekliliği Yönetimi İş Sürekliliği Planının amacı Eyüpsultan Belediyesi bilişim sistemlerinde, olası felaket ve iş akışını engelleyecek veya aksatacak her türlü senaryonun gerçekleşmesi halinde, kurumun kritik fonksiyonlarının kesintisiz biçimde devam ettirilmesi ve kesintiye uğrayan fonksiyonların ihtiyaç duyulan süre içerisinde geri döndürülmesidir. İş sürekliliği yönetim sürecinde oluşturulan takımlar, belirli aralıklarla toplantı yapmalı ve sistemi gözden geçirmelidirler. 12.Uyum Süreci 12.1 Yasal Gereksinimlere Uyum - Eyüpsultan Belediyesince uygulanan bilgi güvenliği politikası, yürürlükteki tüm kanunlarla uyumlu olmak zorundadır. - Eyüpsultan Belediyesi nde kullanılmakta olan tüm yazılımların lisans sözleşmeleri olmak zorundadır. Lisanssız ürünlerin kurum varlıklarında kullanılması yasaktır. - Herhangi bir bilişim suçu işlediği saptanan personel, yasalara uygun olarak cezai işlem görür.
700.EY.POL.01 01.06.2017 REV:00 25/34 - Eyüpsultan Belediyesi Hukuk İşleri Müdürlüğü tarafından, yasal düzenlemelerde bilgi güvenliği politikasını etkileyen bir değişiklik belirtildiğinde, politika güncellenmelidir. - Bilgi güvenliği olayı için kanıt oluşturabilecek herhangi bir veri, yetkililer gelene kadar değişime uğramayacak ve kanıt özelliğini kaybetmeyecek şekilde saklanmalıdır. 12.2.Sistem Denetleme Gereklilikleri Sistem denetlemesi süresince, bilgi sistemlerini ve denetleme araçlarını korumak amacıyla gerekli önlemler alınmalıdır. Denetleme araçlarının yanlış/yetkisiz kullanılmasını engellemek amacıyla denetleme aracı sahibi, erişim kontrolü prosedürü kullanılarak gerekli önlemlerin alındığını kontrol etmelidir. 13.Teknik Güvenlik İlkeleri 13.1 Bilgi Sistemlerini Güvenli Kullanım Politikası; - Çeşitli seviyelerdeki bilgiye erişim hakkının verilmesi için personel yetkinliği ve rolleri kararlaştırılmalıdır. - Yetkisi olmayan personelin, kurumdaki gizli ve hassas bilgileri görmesi veya elde etmesi yasaklanmalıdır. - Bilgi sistemlerinde sorumluluk verilecek kişinin özgeçmişi araştırılmalı, beyan edilen akademik ve profesyonel bilgiler teyit edilmeli, karakter özellikleriyle ilgili tatmin edici düzeyde bilgi sahibi olmak için iş çevresinden ve dışından referans sorulması sağlanmalıdır. - Kritik bilgiye erişim hakkı olan çalışanlar ile gizlilik anlaşmaları imzalanmalıdır. - Kurumsal bilgi güvenliği bilinçlendirme eğitimleri düzenlenmelidir. - Çalışanlara telefon görüşmeleri yaparken civardakiler tarafından işitilebileceği veya dinlenebileceği için hassas bilgilerin konuşulmaması hatırlatılmalıdır. - Çalışanlara kamuya açık alanlarda, açık ofis ortamlarında ve ince duvarları olan odalarda gizliliği olan konuşmaların yapılmaması hatırlatılmalıdır. - İş tanımı değişen veya kurumdan ayrılan kullanıcıların erişim hakları düzenlenmeli ya da pasife alınmalıdır. - Kurum bilgi sistemlerinin işletilmesinden sorumlu personelin konularıyla ilgili teknik bilgi düzeylerini güncel tutmaları çalışma sürekliliği açısından önemli olduğundan eğitim planlamaları periyodik olarak yapılmalı, bütçe ayrılmalı eğitimlere katılım sağlanmalı ve eğitim etkinliği değerlendirilmelidir. - Yetkiler görevler ayrımı ve en az ayrıcalık esaslı olmalıdır. Görevler ayrımı rollerin sorumlulukların paylaştırılması ile ilgilidir ve bu paylaşım sayesinde
700.EY.POL.01 01.06.2017 REV:00 26/34 kritik bir sürecin tek kişi tarafından kırılma olasılığı azaltılır. En az ayrıcalık ise kullanıcıların gereğinden fazla yetkiyle donatılmamaları ve sorumlu oldukları işleri yapabilmeleri için yeterli olan asgari erişim yetkisine sahip olmaları demektir. - Çalışanlar kendi işleri ile ilgili olarak bilgi güvenliği sorumlulukları, riskler görev ve yetkileri hakkında periyodik olarak eğitilmelidir. Yeni işe alınan elemanlar içinde bu eğitim, oryantasyon sırasında verilmelidir. - Çalışanların başka görevlere atanması ya da işten ayrılması durumlarında işletilecek süreçler tanımlanmalıdır. Erişim yetkilerinin, kullanıcı hesaplarının, token (şifrematik), akıllı kart gibi donanımların iptal edilmesi, geri alınması veya güncellenmesi sağlanmalı, varsa devam eden sorumluluklar kayıt altına alınmalıdır. 13.2 Kullanıcı Parola Politikası - Tüm kullanıcılar etki alanına dâhil olan donanımlarında Eyüpsultan Belediyesi Bilgi İşlem Müdürlüğü tarafından sağlanan hizmetlerden faydalanmak için sisteme logon (giriş yapmalı) olmalıdır. Tüm kullanıcıların kullanıcı-kimliği (user-id) (varsa e-anahtarı) ve sadece kullanıcının bildiği şifre ile kimlik doğrulamasının yapılması zorunludur. - Kullanıcılarının şifreleri en az 6 karakterli olmalıdır, büyük harf, küçük harf, noktalama işareti ve rakam özelliklerinden en az üçünü içeren karmaşık şifreler belirlenmelidir. - Kullanıcı şifreleri 3 ay süreyle geçerli olup geçerlilik süresi dolduğu zaman veya parolanın güvenlikte olmadığına dair bir gösterge olduğu zaman (ör: saldırılar, çalınma şüphesi, Truva atı bulunması, vs.) değiştirilmelidir. - Kullanıcıya verilen ilk şifre veya şifresini unuttuğu zaman verilen şifreler geçici şifre olarak düşünülmeli ve ilk oturum açılışında hemen değiştirilmelidir. - Kurum personeli şahsi şifrelerini ve e-anahtarını özel kontrol altında tutmalı, şifrelerini sistem yöneticisi de dâhil olmak üzere hiç kimseyle paylaşmamalıdır. - Kullanıcılar, kurum servisleri için kullandıkları şifreleri, Internet üzerinde başka amaçlar için (örneğin tartışma gruplarına üyelik, Yahoo gibi bedava e-posta hesapları için) kullanmamalıdır. - Şifreler, dosya, otomatik komut dosyası (log-in script), yazılım makrosu, erişim kontrolü olmayan bilgisayarlar ve yetkisiz personelin fark edebileceği yerlere (kâğıt üzerine yazarak bilgisayarın yanına bırakmak gibi) yazılmamalıdır.