Doküman No 09.ORG.PL.0056 Sayfa No 1/7 1. Amaç... 2 2. Kapsam... 2 3. Tanımlar... 2 4. Sorumluluklar... 2 5. Politika Demeci... 3 5.1 İş Sürekliliği Kontrolleri... 3 5.2 Bilgi Güvenliği Olayları... 3 5.3 Bilgi Sistemleri Edinim, Geliştirme ve Bakım Kontrolleri... 3 5.4 Erişim Kontrolleri... 3 5.5 Veri Koruma Kontrolleri... 4 5.6 Bilgi Sızması Kontrolleri... 4 5.7 Varlık Kontrolleri... 4 5.8 Kullanıcı Farkındalığı... 5 5.9 Kullanıcı Sorumlulukları... 5 5.10 Fiziksel ve Çevresel Kontroller... 6 5.11 Ağ Kontrolleri... 6 5.12 Uyum Kontrolleri... 6 6. Yürürlük ve Denetim... 6 7. Yönetim ve Bakım... 6 8. Geri Bildirim... 7
Doküman No 09.ORG.PL.0056 Sayfa No 2/7 1. Amaç Bu politika; Kurum a ürün ve hizmet sağlayan dış tarafların bilgi ve bilgi sistemlerine erişmelerinden kaynaklanacak bilgi güvenliği risklerinin en aza indirgenmesini sağlamak amacı ile uymak zorunda olduğu bilgi güvenliği kurallarını tanımlamak amacındadır. Politika içersindeki maddeler, hizmet ve gizlilik sözleşmelerindeki bilgi güvenliği maddelerini tamamlar ve açıklık getirir. Bu politika, TS ISO/IEC 27001 standardının, aşağıdaki listede belirtilen gereksinimleri ile örtüşme amacındadır. No. İLGİLİ GEREKSİNİMLER 5.1.1 Bilgi güvenliği politika dökümanı 6.2.1 Dış taraflarla ilgili riskleri tanımlama 6.2.3 Üçüncü taraf anlaşmalarında güvenliği ifade etme 2. Kapsam Bu politika, Kurum a danışmanlık veren; yazılım/ donanım kuran, yazılım/ donanım bakım ve desteği veren; bilgi ve bilgi sistemlerine yerinde veya uzaktan erişim sağlayan; taraflar arasında veri ve bilgi transferi gerektiren ürün ve hizmetleri sağlayan tüm dış tarafları ve bu ürün ve hizmetlere alt yüklenicilik yapan üçüncü tarafları kapsar. 3. Tanımlar Kurum: TEB Mali Yatırımlar A.Ş. ye bağlı tüm finansal ve finansal olmayan şirketleri ifade eder. 4. Sorumluluklar Dış Taraflar ve Üçüncü Taraflar Altyapı Güvenlik Departmanı Hukuk Başmüşavirliği Tüm Personel Kuruma ait bilgilerin gizliliğini, bütünlüğünü ve erişebilirliğini etkileyecek tüm etkenlere karşı asgari olarak bu politikada belirtilen tüm güvenlik kontrollerini uygulamakla sorumludur. Kurum ağına uzaktan bağlanacak dış taraflara bağlantı için gerekli tanımlamaları yapmalarının ardından bu politikanın çıktısının da teslim edilmesinden sorumludur. Gerektiği hallerde bu politikanın dış taraflar ile yapılan hizmet sözleşmelerine ek yapılmasından sorumludur. Gerektiği hallerde dış taraflar ile yaptıkları hizmet sözleşmelerinin eki olarak politikanın çıktısının da teslim edilmesinden sorumludur.
Doküman No 09.ORG.PL.0056 Sayfa No 3/7 5. Politika Demeci Bu dokümandaki gereksinimler hizmet ve gizlilik sözleşmelerindeki gizlilik ve bilgi güvenliği maddelerini geçersiz kılmaz, tamamlayıcı ve açıklayıcı nitelik taşır. Dış taraflar; Kurum veri ve sistemlerinin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için sözleşmelerdeki gizlilik ve güvenlik gereksinimlerine uymakla ve ilaveten asgari olarak aşağıda belirtilen tüm kontrolleri ve güvenlik prosedürlerini uygulamak ve sürdürmekle yükümlüdürler. 5.1 İş Sürekliliği Kontrolleri Kuruma verilen ürün ve hizmetlerde kesintiye neden olacak çalışma ve değişiklikler makul bir süre öncesinde Kuruma mutlaka bildirmelidir. Dış taraf kullanıcıları ürün ve hizmetlerde kesintiye neden olabilecek komutları kesinlikle deneme amaçlı çalıştırmamalıdır. 5.2 Bilgi Güvenliği Olayları Dış taraflar sağladıkları ürün ve hizmetlerden kaynaklanan ya da sağladıkları ürün ve hizmetleri etkileyen bilgi güvenliği olaylarını ve bilgi güvenliği zaafiyetlerini Kurumdaki ilgili kişiye zamanında raporlamalıdır. Dış taraflar bilgi güvenliği olay ve zaafiyetlerinin araştırma, çözümleme, onarma aşamasında Kuruma destek vermelidir. 5.3 Bilgi Sistemleri Edinim, Geliştirme ve Bakım Kontrolleri Kurum sistemlerinde konfigurasyon değişikliklerine neden olacak çalışmalar, güncellemeler ve değişiklikler daha önceden ilgili yetkililere bildirilmelidir. Kurum bilgi sistemlerine program yükleme ve sistem/ yazılım/ donanım güncellemeleri gerekli test işlemleri yapıldıktan sonra gerçekleştirilmelidir. Kurum bilgi sistemlerine program yükleme ve sistem/ yazılım/ donanım güncelleme işlemleri ilgili Kurum yetkililerden gerekli onaylar alındıktan sonra gerçekleştirilmelidir. 5.4 Erişim Kontrolleri Tahsis edilen kullanıcı hakları herhangi bir güvenlik zaafiyetine sebep vermemek adına sadece sözleşmelerde belirlenen saatlerde, sözleşmelerle belirlenmiş hizmet konularında ve önceden belirlenmiş oturum süreleri dahilinde ve Kurum a bilgi verilerek kullanılmalıdır. Kurum veri ve sistemlerine erişen kullanıcı listelerinde meydana gelen değişiklikler (işten ayrılmalar, görev değişiklikleri) Kurum a zaman geçirmeden bildirilmeli, kullanıcı hesaplarının ve yetkilerinin iptali sağlanmalıdır.
Doküman No 09.ORG.PL.0056 Sayfa No 4/7 Kendilerine kullanıcı kodu ve parola tesis edilen kullanıcılar bu bilgileri başkaları ile paylaşmamalıdır. Erişim yetkileri sadece kendisine yetki verilen birey tarafından kullanılmalıdır. Bir kullanıcı kodu ile gerçekleştirilen tüm aktiviteler kendisine yetki verilen kullanıcı ve dış tarafın sorumluluğundadır. Dış taraflara tahsis edilen ayrıcalıklı kullanıcılar (admin vs.) ve yetkiler sadece gerektiğinde ve ihtiyaçlar doğrultusunda kullanılmalı, sistemlerin güvenliğine olumsuz etki edecek kullanımlarından kesinlikle kaçınılmalıdır. Dış taraflara tahsis edilen yetkiler dahilinde olsa bile ihtiyaçlar doğrultusunda olmayan komutlar ve işlemler gerçekleştirilmemelidir. 5.5 Veri Koruma Kontrolleri Dış taraflarca erişilen sistemlerdeki veriler ve yazılım herhangi bir suretle kopyalanmamalı ve amaç dışı kullanılmamalıdır. Dış taraflar, Kurum ağına bağlanmak için kullandıkları bilgisayarların fiziksel ve mantıksal güvenliğini sağlamakla yükümlüdür. Kurum ağına virus gibi kötü niyetli yazılımların bulaşmaması ve kimlik doğrulama bilgilerinin ele geçirilmemesi için gerekli güvenlik önlemlerini almalıdırlar. Dış taraflar kendilerinden telefon, e-posta ve birebir iletişim yöntemleri ile Kuruma ait bilgi varlıklarına ait bilgi ya da işlem talep edildiğinde talebi yapan kişinin kimlik doğrulamasını mutlaka yapmalıdır. Elektronik verilerin transferi işlemlerinde bilgi gizliliği ve bütünlüğünü korumak için gerekli güvenlik önlemleri alınmalıdır. Dış tarafa verilen Kuruma ait üretim ortamı verileri karartılmadan test ortamına yüklenmemelidir. 5.6 Bilgi Sızması Kontrolleri Kriptografik kontroller ile korunan verilerin güvenliğinin sürdürülebilmesi açısından şifre anahtarlarının korunmasına özel önem vermelidir. 5.7 Varlık Kontrolleri Hizmet sözleşmesi veya erişim ihtiyacı sonlandığında erişim için sağlanan manyetik kapı giriş kartı, token gibi bilgi varlıkları ve diğer varlıklar güvenli bir yöntem ile Kurumdaki ilgili kişiye teslim edilmelidir. Kurum sistemlerine erişim için tahsis edilen varlıklar genel kabul edilebilir kullanım çerçevesinde kullanılmalı, ihtiyaçlara göre farklılaşan kullanımlar Kurumdan onay alınarak gerçekleştirilmelidir.
Doküman No 09.ORG.PL.0056 Sayfa No 5/7 Hizmet sözleşmesi veya erişim ihtiyacı sonlandığında bile sistemlerinizde bulunan Kurum verileri yetkisiz erişim ve izinsiz kullanımlara karşı korunmalı, sözleşmeler ve mevzuat gereğince imha edilmesinde sorun olmayacak veriler imha edilmelidir. Kuruma ait bilgi sistemleri teçhizatı, Kurum tarafından yetkilendirilmedikçe ve kurumdan onay alınmadıkça bulunduğu yerden çıkartılmamalıdır. 5.8 Kullanıcı Farkındalığı Dış taraflar, Kurum sistemlerine erişimler için sağlanan kullanıcı kodu, parola, token ların güvenliği ve kullanımı konusunda çalışanlarını uyarılmalı ve bilgi güvenliği farkındalığı artırıcı faaliyetler gerçekleştirmelidir. 5.9 Kullanıcı Sorumlulukları Kurum ağına yapılan bağlantıların işlem bitiminde sonlandırılması unutulmamalıdır. Kurum ağına bağlanmak için kullanılan bilgisayarlarda parola korumalı ve en geç 15 dakikada devreye otomatik olarak giren ekran koruyucu bulunmalıdır. Kurum ağına bağlanmak için kullanılan bilgisayarlar kullanılmadıklarında log-off edilmelidir. Dış taraf kullanıcıları Kurumun sağladığı kullanıcı kodu ve paroların çalınmasına yönelik sosyal mühendislik faaliyetlerine karşı dikkatli olmalıdır. Kurum bilgilerini içeren taşınabilir bilgisayarların ve diğer teçhizatın (token, USB bellek, hardisk, CD vb.) korunmasız bırakılmaması ve içerdikleri bilgilerin parola ve kriptolama ile korunması sağlanmalıdır. Kuruma ait bilgi varlıkları ve erişim için kullanılan cihazlar açık alanlardaki masalar üzerinde, kilitsiz çekmece ve dolaplarda bırakılmamalıdır. Parola Güvenliği Kullanıcılar kendisine tahsis edilen parolaları kimse ile paylaşmamalıdır. Kullanıcılar otomatik parola hatırlama fonksiyonlarını devre dışı bırakmalı ve parolaları otomatik log on sürecinde kullanmamalıdır. Dış taraf kullanıcıları belirli güvenli yöntemler haricinde parolalarını hiç bir şekilde kağıt, yazılım dosyaları, taşınabilir bilgi cihazlarına kaydederek saklamamalıdır. Parolaların ele geçirildiğinden şüphelenildiğinde parolalar hemen değiştirilmeli ve Kurum bu durumdan haberdar edilmelidir. Parolalar minimum 8 karakter uzunluğunda, hatırlaması kolay ancak tahmin edilmesi ve kırılması zor ( güçlü parola ) şekilde oluşturulmalıdır.
Doküman No 09.ORG.PL.0056 Sayfa No 6/7 Parolalar belirli periyodlarla veya erişim sıklığına bağlı olarak daha sıklıkla değiştirilmelidir. Parolalar tekrar tekrar kullanılmamalı, iş ve kişisel olan amaçlar için aynı parolalar kullanılmamalıdır. Geçici parolalar sisteme ilk girişte değiştirilmelidir. 5.10 Fiziksel ve Çevresel Kontroller Kurum içersinde çalışırken kurum bilgi varlıklarını fiziksel tehditlerden korumaya yönelik fiziksel güvenlik kurallarına ve teçhizat güvenliğine hassasiyet gösterilmelidir. Kurum veri ve sistemlerine fiziksel olarak erişen kullanıcı listelerinde meydana gelen değişiklikler (işten ayrılmalar, görev değişiklikleri) Kurum a zaman geçirmeden bildirilmeli ve kullanıcı yetkilerinin iptali sağlanmalıdır. Dış taraflara tahsis edilen fiziksel erişim kartlarının sadece kartın verildiği kişi tarafından kullanılması ve kartın güvenliği konusunda dikkatli olunması gerekmektedir. Kartın çalınması veya kaybedilmesi durumunda zaman geçirmeden Kurum bilgilendirilmelidir. Ziyaretçi defterinin doldurulması gibi güvenlik kontrollerinin uygulanmasında hassas davranılması gerekmektedir. 5.11 Ağ Kontrolleri Kurumumuz sistemlerine erişim yapacak taraflar Kurum ağ güvenliğini etkileyici veya ağ haberleşmesini bozucu faailiyetlerde bulunmamalıdır. (paket sniffing, paket spoofing, denial of service vb. ) Dış taraflar port veya ağ taraması yapmamalı, program/ script/ komut kullanarak kullanıcıların bağlantılarını etkilememeli, kurum hizmetlerinin kalitesini düşürecek trafik oluşturmamalı, diğer kullanıcılara ait verileri bozmamalı ya da zarar vermemeli, diğer kullanıcıların gizlilik hakkını ihlal etmemeli ve diğer kullanıcılara ait çalışmaları bozacak işlemlerden kaçınmalıdırlar. 5.12 Uyum Kontrolleri Dış taraflar Kurum bilgi sistemlerine lisansız yazılım veya araç yüklememelidir. 6. Yürürlük ve Denetim Bu politika yayınlandığı tarihte yürürlüğe girer. Dış taraflar, Teftiş Kurulu Başkanlığı tarafından, bu politika esaslarına göre denetlenir. 7. Yönetim ve Bakım Bu politikanın güncel ve işler tutulmasından Risk Yönetimi ve Uyum Grubu sorumludur. Politika, onsekiz ayda bir ya da gerek görüldüğünde daha sıklıkla ve ilgili taraflar ile koordineli olarak gözden geçirilir ve Yönetim Kurulu tarafından onaylandıktan sonra yayınlanır.
Doküman No 09.ORG.PL.0056 Sayfa No 7/7 8. Geri Bildirim Geri bildirim, bu dokümanı tüm taraflar için yararlı ve anlamlı tutabilmek hayati önemdedir. Bu nedenle, bu doküman ve içeriği ile ilgili önerilerinizi, sorularınızı, yorumlarınızı ve/ veya katkıda bulunma istekleriniz ile ilgili e-postalarınızı Bilgi Sistemleri Kontrol Departmanı e-posta adresine gönderebilirsiniz.