Doküman Adõ: GÜVENLİK SÜREÇLERİ Doküman No.: P509 Revizyon No: 01 5 01 Bilgi İşlem Personelin Bilgilerin Gizliliği konusundaki taahhütlerine ilişkin paragraf eklendi. Sayfa No Rev. Revizyon Nedeni Yürürlük İsim İmza Tarihi Hazõrlayan Osman CAMCI Gökhan BİRBİL 15.10.2005 Kontrol Onay Atakan BAŞTÜRK Türk Akreditasyon Kurumu
Sayfa 2 / 6 1. AMAÇ Bu prosedürle TÜRKAK bilgi işlem ağõ üzerinde bilgi ve sistem güvenliğinin sağlanmasõna yönelik yapõlacak çalõşmalarõn temel konularõ ve prensiplerinin belirlenmesi amaçlanmõştõr. 2. KAPSAM Bu prosedür, bilgi işlem sistemi dahilinde fiziki güvenlik, sistem güvenliği ve veri güvenliğinin sağlanmasõ süreçlerinin genel prensipleri ve kurallarõnõ kapsamaktadõr. 3. TANIMLAR Sunucu bilgisayar (Server) : Bilgisayar ağõ üzerinde çalõşanlarõn kullandõğõ istemci bilgisayarlarõn geneline çeşitli hizmetler vermek amacõyla kurulmuş, belli bir kullanõcõsõ bulunmayan ve Bilgi İşlem Müdürlüğünce idare edilen bilgisayardõr. İstemci bilgisayar (Client) : TÜRKAK bilgisayar ağõnda çalõşanlarõn kullandõğõ, belirli bir kullanõcõsõ olan sunucu bilgisayarlardan hizmet alan bilgisayardõr. Bilgisayar ağõ (Network) : Belli bir kuruluş bünyesinde çalõşan bilgisayarlarõnõn birbirleriyle iletişimini ve bu bilgisayarlarõn ortak sunucu hizmetlerinden yararlanmalarõnõ sağlayan, bilgi paylaşõmõ ve bilginin elektronik ortamda kolay ve hõzlõ olarak taşõnmasõna imkan veren bilgisayar alt yapõ sistemidir. Güvenlik duvarõ (Firewall): Firewall (Internet Güvenlik Sistemi), internet üzerinden bağlanan kişilerin, bir sisteme girişini kõsõtlayan/yasaklayan ve genellikle bir internet gateway servisi (ana internet bağlantõsõnõ sağlayan servis) olarak çalõşan bir bilgisayar ve üzerindeki yazõlõma verilen genel addõr. Servis Yazõlõmlarõ : Sunucu bilgisayarlar üzerinde çalõşan ve ağ üzerinde bulunan diğer bilgisayarlara çeşitli iletişim hizmetlerinin sunulmasõnõ sağlayan bilgisayar yazõlõmlarõdõr.
Sayfa 3 / 6 IP (Internet Protokol) : Bilgisayarlarõn birbirleriyle iletişimde kullanõlan bir adresleme biçimidir. Belli bir network içinde sanal IP dediğimiz sadece o network içerisinde geçerli olan IP adresleri ile birlikte gerçek IP dediğimiz ve global internet networkünde geçerli olan IP ler de vardõr. İşletim Sistemi: Bilgisayarlarda, kullanõcõlarõn çalõşmalarõna yönelik kullanacaklarõ yazõlõmlar ve bilgisayarõn diğer bilgisayarlarla iletişimi için kullanõlan temel yazõlõmdõr. İşletim sistemleri çeşitli özellik ve ara yüzleri ile kullanõcõlarõn bilgisayar imkanlarõndan faydalanabilmesini sağlamaktadõr. 4. İLGİLİ DÖKÜMANLAR 4.1 İlgili Talimatlar Yedekleme Talimatõ (T509-001) 4.2 İlgili Formlar Bilgi İşlem Müdürlüğü Talep Formu (F508-001) 4.3 İlgili Listeler Yedekleme Listesi (L509-001) Yetki Listesi (L509-002) Yönetici Şifre Listesi (L509-003) 5. UYGULAMA 5.1. Veri Güvenliği Bilgi İşlem Müdürlüğü tarafõndan istemci ve sunucu bilgisayarlarda kurum personelinin çalõşmalarõnõn yer aldõğõ klasörlerin ve sistem açõsõndan değerli verilerin bulunduğu alanlarõn yedeklenmesi gereklidir. Elektronik ortama kaydõ yapõlan tüm belgelerin asõllarõ ve sonraki revizyonlarõ da saklanmalõdõr. Yedekleme işlemi şu adõmlarla gerçekleştirilir. 5.1.1. Yedekleme Listesinin (L509-001) oluşturulmasõ a) Kullanõcõ bilgisayarlarõndan yedeklenecek klasörler kullanõcõlarõn bilgisi dahilinde belirlenir. Yedeklenecek klasörler tüm çalõşanlar için bir standart çerçevesinde belirlenir. Bu klasörler kullanõcõlarõn çalõşmalarõ ve kişisel ayarlarõnõn bulunduğu alanlarõ kapsar.
Sayfa 4 / 6 b) Kurum çalõşanlarõ için bilgi paylaşõmõ amacõyla sunucu bilgisayarlar üzerinde ortak kullanõma sunulmuş alanlar yedekleme listesinde yer alõr. c) Çeşitli ara yüzler ile kurum personellerine ya da kurumun hizmet verdiği, bilgi paylaştõğõ üçüncü taraflara hizmet veren yazõlõmlarõn (gerek görüldüğünde yazõlõmla beraber) veri kayõtlarõnõ bulunduran klasörler, veritabanlarõ yedekleme listesinde yer alõr. (Web siteleri, ve intranet / internet uygulamalarõ gibi) d) Kurum bilgisayar ağõnda sunucu bilgisayarlar üzerinde dahili hizmet veren servis yazõlõmlarõnõn gerekli veri alanlarõ da yedekleme listesinde yer alõr. (E-Posta kutularõ gibi) 5.1.2. Yedeklemenin yapõlmasõ Yedekleme listesi temel alõnarak yedekleme işlemleri Yedekleme Talimatõna (T509-001) göre yapõlõr. 5.2. Sistem Güvenliği 5.2.1. Ağ güvenliği: Ağ güvenliğinin sağlanmasõ amacõyla TÜRKAK bilgisayar ağõ, internet bağlantõsõ üzerinden gelebilecek tehditlere karşõ firewall desteği ile korunur. 5.2.2. Sistem yedeklerinin alõnmasõ: Sistem yedekleri herhangi bir bilgisayarda sistemin çökmesi durumunda pratik ve hatasõz olarak bilgisayarõn yeniden eski işlevine kavuşturulmasõ amacõyla hazõrlanõr. Bu yedekler özellikle bilgisayar ağõ üzerinde önemli işlevlere sahip sunucu bilgisayarlarda, bilgisayar üzerinde olmasõ gereken tüm servisler (SMTP, HTTP, AntiVirüs vb) aktif hale getirilip gerekli ayarlamalar tamamlandõktan sonra alõnõr. Bu yedekler ayrõ disklerde ya da manyetik bantlar üzerinde saklanõr. TÜRKAK bilgisayar ağõnda hangi bilgisayarlar için sistem yedeklerinin alõnacağõ Yedekleme Listesinde (L509-001) belirtilir. 5.2.3. Servis güvenliklerinin sağlanmasõ: İşletim sistemleri ve kullanõlan diğer servis yazõlõmlarõnda olabilecek ya da oluşturulabilecek bazõ açõklar bilgisayar ağõndaki veri güvenliğini tehdit edeceğinden, bu tip açõklarõn varlõğõnõ araştõrmak üzere konu ile ilgili periyodik araştõrmalar ve kontroller Bakõm ve Onarõm Süreçleri (P510) 5.2 Maddesinde açõklanan Sistem, Yazõlõm Bakõm ve Onarõmõnõn bir parçasõ olarak yapõlõr.
Sayfa 5 / 6 5.2.4. Fiziki Güvenlik Bilgi İşlem donanõmõnõn fiziki güvenliği binanõn genel güvenliğinden ayrõ düşünülemez. Bilgi İşlem Müdürlüğü tespit ettiği fiziki güvenlik açõklarõnõ Genel Sekreterliğe rapor eder. Sunucularõn bulunduğu odaya yalnõz yetkili personelin girebilmesi sağlanõr. Sunucularõn bulunduğu odada yangõn dedektörü ve yangõn söndürücü bulundurulur. Ağ üzerinde bulunan bilgisayar donanõmlarõ elektrik kesintisi ya da gerilim oynamalarõna karşõ Kesintisiz güç kaynağõ ve jenaratör ile korunur 5.2.5. Yetkilendirme : Kurum çalõşanlarõnõn kendilerine ait kullanõcõ adlarõ ve parolalarõ vardõr. Bu kullanõcõ tanõmlarõ kimlik doğrulayõcõsõ pozisyonundaki etki alanõ hizmetini veren sunucu bilgisayarda tanõmlanõr. Sunucular üzerindeki paylaştõrõlmõş kataloglarda güvenlik ve paylaşõm ihtiyaçlarõnõ karşõlayacak şekilde kademeli yetkilendirme uygulanõr. Bu kataloglar üzerinde kurumun hiyerarşik yapõsõ doğrultusunda asõl yetkiler belirlenir. Kurum içerisinde bilgi paylaşõmõnõ sağlamak ve iş akõşõnõ düzenlemek amacõyla kullanõlan özel yazõlõmlar içerisinde de kullanõcõlarõn görev alanlarõ dikkate alõnarak yazõlõm içerisindeki asõl yetkileri belirlenir. Belirlenen bu yetkiler Yetki Listesinde (L509-002) gösterilir. Bilgi İşlem Müdürlüğü personelinden sistem yöneticisi yetkilerine sahip olanlar Kurumsal bilgisayar ağõmõz üzerinde ve bilgisayar ağ trafiğinde tüm bilgilere ulaşabilme yetkilerine yürütmekte olduklarõ sistem yönetimi faaliyetleri nedeniyle sahip olduklarõndan bu doğrultuda erişebilecekleri verilerin gizliliği konusunda Bilgi İşlem Müdürlüğü Bilgilerin Gizliliği Taahhütnamesini (F509-001) imzalarlar. Bu taahhütnamelerin bir örneği personelin sicil dosyasõnda muhafaza edilir. Bu kataloglar üzerinde veya kullanõlan yazõlõmlar içerisinde geçerli olacak ilave yetkilendirme talepleri, Bilgi İşlem Müdürlüğü Talep Formu (F508-001) ile değerlendirmeye alõnõr. 5.2.6. Şifreler Sistem yöneticisi yetkisi gerektiren alanlarda kullanõlan kullanõcõ adõ ve parolalarõ Sistem Yönetici Şifre Listesinde (L509-003) tutulur. Bu liste tek nüsha olarak düzenlenir. Bu liste veya içindeki bilgilerin bir kõsmõ dahi elektronik ortamda ya da basõlõ doküman olarak başka hiçbir yerde bulundurulmaz. Bu liste kapalõ ve mühürlü zarf içerisinde Kurum kasasõnda muhafaza edilir. Liste ancak revizyon ya da bilgilenme amaçlõ olarak Bilgi İşlem Müdürlüğü veya Genel Sekreter tarafõndan tutanak tutularak açõlabilir. Revizyon halinde eski liste imha edilir ve bu işlemin gerçekleştirildiği hazõrlanan tutanakta belirtilir.
Sayfa 6 / 6 6. YETKİ VE SORUMLULUKLAR FAALİYETLER GS AHBB PİMİM YHB BİM Yedekleme listesinin oluşturulmasõ İ İ İ İ U Yedeklemenin yapõlmasõ U Servis güvenliklerinin sağlanmasõ U Fiziki güvenlik İ U Yetkilendirme K/B B B B U Kõsaltmalar: GS : Genel Sekreter K: Karar, AHBB : Birim Başkanlõklarõ U: Uygulama, YHB : Bilgi İşlem Müdürlüğü İ: İşbirliği, PİMİM: Personel İdari ve Mali İşler Müdürlüğü B: Bilgi. 7. ARŞİV VE KAYITLAR Prosedürde tanõmlarõ yapõlan ve prosedürde belirtilen çalõşmalarda kullanõlan tüm form ve listeler Yönetici Şifre Listesi (L590-003) hariç Bilgi İşlem Müdürlüğü tarafõndan arşivde tutulur. 8. DAĞITIM Genel Sekreterlik Ana Hizmet Birim Başkanlõklarõ Yardõmcõ Hizmet Birimleri