Bilgi Sistemleri Genel Güvenlik ve Kullanım Politikaları

·        E-Posta Politikası

·        Parola Politikası

·        İnternet Erisim ve Kullanım Politikası

·        Antivirus Politikası

·        İnternet Erisim ve Kullanım Politikası

·        Sunucu Güvenlik Politikaları

·        Ağ Cihazları Güvenlik Politikası

·        Kablosuz İletisim Politikası

·        Uzaktan Erisim Politikası

·        Donanım ve Yazılım Envanteri Olusturma Politikası

·        Kriz / Acil Durum Politikası

·        Fiziksel Güvenlik Politikası

·        Kimlik Doğrulama ve Yetkilendirme Politikası

·        Veritabanı Güvenlik Politikası

·        Bilgi Sistemleri Yedekleme Politikası

·        Değisim Yönetim Politikası

·        Personel Güvenliği Politikası

·        Bakım Politikası

·        Yazılım Gelistirme Politikası

·        Belgelendirme Politikası

E-Posta Politikası

E-Posta ile ilgili yasaklanmıs kullanım kuralları asağıda belirtilmistir.

1) Kullanıcı hesaplarına ait parolalar ikinci bir sahsa verilmemelidir.

2) gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun

kapsamı içerisine ilistirilen öğeler de dâhildir. Mesajların gönderilen kisi dısında

baskalarına ulasmaması için gönderilen adrese ve içerdiği bilgilere özen

gösterilmelidir.

3) Kullanıcı, Kurumun e-posta sistemini taciz, suiistimal veya herhangi bir sekilde

alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajları göndermemelidir. Bu

tür özelliklere sahip bir mesaj alındığında ilgili birime haber verilmelidir.

4) Kullanıcı hesapları, ticari ve kâr amaçlı olarak kullanılmamalıdır. Diğer kullanıcılara

bu amaçlar ile e-posta gönderilmemelidir.

5) Zincir mesajlar ve mesajlara ilistirilmis her türlü çalıstırılabilir dosya içeren e-postalar

alındığında baskalarına iletilmeyip, ilgili birime haber verilmelidir.

6) Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.

7) Kullanıcı, e-posta ile uygun olmayan içerikler (siyasi propaganda, ırkçılık, pornografi,

fikri mülkiyet içeren malzeme, vb.) göndermemelidir.

8) Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait

olduğunu kabul edip; suç teskil edebilecek, tehditkâr, yasadısı, hakaret edici, küfür

veya iftira içeren, ahlaka aykırı mesajların yollanmasından sorumludur.

E-Posta ile ilgili kisisel kullanım kuralları asağıda belirtilmistir.

1) E-posta kisisel amaçlar için kullanılmamalıdır.

2) Kullanıcı, mesajlarının yetkisiz kisiler tarafından okunmasını engellemelidir. Bu

yüzden parola kullanılmalı ve kullanılan parola en geç 45 günde bir değistirilmelidir.

E-posta erisimi için kullanılan donanım/yazılım sistemleri yetkisiz erisimlere karsı

korunmalıdır.

3) Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu epostalara

herhangi bir islem yapmaksızın ilgili birime haber vermelidir.

4) Kullanıcı, kurumsal mesajlarını, kurum is akısının aksamaması için cevaplandırmalıdır.

5) Kullanıcı, kurumsal e-postalarının, kurum dısındaki sahıslar ve yetkisiz sahıslar tarafından görülmesini ve okunmasını engellemelidir.

6) Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düsünülen e-postalar ilgili birime haber verilmelidir.

7) 6 ay süreyle kullanılmamıs e-posta adresleri kullanıcıya haber vermeden sunucu güvenliği ve veri depolama alanının bosaltılması için kapatılmalıdır.

8) Kullanıcı parolaları, en az 8 karakterden olusmalı ve parolalarının içinde; en az 1 tane harf, en az 2 tane rakam ve en az 1 tane özel karakter (@,^,+,$,#,&,/,{,*,-,],=…)içermelidir.

9) Kullanıcı, kendilerine ait e-posta parolasının güvenliğinden ve gönderilen epostalardan doğacak hukuki islemlerden sorumlu olup, parolalarının kırıldığını fark ettiği andan itibaren ilgili birime haber vermelidir.

(3) Kurumsal e-postalar yetkili kisilerce hukuksal açıdan gerekli görülen yerlerde önceden haber vermeksizin denetlenebilir.

(4) Kullanıcı, e-postalarına erisirken, POP3, SMTP, HTTP vb kullanıcı adı ve parolasını açık metin olarak (okunabilir halde) tasıyan protokolleri kullanmamalıdır.

(5) Kurum, e-postaların kurum bünyesinde güvenli ve basarılı bir sekilde iletilmesi için gerekli yönetim ve alt yapıyı sağlamakla sorumludur.

(6) Virüs, solucan, truva atı veya diğer zararlı kodlar bulasmıs olan bir e-posta kullanıcıya zarar verebilir. Bu tür virüslere bulasmıs e-postalar antivirüs yazılımları tarafından analiz edilip, içeriği korunarak virüslerden temizlenmelidir. Ağa dâhil edilmis bilgisayarlarda ve sunucularda ağ güvenlik yöneticileri bu yazılımdan sorumludur.

Parola Politikası

Parola Politikası ile ilgili genel kurallar asağıda belirtilmistir.

1) Sistem hesaplarına ait parolalar (örnek; root, administrator, enable, vs.) en geç 6(altı) ayda bir değistirilmelidir.

2) Kullanıcı hesaplarına ait parolalar (örnek, e-posta, web, masaüstü bilgisayar vs.) en geç 45(kırk bes) günde bir değistirilmelidir.

3) Sistem yöneticisi sistem ve kullanıcı hesapları için farklı parolalar kullanmalıdır.

4) Parolalar e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.

5) Kullanıcı, parolasını baskası ile paylasmaması, kâğıtlara ya da elektronik ortamlar yazmaması konusunda bilgilendirilmeli ve eğitilmelidir.

6) Kurum çalısanı olmayan kisiler için açılan kullanıcı hesapları da kolayca kırılamayacak güçlü bir parolaya sahip olmalıdır.

7) Bir kullanıcı adı ve parolası, birim zamanda birden çok bilgisayarda kullanılmamalıdır.

Kullanıcı güçlü bir parola olusturmak için asağıdaki parola özelliklerini uygulamalıdır.

1) En az 8 haneli olmalıdır.

2) İçerisinde en az 1 tane harf bulunmalıdır. (a, b, C...)

3) İçerisinde en az 2 tane rakam bulunmalıdır. (1, 2, 3...)

4) İçerisinde en az 1 tane özel karakter bulunmalıdır. (@, !,?,^,+,$,#,&,/,{,*,-,],=,...)

5) Aynı karakterler pes pese kullanılmamalıdır. (aaa, 111, XXX, ababab...)

6) Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...)

7) Kullanıcıya ait anlam ifade eden kelimeler içermemelidir. (Aileden birisinin,

arkadasının, bir sanatçının, sahip olduğu bir hayvanın ismi, arabanın modeli vb.)

Sifre koruma standartları ile ilgili kurallar asağıda belirtilmistir.

1) Bütün parolalar Kuruma ait gizli bilgiler olarak düsünülmeli ve kullanıcı,

parolalarını hiç kimseyle paylasmamalıdır.

2) Web tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki “parola

hatırlama” seçeneği kullanılmamalıdır.

3) Parola kırma ve tahmin etme operasyonları belli aralıklar ile yapılabilir.

4) Güvenlik taraması sonucunda parolalar tahmin edilirse veya kırılırsa kullanıcıdan

parolasını değistirmesi talep edilebilir.

Uygulama Gelistirme Standartları

1) Bireylerin ve grupların kimlik doğrulaması islemini desteklemelidir.

2) Parolalar metin olarak veya kolay anlasılabilir formda saklanmamalıdır.

3) Parolalar, sifrelenmis olarak saklanmalıdır.

4) En az RADIUS ve/veya X.509/LDAP güvenlik protokollerini desteklemelidir.

Antivirus Politikası

Antivirus Politikası ile ilgili kurallar asağıda belirtilmistir.

1) Kurumun tüm istemcileri ve sunucuları antivirüs yazılımına sahip olmalıdır. Ancak sistem yöneticilerinin gerekli gördüğü sunucular üzerine istisna olarak antivirüs yazılımı yüklenmeyebilir.

2) İstemcilere ve sunuculara virüs bulastığı fark edildiğinde etki alanından çıkartılmalıdır.

3) Sistem yöneticileri, antivirüs yazılımının sürekli ve düzenli çalısmasından ve

istemcilerin ve sunucuların virüsten arındırılması için gerekli prosedürlerin

olusturulmasından sorumludur.

4) Kullanıcı hiç bir sebepten dolayı antivirüs yazılımını bilgisayarından kaldırmamalıdır.

5) Antivirüs güncellemeleri antivirüs sunucusu ile yapılmalıdır. Sunucular internete

sürekli bağlı olup, sunucuların veri tabanları otomatik olarak güncellenmelidir. Etki

alanına bağlı istemcilerin, otomatik olarak antivirüs sunucusu tarafından antivirüs

güncellemeleri yapılmalıdır.

6) Etki alanına dâhil olmayan kullanıcıların güncelleme sorumluluğu kendilerine ait olup,

herhangi bir sakınca tespit edilmesi durumunda, sistem yöneticileri bu bilgisayarları

ağdan çıkartabilmelidir.

7) Bilinmeyen veya süpheli kaynaklardan dosya indirilmemelidir.

8) Kurumun ihtiyacı haricinde okuma/yazma hakkı veya disk erisim hakkı

tanımlamaktan kaçınılmalıdır. İhtiyaca binaen yapılan bu tanımlamalar, ihtiyacın

ortadan kalkması durumunda iptal edilmelidir.

9) Optik Media ve harici veri depolama cihazları antivirüs kontrolünden geçirilmelidir.

10) Kritik veriler ve sistem yapılandırmaları düzenli aralıklar ile yedeklenmeli ve bu

yedekler farklı bir elektronik ortamda güvenli bir sekilde saklanmalıdır. Yedeklenen

verinin kritik bilgiler içermesi durumunda, alınan yedekler sifre korumalı olmalıdır.

İnternet Erisim ve Kullanım Politikası

İnternet Erisim ve Kullanım Politikası ile ilgili kurallar asağıda belirtilmistir.

1) Kurumun bilgisayar ağı, erisim ve içerik denetimi yapan ağ güvenlik duvar(lar)ı

üzerinden internete çıkmalıdır. Ağ güvenlik duvarı, kurumun ağı ile dıs ağlar arasında

bir geçit olarak görev yapan ve İnternet bağlantısında kurumun karsılasabileceği

sorunları önlemek üzere tasarlanan cihazlardır.

2) Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır.

İstenilmeyen siteler (pornografi, oyun, kumar, siddet içeren vs.) yasaklanmalıdır.

3) Kurumun ihtiyacı doğrultusunda Saldırı Tespit ve Önleme Sistemleri kullanılmalıdır.

4) Kurumun ihtiyacı ve olanakları doğrultusunda antivirüs sunucuları kullanılmalıdır.

İnternete giden ve gelen bütün trafik virüslere karsı taranmalıdır.

5) Kullanıcıların internet erisimlerinde firewall, antivirüs, içerik kontrol vs. güvenlik

kriterleri hayata geçirilmelidir.

6) Ancak yetkilendirilmis kisiler internete çıkarken, Kurumun normal kullanıcılarının

bulunduğu ağdan farklı bir ağda olmak kaydıyla, bütün servisleri kullanma hakkına

sahiptir.

7) Çalısma saatleri içerisinde is ile ilgili olmayan sitelerde gezinilmemelidir.

8) İs ile ilgili olmayan (müzik, video dosyaları) dosyalar gönderilmemeli ve

indirilmemelidir. Bu konuda gerekli önlemler alınmalıdır.

9) Üçüncü sahısların internet erisimleri için misafir ağı erisimi verilmelidir.

Sunucu Güvenlik Politikaları

Sahip olma ve sorumluluklar ile ilgili kurallar asağıda belirtilmistir.

1) Kurum’da bulunan sunucuların yönetiminden, ilgili sunucuyla yetkilendirilmis

personel(ler) sorumludur.

2) Sunucu kurulumları, konfigürasyonları, yedeklemeleri, yamaları, güncellemeleri

sadece sorumlu personel(ler) tarafından yapılmalıdır.

3) Sunuculara ait bilgilerin yer aldığı tablo olusturulmalıdır. Bu tabloda, sunucuların

isimleri, ip adresleri ve yeri, ana görevi ve üzerinde çalısan uygulamalar, isletim

sistemi sürümleri ve yamaları, donanım, kurulum, yedek, yama yönetimi

islemlerinden sorumlu personel(ler)in isimleri ve telefon numaraları bilgileri yer

almalı ve bu tablo bir portal üzerinde bulundurulmalıdır.

4) Tüm bilgiler, sistem yöneticisinin belirlediği kisi(ler) tarafından güncel tutulmalıdır.

Genel yapılandırma kuralları asağıda belirtilmistir.

1) Sunucu kurulumları, yapılandırmaları, yedeklemeleri, yamaları, güncellemeleri

Kurum’un ilgili biriminin talimatlarına göre yapılmalıdır.

2) Kullanılmayan servisler ve uygulamalar kapatılmalıdır.

3) Servislere erisimler, kaydedilerek ve erisim kontrol yöntemleri ile koruma

sağlanmalıdır.

4) Sunucu üzerinde çalısan isletim sistemleri, hizmet sunucu yazılımları ve antivirüs vb.

koruma amaçlı yazılımlar sürekli güncellenmelidir. Antivirüs ve yama güncellemeleri

otomatik olarak yazılımlar tarafından yapılmalıdır. Güncellemelerde değisiklik

yapılacak ise bu değisiklikler, önce değisiklik yönetimi kuralları çerçevesinde, bir

onay ve test mekanizmasından geçirilmeli, sonra uygulanmalıdır. Bu çalısmalar için

yetkilendirilmis bir personel olmalıdır.

5) Sistem yöneticileri ‘Administrator’ ve ‘root’ gibi genel sistem hesapları

kullanmamalıdır. Sunuculardan sorumlu personelin istemciler ve sunuculara

bağlanacakları kullanıcı adları ve parolaları farklı olmalıdır.

6) Ayrıcalıklı bağlantılar teknik olarak güvenli kanal (SSL, IPSec VPN gibi sifrelenmis

ağ) üzerinden yapılmalıdır.

7) Sunuculara ait bağlantılar normal kullanıcı hatlarına takılmamalıdır. Sunucu

VLAN’larının tanımlı olduğu portlardan bağlantı sağlanmalıdır.

8) Sunucular üzerinde lisanslı yazılımlar kurulmalıdır.

9) Sunucular fiziksel olarak korunmus sistem odalarında bulunmalıdır.

Sunucu gözlemleme kuralları asağıda belirtilmistir.

1) Kritik sistemlerde, uygulamalar kaydedilmeli ve kayıtlar asağıdaki gibi saklanmalıdır.

2) Kayıtlara çevrimiçi olarak minimum 90 gün süreyle erisebilmelidir.

3) Günlük tape backuplar en az 1 ay saklanmalıdır.

4) Haftalık tape backuplar en az bir ay saklanmalıdır.

5) Aylık full backuplar en az 6 (altı) ay saklanmalıdır.

6) Kayıtlar sunucu üzerinde tutulmalarının yanı sıra ayrı bir sunucuda da saklanmalıdır.

7) Sunucu üzerinde zararlı yazılım (malware, spyware, hack programları, warez

programları, vb.) çalıstırılmamalıdır.

8) Kayıtlar sorumlu kisi tarafından değerlendirilmeli ve gerekli tedbirler alınmalıdır.

9) Port tarama atakları düzenli olarak yapılmalıdır.

10) Yetkisiz kisilerin ayrıcalıklı hesaplara erisip erisemeyeceğinin kontrolü periyodik

yapılmalıdır.

11) Sunucuda meydana gelen mevcut uygulama ile alakalı olmayan anormal olaylar

düzenli takip edilmelidir.

12) Denetimler, Bilgi İslem grubu tarafından yetkilendirilmis kisilerce yönetilmeli ve belli

aralıklarda yapılmalıdır.

13) Sunucuların bilgileri yetkilendirilmis kisi tarafından Tablo (Ek-2)’deki bilgileri

kapsayacak sekilde tutulmalı ve güncellenmelidir.

Sunucu isletim kuralları asağıda belirtilmistir.

1) Sunucular elektrik, ağ altyapısı, sıcaklık ve nem değerleri düzenlenmis, tavan ve

taban güçlendirmeleri yapılmıs ortamlarda bulundurulmalıdır.

2) Sunucuların yazılım ve donanım bakımları üretici firma tarafından belirlenmis

aralıklarla, yetkili uzmanlar tarafından yapılmalıdır.

3) Sistem odalarına giris ve çıkıslar erisim kontrollü olmalı ve bilgisayar sistemine kayıt

edilmelidir.

  

Ağ Cihazları Güvenlik Politikası

Madde 10- (1) Ağ cihazları güvenlik politikası ile ilgili kurallar asağıda belirtilmistir.

1) Ağ cihazlarının IP ve MAC adres bilgileri envanter dosyasında yer almalıdır.

2) Yerel kullanıcı hesapları açılmamalıdır. Ağ cihazları kimlik tanımlama için LDAP,

RADIUS veya TACAS+ protokollerinden birini kullanmalıdır.

3) Yönlendirici ve anahtarlardaki tam yetkili sifre olan ‘enable sifresi’ kodlanmıs formda

saklanmalıdır. Bu sifrenin tanımlanması kurumun içerisinden yapılmalıdır.

4) Kurumun standart olan SNMP community string’leri kullanılmalıdır. Bu bilgi sadece

yetkilendirilmis kisiler tarafından bilinmelidir.

5) İhtiyaç duyulduğu zaman erisim listeleri eklenmelidir.

6) Yönlendirici ve anahtarlar kurumun yönetim sisteminde olmalıdır.

7) Yazılım ve firmware güncellemeleri önce test ortamlarında denenmeli, sonra çalısma

günlerinin dısında üretim ortamına tasınmalıdır.

8) Cihazlar üzerinde kullanılmayan servisler kapatılmalıdır.

9) Bilgisayar ağında bulunan kabinetler, aktif cihazlar, ağ kabloları (UTP ve fiber optik

aktarma kabloları), cihazların portları etiketlenmelidir.

10)Her bir yönlendirici ve anahtar asağıdaki uyarı yazısına sahip olmalıdır.

Yönlendiriciye erisen tüm kullanıcıları uyarmalıdır.

Ağ Yönetim Politikası

Ağ yönetim politikası ile ilgili kurallar asağıda belirtilmistir.

1) Ağ cihazları yönetim sorumluluğu, sunucu ve istemcilerin yönetiminden ayrılmalıdır.

2) Bilgisayar ağlarının ve bağlı sistemlerin is sürekliliğini sağlamak için düzenli

denetimler yapılmalı ve güncellemeler uygulanmalıdır.

3) Erisimine izin verilen ağlar, ağ servisleri ve ilgili yetkilendirme yöntemleri belirtilmeli

ve yetkisiz erisimle ilgili tedbirler alınmalıdır.

4) Gerek görülen uygulamalar için, portların belirli uygulama servislerine veya güvenli

ağ geçitlerine otomatik olarak bağlanması sağlanmalıdır.

5) Sınırsız ağ dolasımı engellenmelidir. Ağ servisleri, varsayılan durumda erisimi

engelleyecek sekilde olup, ihtiyaçlara göre serbest bırakılmalıdır.

6) Harici ağlar üzerindeki kullanıcıları belirli uygulama servislerine veya güvenli ağ

geçitlerine bağlanmaya zorlayıcı teknik önlemler alınmalıdır.

7) İzin verilen kaynak ve hedef ağlar arası iletisimi aktif olarak kontrol eden güvenlik

duvarı gibi ağ cihazları yoluyla önlemler alınmalı ve kayıtlar tutulmalıdır.

8) Ağ erisimi VPN, VLAN gibi ayrı mantıksal alanlar olusturularak sınırlandırılmalıdır.

Kurum kullanıcılarının bilgisayarlarının bulunduğu ağ, sunucuların bulunduğu ağ,

DMZ ağı birbirlerinden ayrılmalı ve ağlar arasında geçis güvenlik sunucuları

(firewall) üzerinden sağlanmalıdır.

9) Uzaktan teshis ve müdahale için kullanılacak portların güvenliği sağlanmalıdır.

10)Bilgisayar ağına bağlı bütün makinelerde kurulum ve yapılandırma parametreleri,

Kurumun güvenlik politika ve standartlarıyla uyumlu olmalıdır.

11)Sistem tasarımı ve gelistirilmesi yapılırken Kurum tarafından onaylanmıs olan ağ ara

yüzü ve protokolleri kullanılmalıdır.

12)İnternet trafiği, İnternet Erisim ve Kullanım Politikası ve ilgili standartlarda anlatıldığı

sekilde izlenebilmelidir.

13)Bilgisayar ağındaki adresler, ağa ait yapılandırma ve diğer tasarım bilgileri 3. sahıs ve

sistemlerin ulasamayacağı sekilde saklanmalıdır.

14)Ağ cihazları görevler dısında baska bir amaç için kullanılmamalıdır.

15)Ağ cihazları yapılandırılması Bilgi Güvenliği Yöneticisi tarafından veya Bilgi

Güvenliği Yöneticisinin denetiminde yapılmalı ve değistirilmelidir.

16) Ağ dokümantasyonu hazırlanmalı ve ağ cihazlarının güncel yapılandırma bilgileri

gizli ortamlarda saklanmalıdır.

 Uzaktan Erisim Politikası

Uzaktan erisim politikası ile ilgili kurallar asağıda belirtilmistir.

1) Internet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erisen kisiler

ve/veya kurumlar VPN teknolojisini kullanmalıdırlar. Bu; veri bütünlüğünün

korunması, erisim denetimi, mahremiyet, gizliliğin korunması ve sistem devamlılığını

sağlamaktadır. VPN teknolojileri IpSec, SSL, VPDN, PPTP, L2TP vs.

Protokollerinden birini içermelidir.

2) Uzaktan erisim güvenliği denetlenmelidir.

3) Kurum çalısanları bağlantı bilgilerini hiç kimse ile paylasmamalıdır.

4) Kurumun ağına uzaktan bağlantı yetkisi verilen çalısanlar veya sözlesme sahipleri

bağlantı esnasında aynı anda baska bir ağa bağlı olmamalıdır.

5) Telefon hatları üzerinden uzaktan erisim, mümkün olan en üst düzeyde güvenlik

yapılandırması ile kullanılmalıdır.

6) Kurum ağına uzaktan erisecek bilgisayarların isletim sistemi ve antivirüs yazılımı

güncellemeler yapılmıs olmalıdır.

7) Kurumdan ilisiği kesilmis veya görevi değismis kullanıcıların gerekli bilgileri

yürütülen projeler üzerinden otomatik olarak alınmalı, yetkiler ve hesap özellikleri

buna göre güncellenmelidir.

Kablosuz İletisim Politikası

Kurumun bilgisayar ağına bağlanan bütün erisim cihazları ve ağ arabirim kartları kayıt altına alınmalıdır.Bütün kablosuz erisim cihazları Bilgi İslem Güvenlik Birimi tarafından onaylanmıs olmalı ve Bilgi İslemin belirlediği güvenlik ayarlarını kullanmalıdır.

Kablosuz iletisim ile ilgili gereklilikler asağıda belirtilmistir.

1) Güçlü bir sifreleme ve erisim kontrol sistemi kullanılmalıdır. Bunun için Wi-Fi

Protected Access2 (WPA2-kurumsal) sifreleme kullanılmalıdır. IEEE 802.1x erisim

kontrol protokolü ve TACACS+ ve RADIUS gibi güçlü kullanıcı kimlik doğrulama

protokolleri kullanılmalıdır.

2) Erisim cihazlarındaki firmwareler düzenli olarak güncellenmelidir. Bu, donanım

üreticisi tarafından çıkarılan güvenlik ile ilgili yamaların uygulanmasını

sağlamaktadır.

3) Cihaza erisim için güçlü bir parola kullanılmalıdır. Erisim parolaları varsayılan ayarda

bırakılmamalıdır.

4) Varsayılan SSID isimleri kullanılmamalıdır. SSID ayarı bilgisi içerisinde kurumla

ilgili bilgi olmamalıdır, mesela kurum ismi, ilgili bölüm, çalısanın ismi vb.

5) Radyo dalgalarının binanın dısına tasmamasına özen gösterilmelidir. Bunun için çift

yönlü antenler kullanılarak radyo sinyallerinin çalısma alanında yoğunlaşması sağlanmalıdır.

6) Kullanıcıların erisim cihazları üzerinden ağa bağlanabilmeleri için, Kurum kullanıcı

adı ve parolası bilgilerini etki alanı adı ile beraber girmeleri sağlanmalı ve Kurum

kullanıcısı olmayan kisilerin, kablosuz ağa yetkisiz erisimi engellenmelidir.

7) Erisim Cihazları üzerinden gelen kullanıcılar Firewall üzerinden ağa dâhil olmalıdırlar.

8) Erisim cihazları üzerinden gelen kullanıcıların internete çıkıs bant genisliğine

sınırlama getirilmeli ve kullanıcılar tarafından Kurum’un tüm internet bant

genisliğinin tüketilmesi engellenmelidir.

9) Erisim cihazları üzerinden gelen kullanıcıların ağ kaynaklarına erisim yetkileri,

internet üzerinden gelen kullanıcıların yetkileri ile sınırlı olmalıdır.

10)Kullanıcı bilgisayarlarında kisisel antivirüs ve güvenlik duvarı yazılımları yüklü

olmalıdır.

11)Erisim cihazları bir yönetim yazılımı ile devamlı olarak gözlemlenmelidir.

Bilgi Sistemleri Genel Kullanım Politikası

Bilgi sistemlerine sahip olma ve bu sistemleri genel kullanım kuralları asağıda

belirtilmistir.

1) Kurumun güvenlik sistemleri kisilere makul seviyede mahremiyet sağlasa da,

Kurumun bünyesinde olusturulan tüm veriler Kurumun mülkiyetindedir.

2) Kullanıcılar bilgi sistemlerini kisisel amaçlarla kullanmamalıdır. Bu konuda ilgili

politikalar dikkate alınmalıdır.

3) Kurum, bu politika çerçevesinde ağları ve sistemleri periyodik olarak denetleme

hakkına sahiptir.

4) Kurum bilgisayarları etki alanına dahil edilmelidir. Etki alanına bağlı olmayan

bilgisayarlar yerel ağdan çıkarılmalı, yerel ağdaki cihazlar ile bu tür cihazlar

arasında bilgi alısverisi olmamalıdır.

5) Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıstırılmamalı ve

kopyalanmamalıdır.

6) Kurumda Bilgi İslem biriminin bilgisi ve onayı olmadan Ağ sisteminde

(web hosting, e-posta servisi vb.) sunucu nitelikli bilgisayar bulundurulmamalıdır.

7) Birimlerde sorumlu bilgi islem personeli ve ilgili teknik personel haricindeki

kullanıcılar tarafından ağa bağlı cihazlar üzerindeki ağ ayarları, kullanıcı tanımları,

kaynak profilleri gibi ayarlar değistirilememelidir.

8) Bilgisayarlara lisanssız program yüklenmemelidir.

9) Gerekmedikçe bilgisayar kaynakları paylasıma açılmamalıdır. Kaynakların

paylasıma açılması halinde de mutlaka sifre kullanma kurallarına göre hareket

edilmelidir.

Bilgi sistemleri genel yapılandırması ile ilgili kurallar asağıda belirtilmistir.

1) Dizüstü bilgisayarın çalınması/kaybolması durumunda, durum fark edildiğinde en kısa

zamanda ilgili birime haber verilmelidir.

2) Bütün cep telefonu ve PDA (Personal Digital Assistant) cihazları kurumun ağı ile

senkronize olsun veya olmasın sifreleri aktif halde olmalıdır. Kullanılmadığı

durumlarda kablosuz erisim (kızılötesi, bluetooth, vb) özellikleri aktif halde

olmamalıdır ve mümkünse anti-virüs programları ile yeni nesil virüslere karsı

korunmalıdır.

3) Kullanıcılar tarafından gönderilen e-postalarda gereğine göre asağıdaki sekilde bir

açıklama yer almalıdır.

“Bu e-posta is için gönderilenler hariç sadece yukarıda isimleri belirtilen kisiler

arasında özel haberlesme amacını tasımaktadır. Size yanlıslıkla ulasmıssa lütfen

gönderen kisiyi bilgilendiriniz ve mesajı sisteminizden siliniz. Kurum bu mesajın içeriği ile ilgili olarak hiçbir hukuksal sorumluluğu kabul etmemektedir.

4) Kullanıcılar ağ kaynaklarının verimli kullanımı konusunda dikkatli olmalıdır. E-posta

ile gönderilen büyük dosyaların sadece ilgili kullanıcılara gönderildiğinden emin

olunmalı ve mümkünse dosyalar sıkıstırılmalıdır.

Donanım ve Yazılım Envanteri Olusturma Politikası

Donanım ve yazılım envanteri olusturma ile ilgili kurallar aşağıda belirtilmistir.

1) Olusturulan envanter tablosunda su bilgiler olmalıdır: sıra no, bilgisayar adı, bölüm,

marka, model, seri no, özellikler, ek aksamlar, isletim sistemi, garanti süresi vs.

2) Bu tablolar merkezi bir web sunucuda tutulmalı ve belirli aralıklarla

güncellenmelidir. İlgili siteye girisler güvenlik politikaları çerçevesinde

yapılmalıdır.

3) Envanter bilgileri sık sık kontrol edilmelidir. Bu sekilde bilgi eksikliğinin yol

açacağı kayıp ve maliyetlere engel olunmalıdır.

Kriz / Acil Durum Politikası

Acil Durum politikası ile ilgili kurallar asağıda belirtilmistir.

1) Acil durum sorumluları atanmalı ve yetki ve sorumlulukları belirlenmeli ve dokümante

edilmelidir.

2) Bilgi sistemlerinin kesintisiz çalısabilmesi için gerekli önlemler alınmalıdır. Problem

durumlarında sistem kesintisiz veya makul kesinti süresi içerisinde felaket ve/veya is

sürekliği merkezi üzerinden çalıstırılabilmelidir.

3) Bilisim sistemlerinin kesintisiz çalısmasının sağlanması için aynı ortamda Kümeleme

veya uzaktan kopyalama veya yerel kopyalama veya pasif sistem çözümleri hayata

geçirilmelidir. Sistemler tasarlanırken minimum sürede is kaybı hedeflenmelidir.

4) Acil durumlarda kurum içi isbirliği gereksinimleri tanımlanmalıdır.

5) Acil durumlarda sistem kayıtları incelenmek üzere saklanmalıdır.

6) Güvenlik açıkları ve ihlallerinin rapor edilmesi için kurumsal bir mekanizma

olusturulmalıdır.

7) Yasanan acil durumlar sonrası politikalar ve süreçler yeniden incelenerek ihtiyaçlar

doğrultusunda revize edilmelidir.

8) Bir güvenlik ihlali yasandığında ilgili sorumlulara bildirimde bulunulmalı ve bu

bildirim süreçleri tanımlanmıs olmalıdır.

9) Acil durumlarda bilgi güvenliği yöneticisine erisilmeli, ulasılamadığı durumlarda

koordinasyonu sağlamak üzere önceden tanımlanmıs ilgili yöneticiye bilgi verilmeli

ve zararın tespit edilerek süratle önceden tanımlanmıs felaket kurtarma faaliyetleri

yürütülmelidir.

10)Bilgi güvenliği yöneticisi tarafından gerekli görülen durumlarda konu hukuksal

zeminde incelenmek üzere ilgili makamlara iletilmelidir.

Fiziksel Güvenlik Politikası

Fiziksel Güvenlik ile ilgili kurallar asağıda belirtilmistir.

1) Kurumun binalarının fiziksel olarak korunması, farklı koruma mekanizmaları ile

donatılması temin edilmelidir.

2) Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine

göre binalarda ve çalısma alanlarında farklı güvenlik bölgeleri tanımlanmalı ve erisim

izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları teskil edilmelidir.

3) Kurum dısı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girisi yetkili güvenlik

görevlileri gözetiminde gerçeklestirilmelidir.

4) Kritik bilgilerin bulunduğu alanlara girislerin kontrolü akıllı kartlar veya biyometrik

sistemler ile yapılmalı ve izlenmelidir.

5) Tanımlanan farklı güvenlik bölgelerine erisim yetkilerinin güncelliği sağlanmalıdır.

6) Personel kimliği ve yetkilerini belirten kartların ve ziyaretçi kartlarının düzenli olarak

tasınması sağlanmalıdır.

7) Kritik sistemler özel sistem odalarında tutulmalıdır.

8) Sistem odaları elektrik kesintilerine ve voltaj değiskenliklerine karsı korunmalı, yangın

ve benzer felaketlere karsı koruma altına alınmalı ve iklimlendirilmesi sağlanmalıdır.

9) Fotokopi, yazıcı vs. türü cihazlar mesai saatleri dısında kullanıma kapatılmalı, mesai

saatleri içerisinde yetkisiz kullanıma karsı koruma altına alınmalıdır.

10)Çalısma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması

temin edilmelidir.

Kimlik Doğrulama ve Yetkilendirme Politikası

Kimlik Doğrulama ve Yetkilendirme Politikası ile ilgili kurallar asağıda

belirtilmistir.

1) Kurum sistemlerine erisecek tüm kullanıcıların kurumsal kimlikleri doğrultusunda

hangi sistemlere, hangi kimlik doğrulama yöntemi ile eriseceği belirlenecek ve

dokümante edilecektir.

2) Kurum sistemlerine erismesi gereken firma kullanıcılarına yönelik ilgili profiller ve

kimlik doğrulama yöntemleri tanımlanacak ve dokümante edilecektir.

3) Kurum bünyesinde kullanılan ve merkezi olarak erisilen tüm uygulama yazılımları,

paket programlar, veritabanları, isletim sistemleri ve log-on olarak erisilen tüm

sistemler üzerindeki kullanıcı rolleri ve yetkiler belirlenmeli, dokümante edilmeli ve

denetim altında tutulmalıdır.

4) Tüm kurumsal sistemler üzerindeki kullanım hakları (kullanıcıların kendi sistemlerine

yönelik olarak birbirlerine verdikleri haklar dahil) periyodik olarak gözden geçirilmeli

ve bu gereksinimler gerekli minimum yetkinin verilmesi prensibi doğrultusunda revize

edilmelidir.

5) Erisim ve yetki seviyelerinin sürekli olarak güncelliği temin edilmelidir.

6) Sistemlere basarılı ve basarısız erisim istekleri düzenli olarak tutulmalı, tekrarlanan

basarısız erisim istekleri/girisimleri incelenmelidir.

7) Kullanıcılara erisim hakları yazılı olarak beyan edilmelidir.

8) Kullanıcı hareketlerini izleyebilmek üzere her kullanıcıya kendisine ait bir kullanıcı

hesabı açılmalıdır.

9) Sistemler üzerindeki tüm roller, rollere sahip kullanıcılar ve rollerin sistem kaynakları

üzerindeki yetkileri uygun araçlar kullanılarak belirli aralıklarla listelenmelidir. Bu

listeler yetki seviyeleri ile karsılastırılmalıdır. Eğer uyumsuzluk varsa dokümanlar ve

yetkiler düzeltilerek uyumlu hale getirilmelidir.

Veritabanı Güvenlik Politikası

Veritabanı güvenlik kuralları asağıda belirtilmistir.

1) Veritabanı sistemleri envanteri dokümante edilmeli ve bu envanterden sorumlu

personel tanımlanmalıdır.

2) Veritabanı isletim kuralları belirlenmeli ve dokümante edilmelidir.

3) Veritabanı sistem kayıtları tutulmalı ve gerektiğinde idare tarafından izlenmelidir.

4) Veritabanında kritik verilere her türlü erisim islemleri (okuma, değistirme, silme,

ekleme) kaydedilmelidir.

5) Veritabanı sistemlerinde tutulan bilgiler sınıflandırılmalı ve uygun yedekleme

politikaları olusturulmalı, yedeklemeden sorumlu sistem yöneticileri belirlenmeli ve

yedeklerin düzenli olarak alınması kontrol altında tutulmalıdır.

6) Yedekleme planları dokümante edilmelidir.

7) Manyetik kartus, DVD veya CD ortamlarında tutulan log kayıtları en az 2 (iki) yıl süre

ile güvenli ortamlarda saklanmalıdır.

8) Veritabanı erisim politikaları “Kimlik Doğrulama ve Yetkilendirme” politikaları

çerçevesinde olusturulmalıdır.

9) Hatadan arındırma, bilgileri yedekten dönme kuralları “Acil Durum Yönetimi”

politikalarına uygun olarak olusturulmalı ve dokümante edilmelidir.

10)Bilgilerin saklandığı sistemler fiziksel güvenliği sağlanmıs sistem odalarında

tutulmalıdır.

11)Veritabanı sistemlerinde olusacak problemlere yönelik bakım, onarım çalısmalarında

yetkili bir personel bilgilendirilmelidir.

12)Yama ve güncelleme çalısmaları yapılmadan önce bildirimde bulunulmalı ve

sonrasında ilgili uygulama kontrolleri gerçeklestirilmelidir.

13)Bilgi saklama medyaları kurum dısına çıkartılmamalıdır.

14)Sistem dokümantasyonu güvenli sekilde saklanmalıdır.

15)İsletme sırasında ortaya çıkan beklenmedik durum ve teknik problemlerde destek için

temas edilecek kisiler belirlenmelidir.

16)Veritabanı sunucusu sadece ssh, rdp, ssl ve veritabanının orijinal yönetim yazılımına

açık olmalı; bunun dısında ftp, telnet vb. gibi açık metin sifreli bağlantılara kapalı

olmalıdır. Ancak ftp, telnet vb. açık metin sifreli bağlantılar veri tabanı sunucudan

dısarıya yapılabilir.

17)Uygulama sunucularından veritabanına rlogin vb. sekilde erisememelidir.

18)Veritabanı sunucularına erisim sifreleri kapalı bir zarfta imzalı olarak kurumun

kasasında saklanmalı ve gereksiz yere açılmamalıdır. Zarfın açılması durumunda

firma yetkilileri de bilgilendirilmelidir.

19)Arayüzden gelen kullanıcılar bir tabloda saklanmalı, bu tablodaki kullanıcı adı ve

sifreleri sifrelenmis olmalıdır.

20)Veritabanı sunucusuna ancak zorunlu hallerde “root” veya “admin” olarak

bağlanılmalıdır. Root veya admin sifresi tanımlı kisi/kisilerde olmalıdır.

21)Bağlanacak kisilerin kendi adına kullanıcı adı verilmeli ve yetkilendirme yapılmaldır.

22)Bütün kullanıcıların yaptıkları islemler kaydedilmelidir.

23)Veritabanı yöneticiliği yetkisi sadece bir kullanıcıda olmalıdır.

24)Veritabanında bulunan farklı semalara, kendi yetkili kullanıcısı dısındaki diğer

kullanıcıların erismesi engellenmelidir.

25)Veritabanı sunucularına internet üzerinden erisimlerde VPN gibi güvenli bağlantılar

tesis edilmelidir.

26)Veritabanı sunucularına ancak yetkili kullanıcılar erismelidir.

27)Veritabanı sunucularına kod gelistiren kullanıcı dısında diğer kullanıclar bağlanıp

sorgu yapmamalıdır. İstekler arayüzden sağlanmalıdır.(örnek; Kullanıcılar tablolardan

“select” sorgu cümleciklerini yazarak sorgulama yapmamalıdır)

28)Veritabanı sunucularına giden veri trafiği mümkünse sifrelenmelidir. (Ağ trafiğini

dinleyen casus yazılımların verilere ulasamaması için)

29)Bütün sifreler düzenli aralıklarla değistirilmelidir. Detaylı bilgi için Sifreleme

Politikasına bakılmalıdır.

30)Veritabanı sunucuları için yukarıda bahsedilen ve uygulanabilen güvenlik kuralları

uygulama sunucuları için de geçerlidir.

Değisim Yönetim Politikası

Değisim Yönetim Politikası ile ilgili kurallar asağıda belirtilmistir.

1) Bilgi sistemlerinde değisiklik yapmaya yetkili personel ve yetki seviyeleri dokümante

edilmelidir.

2) Yazılım ve donanım envanteri olusturularak, yazılım sürümleri kontrol edilmelidir.

3) Herhangi bir sistemde değisiklik yapmadan önce, bu değisiklikten etkilenecek tüm

sistem ve uygulamalar belirlenmeli ve dokümante edilmelidir.

4) Değisiklikler gerçeklestirilmeden önce Güvenlik Politikaları yöneticisi ve ilgili diğer

yöneticilerin onayı alınmalıdır.

5) Tüm sistemlere yönelik yapılandırma dokümantasyonu olusturulmalı, yapılan her

değisikliğin bu dokümantasyonda güncellenmesi sağlanarak kurumsal değisiklik

yönetimi ve takibi temin edilmelidir.

6) Planlanan değisiklikler yapılmadan önce yasanabilecek sorunlar ve geri dönüs

planlarına yönelik kapsamlı bir çalısma hazırlanmalı ve ilgili yöneticiler tarafından

onaylanması sağlanmalıdır.

7) Ticari programlarda yapılacak değisiklikler, ilgili üretici tarafından onaylanmıs

kurallar çerçevesinde gerçeklestirilmelidir.

8) Teknoloji değisikliklerinin Kurumun sistemlerine etkileri belirli aralıklarla gözden

geçirilmeli ve dökümante edilmelidir.

Bilgi Sistemleri Yedekleme Politikası

Bilgi Sistemleri Yedekleme Politikası ile ilgili kurallar asağıda belirtilmistir.

1) Bilgi sistemlerinde olusabilecek hatalar karsısında; sistemlerin kesinti sürelerini ve

olası bilgi kayıplarını en az düzeye indirmek için, sistemler üzerindeki konfigürasyon,

sistem bilgilerini ve kurumsal veriler düzenli olarak yedeklenmelidir.

2) Verinin operasyonel ortamda online olarak aynı disk sisteminde farklı disk

volümlerinde ve offline olarak manyetik kartus, DVD veya CD ortamında yedekleri

alınmalıdır.

3) Tasınabilir ortamlar (manyetik kartus, DVD veya CD) fiziksel olarak bilgi islem

odalarından faklı odalarda veya binalarda güvenli bir sekilde saklanmalıdır. Veriler

offline ortamlarda en az 2 (iki) yıl süreyle saklanmalıdır.

4) Kurumsal kritik verilerin saklandığı veya sistem kesintisinin kritik olduğu sistemlerin

bir varlık envanteri çıkartılmalı ve yedekleme ihtiyacı bakımından sınıflandırılarak

dokümante edilmelidir.

5) Düzenli yedeklemesi yapılacak varlık envanteri üzerinde hangi sistemlerde ne tür

uygulamaların çalıstığı ve yedeği alınacak dizin, dosya bilgi sistemlerinde değisiklik

yapmaya yetkili personel ve yetki seviyeleri dokümante edilmelidir.

6) Yedekleme konusu bilgi güvenliği süreçleri içinde çok önemli bir yer tutmaktadır. Bu

konuyla ilgili sorumluluklar tanımlanmalı ve atamalar yapılmalıdır.

7) Yedekleri alınacak sistem, dosya ve veriler dikkatle belirlenmeli ve yedeği alınacak

sistemleri belirleyen bir yedekleme listesi olusturulmalıdır.

8) Yedek ünite üzerinde gereksiz yer tutmamak amacıyla, kritiklik düzeyi düsük olan

veya sürekli büyüyen izleme dosyaları yedekleme listesine dâhil edilmemelidir.

9) Yedeklenecek bilgiler değisiklik gösterebileceğinden yedekleme listesi periyodik

olarak gözden geçirilmeli ve güncellenmelidir.

10)Yeni sistem ve uygulamalar devreye alındığında, yedekleme listeleri güncellenmelidir.

11)Yedekleme islemi için yeterli sayı ve kapasitede yedek üniteler seçilmeli ve temin

edilmelidir. Yedekleme kapasitesi artıs gereksinimi periyodik olarak gözden

geçirilmelidir.

12)Yedekleme ortamlarının düzenli periyotlarda test edilmesi ve acil durumlarda

kullanılması gerektiğinde güvenilir olması sağlanmalıdır.

13)Geri yükleme prosedürlerinin düzenli olarak kontrol ve test edilerek etkinliklerinin

doğrulanması ve operasyonel prosedürlerin öngördüğü süreler dâhilinde

tamamlanması gerekmektedir.

14)Yedek ünitelerin saklanacağı ortamların fiziksel uygunluğu ve güvenliği sağlanmalıdır.

15)Yedekleme Standardı ile doğru ve eksiksiz yedek kayıt kopyaları bir felaket anında

etkilenmeyecek bir ortamda bulundurulmalıdır.

16)Veri Yedekleme Standardı, yedekleme sıklığı, kapsamı, gün içinde ne zaman

yapılacağı, ne kosullarda ve hangi asamalarla yedeklerin yükleneceği ve yükleme

sırasında sorunlar çıkarsa nasıl geri dönüleceği belirlenmelidir. Yedekleme

ortamlarının ne sekilde isaretleneceği, yedekleme testlerinin ne sekilde yapılacağı ve

bunun gibi konulara açıklık getirecek sekilde hazırlanmalı ve islerliği periyodik olarak

gözden geçirilmelidir.

Personel Güvenliği Politikası

Personel Güvenliği Politikası ile ilgili kurallar asağıda belirtilmistir.

1) Çesitli seviyelerdeki bilgiye erisim hakkının verilmesi için personel yetkinliği ve rolleri kararlastırılmalıdır.

2) Kullanıcılara erisim haklarını açıklayan yazılı bildiriler verilmeli ve teyit alınmalıdır.

3) Bilgi sistemlerinde sorumluluk verilecek kisinin özgeçmisi arastırılmalı, beyan edilen

akademik ve profesyonel bilgiler teyit edilmeli, karakter özellikleriyle ilgili tatmin edici düzeyde bilgi sahibi olmak için is çevresinden ve dısından referans sorulması sağlanmalıdır.

4) Bilgi sistemleri ihalelerinde sorumluluk alacak firma personeli için güvenlik gereksinim ve incelemeleriyle ilgili kosullar eklenmelidir.

5) Kritik bilgiye erisim hakkı olan çalısanlar ile gizlilik anlasmaları imzalanmalıdır.

6) Kurumsal bilgi güvenliği bilinçlendirme eğitimleri düzenlenmelidir.

7) İs tanımı değisen veya Kurumdan ayrılan kullanıcıların erisim hakları kaldırılmalıdır.

8) Tüm çalısanlar, kimliklerini belgeleyen kartları görünür sekilde üzerlerinde

bulundurmalıdır.

9) Kurum bilgi sistemlerinin isletmesinden sorumlu personelin konularıyla ilgili teknik bilgi düzeylerini güncel tutmaları çalısma sürekliliği açısından önemli olduğundan, eğitim planlamaları periyodik olarak yapılmalı, bütçe ayrılmalı, eğitimlere katılım sağlanmalı ve eğitim etkinliği değerlendirilmelidir.

10)Yetkiler, “görevler ayrımı” ve “en az ayrıcalık” esaslı olmalıdır. “Görevler ayrımı”,

rollerin ve sorumlulukların paylastırılması ile ilgilidir. Bu paylasım ile kritik bir sürecin tek kisi tarafından kırılma olasılığı azaltılmalıdır. “En az ayrıcalık” ise kullanıcıların gereğinden fazla yetkiyle donatılmamasıdır. Sorumlu oldukları isleri yapabilmeleri için yeterli olan asgari erisim yetkisine sahip olmalıdır.

11)Çalısanlar, kendi isleri ile ilgili olarak bilgi güvenliği sorumlulukları, riskler, görev ve yetkileri hakkında periyodik olarak eğitilmelidir. Yeni ise alınan elemanlar için de bu eğitim, uyum süreci sırasında verilmelidir.

12)Çalısanların güvenlik ile ilgili aktiviteleri izlenmelidir.

13)Çalısanların baska görevlere atanması ya da isten ayrılması durumlarında işletilecek süreçler tanımlanmalıdır. Erisim yetkilerinin, kullanıcı hesaplarının, token, akıllı kart

gibi donanımların iptal edilmesi, geri alınması veya güncellenmesi sağlanmalı, varsa

devam eden sorumluluklar kayıt altına alınmalıdır.

Bakım Politikası

Bakım Politikası ile ilgili kurallar asağıda belirtilmistir.

1) Kurum sistemlerinin tamamı (donanım, uygulama yazılımları, paket yazılımlar, isletim

sistemleri) periyodik bakım güvencesine alınmalıdır. Bunun için gerekli anlasmalar

için yıllık bütçe ayrılmalıdır.

2) Üreticilerden sistemler ile ilgili bakım prosedürleri sağlanmalıdır.

3) Firma teknik destek elemanlarının bakım yaparken “Kurum Bilgi Güvenlik

Politikaları’na uygun davranmaları sağlanmalı ve kontrol edilmelidir.

4) Sistem üzerinde yapılacak değisiklikler ile ilgili olarak “Değisim Yönetimi Politikası”

ve iliskili standartlar uygulanmalıdır.

5) Bakım yapıldıktan sonra tüm sistem dokümantasyonu güncellenmelidir.

6) Sistem bakımlarının ilgili politika ve standartlar tarafından belirlenmis kurallara aykırı

bir sonuç vermediğinden ve güvenlik açıklarına yol açmadığından emin olmak için

periyodik uygunluk ve güvenlik testleri yapılmalıdır.

7) Sistem bakımlarından sonra bir güvenlik açığı yaratıldığından süphelenilmesi

durumunda “Kurum Bilgi Güvenlik Politikaları” uyarınca hareket

edilmelidir.

Yazılım Gelistirme Politikası

Yazılım Gelistirme Politikası ile ilgili kurallar asağıda belirtilmistir.

1) Sistem yazılımında mevcut olan kontroller, kullanılacak yeni bir yazılım veya mevcut

sistem yazılımına yapılacak olan güncellemeler ile etkisiz hale getirilmemelidir.

2) Yönetim sadece uygun yazılım projelerinin baslatıldığından ve proje altyapısının

uygun olduğundan emin olmalıdır.

3) İhtiyaçlar, uygun bir sekilde tanımlanmalıdır.

4) Sistem gelistirmede, ihtiyaç analizi, fizibilite çalısması, tasarım, gelistirme, deneme ve

onaylama safhalarını içeren sağlıklı bir metodoloji kullanılmalıdır.

5) Kurum içinde gelistirilmis yazılımlar ve seçilen paket sistemler ihtiyaçları

karsılamalıdır.

6) Kurumda kisisel olarak gelistirilmis yazılımların kullanılması kısıtlanmalıdır.

7) Hazırlanan sistemler mevcut prosedürler dâhilinde, isin gerekliliklerini yerine

getirdiklerinden ve iç kontrol yapıldığından emin olunması açısından test edilmeli,

yapılan testler ve test sonuçları belgelenerek onaylanmalıdır.

8) Yeni alınmıs veya revize edilmis bütün yazılımlar test edilmeli ve onaylanmalıdır.

9) Eski sistemlerdeki veriler tamamen, doğru olarak ve yetkisiz değisiklikler olmadan

yeni sisteme aktarılmalıdır.

10) Uygulama ortamına aktarılma kararı uygun bilgilere dayalı olarak, ilgili yönetim

tarafından verilmelidir.

11) Yeni yazılımların dağıtımı ve uygulanması kontrol altında tutulmalıdır.

12) Yazılımlar sınıflandırılmalı / etiketlenmeli ve envanterleri çıkarılarak bir yazılım

kütüğünde muhafaza edilmelidir.

Belgelendirme Politikası

Belgelendirme Politikası ile ilgili kurallar asağıda belirtilmistir.

1) Bilisim sisteminin yapısı ile bütün is ve islemler açıkça belgelenmeli ve bu belgeleme

inceleme amacıyla kolaylıkla ulasılabilir durumda olmalıdır.

2) İs akısları uygun sekilde belgelenmelidir.

3) Belgeleme, tarih belirtilerek yapılmalı ve yedek kopyaları güvenli bir yerde muhafaza

edilmelidir.

4) Girdi türleri ve girdi form örnekleri belgelenmelidir.

5) Ana dosyalar ile diğer dosyaların içerik ve sekilleri belgelenmelidir.

6) Çıktı form örnekleri ve çıktıların kimlere dağıtılacağı belgelenmelidir.

7) Programların nasıl test edildiği ve test sonuçları belgelenmelidir.

8) Bütün program değisikliklerinin detayları belgelenmelidir.