Yükleniyor
  • Müşteri Destek
  • +90 216 510 78 89

MATE TEKNOLJİ TİCARET LTD. ŞTİ.

YÖNETİM BİLGİ GÜVENLİĞİ TAAHHÜTNAMESİ

Mate Teknoloji  Ticaret Ltd. Şti. görev ve yetkileri kapsamında bilgi güvenliği hedefleri;

  • Başta kişisel sağlık verileri olmak üzere, yazılı veya elektronik ortamda saklanan her türlü bilginin gizlilik, bütünlük ve erişilebilirliğinin sağlanması,
  • Bilginin işlenmesi süreçlerinde bilgi güvenliğinin sağlanmasına yönelik tedbirlerin alınması,
  • Bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden veya dışarıdan kasıtlı ya da kazayla oluşabilecek tüm tehditlerden korunmasının sağlanması,
  • Yürütülen faaliyetlerin etkin, doğru, hızlı ve güvenli olarak gerçekleştirilmesinde bilgi güvenliği açısından uyulması gereken usul ve esasların yerine getirilmesidir.

Mate Teknoloji  Ticaret Ltd. Şti. personeli tarafından sunulan tüm hizmetler; başta bilgi güvenliği ile ilgili yasa ve yönetmelikler olmak üzere, Sağlık Bakanlığı Bilgi Güvenliği Politikaları Yönergesi ve Kılavuzunun gerektirdiği şartlara ve dokümante edilmiş kurumsal politikalara uygun olarak yürütülür.

Mate Teknoloji  Ticaret Ltd. Şti. Üst Yönetimi, hizmet sunumunun bilgi güvenliği çerçevesinde gerçekleştirilmesi için gerekli tüm destek ve kaynakları sağlamayı, bilgi güvenliği gerekliliklerinin yerine getirilerek sürecin etkinliği ve sürekli iyileştirilmesini taahhüt eder.

 

Mate Teknoloji  Ticaret Ltd. Şti.

.. Devamı

BİLGİ GÜVENLİĞİ POLİTİKALARI KILAVUZU

Bilgi Güvenliği Politikaları Kılavuzu, Bilgi Güvenliği Politikaları Yönergesi’nin eki olarak yayımlanmıştır.

ÖNSÖZ..........................................................................................................   3

1. BİLGİ GÜVENLİĞİ POLİTİKALARI.................................................................   3

1.1. Temel Prensipler..........................................................................................  3

1.2. Bilgi Güvenliği Politikaları Kılavuzu................................ ………………............    4

1.3. Kurumsal BGYS Politikalarının Oluşturulması ve Uygulanması...................    4

2. BİLGİ GÜVENLİĞİ ORGANİZASYONU........................................................      6

2.1. Bilgi Güvenliği Yönetim Komisyonu...........................................................      6

2.2. Bilgi Güvenliği Yetkilisi................................................................................    7

2.3. Üst Yönetimlerin Sorumluluğu...................................................................     7

3. İNSAN KAYNAKLARI VE SON KULLANICI GÜVENLİĞİ................................       7

3.1. İşe Alma Öncesinde Yapılacak Kontroller...................................................     7

3.2. Çalışma Esnasında Uygulanacak Kontroller..............................................       7

3.3. Bilgi Güvenliği Teknik ve Farkındalık Eğitimleri....................................... .       8

3.4. Görev Değişikliği veya İşten Ayrılma İçin Uygulanacak Kontroller............        8

3.5. Kullanıcıların Bilgi Güvenliği Sorumlulukları .............................................      9

3.6. Elektronik Posta Güvenliği........................................................................      9

3.7. Sosyal Mühendislik ve Sosyal Medya Güvenliği .......................................      11

4. VARLIK YÖNETİMİ..................................................................................       11

4.1. BGYS Bakış Açısıyla Varlıklar.....................................................................       11

4.2. Varlık Envanterinin Tespiti.........................................................................     12

4.3. Bilgi Sınıflandırma/Gizlilik Derecelerinin Verilmesi...................................      12         

4.4. Taşınabilir Ortam Yönetimi........................................................................     13

4.5. Ortamın Yok Edilmesi.................................................................................     13         

5. RİSK YÖNETİMİ........................................................................................     14         

5.1. Genel .........................................................................................................    14         

5.2. Sorumluluklar.............................................................................................    15

5.3. Risk Yönetimi.............................................................................................     15

6. ERİŞİM KONTROLÜ..................................................................................     17

6.1. Erişim Kontrol Politikası.............................................................................     17

6.2. Kullanıcı Erişimlerinin Yönetimi.................................................................      18

6.3. Parola Güvenliği.........................................................................................     19

6.4. Merkezi Aktif Dizin ve E-Posta Sistemine Erişim........................................     19

6.5. Veri Merkezi ve Sunucu Barındırma Hizmetlerine Erişim..........................      19

6.6. Uzaktan Çalışma ve Erişim .....................................................................         20

7. FİZİKSEL VE ÇEVRESEL GÜVENLİK............................................................       21

7.1. Genel Hususlar.........................................................................................       21

7.2. Güvenli Alanlar.........................................................................................       22

7.3. Ekipman Güvenliği....................................................................................      22

8. İŞLETİM GÜVENLİĞİ ...............................................................................       23

8.1. Yazılı İşletim Prosedürleri..........................................................................      23

8.2. Değişiklik Yönetimi....................................................................................      23

8.3. Kapasite Yönetimi......................................................................................     25

8.4. Sunucu ve Sistem Güvenliği........................................................................    25

8.5. Ağ İşletim Güvenliği ...................................................................................    26

8.6. Yedekleme Yönetimi ..................................................................................    26

8.7. Teknik Açıklık Yönetimi..............................................................................     26

9. HABERLEŞME GÜVENLİĞİ.........................................................................     27

9.1. Kablosuz Ağ Güvenliği.................................................................................    27

9.2. Gizlilik Sözleşmeleri....................................................................................     27

9.3. Veri Aktarım Güvenliği.............................................................................       28

10. TEDARİKÇİ İLİŞKİLERİ..............................................................................     29

10.1. Mal ve Hizmet Alımları Güvenliği..............................................................    29

11. BİLGİ GÜVENLİĞİ İHLAL OLAYI YÖNETİMİ ..............................................     30

11.1. İhlal Bildirimi ve Olay Yönetimi...............................................................      30

11.2. Kanıt Toplama..........................................................................................     31

12. İŞ SÜREKLİLİĞİ YÖNETİMİ.......................................................................     32

12.1. İş Sürekliliği Genel Yaklaşımı ....................................................................    32

12.2. İş Sürekliliği Adımları..................................................................................   32

12.3. İş Sürekliliği Stratejisi Belirleme.................................................................   35

12.4. İş Sürekliliği Planı Oluşturma...................................................................... 36

12.5. İş Sürekliliği Planlarını Tatbikatlar ile Test Etme........................................    37

13. UYUM......................................................................................................  38

13.1. Yasal Gereksinimlere Uyum........................................................................ 38

13.2. Lisanslama ve Fikri Mülkiyet Hakları..........................................................   39

13.3. Kişisel Verilerin Korunması Mevzuatı.........................................................  39

13.4. Bilgi Güvenliği Denetimleri......................................................................... 40

14.1. DOKÜMAN VE FORM LİSTESİ.................................................................  40

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ÖNSÖZ

Şirketimiz bilgi güvenliği çalışmaları iki ana eksen üzerine oturtulmuştur. Bunlardan ilki olan ”Bilgi Güvenliği Politikaları Yönergesi” ile hukuki ve idari alt yapı oluşturulmuş, Yönerge’den alınan yetki ile bilgi güvenliğine yönelik teknik ve yönetsel tedbirlerin yer aldığı “Bilgi Güvenliği Politikaları Kılavuzu” hazırlanmıştır.

Bilgi teknolojilerindeki gelişmelerle birlikte, bilgi güvenliğinin sağlanmasına yönelik gereksinimler gittikçe daha karmaşık ve kapsamlı hale gelmiştir. Sınırlı bütçe ve personel kaynakları ile kapsamlı bir bilgi güvenliği çalışması yapılması için daha sistematik ve yönetsel sistemlerin uygulanması zorunluluk haline gelmiştir.

Kılavuz hazırlanırken, ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardında belirtilen madde başlıkları dikkate alınarak, güvenlik önlemlerinin kolay anlaşılabilir bir özeti sunulmuştur. Günümüzde bilgi güvenliği ile birlikte sıkça anılan diğer iki önemli konuda “siber güvenlik” ve “kişisel verilerin korunması” alanlarıdır. Kılavuz’da yer alan ve teknik personel tarafından özel yazılım, donanım ve araçlar kullanılmak suretiyle hayata geçirilen tedbirler, aslında birer siber güvenlik tedbiridir. Etkin bir BGYS tesis edilmesi için siber güvenlik ile ilgili teknik tedbirlere ilave olarak yönetsel tedbirlerin de alınması, farkındalık eğitimleri ile kurum kültürünün değiştirilmesi ve tüm bu süreçlere yönetimin de etkin katılımı ve desteği gerekir.  

Kişisel verilerin kullanımı ve korunmasına ilişkin hususlar ise “6698 sayılı Kişisel Verilerin Korunması Kanunu” ile düzenlenmiştir. 6698 sayılı Kanun gereği kurulan “Kişisel Verileri Koruma Kurulu (KVKK)” tarafından çıkarılan tüm mevzuata şirketin web sayfalarından erişim sağlanabilmektedir. Kılavuz hazırlanırken KVKK tarafından hazırlanan mevzuat da dikkate alınmış ve ISO 27001 standardı başlıkları altında işlenebilecek hususlar, önemli ölçüde Kılavuza aktarılmıştır.

Bilgi güvenliği ile ilgili son önemli husus, bilgi güvenliğinin yönetim sorumluluğunda yürütülecek bir faaliyet olduğudur. Yönerge gereği; bilgi güvenliği faaliyetlerini yürütmek ve koordine etmek üzere bilgi güvenliği komisyonlarının kurulması gerekmektedir.

 

POLİTİKALAR

1. BİLGİ GÜVENLİĞİ POLİTİKALARI

1.1. Temel Prensipler

1.1.1. Şirket, kayıt altına aldığı her türlü bilginin kendisine emanet edilmiş bir değer olduğu vizyonuyla korumakla mükellef olduğunun bilinciyle hareket etmektedir.

1.1.2. Şirket, bilgi güvenliği kapsamında yer alan basılı ve elektronik ortamdaki tüm bilgilerin, yasal mevzuat ışığında ve risk değerlendirme metotları kullanılarak “gizlilik, bütünlük ve erişilebilirlik” ilkelerine göre yönetilmesi amacıyla;

  • Bilgi güvenliği standartlarının gerekliliklerini yerine getirmek,
  • Bilgi güvenliği ile ilgili tüm yasal mevzuata uyum sağlamak,
  • Bilgi varlıklarına yönelik riskleri tespit etmek ve sistematik bir şekilde riskleri yönetmek,
  • Bilgi güvenliği yönetim sistemini sürekli gözden geçirmek ve iyileştirmek,
  • Bilgi güvenliği farkındalığını artırmak için teknik ve davranışsal yetkinlikleri geliştirecek şekilde eğitimler gerçekleştirme vizyon ve misyonuyla hareket etmektedir.

1.1.3. Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm çalışanların katılımı ile başarılabilecek bir iş olduğu gibi sadece bilgi teknolojileri ile ilgili teknik önlemlerden oluşmaz. Fiziksel ve çevresel güvenlikten insan kaynakları güvenliğine; iletişim ve haberleşme güvenliğinden bilgi teknolojileri güvenliğine kadar birçok konuyu da kapsar.

1.1.4. Bilgi güvenliği bilinçlendirme süreci, şirket içinde en üst seviyeden en alt seviyeye kadar tüm çalışanların katılımını gerektirir. Şirket çalışanları, yüklenici firma personeli, yarı zamanlı personel, iş ortaklarının çalışanları, destek alınan firmaların personeli, kısaca kurumun bilgi varlıklarına erişim gereksinimi olan herkes “kullanıcı” kategorisine girer.

1.1.5. Bilgi güvenliği bilinçlendirme sürecindeki en büyük ve önemli hedef kitle kullanıcılardır. Şirket içindeki işler yürütülürken istemeden yapılan hataları ve bilgi sisteminde oluşabilecek açıklıkları en aza indirmek kullanıcıların elindedir. Yöneticiler, bilgi güvenliği gereklerine personelinin uymasını, bilinçlendirme ve eğitim süreçleri ile destekleyerek sağlamakla sorumludur.

1.1.6. Başarılı ve etkin işleyen bir bilgi güvenliği bilinçlendirme süreci oluşturulabilmesi için bu alandaki görev ve sorumlulukların açık ve net bir biçimde belirlenmesi gerekir.

1.1.7. Bilgi Güvenliği Politikasının ana amacı; bilgi varlıklarını korumak, bilginin ve verinin gizliliğini sağlamak, bütünlüğünü bozmaya çalışacak yetkisiz kişilerin erişimini engellemek, ihtiyaç duyulan her alanda bilgiyi erişilebilir halde tutmaktır.

1.2. Bilgi Güvenliği Politikaları Kılavuzu

1.2.1. Şirket, internet gibi açık ve bağlantılı bir ortamda bulunmanın artan erişilebilirlikle birlikte bazı riskleri de beraberinde getireceğini kabul etmek gerekir.

1.2.2. Bu risklerin önlenmesi ya da etkilerinin azaltılması için tüm paydaşları içeren bütüncül bir yaklaşımla yönetilerek siber olaylara karşı hazırlıklı olunması ve bu olaylardan en az zararla çıkılarak hizmet sürekliliğinin temininin esas alınması öncelikli şarttır.

1.2.3. Tesis edilen sistemin ISO 27001 standardı ile uyumluluğu her yıl yapılan dış denetimler ile belgelenmekte ve güncelliği sağlanmaktadır.

1.2.4. Kılavuz başlıkları, ISO 27001 standardının EK-A’sında yer alan madde başlıklarından alınmıştır.

1.2.5. Bilgi güvenliği önlemlerinin hukuksal dayanaklarına ilişkin en güncel gelişme, 6698 sayılı Kanun’un yürürlüğe girmesi ile olmuştur. Ülkemizde kişisel verilerin korunmasının sağlanması ve buna yönelik farkındalık oluşturarak bilinç düzeyinin geliştirilmesi görevi KVKK’ya verilmiştir.

1.2.6. KVKK tarafından, 6698 sayılı Kanun’un uygulanmasına yönelik birçok ikincil mevzuat ve açıklayıcı doküman hazırlanmış ve yayımlanmıştır. Kurul tarafından yayımlanan ikincil mevzuata ve ilgili diğer bilgi ve belgelere Kurulun https://www.kvkk.gov.tr/ adresinden erişim sağlanabilmektedir.

1.2.7. Kılavuz hazırlanırken; 6698 sayılı Kanun, KVKK tarafından yayımlanan mevzuatta yer alan ve doğrudan bilgi güvenliği ile ilişkili olan hususların Kılavuz içerisine alınması için çaba gösterilmiştir. Bununla beraber;

1.2.7.1. Kılavuzda yer alan tedbirler gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının sağlanmasına yönelik rehberlik etmekte olup, kişisel verilerin mahremiyetinin sağlanması ve hukuka uygun bir şekilde işlenmesinin sağlanması için ayrıca KVKK mevzuatında yer alan diğer tedbirlerin de uygulanıyor olması gerekmektedir.

1.2.7.2. ISO 27001 BGYS, kişisel verilerin korunması süreçlerini de kapsayan bir çalışmadır. KVKK kararları ve dokümanları incelendiğinde ISO 27001 standardında yer alan kontrollere atıfta bulunulduğu gözlemlenmektedir.

1.2.7.3. Bu kapsamda; kişisel verileri işleyen kişi ve makamlar, konuyla ilgili yukarıda belirtilen mevzuatı dikkate almak suretiyle, kılavuzda yer alan hususlar da dahil olmak üzere her türlü tedbiri almak ve uygulamakla yükümlüdür.

1.3. Kurumsal BGYS Politikalarının Oluşturulması ve Uygulanması

1.3.1. Şirketimizin bilgi güvenliği hedefleri doğrultusunda, kendi sorumluluk alanlarında bulunan ve bilgi işleme faaliyetlerinde kullanılan tüm unsurlar için (sistemler, süreçler, tesisler, insanlar vb.) kuralları tanımlanmış, planlı, etkileşimli ve sürekli iyileştirmeye dayanan bir BGYS kurmakla, aşağıda belirtilen esaslar çerçevesinde kendi kurumsal bilgi güvenliği politikalarını oluşturmakla ve tesis edilen BGYS’yi etkin bir şekilde işletmekle yükümlüdür.

1.3.2. Kılavuzda yer alan hususlar, BGYS’ler de kullanılabilecek temel bazı tedbirleri ve günümüz teknolojileri çerçevesinde var olan en iyi uygulama örneklerini içermektedir. Bilgi güvenliğinin tam olarak sağlanabilmesi için uygulayıcılar tarafından;

  • Kullanılan sistemler ve cihazlar, çalışan personelin eğitim durumu, bilgi işleme tesislerinin fiziki özelliklerine özgü bilgi güvenliği risklerinin ayrıntılı olarak tespit edilmesi,
  • Tespit edilen risklerin önlenmesi için kılavuzda yer alan tedbirler başta olmak üzere gerekiyorsa ilave önlemlerin belirlenmesi,
  • Alınacak önlemlerin yazılı hale getirilerek tüm şirket personeline duyurulması,
  • Uygulamanın sürekli olarak takip edilerek varsa uygunsuzlukların ve yeni risklerin tespit edilmesi,
  • Tespit edilen uygunsuzluklar ve yeni riskler için düzeltici faaliyetlerin hayata geçirilmesi,
  • Sürekli iyileştirme için ihtiyaç duyulan çalışmaların yürütülmesi gerekmektedir.

1.3.3. Bilgi güvenliği politikası BGYS’nin en kritik öğesidir. Bir güvenlik politikası, verilerin ve kaynakların gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için bilgi kaynaklarına erişen herkesin uyması gereken asgari kuralları tanımlar. Ayrıca, şirketin bilgi güvenliği bakış açısını yansıtır, güvenlik sorumluluklarını tanımlar ve bilgi güvenliği olaylarına müdahale yaklaşımını ortaya koyar. Kurumsal bilgi güvenliği politikasının geliştirilmesi kurumsal hafızaya sahip çalışanlar, bilgi güvenliği uzmanları ve yönetimin ortak çalışması ile yapılır. Bilgi güvenliği politikasının bilgi güvenliği hedefleri, stratejik hedefler ve hizmet kapsamı ile uyumlu olması gerekir.

1.3.4. Hazırlanacak BGYS politikasının kısa, öz ve en az aşağıda sıralanan başlıkları içermesi gerekir.

• Amaç

• Kapsam

• Dayanak

• Tanım ve Kısaltmalar

• Bilgi Güvenliği Organizasyonu

• Politika Metni

• Ekler

1.3.5. BGYS Politikasında yer almayan ve detaylandırılmaya ihtiyaç duyulan diğer hususlar için destek dokümanları hazırlanır. Destek dokümanları ihtiyaca göre politika, prosedür, yönerge, liste, form vb. detaylarda oluşturulabilir.

Destek dokümanları hazırlanırken aşağıdaki hususları içerip içermediği kontrol edilmelidir:

• Erişim kontrolü / mobil cihazlar ve uzaktan çalışma (Kılavuz Madde 6),

• Bilgi sınıflandırma (ve işleme) (Kılavuz Madde 4.3),

• Fiziksel ve çevresel güvenlik (Kılavuz Madde 7),

• Bilgi transferi, haberleşme güvenliği (Kılavuz Madde 10),

• Yedekleme Yönetimi (Kılavuz Madde 8.6),

• Teknik açıklıkların yönetimi (Kılavuz Madde 8.7),

• Kişi tespit bilgisinin mahremiyeti ve korunması (Kılavuz Madde 13),

• Tedarikçi ilişkileri (Kılavuz Madde 10).

1.3.6. BGYS Politikasının tüm çalışanları tarafından bilinmesi ve anlaşılması gerekir. Bu maksatla BGYS politikası tüm personele tebliğ edilir, farkındalık eğitimlerinde politika içinde yer alan konular hakkında kullanıcılara daha ayrıntılı bilgi verilir.

1.3.7. BGYS politikası tüm personel tarafından gerektiğinde ulaşılabilecek şekilde, şirketin web sitesinde yayımlanır.

1.3.8. Yukarıdaki hususlara ilave olarak şirket BGYS vizyonunu açıklayan ve bu konuyla ilgili yönetim desteğini ve bağlılığını ifade eden “Yönetim Bilgi Güvenliği Taahhütnamesi” başlıklı bir doküman, şirketin en üst düzey yöneticisi tarafından imzalanır ve şirket web sayfasının herkese açık bölümünde yayımlanmak suretiyle ilgili tüm iç ve dış taraflar ile paylaşılır.

 

2. BİLGİ GÜVENLİĞİ ORGANİZASYONU

2.1. Bilgi Güvenliği Yönetim Komisyonu

2.1.1. Şirket genelinde bilgi güvenliği ve siber olaylara müdahale ile ilgili konularda en üst düzeyde koordinasyon ve karar organı olarak görev yapmak üzere, Bilgi Güvenliği Komisyonu kurulur.

2.1.2. Komisyon, aşağıda belirtilen üyelerden oluşur.

 

ADI

SOYADI

ÜNVANI

GÖREVİ

 

 

Genel Müdür

Bilgi Sistemleri Koordinatörü

 

 

Teknik Personel

Bilgi Güvenliği Yetkilisi

 

2.1.3. Komisyon, yılda en az bir kere toplanır. Gerekli görülen kurumlarda koordinatör komisyonu her zaman toplantıya çağırabilir.

2.1.4. Toplantıda kararlar oy çokluğu ile alınır. Oyların eşitliği halinde koordinatörün kullanmış olduğu oy esas alınır.

2.1.5. Komisyonun görevleri şunlardır:

2.1.5.1. Şirket genelinde uygulanacak bilgi güvenliği ve siber olaylara müdahale ile ilgili üst düzey politika ve stratejileri belirler.

2.1.5.2. Şirket Bilgi Güvenliği Politikaları Yönergesi’n de yer alan konuları koordine eder.

2.1.5.3. Bilgi güvenliği ve siber olaylara müdahale ile ilgili politika ve stratejilerin uygulanması için eylem planları hazırlar ve yayımlar.

2.1.5.4. Eylem planlarının uygulanmasının etkinliğini ölçer, sonuçlarını değerlendirir ve iyileştirme için ihtiyaç duyulan tedbirleri alır.

2.2. Bilgi Güvenliği Yetkilisi

2.2.1. Bilgi güvenliği faaliyetlerini yürütmek ve koordine etmek üzere “bilgi güvenliği yetkilisi” görevlendirilir.

2.2.2. Bilgi güvenliği yetkilisi olarak; yönetim sistemleri konusunda tecrübeli, şirkette yürütülen iş süreçlerine hakim, kurum kültürüne vakıf, tercihen bilgi sistemleri konusunda teknik eğitim almış bir personel görevlendirilir.

2.2.3. Bilgi güvenliği yetkilisinin ana işlevi, bulunduğu kurumdaki bilgi güvenliği faaliyetlerini yürütmektir. Bu yönüyle, bağlı bulundukları komisyonun bilgi güvenliği ile ilgili konulardaki icra organı olarak hareket eder.

2.3. Üst Yönetimin Sorumluluğu

2.3.1. Bilgi güvenliği politikalarının uygulanması üst yönetim tarafından takip edilir. Bilgi güvenliği politikası kapsamında, bilgi sistemleri üzerinde etkin ve yeterli kontrollerin tesis edilmesi üst yönetimin sorumluluğundadır.

2.3.2. Yeni bilgi sistemlerinin kullanıma alınmasına ilişkin kritik projeler üst yönetim tarafından gözden geçirilir ve bunlara ilişkin risklerin yönetilebilirliği göz önünde bulundurularak onaylanır.

2.3.3. Üst yönetim, bilgi güvenliği önlemlerinin uygun düzeye getirilmesi için gereken kararlılığı gösterir ve bu amaçla yürütülecek faaliyetlere yönelik yeterli kaynağı tahsis eder.

2.3.4. Üst yönetim bilgi güvenliği ile ilgili faaliyetlerin yerine getirilmesi maksadıyla bu bölümde belirtilen bilgi güvenliği organizasyonunu kurar ve çalıştırılmasını sağlar.

2.3.5. Bilgi güvenliği ile ilgili süreçleri bilgi güvenliği komisyonları vasıtasıyla takip eder. Komisyon çalışmaları neticesinde üst yönetim kararı gerektiren hususlar için gerekli kararları verir ve uygulanmasını takip eder.

 

3. İNSAN KAYNAKLARI VE SON KULLANICI GÜVENLİĞİ

3.1. İşe Alma Öncesinde Yapılacak Kontroller

3.1.1. Bilgi işleme tesislerine erişim izni verilecek tüm personel için işe alma öncesinde/alım yapılırken aşağıdaki hususların dikkate alınması gerekir.

3.1.2. İşe alma öncesinde yapılacak güvenlik kontrollerinin amacı, çalışanların kendilerinden beklenen sorumlulukları anlamalarını sağlamak ve düşünüldükleri roller için uygun olmalarını temin etmektir.

3.1.3. İşe alınacak adaylar iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak eğitim, yeterlilik ve güvenilirlik yönleriyle kontrol edilir.

3.1.4. İşe alınacak kişilerin eğitim, yeterlilik ve güvenilirlik yönleriyle kontrol edilmesi için aşağıdaki yöntemlerden biri ya da birkaçı birlikte kullanılabilir.

3.1.4.1. Kişi özgeçmişinin doğrulanması (belgelerin tamlığı),

3.1.4.2. Kişinin atanacağı görevle ilgili eğitim ve tecrübe açısından gerekli yeterliliğe sahip olmasının sağlanması,

3.1.4.3. Beyan edilen akademik ve işle ilgili niteliklerin doğrulanması (diplomaların, referans mektuplarının, bonservis belgelerinin doğru ve geçerli olduğunun teyit edilmesi),

3.1.4.4. Yüklenici personeli, destek personeli vb. statüde çalışacak personelin adli sicil kayıtlarının istenmesi ve incelenmesi.

3.1.5. Yükleniciler ile yapılan sözleşmelerde, idare tarafından yüklenici personeli için tarama yapılacağı ve tarama sonuçlarının menfi olması durumunda alınacak önlemler belirtilir.

3.1.6. İşe başlamadan önce tüm personel ve yükleniciler ile kişisel ve/veya kurumsal gizlilik sözleşmesi imzalanacağı ilgili taraflara bildirilir. İmzalatılacak sözleşmelerin içeriği ve ilgililerin yükümlülükleri detaylı olarak açıklanır. Sözleşmelerde kişilerin ve şirketin bilgi güvenliği sorumlulukları açıkça belirtilir.

3.1.7. Şirketin güvenlik ilkelerine uyulmaması durumunda, çalışanlar ve yükleniciler için yürütülecek işlemler (disiplin kurallarının uygulanması, gerekiyorsa iş akitlerinin sonlandırılması, tedarik sözleşmesinin feshi vb.) önceden belirlenir ve taraflara duyurulur.

3.2. Çalışma Esnasında Uygulanacak Kontroller

3.2.1. Çalışma esnasında uygulanacak güvenlik kontrollerinin amacı, çalışanların işlerini yaparken bilgi güvenliği ile ilgili sorumluluklarının farkında olmalarını ve beklenen şekilde yerine getirmelerini sağlamaktır.

3.2.2. İşe yeni başlayan personelin başlayış işlemlerinin eksiksiz olarak yapılmasını sağlamak için “işe başlama formu” hazırlanır ve uygulanır.

3.2.3. Formda yazan işlemlerin tam olarak uygulanmasını sağlamaktan, kişinin bağlı bulunduğu birim yöneticisi sorumludur.

3.2.4. İşe başlama formunda bilgi güvenliği erişim için verilecek yetkiler, bilgi sistemlerine erişim için hesap açılması ve verilecek yetkiler (e-Posta vs), bilgi güvenliği farkındalık eğitimi, gizlilik sözleşmesi imzalatılması gibi hususlar mutlaka yer alır.

3.2.5. Üst yönetim, bilgi güvenliği politikalarını, prosedürlerini ve kontrollerini desteklediğini her fırsatta örnek teşkil edecek şekilde gösterir. Bu suretle, diğer çalışanların bilgi güvenliği ile ilgili motivasyonları üst düzeyde tutulur.

3.2.6. Bilgi güvenliği ile ilgili beklentiler ve sorumluluklar, çalışanların görev tanımlarına eklenir.

3.2.7. Çalışanların şirketin bilgi güvenliği politikasına uyumu izlenir.

3.2.8. Tüm çalışanlar ve yükleniciler için bilgi güvenliği farkındalık eğitimi programları hazırlanır ve uygulanır.

3.2.9. Bilgi güvenliği ihlaline neden olan kişilere yapılacak işlemler (disiplin prosedürü) önceden belirlenir ve kişilere duyurulur. İhlal oluştuğunda, disiplin prosedüründe yazan hususlar uygulanır.

3.2.10. Bilgi güvenliği ihlali yapan personele uygulanan yaptırımlar (kişi kimlik bilgisi verilmeden) diğer çalışanlara duyurulur ve onlar için de örnek teşkil etmesi sağlanır.

3.3. Bilgi Güvenliği Teknik ve Farkındalık Eğitimleri

3.3.1. Bilgi güvenliği teknik ve farkındalık eğitimleri için yıllık olarak uygulanmak üzere bir eğitim planı hazırlanır.

3.3.2. Hazırlanan plan, şirketin bilgi güvenliği komisyonu tarafından onaylanır.

3.3.3. Bilgi işleme faaliyetlerinde kullanılan cihaz ve sistemlerin tedarik şartnamelerine, garanti süresini de içerecek şekilde, eğitim verilmesi ile ilgili hükümler konulur. Aynı şekilde cihaz ve sistemler için işletme, bakım, idame hizmet alımlarına, ihtiyaç varsa personelin eğitimine yönelik hükümler eklenir.

3.3.4. İşe yeni başlayan her personele, hassas bilgilere erişim izni verilmeden önce bilgi güvenliği farkındalığı eğitimi verilir. Farkındalık eğitiminde, genel bilgi güvenliği hususlarına ilave olarak anılan göreve yönelik özel bilgi güvenliği gereksinimleri de mutlaka yer alır.

3.3.5. Göreve başlama esnasında verilen eğitimlere ilave olarak her yıl tüm personele bilgi güvenliği farkındalık eğitimi verilir.

3.3.6. Eğitimler haricinde özellikle bilgi teknolojilerinin sunmuş olduğu yetenekler/fırsatlar da kullanılmak suretiyle personelin farkındalık düzeylerinin artırılması sağlanır. Bu kapsamda zorunlu olmamakla birlikte, bilgi güvenliği afişleri, bilgi güvenliği broşür, el kitapları, e-bültenler kullanılabilir.

3.3.7. Eğitim katılım formları hazırlanır, katılımcılara imzalatılır ve bilgi güvenliği komisyonu tarafından belirlenecek süre boyunca muhafaza edilir.

3.4. Görev Değişikliği veya İşten Ayrılma İçin Uygulanacak Kontroller

3.4.1. Görev değişikliği veya işten ayrılma ile ilgili güvenlik kontrollerinin amacı, ayrılma esnasında yapılması gereken bilgi güvenliği ile ilgili tedbirlerin ortaya konulması ve çalışanların görevleri sona erse dahi bilgi güvenliği ile ilgili devam eden sorumlulukları hakkında bilgilendirilmesidir.

3.4.2. Kişi, görevi esnasında edinmiş olduğu bilgileri, görev yeri değişmesi veya ayrılması durumunda dahi sır olarak saklamaktan ve hiçbir şekilde yetkisiz olarak ifşa etmemekten sorumludur. Sır saklama yükümlülüğü süresizdir.

3.4.3. İşten ayrılan veya görev değişikliği yapan personelin ayrılma işlemlerinin bilgi güvenliği açısından eksiksiz olarak yapılmasını sağlamak için “işten ayrılma formu” hazırlanır ve uygulanır.

3.4.4. Formda yazan işlemlerin tam olarak uygulanmasını sağlamaktan, kişinin bağlı bulunduğu birim yöneticisi sorumludur.

3.4.5. İşten ayrılan veya görev yeri değişen kişinin eski görevi ile ilgili bilgisayar hesapları ve eğer varsa uzaktan erişim için kullandıkları hesaplar kapatılır veya erişim yetkileri yeni görev yerinin gereksinimlerine göre yeniden düzenlenir.

3.4.6. Kişiye teslim edilmiş tüm bilgi varlıkları sayım yapılarak iade alınır.

3.4.7. Ayrılan kişiden teslim alınan bilgisayarlar güvenli silme işlemi yapılmadan bir başka kullanıcıya teslim edilemez.

 

3.5. Kullanıcıların Bilgi Güvenliği Sorumlulukları

3.5.1. Personel, Bilgi Güvenliği Politikaları Kılavuzu’nda yer alan koşullara uygun hareket eder. Burada yer alan hükümleri kişisel olarak ihlal etmesi halinde görev yaptığı şirkete ve üçüncü kişilere vereceği her türlü zarardan sorumludur.

3.5.2. Personel, şirket tarafından kendisine teslim edilmiş veya erişim yetkisi verilmiş olan bilgileri, sadece görevi ile ilgili işler için kullanır. Bu bilgileri kendi gizli bilgisi gibi korur ve bilmesi gereken yetkili kişiler haricinde hiçbir kimse ile paylaşmaz. Personel, bilgi paylaşabileceği kişiler konusunda şüpheye düşerse, bilginin sahibi olan veya süreci yöneten birim ile irtibata geçerek veriyi kimlerle paylaşabileceğini teyit eder.

3.5.3. Personel, özel olarak yetkilendirildiği durumlar dışında, hizmet verilen tarafların yetkilileri de dahil olmak üzere yetkisi olmayan hiçbir kişi ile bilgi paylaşımı yapmaz. Yetkisi olmadığı halde bulunduğu görev ve makamı kullanarak kendisinden ısrarla bilgi talep eden kişileri yöneticisine bildirir.

3.5.4. Personel, edindiği bilgileri hiçbir kişi, grup, kurum veya kuruluşun menfaati için kullanamaz.

3.5.5. Personel, görevi ile ilgili olsun veya olmasın edindiği ve gizlilik arz eden her türlü bilgiyi sır olarak saklamak ve bunları üçüncü kişilere hiçbir şekilde iletmemekle yükümlüdür.

3.5.6. Bu yükümlülük, personelin görev yaptığı şirket ile ilişkisinin sona ermesi halinde de devam eder.

3.5.7. Personel, görevi nedeniyle edindiği gizli bilgiler hakkında, hiçbir sebeple yazılı veya sözlü açıklama yapamaz.

3.5.8. Personel, görevi kapsamında erişim hakkının bulunduğu sistemleri ve bilgileri, yetkisi içinde ya da yetkisini aşarak kendisine veya bir başkasına çıkar sağlamak amacıyla kullanamaz.

3.5.9. Personel, bilgi sistemlerinde kullanılan/yer alan programları, verileri veya diğer unsurları hukuka aykırı olarak ele geçirme, değiştirme, silme girişiminde bulunamaz ve bunları nakledemez veya çoğaltamaz.

3.5.10. Personel, başkasına zarar vermek ya da kendisine veya başkasına haksız yarar sağlamak maksadıyla yahut herhangi bir maksat gütmeksizin, kullandığı bilgi işleme ortamlarını ve bu ortamlarda saklanan verileri kısmen veya tamamen tahrip etmek, değiştirmek, silmek, sistemin işlemesine engel olmak veya yanlış biçimde işlemesini sağlamak gibi davranışlarda bulunamaz.

3.5.11. Personel, hangi amaçla olursa olsun görevi kapsamında edindiği bilgileri, bilgi işleme ortamlarında çeşitli şekillerde (basılı, manyetik vb.) bulunabilecek olan verileri, yetkisiz ve izinsiz olarak kullanamaz, kopyalayamaz, taşıyamaz ve aktaramaz.

3.5.12. Personel, görev yaptığı şirket tarafından kendisine verilen ya da tanımlanan kullanıcı adını/parolayı hiç kimseyle paylaşmaz. Parolasının gizli kalması için alınması gereken tüm tedbirleri alır. Şirketten ayrılması halinde kullanıcı adını/parolayı iptal ettirir. Kullandığı bilgisayar ve/veya diğer elektronik veri depolama cihazlarında oluşturduğu veri, bilgi ve belgeler dâhil tüm belgeleri, cihazları ve ofis malzemelerini eksiksiz olarak ilgilisine teslim eder ve bunların hiçbir kopyasını alamaz.

3.5.13. Kişinin kendi kusuru nedeniyle parolasının ifşa olması durumunda, başkası tarafından yapılmış olsa dahi personele teslim edilen kullanıcı adı ve parolalar ile yapılan iş ve işlemlerden ilgili personel şahsen sorumludur.

3.6. Elektronik Posta Güvenliği

3.6.1. Görevleri gereği yürütülen kurumsal iş ve işlemlerde, “*@mateteknoloji.com.tr” uzantılı kurumsal e-Posta hesabı kullanılır. Kurumsal iş ve işlemler, kişilerin özel işleri için (Gmail, Hotmail gibi) internet hizmet sağlayıcılarından alınan hesaplar üzerinden yürütülmez.

3.6.2. KVKK tarafından 6698 sayılı Kanun’da yer alan bazı hususların açıklanması amacıyla alınan 2018/10 sayılı karar gereği, e-Posta ile aktarılacak verilerin özel nitelikli kişisel veri statüsünde olması durumunda aktarma işlemlerinin kurumsal e-Posta veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak yapılması yasal zorunluluktur.

3.6.3. Şirketimizde görev yapan tüm personele, işe başladıktan sonra kurumsal e-Posta hesabı açılır.

3.6.4. Çeşitli sözleşmeler kapsamında şirketimizde görev yapan ve yaptıkları iş gereği e-Posta hesabı olması gereken personele, yöneticileri tarafından onay verilmesi halinde kurumsal e-Posta hesabı açılır.

3.6.5. Kurumsal e-Posta adresi isimlendirme politikası, istisnai durumlar dışında “isim.soyad@mateteknoloji.gov.tr” veya “soyad@mateteknoloji.gov.tr” şeklindedir. Yeni bir kullanıcı oluşturulurken o kullanıcının adı ve soyadı ile daha önce bir hesap açılmış ise “ad.soyad” kombinasyonunun ardına her seferinde bir artacak şekilde sıradaki sayı eklenir. (yilmaz.demir2, yilmaz.demir3 gibi).

3.6.6. Kurumsal e-Posta kullanım kayıtları e-posta hizmeti alınan firmanın hosting sisteminde tutulur. Bu kayıtlar, yalnızca yetkili kişi, tarafından incelenebilir.

3.6.7. Şirket tarafından uygulanan e-Posta yönetimi ve güvenliği ile ilgili politikalar şu şekildedir:

3.6.7.1. Kullanıcıların e-Posta hesaplarına tarayıcı programları, masaüstü istemci uygulaması (Office, Outlook) ve cep telefonları üzerinden güvenli olarak erişebilmeleri için gerekli servisler sağlanır.

3.6.7.2. Kullanıcı, sistem tarafından oluşturulan parolayı, ilk kullanımda Parola Yönetim Politikası’na göre değiştirir.

3.6.7.3. Kullanıcıların son kullandığı üç parolayı kullanması engellenir.

3.6.7.4. Kullanıcılar, altı ayda bir parolalarını değiştirmeye zorlanır.

3.6.7.5. Kullanıcılara e-Posta hesabı ilk kez açıldığında 1GB disk alanı tanımlanır. Kota artırımı e-Posta hizmet sağlayıcısı tarafından dinamik olarak yapılır.

3.6.7.6. Yüksek sayıda üye içeren dağıtım grupları, tüm kullanıcılar tarafından görülen genel adres defterinden gizlenir.

3.6.7.7. Kullanıcılar, kendilerine tahsis edilen e-Posta hesabını bir başka kişiye kullandıramaz veya devredemez.

3.6.7.8. Kullanıcılar, kendilerine ait parolanın güvenliğinden ve söz konusu parola kullanılarak gönderilen e-Postalardan doğacak hukuki işlemlerden sorumludur.

3.6.7.9. Kurumsal e-Posta hesabı yalnızca kurumsal süreçlere ilişkin iş ve işlemlerde kullanılabilir. Kurumsal e-Posta hesaplarının, idari ve hukuki düzenlemelere aykırı ya da şahsi iş ve işlemlere ilişkin kullanımından kaynaklanan her türlü adli, idari, mali ve cezai sorumluluk ilgili hesap kullanıcısına aittir.

3.6.7.10. Sosyal medya, alışveriş siteleri, internet haber grupları, forumlar gibi üyelik isteyen uygulamalarda, şirket tarafından verilen kurumsal e-Posta hesapları kullanılamaz. Aksine durumlarda, yapılan tüm işlemlerden ve dile getirilen ifadelerden, ilgili kullanıcı sorumludur.

3.6.7.11. Konusu suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden ve sahip olduğu görev kapsamı içindeki iş ve işlemler dışındaki e-Posta hesabının kullanımından kullanıcı sorumludur.

3.6.7.12. Kullanıcılar, e-Posta hesaplarında hukuki açıdan suç teşkil edecek materyal ve belgeleri bulunduramaz. Kullanıcılar, kendi kullanıcı hesaplarında barındırdıkları içeriklerden ve gerçekleştirilen tüm elektronik posta işlemlerinden sorumludur.

3.6.7.13. e-Posta gönderimlerinde, mesajın en alt kısmına gönderen kişinin kimlik ve iletişim bilgileri yazılır.

3.6.7.14. Kullanıcılar, gelen veya giden mesajlarının şirket içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemek için her türlü tedbiri alır.

3.6.7.15. Tanınmayan elektronik postaların açılması, eklentilerinde bulunan dosya veya programlar kesinlikle açılmaz, indirilip çalıştırılmasından kaynaklanabilecek güvenlik sorunlarının sorumluluğu kullanıcıya aittir.

3.6.7.16. Spam, zincir, sahte vb. zararlı olduğu düşünülen e-Postalara yanıt verilmez.

3.6.7.17. e-Posta güvenliği ile ilgili şüpheli bir durum oluşması halinde ivedilikle BGYS temsilcisine haber verilir.

3.7. Sosyal Mühendislik ve Sosyal Medya Güvenliği

3.7.1. Sosyal mühendislik, normalde insanların tanımadıkları birisi için yapmayacakları şeyleri yapmalarını sağlama sanatı olarak tanımlanır. Başka bir tanım ise insanoğlunun zaaflarını kullanarak istenilen bilgiyi, veriyi elde etme sanatıdır.

3.7.2. Sosyal mühendislik yapan kötü niyetli kişiler, sosyal medya ve analiz yöntemlerini kullanarak hedef kişiler hakkında bilgi toplarlar. Sonrasında sosyal mühendislik tekniklerini kullanarak insanların zaaflarından faydalanıp istedikleri bilgilere ulaşmak için çalışma yaparlar.

3.7.3. Sosyal mühendislik saldırılarından korunmak için kişisel olarak dikkat edilmesi gereken hususlar şu şekildedir:

3.7.3.1. Taşıdığınız ve işlediğiniz verilerin öneminin bilincinde olunuz.

3.7.3.2. Bilgilerin kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket ediniz.

3.7.3.3. Arkadaşlarınızla, çevrenizle paylaştığınız kayıtları seçerken dikkat ediniz.

3.7.3.4. Özellikle telefonda, e-Posta veya sohbet yoluyla yapılan haberleşmelerde parola gibi özel bilgilerinizi kesinlikle paylaşmayınız.

3.7.3.5. Parola kişiye özel bilgidir, sistem yöneticiniz dahil telefonda veya e-Posta ile parolanızı hiç kimseyle kesinlikle paylaşmayınız.

3.7.3.6. Çöpe atılan kağıtlara dikkat ediniz. Kişisel veri içeren ya da kuruma ait bilgilerin yer aldığı kağıtları imha ediniz.

3.7.3.7. Çok acele bilgi istendiği zaman istenen bilginin niteliğine göre teyit mekanizması kullanınız.

3.7.3.8. Bilgisayarınızı yabancı bir kişiye kullandırmayınız. Bu kişiler tarafından bilgisayarınıza takılacak olan USB depolama aygıtları ya da harici disklerden bilgisayarınıza zararlı yazılım bulaştırabilir.

3.7.3.9. Hediye olarak verilen USB depolama aygıtlarını kullanmadan önce mutlaka virüs taramasından geçiriniz.

3.7.4.  Kişisel Sosyal Medya Güvenliği

3.7.4.1. Sosyal medya hesaplarına giriş için kullanılan parolalar ile şirket içinde kullanılan parolalar farklı seçilir.

3.7.4.2. Şirket içi bilgiler sosyal medya ortamlarında paylaşılmaz.

3.7.4.3. Şirkete ait gizli bilgiler, resmi yazılar, çeşitli gelişmeler sosyal medya ortamında yayımlanamaz.

3.7.4.4. Eğitimlerde sosyal medya güvenliği ile ilgili hususlara yer verilir.

 

4. VARLIK YÖNETİMİ

4.1. BGYS Bakış Açısıyla Varlıklar

4.1.1. Varlık, şirket için değeri olan herhangi bir şey olarak tanımlanabilir.

4.1.2. Standart envanter yönetimi bakış açısıyla, maddi değeri olan tüm varlıklar kayıt altına alınır ve takibi yapılır.

4.1.3. BGYS bakış açısıyla varlıklar biraz daha farklılık arz eder. Envantere kayıtlı olup olmadığına bakılmaksızın şirkete ait tüm hassas bilgiler ve bu bilgilerin işlendiği ortamlar “varlık” olarak değerlendirilir.

4.1.4. BGYS kapsamında varlık envanterine esas olan varlık kategorileri aşağıdaki gibidir.

4.1.4.1. İş Süreçleri: Kurumsal bilgi varlıklarının kullanıldığı, çeşitli vasıtalarla hassas ilgilerin yoğun olarak işlendiği iş süreçleri

4.1.4.2. Kurumsal Bilgi Varlıkları: Elektronik veya kâğıt ortamda personel kayıt ve dosyaları, kurumsal evraklar, bilgisayarlarda saklanan ve şirket için değeri olan veriler, raporlar, listeler, faturalar, sözleşmeler, teklifler, telifler, lisanslar vb.

4.1.4.3. Yazılımlar: İşletim sistemleri, ofis uygulamaları, kurumsal yazılımlar vb.

4.1.4.4. Fiziksel varlıklar: Masaüstü bilgisayarlar, taşınabilir bilgisayarlar, depolama birimleri, yedekleme birimleri, aktif cihazlar, yazıcılar, telefonlar vb.

4.1.4.5. İnsan Kaynakları: Çalışanlar

4.1.4.6. Altyapı: Bina giriş/çıkış kontrol sistemleri, kamera sistemleri vb.

4.1.4.7. Mekanlar: Yönetim ve hizmet odaları vb.

4.2. Varlık Envanterinin Tespiti

4.2.1. Bilgi güvenliği yetkilisince, şirketin iş süreçleri analiz edilir ve bilgi varlıklarının envanteri belirlenir.

4.2.2. Envanterde yer alan her bir varlık için “varlık sahibi” belirlenir. Varlık sahibi gerçek bir kişi olabileceği gibi, bir birim ya da şirkette de olabilir.

4.2.3. Envanter belirleme işlemi bir kez yapılan ve tamamlanan bir iş değildir. Hazırlanan envanterin, doğruluğunun kontrol edilmesi ve sürekli olarak güncel tutulması gerekir. Envanter tespit süreci, bir döngü şeklinde, periyodik olarak yapılması gereken bir faaliyettir.

4.2.4. Varlık envanteri, sadece fiziksel varlıklar veya bilgi sistem teçhizatından oluşmaz. Varlıklar belirlenirken, başta hassas bilgilerin işlendiği kritik iş süreçleri olmak üzere, bu süreçlere konu olan tüm kurumsal bilgi varlıklarının ortaya çıkarılması gerekir.

4.2.5. Şirket bilgi varlıklarının tespitinde  Bilgi Varlıkları Envanter Çizelgesi kullanılabilir.

4.2.6. Varlık sahipleri;

4.2.6.1. Varlıklarını envantere doğru olarak kaydettirmekten,

4.2.6.2. Varlıklarına uygun şekilde korunmasından,

4.2.6.3. Varlıkların silinmesi ya da imha edilmesinde uygun işlemlerin uygulanmasından sorumludur.

4.2.7. Çalışanlar ve dış tarafların kullanıcıları; iş akitleri, sözleşmeleri veya anlaşmaları sona erdiğinde, ellerinde olan tüm kurumsal varlıkları iade etmekle mükelleftir.

4.3. Bilgi Sınıflandırma/Gizlilik Derecelerinin Verilmesi

4.3.1. Şirket bilgi varlıkları, içerdikleri verilerin hassasiyeti, şirket için taşıdıkları önem ve yasal zorunluluklar dikkate alınarak uygun bir şekilde sınıflandırılır/gizlilik derecesi verilir.

4.3.2. Gerek elektronik ortamda, gerekse basılı ortamda saklanan bilgilerin;

4.3.2.1. Bilgiye erişimin kayıt ve kontrol altına alınması,

4.3.2.2. İzinsiz kopyalamanın önlenmesi,

4.3.2.3. Elektronik veya basılı olarak depolama süresi ve koşullarının tanımlanması,

4.3.2.4. İletim hassasiyetinin belirlenmesi,

4.3.2.5. Gerektiğinde kanıt olarak kullanılmak üzere bütünlüğünün sağlanması,

4.3.2.6. İhtiyacın sonlanması durumunda imha edilmesi süreçlerinin tanımlanması için uygun şekil ve yöntemlerle etiketlenmesi gerekir.

4.3.2.7. Tasnif dışı bilgiler için etiketleme yapılmasına gerek yoktur.

4.3.3. Bu kapsamda;

4.3.3.1. Her sayfaya gizlilik dereceleri yazılır ve damgalanır.

4.3.3.2. Ekler de yazı ile aynı gizlilik derecesini taşır.

4.3.3.3. Gizlilik dereceli bütün yazılar, zaman zaman gizlilik derecelerinin yeniden değerlendirilmesi bakımından gözden geçirilir.

4.3.3.4. Gizlilik dereceli ve bilhassa kontrollü yazılarda kullanılan müsveddeler, karbon kağıtları ve yanlış yazılar muhakkak imha edilir.

4.3.3.5. Gizlilik dereceli evrak, kağıt sepetine bütün olarak atılmaz. Kağıt kırpa makinaları kullanılmak suretiyle imha edilir.

4.3.3.6. Gizli ve özel gizlilik derecesini haiz evrak ve belgeler izinsiz olarak çoğaltılamaz.

4.3.3.7. Gizlilik derecesi taşıyan bilgileri veya belgeleri görevi dışında elde eden veya belgeleri görenler, bu bilgiyi ve belge içeriğini görevlerinin gerektirdiği haller dışında açıklayamaz, çoğaltamaz veya paylaşamazlar.

4.4. Taşınabilir Ortam Yönetimi

4.4.1. Kaybolma, kolayca çoğaltma vb. nedenlerden dolayı özellikle elektronik medya (CD/DVD, USB girişli hafif taşınabilir bellekler, taşınabilir diskler, hafıza kartları, teyp kartuşları vb.) ve basılı evraklar (yazılar, dosya klasörleri, etüdler, çizimler, krokiler, proje evrakları vb.) olmak üzere taşınabilir ortamlarda saklanan her türlü bilginin korunması ve yetkisiz kişilerin eline geçmemesi için özel önlemler alınır.

4.4.2. Elektronik medya da dahil tüm taşınabilir ortamlar, kullanılmadığı zamanlarda içinde bulunan verilerin gizlilik derecesi dikkate alınarak fiziki güvenlik tedbirleri alınmış kasa, dolap, çekmece gibi ortamlarda saklanır.

4.4.3. Taşınabilir ortamların bir yerden başka yere taşınması esnasında yetkisiz erişim, kötüye kullanım ve bozulmaya karşı gerekli önlemler alınır.

4.5. Ortamın Yok Edilmesi

4.5.1. Ekonomik ömrünü tamamlamış olan veya tamamlamadığı halde teknik veya fiziki nedenlerle kullanılmasında yarar görülmeyerek hizmet dışı bırakılmasına karar verilen bilgi sistem cihazları ile ilgili kayıt silme işlemleri ilgili birimler ve komisyonlar tarafından yapılır.

4.5.2. Kaydı silinen bilgi sistem cihazlarına ait veri depolama üniteleri, içerisinde gizlilik dereceli bilgi bulundurma ihtimali nedeniyle usulüne uygun olarak imha edilir veya güvenli silme işlemi yapılır.

4.5.3. Kaydı silinen bilgisayarların sabit diskleri, ilgili teknik birimlerden destek alınmak suretiyle sökülür.

4.5.4. Sökülen sabit disklerden daha önce ilgili teknik servisler tarafından “onarımı mümkün değil” şeklinde rapor verilenler ile sağlam olmakla birlikte “yeniden kullanımı düşünülmeyen” cihazlar aşağıda belirtilen yöntemlerden biri ya da birkaçı birlikte kullanılmak suretiyle imha edilir:

4.5.4.1. De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

4.5.4.2. Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerekir.

4.5.5. İmhasına karar verilen sabit disklerin fiziksel imha işlemlerinin standartlara uygun şekilde yürütülmesi maksadıyla, disk imha cihazı kullanılabilir. Disk imha işlemleri, bizzat disklerin sahiplerinin nezaretinde yapılır.

4.5.6. Bilgisayarların sabit diskleri dışında hassas veri bulundurma ihtimali olan diğer depolama ortamları, ortam türüne bağlı olarak aşağıda yer alan yöntemlerden biri kullanılarak yok edilir.

4.5.6.1. Ağ cihazları (anahtarlama cihazı, yönlendirici vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

4.5.6.2. Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa komutunu kullanarak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemi ile yok edilmesi gerekir.

4.5.6.3. Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta ancak çoğunda yok etme komutu bulunmamaktadır. Kılavuz’un 4.5.4 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

4.5.6.4. Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.

4.5.7. Kağıt ve mikrofiş ortamlarındaki veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir.

4.5.8. Orijinal kağıt formattan tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre Kılavuz’un 4.5.4 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

4.5.9. Yeniden kullanılması planlanan disklere, içlerinde yer alan bilgilerin yetkisiz kişilerin eline geçmesini engellemek maksadıyla ‘güvenli sil’ (üzerine yazma) işlemi yapılır.

4.5.10. Bulut ortamındaki sistemlerde yer alan hassas verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılamaz hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.

4.5.11. Arızalanan ya da bakıma gönderilen cihazlarda yer alan hassas verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:

4.5.11.1. İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan verilerin güvenli silme işlemine tabi tutulması,

4.5.11.2. Güvenli silme işleminin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,

4.5.11.3. Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, hassas verileri kopyalayarak şirket dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekir.

 

5. RİSK YÖNETİMİ

5.1. Genel

5.1.1. Şirketin, stratejik hedeflerine ulaşmasını veya olağan faaliyetlerini gerçekleştirmesini belirsiz kılabilecek iç ve dış faktörler olabilir. Bu faktörlerin etkisine risk denir.

5.1.2. Şirketin hedeflerine bağlı olarak farklı risk yönetimi yaklaşımları da uygulanabilir.

5.1.3. Risk yönetimi, bir tehdidin gerçekleşme olasılığı ile gerçekleşmesi halinde yol açacağı sonucun şiddetinin birlikte ele alınmasıdır.

5.1.4. Şirketin bilgi güvenliği komisyonunca, risklerin belirlenmesi ve analiz edilmesi gerekir.

5.1.5. Risk analizi, risklerin kapsamlı olarak anlaşılmasını sağlayan yöntemler ile risklerin belirlenmesini, risklerin oluşması halinde ortaya çıkabilecek zararın şiddetini ele alacak şekilde değerlendirilmesini ifade etmektedir.

5.1.6. Yönetim tarafından şirketin stratejik hedefleri ve bilgi güvenliği bakış açısıyla sürdürülebilir ve yönetilebilir bir risk yönetimi yaklaşımı belirlenir ve risk yönetimi politikası oluşturulur. Risk çalışmasının kapsamı şirketin iş faaliyetleri ile sınırlıdır.

5.1.7. Belirlenen risk düzeylerine göre önlemler alınır ve iyileştirme çalışmaları yapılır. İhlal olaylarının incelenmesi, güncel tehditlerin takip edilmesi, zafiyet testleri ile zayıflık eşiklerinin ölçülmesi gibi yöntemlerle risk yönetiminin etkinliği sürekli izlenir ve iyileştirilir.

5.1.8. Risk analizlerinde bilhassa aşağıdaki hususlara yönelik riskler değerlendirilir:

5.1.8.1. Sistem, ağ ve kaynaklarına erişim kontrolünde güvenli kimlik doğrulama yöntemlerinin kullanılması,

5.1.8.2. Uygulama kullanıcısı, yönetici kullanıcı ve teknik kullanıcıların yetkilendirme ve erişim yöntemleri,

5.1.8.3. Kullanıcıların görev, sorumluluk ve yetkilerinin ayrılması,

5.1.8.4. Kullanılabilirlik, gizlilik ve bütünlük çerçevesinde varlıkların korunma dereceleri,

5.1.8.5. Tedarik edilen hizmet ve ürünlerin de kurumsal güvenlik gereksinimlerine uyumu.

5.1.9. Risk yönetimi; riskin belirlenmesi, riskin analiz edilmesi ve kurumsal risk kıstaslarını sağlamak için risk iyileştirmesi yoluyla riskin değiştirilip değiştirilemeyeceğinin değerlendirilmesi aşamalarını içerir.

5.2. Sorumluluklar

5.2.1. Yönetim, risk yönetimi politika ve prosedürlerinin oluşturulması, etkin şekilde uygulanması, sürekli geliştirilmesi ve risk yönetim planının gerçekleştirilmesini sağlamaktan sorumludur.

5.2.2. Bilgi Güvenliği Komisyonu, risk çalışmasının etkin olarak yürütülmesinden ve üst yönetime raporlanmasından sorumludur.

5.2.3. Tüm şirket personeli icra etmekle sorumlu olduğu iş sürecine ilişkin bilgi varlıklarını bilgi güvenliği risklerine karşı korumakla, gerekli tedbirleri almakla ya da alınması için çalışma yapmakla sorumludur.

5.3. Risk Yönetimi

Risk yönetiminin aşamaları ve her bir aşamada yapılması gereken hususlar alt maddelerde açıklandığı şekildedir.

5.3.1. Varlıkların Tanımlanması

5.3.1.1. Bilgi güvenliği risk çalışmasına konu olan kapsam ve sınırlar içerisindeki tüm bilgi varlıklarının tanımlanması aşamasıdır.

5.3.1.2. Risk çalışmalarında, kayıt altına alınan varlıklar esas alınır.

5.3.2. Varlıkların Değerinin Belirlenmesi

5.3.2.1. Varlığın kullanılmakta olduğu iş süreci, etkilediği süreçler, mali kıymeti gibi unsurlar dikkate alınarak varlık sahibi tarafından varlığa bir değer atanır. Varlık değerinin belirlenmesi risk yönetim sürecinin en önemli parçasıdır. Sonraki aşamalar bu aşama üzerine kurulur.

5.3.2.2. Yönetim varlık değerinin belirlenmesi için etkin ve kolay kullanılabilecek bir yöntem belirler. En kabul görmüş yöntem, varlığın gizlilik, bütünlük ve erişilebilirlik değerlerinin en yüksek olanının alınmasıdır.

5.3.3. Tehdit ve Zafiyetlerin Gerçekleşme Olasılıklarının Belirlenmesi

5.3.3.1. Tehdit; bilgi, süreçler ve sistemlere zarar verme potansiyeline sahip her şeydir. Tehditler doğal veya insan kaynaklı, içeriden veya dışarıdan, kazara veya kasıtlı olabilir. Tehditler türlerine ve kaynağına göre tanımlanır.

5.3.3.2. Zafiyet, herhangi bir tehdidin, bilgi varlıklarının güvenliğini azaltmaya neden olabilecek zayıflıktır. Bilişim temelli sistemler ya da şirket personeli potansiyel olarak bir zafiyet yani açık oluşturabilir. Zafiyetler belirlenen tehditler ile ilişkilendirilir.

5.3.3.3. Tehditler, bu tehditlerin gerçekleşmesi durumunda etkilenecek varlıklar ve bu varlıklara ilişkin zafiyetler belirlenir ve riskin oluşmasına ilişkin bir olasılık değeri belirlenir. Olasılık değeri, bilgi güvenliği olayının gerçekleşme olasılığını ifade eder.

5.3.3.4. Bir tehdit birden fazla etkiye neden olabilir. Yani farklı bilgi güvenliği olaylarına neden olabilir. Bu nedenle her bir tehdit senaryosunun ve etkisinin olasılığını ayrı ayrı değerlendirmek ve risk analiz tablosuna ayrıca işlemek gerekir.

5.3.4. İşe Etki Değerlerinin Belirlenmesi

5.3.4.1. Varlık sahibi tarafından; riskin gerçekleşmesi durumunda, varlığın kullanıldığı ve bağımlı olduğu iş süreçlerine yapacağı etkiler gizlilik, bütünlük ve erişilebilirlik açısından incelenir ve her birine ayrı bir puan verilir.

5.3.4.2. İşe etki değerinin belirlenmesinde gizlilik, bütünlük ve erişilebilirlik değerlerinin ortalamasının alınması ya da en yüksek değerin kullanılması gibi farklı yöntemler kullanılabilir.

5.3.4.3. Risk puanı hesaplanırken gizlilik, bütünlük ve erişilebilirlik için belirlenen etki değerlerinden en yüksek değer dikkate alınır.

5.3.5. Risk Puanı Hesaplama

5.3.5.1. Risk değerlendirme ve işleme için risk seviyesinin hesaplanması gerekir.

5.3.5.2. Risk puanı hesaplamak için birçok yöntem kullanılabilir. Örnek bir risk değeri hesaplama yöntemi aşağıdaki gibidir:

“Risk Değeri = Varlık Mutlak Değeri (Varlık Değeri X İşe Etki Değeri) X Olasılık Değeri”

5.3.6. Risk Önceliklendirme

5.3.6.1. Risk puanının hesaplanmasından sonraki adım, riskleri değerlendirmek ve tehdit seviyelerine göre önceliklendirmektir.

5.3.6.2. Risklerin anlamlandırılması ve önceliklendirilmesi aşağıdaki tabloya göre yapılır.

 

Risk Değeri

Risk Önceliği

1-25

Düşük

26-50

Orta

51-75

Yüksek

76-100

Çok Yüksek

 

5.3.7. Risk Kararı

5.3.7.1. Risk değerlendirme kararı; tanımlanmış iç ve dış paydaşların beklentileri, şirketin bilgi güvenliği hedefleri vb. unsurlar dikkate alınarak yönetim tarafından verilir. Örneğin: Bir riskin değerlendirilmesine ilişkin verilecek kararda, ilgili varlık ya da varlık grubunun desteklediği iş sürecinin ya da faaliyetinin önemi veya sözleşme, yasal ve düzenleyici gereklilikler üzerindeki rolü göz önüne alınmalıdır.

5.3.7.2. “Kabul edilebilir” risk seviyesi, yasal yükümlülüklere ve kurumsal politikalara uygun, kurumsal itibar zedelenmesi veya hizmeti yerine getirmeye engel olabilecek herhangi bir durum oluşturmayacak risk seviyesini ifade eder.

5.3.7.3. Kabul edilebilir risk seviyesi yönetimin risk toleransına bağlıdır ve yönetim tarafından karar verilmesi gereken bir husustur. Genel olarak 25 puana kadar olan düşük seviyeli riskler kabul edilebilir risk olarak kabul edilir.

5.3.7.4. Risk puanının hesaplanması sonucunda elde edilen risk seviyesine, maliyet ve riskin ortadan kaldırılmasından beklenen faydaya göre risk ile ilgili karar alınır. Risk kararı seçenekleri şu şekildedir:

5.3.7.4.1. Risk Kabul: Risk puanı düşük seviyede ve risk puanının düşürülmesi için ek önlem alınmasına gerek yok ise veya alınacak ek önlemlerin maliyeti riskin gerçekleşmesi durumunda vereceği zarardan yüksek ise risk kabul kararı alınabilir.

5.3.7.4.2. Risk Azaltma: Risk puanını düşürmeye yönelik olasılık ya da etki değerini düşürecek önlemler alınmasıdır. Riski azaltma kararı alırken zaman, finans, operasyon kabiliyeti, değişikliği uygulayabilme gibi kısıtları göz önüne almak gerekir. Risk azaltma kararında yapılacak eylemler, planlanan tarih ve sorumlular açıkça belirtilmelidir.

5.3.7.4.3. Risk Transfer: Riski azaltmak için yapılacak eylemler bu işi daha profesyonel şekilde yönetebilecek bir dış paydaşa sözleşme ile transfer edilebilir. Riski transfer etmek, riskin gerçekleşmesi durumunda oluşacak etkiden doğacak tüm zararı transfer etmek anlamına gelmediği için transfer edilen risk sürekli izlenmeli ve kontroller denetlenmelidir.

5.3.7.4.4. Riskten Kaçınma: Riski azaltma için alınacak önlemler finans veya operasyon gibi kısıtlar nedeni ile uygulanabilir değil ise bu riski doğuran faaliyet veya durumdan kaçınılmalıdır. Riski doğuran faaliyetin durdurulması ya da ürünün kullanılmasından vazgeçilmesi riskten kaçınma kararıdır.

5.3.8. Risk İşleme

5.3.8.1. Risk İyileştirme Planlarının Hazırlanması

5.3.8.1.1. Risk iyileştirme planları; kurumsal risk haritasının çıkarılması, seçilen iyileştirme seçeneklerinin nasıl gerçekleşeceğinin planlanması ve yapılan çalışmaların kayıt altına alınması amacıyla hazırlanır.

5.3.8.1.2. Bu bölümde belirtilen risk işleme metodolojisi uyarınca hazırlanmış örnek bir Risk İyileştirme Planı mevcuttur.

5.3.8.2. Risk Analizi İletişimi ve İstişaresi

5.3.8.2.1. Bilgi güvenliği komisyonu, üst yönetim ve varlık sahipleri şirket tarafından önceden belirlenmiş zaman aralıkları ile bir araya gelerek risklerin varlığı, şiddeti, tedavisi ve kabul edilebilirliği üzerinde çalışma gerçekleştirir.

5.3.8.3. Bilgi Güvenliği Risklerinin İzlenmesi ve Gözden Geçirilmesi

5.3.8.3.1. Riskler statik değildir. Tehditler, zayıf noktalar, olasılıklar veya sonuçlar varlık yaşam döngüsü boyunca değişiklik gösterir. Riskler ve faktörlerini, iç ve dış bağlam değişikliklerini izlemek, olası değişiklikleri erken belirlemek için riskler sürekli izlenmeli ve gözden geçirilmelidir.

5.3.9. Raporlama ve Kayıtlar

5.3.9.1. Risk yönetimi boyunca riskler ile ilgili mutabakata varılan kontrol önlemlerinin ne aşamada olduğu, risk planlarının iyileştirilmesi için gerekli olan kaynaklar ve eylemler, hiçbir risk veya risk unsurunun gözden kaçırılmadığından ve gerekli önlemlerin alındığından emin olunması için risk planlarının özetleri rapor olarak üst yönetime sunulmalı ve muhafaza edilmelidir.

5.3.9.2. Yönetim tarafından risk değerlendirme ölçütleri, etki şiddetlerini kabul etmek seviyeleri gibi temel yaklaşımları ele alan uygun bir risk yönetimi bakış açısı geliştirilir ve risk yönetim prosedüründe yazılı olarak belirtilir.

5.3.9.3. Hangi risk yönetim metodu kullanıldığına bakılmaksızın risk tanımlama formu ve risk analiz tablosu kayıtlarının oluşturulması, muhafazası ve güncellenmesi gerekir.

 

6. ERİŞİM KONTROLÜ

6.1. Erişim Kontrol Politikası

6.1.1. Erişim kontrolünün amacı, bilgi ve bilgi işleme tesislerine yapılacak olan erişimlerin kısıtlanması, sadece yetki verilen kişilerin kontrollü ve kayıt altına alınarak bilgiye erişmesine imkan verecek bir sistemin tesis edilmesidir.

6.1.2. Erişim kontrolü ile ilgili hususları açıklamak üzere, kurumun BGYS politikası ile uyumlu olacak şekilde “Erişim Kontrol Politikası” dokümanı hazırlanır. 6698 sayılı Kanun kapsamında çıkarılan ikincil mevzuat uyarınca, kişisel verilere erişim için yapılan düzenlemeler söz konusu doküman içinde ayrı bir başlık/bölüm olarak ayrıntılı bir şekilde açıklanır.

6.1.3. Erişim kontrol politikası, şirketin bilgi güvenliği yetkilisi tarafından hazırlanır ve bilgi güvenliği komisyonu tarafından onaylanarak yayımlanır.

6.1.4. Erişim kontrol politikasının ayrılmaz bir parçası olarak “erişim yetki ve kontrol matrisi”  oluşturulur. Erişim yetki ve kontrol matrisinde kimin, hangi bilgiye, hangi yetkilerle erişeceği ve erişimin kontrolü için kullanılacak yöntemler yer alır.

6.1.5. Erişim kontrol politikası/erişim yetki ve kontrol matrisleri hazırlanırken aşağıda sıralanan prensipler dikkate alınır:

6.1.6.1. Herhangi bir gizliliği olmayan, herkesin erişimine açık olan bilgiler için özel bir erişim kontrol tedbiri alınmasına gerek yoktur. Bu tür bilgiler, internet sitelerinin vatandaşlara açık bölümlerine konulabilir.

6.1.6.2. Bilgiye verilen gizlilik derecesi yükseldikçe, uygulanacak olan erişim kontrol politikalarının sıkılaştırılması gerekir.

6.1.6.3. Bilgiye kimin hangi yetki ile erişeceği kararı, bizzat bilgi varlıklarının sahipleri tarafından verilir.

6.1.6.4. Bilgiye erişim talepleri ve ilgili makamlarca bu taleplere yapılan işlemlerin takip edilebilirliğini sağlamak üzere yazılı kurallar oluşturulur.

6.1.6.5. Erişim izinleri ile ilgili kayıtlar, varsa ilgili mevzuatta belirtilen sürelerce, yoksa varlığın sahibi tarafından belirlenecek süre boyunca saklanır.

6.1.6.6. Erişim izinleri verilirken, “görevlerin ayrılığı” ve “bilmesi gereken” prensiplerine göre hareket edilir.

6.1.6.7. “Bilmesi gereken” prensibi uyarınca; sistemde bulunan süreçler ve kullanıcılara, sistem kaynaklarına erişirken, kendilerine atanmış görevlerini gerçekleştirmelerine yetecek kadar yetki verilir.

6.1.6.8. Kullanıcıların kimliklerinin doğrulanması için asgari teknik önlem olarak, parola kullanımı zorunlu tutulur.

6.1.6.9. Bilgi varlıklarına fiziksel olarak yapılacak erişimler için Kılavuz’un 8. (Fiziksel ve Çevresel güvenlik) maddesinde belirtilen önlemler alınır.

6.2. Kullanıcı Erişimlerinin Yönetimi

6.2.1. Kullanıcı erişimlerinin yönetimi, sistemlere yetkisiz olarak yapılacak erişimleri engellemek ve sadece yetkili kullanıcıların erişimlerini temin etmek için yapılır.

6.2.2. Kullanıcı erişimleri ile ilgili yönetim esasları belirlenirken aşağıdaki hususlar dikkate alınır:

6.2.2.1. Sisteme erişim için nasıl müracaat edileceği,

6.2.2.2. Müracaat esnasında hangi bilgilerin isteneceği,

6.2.2.3. Kullanıcıların yetkilendirilmesinde kullanılan roller ve haklarının neler olduğu,

6.2.2.4. Ayrıcalıklı erişim taleplerinin nasıl değerlendirileceği,

6.2.2.5. Kullanıcı erişimlerinin izlenmesi için alınmış olan tedbirler,

6.2.2.6. Kullanıcı hesaplarının kapatılması/silinmesi için yapılacak işlemler.

6.2.3. Sistemlerin sahiplerince erişim hakları periyodik olarak incelenir. Bilmesi gereken prensibi uyarınca gereksiz olarak verilmiş yetkilerin kaldırılması sağlanır.

6.2.4. İncelemeler tüm kullanıcılar için düzenli aralıklarla ve rutin olarak en az 6 (altı) aylık aralıklarla yapılır.

6.2.5. Bireysel kullanıcı erişim hakları, terfi veya sorumlulukların değiştirilmesi veya görev yeri değişiklikleri sonrasında gözden geçirilir.

6.2.6. 90 gün veya daha fazla süre ile kullanılmayan hesaplar devre dışı bırakılır ve erişim izinleri askıya alınır. Bu süre kurumların bilgi güvenliği komisyonları tarafından değiştirilebilir. Her bir sistem için belirlenecek süreler, kurumların erişim kontrol politikası içinde yazılı olarak kayıt altına alınır.

6.2.7. Sistem ve uygulamaların kontrollerini geçersiz kılma kabiliyetine sahip olabilen destek programlarının kullanımı kısıtlanır ve sıkı bir şekilde kontrol edilir.

 

6.3. Parola Güvenliği

6.3.1. Bilgi Güvenliği Yetkililerince “Parola Politikası” oluşturulur ve yazılı hale getirilir. Hazırlanan “Parola Politikası” şirketin Bilgi Güvenliği Komisyonu tarafından onaylanır ve tüm çalışanlara duyurulur.

6.3.2. Parola politikaları belirlenirken, sistem ve uygulamaların, kullanıcıları asgari olarak aşağıdaki kurallara uygun parola kullanmaya zorlamaları sağlanır.

6.3.2.1. Parolalar en az 6 (altı) karakterden oluşur.

6.3.2.2. İçerisinde en az 1 (bir) tane büyük ve en az 1(bir) tane küçük harf bulunur.

6.3.2.3. İçerisinde en az 1 (bir) tane rakam bulunur.

6.3.2.4. İçerisinde en az 1 (bir) tane özel karakter bulunur. (@, !,?,A,+,$,#,&,/,{,*,-,],=,...)

6.3.2.5. Kişisel bilgiler veya klavye kombinasyonları ile basitçe üretilebilecek karakter dizilerinin kullanılması engellenir. (Örneğin 12345678, qwerty, doğum tarihi, çocuğun adı, soyadı gibi)

6.3.2.6. Kullanıcının son 3 (üç) parolayı tekrar kullanması ve aynı parolayı düzenli kullanması engellenir.

6.3.3. Kullanıcı hesaplarına ait parolalar en geç 6 (altı) ayda bir değiştirilmesi sağlanır.

6.3.4. Sistem yöneticileri ayrıcalıklı işlemleri normal kullanıcı adı ve parola ile yapmaz. Bu maksatla farklı kullanıcı adı ve parola kullanılır.

6.3.5. Parolalar, e-Posta iletilerine veya herhangi bir elektronik forma eklenmez.

6.3.6. Parolalar gizli bilgi olarak muhafaza edilir. Kişiye özeldir ve her ne suretle olursa olsun başkaları ile paylaşılmaz. Kağıtlara ya da elektronik ortamlara yazılamaz.

6.3.7. Şirket çalışanı olmayan kişiler için açılan geçici kullanıcı hesapları da bu bölümde belirtilen parola oluşturma özelliklerine uygun olmak zorundadır.

6.3.8. İnternet tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki “parola hatırlama” seçeneği kullanılması bilgi güvenliği açısından sakıncalı olup kullanıcılara farkındalık eğitimlerinde bu hususun önemi iletilir.

6.4. Merkezi Aktif Dizin ve E-Posta Sistemine Erişim

6.4.1. Tüm şirket kullanıcılarına “*@mateteknoloji.com.tr” uzantılı e-Posta hesaplarının açılması maksadıyla e-Posta Sistemi kurulur ve işletilir.

6.4.2. Kullanıcı için e-Posta hesabı açma, e-Posta hesabını askıya alma, e-Posta hesabını silme gibi işlemler Bilgi Güvenliği komisyonu tarafından yapılır.

6.4.3. Personel için kurumsal e-Posta hesap işlemleri işe başlama formunun doldurulması sonrasında oluşturulur.

6.4.4. Kullanıcı hesaplarının ve posta kutularının yönetimi

6.4.4.1. Sistem yönetim araçları ile aktif dizin kullanıcı hesapları taranarak bir yıldan daha uzun süredir kullanılmayan kullanıcı hesapları pasife alınarak kullanıma kapatılır.

6.4.4.2. Şirketten ayrılan, ilişiği kesilen personelin kullanıcı hesapları pasife alınarak kullanıma kapatılır.

6.5. Veri Merkezi ve Sunucu Barındırma Hizmetlerine Erişim

6.5.1. Gelen talepler yönetim tarafından incelenir, gerekiyorsa başvuru yapan birim ile irtibata geçilerek ilave bilgiler istenir.

6.5.2. Talebin karşılanabileceğine karar verilmesi durumunda sunucu kurulumu yapılarak ilgilisine tahsis edilir. Aksi takdirde, neden sunucu tahsis edilemeyeceği ile ilgili gerekçeler, e-posta ile talep yapan uygulama sahibine bildirilir.

6.5.3. Sunucuya erişim sağlayacak kullanıcının etki alanı hesabı var ise yetkilendirme yapılır. Eğer sunucuda yerel/tekil kullanıcı tanımlanmışsa parola bilgisi e-posta ile gönderilir.

6.5.4. Sunucuda yetkilendirilmiş kullanıcının görev yerinin değiştiği veya görevden ayrıldığı bilgisinin herhangi bir şekilde BGYS komisyonuna ulaşması durumunda, ayrıca bir bildirim beklenmeksizin ilgili kişinin erişim hakları derhal iptal edilir.

6.6. Uzaktan Çalışma ve Erişim

6.6.1. Uzaktan çalışma, 4857 sayılı İş Kanun’unun 14’üncü maddesine göre; “çalışanların, işveren tarafından oluşturulan iş organizasyonu kapsamında, iş görme edimini evinde ya da teknolojik iletişim araçları ile işyeri dışında yerine getirmesi esasına dayalı ve yazılı olarak kurulan iş ilişkisi” olarak tanımlanmaktadır.

6.6.2. Uzaktan çalışma; personeller, iş ortakları çalışanları tarafından yapılır.

6.6.3. Uzaktan çalışma çalışanların evleri, iş ortaklarının ofisleri ve herkese açık alanlarda (kafeler, lokantalar, oteller vb.), yapılabilir.

6.6.4. Uzaktan çalışma işlemi, yapısı itibarı ile güvensiz olarak kabul edilir ve bilgi güvenliğini sağlamak için önlemlerin alınması gerekir.

6.6.5. Uzaktan çalışma ile ilgili kontrol tedbirleri belirlenirken aşağıda sıralanan dört temel tehdit unsuru/modeli dikkate alınır.

6.6.5.1. Uzak çalışma ortamlarının fiziki güvenliğindeki yetersizlikler,

6.6.5.2. Uzak bağlantının güvenli olmayan ağ ortamları (çoğunlukla internet) üzerinden yapılması,

6.6.5.3. Şirket güvenlik politikaları uygulanmamış güvenilir olmayan cihazların iç ağa bağlanması,

6.6.5.4. İç ağdaki kaynaklara dışarıdan erişim.

6.6.6. Günümüzde teknolojinin bizlere sağlamış olduğu yetenekler kullanılmak suretiyle, farklı yöntemler kullanılarak uzak bağlantı yapılması mümkündür.

6.6.7. Uzaktan erişim için en uygun yöntemin belirlenmesi amacıyla, her ihtiyacın kendine özgü şartları ve risklerinin ayrıntılı olarak değerlendirilmesi gerekir.

6.6.8. Uzaktan erişim yöntemi olarak aşağıda açıklamaları verilen tünelleme, uygulama portalleri,  uzak masaüstü erişim veya doğrudan uygulama erişimi yöntemlerinin biri veya birkaçı birlikte kullanılabilir.

6.6.8.1. Tünelleme yöntemi, uzaktan çalışmada kullanılan bilgisayar ile iç ağın kriptolojik yöntemler kullanılmak suretiyle oluşturulan güvenli bir tünel vasıtasıyla birbirine bağlanmasıdır. Tünelleme işlemi, ağırlıklı olarak sanal özel ağ (VPN:Virtual Private Network) teknolojileri vasıtasıyla yapılır. VPN işlemi IP güvenliği (IPsec: IP Security), taşıma katmanı güvenliği (TLS: Transport Layer Security) veya güvenli kabuk (SSH: Secure Shell) protokolleri kullanılmak suretiyle yapılabilir.

6.6.8.2. Uzak masaüstü erişim çözümleri, uzaktan çalışan kullanıcıların şirketin iç ağında yer alan bir sunucu veya istemci bilgisayarın karşısındaymış gibi kullanılmasını sağlar. Bu yöntemde, uzak kullanıcılar bağlanılan bilgisayarın klavye ve fare kontrollerini uzaktan yapar hale gelirler. Uzak masaüstü erişim yöntemleri kendi içlerinde birçok kısma ayrılır. Bazı erişim modellerinde vekil/ terminal sunucu vasıtasıyla işlem yapılırken, bazı erişim modellerinde arada bir vekil/terminal sunucu olmadan da bağlantı kurulur.

6.6.9. Uzak çalışma için hangi uzak erişim yönteminin veya yöntemlerinin kullanılacağına, yapılacak risk değerlendirmesine bağlı olarak şirketin bilgi güvenliği komisyonu tarafından karar verilir ve şirketin Erişim Kontrol Politikası içerisinde (veya ayrı bir politika olarak) yazılı olarak belirtilir.

6.6.10. Uzaktan çalışma için kullanılacak cihazlar belirlenirken aşağıda belirtilen esaslar doğrultusunda hareket edilir:

6.6.10.1. Uzaktan çalışma prensip olarak şirkete ait cihazlar ile yapılır.

6.6.10.2. Uzaktan çalışacak kişi şirketimizi ile sözleşme/protokol imzalayan üçüncü taraf personeli ise ve şirkete ait bilgisayar verilemiyorsa, uzak çalışma için hangi tip cihazlar kullanılacağı ve bu cihazlarda alınması gereken tedbirler, ilgili sözleşme/protokollere konulur. Bu maksatla kullanılacak cihazlara

ait bilgiler şirkete bildirilir. Şirket tarafından üçüncü taraflarda yapılacak denetimlerde belirtilen işlemlerin yapılıp yapılmadığı aranır.

6.6.10.3. Uzak çalışma kapsamında uzak masaüstü bağlantısı yapılacaksa, şahısların kendilerine ait kişisel cihazlar veya sahibi bilinmeyen/herkes tarafından erişilebilen terminaller kullanılmaz. Kullanıcıların bu tip terminaller üzerinden uzak masaüstü bağlantısı yaptıklarının tespit edilmesi halinde gerekli yasal ve idari yaptırımlar uygulanır.

6.6.10.4. Doğrudan uygulama erişimleri de dahil uzaktan çalışmanın hiçbir çeşidinde sahibi bilinmeyen/herkes tarafından erişilebilen (internet kafe, otel bilgisayarları, kiosklar vb.) kullanılmaz.

6.6.10.5. Uzaktan çalışma için kullanılacak cihazlarda şirketimizce ait gizlilik dereceli bilgiler depolanacak ise bahse konu verilerin şifreli olarak saklanmasına imkân verecek, tercihan TPM (Trusted Platform Module) yonga setine sahip, işlemci gücü yüksek bilgisayarlar kullanılır.

6.6.11. Uzak çalışma için kullanılacak cihaz ve ortamlarda asgari olarak aşağıda belirtilen güvenlik tedbirlerinin alınmış olması gerekir:

6.6.11.1. Cihazlara kişisel güvenlik duvarı kurulur ve aktif hale getirilir.

6.6.11.2. İşletim sistemi ve diğer uygulamalar için yayımlanan güvenlik yamalarının otomatik güncelleme seçilerek güncel halde tutulması sağlanır.

6.6.11.3. Virüs, fidye yazılımları, truva atları ve benzeri zararlı yazılımlardan korunmak için uygun bir koruma yazılımı tedarik edilir. Yazılımın kendisi ve imza dosyaları güncel halde tutulur.

6.6.11.4. Cihaz üzerinde uzaktan çalışma için kullanılmak üzere asgari yetkilere sahip ayrı bir kullanıcı hesabı açılır. Yönetici yetkisi ile uzaktan çalışma yapılmaz.

6.6.11.5. Cihaza ekran koruma süresi konularak belli bir süre kullanılmadığında ekranın otomatik olarak kilitlenmesi sağlanır.

6.6.11.6. Cihazlar fiziki güvenliği olmayan ortamlarda kullanılacak ise dizüstü bilgisayar kilidi kullanılmak suretiyle çalınmaya karşı cihaz emniyete alınır.

6.6.11.7. Cihazın üzerinde yer alan ve kullanılmayan ağ özellikleri (WİFİ, bluetooth vb.) pasif hale getirilir.

6.6.11.8. Uzaktan çalışma için kullanılan bilgisayarların yerel disklerinde yer alan kurumsal verilerin yedeklenmesi için gerekli tedbirler alınır. Alınacak bu yedekler sadece şifreli ortamlarda ve/veya şifreli yedeklenmiş olarak tutulabilir.

6.6.11.9. Uzaktan çalışma ve uzaktan erişim için kullanılacak cihazlara çok faktörlü kimlik doğrulama yapılarak giriş yapılması tercih edilir.

6.6.11.10. Hassas işlemlerde kullanılan üçüncü taraf bilgisayarlarındaki kurumsal verilerin kalıcı olarak silinmesi için gerekli teknik ve idari tedbirler alınır.

6.6.11.11. Mobil cihazlara yüklenecek uygulamalar, ilgili işletim sistemi üreticisi tarafından sağlanan uygulama mağazalarından (AppStore, PlayStore vb.) indirilir.

6.6.11.12. Kullanılan uygulamaların varsa güvenlik ayarları yapılarak daha güvenli kullanım ortamı sağlanır.

6.6.11.13. Mobil cihaz işletim sistemi tarafından dayatılan kısıtlamalardan kurtulmak için “jailbreak” veya “rootlama” işlemi yapılmaz. Bu işlemlerin yapıldığı cihazlar, uzaktan çalışma için kullanılmaz.

6.14.11.14. Kullanılan her türlü mobil cihaz için üreticinin sağladığı işletim sistemi güncelleştirmeleri ve yazılım güncelleştirmeleri mutlaka periyodik olarak kontrol edilir ve uygulanır.

 

7. FİZİKSEL VE ÇEVRESEL GÜVENLİK

7.1. Genel Hususlar

Günümüzde bilgiler büyük oranda bilgi sistemleri vasıtasıyla işlenmekte ve sayısal ortamlarda saklanmaktadır. Bu nedenle bilgi güvenliği ile ilgili tedbirlerin önemli bir kısmını bilgi sistemleri ve ağlarının korunmasına yönelik siber güvenlik önlemleri oluşturmaktadır. Bununla birlikte, fiziksel ortamda saklanan bilgilerin veya elektronik ortamda saklanmakla birlikte bunların muhafaza edildiği bilişim sistemleri ve ağlarının güvenliği için fiziksel ve çevresel önlemlerin alınması kaçınılmazdır.

 

7.2. Güvenli Alanlar

7.2.1. Fiziksel ve çevresel güvenlik tedbirlerinin belirlenmesi ve uygulamaya alınmasının ön koşulu hassas veya kritik bilgi ve bilgi işleme tesislerini barındıran güvenli alanların tespit edilmesi ve bu alanların güvenlik sınırlarının tanımlanmasıdır.

7.2.2. Güvenlik sınırları belirlenirken kişilerin kontrolsüz olarak giriş çıkış yapabilecekleri herhangi bir boşluk bulunmamasına dikkat edilir. Bu tür boşlukların kapatılması/korunması için ilave tedbirler alınır.

7.2.3. Güvenli alanlar, fiziksel güvenlik engelleri ile çevrili, kilitlenebilir bir ofis ya da birkaç oda olabilir. Birden fazla kuruluşun aynı bina içerisinde olduğu durumlarda fiziksel erişim güvenliğine özel dikkat gösterilir.

7.2.4. Fiziksel koruma, bir ya da daha fazla fiziksel engel konularak gerçekleştirilir. Birden fazla fiziksel engel kullanımı (kilitli dolaplar ve kilitli odalar vb.) ilave koruma sağlayarak tek bir engelin başarısızlığı

durumunda güvenliğin tehlikeye girmesini önler.

7.2.5. Özel bir gereksinim yoksa bu tür odalara ne şekilde erişileceğini gösteren işaretlerin konulmasından sakınılır.

7.2.6. Kötü niyetli girişimlere engel olmak için güvenli bölgelerde yapılan çalışmalara nezaret edilir.

7.2.7. Postacı, kurye personeli, dağıtıcı gibi kişilerin tesis içlerine kontrolsüz olarak girmesi engellenir.

7.2.8. Personel güvenliği ve sağlığı için ilgili yönetmelikler uygulanır.

7.3. Ekipman Güvenliği

7.3.1. Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline, yangın, deprem gibi felaketlerle bütünlüğünün bozulmalarına ya da yok olmalarına sebep olabilir. Tüm bu veya daha fazla tehditleri yok edebilmek için aşağıda yer alan belli başlı temiz masa kurallarına çalışanlar tarafından uyulması sağlanır.

7.3.2. Belli başlı temiz masa kuralları

7.3.2.1. Hassas bilgiler içeren bilgi, belge ve evraklar masa üzerlerinde ya da kolayca ulaşılabilir yerlerde açıkta bulundurulmaz. Bu gibi bilgi ve belgeler kilitli dolap, çelik kasa ya da arşiv odası gibi fiziki koruması olan güvenli alanlarda muhafaza edilir.

7.3.2.2. Yetkisiz kişilerin erişiminin engellenmesi için bilgisayar başından ayrılma durumunda ekran kilitlemesi yapılır. Otomatik ekran kilitlemesi devreye alınır.

7.3.2.3. Sistemlerde kullanılan parola, telefon numarası ve T.C. kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulundurulmaz.

7.3.2.4. Kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler Kılavuz’un 4.5. (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemler ile imha edilir.

7.3.2.5. Her türlü bilgiler, parolalar, anahtarlar ve bilginin sunulduğu kişisel bilgisayarlar ve benzeri cihazlar yetkisiz kişilerin erişebileceği bir şekilde parola korumasız ve fiziki olarak güvensiz bir şekilde gözetimsiz bırakılmaz.

7.3.2.6. Yazdırma teknolojilerinin yetkisiz kullanımını önlemek için uygun idari ve teknik tedbirler alınır.

7.3.3. Ekipman Yerleşimi ve Koruması

7.3.3.1. Yüksek maliyetli, özel koruma gerektiren elektronik cihazların yerleşimi yapılırken çevresel tehditler ve yetkisiz erişimden kaynaklanabilecek zararların asgari düzeye indirilmesine dikkat edilir.

7.3.3.2. Ekipmanlar, gereksiz erişimleri asgari düzeye indirecek şekilde yerleştirilir.

7.3.3.3. Kritik veri içeren araçlar, yetkisiz kişiler tarafından gözlenemeyecek şekilde yerleştirilir.

7.3.4. Şirket Dışındaki Ekipmanın Güvenliği

7.3.4.1. Gelişen, değişen çalışma koşulları ve uzaktan çalışma nedeniyle şirkete ait bilgisayarların kılavuzda belirtilen önlemler alınarak şirket dışına çıkarılmasında bir sakınca bulunmamaktadır.

7.3.4.2. Kişisel/yüklenici firmalara ait bilgisayarların işyerlerine getirilerek kurumsal amaçlarla kullanımı için kurum yöneticisi tarafından yetkilendirme yapılması gerekir. Bu şekilde kullanılan ekipmanların ve kullanıcıların listesi oluşturulur ve takip edilir.

7.3.4.3. Kurum alanı dışında kullanılacak ekipmanlar için uygulanacak güvenlik önlemleri, tesis dışında çalışmaktan kaynaklanacak farklı riskler değerlendirilerek belirlenir.

7.3.4.4. Tesis dışına çıkarılan ekipmanın gözetimsiz bırakılmamasına ve seyahat halinde dizüstü bilgisayarların el bagajı olarak taşınmasına dikkat edilir.

7.3.4.5. Cihazın muhafaza edilmesi ile ilgili olarak üretici firmanın talimatlarına uyulur.

7.3.5. Ekipmanın Güvenli İmhası

Üzerlerinde kalıcı olarak veri barındıran ekipmanlar (sunucu, masaüstü veya dizüstü bilgisayarın, merkezi veri depolama birimlerinin ve benzeri bilgi sistem cihazlarının sabit diskleri ile USB flaş sürücüsü, USB hafıza ünitesi, flash disk ya da USB hafıza olarak bilinen taşınabilir veri depolama ortamları) Kılavuz’un 4.5 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemler kullanılarak imha edilir.

7.3.6. Fiziksel ortamların taşınması

7.3.6.1. Güvenilir taşıma şekli ve kuryeler kullanılır.

7.3.6.2. Paketleme, içeriğin fiziksel hasarlardan yeterince korunmasını sağlayacak şekilde yapılır.

7.3.6.3. Hassas bilgiler elden teslim edilir veya kurcalanmaya karşı koruma için kilitli kaplar kullanılır.

 

8. İŞLETİM GÜVENLİĞİ

8.1. Yazılı İşletim Prosedürleri

8.1.1. Yapılan işlemlerin standart hale getirilmesi, iş sürekliliğinin sağlanması, kurumsal hizmetlerin sunumuna yönelik süreçlerin planlanması ve süreçlerin yazılı kurallara uygun olarak yerine getirilmesi gibi amaçlarla ihtiyaç duyulan destek dokümanları hazırlanır.

8.1.2. Oluşturulan dokümanların onaylanması, yayınlanması, sürüm güncelleme ve/veya imha edilmesi süreçleri tanımlanır. Belge, kayıt ve dokümanlar için etkili bir yönetim sistemi oluşturulur ve sürekliliği sağlanır.

8.1.3. Dokümanlarda şirketin logosu, doküman adı, doküman kodu, sürüm numarası, yayın tarihi, sayfa numarası, hazırlayan, kontrol eden, onaylayan gibi başlık bilgileri bulunur.

8.1.4. Dokümanların yürürlük durumu ve güncel sürümlerinin takibi için (geçerli doküman listesi, iptal edilen ve değiştirilen doküman listesi hazırlamak gibi) kontroller oluşturulur.

8.1.5. Bilgi teknolojileri alanında; sistem ve ağların yönetimi, değişiklik kuralları, güvenlik gereklilikleri gibi süreçlerde işletim kurallarının yazılı hale getirilmesi ve ilgili kişilerin kolayca erişebileceği bir yöntemle muhafaza edilmesi gerekir.

8.1.6. Hazırlanacak dokümantasyon, işletimsel hataları engellemek, beklenmeyen sorunların ortaya çıkması durumunda sistemi kullanıcı bağımsız yeniden başlatabilmek, otomasyonun işletilemediği durumlarda süreci manuel olarak yürütebilmek gibi amaçlara cevap verecek şekilde düzenlenir.

8.1.7. Denetimsiz veya yetkisiz olarak sistemlere erişilmesi ya da değişiklik yapılmasının engellenmesi için yazılı işletim prosedürlerinde işletim yöntemi, sorumlusu ve gerekli olan diğer detaylara mutlaka yer verilir.

 

8.2. Değişiklik Yönetimi

8.2.1. Bilgi teknolojilerindeki değişiklikler ile birlikte sistem, sunucu veya yazılım değişiklikleri veya güncellemeleri de kaçınılmazdır. Ancak bu değişikliklerin kontrolsüz bir şekilde yapılması, bilgi güvenliği açısından riskleri de beraberinde getirir. İş sürekliliğine ilişkin açıklamalar Kılavuz’un 12 (İş Sürekliliği) numaralı bölümünde açıklanmıştır. Değişikliklerin yönetimsel bir süreci takip etmemesi iş sürekliliğini tehdit eden bir unsurdur.

8.2.2. Değişiklik yönetiminin amacı, süreç ve yöntemi tanımlanmış olan bilgi sistemleri değişikliklerinin bilgi güvenliği prensipleri çerçevesinde gerçekleştirilmesini sağlamaktır. Bunun için en iyi yol, takip edilmesi gereken adımları tanımlayan yazılı işletim prosedürleri mantığıyla hazırlanan değişiklik yönetimi dokümanının oluşturulmasıdır.

8.2.3. Değişiklik Türleri

8.2.3.1. Yazılım Değişiklikleri

8.2.3.1.1. Kurumsal yazılım geliştirme yaşam döngüsü boyunca ele alınan değişikliklerdir.

8.2.3.1.2. İşleyiş hataları, kullanıcı gereksinimlerinin kodlamaya uygun olmaması, yeni ya da değişen istekler gibi nedenlerle yazılımlar üzerinde değişiklik yapma ihtiyacı oluşabilir.

8.2.3.2. Donanım ve Altyapı Değişiklikleri

8.2.3.2.1. Bilgi işlem ekipmanının kurulumu, değiştirilmesi, çıkarılması veya yeniden konumlandırılması, ilave donanım kurulumları, altyapıdan donanımın kaldırılması, sistem yapılandırma değişiklikleri ve lokasyon değişiklikleri, sistemler üzerinde yazılım ürünleri kurulumu, yaması, yükseltilmesi veya kaldırılması gibi nedenlerle değişiklik yapma ihtiyacı oluşabilir.

8.2.3.2.2. Talep tarihi, nedeni, değişiklik bilgisi, ilgili sistem/sistemler ve gerekli diğer bilgileri içeren talep yazısı düzenlenir. Sistem sorumlusu tarafından süreç ve teknik açıdan değerlendirilir. Birimler arası etkileşim, kullanılan ek kaynaklar, ne zaman/nerede/ne yapıldığı/kimin yaptığını içeren değişiklik kontrolü raporlaması kurumsal olarak belirlenen bir sistem üzerinden ya da detaylı raporlar aracılığıyla kayıt altına alınmalıdır.

8.2.3.3. Veri Tabanı Değişiklikleri

Veri tabanı objelerinin (kullanıcı, şema, tablo vb.) güncellenmesi, silinmesi veya yeni tablo, obje, kayıt yaratılması, veri tabanına yapılacak eklemeler, taşımalar, yeniden düzenlemeler gibi ihtiyaçlardan kaynaklanan değişikliklerin tek tek kaydedilerek, geçmişe dönük olarak saklanması, istenilen zamanda kontrol edilip incelenmesi ve raporlanması gerekir.

8.2.4. Değişiklik yapılırken, türünden bağımsız olarak aşağıdaki adımların takip edilmesi gerekir.

8.2.4.1. Değişiklik nedeninin yazılı olarak tanımlanması: Her değişiklik, değişiklik talep eden personel ya da uygulama sahibi tarafından değişim isteği talep yazısı veya varsa kullanılan standart form ile başlatılır.

8.2.4.2. Değişiklik etki analizi: Değişiklikler şirket varlıklarını (donanım, yazılım, ağlar, vb.) aynı zamanda süreçleri, hizmetleri, anlaşmaları, vb. hususları etkileyebilir. Bu nedenle değişikliğin maliyet, zaman ve risk açısından etkilerinin araştırılarak dokümante edilmesi gerekir. Değişiklik talebi öncelikle sistemlerin yürütülmesinden sorumlu personel tarafından analiz edilir. Değişimden etkilenecek diğer varlıklar, değişikliğin başlatılması veya sistemlerin kapatılması üzerindeki etkilerini, acil durum planları üzerindeki etkilerini, yedekleme gereksinimlerini, depolama gereksinimlerini ve işletim sistemi gereksinimlerini içeren değişiklik planının teknik bütünlüğünün ve performans/kapasite/güvenlik/ işlevsellik üzerinde yapacağı etkilerin gözden geçirilmesi gerekir. Bu süreçte yedekten geri dönme testleri yapılarak değişiklik sürecinin geri çekilmesi durumu da planlanır.

8.2.4.3. Değişiklik onay süreci: Sorumlu personel tarafından yapılan değişiklik analiz çalışması yönetici onayına sunulur. Yönetici değişikliği onaylayabilir, reddedebilir ya da ek bilgi talep edebilir. Etkileşimde olan diğer sistem sorumlularının, kendi sorumlukları dahilinde olan sistemler için gerekli önlemleri alması ve yazılı olarak önlemleri aldığını bildirmesi beklenir. Değişiklik onayı yöneticiden alındıktan sonra değişiklik çalışmalarına başlanır.

8.2.4.4. Değişimin planlanması ve test edilmesi: Kabul edilen değişikliklerin gerçekleştirilmesi için planlama yapılır. Tüm değişiklikler öncelikle test edilir. Test aşaması, kurumun teknoloji altyapısının tüm bileşenlerinin güvenilirliğini ve performansını sağlamak için test ve kalite güvencesinin sağlanması amacıyla gerçekleştirilir. Test aşaması yöneticiye rapor edilir ve bir sonraki adım olan uygulama safhasına geçip geçmemek konusunda onay alınır. Planlama, test ve uygulama safhaları teknolojik bir platform üzerinden ya da kayıtlar ile delil niteliğinde dokümante edilir.

8.2.4.5. Uygulama: Test edilen değişiklik, yönetici onayı ile uygulamaya alınır.

8.2.4.6. Uygulama sonrası inceleme: Değişikliğin istenen hedeflere ulaşıp ulaşmadığını sağlamak için uygulama sonrası gözden geçirme yapılır. Uygulama sonrası eylemler, değişikliği kabul etmeye, değiştirmeye veya geri almaya karar vermeyi içerir.

8.2.5. Aşağıdaki değişiklikler, operasyonel bir süreç gerektirmekle birlikte değişim yönetimi süreci gerekliliklerine dahil değildir:

8.2.5.1. Günlük idari süreçte yapılan değişiklikler (parola sıfırlama, e-Posta grubuna kullanıcı ekleme/silme/gözden geçirme, dosya izni değişiklikleri)

8.2.5.2. Acil durum olağanüstü durum kurtarma

8.2.5.3. Sistem yapılandırmasında gerek duyulmadan yapılan masaüstü değişiklikleri.

8.3. Kapasite Yönetimi

8.3.1. Bilişim, bilginin işlenmesi, depolanarak saklanması, teknik araçlarla en hızlı ve kolay yoldan iletilerek bilgi akışının sağlanması demektir. Bu bileşenlerin en hızlı ve ekonomik şekilde kullanımı için kapasitenin izlenmesi ve yönetilmesi şarttır.

8.3.2. Kapasite yönetimi ile ayakta kalabilirlik/kullanılabilirlik (uyarılar ile hataların proaktif olarak düzeltilmesi ve iş sürekliliğinin sağlanması) ve ölçeklenebilirlik sağlanır.

8.3.3. Kapasite yönetimi, kaynakların izlenmesi, sistem performansını temin etmek için kapasite yönetiminin yapılması ve sürekli olarak gözden geçirilmesi şeklinde gerçekleştirilir.

8.3.4. Sistem izleme, bilgi teknolojileri altyapısı ile ilgili kritik iş uygulamalarının çalışır olmasını, performansının optimize edilmesini ve sistem güvenliğini sağlamak için gereklidir. Sistemlerin kapasitesinin izlenmesi bilgi güvenliğinin sağlanması ve iş sürekliliğinin sağlanması için girdi oluşturur.

8.3.5. İzleme için öncelikle kaynaklara karar verilmelidir. Uzun tedarik sürelerine ve yüksek maliyetlere sahip kaynaklar için özel ilgi gerekir. Bu nedenle önemli sistem kaynaklarının kullanımı özellikle izlenmelidir.

8.3.6. Dosya sunucularında yeterli alanın azalması idari dikkat için uyarı gerektirirken, bellek hatası, disk hatası gibi alarmlar derhal müdahale gerektirir. Bu nedenle izlenen sistemlere ilişkin minimum kabul edilebilir eşik değerlerin belirlenmesi ve uyarı önceliklerinin belirlenmesi gerekir. (Örneğin; “90 dakika boyunca işlemci kullanımı %90’ın üzerinde olursa kritik alarm üret” ya da “veri tabanı kullanım oranı %80’i geçerse yöneticiye bilgi ver” gibi)

8.3.7. Gelecekteki sistem ihtiyaçları ve ileriye yönelik planlanan yeni iş uygulamaları mevcut kapasite göz önüne alınarak değerlendirilir. Mevcut kapasitenin optimizasyonu için disk alanından saklanma süresi dolan verinin silinmesi, uygulama mantığının ya da veri tabanı sorgularının optimize edilmesi,

kaynak tüketen hizmetlerden kritik olmayanlar için reddetme ya da bant genişliği sınırlaması gibi çözüm yöntemleri uygulanabilir.

8.4. Sunucu ve Sistem Güvenliği

8.4.1. Sunucuların ve sistemin güvenliğini sağlamak için gerekli güvenlik koşullarının tanımlandığı, güvenlik ilkelerinin belirlendiği “Sistem Güvenlik Politikası” oluşturulur.

8.4.2. İş sürekliliği ve acil durum planlaması için ilgili otoritelerle iletişim yöntemleri tanımlanır ve yazılı hale getirilir. Acil durumlarda erişilmesi gereken kişilerin irtibat numaraları ilgili personelin kolayca ulaşabileceği bir şekilde bulundurulur.

8.4.3. Yeni teknolojileri, uygulamaları, tehdit veya açıklıkları takip etmek için dernek, forum siteleri gibi özel ilgi grupları belirlenir ve ilgili personel tarafından takip edilir.

8.4.4. Tüm bilgisayarlar lisanslı anti-virüs yazılımı ile korunur. Anti-virüs yazılımının virüs veri tabanı güncel tutulur.

8.5. Ağ İşletim Güvenliği

8.5.1. Ağ mimarisi ve aktif ağ cihazlarının yönetimi, güvenlik ilke ve kuralları, erişim haklarının yazılı olduğu “Ağ Güvenliği Politikası” oluşturulur.

8.5.2. İş sürekliliği ve acil durum planlaması süreçlerinde ilgili otoritelerle iletişim yöntemleri tanımlanır ve yazılı hale getirilir. Acil durumlarda erişilmesi gereken kişilerin irtibat numaraları personelin kolayca ulaşabileceği bir şekilde bulundurulur.

8.5.3. Kullanıcılara erişim hakkı tanımlanmadan önce gizlilik sözleşmesi olduğu kontrol edilir. Güvenlik cihazları ve ağ yönetiminde ayrıcalıklı erişim hakkı verilen kullanıcıların sisteme erişimi onay mekanizmasından geçerek tamamlanır. Ayrıcalıklı erişim hakkı elde eden personelin yer ve görev değişikliği olması durumunda erişimleri düzenleyen birime bilgi verilmesi sağlanır.

8.5.4. Güvenlik ve ağ cihazlarında yönetici olarak erişim yetkisine sahip olan kullanıcılar yazılı olarak tanımlanır. Bu erişim yetkisine sahip kullanıcı hesaplarındaki değişiklikler kontrol edilir. Sistemler üzerinde ortak erişim yetkisi olan hesaplar açılmaz. Sahibi bilinmeyen hesaplar kaldırılır.

8.5.5. Güvenlik ve ağ cihazlarına yapılacak uzaktan erişimler için Kılavuz’un 6.6 (Uzaktan Çalışma ve Eşirim) maddesinde belirtilen hususlara dikkat edilir.

8.5.6. Uzaktan erişim verilen kullanıcılara bağlantı zamanı ve süresi ile ilgili kısıtlamalar getirilir. Kurumdaki görevi gereği kullanıcıların bağlantı süreleri farklı olabilir.

8.5.7. Sistemi etkileyecek bir çalışma yapılması gerekiyorsa mesai saati dışında yapılır. Bu çalışmadan etkilenecek kurum/firma ya da kişilere bilgi verilir.

8.5.8. Güvenlik ve ağ cihazlarının fiziksel güvenliğini sağlamak için gerekli tedbirler alınır.

8.5.9. Güvenlik ve ağ cihazlarının yazılım güvenliğini sağlamaya yönelik tedbirler alınır. Cihazlar ilk kurulduğunda varsayılan olarak atanmış olan kullanıcı adı ve parolalar değiştirilir. Parolalar, Kılavuz’un 6.3 (Parola Güvenliği) maddesinde yer alan sunucular için güçlü parola ilkeleri esaslarına göre oluşturur.

8.6. Yedekleme Yönetimi

8.6.1. Kurumsal verilerin yedeklenmesi, iş sürekliliğinin en temel prensipleri arasında yer alır. Başarılı bir yedekleme işlemi ve yedeklenen verinin ihtiyaç anında veri kaybı olmadan kurtarılabilmesi, veri yedekleme sistemlerinin en temel iki bileşenidir.

8.6.2. Yedeklerin kurumun gereksinimleri dikkate alınarak hazırlanmış, yönetimin konuya bakış açısını yansıtan bir yedekleme politikası doğrultusunda alınması, güvenliğinin sağlanması, saklanması ve belirli sıklıkta geri dönüş testlerinin yapılması gerekir.

8.6.3. Yedekleme politikası oluşturulmasının ilk ve en önemli safhası analiz çalışmasının yapılmasıdır.

8.6.4. Analiz çalışmasında, öncelikle hangi sistemlerin yedeğinin alınacağı belirlenir. Şirket için kıymet ifade eden ve kaybedilmesi halinde iş sürekliliğini etkiyecek tüm sistemlerin yedeklerinin alınması gerekir.

8.6.5. Yedekleme yöntemleri belirlenirken kaynakların etkin olarak kullanılması için gerekli özen gösterilir. Her seferinde tüm verilerin yedeğinin alınması yerine, artırımlı yedekleme yapılarak hem sistemlerin gereğinden fazla meşgul edilmesi önlenir, hem de depolama alanlarından tasarruf edilebilir.

8.6.6. Yedekten geri yükleme testlerinin, başarısız olması nedeniyle veri kaybı olabileceği durumu göz önüne alınarak, canlı ortamda değil gerçek ortamın aynısı olan test ortamında yapılması gerekir.

8.7. Teknik Açıklık Yönetimi

8.7.1. “Teknik açıklık” bir bilgi güvenliği terimidir. Kelime anlamı olarak “bir varlık veya kontrolde bulunan ve potansiyel olarak bir ya da daha fazla tehdit unsuru tarafından istismar edilebilecek herhangi bir kontrol zafiyetidir”. Aynı şekilde “tehdit” de “bir sisteme ya da organizasyona zarar verebilecek herhangi bir istenmeyen olayın potansiyel nedeni” olarak tanımlanabilir.

8.7.2. Teknik açıklıklar; bir varlık veya kontrolün tasarımı, uygulanması, konfigürasyonu veya çalışması sırasında dikkatsizlik nedeniyle veya kasıtlı olarak yaratılan kusurlardır.

8.7.3. Teknik açıklıkların tespiti bazen herhangi bir masraf yapmadan çok kolay şekilde olabilir. Bilhassa ürünün tasarımından kaynaklanan açıklıklar üreticiler tarafından yayımlanan yamalar ile düzeltilir.

8.7.4. Bununla birlikte yanlış uygulama ve konfigürasyonlardan kaynaklanan hataların giderilmesi, genellikle daha zor ve masraflıdır. Bu tür açıklıkların tespiti için teknik uzmanlardan yararlanılması, açıklık taramalarının yapılması gerekir.

8.7.5. Açıklıkların kapatılması sonrasında aynı araçlar ile tekrar tarama yapılarak alınan önlemlerin yeterlilik durumunun doğrulanması gerekir.

 

9. HABERLEŞME GÜVENLİĞİ

9.1.Kablosuz Ağ Güvenliği

9.1.1. Kablosuz erişim noktası olarak kullanılan cihazların yönetimi için kullanılan parolalar değiştirilir. Şirket parola politikasına uygun olarak karmaşık parola verilir.

9.1.2. Bağlantı ayarları için şifreleme etkinleştirilir. Şifreleme seçeneği etkinleştirilirken ağa erişim için kullanılmak üzere üçüncü taraflar tarafından tahmin edilemeyecek karmaşık bir parola belirlenir.

9.1.3. Erişim noktasının sinyal gücü kapsama alanı, ihtiyaca cevap verecek şekilde en aza indirilir.

9.2. Gizlilik Sözleşmeleri

9.2.1. Şirketimizin gizli kalması gereken bilgilerin korunması maksadıyla, personellerine ve sistemlerine erişim yetkisi verilen tüm tedarikçi çalışanları ile gizlilik sözleşmeleri yapılır.

9.2.2. Gerçek kişiler ile personel gizlilik sözleşmesi, tüzel kişiler ile kurumsal gizlilik sözleşmesi imzalanır. Staj vb. nedenlerle geçici olarak çalışanlar da dahil tüm personel ile gizlilik sözleşmesi yapılması esastır.

9.2.3. Aynı şekilde resmi bir sözleşme veya protokol olmasa bile yasal bir gerekçeye istinaden geçici olarak kendilerine hassas bilgiler verilen/hassas bilgilere erişim izni verilen tüzel kişiler ile gizlilik sözleşmesi yapılması gerekir.

9.2.4. Korunacak bilginin niteliği ve durumun özelliğine göre, imzalanacak gizlilik sözleşmelerinin içeriği değişebilir. Bununla birlikte hazırlanacak olan gizlilik sözleşmelerinde mutlaka aşağıda sıralanan hususların bulunması gerekir.

9.2.4.1. Korunacak bilginin tanımı,

9.2.4.2. Gizliliğin süresiz muhafaza edilmesi gereken durumlar da dahil olmak üzere anlaşma süresi,

9.2.4.3. Anlaşma sona erdiğinde yapılması gereken eylemler,

9.2.4.4. Yetkisiz bilginin açığa çıkmasını önlemek için sorumluluklar,

9.2.4.5. Bilginin sahibinin, ticari sırların ve fikri mülkiyet haklarının ve bu gizli bilgilerin nasıl korunması gerektiği,

9.2.4.6. Gizli bilgilerin kullanım izni ve bilgileri kullanmak için tarafların hakları,

9.2.4.7. Gizli bilgileri içeren faaliyetleri izleme ve denetleme hakkı,

9.2.4.8. Yetkisiz açıklama ya da gizli bilgilerin ihlal edilmesi halinde diğer tarafın bilgilendirme zorunluluğu ve bildirimin nasıl yapılacağı,

9.2.4.9. Teslim edilen bilgilerin iade veya imhasına ilişkin hükümler,

9.2.4.10. Sözleşmenin ihlali durumunda yapılması beklenen eylemler.

9.2.5. Kişisel ve kurumsal gizlilik sözleşmesi olarak;

9.2.5.1. Geçici süreli olarak çalışan yüklenici firma çalışanları, stajyerler gibi personele Personel Gizlilik Sözleşmesi imzalatılır.

9.2.5.2. Yüklenici firmalar ve diğer kurum ve kuruluşlardan Kurumsal Gizlilik Taahhütnamesi alınır.

9.2.5.3. Tüm personel, hizmetin yapılması esnasında kişisel olarak uymaları gereken bilgi güvenliği ile ilgili hususları açıklamak/hatırlatmak maksadıyla hazırlanmış olan Bilgi Güvenliği Farkındalık Bildirgesi tebliğ edilir.

9.2.6. Kişi ve kurumlar ile yapılan gizlilik sözleşmeleri, protokol ve benzeri dokümanlar, ilgili birimler tarafından yürürlük süresince ve sonrasında ilgili komisyonlar tarafından belirlenecek süreler boyunca saklanır.

9.3. Veri Aktarımı Güvenliği

9.2.1. Veri aktarımı, verilerin ilgili kişiler ya da sistemler arasında otomatik, yarı otomatik ya da manuel yöntemlerle aktarılması işlemidir. Bir bilginin e-Posta ile bir başka kişiye gönderilmesi, arayan bir kişiye telefonla bilgi verilmesi, bir bilgi sisteminden bir başka bilgi sistemine çeşitli araçlarla veri gönderilmesi işlemleri, verinin üçüncü kişilerin erişimine açılması “veri aktarma” olarak adlandırılabilir.

9.3.2. Veri aktarımı, yanlış veya yetkisiz yapılması durumunda hukuki sonuçlar doğurabilecek ve tarafları için idari veya cezai yaptırımlara neden olabilecek çok önemli bir işlemdir. Bu nedenle veri aktarım taleplerinde aşağıda sıralanan önlemlerin alınması gerekir.

9.3.3. Veri aktarımı talepleri karşılanırken, başta kişisel veriler olmak üzere hassas verilerin aktarımı için çeşitli kısıtlamalar ve yasal yaptırımlar olduğu dikkate alınır.

9.3.4. Şirket içi veya dışından bir bilgi talep edildiğinde, ilgili kişinin bu bilgilere gerçekten ihtiyacı ve erişim izni olup olmadığı çok dikkatli bir şekilde değerlendirilir. Her talebe otomatik olarak yanıt verilmez.

9.3.5. Üçüncü taraflarla ilişki kurulurken, verilerin aktarılmasını kapsayan herhangi bir veri paylaşım anlaşması veya gizlilik sözleşmesi olup olmadığı kontrol edilir. Ayrıca üçüncü kişiler ile yapılacak veri aktarım yöntemleri ile ilgili özel bir şart olup olmadığı dikkate alınır.

9.3.6. Belirlenen amaç için gerekli olandan daha fazla bilgi aktarılmaz. Aktarılacak bilginin bir paragraf veya belirli sütunlar olması durumunda, yalnızca “kolay” olduğu için istenen bilgilerin yer aldığı dokümanın veya tablonun tamamı gönderilmez.

9.3.7. İstenen amacı karşılaması halinde, gerçek veri yerine anonim hale getirilmiş verinin aktarılması tercih edilir.

9.3.8. Veri aktarımını yapacak kişi, aktarımla ilgili risklerin değerlendirilmesinden ve aktarım için en uygun yöntemin seçilmesinden sorumludur.

9.3.9. Gizli kalması gereken bilgilerin aktarımı öncesinde, alıcının kimliği ve aktarılacak veriyi işleme yetkisi olup olmadığı kontrol edilir.

9.3.10. Aktarılacak veri, kişisel veri kategorisinde ise aktarım kararı konusunda daha fazla hassasiyet gösterilir. Gerekiyorsa veriyle ilgili hizmet biriminden veya bağlı bulunulan sıralı yöneticilerden yetki alınır.

9.3.11. Aktarılacak bilgiler Özel ve Gizli gizlilik derecesinde bilgiler ise dinlemeye, kopyalamaya, bütünlüğünün bozulmasına, hedef alıcısı dışında başka kişilere yönlendirmeye ve yok edilmeye karşı korunur. Bunu sağlamak için veri/bilgiler şifrelenir, şifreli/güvenli aktarım araçları kullanılır ya da ikisinin bir arada kullanıldığı yöntemler uygulanır.

9.3.12. Aktarım için öncelikle şirketimiz kontrolünde olan kurumsal e-Posta veya taşınabilir depolama ortamları kullanılır.

9.3.13. Aktarım yapılacak hedef kişi/kurumun şirketimiz kontrolündeki sistemlere erişim izni olmaması halinde, gizli kalması gereken bilgiler uygun şekilde şifrelenmek şartıyla, diğer paylaşım ortamları kullanılarak paylaşılabilir.

9.3.14. Herkese açık bilgiler en kolay ve en düşük maliyetli yöntemle aktarılır.

9.3.15. e-Posta ile Veri Aktarımı:

9.3.15.1. Hedef kişi, şirket çalışanı ise “*@mateteknoloji.com.tr” uzantılı kurumsal e-Posta hesabı dosya aktarımı için en pratik yöntem olarak kurumsal e-Posta Sistemi tercih edilir.

9.3.15.2. Hedef adres “*@mateteknoloji.com.tr” uzantılı tüzel e-Posta adresi ise bu hesaba birden fazla kişinin ulaşabileceği dikkate alınır ve gönderme işlemi konusunda daha fazla hassasiyet gösterilir.

9.3.15.3. Halka açık e-Posta servislerinden alınan bir adres veya bir başka şirkete ait kurumsal e-Posta adresine gizli veya özel statüdeki bilgi ve evraklar gönderilmez.

9.3.16. Dosya Paylaşım Ortamları ile Veri Aktarımı:

FTP yapısı itibarıyla güvenli bir paylaşım ortamı olarak kabul edilmez ve kullanılmaz.

9.3.17. Taşınabilir Medya ile Veri Aktarımı:

9.3.17.1. Şirket taşınabilir medya kullanım politikası, Kılavuz’un 4.4 (Taşınabilir Ortam Yönetimi) maddesinde açıklandığı gibidir.

9.3.17.2. Taşınabilir medya yapısı itibarıyla çalınma, kaybolma gibi tehditlere maruz kalma ihtimali nedeniyle, başka bir aktarım yöntemi olmadığı durumlarda kullanılır.

9.3.17.3. GİZLİ ve ÖZEL gizlilik derecesindeki bilgiler taşınabilir medya ortamında şifreli olarak muhafaza edilir.

9.3.17.4. Şirket Kontrolünde Olmayan Ortamlar Üzerinden Veri Aktarımı:

9.3.17.5. Halka açık e-Posta servisleri (Hotmail, Gmail vb.), bir başka kuruma ait kurumsal e-Posta sistemleri ve halka açık bulut depolama ortamları (Google Drive, Dropbox, Apple iCloud vb.) prensip olarak güvensiz olarak kabul edilir.

9.3.17.6. Gizli kalması gereken bilgiler hiçbir şekilde bu ortamlarda tutulamaz ve aktarılamaz.

 

10. TEDARİKÇİ İLİŞKİLERİ

10.1. Mal ve Hizmet Alımları Güvenliği

10.1.1. Satın alma faaliyetine konu olan iş kapsamında; yüklenicinin yükümlülüklerini gerçekleştirmesi için yükleniciye özel koruma ihtiyacı olan veri/bilgi teslim edilmesi, ilgili şirketin fiziki alanlarında personel çalıştırılması veya şirket bilgi sistemlerine (uzaktan erişimler dâhil) erişim yapılması ihtiyacı olması halinde; satın alma için hazırlanan teknik ya da idari şartnamelere “Bilgi Güvenliği Gereksinimleri” başlığı altında asgari olarak aşağıdaki hususlar eklenir:

10.1.2.1. Yüklenici sözleşmeye konu yükümlülüklerini ifa ederken, şirket Bilgi Güvenliği politikalarına uymak zorundadır.

10.1.2.2. Şirket BGYS Politikaları uyarınca, şirkete ait bilgilerin korunması maksadıyla, yükleniciler ile “Kurumsal Gizlilik Sözleşmesi” ve söz konusu iş kapsamında çalışacak olan yüklenici personeli ile “Personel Gizlilik Sözleşmesi” imzalanır. Bahse konu dokümanların boş halleri, hazırlanan teknik veya idari şartnameye eklenir.

10.1.2.3. Anlaşma yapılacak firma ile sözleşmenin imzalanmasını takiben şirketteki yetkili makam huzurunda “Kurumsal Gizlilik Sözleşmesi” imzalanır.

10.1.2.4. “Kurumsal Gizlilik Sözleşmesi” ve ihaleye konu iş kapsamında çalıştırılacak personelin “Personel Gizlilik Sözleşmeleri” imzalanmadan ve idareye teslim edilmeden, yüklenici tarafından işe başlanamaz.

10.1.2.5. Yüklenici çalışanlarının bilgi ve bilgi işleme tesislerine erişim yetkileri, “Personel Gizlilik Sözleşmeleri” idareye teslim edildikten sonra tanımlanır.

10.1.2.6. Yapılacak iş kapsamında alt yüklenici kullanılacaksa, alt yükleniciler de yukarıda belirtilen hükümlere aynen uymak zorundadır. Yüklenici, alt yüklenicileri ve çalışanlarının gizlilik sözleşmeleri ile ilgili yükümlüklere uymasından birinci derecede sorumludur.

10.1.3. Söz konusu alım için gerekli iş tanımı ölçütleri, personel istihdam edilecekse ilgili personel özellikleri açıkça belirtilir.

10.1.4. Tedarikçinin çalıştırılacağı personelin adli sicil kayıtlarını sorgulatıp, bunları yönetime bildirmesi istenir.

10.1.5. Tedarikçilere verilen fiziksel ve mantıksal erişimler, periyodik olarak gözden geçirilir. Hassasiyet arz eden erişimler için yönetim onayı alınır. Olası güvenlik zafiyetlerinin engellenmesi için yüklenici personeline verilen yetkiler periyodik olarak kontrol edilir. İhtiyacın bitmesi durumunda, verilen yetkiler kaldırılır. Personelin kurumla ilişiği kesilir kesilmez, erişim yetkileri de kapatılır.

10.1.6. Anlaşmalar gereği, tedarikçilerce üretilen hizmet raporları düzenli olarak gözden geçirilir ve proje ilerleme toplantıları yapılır.

10.1.7. Tedarikçilere verilen fiziksel ve mantıksal erişimler, periyodik olarak gözden geçirilir.  Hassasiyet arz eden erişimler için yönetim onayı alınır. Olası güvenlik zafiyetlerinin engellenmesi için yüklenici personeline verilen yetkiler periyodik olarak kontrol edilir. İhtiyacın bitmesi durumunda, verilen yetkiler kaldırılır. Personelin kurumla ilişiği kesilir kesilmez, erişim yetkileri de kapatılır.

 

11. BİLGİ GÜVENLİĞİ İHLAL OLAYI YÖNETİMİ

11.1. İhlal Bildirimi ve Olay Yönetimi

11.1.1. Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumları bilgi güveni ihlali olarak tanımlanabilir. Tespit edilen her türlü bilgi güvenliği ihlal olayı için “Olay Bildirim/müdahale Formu” ile BGYS komitesine bildirim yapılır.

11.1.2. “Olay Bildirim/müdahale Formu” ile bildirilen tüm ihlal olaylarının süreç ve sonuçları BGYS Birimi tarafından takip edilir.

11.1.3. “Olay Bildirim/müdahale Formu” ile bildirilen olay türleri ve açıklamaları şu şekildedir:

11.1.3.1. Servis Dışı Bırakma Saldırısı (DoS/DDoS): Saldırının amacı hedef alınan sistemi hizmet veremeyecek hale getirecek yöntemlerle, ilgili servisi hizmet dışı bırakmaktır. Kullanılan temel yöntem, ilgili hizmet servisine olağan dışı miktarda (çok sayıda) paket gönderip, engellemektir.

11.1.3.2. Bilgi Sızdırma (Data Leakage): Şirketin ürettiği, kullandığı ya da işlediği verilerin bilinçli veya bilinçsiz olarak yanlış hedefe gönderilmesi, çalınması ve/veya sızdırılmasıdır.

11.1.3.3. Zararlı Yazılım (Malware): Her türlü bilgi işleme yapabilen sistemlere zarar vermek, veri çalmak ve/veya yok etmek için üretilen yazılımlardır.

11.1.3.4. Sahtecilik (Fraud): Daha çok finansal sistemlerde karşılaşılan, aldatma amacı ile yapılan kasıtlı eylemlerdir.

11.1.3.5. Port Tarama: Ağa bağlı olarak çalışan aktif cihazlarda çalışan servislerin varlığını tespit etmek, bilgi toplamak ve tespit edilecek zafiyetler ile zararlı bir işlem yapma amacı ile gerçekleştirilen eylemlerdir.

11.1.3.6. Sosyal Mühendislik: Kişilerin zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye yönelik teknikler içerir.

11.1.3.7. Veri Kaybı/İfşası: Gizli bilgilerin e-Posta aracılığı ile iletimi, ağ üzerinden iletilen bilgilerin yetkisiz ya da yanlış alıcıya iletimi, internet üzerinden güvenli olmayan kanallar aracılığıyla veri iletimi, ortak kullanılan yazıcılarından alınan çıktıların sahiplenilmemesi ya da güvenliğine önem verilmemesi, masaüstü ya da ortak alanlarda basılı kopyaların denetimsiz bırakılması vb. durumları ifade eder.

11.1.3.8. Zararlı Elektronik Posta (SPAM): Kişinin bilgisi ve talebi dışında, ticari içerikli veya politik bir görüşün propagandasını yapmak ya da bir konu hakkında kamuoyu oluşturmak amacı ile gönderilen e-Posta iletileridir.

11.1.3.9. Parola Ele Geçirme: Depolanmaması gereken bir yerde depolanan parolaların herhangi bir saldırı yöntemi ile ele geçirilmesidir.

11.1.3.10. Taşınır Cihaz Kaybı: CD/DVD, DAT (manyetik ses bandı), veri depolamak için kullanılan USB taşınabilir bellekler, Harici Sabit Disk sürücüleri gibi taşınabilir cihazlar ve her türlü bilgi işleme yapabilen cihazlar (bilgisayar, akıllı telefon, tablet v.s)’ın kaybedilmesi veya çalınması durumunu ifade eder.

11.1.3.11. Kimlik Taklidi: Kişilerin fiziksel, telefon ya da dijital ortamda olmadığı bir kişi gibi davranıp, onun yetkilerini bilgisi dışında kullanmasıdır.

11.1.3.12. Oltalama: Saldırgan kişilerin, kurumsal/bireysel kişilere e-Posta göndererek, kritik bilgilerini ele geçirme ve/veya bu bilgileri paylaşmaları konusunda kandırmaya yönelik olan saldırı türüdür.

11.1.3.13. Kişisel Bilgilerin Kötüye Kullanımı: Kişisel verilerin işlenmesine ilişkin süreçlerde 6698 sayılı Kanun’da yer alan usul ve esaslara uygunluk sağlanmalıdır. Kişisel verilerin işlenmesinde, 6698 sayılı Kanun’da yer alan genel ilkeler göz önünde bulundurulmalıdır. Kişisel verilerin hukuka aykırı işlenmesi ve aktarılması hâlinde; hukuki, idari ve cezai yaptırımlarla karşı karşıya kalınabilir.

11.2. Kanıt Toplama

11.2.1. Delillerin değişmesini, bozulmasını önlemek ve delilleri korumak amacıyla olay yerinin güvenliği sağlanır. Olay yerine girişler kontrol altına alınır. Yetkisiz girişlere izin verilmez. Olay yerinden çıkış yapan kişilerin üzerinde adli delil oluşturabilecek materyal olup olmadığı kontrol edilir.

11.2.2. Delil niteliği taşıyan tüm materyaller açıklayıcı bilgi içerecek şekilde etiketlenir. Bilgisayara bağlı tüm bağlantılar, bağlantı noktasını gösterecek şekilde etiketlenir ve sistem bağlı olduğu ağdan ayrılmaz.

11.2.3. Bilgisayara bağlı olan cihazlar tespit edilerek, sökülmeden önce etiketlenir.

11.2.4. Olay yerindeki bilgisayar kapalı ise kesinlikle açılmaz.

11.2.5. Bilgisayar açık ise ekranının fotoğrafı çekilir ve üzerinde çalışan programlar kayıt altına alınır. Bilgisayarın sistem tarih ve zaman bilgileri ve inceleme esnasındaki gerçek tarih ve zaman bilgisi kaydedilir. Yapılan işlemlerde, her aşamada ayrı ayrı kayıt tutulur. İşlemlerin kimin tarafından yapıldığı ve kullanılan yazılım ve donanım bilgileri kayıt altına alınır.

11.2.6. Değişme olasılığı yüksek olan dijital deliller, öncelikli olarak ele alınır. Bilgisayarın kapatılması veya yeniden başlatılması uçucu delillerin kaybolmasına sebep olacaktır. Bu nedenle veri kayıt işlemlerine, bellek ve ön bellekte bulunan uçucu verilerin kopyalanması ile başlanır. Bu işlem yapılmadan hiçbir şekilde bilgisayarın kapatılmaması gerekir.

11.2.7. Bilgisayar kapatıldığında, sistem yapılandırma dosyaları ve geçici dosya sistemleri değişebilir. Bilgisayarın kapatılması delil bütünlüğünü bozar ve delili değiştirebilir. Olay yerindeki kapalı bir bilgisayarı açmak da yine aynı şekilde delillere zarar verebilir. Delillerin zarar görmemesi için veri toplama ve kayıt işlemlerinin ilgili teknik uzmanlar tarafından “canlı analiz” şeklinde yapılması gerekir. Şirkette bu seviyede personel yoksa dışarıdan hizmet alınır.

11.2.8. Bilgisayarın dijital imza (hash) değeri alınır. İmajların gizliliği, erişilebilirliği ve bütünlüğü sağlanır. Kopya alma (imaj) işlemi dışında kesinlikle orijinal delile dokunulmaması gerekir. Deliller toplanıp, birebir kopyası (imajı) alınmadan, delil analiz işlemlerine başlanmaz. İmaj alma işlemi de bir tutanak ile kayıt altına alınır. İmajın hangi yazılım veya araç ile alındığı mutlaka tutanağa yazılır.

11.2.9. Yedeklenecek diskin hafızası şüpheli bilgisayar diskinden büyük olur.

11.2.10. Silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifrelerinin çözülmesi için tüm dosyalar analiz edilir. Elde edilen deliller, programlar vasıtası ile incelenir. Gerekiyorsa şifre çözme yöntemleri kullanılır.

11.2.11. Olay yerindeki dijital delillerin bütünlüğünün bozulmaması için uygun koşullarda muhafaza edilmesi gerekir. Hassas veri depolama birimlerinin taşınmasına özen gösterilir. Taşınma esnasındaki fiziksel darbelere karşı korunur. Toplanan delillerin taşınma öncesi taşınacağı ünitelerde, mutlaka etiketlenmesi ve kayıt altına alınması gerekir. Birden fazla dijital delile müdahale edildiğinde, her birim dahil olduğu sistem ile paketlenir. (Bilgisayar-Klavye-Fare gibi)

11.2.12. Dijital delil mutlaka tutanak ile teslim edilir. Tutanağa yazılan hash değeri kontrol edilir. Dijital delil raporu kolluk kuvvetlerine teslim edilirken raporda, delilleri kimlerin topladığı, deliller üzerinde hangi işlemlerin yapıldığı, hangi yazılım veya donanımların kullanıldığı, işlemin yapıldığı zaman, delilin üzerindeki zaman bilgisi gibi bilgiler de kayıt altına alınarak raporda açık bir şekilde belirtilir.

11.2.13. Doğruluğu ve güvenilirliği kabul edilmiş yazılım ve donanımlar kullanılır.

 

12. İŞ SÜREKLİLİĞİ YÖNETİMİ

12.1. İş Sürekliliği Genel Yaklaşımı

12.1.1. İş sürekliliği; şirketin vermekte olduğu kritik bilişim hizmetlerinin sunumuna kesintisiz bir şekilde devam etmesi veya türü ve nedeni ne olursa olsun, herhangi bir kesinti ya da olay durumunda, önceden belirlenmiş kritik iş süreçlerini, önceden tanımlanmış kabul edilebilir seviyede sunma yeteneğini sağlayan yöntemdir. Kurum iş süreçlerinde hizmet sürekliliği yeteneğini; etkin bir risk yönetimi, öncelikli hizmetlerini kesintiye uğratabilecek olayların tanımlanması, bu olayların bertaraf edilmesi için gerekli tedbirlerin alınması, olay anında ve sonrasında kritik hizmetlerin en hızlı ve etkin nasıl ayağa kaldırılacağının senaryolarla planlanması ve bu senaryoların tatbikatlarla test edilmesi ile elde eder.

12.1.2. İş sürekliliği kurma nedenleri; hizmet sürekliliğini sağlamak ve kesintilere yeterli şekilde yanıt verme kabiliyetini kazanmak olabileceği gibi yasa, yönetmelik ve sözleşmelerden kaynaklanan sorumlulukları yerine getirmek de olabilir.

12.1.3. Etkin bir bilgi güvenliği iş sürekliliği sistemi kurulduğunda şirketin şu çıktıları elde etmesi beklenir;

- Kritik süreç ve varlıkların hizmet sürekliliğinin sağlanması,

- Dokümante edilmiş ve tatbikatlarla test edilmiş bir olay/kriz yönetim kabiliyeti,

- Hizmet verdiği ve/veya yükümlü olduğu paydaşlarının gereksinimlerini anlamış ve bu gereksinimlere cevap verecek iş süreçlerinin kurulmuş olması.

12.1.4. Kritik iş sürekliliği yönetimi sadece iş sürekliliği planı hazırlanması, yedekleme yapılması, felaket merkezi oluşturulması, prosedürler, detaylı talimatlar oluşturulması değil; bunların bütünleşik olarak hizmet sürekliliğinin iyileştirilmesi amacıyla uygulanmasıdır.

12.1.5. İş sürekliliği planları, verilen hizmetleri önceliklendirme, olası tehdit ve zafiyetleri değerlendirerek gerekli önlemleri almak suretiyle hizmet sürekliliğini sağlama, hizmetlerin kesintiye uğramasına neden olan olaylara önceden tanımlanmış senaryolarla müdahale etme, süreçleri onarma ve planlı olarak yeniden başlatma konularında kılavuzluk yapan dokümante prosedürlerdir.

12.1.6. İş sürekliliği planları, felaket kurtarma çözümleri değil, felaketin olumsuz sonuçlarının oluşmasını önlemeye odaklanan eylem planlarıdır. Felaket kurtarma senaryoları iş sürekliliği planlarının bir parçasıdır. Felaket kurtarma çözümleri, felaket sonrasında verilerin kurtarılmasına odaklanırken, iş sürekliliği çözümleri, hem verilerin erişilebilirliğini gözetir hem de kurumun felaket sonrasında en hızlı

şekilde yeniden hizmet verebilmesine odaklanır.

12.2. İş Sürekliliği Adımları

12.2.1. Kurumsal iş sürekliliği yönetim sisteminin kurulması ve işletilmesi için öncelikle iş sürekliliği kapsamının belirlenmesi gerekir. Bunun için ilk adım kritik iş süreçlerinin çıkarılması ve önceliklendirilmesidir. İş sürekliliği kapsamı bu şekilde oluşturulur.

12.2.2. Kapsam belirlendikten sonra bu iş süreçlerine ilişkin mevcut durum analizi yapılır. Mevcut durum analizinde kurumun kritik iş süreçlerinin fotoğrafı çekilir. Yürütülen bu hizmetleri kesintiye uğratabilecek tehditler var mı, bu tehditlerle ilgili süreçte zayıf noktalar var mı gibi hususlar incelenir ve detaylı analiz edilir.

Başarılı bir mevcut durum analizi için kurumsal risk yönetimi sürecinin şirket kültürü olarak benimsenmiş, risk haritaları çıkarılmış ve kurumsal kabul edilebilir risk seviyesi belirlenmiş olmalıdır.

12.2.3. İş sürekliliğinin kapsamının belirlenip, mevcut durum analizi yapıldıktan sonra, hangi iş sürecinin kesintisiz hizmet verebilmesi için hangi kaynaklara ihtiyaç olduğunun dokümante edilmesi ile kaynak planlaması ortaya koyulur.

12.2.4. Her başarılı süreç yönetiminde olması gerektiği gibi iş sürekliliği süreci için roller ve sorumluluklar atanır.

12.2.5. Atanmış olan sorumlular tarafından hizmetleri kesintiye uğratabilecek olumsuz senaryolar tatbikatlarla test edilir, sonuçlar değerlendirilir, varsa aksaklıklar giderilir ve sürekli takip edilir.

12.2.6. Kritik Varlıkların / Süreçlerin Tanımlanması

12.2.6.1. Şirket tarafından gerçekleştirilen tüm iş süreçleri önemli kabul edilirken, bir olay meydana gelmesi durumunda, şirket mevcudiyeti ve itibarı açısından kritik önem taşıyan süreçlerin ayağa kaldırılmasına öncelik verilir. İş sürekliliği yönetimi için öncelikle kritik iş süreçlerinin ve bu süreçlerde kullanılan sistemlerin belirlenmesi ve listesinin oluşturulması gerekir.

12.2.6.2. Yürütülen iş, işlem ve sürecin kritik olabilmesi için aşağıda belirlenen durumlardan en az birine uygun olması gerekir;

12.2.6.2.1. İş sürecinin kesintiye uğraması ya da yavaşlaması durumunda şirket için yasal, finansal, operasyonel ve benzeri büyük riskler oluşur.

12.2.6.2.2. İş sürecinin etkilediği ya da etkilendiği sistem ya da paydaşlar, stratejik olarak önemli ya da geniş kitlelerdir.

12.2.6.3. Kritik varlıklar / süreçler belirlenirken;

12.2.6.3.1. Süreç ile ilgili iç ve dış yükümlülükler,

12.2.6.3.2. Yasal ve düzenleme amaçlı atanan sorumluluklar,

12.2.6.3.3. Protokollerle anlaşmaya varılmış hizmet zorunlulukları,

12.2.6.3.4. Hizmetin sürdürülmesinde başarısız olunması durumunda sonuçlarının ne büyüklükte olacağı gibi hususlar dikkate alınarak İş Sürekliliği Formları arasında yer alan “Kritik Süreçler / Varlıklar Listesi” oluşturulur ve iş sürekliliği kapsamı belirlenir.

12.2.6.4. Kritik iş süreçlerinin tanımlanmasında yararlanılacak ve kritik süreçler /varlıklar listesi ile ilişkilendirilecek dokümanlar;

12.2.6.4.1. Tedarikçiler ile yapılan sözleşmeler,

12.2.6.4.2. Şirketten beklenen kritik hizmetlerin sağlanmasını destekleyen tüm iş süreçlerinin / faaliyetlerin envanteridir.

12.2.7. Mevcut Durum Analizi

12.2.7.1. Kritik iş süreçlerinin sürekliliğinin sağlanmasına ilişkin gerekli olan koşulların ortaya koyulduğu ve iş sürekliliğine engel olabilecek olası tehditlerin tespit edildiği aşamadır.

12.2.7.2. İş etki analizleri ve risk işleme çalışmalarının değerlendirilmesi ile mevcut durum ortaya koyulur.

12.2.7.3. İş etki analizi, iş kesintisine neden olabilecek durumlar ve bunların etkilerinin değerlendirilmesidir. Kesintiye neden olabilecek durumlar, darboğazlar, zafiyetler göz önüne alınarak süreçlerin kapsamlı bir fotoğrafı çekilir, sınıflandırılır (az önemliden en önemliye doğru sıralanır) ve buna yönelik olarak risk işleme çalışmaları yapılır.

12.2.7.4. İş sürekliliğinin temelinde risk yönetimi vardır. İş etki analizinden edinilen bilgilere göre kesintiye yol açabilecek olayların riskleri tanımlanır. Risk yönetimi, iş etki analizleri ile ilişkilendirilmiş risk değerlendirme raporunun hazırlanması vb. süreçler Kılavuz’un 5.3 (Risk Yönetimi) maddesinde açıklanmıştır. İş sürekliliği için planlama yapılırken kurumsal risk yönetimi dikkate alınır.

12.2.7.5. İş etki analizleri ve risk değerlendirme çalışmaları neticesinde; kritik iş süreçlerine yönelik tehditler, zafiyetler, olasılıklar ve alınacak önlemler ile mevcut durum analizi ortaya koyulur.

12.2.8. Kaynak Planlaması

12.2.8.1. Kritik iş süreçlerinin en temel fonksiyonlarının, en az veri kaybı ile en kısa sürede tekrar hizmet verebilir duruma getirilmesinin sağlanması için hangi kaynaklara ne kadar ihtiyaç duyulduğunun ve bu kaynakların maliyetinin çıkarılması gerekir.

12.2.8.2. Kaynak planlaması yapılırken o işin sürekliliğinin sağlanması için ihtiyaç duyulan tüm mali kaynaklar, teknoloji, alt yapı, tedarik edilecek malzemeler, bina, ulaşım ve benzeri kaynak tipleri ve tanımlanmış yetkinlikleri ile beraber personel detaylı olarak belirlenir ve İş Sürekliliği Formları içinde örneği yer alan “Kaynak İhtiyaç Listesi” oluşturulur.

12.2.8.3. İş sürekliliği kaynak ihtiyaç listesi, 24 saat – 72 saat – 1 hafta gibi iş kurtarma fazları için ayrı ayrı detaylı olarak oluşturulabilir. 24 saat fazında en temel ihtiyaçlar planlanırken, devam eden fazlarda daha detaylı ihtiyaç duyulacak kaynaklar belirtilebilir.

12.2.8.4. Kaynak planlarken kriz yönetim merkezi olarak kullanılabilecek 7X24 kullanıma uygun, internet bağlantısı, telefon/mobil telefon, taşınabilir bilgisayar, projeksiyon cihazı, muhtelif kırtasiye donanım ve imkanlarının hazır bulundurulduğu kriz yönetim merkezinin de belirlenerek kararının alınması gerekir.

12.2.9. Roller ve Sorumluluklar

İş sürekliliği süreçlerinin standartlara uygun ve etkin şekilde işletilebilmesi BGYS komisyonu oluşturulur.

12.2.9.1. Üst Yönetim;

12.2.9.1.1. Üst Yönetim kritik iş süreçlerinin sürekliliğinin sağlanmasından birinci derecede sorumludur.

12.2.9.1.2. Bilgi güvenliği komisyonu tarafından belirlenen iş sürekliliği hedeflerini onaylar.

12.2.9.1.3. İş sürekliliğinde yer alacak personelin görev yetki ve sorumluluklarını belirler.

12.2.9.1.4. Kritik iş süreçlerinin, iş sürekliliği gereksinimlerini ve iş ihtiyaçlarını belirler veya görevlendirmiş olduğu personel tarafından belirlenmesini sağlar.

12.2.9.1.5. Belirlenen kaynakların sağlanmasını taahhüt eder.

12.2.9.1.6. İş sürekliliğinin sağlanması için sürekli test ve tatbikatları destekler ve bunun için gerekli faaliyetlerin gerçekleştirilmesini sağlar ve kontrol eder.

12.2.9.1.7. İş sürekliliği hedeflerini, rol ve sorumlulukları, iş sürekliliği taahhüdünün bulunduğu iş sürekliliği politikasını oluşturur ve yayımlar.

12.2.9.2. İş Sürekliliği Koordinatörü;

12.2.9.2.1. Bilgi güvenliği komisyonu başkanı aynı zamanda kurumun iş sürekliliği koordinatörü olarak görev yapar.

12.2.9.2.2. Felaket ya da kesintiye neden olan büyük çaplı olayların nasıl yönetileceği ve verilen hizmet ve faaliyetlerin belirlenen sürelerde nasıl geri döndürüleceğini tanımlayan İş Sürekliliği Planlarının oluşturulmasından ve işletilmesinden sorumludur.

12.2.9.2.3. Şirketin bağlı olduğu güncel mevzuat, yasa, yönetmelik ve sözleşmelerden doğan yaptırım ve yükümlülükleri takip ederek İş Sürekliliği Planlarının güncellenmesini sağlar.

12.2.9.2.4. İş sürekliliği planlarının test edilmesi için tatbikatlar düzenler, kayıt altına alınmasını sağlar.

12.2.9.2.5. İş sürekliliğini etkileyecek ya da iş sürekliliğinden etkilenebilecek taraflarla iletişimi sağlar.

12.2.9.2.6. İş sürekliliğinin sağlanabilmesi için plan uygulama sorumluları ve iş kurtarma ekiplerinin görev dağılımını belirler ve ekiplerin yetkinliğini arttırmak amacıyla iş sürekliliği eğitimlerini planlar.

12.2.9.2.7. Planın devreye alınması ve hasar onarımı sonrası normal çalışma durumuna geri dönülmesi kararlarını verir.

12.2.9.3. Plan Uygulama Sorumluları;

12.2.9.3.1. Şirket organizasyon şemasındaki ilgili yöneticiler ve onların atadıkları sorumlulardan oluşur.

12.2.9.3.2. Planın uygulanmasında, İş Sürekliliği Koordinatörü tarafından verilen görevlerin gerçekleştirilmesinden sorumludur.

12.2.9.3.3. Acil ve beklenmedik bir durumla karşılaşıldığında kendisine bağlı personeli koordine eder. İş sürekliliği koordinatörüne bilgi akışını sağlar.

12.2.9.3.4. İş sürekliliği planının uygulanması için ilgili iş sürecinden sorumlu olan personel ve yedeklerinin yer aldığı iş kurtarma ekiplerini oluşturur.

12.2.9.3.5. Yedekten geri dönme işlemleri, ağ konfigürasyonunun restorasyonu, iş uygulamalarının sunucular üzerine kurulum ve konfigürasyonu gibi süreçlerin gerçekleştirilmesinden sorumludur.

12.2.9.3.6. Plan uygulama sorumlularının vermiş olduğu işlerden sorumludur.

12.2.9.4. Genel Sorumluluklar;

12.2.9.4.1. Hizmetlerin erişilebilirliğinin sağlanması için planlamalar doğru bir şekilde yapılır.

12.2.9.4.2. Hizmetlerin erişilebilirlik ve sınıflandırma ile ilgili gereksinimleri hizmet sahipleri tarafından belirlenir.

12.2.9.4.3. Kritik iş süreçlerinde yer alan personel, iş sürekliliği planlarında belirtilen görevleri yerine getirmekle ve iş süreklilik tatbikatlarına katılmakla sorumludur.

12.3. İş Sürekliliği Stratejisi Belirleme

12.3.1. İş sürekliliği planları geliştirilirken; kritik hizmetleri sunan ve bu hizmetlerden faydalanan/faydalanacak iç ve dış paydaşların ihtiyaç ve gereksinimleri, toplantı veya anket gibi çalışmalar ile analiz edilir. Analizler için İş Sürekliliği Formları içinde örneği yer alan “Kritik Varlık/Süreç

Analiz Formu” kullanılır. Anket veya toplantılardan elde edilecek sonuçlarda asgari olarak aşağıdaki soruların yanıtları elde edilmelidir;

12.3.1.1. İşin yürütülmesi için ihtiyaç duyulan yazılım, donanım ve diğer teknolojik bileşenler ve bilgi işlem araçları nelerdir? Ekipman ve sistem gereklilikleri nelerdir? Bu aşamada “İş Sürekliliği Kaynak İhtiyaç Listesi” kesinleştirilir.

12.3.1.2. Özel sözleşme ya da yasa ve mevzuatlara bağlı olarak yerine getirilmesi gereken minimum yükümlülükler nelerdir?

12.3.1.3. Sürecin çıktısı olan hizmetin kullanıcıları kimlerdir?

12.3.1.4. Hizmet sürekliliğinin sağlanması için bağımlı olunan hizmetler, iş sürekliliğini etkileyebilecek dâhili ve harici taraflar kimler/nelerdir? Sürecin iş sürekliliğinin sağlanması için hangi sistemlere sürekli erişim gereklidir?

12.3.1.5. Elektronik verilerin korunması nasıl sağlanmaktadır? Bu veriler korunamazsa nasıl sonuçlar ortaya çıkar? İlgili veriler sürekli erişim için gerekli midir?

12.3.1.6. Personelin temel yeterlilik seviyesi nedir? Herhangi bir felaket durumunda başka birimlerden/dış kaynaklardan personel alınması mümkün müdür? Mümkünse hangi birim ya da kaynaklarla iş birliği yapılabilir?

12.3.2. Bu aşamada ayrıca iş sürekliliğine engel olabilecek felaket senaryoları oluşturulur ve bu senaryolara nasıl müdahale edileceği yani kurtarma operasyonlarının (nerede yönetilecek, kim yönetecek ve kime raporlayacak) nasıl yönetileceği belirlenir. Kurtarma öncelikleri ve kurtarma zaman hedefleri, müdahale eylem planları ve sorumluları İş Sürekliliği Formları içinde yer alan “İş Kurtarma Planı” örneğinde olduğu gibi detaylı olarak dokümante edilir.

12.3.3. İş sürekliliği planları; varlık envanteri, bilgi sınıflandırma, bilgi aktarımı, yedekleme, kapasite yönetimi, varlıkların kabul edilebilir kullanımı, risk yönetimi, yasal gereksinimler ve standartlara uyum, konfigürasyon ve değişim yönetimi, fiziksel ve çevresel güvenlik gibi operasyonel faaliyetlerde kullanılan bilgi güvenliği dokümanları göz önüne alınarak hazırlanmalıdır.

 

 

12.4. İş Sürekliliği Planı Oluşturma

12.4.1. Bu bölümde şu ana kadar anlatılan tüm bilgiler; iş sürekliliği planı oluşturulması için idarenin “hangi süreçler kritik, bu süreçlerin sürekliliğini sağlamak için yasa, mevzuat ve sözleşmelerden doğan zorunluluklar neler, iş sürekliliğini tehdit edebilecek unsurlar neler olabilir ve bu tehditleri bertaraf etmek için nasıl hazırlık yapılmalı” gibi durumları analiz ettiği ve iş sürekliliği planını desteklemek için dokümantasyon oluşturduğu süreçleri içerir.

12.4.2. İş sürekliliği planları; kesinti anında bütün ihtiyaç duyulabilecek gereksinimlerin tanımlı olduğu ve ilgili tüm taraflar tarafından bilinen ve uygulanması sırasında karmaşaya neden olmayacak şeklinde hazırlanır. İş sürekliliği planları aşağıdaki içeriğe sahip olmalıdır;

• Amaç ve kapsam,

• İş sürekliliği hedefleri,

• Planın hangi koşullarda hayata geçirileceği,

• Olağanüstü durumda kurtarma çalışmalarında kimlerin görev alacağı ve hangi kurtarma adımlarını gerçekleştireceği,

• Olağanüstü durumlarda, gerek organizasyon için gerekse organizasyon dışında iletişime geçilecek kişi ve kurumlar, aynı zamanda iletişimin nasıl sağlanacağı bilgisi,

•  İç ve dış bağımlılıklar,

• Planın hayata geçirilmesi için gerekli olan kaynaklar,

• Tanımlanmış iletişim adımları.

12.4.3. İş sürekliliği planının, dokümante edilmiş tüm liste ve formların (kritik varlıklar/süreçler listesi, kaynak ihtiyaç listesi, acil durum iletişim listesi, süreç analiz formu vb.) genel çerçevesini sunan tek bir ana doküman olarak hazırlanması, planın amacının, kapsamının ve hedeflerinin uygulayıcılar tarafından daha anlaşılır olmasını sağlar.

12.4.4. İş sürekliliği planlarında;

12.4.4.1. İş sürekliliği planında acil veya olağanüstü durumların neler olduğunun ve “acil ve normal” seviyelerin neler olduğunun tanımlanmış olması gerekir.

12.4.4.2. Herhangi bir olağanüstü durum anında iş sürekliliği planında yazılı olan faaliyetleri gerçekleştirecek olan kişilerin rolleri, sorumlukları ve yetkileri önceden belirlenmiş ve tanımlı olmalıdır.

12.4.4.3. Yapılan olağanüstü durum tanımları uyarınca, iş sürekliliği planının hangi koşullarda aktive edilmesi gerektiği ve rol bazında yapılması gerekenlerin belirlenmiş olması gerekir.

12.4.4.4. Olağanüstü durumun sona ermesi sonrasında iş süreçlerinin olağanüstü durum öncesine dönmesi için yapılması gerekenlerin tanımlanması gerekir.

12.4.4.5. Olağanüstü durumun olağan çalışma ortamını kullanılamaz hale getirmesi durumunda alternatif çalışma lokasyonları ve kriz merkezi planlamasının yapılması gerekir.

12.4.4.6. İş sürekliliği ekibinde bulunan çalışanların iletişim bilgileri (telefon, e-Posta, adres), kendilerine ulaşılamadığı durumlarda alternatif olarak kullanılacak iletişim bilgilerine nasıl ulaşılacağının plana dahil edilmesi gerekir.

12.4.4.7. Olağanüstü durum ile ilgili medya ve kamu bilgilendirmesinin nasıl yapılacağına ilişkin kurumsal iletişim stratejisinin de planda yer alması gerekir.

12.4.5. Kritik iş sürekliliği yönetimi, bütünleşik olarak hizmet sürekliliğinin iyileştirilmesi amacıyla uygulanır. Bir yönetim sistemi mantığı ile işletilmesi gerekir. Bu nedenle bu süreç önceden hazırlanması ve sürekli gözden geçirilmesi gereken bir takım dokümanlarla desteklenmelidir. İş sürekliliği dokümanları;

12.4.5.1. Bilgi güvenliği tehdit listesi ve ihlal olayları olay müdahale süreç dokümanları,

12.4.5.2. Kritik varlıklar / süreçler listesi,

12.4.5.3. Kaynak ihtiyaç listesi,

12.4.5.4. Kritik tedarikçiler, acil durum ilk müdahale ekip üyeleri ve yedeklerinin yer aldığı acil durum iletişim listesi,

12.4.5.5. Uzmanlık, yetkinlikler ve tanımlanmış sorumlulukları ile iş sürekliliğinin sağlanmasından sorumlu personel ve yedeğinin yer aldığı iş telefonu, ev telefonu, cep telefonu, iş ve kişisel e-Postası ve normal iletişimin kullanılamayacağı durumlarda irtibat kurmanın yollarını içeren acil durum iletişim listesi,

12.4.5.6. Felaket sonrası kritik faaliyetler için kurtarma sırası (acil veya olağanüstü durum yönetimi (kurtarma), devam etme ve normale dönüş) içeren olay müdahale planları, tatbikat ve testlerin kayıtları,

12.4.5.7. Sistem kapasitesi ve eşik değerlerin izlenme raporları,

12.4.5.8. Kritik hizmetin sürdürülmesine destek olan altyapı envanteri (donanım, yazılım, teknik ekipmanlar, sunucular, veri tabanları, internet vb.) ve yedekleme planları

12.4.5.9. Tatbikat test uygulama formu,

12.4.5.10. İş süreklilik planı sonrası yapılan değerlendirme formu.

12.5. İş Sürekliliği Planlarını Tatbikatlar ile Test Etme

12.5.1. Tatbikatlar öngörülen risklere karşı hazırlık seviyesinin ölçüldüğü aktivitelerdir. Kapsamlı bir hazırlık süreci gerektirir aksi halde ciddi kesintilerin yaşandığı olumsuz durumlar ile karşılaşılabilir.

12.5.2. Tatbikat türleri maliyet, zaman, karmaşıklık, efor ve normal operasyonda oluşacak kesintiler açısından farklı özelliklere sahiptir.

12.5.3. Tatbikat türleri ve açıklamaları Tablo-1’de verilmiştir.

 

Tatbikat Türü

Tanım

Kavramsal tatbikat

İş sürekliliği planı ve ilgili dokümantasyonun gözden geçirilmesidir.

Detaylı kavramsal tatbikat

Kavramsal tatbikatın daha detaylı olarak yerine getirilmesidir. Bu tatbikat türünde planda yer alan her

adımın üzerinden geçilerek eksiklikler tespit edilmeye çalışılır.

Simülasyon

 

Bu tatbikat türünde örnek bir olay üzerinden iş sürekliliği planı çalıştırılır. Tatbikat sırasında süreç veya sistemlerde herhangi bir kesinti gerçekleştirilmez. İş sürekliliği planı kesinti gerçekleşmiş gibi düşünülerek çalıştırılır ve tatbikatı yapılır.

Bileşen veya servis tatbikatı

İş süreçlerinin bir kısmı için gerçekleştirilir. İş süreçlerinde kesintiye neden olabilecek bir olay gerçekleştirilir ve süreç tekrar çalışır hale getirilir. Bu tatbikat çalışan bir sistem üzerinde gerçekleştirildiğinden, kurumun acil durum tatbikatı kapsamında olmayan operasyonunu aksatmayacak biçimde planlanması gereklidir.

Tam tatbikat

İş sürekliliği planının tamamının test edilmesidir. Tam tatbikat kurum süreçlerinin felaketten kurtarma merkezinde tekrar çalıştırılmasını da kapsayan detaylı bir tatbikattır.

               Tablo-1 Tatbikat Türleri

 

12.5.4. İş sürekliliği tatbikatları; tatbikata hazırlık, tatbikatın gerçekleştirilmesi ve tatbikatın değerlendirmesi olmak üzere üç adımda gerçekleştirilir.

12.5.5. Tatbikata hazırlık: Varsa daha önce gerçekleştirilen tatbikat planları ve sonuçları incelenir. Tatbikat zamanı, senaryosu, değerlendirme ölçütleri ortaya koyulur. Tatbikat riskleri değerlendirilir ve tatbikat programı yapılır. İş Sürekliliği Formları içinde yer alan Tatbikat Test Uygulama Formu, yapılacak

tatbikata özgü ihtiyaçlara göre özelleştirilmek suretiyle kullanılabilir.

12.5.6. Tatbikatın gerçekleştirilmesi: Tatbikatlar bir önceki adımda hazırlanan plana uygun olarak icra edilir. Tatbikat kanıtları kayıt altına alınır. Tatbikatın bitmesi sonrasında ilgili taraflar ve katılımcılar bilgilendirilir.

12.5.7. Tatbikatın değerlendirilmesi: Tatbikat bulguları incelenerek tatbikat değerlendirme raporu hazırlanır. Varsa yaşanan sıkıntılar, iş sürekliliğinde görev alan personelin performansı, kullanılan kaynak ve ortamın yeterliliği gibi hususlar raporda belirtilir.

12.5.8. Sürekli iyileştirmenin sağlanması için planlar belirli sıklıkla tatbikatlar ile test edilir. Planların test edilme sıklığı planlarda belirtilmelidir.

12.5.9. Tatbikatlardan elde edilen bulgular, kurumların bilgi güvenliği dokümantasyonuna ve bir sonraki eğitime dâhil edilir.

12.5.10. Tatbikat sonuçlarına göre planlar tekrar gözden geçirilir, gerekiyorsa düzeltici faaliyet planlanır, ihlal olayları müdahale süreçleri ve risk çalışmalarına yansımaları değerlendirilir.

 

13. UYUM

13.1. Yasal Gereksinimlere Uyum

13.1.1. Yönetim, ilgili tüm kanuni yasal, düzenleyici, sözleşmeye dayalı şartlar ve bu gereksinimleri karşılama yaklaşımını açıkça tanımlamak, yasal düzenlemelerin gerekliliklerine uyum için talimat ya da prosedürleri yayımlamak ve güncel tutmakla sorumludur.

13.1.2. Şirket için makul güvenlik tedbirlerinin alınması, yalnızca siber olaylara ilişkin tedbirlerin alınması olarak algılanmamalıdır. Yasal yükümlülükleri ihmal ya da ihlal davaları, cezalar veya olumsuz medya haberlerinin de kurumsal imajı ya da değerleri siber olaylarla aynı oranda tehdit edebileceği göz önünde bulundurulmalıdır.

13.1.3. Şirket, ilgili tüm kanuni yasal, düzenleyici, sözleşmeye dayalı şartlar ve bu gereksinimleri karşılama yaklaşımını açıkça tanımlamak, yasal düzenlemelerin gerekliliklerine uyum için talimat ya da prosedürleri yayımlamak ve güncel tutmakla sorumludur.

13.1.4. Yasal gereksinimler; bilgi teknolojileri ile ilgili güvenlik gereksinimleri, fikri mülkiyet hakları / telif hakları yasaları, gizlilik, veri şifreleme ve verileri koruma yasaları şeklinde olabilir. Yasa ve yönetmeliklerin takip edildiğinden emin olmak için öncelikle tüm uyum gerektiren düzenlenmelerin yer aldığı bir liste oluşturulmalıdır. Örnek liste, Yasal Mevzuat Uyumu İçin Takip Listesinde yer almaktadır.

13.1.4. Kanunlar ve yönetmelikler, güvenlikle ilgili olayların sıklığı ve etkisinin büyüklüğü, gelişen teknoloji ve ihtiyaçlara bağlı olarak değişebilen yaşayan varlıklardır. Siber suçların Türk Ceza Kanunu’nda ilk yer alışı 6 Haziran 1991 tarihli 3756 Sayılı Türk Ceza Kanunu’nun bazı maddelerinin değiştirilmesine dair Kanun ile olmuştur. Bu değişikliğin 20. maddesi ile “Bilişim Alanında Suçlar”

başlığı altında bir bölüm eklenmiş ve bir bilgisayardan programların, verilerin veya diğer unsurların hukuka aykırı olarak ele geçirilmesi veya bunların başkasına zarar vermek üzere kullanılması, nakledilmesi veya çoğaltılması yasayla ceza unsuru olarak kabul edilmiştir. Takip eden süreçte yeni teknolojilerin kullanılmaya başlanması ile güvenlik ihtiyaçları farklılaşmış ve yeni mevzuatlar eklenmiş ve teknoloji gelişmeye devam ettiği sürece eklenmeye devam edecektir. Bu nedenle, oluşturulan listenin güncellenmesinden sorumlu olacak bir yetkili personel ya da ekibin belirlenmesi gerekmektedir. Uyulması gereken yasal mevzuatların belirlenmesi ve takibi süreci yalnızca bilgi sistemleri veya bilgi güvenliği birimlerinin işi olarak değerlendirilmemeli, hukuk, insan kaynakları, idari mali işler gibi birimlerden de destek alınması gerekmektedir.

13.1.7. Hangi şartların şirketi etkileyebileceğinin belirlenmesinin ardından geçerli güvenlik önlemlerinin uyumluluk için yeterli olup olmadığının veya gereksinimleri karşılamak için ek önlemlerin alınması gerekip gerekmediğinin belirlenmesi gerekir.

13.2. Lisanslama ve Fikri Mülkiyet Hakları

13.2.1. Fikri mülkiyet insan zekâsının, entellektüel birikiminin, zihinsel yaratıcılığının ortaya çıkarmış olduğu müzikten, edebiyata, endüstriyel tasarımlardan bilimsel buluşlara kadar uzanan geniş bir yelpaze içinde yer alan ürünleri kapsar. Bu ürünler düşünce safhasında kaldığı ve üreticisi dışındakilerle paylaşılmadığı sürece korumaya konu olmazlar. Ancak bu düşüncelerin ve ürünlerin, uygun şekilde kayıt altına alınmalarını takiben diğer kişilerle paylaşılmaları ve özellikle bu ürünlerin kazanç amacıyla ticarete konu olmaları söz konusu olduğu zaman korunmaları gerekir.

13.2.2. Fikri mülkiyet, sınai mülkiyet hakları ve telif hakları olmak üzere iki ana başlık altında incelenir.

13.2.3. Sınai mülkiyet hakları; teknolojik buluşlar, patentler, mal ve hizmetlerin ticari markaları, modeller, endüstriyel tasarımları ve coğrafi işaretleri kapsar. Bu haklar 6769 Sayılı Sınai Mülkiyet Kanunu ile korunur. Tescil işlemleri, Türk Patent ve Marka Kurumu tarafından koordine edilir.

13.2.4. Telif hakları; edebiyat, müzik, sanat ürünleri ve görsel-işitsel ürünler, filmler, bilgisayar program ve yazılımlarını ortaya çıkaran kişilerin bu ürünler üzerindeki haklarını içerir. Bu haklar 5846 sayılı Fikir ve Sanat Eserleri Kanunu ile korunur. Konu ile ilgili faaliyetler, T.C. Kültür ve Turizm Bakanlığı Telif Hakları Genel Müdürlüğü tarafından yürütülür.

13.2.5. Şirketimizce yapılan her türlü iş ve işlemlerde, fikri mülkiyet haklarına saygılı davranılır. Bu hakların korunması için gerekli tedbirler alınır.

13.2.6. Çeşitli maksatlar için tedarik edilen yazılımlar, kurumların taşınır kayıt birimleri tarafından envantere alınmak suretiyle kayıt altına alınır. Ayrıca Kılavuz’un Varlık Yönetimi başlıklı bölümünde belirtilen Şirket Bilgi Varlıkları Envanter Çizelgesine işlenir.

13.2.7. Yazılımlara ait lisans belgeleri, yazılımın üreticisi firma tarafından sağlanan lisans takip/indirme sayfasına erişim şifresi, varsa CD/DVD ve benzeri materyal, USB dongle vb. anahtarlar, ilgili projenin yürütüldüğü birimde muhafaza edilir.

13.2.8. Herhangi bir proje veya faaliyet kapsamında yeni bir yazılım tedarik edilmesi ihtiyacı olduğunda, tedarik faaliyetine başlanmadan Kurumun bilgi işlem sorumlusu ve taşınır kayıt birimi ile koordinasyon kurulur.

13.2.9. Çeşitli isimler altında (open source, freeware, shareware) ücretsiz olarak dağıtılan yazılımlar, zararlı öğeler barındırma ihtimaline karşı test edilmeden şirkete bilgisayarlara kurulmaz.

13.2.10. Yüklenici firmalar, sözleşmeler kapsamında şirketimiz için yaptıkları iş ve işlemlerde üçüncü taraflara ait herhangi bir fikri mülkiyet hakkını ihlal edemezler. Bu husus sözleşmelere konulmak suretiyle garanti altına alınır.

13.2.16. Telif hakları kapsamında korunan kitaplar, makaleler, raporlar ve diğer belgeler hiçbir şekilde kopyalanamaz, çoğaltılmaz ve dağıtılamaz.

13.2.17. Fikri mülkiyet haklarının ihlal edilmesi ile ilgili şikâyetler Bildirim Uygulaması vasıtasıyla BGYS komisyonuna iletilir.

13.3. Kişisel Verilerin Korunması Mevzuatı

13.3.1. Anayasa’nın 20’ci maddesinin, 6698 sayılı Kanun’un ve Kişisel Sağlık Verileri Hakkında Yönetmelik’in, kişisel verilerin korunmasına ilişkin hükümlerine azami düzeyde hassasiyet gösterilir.

13.3.2. Kişisel verilerin ve kişisel sağlık verilerinin işlenmesinde, 6698 sayılı Kanun’un 4’üncü maddesinde yer alan genel ilkelere; ayrıca kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde, kişisel sağlık verilerinin işlenmesinde ise Kanun’un 6’ncı maddesinde yer alan hükümlere riayet edilir.

13.3.3 6698 sayılı Kanun’un 12’nci maddesinin birinci fıkrası uyarınca veri sorumlusu; verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

13.3.4. 6698 sayılı Kanun’un 12’nci maddesinin ikinci fıkrası uyarınca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişiler ile birlikte müştereken sorumludur.

13.3.5. 6698 sayılı Kanun’un 12’nci maddesinin üçüncü fıkrası uyarınca veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısı ile kanun hükümlerine uyumluluğun sağlanıp sağlanmadığı hususunda veri sorumlusu, veri işleyeni denetleyebilir.

13.3.6. 6698 sayılı Kanun’un 12’nci maddesinin dördüncü fıkrası uyarınca veri sorumlusu ile veri işleyen, öğrendiği kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

13.3.7. Kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ile 140’ıncı madde hükümleri uygulanır.

13.3.8. 6698 sayılı Kanun hükümlerine uygunsuzluk nedeniyle KVKK tarafından verilecek idari para cezaları ile ilgili kişiler tarafından açılacak davalarda hükmedilecek maddi ve manevi tazminat davaları, kusurlu olması hâlinde veri işleyen tarafından ödenir.

13.4. Bilgi Güvenliği Denetimleri

13.4.1. Kılavuzda yer alan kontrol önlemlerinin şirketimiz tarafından uygulanma düzeyini tespit etmek, varsa aksaklıkları belirlemek ve düzeltici faaliyetlerde bulunmak amacıyla bilgi güvenliği denetimleri yapılır.

13.4.2. Bilgi güvenliği denetimleri “yerinde denetim” ve “sistem güvenlik testleri” şeklinde gerçekleştirilir.

13.4.3. Yerinde denetimler, Kılavuzda yer alan konuların tamamının veya seçilecek bazı maddelerin uygulanma/gerçekleştirilme durumunun, BGYS komisyonu vasıtasıyla kontrol edilmesi suretiyle yapılır.

13.4.4. Yerinde denetimler, şirketin yöneticilerinin imzasıyla planlı olarak yapılır. Denetim için önceden hazırlanan yazılı kontrol formları/soru listeleri kullanılır.

13.4.5. Denetim; sorumlu personel ve son kullanıcılar ile yüz yüze görüşme yapılması, varsa kayıtların incelenmesi, gerekiyorsa ölçümlerin yapılması suretiyle gerçekleştirilir.

 

14. DOKÜMAN VE FORM LİSTESİ

Doküman ve formların içeriklerinin güncel ihtiyaçlara göre sık sık değişmesi nedeniyle, son hallerine https://www.mateteknoloji.com.tr sitesinden erişim sağlanacaktır.

  • ÜST YÖNETİM TAAHÜTNAMESİ
  • MT.SZ.01 PERSONEL GİZLİLİK SÖZLEŞMESİ
  • MT.SZ.02 KURUMSAL GİZLİLİK TAAHÜTNAMESİ
  • MT.SZ.03 ARAŞTIRMACI GİZLİLİK SÖZLEŞMESİ
  • MT.FR.01 İŞE BAŞLAMA FORMU
  • MT.FR.02 İŞTEN AYRILMA FORMU
  • MT.FR.03 GÖREV YERİ DEĞİŞİKLİK FORMU
  • MT.FR.04 OLAY BİLDİRİM VE MÜDAHALE FORMU
  • MT.FR.05 GÜVENLİ VERİ SİLME TALEP FORMU
  • MT.FR.06 AYRICALIKLI ERİŞİM HAKKI TALEP FORMU
  • MT.FR.07 VERİ TABANI VE KULLANICI OLUŞTURMA TALEP FORMU
  • MT.FR.08 VERİ TABANI KULLANICI İŞLEMLERİ VE YETKİLENDİRME TALEP FORMU
  • MT.FR.09 KAYITTAN DÜŞME TEKLİF VE ONAY FORMU
  • MT.FR.10 DİSK İMHA FORMU
  • MT.FR.11 ŞİRKET BİLGİ VARLIKLARI ENVANTER ÇİZELGESİ
  • MT.FR.12 RİSK HESAPLAMA FAKTÖRLERİ
  • MT.FR.13 RİSK İYİLEŞTİRME PLANI
  • MT.FR.14 YEDEKLEME KONTROL LİSTESİ
  • MT.FR.15 KRİTİK SÜREÇLERVARLIKLAR LİSTESİ
  • MT.FR.16 KAYNAK İHTİYAÇ LİSTESİ
  • MT.FR.17 KRİTİK VARLIK SÜREÇ ANALİZ FORMU
  • MT.FR.18 İŞ KURTARMA PLANI
  • MT.FR.19 TATBİKAT TEST UYGULAMA FORMU
  • MT.FR.20 E-POSTA TALEP FORMU
  • MT.FR.21 SUNUCU TALEP FORMU
  • MT.FR.22 İMHA TUTANAĞİ
  • MT.FR.23 BGYS KOMİSYONU GÖREVLENDİRME FORMU
  • MT.FR.24 DÜZELTİCİ/ÖNLEYİCİ FAALİYET TALEP FORMU
  • MT.FR.24 DÜZELTİCİ/ÖNLEYİCİ FAALİYET TAKİP FORMU
  • MT.PR.01 BİLGİ GÜVENLİĞİ KILAVUZU
  • MT.PR.02 E-POSTA KULLANIM POLİTİKASI
  • MT.PR.03 BİLGİ GÜVENLİĞİ DİSİPLİN PROSEDÜRÜ
  • MT.PR.04 BİLGİ GÜVENLİĞİ FARKINDALIK BİLDİRGESİ
  • MT.PR.05 BİLGİ GÜVENLİĞİ İHLAL OLAYLARI PROSEDÜRÜ
  • MT.PR.06 PAROLA YÖNETİMİ POLİTİKASI
  • MT.PR.07 TEMİZ MASA TEMİZ EKRAN POLİTİKASI
  • MT.PR.08 GİZLİLİK SÖZLEŞMELERİ UYGULAMA PROSEDÜRÜ
  • MT.PR.09 DÜZELTİCİ FAALİYET PROSEDÜRÜ
  • MT.PR.10 UZAKTAN ÇALIŞMA VE ERİŞİM PROSEDÜRÜ
  • MT.PR.11 TEKNİK ŞARTNAMELER İÇİN BİLGİ GÜVENLİĞİ GEREKSİNİMLERİ LİSTESİ
  • MT.PR.12 ZİYARETCİ KABUL POLİTİKASI
  • MT.PR.13 DEĞİŞİM YÖNETİMİ POLİTİKASI
  • MT.PR.14 ANTİ VİRÜS POLİTİKASI
  • MT.PR.15 KABUL EDİLEBİLİR KULLANIM POLİTİKASI
  • MT.PR.16 BİLGİ SİSTEMLERİ YEDEKLEME POLİTİKASI
  • MT.PR.17 TEÇHİZATLARIN ELDEN ÇIKARILMASI VE İMHA POLİTİKASI
  • MT.PR.18 FİZİKSEL GÜVENLİK POLİTİKASI
  • MT.PR.19 ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI
  • MT.PR.20 PERSONEL GÜVENLİĞİ POLİTİKASI
  • MT.PR.21 KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
  • MT.PR.22 BİLGİ VE YAZILIM ALIŞVERİŞİ POLİTİKASI
  • MT.PR.23 VARLIKLARA YÖNELİK SORUMLULUK POLİTİKASI
  • MT.PR.24 GİZLİLİK POLİTİKASI
  • MT.PR.25 RİSK YÖNETİMİ POLİTİKASI
  • MT.PR.26 ERİŞİM PROSEDÜRÜ
  • MT.PR.27 ERİŞİM YETKİ VE KONTROL MATRİSİ

    BİLGİ GÜVENLİĞİ POLİTİKALARI KILAVUZU

     

    Bilgi Güvenliği Politikaları Kılavuzu, Bilgi Güvenliği Politikaları Yönergesi’nin eki olarak yayımlanmıştır.

     

    ÖNSÖZ..........................................................................................................   3

    1. BİLGİ GÜVENLİĞİ POLİTİKALARI.................................................................   3

    1.1. Temel Prensipler..........................................................................................  3

    1.2. Bilgi Güvenliği Politikaları Kılavuzu................................ ………………............    4

    1.3. Kurumsal BGYS Politikalarının Oluşturulması ve Uygulanması...................    4

    2. BİLGİ GÜVENLİĞİ ORGANİZASYONU........................................................      6

    2.1. Bilgi Güvenliği Yönetim Komisyonu...........................................................      6

    2.2. Bilgi Güvenliği Yetkilisi................................................................................    7

    2.3. Üst Yönetimlerin Sorumluluğu...................................................................     7

    3. İNSAN KAYNAKLARI VE SON KULLANICI GÜVENLİĞİ................................       7

    3.1. İşe Alma Öncesinde Yapılacak Kontroller...................................................     7

    3.2. Çalışma Esnasında Uygulanacak Kontroller..............................................       7

    3.3. Bilgi Güvenliği Teknik ve Farkındalık Eğitimleri....................................... .       8

    3.4. Görev Değişikliği veya İşten Ayrılma İçin Uygulanacak Kontroller............        8

    3.5. Kullanıcıların Bilgi Güvenliği Sorumlulukları .............................................      9

    3.6. Elektronik Posta Güvenliği........................................................................      9

    3.7. Sosyal Mühendislik ve Sosyal Medya Güvenliği .......................................      11

    4. VARLIK YÖNETİMİ..................................................................................       11

    4.1. BGYS Bakış Açısıyla Varlıklar.....................................................................       11

    4.2. Varlık Envanterinin Tespiti.........................................................................     12

    4.3. Bilgi Sınıflandırma/Gizlilik Derecelerinin Verilmesi...................................      12         

    4.4. Taşınabilir Ortam Yönetimi........................................................................     13

    4.5. Ortamın Yok Edilmesi.................................................................................     13         

    5. RİSK YÖNETİMİ........................................................................................     14         

    5.1. Genel .........................................................................................................    14         

    5.2. Sorumluluklar.............................................................................................    15

    5.3. Risk Yönetimi.............................................................................................     15

    6. ERİŞİM KONTROLÜ..................................................................................     17

    6.1. Erişim Kontrol Politikası.............................................................................     17

    6.2. Kullanıcı Erişimlerinin Yönetimi.................................................................      18

    6.3. Parola Güvenliği.........................................................................................     19

    6.4. Merkezi Aktif Dizin ve E-Posta Sistemine Erişim........................................     19

    6.5. Veri Merkezi ve Sunucu Barındırma Hizmetlerine Erişim..........................      19

    6.6. Uzaktan Çalışma ve Erişim .....................................................................         20

    7. FİZİKSEL VE ÇEVRESEL GÜVENLİK............................................................       21

    7.1. Genel Hususlar.........................................................................................       21

    7.2. Güvenli Alanlar.........................................................................................       22

    7.3. Ekipman Güvenliği....................................................................................      22

    8. İŞLETİM GÜVENLİĞİ ...............................................................................       23

    8.1. Yazılı İşletim Prosedürleri..........................................................................      23

    8.2. Değişiklik Yönetimi....................................................................................      23

    8.3. Kapasite Yönetimi......................................................................................     25

    8.4. Sunucu ve Sistem Güvenliği........................................................................    25

    8.5. Ağ İşletim Güvenliği ...................................................................................    26

    8.6. Yedekleme Yönetimi ..................................................................................    26

    8.7. Teknik Açıklık Yönetimi..............................................................................     26

    9. HABERLEŞME GÜVENLİĞİ.........................................................................     27

    9.1. Kablosuz Ağ Güvenliği.................................................................................    27

    9.2. Gizlilik Sözleşmeleri....................................................................................     27

    9.3. Veri Aktarım Güvenliği.............................................................................       28

    10. TEDARİKÇİ İLİŞKİLERİ..............................................................................     29

    10.1. Mal ve Hizmet Alımları Güvenliği..............................................................    29

    11. BİLGİ GÜVENLİĞİ İHLAL OLAYI YÖNETİMİ ..............................................     30

    11.1. İhlal Bildirimi ve Olay Yönetimi...............................................................      30

    11.2. Kanıt Toplama..........................................................................................     31

    12. İŞ SÜREKLİLİĞİ YÖNETİMİ.......................................................................     32

    12.1. İş Sürekliliği Genel Yaklaşımı ....................................................................    32

    12.2. İş Sürekliliği Adımları..................................................................................   32

    12.3. İş Sürekliliği Stratejisi Belirleme.................................................................   35

    12.4. İş Sürekliliği Planı Oluşturma...................................................................... 36

    12.5. İş Sürekliliği Planlarını Tatbikatlar ile Test Etme........................................    37

    13. UYUM......................................................................................................  38

    13.1. Yasal Gereksinimlere Uyum........................................................................ 38

    13.2. Lisanslama ve Fikri Mülkiyet Hakları..........................................................   39

    13.3. Kişisel Verilerin Korunması Mevzuatı.........................................................  39

    13.4. Bilgi Güvenliği Denetimleri......................................................................... 40

    14.1. DOKÜMAN VE FORM LİSTESİ.................................................................  40

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    ÖNSÖZ

    Şirketimiz bilgi güvenliği çalışmaları iki ana eksen üzerine oturtulmuştur. Bunlardan ilki olan ”Bilgi Güvenliği Politikaları Yönergesi” ile hukuki ve idari alt yapı oluşturulmuş, Yönerge’den alınan yetki ile bilgi güvenliğine yönelik teknik ve yönetsel tedbirlerin yer aldığı “Bilgi Güvenliği Politikaları Kılavuzu” hazırlanmıştır.

    Bilgi teknolojilerindeki gelişmelerle birlikte, bilgi güvenliğinin sağlanmasına yönelik gereksinimler gittikçe daha karmaşık ve kapsamlı hale gelmiştir. Sınırlı bütçe ve personel kaynakları ile kapsamlı bir bilgi güvenliği çalışması yapılması için daha sistematik ve yönetsel sistemlerin uygulanması zorunluluk haline gelmiştir.

    Kılavuz hazırlanırken, ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardında belirtilen madde başlıkları dikkate alınarak, güvenlik önlemlerinin kolay anlaşılabilir bir özeti sunulmuştur. Günümüzde bilgi güvenliği ile birlikte sıkça anılan diğer iki önemli konuda “siber güvenlik” ve “kişisel verilerin korunması” alanlarıdır. Kılavuz’da yer alan ve teknik personel tarafından özel yazılım, donanım ve araçlar kullanılmak suretiyle hayata geçirilen tedbirler, aslında birer siber güvenlik tedbiridir. Etkin bir BGYS tesis edilmesi için siber güvenlik ile ilgili teknik tedbirlere ilave olarak yönetsel tedbirlerin de alınması, farkındalık eğitimleri ile kurum kültürünün değiştirilmesi ve tüm bu süreçlere yönetimin de etkin katılımı ve desteği gerekir.  

    Kişisel verilerin kullanımı ve korunmasına ilişkin hususlar ise “6698 sayılı Kişisel Verilerin Korunması Kanunu” ile düzenlenmiştir. 6698 sayılı Kanun gereği kurulan “Kişisel Verileri Koruma Kurulu (KVKK)” tarafından çıkarılan tüm mevzuata şirketin web sayfalarından erişim sağlanabilmektedir. Kılavuz hazırlanırken KVKK tarafından hazırlanan mevzuat da dikkate alınmış ve ISO 27001 standardı başlıkları altında işlenebilecek hususlar, önemli ölçüde Kılavuza aktarılmıştır.

    Bilgi güvenliği ile ilgili son önemli husus, bilgi güvenliğinin yönetim sorumluluğunda yürütülecek bir faaliyet olduğudur. Yönerge gereği; bilgi güvenliği faaliyetlerini yürütmek ve koordine etmek üzere bilgi güvenliği komisyonlarının kurulması gerekmektedir.

     

    POLİTİKALAR

    1. BİLGİ GÜVENLİĞİ POLİTİKALARI

    1.1. Temel Prensipler

    1.1.1. Şirket, kayıt altına aldığı her türlü bilginin kendisine emanet edilmiş bir değer olduğu vizyonuyla korumakla mükellef olduğunun bilinciyle hareket etmektedir.

    1.1.2. Şirket, bilgi güvenliği kapsamında yer alan basılı ve elektronik ortamdaki tüm bilgilerin, yasal mevzuat ışığında ve risk değerlendirme metotları kullanılarak “gizlilik, bütünlük ve erişilebilirlik” ilkelerine göre yönetilmesi amacıyla;

  • Bilgi güvenliği standartlarının gerekliliklerini yerine getirmek,
  • Bilgi güvenliği ile ilgili tüm yasal mevzuata uyum sağlamak,
  • Bilgi varlıklarına yönelik riskleri tespit etmek ve sistematik bir şekilde riskleri yönetmek,
  • Bilgi güvenliği yönetim sistemini sürekli gözden geçirmek ve iyileştirmek,
  • Bilgi güvenliği farkındalığını artırmak için teknik ve davranışsal yetkinlikleri geliştirecek şekilde eğitimler gerçekleştirme vizyon ve misyonuyla hareket etmektedir.
  • 1.1.3. Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm çalışanların katılımı ile başarılabilecek bir iş olduğu gibi sadece bilgi teknolojileri ile ilgili teknik önlemlerden oluşmaz. Fiziksel ve çevresel güvenlikten insan kaynakları güvenliğine; iletişim ve haberleşme güvenliğinden bilgi teknolojileri güvenliğine kadar birçok konuyu da kapsar.

    1.1.4. Bilgi güvenliği bilinçlendirme süreci, şirket içinde en üst seviyeden en alt seviyeye kadar tüm çalışanların katılımını gerektirir. Şirket çalışanları, yüklenici firma personeli, yarı zamanlı personel, iş ortaklarının çalışanları, destek alınan firmaların personeli, kısaca kurumun bilgi varlıklarına erişim gereksinimi olan herkes “kullanıcı” kategorisine girer.

    1.1.5. Bilgi güvenliği bilinçlendirme sürecindeki en büyük ve önemli hedef kitle kullanıcılardır. Şirket içindeki işler yürütülürken istemeden yapılan hataları ve bilgi sisteminde oluşabilecek açıklıkları en aza indirmek kullanıcıların elindedir. Yöneticiler, bilgi güvenliği gereklerine personelinin uymasını, bilinçlendirme ve eğitim süreçleri ile destekleyerek sağlamakla sorumludur.

    1.1.6. Başarılı ve etkin işleyen bir bilgi güvenliği bilinçlendirme süreci oluşturulabilmesi için bu alandaki görev ve sorumlulukların açık ve net bir biçimde belirlenmesi gerekir.

    1.1.7. Bilgi Güvenliği Politikasının ana amacı; bilgi varlıklarını korumak, bilginin ve verinin gizliliğini sağlamak, bütünlüğünü bozmaya çalışacak yetkisiz kişilerin erişimini engellemek, ihtiyaç duyulan her alanda bilgiyi erişilebilir halde tutmaktır.

    1.2. Bilgi Güvenliği Politikaları Kılavuzu

    1.2.1. Şirket, internet gibi açık ve bağlantılı bir ortamda bulunmanın artan erişilebilirlikle birlikte bazı riskleri de beraberinde getireceğini kabul etmek gerekir.

    1.2.2. Bu risklerin önlenmesi ya da etkilerinin azaltılması için tüm paydaşları içeren bütüncül bir yaklaşımla yönetilerek siber olaylara karşı hazırlıklı olunması ve bu olaylardan en az zararla çıkılarak hizmet sürekliliğinin temininin esas alınması öncelikli şarttır.

    1.2.3. Tesis edilen sistemin ISO 27001 standardı ile uyumluluğu her yıl yapılan dış denetimler ile belgelenmekte ve güncelliği sağlanmaktadır.

    1.2.4. Kılavuz başlıkları, ISO 27001 standardının EK-A’sında yer alan madde başlıklarından alınmıştır.

    1.2.5. Bilgi güvenliği önlemlerinin hukuksal dayanaklarına ilişkin en güncel gelişme, 6698 sayılı Kanun’un yürürlüğe girmesi ile olmuştur. Ülkemizde kişisel verilerin korunmasının sağlanması ve buna yönelik farkındalık oluşturarak bilinç düzeyinin geliştirilmesi görevi KVKK’ya verilmiştir.

    1.2.6. KVKK tarafından, 6698 sayılı Kanun’un uygulanmasına yönelik birçok ikincil mevzuat ve açıklayıcı doküman hazırlanmış ve yayımlanmıştır. Kurul tarafından yayımlanan ikincil mevzuata ve ilgili diğer bilgi ve belgelere Kurulun https://www.kvkk.gov.tr/ adresinden erişim sağlanabilmektedir.

    1.2.7. Kılavuz hazırlanırken; 6698 sayılı Kanun, KVKK tarafından yayımlanan mevzuatta yer alan ve doğrudan bilgi güvenliği ile ilişkili olan hususların Kılavuz içerisine alınması için çaba gösterilmiştir. Bununla beraber;

    1.2.7.1. Kılavuzda yer alan tedbirler gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının sağlanmasına yönelik rehberlik etmekte olup, kişisel verilerin mahremiyetinin sağlanması ve hukuka uygun bir şekilde işlenmesinin sağlanması için ayrıca KVKK mevzuatında yer alan diğer tedbirlerin de uygulanıyor olması gerekmektedir.

    1.2.7.2. ISO 27001 BGYS, kişisel verilerin korunması süreçlerini de kapsayan bir çalışmadır. KVKK kararları ve dokümanları incelendiğinde ISO 27001 standardında yer alan kontrollere atıfta bulunulduğu gözlemlenmektedir.

    1.2.7.3. Bu kapsamda; kişisel verileri işleyen kişi ve makamlar, konuyla ilgili yukarıda belirtilen mevzuatı dikkate almak suretiyle, kılavuzda yer alan hususlar da dahil olmak üzere her türlü tedbiri almak ve uygulamakla yükümlüdür.

    1.3. Kurumsal BGYS Politikalarının Oluşturulması ve Uygulanması

    1.3.1. Şirketimizin bilgi güvenliği hedefleri doğrultusunda, kendi sorumluluk alanlarında bulunan ve bilgi işleme faaliyetlerinde kullanılan tüm unsurlar için (sistemler, süreçler, tesisler, insanlar vb.) kuralları tanımlanmış, planlı, etkileşimli ve sürekli iyileştirmeye dayanan bir BGYS kurmakla, aşağıda belirtilen esaslar çerçevesinde kendi kurumsal bilgi güvenliği politikalarını oluşturmakla ve tesis edilen BGYS’yi etkin bir şekilde işletmekle yükümlüdür.

    1.3.2. Kılavuzda yer alan hususlar, BGYS’ler de kullanılabilecek temel bazı tedbirleri ve günümüz teknolojileri çerçevesinde var olan en iyi uygulama örneklerini içermektedir. Bilgi güvenliğinin tam olarak sağlanabilmesi için uygulayıcılar tarafından;

  • Kullanılan sistemler ve cihazlar, çalışan personelin eğitim durumu, bilgi işleme tesislerinin fiziki özelliklerine özgü bilgi güvenliği risklerinin ayrıntılı olarak tespit edilmesi,
  • Tespit edilen risklerin önlenmesi için kılavuzda yer alan tedbirler başta olmak üzere gerekiyorsa ilave önlemlerin belirlenmesi,
  • Alınacak önlemlerin yazılı hale getirilerek tüm şirket personeline duyurulması,
  • Uygulamanın sürekli olarak takip edilerek varsa uygunsuzlukların ve yeni risklerin tespit edilmesi,
  • Tespit edilen uygunsuzluklar ve yeni riskler için düzeltici faaliyetlerin hayata geçirilmesi,
  • Sürekli iyileştirme için ihtiyaç duyulan çalışmaların yürütülmesi gerekmektedir.
  • 1.3.3. Bilgi güvenliği politikası BGYS’nin en kritik öğesidir. Bir güvenlik politikası, verilerin ve kaynakların gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için bilgi kaynaklarına erişen herkesin uyması gereken asgari kuralları tanımlar. Ayrıca, şirketin bilgi güvenliği bakış açısını yansıtır, güvenlik sorumluluklarını tanımlar ve bilgi güvenliği olaylarına müdahale yaklaşımını ortaya koyar. Kurumsal bilgi güvenliği politikasının geliştirilmesi kurumsal hafızaya sahip çalışanlar, bilgi güvenliği uzmanları ve yönetimin ortak çalışması ile yapılır. Bilgi güvenliği politikasının bilgi güvenliği hedefleri, stratejik hedefler ve hizmet kapsamı ile uyumlu olması gerekir.

    1.3.4. Hazırlanacak BGYS politikasının kısa, öz ve en az aşağıda sıralanan başlıkları içermesi gerekir.

    • Amaç

    • Kapsam

    • Dayanak

    • Tanım ve Kısaltmalar

    • Bilgi Güvenliği Organizasyonu

    • Politika Metni

    • Ekler

    1.3.5. BGYS Politikasında yer almayan ve detaylandırılmaya ihtiyaç duyulan diğer hususlar için destek dokümanları hazırlanır. Destek dokümanları ihtiyaca göre politika, prosedür, yönerge, liste, form vb. detaylarda oluşturulabilir.

    Destek dokümanları hazırlanırken aşağıdaki hususları içerip içermediği kontrol edilmelidir:

    • Erişim kontrolü / mobil cihazlar ve uzaktan çalışma (Kılavuz Madde 6),

    • Bilgi sınıflandırma (ve işleme) (Kılavuz Madde 4.3),

    • Fiziksel ve çevresel güvenlik (Kılavuz Madde 7),

    • Bilgi transferi, haberleşme güvenliği (Kılavuz Madde 10),

    • Yedekleme Yönetimi (Kılavuz Madde 8.6),

    • Teknik açıklıkların yönetimi (Kılavuz Madde 8.7),

    • Kişi tespit bilgisinin mahremiyeti ve korunması (Kılavuz Madde 13),

    • Tedarikçi ilişkileri (Kılavuz Madde 10).

    1.3.6. BGYS Politikasının tüm çalışanları tarafından bilinmesi ve anlaşılması gerekir. Bu maksatla BGYS politikası tüm personele tebliğ edilir, farkındalık eğitimlerinde politika içinde yer alan konular hakkında kullanıcılara daha ayrıntılı bilgi verilir.

    1.3.7. BGYS politikası tüm personel tarafından gerektiğinde ulaşılabilecek şekilde, şirketin web sitesinde yayımlanır.

    1.3.8. Yukarıdaki hususlara ilave olarak şirket BGYS vizyonunu açıklayan ve bu konuyla ilgili yönetim desteğini ve bağlılığını ifade eden “Yönetim Bilgi Güvenliği Taahhütnamesi” başlıklı bir doküman, şirketin en üst düzey yöneticisi tarafından imzalanır ve şirket web sayfasının herkese açık bölümünde yayımlanmak suretiyle ilgili tüm iç ve dış taraflar ile paylaşılır.

     

    2. BİLGİ GÜVENLİĞİ ORGANİZASYONU

    2.1. Bilgi Güvenliği Yönetim Komisyonu

    2.1.1. Şirket genelinde bilgi güvenliği ve siber olaylara müdahale ile ilgili konularda en üst düzeyde koordinasyon ve karar organı olarak görev yapmak üzere, Bilgi Güvenliği Komisyonu kurulur.

    2.1.2. Komisyon, aşağıda belirtilen üyelerden oluşur.

     

    ADI

    SOYADI

    ÜNVANI

    GÖREVİ

     

     

    Genel Müdür

    Bilgi Sistemleri Koordinatörü

     

     

    Teknik Personel

    Bilgi Güvenliği Yetkilisi

     

    2.1.3. Komisyon, yılda en az bir kere toplanır. Gerekli görülen kurumlarda koordinatör komisyonu her zaman toplantıya çağırabilir.

    2.1.4. Toplantıda kararlar oy çokluğu ile alınır. Oyların eşitliği halinde koordinatörün kullanmış olduğu oy esas alınır.

    2.1.5. Komisyonun görevleri şunlardır:

    2.1.5.1. Şirket genelinde uygulanacak bilgi güvenliği ve siber olaylara müdahale ile ilgili üst düzey politika ve stratejileri belirler.

    2.1.5.2. Şirket Bilgi Güvenliği Politikaları Yönergesi’n de yer alan konuları koordine eder.

    2.1.5.3. Bilgi güvenliği ve siber olaylara müdahale ile ilgili politika ve stratejilerin uygulanması için eylem planları hazırlar ve yayımlar.

    2.1.5.4. Eylem planlarının uygulanmasının etkinliğini ölçer, sonuçlarını değerlendirir ve iyileştirme için ihtiyaç duyulan tedbirleri alır.

    2.2. Bilgi Güvenliği Yetkilisi

    2.2.1. Bilgi güvenliği faaliyetlerini yürütmek ve koordine etmek üzere “bilgi güvenliği yetkilisi” görevlendirilir.

    2.2.2. Bilgi güvenliği yetkilisi olarak; yönetim sistemleri konusunda tecrübeli, şirkette yürütülen iş süreçlerine hakim, kurum kültürüne vakıf, tercihen bilgi sistemleri konusunda teknik eğitim almış bir personel görevlendirilir.

    2.2.3. Bilgi güvenliği yetkilisinin ana işlevi, bulunduğu kurumdaki bilgi güvenliği faaliyetlerini yürütmektir. Bu yönüyle, bağlı bulundukları komisyonun bilgi güvenliği ile ilgili konulardaki icra organı olarak hareket eder.

    2.3. Üst Yönetimin Sorumluluğu

    2.3.1. Bilgi güvenliği politikalarının uygulanması üst yönetim tarafından takip edilir. Bilgi güvenliği politikası kapsamında, bilgi sistemleri üzerinde etkin ve yeterli kontrollerin tesis edilmesi üst yönetimin sorumluluğundadır.

    2.3.2. Yeni bilgi sistemlerinin kullanıma alınmasına ilişkin kritik projeler üst yönetim tarafından gözden geçirilir ve bunlara ilişkin risklerin yönetilebilirliği göz önünde bulundurularak onaylanır.

    2.3.3. Üst yönetim, bilgi güvenliği önlemlerinin uygun düzeye getirilmesi için gereken kararlılığı gösterir ve bu amaçla yürütülecek faaliyetlere yönelik yeterli kaynağı tahsis eder.

    2.3.4. Üst yönetim bilgi güvenliği ile ilgili faaliyetlerin yerine getirilmesi maksadıyla bu bölümde belirtilen bilgi güvenliği organizasyonunu kurar ve çalıştırılmasını sağlar.

    2.3.5. Bilgi güvenliği ile ilgili süreçleri bilgi güvenliği komisyonları vasıtasıyla takip eder. Komisyon çalışmaları neticesinde üst yönetim kararı gerektiren hususlar için gerekli kararları verir ve uygulanmasını takip eder.

     

    3. İNSAN KAYNAKLARI VE SON KULLANICI GÜVENLİĞİ

    3.1. İşe Alma Öncesinde Yapılacak Kontroller

    3.1.1. Bilgi işleme tesislerine erişim izni verilecek tüm personel için işe alma öncesinde/alım yapılırken aşağıdaki hususların dikkate alınması gerekir.

    3.1.2. İşe alma öncesinde yapılacak güvenlik kontrollerinin amacı, çalışanların kendilerinden beklenen sorumlulukları anlamalarını sağlamak ve düşünüldükleri roller için uygun olmalarını temin etmektir.

    3.1.3. İşe alınacak adaylar iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak eğitim, yeterlilik ve güvenilirlik yönleriyle kontrol edilir.

    3.1.4. İşe alınacak kişilerin eğitim, yeterlilik ve güvenilirlik yönleriyle kontrol edilmesi için aşağıdaki yöntemlerden biri ya da birkaçı birlikte kullanılabilir.

    3.1.4.1. Kişi özgeçmişinin doğrulanması (belgelerin tamlığı),

    3.1.4.2. Kişinin atanacağı görevle ilgili eğitim ve tecrübe açısından gerekli yeterliliğe sahip olmasının sağlanması,

    3.1.4.3. Beyan edilen akademik ve işle ilgili niteliklerin doğrulanması (diplomaların, referans mektuplarının, bonservis belgelerinin doğru ve geçerli olduğunun teyit edilmesi),

    3.1.4.4. Yüklenici personeli, destek personeli vb. statüde çalışacak personelin adli sicil kayıtlarının istenmesi ve incelenmesi.

    3.1.5. Yükleniciler ile yapılan sözleşmelerde, idare tarafından yüklenici personeli için tarama yapılacağı ve tarama sonuçlarının menfi olması durumunda alınacak önlemler belirtilir.

    3.1.6. İşe başlamadan önce tüm personel ve yükleniciler ile kişisel ve/veya kurumsal gizlilik sözleşmesi imzalanacağı ilgili taraflara bildirilir. İmzalatılacak sözleşmelerin içeriği ve ilgililerin yükümlülükleri detaylı olarak açıklanır. Sözleşmelerde kişilerin ve şirketin bilgi güvenliği sorumlulukları açıkça belirtilir.

    3.1.7. Şirketin güvenlik ilkelerine uyulmaması durumunda, çalışanlar ve yükleniciler için yürütülecek işlemler (disiplin kurallarının uygulanması, gerekiyorsa iş akitlerinin sonlandırılması, tedarik sözleşmesinin feshi vb.) önceden belirlenir ve taraflara duyurulur.

    3.2. Çalışma Esnasında Uygulanacak Kontroller

    3.2.1. Çalışma esnasında uygulanacak güvenlik kontrollerinin amacı, çalışanların işlerini yaparken bilgi güvenliği ile ilgili sorumluluklarının farkında olmalarını ve beklenen şekilde yerine getirmelerini sağlamaktır.

    3.2.2. İşe yeni başlayan personelin başlayış işlemlerinin eksiksiz olarak yapılmasını sağlamak için “işe başlama formu” hazırlanır ve uygulanır.

    3.2.3. Formda yazan işlemlerin tam olarak uygulanmasını sağlamaktan, kişinin bağlı bulunduğu birim yöneticisi sorumludur.

    3.2.4. İşe başlama formunda bilgi güvenliği erişim için verilecek yetkiler, bilgi sistemlerine erişim için hesap açılması ve verilecek yetkiler (e-Posta vs), bilgi güvenliği farkındalık eğitimi, gizlilik sözleşmesi imzalatılması gibi hususlar mutlaka yer alır.

    3.2.5. Üst yönetim, bilgi güvenliği politikalarını, prosedürlerini ve kontrollerini desteklediğini her fırsatta örnek teşkil edecek şekilde gösterir. Bu suretle, diğer çalışanların bilgi güvenliği ile ilgili motivasyonları üst düzeyde tutulur.

    3.2.6. Bilgi güvenliği ile ilgili beklentiler ve sorumluluklar, çalışanların görev tanımlarına eklenir.

    3.2.7. Çalışanların şirketin bilgi güvenliği politikasına uyumu izlenir.

    3.2.8. Tüm çalışanlar ve yükleniciler için bilgi güvenliği farkındalık eğitimi programları hazırlanır ve uygulanır.

    3.2.9. Bilgi güvenliği ihlaline neden olan kişilere yapılacak işlemler (disiplin prosedürü) önceden belirlenir ve kişilere duyurulur. İhlal oluştuğunda, disiplin prosedüründe yazan hususlar uygulanır.

    3.2.10. Bilgi güvenliği ihlali yapan personele uygulanan yaptırımlar (kişi kimlik bilgisi verilmeden) diğer çalışanlara duyurulur ve onlar için de örnek teşkil etmesi sağlanır.

    3.3. Bilgi Güvenliği Teknik ve Farkındalık Eğitimleri

    3.3.1. Bilgi güvenliği teknik ve farkındalık eğitimleri için yıllık olarak uygulanmak üzere bir eğitim planı hazırlanır.

    3.3.2. Hazırlanan plan, şirketin bilgi güvenliği komisyonu tarafından onaylanır.

    3.3.3. Bilgi işleme faaliyetlerinde kullanılan cihaz ve sistemlerin tedarik şartnamelerine, garanti süresini de içerecek şekilde, eğitim verilmesi ile ilgili hükümler konulur. Aynı şekilde cihaz ve sistemler için işletme, bakım, idame hizmet alımlarına, ihtiyaç varsa personelin eğitimine yönelik hükümler eklenir.

    3.3.4. İşe yeni başlayan her personele, hassas bilgilere erişim izni verilmeden önce bilgi güvenliği farkındalığı eğitimi verilir. Farkındalık eğitiminde, genel bilgi güvenliği hususlarına ilave olarak anılan göreve yönelik özel bilgi güvenliği gereksinimleri de mutlaka yer alır.

    3.3.5. Göreve başlama esnasında verilen eğitimlere ilave olarak her yıl tüm personele bilgi güvenliği farkındalık eğitimi verilir.

    3.3.6. Eğitimler haricinde özellikle bilgi teknolojilerinin sunmuş olduğu yetenekler/fırsatlar da kullanılmak suretiyle personelin farkındalık düzeylerinin artırılması sağlanır. Bu kapsamda zorunlu olmamakla birlikte, bilgi güvenliği afişleri, bilgi güvenliği broşür, el kitapları, e-bültenler kullanılabilir.

    3.3.7. Eğitim katılım formları hazırlanır, katılımcılara imzalatılır ve bilgi güvenliği komisyonu tarafından belirlenecek süre boyunca muhafaza edilir.

    3.4. Görev Değişikliği veya İşten Ayrılma İçin Uygulanacak Kontroller

    3.4.1. Görev değişikliği veya işten ayrılma ile ilgili güvenlik kontrollerinin amacı, ayrılma esnasında yapılması gereken bilgi güvenliği ile ilgili tedbirlerin ortaya konulması ve çalışanların görevleri sona erse dahi bilgi güvenliği ile ilgili devam eden sorumlulukları hakkında bilgilendirilmesidir.

    3.4.2. Kişi, görevi esnasında edinmiş olduğu bilgileri, görev yeri değişmesi veya ayrılması durumunda dahi sır olarak saklamaktan ve hiçbir şekilde yetkisiz olarak ifşa etmemekten sorumludur. Sır saklama yükümlülüğü süresizdir.

    3.4.3. İşten ayrılan veya görev değişikliği yapan personelin ayrılma işlemlerinin bilgi güvenliği açısından eksiksiz olarak yapılmasını sağlamak için “işten ayrılma formu” hazırlanır ve uygulanır.

    3.4.4. Formda yazan işlemlerin tam olarak uygulanmasını sağlamaktan, kişinin bağlı bulunduğu birim yöneticisi sorumludur.

    3.4.5. İşten ayrılan veya görev yeri değişen kişinin eski görevi ile ilgili bilgisayar hesapları ve eğer varsa uzaktan erişim için kullandıkları hesaplar kapatılır veya erişim yetkileri yeni görev yerinin gereksinimlerine göre yeniden düzenlenir.

    3.4.6. Kişiye teslim edilmiş tüm bilgi varlıkları sayım yapılarak iade alınır.

    3.4.7. Ayrılan kişiden teslim alınan bilgisayarlar güvenli silme işlemi yapılmadan bir başka kullanıcıya teslim edilemez.

     

    3.5. Kullanıcıların Bilgi Güvenliği Sorumlulukları

    3.5.1. Personel, Bilgi Güvenliği Politikaları Kılavuzu’nda yer alan koşullara uygun hareket eder. Burada yer alan hükümleri kişisel olarak ihlal etmesi halinde görev yaptığı şirkete ve üçüncü kişilere vereceği her türlü zarardan sorumludur.

    3.5.2. Personel, şirket tarafından kendisine teslim edilmiş veya erişim yetkisi verilmiş olan bilgileri, sadece görevi ile ilgili işler için kullanır. Bu bilgileri kendi gizli bilgisi gibi korur ve bilmesi gereken yetkili kişiler haricinde hiçbir kimse ile paylaşmaz. Personel, bilgi paylaşabileceği kişiler konusunda şüpheye düşerse, bilginin sahibi olan veya süreci yöneten birim ile irtibata geçerek veriyi kimlerle paylaşabileceğini teyit eder.

    3.5.3. Personel, özel olarak yetkilendirildiği durumlar dışında, hizmet verilen tarafların yetkilileri de dahil olmak üzere yetkisi olmayan hiçbir kişi ile bilgi paylaşımı yapmaz. Yetkisi olmadığı halde bulunduğu görev ve makamı kullanarak kendisinden ısrarla bilgi talep eden kişileri yöneticisine bildirir.

    3.5.4. Personel, edindiği bilgileri hiçbir kişi, grup, kurum veya kuruluşun menfaati için kullanamaz.

    3.5.5. Personel, görevi ile ilgili olsun veya olmasın edindiği ve gizlilik arz eden her türlü bilgiyi sır olarak saklamak ve bunları üçüncü kişilere hiçbir şekilde iletmemekle yükümlüdür.

    3.5.6. Bu yükümlülük, personelin görev yaptığı şirket ile ilişkisinin sona ermesi halinde de devam eder.

    3.5.7. Personel, görevi nedeniyle edindiği gizli bilgiler hakkında, hiçbir sebeple yazılı veya sözlü açıklama yapamaz.

    3.5.8. Personel, görevi kapsamında erişim hakkının bulunduğu sistemleri ve bilgileri, yetkisi içinde ya da yetkisini aşarak kendisine veya bir başkasına çıkar sağlamak amacıyla kullanamaz.

    3.5.9. Personel, bilgi sistemlerinde kullanılan/yer alan programları, verileri veya diğer unsurları hukuka aykırı olarak ele geçirme, değiştirme, silme girişiminde bulunamaz ve bunları nakledemez veya çoğaltamaz.

    3.5.10. Personel, başkasına zarar vermek ya da kendisine veya başkasına haksız yarar sağlamak maksadıyla yahut herhangi bir maksat gütmeksizin, kullandığı bilgi işleme ortamlarını ve bu ortamlarda saklanan verileri kısmen veya tamamen tahrip etmek, değiştirmek, silmek, sistemin işlemesine engel olmak veya yanlış biçimde işlemesini sağlamak gibi davranışlarda bulunamaz.

    3.5.11. Personel, hangi amaçla olursa olsun görevi kapsamında edindiği bilgileri, bilgi işleme ortamlarında çeşitli şekillerde (basılı, manyetik vb.) bulunabilecek olan verileri, yetkisiz ve izinsiz olarak kullanamaz, kopyalayamaz, taşıyamaz ve aktaramaz.

    3.5.12. Personel, görev yaptığı şirket tarafından kendisine verilen ya da tanımlanan kullanıcı adını/parolayı hiç kimseyle paylaşmaz. Parolasının gizli kalması için alınması gereken tüm tedbirleri alır. Şirketten ayrılması halinde kullanıcı adını/parolayı iptal ettirir. Kullandığı bilgisayar ve/veya diğer elektronik veri depolama cihazlarında oluşturduğu veri, bilgi ve belgeler dâhil tüm belgeleri, cihazları ve ofis malzemelerini eksiksiz olarak ilgilisine teslim eder ve bunların hiçbir kopyasını alamaz.

    3.5.13. Kişinin kendi kusuru nedeniyle parolasının ifşa olması durumunda, başkası tarafından yapılmış olsa dahi personele teslim edilen kullanıcı adı ve parolalar ile yapılan iş ve işlemlerden ilgili personel şahsen sorumludur.

    3.6. Elektronik Posta Güvenliği

    3.6.1. Görevleri gereği yürütülen kurumsal iş ve işlemlerde, “*@mateteknoloji.com.tr” uzantılı kurumsal e-Posta hesabı kullanılır. Kurumsal iş ve işlemler, kişilerin özel işleri için (Gmail, Hotmail gibi) internet hizmet sağlayıcılarından alınan hesaplar üzerinden yürütülmez.

    3.6.2. KVKK tarafından 6698 sayılı Kanun’da yer alan bazı hususların açıklanması amacıyla alınan 2018/10 sayılı karar gereği, e-Posta ile aktarılacak verilerin özel nitelikli kişisel veri statüsünde olması durumunda aktarma işlemlerinin kurumsal e-Posta veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak yapılması yasal zorunluluktur.

    3.6.3. Şirketimizde görev yapan tüm personele, işe başladıktan sonra kurumsal e-Posta hesabı açılır.

    3.6.4. Çeşitli sözleşmeler kapsamında şirketimizde görev yapan ve yaptıkları iş gereği e-Posta hesabı olması gereken personele, yöneticileri tarafından onay verilmesi halinde kurumsal e-Posta hesabı açılır.

    3.6.5. Kurumsal e-Posta adresi isimlendirme politikası, istisnai durumlar dışında “isim.soyad@mateteknoloji.gov.tr” veya “soyad@mateteknoloji.gov.tr” şeklindedir. Yeni bir kullanıcı oluşturulurken o kullanıcının adı ve soyadı ile daha önce bir hesap açılmış ise “ad.soyad” kombinasyonunun ardına her seferinde bir artacak şekilde sıradaki sayı eklenir. (yilmaz.demir2, yilmaz.demir3 gibi).

    3.6.6. Kurumsal e-Posta kullanım kayıtları e-posta hizmeti alınan firmanın hosting sisteminde tutulur. Bu kayıtlar, yalnızca yetkili kişi, tarafından incelenebilir.

    3.6.7. Şirket tarafından uygulanan e-Posta yönetimi ve güvenliği ile ilgili politikalar şu şekildedir:

    3.6.7.1. Kullanıcıların e-Posta hesaplarına tarayıcı programları, masaüstü istemci uygulaması (Office, Outlook) ve cep telefonları üzerinden güvenli olarak erişebilmeleri için gerekli servisler sağlanır.

    3.6.7.2. Kullanıcı, sistem tarafından oluşturulan parolayı, ilk kullanımda Parola Yönetim Politikası’na göre değiştirir.

    3.6.7.3. Kullanıcıların son kullandığı üç parolayı kullanması engellenir.

    3.6.7.4. Kullanıcılar, altı ayda bir parolalarını değiştirmeye zorlanır.

    3.6.7.5. Kullanıcılara e-Posta hesabı ilk kez açıldığında 1GB disk alanı tanımlanır. Kota artırımı e-Posta hizmet sağlayıcısı tarafından dinamik olarak yapılır.

    3.6.7.6. Yüksek sayıda üye içeren dağıtım grupları, tüm kullanıcılar tarafından görülen genel adres defterinden gizlenir.

    3.6.7.7. Kullanıcılar, kendilerine tahsis edilen e-Posta hesabını bir başka kişiye kullandıramaz veya devredemez.

    3.6.7.8. Kullanıcılar, kendilerine ait parolanın güvenliğinden ve söz konusu parola kullanılarak gönderilen e-Postalardan doğacak hukuki işlemlerden sorumludur.

    3.6.7.9. Kurumsal e-Posta hesabı yalnızca kurumsal süreçlere ilişkin iş ve işlemlerde kullanılabilir. Kurumsal e-Posta hesaplarının, idari ve hukuki düzenlemelere aykırı ya da şahsi iş ve işlemlere ilişkin kullanımından kaynaklanan her türlü adli, idari, mali ve cezai sorumluluk ilgili hesap kullanıcısına aittir.

    3.6.7.10. Sosyal medya, alışveriş siteleri, internet haber grupları, forumlar gibi üyelik isteyen uygulamalarda, şirket tarafından verilen kurumsal e-Posta hesapları kullanılamaz. Aksine durumlarda, yapılan tüm işlemlerden ve dile getirilen ifadelerden, ilgili kullanıcı sorumludur.

    3.6.7.11. Konusu suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden ve sahip olduğu görev kapsamı içindeki iş ve işlemler dışındaki e-Posta hesabının kullanımından kullanıcı sorumludur.

    3.6.7.12. Kullanıcılar, e-Posta hesaplarında hukuki açıdan suç teşkil edecek materyal ve belgeleri bulunduramaz. Kullanıcılar, kendi kullanıcı hesaplarında barındırdıkları içeriklerden ve gerçekleştirilen tüm elektronik posta işlemlerinden sorumludur.

    3.6.7.13. e-Posta gönderimlerinde, mesajın en alt kısmına gönderen kişinin kimlik ve iletişim bilgileri yazılır.

    3.6.7.14. Kullanıcılar, gelen veya giden mesajlarının şirket içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemek için her türlü tedbiri alır.

    3.6.7.15. Tanınmayan elektronik postaların açılması, eklentilerinde bulunan dosya veya programlar kesinlikle açılmaz, indirilip çalıştırılmasından kaynaklanabilecek güvenlik sorunlarının sorumluluğu kullanıcıya aittir.

    3.6.7.16. Spam, zincir, sahte vb. zararlı olduğu düşünülen e-Postalara yanıt verilmez.

    3.6.7.17. e-Posta güvenliği ile ilgili şüpheli bir durum oluşması halinde ivedilikle BGYS temsilcisine haber verilir.

    3.7. Sosyal Mühendislik ve Sosyal Medya Güvenliği

    3.7.1. Sosyal mühendislik, normalde insanların tanımadıkları birisi için yapmayacakları şeyleri yapmalarını sağlama sanatı olarak tanımlanır. Başka bir tanım ise insanoğlunun zaaflarını kullanarak istenilen bilgiyi, veriyi elde etme sanatıdır.

    3.7.2. Sosyal mühendislik yapan kötü niyetli kişiler, sosyal medya ve analiz yöntemlerini kullanarak hedef kişiler hakkında bilgi toplarlar. Sonrasında sosyal mühendislik tekniklerini kullanarak insanların zaaflarından faydalanıp istedikleri bilgilere ulaşmak için çalışma yaparlar.

    3.7.3. Sosyal mühendislik saldırılarından korunmak için kişisel olarak dikkat edilmesi gereken hususlar şu şekildedir:

    3.7.3.1. Taşıdığınız ve işlediğiniz verilerin öneminin bilincinde olunuz.

    3.7.3.2. Bilgilerin kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket ediniz.

    3.7.3.3. Arkadaşlarınızla, çevrenizle paylaştığınız kayıtları seçerken dikkat ediniz.

    3.7.3.4. Özellikle telefonda, e-Posta veya sohbet yoluyla yapılan haberleşmelerde parola gibi özel bilgilerinizi kesinlikle paylaşmayınız.

    3.7.3.5. Parola kişiye özel bilgidir, sistem yöneticiniz dahil telefonda veya e-Posta ile parolanızı hiç kimseyle kesinlikle paylaşmayınız.

    3.7.3.6. Çöpe atılan kağıtlara dikkat ediniz. Kişisel veri içeren ya da kuruma ait bilgilerin yer aldığı kağıtları imha ediniz.

    3.7.3.7. Çok acele bilgi istendiği zaman istenen bilginin niteliğine göre teyit mekanizması kullanınız.

    3.7.3.8. Bilgisayarınızı yabancı bir kişiye kullandırmayınız. Bu kişiler tarafından bilgisayarınıza takılacak olan USB depolama aygıtları ya da harici disklerden bilgisayarınıza zararlı yazılım bulaştırabilir.

    3.7.3.9. Hediye olarak verilen USB depolama aygıtlarını kullanmadan önce mutlaka virüs taramasından geçiriniz.

    3.7.4.  Kişisel Sosyal Medya Güvenliği

    3.7.4.1. Sosyal medya hesaplarına giriş için kullanılan parolalar ile şirket içinde kullanılan parolalar farklı seçilir.

    3.7.4.2. Şirket içi bilgiler sosyal medya ortamlarında paylaşılmaz.

    3.7.4.3. Şirkete ait gizli bilgiler, resmi yazılar, çeşitli gelişmeler sosyal medya ortamında yayımlanamaz.

    3.7.4.4. Eğitimlerde sosyal medya güvenliği ile ilgili hususlara yer verilir.

     

    4. VARLIK YÖNETİMİ

    4.1. BGYS Bakış Açısıyla Varlıklar

    4.1.1. Varlık, şirket için değeri olan herhangi bir şey olarak tanımlanabilir.

    4.1.2. Standart envanter yönetimi bakış açısıyla, maddi değeri olan tüm varlıklar kayıt altına alınır ve takibi yapılır.

    4.1.3. BGYS bakış açısıyla varlıklar biraz daha farklılık arz eder. Envantere kayıtlı olup olmadığına bakılmaksızın şirkete ait tüm hassas bilgiler ve bu bilgilerin işlendiği ortamlar “varlık” olarak değerlendirilir.

    4.1.4. BGYS kapsamında varlık envanterine esas olan varlık kategorileri aşağıdaki gibidir.

    4.1.4.1. İş Süreçleri: Kurumsal bilgi varlıklarının kullanıldığı, çeşitli vasıtalarla hassas ilgilerin yoğun olarak işlendiği iş süreçleri

    4.1.4.2. Kurumsal Bilgi Varlıkları: Elektronik veya kâğıt ortamda personel kayıt ve dosyaları, kurumsal evraklar, bilgisayarlarda saklanan ve şirket için değeri olan veriler, raporlar, listeler, faturalar, sözleşmeler, teklifler, telifler, lisanslar vb.

    4.1.4.3. Yazılımlar: İşletim sistemleri, ofis uygulamaları, kurumsal yazılımlar vb.

    4.1.4.4. Fiziksel varlıklar: Masaüstü bilgisayarlar, taşınabilir bilgisayarlar, depolama birimleri, yedekleme birimleri, aktif cihazlar, yazıcılar, telefonlar vb.

    4.1.4.5. İnsan Kaynakları: Çalışanlar

    4.1.4.6. Altyapı: Bina giriş/çıkış kontrol sistemleri, kamera sistemleri vb.

    4.1.4.7. Mekanlar: Yönetim ve hizmet odaları vb.

    4.2. Varlık Envanterinin Tespiti

    4.2.1. Bilgi güvenliği yetkilisince, şirketin iş süreçleri analiz edilir ve bilgi varlıklarının envanteri belirlenir.

    4.2.2. Envanterde yer alan her bir varlık için “varlık sahibi” belirlenir. Varlık sahibi gerçek bir kişi olabileceği gibi, bir birim ya da şirkette de olabilir.

    4.2.3. Envanter belirleme işlemi bir kez yapılan ve tamamlanan bir iş değildir. Hazırlanan envanterin, doğruluğunun kontrol edilmesi ve sürekli olarak güncel tutulması gerekir. Envanter tespit süreci, bir döngü şeklinde, periyodik olarak yapılması gereken bir faaliyettir.

    4.2.4. Varlık envanteri, sadece fiziksel varlıklar veya bilgi sistem teçhizatından oluşmaz. Varlıklar belirlenirken, başta hassas bilgilerin işlendiği kritik iş süreçleri olmak üzere, bu süreçlere konu olan tüm kurumsal bilgi varlıklarının ortaya çıkarılması gerekir.

    4.2.5. Şirket bilgi varlıklarının tespitinde  Bilgi Varlıkları Envanter Çizelgesi kullanılabilir.

    4.2.6. Varlık sahipleri;

    4.2.6.1. Varlıklarını envantere doğru olarak kaydettirmekten,

    4.2.6.2. Varlıklarına uygun şekilde korunmasından,

    4.2.6.3. Varlıkların silinmesi ya da imha edilmesinde uygun işlemlerin uygulanmasından sorumludur.

    4.2.7. Çalışanlar ve dış tarafların kullanıcıları; iş akitleri, sözleşmeleri veya anlaşmaları sona erdiğinde, ellerinde olan tüm kurumsal varlıkları iade etmekle mükelleftir.

    4.3. Bilgi Sınıflandırma/Gizlilik Derecelerinin Verilmesi

    4.3.1. Şirket bilgi varlıkları, içerdikleri verilerin hassasiyeti, şirket için taşıdıkları önem ve yasal zorunluluklar dikkate alınarak uygun bir şekilde sınıflandırılır/gizlilik derecesi verilir.

    4.3.2. Gerek elektronik ortamda, gerekse basılı ortamda saklanan bilgilerin;

    4.3.2.1. Bilgiye erişimin kayıt ve kontrol altına alınması,

    4.3.2.2. İzinsiz kopyalamanın önlenmesi,

    4.3.2.3. Elektronik veya basılı olarak depolama süresi ve koşullarının tanımlanması,

    4.3.2.4. İletim hassasiyetinin belirlenmesi,

    4.3.2.5. Gerektiğinde kanıt olarak kullanılmak üzere bütünlüğünün sağlanması,

    4.3.2.6. İhtiyacın sonlanması durumunda imha edilmesi süreçlerinin tanımlanması için uygun şekil ve yöntemlerle etiketlenmesi gerekir.

    4.3.2.7. Tasnif dışı bilgiler için etiketleme yapılmasına gerek yoktur.

    4.3.3. Bu kapsamda;

    4.3.3.1. Her sayfaya gizlilik dereceleri yazılır ve damgalanır.

    4.3.3.2. Ekler de yazı ile aynı gizlilik derecesini taşır.

    4.3.3.3. Gizlilik dereceli bütün yazılar, zaman zaman gizlilik derecelerinin yeniden değerlendirilmesi bakımından gözden geçirilir.

    4.3.3.4. Gizlilik dereceli ve bilhassa kontrollü yazılarda kullanılan müsveddeler, karbon kağıtları ve yanlış yazılar muhakkak imha edilir.

    4.3.3.5. Gizlilik dereceli evrak, kağıt sepetine bütün olarak atılmaz. Kağıt kırpa makinaları kullanılmak suretiyle imha edilir.

    4.3.3.6. Gizli ve özel gizlilik derecesini haiz evrak ve belgeler izinsiz olarak çoğaltılamaz.

    4.3.3.7. Gizlilik derecesi taşıyan bilgileri veya belgeleri görevi dışında elde eden veya belgeleri görenler, bu bilgiyi ve belge içeriğini görevlerinin gerektirdiği haller dışında açıklayamaz, çoğaltamaz veya paylaşamazlar.

    4.4. Taşınabilir Ortam Yönetimi

    4.4.1. Kaybolma, kolayca çoğaltma vb. nedenlerden dolayı özellikle elektronik medya (CD/DVD, USB girişli hafif taşınabilir bellekler, taşınabilir diskler, hafıza kartları, teyp kartuşları vb.) ve basılı evraklar (yazılar, dosya klasörleri, etüdler, çizimler, krokiler, proje evrakları vb.) olmak üzere taşınabilir ortamlarda saklanan her türlü bilginin korunması ve yetkisiz kişilerin eline geçmemesi için özel önlemler alınır.

    4.4.2. Elektronik medya da dahil tüm taşınabilir ortamlar, kullanılmadığı zamanlarda içinde bulunan verilerin gizlilik derecesi dikkate alınarak fiziki güvenlik tedbirleri alınmış kasa, dolap, çekmece gibi ortamlarda saklanır.

    4.4.3. Taşınabilir ortamların bir yerden başka yere taşınması esnasında yetkisiz erişim, kötüye kullanım ve bozulmaya karşı gerekli önlemler alınır.

    4.5. Ortamın Yok Edilmesi

    4.5.1. Ekonomik ömrünü tamamlamış olan veya tamamlamadığı halde teknik veya fiziki nedenlerle kullanılmasında yarar görülmeyerek hizmet dışı bırakılmasına karar verilen bilgi sistem cihazları ile ilgili kayıt silme işlemleri ilgili birimler ve komisyonlar tarafından yapılır.

    4.5.2. Kaydı silinen bilgi sistem cihazlarına ait veri depolama üniteleri, içerisinde gizlilik dereceli bilgi bulundurma ihtimali nedeniyle usulüne uygun olarak imha edilir veya güvenli silme işlemi yapılır.

    4.5.3. Kaydı silinen bilgisayarların sabit diskleri, ilgili teknik birimlerden destek alınmak suretiyle sökülür.

    4.5.4. Sökülen sabit disklerden daha önce ilgili teknik servisler tarafından “onarımı mümkün değil” şeklinde rapor verilenler ile sağlam olmakla birlikte “yeniden kullanımı düşünülmeyen” cihazlar aşağıda belirtilen yöntemlerden biri ya da birkaçı birlikte kullanılmak suretiyle imha edilir:

    4.5.4.1. De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

    4.5.4.2. Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerekir.

    4.5.5. İmhasına karar verilen sabit disklerin fiziksel imha işlemlerinin standartlara uygun şekilde yürütülmesi maksadıyla, disk imha cihazı kullanılabilir. Disk imha işlemleri, bizzat disklerin sahiplerinin nezaretinde yapılır.

    4.5.6. Bilgisayarların sabit diskleri dışında hassas veri bulundurma ihtimali olan diğer depolama ortamları, ortam türüne bağlı olarak aşağıda yer alan yöntemlerden biri kullanılarak yok edilir.

    4.5.6.1. Ağ cihazları (anahtarlama cihazı, yönlendirici vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

    4.5.6.2. Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa komutunu kullanarak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemi ile yok edilmesi gerekir.

    4.5.6.3. Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta ancak çoğunda yok etme komutu bulunmamaktadır. Kılavuz’un 4.5.4 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

    4.5.6.4. Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.

    4.5.7. Kağıt ve mikrofiş ortamlarındaki veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir.

    4.5.8. Orijinal kağıt formattan tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre Kılavuz’un 4.5.4 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

    4.5.9. Yeniden kullanılması planlanan disklere, içlerinde yer alan bilgilerin yetkisiz kişilerin eline geçmesini engellemek maksadıyla ‘güvenli sil’ (üzerine yazma) işlemi yapılır.

    4.5.10. Bulut ortamındaki sistemlerde yer alan hassas verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılamaz hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.

    4.5.11. Arızalanan ya da bakıma gönderilen cihazlarda yer alan hassas verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:

    4.5.11.1. İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan verilerin güvenli silme işlemine tabi tutulması,

    4.5.11.2. Güvenli silme işleminin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,

    4.5.11.3. Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, hassas verileri kopyalayarak şirket dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekir.

     

    5. RİSK YÖNETİMİ

    5.1. Genel

    5.1.1. Şirketin, stratejik hedeflerine ulaşmasını veya olağan faaliyetlerini gerçekleştirmesini belirsiz kılabilecek iç ve dış faktörler olabilir. Bu faktörlerin etkisine risk denir.

    5.1.2. Şirketin hedeflerine bağlı olarak farklı risk yönetimi yaklaşımları da uygulanabilir.

    5.1.3. Risk yönetimi, bir tehdidin gerçekleşme olasılığı ile gerçekleşmesi halinde yol açacağı sonucun şiddetinin birlikte ele alınmasıdır.

    5.1.4. Şirketin bilgi güvenliği komisyonunca, risklerin belirlenmesi ve analiz edilmesi gerekir.

    5.1.5. Risk analizi, risklerin kapsamlı olarak anlaşılmasını sağlayan yöntemler ile risklerin belirlenmesini, risklerin oluşması halinde ortaya çıkabilecek zararın şiddetini ele alacak şekilde değerlendirilmesini ifade etmektedir.

    5.1.6. Yönetim tarafından şirketin stratejik hedefleri ve bilgi güvenliği bakış açısıyla sürdürülebilir ve yönetilebilir bir risk yönetimi yaklaşımı belirlenir ve risk yönetimi politikası oluşturulur. Risk çalışmasının kapsamı şirketin iş faaliyetleri ile sınırlıdır.

    5.1.7. Belirlenen risk düzeylerine göre önlemler alınır ve iyileştirme çalışmaları yapılır. İhlal olaylarının incelenmesi, güncel tehditlerin takip edilmesi, zafiyet testleri ile zayıflık eşiklerinin ölçülmesi gibi yöntemlerle risk yönetiminin etkinliği sürekli izlenir ve iyileştirilir.

    5.1.8. Risk analizlerinde bilhassa aşağıdaki hususlara yönelik riskler değerlendirilir:

    5.1.8.1. Sistem, ağ ve kaynaklarına erişim kontrolünde güvenli kimlik doğrulama yöntemlerinin kullanılması,

    5.1.8.2. Uygulama kullanıcısı, yönetici kullanıcı ve teknik kullanıcıların yetkilendirme ve erişim yöntemleri,

    5.1.8.3. Kullanıcıların görev, sorumluluk ve yetkilerinin ayrılması,

    5.1.8.4. Kullanılabilirlik, gizlilik ve bütünlük çerçevesinde varlıkların korunma dereceleri,

    5.1.8.5. Tedarik edilen hizmet ve ürünlerin de kurumsal güvenlik gereksinimlerine uyumu.

    5.1.9. Risk yönetimi; riskin belirlenmesi, riskin analiz edilmesi ve kurumsal risk kıstaslarını sağlamak için risk iyileştirmesi yoluyla riskin değiştirilip değiştirilemeyeceğinin değerlendirilmesi aşamalarını içerir.

    5.2. Sorumluluklar

    5.2.1. Yönetim, risk yönetimi politika ve prosedürlerinin oluşturulması, etkin şekilde uygulanması, sürekli geliştirilmesi ve risk yönetim planının gerçekleştirilmesini sağlamaktan sorumludur.

    5.2.2. Bilgi Güvenliği Komisyonu, risk çalışmasının etkin olarak yürütülmesinden ve üst yönetime raporlanmasından sorumludur.

    5.2.3. Tüm şirket personeli icra etmekle sorumlu olduğu iş sürecine ilişkin bilgi varlıklarını bilgi güvenliği risklerine karşı korumakla, gerekli tedbirleri almakla ya da alınması için çalışma yapmakla sorumludur.

    5.3. Risk Yönetimi

    Risk yönetiminin aşamaları ve her bir aşamada yapılması gereken hususlar alt maddelerde açıklandığı şekildedir.

    5.3.1. Varlıkların Tanımlanması

    5.3.1.1. Bilgi güvenliği risk çalışmasına konu olan kapsam ve sınırlar içerisindeki tüm bilgi varlıklarının tanımlanması aşamasıdır.

    5.3.1.2. Risk çalışmalarında, kayıt altına alınan varlıklar esas alınır.

    5.3.2. Varlıkların Değerinin Belirlenmesi

    5.3.2.1. Varlığın kullanılmakta olduğu iş süreci, etkilediği süreçler, mali kıymeti gibi unsurlar dikkate alınarak varlık sahibi tarafından varlığa bir değer atanır. Varlık değerinin belirlenmesi risk yönetim sürecinin en önemli parçasıdır. Sonraki aşamalar bu aşama üzerine kurulur.

    5.3.2.2. Yönetim varlık değerinin belirlenmesi için etkin ve kolay kullanılabilecek bir yöntem belirler. En kabul görmüş yöntem, varlığın gizlilik, bütünlük ve erişilebilirlik değerlerinin en yüksek olanının alınmasıdır.

    5.3.3. Tehdit ve Zafiyetlerin Gerçekleşme Olasılıklarının Belirlenmesi

    5.3.3.1. Tehdit; bilgi, süreçler ve sistemlere zarar verme potansiyeline sahip her şeydir. Tehditler doğal veya insan kaynaklı, içeriden veya dışarıdan, kazara veya kasıtlı olabilir. Tehditler türlerine ve kaynağına göre tanımlanır.

    5.3.3.2. Zafiyet, herhangi bir tehdidin, bilgi varlıklarının güvenliğini azaltmaya neden olabilecek zayıflıktır. Bilişim temelli sistemler ya da şirket personeli potansiyel olarak bir zafiyet yani açık oluşturabilir. Zafiyetler belirlenen tehditler ile ilişkilendirilir.

    5.3.3.3. Tehditler, bu tehditlerin gerçekleşmesi durumunda etkilenecek varlıklar ve bu varlıklara ilişkin zafiyetler belirlenir ve riskin oluşmasına ilişkin bir olasılık değeri belirlenir. Olasılık değeri, bilgi güvenliği olayının gerçekleşme olasılığını ifade eder.

    5.3.3.4. Bir tehdit birden fazla etkiye neden olabilir. Yani farklı bilgi güvenliği olaylarına neden olabilir. Bu nedenle her bir tehdit senaryosunun ve etkisinin olasılığını ayrı ayrı değerlendirmek ve risk analiz tablosuna ayrıca işlemek gerekir.

    5.3.4. İşe Etki Değerlerinin Belirlenmesi

    5.3.4.1. Varlık sahibi tarafından; riskin gerçekleşmesi durumunda, varlığın kullanıldığı ve bağımlı olduğu iş süreçlerine yapacağı etkiler gizlilik, bütünlük ve erişilebilirlik açısından incelenir ve her birine ayrı bir puan verilir.

    5.3.4.2. İşe etki değerinin belirlenmesinde gizlilik, bütünlük ve erişilebilirlik değerlerinin ortalamasının alınması ya da en yüksek değerin kullanılması gibi farklı yöntemler kullanılabilir.

    5.3.4.3. Risk puanı hesaplanırken gizlilik, bütünlük ve erişilebilirlik için belirlenen etki değerlerinden en yüksek değer dikkate alınır.

    5.3.5. Risk Puanı Hesaplama

    5.3.5.1. Risk değerlendirme ve işleme için risk seviyesinin hesaplanması gerekir.

    5.3.5.2. Risk puanı hesaplamak için birçok yöntem kullanılabilir. Örnek bir risk değeri hesaplama yöntemi aşağıdaki gibidir:

    “Risk Değeri = Varlık Mutlak Değeri (Varlık Değeri X İşe Etki Değeri) X Olasılık Değeri”

    5.3.6. Risk Önceliklendirme

    5.3.6.1. Risk puanının hesaplanmasından sonraki adım, riskleri değerlendirmek ve tehdit seviyelerine göre önceliklendirmektir.

    5.3.6.2. Risklerin anlamlandırılması ve önceliklendirilmesi aşağıdaki tabloya göre yapılır.

     

    Risk Değeri

    Risk Önceliği

    1-25

    Düşük

    26-50

    Orta

    51-75

    Yüksek

    76-100

    Çok Yüksek

     

    5.3.7. Risk Kararı

    5.3.7.1. Risk değerlendirme kararı; tanımlanmış iç ve dış paydaşların beklentileri, şirketin bilgi güvenliği hedefleri vb. unsurlar dikkate alınarak yönetim tarafından verilir. Örneğin: Bir riskin değerlendirilmesine ilişkin verilecek kararda, ilgili varlık ya da varlık grubunun desteklediği iş sürecinin ya da faaliyetinin önemi veya sözleşme, yasal ve düzenleyici gereklilikler üzerindeki rolü göz önüne alınmalıdır.

    5.3.7.2. “Kabul edilebilir” risk seviyesi, yasal yükümlülüklere ve kurumsal politikalara uygun, kurumsal itibar zedelenmesi veya hizmeti yerine getirmeye engel olabilecek herhangi bir durum oluşturmayacak risk seviyesini ifade eder.

    5.3.7.3. Kabul edilebilir risk seviyesi yönetimin risk toleransına bağlıdır ve yönetim tarafından karar verilmesi gereken bir husustur. Genel olarak 25 puana kadar olan düşük seviyeli riskler kabul edilebilir risk olarak kabul edilir.

    5.3.7.4. Risk puanının hesaplanması sonucunda elde edilen risk seviyesine, maliyet ve riskin ortadan kaldırılmasından beklenen faydaya göre risk ile ilgili karar alınır. Risk kararı seçenekleri şu şekildedir:

    5.3.7.4.1. Risk Kabul: Risk puanı düşük seviyede ve risk puanının düşürülmesi için ek önlem alınmasına gerek yok ise veya alınacak ek önlemlerin maliyeti riskin gerçekleşmesi durumunda vereceği zarardan yüksek ise risk kabul kararı alınabilir.

    5.3.7.4.2. Risk Azaltma: Risk puanını düşürmeye yönelik olasılık ya da etki değerini düşürecek önlemler alınmasıdır. Riski azaltma kararı alırken zaman, finans, operasyon kabiliyeti, değişikliği uygulayabilme gibi kısıtları göz önüne almak gerekir. Risk azaltma kararında yapılacak eylemler, planlanan tarih ve sorumlular açıkça belirtilmelidir.

    5.3.7.4.3. Risk Transfer: Riski azaltmak için yapılacak eylemler bu işi daha profesyonel şekilde yönetebilecek bir dış paydaşa sözleşme ile transfer edilebilir. Riski transfer etmek, riskin gerçekleşmesi durumunda oluşacak etkiden doğacak tüm zararı transfer etmek anlamına gelmediği için transfer edilen risk sürekli izlenmeli ve kontroller denetlenmelidir.

    5.3.7.4.4. Riskten Kaçınma: Riski azaltma için alınacak önlemler finans veya operasyon gibi kısıtlar nedeni ile uygulanabilir değil ise bu riski doğuran faaliyet veya durumdan kaçınılmalıdır. Riski doğuran faaliyetin durdurulması ya da ürünün kullanılmasından vazgeçilmesi riskten kaçınma kararıdır.

    5.3.8. Risk İşleme

    5.3.8.1. Risk İyileştirme Planlarının Hazırlanması

    5.3.8.1.1. Risk iyileştirme planları; kurumsal risk haritasının çıkarılması, seçilen iyileştirme seçeneklerinin nasıl gerçekleşeceğinin planlanması ve yapılan çalışmaların kayıt altına alınması amacıyla hazırlanır.

    5.3.8.1.2. Bu bölümde belirtilen risk işleme metodolojisi uyarınca hazırlanmış örnek bir Risk İyileştirme Planı mevcuttur.

    5.3.8.2. Risk Analizi İletişimi ve İstişaresi

    5.3.8.2.1. Bilgi güvenliği komisyonu, üst yönetim ve varlık sahipleri şirket tarafından önceden belirlenmiş zaman aralıkları ile bir araya gelerek risklerin varlığı, şiddeti, tedavisi ve kabul edilebilirliği üzerinde çalışma gerçekleştirir.

    5.3.8.3. Bilgi Güvenliği Risklerinin İzlenmesi ve Gözden Geçirilmesi

    5.3.8.3.1. Riskler statik değildir. Tehditler, zayıf noktalar, olasılıklar veya sonuçlar varlık yaşam döngüsü boyunca değişiklik gösterir. Riskler ve faktörlerini, iç ve dış bağlam değişikliklerini izlemek, olası değişiklikleri erken belirlemek için riskler sürekli izlenmeli ve gözden geçirilmelidir.

    5.3.9. Raporlama ve Kayıtlar

    5.3.9.1. Risk yönetimi boyunca riskler ile ilgili mutabakata varılan kontrol önlemlerinin ne aşamada olduğu, risk planlarının iyileştirilmesi için gerekli olan kaynaklar ve eylemler, hiçbir risk veya risk unsurunun gözden kaçırılmadığından ve gerekli önlemlerin alındığından emin olunması için risk planlarının özetleri rapor olarak üst yönetime sunulmalı ve muhafaza edilmelidir.

    5.3.9.2. Yönetim tarafından risk değerlendirme ölçütleri, etki şiddetlerini kabul etmek seviyeleri gibi temel yaklaşımları ele alan uygun bir risk yönetimi bakış açısı geliştirilir ve risk yönetim prosedüründe yazılı olarak belirtilir.

    5.3.9.3. Hangi risk yönetim metodu kullanıldığına bakılmaksızın risk tanımlama formu ve risk analiz tablosu kayıtlarının oluşturulması, muhafazası ve güncellenmesi gerekir.

     

    6. ERİŞİM KONTROLÜ

    6.1. Erişim Kontrol Politikası

    6.1.1. Erişim kontrolünün amacı, bilgi ve bilgi işleme tesislerine yapılacak olan erişimlerin kısıtlanması, sadece yetki verilen kişilerin kontrollü ve kayıt altına alınarak bilgiye erişmesine imkan verecek bir sistemin tesis edilmesidir.

    6.1.2. Erişim kontrolü ile ilgili hususları açıklamak üzere, kurumun BGYS politikası ile uyumlu olacak şekilde “Erişim Kontrol Politikası” dokümanı hazırlanır. 6698 sayılı Kanun kapsamında çıkarılan ikincil mevzuat uyarınca, kişisel verilere erişim için yapılan düzenlemeler söz konusu doküman içinde ayrı bir başlık/bölüm olarak ayrıntılı bir şekilde açıklanır.

    6.1.3. Erişim kontrol politikası, şirketin bilgi güvenliği yetkilisi tarafından hazırlanır ve bilgi güvenliği komisyonu tarafından onaylanarak yayımlanır.

    6.1.4. Erişim kontrol politikasının ayrılmaz bir parçası olarak “erişim yetki ve kontrol matrisi”  oluşturulur. Erişim yetki ve kontrol matrisinde kimin, hangi bilgiye, hangi yetkilerle erişeceği ve erişimin kontrolü için kullanılacak yöntemler yer alır.

    6.1.5. Erişim kontrol politikası/erişim yetki ve kontrol matrisleri hazırlanırken aşağıda sıralanan prensipler dikkate alınır:

    6.1.6.1. Herhangi bir gizliliği olmayan, herkesin erişimine açık olan bilgiler için özel bir erişim kontrol tedbiri alınmasına gerek yoktur. Bu tür bilgiler, internet sitelerinin vatandaşlara açık bölümlerine konulabilir.

    6.1.6.2. Bilgiye verilen gizlilik derecesi yükseldikçe, uygulanacak olan erişim kontrol politikalarının sıkılaştırılması gerekir.

    6.1.6.3. Bilgiye kimin hangi yetki ile erişeceği kararı, bizzat bilgi varlıklarının sahipleri tarafından verilir.

    6.1.6.4. Bilgiye erişim talepleri ve ilgili makamlarca bu taleplere yapılan işlemlerin takip edilebilirliğini sağlamak üzere yazılı kurallar oluşturulur.

    6.1.6.5. Erişim izinleri ile ilgili kayıtlar, varsa ilgili mevzuatta belirtilen sürelerce, yoksa varlığın sahibi tarafından belirlenecek süre boyunca saklanır.

    6.1.6.6. Erişim izinleri verilirken, “görevlerin ayrılığı” ve “bilmesi gereken” prensiplerine göre hareket edilir.

    6.1.6.7. “Bilmesi gereken” prensibi uyarınca; sistemde bulunan süreçler ve kullanıcılara, sistem kaynaklarına erişirken, kendilerine atanmış görevlerini gerçekleştirmelerine yetecek kadar yetki verilir.

    6.1.6.8. Kullanıcıların kimliklerinin doğrulanması için asgari teknik önlem olarak, parola kullanımı zorunlu tutulur.

    6.1.6.9. Bilgi varlıklarına fiziksel olarak yapılacak erişimler için Kılavuz’un 8. (Fiziksel ve Çevresel güvenlik) maddesinde belirtilen önlemler alınır.

    6.2. Kullanıcı Erişimlerinin Yönetimi

    6.2.1. Kullanıcı erişimlerinin yönetimi, sistemlere yetkisiz olarak yapılacak erişimleri engellemek ve sadece yetkili kullanıcıların erişimlerini temin etmek için yapılır.

    6.2.2. Kullanıcı erişimleri ile ilgili yönetim esasları belirlenirken aşağıdaki hususlar dikkate alınır:

    6.2.2.1. Sisteme erişim için nasıl müracaat edileceği,

    6.2.2.2. Müracaat esnasında hangi bilgilerin isteneceği,

    6.2.2.3. Kullanıcıların yetkilendirilmesinde kullanılan roller ve haklarının neler olduğu,

    6.2.2.4. Ayrıcalıklı erişim taleplerinin nasıl değerlendirileceği,

    6.2.2.5. Kullanıcı erişimlerinin izlenmesi için alınmış olan tedbirler,

    6.2.2.6. Kullanıcı hesaplarının kapatılması/silinmesi için yapılacak işlemler.

    6.2.3. Sistemlerin sahiplerince erişim hakları periyodik olarak incelenir. Bilmesi gereken prensibi uyarınca gereksiz olarak verilmiş yetkilerin kaldırılması sağlanır.

    6.2.4. İncelemeler tüm kullanıcılar için düzenli aralıklarla ve rutin olarak en az 6 (altı) aylık aralıklarla yapılır.

    6.2.5. Bireysel kullanıcı erişim hakları, terfi veya sorumlulukların değiştirilmesi veya görev yeri değişiklikleri sonrasında gözden geçirilir.

    6.2.6. 90 gün veya daha fazla süre ile kullanılmayan hesaplar devre dışı bırakılır ve erişim izinleri askıya alınır. Bu süre kurumların bilgi güvenliği komisyonları tarafından değiştirilebilir. Her bir sistem için belirlenecek süreler, kurumların erişim kontrol politikası içinde yazılı olarak kayıt altına alınır.

    6.2.7. Sistem ve uygulamaların kontrollerini geçersiz kılma kabiliyetine sahip olabilen destek programlarının kullanımı kısıtlanır ve sıkı bir şekilde kontrol edilir.

     

    6.3. Parola Güvenliği

    6.3.1. Bilgi Güvenliği Yetkililerince “Parola Politikası” oluşturulur ve yazılı hale getirilir. Hazırlanan “Parola Politikası” şirketin Bilgi Güvenliği Komisyonu tarafından onaylanır ve tüm çalışanlara duyurulur.

    6.3.2. Parola politikaları belirlenirken, sistem ve uygulamaların, kullanıcıları asgari olarak aşağıdaki kurallara uygun parola kullanmaya zorlamaları sağlanır.

    6.3.2.1. Parolalar en az 6 (altı) karakterden oluşur.

    6.3.2.2. İçerisinde en az 1 (bir) tane büyük ve en az 1(bir) tane küçük harf bulunur.

    6.3.2.3. İçerisinde en az 1 (bir) tane rakam bulunur.

    6.3.2.4. İçerisinde en az 1 (bir) tane özel karakter bulunur. (@, !,?,A,+,$,#,&,/,{,*,-,],=,...)

    6.3.2.5. Kişisel bilgiler veya klavye kombinasyonları ile basitçe üretilebilecek karakter dizilerinin kullanılması engellenir. (Örneğin 12345678, qwerty, doğum tarihi, çocuğun adı, soyadı gibi)

    6.3.2.6. Kullanıcının son 3 (üç) parolayı tekrar kullanması ve aynı parolayı düzenli kullanması engellenir.

    6.3.3. Kullanıcı hesaplarına ait parolalar en geç 6 (altı) ayda bir değiştirilmesi sağlanır.

    6.3.4. Sistem yöneticileri ayrıcalıklı işlemleri normal kullanıcı adı ve parola ile yapmaz. Bu maksatla farklı kullanıcı adı ve parola kullanılır.

    6.3.5. Parolalar, e-Posta iletilerine veya herhangi bir elektronik forma eklenmez.

    6.3.6. Parolalar gizli bilgi olarak muhafaza edilir. Kişiye özeldir ve her ne suretle olursa olsun başkaları ile paylaşılmaz. Kağıtlara ya da elektronik ortamlara yazılamaz.

    6.3.7. Şirket çalışanı olmayan kişiler için açılan geçici kullanıcı hesapları da bu bölümde belirtilen parola oluşturma özelliklerine uygun olmak zorundadır.

    6.3.8. İnternet tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki “parola hatırlama” seçeneği kullanılması bilgi güvenliği açısından sakıncalı olup kullanıcılara farkındalık eğitimlerinde bu hususun önemi iletilir.

    6.4. Merkezi Aktif Dizin ve E-Posta Sistemine Erişim

    6.4.1. Tüm şirket kullanıcılarına “*@mateteknoloji.com.tr” uzantılı e-Posta hesaplarının açılması maksadıyla e-Posta Sistemi kurulur ve işletilir.

    6.4.2. Kullanıcı için e-Posta hesabı açma, e-Posta hesabını askıya alma, e-Posta hesabını silme gibi işlemler Bilgi Güvenliği komisyonu tarafından yapılır.

    6.4.3. Personel için kurumsal e-Posta hesap işlemleri işe başlama formunun doldurulması sonrasında oluşturulur.

    6.4.4. Kullanıcı hesaplarının ve posta kutularının yönetimi

    6.4.4.1. Sistem yönetim araçları ile aktif dizin kullanıcı hesapları taranarak bir yıldan daha uzun süredir kullanılmayan kullanıcı hesapları pasife alınarak kullanıma kapatılır.

    6.4.4.2. Şirketten ayrılan, ilişiği kesilen personelin kullanıcı hesapları pasife alınarak kullanıma kapatılır.

    6.5. Veri Merkezi ve Sunucu Barındırma Hizmetlerine Erişim

    6.5.1. Gelen talepler yönetim tarafından incelenir, gerekiyorsa başvuru yapan birim ile irtibata geçilerek ilave bilgiler istenir.

    6.5.2. Talebin karşılanabileceğine karar verilmesi durumunda sunucu kurulumu yapılarak ilgilisine tahsis edilir. Aksi takdirde, neden sunucu tahsis edilemeyeceği ile ilgili gerekçeler, e-posta ile talep yapan uygulama sahibine bildirilir.

    6.5.3. Sunucuya erişim sağlayacak kullanıcının etki alanı hesabı var ise yetkilendirme yapılır. Eğer sunucuda yerel/tekil kullanıcı tanımlanmışsa parola bilgisi e-posta ile gönderilir.

    6.5.4. Sunucuda yetkilendirilmiş kullanıcının görev yerinin değiştiği veya görevden ayrıldığı bilgisinin herhangi bir şekilde BGYS komisyonuna ulaşması durumunda, ayrıca bir bildirim beklenmeksizin ilgili kişinin erişim hakları derhal iptal edilir.

    6.6. Uzaktan Çalışma ve Erişim

    6.6.1. Uzaktan çalışma, 4857 sayılı İş Kanun’unun 14’üncü maddesine göre; “çalışanların, işveren tarafından oluşturulan iş organizasyonu kapsamında, iş görme edimini evinde ya da teknolojik iletişim araçları ile işyeri dışında yerine getirmesi esasına dayalı ve yazılı olarak kurulan iş ilişkisi” olarak tanımlanmaktadır.

    6.6.2. Uzaktan çalışma; personeller, iş ortakları çalışanları tarafından yapılır.

    6.6.3. Uzaktan çalışma çalışanların evleri, iş ortaklarının ofisleri ve herkese açık alanlarda (kafeler, lokantalar, oteller vb.), yapılabilir.

    6.6.4. Uzaktan çalışma işlemi, yapısı itibarı ile güvensiz olarak kabul edilir ve bilgi güvenliğini sağlamak için önlemlerin alınması gerekir.

    6.6.5. Uzaktan çalışma ile ilgili kontrol tedbirleri belirlenirken aşağıda sıralanan dört temel tehdit unsuru/modeli dikkate alınır.

    6.6.5.1. Uzak çalışma ortamlarının fiziki güvenliğindeki yetersizlikler,

    6.6.5.2. Uzak bağlantının güvenli olmayan ağ ortamları (çoğunlukla internet) üzerinden yapılması,

    6.6.5.3. Şirket güvenlik politikaları uygulanmamış güvenilir olmayan cihazların iç ağa bağlanması,

    6.6.5.4. İç ağdaki kaynaklara dışarıdan erişim.

    6.6.6. Günümüzde teknolojinin bizlere sağlamış olduğu yetenekler kullanılmak suretiyle, farklı yöntemler kullanılarak uzak bağlantı yapılması mümkündür.

    6.6.7. Uzaktan erişim için en uygun yöntemin belirlenmesi amacıyla, her ihtiyacın kendine özgü şartları ve risklerinin ayrıntılı olarak değerlendirilmesi gerekir.

    6.6.8. Uzaktan erişim yöntemi olarak aşağıda açıklamaları verilen tünelleme, uygulama portalleri,  uzak masaüstü erişim veya doğrudan uygulama erişimi yöntemlerinin biri veya birkaçı birlikte kullanılabilir.

    6.6.8.1. Tünelleme yöntemi, uzaktan çalışmada kullanılan bilgisayar ile iç ağın kriptolojik yöntemler kullanılmak suretiyle oluşturulan güvenli bir tünel vasıtasıyla birbirine bağlanmasıdır. Tünelleme işlemi, ağırlıklı olarak sanal özel ağ (VPN:Virtual Private Network) teknolojileri vasıtasıyla yapılır. VPN işlemi IP güvenliği (IPsec: IP Security), taşıma katmanı güvenliği (TLS: Transport Layer Security) veya güvenli kabuk (SSH: Secure Shell) protokolleri kullanılmak suretiyle yapılabilir.

    6.6.8.2. Uzak masaüstü erişim çözümleri, uzaktan çalışan kullanıcıların şirketin iç ağında yer alan bir sunucu veya istemci bilgisayarın karşısındaymış gibi kullanılmasını sağlar. Bu yöntemde, uzak kullanıcılar bağlanılan bilgisayarın klavye ve fare kontrollerini uzaktan yapar hale gelirler. Uzak masaüstü erişim yöntemleri kendi içlerinde birçok kısma ayrılır. Bazı erişim modellerinde vekil/ terminal sunucu vasıtasıyla işlem yapılırken, bazı erişim modellerinde arada bir vekil/terminal sunucu olmadan da bağlantı kurulur.

    6.6.9. Uzak çalışma için hangi uzak erişim yönteminin veya yöntemlerinin kullanılacağına, yapılacak risk değerlendirmesine bağlı olarak şirketin bilgi güvenliği komisyonu tarafından karar verilir ve şirketin Erişim Kontrol Politikası içerisinde (veya ayrı bir politika olarak) yazılı olarak belirtilir.

    6.6.10. Uzaktan çalışma için kullanılacak cihazlar belirlenirken aşağıda belirtilen esaslar doğrultusunda hareket edilir:

    6.6.10.1. Uzaktan çalışma prensip olarak şirkete ait cihazlar ile yapılır.

    6.6.10.2. Uzaktan çalışacak kişi şirketimizi ile sözleşme/protokol imzalayan üçüncü taraf personeli ise ve şirkete ait bilgisayar verilemiyorsa, uzak çalışma için hangi tip cihazlar kullanılacağı ve bu cihazlarda alınması gereken tedbirler, ilgili sözleşme/protokollere konulur. Bu maksatla kullanılacak cihazlara

    ait bilgiler şirkete bildirilir. Şirket tarafından üçüncü taraflarda yapılacak denetimlerde belirtilen işlemlerin yapılıp yapılmadığı aranır.

    6.6.10.3. Uzak çalışma kapsamında uzak masaüstü bağlantısı yapılacaksa, şahısların kendilerine ait kişisel cihazlar veya sahibi bilinmeyen/herkes tarafından erişilebilen terminaller kullanılmaz. Kullanıcıların bu tip terminaller üzerinden uzak masaüstü bağlantısı yaptıklarının tespit edilmesi halinde gerekli yasal ve idari yaptırımlar uygulanır.

    6.6.10.4. Doğrudan uygulama erişimleri de dahil uzaktan çalışmanın hiçbir çeşidinde sahibi bilinmeyen/herkes tarafından erişilebilen (internet kafe, otel bilgisayarları, kiosklar vb.) kullanılmaz.

    6.6.10.5. Uzaktan çalışma için kullanılacak cihazlarda şirketimizce ait gizlilik dereceli bilgiler depolanacak ise bahse konu verilerin şifreli olarak saklanmasına imkân verecek, tercihan TPM (Trusted Platform Module) yonga setine sahip, işlemci gücü yüksek bilgisayarlar kullanılır.

    6.6.11. Uzak çalışma için kullanılacak cihaz ve ortamlarda asgari olarak aşağıda belirtilen güvenlik tedbirlerinin alınmış olması gerekir:

    6.6.11.1. Cihazlara kişisel güvenlik duvarı kurulur ve aktif hale getirilir.

    6.6.11.2. İşletim sistemi ve diğer uygulamalar için yayımlanan güvenlik yamalarının otomatik güncelleme seçilerek güncel halde tutulması sağlanır.

    6.6.11.3. Virüs, fidye yazılımları, truva atları ve benzeri zararlı yazılımlardan korunmak için uygun bir koruma yazılımı tedarik edilir. Yazılımın kendisi ve imza dosyaları güncel halde tutulur.

    6.6.11.4. Cihaz üzerinde uzaktan çalışma için kullanılmak üzere asgari yetkilere sahip ayrı bir kullanıcı hesabı açılır. Yönetici yetkisi ile uzaktan çalışma yapılmaz.

    6.6.11.5. Cihaza ekran koruma süresi konularak belli bir süre kullanılmadığında ekranın otomatik olarak kilitlenmesi sağlanır.

    6.6.11.6. Cihazlar fiziki güvenliği olmayan ortamlarda kullanılacak ise dizüstü bilgisayar kilidi kullanılmak suretiyle çalınmaya karşı cihaz emniyete alınır.

    6.6.11.7. Cihazın üzerinde yer alan ve kullanılmayan ağ özellikleri (WİFİ, bluetooth vb.) pasif hale getirilir.

    6.6.11.8. Uzaktan çalışma için kullanılan bilgisayarların yerel disklerinde yer alan kurumsal verilerin yedeklenmesi için gerekli tedbirler alınır. Alınacak bu yedekler sadece şifreli ortamlarda ve/veya şifreli yedeklenmiş olarak tutulabilir.

    6.6.11.9. Uzaktan çalışma ve uzaktan erişim için kullanılacak cihazlara çok faktörlü kimlik doğrulama yapılarak giriş yapılması tercih edilir.

    6.6.11.10. Hassas işlemlerde kullanılan üçüncü taraf bilgisayarlarındaki kurumsal verilerin kalıcı olarak silinmesi için gerekli teknik ve idari tedbirler alınır.

    6.6.11.11. Mobil cihazlara yüklenecek uygulamalar, ilgili işletim sistemi üreticisi tarafından sağlanan uygulama mağazalarından (AppStore, PlayStore vb.) indirilir.

    6.6.11.12. Kullanılan uygulamaların varsa güvenlik ayarları yapılarak daha güvenli kullanım ortamı sağlanır.

    6.6.11.13. Mobil cihaz işletim sistemi tarafından dayatılan kısıtlamalardan kurtulmak için “jailbreak” veya “rootlama” işlemi yapılmaz. Bu işlemlerin yapıldığı cihazlar, uzaktan çalışma için kullanılmaz.

    6.14.11.14. Kullanılan her türlü mobil cihaz için üreticinin sağladığı işletim sistemi güncelleştirmeleri ve yazılım güncelleştirmeleri mutlaka periyodik olarak kontrol edilir ve uygulanır.

     

    7. FİZİKSEL VE ÇEVRESEL GÜVENLİK

    7.1. Genel Hususlar

    Günümüzde bilgiler büyük oranda bilgi sistemleri vasıtasıyla işlenmekte ve sayısal ortamlarda saklanmaktadır. Bu nedenle bilgi güvenliği ile ilgili tedbirlerin önemli bir kısmını bilgi sistemleri ve ağlarının korunmasına yönelik siber güvenlik önlemleri oluşturmaktadır. Bununla birlikte, fiziksel ortamda saklanan bilgilerin veya elektronik ortamda saklanmakla birlikte bunların muhafaza edildiği bilişim sistemleri ve ağlarının güvenliği için fiziksel ve çevresel önlemlerin alınması kaçınılmazdır.

     

    7.2. Güvenli Alanlar

    7.2.1. Fiziksel ve çevresel güvenlik tedbirlerinin belirlenmesi ve uygulamaya alınmasının ön koşulu hassas veya kritik bilgi ve bilgi işleme tesislerini barındıran güvenli alanların tespit edilmesi ve bu alanların güvenlik sınırlarının tanımlanmasıdır.

    7.2.2. Güvenlik sınırları belirlenirken kişilerin kontrolsüz olarak giriş çıkış yapabilecekleri herhangi bir boşluk bulunmamasına dikkat edilir. Bu tür boşlukların kapatılması/korunması için ilave tedbirler alınır.

    7.2.3. Güvenli alanlar, fiziksel güvenlik engelleri ile çevrili, kilitlenebilir bir ofis ya da birkaç oda olabilir. Birden fazla kuruluşun aynı bina içerisinde olduğu durumlarda fiziksel erişim güvenliğine özel dikkat gösterilir.

    7.2.4. Fiziksel koruma, bir ya da daha fazla fiziksel engel konularak gerçekleştirilir. Birden fazla fiziksel engel kullanımı (kilitli dolaplar ve kilitli odalar vb.) ilave koruma sağlayarak tek bir engelin başarısızlığı

    durumunda güvenliğin tehlikeye girmesini önler.

    7.2.5. Özel bir gereksinim yoksa bu tür odalara ne şekilde erişileceğini gösteren işaretlerin konulmasından sakınılır.

    7.2.6. Kötü niyetli girişimlere engel olmak için güvenli bölgelerde yapılan çalışmalara nezaret edilir.

    7.2.7. Postacı, kurye personeli, dağıtıcı gibi kişilerin tesis içlerine kontrolsüz olarak girmesi engellenir.

    7.2.8. Personel güvenliği ve sağlığı için ilgili yönetmelikler uygulanır.

    7.3. Ekipman Güvenliği

    7.3.1. Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline, yangın, deprem gibi felaketlerle bütünlüğünün bozulmalarına ya da yok olmalarına sebep olabilir. Tüm bu veya daha fazla tehditleri yok edebilmek için aşağıda yer alan belli başlı temiz masa kurallarına çalışanlar tarafından uyulması sağlanır.

    7.3.2. Belli başlı temiz masa kuralları

    7.3.2.1. Hassas bilgiler içeren bilgi, belge ve evraklar masa üzerlerinde ya da kolayca ulaşılabilir yerlerde açıkta bulundurulmaz. Bu gibi bilgi ve belgeler kilitli dolap, çelik kasa ya da arşiv odası gibi fiziki koruması olan güvenli alanlarda muhafaza edilir.

    7.3.2.2. Yetkisiz kişilerin erişiminin engellenmesi için bilgisayar başından ayrılma durumunda ekran kilitlemesi yapılır. Otomatik ekran kilitlemesi devreye alınır.

    7.3.2.3. Sistemlerde kullanılan parola, telefon numarası ve T.C. kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulundurulmaz.

    7.3.2.4. Kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler Kılavuz’un 4.5. (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemler ile imha edilir.

    7.3.2.5. Her türlü bilgiler, parolalar, anahtarlar ve bilginin sunulduğu kişisel bilgisayarlar ve benzeri cihazlar yetkisiz kişilerin erişebileceği bir şekilde parola korumasız ve fiziki olarak güvensiz bir şekilde gözetimsiz bırakılmaz.

    7.3.2.6. Yazdırma teknolojilerinin yetkisiz kullanımını önlemek için uygun idari ve teknik tedbirler alınır.

    7.3.3. Ekipman Yerleşimi ve Koruması

    7.3.3.1. Yüksek maliyetli, özel koruma gerektiren elektronik cihazların yerleşimi yapılırken çevresel tehditler ve yetkisiz erişimden kaynaklanabilecek zararların asgari düzeye indirilmesine dikkat edilir.

    7.3.3.2. Ekipmanlar, gereksiz erişimleri asgari düzeye indirecek şekilde yerleştirilir.

    7.3.3.3. Kritik veri içeren araçlar, yetkisiz kişiler tarafından gözlenemeyecek şekilde yerleştirilir.

    7.3.4. Şirket Dışındaki Ekipmanın Güvenliği

    7.3.4.1. Gelişen, değişen çalışma koşulları ve uzaktan çalışma nedeniyle şirkete ait bilgisayarların kılavuzda belirtilen önlemler alınarak şirket dışına çıkarılmasında bir sakınca bulunmamaktadır.

    7.3.4.2. Kişisel/yüklenici firmalara ait bilgisayarların işyerlerine getirilerek kurumsal amaçlarla kullanımı için kurum yöneticisi tarafından yetkilendirme yapılması gerekir. Bu şekilde kullanılan ekipmanların ve kullanıcıların listesi oluşturulur ve takip edilir.

    7.3.4.3. Kurum alanı dışında kullanılacak ekipmanlar için uygulanacak güvenlik önlemleri, tesis dışında çalışmaktan kaynaklanacak farklı riskler değerlendirilerek belirlenir.

    7.3.4.4. Tesis dışına çıkarılan ekipmanın gözetimsiz bırakılmamasına ve seyahat halinde dizüstü bilgisayarların el bagajı olarak taşınmasına dikkat edilir.

    7.3.4.5. Cihazın muhafaza edilmesi ile ilgili olarak üretici firmanın talimatlarına uyulur.

    7.3.5. Ekipmanın Güvenli İmhası

    Üzerlerinde kalıcı olarak veri barındıran ekipmanlar (sunucu, masaüstü veya dizüstü bilgisayarın, merkezi veri depolama birimlerinin ve benzeri bilgi sistem cihazlarının sabit diskleri ile USB flaş sürücüsü, USB hafıza ünitesi, flash disk ya da USB hafıza olarak bilinen taşınabilir veri depolama ortamları) Kılavuz’un 4.5 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemler kullanılarak imha edilir.

    7.3.6. Fiziksel ortamların taşınması

    7.3.6.1. Güvenilir taşıma şekli ve kuryeler kullanılır.

    7.3.6.2. Paketleme, içeriğin fiziksel hasarlardan yeterince korunmasını sağlayacak şekilde yapılır.

    7.3.6.3. Hassas bilgiler elden teslim edilir veya kurcalanmaya karşı koruma için kilitli kaplar kullanılır.

     

    8. İŞLETİM GÜVENLİĞİ

    8.1. Yazılı İşletim Prosedürleri

    8.1.1. Yapılan işlemlerin standart hale getirilmesi, iş sürekliliğinin sağlanması, kurumsal hizmetlerin sunumuna yönelik süreçlerin planlanması ve süreçlerin yazılı kurallara uygun olarak yerine getirilmesi gibi amaçlarla ihtiyaç duyulan destek dokümanları hazırlanır.

    8.1.2. Oluşturulan dokümanların onaylanması, yayınlanması, sürüm güncelleme ve/veya imha edilmesi süreçleri tanımlanır. Belge, kayıt ve dokümanlar için etkili bir yönetim sistemi oluşturulur ve sürekliliği sağlanır.

    8.1.3. Dokümanlarda şirketin logosu, doküman adı, doküman kodu, sürüm numarası, yayın tarihi, sayfa numarası, hazırlayan, kontrol eden, onaylayan gibi başlık bilgileri bulunur.

    8.1.4. Dokümanların yürürlük durumu ve güncel sürümlerinin takibi için (geçerli doküman listesi, iptal edilen ve değiştirilen doküman listesi hazırlamak gibi) kontroller oluşturulur.

    8.1.5. Bilgi teknolojileri alanında; sistem ve ağların yönetimi, değişiklik kuralları, güvenlik gereklilikleri gibi süreçlerde işletim kurallarının yazılı hale getirilmesi ve ilgili kişilerin kolayca erişebileceği bir yöntemle muhafaza edilmesi gerekir.

    8.1.6. Hazırlanacak dokümantasyon, işletimsel hataları engellemek, beklenmeyen sorunların ortaya çıkması durumunda sistemi kullanıcı bağımsız yeniden başlatabilmek, otomasyonun işletilemediği durumlarda süreci manuel olarak yürütebilmek gibi amaçlara cevap verecek şekilde düzenlenir.

    8.1.7. Denetimsiz veya yetkisiz olarak sistemlere erişilmesi ya da değişiklik yapılmasının engellenmesi için yazılı işletim prosedürlerinde işletim yöntemi, sorumlusu ve gerekli olan diğer detaylara mutlaka yer verilir.

     

    8.2. Değişiklik Yönetimi

    8.2.1. Bilgi teknolojilerindeki değişiklikler ile birlikte sistem, sunucu veya yazılım değişiklikleri veya güncellemeleri de kaçınılmazdır. Ancak bu değişikliklerin kontrolsüz bir şekilde yapılması, bilgi güvenliği açısından riskleri de beraberinde getirir. İş sürekliliğine ilişkin açıklamalar Kılavuz’un 12 (İş Sürekliliği) numaralı bölümünde açıklanmıştır. Değişikliklerin yönetimsel bir süreci takip etmemesi iş sürekliliğini tehdit eden bir unsurdur.

    8.2.2. Değişiklik yönetiminin amacı, süreç ve yöntemi tanımlanmış olan bilgi sistemleri değişikliklerinin bilgi güvenliği prensipleri çerçevesinde gerçekleştirilmesini sağlamaktır. Bunun için en iyi yol, takip edilmesi gereken adımları tanımlayan yazılı işletim prosedürleri mantığıyla hazırlanan değişiklik yönetimi dokümanının oluşturulmasıdır.

    8.2.3. Değişiklik Türleri

    8.2.3.1. Yazılım Değişiklikleri

    8.2.3.1.1. Kurumsal yazılım geliştirme yaşam döngüsü boyunca ele alınan değişikliklerdir.

    8.2.3.1.2. İşleyiş hataları, kullanıcı gereksinimlerinin kodlamaya uygun olmaması, yeni ya da değişen istekler gibi nedenlerle yazılımlar üzerinde değişiklik yapma ihtiyacı oluşabilir.

    8.2.3.2. Donanım ve Altyapı Değişiklikleri

    8.2.3.2.1. Bilgi işlem ekipmanının kurulumu, değiştirilmesi, çıkarılması veya yeniden konumlandırılması, ilave donanım kurulumları, altyapıdan donanımın kaldırılması, sistem yapılandırma değişiklikleri ve lokasyon değişiklikleri, sistemler üzerinde yazılım ürünleri kurulumu, yaması, yükseltilmesi veya kaldırılması gibi nedenlerle değişiklik yapma ihtiyacı oluşabilir.

    8.2.3.2.2. Talep tarihi, nedeni, değişiklik bilgisi, ilgili sistem/sistemler ve gerekli diğer bilgileri içeren talep yazısı düzenlenir. Sistem sorumlusu tarafından süreç ve teknik açıdan değerlendirilir. Birimler arası etkileşim, kullanılan ek kaynaklar, ne zaman/nerede/ne yapıldığı/kimin yaptığını içeren değişiklik kontrolü raporlaması kurumsal olarak belirlenen bir sistem üzerinden ya da detaylı raporlar aracılığıyla kayıt altına alınmalıdır.

    8.2.3.3. Veri Tabanı Değişiklikleri

    Veri tabanı objelerinin (kullanıcı, şema, tablo vb.) güncellenmesi, silinmesi veya yeni tablo, obje, kayıt yaratılması, veri tabanına yapılacak eklemeler, taşımalar, yeniden düzenlemeler gibi ihtiyaçlardan kaynaklanan değişikliklerin tek tek kaydedilerek, geçmişe dönük olarak saklanması, istenilen zamanda kontrol edilip incelenmesi ve raporlanması gerekir.

    8.2.4. Değişiklik yapılırken, türünden bağımsız olarak aşağıdaki adımların takip edilmesi gerekir.

    8.2.4.1. Değişiklik nedeninin yazılı olarak tanımlanması: Her değişiklik, değişiklik talep eden personel ya da uygulama sahibi tarafından değişim isteği talep yazısı veya varsa kullanılan standart form ile başlatılır.

    8.2.4.2. Değişiklik etki analizi: Değişiklikler şirket varlıklarını (donanım, yazılım, ağlar, vb.) aynı zamanda süreçleri, hizmetleri, anlaşmaları, vb. hususları etkileyebilir. Bu nedenle değişikliğin maliyet, zaman ve risk açısından etkilerinin araştırılarak dokümante edilmesi gerekir. Değişiklik talebi öncelikle sistemlerin yürütülmesinden sorumlu personel tarafından analiz edilir. Değişimden etkilenecek diğer varlıklar, değişikliğin başlatılması veya sistemlerin kapatılması üzerindeki etkilerini, acil durum planları üzerindeki etkilerini, yedekleme gereksinimlerini, depolama gereksinimlerini ve işletim sistemi gereksinimlerini içeren değişiklik planının teknik bütünlüğünün ve performans/kapasite/güvenlik/ işlevsellik üzerinde yapacağı etkilerin gözden geçirilmesi gerekir. Bu süreçte yedekten geri dönme testleri yapılarak değişiklik sürecinin geri çekilmesi durumu da planlanır.

    8.2.4.3. Değişiklik onay süreci: Sorumlu personel tarafından yapılan değişiklik analiz çalışması yönetici onayına sunulur. Yönetici değişikliği onaylayabilir, reddedebilir ya da ek bilgi talep edebilir. Etkileşimde olan diğer sistem sorumlularının, kendi sorumlukları dahilinde olan sistemler için gerekli önlemleri alması ve yazılı olarak önlemleri aldığını bildirmesi beklenir. Değişiklik onayı yöneticiden alındıktan sonra değişiklik çalışmalarına başlanır.

    8.2.4.4. Değişimin planlanması ve test edilmesi: Kabul edilen değişikliklerin gerçekleştirilmesi için planlama yapılır. Tüm değişiklikler öncelikle test edilir. Test aşaması, kurumun teknoloji altyapısının tüm bileşenlerinin güvenilirliğini ve performansını sağlamak için test ve kalite güvencesinin sağlanması amacıyla gerçekleştirilir. Test aşaması yöneticiye rapor edilir ve bir sonraki adım olan uygulama safhasına geçip geçmemek konusunda onay alınır. Planlama, test ve uygulama safhaları teknolojik bir platform üzerinden ya da kayıtlar ile delil niteliğinde dokümante edilir.

    8.2.4.5. Uygulama: Test edilen değişiklik, yönetici onayı ile uygulamaya alınır.

    8.2.4.6. Uygulama sonrası inceleme: Değişikliğin istenen hedeflere ulaşıp ulaşmadığını sağlamak için uygulama sonrası gözden geçirme yapılır. Uygulama sonrası eylemler, değişikliği kabul etmeye, değiştirmeye veya geri almaya karar vermeyi içerir.

    8.2.5. Aşağıdaki değişiklikler, operasyonel bir süreç gerektirmekle birlikte değişim yönetimi süreci gerekliliklerine dahil değildir:

    8.2.5.1. Günlük idari süreçte yapılan değişiklikler (parola sıfırlama, e-Posta grubuna kullanıcı ekleme/silme/gözden geçirme, dosya izni değişiklikleri)

    8.2.5.2. Acil durum olağanüstü durum kurtarma

    8.2.5.3. Sistem yapılandırmasında gerek duyulmadan yapılan masaüstü değişiklikleri.

    8.3. Kapasite Yönetimi

    8.3.1. Bilişim, bilginin işlenmesi, depolanarak saklanması, teknik araçlarla en hızlı ve kolay yoldan iletilerek bilgi akışının sağlanması demektir. Bu bileşenlerin en hızlı ve ekonomik şekilde kullanımı için kapasitenin izlenmesi ve yönetilmesi şarttır.

    8.3.2. Kapasite yönetimi ile ayakta kalabilirlik/kullanılabilirlik (uyarılar ile hataların proaktif olarak düzeltilmesi ve iş sürekliliğinin sağlanması) ve ölçeklenebilirlik sağlanır.

    8.3.3. Kapasite yönetimi, kaynakların izlenmesi, sistem performansını temin etmek için kapasite yönetiminin yapılması ve sürekli olarak gözden geçirilmesi şeklinde gerçekleştirilir.

    8.3.4. Sistem izleme, bilgi teknolojileri altyapısı ile ilgili kritik iş uygulamalarının çalışır olmasını, performansının optimize edilmesini ve sistem güvenliğini sağlamak için gereklidir. Sistemlerin kapasitesinin izlenmesi bilgi güvenliğinin sağlanması ve iş sürekliliğinin sağlanması için girdi oluşturur.

    8.3.5. İzleme için öncelikle kaynaklara karar verilmelidir. Uzun tedarik sürelerine ve yüksek maliyetlere sahip kaynaklar için özel ilgi gerekir. Bu nedenle önemli sistem kaynaklarının kullanımı özellikle izlenmelidir.

    8.3.6. Dosya sunucularında yeterli alanın azalması idari dikkat için uyarı gerektirirken, bellek hatası, disk hatası gibi alarmlar derhal müdahale gerektirir. Bu nedenle izlenen sistemlere ilişkin minimum kabul edilebilir eşik değerlerin belirlenmesi ve uyarı önceliklerinin belirlenmesi gerekir. (Örneğin; “90 dakika boyunca işlemci kullanımı %90’ın üzerinde olursa kritik alarm üret” ya da “veri tabanı kullanım oranı %80’i geçerse yöneticiye bilgi ver” gibi)

    8.3.7. Gelecekteki sistem ihtiyaçları ve ileriye yönelik planlanan yeni iş uygulamaları mevcut kapasite göz önüne alınarak değerlendirilir. Mevcut kapasitenin optimizasyonu için disk alanından saklanma süresi dolan verinin silinmesi, uygulama mantığının ya da veri tabanı sorgularının optimize edilmesi,

    kaynak tüketen hizmetlerden kritik olmayanlar için reddetme ya da bant genişliği sınırlaması gibi çözüm yöntemleri uygulanabilir.

    8.4. Sunucu ve Sistem Güvenliği

    8.4.1. Sunucuların ve sistemin güvenliğini sağlamak için gerekli güvenlik koşullarının tanımlandığı, güvenlik ilkelerinin belirlendiği “Sistem Güvenlik Politikası” oluşturulur.

    8.4.2. İş sürekliliği ve acil durum planlaması için ilgili otoritelerle iletişim yöntemleri tanımlanır ve yazılı hale getirilir. Acil durumlarda erişilmesi gereken kişilerin irtibat numaraları ilgili personelin kolayca ulaşabileceği bir şekilde bulundurulur.

    8.4.3. Yeni teknolojileri, uygulamaları, tehdit veya açıklıkları takip etmek için dernek, forum siteleri gibi özel ilgi grupları belirlenir ve ilgili personel tarafından takip edilir.

    8.4.4. Tüm bilgisayarlar lisanslı anti-virüs yazılımı ile korunur. Anti-virüs yazılımının virüs veri tabanı güncel tutulur.

    8.5. Ağ İşletim Güvenliği

    8.5.1. Ağ mimarisi ve aktif ağ cihazlarının yönetimi, güvenlik ilke ve kuralları, erişim haklarının yazılı olduğu “Ağ Güvenliği Politikası” oluşturulur.

    8.5.2. İş sürekliliği ve acil durum planlaması süreçlerinde ilgili otoritelerle iletişim yöntemleri tanımlanır ve yazılı hale getirilir. Acil durumlarda erişilmesi gereken kişilerin irtibat numaraları personelin kolayca ulaşabileceği bir şekilde bulundurulur.

    8.5.3. Kullanıcılara erişim hakkı tanımlanmadan önce gizlilik sözleşmesi olduğu kontrol edilir. Güvenlik cihazları ve ağ yönetiminde ayrıcalıklı erişim hakkı verilen kullanıcıların sisteme erişimi onay mekanizmasından geçerek tamamlanır. Ayrıcalıklı erişim hakkı elde eden personelin yer ve görev değişikliği olması durumunda erişimleri düzenleyen birime bilgi verilmesi sağlanır.

    8.5.4. Güvenlik ve ağ cihazlarında yönetici olarak erişim yetkisine sahip olan kullanıcılar yazılı olarak tanımlanır. Bu erişim yetkisine sahip kullanıcı hesaplarındaki değişiklikler kontrol edilir. Sistemler üzerinde ortak erişim yetkisi olan hesaplar açılmaz. Sahibi bilinmeyen hesaplar kaldırılır.

    8.5.5. Güvenlik ve ağ cihazlarına yapılacak uzaktan erişimler için Kılavuz’un 6.6 (Uzaktan Çalışma ve Eşirim) maddesinde belirtilen hususlara dikkat edilir.

    8.5.6. Uzaktan erişim verilen kullanıcılara bağlantı zamanı ve süresi ile ilgili kısıtlamalar getirilir. Kurumdaki görevi gereği kullanıcıların bağlantı süreleri farklı olabilir.

    8.5.7. Sistemi etkileyecek bir çalışma yapılması gerekiyorsa mesai saati dışında yapılır. Bu çalışmadan etkilenecek kurum/firma ya da kişilere bilgi verilir.

    8.5.8. Güvenlik ve ağ cihazlarının fiziksel güvenliğini sağlamak için gerekli tedbirler alınır.

    8.5.9. Güvenlik ve ağ cihazlarının yazılım güvenliğini sağlamaya yönelik tedbirler alınır. Cihazlar ilk kurulduğunda varsayılan olarak atanmış olan kullanıcı adı ve parolalar değiştirilir. Parolalar, Kılavuz’un 6.3 (Parola Güvenliği) maddesinde yer alan sunucular için güçlü parola ilkeleri esaslarına göre oluşturur.

    8.6. Yedekleme Yönetimi

    8.6.1. Kurumsal verilerin yedeklenmesi, iş sürekliliğinin en temel prensipleri arasında yer alır. Başarılı bir yedekleme işlemi ve yedeklenen verinin ihtiyaç anında veri kaybı olmadan kurtarılabilmesi, veri yedekleme sistemlerinin en temel iki bileşenidir.

    8.6.2. Yedeklerin kurumun gereksinimleri dikkate alınarak hazırlanmış, yönetimin konuya bakış açısını yansıtan bir yedekleme politikası doğrultusunda alınması, güvenliğinin sağlanması, saklanması ve belirli sıklıkta geri dönüş testlerinin yapılması gerekir.

    8.6.3. Yedekleme politikası oluşturulmasının ilk ve en önemli safhası analiz çalışmasının yapılmasıdır.

    8.6.4. Analiz çalışmasında, öncelikle hangi sistemlerin yedeğinin alınacağı belirlenir. Şirket için kıymet ifade eden ve kaybedilmesi halinde iş sürekliliğini etkiyecek tüm sistemlerin yedeklerinin alınması gerekir.

    8.6.5. Yedekleme yöntemleri belirlenirken kaynakların etkin olarak kullanılması için gerekli özen gösterilir. Her seferinde tüm verilerin yedeğinin alınması yerine, artırımlı yedekleme yapılarak hem sistemlerin gereğinden fazla meşgul edilmesi önlenir, hem de depolama alanlarından tasarruf edilebilir.

    8.6.6. Yedekten geri yükleme testlerinin, başarısız olması nedeniyle veri kaybı olabileceği durumu göz önüne alınarak, canlı ortamda değil gerçek ortamın aynısı olan test ortamında yapılması gerekir.

    8.7. Teknik Açıklık Yönetimi

    8.7.1. “Teknik açıklık” bir bilgi güvenliği terimidir. Kelime anlamı olarak “bir varlık veya kontrolde bulunan ve potansiyel olarak bir ya da daha fazla tehdit unsuru tarafından istismar edilebilecek herhangi bir kontrol zafiyetidir”. Aynı şekilde “tehdit” de “bir sisteme ya da organizasyona zarar verebilecek herhangi bir istenmeyen olayın potansiyel nedeni” olarak tanımlanabilir.

    8.7.2. Teknik açıklıklar; bir varlık veya kontrolün tasarımı, uygulanması, konfigürasyonu veya çalışması sırasında dikkatsizlik nedeniyle veya kasıtlı olarak yaratılan kusurlardır.

    8.7.3. Teknik açıklıkların tespiti bazen herhangi bir masraf yapmadan çok kolay şekilde olabilir. Bilhassa ürünün tasarımından kaynaklanan açıklıklar üreticiler tarafından yayımlanan yamalar ile düzeltilir.

    8.7.4. Bununla birlikte yanlış uygulama ve konfigürasyonlardan kaynaklanan hataların giderilmesi, genellikle daha zor ve masraflıdır. Bu tür açıklıkların tespiti için teknik uzmanlardan yararlanılması, açıklık taramalarının yapılması gerekir.

    8.7.5. Açıklıkların kapatılması sonrasında aynı araçlar ile tekrar tarama yapılarak alınan önlemlerin yeterlilik durumunun doğrulanması gerekir.

     

    9. HABERLEŞME GÜVENLİĞİ

    9.1.Kablosuz Ağ Güvenliği

    9.1.1. Kablosuz erişim noktası olarak kullanılan cihazların yönetimi için kullanılan parolalar değiştirilir. Şirket parola politikasına uygun olarak karmaşık parola verilir.

    9.1.2. Bağlantı ayarları için şifreleme etkinleştirilir. Şifreleme seçeneği etkinleştirilirken ağa erişim için kullanılmak üzere üçüncü taraflar tarafından tahmin edilemeyecek karmaşık bir parola belirlenir.

    9.1.3. Erişim noktasının sinyal gücü kapsama alanı, ihtiyaca cevap verecek şekilde en aza indirilir.

    9.2. Gizlilik Sözleşmeleri

    9.2.1. Şirketimizin gizli kalması gereken bilgilerin korunması maksadıyla, personellerine ve sistemlerine erişim yetkisi verilen tüm tedarikçi çalışanları ile gizlilik sözleşmeleri yapılır.

    9.2.2. Gerçek kişiler ile personel gizlilik sözleşmesi, tüzel kişiler ile kurumsal gizlilik sözleşmesi imzalanır. Staj vb. nedenlerle geçici olarak çalışanlar da dahil tüm personel ile gizlilik sözleşmesi yapılması esastır.

    9.2.3. Aynı şekilde resmi bir sözleşme veya protokol olmasa bile yasal bir gerekçeye istinaden geçici olarak kendilerine hassas bilgiler verilen/hassas bilgilere erişim izni verilen tüzel kişiler ile gizlilik sözleşmesi yapılması gerekir.

    9.2.4. Korunacak bilginin niteliği ve durumun özelliğine göre, imzalanacak gizlilik sözleşmelerinin içeriği değişebilir. Bununla birlikte hazırlanacak olan gizlilik sözleşmelerinde mutlaka aşağıda sıralanan hususların bulunması gerekir.

    9.2.4.1. Korunacak bilginin tanımı,

    9.2.4.2. Gizliliğin süresiz muhafaza edilmesi gereken durumlar da dahil olmak üzere anlaşma süresi,

    9.2.4.3. Anlaşma sona erdiğinde yapılması gereken eylemler,

    9.2.4.4. Yetkisiz bilginin açığa çıkmasını önlemek için sorumluluklar,

    9.2.4.5. Bilginin sahibinin, ticari sırların ve fikri mülkiyet haklarının ve bu gizli bilgilerin nasıl korunması gerektiği,

    9.2.4.6. Gizli bilgilerin kullanım izni ve bilgileri kullanmak için tarafların hakları,

    9.2.4.7. Gizli bilgileri içeren faaliyetleri izleme ve denetleme hakkı,

    9.2.4.8. Yetkisiz açıklama ya da gizli bilgilerin ihlal edilmesi halinde diğer tarafın bilgilendirme zorunluluğu ve bildirimin nasıl yapılacağı,

    9.2.4.9. Teslim edilen bilgilerin iade veya imhasına ilişkin hükümler,

    9.2.4.10. Sözleşmenin ihlali durumunda yapılması beklenen eylemler.

    9.2.5. Kişisel ve kurumsal gizlilik sözleşmesi olarak;

    9.2.5.1. Geçici süreli olarak çalışan yüklenici firma çalışanları, stajyerler gibi personele Personel Gizlilik Sözleşmesi imzalatılır.

    9.2.5.2. Yüklenici firmalar ve diğer kurum ve kuruluşlardan Kurumsal Gizlilik Taahhütnamesi alınır.

    9.2.5.3. Tüm personel, hizmetin yapılması esnasında kişisel olarak uymaları gereken bilgi güvenliği ile ilgili hususları açıklamak/hatırlatmak maksadıyla hazırlanmış olan Bilgi Güvenliği Farkındalık Bildirgesi tebliğ edilir.

    9.2.6. Kişi ve kurumlar ile yapılan gizlilik sözleşmeleri, protokol ve benzeri dokümanlar, ilgili birimler tarafından yürürlük süresince ve sonrasında ilgili komisyonlar tarafından belirlenecek süreler boyunca saklanır.

    9.3. Veri Aktarımı Güvenliği

    9.2.1. Veri aktarımı, verilerin ilgili kişiler ya da sistemler arasında otomatik, yarı otomatik ya da manuel yöntemlerle aktarılması işlemidir. Bir bilginin e-Posta ile bir başka kişiye gönderilmesi, arayan bir kişiye telefonla bilgi verilmesi, bir bilgi sisteminden bir başka bilgi sistemine çeşitli araçlarla veri gönderilmesi işlemleri, verinin üçüncü kişilerin erişimine açılması “veri aktarma” olarak adlandırılabilir.

    9.3.2. Veri aktarımı, yanlış veya yetkisiz yapılması durumunda hukuki sonuçlar doğurabilecek ve tarafları için idari veya cezai yaptırımlara neden olabilecek çok önemli bir işlemdir. Bu nedenle veri aktarım taleplerinde aşağıda sıralanan önlemlerin alınması gerekir.

    9.3.3. Veri aktarımı talepleri karşılanırken, başta kişisel veriler olmak üzere hassas verilerin aktarımı için çeşitli kısıtlamalar ve yasal yaptırımlar olduğu dikkate alınır.

    9.3.4. Şirket içi veya dışından bir bilgi talep edildiğinde, ilgili kişinin bu bilgilere gerçekten ihtiyacı ve erişim izni olup olmadığı çok dikkatli bir şekilde değerlendirilir. Her talebe otomatik olarak yanıt verilmez.

    9.3.5. Üçüncü taraflarla ilişki kurulurken, verilerin aktarılmasını kapsayan herhangi bir veri paylaşım anlaşması veya gizlilik sözleşmesi olup olmadığı kontrol edilir. Ayrıca üçüncü kişiler ile yapılacak veri aktarım yöntemleri ile ilgili özel bir şart olup olmadığı dikkate alınır.

    9.3.6. Belirlenen amaç için gerekli olandan daha fazla bilgi aktarılmaz. Aktarılacak bilginin bir paragraf veya belirli sütunlar olması durumunda, yalnızca “kolay” olduğu için istenen bilgilerin yer aldığı dokümanın veya tablonun tamamı gönderilmez.

    9.3.7. İstenen amacı karşılaması halinde, gerçek veri yerine anonim hale getirilmiş verinin aktarılması tercih edilir.

    9.3.8. Veri aktarımını yapacak kişi, aktarımla ilgili risklerin değerlendirilmesinden ve aktarım için en uygun yöntemin seçilmesinden sorumludur.

    9.3.9. Gizli kalması gereken bilgilerin aktarımı öncesinde, alıcının kimliği ve aktarılacak veriyi işleme yetkisi olup olmadığı kontrol edilir.

    9.3.10. Aktarılacak veri, kişisel veri kategorisinde ise aktarım kararı konusunda daha fazla hassasiyet gösterilir. Gerekiyorsa veriyle ilgili hizmet biriminden veya bağlı bulunulan sıralı yöneticilerden yetki alınır.

    9.3.11. Aktarılacak bilgiler Özel ve Gizli gizlilik derecesinde bilgiler ise dinlemeye, kopyalamaya, bütünlüğünün bozulmasına, hedef alıcısı dışında başka kişilere yönlendirmeye ve yok edilmeye karşı korunur. Bunu sağlamak için veri/bilgiler şifrelenir, şifreli/güvenli aktarım araçları kullanılır ya da ikisinin bir arada kullanıldığı yöntemler uygulanır.

    9.3.12. Aktarım için öncelikle şirketimiz kontrolünde olan kurumsal e-Posta veya taşınabilir depolama ortamları kullanılır.

    9.3.13. Aktarım yapılacak hedef kişi/kurumun şirketimiz kontrolündeki sistemlere erişim izni olmaması halinde, gizli kalması gereken bilgiler uygun şekilde şifrelenmek şartıyla, diğer paylaşım ortamları kullanılarak paylaşılabilir.

    9.3.14. Herkese açık bilgiler en kolay ve en düşük maliyetli yöntemle aktarılır.

    9.3.15. e-Posta ile Veri Aktarımı:

    9.3.15.1. Hedef kişi, şirket çalışanı ise “*@mateteknoloji.com.tr” uzantılı kurumsal e-Posta hesabı dosya aktarımı için en pratik yöntem olarak kurumsal e-Posta Sistemi tercih edilir.

    9.3.15.2. Hedef adres “*@mateteknoloji.com.tr” uzantılı tüzel e-Posta adresi ise bu hesaba birden fazla kişinin ulaşabileceği dikkate alınır ve gönderme işlemi konusunda daha fazla hassasiyet gösterilir.

    9.3.15.3. Halka açık e-Posta servislerinden alınan bir adres veya bir başka şirkete ait kurumsal e-Posta adresine gizli veya özel statüdeki bilgi ve evraklar gönderilmez.

    9.3.16. Dosya Paylaşım Ortamları ile Veri Aktarımı:

    FTP yapısı itibarıyla güvenli bir paylaşım ortamı olarak kabul edilmez ve kullanılmaz.

    9.3.17. Taşınabilir Medya ile Veri Aktarımı:

    9.3.17.1. Şirket taşınabilir medya kullanım politikası, Kılavuz’un 4.4 (Taşınabilir Ortam Yönetimi) maddesinde açıklandığı gibidir.

    9.3.17.2. Taşınabilir medya yapısı itibarıyla çalınma, kaybolma gibi tehditlere maruz kalma ihtimali nedeniyle, başka bir aktarım yöntemi olmadığı durumlarda kullanılır.

    9.3.17.3. GİZLİ ve ÖZEL gizlilik derecesindeki bilgiler taşınabilir medya ortamında şifreli olarak muhafaza edilir.

    9.3.17.4. Şirket Kontrolünde Olmayan Ortamlar Üzerinden Veri Aktarımı:

    9.3.17.5. Halka açık e-Posta servisleri (Hotmail, Gmail vb.), bir başka kuruma ait kurumsal e-Posta sistemleri ve halka açık bulut depolama ortamları (Google Drive, Dropbox, Apple iCloud vb.) prensip olarak güvensiz olarak kabul edilir.

    9.3.17.6. Gizli kalması gereken bilgiler hiçbir şekilde bu ortamlarda tutulamaz ve aktarılamaz.

     

    10. TEDARİKÇİ İLİŞKİLERİ

    10.1. Mal ve Hizmet Alımları Güvenliği

    10.1.1. Satın alma faaliyetine konu olan iş kapsamında; yüklenicinin yükümlülüklerini gerçekleştirmesi için yükleniciye özel koruma ihtiyacı olan veri/bilgi teslim edilmesi, ilgili şirketin fiziki alanlarında personel çalıştırılması veya şirket bilgi sistemlerine (uzaktan erişimler dâhil) erişim yapılması ihtiyacı olması halinde; satın alma için hazırlanan teknik ya da idari şartnamelere “Bilgi Güvenliği Gereksinimleri” başlığı altında asgari olarak aşağıdaki hususlar eklenir:

    10.1.2.1. Yüklenici sözleşmeye konu yükümlülüklerini ifa ederken, şirket Bilgi Güvenliği politikalarına uymak zorundadır.

    10.1.2.2. Şirket BGYS Politikaları uyarınca, şirkete ait bilgilerin korunması maksadıyla, yükleniciler ile “Kurumsal Gizlilik Sözleşmesi” ve söz konusu iş kapsamında çalışacak olan yüklenici personeli ile “Personel Gizlilik Sözleşmesi” imzalanır. Bahse konu dokümanların boş halleri, hazırlanan teknik veya idari şartnameye eklenir.

    10.1.2.3. Anlaşma yapılacak firma ile sözleşmenin imzalanmasını takiben şirketteki yetkili makam huzurunda “Kurumsal Gizlilik Sözleşmesi” imzalanır.

    10.1.2.4. “Kurumsal Gizlilik Sözleşmesi” ve ihaleye konu iş kapsamında çalıştırılacak personelin “Personel Gizlilik Sözleşmeleri” imzalanmadan ve idareye teslim edilmeden, yüklenici tarafından işe başlanamaz.

    10.1.2.5. Yüklenici çalışanlarının bilgi ve bilgi işleme tesislerine erişim yetkileri, “Personel Gizlilik Sözleşmeleri” idareye teslim edildikten sonra tanımlanır.

    10.1.2.6. Yapılacak iş kapsamında alt yüklenici kullanılacaksa, alt yükleniciler de yukarıda belirtilen hükümlere aynen uymak zorundadır. Yüklenici, alt yüklenicileri ve çalışanlarının gizlilik sözleşmeleri ile ilgili yükümlüklere uymasından birinci derecede sorumludur.

    10.1.3. Söz konusu alım için gerekli iş tanımı ölçütleri, personel istihdam edilecekse ilgili personel özellikleri açıkça belirtilir.

    10.1.4. Tedarikçinin çalıştırılacağı personelin adli sicil kayıtlarını sorgulatıp, bunları yönetime bildirmesi istenir.

    10.1.5. Tedarikçilere verilen fiziksel ve mantıksal erişimler, periyodik olarak gözden geçirilir. Hassasiyet arz eden erişimler için yönetim onayı alınır. Olası güvenlik zafiyetlerinin engellenmesi için yüklenici personeline verilen yetkiler periyodik olarak kontrol edilir. İhtiyacın bitmesi durumunda, verilen yetkiler kaldırılır. Personelin kurumla ilişiği kesilir kesilmez, erişim yetkileri de kapatılır.

    10.1.6. Anlaşmalar gereği, tedarikçilerce üretilen hizmet raporları düzenli olarak gözden geçirilir ve proje ilerleme toplantıları yapılır.

    10.1.7. Tedarikçilere verilen fiziksel ve mantıksal erişimler, periyodik olarak gözden geçirilir.  Hassasiyet arz eden erişimler için yönetim onayı alınır. Olası güvenlik zafiyetlerinin engellenmesi için yüklenici personeline verilen yetkiler periyodik olarak kontrol edilir. İhtiyacın bitmesi durumunda, verilen yetkiler kaldırılır. Personelin kurumla ilişiği kesilir kesilmez, erişim yetkileri de kapatılır.

     

    11. BİLGİ GÜVENLİĞİ İHLAL OLAYI YÖNETİMİ

    11.1. İhlal Bildirimi ve Olay Yönetimi

    11.1.1. Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumları bilgi güveni ihlali olarak tanımlanabilir. Tespit edilen her türlü bilgi güvenliği ihlal olayı için “Olay Bildirim/müdahale Formu” ile BGYS komitesine bildirim yapılır.

    11.1.2. “Olay Bildirim/müdahale Formu” ile bildirilen tüm ihlal olaylarının süreç ve sonuçları BGYS Birimi tarafından takip edilir.

    11.1.3. “Olay Bildirim/müdahale Formu” ile bildirilen olay türleri ve açıklamaları şu şekildedir:

    11.1.3.1. Servis Dışı Bırakma Saldırısı (DoS/DDoS): Saldırının amacı hedef alınan sistemi hizmet veremeyecek hale getirecek yöntemlerle, ilgili servisi hizmet dışı bırakmaktır. Kullanılan temel yöntem, ilgili hizmet servisine olağan dışı miktarda (çok sayıda) paket gönderip, engellemektir.

    11.1.3.2. Bilgi Sızdırma (Data Leakage): Şirketin ürettiği, kullandığı ya da işlediği verilerin bilinçli veya bilinçsiz olarak yanlış hedefe gönderilmesi, çalınması ve/veya sızdırılmasıdır.

    11.1.3.3. Zararlı Yazılım (Malware): Her türlü bilgi işleme yapabilen sistemlere zarar vermek, veri çalmak ve/veya yok etmek için üretilen yazılımlardır.

    11.1.3.4. Sahtecilik (Fraud): Daha çok finansal sistemlerde karşılaşılan, aldatma amacı ile yapılan kasıtlı eylemlerdir.

    11.1.3.5. Port Tarama: Ağa bağlı olarak çalışan aktif cihazlarda çalışan servislerin varlığını tespit etmek, bilgi toplamak ve tespit edilecek zafiyetler ile zararlı bir işlem yapma amacı ile gerçekleştirilen eylemlerdir.

    11.1.3.6. Sosyal Mühendislik: Kişilerin zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye yönelik teknikler içerir.

    11.1.3.7. Veri Kaybı/İfşası: Gizli bilgilerin e-Posta aracılığı ile iletimi, ağ üzerinden iletilen bilgilerin yetkisiz ya da yanlış alıcıya iletimi, internet üzerinden güvenli olmayan kanallar aracılığıyla veri iletimi, ortak kullanılan yazıcılarından alınan çıktıların sahiplenilmemesi ya da güvenliğine önem verilmemesi, masaüstü ya da ortak alanlarda basılı kopyaların denetimsiz bırakılması vb. durumları ifade eder.

    11.1.3.8. Zararlı Elektronik Posta (SPAM): Kişinin bilgisi ve talebi dışında, ticari içerikli veya politik bir görüşün propagandasını yapmak ya da bir konu hakkında kamuoyu oluşturmak amacı ile gönderilen e-Posta iletileridir.

    11.1.3.9. Parola Ele Geçirme: Depolanmaması gereken bir yerde depolanan parolaların herhangi bir saldırı yöntemi ile ele geçirilmesidir.

    11.1.3.10. Taşınır Cihaz Kaybı: CD/DVD, DAT (manyetik ses bandı), veri depolamak için kullanılan USB taşınabilir bellekler, Harici Sabit Disk sürücüleri gibi taşınabilir cihazlar ve her türlü bilgi işleme yapabilen cihazlar (bilgisayar, akıllı telefon, tablet v.s)’ın kaybedilmesi veya çalınması durumunu ifade eder.

    11.1.3.11. Kimlik Taklidi: Kişilerin fiziksel, telefon ya da dijital ortamda olmadığı bir kişi gibi davranıp, onun yetkilerini bilgisi dışında kullanmasıdır.

    11.1.3.12. Oltalama: Saldırgan kişilerin, kurumsal/bireysel kişilere e-Posta göndererek, kritik bilgilerini ele geçirme ve/veya bu bilgileri paylaşmaları konusunda kandırmaya yönelik olan saldırı türüdür.

    11.1.3.13. Kişisel Bilgilerin Kötüye Kullanımı: Kişisel verilerin işlenmesine ilişkin süreçlerde 6698 sayılı Kanun’da yer alan usul ve esaslara uygunluk sağlanmalıdır. Kişisel verilerin işlenmesinde, 6698 sayılı Kanun’da yer alan genel ilkeler göz önünde bulundurulmalıdır. Kişisel verilerin hukuka aykırı işlenmesi ve aktarılması hâlinde; hukuki, idari ve cezai yaptırımlarla karşı karşıya kalınabilir.

    11.2. Kanıt Toplama

    11.2.1. Delillerin değişmesini, bozulmasını önlemek ve delilleri korumak amacıyla olay yerinin güvenliği sağlanır. Olay yerine girişler kontrol altına alınır. Yetkisiz girişlere izin verilmez. Olay yerinden çıkış yapan kişilerin üzerinde adli delil oluşturabilecek materyal olup olmadığı kontrol edilir.

    11.2.2. Delil niteliği taşıyan tüm materyaller açıklayıcı bilgi içerecek şekilde etiketlenir. Bilgisayara bağlı tüm bağlantılar, bağlantı noktasını gösterecek şekilde etiketlenir ve sistem bağlı olduğu ağdan ayrılmaz.

    11.2.3. Bilgisayara bağlı olan cihazlar tespit edilerek, sökülmeden önce etiketlenir.

    11.2.4. Olay yerindeki bilgisayar kapalı ise kesinlikle açılmaz.

    11.2.5. Bilgisayar açık ise ekranının fotoğrafı çekilir ve üzerinde çalışan programlar kayıt altına alınır. Bilgisayarın sistem tarih ve zaman bilgileri ve inceleme esnasındaki gerçek tarih ve zaman bilgisi kaydedilir. Yapılan işlemlerde, her aşamada ayrı ayrı kayıt tutulur. İşlemlerin kimin tarafından yapıldığı ve kullanılan yazılım ve donanım bilgileri kayıt altına alınır.

    11.2.6. Değişme olasılığı yüksek olan dijital deliller, öncelikli olarak ele alınır. Bilgisayarın kapatılması veya yeniden başlatılması uçucu delillerin kaybolmasına sebep olacaktır. Bu nedenle veri kayıt işlemlerine, bellek ve ön bellekte bulunan uçucu verilerin kopyalanması ile başlanır. Bu işlem yapılmadan hiçbir şekilde bilgisayarın kapatılmaması gerekir.

    11.2.7. Bilgisayar kapatıldığında, sistem yapılandırma dosyaları ve geçici dosya sistemleri değişebilir. Bilgisayarın kapatılması delil bütünlüğünü bozar ve delili değiştirebilir. Olay yerindeki kapalı bir bilgisayarı açmak da yine aynı şekilde delillere zarar verebilir. Delillerin zarar görmemesi için veri toplama ve kayıt işlemlerinin ilgili teknik uzmanlar tarafından “canlı analiz” şeklinde yapılması gerekir. Şirkette bu seviyede personel yoksa dışarıdan hizmet alınır.

    11.2.8. Bilgisayarın dijital imza (hash) değeri alınır. İmajların gizliliği, erişilebilirliği ve bütünlüğü sağlanır. Kopya alma (imaj) işlemi dışında kesinlikle orijinal delile dokunulmaması gerekir. Deliller toplanıp, birebir kopyası (imajı) alınmadan, delil analiz işlemlerine başlanmaz. İmaj alma işlemi de bir tutanak ile kayıt altına alınır. İmajın hangi yazılım veya araç ile alındığı mutlaka tutanağa yazılır.

    11.2.9. Yedeklenecek diskin hafızası şüpheli bilgisayar diskinden büyük olur.

    11.2.10. Silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifrelerinin çözülmesi için tüm dosyalar analiz edilir. Elde edilen deliller, programlar vasıtası ile incelenir. Gerekiyorsa şifre çözme yöntemleri kullanılır.

    11.2.11. Olay yerindeki dijital delillerin bütünlüğünün bozulmaması için uygun koşullarda muhafaza edilmesi gerekir. Hassas veri depolama birimlerinin taşınmasına özen gösterilir. Taşınma esnasındaki fiziksel darbelere karşı korunur. Toplanan delillerin taşınma öncesi taşınacağı ünitelerde, mutlaka etiketlenmesi ve kayıt altına alınması gerekir. Birden fazla dijital delile müdahale edildiğinde, her birim dahil olduğu sistem ile paketlenir. (Bilgisayar-Klavye-Fare gibi)

    11.2.12. Dijital delil mutlaka tutanak ile teslim edilir. Tutanağa yazılan hash değeri kontrol edilir. Dijital delil raporu kolluk kuvvetlerine teslim edilirken raporda, delilleri kimlerin topladığı, deliller üzerinde hangi işlemlerin yapıldığı, hangi yazılım veya donanımların kullanıldığı, işlemin yapıldığı zaman, delilin üzerindeki zaman bilgisi gibi bilgiler de kayıt altına alınarak raporda açık bir şekilde belirtilir.

    11.2.13. Doğruluğu ve güvenilirliği kabul edilmiş yazılım ve donanımlar kullanılır.

     

    12. İŞ SÜREKLİLİĞİ YÖNETİMİ

    12.1. İş Sürekliliği Genel Yaklaşımı

    12.1.1. İş sürekliliği; şirketin vermekte olduğu kritik bilişim hizmetlerinin sunumuna kesintisiz bir şekilde devam etmesi veya türü ve nedeni ne olursa olsun, herhangi bir kesinti ya da olay durumunda, önceden belirlenmiş kritik iş süreçlerini, önceden tanımlanmış kabul edilebilir seviyede sunma yeteneğini sağlayan yöntemdir. Kurum iş süreçlerinde hizmet sürekliliği yeteneğini; etkin bir risk yönetimi, öncelikli hizmetlerini kesintiye uğratabilecek olayların tanımlanması, bu olayların bertaraf edilmesi için gerekli tedbirlerin alınması, olay anında ve sonrasında kritik hizmetlerin en hızlı ve etkin nasıl ayağa kaldırılacağının senaryolarla planlanması ve bu senaryoların tatbikatlarla test edilmesi ile elde eder.

    12.1.2. İş sürekliliği kurma nedenleri; hizmet sürekliliğini sağlamak ve kesintilere yeterli şekilde yanıt verme kabiliyetini kazanmak olabileceği gibi yasa, yönetmelik ve sözleşmelerden kaynaklanan sorumlulukları yerine getirmek de olabilir.

    12.1.3. Etkin bir bilgi güvenliği iş sürekliliği sistemi kurulduğunda şirketin şu çıktıları elde etmesi beklenir;

    - Kritik süreç ve varlıkların hizmet sürekliliğinin sağlanması,

    - Dokümante edilmiş ve tatbikatlarla test edilmiş bir olay/kriz yönetim kabiliyeti,

    - Hizmet verdiği ve/veya yükümlü olduğu paydaşlarının gereksinimlerini anlamış ve bu gereksinimlere cevap verecek iş süreçlerinin kurulmuş olması.

    12.1.4. Kritik iş sürekliliği yönetimi sadece iş sürekliliği planı hazırlanması, yedekleme yapılması, felaket merkezi oluşturulması, prosedürler, detaylı talimatlar oluşturulması değil; bunların bütünleşik olarak hizmet sürekliliğinin iyileştirilmesi amacıyla uygulanmasıdır.

    12.1.5. İş sürekliliği planları, verilen hizmetleri önceliklendirme, olası tehdit ve zafiyetleri değerlendirerek gerekli önlemleri almak suretiyle hizmet sürekliliğini sağlama, hizmetlerin kesintiye uğramasına neden olan olaylara önceden tanımlanmış senaryolarla müdahale etme, süreçleri onarma ve planlı olarak yeniden başlatma konularında kılavuzluk yapan dokümante prosedürlerdir.

    12.1.6. İş sürekliliği planları, felaket kurtarma çözümleri değil, felaketin olumsuz sonuçlarının oluşmasını önlemeye odaklanan eylem planlarıdır. Felaket kurtarma senaryoları iş sürekliliği planlarının bir parçasıdır. Felaket kurtarma çözümleri, felaket sonrasında verilerin kurtarılmasına odaklanırken, iş sürekliliği çözümleri, hem verilerin erişilebilirliğini gözetir hem de kurumun felaket sonrasında en hızlı

    şekilde yeniden hizmet verebilmesine odaklanır.

    12.2. İş Sürekliliği Adımları

    12.2.1. Kurumsal iş sürekliliği yönetim sisteminin kurulması ve işletilmesi için öncelikle iş sürekliliği kapsamının belirlenmesi gerekir. Bunun için ilk adım kritik iş süreçlerinin çıkarılması ve önceliklendirilmesidir. İş sürekliliği kapsamı bu şekilde oluşturulur.

    12.2.2. Kapsam belirlendikten sonra bu iş süreçlerine ilişkin mevcut durum analizi yapılır. Mevcut durum analizinde kurumun kritik iş süreçlerinin fotoğrafı çekilir. Yürütülen bu hizmetleri kesintiye uğratabilecek tehditler var mı, bu tehditlerle ilgili süreçte zayıf noktalar var mı gibi hususlar incelenir ve detaylı analiz edilir.

    Başarılı bir mevcut durum analizi için kurumsal risk yönetimi sürecinin şirket kültürü olarak benimsenmiş, risk haritaları çıkarılmış ve kurumsal kabul edilebilir risk seviyesi belirlenmiş olmalıdır.

    12.2.3. İş sürekliliğinin kapsamının belirlenip, mevcut durum analizi yapıldıktan sonra, hangi iş sürecinin kesintisiz hizmet verebilmesi için hangi kaynaklara ihtiyaç olduğunun dokümante edilmesi ile kaynak planlaması ortaya koyulur.

    12.2.4. Her başarılı süreç yönetiminde olması gerektiği gibi iş sürekliliği süreci için roller ve sorumluluklar atanır.

    12.2.5. Atanmış olan sorumlular tarafından hizmetleri kesintiye uğratabilecek olumsuz senaryolar tatbikatlarla test edilir, sonuçlar değerlendirilir, varsa aksaklıklar giderilir ve sürekli takip edilir.

    12.2.6. Kritik Varlıkların / Süreçlerin Tanımlanması

    12.2.6.1. Şirket tarafından gerçekleştirilen tüm iş süreçleri önemli kabul edilirken, bir olay meydana gelmesi durumunda, şirket mevcudiyeti ve itibarı açısından kritik önem taşıyan süreçlerin ayağa kaldırılmasına öncelik verilir. İş sürekliliği yönetimi için öncelikle kritik iş süreçlerinin ve bu süreçlerde kullanılan sistemlerin belirlenmesi ve listesinin oluşturulması gerekir.

    12.2.6.2. Yürütülen iş, işlem ve sürecin kritik olabilmesi için aşağıda belirlenen durumlardan en az birine uygun olması gerekir;

    12.2.6.2.1. İş sürecinin kesintiye uğraması ya da yavaşlaması durumunda şirket için yasal, finansal, operasyonel ve benzeri büyük riskler oluşur.

    12.2.6.2.2. İş sürecinin etkilediği ya da etkilendiği sistem ya da paydaşlar, stratejik olarak önemli ya da geniş kitlelerdir.

    12.2.6.3. Kritik varlıklar / süreçler belirlenirken;

    12.2.6.3.1. Süreç ile ilgili iç ve dış yükümlülükler,

    12.2.6.3.2. Yasal ve düzenleme amaçlı atanan sorumluluklar,

    12.2.6.3.3. Protokollerle anlaşmaya varılmış hizmet zorunlulukları,

    12.2.6.3.4. Hizmetin sürdürülmesinde başarısız olunması durumunda sonuçlarının ne büyüklükte olacağı gibi hususlar dikkate alınarak İş Sürekliliği Formları arasında yer alan “Kritik Süreçler / Varlıklar Listesi” oluşturulur ve iş sürekliliği kapsamı belirlenir.

    12.2.6.4. Kritik iş süreçlerinin tanımlanmasında yararlanılacak ve kritik süreçler /varlıklar listesi ile ilişkilendirilecek dokümanlar;

    12.2.6.4.1. Tedarikçiler ile yapılan sözleşmeler,

    12.2.6.4.2. Şirketten beklenen kritik hizmetlerin sağlanmasını destekleyen tüm iş süreçlerinin / faaliyetlerin envanteridir.

    12.2.7. Mevcut Durum Analizi

    12.2.7.1. Kritik iş süreçlerinin sürekliliğinin sağlanmasına ilişkin gerekli olan koşulların ortaya koyulduğu ve iş sürekliliğine engel olabilecek olası tehditlerin tespit edildiği aşamadır.

    12.2.7.2. İş etki analizleri ve risk işleme çalışmalarının değerlendirilmesi ile mevcut durum ortaya koyulur.

    12.2.7.3. İş etki analizi, iş kesintisine neden olabilecek durumlar ve bunların etkilerinin değerlendirilmesidir. Kesintiye neden olabilecek durumlar, darboğazlar, zafiyetler göz önüne alınarak süreçlerin kapsamlı bir fotoğrafı çekilir, sınıflandırılır (az önemliden en önemliye doğru sıralanır) ve buna yönelik olarak risk işleme çalışmaları yapılır.

    12.2.7.4. İş sürekliliğinin temelinde risk yönetimi vardır. İş etki analizinden edinilen bilgilere göre kesintiye yol açabilecek olayların riskleri tanımlanır. Risk yönetimi, iş etki analizleri ile ilişkilendirilmiş risk değerlendirme raporunun hazırlanması vb. süreçler Kılavuz’un 5.3 (Risk Yönetimi) maddesinde açıklanmıştır. İş sürekliliği için planlama yapılırken kurumsal risk yönetimi dikkate alınır.

    12.2.7.5. İş etki analizleri ve risk değerlendirme çalışmaları neticesinde; kritik iş süreçlerine yönelik tehditler, zafiyetler, olasılıklar ve alınacak önlemler ile mevcut durum analizi ortaya koyulur.

    12.2.8. Kaynak Planlaması

    12.2.8.1. Kritik iş süreçlerinin en temel fonksiyonlarının, en az veri kaybı ile en kısa sürede tekrar hizmet verebilir duruma getirilmesinin sağlanması için hangi kaynaklara ne kadar ihtiyaç duyulduğunun ve bu kaynakların maliyetinin çıkarılması gerekir.

    12.2.8.2. Kaynak planlaması yapılırken o işin sürekliliğinin sağlanması için ihtiyaç duyulan tüm mali kaynaklar, teknoloji, alt yapı, tedarik edilecek malzemeler, bina, ulaşım ve benzeri kaynak tipleri ve tanımlanmış yetkinlikleri ile beraber personel detaylı olarak belirlenir ve İş Sürekliliği Formları içinde örneği yer alan “Kaynak İhtiyaç Listesi” oluşturulur.

    12.2.8.3. İş sürekliliği kaynak ihtiyaç listesi, 24 saat – 72 saat – 1 hafta gibi iş kurtarma fazları için ayrı ayrı detaylı olarak oluşturulabilir. 24 saat fazında en temel ihtiyaçlar planlanırken, devam eden fazlarda daha detaylı ihtiyaç duyulacak kaynaklar belirtilebilir.

    12.2.8.4. Kaynak planlarken kriz yönetim merkezi olarak kullanılabilecek 7X24 kullanıma uygun, internet bağlantısı, telefon/mobil telefon, taşınabilir bilgisayar, projeksiyon cihazı, muhtelif kırtasiye donanım ve imkanlarının hazır bulundurulduğu kriz yönetim merkezinin de belirlenerek kararının alınması gerekir.

    12.2.9. Roller ve Sorumluluklar

    İş sürekliliği süreçlerinin standartlara uygun ve etkin şekilde işletilebilmesi BGYS komisyonu oluşturulur.

    12.2.9.1. Üst Yönetim;

    12.2.9.1.1. Üst Yönetim kritik iş süreçlerinin sürekliliğinin sağlanmasından birinci derecede sorumludur.

    12.2.9.1.2. Bilgi güvenliği komisyonu tarafından belirlenen iş sürekliliği hedeflerini onaylar.

    12.2.9.1.3. İş sürekliliğinde yer alacak personelin görev yetki ve sorumluluklarını belirler.

    12.2.9.1.4. Kritik iş süreçlerinin, iş sürekliliği gereksinimlerini ve iş ihtiyaçlarını belirler veya görevlendirmiş olduğu personel tarafından belirlenmesini sağlar.

    12.2.9.1.5. Belirlenen kaynakların sağlanmasını taahhüt eder.

    12.2.9.1.6. İş sürekliliğinin sağlanması için sürekli test ve tatbikatları destekler ve bunun için gerekli faaliyetlerin gerçekleştirilmesini sağlar ve kontrol eder.

    12.2.9.1.7. İş sürekliliği hedeflerini, rol ve sorumlulukları, iş sürekliliği taahhüdünün bulunduğu iş sürekliliği politikasını oluşturur ve yayımlar.

    12.2.9.2. İş Sürekliliği Koordinatörü;

    12.2.9.2.1. Bilgi güvenliği komisyonu başkanı aynı zamanda kurumun iş sürekliliği koordinatörü olarak görev yapar.

    12.2.9.2.2. Felaket ya da kesintiye neden olan büyük çaplı olayların nasıl yönetileceği ve verilen hizmet ve faaliyetlerin belirlenen sürelerde nasıl geri döndürüleceğini tanımlayan İş Sürekliliği Planlarının oluşturulmasından ve işletilmesinden sorumludur.

    12.2.9.2.3. Şirketin bağlı olduğu güncel mevzuat, yasa, yönetmelik ve sözleşmelerden doğan yaptırım ve yükümlülükleri takip ederek İş Sürekliliği Planlarının güncellenmesini sağlar.

    12.2.9.2.4. İş sürekliliği planlarının test edilmesi için tatbikatlar düzenler, kayıt altına alınmasını sağlar.

    12.2.9.2.5. İş sürekliliğini etkileyecek ya da iş sürekliliğinden etkilenebilecek taraflarla iletişimi sağlar.

    12.2.9.2.6. İş sürekliliğinin sağlanabilmesi için plan uygulama sorumluları ve iş kurtarma ekiplerinin görev dağılımını belirler ve ekiplerin yetkinliğini arttırmak amacıyla iş sürekliliği eğitimlerini planlar.

    12.2.9.2.7. Planın devreye alınması ve hasar onarımı sonrası normal çalışma durumuna geri dönülmesi kararlarını verir.

    12.2.9.3. Plan Uygulama Sorumluları;

    12.2.9.3.1. Şirket organizasyon şemasındaki ilgili yöneticiler ve onların atadıkları sorumlulardan oluşur.

    12.2.9.3.2. Planın uygulanmasında, İş Sürekliliği Koordinatörü tarafından verilen görevlerin gerçekleştirilmesinden sorumludur.

    12.2.9.3.3. Acil ve beklenmedik bir durumla karşılaşıldığında kendisine bağlı personeli koordine eder. İş sürekliliği koordinatörüne bilgi akışını sağlar.

    12.2.9.3.4. İş sürekliliği planının uygulanması için ilgili iş sürecinden sorumlu olan personel ve yedeklerinin yer aldığı iş kurtarma ekiplerini oluşturur.

    12.2.9.3.5. Yedekten geri dönme işlemleri, ağ konfigürasyonunun restorasyonu, iş uygulamalarının sunucular üzerine kurulum ve konfigürasyonu gibi süreçlerin gerçekleştirilmesinden sorumludur.

    12.2.9.3.6. Plan uygulama sorumlularının vermiş olduğu işlerden sorumludur.

    12.2.9.4. Genel Sorumluluklar;

    12.2.9.4.1. Hizmetlerin erişilebilirliğinin sağlanması için planlamalar doğru bir şekilde yapılır.

    12.2.9.4.2. Hizmetlerin erişilebilirlik ve sınıflandırma ile ilgili gereksinimleri hizmet sahipleri tarafından belirlenir.

    12.2.9.4.3. Kritik iş süreçlerinde yer alan personel, iş sürekliliği planlarında belirtilen görevleri yerine getirmekle ve iş süreklilik tatbikatlarına katılmakla sorumludur.

    12.3. İş Sürekliliği Stratejisi Belirleme

    12.3.1. İş sürekliliği planları geliştirilirken; kritik hizmetleri sunan ve bu hizmetlerden faydalanan/faydalanacak iç ve dış paydaşların ihtiyaç ve gereksinimleri, toplantı veya anket gibi çalışmalar ile analiz edilir. Analizler için İş Sürekliliği Formları içinde örneği yer alan “Kritik Varlık/Süreç

    Analiz Formu” kullanılır. Anket veya toplantılardan elde edilecek sonuçlarda asgari olarak aşağıdaki soruların yanıtları elde edilmelidir;

    12.3.1.1. İşin yürütülmesi için ihtiyaç duyulan yazılım, donanım ve diğer teknolojik bileşenler ve bilgi işlem araçları nelerdir? Ekipman ve sistem gereklilikleri nelerdir? Bu aşamada “İş Sürekliliği Kaynak İhtiyaç Listesi” kesinleştirilir.

    12.3.1.2. Özel sözleşme ya da yasa ve mevzuatlara bağlı olarak yerine getirilmesi gereken minimum yükümlülükler nelerdir?

    12.3.1.3. Sürecin çıktısı olan hizmetin kullanıcıları kimlerdir?

    12.3.1.4. Hizmet sürekliliğinin sağlanması için bağımlı olunan hizmetler, iş sürekliliğini etkileyebilecek dâhili ve harici taraflar kimler/nelerdir? Sürecin iş sürekliliğinin sağlanması için hangi sistemlere sürekli erişim gereklidir?

    12.3.1.5. Elektronik verilerin korunması nasıl sağlanmaktadır? Bu veriler korunamazsa nasıl sonuçlar ortaya çıkar? İlgili veriler sürekli erişim için gerekli midir?

    12.3.1.6. Personelin temel yeterlilik seviyesi nedir? Herhangi bir felaket durumunda başka birimlerden/dış kaynaklardan personel alınması mümkün müdür? Mümkünse hangi birim ya da kaynaklarla iş birliği yapılabilir?

    12.3.2. Bu aşamada ayrıca iş sürekliliğine engel olabilecek felaket senaryoları oluşturulur ve bu senaryolara nasıl müdahale edileceği yani kurtarma operasyonlarının (nerede yönetilecek, kim yönetecek ve kime raporlayacak) nasıl yönetileceği belirlenir. Kurtarma öncelikleri ve kurtarma zaman hedefleri, müdahale eylem planları ve sorumluları İş Sürekliliği Formları içinde yer alan “İş Kurtarma Planı” örneğinde olduğu gibi detaylı olarak dokümante edilir.

    12.3.3. İş sürekliliği planları; varlık envanteri, bilgi sınıflandırma, bilgi aktarımı, yedekleme, kapasite yönetimi, varlıkların kabul edilebilir kullanımı, risk yönetimi, yasal gereksinimler ve standartlara uyum, konfigürasyon ve değişim yönetimi, fiziksel ve çevresel güvenlik gibi operasyonel faaliyetlerde kullanılan bilgi güvenliği dokümanları göz önüne alınarak hazırlanmalıdır.

     

     

    12.4. İş Sürekliliği Planı Oluşturma

    12.4.1. Bu bölümde şu ana kadar anlatılan tüm bilgiler; iş sürekliliği planı oluşturulması için idarenin “hangi süreçler kritik, bu süreçlerin sürekliliğini sağlamak için yasa, mevzuat ve sözleşmelerden doğan zorunluluklar neler, iş sürekliliğini tehdit edebilecek unsurlar neler olabilir ve bu tehditleri bertaraf etmek için nasıl hazırlık yapılmalı” gibi durumları analiz ettiği ve iş sürekliliği planını desteklemek için dokümantasyon oluşturduğu süreçleri içerir.

    12.4.2. İş sürekliliği planları; kesinti anında bütün ihtiyaç duyulabilecek gereksinimlerin tanımlı olduğu ve ilgili tüm taraflar tarafından bilinen ve uygulanması sırasında karmaşaya neden olmayacak şeklinde hazırlanır. İş sürekliliği planları aşağıdaki içeriğe sahip olmalıdır;

    • Amaç ve kapsam,

    • İş sürekliliği hedefleri,

    • Planın hangi koşullarda hayata geçirileceği,

    • Olağanüstü durumda kurtarma çalışmalarında kimlerin görev alacağı ve hangi kurtarma adımlarını gerçekleştireceği,

    • Olağanüstü durumlarda, gerek organizasyon için gerekse organizasyon dışında iletişime geçilecek kişi ve kurumlar, aynı zamanda iletişimin nasıl sağlanacağı bilgisi,

    •  İç ve dış bağımlılıklar,

    • Planın hayata geçirilmesi için gerekli olan kaynaklar,

    • Tanımlanmış iletişim adımları.

    12.4.3. İş sürekliliği planının, dokümante edilmiş tüm liste ve formların (kritik varlıklar/süreçler listesi, kaynak ihtiyaç listesi, acil durum iletişim listesi, süreç analiz formu vb.) genel çerçevesini sunan tek bir ana doküman olarak hazırlanması, planın amacının, kapsamının ve hedeflerinin uygulayıcılar tarafından daha anlaşılır olmasını sağlar.

    12.4.4. İş sürekliliği planlarında;

    12.4.4.1. İş sürekliliği planında acil veya olağanüstü durumların neler olduğunun ve “acil ve normal” seviyelerin neler olduğunun tanımlanmış olması gerekir.

    12.4.4.2. Herhangi bir olağanüstü durum anında iş sürekliliği planında yazılı olan faaliyetleri gerçekleştirecek olan kişilerin rolleri, sorumlukları ve yetkileri önceden belirlenmiş ve tanımlı olmalıdır.

    12.4.4.3. Yapılan olağanüstü durum tanımları uyarınca, iş sürekliliği planının hangi koşullarda aktive edilmesi gerektiği ve rol bazında yapılması gerekenlerin belirlenmiş olması gerekir.

    12.4.4.4. Olağanüstü durumun sona ermesi sonrasında iş süreçlerinin olağanüstü durum öncesine dönmesi için yapılması gerekenlerin tanımlanması gerekir.

    12.4.4.5. Olağanüstü durumun olağan çalışma ortamını kullanılamaz hale getirmesi durumunda alternatif çalışma lokasyonları ve kriz merkezi planlamasının yapılması gerekir.

    12.4.4.6. İş sürekliliği ekibinde bulunan çalışanların iletişim bilgileri (telefon, e-Posta, adres), kendilerine ulaşılamadığı durumlarda alternatif olarak kullanılacak iletişim bilgilerine nasıl ulaşılacağının plana dahil edilmesi gerekir.

    12.4.4.7. Olağanüstü durum ile ilgili medya ve kamu bilgilendirmesinin nasıl yapılacağına ilişkin kurumsal iletişim stratejisinin de planda yer alması gerekir.

    12.4.5. Kritik iş sürekliliği yönetimi, bütünleşik olarak hizmet sürekliliğinin iyileştirilmesi amacıyla uygulanır. Bir yönetim sistemi mantığı ile işletilmesi gerekir. Bu nedenle bu süreç önceden hazırlanması ve sürekli gözden geçirilmesi gereken bir takım dokümanlarla desteklenmelidir. İş sürekliliği dokümanları;

    12.4.5.1. Bilgi güvenliği tehdit listesi ve ihlal olayları olay müdahale süreç dokümanları,

    12.4.5.2. Kritik varlıklar / süreçler listesi,

    12.4.5.3. Kaynak ihtiyaç listesi,

    12.4.5.4. Kritik tedarikçiler, acil durum ilk müdahale ekip üyeleri ve yedeklerinin yer aldığı acil durum iletişim listesi,

    12.4.5.5. Uzmanlık, yetkinlikler ve tanımlanmış sorumlulukları ile iş sürekliliğinin sağlanmasından sorumlu personel ve yedeğinin yer aldığı iş telefonu, ev telefonu, cep telefonu, iş ve kişisel e-Postası ve normal iletişimin kullanılamayacağı durumlarda irtibat kurmanın yollarını içeren acil durum iletişim listesi,

    12.4.5.6. Felaket sonrası kritik faaliyetler için kurtarma sırası (acil veya olağanüstü durum yönetimi (kurtarma), devam etme ve normale dönüş) içeren olay müdahale planları, tatbikat ve testlerin kayıtları,

    12.4.5.7. Sistem kapasitesi ve eşik değerlerin izlenme raporları,

    12.4.5.8. Kritik hizmetin sürdürülmesine destek olan altyapı envanteri (donanım, yazılım, teknik ekipmanlar, sunucular, veri tabanları, internet vb.) ve yedekleme planları

    12.4.5.9. Tatbikat test uygulama formu,

    12.4.5.10. İş süreklilik planı sonrası yapılan değerlendirme formu.

    12.5. İş Sürekliliği Planlarını Tatbikatlar ile Test Etme

    12.5.1. Tatbikatlar öngörülen risklere karşı hazırlık seviyesinin ölçüldüğü aktivitelerdir. Kapsamlı bir hazırlık süreci gerektirir aksi halde ciddi kesintilerin yaşandığı olumsuz durumlar ile karşılaşılabilir.

    12.5.2. Tatbikat türleri maliyet, zaman, karmaşıklık, efor ve normal operasyonda oluşacak kesintiler açısından farklı özelliklere sahiptir.

    12.5.3. Tatbikat türleri ve açıklamaları Tablo-1’de verilmiştir.

     

    Tatbikat Türü

    Tanım

    Kavramsal tatbikat

    İş sürekliliği planı ve ilgili dokümantasyonun gözden geçirilmesidir.

    Detaylı kavramsal tatbikat

    Kavramsal tatbikatın daha detaylı olarak yerine getirilmesidir. Bu tatbikat türünde planda yer alan her

    adımın üzerinden geçilerek eksiklikler tespit edilmeye çalışılır.

    Simülasyon

     

    Bu tatbikat türünde örnek bir olay üzerinden iş sürekliliği planı çalıştırılır. Tatbikat sırasında süreç veya sistemlerde herhangi bir kesinti gerçekleştirilmez. İş sürekliliği planı kesinti gerçekleşmiş gibi düşünülerek çalıştırılır ve tatbikatı yapılır.

    Bileşen veya servis tatbikatı

    İş süreçlerinin bir kısmı için gerçekleştirilir. İş süreçlerinde kesintiye neden olabilecek bir olay gerçekleştirilir ve süreç tekrar çalışır hale getirilir. Bu tatbikat çalışan bir sistem üzerinde gerçekleştirildiğinden, kurumun acil durum tatbikatı kapsamında olmayan operasyonunu aksatmayacak biçimde planlanması gereklidir.

    Tam tatbikat

    İş sürekliliği planının tamamının test edilmesidir. Tam tatbikat kurum süreçlerinin felaketten kurtarma merkezinde tekrar çalıştırılmasını da kapsayan detaylı bir tatbikattır.

                   Tablo-1 Tatbikat Türleri

     

    12.5.4. İş sürekliliği tatbikatları; tatbikata hazırlık, tatbikatın gerçekleştirilmesi ve tatbikatın değerlendirmesi olmak üzere üç adımda gerçekleştirilir.

    12.5.5. Tatbikata hazırlık: Varsa daha önce gerçekleştirilen tatbikat planları ve sonuçları incelenir. Tatbikat zamanı, senaryosu, değerlendirme ölçütleri ortaya koyulur. Tatbikat riskleri değerlendirilir ve tatbikat programı yapılır. İş Sürekliliği Formları içinde yer alan Tatbikat Test Uygulama Formu, yapılacak

    tatbikata özgü ihtiyaçlara göre özelleştirilmek suretiyle kullanılabilir.

    12.5.6. Tatbikatın gerçekleştirilmesi: Tatbikatlar bir önceki adımda hazırlanan plana uygun olarak icra edilir. Tatbikat kanıtları kayıt altına alınır. Tatbikatın bitmesi sonrasında ilgili taraflar ve katılımcılar bilgilendirilir.

    12.5.7. Tatbikatın değerlendirilmesi: Tatbikat bulguları incelenerek tatbikat değerlendirme raporu hazırlanır. Varsa yaşanan sıkıntılar, iş sürekliliğinde görev alan personelin performansı, kullanılan kaynak ve ortamın yeterliliği gibi hususlar raporda belirtilir.

    12.5.8. Sürekli iyileştirmenin sağlanması için planlar belirli sıklıkla tatbikatlar ile test edilir. Planların test edilme sıklığı planlarda belirtilmelidir.

    12.5.9. Tatbikatlardan elde edilen bulgular, kurumların bilgi güvenliği dokümantasyonuna ve bir sonraki eğitime dâhil edilir.

    12.5.10. Tatbikat sonuçlarına göre planlar tekrar gözden geçirilir, gerekiyorsa düzeltici faaliyet planlanır, ihlal olayları müdahale süreçleri ve risk çalışmalarına yansımaları değerlendirilir.

     

    13. UYUM

    13.1. Yasal Gereksinimlere Uyum

    13.1.1. Yönetim, ilgili tüm kanuni yasal, düzenleyici, sözleşmeye dayalı şartlar ve bu gereksinimleri karşılama yaklaşımını açıkça tanımlamak, yasal düzenlemelerin gerekliliklerine uyum için talimat ya da prosedürleri yayımlamak ve güncel tutmakla sorumludur.

    13.1.2. Şirket için makul güvenlik tedbirlerinin alınması, yalnızca siber olaylara ilişkin tedbirlerin alınması olarak algılanmamalıdır. Yasal yükümlülükleri ihmal ya da ihlal davaları, cezalar veya olumsuz medya haberlerinin de kurumsal imajı ya da değerleri siber olaylarla aynı oranda tehdit edebileceği göz önünde bulundurulmalıdır.

    13.1.3. Şirket, ilgili tüm kanuni yasal, düzenleyici, sözleşmeye dayalı şartlar ve bu gereksinimleri karşılama yaklaşımını açıkça tanımlamak, yasal düzenlemelerin gerekliliklerine uyum için talimat ya da prosedürleri yayımlamak ve güncel tutmakla sorumludur.

    13.1.4. Yasal gereksinimler; bilgi teknolojileri ile ilgili güvenlik gereksinimleri, fikri mülkiyet hakları / telif hakları yasaları, gizlilik, veri şifreleme ve verileri koruma yasaları şeklinde olabilir. Yasa ve yönetmeliklerin takip edildiğinden emin olmak için öncelikle tüm uyum gerektiren düzenlenmelerin yer aldığı bir liste oluşturulmalıdır. Örnek liste, Yasal Mevzuat Uyumu İçin Takip Listesinde yer almaktadır.

    13.1.4. Kanunlar ve yönetmelikler, güvenlikle ilgili olayların sıklığı ve etkisinin büyüklüğü, gelişen teknoloji ve ihtiyaçlara bağlı olarak değişebilen yaşayan varlıklardır. Siber suçların Türk Ceza Kanunu’nda ilk yer alışı 6 Haziran 1991 tarihli 3756 Sayılı Türk Ceza Kanunu’nun bazı maddelerinin değiştirilmesine dair Kanun ile olmuştur. Bu değişikliğin 20. maddesi ile “Bilişim Alanında Suçlar”

    başlığı altında bir bölüm eklenmiş ve bir bilgisayardan programların, verilerin veya diğer unsurların hukuka aykırı olarak ele geçirilmesi veya bunların başkasına zarar vermek üzere kullanılması, nakledilmesi veya çoğaltılması yasayla ceza unsuru olarak kabul edilmiştir. Takip eden süreçte yeni teknolojilerin kullanılmaya başlanması ile güvenlik ihtiyaçları farklılaşmış ve yeni mevzuatlar eklenmiş ve teknoloji gelişmeye devam ettiği sürece eklenmeye devam edecektir. Bu nedenle, oluşturulan listenin güncellenmesinden sorumlu olacak bir yetkili personel ya da ekibin belirlenmesi gerekmektedir. Uyulması gereken yasal mevzuatların belirlenmesi ve takibi süreci yalnızca bilgi sistemleri veya bilgi güvenliği birimlerinin işi olarak değerlendirilmemeli, hukuk, insan kaynakları, idari mali işler gibi birimlerden de destek alınması gerekmektedir.

    13.1.7. Hangi şartların şirketi etkileyebileceğinin belirlenmesinin ardından geçerli güvenlik önlemlerinin uyumluluk için yeterli olup olmadığının veya gereksinimleri karşılamak için ek önlemlerin alınması gerekip gerekmediğinin belirlenmesi gerekir.

    13.2. Lisanslama ve Fikri Mülkiyet Hakları

    13.2.1. Fikri mülkiyet insan zekâsının, entellektüel birikiminin, zihinsel yaratıcılığının ortaya çıkarmış olduğu müzikten, edebiyata, endüstriyel tasarımlardan bilimsel buluşlara kadar uzanan geniş bir yelpaze içinde yer alan ürünleri kapsar. Bu ürünler düşünce safhasında kaldığı ve üreticisi dışındakilerle paylaşılmadığı sürece korumaya konu olmazlar. Ancak bu düşüncelerin ve ürünlerin, uygun şekilde kayıt altına alınmalarını takiben diğer kişilerle paylaşılmaları ve özellikle bu ürünlerin kazanç amacıyla ticarete konu olmaları söz konusu olduğu zaman korunmaları gerekir.

    13.2.2. Fikri mülkiyet, sınai mülkiyet hakları ve telif hakları olmak üzere iki ana başlık altında incelenir.

    13.2.3. Sınai mülkiyet hakları; teknolojik buluşlar, patentler, mal ve hizmetlerin ticari markaları, modeller, endüstriyel tasarımları ve coğrafi işaretleri kapsar. Bu haklar 6769 Sayılı Sınai Mülkiyet Kanunu ile korunur. Tescil işlemleri, Türk Patent ve Marka Kurumu tarafından koordine edilir.

    13.2.4. Telif hakları; edebiyat, müzik, sanat ürünleri ve görsel-işitsel ürünler, filmler, bilgisayar program ve yazılımlarını ortaya çıkaran kişilerin bu ürünler üzerindeki haklarını içerir. Bu haklar 5846 sayılı Fikir ve Sanat Eserleri Kanunu ile korunur. Konu ile ilgili faaliyetler, T.C. Kültür ve Turizm Bakanlığı Telif Hakları Genel Müdürlüğü tarafından yürütülür.

    13.2.5. Şirketimizce yapılan her türlü iş ve işlemlerde, fikri mülkiyet haklarına saygılı davranılır. Bu hakların korunması için gerekli tedbirler alınır.

    13.2.6. Çeşitli maksatlar için tedarik edilen yazılımlar, kurumların taşınır kayıt birimleri tarafından envantere alınmak suretiyle kayıt altına alınır. Ayrıca Kılavuz’un Varlık Yönetimi başlıklı bölümünde belirtilen Şirket Bilgi Varlıkları Envanter Çizelgesine işlenir.

    13.2.7. Yazılımlara ait lisans belgeleri, yazılımın üreticisi firma tarafından sağlanan lisans takip/indirme sayfasına erişim şifresi, varsa CD/DVD ve benzeri materyal, USB dongle vb. anahtarlar, ilgili projenin yürütüldüğü birimde muhafaza edilir.

    13.2.8. Herhangi bir proje veya faaliyet kapsamında yeni bir yazılım tedarik edilmesi ihtiyacı olduğunda, tedarik faaliyetine başlanmadan Kurumun bilgi işlem sorumlusu ve taşınır kayıt birimi ile koordinasyon kurulur.

    13.2.9. Çeşitli isimler altında (open source, freeware, shareware) ücretsiz olarak dağıtılan yazılımlar, zararlı öğeler barındırma ihtimaline karşı test edilmeden şirkete bilgisayarlara kurulmaz.

    13.2.10. Yüklenici firmalar, sözleşmeler kapsamında şirketimiz için yaptıkları iş ve işlemlerde üçüncü taraflara ait herhangi bir fikri mülkiyet hakkını ihlal edemezler. Bu husus sözleşmelere konulmak suretiyle garanti altına alınır.

    13.2.16. Telif hakları kapsamında korunan kitaplar, makaleler, raporlar ve diğer belgeler hiçbir şekilde kopyalanamaz, çoğaltılmaz ve dağıtılamaz.

    13.2.17. Fikri mülkiyet haklarının ihlal edilmesi ile ilgili şikâyetler Bildirim Uygulaması vasıtasıyla BGYS komisyonuna iletilir.

    13.3. Kişisel Verilerin Korunması Mevzuatı

    13.3.1. Anayasa’nın 20’ci maddesinin, 6698 sayılı Kanun’un ve Kişisel Sağlık Verileri Hakkında Yönetmelik’in, kişisel verilerin korunmasına ilişkin hükümlerine azami düzeyde hassasiyet gösterilir.

    13.3.2. Kişisel verilerin ve kişisel sağlık verilerinin işlenmesinde, 6698 sayılı Kanun’un 4’üncü maddesinde yer alan genel ilkelere; ayrıca kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde, kişisel sağlık verilerinin işlenmesinde ise Kanun’un 6’ncı maddesinde yer alan hükümlere riayet edilir.

    13.3.3 6698 sayılı Kanun’un 12’nci maddesinin birinci fıkrası uyarınca veri sorumlusu; verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

    13.3.4. 6698 sayılı Kanun’un 12’nci maddesinin ikinci fıkrası uyarınca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişiler ile birlikte müştereken sorumludur.

    13.3.5. 6698 sayılı Kanun’un 12’nci maddesinin üçüncü fıkrası uyarınca veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısı ile kanun hükümlerine uyumluluğun sağlanıp sağlanmadığı hususunda veri sorumlusu, veri işleyeni denetleyebilir.

    13.3.6. 6698 sayılı Kanun’un 12’nci maddesinin dördüncü fıkrası uyarınca veri sorumlusu ile veri işleyen, öğrendiği kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

    13.3.7. Kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ile 140’ıncı madde hükümleri uygulanır.

    13.3.8. 6698 sayılı Kanun hükümlerine uygunsuzluk nedeniyle KVKK tarafından verilecek idari para cezaları ile ilgili kişiler tarafından açılacak davalarda hükmedilecek maddi ve manevi tazminat davaları, kusurlu olması hâlinde veri işleyen tarafından ödenir.

    13.4. Bilgi Güvenliği Denetimleri

    13.4.1. Kılavuzda yer alan kontrol önlemlerinin şirketimiz tarafından uygulanma düzeyini tespit etmek, varsa aksaklıkları belirlemek ve düzeltici faaliyetlerde bulunmak amacıyla bilgi güvenliği denetimleri yapılır.

    13.4.2. Bilgi güvenliği denetimleri “yerinde denetim” ve “sistem güvenlik testleri” şeklinde gerçekleştirilir.

    13.4.3. Yerinde denetimler, Kılavuzda yer alan konuların tamamının veya seçilecek bazı maddelerin uygulanma/gerçekleştirilme durumunun, BGYS komisyonu vasıtasıyla kontrol edilmesi suretiyle yapılır.

    13.4.4. Yerinde denetimler, şirketin yöneticilerinin imzasıyla planlı olarak yapılır. Denetim için önceden hazırlanan yazılı kontrol formları/soru listeleri kullanılır.

    13.4.5. Denetim; sorumlu personel ve son kullanıcılar ile yüz yüze görüşme yapılması, varsa kayıtların incelenmesi, gerekiyorsa ölçümlerin yapılması suretiyle gerçekleştirilir.

     

    14. DOKÜMAN VE FORM LİSTESİ

    Doküman ve formların içeriklerinin güncel ihtiyaçlara göre sık sık değişmesi nedeniyle, son hallerine https://www.mateteknoloji.com.tr sitesinden erişim sağlanacaktır.

  • ÜST YÖNETİM TAAHÜTNAMESİ
  • MT.SZ.01 PERSONEL GİZLİLİK SÖZLEŞMESİ
  • MT.SZ.02 KURUMSAL GİZLİLİK TAAHÜTNAMESİ
  • MT.SZ.03 ARAŞTIRMACI GİZLİLİK SÖZLEŞMESİ
  • MT.FR.01 İŞE BAŞLAMA FORMU
  • MT.FR.02 İŞTEN AYRILMA FORMU
  • MT.FR.03 GÖREV YERİ DEĞİŞİKLİK FORMU
  • MT.FR.04 OLAY BİLDİRİM VE MÜDAHALE FORMU
  • MT.FR.05 GÜVENLİ VERİ SİLME TALEP FORMU
  • MT.FR.06 AYRICALIKLI ERİŞİM HAKKI TALEP FORMU
  • MT.FR.07 VERİ TABANI VE KULLANICI OLUŞTURMA TALEP FORMU
  • MT.FR.08 VERİ TABANI KULLANICI İŞLEMLERİ VE YETKİLENDİRME TALEP FORMU
  • MT.FR.09 KAYITTAN DÜŞME TEKLİF VE ONAY FORMU
  • MT.FR.10 DİSK İMHA FORMU
  • MT.FR.11 ŞİRKET BİLGİ VARLIKLARI ENVANTER ÇİZELGESİ
  • MT.FR.12 RİSK HESAPLAMA FAKTÖRLERİ
  • MT.FR.13 RİSK İYİLEŞTİRME PLANI
  • MT.FR.14 YEDEKLEME KONTROL LİSTESİ
  • MT.FR.15 KRİTİK SÜREÇLERVARLIKLAR LİSTESİ
  • MT.FR.16 KAYNAK İHTİYAÇ LİSTESİ
  • MT.FR.17 KRİTİK VARLIK SÜREÇ ANALİZ FORMU
  • MT.FR.18 İŞ KURTARMA PLANI
  • MT.FR.19 TATBİKAT TEST UYGULAMA FORMU
  • MT.FR.20 E-POSTA TALEP FORMU
  • MT.FR.21 SUNUCU TALEP FORMU
  • MT.FR.22 İMHA TUTANAĞİ
  • MT.FR.23 BGYS KOMİSYONU GÖREVLENDİRME FORMU
  • MT.FR.24 DÜZELTİCİ/ÖNLEYİCİ FAALİYET TALEP FORMU
  • MT.FR.24 DÜZELTİCİ/ÖNLEYİCİ FAALİYET TAKİP FORMU
  • MT.PR.01 BİLGİ GÜVENLİĞİ KILAVUZU
  • MT.PR.02 E-POSTA KULLANIM POLİTİKASI
  • MT.PR.03 BİLGİ GÜVENLİĞİ DİSİPLİN PROSEDÜRÜ
  • MT.PR.04 BİLGİ GÜVENLİĞİ FARKINDALIK BİLDİRGESİ
  • MT.PR.05 BİLGİ GÜVENLİĞİ İHLAL OLAYLARI PROSEDÜRÜ
  • MT.PR.06 PAROLA YÖNETİMİ POLİTİKASI
  • MT.PR.07 TEMİZ MASA TEMİZ EKRAN POLİTİKASI
  • MT.PR.08 GİZLİLİK SÖZLEŞMELERİ UYGULAMA PROSEDÜRÜ
  • MT.PR.09 DÜZELTİCİ FAALİYET PROSEDÜRÜ
  • MT.PR.10 UZAKTAN ÇALIŞMA VE ERİŞİM PROSEDÜRÜ
  • MT.PR.11 TEKNİK ŞARTNAMELER İÇİN BİLGİ GÜVENLİĞİ GEREKSİNİMLERİ LİSTESİ
  • MT.PR.12 ZİYARETCİ KABUL POLİTİKASI
  • MT.PR.13 DEĞİŞİM YÖNETİMİ POLİTİKASI
  • MT.PR.14 ANTİ VİRÜS POLİTİKASI
  • MT.PR.15 KABUL EDİLEBİLİR KULLANIM POLİTİKASI
  • MT.PR.16 BİLGİ SİSTEMLERİ YEDEKLEME POLİTİKASI
  • MT.PR.17 TEÇHİZATLARIN ELDEN ÇIKARILMASI VE İMHA POLİTİKASI
  • MT.PR.18 FİZİKSEL GÜVENLİK POLİTİKASI
  • MT.PR.19 ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI
  • MT.PR.20 PERSONEL GÜVENLİĞİ POLİTİKASI
  • MT.PR.21 KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
  • MT.PR.22 BİLGİ VE YAZILIM ALIŞVERİŞİ POLİTİKASI
  • MT.PR.23 VARLIKLARA YÖNELİK SORUMLULUK POLİTİKASI
  • MT.PR.24 GİZLİLİK POLİTİKASI
  • MT.PR.25 RİSK YÖNETİMİ POLİTİKASI
  • MT.PR.26 ERİŞİM PROSEDÜRÜ
  • MT.PR.27 ERİŞİM YETKİ VE KONTROL MATRİSİ
.. Devamı

Beşyüz yıl boyunca varlığını sürdürmekle kalmamış, aynı zamanda pek değişmeden elektronik dizgiye de sıçramıştır. 1960'larda Lorem Ipsum pasajları da içeren Letraset yapraklarının yayınlanması ile ve yakın zamanda Aldus PageMaker gibi Lorem Ipsum sürümleri içeren masaüstü yayıncılık yazılımları ile popüler olmuştur.
Lorem Ipsum, dizgi ve baskı endüstrisinde kullanılan mıgır metinlerdir. Lorem Ipsum, adı bilinmeyen bir matbaacının bir hurufat numune kitabı oluşturmak üzere bir yazı galerisini alarak karıştırdığı 1500'lerden beri endüstri standardı sahte metinler olarak kullanılmıştır.

.. Devamı

Beşyüz yıl boyunca varlığını sürdürmekle kalmamış, aynı zamanda pek değişmeden elektronik dizgiye de sıçramıştır. 1960'larda Lorem Ipsum pasajları da içeren Letraset yapraklarının yayınlanması ile ve yakın zamanda Aldus PageMaker gibi Lorem Ipsum sürümleri içeren masaüstü yayıncılık yazılımları ile popüler olmuştur.
Lorem Ipsum, dizgi ve baskı endüstrisinde kullanılan mıgır metinlerdir. Lorem Ipsum, adı bilinmeyen bir matbaacının bir hurufat numune kitabı oluşturmak üzere bir yazı galerisini alarak karıştırdığı 1500'lerden beri endüstri standardı sahte metinler olarak kullanılmıştır.

.. Devamı

Beşyüz yıl boyunca varlığını sürdürmekle kalmamış, aynı zamanda pek değişmeden elektronik dizgiye de sıçramıştır. 1960'larda Lorem Ipsum pasajları da içeren Letraset yapraklarının yayınlanması ile ve yakın zamanda Aldus PageMaker gibi Lorem Ipsum sürümleri içeren masaüstü yayıncılık yazılımları ile popüler olmuştur.
Lorem Ipsum, dizgi ve baskı endüstrisinde kullanılan mıgır metinlerdir. Lorem Ipsum, adı bilinmeyen bir matbaacının bir hurufat numune kitabı oluşturmak üzere bir yazı galerisini alarak karıştırdığı 1500'lerden beri endüstri standardı sahte metinler olarak kullanılmıştır.

.. Devamı