Trendi Borsa TEKNOLOJİ A.Ş
Bilgi Güvenliği Politikası
Amaç
Kurumsal faaliyetleri kapsamında bilginin toplanması, değerlendirilmesi, raporlanması ve paylaşılması süreçlerinde güvenliği sağlayacak tedbirleri almayı, bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilmesini sağlamayı ve içeriden veya dışarıdan, kasıtlı veya kazara, son kullanıcılardan, yöneticilerden gelebilecek tüm tehditlerden korumayı Sistem ve veri tabanı yöneticileri ile teknik personelin bilgi sistemleri ve ağları üzerindeki çalışmalarında bilgi güvenliği farkındalık, duyarlılık ve teknik bilgi düzeylerinin artırılarak insan kaynaklı zafiyetlerin önlenmesi, sistem güvenlik zafiyetlerinin giderilmesi, gizliliği, bütünlüğü ve erişilebilirliği sağlanmış bir bilgi altyapısının kullanılması ve sürdürülebilirliğinin sağlanarak veri ve bilgi kayıplarının önlenmesi veri ve bilgi kayıplarının önlenmesi, bu yolla ekonomik kayıpların ve kurumsal prestij kaybının önüne geçilmesi temel ilke ve hedefler olarak öngörülmüştür.
Kapsam
Bu doküman bünyesinde çalışan tüm personel için bağlayıcıdır. Politikaların ihlali durumunda, ihlal eden kişi adına kurum içinde gerekirse İnsan Kaynakları Disiplin Yönetmeliği kapsamında yasal işlem başlatılabilir.
Bu politika, bilgi güvenliğini sağlamak için ve bilgi sistemleri tasarlanırken veya işletilirken uyulması gereken asgari kuralları tanımlar. Aynı zamanda bu amaçla yayınlanan tüm Bilgi Güvenliği politikaları için bir şemsiye oluşturur. Bu politikalar temel olarak aşağıdaki amaçları hedeflemektedir.
Bilgi Sistemlerinde paylaşılan her türlü verinin güvenliğini sağlamak
İş sürekliliğinin sağlanması ve güvenlik ihlallerinden kaynaklanabilecek yasal risklerin en aza indirilmesi
Kurumun itibarını ve yatırımlarını korumak
1- E-Posta Politikası
Bu politika, şirket içindeki e-posta altyapısına ilişkin kuralları içerir. Kurum içinde kullanılan e-posta hesapları kurum kimliğini taşır. Tüm personel için kurum içinde oluşturulan e-posta hesaplarının doğru kullanımını kapsar. E-postalar şirket içinde belirlenmiş kural ve düzenlemelere uygun olarak kullanılmalıdır.
2- Şifre Politikası
Bu politikanın amacı güçlü bir şifreleme oluşturmak, oluşturulan şifreyi korumak ve şifre değiştirme sıklığı konusunda standartlar oluşturmaktır. Şifreler, Bilgi Teknolojileri (BT) birimi tarafından belirlenen kurallara göre oluşturulacak ve kullanılacaktır.
3- Anti-Virüs Politikası
Bu politika kuruluş içindeki tüm PC tabanlı bilgisayarları kapsar. Bunlar tüm masaüstü ve dizüstü bilgisayarlar ve sunuculardır.
Bilgi Sistemleri Yöneticileri, anti-virüs yazılımının sürekli olarak çalışır durumda ve güncel olmasını sağlamaktan sorumludur.Bu politikanın amacı güçlü bir şifreleme oluşturmak, oluşturulan şifreyi korumak ve şifrenin değiştirilme sıklığı konusunda standartlar oluşturmaktır. Şifreler, Bilgi Teknolojileri (BT) birimi tarafından belirlenen kurallara göre oluşturulacak ve kullanılacaktır.3- Anti-Virüs PolitikasıBu politika, kurum içindeki tüm PC tabanlı bilgisayarları kapsar. Bunlar tüm masaüstü ve dizüstü bilgisayarlar ile sunuculardır.Bilgi Sistemleri Yöneticileri, anti-virüs yazılımının sürekli çalışır durumda ve güncel olmasını sağlamaktan sorumludur.Tüm bilgisayar ve sunuculara standart ve tek anti-virüs yazılımı yüklenir. Güncellemeler kullanıcı müdahalesi olmadan merkezi sunucu üzerinden otomatik olarak yapılır.Sunucu güncellemeleri standart anti-virüs yazılımı firmasının tanımladığı ilgili bağlantıdan internet üzerinden yapılır.Anti-virüs yazılımlarının kullanıcıların bilgisayarlarından kaldırılması uzun ve şifre ile engellenmesi zordur.Virüs bulaşmış bilgisayar tamamen temizlenene kadar ağa eklenmez.Anti-Virüs konusundaki şirket standartları ve kullanıcıların uyması gereken kurallar Anti-Virüs Yazılımının Kullanımı başlığı altında ayrıntılı olarak açıklanmıştır.
4- İnternet Erişim ve Kullanım Politikası
Bu politikanın amacı, internet kullanıcıları için güvenli internet erişimi kurallarını kapsamaktır. İnternet erişim politikası BT tarafından yayınlanır ve kullanıcılara bildirilir.
5- Sunucu Güvenlik Politikası
Bu politikanın amacı, kurum içindeki sunucuların temel güvenlik yapılandırmalarının nasıl olması gerektiğini belirtmektir. Bu temel güvenlik yapılandırmalarının yapılmasından ve işletilmesinden Bilgi Sistemleri sistem yöneticisi sorumludur.
Genel Yapılandırma Kuralları
Sunuculardaki kullanılmayan hizmetler ve uygulamalar kapatılır.
Uygulama hizmetlerine erişim günlüğe kaydedilir ve erişim kontrol günlükleri analiz edilir.
Sunucu üzerinde çalışan işletim sistemleri, servis sunucu yazılımları, yönetim yazılımları vb. koruma yazılımları kontrollü bir şekilde sürekli güncellenir. Anti-virüs güncellemeleri otomatik olarak, yama güncellemeleri ise sistem yöneticileri tarafından kontrollü bir şekilde yapılır. Bu yama güncelleme süreci değişiklik yönetimi olarak sayılmaz.
Sistem ve uygulama yöneticileri gerekmedikçe 'administrator', 'root' vb. kullanıcı hesaplarını kullanmazlar. Windows ortamında gerekli yetkiler kendilerine verilmiş olan kendi kullanıcı hesaplarını kullanırlar. Önce kendi kullanıcı hesapları ile oturum açıp daha sonra genel yönetici hesaplarına geçerler.
Ayrıcalıklı bağlantılar teknik olarak güvenli kanallardır (ssh veya ssl, ipsec vpnencrypted network gibi).
Sunucular fiziksel olarak korunan sistem odalarında korunur.
6- Ağ Cihazları Güvenlik Politikası
Bu ilke, kuruluşun ağındaki yönlendiricilerin ve anahtarların sahip olması gereken minimum güvenlik yapılandırmalarını tanımlar.
Bilgisayar ağındaki tüm cihazların ip ve mac adresleri aktif cihaz listesine dahil edilir.
Yönlendirici ve anahtarlar etkinleştirme şifresini kodlanmış biçimde saklar.
Yönlendirici giriş portuna gelen IP adresleri kullanıcı şifresi ile kabul edilir.
Yönlendirici ve anahtarlar üzerinde çalışan güvenli web servislerine erişim sadece Bilgi Sistemleri çalışanlarına verilir.
Yönlendiriciler ve anahtarlar üzerinde SNMP kullanıldığında varsayılan olarak 'public', community string farklı değerler atanır.
İhtiyaçlar kontrollü bir şekilde eklenir
Yazılım ve ürün yazılımı önce test ortamlarında test edilir ve daha sonra çalışma günleri veya saatleri dışında canlı ortama taşınır
Cihazlardaki varsayılan hizmetler kapatılacaktır (telnet, http). Bunların yerine güvenli protokoller (SSH, https) ile bağlanılmalıdır.
Her yönlendirici ve anahtarlama cihazında aşağıdaki uyarı işareti bulunur. Yönlendiriciye erişen kullanıcılar yasal veya yasadışı kullanıcılar konusunda uyarılır
Bu cihaza yetkisiz erişim yasaktır. Bu cihaza erişmek ve yapılandırmak için yasal hakkınız olmalıdır. Aksi takdirde gerekli yasal işlemler ve eylemler gerçekleştirilebilir.
7- Ağ Yönetimi Politikası
Ağ yönetim politikası, ağın güvenlik ve sürekliliğini karşılayan kuralları belirler ve bunları standartlaştırmayı amaçlar.
Bilgisayar ağlarının ve bağlı sistemlerin iş sürekliliğini sağlamak için yedeklilik sağlanır.
Kullanıcının ağ üzerinde erişebileceği hizmetler kısıtlanır.
Sınırsız ağ dolaşımı engellenmiştir.
Yetkili kaynak ve hedef ağlar arasındaki iletişimi aktif olarak kontrol etmek için teknik önlemler alınmıştır (Güvenlik Duvarı, vb.)
Ağ erişimi, VLAN'lar gibi ayrı mantıksal alanlar oluşturularak kısıtlanır.
Uzaktan teşhis ve müdahale için kullanılacak portlar güvence altına alınmıştır.
Ağ bağlantıları periyodik olarak kontrol edilmelidir.
Ağ üzerinde yönlendirme kontrol edilmektedir.
Bilgisayar ağına bağlı tüm makinelerin kurulum ve yapılandırma parametreleri kurumun güvenlik politika ve standartlarına uygun olarak yapılır.
Bilgisayar ağı üzerindeki adresler, ağ yapılandırması ve diğer tasarım bilgileri üçüncü şahısların ve sistemlerin erişemeyeceği şekilde saklanır.
Güvenlik duvarı olarak kullanılan cihazlar başka amaçlar için kullanılmaz.
Bilgisayar ağı ile ilgili sorumlulukları desteklemek amacıyla ağ dokümantasyonu hazırlanır ve ağ cihazlarının güncel konfigürasyon bilgileri muhafaza edilir.
Bilgisayar ağı üzerindeki işlemler izlenir.
8- Uzaktan Erişim Politikası
Bu politikanın amacı, kurumun bilgisayar ağına herhangi bir yerden erişim için standartlar belirlemektir. Bu standartlar, yetkisiz kullanım nedeniyle kuruma gelebilecek olası zararı en aza indirmek için tasarlanmıştır ve uzaktan erişimin güvenli olmasını sağlamayı amaçlamaktadır.
9- Kablosuz İletişim Politikası
Bu politika, kurum içinde kullanılabilecek tüm kablosuz iletişim cihazlarını (dizüstü bilgisayarlar, akıllı cep telefonları, PDA'lar, tabletler vb. Kablosuz cihazların gerekli güvenlik önlemleri alınmadan kurumun bilgisayar ağına erişmesini engellemeyi amaçlar.
10 - İş Sürekliliği Yönetimi Politikası
Bilgi güvenliği ve iş sürekliliği için standartlar belirlenir. Bu bağlamda
Bilgi sisteminin kesintisiz çalışması için gerekli önlemler alınmıştır.
Kurum bilgi sistemlerinin kesintisiz çalışmasını sağlamak amacıyla aynı ortamda kümeleme uygulanmaktadır. Risk, işleme planı ile ele alınmış ve değerlendirilmiştir.
Sistem logları acil durumlara karşı yedeklenmektedir.
Bir güvenlik ihlali meydana geldiğinde BT çalışanları derhal bilgilendirilir.
Acil durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır:
Seviye A (Bilgi Kaybı): Değerli kurumsal bilgilerin yetkisiz kişilerce ele geçirilmesi, bozulması, silinmesi.
Seviye B (Hizmet Kesintisi): Kurumsal hizmetlerin kesintiye uğraması veya kesintiye yol açabilecek durumlar.
Seviye C (Şüpheli Durumlar): Yukarıda tanımlanan iki seviyedeki durumlara neden olunması
şüphelenilen ancak doğruluğu kanıtlanmamış.
Her seviyede tanımlanan acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu risk gerçekleşmeden önce ve gerçekleştikten sonraki aksiyon planları risk işleme planı ile dokümante edilir
Acil durumlarda, şirket çalışanları Bilgi Sistemlerine rapor verir, ihlal bildirimi, doğrudan üst yönetime raporlanır
11- Kimlik Doğrulama ve Yetkilendirme Politikası
Bu politika, kuruluşun bilgi sistemlerine erişim için kimlik doğrulama ve yetkilendirme politikalarını tanımlar. Bilgi sistemlerine erişen çalışanlar ve harici kullanıcılar bu politika kapsamındadır.
Kuruluştaki, kuruluşun sistemlerine ve kuruluşun sistemlerine erişebilen kullanıcılar
Erişim ihtiyacı olan diğer şirket kullanıcılarının hangi sistemlere, hangi kimlik doğrulama yönetimi ile erişebileceğini tanımlar.
Kurum içinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veritabanları, işletim sistemleri ve log-on olarak erişilen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenir ve kontrol altında tutulur.
Gerekli olan minimum yetkinin verilmesi ilkesi benimsenmiştir.
Erişim ve yetki seviyeleri periyodik olarak kontrol edilir ve gerektiğinde güncellenir.
Tüm kullanıcılar, kurum tarafından kullanımlarına tahsis edilen sistemlerdeki bilgilere erişebilir.
güvenliğinden sorumludur.
Sistemlere başarılı ve başarısız erişimlerin logları düzenli olarak tutulur. Log girişimleri analiz edilir
Kullanıcı hareketlerini takip edebilmek için her kullanıcıya kendi kullanıcı hesabı atanır
hesap açıldı.
12- Veritabanı Güvenlik Politikası
Kurumdaki veritabanı sistemlerinin kesintisiz ve güvenli çalışmasına yönelik standartları tanımlar. Tüm veritabanı sistemleri bu politika kapsamındadır.
Veritabanı sistemlerinin envanteri ve bu envanterden sorumlu kişiler tanımlanmıştır.
Veritabanı işletim kuralları tanımlanmıştır.
Veritabanı sistem logları tutulmakta ve gerektiğinde BT departmanı tarafından kontrol edilmektedir.
Veritabanı yedekleme politikaları oluşturulmuş ve yedekleme yöneticilerinden sorumlu sistem belirlenmiş ve yedeklerin düzenli olarak alındığı kontrol edilmektedir.
Veritabanı erişim politikaları 'Kimlik doğrulama ve yetkilendirme' çerçevesinde oluşturulmuştur.
Hata kurtarma ve yedekten bilgi döndürme kuralları 'BusinessContinuity' ile uyumludur, kurumun ihtiyaçları doğrultusunda oluşturulmuştur
Bilgilerin depolandığı sistemler fiziksel güvenliği sağlanmış bir sistem odasında tutulmaktadır
yamalar ve güncellemeler yapılmadan önce bildirimler yapılır ve ardından ilgili uygulama kontrolleri gerçekleştirilir ve değişiklik yönetimi olarak kabul edilmez
Veritabanı sunucularında sadece rdp, ssl ve orijinal veritabanı yönetim yazılımı kullanılır, ftp, telnet vb. açık metin bağlantıları kapatılır.
Veritabanı sunucusuna sadece zorunlu durumlarda root ve administrator olarak bağlanabilirsiniz. Root ve yönetici şifreleri yetkili kişiler tarafından kullanılabilir.
Tüm kullanıcı eylemleri günlüğe kaydedilir.
Yalnızca bir kişi veritabanı yöneticisidir.
Destek amacıyla veritabanı sunucularına 3. taraf erişimi için VPN ve/veya statik IP bağlantısı tahsis edilmiştir.
Veritabanı sunucularına yalnızca yetkili kişiler erişebilir
Veritabanı sunucularında kod geliştirenler dışında hiçbir kullanıcı bağlanamaz ve sorgulama yapamaz
Şifreler 60 günlük aralıklarla değiştirilir ve erişim şifreleri kapalı bir zarfta saklanır
kurumun kasasında muhafaza edilir.
13- Teknik Açıklık Yönetimi Politikası
Teknik Zafiyet Yönetimi Politikası', bilgi sistemlerindeki teknik zafiyetlerin tespit edilmesi, zafiyetlerin değerlendirilmesi, önlemlerin belirlenmesi, uygun önlemlerin seçilmesi, uygulanması ve uygulama sonuçlarının izlenmesi için yürürlüktedir. Sızma testleri üçüncü taraf bağımsız firmalar tarafından gerçekleştirilebilir.
14- Görevler Ayrılığı
InformationSecurity.SegregationofDuties.p
Kurumsal varlıkların kötüye kullanımını azaltmak için çakışan görevler ve sorumluluklar ayrılmıştır. Bir olayın başlatılması, yetkilendirilmesinden ayırt edilir. Bununla birlikte, faaliyetlerin izlenmesi, denetim izleri ve yönetim gözetimi gibi diğer kontroller de dikkate alınır.
15- Değişim Yönetimi Politikası
Kurumun bilgi sistemlerinde yapılması gereken konfigürasyon değişikliklerinin güvenlik ve sistem sürekliliğini bozmayacak şekilde yürütülmesine yönelik politikaları belirler
16- Bilgi Sistemleri Yedekleme Politikası
Bu politika, kuruluşun bilgi sistemleri yedekleme politikasının kurallarını tanımlar. Tüm kritik bilgi sistemleri ve bunların işletilmesinden sorumlu çalışanlar bu politika kapsamındadır. Ayrı bir 'Veri Yedekleme Politikası' tanımlanmıştır.
17- Kişisel ve Harici Ekipman Kullanım Politikası
Bu politika, kurum çalışanlarının ve üçüncü taraf şirketlerin kendi bilgi işlem ekipmanlarını içinde veya uzaktan bağlantı yoluyla iş amaçlı kullanmalarına ilişkin kuralları belirler.
Prensip olarak, çalışanlarının kendi özel ekipmanlarını iş amaçlı kullanmalarına izin verilmez. İstisnai durumlarda, bu tür ekipmanların iş amaçlı kullanımı sadece uzaktan bağlantı (VPN) altyapısı ile mümkündür.
Tedarikçi firmaların ekipmanları şirket içinde veya uzaktan iş amaçlı kullanılabilir SMS güvenlik gereksinimleri kullanım durumunda dikkate alınır.
Bu tür bağlantılar için tüm günlük tutma gereksinimleri dikkatli ve kapsamlı bir şekilde yerine getirilir ve etkinlik geçmişi (günlükler) düzenli olarak izlenir.
Erişim Politikası', 'IS Kullanım Kılavuzu' ve 'Bilgi Kaynakları Kullanımı Standartları'nda öngörülen BGYS gereklilikleri bu tür bağlantılarda kesintisiz olarak uygulanır.
18- Veri Aktarım Politikası
Bu politikanın amacı, üçüncü taraf kişi ve kuruluşlar ve kurum içi çalışanlar ile bilgi aktarımı sürecinde izlenecek yöntemleri belirlemektir.
Tüm bilgi varlıkları, mümkünse varlık sahibinin bilgisi ve onayı dahilinde taşınır ve aktarılır
Taşıma veya transfer sürecinde bilgi güvenliği gereklilikleri yerine getirilmelidir. Bilginin bütünlüğünü, gizliliğini ve erişilebilirliğini etkileyebilecek riskler belirlenmeli ve bu riskler ortadan kaldırılmalıdır
Aktarım ortamlarında, taşıma kanallarında ve iletişim tesislerinde güvenlik standartlarına uyulmalıdır.
Kullanılacak elektronik bilgi aktarım kanallarının (örn. e-posta, FTP, wetransfer, Dropbox vb.) seçimi Bilgi Sistemleri departmanı tarafından onaylanmalıdır. Onaylanmamış ve bilinmeyen aktarım yöntemleri kesinlikle kullanılmamalıdır.
Verilerin güvenli ve istenilen koşullarda aktarıldığından emin olmak için iletim, gönderim ve alım kontrol edilmelidir
Bilgi aktarımında, Bilgi etiketleme kuralları dikkate alınmalı ve bilgi varlığı 'Genel', 'Dahili', 'Gizli' ve 'Kişisel' bildirim etiketlerine göre dağıtılmalı veya aktarılmalıdır. Örneğin 'Genel' etiketli bilginin dağıtımı yapılabilirken, 'Dahili' etiketli bilgi varlığının devri için varlık sahibinin, 'Gizli' ve 'Kişisel' etiketli bilgi varlığı için ise Varlık Risk sahibinin onayı alınmalıdır. Bu konuda 'PR- Bilgi Etiketleme ve İşleme Prosedürü'ne başvurulmalıdır.
Bilginin elektronik ortamda aktarımında 'Gizli' ve 'Kişisel' etiketli veriler şifrelenmelidir.
Gizliliğin sağlanması için kurum çalışanları ve üçüncü taraf şirketlerle gizlilik ve ifşa etmeme anlaşmaları yapılmalıdır.
Bilgi aktarım sürecinde meydana gelebilecek her türlü bilgi güvenliği ihlal olayları
çalışanlar ve bilgi aktarımlarında oluşabilecek güvenlik ihlalleri BT çalışanları tarafından hızla ele alınmalı ve önleyici tedbirler ivedilikle hayata geçirilerek kayıt altına alınmalıdır
19- Risk Yönetimi Politikası
Risk Yönetimi, kurumun Stratejik Hedeflerinin gerçekleşmesini olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi ve en aza indirilmesi sürecidir Buna göre kurumun temel risk yaklaşımı;
BGYS Risk Yönetim Sisteminin üretim tesisi ile iş sürekliliğini sağlamak,
Ulusal ve uluslararası mevzuata uygun olarak kurulan Risk Yönetim Sistemini kurumsal yapının bütünleşik bir parçası haline getirmek
Riski kurumsal stratejiler doğrultusunda yönetmek ve riskleri kabul edilebilir seviyelerde tutmak için proaktif önlemler almak,
Katılımcı bir yönetim anlayışıyla risklerin tanımlanması ve risk portföyünün sürekli güncellenmesi
Risklere, her tehdidin içinde fırsatlar ve her fırsatın içinde tehditler olduğu anlayışıyla yaklaşın
Risk tutumunu değişen koşullar doğrultusunda güncelleyerek doğru risklerin doğru miktarda alınmasını sağlamak
Etkin iletişim ve raporlama yoluyla paydaşlar nezdinde itibar ve güven ortamı tesis etmek
Risk yönetim sisteminin performansını ölçmek, risk yönetim sistemini ve riskleri sürekli iyileştirmek ve kurumsal yapıyı dinamik bir yapıda tutmak
Risk Politikasını değişen ve gelişen koşullar doğrultusunda gözden geçirmek ve iyileştirmek
Bu kapsamda risk hem varlık bazlı hem de süreç bazlı olarak ele alınmakta ve risk değerlendirmesi tehdit ve zafiyetlere göre yapılmaktadır
Risk Değerlendirme yöntemi ve seçilen metodoloji Risk Değerlendirme Prosedüründe ele alınmaktadır.
20- Kriptografik Kontroller ve Anahtar Yönetimi Politikası
20.1 Giriş
Verileri korumanın yollarından biri de şifrelemedir. Hassas bilgiler bilinen ve test edilmiş şifreleme yöntemleri ile saklanmalıdır.
Süreç içinde kırılması uzun zaman alan algoritmalar daha kısa sürede çözülebilir, bu nedenle uygulama içindeki algoritmalar zaman içinde gözden geçirilmeli ve güncellenmelidir.
Kriptografik Kontroller aşağıdaki amaçlar için kullanılmaktadır;
Gizlilik: Depolanan veya iletilen hassas veya kritik bilgileri korumak için şifreleme kullanımı,
Bütünlük/Güvenilirlik: Depolanan veya iletilen hassas veya kritik bilgilerin güvenilirliği
veya bütünlüğünü korumak için dijital imzaların veya mesaj kimlik doğrulama kodlarının kullanılması,
İnkar edilemezlik: Bir olayın veya faaliyetin gerçekleştiğine veya gerçekleşmediğine dair kanıt elde edilmesi
kriptografik tekniklerin kullanımı.
Uygulama
Personel tarafından gönderilen e-postalarda yönetici, kullanıcı vb. hesap şifrelerine yer verilmemelidir
İşletim sistemi üzerinde saklanan kullanıcı ve yönetici parolalarının şifreli olarak saklandığı periyodik olarak kontrol edilmelidir
Sunuculara şifreli bağlantı ile bağlanılmalı, kripto kullanmayan yöntemler tercih edilmeli, kullanılmamalıdır. Düz metin kullanarak veri alışverişi yapan yöntemlerin kullandığı portlar gerekirse kapatılmalıdır
Kripto kullanımına ilişkin hangi ticari bilgilerin korunacağına dair genel ilkeler belirlenmelidir
Risk değerlendirmesine dayalı olarak, gerekli koruma seviyesi ve şifreleme algoritmasının türü, gücü ve niteliği belirlenmelidir.
Taşınabilir medya, cihazlar ve iletişim hatları üzerinden iletilen hassas bilgilerin korunması için şifreleme mekanizmalarının kullanımı belirlenmelidir
İçerik kontrollerinde şifrelenmiş bilgi kullanımının etkileri değerlendirilmelidir.
Kriptografik anahtarların korunması, şifrelenmiş bilginin kaybı veya tehlikeye girmesi, kayıp veya hasar durumunda geri alma yöntemleri de dahil olmak üzere anahtar yönetimi uygulanmalıdır.
Politikanın uygulanması, anahtar üretimi de dahil olmak üzere anahtar yönetimi ile ilgilidir. Görevler ve sorumluluklar tanımlanmalıdır.
20.3 Anahtar Yönetimi
Anahtar yönetimi, üzerinde mutabık kalınan aşağıdaki standartlar, prosedürler ve güvenli yöntemleri dikkate almalıdır;
Farklı kriptosistemler ve farklı uygulamalar için anahtar üretimi,
Anahtarın teslim alındıktan sonra nasıl etkinleştirileceği de dahil olmak üzere kullanıcılara anahtar dağıtımı,
Yetkili kullanıcılara anahtar erişiminin sağlanması da dahil olmak üzere anahtarların kullanımı,
Anahtarların ne zaman ve nasıl değiştirileceğine ilişkin kurallar da dahil olmak üzere anahtarların değiştirilmesi ve güncellenmesi,
Güvenliği tehlikeye atılmış anahtarlar,
Anahtarların geri alınmasını ve kullanımdan kaldırılmasını içeren anahtar iptali (örneğin, anahtarın güvenliği tehlikeye girmiştir veya kullanıcı kuruluştan ayrılmıştır),
Anahtarların arşivlenmesi ve imhası,
Anahtar yönetimiyle ilgili faaliyetlerin izleme kayıtlarının (günlüklerinin) tutulması.
Bilgi Sistemleri Kabul Edilebilir Denetim Koşulları Politikası
Amaç: Kurumun bilgi sistemlerine yönelik denetimlerin süreçler üzerindeki bilgi güvenliği etkilerini azaltmak.
Sistemler ve verilere erişim için denetim gereklilikleri ilgili yönetimle kararlaştırılır
Teknik denetim testlerinin kapsamına karar verilir ve kontrol edilir
Denetim testleri yazılım ve verilere salt okunur erişimle sınırlıdır
Salt okunur erişim dışındaki erişimler için, sistem dosyalarının ayrı ortamlardaki kopyalarına izin verilir ve bu kopyalar denetim tamamlandığında silinir veya denetim belgelerinin şartları uyarınca bu tür dosyaların saklanması gerekiyorsa uygun koruma sağlanır
Özel ve ek işlemler için gereklilikler tanımlanır ve kabul edilir.
Sistem kullanılabilirliğini etkileyebilecek denetim testleri çalışma saatleri dışında gerçekleştirilir
Tüm erişimler izlenir ve bir referans kaydı oluşturmak için kaydedilir
22- Fikri Mülkiyet Hakları Politikası
Kapsam
Fikri mülkiyet hakları, yazılım veya belge telif haklarını, tasarım haklarını, ticari markaları, patentleri ve kaynak kodu lisanslarını içerir.
Uygulama
Tüm çalışanların sorumluluğundadır. Kuruluşumuz tüm ulusal ve uluslararası yasa ve yönetmeliklere uymayı taahhüt eder.
Yazılım ve diğer ürünlerin yasal kullanımını belirleyen fikri mülkiyet haklarına uyum İnsan Kaynakları politikasında ele alınmış ve tüm çalışanlara politika okutularak imzalatılmıştır.
Telif haklarının ihlal edilmediğinden emin olmak için yazılım ve lisanslar yalnızca bilinen ve seçilen tedarikçilerden satın alınmaktadır.
Fikri Mülkiyet Haklarının çalışan tarafından ihlali, İnsan Kaynaklarının ilgili Disiplin Yönetmeliği kapsamında ele alınır
Varlık envanterleri oluşturulur ve fikri mülkiyet hakları kapsamındaki tüm lisanslar ve Bilgi varlıkları kayıt altına alınır
Lisansların, ana disklerin, kılavuzların ve benzerlerinin sahipliğine ilişkin kanıtlar ve belgeler saklanacaktır
Yazılım ve lisanslı ürünlerin kurumsal BT ekipmanlarına kurulumu sadece yetkili BT ekibi tarafından yapılır
Telif hakkı yasasının izin verdiği durumlar dışında, kitapların, makalelerin, raporların ve diğer belgelerin tamamen veya kısmen kopyalanmasına izin verilmez