KİŞİSEL VERİLERİN KORUNMASI KANUNU BİLGİ GÜVENLİĞİ PROSEDÜRLERİ (BİLGİ TEKNOLOJİLERİ)
Bu döküman DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ ve Grup Şirketlerine aittir. İzinsiz kopyalanamaz ve firma dışına çıkarılamaz.
Bu doküman; bilgi güvenliğinin sürekli gelişimini sağlamak için; Bilgi varlıklarını tanımlamayı bu varlıkların;
bilginin gizliliği, bütünlüğü ve erişimine ilişkin riskleri belirlemeyi, değerlendirmeyi, kabul edilebilir seviyenin üzerinde bulunan tüm varlıklar için gerekli kontrolleri uygulamayı, bilgi güvenliği süreçlerinin yönetimini, zayıflıklarımızı ve tehditleri alt yapı, çalışma ortamı, donanım, yazılım ve eğitim yatırımlarıyla en aza indirgemeyi, işimizin, müşterilerimizin ve yasal şartların gerektirdiği güvenlik şartlarını karşılamayı, amaçlamaktadır.
Uyulması gereken bilgi güvenliği esasları prosedürlerini kapsamaktadır.
Genel Güvenlik Talimatı DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ bünyesinde çalışan tüm personelleri kapsayan ve uyulması zorunlu olan kuralları içermektedir. Bu kuralların ihlali durumunda gerekli yasal işlemlerin başlatılması esastır.
Günümüzde artan nüfusla orantılı olarak bilgi ve doküman sayısı da artmaktadır ve bu artış, bilginin akıcılığını ve işlevselliğini kaybetmemek ve daha da arttırmak amacıyla dijitalleştirme ihtiyacı doğurmuştur. Dijitalleştirme ile fiziksel ortamdan kazanım sağlanmış ve özellikle geriye dönük evrakların kaybolma ihtimalleri ciddi oranda azaltılmıştır. Fakat bu durum fiziksel ortamdaki evrakların güvenlik tedbirine dijitallerinin de güvenli korunmasını eklemiştir. Büyüyen teknoloji ve bilgiyle birlikte güvenlik sorunları en önemli konuma gelmiş ve bilgi teknolojileri departmanın yanı sıra tüm şirket çalışanlarının başlıca dikkat etmesi gereken bir durum haline gelmiştir.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “, güvenliğin en önemli unsur olduğunun bilinciyle tüm personelleri bilgilendirmektedir. Tüm personellerin bilgi güvenliğinin önemine hakim olması sağlanarak güvenliğin en üst seviyeye çıkartılıp görülen açıkların tamamen kapatılmasını amaçlamaktadır.
Tüm e-posta hesapları son kullanıcının adından oluşur.
E-posta hesaplarını açma, kapama, silme ve yönetme sorumluluğu BİLGİ TEKNOLOJİLERİ sorumluluğundadır.
E-posta tanımlamaları yapılırken mutlaka kullanıcı ile ilgili değer detay bilgiler (şirketi, bölümü, görevi, telefonu, dahilisi, kısa kodu vb) doldurulmalı, eksik bilgi bırakılmamalıdır.
E-Posta açma talepleri mutlaka yazılı olarak alınmalı, ilgili birim yöneticisinin onayını taşıyan yazılı bir talep ile aktive edilmelidir.
E-Posta kutularında saklanabilecek mesajlar için bir depolama boyutu kotası standart olarak 50gb olarak tanımlanmıştır.
E-posta dağıtım listeleri ve grupları şirketlerin bölümlerini temsil eder şekilde oluşturulmalı ve bu gruplara sadece ilgili bölüm çalışanlarının e-posta kutuları eklenmelidir.
Standart dışı e-posta dağıtım grubu talepleri ise yine talebi yapan birimin yöneticisi tarafından yazılı olarak bildirilmeli, dağıtım listesinin ismi, amacı ve üye olacak e-posta hesapları bu talepte yer almalıdır.
Dağıtım listeleri isimlendirilirken Bölümİsmi@firmaltdsti.com şeklinde isimlendirilecektir.
Kurumdan ayrılacak olan personelin e-posta hesapları, ilgili birim tarafından bildirildiği anda Deaktive edilmeli ve tüm alanlardan erişimi durdurulmadır.
E-posta kutuları ve içindeki tüm postalar kurumsal hafızanın bir parçası olduğundan ayrılan personelin posta kutusunun bir yedeğini istemesi talebi geri çevrilmedir.
Deaktive edilen posta kutuları ve mail adresleri ilgili birim ya da ilgili personelin yöneticisi tarafından atanacak yeni bir mail adresine yönlendirilmelidir.
Her kullanıcının, kurum bünyesinde sadece bir adet e-posta hesabı bulunabilir. Kullanıcılar e-posta hesaplarının güvenliğinden şahsen sorumludurlar.
Kullanıcılar e-posta parolalarını “Parola Oluşturma ve Kullanım Prosedürü” doğrultusunda belirlemek ve kullanmakla yükümlüdürler.
Kullanıcılar, üçüncü şahıslarla ilgili e-postalarda küfürlü, ayıp veya küçültücü ifadeler kullanmamalıdır. Bu tip ifadeler şaka yaparken bile kişisel iftira gibi yasal sorunlar yaratabilir.
Bilgi Teknolojileri e-postaların kişiye özel olacağını garanti edemez. Kullanıcı e-postalarının, teknolojiye bağlı olarak, başkaları tarafından okunabileceğinin, aktarılabileceğinin, engellenebileceğinin, yazıcıdan çıktı alınabileceğinin ve depolanabileceğinin farkında olmalıdır.
Kullanıcı hesaplarına ait parolalar ikinci bir şahsa verilmemelidir.
Şirket ile ilgili özel bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
Kullanıcı, kurumun e-posta sistemini taciz, suiistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajları göndermemelidir. Bu tür özelliklere sahip bir mesaj alındığında ilgili birime haber verilmelidir.
Kullanıcı hesapları, ticari ve kâr amaçlı olarak kullanılmamalıdır. Diğer kullanıcılara bu amaçlar ile e- posta gönderilmemelidir.
Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında başkalarına iletilmeyip, ilgili birime haber verilmelidir.
Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.
Kullanıcı e-posta ile uygun olmayan içerikler (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, vb.) göndermemelidir.
Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul edip; suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların yollanmasından sorumludur.
E-Posta kişisel amaçlar için kullanılmamalıdır.
Kullanıcı, mesajların yetkisiz kişiler tarafından okunmasını engellemelidir. Bu yüzden parola kullanılmalı ve kullanılan parola en geç 90 günde bir değiştirilmelidir. E-Posta erişimi için kullanılan donanım/yazılım sistemleri yetkisiz erişimlere karşı korunmalıdır.
Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın ilgili birime haber vermelidir.
Kullanıcı, kurumsal mesajlarını, kurum iş akışının aksamaması için cevaplandırmalıdır.
Kullanıcı, kurumsal e-postalarının kurum dışındaki şahıslar ve yetkisiz şahıslar tarafından görülmesini ve okunmasını engellemelidir.
Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar ilgili birime haber verilmelidir.
6 ay süreyle kullanılmamış e-posta adresleri kullanıcıya haber vermeden sunucu güvenliği ve veri depolama alanının boşaltılması için kapatılmalıdır.
Kullanıcı parolaları, Parola Oluşturma ve Kullanım Prosedürü ’ne uygun oluşturulmalıdır.
Kullanıcı, kendilerine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolalarının kırıldığını fark etiği andan itibaren ilgili birime haber vermelidir.
Kurumsal e-postalar yetkili kişilerce hukuksal açıdan gerekli görülen yerlerde önceden haber vermeksizin denetlenebilir.
Kullanıcı, e-postalarına erişirken, POP3, SMTP, http vb. kullanıcı adı ve parolasını açık metin olarak (okunabilir halde) taşıyan protokolleri kullanmamalıdır.
Kurum, e-postaların kurum bünyesinde güvenli ve başarılı bir şekilde iletilmesi için gerekli yönetim ve altyapıyı sağlamakla sorumludur.
Virüs, solucan, Truva atı veya diğer zararlı kodlar bulaşmış olan bir e-posta kullanıcıya zarar verebilir. Bu tür virüslere bulaşmış e-postalar anti virüs yazılımları tarafından analiz edilip, içeriği korunarak virüslerden temizlenmelidir. Ağa dâhil edilmiş bilgisayarlarda ve sunucularda sistem yöneticileri bu yazılımdan sorumludur.
Kurumun bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvarları üzerinden internete çıkmalıdır. Ağ güvenlik duvarı, kurumun ağı ile dış ağlar arasında bir geçit görevi yapan ve internet bağlantısında kurumun karşılaşabileceği sorunları önlemek üzere tasarlanan cihazlardır.
Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır. İstenilmeyen siteler (pornografi, oyun, kumar, şiddet içeren vs.) yasaklanmalıdır.
Kurumun ihtiyacı doğrultusunda saldırı tespit ve önleme sistemleri kullanılmalıdır.
Kurumun ihtiyacı ve olanakları doğrultusunda antivirüs sunucuları kullanılmalıdır. İnternete giden ve gelen bütün trafik virüslere karşı taranmalıdır.
Kullanıcıların internet erişimlerinde firewall, antivirüs, içerik kontrol vs. güvenlik kriterleri hayata geçirilmelidir.
Ancak yetkilendirilmiş kişiler internete çıkarken, kurumun normal kullanıcılarının bulunduğu ağdan farklı bir ağda olmak kaydıyla, bütün servisleri kullanma hakkına sahiptir.
Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir.
İş ile ilgili olmayan (müzik, video dosyaları) dosyalar gönderilmemeli ve indirilmemelidir. Bu konuda gerekli önlemler alınmalıdır.
Üçüncü şahısların internet erişimleri için misafir ağı erişimi verilmelidir.
Kurumun bilgisayar ağına bağlanan bütün erişim cihazları ve ağ arabirim kartları (örnek, PC Card) Bilgi Teknolojileri birimi tarafından kayıt altına alınmaktadır. Erişim cihazları periyodik olarak güvenlik testlerinden geçirilmektedir. Ancak Mac adresleri kayıtlı olan cihazlar kurumun bilgisayar ağına erişebilmektedir.
Bütün kablosuz erişim cihazları BİLGİ Teknolojileri ve tarafından onaylanmış cihazlardır ve bunların güvenlik ayarlarını kullanmaktadır.
Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmaktadır. Bunun için Wi-Fi 6 ve sertifikalı WİFİ ağları kullanılmaktadır.
Erişim cihazlarındaki firmware'ler düzenli olarak güncellenmektedir. Bu, donanım üreticisi tarafından çıkarılan güvenlik ile ilgili yamaların uygulanmasını sağlar.
Erişim cihazları kolayca erişilebilir konumlarda değillerdir. Çünkü cihaz resetlendiğinde fabrika ayarlarına geri dönebilmekte ve güvenlik açığı oluşturmaktadır.
Cihaza erişim için güçlü bir şifre kullanılmaktadır. Erişim şifreleri varsayılan ayarlarda bırakılmamıştır.
Varsayılan SSID isimleri kullanılmamaktadır.
Erişim cihazları üzerinden gelen kullanıcılar Firewall üzerinden ağa dâhil olmaktadırlar.
Kritik noktalarda bulunan kullanıcılar VPN teknolojilerini kullanarak kurum ağına erişmektedirler.
Kullanıcılar dinamik IP, erişim cihazları statik IP adresleri kullanılmaktadır. Erişim cihazları günlük olarak devamlı bir şekilde gözlemlenmektedir.
Bu prosedür bütün elektronik veriyi kapsar ve verinin depolanması / transferi için kullanımı kabul edilen cihazlar ve üzerlerinde taşınan verinin hassasiyetine veya gizliliğine bakılmaksızın bu cihazlarda şifreleme yazılımının nasıl kullanılacağını açıklar.
Bu prosedür aşağıdaki cihaz ve uygulamaların şifrelenmesini kapsar:
Bu prosedür gereğince uygun şekilde şifrelenmemiş taşınabilir bilgisayarlara veya taşınabilir medya cihazlarına (harddisk, usb disk, hafıza kartları vs) DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “’ne ait bilgi varlıkları kopyalanmamalıdır.
Kurum içerisinde e-posta ya da taşınabilir medya ile gönderilecek kritik ve hassas veriler için şifreleme yapılarak gönderilmektedir.
Kişisel depolama medyaları ve cihazlar DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ verilerinin taşınması için zorunlu kalmadıkça kullanılmamalıdır.
Mobil telefonlar, kameralar, tabletler gibi USB üzerinden veri kopyalanabilen cihazlar DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ bilgi varlıklarının taşınması için kullanılamaz. İş gereği kullanılması gerektiği durumlarda uygun şifreleme ve kullanım yöntemleri için BT departmanına başvurulmalıdır.
Yetki verilmiş bir taşınabilir depolama cihazı (USB bellek vb.) kullanılırken Parola Oluşturma Ve Kullanım Prosedürü ile uyumlu bir şifre kullanılarak veriler şifrelenmelidir. Çalışanın şirketten ayrılması durumunda da şifreli verilere erişim sağlanabilmesi için kullanılan şifre departman yöneticisine bildirilmelidir.
Tüm CD/DVD/Bluray cihazlar salt-okunur olarak kullanılabilecek ve bu kullanım şekli GroupPolicy kullanılarak tüm etki alanında (domain) uygulanacaktır. CD/DVD/Bluray’e yazma yapılmasını gerektiren iş fonksiyonları (yedekleme, müşteriye dosya gönderimi vb.) için istisnai olarak bu yetki Yöneticisi yazılı onayı ile açılabilir. Ancak yazılacak veriler, Parola Oluşturma ve Kullanım Prosedürü ile uyumlu bir şifre kullanılarak, Winrar yazılımı ile şifrelenmiş olarak kopyalanmalıdır.
Taşınabilir hard disklerin kullanılması gerekiyorsa, DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ tarafından onaylanmış ve şifreleme destekleyen diskler tercih edilmeli veya bu disklere kopyalanan tüm veriler Parola Oluşturma ve Kullanım Prosedürü ile uyumlu bir şifre kullanılarak, şifrelenmelidir.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ tüm elektronik verilerin güvenli bir şekilde depolanması, taşınması ve erişilmesi için çalışanlarına uygun depolama mekanizmaları, prosedürleri, cihazlar ve şifreleme yazılımı sağlar. Şifreleme prosedürünün uygulanıp uygulanmadığının kontrolü için taşınabilir cihazlar ve medyalar rastgele zamanlarda denetlenebilir.
Taşınabilir depolama cihazlarının ve taşınabilir medyanın kullanımı
Taşınabilir depolama cihazlarının ve taşınabilir medyanın kullanımı sırasında kullanıcılar aşağıdakileri sağlamaktan sorumludur:
Bu prosedürün ihlali durumunda Bilgi Güvenliği İhlal Olayı olarak raporlanır ve sorumlular hakkında DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ Disiplin Yönetmeliği uygulanır.
İhlalin DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ ile imzalamış tedarikçiler veya üçüncü partiler tarafından yapılması durumunda, söz konusu bilgi varlıklarına erişim durdurulur. Böyle bir durumda DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ mevcut sözleşmeyi sonlandırma ve gerekiyorsa yasal işlem başlatma hakkını saklı tutar.
Ağ cihazları güvenlik politikası ile ilgili kurallar aşağıda belirtilmiştir:
“BU CİHAZA YETKİSİZ ERİŞİMLER YASAKLANMIŞTIR’’ bu cihaza erişim ve yapılandırma için yasal hakkınız olmak zorundadır. Bu cihaz üzerinde işletilen her komut loglanabilir, bu politikaya uymamak disiplin kuruluna sevk ile sonuçlanabilir veya yasal yaptırım olabilir.
Ağ yönetim prosedürü ile ilgili kurallar aşağıda belirtilmiştir:
Kurum sistemlerinin tamamına (donanım, uygulama yazılımları, paket yazılımları, işletim sistemleri) periyodik bakım yapılmaktadır.
Üreticilerden sistemler ile ilgili bakım prosedürleri sağlanmaktadır.
Sistem üzerinde yapılacak değişiklikler ile ilgili olarak ilişkili standartlar uygulanmaktadır. Bakım yapıldıktan sonra tüm sistem dokümantasyonu güncellenmektedir.
Sistem bakımlarının ilgili prosedür ve standartlar tarafından belirlenmiş kurallara aykırı bir sonuç vermediğinden ve güvenlik açıklarına yol açmadığından emin olmak için periyodik uygunluk ve güvenlik testleri yapılmaktadır.
Sistem bakımlarından sonra bir güvenlik açığı yaratıldığından şüphelenilmesi durumunda uyarınca hareket edilmektedir.
Her kullanıcı fiziki olarak kendi bilgisayarından sorumludur. Monitörü, klavyesi mouse’u çevresel aygıtları (hoparlör, webcam, microfon vb.) denetimi kendisine aittir.
Bilgisayarlardan herhangi biri bozulduğunda yedek bilgisayar kullanılır. Bilgiler server da yedeklendiğinden herhangi bir bilgi kaybı yaşanamamaktadır.
Server bakımı Bilgi Teknolojileri Sistem Yöneticisi ya da imalatçı firma görevlisi eşliğinde gerekli olan her türlü ekipman desteğinde genelde yerinde, Cloud’ta tutulan sunucular Cloud firması tarafından otomatik olarak yapılmakta olup, bakım yapılmadan önce Bilgi Teknolojileri Sistem Yöneticisi’ne bilgi verilerek yapılır.
Bilgisayarların üzerinde lisanslı yazılımların dışında, kopya ya da gereksiz bir yazılım bulunmaması gerekmektedir.
Bilgisayarlarda gereksiz bir yazılım tespit edildiğinde güvenlik prosedürü gereği ilgili yazılımlar kaldırılır.
Kullanıcıların şirket içinde bilgisayarlarından yasadışı ya da kaynağı bilinmeyen internet adreslerine bağlanmamaları, sistemin devamlılığı için de gereklidir. (Firewall Loglarından kullanıcıların hangi internet sitelerine giriş yaptığı takip edilmektedir.)
Bu nedenle gerek kullanıcı bilgisayarlarında gerekse ana bilgisayarda güvenlik ayarlarının en üst seviyede olması gereklidir.
Bakım ve denetim sırasında cihazların güvenlik seviyelerinin de kontrol edilmesi gerekir ve beklenir. Bu kontrolün ardından bilgi teknolojileri cihazlarının donanımsal denetimi yapılmalıdır.
Bu denetimde kullanıcı bilgisayarlarının donanımları kontrol edilir. Bakım ve kontrolü yapılan bilgi teknolojileri cihazları çalışır vaziyette kullanıcı ya da sahibine teslim edilir. Yetkisi olmayan personel hiçbir şekilde firma departmanları ve ofislerine alınmayacaktır.
Firma ile ilgili bilgiler hiçbir şekilde firma dışına flash disk, taşınabilir harddisk, akıllı telefonlar vb. içinde çıkarılmayacaktır.
E-postaların bulunduğu akıllı telefonlara kişisel şifre konulacaktır.
Mesai saatleri dışında veya bilgisayardan uzakta iken bilgisayarlar kapatılacak veya kitlenecektir.
Çizim bilgisayarı vb. ortak kullanım bilgisayarları kullanım dışında sürekli kapalı veya kitli durumda bırakılacaktır.
Dolaplara ek bir cihaz/ekipman konulacağı zaman ilgili kişi bilgilendirilecek ve cihaz/ekipman, dolap içerik bilgisine eklenecektir.
Masa üstü temizliğine ve bilgisayar masaüstü temizliğine özen gösterilecektir.
Personele tahsis edilen cep telefonu, çalıştığı ofisin anahtarı vb. özel durumlar dışında her an yanında ve ulaşılabilecek durumda olmalıdır.
Güvenlik seviyesi yüksek cihaz, master card, sam vb. ürünlerin bulunduğu dolap veya kasa yetkili personel dışında açılmayacaktır.
Kıymetli ve gizli evrakların kayıt işlemleri tamamlandıktan sonra hemen tasnifi yapılarak ilgili dosyasına kaldırılacaktır.
Bilgi sızmasını önlemek için yetkisiz kişilerin erişimleri engellenmektedir. Misafirler için kısıtlı yetkide misafir network ağ bağlantısı bulunmaktadır.
Çalışanlar sadece yetkilerinin olduğu departmanlara kartla giriş yapabilmektedir.
İç Denetim Esasları genel anlamda 5 ana denetim alanına ayrılır.
Dış Çevre Denetimleri: Genel Olarak sistemin bulunduğu ortamın, Bilgi İşlem Sistem Odasının denetimini içerir.
Donanımsal Denetimler: Sistemlerin içerisindeki parçaların (RAM, Hard Disk, Ekran Kartı), kapalı kutu donanımların (Firewall, Switch) ve genel kablolama sisteminin denetimini içerir.
Yazılımsal Denetimler: Sistem içerisinde bulunan tüm yazılımların denetimini içerir.
Sunucu Bazlı Denetimler: Sunucunun kurumdaki işlevine göre yapılan denetimleri içerir. (DC, FileServer, WebServer)
Ağ Güvenliği Denetimleri: Dış Network ve İç Network Güvenliğini içerir.
Şirket içerisinde veri bulunduran herhangi bir sunucu barındırılmamaktadır. Şirketin tüm verileri Cloud üzerinde tutulmaktadır. Şirket içinde olan sistem odasında sadece network cihazları ve kamera kayıt üniteleri bulunmaktadır.
Sunucularda kullanılan tüm yazılımların lisanları denetlenir. Sunucularda kullanılan tüm yazılımların güncellikleri denetlenir Sunuculardaki İşletim Sistemlerinin güncellemeleri, yamaları denetlenir. Özel yazılımlar üzerindeki erişme yetkileri denetlenir.
Güncelliğini yitirmiş ya da kullanılmayan yazılımlar sistemden silinir.
Group Policy yapısı gözden geçirilir, gerekli görülen değişiklikler varsa yapılır. Fazla yetki verilen kullanıcılar ya da Pc ler varsa yetkileri ellerinde alınır.
DNS yapısı gözden geçirilir, kullanılmayan PC isimleri ya da kullanıcı isimleri varsa silinir. Bir PC ismine birden çok ip bağlanmış olabilir. Kullanılmayan ipler, PC ismi entegrasyonundan çıkarılır.
DHCP yapısı denetlenir. Rezerve olan ip blokları denetlenir. Kullanılmayan ip bloklarının rezervasyonu silinir.
Active Directory’nin, Group Policylerin, DNS ve DHCP yapılarının yedekleri alınır.
Mail sistemi olarak Microsoft O365 alt yapısı kullanılmaktadır. Tüm mailler Cloud üzerinde Microsoftun güvencesi altında tutulmaktadır.
Dosya Sunucusunda kullanılmayan paylaşım dosyaları (ör: program kurulumları) silinir.
Dosya Sunucusundaki tüm dosyaların FULL Back-up’ı alınır.
Proxy için disk üzerinde ayrılan alan kontrol edilip, gereksiz şekilde tutulan adresler silinir. Group Policy üzerinde proxy tanımlarının doğru yapılıp yapılmadığı kontrol edilir.
Firewall’ın gerekli güncellemeleri yapılmalıdır. Webfilter’ın gerekli güncellemeleri yapılmalıdır Anti-Virus’ün gerekli güncellemeleri yapılmalıdır.
Firewallın kuralları gözden geçirilmeli ve görülen açıklıklar kapatılmalıdır.
Firewall üzerinde açık olan portlar kontrol edilmeli ve güvenlik açığı yaratacak olan portlar kapatılmalıdır.
IIS Server’da Windows doğrulaması kontrol edilmeli, misafir girişleri yasaklanmalıdır
IIS dosyalarının bulunduğu klasördeki kullanıcı yetkileri gözden geçirilmeli ve gereksiz yetkiler kısıtlandırılmalıdır.
FTP kullanımı açıksa yetkiler kontrol edilmelidir.
Windows’un güvenlik yamaları denetlenmeli, yeni yama varsa yüklenmelidir.
Veritabanı programının güncelliği denetlenmeli.
Veritabanı sunucusunda bulunan hard diskteki boş alan kontrol edilmeli, gerekirse hard disk takviyesi yapılmalıdır.
Veritabanı programınının kullandığı Memory miktarı kontrol edilmeli, kullanılan memory üst düzeydeyse memory takviyesine gidilmeli ya da miktar sınırlandırılmalıdır.
Firewallar, Webfilter ve Antivirüs’ün güncellemeleri denetlenmelidir.
Firewall kuralları gözden geçirilmeli, kurallarda güvenliği tehdit edecek açıklar varsa, kurallar düzenlenmelidir.
Firewalldaki açık olan portlar ve uygulamalar denetlenmeli, güvenliği tehdit eden portlar kapatılmalı, uygulamaların ise kullanımı engellenmelidir.
Webfilterların databaseleri Firewall lisansı ile her gün otomatik olarak güncellenmelidir.
Switch ve Router konfigurasyonları denetlenmelidir. Güvenlik açıkları varsa giderilmelidir. Kurumdaki DMZ yapısı denetlenmeli, DMZ’deki gereksiz sunucular DMZ’ten çıkartılmalıdır. VPN erişimleri denetlenmelidir.
İç denetim; yapılan yatırımın sürekliliğini sağlamayı, Uygunsuzluklardan doğan açıkların yol açabileceği zararları önlemeyi, Uygunsuzluklardan doğan açıkların yol açabileceği zararları önlemeyi amaçlamalıdır.
İç denetim Bilgi Güvenliği Yönetim Sisteminin kapsamını içermelidir, Kapsam dahilindeki tüm servislerden rastgele seçilmiş en az bir örneklem ile iç denetim yapılmalıdır.
İç denetimi yapan kişi Bilgi Güvenliği Yönetim Sisteminin Planlama ve Uygulama kısmında çalışmayan bir personel olmalıdır.
İç denetimi yapacak kişi Bilgi Güvenliği Yönetim Sistemi, denetleme ve risk yönetimi konusunda bilgili olmalıdır.
Denetçi tarafsız davranabilmelidir.
Önceki denetimlerin çıktıları incelenmelidir.
Kontrol hedeflerinin, kontrollerin, süreçlerin ihtiyaçlara uygunluğunun araştırılmalıdır. Uygunsuzluklar ve nedenleri belirlenmelidir.
Düzeltici, önleyici faaliyetleri belirlenmelidir.
Sonuç raporu ve sunumu yapılmalı, iç denetleme sonucunda yüksek risk içeren veya tüm kurumu etkileyen sonuçlar üst yönetimle paylaşılmalıdır.
İç denetim esasları planlanan aralıklar ile gerçekleştirilmelidir.
Geliştirme, test ve işletim ortamlar, yetkisiz erişim veya işletim ortamlarında değişiklik risklerinin azaltılması için birbirinden ayrılmaktadır. CRM testleri tedarikçi firma tarafından yapılmakta ve son hali gönderilmekte. Diğer sistem güncelleştirmeleri için serverda belirlenmiş bir TEST alanı ayrılmıştır.
Database Server için, kullanıcı sayısı ve yapılacak projenin içeriğine bağlı olarak Bilgi Teknolojileri Sistem Yöneticisi tarafından proje sahibinin oluşturduğu veri miktarına göre belirlenir.
File Server için, kullanıcı sayısı ve kullanıcı çalışmalarının içeriğine bağlı olarak Bilgi İşlem Sorumlusu tarafından çalıştığı dosya boyutları hesaplanarak belirlenir.
Kullanıcı bilgisayarları için, kullanıcıların iş niteliği, mail ve dosyalarının büyüklüğü Bilgi İşlem Sorumlusu tarafından hesaplanarak belirlenir.
Kapasite kontrolü serverlar ve kullanıcılar için Bilgi Teknolojileri Sistem Yöneticisi tarafından 3 ayda bir kontrol
edilir.
Kontrol sonucu, kapasite doluluk oranı %90 sınırına geldiğinde, kapasite artımı Bilgi Teknolojileri Sistem Yöneticisi, Bilgi Teknolojileri Direktöründen den gerekli onaylarını alarak satın almasını ve yükseltme işlemini yapar.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ bünyesindeki bütün sunucuların yönetiminden Bilgi Teknolojileri sistem yöneticileri sorumludur. Sunucu konfigürasyonları sadece ilgili tarafından yapılacaktır.
Bütün sunucular ilgili DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ yönetim sisteminde dijital kayıt olmalıdır. En az aşağıdaki bilgileri içermelidir.
Bütün bilgiler tek bir merkezde güncel olarak tutulmalıdır.
İşletim sistemi konfigürasyonları Bilgi Teknolojileri Sistem Yöneticisi tarafından kurulum talimatlarına göre yapılacaktır.
Kullanılmayan servisler ve uygulamalar kapatılacaktır.
Sunucu üzerinde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının ve antivirüs vb. koruma amaçlı yazılımların sürekli güncellenmesi sağlanmalıdır. Mümkünse, yama ve antivirüs güncellemeleri otomatik olarak yazılımlar tarafından yapılmalı, ancak değişiklik yönetimi kuralları çerçevesinde bir onay ve test mekanizmasından geçirildikten sonra uygulanmalıdır.
Uygulama erişimleri için standart güvenlik prensiplerini çalıştırılır, gereksiz servisler kapatılır.
Sistem yöneticileri gerekli olmadığı durumlar dışında "Administrator" ve "root" gibi genel kullanıcı hesapları kullanmaz, gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanır. Genel yönetici hesapları yeniden adlandırılır. Gerekli olduğunda önce kendi hesapları ile oturum açıp, daha sonra genel yönetici hesaplarına geçiş yaparlar.
Ayrıcalıklı bağlantılar teknik olarak mümkünse güvenli kanal (SSH veya IPSec VPN gibi şifrelenmiş ağ) üzerinden yapılır.
Güvenlikle ilgili kayıtlar sorumlu kişi tarafından değerlendirilir ve gerekli tedbirler alınır. Güvenlikli ilgili olaylar aşağıdaki gibi gerçekleşebilir fakat bunlarla sınırlı değildir.
Denetmenler organizasyonun işleyişine zarar vermemesi için maksimum gayret gösterilecektir.
Sunucular elektrik ve ağ altyapısı ile sıcaklık ve nem değerleri düzenlenmiş ortamlarda işletilmektedir.
Sunucuların yazılım ve donanım bakımları üretici tarafından belirlenmiş aralıklarla, yetkili uzmanlar tarafından yapılır.
Geliştirme, test ve işletim ortamlar, yetkisiz erişim veya işletim ortamlarında değişiklik risklerinin azaltılması için birbirinden ayrılmıştır.
Bilgi teknolojilerinde oluşabilecek hatalar karşısında; sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en aza indirmek için, sistemler üzerindeki konfigürasyon, sistem bilgilerini ve kurumsal veriler düzenli olarak yedeklenmelidir.
Bilgi Teknolojileri Sistem Yöneticisi tarafından önceliği gözetilen ve şirket için önemli verilerin olduğu sunucular Cloud üzerinde günlük olarak yedeklenir. Ayrıca alınan yedekler her gün farklı bir lokasyona kopyalanır. Yedekleme listesi ve sunucu listesi dijital olarak Bilgi Teknolojileri tarafından güncel olarak tutulmaktadır.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ tarafından geliştirilen veya üçüncü taraflardan temin edilen her türlü yazılım veya her bir yeni bilgi öncelikle test ortamında çalıştırılmakta ve kullanıcılar tarafından test ortamında gerekli testler yapıldıktan sonra herhangi bir sorunla karşılaşılmadığı takdirde var olan çalışma ortamına aktarılmaktadır.
Fiziksel bir varlık envanteri çalışan ortama aktarılmadan önce gerekli olan bütün donanım güncellemeleri yapılmaktadır. Sisteme dâhil edilmeden önce gerekli olan işletim sistemi güncelleştirmeler, anti virüs, diğer uygulama ajanları ve gerekli olan diğer konfigürasyonlar mutlaka yüklenmektedir. Anti virüs kurulumu yapılmadan hiçbir şekilde sisteme dâhil edilmemektedir.
Yeni bilgi teknolojileri çalışan ortama aktarılmadan eğer ortam kritik önceliğe sahip ise mutlaka var olan sistemin yedeği alınmaktadır. Bu sayede herhangi bir sorunla karşılaşıldığı takdirde yedekten geri dönüş yapılarak sistem eski haliyle çalıştırılmaktadır.
Herhangi bir sistem yeni alınacaksa alım işlemi yapılmadan önce gerekli şartlar uygun olduğu takdirde öncelikle demo yapılmakta ve yeni bilgi teknolojilerinin gerekliliğine karar verildikten sonra kurum eğer dışarıdan alacaksa şartnameler ile bilgi teknolojilerinin bakım, kurulum ve destek kısımları açıkça belirtilecek şekilde alımı yapılmaktadır.
Yeni sistem, çalışma ortamına aktarılmadan önce gerekli olan erişim kontrolleri ve kimlik bilgileri önceden belirlenmektedir.
Kritik ve DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ etkileyecek uygulamalar da yapılacak olan her türlü bilgi teknolojileri güncelleştirmeleri var olan ortama aktarılmadan önce öncelikle mesai saati dışında yapılmakta ve bazı kullanıcılarda test edildikten sonra bütün kullanıcılara uygulanmaktadır. Bu sayede herhangi bir problemle karşılaşıldığı takdirde bütün kurum etkilenmemiş olmaktadır.
Yapılan her türlü geliştirmede amaç sistemlerin daha performanslı ve isteklere cevap verecek şekilde tasarlamaktır.
Fiziksel bir bilgi ve varlık envanteri sisteme dâhil edildikten sonra bilgi ve varlık envanterindeki tabloda gerekli güncelleştirmeler yapılmaktadır.
Yapılan kritik geliştirmeler, işletim sistemi sisteme dâhil edilen envanterlerde BGYS yöneticisinin veya BGYS Sorumlusunun onayı mutlaka alınmaktadır.
Yazılım bakım anlaşması olan DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ Bilgi Teknolojileri Birimi’nin haberi olamadan sucunu üzerine bir program kuramazlar.
Yazılım bakım anlaşması olan DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “i her ne şekilde olursa olsun veri tabanı değişikliği, sunucu hak verme, hak alma vb. gibi durumları Bilgi Teknolojileri Birimi’nin haberi olmaksızın yapamazlar.
İstenildiğinde denetim yapan veya üst yönetim tarafından onay verilmiş anlaşmalı kurum bireylerine erişim izni verilecektir. Bu anlaşmada Kurum denetim yapan firmayDERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ kendi izni ile bilgisayar ağına erişim hakkı vermektedir. Kurumun birimleri denetim yapan firmaya ağ taraması yapması için protokol, adres bilgileri, ağ bağlantıları vs. hakkında bilgi verecektir.
Bu istekler aşağıdaki bilgileri kapsamaktadır:
Kurumda denetimi, yapan gerektiğinde oluşabilecek sorunlar hakkında birim sorumlusuna yazılı olarak verecektir.
Denetimi yapan kurum veya Bilgi Teknolojileri Sistem Yöneticisi denetim yapılacak zamanı yazılı olarak bildirebilir veya bildirmeden de denetim yapabilecektir.
Varlıkların envanterine etkin varlık korumasının gerçekleştiğini temin etmeye yardımcı olması amacıyla; sağlık ve güvenlik, sigorta, kişisel veri ve mali (varlık yönetimi) nedenler gibi diğer ticari amaçlar için de gereksinim duyulmaktadır. Varlıkların envanterinin toplanması süreci, risk yönetiminin önemli bir parçasıdır. Varlık envanteri çalışmalarında aşağıdaki hususlar göz önünde bulundurulmalıdır.
Bilgi teknolojileri varlıklarının envanteri ve kişisel veri envanteri, her bilgi teknolojileriyle bağlantılı olan önemli bilgi varlıklarını ve kişisel verileri içerecek şekilde, ilgili Yönetim birimlerince hazırlanmalı, korunmalı ve bu envanterler periyodik olarak ve değişiklikler oldukça güncellenmelidir. Bu çalışmada:
Bilgi Teknoloji sistemleriyle ilgili varlıklar aşağıdaki şekilde kategorize edilebilir:
Bilgi varlığı; korunma gereksiniminin, önceliklerinin ve derecesinin belirlenmesi için sınıflandırılmalıdır. Varlık sınıflandırmasında aşağıdaki konular göz önünde bulundurulmalıdır:
Bu varlıklar, Kurum için yüksek değer taşımaktadır. Kaybı ya da zarar görmesi Kurumun faaliyetlerinin devamlılığında şiddetli etkiye sebep olabilir.
Bu varlıklar, güvenliği sağlanmış ve sadece yetkili kişilerin girebileceği odalarda bulunan kasa ya da kilitli dolaplarda saklanmalı; kopyalama, iletme, imha, silme ve anonimleştirme için yetkili kişinin onayı alınmalıdır. Bu varlıklar, yakılarak ya da birleştirilmeyecek derecede parçalanarak imha edilmelidir.
Bu varlık, değerlidir ve yerine başka varlık kullanılabilir, kaybı ya da zarar görmesi durumunda, Kurum karlılığında ani etkilere sebep olabilir.
Yüksek derece varlıklar gibi, yetkili kişi izni ile kopyalama, iletme ve imha işlemi yapılmalıdır.
Bu varlığın, iş devamlılığında ekonomik bir değeri yoktur ve düşük bir maliyetle yeri doldurulabilir.
Sahibine özel kullanılan varlıklarıdır. Herhangi bir güvenlik derecesine sahip olmayan, iş ile ilgili ya da iş dışındaki bilgilerdir.
Gerekli olduğu durumda, fiziki ve elektronik ortamda olan bilgi varlıkları; sınıflandırma derecesini gösterecek şekilde etiketlenmelidir. Bilgi etiketleme ve işleme için kullanılacak standartlar ve prosedürler belgelenmeli ve uygulanmalıdır. Bilgi etiketleme ve işlemede aşağıdaki kurallar uygulanmalıdır:
Varlıkların envanterine etkin varlık korumasının gerçekleştiğini temin etmeye yardımcı olması amacıyla; sağlık ve güvenlik, sigorta, kişisel veri ve mali (varlık yönetimi) nedenler gibi diğer ticari amaçlar için de gereksinim duyulmaktadır. Varlıkların ve kişisel veri envanterinin toplanması süreci, risk yönetiminin önemli bir parçasıdır. Varlık ve kişisel veri envanteri çalışmalarında aşağıdaki hususlar göz önünde bulundurulmalıdır:
Bilgi teknolojileri varlıklarının envanteri, her bilgi teknolojileriyle bağlantılı olan önemli bilgi varlıklarını içerecek şekilde, ilgili Yönetim birimlerince hazırlanmalıdır. Bu çalışmada:
Bilgi varlığı; korunma gereksiniminin, önceliklerinin ve derecesinin belirlenmesi için sınıflandırılmalıdır. Varlık için iki tip (güvenlik, değer) sınıflandırma yapılmalıdır. Bu sınıflandırmalarda aşağıdaki konular göz önünde bulundurulmalıdır:
Her birim kullandığı kritik bilgi varlıklarını tespit ederek envantere kaydetmelidir. Envanterde yer alan alanların açıklaması aşağıda belirtilmiştir.
Her birim kendi sorumluluğunda olan yazılım varlıklarını belirleyerek envantere kaydetmelidir. Yazılım dışarıdan temin edilmiş olabileceği gibi, kurum içerisinde geliştirilmişte olabilir. Envanterde yer alan alanların açıklaması aşağıda belirtilmiştir.
Her birim kendi sorumluluğunda olan kritik fiziksel varlıkları belirleyerek envantere kaydetmelidir.
Envanter tablosunda yer alan fiziksel varlıklar için aşağıdaki alanlardaki bilgiler girilmelidir. Bu alanlardan bazıları boş bırakılabilir. Örneğin d) diğer teknik ekipmanlar alt kategorisinde ip-makine adı bilgisi boş olacaktır; fakat c) manyetik kayıt ortamları için mümkünse bu ortamda hangi makinenin bilgileri yer alıyorsa onun ip/makine adı bilgisi girilmelidir, Marka model kısmına ise kayıt ortamının marka ve modeli girilmelidir.
Fiziksel varlıklar olarak (c) ve (d) alt kategori grubu için envanter tablosunda “fiziksel varlık-diğer” çalışma sayfası doldurulmalıdır. Bu çalışma sayfasında bulunduğu sistem kısmı hariç yukarıdaki bilgiler envantere kaydedilecektir.
Turkish
English