Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Balıkesir Kamu Hastaneleri Birliği Genel Sekreterliği Bilgi Güvenliği Eğitimi 27.02.2014 T. C. Sağlık Bakanlığı Türkiye Kamu Hastaneleri Kurumu Bilg. Müh.

Benzer bir sunumlar


... konulu sunumlar: "Balıkesir Kamu Hastaneleri Birliği Genel Sekreterliği Bilgi Güvenliği Eğitimi 27.02.2014 T. C. Sağlık Bakanlığı Türkiye Kamu Hastaneleri Kurumu Bilg. Müh."— Sunum transkripti:

1 Balıkesir Kamu Hastaneleri Birliği Genel Sekreterliği Bilgi Güvenliği Eğitimi T. C. Sağlık Bakanlığı Türkiye Kamu Hastaneleri Kurumu Bilg. Müh. İlyas KARAGÖZ

2 2/49 BİLGİ TOPLAMA, İŞLEME VE PAYLAŞMA YETKİSİ  MADDE 47- (1) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve hızlı biçimde yerine getirebilmek için, bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkilidir.  (2) Bakanlık ve bağlı kuruluşları işlediği kişisel sağlık verilerini ilgili üçüncü kişiler ve kamu kurum ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanunen yetkili olması halinde ve görevlerini yapmalarına yetecek derecede paylaşabilir.  (3) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri yerine getirebilmek için gereken bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkilidir. İlgili kişi ve kuruluşlar istenilen bilgileri vermekle yükümlüdür.  (4) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.  (5) Bu maddenin uygulanmasına ilişkin hususlar Bakanlıkça çıkarılacak yönetmelikle düzenlenir.

3 3/49 GİZLİLİK, GÜVENLİK, MAHREMİYETİNİN KORUNMASINI DÜZENLEYEN MEVZUAT 663 Sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’de yer alan Sağlık Hizmetleri Genel Müdürlüğü’nün görev yetki ve sorumluluklarını düzenleyen 8. Maddenin j) Bendi ” İlgili mevzuat çerçevesinde kişisel verilerin korunmasına ve veri mahremiyetinin sağlanmasına yönelik düzenleme yapmak.” denilmektedir.

4 4/49 GİZLİLİK, GÜVENLİK, MAHREMİYETİNİN KORUNMASINI DÜZENLEYEN MEVZUAT  Anayasa(Madde 20)  Avrupa İnsan Hakları Sözleşmesi (Madde 8)  Kişisel Verilerin Korunması Hakkında Kanun (Tasarısı)  Türk Ceza Kanunu (Madde )  Türk Medeni Kanunu (Madde 24-25)  Tababet ve Şuabatı San’atlarının Tarzı İcrasına Dair Kanun (Madde 70)  Sağlık Hizmetleri Temel Kanunu (Madde 3)  Aile Hekimliği Pilot Uygulaması Hakkında Kanun (Madde 5)  Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu (Madde 100)

5 5/49 GİZLİLİK, GÜVENLİK, MAHREMİYETİNİN KORUNMASINI DÜZENLEYEN ALT MEVZUAT YÖNETMELİK, TEBLİĞ, YÖNERGE, GENELGE, BELGE VE KILAVUZLAR  Aile Hekimliği Uygulama Yönetmeliği  Hasta Hakları Yönetmeliği  Tıbbi Deontoloji Nizamnamesi  Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesi  2010/61 Sayılı Genelge (7. Bölüm)  2011/45 Sayılı Genelge  Son Kullanıcılar İçin Bilgi Güvenliği Politika Belgesi  Yöneticiler İçin Bilgi Güvenliği Politika Belgesi  Hastane Bilgi Sistemleri Alım Kılavuzu (2 ve 10. Bölüm, Ekte yer alan Gizlilik Sözleşmesi Örneği)

6 6/49 GİZLİLİK, GÜVENLİK, MAHREMİYETİNİN KORUNMASINI DÜZENLEYEN ALT MEVZUAT YÖNETMELİK, TEBLİĞ, YÖNERGE, GENELGE, BELGE VE KILAVUZLAR  Aile Hekimliği Uygulama Yönetmeliği  Hasta Hakları Yönetmeliği  Tıbbi Deontoloji Nizamnamesi  Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesi  2010/61 Sayılı Genelge (7. Bölüm)  2011/45 Sayılı Genelge  Son Kullanıcılar İçin Bilgi Güvenliği Politika Belgesi  Yöneticiler İçin Bilgi Güvenliği Politika Belgesi  Hastane Bilgi Sistemleri Alım Kılavuzu (2 ve 10. Bölüm, Ekte yer alan Gizlilik Sözleşmesi Örneği)

7 7/49 Bilgi Güvenliği Kavramı Bilgi Güvenliği konusu : Sadece Bilgi işlemin sorumluluğunda değildir. Kurumumlarımız da ortak bir çalışmayı gerekli kılar. Bu konuda Hastanedeki Eğitim,Kalite Koordinatörleri, Bilgi işlem sorumlularından oluşan ve hastane idarecilerimizden birinin başkanlığında komite kurularak kurumumuzda oluşabilecek riskler konusunda denetleyici,eğitici ve önleyici faliyetler de bulunulması gerekmektedir. Eğitim Koordinatörlerimiz : Tüm hastane çalışanlarına Kalite ve Bilgi işlemciler tarafından eğitim verilmesini ve Bilgi Güvenliği politikalarını içeren dokümanların tebliğ- tebelüğ edilmesini sağlamak Kalite Koordinatörleri : Sağlık Kalite Standartlarına uygun sistemi denetlemek, görülen eksiklikleri Bilgi Güvenliği Komitesine sunmak ve takipçisi olmak Bilgi İşlem Sorumluları: Görülen ihlallerin düzeltilmesi için altyapı, fiziki şartlar ve HBYS firmasına yetkilendirme ile ilgili eksiklikleri yaptırmak

8 8/49 Bilginin yer aldığı belli başlı ortamlar » Fiziksel ortamlar; Kâğıt, tahta, pano, faks, çöp/atık kâğıt kutuları, dolaplar » Elektronik ortamlar; Bilgisayarlar, e-posta, USB, CD, Disk, Disket vb. manyetik ortamlar. » Sosyal ortamlar; telefon görüşmeleri, muhabbetler, yemek araları, toplu taşıma araçları vb. sosyal aktiviteler. » Tanıtım platformları; internet siteleri, broşürler, reklamlar, sunular, video ya da görsel ortamlar.

9 9/49 Bilginin yer aldığı belli başlı ortamlar - Bu bilgilerin bir kısmı, kişiye özel, hizmete özel olabilmektedir ve güvenliğinin sağlanması gerekmektedir. Yani ilgilisi olmayan kişilerin eline geçmemelidir. - Bilgi güvenliği, bilgileri izinsiz erişimlerden ve kullanımından, ifşa edilmesinden,yok edilmesinden, değiştirilmesinden veya hasar verilmesinden koruma işlemidir.

10 10/49 Bilgi Güvenliği Kavramı

11 11/49 GİZLİLİK Bilgiye, yetkisi olmayan kişi, varlık veya süreçlerin ulaşımının engellenmesidir. Gizlilik hem kalıcı ortamlarda saklı bulunan (disk, teyp kaseti vs) hem de ağ üzerinde bir yerden bir yere gönderilen veriler için söz konusudur. Sadırganlar, yetkisi olmayan birçok veriye çeşitli yollarla erişmeye çalışmaktadır. Şifre dosyalarının çalınması, sosyal mühendislik, bilgisayar başında bir kullanıcının özel bir bilgisini ona fark ettirmeden alma (parolasını girerken gözetleme gibi), ağ trafiği izlenirken veri paketlerinin içindeki bilgilerin okunması, gizliliğin ihlali olarak değerlendirilir.

12 12/49 BÜTÜNLÜK – ERİŞİLEBİLİRLİK- KURTARILABİLİRLİK Bütünlük : Anlamının değişeceği şekilde bütünlüğünün bozulmasının engellenmesidir. Veri paketi bir yerden bir yere giderken göndericiden çıktığı haliyle alıcıya ulaşması sağlanmalıdır. Veri yolunda deformasyona uğramamalıdır ya da saklandığı yerde değişikliğe uğratılmamalıdır. Erişilebilirlik : İstenen bilgiye yetki çerçevesinde istenilen zamanda ulaşılmasının sağlanmasıdır. Hizmet sektöründe performans açısından verilere ulaşımda kesinti olmamalıdır. Erişimi, sadece kötü niyetli kişilerin saldırısı değil, yazılım hataları, eğitimsiz personel, ortam şartları (nem, ısı, topraklama eksikliği, elektrik kesintisi vs) gibi faktörler engelleyebilmektedir. Kurtarılabilirlik Herhangi bir hasar, kayıp ve hata durumunda anlam bütünlüğünü bozmadan geri getirilebilmesi için gerekli tedbir alınmasıdır

13 13/49 Hangi Bilgiler Gizlidir? » Hastaya ve hastalığına ait bilgiler Demografik bilgiler (nüfus bilgileri) Teşhis ve tetkik bilgileri » Personele ait bilgiler Kişisel bilgiler (resim, mesaj vs) Şifreler Bordro bilgileri (maaş, ek ödeme vs) » Birime ait bilgiler Soruşturma dosyaları Satın alma dosyaları ( yaklaşık maliyet v.b) » Kuruma ait bilgiler Finansal bilgiler Altyapı ve donanım bilgileri

14 14/49 Bilginin güvenliğinin sağlanması iki boyutludur. 1- Bilginin üretildiği ve kullanıldığı ortamda, 2-Taşındığı ve saklandığı ortamda, gerekli güvenlik tedbirleri alınmalıdır.

15 15/49 Üretildiği ve Kullanıldığı Ortamda Güvenlik Tedbirleri; Çalışan personele bilgi güvenliği eğitimi verilmelidir. Bu eğitim kullanıcıları bilinçsizlikten kurtarır ve sisteme ve kendisine farkında olmadan zarar vermesi önlenebilir. - Bilgi Güvenliği sadece iş hayatında değil özel hayatta da önem arz ettiği belirtilmelidir. - Güvenlik, aslında bir davranış biçimidir. Bu davranışı kazandırmak gerekir. Örneğin; insanların parola bilgisini yanındaki kişiye vermesi ona güven duygusu verebilir ancak aynı zamanda karşı tarafa sorumluluğu da beraberinde vermektedir. - Olabilecek herhangi bir olumsuzluk durumunda ilk sorumlu şifre paylaşılan kişi olacaktır. Bu yüzden şifreler kişiye hastır ve paylaşılmaması gerekir. Personelin şifre öğrenmeye meraklı olmaması anlatılmalıdır. Kişisel, kimlik tanımlayıcı dokümanları umuma açık yerde bulundurmamalıyız.

16 16/49 Taşındığı ve saklandığı ortamda güvenlik tedbirleri; - Kurumun bilgisayar ağına rastgele girişler engellenmelidir. - Dışarıdan gelen bir bilgisayar, ilgili birimin izni ve tanımlamasıyla giriş yapabilmelidir. Görevi, sözleşmesi biten kişi ya da kuruluşların; giriş yetkileri, izinleri kaldırılmalı, şifreleri iptal edilmelidir. -Sistem odasına giriş ve çıkışlar kontrollü olmalı ve kayıt altına alınmalıdır. Hangi kullanıcının hangi saatte giriş yaptığı sistem tarafından kaydedilmesi için gerekli tedbir alınmalıdır. -Dışarıdan ve içeriden gelebilecek tehdit ve saldırılara karşı, hizmet veren sunucular güvenlik duvarının arkasında olmalıdır. Saldırı sadece kurum dışından değil, virüs yüklü içerideki bir bilgisayardan da gelebilir. Bu yüzden içerideki kullanıcılara karşı da güvenlik duvarı oluşturulmalıdır.

17 17/49 Taşındığı ve saklandığı ortamda güvenlik tedbirleri; Sistem odası fiziki şartları gerekli standartları sağlamalıdır. - Oda düzenli olmalı, amaç dışında malzeme ya da eşya olmamalıdır. Kablolamalar karışık ve dağınık değil, düzenli, hangi kablonun hangi porta gittiği belirgin bir şekilde olmalıdır. -Ortam ısısını ve nemini takip edecek sensörler bulunmalıdır. Mümkünse bunlar eşik değer aşıldığında belirlenen cep telefonlarına mesaj göndermelidir. - Merkezi güç kaynağından bağımsız en az 10 dk kesintisiz elektrik sağlayacak güç kaynağı ve jeneratör sistemi bulunmalıdır. -Ortamı 22 derecenin üzerine çıkarmayacak güçte soğutma sistemi bulunmalıdır. Yangın söndürme sistemi, donanıma zarar vermeyecek şekilde, gazlı yangın söndürme sistemi olmalıdır. - Kurumun veri kaybını tolere edebileceği sürede yedek alınmalı ve bu yedekler farklı mekânlarda saklanmalıdır.

18 18/49 Taşındığı ve saklandığı ortamda güvenlik tedbirleri; Kişiye özel, gizli bilgiler veritabanında geri dönüşü olmayacak şekilde kriptolu olarak kaydedilmelidir. Hangi kabinde hangi sunucunun olduğunu gösteren ve bu sunucuların görevlerini, IP adreslerini belirten bir tablo bulunmalıdır. Sunuculara dışarıdan erişimle ilgili, hangi durumda kimlerin erişebileceği belirlenmeli ve bu erişimler kayıt altına alınmalıdır. Yapılan kullanıcı girişleri, yetki değişiklikleri, zaman bilgisiyle birlikte kaydedilmelidir. Silme ve düzeltme işlemleri yapan kişi, zaman bilgisiyle kaydedilmelidir. Veritabanı şifresi kapalı zarfta, kurum en üst yetkilisine teslim edilmelidir. Değişiklikler aynı şekilde bildirilmelidir.

19 19/49 Bilgi Sistemleri- Günümüzde

20 20/49 Bilgi Güvenliği Kavramı  Bilişim ürünleri/cihazları ile bu cihazlarda işlenmekte olan verilerin gizliliğini, bütünlüğünü ve sürekliliğini korumayı amaçlayan çalışma alanıdır.  Güvenliğin sadece küçük bir kısmı % 20 teknik güvenlik önlemleri ile sağlanıyor.  Büyük kısım ise % 80 kullanıcıya bağlı.

21 21/49 Dahili Tehdit Unsurları  Bilgisiz ve Bilinçsiz Kullanım -Temizlik görevlisinin sunucunun fişini çekmesi -Eğitilmemiş yada deneyimsiz çalışanın veri tabanını silmesi -Bilinçsizce ağ kablosunun tekrar swice geri takılması ile sistem durması  Kötü Niyetli Hareketler -İşten çıkarılan çalışanın, Kuruma ait bilgilerle işlem yapması -Bir çalışanının, Ağda illegal yazılımlar kurarak güvenlik duvarını aşmak istemesi -Sahte mailer ile size ait özel şifre,bilgi içeren formlar doldurulması, dalgınlıkla bu formların doldurulması ile şifrelerin alınması -Keyloger gibi yazılımlar ile bilgisayarda yazılan her karakterin sistem içerisine yazılması, yazılanların dışarıya gönderilmesi

22 22/49 Sahte mail ile bilgi istenmesi

23 23/49 Harici Tehdit Unsurları  Hedefe Yönelmiş Saldırılar -Bir saldırganın Kurum Web sitesini değiştirmesi -Bir saldırganın Kurumun korunan bilgisini çaldırması -Birçok saldırganın kurum Web sunucusunu servis dışı bırakma saldırısı yapması -Kurumdaki bir bilgiyi dışarıya çıkarması

24 24/49 Bilg. Tekn. Kötüye Kullanımı Sonucu Oluşan Zararlar  Bilginiz başkalarının eline geçebilir  Kurumun onuru, toplumdaki imajı zarar görebilir (en kötü durum)  Donanım, yazılım, veri ve kurum çalışanları zarar görebilir  Önemli veriye zamanında erişememek  Parasal kayıplar  Vakit kayıpları

25 25/49 Kullanıcı Bilincinin Önemi  Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir.  Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır.  Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır.  Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır.  Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir.  Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır.  Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir.

26 26/49 Şifreler Güvenli Muhafaza Edilmeli

27 27/49 Şifre Güvenliği- 1  En önemli kişisel bilgi şifrenizdir.  Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır.  Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir.  Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız.  En az 6 karakterli olmalı ve rakam, özel karakterler (?, vs) içermelidir.  Büyük ve küçük harf karakteri kullanılmalıdır.  Kişisel bilgilerle ilişkili olmamalıdır.(çocuğunuzun ismi, evlenme yıldönümü vs)  Örnek: Güçlü bir şifre: AG685kt?!

28 28/49 Şifreler- Kötü Şifre Örnekleri  ilyas1  Doğum yılınız  ilyas123  ababa…… abcdef aaaaa bbbbbbb ……

29 29/49 Yazılım Yükleme- Güncelleme  Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır.  Güvenilir olmayan sitelerden yazılımlar indirilmemeli ve kullanılmamalıdır

30 30/49 Donanım Ekleme  Bilgi işlem yetkililerine danışmadan hastane sistemlerine farklı cihaz ve donanımlar bağlanmamalıdır.  İnternet’e erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır.  Bilgisayarlara modem takılmamalıdır.  Bluetooth ve 3G modemler ile İnternet bağlantısı yapılmamalıdır

31 31/49 Yazıcı Kullanımı Mümkünse Gizli Bilgi içeren Satınalma ve Disiplin birimlerini network ağından basımsız ve local yazıcılar kullanılması tavsiye edilir.  Gizli bilgi içeren dokümanların çıktıları alınırken,  Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında)  Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir.  Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır.  Çıktı alındıktan sonra yazıcıdan silindiğinden emin olunmalı.

32 32/49 Zararlı Programlar- Virüsler  Tüm bilgisayarlarda virüs koruma programı çalıştırılmalı ve güncellemesi yapılmalıdır.  Anti virüs programı kapatılmamalıdır.  Dosyalar virüs taramasından geçirilmelidir.  Bilinçsizce kurulan şarkı indirme programları aynı zamanda document,video,mp3 gibi değişik formatta aynı türden dosyaları paylaşma açma ihtimali

33 33/ Sayılı Kanun  İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007)  Madde 1:Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.

34 34/49 E-posta Güvenliği  Virüslerin en fazla yayıldığı ortam e-postalardır.  Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır.  Güvenilmeyen eklentiler açılmamalıdır.  Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir.  Spam e-postalara cevap verilmemelidir.  E-posta adres bilgisi güvenilir kaynaklara verilmelidir.

35 35/49 E-posta Güvenliği

36 36/49 Kötü amaçlı yazılımlar tarafından ele geçirilmiş sistemlerdir. Bu sistemler bir kısır döngü içerisinde sürekli olarak zararlı yazılım yayarlar ve kullanıcıları bunun farkında değildir. Aynı zamanda bilişim suçları için potansiyel bilgisayarlardır. Botnet, spam yollamak ve şantaj yapmaya çalışmaktan, devlet ağlarına saldırmaya kadar farklı alanlarda, siber suçlular tarafından saldırıları yürütmek amacıyla kullanılabilir. Hatta bu yüzden işlemediğiniz suçlar ile ilgili adli makamlarla muhatap bile olabilirsiniz.

37 37/49 Kötü amaçlı yazılımlar tarafından ele geçirilmiş sistemlerdir. d) Casus yazılımlar (spyware): Spyware farkında olmadan bir web sitesinden download edilebilen veya herhangi bir üçüncü parti yazılım ile birlikte yüklenebilen kötü amaçlı bir yazılım tipidir. Genelde, kullanıcının izni olmaksızın kişisel bilgilerini toplar. Herhangi bir kullanıcı etkileşimi olmaksızın bilgisayar konfigürasyonunu değiştirebilmektedirler. Çoğunlukla web reklamları ile bütünleştirilmiştir. En belirgin bulgusu, tarayıcı açılış sayfasının değiştirilmesidir. Özellikle ücretsiz yazılım araçlarının kurulumlarına dikkat edilmesi gerekmektedir.

38 38/49 c) Truva Atları (Trojan). Görüntüde istenilen fonksiyonları çalıştıran, ancak arka planda kötü amaçlı fonksiyonları da gerçekleştiren yazılımlardır Bunlar teknik olarak virüs değillerdir ve farkında olmadan kolayca download edilebilirler Saldırgana sistemin sahibinden daha yüksek ayrıcalıklar tanıyan ve çok tehlikeli sayılacak becerilere sahip olan trojanlar vardır Truva atları, ücretsiz olarak yüklediğiniz yazılımlarla bir arada da gelebilir

39 39/49 b) Solucanlar (worm): Solucanlar yayılmak için sistem ya da ağlardaki açıkları kullanırlar. Yayılmak için kullanıcı etkileşimine ihtiyaç duymazlar ve sisteme zarar vermektense sisteminizi gizli bir saldırgan haline getirebilirler. Sisteminizi bir botnet’e dahil eden solucanlar, sisteminizi spam göndermek veya başka bilgisayarlara saldırıda bulunmak amacıyla hacker’lara alet edebilirler. Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler alınmalıdır.

40 40/49 Kablosuz Ağlar için önlemler Kurumun bilgisayar ağına bağlanan bütün erişim cihazları ve ağ arabirim kartları kayıt altına alınmalıdır. Bu politika ile kablosuz cihazların, gerekli güvenlik tedbirleri alınmaksızın, Kurumun bilgisayar ağına erişiminin engellemesi amaçlanmaktadır. Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmalıdır. Wi-Fi Protected Access2 (WPA2- kurumsal) şifreleme kullanılmalıdır. Radyo dalgalarının binanın dışına taşmamasına özen gösterilmelidir. Erişim Cihazları üzerinden gelen kullanıcılar güvenlik duvarı üzerinden ağa dâhil olmalıdır.

41 41/49 Zararlı yazılımların etkisi Yaptığınız her şeyi kaydedebilirler. Klavyede yazdığınız herşey, fare ile yaptığınız herşey gibi. Tüm verisiyle diski silebilir, hatta biçimlendirebilirler. Saldırganların kullanması için güvenlik açıklıkları oluşturabilirler.Başka zararlı programların bulaşmasına neden olabilirler. Bilgisayarınız üzerinden başkalarına saldırabilirler. Ekranda can sıkıcı veya kötü amaçlı web sitelerine yönlendiren açılır pencereler oluşturabilirler. Bilgisayarınızın ya da internetin kaynaklarını kullanır, yavaşlamalara neden olabilirler.

42 42/49 Zararlı Programlar Neler Yapabilir? Zararlı kodlar: Kötücül yazılımlar (malware) da sistemin ele geçirilmesine aracılık edebilirler: a) Virüsler: Virüsler, yayılmak için kullanıcı etkileşimini gerektiren zararlı program kodlarıdır. Virüsler genellikle işletim sistemlerinin ya da yazılım uygulamalarının açıklarından bağımsız olarak çalışırlar. Virüsler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir Bilgisayarınızdaki bilgileri çalabilir ve başkalarına gönderebilirler. İşletim sisteminizin veya diğer programlarınızın çalışmamasına, hatalı çalışmasına neden olabilirler. Bilgisayarınızdaki dosya / klasörleri silebilir, kopyalayabilir, yerlerini değiştirebilir veya yeni dosyalar ekleyebilirler.

43 43/49 Uzak erişim ve yetkiler hakkında Internet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar VPN teknolojisini kullanmalıdırlar. Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri yürütülen projeler üzerinden otomatik olarak alınmalı, yetkiler ve hesap özellikleri buna göre güncellenmelidir. Bu politika ile herhangi bir yerden Kurumun bilgisayar ağına erişilebilmesine ilişkin standartların belirlenmesi amaçlanmaktadır.

44 44/49 Kurumun bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvar(lar)ı üzerinden internete çıkmalıdır. Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir. Bu politika ile Internet’in kurallarına, etiğe ve yasalara uygun kullanımının sağlanması ve güvenli internet erişimine sahip olması için gereken standartların belirlenmesi amaçlanmaktadır. Kurumun ihtiyacı doğrultusunda ‘Saldırı Tespit ve Önleme’ sistemleri kullanılmalıdır. Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır. İstenilmeyen siteler (oyun, kumar, şiddet içeren vs.) yasaklanmalıdır.

45 45/49 Sosyal Mühendislik Alınacak önlemler  Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır.  Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin.  Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin.  Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin.  Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapacaktır.

46 46/49 Sosyal Mühendislik Alınacak önlemler  Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir  Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri incelenmelidir  Kurum çöpleri (büro malzemeleri, not kağıtları, bordrolar vs.) tamamen kullanılmaz hale getirilmeli daha sonra atılmalıdır  Sistem yöneticilerinin, kurumsal bilgileri posta listelerinde, arkadaş ortamlarında ve benzeri yerlerde anması önlenmelidir  Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır

47 47/ YILINDA “SAĞLIK BAKANLIĞI YÖNETİCİLER VE PERSONEL İÇİN BİLGİ GÜVENLİĞİ POLİTİKASI” YAYINLAMIŞTIR.

48 48/49 Hastane kullanıcılarına yapılan farkındalık anket sonucu

49 49/49 MADDE (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır. Bilgi güvenliğinin ihlali durumunda

50 50/49 Hastane kullanıcılarına yapılan anket sonuçları

51 51/49 ISO/IEC STANDARTI  ISO/IEC 27001:2005 Bir Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması, izlenmesi, sürdürülmesi ve geliştirilmesi için gerekli adımları ortaya koyan süreçsel yaklaşımın çerçevesini çizer.

52 52/49

53 53/49

54 54/49


"Balıkesir Kamu Hastaneleri Birliği Genel Sekreterliği Bilgi Güvenliği Eğitimi 27.02.2014 T. C. Sağlık Bakanlığı Türkiye Kamu Hastaneleri Kurumu Bilg. Müh." indir ppt

Benzer bir sunumlar


Google Reklamları