Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Bilgi Güvenliği. Bilgi Güvenliği Çalışmaları Kapsamında Yapılanlar BİLGİ GÜVENLİĞİ BİRİMİ BİLGİ GÜVENLİĞİ KOMİSYONU BİLGİ GÜVENLİĞİ EĞİTİMLERİ KURUMSAL.

Benzer bir sunumlar


... konulu sunumlar: "Bilgi Güvenliği. Bilgi Güvenliği Çalışmaları Kapsamında Yapılanlar BİLGİ GÜVENLİĞİ BİRİMİ BİLGİ GÜVENLİĞİ KOMİSYONU BİLGİ GÜVENLİĞİ EĞİTİMLERİ KURUMSAL."— Sunum transkripti:

1 Bilgi Güvenliği

2 Bilgi Güvenliği Çalışmaları Kapsamında Yapılanlar BİLGİ GÜVENLİĞİ BİRİMİ BİLGİ GÜVENLİĞİ KOMİSYONU BİLGİ GÜVENLİĞİ EĞİTİMLERİ KURUMSAL VE PERSONEL GİZLİLİK SÖZLEŞMELERİ MÜDÜRLÜĞÜMÜZDE GEREKEN ÖNLEMLER

3 Kapsam Bilgi Güvenliği kavram olarak sadece Bilgi İşlem Biriminin yürüteceği bir çalışma olmayıp tüm kurumu ve tüm personeli kapsayan bir kültürü ifade etmektedir. BİLGİ GÜVENLİĞİ

4 Bu kavramın içine aşağıdaki başlıklar gibi birçok madde ilave edilebilir; Atık evrakların imhası, Kurumdan ayrılan personelle ilgili işlemler, Eğitim faaliyetleri, Personelin bilinçlendirilmesi, gizlilik sözleşmesi yapılması Kuruma gelen üçüncü şahısların kayıtlarının tutulması Kurumsal bilginin çalışanlar tarafından sır niteliğinde saklanması İhlallerin kayıt altına alınması Kapsam BİLGİ GÜVENLİĞİ

5 Dayanak 5651 Sayılı Kanun “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” Sağlık Bilgi Sistemleri Genel Müdürlüğü tarih ve /700 sayılı yazıları ile gönderilen Bilgi Güvenliği Yönergesi BİLGİ GÜVENLİĞİ

6 Veri Nedir ? Bilgi Nedir ? Sayısal ve mantıksal her bir değere (rakam,harf,sembol) VERİ ya da DATA denir İşlenmemiş ham bilgiye VERİ denir Verinin İşlenmiş Haline BİLGİ denir * Ör: Faruk, Kastamonu, 1978 * Ör: Faruk, 1978’de Kastamonu’da doğdu.

7 Bilginin Bulunduğu Ortamlar

8 Kağıt, Tahta Pano, Yazı tahtası Fax kağıdı Çöp/Atık Kağıtlar Dosyalar Dolaplar Fiziksel Ortamlar Bilgi Çeşitleri

9 Bilgisayarlar, mobil iletişim cihazları E-posta, USB, CD, Disk Manyetik ortamlar Elektronik Ortamlar Bilgi Çeşitleri

10 Telefon görüşmeleri Muhabbetler Yemek aralarında sohbetler Toplu taşıma araçlarındaki konuşmalar Sosyal Ortamlar Bilgi Çeşitleri

11 En kritik bilgilerdir, sadece yönetim kadrosunun erişimi vardır. Bu tür bilgilerin yetkisiz erişilmemesi, ifşa edilmemesi veya paylaşılmaması kurum açısından çok önemlidir. Gizlilik ön plandadır. Gizli Bilgi Sadece birimlere özel bilgilerdir. Departman çalışanları dışında hiçbir 3. taraf kurumun veya kişinin görmemesi gereken bilgilerdir. Gizlilik ön plandadır. İç Kullanım Birim çalışanlarının kişisel çalışmaları ile ilgili bilgilerdir. Kurum işlevleri için yapılan kişisel çalışmalar burada tutulabilir. PC, Laptop veya Dolaplarda işle ilgili olmayan diğer kişisel bilgiler tutulamaz. Erişilebilirlik ön plandadır. Kişisel Bu bilgiler kurum çalışanlarının kullanımı içindir. Erişilebilirlik ve bütünlük ön plandadır. Departmanların kendi aralarında paylaştıkları bilgiler bu sınıfa girer. Kuruma Açık Bilgi Çeşitleri

12 Örneğin; Bina etrafına yüksek duvarlar ya da demirler yapılması Bina girişinde özel güvenlik ekiplerinin bulundurulması Önemli bilgilerin tutulduğu odaların kilitlenmesi Süresi biten gizli veya birimlerin kullanımına özel bilgi içeren atıklar imha edilmelidir. Fiziksel ve çevresel güvenlik, işyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır. Fiziksel ve Çevresel Güvenlik

13 Kullanıcılar: eriştikleri sistemlere mutlaka kendi şifreleri ile bağlanmalıdır. Kullanıcılar: yetkileri dâhilinde sistem kaynaklarına ulaşabilmeli ve internete çıkabilmelidir. Kullanıcılar: kendi kullanıcı adı ve şifre gibi kendilerine ait bilgilerin gizliliğini korumalı ve başkaları ile paylaşmamalıdır. Bilgi Sistemlerinde Güvenlik

14 Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir. Personelin kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa terkedilecekse ekran kilitlenmelidir. Bu işlem Windows + L tuşuna basılarak yapılabilir. Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulunmamalıdır. kullanım ömrü sona eren bilgiler kâğıt öğütücü, disk/disket kıyıcı vb. metotlarla imha edilmeli TEMİZ MASA TEMİZ EKRAN Belli başlı temiz masa kuralları

15 Kişilere belli bir yerde ve belli bir süre internet kullanım olanağı sağlayan gerçek ve tüzel kişilerdir. Sağlık Kurumları Kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade eder. Blogger, Yazar….. İnternete açık hizmet ve içerikleri barındıran sistemleri sağlayan / işleten gerçek veya tüzel kişilerdir. Sağlık Bakanlığı, Facebook, Youtube Kurduğu kablolu/kablosuz sistemler, dial-up, ADSL, ethernet vb. teknolojilerle internete erişim olanağı sağlayan gerçek veya tüzel kişilerdir. TTnet, Superonline Erişim Sağlayıcılar Yer Sağlayıcılar Toplu Kullanım Sağlayıcılar İçerik Sağlayıcılar İnternetin Aktörleri İnternet Dünyasının Aktörleri

16 Kamu kurumları, Internet toplu kullanım sağlayıcı olarak iç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek zorundadır. Kanun gereği tüm internet trafiği 6 ay geriye dönük olarak kayıt altına alınmalıdır. Internet toplu kullanım sağlayıcı olarak konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür. İlgili Kanuna Göre İnternet kullanımı

17 Tüm personelin yayınlanmış olan Bilgi Güvenliği Politikasındaki internet kullanım kurallarına riayet etmesi gerekmektedir. İnternet trafiği şahsi kullanıma yönelik olarak müzik video vb. uygulamalarla meşgul edilmemelidir. (youtube, radyo vb..) İnternet üzerinden uygunsuz içeriğe erişim sağlanmamalıdır. (Kumar, Bahis, Çocuk istismarı, Müstehcenlik vb..) Bilgisayarlara kurumun izin vermediği program oyun film vs. indirme ve yükleme (download ve upload) yapılmamalıdır. İnternet erişimi tümüyle kayıt altındadır. Trafik logları yetkili birimlerce incelenebilmektedir. BG Politikası Gereğince İnternet Kullanımı

18 Kurumsal E-posta Bakanlığımız e-posta ile yapılan bilgi alışverişlerinin kurumsal e-posta ile yapılmasını istemektedir. Size kurumsal kimlik kazandırır. IOS, Android, Microsoft Phone, Outlook ve Web'ten erişim imkanı sağlamaktadır. Kurumsal uygulamalara giriş kolaylığı sağlamaktadır. (EBYS) Tüm mailler kişilere özel olup üst düzey güvenlik önlemlerine sahiptir.

19 Çalışanlar e-posta ile uygun olmayan içerikler gönderemezler. Kurum çalışanları resmi mail adreslerinden gelen mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları cevaplandırmalıdır. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve gönderilen e-postalardan sorumludurlar. Kurumdan ayrılan personel e-posta adresini kapattırmalıdır. E-Posta Kullanma Kuralları

20 Parola en az 8 karakterden oluşmalıdır Harflerin yanı sıra, rakam ve !, #, %, +, -, *, %" gibi özel karakterler içermelidir. Büyük ve küçük harfler bir arada kullanılmalıdır Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır abcdef aaaaabbbbbbb123123dilek1dilek1978Faruk123qwerty Kötü Örnekler Güvenli Parola Kuralları

21 Şifre – Parola Kullanma Kuralları Bütün kullanıcı şifreleri (e-posta, bilgisayar vs.) en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi ise her üç ayda birdir. Şifreler kolay erişilebilen yerlere (monitör kenarına, etikete, bilgisayarın üstüne) yazılmamalıdır. Kolayca tahmin edilebilecek örneğin ailedeki kişi isimleri vs. gibi kelimeler kullanılmamalıdır. Kişiye ait şifre başkasıyla paylaşılmamalıdır. (şifreyi evinizin anahtarı gibi düşünün) Güvenli Parola Kuralları

22 Bütün bilgisayarda kurumun lisanslı antivirüs yazılımı yüklü olmalıdır ve çalışmasına engel olunmamalıdır. Antivirüs yazılımı yüklü olmayan bilgisayar ağa bağlanmamalı ve hemen Bilgi İşlem birimine haber verilmelidir. Hiçbir kullanıcı herhangi bir sebepten dolayı antivirüs programını sistemden kaldıramaz ve başka bir antivirüs yazılımını sisteme kuramaz. Zararlı programları kurum bünyesinde oluşturmak ve dağıtmak suçtur. (örn; virüsler, solucanlar, truva atı, e- mail bombaları vb) Antivirüs Politikası

23 Kullanıcıların kişisel bilgisayarları üzerine Bilgi İşlem Biriminin onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır. Kurumsal veya kişisel verilerin (hasta bilgileri) gizliliğine ve mahremiyetine özel önem gösterilmelidir. Bu veriler, ilgili mevzuat hükümleri saklı kalmak kaydıyla elektronik veya kağıt ortamında üçüncü kişi ve kurumlara verilemez. Genel Kullanım Politikası

24 Birimlerde sorumlu Bilgi İşlem Personeli ve ilgili teknik personel bilgisi dışında bilgisayarlar üzerindeki ağ ayarlarları, kullanıcı tanımları, kaynak profilleri vs. üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmez. Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir. Genel Kullanım Politikası

25 Bilgisayarlara engellenen sitelere girmeye yönelik olan programlar kurulmamalıdır. Bunlar log taraması sırasında tespit edilmektedir. Kuralların uygulanmasından birim amirleri sorumlu olup; kullanıcıların yapmış olduğu kural ihlallerinde kullanıcından başlamak üzere silsile yolu ile sorumluluk bulunmaktadır. Genel Kullanım Politikası

26 BİLGİSAYARLARINDA, GÜNCEL ANTİ VİRÜS BULUNMALIDIR. MESAİ BİTİMİNDE BİLGİSAYARLARINI KAPATMALIDIR. BİLGİSAYARLARINDA YA DA SORUMLUSU OLDUKLARI SİSTEMLER ÜZERİNDE USB FLASH BELLEK GİBİ CİHAZLAR BIRAKMAMALIDIR. GÜVENLİK ZAFİYETLERİNE SEBEP OLMAMAK İÇİN, BİLGİSAYAR BAŞINDAN AYRILIRKEN MUTLAKA EKRANLARINI KİLİTLEMELİDİR. BİLGİSAYARLARINDAKİ VE SORUMLUSU OLDUKLARI CİHAZLARDAKİ BİLGİLERİN DÜZENLİ OLARAK YEDEKLERİNİ ALMALIDIR. Son kullanıcılar: Son Kullanıcı Güvenliği

27 İhlal Bildirimi veya Düzeltici Önleyici Bildirim

28 Artık kurumumuzun Bilgi Güvenliği Politikası var, yönerge ve kurallara göre hareket etmek gerekiyor. Her türden kurumsal bilgiyi üçüncü şahıslarla paylaşmaktan kaçınmak gerekiyor. Çalışanlar kurumsal e-posta kullanımını tercih etmeliler. İnternet ve bilgisayar kullanım kurallarına riayet etmek gerekiyor. Her çalışanın Müdürlüğümüz tarafından hazırlanan Personel Gizlilik Sözleşmesi’ni bir taraf olarak imzalaması gerekiyor. Yeni web sitemizde Bilgi Güvenliği başlığı takip edilmeli SONUÇ

29 Teşekkürler…

30


"Bilgi Güvenliği. Bilgi Güvenliği Çalışmaları Kapsamında Yapılanlar BİLGİ GÜVENLİĞİ BİRİMİ BİLGİ GÜVENLİĞİ KOMİSYONU BİLGİ GÜVENLİĞİ EĞİTİMLERİ KURUMSAL." indir ppt

Benzer bir sunumlar


Google Reklamları