Bingöl KHB Bilgi Güvenliği Politikaları Eğitimi

Slides:



Advertisements
Benzer bir sunumlar
HASSAS GÖREV Hakan YÜKSEL Mart.
Advertisements

Bilgi Yönetimi Süreci Dt.İrem ÖZEN Kalite Direktörü.
BİLGİSAYAR DONANIM ELEMANLARI
Bilgi Güvenliği Farkındalık Eğitimi
Belge Envanteri ve Saklama Planları
İŞ SAĞLIĞI VE GÜVENLİĞİ KAYIT TAKİP VE İZLEME PROGRAMI
BİLGİ GÜVENLİK TALİMATI
BİLGİ GÜVENLİĞİ.
Sağlıklı ve Güvenli Tesisler
İŞLETİM SİSTEMİ İşletim Sistemi Nedir İşletim Sisteminin Görevleri
AU WiFi-Net Projesi Genel Bakış
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
KONTROL ORTAMI Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı 1.
Döner Sermaye Mali Yönetim Sistemi Bilgi Güvenliği
VERİ ve AĞ GÜVENLİK POLİTİKASI
Bingöl Kamu Hastaneleri Birliği
Sağlık Özel Ağı -SBNet-.
Hassas Görevler hassas…çok….
BİLGİ TEKNOLOJİSİNİN TEMEL KAVRAMLARI
Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
ATIK YÖNETİMİ. Elvan Bilge MENTEŞE. COMPONENTA Dökümcülük
Sistem ve Ağ Yönetiminde Parola Yönetim Zorlukları
Bilgisayar Sistemleri Güvenliği
Elektrik İşlerinde Güvenlik
Bingöl KHB Güvenliği Politikaları Eğitimi
Strateji Geliştirme Başkanlığı. Strateji Geliştirme Başkanlığı.
ŞİŞECAM’DA BİLGİ GÜVENLİĞİ
Bilgi Teknolojisinin Temel Kavramları
LOGO EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı.
GÜVENLİ İNTERNET KULLANIMI
BİLİŞİM SUÇLARI ve ALINACAK TEDBİRLER
YAZILIM Bilgisayarın kullanılmasını sağlayan her türlü program yazılım olarak adlandırılır. Başlıca iki yazılım çeşidi vardır. Bu yazılımlar, sistem yazılımı.
Bilgi Güvenliği Hukuksal Süreçler
YAZILIM.
GİZLİLİK VE GİZLİLİĞİN ÖNEMİ
Bilgi ve İletişim Teknolojisi
Bilgisayar ve Veri Güvenliği
YAZILIM.
Bilgi Güvenliği Yetkilisi
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Bilgisayarın kullanılmasını sağlayan her türlü program yazılım olarak adlandırılır. YAZILIM Başlıca iki yazılım çeşidi vardır. Bu yazılımlar, sistem yazılımı.
Türk Hava Kurumu Üniversitesi
KAHRAMANMARAŞ İL SAĞLIK MÜDÜRLÜĞÜ
WİNDOWS SERVER 2003’te KULLANICI VE GRUP HESAPLARI.
Bilgi Güvenliği.
ERZURUM KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ
1. Uyuşturucuyla mücadele kapsamında eğitim
TELEFONDA KRİTİK BİLGİ PAYLAŞMAYIN  Yöneticileriniz de dahil hiç kimse ile kurum ve personele ait kritik bilgiyi telefondan paylaşmayın.  Telefon ile.
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
Ordu Üniversitesi Strateji Geliştirme Daire Başkanlığı
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
DİSASTER CENTER FELAKET MERKEZİ. Felaket Kurtarma (Disaster Recovery) Her kurum için, vermekte olduğu hizmeti herhangi bir nedenden dolayı veremez duruma.
Murat KULOĞLU Öğretim Görevlisi Sivil Savunma ve İtfaiyecilik Programı 1.
Sistem odası güvenliği
Bilgisayar Ağlarında Güvenlik
KAMUDA HASSAS GÖREV.
Felaket Merkezi Berk Aydoğdu
BİLGİSAYAR DONANIM ELEMANLARI * Fiziksel olarak bir bilgisayarı oluşturan tüm birimlerdir. * Donanım somut bir kavramdır. Bu nedenle donanımı, elle tutulur,
KAYSERİ İL MİLLİ EĞİTİM MÜDÜRLÜĞÜ İŞ SAĞLIĞI VE GÜVENLİĞİ BİRİMİ
BOZOK ÜNİVERSİTESİ Merkezi Kimlik Doğrulama Sistemi
TURKHAREKAT.COM Siber Güvenlik Eğitimlerine Hoşgeldiniz.
İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri
ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
“Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması”
SİBER GÜVENLİK VERİNİZİ VE GİZLİLİĞİNİZİ KORUYUN
BİLGİSAYAR DONANIM ELEMANLARI * Fiziksel olarak bir bilgisayarı oluşturan tüm birimlerdir. * Fiziksel olarak bir bilgisayarı oluşturan tüm birimlerdir.
BİLGİSAYAR DONANIM ELEMANLARI * Fiziksel olarak bir bilgisayarı oluşturan tüm birimlerdir. * Fiziksel olarak bir bilgisayarı oluşturan tüm birimlerdir.
GÜVENLİ İNTERNET KULLANIMI
Sunum transkripti:

Bingöl KHB Bilgi Güvenliği Politikaları Eğitimi Bilgi Güvenliği Politikası Kılavuzu- C- Politikalar Fiziksel ve Çevresel Güvenlik Ekipman Güvenliği İşletim Sistemleri ve Son Kullanıcı Güvenliği Parola Güvenliği Sunucu ve Sistem Güvenliği Sedat ADEMOĞLU Bingöl Kamu Hastaneleri Birliği Genel Sekreterliği

C2-Fiziksel ve Çevresel Güvenlik Fiziksel ve çevresel güvenlik, işyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır. Günümüzde de fiziksel güvenlik önemini korumakta ve bu konuyla ilgili gerekli çalışmalar yapılmaktadır. Örneğin, bina etrafına yüksek duvarlar ya da demirler yapılması, bina girişinde özel güvenlik ekiplerinin bulundurulması, önemli verilerin tutulduğu odaların kilitlenmesi ya da bu odalara şifreli güvenlik sistemleri ile girilmesi gibi önlemler kullanılmaktadır.

Risk Yönetimi Kavramları C.2.1. Fiziksel Güvenlik Sınırı; Bilgi işleme servisini korumak amacıyla herhangi bir fiziksel sınır güvenliği tesisi kurulmuş olmalıdır. (Kart kontrollü giriş, duvarlar, insanlı nizamiye) Fiziksel sınır güvenliği, içindeki bilgi varlıklarının güvenlik ihtiyaçları ve risk değerlendirme sürecinin sonucuna göre oluşturulmalıdır.

C.2.2. Fiziksel Giriş Kontrolleri Kurum içerisinde belli yerlere sadece yetkili personelin girişine izin verecek şekilde kontrol mekanizmaları kurulmalıdır. Kapsam ve prosedürü idarelerce belirlenmek suretiyle ziyaretçilerin giriş ve çıkış zamanları kaydedilmelidir. Hassas bilgilerin bulunduğu alanlar (kimlik doğrulama kartı ve PIN koruması gibi yöntemlerle) yetkisiz erişime kapatılmalıdır. Kapsam ve prosedürü idarelerce belirlenmek suretiyle tüm personel ve ziyaretçiler güvenlik elemanları tarafından rahatça teşhis edilmelerini sağlayacak kimlik kartlarını devamlı takmalıdır.

C.2.3. Ofislerin ve Odaların Güvenliğinin Sağlanması; Ofisler ve odalarla ilgili fiziksel güvenlik önlemleri alınmalıdır. Personel güvenliği ve sağlığı ile ilgili yönetmelikler uygulanmalıdır. Kritik tesisler kolayca ulaşılamayacak yerlere kurulmuş olmalıdır. Binada bilgi işlem faaliyetlerinin yürütüldüğüne dair işaret, tabela vb. bulunmamasına dikkat edilmelidir. Bilgi işlem merkezlerinin konumunu içeren dâhili/harici telefon rehberleri halka kapalı olmalıdır.

C.2.4. Harici ve Çevresel Tehditlerden Korunma Yangın, sel, deprem, patlama ve diğer tabii afetler veya toplumsal kargaşa sonucu oluşabilecek hasara karsı fiziksel koruma tedbirleri alınmalı ve uygulanmalıdır. Komşu tesislerden kaynaklanan potansiyel tehditler göz önünde bulundurulmalıdır. Yedeklenmiş materyal ve yedek sistemler ana tesisten yeterince uzak bir yerde konuşlandırılmış olmalıdır.

C.2.5. Güvenli Alanlarda Çalışma Güvenli çalışma alanlarındaki personel veya bu alanda yürütülmekte olan çeşitli faaliyetlerde bulunan personel ve üçüncü parti çalışanları için "ihtiyacı kadar bilme" prensibi uygulanmalıdır. Kayıt cihazlarının güvenli alanlara sokulmasına engel olunmalıdır. Kullanılmayan güvenli alanlar kilitleniyor ve düzenli olarak kontrol ediliyor olmalıdır. Kötü niyetli girişimlere engel olmak için güvenli bölgelerde yapılan çalışmalara nezaret edilmelidir. Güvenli bölgelere örneğin sistem odasına yapılan girişler kayıt altına alınmalıdır.

Ekipman Güvenliği C.3.1. Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline, yangın, sel, deprem gibi felaketlerle bütünlüğünün bozulmalarına ya da yok olmalarına sebep olabilir.

C.3.2. Belli başlı temiz masa kuralları Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir. Personelin kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa terkedilecekse ekran kilitlenmelidir. Bu işlem Windows + L tuşuna basılarak yapılabilir. Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulunmamalıdır. kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kâğıt öğütücü, disk/disket kıyıcı, yakma vb. metotlarla imha edilmeli, bilginin geri dönüşümü ya da yeniden kullanılabilir hale geçmesinin önüne geçilmelidir. TEMİZ MASA TEMİZ EKRAN

C.3.5. Kablolama Güvenliği Güç ve iletişim kablolarının fiziksel etkilere ve dinleme faaliyetlerine karşı korunması için önlemler alınmış olmalıdır. Kablolar yeraltında olmalıdır. Hatalı bağlantıların olmaması için ekipman ve kablolar açıkça etiketlenmiş ve işaretlenmiş olmalıdır. Hassas ve kritik bilgiler için ekstra güvenlik önlemleri alınmalıdır. Alternatif yol ve iletişim kanalları mevcut olmalıdır.

C.3.6. Ekipman Bakımı Ekipmanın bakımı doğru şekilde yapılmalıdır. Bakım sadece yetkili personel tarafından yapılıyor olmalıdır. Tüm şüpheli ve mevcut arızalar ve bakım çalışmaları için kayıt tutulmalıdır. Ekipman bakım için kurum dışına çıkarılırken kontrolden geçirilmelidir. İçindeki hassas bilgiler silinmelidir. Ekipman sigortalıysa, gerekli sigorta şartları sağlanıyor olmalıdır.

C.3.8. Ekipmanın Güvenli İmhası ya da Tekrar Kullanımı Ekipman imha edilmeden önce gizli bilginin bulunduğu depolama cihazı fiziksel olarak imha edilmelidir. Depolama cihazının içerdiği bilginin bir daha okunamaması için klasik silme veya format işlemlerinin ötesinde yeterli düzeyde işlem yapılmalıdır.

C.3.9. Varlıkların Kurumdan Çıkarılması Ekipman, bilgi veya yazılımın yetkilendirme olmadan tesis dışına çıkarılmamasını sağlayan kontrol mekanizması oluşturulmalıdır. Kurum varlıklarının yetkisiz olarak kurum dışına çıkarılıp çıkarılmadığını saptamak için denetleme yapılmalıdır. Kurum çalışanları bu tip denetlemelerden haberdar olmalıdır.

C.4.1. İşletim Sistemleri Güvenliği Kurum son kullanıcı düzeyinde hangi işletim sistemini kullanacağına karar verir ve bu işletim sistemine uygun yazılım donanım sistemlerinin kurulumunu temin eder. Kurum, işletim sistemlerinin güncel ve güvenli olması için yama yönetimi yapmalıdır. Kurum, bilgisayar başındaki kullanıcının doğru kullanıcı olup olmadığını tespit etmek için her bilgisayarda etki alanı kimlik doğrulamasını sağlamalıdır. Kurum, mevcut envanteri haricindeki donanımların kurum bilgisayarlarında kullanımını engellemelidir. İşletim sistemlerinde kurulumda gelen yönetici hesaplarının (Administrator, root) kaba kuvvet saldırılarına karşı, Microsoft ürünlerinde pasif hale getirilmesi, Linux tabanlı ürünlerde root hesabına ssh erişiminin engellenmesi gerekir.

C.4.2. Son Kullanıcı Güvenliği sistemlere, etki alanları dâhilinde kendilerine verilmiş kullanıcı adı ve şifreleri ile bağlanmalıdır. yetkileri dâhilinde sistem kaynaklarına ulaşabilmeli ve internete çıkabilmelidir. yetkileri, içinde bulundukları grup politikasına göre belirlenmelidir. aktiviteleri, güvenlik zafiyetlerine ve bilgi sızdırmalarına karşı loglanarak kayıt altına alınmalıdır. kendi hesaplarının ve/veya sorumlusu oldukları cihazlara ait kullanıcı adı ve şifre gibi kendilerine ait bilgilerin gizliliğini korumalı ve başkaları ile paylaşmamalıdır.

C.4.2. Son Kullanıcı Güvenliği bilgisayarlarında ki ve sorumlusu oldukları cihazlarda ki bilgilerin düzenli olarak yedeklerini almalıdır. güvenlik zafiyetlerine sebep olmamak için, bilgisayar başından ayrılırken mutlaka ekranlarını kilitlemelidir. bilgisayarlarında ya da sorumlusu oldukları sistemler üzerinde USB flash bellek ve/veya harici hard disk gibi bırakmamalıdır. mesai bitiminde bilgisayarlarını kapatmalıdır. bilgisayarlarında, güncel anti virüs bulunmalıdır.

C.4.2. Son Kullanıcı Güvenliği son kullanıcı güvenliğine dair oluşturulmuş grup politikalarını, etki alanı üzerinden kullanıcı onayı olmaksızın uygulamalıdır. farkında olmadan yapabilecekleri ve sonunda zafiyet yaratabilecek değişikleri merkezi grup politikalarıyla engellemelidir. yeni parolaları bildirilirken sms gibi daha güvenli yöntemler kullanılmalıdır. Temiz masa, temiz ekran ilkesi benimsenmeli ve hayata geçirilmelidir.

C5-Parola Güvenliği

2012 yılının hack olayları bazıları Bilgi Teknolojileri ve İletişim Kurumu / 14 Şubat 2012 Ankara Emniyet Müdürlüğü / 26 Şubat 2012 ……polis ihbar hattına gelen tüm ihbarlar ve ihbar edenlerin kişisel bilgileri internete sızdırıldı. Emniyet Müdürlüğünün şifresinin 123456 olduğu uzun süre konuşuldu. Digiturk / 27 Şubat 2012 Emniyet Genel Müdürlüğü Öğrenci Yurtları / 25 Mart 2012 Türkiye genelindeki Emniyet Müdürlükleri / 28 Mart 2012 İçişleri Bakanlığı / 20 Nisan 2012 TTNET, EGM, Adalet Bakanlığı, Yargıtay Başkanlığı / 27 Nisan 2012 TÜBİTAK / 03 Mayıs 2012 Nic.tr / 04 Mayıs 2012 Aile ve Sosyal Politikalar Bakanlığı / 14 Mayıs 2012

Güvenli Parola Kuralları 123456 abcdef 1978 11111 13579 aaaaa bbbbbbb 123123 dilek1 dilek1978 Faruk123 qwerty Parola en az 8 karakterden oluşmalıdır Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir. Büyük ve küçük harfler bir arada kullanılmalıdır Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.

Güçlü Parola Yöntemleri Gmail H Hotmail F Facebook Y Yahoo

C.8. Sunucu ve Sistem Güvenliği Kurum'da bulunan sunucuların yönetiminden, ilgili sunucuyla yetkilendirilmiş personel sorumludur. Sistem yöneticileri 'Administrator' ve 'root' gibi genel sistem hesapları kullanmamalıdır. Sunucu kurulumları, konfigürasyonları, işletim sistemi yedeklemeleri, yamaları, güncellemeleri Sistem Yönetimi tarafından yapılmalıdır Görevinden ayrılan personelin tüm erişim yetkileri anında iptal edilmelidir.

C.8. Sunucu ve Sistem Güvenliği Sunucular üzerinde lisanslı yazılımlar kurulmalıdır. Sunucular fiziksel olarak korunmuş sistem odalarında bulunmalıdır Kayıtlar sunucu üzerinde tutulmalarının yanı sıra ayrı bir sunucuda da saklanmalıdır. Kayıtlar sorumlu kişi tarafından değerlendirilmeli ve gerekli tedbirler alınmalıdır. Yetkisiz kişilerin ayrıcalıklı hesaplara erişip erişemeyeceğinin kontrolü periyodik yapılmalıdır.

C.8.5. Sunucu işletim kuralları Sunucular, sıcaklık ve nem değerleri düzenlenmiş; elektrik, ağ altyapısı kuvvetli; tavan ve taban güçlendirmeleri yapılmış ortamlarda bulundurulmalıdır. Sunucuların yazılım ve donanım bakımları üretici firma tarafından belirlenmiş aralıklarla, yetkili uzmanlar tarafından yapılmalıdır. Sistem odalarına giriş ve çıkışlar kontrol edilmelidir.