Bilgi Güvenliği Yetkilisi Bilgi Güvenliği Kısa Bilgilendirme Bilgi Güvenliği Yetkilisi Vadullah HEKİM

BİLGİ GÜVENLİĞİ NEDİR? Bilgi güvenliği, «bilginin bir varlık olarak hasarlardan korunması , doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda , istenmeyen kişiler tarafından elde edilmesini önleme olarak» tanımlanır. Bilgisayar teknolojilerinde güvenliğin amacı ise kişi ve kurumların bu teknolojilerini kullanırken karşılaşabilecekleri tehdit ve tehlikelerin analizlerinin yapılarak gerekli önlemlerin önceden alınmasıdır.

BİLGİ GÜVENLİĞİNDEN KİM SORUMLUDUR Bilgi güvenliğinden herkes sorumludur. Bu sorumluluklar yasal olarak da ifade edilmiş ve 5651 sayılı kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi amacı ile düzenlenmiştir. Herhangi bir bilgi sisteminde aşağıdaki konumlardan herhangi birisinde iseniz sorumluluğunuz var demektir. 1- Bilginin sahibi 2- Bilgiyi kullanan 3- Bilgi sistemini yöneten

Bilgi Güvenliği Kısa Bilgilendirme 28/02/2014 tarihli ve 5181.1272 sayılı Bakanlık Makamının onayı ile Bilgi Güvenliği Politikaları Yönergesi 03/03/2014 tarihli ve 5181.1317 sayılı Bakanlık Makamının onayı ile Bilgi Güvenliği Politikaları Kılavuzu yürürlüğe girmiştir.

Bilgi Güvenliği Kısa Bilgilendirme Sağlık Bakanlığına ait tüm bilgilerin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirerek korunmasını sağlamak.

Bilgi Güvenliği Politikaları Yönergesi Gizlilik: Bilginin yetkisiz kişilerin eline geçmemesidir. Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir. Erişilebilirlik: Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir olmasıdır.

Bilgi Güvenliği Politikaları Yönergesi Sağlık Bakanlığı Merkez ve Taşra Teşkilatı Türkiye Kamu Hastaneleri Kurumu Merkez ve Taşra Teşkilatı Halk Sağlığı Kurumu Merkez ve Taşra Teşkilatı İlaç ve Tıbbi Cihaz Kurumu Hudut ve Sahiller Genel Müdürlüğü Bu kurumların bilişim kaynaklarını kullanan paydaş ve misafirler

Bilgi Güvenliği Kısa Bilgilendirme Eğitim faaliyetleri işlemlerinin, kurum içerisinde nasıl yürütülmesi gerektiği hususunda bir prosedür geliştirilmelidir. Kurum içerisinde bilgi güvenliği teknik ve farkındalık eğitimleri için yıllık bir plan yapılmalı ve bu planlar çerçevesinde eğitimler gerçekleştirilmelidir. Eğitime katılım formları muhafaza edilmelidir. Yapılan eğitimlerin etkinliği hususunda çeşitli ölçme değerlendirmeleri yapılmalıdır.

Parola Güvenliği

Güvenli Parola Kuralları 123456 abcdef 1978 11111 13579 aaaaa bbbbbbb 123123 dilek1 dilek1978 Faruk123 qwerty Parola en az 8 karakterden oluşmalıdır Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir. Büyük ve küçük harfler bir arada kullanılmalıdır Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.

Güçlü Parola Yöntemleri Basit bir kelimenin içerisindeki harf veya rakamları benzerleri ile değiştirilerek güçlü bir parola elde edilebilir. Basit bir cümle ya da ifade içerisindeki belirli kelimeler özel karakter veya rakamlarla değiştirilerek güçlü bir parola elde edilebilir

Güçlü Parola Yöntemleri Gmail G Hotmail H Facebook F Yahoo Y

2012 yılının hack olayları bazıları Bilgi Teknolojileri ve İletişim Kurumu / 14 Şubat 2012 Ankara Emniyet Müdürlüğü / 26 Şubat 2012 ……polis ihbar hattına gelen tüm ihbarlar ve ihbar edenlerin kişisel bilgileri internete sızdırıldı. Emniyet Müdürlüğünün şifresinin 123456 olduğu uzun süre konuşuldu. Digiturk / 27 Şubat 2012 Emniyet Genel Müdürlüğü Öğrenci Yurtları / 25 Mart 2012 Türkiye genelindeki Emniyet Müdürlükleri / 28 Mart 2012 İçişleri Bakanlığı / 20 Nisan 2012 TTNET, EGM, Adalet Bakanlığı, Yargıtay Başkanlığı / 27 Nisan 2012 TÜBİTAK / 03 Mayıs 2012 Nic.tr / 04 Mayıs 2012 Aile ve Sosyal Politikalar Bakanlığı / 14 Mayıs 2012

İnsan Kaynakları Zafiyetleri Yönetimi

Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır. Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir. ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında(izin kağıdı gibi) ekranda bulunan kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir.

Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir. İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kağıt kesme makinesinda imha edilmelidir.

Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır. Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim etmelidir. Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi ve belgeleri teslim etmelidir. Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade edilmelidir.

WEB GÜVENLİĞİ İnternette hemen her alanda bilgi paylaşımı alışveriş bankacılık işlemleri, vergi ödemesi gibi işlemler yapabiliyoruz. Bilgilerimizin ele geçirilmesi için bilgisayarımıza erişilmesi şart değil. İnternet siteleri üzerinden gerçekleştirdiğimiz işlemler sırasında kullandığımız bilgilere ulaşmak da saldırganlar için yeterli olabilir. Bizler nasıl Türkçe, İngilizce gibi dilleri kullanarak anlaşıyorsak, internette de http, ftp, https gibi isimlendirilen protokoller ile veri alışverişi sağlanır.

WEB GÜVENLİĞİ Güvenli iletişim yolu: Normal bir siteye girdiğimizde adres çubuğunda gördüğümüz HTTP başlığı interaktif bankacılık gibi kritik işlem yapılan bir siteye girdiğimizde yerini HTTPS olarak değiştirir. Buradaki «S» güvenli(secure) anlamına gelmektedir. Tarayıcınızın altında bulunan çubukta dakilit ikonu çıkacaktır. Bunların yanı sıra şifreli iletişimlerde (SSL-Secure Socket Layer) sitenin sahip olduğu sertifika ve sertifikanın geçerliliği kontrol edilmelidir.

E-posta Güvenliği Politikaları Spam, zincir, sahte vb. zararlı olduğu düşünülen e-postalara yanıt verilmemelidir. Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın Sistem Yönetimine haber vermelidir. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında başkalarına iletilmeyip, Sistem Yönetimine haber verilmelidir.

E-posta Güvenliği Politikaları Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara SPAM, phishing mesajlar göndermek için kullanılamaz. E-posta gönderiminde konu alanı boş bir e-posta mesajı göndermemelidir. Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.

E-posta Güvenliği Politikaları E-postaya eklenecek dosya uzantıları “.exe”, “.bat” veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak ( zip veya rar formatında) mesaja eklenmelidir. Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir. Hiçbir kullanıcı, gönderdiği e-posta adresinin kimden bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz. Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz

E-posta Güvenliği Politikaları Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir. Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermelidir. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar Sistem Yönetimine haber verilmelidir. Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolasının kırıldığını fark ettiği anda Sistem Yönetimine haber vermeli

Bilgi Kaynakları Atık ve İmha Yönetimi Bakanlık ve Bağlı Kuruluşlar kendi bünyelerinde oluşturacakları arşivden sorumludur. Burada Özel ve Çok Gizli evraklar “Devlet Arşiv Hizmetleri Yönetmeliği” hükümleri gereği oluşturulan “Evrak İmha Komisyonu” ile karar altına alınmalı ve imha edilecek evraklar kırpma veya yakılarak imhaları yapılmalıdır. Bilgi Teknolojilerinin (Disk Storage Veri tabanı dataları vb.) 14 Mart 2005 Tarihli 25755 sayılı Resmi Gazete ’de yayınlanmış

Bilgi Kaynakları Atık ve İmha Yönetimi Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır. Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır. Tamamen tahrip edilememiş disk parçalarının delme, kesme makinaları ile kullanılamaz hale getirilmelidir. Hacimsel küçültme işlemi için parçalanmalıdır.

İHLAL BİLDİRİMİ VE YÖNETİMİ

Bilgi Güvenliği İhlali Nedir? Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi durumlarda güvenlik ihlali vardır

İhlal Bildirim ve Yönetimi Kurumun bilgi güvenliği yetkilisine bildirilmeli Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin sonlandırılmasını sağlayan uygun bir geri besleme süreci oluşturulmalıdır. Güvenlik olayının oluşması durumunda olay anında raporlanmalıdır.

İhlal Bildirim ve Yönetimi İhlali yapan kullanıcı tespit edilmeli ve ihlalin suç unsuru içerip içermediği belirlenmelidir. Güvenlik ihlaline neden olan çalışanlar, üçüncü taraflarla ilgili resmi bir disiplin sürecine başvurulur. Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor edilir Bilgi sistemi arızaları ve hizmet kayıpları, zararlı kodlar, dos atakları, tamamlanmamış veya yanlış iş verisinden kaynaklanan hatalar, gizlilik ve bütünlük ihlâlleri, bilgi sistemlerinin yanlış kullanımı gibi farklı bilgi güvenliği olaylarını bertaraf edecek tedbirler alınır.

Bilgi Güvenliği Olaylarının Değerlendirilmesi Bilgi güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi ile edinilen tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini önleyecek veya yüksek etkili olayların oluşmasını engelleyecektir. Kanıt toplama; kuruluş içerisinde disiplin faaliyeti için delil toplanırken uygulanacak genel kurallar şunlardır; 1.) Kanıtın mahkemede kullanılıp kullanılamayacağı ile ilgili kabul edilebilirlik derecesi, 2.)Kanıtın niteliği ve tamlığını gösteren ağırlığı. Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, kurum Personel Yönetmeliği gereğince aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulayabilir: 1.) Uyarma, 2.) Kınama, 3.) Para cezası, 4.) Sözleşme feshi.

Mal ve Hizmet Alımları Güvenliği Mal ve hizmet alımlarında İlgili kanun, genelge, tebliğ ve yönetmeliklere aykırı olmayacak ve rekabete engel teşkil etmeyecek şekilde gerekli güvenlik düzenlemeleri Teknik Şartnamelerde belirtilmelidir

Mal ve Hizmet Alımları Güvenliği Gizlilik veya ifşa etmeme anlaşmaları yasal olarak uygulanabilir terimleri kullanarak gizli bilgileri korumanın gerekliliğini ele almalıdır. Gizlilik veya ifşa etmeme anlaşmaları için şu unsurlar dikkate alınmalıdır:

Gizlilik Sözleşmeleri Korunacak bilginin bir tanımı (örneğin; gizli bilgileri), • Gizliliğin süresiz muhafaza edilmesi gereken durumlar da dahil olmak üzere anlaşma süresi, • Anlaşma sona erdiğinde yapılması gereken eylemler, • Gizli bilginin açığa çıkmasını önlemek için sorumluluklar ve imza eylemlerinin belirlenmesi • Gizli bilgilerin nasıl korunması gerektiği, • Gizli bilgilerin kullanım izni ve bilgileri kullanmak için imza hakları, • Gizli bilgileri içeren faaliyetleri izleme ve denetleme hakkı

Gizlilik Sözleşmeleri Gizli bilgilerin ihlal edilmesinin bildirimi ve raporlama prosesi, • İade veya imha anlaşmasına bırakılacak bilgi için terimler, • Bu anlaşmanın ihlali durumunda yapılması beklenen eylemler.