BİLGİ GÜVENLİĞİ BİLGİLENDİRME EĞİTİMİ Cahide ÜNAL Mayıs 2009

Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir.

SALDIRIYA UĞRAYABİLECEK DEĞERLER Kurumun İsmi, güvenilirliği Kuruma ait gizli bilgiler İşin devamlılığını sağlayan bilgi ve süreçler Üçüncü şahıslar tarafından emanet edilen bilgiler Kuruma ait adli, ticari, teknolojik bilgiler

DAHİLİ TEHDİT UNSURLARI Bilinçsiz ve bilgisiz kullanım Kötü niyetli hareketler

HARİCİ TEHDİT UNSURLARI SALDIRI YÖNTEMLERİ Hizmet aksatma saldırıları Ticari Bilgi ve Teknoloji hırsızlıkları Web sayfası içeriği değiştirme saldırıları Kurum üzerinden farklı bir hedefe saldırmak Virüs, worm, trojan saldırıları İzinsiz kaynak kullanımı

BİLGİ GÜVENLİĞİ Bilgi sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak. Koruma sırasında gerekli olan kontrollar ve ölçümlerin tespiti, doküman hale getirilmesi ve karşı tedbirlerin alınmasını sağlamak.

SERTİFİKA ÇALIŞMALARI BİLGİ GÜVENLİĞİ SERTİFİKA ÇALIŞMALARI Kamu Kurum Kuruluşları Arasında Bir İlk Gerçekleşti

SERTİFİKA ÇALIŞMALARI BİLGİ GÜVENLİĞİ SERTİFİKA ÇALIŞMALARI Politika Prosedür Talimat Form Ağ Yönetim Şubesi 3 13 32 10 Yönetimde Bilgi Sistemleri Şubesi 2 6 4 Teknik Destek Şubesi 5 E-Eğitim ve Eğitim Portalı Şubesi 1 9 E-Dönüşüm ve İnternet Şubesi 19 Genel 25 7 18 Toplam 14 66 77 37

BİLGİ GÜVENLİĞİ PORTALİ http://bgysportal.meb.gov.tr

POLİTİKALARIMIZ Bilgi Güvenliği Politikası Personel ve Eğitim Politikası İş Sürekliliği Politikası Kayıt Tutma Politikası Yedekleme Politikası Ağ Hizmetleri Politikası E-Posta Politikası Erişim Denetim Politikası Yazılım Hizmetleri Politikası Bilgi ve Yazılım Değişimi Politikası Teknik Destek Politikası Temiz Masa Temiz Ekran Politikası Web Barındırma Hizmeti Politikası Portal Politikası

GÜVENLİK DÖKÜMANLARIMIZ Dış Taraflar Taahhütnamesi Güvenlik Forumu Şeması İş süreklilik Planı Personel Gizlilik Taahhütnamesi Risk Analizi Şifre Gizlilik Antlaşması Uygulanabilirlik Bildirgesi Varlık Envanteri

GÜVENLİK FORUMU Bilgi ve Sistem Güvenliği Şubesine personel değişikliği bildirilmelidir.

TAAHHÜTNAMELER Personel ve üçüncü taraf kullanıcılardan, bilgi işleme araçlarına erişim verilmeden önce bir güvenlik taahhütnamesi imzalamaları istenmelidirler. Dış Taraflar Taahhütnamesi Personel Gizlilik Taahhütnamesi Bilgi ve Sistem Güvenliği Şubesine imzalatılan taahhütnameler iletilmelidir.

PROSEDÜRLER Risk Yönetimi Prosedürü Risk Değerlendirme Prosedürü Toplantı Yönetim Prosedürü Eğitim Prosedürü İç Tetkik Prosedürü Düzeltici Faaliyet Prosedürü Bilgi Sınıflandırma Prosedürü

PROSEDÜRLER Parola Yönetim Prosedürü Göreve Başlama ve Görevden Ayrılma Prosedürü Kayıt Tutma Prosedürü Kayıt İmha Prosedürü Kayıtların Saklanması ve Erişimi Prosedürü İş Etki Analizi Prosedürü

PROSEDÜRLER İş Sürekliliği Planlama Prosedürü İş Sürekliliği Risk Tespit Prosedürü Güvenlik Rolleri Prosedürü Fiziksel Güvenlik Prosedürü Olay Raporlama Prosedürü Personel Rol ve Sorumlulukları Prosedürü Disiplin Prosedürü

RİSK YÖNETİM PROSEDÜRÜ Daire çalışanları politika ve prosedürlere uygun davranırlar ve olay raporlama sistemini kullanarak sapmaları ve olayları kendi yöneticilerine bildirme görevleri vardır. Karar alma sürecinde önemli olabilecek tüm bilgileri güvenlik forumuna sunmak tüm daire çalışanlarının görevidir.

RİSK DEĞERLENDİRME PROSEDÜRÜ Her işlem sahibi, sorumlu olduğu işlemlerin bir anketini yapar ve bilgi güvenliği yönetimiyle ilgili olan bilgi varlıkları ve diğer varlıkları tespit eder. İşlemler tespit edilir. Varlıklar tespit edilir. Varlıklara değer atanır. Zayıf noktaları tespit edilir. Tehdidin olma ihtimali belirlenir. Tehdidin mutlak etkisi belirlenir. Risk hesaplanır. Güvenlik Forumuna rapor verilir. Yönetim forumu bu rapordan BHD ve kullanıcılar için en değerli olduğu düşünülen, bundan dolayı en yoğun dikkati ve kontrol hedefleri, kontroller ve karşı önlemlerden en yüksek güvence derecesini gerektiren varlıkları açıkça tanımlayabilir.

TOPLANTI YÖNETİM PROSEDÜRÜ Bilgi Güvenliği Toplantısı: Toplantı konuları; yeni güvenlik açıkları, kurumsal veya teknik altyapı değişiklikleri ile ilgili kontroller değerlendirilir. Toplanan dokümanlar ve bilgiler gözden geçirilir. 2. Yönetimin Gözden Geçirmesi Toplantısı Toplantı gündemi oluşturan muhtemel konular aşağıdaki gibidir: Bir önceki toplantı kararların değerlendirilmesi, BGYS Politika ve Hedefleri, Gerçekleştirilen eğitimler ve sonuçları, İç Tetkik raporları, Düzeltici ve Önleyici Faaliyet analiz sonuçları, Yönetim Sisteminde yapılması gereken değişiklikler, Kaynak ihtiyaçları, Diğer ek gündem maddeleri. Yapılan toplantılar kayıt altına alınmalıdır.

EĞİTİM PROSEDÜRÜ Eğitim İhtiyacının belirlenmesi: Yeni başlayan personele güvenlik eğitimleri Bilgi Güvenliği Yöneticisi koordinatörlüğünde yılın belli zamanlarında verilir. Ayrıca personelin bilgi güvenliğine ilişkin tehditlerden ve kaygılardan haberdar olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek üzere eğitimleri planlanır. 2. Eğitim Planlaması 3. İşbaşı Eğitimleri 4. Eğitim Etkinliğinin Değerlendirilmesi 5. Eğitim Kayıtlarının Tutulması (muhafazası) Gerçekleşen eğitimler Eğitim Katılım Formu ile kayıt altına alınarak Şube Klasörlerinde muhafaza edilir. Kurum içi ve dışı eğitimlerde eğitim katılım formu doldurularak Bilgi ve Sistem Güvenliği Şubesine iletilmelidir.

İÇ TETKİK PROSEDÜRÜ İç tetkikçilerce tespit edilen uygunsuzluklar için İç Tetkik Düzeltici Faaliyet İstek Formu hazırlanır. Uygunsuzluk kapatıldıktan sonra Güvenlik Yöneticisi’ne teslim edilir. İlgili birimin yöneticisi ile birlikte düzeltici faaliyetler tamamlanma tarihleri ile birlikte planlanır. Bu faaliyetler sonunda tetkik tamamlandığında “İç Tetkik Raporu” tamamlanarak, İç tetkikçiler tarafından güvenlik yöneticisine teslim edilir. Kapanış toplantısında uygunsuzluklar, gözlemler ve öneriler ile ilgili hususlar konuşulur. Tetkikçi raporu hazırlayarak ilgili birim sorumlusu imzalar. Varsa takip tetkiki tarihi belirlenir.

DÜZELTİCİ FAALİYET PROSEDÜRÜ Düzeltici faaliyetler aşağıda belirlenen durumlarda ortaya çıkabilir: 1. Güvenlik Yöneticisi, Uygunsuzluk Raporlarını aylık periyotlarla inceleyerek düzeltici faaliyet isteğinde bulunabilir. 2. İç denetimler sonucunda tespit edilen uygunsuzluklar için denetimi yapan denetim sorumlusu düzeltici faaliyet isteğinde bulunabilir. 3. BGYS Kontrollerinin izlenmesi, ölçülmesi ve veri analizleriyle ilgili çalışmalar yapılırken ortaya çıkan eğilimler düzeltici faaliyet gerektirebilir. Bu durumlarda Güvenlik Yöneticisi ilgili birim sorumlularından düzeltici faaliyet isteğinde bulunabilir. Düzeltici faaliyet istekleri (BH-GN-Frm04) Düzeltici Faaliyet İstek Formu ile yapılır.

BİLGİ SINIFLANDIRMA VE İŞLEME PROSEDÜRÜ Sınıflandırma: Bilgi üç farklı seviyede sınıflandırmaktadır: Gizli, Kuruma Özel, Genel. Sınıflandırma bilgisi, Etiketleme Talimatına göre varlık üzerine işlenir. Belirli bir sınıflandırma seviyesi ile işaretlenmemiş bilgi, sınıflandırılması amacıyla gönderene iade edilir, eğer iade edilemiyorsa yok edilir.

PAROLA YÖNETİMİ PROSEDÜRÜ Kişisel Bilgisayarlarda Parola Yönetimi Veri Tabanı Parola Yönetimi Ağ Cihazları Parola Yönetimi Aktif Directory Parola Yönetimi Uygulama Sunucuları Parola Yönetimi

GÖREVE BAŞLAMA VE GÖREVDEN AYRILMA PROSEDÜRÜ Personel göreve başlarken aşağıdaki adımları izler: 1. Göreve Başlama: MEB Eğitim Teknolojileri Genel Müdürlüğü Yönetim İşleri ve İnsan Kaynakları Şubesi’ne başvurularak Göreve Başlama Formu doldurulur. Ayrıca kişisel bilgilerin toplanması için Personel Formu (BH-GN-Frm05) doldurulur. 2. Kişisel Bilgisayar Alımı: Personele Kişisel Bilgisayar Devir Teslim Prosedürü’ ne uygun olarak bilgisayar ve donanım temin edilir. (BH-TD-Prs03) 3.Bilgisayar Adının Belirlenmesi: Personelin kişisel bilgisayarına Bilgisayar Adının Belirlenmesi Prosedürü’ne uygun olarak isim verilir.( BH-AY-Prs02) 4.Kullanıcı Hesabı Oluşturma: Kullanıcıya Aktif Dizinde Kullanıcı Hesabı Oluşturma ve Dokümante Talimatı’na uygun olarak oturum açılır.( BH-AY-Tal04) 5. Parmak İzi Tanımlanması: Parmak İzi Ekleme ve Silme Talimatına uygun olarak, yetkisi kapsamında parmak izi tanıtılır.( BH-AY-Tal17) 6. E-mail Hesabı Açılması: E-mail Hesap Açma Prosedürü’ne uygun olarak hesap açılır.(BH-AY-Prs05) Görevden ayrılan personel bilgileri ilgili yerlere, Bilgi ve Sistem Güvenliği Şubesine bildirilmelidir.

KAYIT İMHA PROSEDÜRÜ 1.Resmi Evrak İmhası : 2.Disklerin İmhası :Üzerinde önemli veri barındıran diskler tekrar kullanılacaksa veya kullanımı iptal edilecekse, üzerindeki verilerin okunmaz hale getirilmesi gerekir. Disklerin okunmaz hale getirilmesi için FDISK, FORMAT, vb. metotlar kullanılabilir. FDISK, FORMAT, vb. işlemlerden sonra disk üzerindeki verilerin gerçek anlamda silinmesi için diskin üzerini anlamsız verilerle(1-0) dolduran programlar kullanılmalıdır. 3.CD’lerin imhası :

KAYIT TUTMA PROSEDÜRÜ 1.Yapılan resmi işlemleri kaydı 2.Ağ cihazları kayıtları 3.Ağ üzerinde yapılan işlemlerin kaydı 4.Veritabanı kayıtları

KAYITLARIN SAKLANMASI VE ERİŞİMİ PROSEDÜRÜ 1. Elektronik Kayıtlar Elektronik Kayıtların Saklanması Sunucu logları Kayıt Tutma Prosedürüne uygun olarak tutulur. Yine kayıt altına alınması gerekmeyen loglar Kayıt Tutma Prosedürüne uygun olarak silinir. Elektronik Kayıtlara Erişim Kayıtları İnceleme Formu doldurularak talepte bulunulur. Kayıtların teslimi Kayıt Teslim Formu doldurularak yapılır. 2. Basılı Kayıtlar Basılı Kayıtların Saklanması Basılı olan kayıtlar Gelen/Giden Evrak Prosedürüne uygun olarak kaydedilir. Kaydedilen basılı evraklar Desimal Dosyalama Sistemi uygun olarak numaralandırılır. Numaralandırılan evraklar dosyalanır.

İŞ SÜREKLİLİĞİ PLANLAMA PROSEDÜRÜ Her bir süreçte yer alan ve kritik öneme sahip bilgi varlıkları belirlenir ve Varlık Envanterindeki ilgili madde ile ilişkilendirilir. Verilen her bir hizmet için Kurumun karşılaşabileceği riskler (doğal afetler, güvenlik veya cihaz arızaları, hizmet kaybı, saldırılar ve hizmete erişilememesi), İş Sürekliliği Risk Tespit Prosedürü ile uyumlu olarak belirlenir. Bütün kritik iş süreçleri ve bir iş sürekliliği olayı gerçekleşmesi durumunda sunulan hizmetin eski haline döndürülmesi için yerine getirilmesi gereken sorumluluklar bu planda tanımlanır. İş Sürekliliği Planı hizmetin eski haline döndürülmesi için atılması gereken adımları belirler. Ayrıca, Acil Durum Müdahale Ekibinin (ADME) kurtarma ve normale dönme sürecinin tamamlanmasını bekleyen iş ve işlemleri nasıl yöneteceği de bu planda düzenlenir. İş sürekliliği planlarında yer alan bütün personel bu görevleriyle ilgili olarak eğitilir ve planların test edilmesi sürecinde aktif rol alır. İş sürekliliği ekibi üyeleri personel tarafından bilinmelidir. Acil durumda ulaşılacak personel ve firma bilgileri Bilgi ve Sistem Güvenliği Şubesine iletilerek uygun yerlere asılması sağlanmalıdır.

GÜVENLİK ROLLERİ PROSEDÜRÜ Bilişim Hizmetleri Dairesi Başkanlığı’nda göreve başlayan personele Personel Gizlilik Taahhütnamesi (BH-GN-PT) imzalatılarak güvenlik sorumluluğundan haberdar edilir. Kişisel varlıkların korunması ve belirli güvenlik süreçlerinin yürütülmesi için sorumluluklar Varlık Envanteri (BH-GN-VE)’nde tanımlanır.

FİZİKSEL GÜVENLİK PROSEDÜRÜ Güvenli Alanlar Bilişim Hizmetleri Daire Başkanlığı bütün şubeleri ve Bakanlık Merkez Binasında MEBNET ağının temel omurgası ile MEB sunucularının bulunduğu sistemodası güvenlik alanına girer. Sistemodasının güvenliği Sistemodası Güvenliği Prosedürü ile sağlanmaktadır. Sistemodasına girişte parmakizi yetkisi olmayan Daire personeli ve dış taraf personelleri Sistemodası Giriş Çıkış Kontrol Formu doldurulur. Ayrıca Bakanlık Merkez Binada bulunan üç şubeye ancak parmakizi yetkisi olan kişiler girebilmektedir. Ayrıca bu dört bölgeye girişlerde uyarı levhaları asılarak yetkisiz girişimler yasaklanmıştır. İzinsiz fotoğraflama, görüntüleme, ses kaydetme gibi kayıt araçlarına izin verilmez. Dışarıdan gelen malzemeler, depodan kullanım alanına taşınmadan önce, olası tehlikelere karşı kontrol edilmelidir. Bütün personel Genel Müdürlüğümüzün yetkili birimleri tarafından hazırlanan yangın, deprem, sel, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı önlemlerin yer aldığı politika, talimat ve yönergeler hakkında bilgi sahibi olmak, gerekli tedbirleri almakla yükümlüdür. Fiziki güvenlik alanı içinde yer alan bütün oda kapıları, çalışma masası çekmeceleri ve dolaplar kilitli tutulmalıdır. Fiziki güvenlik alanı içinde yer alan tüm yangın kapılarının bilinmesi ve kullanılması, uyarı sinyallerinin tanınması ve giriş kapılarının sıkıca kapalı tutulması hususlarında bütün personel sorumludur. Güvenli alanlarda ziyaretçilere eşlik edilmeli ve giriş ve çıkış tarihleri ve saatleri not edilmelidir. Sistem odalarına ve gizli bilgilerin bulunduğu bilgisayarlara ve bilgi işleme araçlarına erişim sadece yetkili kullanıcılara sınırlıdır. Temizlik görevlileri, evrak takip memurları ve sekreterler sadece gerekli olduğunda güvenli alanlara veya hassas bilgi işleme araçlarına girebilir.

OLAY RAPORLAMA PROSEDÜRÜ Art niyetle yapılmadığı bilinen bir nedenin sonucu olmayan, gizlilik, doğruluk veya kullanılabilirlikle ilgili tüm güvenlik olayları, uygun önlemlere karar veren yönetime raporlanır. Olay Raporları, elle veya elektronik olarak,”Olay Raporlama Formu” ile hazırlanır. Bir olay bir başka şubenin ya da dış kaynağın yardımını gerektirdiğinde, olay kaydedilmeden önce önlemlerin sorumluluğunun kimde olduğunda mutabakata varılmalıdır. Güvenlik olayının giderilmesi için uygun eylemlerin hızlıca harekete geçirilmesini ve tavsiyelerin alınabilmesini temin etmek üzere gerekli kişi ve otoritelerle uygun iletişim kurulmalıdır. Önlem mutabık kalınan tarihte tamamlanmadığında, durum güvenlik risklerini de göz önüne alarak tekrar gözden geçirilmeli ve revize edilen önlemler kaydedilmelidir. Bu daha kesin bir çözüm uygulanana kadar kısa vadeli bir düzeltme gerektirebilir. Olay Raporlama Formu (BH-GN-Frm16) Olay raporlama formu doldurularak Bilgi ve Sistem Güvenliği Şubesine iletilmelidir.

FORMLAR Toplantı İmza Formu Toplantı Tutanağı Eğitim Formu Personel Formu Eğitim Katılım Formu Kayıt Talep Formu Kayıt Teslim Formu Olay Raporlama Formu

FORMLAR Veri Teslim Formu Acil Durum Raporlama Formu Eğitim Değerlendirme Formu

FORMLAR

AMAÇ VE İHTİYAÇLAR Kurtarma faaliyetlerini KİM yerine getirecek? Kurtarma, geri döndürme veya devam ettirme faaliyetleri için NE gerekli? Ana merkez zarar gördüyse faaliyetler NEREDE çalışır hale getirilecek? Kurum fonksiyonları NE ZAMAN (ne kadar sürede)geri döndürülmüş olmalı? Kurtarma faaliyetleri NASIL yapılacak?

İŞ SÜREKLİLİĞİ ORGANİZASYONU Takımlar Takım üyeleri Sorumluluklar İş Sürekliliği Komitesi Acil Durum Yönetim Takımı Hasar Tespit Takımı Acil Durum Masası Ağ ve Sistem Kurtarma Takımı Diğer takımlar... İş sürekliliği organizasyonu bir çok takım ve en yukarıda bir iş sürekliliği komitesinden oluşmaktadır. Yukarıda örnek olarak bazı takım isimleri verilmiştir. Takım isimlerini çoğaltmak veya değiştirmek mümkündür. İlerleyen sayfalarda takımların görevleri ve takım üyelerinin sorumlulukları verilmiştir.

Felaket Olduğunun İlan Edilmesi Problem Felaket olduğu açık mı? E Felaket olduğu ilan edilir Plan çalıştırılır E Kurtarma faaliyetleri yapılır Problem felaket kriteri taşıyor mu? H Hasar tespit takımına bildirilir Acil durum yönetim takımının daha önceden belirlenmiş kriterler doğrultusunda durumun felaket olduğuna karar vermesi ile birlikte durumun ilan edilmesi gereklidir. Kurumun felaket durumlarını nasıl ilan edeceğine ve planın nasıl çalıştırılacağına dair bir akışı olmalıdır. Yukarıda örnek bir akış verilmiştir. Süreçler eski haline getirilir Durum çözülmesi için ilgililere aktarılır H Süreç sahiplerine bildirimde bulunulur

Teşekkür ederim… cerpolat@meb.gov.tr