Bilgi Güvenliği

Bilgi Güvenliği Çalışmaları Kapsamında Yapılanlar BİLGİ GÜVENLİĞİ BİRİMİ BİLGİ GÜVENLİĞİ KOMİSYONU BİLGİ GÜVENLİĞİ EĞİTİMLERİ KURUMSAL VE PERSONEL GİZLİLİK SÖZLEŞMELERİ MÜDÜRLÜĞÜMÜZDE GEREKEN ÖNLEMLER

BİLGİ GÜVENLİĞİ Bilgi Güvenliği kavram olarak sadece Bilgi İşlem Biriminin yürüteceği bir çalışma olmayıp tüm kurumu ve tüm personeli kapsayan bir kültürü ifade etmektedir. Kapsam

BİLGİ GÜVENLİĞİ Kapsam Bu kavramın içine aşağıdaki başlıklar gibi birçok madde ilave edilebilir; Atık evrakların imhası, Kurumdan ayrılan personelle ilgili işlemler, Eğitim faaliyetleri, Personelin bilinçlendirilmesi, gizlilik sözleşmesi yapılması Kuruma gelen üçüncü şahısların kayıtlarının tutulması Kurumsal bilginin çalışanlar tarafından sır niteliğinde saklanması İhlallerin kayıt altına alınması Kapsam

BİLGİ GÜVENLİĞİ Dayanak 5651 Sayılı Kanun “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” Sağlık Bilgi Sistemleri Genel Müdürlüğü 03.03.2014 tarih ve 5181.1345/700 sayılı yazıları ile gönderilen Bilgi Güvenliği Yönergesi Dayanak

İşlenmemiş ham bilgiye VERİ denir Verinin İşlenmiş Haline BİLGİ denir Veri Nedir ? Bilgi Nedir ? Sayısal ve mantıksal her bir değere (rakam,harf,sembol) VERİ ya da DATA denir İşlenmemiş ham bilgiye VERİ denir * Ör: Faruk, Kastamonu, 1978 Verinin İşlenmiş Haline BİLGİ denir * Ör: Faruk, 1978’de Kastamonu’da doğdu.

Bilginin Bulunduğu Ortamlar Fiziksel Ortamlar Elektronik Ortamlar Sosyal Ortamlar Bilginin Bulunduğu Ortamlar

Fiziksel Ortamlar Bilgi Çeşitleri Kağıt, Tahta Pano, Yazı tahtası Fax kağıdı Çöp/Atık Kağıtlar Dosyalar Dolaplar Fiziksel Ortamlar

Bilgi Çeşitleri Elektronik Ortamlar Bilgisayarlar, mobil iletişim cihazları E-posta, USB, CD, Disk Manyetik ortamlar Elektronik Ortamlar

Sosyal Ortamlar Bilgi Çeşitleri Telefon görüşmeleri Muhabbetler Yemek aralarında sohbetler Toplu taşıma araçlarındaki konuşmalar Sosyal Ortamlar

Bilgi Çeşitleri Gizli Bilgi İç Kullanım Kişisel Kuruma Açık En kritik bilgilerdir, sadece yönetim kadrosunun erişimi vardır. Bu tür bilgilerin yetkisiz erişilmemesi, ifşa edilmemesi veya paylaşılmaması kurum açısından çok önemlidir. Gizlilik ön plandadır. Gizli Bilgi Sadece birimlere özel bilgilerdir. Departman çalışanları dışında hiçbir 3. taraf kurumun veya kişinin görmemesi gereken bilgilerdir. Gizlilik ön plandadır. İç Kullanım Birim çalışanlarının kişisel çalışmaları ile ilgili bilgilerdir. Kurum işlevleri için yapılan kişisel çalışmalar burada tutulabilir. PC, Laptop veya Dolaplarda işle ilgili olmayan diğer kişisel bilgiler tutulamaz. Erişilebilirlik ön plandadır. Kişisel Bu bilgiler kurum çalışanlarının kullanımı içindir. Erişilebilirlik ve bütünlük ön plandadır. Departmanların kendi aralarında paylaştıkları bilgiler bu sınıfa girer. Kuruma Açık

Fiziksel ve Çevresel Güvenlik Örneğin; Bina etrafına yüksek duvarlar ya da demirler yapılması Bina girişinde özel güvenlik ekiplerinin bulundurulması Önemli bilgilerin tutulduğu odaların kilitlenmesi Süresi biten gizli veya birimlerin kullanımına özel bilgi içeren atıklar imha edilmelidir. Fiziksel ve çevresel güvenlik, işyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır.

Bilgi Sistemlerinde Güvenlik Kullanıcılar: eriştikleri sistemlere mutlaka kendi şifreleri ile bağlanmalıdır. Kullanıcılar: yetkileri dâhilinde sistem kaynaklarına ulaşabilmeli ve internete çıkabilmelidir. Kullanıcılar: kendi kullanıcı adı ve şifre gibi kendilerine ait bilgilerin gizliliğini korumalı ve başkaları ile paylaşmamalıdır.

Belli başlı temiz masa kuralları Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir. Personelin kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa terkedilecekse ekran kilitlenmelidir. Bu işlem Windows + L tuşuna basılarak yapılabilir. Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulunmamalıdır. kullanım ömrü sona eren bilgiler kâğıt öğütücü, disk/disket kıyıcı vb. metotlarla imha edilmeli TEMİZ MASA TEMİZ EKRAN

Toplu Kullanım Sağlayıcılar İnternet Dünyasının Aktörleri Kişilere belli bir yerde ve belli bir süre internet kullanım olanağı sağlayan gerçek ve tüzel kişilerdir. Sağlık Kurumları Kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade eder. Blogger, Yazar….. İnternete açık hizmet ve içerikleri barındıran sistemleri sağlayan / işleten gerçek veya tüzel kişilerdir. Sağlık Bakanlığı, Facebook, Youtube Kurduğu kablolu/kablosuz sistemler, dial-up, ADSL, ethernet vb. teknolojilerle internete erişim olanağı sağlayan gerçek veya tüzel kişilerdir. TTnet, Superonline Erişim Sağlayıcılar Yer Sağlayıcılar Toplu Kullanım Sağlayıcılar İçerik Sağlayıcılar İnternetin Aktörleri

İlgili Kanuna Göre İnternet kullanımı Kamu kurumları, Internet toplu kullanım sağlayıcı olarak iç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek zorundadır. Kanun gereği tüm internet trafiği 6 ay geriye dönük olarak kayıt altına alınmalıdır. Internet toplu kullanım sağlayıcı olarak konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür. 

BG Politikası Gereğince İnternet Kullanımı Tüm personelin yayınlanmış olan Bilgi Güvenliği Politikasındaki internet kullanım kurallarına riayet etmesi gerekmektedir. İnternet trafiği şahsi kullanıma yönelik olarak müzik video vb. uygulamalarla meşgul edilmemelidir. (youtube, radyo vb..) İnternet üzerinden uygunsuz içeriğe erişim sağlanmamalıdır. (Kumar, Bahis, Çocuk istismarı, Müstehcenlik vb..) Bilgisayarlara kurumun izin vermediği program oyun film vs. indirme ve yükleme (download ve upload) yapılmamalıdır. İnternet erişimi tümüyle kayıt altındadır. Trafik logları yetkili birimlerce incelenebilmektedir.

Kurumsal E-posta Kullanımı @saglik.gov.tr Bakanlığımız e-posta ile yapılan bilgi alışverişlerinin kurumsal e-posta ile yapılmasını istemektedir. Size kurumsal kimlik kazandırır. IOS, Android, Microsoft Phone, Outlook ve Web'ten erişim imkanı sağlamaktadır. Kurumsal uygulamalara giriş kolaylığı sağlamaktadır. (EBYS) Tüm mailler kişilere özel olup üst düzey güvenlik önlemlerine sahiptir.

E-Posta Kullanma Kuralları Çalışanlar e-posta ile uygun olmayan içerikler gönderemezler. Kurum çalışanları resmi mail adreslerinden gelen mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları cevaplandırmalıdır. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve gönderilen e-postalardan sorumludurlar. Kurumdan ayrılan personel e-posta adresini kapattırmalıdır.

Güvenli Parola Kuralları Parola en az 8 karakterden oluşmalıdır Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir. Büyük ve küçük harfler bir arada kullanılmalıdır Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır. Kötü Örnekler 123456 abcdef 1978 11111 13579 aaaaa bbbbbbb 123123 dilek1 dilek1978 Faruk123 qwerty

Şifre – Parola Kullanma Kuralları Güvenli Parola Kuralları Bütün kullanıcı şifreleri (e-posta, bilgisayar vs.) en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi ise her üç ayda birdir. Şifreler kolay erişilebilen yerlere (monitör kenarına, etikete, bilgisayarın üstüne) yazılmamalıdır. Kolayca tahmin edilebilecek örneğin ailedeki kişi isimleri vs. gibi kelimeler kullanılmamalıdır. Kişiye ait şifre başkasıyla paylaşılmamalıdır. (şifreyi evinizin anahtarı gibi düşünün)

Antivirüs Politikası Bütün bilgisayarda kurumun lisanslı antivirüs yazılımı yüklü olmalıdır ve çalışmasına engel olunmamalıdır. Antivirüs yazılımı yüklü olmayan bilgisayar ağa bağlanmamalı ve hemen Bilgi İşlem birimine haber verilmelidir. Hiçbir kullanıcı herhangi bir sebepten dolayı antivirüs programını sistemden kaldıramaz ve başka bir antivirüs yazılımını sisteme kuramaz.  Zararlı programları kurum bünyesinde oluşturmak ve dağıtmak suçtur. (örn; virüsler, solucanlar, truva atı, e-mail bombaları vb)

Genel Kullanım Politikası Kullanıcıların kişisel bilgisayarları üzerine Bilgi İşlem Biriminin onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır. Kurumsal veya kişisel verilerin (hasta bilgileri) gizliliğine ve mahremiyetine özel önem gösterilmelidir. Bu veriler, ilgili mevzuat hükümleri saklı kalmak kaydıyla elektronik veya kağıt ortamında üçüncü kişi ve kurumlara verilemez.

Genel Kullanım Politikası Birimlerde sorumlu Bilgi İşlem Personeli ve ilgili teknik personel bilgisi dışında bilgisayarlar üzerindeki ağ ayarlarları, kullanıcı tanımları, kaynak profilleri vs. üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmez. Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir.

Genel Kullanım Politikası Bilgisayarlara engellenen sitelere girmeye yönelik olan programlar kurulmamalıdır. Bunlar log taraması sırasında tespit edilmektedir. Kuralların uygulanmasından birim amirleri sorumlu olup; kullanıcıların yapmış olduğu kural ihlallerinde kullanıcından başlamak üzere silsile yolu ile sorumluluk bulunmaktadır.

Son kullanıcılar: Son Kullanıcı Güvenliği BİLGİSAYARLARINDA, GÜNCEL ANTİ VİRÜS BULUNMALIDIR. MESAİ BİTİMİNDE BİLGİSAYARLARINI KAPATMALIDIR. BİLGİSAYARLARINDA YA DA SORUMLUSU OLDUKLARI SİSTEMLER ÜZERİNDE USB FLASH BELLEK GİBİ CİHAZLAR BIRAKMAMALIDIR. GÜVENLİK ZAFİYETLERİNE SEBEP OLMAMAK İÇİN, BİLGİSAYAR BAŞINDAN AYRILIRKEN MUTLAKA EKRANLARINI KİLİTLEMELİDİR. BİLGİSAYARLARINDAKİ VE SORUMLUSU OLDUKLARI CİHAZLARDAKİ BİLGİLERİN DÜZENLİ OLARAK YEDEKLERİNİ ALMALIDIR.

İhlal Bildirimi veya Düzeltici Önleyici Bildirim

SONUÇ Artık kurumumuzun Bilgi Güvenliği Politikası var, yönerge ve kurallara göre hareket etmek gerekiyor. Her türden kurumsal bilgiyi üçüncü şahıslarla paylaşmaktan kaçınmak gerekiyor. Çalışanlar kurumsal e-posta kullanımını tercih etmeliler. İnternet ve bilgisayar kullanım kurallarına riayet etmek gerekiyor. Her çalışanın Müdürlüğümüz tarafından hazırlanan Personel Gizlilik Sözleşmesi’ni bir taraf olarak imzalaması gerekiyor. Yeni web sitemizde Bilgi Güvenliği başlığı takip edilmeli

Teşekkürler…