Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Bilgi Güvenliği Yetkilisi

Benzer bir sunumlar


... konulu sunumlar: "Bilgi Güvenliği Yetkilisi"— Sunum transkripti:

1 Bilgi Güvenliği Yetkilisi
Bilgi Güvenliği Kısa Bilgilendirme Bilgi Güvenliği Yetkilisi Vadullah HEKİM

2 BİLGİ GÜVENLİĞİ NEDİR? Bilgi güvenliği, «bilginin bir varlık olarak hasarlardan korunması , doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda , istenmeyen kişiler tarafından elde edilmesini önleme olarak» tanımlanır. Bilgisayar teknolojilerinde güvenliğin amacı ise kişi ve kurumların bu teknolojilerini kullanırken karşılaşabilecekleri tehdit ve tehlikelerin analizlerinin yapılarak gerekli önlemlerin önceden alınmasıdır.

3 BİLGİ GÜVENLİĞİNDEN KİM SORUMLUDUR
Bilgi güvenliğinden herkes sorumludur. Bu sorumluluklar yasal olarak da ifade edilmiş ve 5651 sayılı kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi amacı ile düzenlenmiştir. Herhangi bir bilgi sisteminde aşağıdaki konumlardan herhangi birisinde iseniz sorumluluğunuz var demektir. 1- Bilginin sahibi 2- Bilgiyi kullanan 3- Bilgi sistemini yöneten

4 Bilgi Güvenliği Kısa Bilgilendirme
28/02/2014 tarihli ve sayılı Bakanlık Makamının onayı ile Bilgi Güvenliği Politikaları Yönergesi 03/03/2014 tarihli ve sayılı Bakanlık Makamının onayı ile Bilgi Güvenliği Politikaları Kılavuzu yürürlüğe girmiştir.

5 Bilgi Güvenliği Kısa Bilgilendirme
Sağlık Bakanlığına ait tüm bilgilerin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirerek korunmasını sağlamak.

6 Bilgi Güvenliği Politikaları Yönergesi
Gizlilik: Bilginin yetkisiz kişilerin eline geçmemesidir. Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir. Erişilebilirlik: Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir olmasıdır.

7 Bilgi Güvenliği Politikaları Yönergesi
Sağlık Bakanlığı Merkez ve Taşra Teşkilatı Türkiye Kamu Hastaneleri Kurumu Merkez ve Taşra Teşkilatı Halk Sağlığı Kurumu Merkez ve Taşra Teşkilatı İlaç ve Tıbbi Cihaz Kurumu Hudut ve Sahiller Genel Müdürlüğü Bu kurumların bilişim kaynaklarını kullanan paydaş ve misafirler

8 Bilgi Güvenliği Kısa Bilgilendirme
Eğitim faaliyetleri işlemlerinin, kurum içerisinde nasıl yürütülmesi gerektiği hususunda bir prosedür geliştirilmelidir. Kurum içerisinde bilgi güvenliği teknik ve farkındalık eğitimleri için yıllık bir plan yapılmalı ve bu planlar çerçevesinde eğitimler gerçekleştirilmelidir. Eğitime katılım formları muhafaza edilmelidir. Yapılan eğitimlerin etkinliği hususunda çeşitli ölçme değerlendirmeleri yapılmalıdır.

9 Parola Güvenliği

10 Güvenli Parola Kuralları
123456 abcdef 1978 11111 13579 aaaaa bbbbbbb 123123 dilek1 dilek1978 Faruk123 qwerty Parola en az 8 karakterden oluşmalıdır Harflerin yanı sıra, rakam ve !, #, %, +, -, *, %" gibi özel karakterler içermelidir. Büyük ve küçük harfler bir arada kullanılmalıdır Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.

11 Güçlü Parola Yöntemleri
Basit bir kelimenin içerisindeki harf veya rakamları benzerleri ile değiştirilerek güçlü bir parola elde edilebilir. Basit bir cümle ya da ifade içerisindeki belirli kelimeler özel karakter veya rakamlarla değiştirilerek güçlü bir parola elde edilebilir

12 Güçlü Parola Yöntemleri
Gmail G Hotmail H Facebook F Yahoo Y

13 2012 yılının hack olayları bazıları
Bilgi Teknolojileri ve İletişim Kurumu / 14 Şubat 2012 Ankara Emniyet Müdürlüğü / 26 Şubat 2012 ……polis ihbar hattına gelen tüm ihbarlar ve ihbar edenlerin kişisel bilgileri internete sızdırıldı. Emniyet Müdürlüğünün şifresinin olduğu uzun süre konuşuldu. Digiturk / 27 Şubat 2012 Emniyet Genel Müdürlüğü Öğrenci Yurtları / 25 Mart 2012 Türkiye genelindeki Emniyet Müdürlükleri / 28 Mart 2012 İçişleri Bakanlığı / 20 Nisan 2012 TTNET, EGM, Adalet Bakanlığı, Yargıtay Başkanlığı / 27 Nisan 2012 TÜBİTAK / 03 Mayıs 2012 Nic.tr / 04 Mayıs 2012 Aile ve Sosyal Politikalar Bakanlığı / 14 Mayıs 2012

14 İnsan Kaynakları Zafiyetleri Yönetimi

15 Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır. Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir. ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında(izin kağıdı gibi) ekranda bulunan kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir.

16 Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir. İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kağıt kesme makinesinda imha edilmelidir.

17 Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır.
Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim etmelidir. Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi ve belgeleri teslim etmelidir. Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade edilmelidir.

18 WEB GÜVENLİĞİ İnternette hemen her alanda bilgi paylaşımı alışveriş bankacılık işlemleri, vergi ödemesi gibi işlemler yapabiliyoruz. Bilgilerimizin ele geçirilmesi için bilgisayarımıza erişilmesi şart değil. İnternet siteleri üzerinden gerçekleştirdiğimiz işlemler sırasında kullandığımız bilgilere ulaşmak da saldırganlar için yeterli olabilir. Bizler nasıl Türkçe, İngilizce gibi dilleri kullanarak anlaşıyorsak, internette de http, ftp, https gibi isimlendirilen protokoller ile veri alışverişi sağlanır.

19 WEB GÜVENLİĞİ Güvenli iletişim yolu:
Normal bir siteye girdiğimizde adres çubuğunda gördüğümüz HTTP başlığı interaktif bankacılık gibi kritik işlem yapılan bir siteye girdiğimizde yerini HTTPS olarak değiştirir. Buradaki «S» güvenli(secure) anlamına gelmektedir. Tarayıcınızın altında bulunan çubukta dakilit ikonu çıkacaktır. Bunların yanı sıra şifreli iletişimlerde (SSL-Secure Socket Layer) sitenin sahip olduğu sertifika ve sertifikanın geçerliliği kontrol edilmelidir.

20 E-posta Güvenliği Politikaları
Spam, zincir, sahte vb. zararlı olduğu düşünülen e-postalara yanıt verilmemelidir. Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın Sistem Yönetimine haber vermelidir. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında başkalarına iletilmeyip, Sistem Yönetimine haber verilmelidir.

21 E-posta Güvenliği Politikaları
Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara SPAM, phishing mesajlar göndermek için kullanılamaz. E-posta gönderiminde konu alanı boş bir e-posta mesajı göndermemelidir. Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.

22 E-posta Güvenliği Politikaları
E-postaya eklenecek dosya uzantıları “.exe”, “.bat” veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak ( zip veya rar formatında) mesaja eklenmelidir. Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir. Hiçbir kullanıcı, gönderdiği e-posta adresinin kimden bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz. Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz

23 E-posta Güvenliği Politikaları
Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir. Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermelidir. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar Sistem Yönetimine haber verilmelidir. Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolasının kırıldığını fark ettiği anda Sistem Yönetimine haber vermeli

24 Bilgi Kaynakları Atık ve İmha Yönetimi
Bakanlık ve Bağlı Kuruluşlar kendi bünyelerinde oluşturacakları arşivden sorumludur. Burada Özel ve Çok Gizli evraklar “Devlet Arşiv Hizmetleri Yönetmeliği” hükümleri gereği oluşturulan “Evrak İmha Komisyonu” ile karar altına alınmalı ve imha edilecek evraklar kırpma veya yakılarak imhaları yapılmalıdır. Bilgi Teknolojilerinin (Disk Storage Veri tabanı dataları vb.) 14 Mart 2005 Tarihli sayılı Resmi Gazete ’de yayınlanmış

25 Bilgi Kaynakları Atık ve İmha Yönetimi
Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır. Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır. Tamamen tahrip edilememiş disk parçalarının delme, kesme makinaları ile kullanılamaz hale getirilmelidir. Hacimsel küçültme işlemi için parçalanmalıdır.

26 İHLAL BİLDİRİMİ VE YÖNETİMİ

27 Bilgi Güvenliği İhlali Nedir?
Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi durumlarda güvenlik ihlali vardır

28 İhlal Bildirim ve Yönetimi
Kurumun bilgi güvenliği yetkilisine bildirilmeli Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin sonlandırılmasını sağlayan uygun bir geri besleme süreci oluşturulmalıdır. Güvenlik olayının oluşması durumunda olay anında raporlanmalıdır.

29 İhlal Bildirim ve Yönetimi
İhlali yapan kullanıcı tespit edilmeli ve ihlalin suç unsuru içerip içermediği belirlenmelidir. Güvenlik ihlaline neden olan çalışanlar, üçüncü taraflarla ilgili resmi bir disiplin sürecine başvurulur. Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor edilir Bilgi sistemi arızaları ve hizmet kayıpları, zararlı kodlar, dos atakları, tamamlanmamış veya yanlış iş verisinden kaynaklanan hatalar, gizlilik ve bütünlük ihlâlleri, bilgi sistemlerinin yanlış kullanımı gibi farklı bilgi güvenliği olaylarını bertaraf edecek tedbirler alınır.

30 Bilgi Güvenliği Olaylarının Değerlendirilmesi
Bilgi güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi ile edinilen tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini önleyecek veya yüksek etkili olayların oluşmasını engelleyecektir. Kanıt toplama; kuruluş içerisinde disiplin faaliyeti için delil toplanırken uygulanacak genel kurallar şunlardır; 1.) Kanıtın mahkemede kullanılıp kullanılamayacağı ile ilgili kabul edilebilirlik derecesi, 2.)Kanıtın niteliği ve tamlığını gösteren ağırlığı. Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, kurum Personel Yönetmeliği gereğince aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulayabilir: 1.) Uyarma, 2.) Kınama, 3.) Para cezası, 4.) Sözleşme feshi.

31 Mal ve Hizmet Alımları Güvenliği
Mal ve hizmet alımlarında İlgili kanun, genelge, tebliğ ve yönetmeliklere aykırı olmayacak ve rekabete engel teşkil etmeyecek şekilde gerekli güvenlik düzenlemeleri Teknik Şartnamelerde belirtilmelidir

32 Mal ve Hizmet Alımları Güvenliği
Gizlilik veya ifşa etmeme anlaşmaları yasal olarak uygulanabilir terimleri kullanarak gizli bilgileri korumanın gerekliliğini ele almalıdır. Gizlilik veya ifşa etmeme anlaşmaları için şu unsurlar dikkate alınmalıdır:

33 Gizlilik Sözleşmeleri
Korunacak bilginin bir tanımı (örneğin; gizli bilgileri), • Gizliliğin süresiz muhafaza edilmesi gereken durumlar da dahil olmak üzere anlaşma süresi, • Anlaşma sona erdiğinde yapılması gereken eylemler, • Gizli bilginin açığa çıkmasını önlemek için sorumluluklar ve imza eylemlerinin belirlenmesi • Gizli bilgilerin nasıl korunması gerektiği, • Gizli bilgilerin kullanım izni ve bilgileri kullanmak için imza hakları, • Gizli bilgileri içeren faaliyetleri izleme ve denetleme hakkı

34 Gizlilik Sözleşmeleri
Gizli bilgilerin ihlal edilmesinin bildirimi ve raporlama prosesi, • İade veya imha anlaşmasına bırakılacak bilgi için terimler, • Bu anlaşmanın ihlali durumunda yapılması beklenen eylemler.


"Bilgi Güvenliği Yetkilisi" indir ppt

Benzer bir sunumlar


Google Reklamları