İÇİŞLERİ BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI

Bilgi İşlem Dairesi Başkanlığı1 /37 22.04.23

İÇİŞLERİ BAKANLIĞIBİLGİ GÜVENLİĞİ POLİTİKALARI

Bilgi Bilgi GüvenliğiGüvenliği

Hülya MARAŞSistem Yönetim Şubesi

Bilgi Güvenliği



Bilgi, diğer önemli ticari varlıklar gibi bir organizasyon için belirli bir

değeri olan varlıktır. Dolayısıyla uygun bir şekilde korunması

gerekir.

BS ISO 27002:2005



- Elektronik Dosya (Yazılım kodları, veri dosyaları)

- Kağıt Belgeler (Basılı materyal, elle yazılan bilgiler, fotoğraflar)

- Kayıtlar (Video kaydı, ses kaydı)

- Sözlü İletişim (Telefon, yüzyüze)

- Yazılı İletişim (E-posta, faks, anlık ileti)



Bilginin; hukuka aykırı, her türlü yetkisiz erişimden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunması işlemidir.


Bilgi güvenliği, 3 temel unsurdan oluşmaktadır.

Gizlilik;Bilginin yetkisiz kişilerce erişilememesidir. Bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.

Bütünlük;Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır. Kazara veya kasıtlı olarak bilginin bozulmamasıdır.

Erişilebilirlik; Bilginin her ihtiyaç duyulduğunda sadece erişim yetkisi olanlar tarafından kullanıma hazır durumda olması demektir.


Veri Bütünlüğünün KorunmasıErişim DenetimiGizliliğin KorunmasıSistem Devamlılığının Sağlanması


Bu politika ile kullanıcıların elektronik ortamlarda haberleşirken, yüksek seviyede bilgi güvenliğinin sağlanması için Kurum e-posta altyapısına yönelik kuralların belirlenmesi ve uygulanması amaçlanmaktadır.

Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar ilgili birime haber vermelidir.

Kullanıcı e-posta hesabına ait parolaları paylaşmamalıdır ve mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidir.

Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır.


6 ay süreyle kullanılmamış e-posta adresleri kullanıcıya haber vermeden kapatılmalıdır.

Kullanıcı hesaplarını, kişisel amaçlarına yönelik kullanmamalıdır.

Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.

Kurumsal E-postalar yetkili kişilerce hukuksal açıdan gerekli görülen yerlerde önceden haber vermeksizin denetlenebilir.


• Kimlik avı (İngilizcesi phishing), kişisel ve finansal bilgileri bir e‑posta iletisi veya web sitesi aracılığıyla elde etmek amacıyla bilgisayar kullanıcılarını kandırmak için kullanılan bir yöntemdir.

Kimlik avı (Phishing) nedir?

Phishing Saldırıları Nasıl Gerçekleşir?

Saldırgan kişiler özellikle bankalar, mail servisleri, alış-veriş siteleri, sosyal paylaşım ağları(Facebook, Twitter, MySpace vb.) gibi arkadaşlık ve anlık sohbet sistemleri, online oyunlar gibi kullanıcı adı ve parola kullanılarak giriş yapılan sistemlerin bir kopyasını hazırlayarak ilk adımı atarlar.

Saldırganlar ellerinde mevcut olan e-posta listelerine veya hedefledikleri kişilere gönderdikleri e-postalarla kurbanlarını hazırladıkları sahte sayfalara yönlendirirler. Kurbanların sahte sayfalara girerek istenen bilgileri paylaşmasıyla saldırı amacına ulaşmış olur.


1) Gönderenin Adresi"Kimden" satırı orijinalini taklit eden resmi görünen bir adres içerir.

Sahte E-posta Nasıl Anlaşılır?

2) Genel Karşılamalar"Sayın Kullanıcı" ifadesinin veya e-posta adresinizin kullanıldığı şahsa yönelik olmayan karşılamalara dikkat edin.

3) Yazım Hataları/Hatalı Dil Bilgisi KullanımıTanınmış şirketler tarafından gönderilen e-postalar neredeyse hiç yazım ve dil bilgisi hatası içermez.

4) Aciliyet Hissi UyandırmaSahte e-postaların birçoğu önemli bilgilerin hemen güncellenmemesi durumunda hesabınızın tehlikede olacağını belirtir.

5) Sahte BağlantılarSahte bağlantılar gerçek gibi görünebilir ancak sizi kandırmaya yöneliktir. E-postadaki bir bağlantıyı tıklamadan önce URL'nin üzerine gidip tarayıcınızdaki URL ile karşılaştırarak bağlantının sizi nereye yönlendireceğini kontrol edin. 6) Ekler

Casus yazılım veya virüs içerebileceğinden, gerçek olduğundan %100 emin olmadıkça eki sakın açmayın.


Bilgisayarınızın güncellemelerini yapmayı ihmal etmeyin. Ayrıca güncel ve kaliteli bir anti virüs programı kullanın.

Kimlik Avı (Phishing) Saldırılarına Karşı Alınması Gereken Güvenlik Önlemleri Nelerdir?

Yasal olmayan veya kaynağı belirsiz yazılımları yüklememek, çalıştırmamak.

Gelen e-posta’nın kimden geldiğinden emin değilseniz dikkate almayınız.

Mail yoluyla gelen her site URL’sine (Adresine) tıklamayınız.


Parolalar e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.

Parola kullanımı kullanıcı hesapları için ilk güvenlik katmanını oluşturmaktadır. Bu politika ile güçlü bir parola oluşturulması, oluşturulan parolanın korunması ve bu parolanın değiştirilme sıklığı hakkında standart oluşturulması amaçlanmaktadır.

Sistem hesaplarına ait parolalar (örnek; root, administrator, enable, vs.) en geç 6(altı) ayda bir değiştirilmelidir.

Kullanıcı hesaplarına ait parolalar (örnek, e-posta, web, masaüstü bilgisayar vs.) en geç 45(kırk beş) günde bir değiştirilmelidir.


Kullanıcı, parolasını başkası ile paylaşmamalı, kâğıtlara ya da elektronik ortamlara yazmamalıdır.

Parola hatırlatma özelliği olan uygulamalarda “parola hatırlama” seçeneği kullanılmamalıdır.


Parolalar genel olarak iki şekilde ele geçirilebilir:

1)Tahmin ederek ya da deneme yanılma yolu ile ele geçirilebilir.2) Parolanızın çalınması ile yani hırsızlık yaparak ele geçirilebilir.

Olası Senaryolar:

1.Tanıdığın bir kişi senin hakkında bildikleriyle parolanı tahmin edebilir. 2.Tanımadığın bir kişi ise herkesin sık kullandığı bilinen, basit parolaları deneyerek şifreni bulabilir. 3.Parolanı bulmak isteyen kişi özel programlar kullanarak sık kullanılan yüzlerce parola örneğini ya da sözlüklerdeki binlerce kelimeyi hızlıca deneyerek parolanı belirleyebilir. 4.İyi korunmayan, yazılı ya da sözlü olarak paylaşılan parolalar, yazılı bulunduğu ortama ulaşılarak ya da kulak misafiri olunarak ele geçirilebilir. 5.Bilgisayar virüsleri gibi zararlı programlar da bilgisayardaki işlemlerini izleyerek parolanı ele geçirebilir.


Güvenli Parola Nasıl Olmalı?

İçerisinde en az 1 tane harf bulunmalıdır.İçerisinde en az 2 tane rakam bulunmalıdır. İçerisinde en az 1 tane özel karakter bulunmalıdır. (@, !,?,^,+,$,#,&,/,{,*,-,],=)Aynı karakterler peş peşe kullanılmamalıdır.Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...)Kullanıcıya ait anlam ifade eden kelimeler içermemelidir. (Aileden birisinin, arkadaşının, bir sanatçının, sahip olduğu bir hayvanın ismi, arabanın modeli vb.)

En az 8 haneli olmalıdır.


Kullanıcının adı ve soyadıalicelik

İçerisinde kullanıcı ismi ve soyismi geçiyor. Ali_celik1234

Kelimenin türeviKalem111

Sözlüklerde bulunan bir kelime. Bunun yanında 8 karakterden az. Kalem

Özel isimMercedes

Çok kullanılan karakter sıraları.Qwerty123

Doğum tarihi ya da önemli bir tarih.13nisan1967

Araç plakası.34bg356

Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir.

antalya

Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. ali123

Kullanıcının soyismi. 8 karakterden az. Sadece harfler

kullanılmış. Özel karakterler, rakamlar kullanılmamış.celik

Kötü Şifre Örnekleri


Kurumun tüm istemcileri ve sunucuları antivirüs yazılımına sahip olmalıdır. Kullanıcı hiçbir sebepten dolayı antivirüs yazılımını bilgisayarından kaldırmamalıdır.

Antivirüs; istemcileri ve sunucuları virüs, solucan, Truva Atı gibi diğer zararlı yazılımlardan korumaktadır. Bu politika ile istemcilerin ve sunucuların virüs algılama ve engelleme standardına sahip olması için gerekliliklerin belirlenmesi amaçlanmaktadır.

İstemcilere ve sunuculara virüs bulaştığı fark edildiğinde etki alanından çıkartılmalıdır .

Antivirüs güncellemeleri antivirüs sunucusu ile yapılmalıdır. Sunucu ve istemci bilgisayarlarının tamamı optik media ve

harici veri depolama cihazlarını antivirüs kontrolünden geçirecek şekilde yapılandırılmalıdır.


Zararlı Programlar Neler Yapabilir?

•Bilgisayarınızdaki bilgileri çalabilir ve başkalarına gönderebilirler.•İşletim sisteminizin veya diğer programlarınızın çalışmamasına, hatalı çalışmasına neden olabilirler.

•Bilgisayarınızdaki dosya / klasörleri silebilir, kopyalayabilir, yerlerini değiştirebilir veya yeni dosyalar ekleyebilirler.


• Yaptığınız her şeyi kaydedebilirler. Klavyede yazdığınız herşey, fare ile yaptığınız herşey gibi.

• Tüm verisiyle diski silebilir, hatta biçimlendirebilirler.

• Saldırganların kullanması için güvenlik açıklıkları oluşturabilirler.Başka zararlı programların bulaşmasına neden olabilirler.• Bilgisayarınız üzerinden başkalarına saldırabilirler.

• Ekranda can sıkıcı veya kötü amaçlı web sitelerine yönlendiren açılır pencereler oluşturabilirler.

• Bilgisayarınızın ya da internetin kaynaklarını kullanır, yavaşlamalara neden olabilirler.


Zararlı kodlar: Kötücül yazılımlar (malware) da sisteminele geçirilmesine aracılık edebilirler:

a) Virüsler: Virüsler, yayılmak için kullanıcı etkileşiminigerektiren zararlı program kodlarıdır.

Virüsler genellikle işletim sistemlerinin ya da yazılım uygulamalarının açıklarından bağımsız olarak çalışırlar.

Virüsler e-posta, veri taşıma ortamları (disket, cd, dvd vb.) ve web sayfaları ile yayılabilir


b) Solucanlar (worm):

Solucanlar yayılmak için sistem ya da ağlardaki açıkları kullanırlar.

Yayılmak için kullanıcı etkileşimine ihtiyaç duymazlar ve sisteme zarar vermektense sisteminizi gizli bir saldırgan haline getirebilirler.

Sisteminizi bir botnet’e dahil eden solucanlar, sisteminizi spam göndermek veya başka bilgisayarlara saldırıda bulunmak amacıyla hacker’lara alet edebilirler.

Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler alınmalıdır.


c) Truva Atları (Trojan)

Görüntüde istenilen fonksiyonları çalıştıran, ancak arka planda kötü amaçlı fonksiyonları da gerçekleştiren yazılımlardır

Bunlar teknik olarak virüs değillerdir ve farkında olmadan kolayca download edilebilirler

Saldırgana sistemin sahibinden daha yüksek ayrıcalıklar tanıyan ve çok tehlikeli sayılacak becerilere sahip olan trojanlar vardır

Truva atları, ücretsiz olarak yüklediğiniz yazılımlarla bir arada da gelebilir


d) Casus yazılımlar (spyware):

Spyware farkında olmadan bir web sitesinden download edilebilen veya herhangi bir üçüncü parti yazılım ile birlikte yüklenebilen kötü amaçlı bir yazılım tipidir.

Genelde, kullanıcının izni olmaksızın kişisel bilgilerini toplar.

Herhangi bir kullanıcı etkileşimi olmaksızın bilgisayar konfigürasyonunu değiştirebilmektedirler.

Çoğunlukla web reklamları ile bütünleştirilmiştir.

En belirgin bulgusu, tarayıcı açılış sayfasının değiştirilmesidir.

Özellikle ücretsiz yazılım araçlarının kurulumlarına dikkat edilmesi gerekmektedir.


e) Botnet: Zombi BilgisayarlarKötü amaçlı yazılımlar tarafından ele geçirilmiş sistemlerdir.

Bu sistemler bir kısır döngü içerisinde sürekli olarak zararlı yazılım yayarlar ve kullanıcıları bunun farkında değildir.

Aynı zamanda bilişim suçları için potansiyel bilgisayarlardır.

Botnet, spam yollamak ve şantaj yapmaya çalışmaktan, devlet ağlarına saldırmaya kadar farklı alanlarda, siber suçlular tarafından saldırıları yürütmek amacıyla kullanılabilir.

Hatta bu yüzden işlemediğiniz suçlar ile ilgili adli makamlarla muhatap bile olabilirsiniz.


• Bilgisayarların en büyük kullanım amacı, aynı zamanda en tehlikeli olanı: Web’de gezinmek.

• Symantec’e göre, geçtiğimiz yıl içinde web tabanlı zararlı kod saldırıları %93 artmış.

• Güvenlik programlarının bu durumda internet bağlantısını, tarayıcıyı yavaşlatmadan incelemeleri gerekiyor.


Kurumun bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvar(lar)ı üzerinden internete çıkmalıdır.

Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir.

Bu politika ile Internet’in kurallarına, etiğe ve yasalara uygun kullanımının sağlanması ve güvenli internet erişimine sahip olması için gereken standartların belirlenmesi amaçlanmaktadır.

Kurumun ihtiyacı doğrultusunda ‘Saldırı Tespit ve Önleme’ sistemleri kullanılmalıdır.

Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır. İstenilmeyen siteler (oyun, kumar, şiddet içeren vs.) yasaklanmalıdır.


SOSYAL MÜHENDİSLİK• Sosyal Mühendislik, normalde

insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır.

Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.”

(Albert Einstein)

• Etkileme ve ikna yöntemlerini kullanırlar.

• Kullandığı en büyük silahı, insanların zafiyetleridir.

• İnsan, güvenliğin en zayıf halkasıdır.


SOSYAL MÜHENDİSLİK

)

• Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür.

• Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki, hiç kuşku uyandırmaz ve kurbanın güvenini sömürür.


SOSYAL MÜHENDİSLİK YÖNTEMLERİ

• Sahte senaryolar uydurmak

• Güvenilir bir kaynak olduğuna ikna etmek (phishing)

• Truva atları

• Güvenilir bilgi karşılığında para, hediye, vs önermek

• Güven kazanarak bilgi edinmek

• Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak


Amaç kurum yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.

Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, bilinen en iyi örnekleridir.

SOSYAL MÜHENDİSLİK


Facebook muhteşem bir sosyal mühendislik kaynağı.


Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir

Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri incelenmelidir

Kurum çöpleri (büro malzemeleri, not kağıtları, bordrolar vs.) tamamen kullanılmaz hale getirilmeli daha sonra atılmalıdır

Sistem yöneticilerinin, kurumsal bilgileri posta listelerinde, arkadaş ortamlarında ve benzeri yerlerde anması önlenmelidir

Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır

SOSYAL MÜHENDİSLİK ÖNLEME YÖNTEMLERİ


Internet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar VPN teknolojisini kullanmalıdırlar.

Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri yürütülen projeler üzerinden otomatik olarak alınmalı, yetkiler ve hesap özellikleri buna göre güncellenmelidir.

Bu politika ile herhangi bir yerden Kurumun bilgisayar ağına erişilebilmesine ilişkin standartların belirlenmesi amaçlanmaktadır.


Kurumun bilgisayar ağına bağlanan bütün erişim cihazları ve ağ arabirim kartları kayıt altına alınmalıdır .

Bu politika ile kablosuz cihazların, gerekli güvenlik tedbirleri alınmaksızın, Kurumun bilgisayar ağına erişiminin engellemesi amaçlanmaktadır.

Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmalıdır. Wi-Fi Protected Access2 (WPA2-kurumsal) şifreleme kullanılmalıdır.

Radyo dalgalarının binanın dışına taşmamasına özen gösterilmelidir.

Erişim Cihazları üzerinden gelen kullanıcılar güvenlik duvarı üzerinden ağa dâhil olmalıdır.


Kullanıcılar bilgi sistemlerini kişisel amaçlarla kullanamaz.

Bilgi İşlem Dairesinin bilgisi ve onayı olmadan bakanlık ağ sisteminde (web hosting, e-posta servisi vb.) sunucu nitelikli bilgisayar bulundurulmaz.

Kullanıcıların günlük aktivitelerini yerine getirebilmesi için bu kuralların iyi bilinmesi ve uygulamanın sorumluluğunu taşıması gerekmektedir.

Kurum; bünyesindeki ağları ve sistemleri periyodik olarak denetleme hakkına sahiptir.

Tüm kurum bilgisayarları, etki alanına dahil edilir.


Oluşturulan envanter tablosunda şu bilgiler olmalıdır: sıra no, bilgisayar adı, bölüm, marka, model, seri no, özellikler, ek aksamlar, işletim sistemi, garanti süresi vs .

Bu tablolar merkezi bir web sunucuda tutulmalı ve belirli aralıklarla güncellenmelidir .

Envanter bilgileri sık sık kontrol edilmelidir. Bu şekilde bilgi eksikliğinin yol açacağı kayıp ve maliyetlere engel olunmalıdır.


Acil durum sorumluları atanmalı ve yetki ve sorumlulukları belirlenmeli ve dokümante edilmelidir.

Sistemler tasarlanırken minimum sürede iş kaybı hedeflenmelidir.

Bu politika ile Kurum çalışanlarının, bilgi güvenliliği ve iş sürekliliği ile ilgili acil bir durum oluştuğunda sorumlulukları dâhilinde gerekli müdahaleyi yapabilmelerine yönelik standartları belirlemesi amaçlanmaktadır.

Bilgi sistemlerinin kesintisiz çalışabilmesi için gerekli önlemler alınmalıdır. Problem durumlarında sistem kesintisiz veya makul kesinti süresi içerisinde felaket ve/veya iş sürekliliği merkezi üzerinden çalıştırılabilmelidir.


Acil durumlar oluştuğunda ilk aranacak numaralar :

•0 506 852 1203 - 1204•0 312 422 4633 – 4634 – 4635 – 4636 – 4637 - 4638


Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binalarda ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanmalı ve erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları teşkil edilmelidir.

Bu politika ile Kurum personeli ve kritik kurumsal bilgilerinin korunması amacıyla sistem odasına, kurumsal bilgilerin bulundurulduğu sistemlerin yer aldığı tüm çalışma alanlarına ve kurum binalarına yetkisiz girişlerin yapılmasının önlemesi amaçlanmaktadır.

Kurum dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi yetkili güvenlik görevlileri gözetiminde gerçekleştirilmelidir.


Kritik bilgilerin bulunduğu alanlara girişler kontrolü akıllı kartlar veya biyometrik sistemler ile yapılmalı ve izlenmelidir.

Personel kimliği ve yetkilerini belirten kartların ve ziyaretçi kartlarının düzenli olarak taşınması sağlanmalıdır.

Kritik sistemler özel sistem odalarında tutulmalıdır.


Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzer felaketlere karşı koruma altına alınmalı ve iklimlendirilmesi sağlanmalıdır.

Fotokopi, yazıcı vs. türü cihazlar mesai saatleri dışında kullanıma kapatılmalı, mesai saatleri içerisinde yetkisiz kullanıma karşı koruma altına alınmalıdır.

Çalışma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması temin edilmelidir.


Kurum bünyesindeki bütün oturum açarak erişilen sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenmeli, dokümante edilmeli ve denetim altında tutulmalıdır.

Bu politika ile Kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarının tanımlanması amaçlanmaktır.

Sistemlere başarılı ve başarısız erişim istekleri düzenli olarak tutulmalı, tekrarlanan başarısız erişim istekleri/girişimleri incelenmelidir.

Kullanıcılardan erişim haklarını anladıklarını ve bu hakları ihlal etmeleri halinde disiplin sürecine veya yasal işleme tabi olacaklarını anladıklarına ilişkin imzalı beyan alınır.


Kritik bilgiye erişim hakkı olan çalışanlar ile gizlilik anlaşmaları imzalanmalıdır.

Çalışanların güvenlik ile ilgili aktiviteleri izlenmelidir.

Bu politika ile Kurum ilgili personelinin seçimi, sorumluluk ve yetkilerinin atanması, eğitilmesi, işten ayrılması, görev değişiklikleri vb konularının güvenlik ile ilgili boyutunun belirlenmesi amaçlanmaktadır.

Bilgi sistemlerinde sorumluluk verilecek kişinin özgeçmişi araştırılmalı, beyan edilen akademik ve profesyonel bilgiler teyit edilmeli, karakter özellikleriyle ilgili tatmin edici düzeyde bilgi sahibi olmak için iş çevresinden ve dışından referans sorulması sağlanmalıdır.

Yetkiler, “görevler ayrımı” ve “en az ayrıcalık” esaslı olmalıdır.


Kurum sistemlerinin tamamı (donanım, uygulama yazılımları, paket yazılımlar, işletim sistemleri) periyodik bakım güvencesine alınmalıdır. Bunun için gerekli anlaşmalar için yıllık bütçe ayrılmalıdır.

Sistem bakımlarının ilgili politika ve standartlar tarafından belirlenmiş kurallara aykırı bir sonuç vermediğinden ve güvenlik açıklarına yol açmadığından emin olmak için periyodik uygunluk ve güvenlik testleri yapılmalıdır.

Bakım politikası ile Kurum bilgi sistemlerinin bakımı ile ilgili kuralların belirlenmesi amaçlanmaktadır.


Tehlike hiç ummadığınız bir anda, hiç ummadığınız bir yerden gelebilir.

Tanımadığınız kişilerden gelen isteklere karşı temkinli davranılmalıdır.

Size özel bilginizi (örneğin parolanızı) kimseyle paylaşmamalıdır.

- Sistem yöneticisi - Yan masada oturan mesai arkadaşınız

Kurumdaki tüm personele periyodik olarak bilgi güvenliği bilinçlendirme eğitimleri verilmelidir.

Kurumunuzda periyodik olarak, sosyal mühendislik saldırı testini de içeren, bilgi güvenliği testleri gerçekleştirilmelidir.

Son Söz


TEŞEKKÜRLER.

İÇİŞLERİ BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI

Documents

Transcript of İÇİŞLERİ BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI