Örnek Bilgi Güvenliği Maddeleri
Bilgi Güvenliği
Bilgi güvenliği, bilgileri izinsiz erişimlerden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden koruma işlemidir.
Aşağıda fırmamımız için almış oldugumuz maddelerden birkaçını görebilirsiniz.
1-Fiziksel erişim
Sistemlerin bulunduğu alanlara giriş ve erişim yetkisi sadece yetkili kişilerle sınırlandırılır, bu yetkiler düzenli olarak gözden geçirilerek güncellenir ve sistemlerin bulunduğu alanlara giriş ve çıkışlar izlenir,kayıt altına alınır.
2-Çevresel tehditlere karşı korunma
*yangın, su baskını, deprem, yıldırım, patlama ve diğer çevresel tehditlere karşı gerekli önlemler.
*bilgi sistemlerine gelen haberleşme ve elektrik hatlarının mümkün olduğunca yer altında olmasını veya kesinti ve zarar görmesini engelleyecek şekilde korunması.
3-Personel ve istihdam
Sorumluluk ve görev verdiğimiz personel hakkında bilgi güvenliğine ilişkin rol ve sorumluluklar açık bir şekilde ifade edilir ve
konusunda yeterliliğe sahip ve gerekli eğitimleri veririz.
4-Ekipman ve çalışma ortamı güvenliği
Havalandırma sisteminin fonksiyon kaybı veya eksikliklerinden kaynaklanabilecek olumsuz etkilere ve yetkisiz erişime karşı korunması,
5-Siber saldırılara yönelik tedbirler
Sunucular, yönlendiricilerin Dos/DDoS saldırıları, zararlı yazılım yayılması gibi siber saldırılara karşı korunması amacıyla, haberleşme hizmetinin tipi de dikkate alınarak, IP adreslerinde, haberleşme portlarında ve uygulama protokollerinde sinyal işleme kontrolü, kullanıcı yetkilendirme ve erişim kontrolleri gibi mekanizmalar kullanırız.
siber saldırılara karşı koordinasyon içerisinde aşağıdaki önlemleri alırız
a) Hedef alınan sisteme yönlendirilen saldırı paketlerinin filtrelenmesi,
b) Saldırılarda kullanılan haberleşme portunun kısıtlanması
c) Zararlı yazılımların yayılmasını sağlayan istenmeyen elektronik mesajların engellenmesi
6-Kullanıcıya yönelik tedbirler
Kullanıcıları bilinçlendirmek ve gerekli önlemlerin alınmasını sağlamak amacıyla zararlı yazılımlar, köle bilgisayar ağları ve muhtemel siber tehditler ile ilgili olarak kullanıcıları bilgilendiririz.
7-Değişim yönetimi
Tesis, ekipman, yazılım ve prosedürlerde değişiklik yapılmasının söz konusu olduğu durumlarda
a) Değişikliklerin tanımlanmasını ve kayıt altına alınması,
b) Değişikliklerin planlanmasını ve test edilmesi,
c) Değişikliklerin etkilerinin analiz edilmesi,
ç) Önerilen değişikliklerin onaylanması,
d) Değişikliklerin yetkili kullanıcılar tarafından yapılmasının sağlanması,
e) Değişikliğe ilişkin bilgilerin ilgililere bildirilmesi,
8-Sistem planlama ve kabulü
Sistem güncellemelerinin ve yeni sürümlerin, kullanıma alınmadan önce mevcut sistemlere ve güvenlik gereksinimlerine uygunluğunun test edilmesini sağlarız.
9-Zararlı kodlara karşı korunma
*Bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla bilgisayar virüsleri, solucanlar, truva atları gibi zararlı kodlara karşı gerekli önlemleri alırız.
*Dış ağlar aracılığıyla dosya veya yazılım indirilmesi ve kullanılmasında uygulanacak güvenlik önlemleri belirleriz
10-Yedekleme
Bir felaket veya hata durumunda ihtiyaç duyulacak tüm bilgi ve yazılımların kurtarılmasına imkân verecek şekilde yedek alırız
11-Zaman senkronizasyonu
Bünyesimizde kullanılan tüm bilgi sistemlerinin belirlenen tutarlı bir zaman kaynağına göre ayarlanmasını ve senkronize şekilde çalışmalarını sağlarız.
12-Sistem kayıt dosyalarının tutulması
İstenmeyen bilgi işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izler ve aşağıdaki hususları kayıt altına alırız
a) Kullanıcı kimliklerini,
b) Oturum açma/kapatma, veri ekleme/silme/değiştirme gibi işlemlerin tarihini, zamanını ve açıklamalarını,
c) Bağlantı sağlanan ekipmanın kimliğini ve yerini,
ç) Başarılı ve reddedilen sistem, veri ve diğer kaynaklara erişim girişimlerinin kayıtlarını,
d) Sistem ayarlarındaki değişiklikleri,
e) Kullanılan özel izinleri ve ayrıcalıkları,
f) Sistem araçlarının ve uygulamalarının kullanımını,
g) Erişilen dosyaları ve erişimin tipini,
ğ) Ağ adreslerini,
h) Erişim kontrol sistemi tarafından üretilen alarmları,
ı) Anti virüs yazılımı, güvenlik duvarı gibi güvenlik sistemlerinin aktif ve pasif hale getirilmelerini,
i) Sistem güvenlik ayarlarına ve kontrollerine ilişkin değişiklikleri veya değişiklik girişimlerini,
j) Sistem yöneticisi tarafından yapılan işlemleri,
k) Kullanıcı veya sistem programları tarafından rapor edilen bilgi işlem ve haberleşme sistemlerine ilişkin hataları.
(l) Sistem yöneticilerinin kendi işlemlerine ilişkin kayıt dosyalarını silmelerini veya değiştirmelerini engelleyecek önlemler alınır.
(m) Kayıt dosyaları değişikliğe ve yetkisiz erişime karşı koruruz
13-Bakım ve onarım
Gerçekleşen arıza ve hatalar ile yapılan düzeltici ve önleyici bakım ve onarım faaliyetlerini gerçekleştirirz
Yazar:Emin Yardım