BİLGİ GÜVENLİĞİ POLİTİKAMIZ
Yeşilay Bilgi Güvenliği Politikamız; bilgi güvenliği ile ilgili ortaya çıkabilecek riskleri ve bu risklerin etkilerini en aza indirmeyi amaçlayan bir yaklaşımı tanımlar. Bu bağlamda;
- Bilgi varlıklarının güvenliğinin gizliliğinin, bütünlüğünün ve erişilebilirliğinin; sürekliliğinin ve kontrolünün sağlanmasını,
- Bilgi varlıklarının kaybolmasından, bozulmasından veya kötüye kullanılmasından doğan risklerin sınırlanmasını, yasa ve yönetmeliklere uygunluğunun sağlanmasını,
- Bilgi varlıklarının, içeriden ya da dışarıdan bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı korunmasını
- Bilgi Güvenliği Yönetim Sistemi’nin yaşatılması için sürekli iyileştirme fırsatlarının değerlendirilmesi çalışmalarını gerçekleştirmeyi amaçlar.
Bilgi Güvenliği Politikamız, Yeşilay bilgilerini veya iş sistemlerini kullanan tüm çalışanları coğrafi konumdan veya iş biriminden bağımsız olarak kapsar. Bu sınıflandırmalara girmeyen ve Yeşilay bilgilerine erişime sahip olan üçüncü şahıs hizmet sağlayıcıların ve bunlara bağlı çalışanların, bu politikanın genel ilkelerine bağlı kalması şarttır.
1. Yasalara Uyum
Yeşilay, bilgi teknolojileri, haberleşme altyapı hizmetleri ile ilgili yayınlanmış kanun, yönetmelik ve tebliğlere göre faaliyetlerini yürütmektedir. Ülkemizde içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usuller 04 Mayıs 2007 tarihli 5651 sayılı Kanunda belirtilmiştir. Yeşilay 6698 numaralı ve 24.03.2016 tarihli Kişisel Verilerin Korunması Kanunu gereği tüm maddelere uyumlu olarak faaliyetlerini yürütür.
2. Bilgi Sınıflandırılması
Yeşilay bünyesinde işlenen ve oluşturulacak verilerin sahipliğinin, sınıflarının belirlenmesi çalışmaları ve yönetimi konuları ele alınır. Bilgilerin farklı kriterlere (kritiklik, yasal zorunluluk, yetkisiz erişim etkileri vb.) sahip olması nedeniyle yeterli seviyede güvenlik önlemlerinin tanımlanması ve uygulanması için bilgilerin, gizlilik, bütünlük ve erişilebilirlik seviyelerine göre değerlendirilir ve sınıflandırılır; sahipleri ve emanetçileri atanır. Bütünlük, gizlilik ve erişilebilirlik seviyelerine göre sınıflandırılan bilgi varlıkları için uygulanması zorunlu minimum güvenlik seviyeleri belirlenir ve bu prensiplere üst yönetimin onayladığı istisnalar hariç tam uyum gösterilir.
3. Kullanıcı Erişim ve Yetkilendirme
Yeşilay’ın tüm kullanıcıları (hassas ve normal yetkili kullanıcılar) “görevlerin ayrılığı prensibi” ve “minimum erişim yetkisi prensibi” ile izlenir. Yetkiler ilgili sistem sahibinin onayına istinaden verilir. Sistem İç Denetim Müdürlüğü tarafından kontrol edilir. Yetkilerin geri alınması için talep ihtiyacı bulunmamaktadır. Yılda en az 1 kere olmak üzere kullanıcı hesabı ve yetki gözden geçirmesi çalışması yapılır. Sistem sahipleri; kullanıcı hesabı ve yetki gözden geçirme çalışmalarında asli sorumludur. Kullanıcı erişim metotlarının belirlenmesinde inkâr edilemezlik ve sorumluluk atamaya izin verecek teknikler kullanılır. Kullanıcı hesapları kişiye özel yaratılır ve ortak kullanıcı hesapları kullanılmaz.
4. Şifre Yönetimi
Şifre Yönetimi standardının amacı, Yeşilay tarafından kullanılan uygulamalar, işletim sistemleri ve veri tabanları için şifre standart ve kurallarının belirlenmesidir. Bu standart, tüm birim ve çalışanları, üçüncü taraf olarak bilgi sistemlerine erişen iç ve dış paydaşlarını, bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını ve ilgili diğer dış kullanıcıları kapsar.
5. Denetim İzi Yönetimi
İşletim sistemleri, veritabanları ve diğer tüm kritik sistemler ve uygulamalar üzerindeki hareketleri; kontrol altına almak, izlemek, analiz etmek ve gerekli önlemleri zamanında alabilmek amacıyla iz kayıtlarının düzenli kontrolü ve takibi yapılır. Söz konusu denetim izlerinde gereksiz hassas ve kritik verinin bulunması engellenir. Denetim izleri üzerinde yapılan işlemler de kayıt altına alınır
6. Bilgi Güvenliği Olayları Yönetimi
Güvenlik sorunları ve bozulmaları güvenlikten sorumlu kişilere acilen raporlanır. Raporlanmış bir güvenlik sorunu öncelikli olarak çözüme kavuşturulmalıdır. Yazılım problemlerinden kaynaklanan sorunlar da aynı şekilde ele alınır. Geçmişte raporlanmış güvenlik sorunlarından ders alınarak aynı sorunların tekrar yaşanmaması sağlanmalıdır. Tüm çalışanlar uygun şekilde güvenlik olaylarını raporlamakla yükümlüdür.
7. Uygun Kullanım
Yeşilay’ın bilgi ve haberleşme sistemleri ve donanımları (İnternet, e-posta, telefon, çağrı cihazları, faks, bilgisayarlar, mobil cihazlar ve cep telefonları da dâhil olmak üzere) Yeşilay işlerinin yürütülmesi için kullanılmalıdır. Bu sistemlerin yasa dışı, rahatsız edici, Yeşilay’ın diğer politika, standart ve rehberlerine aykırı veya Yeşilay’a zarar verecek herhangi bir şekilde kullanımı bu politikanın ihlal edildiği anlamına gelir. Yeşilay bu sistemleri ve bu sistemlerle gerçekleştirilen aktiviteleri izleme, kaydetme ve periyodik olarak denetleme hakkını saklı tutar. Kullanıcı, Yeşilay tarafından sağlanan iletişim sistemlerinin kullanımın sırasında sistemde dile getirdiği tüm fikir, düşünce, ifade ve yazıların kendisine ait olduğunu, Yeşilay’ın hiçbir şekilde sorumlu olmadığını kabul eder.
Kullanıcı, sağlanan iletişim sistemlerinin kullanımı sırasında ilettiği mesajlarda hakaret, pornografi ve diğer yasadışı, toplum ahlak ve anlayışına aykırı herhangi bir amaç güden toplu tanıtım, postalama ve benzeri aktivitelerde bulunamaz.
8. Zararlı ve Lisansı Olmayan Yazılımlara Karşı Koruma
Yeşilay bünyesine ait sistemlerde istenmeyen yazılımlara yönelik çerçeve belirlenir, kullanılan işletim sistemlerinde antivirüs çalışması uygulanmalıdır. Kullanıcı bilgisayarlarının ve bilgi işlem sistemlerinin zararlı yazılımların etkilerinden korunması ve güvenliği sağlanır. Lisanssız yazılımların kullanımı engellenir. Çalışanların sistemler üzerindeki anti virüs uygulamasını kapatması veya kaldırması engellenir. Tüm kullanıcı bilgisayarlarına, sunuculara antivirüs yazılımları kurulmakta ve düzenli taramaların ve güncellemelerin yapılması sağlanır. Zararlı ve lisansı olmayan yazılımların herhangi bir şekilde kurulumu ve kullanımı yasaktır. Kullanıcıların yetkilendirmeleri kısıtlanarak, lisanssız yazılım kurulumuna izin verilmemektedir. Kullanıcılar ihtiyaç duydukları yazılımlar için ilgili birimlerden onay almak zorunluluğundadır. Bilgi sistem ve uygulama yazılımlarındaki zayıflıkların, güvenlik açıklıkların önceden tespit edilerek; gerçekleşmesi muhtemel olan saldırıların, suiistimallerin önüne geçilmesi amacıyla gerekli düzenli taramalar gerçekleştirilir. Bunun sonucunda gerekli yamalar yüklenir.
9. Ağ Güvenliği
Bilgisayar ağına yetkisiz cihazların bağlanması engellenir. Yeşilay sistemleri güvenlik duvarı olarak ilgili ürünleri kullanmaktadır. Aynı ürün ek olarak IPS ve IDS teknolojileri sağlayarak ağ üzerindeki tehditlerden ve izinsiz erişimlerden korunur. Ağ güvenlik cihazları üzerindeki değişiklikler kayıt altına alınır ve onaylanır. Yeni dış bağlantı talepleri Bilgi Teknoloji Müdürlüğü onayıyla işletime alınır.
10. Dış Veri Transferi
Yeşilay dışına yapılan veri transferleri transfer edilen verinin içeriği ile uyumlu olacak şekilde güvenli bir şekilde gerçekleştirilir. İnkâr etmeyi engelleyici önlemler alınır.
11. Fiziksel ve Çevresel Güvenlik
Yeşilay’ın bilgi varlıklarının zarar görmemesi, fiziksel ve çevresel tehditlerden korunması için Yeşilay tarafından kullanılan fiziksel bölgelere yönelik risk değerlendirme yapılır. Önlemler risk değerlendirme sonuçlarına göre belirlenir. Yeşilay sınırları içinde çalışanlar ve ziyaretçiler giriş kartlarını sürekli görünür şekilde taşımakla yükümlüdürler. Giriş kartlarının kaybolması durumunda Yeşilay’a yönelik olarak zafiyet yaratmayacak tasarım kullanılır. Kullanılan cihazlar (bilgisayar, USB vb.) yetkisiz erişime karşı korunur. Ziyaretçiler Yeşilay sınırları içinde yanında nezaretçi olmadan dolaşamazlar. Sistem odalarına giriş ve çıkış kayıt altına alınır. Hassas veri iletiminde kullanılan fiziksel kablolama yapısı yetkisiz müdahalelere karşı fiziksel ve mantıksal önlemler ile korunur. Çevresel faktörlere karşı gerekli önlemler alınır.
12. Temiz Masa
Hassas ve kritik bilgi içeren herhangi bir doküman veya veri depolama cihazı yetkisiz erişimleri engelleyecek şekilde saklanır. Taşınabilir cihazlarda hassas veri transfer süreci dışında saklanmaz. Söz konusu cihazlarda taşınan veri yetkisiz erişime karşı şifrelenir. Hassas veri içeren dokümanlar ancak geri döndürülemez şekilde imha edilir. İş gereksinimleri hariç taşınabilir veri depolama cihazlarının kullanımı engellenir. Kuruluşa ait kritik bilgi içeren dokümanlar başkaları tarafından fark edilmeyecek şekilde muhafaza edilmelidir. Masaüstü doküman sayısını artırmamak için mümkün olduğu kadar elektronik dokümanların yazıcıdan çıktılarının alınmamasına dikkat edilmelidir.
13. Bilgi Güvenliği Risk Yönetimi
Yeşilay bünyesinde bilgi güvenliğinin tam anlamıyla sağlanabilmesi amacıyla ilgili kontrollerin belirlenmesi, bu kontrollerin etkin bir şekilde hayata geçirilmesi ve gerekli aksiyonların alınması amacıyla; bilgi teknolojileri varlıkları ile kritik bilgilerin riskleri değerlendirilir. Bu süreç çerçevesinde bilgi teknolojileri (BT) varlıklarının sınıflandırılması, varlıklara yönelik tehditlerin belirlenmesi, bu tehditlerin ve ilişkili risklerin azaltılmasına yönelik kontrollerin belirlenmesi ve tüm bu adımların uygulanmasına yönelik çalışmalar yürütülür. Bunlara ek olarak; İç Denetim Müdürü tarafından risk değerlendirme çalışmaları ile risk aksiyonlarının takibi yapılır.
14. İş Sürekliliği Yönetimi
Yeşilay bünyesinde Yeşilay’ın sürekliliğini tehdit edebilecek operasyonel süreçlerin aksamasıyla Yeşilay’ı maddi kayıp ile itibar kaybı yaşamasına sebep olabilecek olaylar karşısında hazırlıklı olmak ve en kısa sürede kabul edilebilir bir düzeyde yeniden operasyona başlayabilmek için gereken önlemleri alınır. Yeşilay’ın kritik operasyonel süreçleri belirlenerek “süreklilik stratejisi” tanımlanır. Söz konusu kritik süreçler belirlenirken, Yeşilay’ın kritik bilgileri ile bu bilgilerin üzerinde işletildiği kritik bilgi teknolojileri (BT) servislerine yönelik süreklilik planlamaları yapılır. Bunun yanı sıra olağanüstü hallerde “uzaktan çalışma” altyapısı ve bilgi paylaşım protokolleri belirlenir. Tüm kullanıcılara uzaktan erişim yoluyla işlerini sürdürebilme olanağı sağlanır.
15. Sistem Geliştirme ve Bakım
Bilgi sistemleri dâhilinde talep kapsamına uygun olarak gerçekleştirilen analiz, tasarım, geliştirme, kurulum ve kurulum sonrası gözden geçirme faaliyetleri tanımlanmış süreçlere göre yönetilir. Sistem tasarımında görevler ayrılığı ilkesi ile asgari yetki prensibi uygulanır. Söz konusu faaliyetler gerçekleştirilirken bilgi güvenliğinin etkin bir şekilde sağlanması hususunda, sürece dâhil olan tüm Yeşilay çalışanları aynı derecede sorumludur. Ek olarak, süreç kapsamında, üretim ortamına erişimlerde ve devreye alım sürecinde görevler ayrılığı ilkesi ile asgari yetki prensibine uyulur.
16. Bilgi Güvenliği Eğitimleri
Yeşilay çalışanlarının bilgi güvenliği politikası ile stratejisine yönelik farkındalığını artırmak amacıyla personele, işe girişlerinde ve belirli aralıklarla bilgi güvenliği eğitimleri verilir. Eğitimlere tüm sorumlu personelin katılımı sağlanır ve takip edilir. Eğitimler kapsamında Bilgi Güvenliği Politikası ile ilgili prosedürler ve standartlar tüm çalışanlara aktarılır. Onların bilgi güvenliğinin sağlanması hususunda kendilerine düşen rol ve sorumlulukların bilincinde olması sağlanır.
17. Fikri Mülkiyet Hakları
Fikri mülkiyet hakkı taşıyan ürün, yazılım, sistem, hizmet sahibinden izin alınmadan veya lisansı olmadan kullanılmayacaktır. Yeşilay bünyesinde lisanssız yazılım kullanımı yasaktır. Yeşilay’a ait ürün ve hizmetlerin fikri mülkiyetini korumak için gerekli patentler alınmaktadır.