TS ISO/IEC 17799

Transkript

TS ISO/IEC 17799

TÜRK STANDARDI
TURKISH STANDARD
TS ISO/IEC 17799
Kasım 2002
ICS 35.040
BİLGİ TEKNOLOJİSİ - BİLGİ GÜVENLİĞİ YÖNETİMİ İÇİN
UYGULAMA PRENSİPLERİ
Information technology - Code of practice for
security management
information
TÜRK STANDARDLARI ENSTİTÜSÜ
Necatibey Caddesi No.112 Bakanlıklar/ANKARA
−
Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak
gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın
uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz.
−
Bu standardı oluşturan Hazırlık Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini
bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını
şükranla anarız.
Kalite Sistem Belgesi
İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite
Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir.
Türk Standardlarına Uygunluk Markası (TSE Markası)
TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun
olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü’nün
garantisi altında olduğunu ifade eder.
TSEK
Kalite Uygunluk Markası (TSEK Markası)
TSEK Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin henüz Türk Standardı
olmadığından ilgili milletlerarası veya diğer ülkelerin standardlarına veya Enstitü tarafından kabul edilen
teknik özelliklere uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk
Standardları Enstitüsü’nün garantisi altında olduğunu ifade eder.
DİKKAT!
TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun
üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir
garanti söz konusu değildir.
Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir.
TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR.
ICS 35.040
TÜRK STANDARDI
TS ISO/IEC 17799/Kasım 2002
Ön söz
− Bu standard, ISO tarafından kabul edilen, ISO/IEC 17799 (2000) standardı esas alınarak, TSE Bilgi
Teknolojileri ve İletişim Hazırlık Grubu’nca hazırlanmış ve TSE Teknik Kurulu’nun 11 Kasım 2002 tarihli
toplantısında Türk Standardı olarak kabul edilerek yayımına karar verilmiştir.
ICS 35.040
TÜRK STANDARDI
İçindekiler
0
Giriş ........................................................................................................................................................... 1
0.1
Bilgi Güvenliği nedir? .......................................................................................................................... 1
0.2
Bilgi güvenliğine neden gereksinim duyulur?...................................................................................... 1
0.3
Güvenlik gerekleri nasıl kurulur?......................................................................................................... 1
0.4
Güvenlik risklerinin değerlendirilmesi.................................................................................................. 2
0.5
Denetimlerin seçilmesi ........................................................................................................................ 2
0.6
Bilgi güvenliği başlama noktası ........................................................................................................... 2
0.7
Önemli başarı unsurları....................................................................................................................... 3
0.8
Kendi kılavuzlarınızın geliştirilmesi ..................................................................................................... 3
1 Kapsam...................................................................................................................................................... 3
2
3
4
5
6
Terimler ve Tarifler ................................................................................................................................... 3
2.1
Bilgi güvenliği ...................................................................................................................................... 3
2.2
Risk değerlendirmesi........................................................................................................................... 4
2.3
Risk yönetimi ....................................................................................................................................... 4
Güvenlik politikası.................................................................................................................................... 4
3.1
Bilgi güvenliği politikası ....................................................................................................................... 4
3.1.1 Bilgi güvenliği politikası belgesi ....................................................................................................... 4
3.1.2 Gözden geçirme ve değerlendirme ................................................................................................. 4
Örgütsel güvenlik ..................................................................................................................................... 5
4.1
Bilgi güvenliği altyapısı........................................................................................................................ 5
4.1.1 Yönetim bilgi güvenliği forumu......................................................................................................... 5
4.1.2 Bilgi güvenliği düzenlemesi ............................................................................................................. 5
4.1.3 Bilgi güvenliği sorumluluklarının atanması ...................................................................................... 5
4.1.4 Bilgi işleme araçları için yetkilendirme süreci .................................................................................. 6
4.1.5 Uzman bilgi güvenliği tavsiyesi........................................................................................................ 6
4.1.6 Organizasyonlar arasındaki işbirliği................................................................................................. 6
4.1.7 Bilgi güvenliğinin bağımsız gözden geçirilmesi ............................................................................... 7
4.2
Üçüncü taraf erişiminin güvenliği ........................................................................................................ 7
4.2.1 Üçüncü taraf erişiminde risklerin tanımlanması............................................................................... 7
4.2.1.1 Erişim türleri ................................................................................................................................. 7
4.2.1.2 Erişim sebepleri ........................................................................................................................... 7
4.2.1.3 Çalışma alanı anlaşmalı taraflar .................................................................................................. 8
4.2.2 Üçüncü taraf sözleşmelerinde güvenlik gerekleri ............................................................................ 8
4.3
Dışarıdan kaynak sağlama.................................................................................................................. 9
4.3.1 Dışarıdan kaynak sağlama sözleşmelerindeki güvenlik gerekleri..................................................... 9
Varlık sınıflandırması ve denetimi .......................................................................................................... 9
5.1
Varlıklar için sorumluluk ...................................................................................................................... 9
5.1.1 Varlıkların Envanteri ...................................................................................................................... 10
5.2
Bilgi Sınıflandırması .......................................................................................................................... 10
5.2.1 Sınıflandırma kılavuzları ................................................................................................................ 10
5.2.2 Bilgi etiketleme ve işleme .............................................................................................................. 11
Personel güvenliği.................................................................................................................................. 11
6.1
İş tanımlarındaki ve kaynaklardaki güvenlik...................................................................................... 11
6.1.1 İş sorumluluklarına güvenliğin dahil edilmesi ................................................................................ 11
6.1.2 Personel eleme ve personel politikası........................................................................................... 11
6.1.3 Gizlilik anlaşmaları......................................................................................................................... 12
6.1.4 İşe alma koşulları ve şartları.......................................................................................................... 12
6.2
Kullanıcı eğitimi ................................................................................................................................. 12
6.2.1 Bilgi güvenliği eğitimi ve öğretimi................................................................................................... 12
6.3
Güvenlik arızalarına ve bozulmalarına cevap verilmesi.................................................................... 13
6.3.1 Güvenlik arızalarının raporlanması ............................................................................................... 13
6.3.2 Güvenlik zayıflıklarının raporlanması ............................................................................................ 13
6.3.3 Yazılım bozulmalarının raporlanması............................................................................................ 13
6.3.4 Arızalardan öğrenmek ................................................................................................................... 13
6.3.5 Disiplin süreci................................................................................................................................. 14
ICS 35.040
7
TÜRK STANDARDI
Fiziki ve çevresel güvenlik .................................................................................................................... 14
7.1
Güvenli bölgeler ................................................................................................................................ 14
7.1.1 Fiziki güvenlik çevresi.................................................................................................................... 14
7.1.2 Fiziki giriş denetimleri ...................................................................................................................... 14
7.1.3 Bürolar, odalar ve araçların güvenlik altına alınması .................................................................... 14
7.1.4 Güvenli alanlarda çalışmak ........................................................................................................... 15
7.1.5 Ayrılmış dağıtım ve yükleme alanları ............................................................................................ 15
7.2
Teçhizat güvenliği ............................................................................................................................. 16
7.2.1 Donanım yerleştirilmesi ve koruma ............................................................................................... 16
7.2.2 Güç kaynakları ................................................................................................................................ 16
7.2.3 Kablo güvenliği .............................................................................................................................. 17
7.2.4 Donanım bakımı ............................................................................................................................ 17
7.2.5 Çevre dışı teçhizatların güvenliği................................................................................................... 17
7.2.6 Teçhizatların güvenli düzenlenmesi ve tekrar kullanımı................................................................ 17
7.3
Genel denetimler............................................................................................................................... 18
7.3.1 Temiz masa ve temiz ekran politikası ........................................................................................... 18
7.3.2 Teçhizatların kaldırılması............................................................................................................... 18
8 İletişim ve İşletim Yönetimi ................................................................................................................... 18
8.1
İşletim Prosedürleri ve sorumlulukları ............................................................................................... 18
8.1.1 Yazılı İşletim Prosedürleri................................................................................................................ 18
8.1.2 İşletim Değişiklik Odası ................................................................................................................. 19
8.1.3 Olay Yönetim Prosedürleri .............................................................................................................. 19
8.1.4 Görevlerin Ayrılması ...................................................................................................................... 20
8.1.5 Geliştirme ve İşletim Tesislerinin Ayrılması................................................................................... 20
8.1.6 Dış Tesislerin Yönetimi.................................................................................................................. 21
8.2
Sistem Planlama ve Kabul Etme....................................................................................................... 21
8.2.1 Kapasite Planlama......................................................................................................................... 21
8.2.2 Sistemin Kabulü............................................................................................................................. 21
8.3
Kötü Niyetli Yazılımlara Karşı Koruma.............................................................................................. 22
8.3.1 Kötü Niyetli Yazılımlara Karşı Kontroller ....................................................................................... 22
8.4
Ortamın Muhafazası.......................................................................................................................... 23
8.4.1 Bilgi yedeklemesi........................................................................................................................... 23
8.4.2 İşletmen Kayıtları........................................................................................................................... 23
8.4.3 Hata Kaydı Tutulması .................................................................................................................... 23
8.5
Ağ Yönetimi ....................................................................................................................................... 23
8.5.1 Ağ Kontrolleri ................................................................................................................................. 24
8.6
Bilgi ortamı yönetimi ve güvenlik....................................................................................................... 24
8.6.1 Çıkarılabilir bilgisayar ortamının yönetimi...................................................................................... 24
8.6.2 Bilgi ortamının yok edilmesi........................................................................................................... 24
8.6.3 Bilgi yönetim işlemleri .................................................................................................................... 25
8.6.4 Sistem belgelendirmesi güvenliği .................................................................................................. 25
8.7
Bilgi ve yazılım değiş tokuşu ............................................................................................................. 25
8.7.1 Bilgi ve yazılım değişim anlaşmaları ............................................................................................. 25
8.7.2 Nakil esnasındaki bilgi ortamının güvenliği ................................................................................... 26
8.7.3 Elektronik ticaret güvenliği............................................................................................................... 26
8.7.4 Elektronik postaların güvenliği....................................................................................................... 27
8.7.4.1 Güvenlik tehlikeleri..................................................................................................................... 27
8.7.4.2 Elektronik posta politikası .......................................................................................................... 27
8.7.5 Elektronik ofis sistemlerinin güvenliği............................................................................................ 27
8.7.6 Halka açık sistemler ...................................................................................................................... 28
8.7.7 Bilgi değiş tokuşunun diğer şekilleri .............................................................................................. 28
9 Erişim denetimi....................................................................................................................................... 28
9.1
Erişim denetimi için iş gerekleri........................................................................................................ 28
9.1.1 Erişim denetimi politikası ............................................................................................................... 29
9.1.1.1 Politika ve iş gerekleri ................................................................................................................ 29
9.1.1.2 Erişim denetimi kuralları............................................................................................................. 29
9.2
Kullanıcı erişimi yönetimi................................................................................................................... 29
9.2.1 Kullanıcı kaydı ............................................................................................................................... 29
9.2.2 Ayrıcalık yönetimi .......................................................................................................................... 30
9.2.3 Kullanıcı parola yönetimi ............................................................................................................... 30
9.2.4 Kullanıcı erişim haklarının gözden geçirilmesi .............................................................................. 30
ICS 35.040
TÜRK STANDARDI
9.3
Kullanıcı sorumlulukları ..................................................................................................................... 31
9.3.1 Parola kullanımı............................................................................................................................. 31
9.3.2 Kullanıcısı belirlenmemiş teçhizat ................................................................................................. 31
9.4
Ağ erişimi denetimi............................................................................................................................ 32
9.4.1 Ağ hizmetlerinin kullanılmasına ilişkin politikalar........................................................................... 32
9.4.2 Zorunlu yol .................................................................................................................................... 32
9.4.3 Harici bağlantılar için kullanıcı kimliği doğrulaması....................................................................... 33
9.4.4 Düğüm kimlik doğrulaması ............................................................................................................ 33
9.4.5 Uzak tanılama bağlantı noktası koruması ..................................................................................... 33
9.4.6 Ağlardaki ayrım.............................................................................................................................. 33
9.4.7 Ağ bağlantısı denetimi ................................................................................................................... 34
9.4.8 Ağ yönlendirme denetimi ............................................................................................................... 34
9.4.9 Ağ hizmetlerinin güvenliği.............................................................................................................. 34
9.5
İşletim sistemi erişim denetimi .......................................................................................................... 34
9.5.1 Otomatik terminal tanımlaması...................................................................................................... 34
9.5.2 Terminal oturuma giriş işlemleri..................................................................................................... 35
9.5.3 Kullanıcı tanımlaması ve doğrulanması ........................................................................................ 35
9.5.4 Parola yönetim sistemi .................................................................................................................. 35
9.5.5 Sistem yardımcı programlarının kullanılması ................................................................................ 36
9.5.6 Kullanıcıları korumaya alma uyarısı .............................................................................................. 36
9.5.7 Terminal zaman aşımı ................................................................................................................... 36
9.5.8 Bağlantı süresinin sınırlanması ..................................................................................................... 36
9.6
Uygulama erişimi denetimi ................................................................................................................ 37
9.6.1 Bilgi erişimi kısıtlaması .................................................................................................................. 37
9.6.2 Duyarlı sistem yalıtımı ................................................................................................................... 37
9.7
Sistem erişiminin gözlenmesi ve kullanımı ....................................................................................... 37
9.7.1 Olay kayıtlarının tutulması ............................................................................................................. 38
9.7.2 Sistem kullanımının gözlenmesi .................................................................................................... 38
9.7.2.1 Yöntemler ve risk alanları .......................................................................................................... 38
9.7.2.2 Risk etkenleri ............................................................................................................................. 38
9.7.2.3 Olayları günlükleme ve gözden geçirme.................................................................................... 38
9.7.3 Saat vurusu senkronizasyonu ....................................................................................................... 39
9.8
Mobil bilgi işlem ve uzaktan çalışma ............................................................................................. 39
9.8.1 Mobil bilgi işlem ............................................................................................................................. 39
9.8.2 Uzaktan çalışma ............................................................................................................................ 40
10 Sistem Geliştirilmesi ve İdamesi........................................................................................................... 40
10.1 Sistem güvenlik gerekleri .................................................................................................................. 40
10.1.1 Güvenlik gereklerinin analizi ve özelleştirilmesi......................................................................... 41
10.2 Uygulama sistemlerinde güvenlik...................................................................................................... 41
10.2.1 Girdi verilerin geçerli kılınması................................................................................................... 41
10.2.2 İç işleyişin kontrolü..................................................................................................................... 41
10.2.2.1 Risk alanları............................................................................................................................... 41
10.2.2.2 Denetimler ve kontroller ............................................................................................................ 42
10.2.3 Mesaj kimliğinin doğrulanması................................................................................................... 42
10.2.4 Çıktı verilerinin geçerli kılınması ................................................................................................ 42
10.3 Kriptografik kontroller ........................................................................................................................ 43
10.3.1 Kriptografik kontrollerin kullanımına ilişkin politika .................................................................... 43
10.3.2 Şifreleme .................................................................................................................................... 43
10.3.3 Sayısal imzalar........................................................................................................................... 43
10.3.4 İnkar edememe servisleri........................................................................................................... 44
10.3.5 Anahtar Yönetimi ....................................................................................................................... 44
10.3.5.1 Kriptografik anahtarların korunması .......................................................................................... 44
10.3.5.2 Standardlar, prosedürler ve yöntemler....................................................................................... 44
10.4 Sistem dosyalarının güvenliği ........................................................................................................... 45
10.4.1 Operasyonel yazılımın kontrolü..................................................................................................... 45
10.4.2 Sistem test verilerinin korunması............................................................................................... 45
10.4.3 Program kaynak kütüphanesine erişimin kontrolü ........................................................................ 46
10.5 Geliştirme ve destek süreçlerinde güvenlik....................................................................................... 46
10.5.1 Değişim kontrol işlemleri ............................................................................................................ 46
10.5.2 İşletim sistemi değişiklerinin teknik olarak gözden geçirilmesi .................................................. 47
ICS 35.040
TÜRK STANDARDI
10.5.3 Yazılım paketlerine yapılacak değişiklik kısıtlamaları ................................................................... 47
10.5.4 Örtülü kanallar ve Truva kodu.................................................................................................... 47
10.5.5 Dış kaynaklı yazılım geliştirme ...................................................................................................... 47
11 Ticari süreklilik yönetimi ....................................................................................................................... 48
11.1 Ticari süreklilik yönetiminin ilkeleri .................................................................................................... 48
11.1.1 Ticari süreklilik yönetim süreci ................................................................................................... 48
11.1.2 Ticari süreklilik ve etki çözümlemesi.......................................................................................... 48
11.1.3 Süreklilik planlarının yazılması ve uygulanması ........................................................................ 48
11.1.4 Ticari süreklilik planlama çerçevesi ........................................................................................... 49
11.1.5 Ticari süreklilik planlarının test edilmesi, bakımı ve yeniden değerlendirilmesi......................... 49
11.1.5.1 Planların test edilmesi ............................................................................................................... 49
11.1.5.2 Planların bakımı ve yeniden değerlendirilmesi.......................................................................... 49
12 Uyum........................................................................................................................................................ 50
12.1 Yasal gereksinimlerle uyum .............................................................................................................. 50
12.1.1 Uygulanabilir kanunların tanımlanması...................................................................................... 50
12.1.2 Fikri mülkiyet hakları (IPR)......................................................................................................... 50
12.1.2.1 Kopya hakkı............................................................................................................................... 50
12.1.2.2 Yazılım kopya hakkı .................................................................................................................. 50
12.1.3 Organizasyon kayıtlarının korunması ........................................................................................ 51
12.1.4 Verinin korunması ve kişisel bilgilerin gizliliği ............................................................................ 51
12.1.5 Bilgi işlem birimlerinin yanlış kullanıma karşı korunması........................................................... 51
12.1.6 Kriptografik kontrollerin düzenlenmesi .......................................................................................... 52
12.1.7 Kanıtların toplanması ................................................................................................................. 52
12.1.7.1 Kanıt için kurallar....................................................................................................................... 52
12.1.7.2 Kanıtın akla uygunluğu.............................................................................................................. 52
12.1.7.3 Kanıtın kalite ve bütünlüğü ........................................................................................................ 52
12.2 Güvenlik politikası ve teknik uyumun gözden geçirilmesi ................................................................. 52
12.2.1 Güvenlik politikalarına uyum ...................................................................................................... 53
12.2.2 Teknik uyum kontrolü................................................................................................................. 53
12.3 Sistem denetleme hususları.............................................................................................................. 53
12.3.1 Sistem denetleme kontrolleri ......................................................................................................... 53
12.3.2 Sistem denetleme araçlarının korunması .................................................................................. 53
Dizin İngilizce Dizin ....................................................................................................................................... 62
ICS 35.040
TÜRK STANDARDI
Bilgi teknolojisi Bilgi güvenliği yönetimi için uygulama prensipleri
0
Giriş
0.1 Bilgi güvenliği nedir?
Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması
gereken bir varlıktır. Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari
fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur.
Bilgi birçok biçimde bulunabilir. Kağıt üzerine yazılmış ve basılmış olabilir, elektronik olarak saklanmış
olabilir, posta yoluyla veya elektronik imkanlar kullanılarak gönderilebilir, filmlerde gösterilebilir veya karşılıklı
konuşma sırasında sözlü olarak ifade edilebilir. Bilgi hangi biçimi alırsa alsın veya paylaşıldığı veya
toplandığı hangi anlama gelirse gelsin her zaman uygun bir şekilde korunmalıdır. Bilgi güvenliği, bu
standardda aşağıdakilerin korunması olarak tanımlanır:
a) Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmek;
b) Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etmek;
c) Elverişlilik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişebileceklerini garanti
etmek.
Bilgi güvenliği, politikalar, uygulamalar, yöntemler, örgütsel yapılar ve yazılım fonksiyonları gibi bir dizi uygun
denetimi gerçekleştirme aracılığıyla sağlanır. Bu denetimler, işletmenin belirli güvenlik hedeflerinin
karşılandığını garanti altına almak için kurulmalıdır.
0.2 Bilgi güvenliğine neden gereksinim duyulur?
Bilgi ve destek süreçleri, sistemler ve bilgisayar ağları önemli ticari varlıklardır. Bilginin gizliliği, güvenilirliği ve
elverişliliği; rekabet gücünü, nakit akışını, karlılığı, yasal yükümlülükleri ve ticari imajı korumak ve sürdürmek
için zorunlu ve gerekli olabilir.
Giderek işletmeler ve sahip oldukları bilgi sistemleri ve ağları bilgisayar destekli sahtekarlık, casusluk,
sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerle karşı karşıyadırlar.
Bilgisayar virüsleri, bilgisayar korsanları ve hizmet saldırıları gibi yıkıcı kaynaklar daha yaygın, daha hırslı ve
daha karmaşık hale gelmeye başlamıştır.
Bilgi sistemlerine ve hizmetlerine bağımlılık, işletmelerin güvenlik tehditlerine karşı daha savunmasız olduğu
anlamına gelmektedir. Genel ve özel ağların birbiriyle bağlantısı ve bilgi kaynaklarının paylaşımı, erişim
denetimini oluşturmadaki zorlukları arttırmaktadır. Dağıtılmış bilgi işleme olan eğilim, merkezi, uzman
denetimin etkinliğini zayıflatmıştır.
Bilgi sistemleri henüz yeterli güvenlik seviyesinde tasarlanmamıştır. Teknik olanaklar aracılığıyla ulaşılabilen
güvenlik sınırlıdır ve uygun yönetim ve yöntemlerle desteklenmelidir. Hangi denetimlerin yer alacağının
tanımlanması, özenli planlamayı ve detaylara dikkati gerektirir. Bilgi güvenliği yönetimi en az, tüm işletme
çalışanlarının katılımını gerektirir. Aynı zamanda tedarikçilerin, müşterilerin ve ortakların da katılımına
gereksinim duyulur. İşletme dışından uzman tavsiyelere gerek duyulabilir. Bilgi güvenliği denetimleri, eğer
şartların ve tasarım aşamasının gereklerinde birleştirilirse çok daha ucuz ve etkili olur.
0.3 Güvenlik gerekleri nasıl kurulur?
Bir işletmenin güvenlik gereklerini tanımlaması bir zorunluluktur. Mevcut üç ana kaynak vardır.
Birinci kaynak, işletme için varolan risklerin değerlendirilmesinden ortaya çıkar. Risk değerlendirmesi
aracılığıyla, varlıkların karşı karşıya oldukları tehditler tanımlanır, olayların ortaya çıkma ihtimallerine karşı
varolan savunma zayıflıkları ölçülür ve etkilenme ihtimalleri hesaplanır.
İkinci kaynak, bir işletmenin, ticari alışverişte bulunduğu ortaklarının, anlaşmalı taraflarının ve hizmet
sağlayıcıların tatmin olması gereken, yasal, kanuni, düzenleyici ve sözleşme ile ilgili gereklerdir.
1
ICS 35.040
TÜRK STANDARDI
Üçüncü kaynak, belirli ilkeler ve hedefler dizisi ve bir işletmenin faaliyetlerini desteklemek için geliştirdiği bilgi
işleme gerekleridir.
0.4 Güvenlik risklerinin değerlendirilmesi
Güvenlik gerekleri, güvenlik risklerinin sistemli bir değerlendirmesi aracılığıyla tanımlanır. Denetim
harcamaları, güvenlik başarısızlıklarından ortaya çıkma ihtimali olan iş hasarlarına karşı dengelenmelidir.
Risk değerlendirmesi teknikleri, tüm işletmeye veya işletmenin bir kısmına olduğu gibi bireysel bilgi
sistemlerine, belirli sistem bileşenlerine veya kullanışlı, gerçekçi ve faydalı hizmetlere uygulanabilir.
Risk değerlendirmesine ait sistemli unsurlar şunlardır:
a) Bilgi ve diğer kaynakların gizlilik, bütünlük ve elverişlilik kayıplarının olası sonuçlarını dikkate alan bir
güvenlik başarısızlığından ortaya çıkma ihtimali olan iş hasarları;
b) Hüküm süren tehditlerin ve savunmasızlıkların ve güncel olarak gerçekleştirilen denetimlerin ışığı altında
olan bir başarısızlığın gerçekçi ihtimali.
Bu değerlendirmenin sonuçları, bilgi güvenliği risklerini yönetmek ve bu risklere karşı korunmak üzere
seçilmiş denetimleri gerçekleştirmek için uygun yönetim eylemlerinin ve önceliklerinin belirlenmesine ve yol
göstermeye yardımcı olacaktır. Risklerin değerlendirilmesi ve denetimlerin seçilmesi sürecinin, işletmenin
veya bireysel bilgi sistemlerinin farklı bölümlerini kapsaması için, sayısız kez yapılması gerekebilir.
Güvenlik risklerinin ve gerçekleştirilen denetimlerin belirli aralıklarla gözden geçirilmesi aşağıdakiler için
önemlidir:
a) İş gerekleri ve önceliklerindeki değişiklikleri dikkate almak;
b) Yeni tehditler ve savunmasızlıklar üzerinde düşünmek;
c) Denetimlerin etkili ve uygun olarak sürdüğünü teyit etmek;
Gözden geçirmeler, önceki değerlendirmelerin sonuçlarına ve yönetimin kabul etmek üzere hazırlandığı
değişen risk seviyelerine bağlı olarak, farklı seviyelerdeki yoğunluklarda yapılmalıdır. Risk değerlendirmeleri
çoğu kez önce yüksek seviyede, yüksek risk alanlarındaki kaynaklara öncelik vererek ve sonra daha
detaylandırılmış seviyede belirli risklere yönelmek üzere gerçekleştirilir
0.5 Denetimlerin seçilmesi
Bir kere güvenlik gerekleri tanımlandığında, risklerin kabul edilebilir seviyeye düşürüldüğünü garanti etmek
için denetimler seçilmeli ve gerçekleştirilmelidir. Denetimler, bu belgeden veya diğer denetim dizilerinden
veya uygun olarak belirli gereksinimleri karşılamak üzere tasarlanmış yeni denetimlerden seçilebilir. Riskleri
yönetmenin birçok değişik yolu vardır ve bu belge en yaygın yaklaşımlarla ilgili örnekler sunar. Bununla
birlikte, bazı denetimlerin her bilgi sistemine veya ortamına uygun olmadığını ve tüm işletme için belki de
kullanışlı olmayacağını kabul etmek gereklidir. Örnek olarak, Madde 8.1.4 görevlerin, sahtekarlıkları ve
hataları engellemek için nasıl ayrılabileceğini açıklar. Daha küçük işletmeler için, tüm görevleri ayırmak
mümkün olmayabilir ve aynı denetim amacına ulaşmak için belki başka yollar gereklidir. Başka bir örnek,
Madde 9.7 ve Madde 12.1 sistem kullanımının nasıl gözlendiğini ve nasıl bulgu toplandığını açıklar.
Açıklanan denetimler, örneğin olay kaydetmek, müşterilerin gizliliğini veya çalışma ortamındaki gizliliği
korumak gibi yürürlükte olan yasalarla çelişki oluşturabilir.
Denetimler, düşürülen risklerle ve bir güvenlik kırılması oluşursa meydana gelebilecek olası kayıplarla ilişkili
gerçekleşmenin maliyetine dayalı olarak seçilmelidir. Şöhret, ün kaybı gibi parasal olmayan unsurlar da göz
önüne alınmalıdır.
Bu belgedeki bazı denetimler, bilgi güvenlik yönetimi için yol gösterici prensipler olarak ve birçok işletmede
uygulanabilir olarak ele alınmalıdır. Bu denetimler, “Bilgi güvenliği başlama noktası” başlığı altında aşağıda
daha detaylı olarak açıklanmıştır.
0.6 Bilgi güvenliği başlama noktası
Bir dizi denetim, bilgi güvenliğini gerçekleştirmek için iyi bir başlangıç noktası sağlayan kılavuz prensipler
olarak ele alınabilir. Bunlar ya zorunlu yasal yükümlülük gereklerine dayanır ya da bilgi güvenliği için olan en
yaygın ve iyi uygulamalar olarak düşünülür.
2
ICS 35.040
TÜRK STANDARDI
Yasal yükümlülük bakış açısından, bir işletme için gerekli olan denetimler aşağıdakileri içerir:
a) Kişisel bilgilere ait veri koruma ve gizlilik (Madde 12.1.4).
b) İşletmeye ait kayıtları korumak (Madde 12.1.3);
c) Fikri mülkiyet hakları (Madde 12.1.2);
Bilgi güvenliği için olan en yaygın ve iyi uygulamalar olduğu düşünülen denetimler aşağıdakileri içerir:
a)
b)
c)
d)
e)
Bilgi güvenliği politikası belgesi (Madde 3.1);
Bilgi güvenliği sorumluluklarının ayrılması (Madde 4.1.3);
Bilgi güvenliği öğretimi ve eğitimi (Madde 6.2.1);
Güvenliğe bağlı olayları raporlama (Madde 6.3.1);
İş sürekliliği yönetimi (Madde 11.1).
Bu denetimler birçok işletmeye ve bir çok ortamda uygulanabilir. Şuna dikkat edilmelidir ki, bu belgedeki
birçok denetim önemli olmasına rağmen, her kontrolün uygunluğu işletmenin karşı karşıya olduğu belirli
risklerin ışığında belirlenmelidir. Bundan dolayı, yukarıdaki yaklaşım iyi bir başlangıç noktası olarak
düşünülse bile, risk değerlendirmesine dayalı denetim seçiminin yerini almaz.
0.7 Önemli başarı unsurları
Deneyimler şunu göstermiştir ki, bir işletme içersindeki başarılı bilgi güvenliğinin gerçekleşmesinde çoğu kez
aşağıdaki unsurlar önemlidir:
a)
b)
c)
d)
e)
f)
g)
h)
İş hedeflerini yansıtan güvenlik politikası, hedefleri ve faaliyetleri;
İşletmeye ait kültür içinde devam eden gerçekleşen güvenliğe bir yaklaşım;
Yönetimden görünür destek ve bağlılık;
İyi bir güvenlik gerekleri, risk değerlendirmesi ve risk yönetimi anlayışı;
Güvenliğin, tüm yöneticilere ve çalışanlara etkili bir biçimde pazarlanması. ;
Tüm çalışanlara ve anlaşmalı taraflara, bilgi güvenliği politika ve standardları üzerine kılavuzluk dağıtımı;
Uygun öğretim ve eğitim sağlanması;
Bilgi güvenliği yönetiminin performansını ve gelişimi için geribildirim önerilerini değerlendirmek üzere
kullanılan derin ve dengeli bir ölçüm sistemi;
0.8 Kendi kılavuzlarınızın geliştirilmesi
Bu uygulama prensibi, işletmeye özel kılavuz geliştirmek için bir başlangıç noktası olarak sayılabilir. Bu
uygulama prensibi içindeki tüm kılavuz ve denetimler belki uygulanabilir olmayabilir. Bundan başka, bu
belgede olmayan ilave denetimler belki de gerekebilir. Bu olduğunda, denetçiler ve iş ortakları tarafından
kontrolü kolaylaştıracak dipnotları elde tutmak yararlı olabilir.
1
Kapsam
Bu standard işletmeler içersinde bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kişilerin
kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsar. İşletme içersinde, güvenlik standardları ve
etkili güvenlik yönetimi uygulamaları geliştirmek için, yaygın bir temel ve iş ilişkilerinde güven sağlamak
amaçlanır. Bu standardlar tavsiyelere, kanunlara ve yönetmeliklere uygun olarak seçilmelidir.
2
Terimler ve tarifler
Bu belgenin amaçları için, aşağıdaki tarifler uygulanır.
2.1 Bilgi güvenliği
Bilginin gizliliğinin, güvenilirliğinin, ve elverişliliğinin korunması.
- Gizlilik
Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi.
- Bütünlük
Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi.
- Elverişlilik
Yetkilendirilmiş kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin
garanti edilmesi.
3
ICS 35.040
TÜRK STANDARDI
2.2 Risk değerlendirmesi
Bilgiye ve bilgi işleme vasıtalarına karşı varolan tehditlerin değerlendirilmesi, bilgi üzerine etkileri, bilginin
yaralanabilirliği ve bunların ortaya çıkma olasılıkları.
2.3 Risk yönetimi
Bilgi sistemlerini etkileyebilecek olan güvenlik risklerinin, uygun bir maliyette tanımlanması, kontrol edilmesi
ve en aza düşürülmesi veya ortadan kaldırılması süreci.
3
Güvenlik politikası
3.1 Bilgi güvenliği politikası
Amaç: Bilgi güvenliği için idarenin yönlendirilmesi ve desteğinin sağlanması.
Yönetim, tüm işletme içinde bilgi güvenliğine ilişkin açık bir politika ortaya koymalı ve bunun için destek
vermeli ve bağlılık göstermeli, bilgi güvenliği politikasını herkese bildirmeli ve sürekliliğini sağlamalıdır.
3.1.1 Bilgi güvenliği politikası belgesi
Bir politika belgesi, yönetim tarafından onaylanmalı, tüm çalışanlara uygun olarak yayınlanmalı ve
bildirilmelidir. Yönetimin bağlılığını belirtmeli ve bilgi güvenliğini yönetmek için işletmenin yaklaşımını ortaya
koymalıdır. En az aşağıdaki kılavuzu içermelidir:
a) Bilgi güvenliğinin tarifi, geniş kapsamlı hedefi ve amacı ve bilgi paylaşımını etkinleştiren bir yöntem olarak
güvenliğin önemi (Giriş);
b) Hedefleri ve bilgi güvenliğinin prensiplerini destekleyen yönetim amacının bir beyanı;
c) Güvenlik politikalarının, prensiplerinin, standardlarının ve işletme için belirli öneminin uygun gereklerinin
kısa bir açıklaması, örneğin:
1)
2)
3)
4)
5)
Yasal ve sözleşmeyle ilgili gereklere uygunluk;
Güvenlik eğitimi gerekleri;
Virüs ve diğer zararlı yazılımların engellenmesi ve tespit edilmesi;
İş sürekliliği yönetimi;
Güvenlik politikası ihlallerinin sonuçları;
d) Güvenlik raporlaması konuları da dahil, bilgi güvenliği yönetimi için genel ve belirli sorumlulukların tarifi;
e) Politikayı destekleme ihtimali olan belgelendirmeler için referanslar, örneğin belirli bilgi sistemleri için
daha detaylı güvenlik politikaları ve süreçleri veya kullanıcıların uyması gereken güvenlik kuralları.
Bu politika, tüm işletme içinde kullanıcılara, hedeflenen okuyucu için uygun, erişilebilir ve anlaşılır bir biçimde
bildirilmelidir.
3.1.2 Gözden geçirme ve değerlendirme
Politikanın, sürekliliğinin sağlanmasından ve tanımlanmış yöntemlere göre gözden geçirilmesinden sorumlu
bir sahibi olmalıdır. Bu işlem, orijinal risk değerlendirmesinin temelini etkileyecek her değişikliğe karşı gözden
geçirmenin yer aldığını garanti etmelidir, örneğin; önemli güvenlik arızaları, yeni savunmasızlıklar veya
örgütsel veya teknik altyapıda değişiklikler gibi. Ayrıca, aşağıdakilerle ilgili zamanlanmış, belirli aralıklarda
gözden geçirmeler olmalıdır:
a) Kaydedilmiş güvenlik arızalarının yapısı, sayısı ve etkisi aracılığıyla görüntülenen, politikanın etkinliği;
b) Denetimlerin, iş verimliliği üzerindeki maliyeti ve etkisi.
c) Teknolojik değişikliklerinin etkisi.
4
ICS 35.040
4
TÜRK STANDARDI
Örgütsel güvenlik
4.1 Bilgi güvenliği altyapısı
Amaç: İşletme içindeki bilgi güvenliğinin yönetilmesi.
İşletme içersinde bilgi güvenliğinin gerçekleşmesini başlatmak ve kontrol etmek üzere bir yönetim sistemi
kurulmalıdır. Bilgi güvenlik politikasını onaylamak, güvenlik rolleri tayin etmek ve tüm işletme içinde güvenlik
yürütümlerini düzenlemek için yönetim önderliğiyle uygun yönetim sistemi kurulmalıdır. Eğer gerekirse, bir
uzman bilgi güvenliği tavsiyesi kaynağı kurulmalı ve işletme içinde etkin kılınmalıdır. Endüstriyel eğilimleri
yakalamak, standardları ve değerlendirme yöntemlerini gözlemek ve güvenlik olaylarıyla ilgilenirken uygun
irtibat sağlamak için, harici güvenlik uzmanlarıyla iletişim geliştirilmelidir. Bilgi güvenliğine birden çok
disiplinle ilgili bir yaklaşım özendirilmelidir, örneğin sigorta ve risk yönetimi alanlarında yöneticilerin,
kullanıcıların, sistem yöneticilerinin, uygulama tasarımcılarının, denetçilerin ve güvenlik personelinin ve
uzmanların yeteneklerinin beraber çalışması ve işbirliğinin katılımı.
4.1.1 Yönetim bilgi güvenliği forumu
Bilgi güvenliği, yönetim takımının tüm bireylerince paylaşılan bir iş sorumluluğudur. Güvenlik öncelikleriyle
ilgili açık bir yönlendirmenin ve görünür yönetim desteğinin olduğunu garanti eden bir yönetim forumu iyice
düşünülmelidir. Bu forum, uygun bağlılık ve doğru kaynaklar aracılığıyla organizasyon içersindeki güvenliği
desteklemelidir. Bu forum varolan yönetim yapısının bir parçası olabilir. Tipik olarak bir forum aşağıdakileri
üstlenir:
a)
b)
c)
d)
Bilgi güvenliği politikalarını ve tüm sorumlulukları gözden geçirmek ve onaylamak;
Büyük tehditlere karşı bilgi varlıklarının çıkışındaki önemli değişiklikleri gözlemlemek;
Bilgi güvenliği arızalarını gözden geçirmek ve gözlemek;
Bilgi güvenliğini arttırmak için büyük öncelikleri gözden geçirmek.
Güvenlikle ilgili tüm faaliyetlerden bir yönetici sorumlu olmalıdır.
4.1.2 Bilgi güvenliği düzenlemesi
Büyük bir işletmede, işletmenin uygun bölümlerinden yönetim temsilcilerinin çapraz-fonksiyonel forumu, bilgi
güvenlik denetimlerinin gerçekleşmesini düzenlemek için gerekli olabilir. Tipik olarak böyle bir forum:
a) Tüm işletme içinde bilgi güvenliğiyle ilgili belirli rolleri ve sorumlulukları onaylar;
b) Bilgi güvenliği için belirli yöntemleri ve süreçleri onaylar, örneğin risk değerlendirmesi, güvenlik
sınıflandırma sistemi;
c) İşletme genelinde bilgi güvenlik önceliklerini onaylar ve destekler, örneğin güvenlik bilinci programı;
d) Güvenliğin, bilgi planlama sürecinin bir parçası olduğunu garanti eder;
e) Yeni sistemler ve servisler için belirli bilgi güvenlik denetimlerinin yeterliliğini değerlendirir ve
gerçekleştirilmesini düzenler;
f) Bilgi güvenliği arızalarını gözden geçirir;
g) Bilgi güvenliği için tüm organizasyon içindeki iş desteğinin görünürlüğünü yükseltir;
4.1.3 Bilgi güvenliği sorumluluklarının atanması
Kişisel varlıkların korunması ve belirli güvenlik süreçlerinin yürütülmesi için sorumluluklar açıkça
tanımlanmalıdır.
Bilgi güvenliği politikası (Madde 3), organizasyon içindeki güvenlik rollerinin ve sorumluluklarının ayrılması
üzerine genel kılavuz sağlamalıdır. Bu, nerede gerekliyse, belirli alanlar, sistemler veya hizmetler için daha
detaylandırılmış kılavuzla birlikte tedarik edilmelidir. Bireysel, fiziksel ve bilgi varlıkları ve iş sürekliliği
planlaması gibi güvenlik süreçleri için yerel sorumluluklar açıkça tanımlanmalıdır.
Birçok organizasyonda, güvenliğin geliştirilmesine ve gerçekleştirilmesine ilişkin tüm sorumluluğu üstlenmek
ve denetimlerin tanımlanmasını desteklemek için bir bilgi güvenlik yöneticisi atanır.
5
ICS 35.040
TÜRK STANDARDI
Bununla beraber, denetimlerin kaynaklarının bulunması ve gerçekleştirilmesi sıklıkla bireysel yöneticilerle
kalır. Bir yaygın uygulama, her bir bilgi varlığı için, bunun günlük güvenliğinden sorumlu hale gelecek bir
sahibin atanmasıdır.
Bilgi varlıklarının sahipleri, güvenlik sorumluluklarıyla ilgili bireysel yöneticileri veya hizmet sunucularını
görevlendirebilirler. Bununla birlikte, varlık sahibi, varlığın güvenliğinden tamamen sorumludur ve
görevlendirilmiş her sorumluluğun doğru olarak yerine getirilmiş olduğunu belirleyebilmelidir.
Her bir yöneticinin sorumluğu olduğu alanların açıkça belirtilmiş olması zorunludur; özel olarak aşağıdakiler
yer almalıdır.
a) Her bir ayrı sistemle ilişkili çeşitli varlıklar ve güvenlik süreçleri tanımlanmalı ve açıkça tarif edilmelidir.
b) Her bir varlıktan veya güvenlik sürecinden sorumlu olan yönetici onaylanmalı ve bu sorumluluğun
detayları belgelendirilmelidir.
c) Yetkilendirme seviyeleri açıkça tanımlanmalı ve belgelendirilmelidir.
4.1.4 Bilgi işleme araçları için yetkilendirme süreci
Yeni bilgi işleme araçları için, bir yönetim yetkilendirme süreci kurulmalıdır.
Aşağıdaki denetimler düşünülmelidir.
a) Yeni araçlar, amaçlarını ve kullanımını yetkilendiren, uygun kullanıcı yönetim onayına sahip olmalıdır.
Onaylama ayrıca, ilgili tüm güvenlik politikalarının ve gereklerinin karşılandığını temin etmek için, yerel
bilgi sistemi güvenlik ortamının sürekliliğini sağlamaktan sorumlu olan yöneticiden de alınmalıdır.
b) Gerektiğinde, donanım ve yazılımın diğer sistem bileşenleriyle uyumlu olduğunun garanti edilmesi için
kontrol edilmelidir.
Not: Belirli bağlantılar için yazılı onaya gereksinim duyulabilir.
c) Ticari bilgiyi işlemek için kişisel bilgi işleme araçlarının ve gereken denetimlerin kullanılması
yetkilendirilmelidir.
d) Çalışma ortamında kişisel bilgi işleme araçlarının kullanımı yeni savunmasızlıklara yol açabilir ve
dolayısıyla değerlendirilmeli ve yetkilendirilmelidir.
4.1.5 Uzman bilgi güvenliği tavsiyesi
Uzman güvenlik tavsiyesine birçok işletme tarafından gereksinim duyulması oldukça muhtemeldir. İdeal
olarak, firma içinden deneyimli bir bilgi güvenlik danışmanı bunu sağlar. Organizasyonların tümü uzman
danışman istihdam etmek istemeyebilir. Böyle durumlarda, sürekliliği temin etmek ve güvenlikle ilgili karar
verme aşamalarında yardım sağlamak üzere, firma içi bilgi ve deneyimleri düzenlemesi için belirli bir kişinin
tanımlanması tavsiye edilir. Ayrıca, kendi deneyimleri dışında kalan konularda uzman tavsiye sağlamak
üzere uygun harici danışmanlara erişim sağlamalıdırlar.
Bilgi güvenlik danışmanları veya benzer iletişim noktaları, bilgi güvenliğinin tüm alanlarında, kendilerinin veya
harici tavsiyeleri kullanarak tavsiye sağlamak aracılığıyla görevlendirilmelidirler. Danışmanların güvenlik
tehditlerini değerlendirme ve denetimler üzerindeki tavsiyelerinin kalitesi, organizasyonun bilgi güvenliğinin
verimliliğini belirleyecektir. En üst seviyede verimlilik ve etki için, tüm organizasyon içinde yönetime doğrudan
erişim izni verilmelidir.
Bilgi güvenliği danışmanına veya benzer iletişim noktasına, şüpheli bir güvenlik olayının veya kırılmasının
ardından, uzman bir kılavuzluk veya araştırma ile ilgili kaynak sağlamak için mümkün olan en erken
aşamada danışılmalıdır. Birçok dahili güvenlik araştırması normal olarak yönetimin denetimi altında yürütülse
bile, bilgi güvenliği danışmanına tavsiye almak, araştırmayı yönlendirmek ve idare etmek üzere gereksinim
duyulabilir.
4.1.6 Organizasyonlar arasındaki işbirliği
Kanun yürütme makamlarıyla, yasa düzenleyici kurullarla, bilgi hizmet sağlayıcılarıyla ve haberleşme
teknisyenleriyle, bir güvenlik arızasının gerçekleşmesi durumunda uygun eylemlerin hızlıca harekete
geçirilmesini ve tavsiyelerin alınabilmesini temin etmek üzere uygun ilişkiler kurulmalıdır. Benzer bir biçimde,
güvenlik gruplarına üyelik ve endüstri forumları da düşünülmelidir.
6
ICS 35.040
TÜRK STANDARDI
Organizasyona ait gizli bilgilerin yetkisiz kişilerin eline geçmediğini garanti etmek üzere güvenlik bilgilerinin
karşılıklı değişimi sınırlandırılmalıdır.
4.1.7 Bilgi güvenliğinin bağımsız gözden geçirilmesi
Bilgi güvenliği politikası belgesi (Madde 3.1), bilgi güvenliği için politika ve sorumlulukları belirler.
Gerçekleşmesi, örgütsel uygulamaların uygun bir biçimde politikayı yansıttığına ve uygulanabilir ve etkili
olduğuna dair güvence sağlamak için bağımsız olarak gözden geçirilmelidir (Madde 12.2).
Böyle bir tetkik, uygun yeteneklere ve deneyime sahip olan dahili teftiş fonksiyonunca, bağımsız bir yönetici
aracılığıyla veya bu gibi tetkiklerde uzman üçüncü taraf bir işletme tarafından gerçekleştirilebilir.
4.2 Üçüncü taraf erişiminin güvenliği
Amaç: Üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin
korunması.
Organizasyonun bilgi işleme araçlarına üçüncü tarafların erişimi denetlenmelidir.
Bu gibi, üçüncü tarafların erişimine gereksinim duyulan yerlerde, olası güvenlik etkilerini ve denetim
gereklerini belirlemek için risk değerlendirmesi yürütülmelidir. Denetimler üçüncü tarafla yapılacak bir
sözleşme içersinde karşılıklı olarak onaylanmalı ve tanımlanmalıdır.
Üçüncü taraf erişimi, diğer katılımcıları da kapsayabilir. Üçüncü taraf erişimiyle ilgili görüşülen sözleşmeler,
gerekli niteliğe sahip diğer katılımcıların atanmasına izni ve bu katılımcıların erişim koşullarını içermelidir.
Bu standard, bu gibi sözleşmeler için ve bilgi işleme hizmetinin dışarıdan sağlanması düşünüldüğünde, temel
olarak kullanılabilir.
4.2.1 Üçüncü taraf erişiminde risklerin tanımlanması
4.2.1.1 Erişim türleri
Üçüncü tarafa verilen erişim türü özel bir önem taşır. Örneğin, bir ağ bağlantısı üzerinden erişimin riskleri,
fiziki erişimle sonuçlanan risklerden farklıdır. Düşünülmesi gereken erişim türleri şunlardır:
a) Fiziki erişim, örneğin ofislere, bilgi işlem odalarına, dosyalama bölümlerine;
b) Mantıki erişim, örneğin organizasyonun veritabanına, bilgi sistemlerine.
4.2.1.2 Erişim sebepleri
Üçüncü tarafların erişimine bir dizi sebepten dolayı izin verilmiş olabilir. Örneğin, bir organizasyona hizmet
veren ve çalışma alanında yerleşik olmayan fakat fiziki ve mantıki erişim verilmiş üçüncü taraflar olabilir.
Örneğin:
a) Sistem seviyesine veya alçak seviye uygulama işlerliğine erişim gereksinimi olan donanım ve yazılım
destek elemanları;
b) Bilgi alışverişi yapan, bilgi sistemlerine erişen veya veritabanı paylaşan ticari ortaklar veya ortaklıkları
(joint venture).
Bilgi, eksik güvenlik yönetimiyle üçüncü tarafların erişimi aracılığıyla risk altına girebilir. Bir üçüncü tarafla
ticari ilişki kurulması gerektiğinde, belirli denetimler için her gerekeni tanımlamak üzere bir risk
değerlendirmesi yürütülmelidir. Bu risk değerlendirmesi, istenen erişim biçimini, bilginin değerini, üçüncü
tarafça kullanılan denetimleri ve bu erişimin organizasyonun bilgi güvenliğine dahil edilmesini dikkate
almalıdır.
7
ICS 35.040
TÜRK STANDARDI
4.2.1.3 Çalışma alanı anlaşmalı taraflar
Sözleşmelerinde tanımlandığı gibi belirli bir süre çalışma alanında yerleşen anlaşmalı kişiler de güvenliği
zayıflatmaya sebep olabilirler. Çalışma alanındaki üçüncü taraflara örnekler aşağıdakileri içerir:
a)
b)
c)
d)
Yazılım ve donanım bakım ve destek görevlileri;
Temizlik, yiyecek, güvenlik görevlileri ve diğer dışardan sağlanmış destek hizmet görevlileri;
Öğrenci yerleştirmeleri ve diğer kısa dönemli personel alımları;
Danışmanlar
Bilgi işleme araçlarına, üçüncü tarafların erişimini yönetmek için hangi denetimlere gerek olduğunu anlamak
çok önemlidir. Genel olarak, üçüncü taraf erişiminden doğan tüm güvenlik gerekleri veya dahili denetimler
üçüncü taraf sözleşmesinde yansıtılmalıdır (Madde 4.2.2). Örneğin eğer bilginin gizliliğiyle ilgili özel bir
gereksinim varsa, kapalı anlaşmalar kullanılabilir (Madde 6.1.3).
Uygun denetimler gerçekleştirilene kadar veya erişim ve bağlantı için şartları tarif eden bir sözleşme
imzalanana kadar, üçüncü taraflara, bilgi ve bilgi işleme araçlarına erişim izni verilmemelidir.
4.2.2 Üçüncü taraf sözleşmelerinde güvenlik gerekleri
Üçüncü bir tarafın, işletme ile ilgili bilgi işleme araçlarına erişimini içeren düzenlemeler, organizasyonun
politikalarına ve standardlarına uyumlu, tüm güvenlik gereklerini içeren ve bunlara başvuran resmi bir
sözleşme olarak yapılmalıdır. Sözleşme, işletme ile üçüncü taraf arasında herhangi bir yanlış anlaşmanın
olmadığını garanti etmelidir. İşletmeler tedarikçilerine kefil olmakla ilgili hoşnut olmalıdırlar. Aşağıdaki
şartların sözleşmede yer alması göz önünde bulundurulmalıdır:
a) Bilgi güvenliği üzerine genel politika;
b) Aşağıdakileri içeren varlık koruması:
1) Bilgi ve yazılım dahil olmak üzere işletmeye ait varlıkları korumak için yöntemler;
2) Varlıklara ilişkin herhangi bir tehlikenin, örneğin veri kaybı veya veri değişikliğinin oluşup oluşmadığını
belirlemek için yöntemler;
3) Sözleşme sonunda veya anlaşmanın sağlandığı noktada, sözleşme süresince bilginin ve kaynakların
dönüşünün veya imha edilmesinin garanti edilmesi için denetimler;
4) Bütünlük ve elverişlilik;
5) Bilginin kopyalanması ve ifşa edilmesi üzerine kısıtlamalar.
c)
d)
e)
f)
g)
Geçerli kılınmak için her hizmetin bir tarifi;
Hizmetin hedef seviyesi ve hizmetin kabul edilemez seviyesi;
Uygun olan yerde personel aktarımı sağlama;
Tarafların anlaşmadaki ayrı ayrı taahhütleri;
Yasal konularla ilgili sorumluluklar, örneğin veri koruma hükümleri, özellikle eğer farklı ulusal yasa
sistemlerince dikkat edilen sözleşme diğer ülkelerdeki organizasyonlarla işbirliğini içeriyorsa, farklı ulusal
yasa sistemlerince dikkat edilen (Madde 12.1);
h) Fikri mülkiyet hakları (IRP’ler) ve telif hakları senedi (Madde 12.1.2) ve herhangi bir işbirliği çalışmasının
korunması (Madde 6.1.3);
i) Aşağıdakileri içeren erişim denetimi çalışmaları:
1) İzin verilmiş erişim yöntemlerinin ve kullanıcı kimlikleri ve parolaları gibi özel tanımlayıcıların denetimi
ve kullanımı;
2) Kullanıcı denetimi ve ayrıcalıkları için yetki uygulaması;
3) Geçerli kılınmış hizmetleri kullanmak için yetki verilmiş kişilerin bir listesini sağlama gereği ve böyle bir
kullanımla ilgili haklarının ve ayrıcalıklarının ne olduğu;
j) Doğrulanabilir performans ölçütlerinin tanımı, gözlenmesi ve raporlanması;
k) Kullanıcı faaliyetlerini gözleme ve feshetme hakkı;
l) Sözleşmeden doğan sorumlulukları teftiş etme veya üçüncü tarafça yürütülen teftişlere sahip olma hakkı;
m) Sorun çözümleri için bir yükselme süreci kurulması; uygun yerlerde olasılık anlaşmalarının yapılması;
n) Donanım ve yazılım yükleme ve bakımıyla ilgili sorumluluklar;
o) Açık bir raporlama yapısı ve üzerinde anlaşmaya varılan raporlama biçimi
p) Yönetim değişikliğiyle ilgili açık ve tanımlanmış bir süreç;
q) Denetimlerin izlendiğini garanti etmek üzere gereken her türlü fiziki koruma ve denetim yöntemleri
r) Yöntemler, süreçler ve güvenlikle ilgili kullanıcıların ve sistem yöneticilerinin eğitimi
8
ICS 35.040
TÜRK STANDARDI
s) Zararlı yazılımlara karşı korumayı garanti etmek için denetimler (Madde 8.3)
t) Güvenlik arızalarının ve güvenlik kırılmalarının raporlanması, bildirilmesi ve araştırılmasıyla ilgili
düzenlemeler;
u) Üçüncü tarafların taşeronlarla bağlantısı
4.3 Dışarıdan kaynak sağlama
Amaç : Bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından dışarıdan sağlandığında bilgi
güvenliğinin sürdürülmesi.
Dışarıdan kaynak sağlama düzenlemeleri, taraflar arasıdaki sözleşme içinde riskleri, bilgi sistemlerini, ağlar
ve/veya masaüstü ortamları için güvenlik denetimlerini ve yöntemlerini göstermelidir.
4.3.1 Dışarıdan kaynak sağlama sözleşmelerindeki güvenlik gerekleri
Yönetim ve bilgi sistemleri, ağlar ve/veya masaüstü ortamların tümü veya bir kısmı için dışarıdan kaynak
sağlayan organizasyonların güvenlik gerekleri, taraflar arasında yapılması anlaşılmış bir sözleşme içinde
belirtilmelidir.
Örneğin sözleşme aşağıdakileri içermelidir:
a) Yasal gereklerin nasıl karşılanacağı, örneğin veri koruma yöntemleri;
b) Dışarıdan sağlanan kaynakla ilgisi olan tüm tarafların, taşeronlarda dahil, güvenlik sorumluluklarının
farkında olduklarının garanti edilmesi için ne gibi düzenlemeler yer alacağı;
c) İşletmenin ticari varlıklarıyla ilgili güvenilirliğinin ve gizliliğinin korunması ve kontrol edilmesinin nasıl
sağlanacağı;
d) İşletmenin hassas ticari bilgilerine yetkilendirilmiş kullanıcıların erişimini kısıtlamak ve yasaklamak için
hangi fiziksel ve mantıksal denetimlerin kullanılacağı;
e) Bir felaket karşısında hizmetlerin kullanılabilirliğinin nasıl sağlanacağı;
f) Dışarıdan sağlanmış araçlar için hangi seviyede fiziksel güvenlik sağlanacağı;
g) Teftiş etme hakkı.
Madde 4.2.2‘de verilmiş şartlar da bu sözleşmenin bir parçası olarak düşünülmelidir. Sözleşme, taraflar
arasında anlaşma sağlanmış bir güvenlik yönetimi planı içersinde güvenlik gereklerinin ve yöntemlerinin
genişletilmesine izin vermelidir.
Dışarıdan kaynak sağlama sözleşmeleri bazı karmaşık güvenlik soruları doğursa da bu uygulama
kurallarının içerdiği denetimler, güvenlik yönetim planının yapısı ve içeriğinin anlaşmaya varılması için
başlangıç noktası olarak hizmet edebilir.
5
Varlık sınıflandırması ve denetimi
5.1 Varlıklar için sorumluluk
Amaç: İşletmeye ait varlıklar için uygun korunmanın sağlanması.
Tüm büyük bilgi varlıklarıyla ilgili açıklama yapılmalı ve hepsinin atanmış bir sahibi olmalıdır.
Varlıkların sorumluluğu, uygun korumanın sağlandığının garanti edilmesine yardımcı olur. Tüm büyük
varlıklar için sahipler tanımlanmalıdır ve uygun denetimlerin sürdürülmesi için sorumluluk tayin edilmelidir.
Denetimlerin gerçekleştirilmesine yönelik sorumluluklar için görevlendirmeler yapılabilir. Sorumluluk varlığa
atanmış sahibe aittir.
9
ICS 35.040
TÜRK STANDARDI
5.1.1 Varlıkların Envanteri
Varlıkların envanteri, etkin varlık korumasının gerçekleştiğini temin etmeye yardım eder, ve sağlık ve
güvenlik, sigorta ve mali (varlık yönetimi) nedenler gibi diğer ticari amaçlar için gereksinim duyulabilir.
Varlıkların envanterinin toplanması süreci, risk yönetiminin önemli bir parçasıdır. Bir işletmenin varlıklarını ve
bu varlıklarla ilgili değer ve önemleri tanımlayabiliyor olması gerekir. Bu bilgiye dayalı olarak, bir işletme daha
sonra varlıkların değeri ve önemiyle orantılı koruma seviyeleri sağlayabilir. Bir envanter, her bilgi sistemiyle
bağlantılı olan önemli bilgi varlıklarıyla ilgili düzenlenmeli ve korunmalıdır. Her bir varlık açıkça tanımlanmalı
ve varlık sahipleri ve güvenlik sınıflandırılmaları (Madde 5.2) mevcut bulunduğu yerle beraber (bu kayıp ve
hasarlar giderilmeye çalışıldığında önemlidir) onaylanmalı ve belgelendirilmelidir. Bilgi sistemleriyle ilgili
varlıklara örnekler şunlardır:
a) Bilgi varlıkları: veritabanları ve veri dosyaları, sistem belgeleri, kullanıcı el kitapları, eğitim malzemeleri,
işlemsel ve desteksel yöntemler, süreklilik planları, yedek anlaşmaları, arşivlenmiş bilgi;
b) Yazılım varlıkları: uygulama yazılımları, sistem yazılımları, geliştirme araçları ve faydaları;
c) Fiziksel varlıklar: bilgisayar bileşenleri (işlemciler, ekranlar, diz üstü bilgisayarlar, modemler), manyetik
ortamlar (kayıt cihazları ve diskler), diğer teknik araçlar (güç kaynakları, havalandırma üniteleri), mobilya,
yerleşim düzeni;
d) Hizmetler: bilgi işleme ve haberleşme hizmetleri, genel faydalar; örneğin ısınma, ışıklandırma, elektrik,
havalandırma.
5.2 Bilgi Sınıflandırması
Amaç: Bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesi.
Bilgi, korunma gereksiniminin, önceliklerinin ve derecesinin belirlenmesi için sınıflandırılmalıdır.
Bilgi birçok değişik önem ve hassasiyet derecesine sahiptir. Bazı öğeler, ilave korunma seviyesine veya özel
olarak ele alınmaya gerek duyabilir. Bilgi sınıflandırma sistemi, uygun koruma seviyesi tanımlanması için
kullanılmalı ve özel işlem ölçümlerine gereksinimle iletişim kurmalıdır.
5.2.1 Sınıflandırma kılavuzları
Bilgi için sınıflandırmalar ve ilgili koruyucu denetimler, bilgi paylaşımı veya kısıtlanması için ticari
gereksinimleri ve bu gibi gereksinimlerle ilişkili ticari etkileri, örneğin bilgiye yetkisiz erişim ve hasarı, dikkate
almalıdır. Genel olarak, bilgiye verilmiş sınıflandırma bu bilginin nasıl ele alınacağını ve korunacağını
belirlemenin kısa yoludur.
Bilgi ve sınıflandırılmış veriyi ele alan sistemlerden oluşan çıktılar, işletme için değerine ve hassasiyetine
göre etiketlendirilmelidir. Bilgiyi işletme için olan önemine göre de etiketlendirmek ayrıca uygun olabilir,
örneğin güvenilirliğine ve elverişliliğine göre.
Bilgi çoğu kez belirli bir süre geçtikten sonra hassas ve önemli olmaktan çıkar, örneğin bilginin umumi olarak
duyurulmasıyla birlikte. Bu açılar dikkate alınmalıdır, çünkü gerektiğinden fazla sınıflandırma gereksiz ilave
ticari harcamalara sebep olabilir. Sınıflandırma kılavuzu, bilgiyle ilgili verilmiş her öğenin sınıflandırılmasına,
her zaman uygulanmasına gerek olmadığının ve önceden belirlenmiş politikalara göre değişebileceğinin
gerçeğinin önceden tahmin edilmesine izin vermelidir (Madde 9. 1).
Sınıflandırma gruplarının sayısı ve bunların kullanımından sağlanacak faydalar göz önünde
bulundurulmalıdır. Oldukça karmaşık planlar, hantal ve kullanım açısından ekonomik ve pratik olmayan bir
hal alabilirler. Diğer işletmelerden gelen belgeler üzerindeki sınıflandırma etiketleri dikkatlice yorumlanmalıdır
çünkü diğer işletmeler aynı veya benzeri isimlendirilmiş etiketler için farklı tarifler yapmış olabilirler.
Bilgiye ait bir öğenin, örneğin bir belgenin, veri kaydının, veri dosyası veya disketinin, sınıflandırılmasının ve
bu sınıflandırmanın belirli zamanlarda gözden geçirilmesinin sorumluluğu yaratıcıda veya bilgiye atanmış
sahibindedir.
10
ICS 35.040
TÜRK STANDARDI
5.2.2 Bilgi etiketleme ve işleme
İşletme tarafından sahiplenilmiş sınıflandırma planına göre bilgi etiketleme ve işleme için bir dizi uygun
sürecin tanımlanması önemlidir. Bu yöntemler bilgi varlıklarını, fiziki ve elektronik ortamda kapsaması
gerekir. Her sınıflandırma için, işleme yöntemleri, aşağıdaki bilgi işleme faaliyetleri biçimlerini kapsayacak bir
biçimde tanımlanmalıdır:
a)
b)
c)
d)
e)
Kopyalama;
Depolama;
Posta, faks ve elektronik mesaj aracılığıyla aktarma
Cep telefonu, sesli mesaj, telefonlar gibi sözlü kelimelerle aktarımı;
Yok etme;
Hassas ve önemli olarak sınıflandırılan bilgileri içeren sistemlerden çıktılar, uygun sınıflandırma etiketi (çıktı
içinde) taşımalıdır. Etiketleme, Madde 5.2.1’de belirlenen kurallara uygun olarak yapılmış sınıflandırmayı
yansıtmalıdır. Göz önünde bulundurulması gereken öğeler, basılı raporları ekran görüntülerini, kayıtlı ortamı
(kayıt cihazları, diskler, CD’ler, kasetler), elektronik mesajları ve dosya aktarımlarını içerir.
Fiziksel etiketler genelde, etiketlemenin en uygun biçimidir. Bununla beraber elektronik biçimdeki belgeler
gibi bazı bilgi varlıkları, fiziksel olarak etiketlenemez ve elektronik anlamda etiketlemenin kullanılması gerekir.
6
Personel güvenliği
6.1 İş tanımlarındaki ve kaynaklardaki güvenlik
Amaç: İnsan hatalarını, hırsızlığı, sahtekarlığı ve araçların yanlış kullanılması risklerinin azaltılması.
Güvenlik sorumlulukları işe alma sırasında belirtilmeli, sözleşmeler içinde yer almalı ve bir kişinin işe
alınması süresince gözlenmelidir.
Olası işe alınmalar uygun bir şekilde elenmeli (Madde 6.1.2), özellikle hassas görevler için dikkat edilmelidir.
Bilgi işleme araçlarının tüm çalışanları ve üçüncü taraf kullanıcılar bir gizlilik (kapalılık) anlaşması
imzalamalılardır.
6.1.1 İş sorumluluklarına güvenliğin dahil edilmesi
Güvenlik rolleri ve sorumlulukları, organizasyonun bilgi güvenliği politikasında (Madde 3.1) sunulduğu gibi,
uygun olan yerde belgelenmelidir. Bunlar, güvenlik politikasını gerçekleştirmek ve sürdürmek için her türlü
genel sorumluluğun yanında, belirli varlıkların korunması veya belirli güvenlik işlemlerinin veya faaliyetlerinin
yürütülmesi için her özel sorumluluğu içermelidir.
6.1.2 Personel eleme ve personel politikası
Sürekli personel üzerinde doğruluk kontrolü, işe başvurulduğu zaman yapılmalıdır. Bu aşağıdaki denetimleri
içermelidir:
a)
b)
c)
d)
Tatminkar kişisel referansların varlığı, örneğin bir işle ilgili, bir şahsi;
Başvuranın özgeçmişinin kontrolü (bütünlük ve doğruluk);
İddia edilen akademik ve uzman niteliklerin teyidi;
Bağımsız kimlik kontrolü (pasaport ve benzeri belgeler).
Bir işin ya ilk başvuruda ya da terfide, kişinin bilgi işleme araçlarına erişimini içerdiği yerde ve özellikle bunlar
eğer hassas bilgileri işlemeyi içeriyorsa örneğin mali bilgi veya yüksek derecede gizli bilgiyi, işletme ayrıca
saygınlık kontrolü yapmalıdır. Oldukça fazla yetki gerektiren pozisyonlardaki personel için bu kontrol belirli
aralıklarla tekrarlanmalıdır.
Benzer bir eleme süreci anlaşmalı taraflarla ve geçici personelle de gerçekleştirilmelidir. Bu elemanlar bir
acente aracılığıyla sağlanıyorsa, personel için acente ile yapılan sözleşme, acentenin sorumluluklarını ve
eğer eleme sonuçlandırılamazsa veya sonuçlar şüpheye veya düşünmeye sebep olursa izlemeleri gereken
ihbar yöntemlerini içermelidir.
11
ICS 35.040
TÜRK STANDARDI
Yönetim, hassas sistemlere erişim için yetkilendirilmiş yeni ve deneyimsiz personel için gereken gözetimleri
değerlendirmelidir. Tüm personelin çalışmaları, kıdemli personel tarafından belirli zaman dilimlerine gözden
geçirilmeli ve onaylama yöntemlerinden geçirilmelidir.
Yöneticiler personellerinin kişisel şartlarının da çalışmalarını etkileyebileceğinin farkında olmalıdırlar. Kişisel
veya mali sorunlar, davranışlarındaki veya yaşam şekillerindeki değişiklikler, tekrarlama dalgınlığı ve stres
veya depresyon belirtileri, sahtekarlığa, hırsızlığa, hataya veya diğer güvenlik arızalarına yöneltebilir. Bu
bilgiyi, yasal yetki sınırları çerçevesi içinde yer alan uygun hükümlere göre ele alınmalıdır.
6.1.3 Gizlilik anlaşmaları
Gizlilik veya kapalılık (ifşa etmeme) anlaşmaları, bilginin gizli veya sır olduğunun bildirimini vermek için
kullanılır. Çalışanlar normalde böyle bir anlaşmayı işe alınmalarının öncelikli şartları ve koşullarının bir
parçası olarak imzalamalılardır.
Varolan bir sözleşmeyle (güvenlik anlaşması dahil) kapsanmamış olan geçici personel ve üçüncü taraf
kullanıcılardan, bilgi işleme araçlarına erişim verilmeden önce bir güvenlik anlaşması imzalamaları
istenmelidirler. İşe alma veya sözleşme koşullarında değişiklikler olduğunda, özellikle personel işletmeden
ayrılmak üzere olduğunda veya sözleşmeler sona ermek üzere olduğunda, gizlilik anlaşmaları tekrar gözden
geçirilmelidir.
6.1.4 İşe alma koşulları ve şartları
İşe almanın koşul ve şartları, çalışanın bilgi güvenliği ile ilgili sorumluluklarını belirtmelidir. Uygun olan yerde,
istihdam sona erdikten sonra bu sorumluluklar tanımlanmış bir zaman dilimi için devam etmelidir. Çalışanın
güvenlik gereklerine uymaması karşısında ne gibi önlemler alınacağını da içermelidir.
Çalışanın yasal sorumlulukları ve hakları, örneğin telif hakları yasaları veya veri koruma hükümleri gibi,
açıklanmalı ve işe almanın koşulları ve şartları içersinde yer almalıdır. Sınıflandırma için sorumluluk ve
işverenin verilerinin yönetimi de ayrıca yer almalıdır. Uygun olan her zaman, işe alma koşulları ve şartları, bu
sorumlulukların işletmenin çevresi dışına genişletildiğini ve normal çalışma saatlerinin, örneğin ev çalışması
şartlarında, dışına genişletildiğini belirtmelidir (Madde 7.2.5 ve Madde 9.8.1)
6.2 Kullanıcı eğitimi
Amaç: Kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma
seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesi.
Kullanıcılar, güvenlik yöntemlerinde ve bilgi işleme araçlarının doğru kullanımında, olası güvenlik risklerini
azaltmak için eğitilmelidirler.
6.2.1 Bilgi güvenliği eğitimi ve öğretimi
İşletmenin tüm çalışanları ve ilgili yerlerde, üçüncü taraf kullanıcılar, organizasyona ait politikalar ve
yöntemlerle ilgili uygun eğitim ve düzenli güncelleme almalıdırlar. Bu, bilgiye veya hizmetlere erişimi tayin
etmeden önce, güvenlik gereklerini, yasal sorumlulukları ve iş denetimlerinin yanı sıra, oturuma giriş
yöntemleri, yazılım paketlerinin kullanımı gibi bilgi işleme araçlarının doğru kullanımının eğitimini almayı
içerir.
12
ICS 35.040
TÜRK STANDARDI
6.3 Güvenlik arızalarına ve bozulmalarına cevap verilmesi
Amaç: Güvenlik arızalarından ve bozulmalarından meydana gelen hasarın en aza indirilmesi ve bu gibi
olayların gözlenmesi ve bunlardan öğrenilmesi.
Güvenliği etkileyen arızalar mümkün olan en kısa sürede uygun yönetim kanalları kullanılarak rapor
edilmelidir.
Tüm çalışanlar ve sözleşmeli kimseler, işletmeye ait varlıkların güvenliği üzerinde etkisi olabilecek farklı
biçimdeki arızaları (güvenlik kırılması, tehdit, zayıflama veya bozulma) rapor etme yöntemlerinden haberdar
olmalıdırlar. Bu kişilerden, gözlemlenmiş ve şüphelenilmiş beklenmedik her olayı, mümkün olan en kısa süre
içince belirlenmiş iletişim noktalarına rapor etmeleri istenmelidir. İşletme, güvenlik kırılmaları suçu işleyen
çalışanlarla ilgilenmek üzere resmi bir disiplin süreci kurmalıdır. Arızaları uygun bir şekilde belirleyebilmek
için, olay gerçekleştikten sonra mümkün olan en kısa sürede bulguları toplamak gerekli olabilir (Madde
12.1.7).
6.3.1 Güvenlik arızalarının raporlanması
Güvenlik arızaları mümkün olan en kısa sürede uygun yönetim kanalları aracılığıyla rapor edilmelidir.
Arıza raporunun alınması üzerine eylem planı belirleyen bir arıza cevap verme yöntemiyle birlikte resmi bir
raporlama prosedürü oluşturulmalıdır. Tüm çalışanlar ve sözleşmeli kişiler, güvenlik arızalarının
raporlanması yönteminden haberdar olmalı ve bu gibi olayları mümkün olan en kısa sürede raporlamaları
istenmelidir. Arızaların raporlanmasının sonuçlarının bildirildiği temin etmek için, arıza giderildikten ve
kapandıktan sonra, uygun geribildirim işlemleri gerçekleştirilmelidir. Bu arızalar, ne olabilirin, nasıl cevap
verilebilirin ve bunlardan gelecekte nasıl kaçınılabilirin (Madde 12.1.7) örnekleri olarak, kullanıcı haberdar
olma eğitimlerinde (Madde 6. 2) kullanılabilir.
6.3.2 Güvenlik zayıflıklarının raporlanması
Bilgi hizmetlerinin kullanıcıları, sistemlerde veya hizmetlerde meydana gelen şüphelenilmiş veya
gözlemlenmiş her türlü güvenlik zayıflıklarını veya tehditleri not etmeleri ve rapor etmeleri istenmelidir. Bu
kişiler, bu olayları mümkün olan en kısa sürede ya yönetime ya da doğrudan hizmet sağlayıcılarına rapor
etmelidirler. Kullanıcılar, hiçbir şart altında, şüphelenilmiş zayıflığı kanıtlama girişiminde bulunmamaları
hakkında bilgilendirilmelidirler. Bu kendi güvenlikleri içindir çünkü zayıflığın kontrolü sistemin olası yanlış
kullanılması olarak yorumlanabilir.
6.3.3 Yazılım bozulmalarının raporlanması
Yazılım bozulmalarının raporlanması için prosedürler belirlenmelidir. Aşağıdaki eylemler göz önüne
alınmalıdır.
a) Sorunun belirtileri ve ekranda görünen her mesaj not edilmelidir.
b) Bilgisayar tecrit edilmelidir, eğer mümkünse kullanımı durdurulmalıdır. Temasa geçilecek uygun kişi
hemen uyarılmalıdır. Eğer donatımın incelenmesi gerekiyorsa, tekrar güç verilmeden önce işletmeye ait
tüm bağlantılar kesilmelidir. Disketler diğer bilgisayarlara aktarılmalıdır.
c) Konu hemen bilgi güvenliği yöneticisine rapor edilmelidir.
Kullanıcılar, eğer yetkili değillerse, şüphelenilmiş yazılımı kaldırma girişiminde bulunmamalıdırlar. Uygun bir
şekilde eğitilmiş ve deneyimli elemanlar düzeltmeleri gerçekleştirmelidirler.
6.3.4 Arızalardan öğrenmek
Arızaların ve bozulmaların çeşitlerini, hacimlerini ve maliyetlerini hesaplayabilmek ve gözleyebilmek için
teknikler olmalıdır. Bu bilgiler, tekrarlamaları ve yüksek etkili arızaları ve bozulmaları tanımlamada
kullanılmalıdır. Bu, sıklık, hasar ve gelecekteki oluşumların maliyeti için artırılmış veya ilave denetimlere
ihtiyacı veya güvenlik politikası gözden geçirme sürecinde (Madde 3.1.2) ele alınması gereken
gereksinimlerin göstergesi olabilir.
13
ICS 35.040
TÜRK STANDARDI
6.3.5 Disiplin süreci
İşletmeye ait güvenlik politikalarını ve yöntemlerini ihlal eden çalışanlar için resmi bir disiplin süreci olmalıdır
(Madde 6.1.4 ve delil tutulması ile ilgili Madde 12.1.7). Böyle bir süreç güvenlik yöntemlerini ihlal etme
eğiliminde olan çalışanlar için caydırıcı bir güç olabilir. Ayrıca, bu süreç, ciddi ve sürekli güvenlik arızası suçu
işlemiş olmasından şüphe edilen çalışanlara doğru ve adil bir şekilde muamele edilmesini temin etmelidir.
7
Fiziki ve çevresel güvenlik
7.1 Güvenli bölgeler
Amaç: İş alanına ve bilgilerine yetkisiz erişim, hasar ve müdahalenin engellenmesi.
Önemli ve hassas ticari bilgi işleme araçları güvenli bir yere yerleştirilmeli, uygun güvenlik engelleri ve giriş
denetimleriyle, tanımlanmış güvenli bir çevre aracılığıyla korunuyor olmalıdır. Bu araçlar, fiziksel olarak
yetkisiz erişimlerden, hasarlardan ve müdahalelerden korunmalıdır.
Sağlanan koruma, tanımlanmış risklerle orantılı olmalıdır. Temiz masa ve temiz ekran politikası, belgelere,
ortama ve bilgi işleme araçlarına yetkisiz erişim veya hasar risklerini azaltmak için tavsiye edilmektedir.
7.1.1 Fiziki güvenlik çevresi
Fiziki korunma, iş ve bilgi işleme araçları çevresinde sayısız fiziki engeller yaratarak sağlanabilir. Her bir
engel, her biri sağlanan toplam korumayı arttıran bir güvenlik çevresi oluşturur. İşletmeler güvenlik
çevrelerini, bilgi işleme araçları içeren alanları korumak için kullanmalıdırlar (Madde 7.1.3). Güvenlik çevresi,
bir engel oluşturan, örneğin bir duvar, kart kontrollü giriş kapısı veya bir kişi tayin edilmiş danışma masası
gibi her şeydir. Her bir engelin yerleştirilmesi ve gücü, risk değerlendirmesinin sonucuna bağlıdır.
Aşağıdaki kılavuz ve denetimler göz önüne alınmalı ve uygun olan yerlerde gerçekleştirilmelidir.
a) Güvenlik çevresi açıkça tarif edilmelidir.
b) Bilgi işleme araçlarının bulunduğu bina veya alan fiziksel olarak araştırılmalıdır. (Örneğin, çevrede veya
alan içinde zorla içeriye girmenin kolayca olabileceği herhangi bir boşluk bulunmamalıdır). Alanın dışını
çevreleyen duvarlar dayanıklı inşa edilmiş olmalı ve tüm harici duvarlar yetkisiz erişime karşı uygun bir
şekilde korunmuş olmalıdır, örneğin denetim araçları, parmaklıklar, uyarı sinyalleri, kilitler gibi.
c) Bir danışma masası veya alana veya binaya erişimi denetleyecek diğer fiziki yöntemler yerleştirilmelidir.
Alana veya binaya erişim sadece yetkili kişilerle sınırlandırılmalıdır.
d) Fiziki engeller, eğer gerekirse, yetkisiz girişi ve yangın veya sel gibi afetlerin sebep olduğu çevresel
kirlenmeyi engellemek için temelden çatıya kadar genişletilmelidir.
e) Güvenlik çevresindeki tüm yangın kapıları, uyarı sinyalleriyle donatılmalı ve kapılar sıkıca kapalı olmalıdır.
7.1.2 Fiziki giriş denetimleri
Güvenli alanlar, sadece yetkili personelin erişimine izin verildiğinin temin edilmesi için uygun giriş
denetimleriyle korunmuyor olmalıdırlar. Aşağıdaki denetimler göz önüne alınmalıdır.
a) Güvenli alanlarda ziyaretçilere eşlik edilmeli veya üstleri aranmalıdır ve giriş ve çıkış tarihleri ve saatleri
not edilmelidir. Sadece belirli, yetkili amaçlar çerçevesinde erişimlerine izin verilmeli ve alana ait güvenlik
gereklerinin direktifleriyle ilgili ve acil durum yöntemleriyle ilgili bilgilendirilmelidirler.
b) Hassas bilgilere ve bilgi işleme araçlarına erişim denetlenmeli ve sadece yetkili kullanıcılara sınırlı
olmalıdır. Kimlik doğrulama denetimleri, örneğin giriş kartı ve parola, tüm erişimleri yetkilendirmek ve
geçerli kılmak için kullanılmalıdır. Tüm erişimlerin bir kontrol zinciri güvenli olarak korunmalıdır.
c) Tüm personelden, görünür biçimde kimlik kartı taşımaları istenmelidir ve eşlik edilmeyen bir yabancıya
veya kimlik kartı taşımayan birine rastlandığında hemen bildirmeleri teşvik edilmelidir.
d) Güvenli alanlara erişim hakları düzenli aralıklarla gözden geçirilmeli ve güncelleştirilmelidir.
7.1.3 Bürolar, odalar ve araçların güvenlik altına alınması
Güvenli bir alan, kilitlenmiş bir büro veya içinde birçok oda bulunan, kilitlenmiş olan ve kilitlenebilir dolaplar
veya korumalar içeren fiziki bir güvenlik çevresi olabilir. Güvenli bir alanın seçimi veya tasarımı, yangın, sel,
patlama, askeri saldırı ve diğer biçimdeki doğal veya insan yapımı afetlerden meydana gelebilecek hasar
ihtimallerini göze almalıdır. Ayrıca ilgili sağlık ve korunma standardlarına ve kurallarına da dikkat edilmelidir.
14
ICS 35.040
TÜRK STANDARDI
Ayrıca komşu çevrelerden, örneğin diğer alanlardan su borusu akıntısı gibi, gelebilecek olan güvenlik
tehditleri de göz önünde bulundurulmalıdır.
Aşağıdaki denetimler dikkate alınmalıdır.
a) Herkes tarafından erişimi engellemek için anahtar araçlar yerleştirilmelidir.
b) Binalar göze çarpmayan bir şekilde olmalıdır ve bilgi işleme faaliyetlerinin, bina içinde veya dışında,
varlığını tanımlayan belirgin bir işaret olmaksızın amaçlarıyla ilgili en az göstergeyi vermelidir.
c) Fotokopiler, faks makinaları gibi destek fonksiyonları ve donanımları, bilgiyi tehlikeye atan erişim
taleplerini engellemek için güvenli alan içine uygun bir şekilde yerleştirilmiş olmalıdır.
d) Pencereler için özellikle de zemin kat seviyesinde ihmal edilmiş ve harici koruma göz önüne alındığında,
kapılar ve pencereler kilitlenmiş olmalıdır.
e) Profesyonel standardlarda uygun izinsiz girişleri tespit sistemi ve düzenli olarak denetlenmesi, tüm harici
kapıları ve erişilebilir pencereleri kapsayacak şekilde yerleştirilmelidir. Boş alanlar her zaman uyarı
sinyalleriyle donatılmış olmalıdır. Kapsama, bilgi işlem odası veya haberleşme odaları gibi diğer alanları
da kapsamalıdır.
f) İşletme tarafında yönetilen bilgi işleme araçları, fiziksel olarak üçüncü taraflarca yönetilenlerden ayrılmış
olmalıdır.
g) Hassas bilgi işleme araçlarının yerini gösteren telefon rehberi veya dahili telefon kitapçıkları, başkaları
tarafından erişilebilir yerlerde olmamalıdır.
h) Tehlikeli ve patlamaya hazır maddeler, güvenli alandan uygun bir uzaklıkta güvenli bir şekilde
toplanmalıdır. Kırtasiye malzemeleri gibi tedarikler, gerek duyulmadıkça güvenli alan içinde
toplanmamalıdır.
i) Yedek donanımlar ve yedekleme ortamı, ana alanda oluşabilecek felaketler sonucundaki yıkımı önlemek
üzere uygun bir uzaklıkta yerleştirilmelidir.
7.1.4 Güvenli alanlarda çalışmak
Güvenli bir alanın güvenliğini genişletmek için ilave denetimler ve kılavuzlar gerekebilir. Bunlar, güvenli
alanda çalışan personel veya üçüncü tarafların denetiminin yanında burada yer alan üçüncü taraf
faaliyetlerinin denetimini de içerir. Aşağıdaki denetimler göz önünde bulundurulmalıdır.
a) Personel, güvenli alanın varlığını ve içerde yürütülen faaliyetleri, bilmesi gerektiği kadarından haberdar
edilmelidir.
b) Güvenlik sebeplerinden dolayı ve kötü niyetli faaliyetlere fırsat vermemek için güvenli alanlarda
denetlenmemiş çalışmalardan kaçınılmalıdır.
c) Boş güvenli alanlar fiziksel olarak kilitlenmeli ve düzenli aralıklarla kontrol edilmelidir.
d) Üçüncü taraf destek hizmetleri personeline sadece gerekli olduğunda güvenli alanlara veya hassas bilgi
işleme araçlarına sınırlandırılmış erişim verilmelidir. Bu erişim yetkilendirilmeli ve gözlemlenmelidir.
Alanlar arasında, güvenlik çevresi içerisinde farklı güvenlik gerekleriyle birlikte fiziki erişimi denetlemek
için ilave engellere ve çevrelere gerek duyulabilir.
e) Yetki verilmediği sürece, fotoğraflama, görüntüleme, ses kaydetme gibi kayıt araçlarına izin verilmemelidir.
7.1.5 Ayrılmış dağıtım ve yükleme alanları
Dağıtım ve yükleme alanları denetlenmeli ve eğer mümkünse yetkisiz erişimi engellemek için bilgi işleme
araçlarından ayrılmalıdır. Bu gibi bölgeler için güvenlik gerekleri risk değerlendirmesi aracılığıyla
belirlenmelidir. Aşağıdaki denetimler göz önünde bulundurulmalıdır .
a) Bina dışından bulundurma bölgesine erişim, tanımlanmış ve yetkili personelle sınırlandırılmalıdır.
b) Bulundurma bölgesi, dağıtım elemanlarının binanın diğer kısımlarına erişimi kazanmaksızın malzemeleri
boşaltabilecekleri şekilde tasarlanmış olmalıdır.
c) Dahili kapı açık olduğunda, bulundurma bölgesine ait harici kapı(lar)ın güvenli olması gerekmektedir.
d) Dışarıdan gelen malzemeler, bulundurma bölgesinden kullanım noktasına taşınmadan önce, olası
tehlikelere [Madde 7.2.1d)] karşı kontrol edilmelidir
e) Dışarıdan gelen malzemeler, eğer uygunsa alana girişinde kaydedilmelidir (Madde 5.1)
15
ICS 35.040
TÜRK STANDARDI
7.2 Teçhizat güvenliği
Amaç: Varlıkların kayıplarını, hasar veya tehlikelerini ve ticari faaliyetlerdeki kesilmenin önlenmesi.
Teçhizatlar güvenlik tehditlerinden ve çevresel tehlikelerden fiziki olarak korunmalıdır.
Teçhizatların korunması (alan dışında kullanılanlar dahil) veriye yetkisiz erişim riskini azaltmak ve kayıp ve
hasara karşı korumak için gereklidir. Bu ayrıca teçhizatların yerleştirilmesini ve düzenini de göz önünde
bulundurmalıdır. Tehlikelere veya yetkisiz erişimlere karşı korumak ve elektrik kaynağı, kablo altyapısı gibi
destek araçlarını koruma altına almak için özel denetimlere gerek duyulabilir.
7.2.1 Donanım yerleştirilmesi ve koruma
Teçhizatlar, çevresel tehditler ve tehlikelerden oluşan riskleri ve yetkisiz erişim fırsatlarını azaltmak üzere
yerleştirilmeli ve korunmalıdır. Aşağıdaki denetimler göz önünde bulundurulmalıdır.
a) Teçhizatlar iş alanları içinde gereksiz erişimi azaltmak üzere yerleştirilmelidir.
b) Hassas veriler tutan bilgi işleme ve yükleme araçları, kullanımları sırasında gizlice izlenme riskini
düşürmek üzere yerleştirilmelidir.
c) Özel koruma gerektiren öğeler, gereken genel koruma seviyesini düşürmek için ayrılmalıdır.
d) Denetimler, aşağıdaki olası tehditlerle ilgili riskleri en aza indirmek için kurulmalıdır:
1) Hırsızlık
2) Yangın;
3) Patlamalar;
4) Duman;
5) Su, sel (veya kaynak bozulması);
6) Kirlilik;
7) Titreşim;
8) Kimyasal etkiler;
9) Elektrik kaynağı karışmaları;
10) Elektromanyetik radyasyon.
e) Bir organizasyon, yiyecek, içecek ve sigara içme politikalarını bilgi işleme araçlarına yakınlığına göre
gözden geçirmelidir.
f) Çevresel şartlar, bilgi işleme araçlarının faaliyetlerini geri dönülemez biçimde etkileyen şartlara göre
gözlemelidir.
g) Endüstriyel çevreler içindeki teçhizatlar için, dokunmaya duyarlı klavyeler gibi özel koruma yöntemleri
düşünülmelidir.
h) Yakın çevrede oluşan felaketler örneğin komşu binada çıkan bir yangın, çatıdan akan su veya zemin kat
seviyesinden aşağıdaki katlara akan su veya caddede olan bir patlama göz önünde bulundurulmalıdır.
7.2.2 Güç kaynakları
Teçhizatlar, güç kaynağı bozulmalarından veya diğer olağandışı elektriksel olaylardan korunmalıdır.
Donanım üreticisinin belirttiği özelliklere uygun elektrik kaynağı sağlamalıdır. Güç kaynaklarının sürekliliğini
kazanmak için seçenekler aşağıdakileri içerir :
a) Güç kaynağındaki tek noktada bozulmaları engellemek için çoklu besleme;
b) Kesintisiz güç kaynakları (UPS);
c) Yedekleme jeneratörü.
Sırayla kapatılmayı veya sürekli çalışmayı desteklemek için, bir UPS, önemli iş faaliyetlerini destekleyen
teçhizatlar için tavsiye edilir. Olasılık planları, UPS’in bozulması halinde alınacak önlemleri de kapsamalıdır.
UPS donanımı, uygun kapasiteye sahip olduğunun ve üreticinin tavsiyelerine uygun olarak test edildiğinin
garanti edilmesi için düzenli olarak kontrol edilmelidir.
Bir yedekleme jeneratörü, eğer işleme sürekli bir güç kesilmesine rağmen devam etmek zorunluluğu varsa
düşünülmelidir. Eğer kurulmuşsa, jeneratörler üreticilerin talimatlarına uygun olarak kontrol edilmelidir.
Jeneratörün belirli bir sürede çalışabileceğini garanti etmek için uygun yakıt tedariki mevcut olmalıdır.
16
ICS 35.040
TÜRK STANDARDI
Buna ek olarak, acil güç anahtarları, acil durumlarda hızlı güç kapatılmasını kolaylaştırmak için, donanım
odalarının içindeki acil çıkışlarının yanına yerleştirilmelidir. Ana güç kesintisinin olma olasılığına karşılık, acil
ışıklandırma sağlanmalıdır. ışıklandırma koruması tüm binaya uygulanmalıdır ve ışıklandırma koruma
filtreleri tüm harici haberleşme hatlarına takılmalıdır.
7.2.3 Kablo güvenliği
Veri taşıyan veya bilgi hizmetlerini destekleyen güç ve haberleşme kabloları, durdurmalardan veya
hasarlardan korunmalıdır. Aşağıdaki denetimler göz önünde bulundurulmalıdır.
a) Bilgi işleme araçlarına giden güç ve haberleşeme hatları mümkün olan yerlerde yer altından geçirilmelidir
veya uygun alternatif korumalar sağlanmalıdır.
b) Ağ kabloları yetkisiz durdurmalardan veya hasarlardan korunmalıdır. Örneğin elektrik tellerini muhafaza
eden borular kullanılarak veya umumi alanlara giden yollardan kaçınarak.
c) Karışmayı engellemek için güç kabloları, haberleşme kablolarından ayrılmalıdır.
d) Hassas ve önemli sistemler için düşünülmesi gereken ileri denetimler aşağıdakileri içerir:
1)
2)
3)
4)
Zırhla kaplanmış elektrik borularının döşenmesi ve teftiş ve sınır noktalarında kilitli odalar ve kutular;
Alternatif yolların ve aktarım ortamlarının kullanılması;
Fiber optik kabloların kullanılması;
kablolara eklenmiş olan yetkisiz aygıtların temizlenmesi;
7.2.4 Donanım bakımı
Teçhizatların, elverişliliğinin ve güvenilirliğinin garanti edilmesi için doğru bir biçimde bakımı sağlanmalıdır.
Aşağıdaki denetimler göz önünde bulundurulmalıdır:
a)
b)
c)
d)
Teçhizatların tedarikçinin tavsiye ettiği servis aralıklarına ve talimatlara uygun olarak bakımı yapılmalıdır.
Sadece yetkili bakım personeli, onarımları ve servis teçhizatlarını gerçekleştirmelidir
Tüm şüpheli ve mevcut hatalar ve tüm engelleyici ve düzeltici bakımlara ait kayıtlar tutulmalıdır.
Teçhizatlar bakım için dışarıya gönderildiklerinde uygun denetimler yapılmalıdır (7.2.6 silinmiş,
temizlenmiş ve üstüne yazılmış verilerle ilgili) Sigorta poliçeleri tarafından istenen tüm gerekler
uygulanmalıdır.
7.2.5 Çevre dışı teçhizatların güvenliği
Sahibine bakmaksızın, bilgi işleme için organizasyonun çevresi dışında her donanımın kullanımı yönetim
tarafından yetkilendirilmelidir. Sağlanan güvenlik organizasyonun çevresi dışında çalışmanın risklerini
dikkate alarak, aynı amaçla alan içinde kullanılan teçhizatlarla eşit olmalıdır. Bilgi işleme teçhizatları, ev
çalışması için tutulan veya normal iş yerleşiminden uzağa taşınan her çeşit kişisel bilgisayarları,
düzenleyicileri, cep telefonlarını, kağıt veya diğer belgeleri içerir. Aşağıdaki kılavuzlar göz önüne alınmalıdır.
a) Çevre dışına çıkarılmış donanım ve ortamlar, umumi alanlarda başıboş bırakılmamalıdır. taşınabilir
bilgisayarlar, el bavulu gibi aşınmalı ve seyahat ederken mümkün olan yerlerde gizlenmelidir.
b) Donanımın korunması ile ilgili üreticinin talimatları her zaman izlenmelidir, öreğin güçlü elektromanyetik
alanlarda meydana gelen çıkışlara karşı.
c) Ev çalışması denetimleri, risk değerlendirmesi ve uygun denetimler aracılığıyla belirlenmelidir. örneğin
kilitlenebilir dosya dolapları, temiz masa politikası ve bilgisayarlar için erişim denetimleri.
d) Dışarıdaki teçhizatları korumak için doğru sigorta kapsamları yer almalıdır.
Güvenlik riskleri, örneğin hasar, hırsızlık ve izinsiz dinleme, yerleşim yerleri arasında önemli derecede
değişiklik gösterebilir ve en uygun denetimlerin belirlenmesinde dikkate alınmalıdır. Hareketli teçhizatların
korunmasına dair diğer konular Madde 9.8.1’de bulunabilir.
7.2.6 Teçhizatların güvenli düzenlenmesi ve tekrar kullanımı
Bilgi, teçhizatların dikkatsizce düzenlenmesi ve tekrar kullanımıyla tehlikeye girebilir (Madde 8.6.4). Hassas
bilgiler içeren depolama aygıtları, standard silme fonksiyonunu kullanmak yerine, fiziksel olarak yok edilmeli
veya güvenli olarak üstüne yazılmalıdır. Depolama ortamı içeren, örneğin takılmış sabit diskler, teçhizatların
tüm öğeleri, tüm hassas verilerin ve lisanslı yazılımların düzenlenmeden önce kaldırılmış olduğunu veya
üstüne yazılmış olduğunu temin edilmesi için kontrol edilmelidir.
17
ICS 35.040
TÜRK STANDARDI
Hassas veri içeren tahrip edilmiş depolama hizmetleri, öğelerin yok edilmesini mi, onarılmasını mı veya
atılmasını mı gerektiğinin belirtmesi için bir risk değerlemesine gereksinim duyabilir.
7.3 Genel denetimler
Amaç: Bilgi ve bilgi işleme araçlarının hırsızlığa veya tehlikeye atılmasının önlenmesi.
Bilgi ve bilgi işleme araçlarının, yetkisiz kişilere ifşa edilmesinden, yetkisiz kişilerce değiştirilmesinden veya
çalınmasından korunmalıdır ve denetimler kayıp veya hasarları en aza indirgemek için yer almalıdır.
İşleme ve depolama yöntemleri Madde 8.6.3’te ele alınır.
7.3.1 Temiz masa ve temiz ekran politikası
Organizasyonlar, normal çalışma saatleri süresince ve dışında bilgiye yetkisiz erişim, bilgi kaybı ve hasarı
risklerini azaltmak amacıyla kağıtlar ve kaldırılabilir depolama ortamları için temiz masa politikasını
uygulamayı ve bilgi işleme araçları için temiz ekran politikasını uygulamayı göz önünde bulundurmalıdır.
Politika bilgi güvenlik sınıflandırmalarını (Madde 5.2), yerini tutan riskleri ve organizasyonun kültürel
konularını dikkate almalıdır.
Masalarda bırakılmış bilgilerin yangın, sel veya patlama gibi felaketlerde hasar görme ve yok olma olasılığı
çok yüksektir.
Aşağıdaki denetimler göz önünde bulundurulmalıdır.
a) Uygun olan yerlerde, kağıt ve bilgisayar ortamı, kullanılmadığında özellikle de çalışma saatleri dışında
uygun kilitli depolarda ve / veya diğer çeşit güvenlik mobilyalarında depolanmalıdır.
b) Hassas ve önemli iş bilgileri, gerekmedikleri zamanda özellikle de büro boş olduğunda, kilitlenmelidir
(ideal olarak yangına dayanıklı korumalarda veya dolaplarda)
c) Kişisel bilgisayarlar ve bilgisayar terminalleri ve yazıcılar, başıboş olduklarında oturum açık olarak
bırakılmamalılardır ve anahtar kilitler, şifreler veya diğer denetimler aracılığıyla kullanılmadıkları
zamanlarda korunmalıdırlar.
d) Gelen ve giden mesaj noktaları ve başıboş faks veya teleks makinaları korunmalıdır.
e) Fotokopi makinaları kilitlenmelidir (veya yetkisiz kullanımlardan başka yollardan korunmalıdır) normal
çalışma saatlerinin dışında.
f) Hassas ve sınıflandırılmış bilgi basıldığında yazıcıdan hemen temizlenmelidir.
7.3.2 Teçhizatların kaldırılması
Teçhizat, bilgi veya yazılım yetkisiz olarak alan dışına çıkarılmamalıdır. Uygun ve gerekli olan yerlerde, geri
döndürüldükleri zaman teçhizatların kaydedilmeleri gerekir. Teçhizatların yetkisiz kaldırımını tespit etmek için
nokta denetimler üstlenilmelidir. Nokta denetimlerin uygulanacağı hakkında kişiler haberdar edilmelidir.
8
İletişim ve işletim yönetimi
8.1 İşletim prosedürleri ve sorumlulukları
Amaç: Bilgi işlem tesislerinin doğru ve güvenle işletildiğinden emin olunması.
Tüm bilgi işlem tesislerinin işletim ve yönetim prosedürleri ile sorumlulukları tesis edilmelidir. Bunlar, uygun
işletim talimatlarının geliştirilmesini ve ani tepki prosedürlerini kapsar.
Sistemin, bilerek ya da bilmeyerek yanlış kullanım riskini bulunduğu yerlere göre görevler ayrılmalıdır
(Madde 8.1.4).
8.1.1 Yazılı işletim prosedürleri
Güvenlik politikasında tanımlanan işletim prosedürleri, yazılı ve sürekli olmalıdır. İşletim prosedürleri, gücünü
yönetimden alan resmi belge ve değişiklikler şeklinde işlem görmelidir.
18
ICS 35.040
TÜRK STANDARDI
Her işin ayrıntılarıyla yerine getirilmesi için, aşağıdaki hususları kapsayan talimatlar, prosedürlerde ifade
edilmelidir:
a) Bilginin elde edilmesi ve işlenmesi,
b) Diğer sistemlerle karşılıklı bağımlılıklar, en erken işe başlama ve en geç iş bitirme zamanlarını kapsayan
ihtiyaçların planlanması,
c) Sistem kolaylıklarının kullanımını kısıtlayan ve işin yapılması esnasında ortaya çıkan hatalara ve diğer
istisnai durumlara karşı yapılacak işlere dair talimat,
d) Beklenmedik işletim ve teknik aksaklıkların olması durumundaki destek temas noktaları,
e) Tamamlanmamış işlerdeki ürün atıklarının emniyeti hususlarını kapsayan, gizli ürün yönetimi ya da özel
kırtasiye kullanımı gibi özel malzeme işlem talimatları,
f) Sistemde arıza meydana geldiğinde kullanmak üzere sistemi yeniden başlatma ya da kurtarma
prosedürleri.
Bilgisayarların açılıp kapanması, yedekleme, teçhizatın bakımı, bilgisayar odası ve posta alma-gönderme
yönetimi ve emniyet gibi işlem ve iletişim tesisleriyle beraber yürütülen sistem idame faaliyetleri için yazılı
prosedürler hazırlanmalıdır.
8.1.2 İşletim değişiklik odası
Bilgi işlem tesisleri ve sistemlerine dair değişiklikler kontrol altında tutulmalıdır. Bilgi işlem tesisleri ve
sistemlerinin değişikliklerine ilişkin kontrolün yetersizliği, sistem ya da emniyet konusundaki aksaklıkların en
önde gelen nedenlerindendir. Resmi yönetim sorumlulukları ve prosedürler, teçhizat, yazılım ve prosedürlere
ilişkin tüm değişiklerin tatmin edici bir şekilde kontrolünü sağlayan bir konumda olmalıdır. İşletim kuralları, en
katı değişiklik kurallarına maruz kalmalıdır. Programlar değiştiğinde, konu ile ilişkili tüm hususları kapsayan
bir izleme kaydı tutulmalıdır. İşletme çevresine ilişkin değişiklikler, uygulamalara tesir edebilir. Uygulanabilir
olduğu her yerde, işletim ve uygulama değişiklik kontrol prosedürleri birebirlerine entegre edilmelidirler
(Madde 10. 5. 1). Tek tek ele alınacak olursa, aşağıdaki kontroller göz önüne alınmalıdır.
a)
b)
c)
d)
e)
Önemli değişikliklerin kaydedilmesi ve tanımlanması,
Bu tür değişikliklerin potansiyel tesirinin değerlendirmesi,
Önerilen değişiklikler için resmi onay prosedürleri,
İlişkili tüm personele değişiklik detaylarının bildirilmesi,
Başarısız değişikliklerin onarılması ya da sona erdirilmesi için sorumlulukları belirleyen prosedürler.
8.1.3 Olay yönetim prosedürleri
Olay yönetim prosedürleri ve sorumlulukları, güvenlik olaylarına çabuk, etkin ve bir sıra dahilinde müdahale
edilmesini sağlamak maksadıyla tesis edilmiştir. Bu konu ile ilgili olarak aşağıdaki kontroller göz önüne
alınmalıdır.
a) Güvenlikle ilgili tüm potansiyel türleri kapsayan prosedürler oluşturulmalı. Bu prosedürler şu hususları
kapsamalıdır.
1)
2)
3)
4)
Bilgi sistem arızaları ve hizmet kaybı,
Hizmetin reddi,
Tamamlanmamış ya da doğru olmayan iş verilerinden kaynaklanan hatalar,
Gizliliğin ihlal edilmesi.
b) Prosedürler, normal, ani durum planlarına ilave olarak aşağıdaki hususları da kapsamalıdır (Madde 6.3.4)
1)
2)
3)
4)
5)
Olayın nedenin analizi ve tanımlanması,
Eğer gerekli ise tekrar olmaması için gerekli tedbirlerin planlanması ve uygulanması,
Kanıta benzer şeylerin ve resmi kayıtların bir araya getirilmesi,
Olaydan kurtulanlar ya da karışanlarla temas kurulması,
Uygun makama olayın rapor edilmesi.
19
ICS 35.040
TÜRK STANDARDI
c) Resmi bulgular ve kanıta benzer şeyler, uygun şekilde toplanıp emniyet altına alınmalıdır (Madde 12.1.7)
1) İç sorun analizi,
2) Veri koruma işleminin yürütülmesi ya da bilgisayarların yanlış kullanımı gibi adli işlemlerde ya da adli
olmayan olaylarda, mevcut düzenin gereklerinin ihlali veya bir anlaşmanın potansiyel ihlaline karşı
ilintili olanları kanıt olarak kullanılması.
3) Yazılım ve Servis sağlayıcılarla müzakere edilerek zararın giderilmesi.
d) Güvenlik ihlallerinin giderilmesi hareketi ve düzgün sistem arızaları, dikkatli bir biçimde ve resmi olarak
kontrol altında olmalıdır. Söz konusu prosedürler aşağıdaki hususları sağlamalıdır:
1) Yalnız, açıkça belirtilmiş ve yetkilendirilmiş personel canlı sistem ve veriye erişmesine izin verilir
(Madde 4.2.2)
2) Alınacak tüm acil hareketler ayrıntılarıyla yazılmalıdır.
3) Acil durum hareketi, sıralı olarak gözden geçirilmeli ve yönetime rapor edilmelidir.
4) İş sistemleri ve kontrollerinin bütünlüğü en az gecikme ile teyit edilmelidir.
8.1.4 Görevlerin Ayrılması
Görevlerin ayrılması, kazara ya da kasten sistemin yanlış kullanım riskini azaltan bir metottur. Yetki
verilmeyen değişikliklerin meydana gelmesini ya da bilgi veya servislerin yanlış kullanımını azaltmak
maksadıyla belli görevlerin yerine getirilmesi ya da yönetimi veya sorumluluk alanlarının ayrılması
değerlendirilmelidir.
Küçük organizasyonlar, bunu başarılması zor bir kontrol metodu olarak değerlendirebilirler; fakat bu prensip
mümkün olabildiği kadar uygulanmalıdır. Ne zaman ayrım yapmak zorlaşırsa, faaliyetlerin izlenmesi, yönetim
gözetimi ve kayıtların denetimi gibi diğer kontroller dikkate alınmalıdır. Güvenlik denetiminin bağımsız olması
önem arz etmektedir.
Göz ardı edilmemelidir ki, hiç kimse, fark edilmeden tek kişinin sorumluluğunda bulunan yerlerde
dolandırıcılık suçunu işleyemez. Bir olayın başlangıcı, kendi yetkilendirmesinden ayrı tutulmalıdır. Bu
maksatla aşağıdaki kontrol tedbirleri dikkate alınmalıdır.
a) Dolandırıcılık için gizli anlaşma gerektiren faaliyetlerin ayrılması önemlidir. Örneğin; Satın alma emirlerinin
artması ve teslim alınan malzemelerin doğrulanması,
b) Eğer gizli anlaşma tehlikesi varsa, o zaman, iki ya da daha fazla kişiyi gerektiren kontrol tedbirleri
geliştirilmelidir; böylelikle dolandırıcılık ihtimali azaltılır.
8.1.5 Geliştirme ve İşletim Tesislerinin Ayrılması
Geliştirme, deneme ve işletim tesislerinin ayrılması, ilgili rollerin ayrılmasını başarmak bakımından önemlidir.
Geliştirme sürecinden işletim durumuna yazılımın transfer edilmesinin kuralları tanımlanmalı ve yazılı
olmalıdır.
Geliştirme ve deneme faaliyetleri, sistemin arızalanmasına ya da dosyalarda veya sistemde istenmeyen
değişiklikler gibi ciddi sorunlara yol açabilir. İşletim sorunlarını önlemek için, işletimle deneme ve geliştirme
arasında gerekli olan ayrımın seviyesi göz önüne alınmalıdır. Benzer bir ayrım deneme ve geliştirme
fonksiyonları arasında uygulanabilir. Bu durumda, uygun olmayan gelişimci erişimini önlemek ve anlamlı
denemeleri yapmak maksadıyla bilinen, sabit bir çevreye gerek vardır.
Geliştirme ve deneme ekibi, nerede işletim sistemi ve bilgisine erişirse, yetkisiz ve denenmemiş kodları
tanıyabilir ve bilgileri değiştirebilirler. Bu yetenek, bazı sistemlerde denenmemiş ya da uygun olmayan
şifreleri tanıtmak veya dolandırıcılık yapmak şeklinde suistimal edilebilir. Denenmemiş ya da uygun olmayan
şifreler ciddi işletim sorunlarına neden olabilir. Gelişimciler ve deneyiciler işletim bilgisinin gizliliği için bir
tehdit unsuru olabilirler.
Aynı hesap ortamını paylaşıyorlarsa, geliştirme ve deneme faaliyetleri, bilgi ve yazılımda istenmeyen
değişikliklere neden olabilir. Geliştirme, deneme ve işletim faaliyetlerini ayırmak suretiyle, iş verilerine ve
işletim yazılımına yetkisiz erişimi veya kazara değişiklik yapma tehlikesi azaltılır. Aşağıdaki kontroller dikkate
alınmalıdır.
20
ICS 35.040
TÜRK STANDARDI
a) Geliştirme ve işletim yazılımı, mümkün olduğu her yerde, ayrı bilgisayar işlemcilerinde ya da değişik etki
alanlarında veya dizinlerde çalışmalıdır.
b) Geliştirme ve deneme faaliyetleri mümkün olduğunca bir birlerinden ayrılmalıdır.
c) Derleyiciler, editörler ve diğer sistem kolaylıkları, talep edilmedikçe işletim sisteminden erişilebilir
olmamalıdır.
d) Değişik kayıt olma işlemleri, hata riskini azaltmak için işletim ve deneme sistemlerinde kullanılmalıdır.
Kullanıcılar, bu sistemler için değişik şifreler kullanmaya cesaretlendirilmeli ve menüler uygun tanımlama
mesajları ile görüntülenmelidir.
e) Geliştirme ekibi sadece, işletim sistemlerinin desteği için şifrelerin dağıtım işleminin yapıldığı yerde
bulunan kontrol noktalarındaki işletim şifrelerine erişim sağlayabilmelidir. Kontrol noktaları kullanılan
şifrelerin değiştirilmesini temin ederler.
8.1.6 Dış tesislerin yönetimi
Bilgi işlem tesislerinin yönetimi için dışarıdan birilerini kullanmak, sözleşme yapılan dışarıdan gelen
personelin sitesinde veri kaybı ya da verinin zarar görmesi münasebetiyle lekelenmesi ihtimali gibi
nedenlerle potansiyel güvenlik sorunlarının ortaya çıkmasına neden olabilir. Söz konusu bu riskler, bir an
önce tanımlanmalı ve karşılıklı olarak anlaşılarak uygun kontrol tedbirleri anlaşmaya dahil edilmelidir
(Madde 4.2.2 ve Madde 4.3)
Belirtilmesinde önem arz eden özel hususlar:
a)
b)
c)
d)
e)
İçeride alıkonulmasından daha iyi olduğu değerlendirilen hassas ve kritik uygulamaların tanımlanması,
İş sahiplerinin onayının alınması,
İş süreklilik planlarının uygulamaları,
Belirlenecek emniyet standardları ve uyumun ölçülmesi prosesi,
İlintili olan tüm güvenlik faaliyetlerinin etkin bir biçimde izlemek maksadıyla belirli prosedürlerin ve
sorumlulukların tahsisi,
f) Güvenlik olaylarının ele alınması ve rapor edilmesi için prosedürler ve sorumluluklar.
8.2 Sistem planlama ve kabul etme
Amaç:Sistem arızalarını en az seviyeye indirilmesi.
İleri planlama ve hazırlık, yeterli kapasite ve kaynakların uygunluğunu kesinleştirmek için ihtiyaç duyulur.
Gelecek kapasite ihtiyaçlarının projeksiyonları, sistemin aşırı yükleme riskine karşılık yapılmalıdır.
Yeni sistemin işletim ihtiyaçları belirlenmeli, yazılmalı ve kabul edilip kullanılmadan denenmelidir.
8.2.1 Kapasite planlama
Kapasite talepleri izlenmeli ve gelecekteki kapasite ihtiyaçlarının projeksiyonları yeterli işlem gücü ve uygun
depolamadan garanti olmak şartıyla yapılmalıdır. Yeni iş ve sistem ihtiyaçlar ile organizasyonun bilgi
işlemindeki mevcut ve tahmin edilen eğilimler hesaba katılmalıdır.
Yeni kapasitenin tedariki için daha çok para ve zaman gerektiğinden ana bilgisayar konumundaki
bilgisayarlara özel önem verilmelidir. Ana sistemlerin yöneticileri, işlemciler, esas saklama, dosya saklama,
yazıcılar, diğer çıktı aygıtları ve iletişim sistemlerini kapsayan anahtar sistem kaynaklarının kullanımını
izlemelidirler. Özellikle iş konuları ya da bilgi sistem aygıtları ile ilişkili mevcut eğilimleri tanımlamalıdırlar.
Yöneticiler, sistemin güvenliği ya da kullanıcı servisler için tehdit oluşturan potansiyel darboğazlardan
sakınmak ve tanımlandırmak için bu bilgileri kullanmalı ve uygun iyileştirici tedbirleri planlamalıdır.
8.2.2 Sistemin kabulü
Yeni bilgi sistemleri, yükseltmeler ve yeni versiyonların kabul etme kriterleri tespit edilmeli ve sistem kabul
edilmeden önce denenmelidir. Yöneticiler, ihtiyaçların ve yeni sistemin kabulü için belirlenen kriterlerin
açıkça ifade edildiğinden, mutabık kalındığından, yazıldığından ve denendiğinden emin olmalıdır. Aşağıdaki
kontroller göz önüne alınmalıdır:
21
ICS 35.040
TÜRK STANDARDI
a)
b)
c)
d)
e)
f)
g)
Performans ve bilgisayar kapasitesi ihtiyaçları,
Hata düzeltmesi ile yeniden başlatma prosedürleri ve acil durum planları,
Standardları tanımlamak için rutin işletim prosedürlerinin hazırlığı ve denenmesi,
Kararlaştırılan yerde alınacak güvenlik kontrolleri,
Etkin kılavuz prosedürler,
Madde 11.1’de istendiği şekilde iş sürekliliğinin düzenlenmesi,
Yeni sistem kurulumunun, mevcut sistemin işleyişine özellikle iş yoğunluğunu doruğa çıktığı zamanlarda,
örneğin; ay sonlarında, olumsuz etki yapmayacağını ispatı,
h) Yeni sistemin, teşkilatın tümünün güvenliği üzerinde etkili olacağı anlayışının ispatı,
i) Yeni sistemin kullanımı ya da işletim eğitimi.
Önemli yeni geliştirmeler ile işletim fonksiyonu ve kullanıcılar, önerilen sistem dizaynının işletim etkinliğinden
emin olmak maksadıyla geliştirme proseslerinin her seviyesinde karşılıklı görüş alışverişinde bulunmalıdır.
Bütün kabul kriterlerinin tamamen tatmin edici olduğunu teyit maksadıyla uygun testler yapılmalıdır.
8.3 Kötü niyetli yazılımlara karşı koruma
Amaç: Bilgi ve yazılım bütünlüğünün korunması
Kötü niyetli yazılımın girişini tespit edecek ve önleyecek tedbirler gerekmektedir.
Yazılım ve bilgi işlem tesisleri, bilgisayar virüsleri, ağ kurtları, Truva atları (Madde 10.5.4) ve mantık
bombaları gibi kötü niyetli yazılımın girişine karşı hassastır. Kullanıcılar, kötü niyetli ve yetkisiz yazılımlardan
haberdar edilmeli; yöneticiler uygun olan yerlerde bunları girişlerini önleyen veya tespit eden özel kontrol
tedbirlerini tanıtmalıdır. Özellikle, kişisel bilgisayarlarda bilgisayar virüslerini tespit eden ve koruyan
tedbirlerin alınması gereklidir.
8.3.1 Kötü niyetli yazılımlara karşı kontroller
Kötü niyetli yazılımlara karşı korumak maksadıyla tespitte bulunan ve koruma sağlayan kontroller ile uygun
kullanıcı duyarlılığı prosedürleri uygulanmalıdır. Kötü niyetli yazılımlara karşı koruma, güvenlikten haberdar
olunması, uygun sistem erişimi ve değişik yönetim kontrolleri esasına dayanır. Aşağıdaki kontroller göz
önüne alınmalıdır.
a) Yetkisiz yazılım kullanımını yasaklayan ve yazılım lisanslarıyla uyumluluk gerektiren resmi bir politika
(Madde 12.1.2.2),
b) Yazılım ve dosyalardan elde edilen ya da harici ağlar veya koruyucu tedbirler alınmasını gerektiren diğer
ortam tehlikelerine (Madde 10.5, özellikle Madde 10.5.4 ve Madde 10.5.5) karşı korumak maksadıyla
resmi bir politika,
c) Önceden alınan bir tedbir olarak ya da rutin bir esasa bağlanarak, bilgisayarların taranması için anti-virüs
tespitinin kurulumu, düzenli güncellenmesi ve yazılımın kurtarılması,
d) Kritik iş proseslerini destekleyen sistemlerin veri içeriği ve yazılımın düzenli olarak gözden geçirilmesi.
Onaylanmamış dosyaların ya da yetkisiz değişikliklerin olması halinde resmi olarak soruşturulmalıdır.
e) Güvenilmeyen ağlardan alınan dosyalar ya da kaynağı belli olmayan, elektronik ortamdaki dosyaların
kullanımdan önce virüs kontrolünün yapılması,
f) Elektronik posta ekleri ve kötü niyetli yazılımın kullanımdan önce kontrol edilmesi; bu kontrolün birkaç
merkezde yapılması. Örneğin, organizasyonun şebekesine giren elektronik posta sunucularında,
masaüstü bilgisayarlarda,
g) Sistemin virüs koruma ile ilgili yönetim prosedürleri ve sorumlulukları, bu prosedürlerin kullanımlarının
eğitimi, virüs saldırmalarından kurtarma ve rapor verilmesi (Madde 6. 3 ve 8.13)
h) Virüs saldırılarından kaynaklanan tüm gerekli veri yazılım yedeklemesi ile kurtarmaya ilişkin
düzenlemeleri kapsayan uygun, iş süreklilik planlarını kurtarılması,
i) Kötü niyetli yazılımla ilgili tüm bilgileri doğrulayan prosedürler ve uyarı bültenlerinin doğru ve bilgilendirici
olduğundan emin olunması, Yöneticiler, güvenilir Internet siteleri veya anti-virüs yazılımı yapanlar gibi
nitelikli kaynaklar, gerçek virüslerle aldatıcı virüsler arasında çeşitlendirici olarak kullanılmalıdır. Ekip,
aldatma sorunları ile alınmaları hakkında ne yapılacağı hakkında bilgilendirilmelidir.
Bu kontroller, özellikle çok sayıda çalışma grupları destekleyen ağ şebekesi dosyaları için önemlidir.
22
ICS 35.040
TÜRK STANDARDI
8.4 Ortamın muhafazası
Amaç: Bilgi işlem ve iletişim hizmetlerinin kullanılabilirliliği ve bütünlüğünün sürdürülmesi.
Kararlaştırılan yedekleme stratejisini sürdürmek (Madde 11.1), veri kopyalarının yedeklenmesini almak,
olayların ve hataların kayıt altına alınması ve mümkün olması halinde donanımın bulunduğu çevrenin
izlenmesine dair alışılmış prosedürler, tesis edilmelidir.
8.4.1 Bilgi yedeklemesi
Gerekli iş bilgisi ve yazılımın yedekleme kopyaları düzenli olarak alınmalıdır. Gerekli tüm iş bilgileri ve
yazılımın bir felaket ya da ortamın zarar görmesi sonrası yeniden kurtarılabilen yeterli yedekleme tesisleri
bulunmalıdır. Bireysel sistemler için yedekleme düzenlemeleri sürekli iş planlarının ihtiyaçlarını
karşılayacağından emin olmak için düzenli olarak test edilmelidir (Madde 11.1). Aşağıdaki kontroller dikkate
alınmalıdır.
a) Yazılı koruma prosedürleri ve yedekleme kopyalarının tam ve doğru kayıtlarıyla birlikte en alt yedekleme
bilgi seviyesi, ana sitede meydana gelebilecek bir felaketten kaçmaya yetecek kadar uzaklıktaki bir
uzaktan erişim istasyonunda saklanmalıdır. Önemli iş uygulamaları için en az üç yedekleme süresi ya da
kuşağı muhafaza edilmelidir.
b) Ana sitedeki standardlara uygun fiziksel ve çevre koruma seviyesi olarak yedekleme bilgisi verilmelidir.
Ana sitedeki ortamda uygulanan kontroller, yedeklemenin yapılacağı siteyi de kapsamalıdır.
c) Yedekleme ortamı, mümkün olan her yerde, gerektiğinde kullanılabilir olduğundan emin olmak
maksadıyla düzenli olarak test edilmelidir.
d) Onarım prosedürleri, onarım için gerekli olan işletim prosedürlerinin verilen zaman içinde tamamlanabilir
ve etkili olduğundan emin olunması maksadıyla düzenli olarak kontrol ve test edilmelidir.
Gerekli iş bilgilerinin saklama süresi ile sürekli olarak saklanacak arşiv kopyaları için gerekenler tespit
edilmelidir. (Madde 12.1.3)
8.4.2 İşletmen kayıtları
İşletmenler, yaptıkları faaliyetlerin bir kaydını tutmalıdırlar. Kayıtlar, mümkün olması halinde aşağıdaki
hususları kapsamalıdır:
a)
b)
c)
d)
Sistemin açılma ve kapanma zamanı,
Sistem hataları ve alınan düzeltici tedbirler,
Bilgisayar çıktısının ve veri dosyalarının düzeltildiğinin teyidi,
Kayıt girişi yapan personelin adı soyadı.
İşletmen kayıtları, işletim prosedürlerine karşı düzenli ve bağımsız denetimlere tabi tutulmalıdır.
8.4.3 Hata kaydı tutulması
Hatalar rapor edilmeli ve düzeltici tedbirler alınmalıdır. Bilgi işlem ya da iletişim sistemleri ile ilgili olarak
kullanıcılar tarafından rapor edilen hataların kaydı tutulmalıdır. Rapor edilen hataların değerlendirilmesi için
aşağıdaki hususları kapsayan açık kurallar olmalıdır.
a) Hataların tatmin edici bir şekilde giderildiğinden emin olmak için hata kayıtlarının gözden geçirilmesi,
b) Kontrollerin, yapılabilirliliği konusundaki tereddütlerin giderildiğinden ve alınan tedbirlerin tamamen yetkin
olduğundan emin olmak için, düzeltici tedbirlerin gözden geçirilmesi.
8.5 Ağ yönetimi
Amaç: Ağlarda yer alan bilgilerin emniyetinin ve destekleyen altyapı sisteminin korunmasının sağlanması.
Organizasyon sınırlarını aşan ağların güvenlik yönetimi büyük dikkat gerektirir.
Herkesin erişim sağladığı ağlardaki hassas verilerin korunması için ilave kontrol tedbirleri de gerekebilir.
23
ICS 35.040
TÜRK STANDARDI
8.5.1 Ağ kontrolleri
Bilgisayar ağlarındaki güvenliği tesis edip sürekliliğini sağlamak için, bir dizi kontrole gereksinim duyulur. Ağ
yöneticileri, ağlardaki verinin güvenliği ve bağlı bulunulan servislere yetkisiz kişilerce erişilmesinden
korunmasını sağlamak maksadıyla kontrolleri gerçekleştirmelidirler. Özellikle de aşağıdaki hususlar
değerlendirilmelidir.
a) Ağların işletim sorumluluğu mümkün olan yerlerde bilgisayar işletmenlerinden ayrılmalıdır. (Madde 8.1.4)
b) Kullanıcı alanlarındakileri dahil, uzaktan erişim donanımının yönetimi için sorumluluklar ve prosedürler
belli olmalıdır.
c) Gerektiğinde, herkesin erişim sağladığı ağlardaki veri bütünlüğünün ve gizliliğin korunması ile bağlı
bulunulan sistemleri korumak maksadıyla, özel kontrol tedbirleri alınmalıdır. (Madde 9.4 ve 10.3) Özel
kontrol tedbirlerine, aynı zamanda bağlı bulunulan ağ servisleri ve bilgisayarların kullanılabilirliğini
sürdürmek için gerek duyulabilirler.
d) Yönetim faaliyetleri, kontrol tedbirlerinin bilgi işlem altyapısı üzerinde sürekli olarak uygulanmasını ve
hizmetin işe en iyi şekilde yansıtılmasını yakından izlemelidirler.
8.6 Bilgi ortamı yönetimi ve güvenlik
Amaç: İş faaliyetlerinin kesintiye uğratılması ve varlıklara zarar verilmesinin önlenmesi.
Ortam kontrol altında tutulmalı ve fiziki olarak korunmalıdır.
Yazılı belgeleri, bilgisayar donanımını (kasetler, disketler, kaydediciler), girdi-çıktı veri ve belgelendirme
sistemlerini, hırsızlık ve yetkisiz kişilerin erişiminden koruyan uygun işletim prosedürleri hayata geçirilmelidir.
8.6.1 Çıkarılabilir bilgisayar ortamının yönetimi
Teypler, bellekler, kasetler ve yazılı raporlar gibi çıkarılabilir bilgisayar ortamının yönetimi için prosedürler
bulunmalıdır. Aşağıdaki kontrol tedbirleri göz önüne alınmalıdır.
a) Artık daha fazla gerekmiyorsa, organizasyondan çıkarılan ve yeniden kullanılabilir ortam malzemesi silinmelidir.
b) Organizasyondan çıkarılan tüm ortam malzemeleri için yetkilendirme gerekmektedir ve bu tür
çıkarmaların hepsi için resmi kayıtların tutulmasını sağlamak maksadıyla ayrı bir kayıtta saklanmalıdır.
c) Tüm ortam malzemeleri, üretici firmanın belirttiği özelliklerle uyumlu, güvenli bir çevrede ve kilit altında
tutulmalıdır.
Tüm prosedürler ve yetkilendirme seviyeleri açıkça yazıya dökülmelidir.
8.6.2 Bilgi ortamının yok edilmesi
Gereksinim ortadan kalktığında, emniyetli ve kesin bir şekilde bilgi ortamından kurtulmak gerekir. Hassas
bilgiler ortamın yok edilmesi esnasında dikkatsiz kişilerce başka insanlara sızabilir. Ortamın kesin olarak yok
edilmesindeki resmi prosedürler, bu tehlikeyi en aza indirmek maksadıyla belirlenmiştir. Bu maksatla
aşağıdaki kontroller değerlendirilmelidir.
a) Hassas bilgi içeren bilgi ortamları, emniyetli ve kesin bir şekilde saklanmalı ve yok edilmelidir. Örneğin,
yakmak, parçalara ayırmak ya da organizasyonda başka bir uygulamada kullanılmak üzere verilerin
silinmesi,
b) Kesin olarak yok edilmesi gereken malzemelerin listesi aşağıya çıkarılmıştır.
1) Kağıt belgeler,
2) Ses ve diğer kayıtlar,
3) Karbon kağıtlar,
4) Rapor çıktıları,
5) Tek kullanımlık yazıcı şeritleri,
6) Manyetik teypler,
7) Çıkarılabilir bellek ve kasetler,
8) Optik ortam malzemeleri,
9) Program listelemeleri,
10) Test verileri,
11) Sistem belgeleri.
24
ICS 35.040
TÜRK STANDARDI
d) Hassas parçaları ayırmaya çalışmaktansa, tüm parçaların toplanıp, tamamen yok edilmesini düzenlemek
daha kolaydır.
e) Pek çok organizasyon ortam, donanım ve kağıtların toplama ve yok edilme hizmetlerini teklif edebilir.
Yeterli kontrol tedbirleri ile deneyime sahip müteahhidin seçilmesinde dikkatli olunmalıdır.
f) Resmi kayıtları sürdürmek mümkünse, hassas parçaların yok edilmesi hususunda kayıt tutulmalıdır.
Yok edilecek ortamlar toplanırken, toplama konusundaki çabalar, az miktardaki gizlilik dereceli bilgiden çok
daha hassas olan, çok sayıdaki gizli olmayan bilgiye gösterilmelidir.
8.6.3 Bilgi yönetim işlemleri
Bilginin yetkisiz kişilerce ifşa edilmesi ya da yanlış maksatlarla kullanılmasını önlemek için bilgi güvenliği ve
yönetimi için prosedürler oluşturulmalıdır. Kendi içindeki sınıflandırmayla tutarlı olarak, yazılı belgeler,
bilgisayar sistemleri, ağlar, mobil bilgisayarlar, mobil iletişim, posta, sesli posta, sesli iletişim, çoklu ortam,
posta hizmetleri/tesisleri, faks makinası ve diğer hassas parçaların kullanılırken (örneğin, boş çekler, fatura
vb.) bilginin yönetilmesi için prosedürler düzenlenmelidir. Bu maksatla aşağıdaki hususlar dikkate alınmalıdır.
(Madde 5. 2 ve Madde 8.7.2)
a)
b)
c)
d)
e)
f)
g)
h)
i)
Tüm ortamın etiketlenmesi ve yönetilmesi (Madde 8.7.2a),
Yetkisiz kişileri tanımlamak için erişim sınırlamaları,
Veri kullanan yetkisiz kişiler için bir resmi kaydın tutulması,
İşlemin doğru bir şekilde tamamlayan ve çıktı geçerliliğinin uygulamaya koyan girdi verisinin eksiksiz
olmasının sağlanması,
Kendi duyarlılığı ile uygun bir seviyede çıktıyı bekleyen zarar görmüş verinin korunması,
Ortamın, üretici firma şartlarına uygun bir yerde bulundurulması,
Veri dağıtımını en alt düzeyde tutulması,
Yetkisiz kişilerin dikkatini çekebileceğinden verinin tüm kopyalarındaki işaretlemelerin temizlenmesi,
Düzenli aralıklarla yetkisiz kişilerin ve dağıtım listelerini gözden geçirilmesi.
8.6.4 Sistem belgelendirmesi güvenliği
Sistem belgelendirmesi, işlemlerin, prosedürlerin, veri yapılarının, yetkilendirme işlemlerinin uygulama
tanımları gibi bir dizi duyarlı bilgiyi içerir (Madde 9.1). Aşağıdaki kontroller sistem belgelendirmesini yetkisiz
kişilerin erişiminden korumak maksadıyla değerlendirilebilir.
a) Sistem belgelendirmesi güvenli bir ortamda bulundurulmalıdır.
b) Sistem belgelendirmesi için erişim listesi en az sayıda tutulmalı ve sistem sahiplerince yetkilendirilmelidir.
c) Herkesin erişim sağlayabildiği ağ yolu ile desteklenen ya da erişebildiği bir ağda bulunan sistem
belgelendirmesi uygun şekilde korunmalıdır.
8.7 Bilgi ve yazılım değiş tokuşu
Amaç:Organizasyonlar arasında değişilen bilginin yanlış maksatlarla kullanılması, değiştirilmesi ve
kaybedilmesinin önlenmesi.
Organizasyonlar arasında yazılımın ve bilginin değişimi, kontrol altında bulundurulmalı ve ilgili yasalarla
uyumlu olmalıdır (Madde 12).
Değişimler, anlaşma esaslarına göre yapılmalıdır. Nakil esnasındaki ortam ve bilgiyi korumak için standardlar
ve prosedürler belirlenmelidir. Karşılıklı elektronik veri değişimi, elektronik ticaret ve elektronik posta ile
kontrol tedbirlerinin gereksinimleriyle birleşen iş ve güvenlik konuları göz önünde tutulmalıdır.
8.7.1 Bilgi ve yazılım değişim anlaşmaları
Bazıları resmi olan ve uygun olan hallerde üçüncü şahıslarla yapılan yazılım antlaşmalar, organizasyonlar
arasında bilgi ve yazılımın (elektronik ya da manuel) değişimi için yapılmalıdırlar. Bu tür bir anlaşmanın
güvenlik içeriği, ilişkili olduğu işin duyarlılığını yansıtmalıdır. Güvenlik konularındaki anlaşmalar şu hususlar
ile ilgili olmalıdır.
a) İletinin alınması ve gönderilmesini bildiren ve kontrol eden sorumlulukların yönetimi,
b) Göndereni, iletiyi, göndermeyi ve almayı bildiren prosedürler,
c) İletim ve paketleme için en alt teknik standardlar,
25
ICS 35.040
TÜRK STANDARDI
d) Kurye tanımlama prosedürleri,
e) Verinin kaybedilmesi durumundaki sorumluluklar ve yapılması gerekenler,
f) Hassas ve kritik bilgi için, ne anlama geldiği kolaylıkla anlaşılan ve o bilginin uygun şekilde korunması
maksadıyla ortak bir etiketleme sisteminin kullanılması,
g) Bilgi ve yazılımın sahipliği ile veri koruması, yazılımın telif hakkı şikayeti ve benzer konulardaki
sorumluluklar (Madde 12.1.2),
h) Bilgi ve yazılımın kaydedilmesi ve okunması için gerekli teknik standardlar,
i) Şifreli tuşlar gibi hassas korumalı parçalar için gerekli olan diğer özel kontrol tedbirleri (Madde 10.3.5).
8.7.2 Nakil esnasındaki bilgi ortamının güvenliği
Bilgi, postaya verildiği ya da kurye ile gönderildiği hallerde fiziki olarak hareket halindedir ve yetkisiz kişilerin
erişimine, yanlış maksatlarla kullanılmalara ya da zarar görmeye karşı hassastır. Siteler arasında gidip gelen
bilgisayar ortamının güvenliği için aşağıdaki kontrol tedbirleri uygulanabilir.
a) Güvenilir kuryeler ve ulaşım vasıtaları seçilmelidir. Yetkili kuryelerin bir listesi, kuryeler için yapılan
tanımları kontrol eden bir prosedür ve yönetimle kararlaştırılmalıdır.
b) Üretici firmanın şartlarına uygun ve içerdiği bilginin hareket halinde iken zarar görmekten koruyan yeterli
bir paketleme olmalıdır.
c) Gerektiğinde, yetkisiz açma ve değiştirmeleri önlemek maksadıyla, özel kontrol tedbirleri uygulanabilir.
Örneğin;
1)
2)
3)
4)
5)
Kilitli konteynırların kullanılması,
Elden teslimat,
Özel güvenlikli paketleme (Her türlü erişim denemesinin belli eden),
Farklı muhafazalar kullanmak, birden fazla parçaya bölerek, değişik yollardan göndermek,
Sayısal imza ve gizlilik dereceli kriptolamanın kullanılması(Madde 10. 3).
8.7.3 Elektronik ticaret güvenliği
Elektronik ticaret, karşılıklı elektronik veri değişimi, elektronik posta ve Internet gibi geniş halk kitlelerinin
erişimine açık çevrim içi işlemlerin kullanımını içerir. Elektronik ticaret, hileli kazanç faaliyetleri, anlaşma
itilafları ya da bilginin değişikliğe maruz kalması gibi bir dizi ağ şebekesi tehditlerine karşı hassastır.
Elektronik ticareti bu tür tehditlerden korumak için kontrol tedbirleri uygulanmalıdır. Güvenlik ile ilgili hususlar
aşağıya çıkarılmıştır.
a) Kimlik Doğrulama. Müşteri ile satıcı hangi güvenlik düzeyinde birbirlerinin kimlikleri talep edecektir?
b) Yetkilendirme. Fiyatı tespit etmeye, anahtar dokümanları imzalamaya ve dağıtmaya kim yetkilidir? Ticaret
ortağı bu husustan nasıl haberi olacaktır?
c) Anlaşma ve ihale işlemleri. Gizliliğin, bütünlüğün ve anahtar dokümanların ve reddilemeyen anlaşmaların
alınıp verilmesinin ispat edilebilmesi için gerekenler nelerdir?
d) Fiyatlandırma bilgisi. İlan edilen fiyat listesi ve hassas indirim düzenlemelerinin gizliliğin bütünlüğünde ne
düzeyde güven tesis edilebilir?
e) Sipariş İşlemleri. Fiyatın, ödemenin ve teslim adresi ayrıntılarının bütünlüğü ve gizliliği ile teslim
alındığının teyidi nasıl yapılacaktır?
f) İstihbarat. Müşteriden alınan ödeme bilgilerini kontrol etmek için ne derece istihbarat yapmak uygundur?
g) Anlaşma. Dolandırıcılığa karşı korunmak maksadıyla en uygun ödeme şekli nedir?
h) Sipariş verme. Sipariş bilgilerinin bütünlüğü ve gizliliğini sağlamak ve işlemlerde tekrarları önlemek
ya
da kayıptan sakınmak için ne yapılmalıdır?
i) Güvenilirlilik. Herhangi bir dolandırıcılık işlemine karşı kim risk alır?
Yukarıda sayılanların pek çoğu, yasal gereksinimlerle uyumlu olan, Madde 10.3’de ana hatlarından
bahsedilen kriptografik tekniklerin uygulanmasıyla yapılabilir (Madde 12.1 özellikle Madde 12.1.6 Kriptografik
yasalar).
Ticaret ortakları arasındaki elektronik ticaret düzenlemeleri, iki tarafı ilgilendiren, yetkilendirme detaylarının
dahil olduğu, üzerinde anlaşma sağlanan ticari şartların yazılı olduğu bir belge ile tespit edilmelidir
(yukarıdaki (b) fıkrası). Bilgi servisleri ve katma değer ağ şebekesi sağlayıcıları ile diğer anlaşmalar gerekli
olabilir.
Halka açık ticaret sistemleri, kendi iş şartlarını müşterilerine açıklamalıdır.
26
ICS 35.040
TÜRK STANDARDI
Elektronik ticarette kullanılan sunucunun saldırısına ve elektronik ticaretin yapılması için gereken her hangi
bir ağ şebekesi çakışmasından meydana gelen güvenlik suçlarına esneklik gösterilmesi hususuna dikkat
edilmelidir (Madde 9.4.7)
8.7.4 Elektronik postaların güvenliği
8.7.4.1 Güvenlik tehlikeleri
Elektronik posta, teleks ve mektup gibi geleneksel haberleşme usullerinin yerine geçerek iş hayatında
kullanılmaya başlanmıştır. Elektronik postalar, iş dünyasının geleneksel haberleşme usullerinden, hız, mesaj
yapısı, samimiyet derecesi ve yetkisiz kişilere karşı olan hassasiyetleri bakımından farklılık gösterirler.
Elektronik postalar nedeni ile oluşturulan güvenlik tehlikelerini azaltmak gereken kontrol tedbirlerine önem
verilmelidir. Güvenlik tehlikeleri aşağıdaki konuları kapsar.
a) Mesajların yetkisiz kişilerin erişimine, değiştirilmesine ya da servis kullanımın onaylanmamasına karşı
olan hassasiyet,
b) Hatalara karşı hassasiyet. Örneğin, doğru olmayan adresleme, yanlış yönlendirme, servisin
kullanılabilirliği ve genel güvenliği,
c) İş proseslerinde iletişim ortamındaki değişikliğin etkisi. Örneğin, gönderinin artan hızının etkisi ya da
şirketten şirkete mesaj göndermek yerine birey bazında haberleşmenin yapılması,
d) Kaynak, gönderi, teslimat ve kabulün yapıldığının ispatına dair yasal düzenlemeler,
e) Dışarıdan erişebilen kadro personelinin isim listesinin basılmasının suiistimal edilmesi,
f) Uzaktan erişim sağlayan kullanıcıların elektronik posta hesaplarına erişmelerinin kontrolü.
8.7.4.2 Elektronik posta politikası
Organizasyonlar, elektronik posta kullanımını konusunda açık bir politika izlemelidir. Bu politika aşağıdaki
hususları kapsamalıdır:
a)
b)
c)
d)
Elektronik postalara saldırılar. Örneğin, virüsler, çakışmalar,
Elektronik posta eklerinin korunması
Elektronik postanın kullanılmadığı zamanlarda yapılacak işler,
Şirkete yüklenilmeyen çalışan sorumluluğu. Örneğin, Şirketi lekeleyen elektronik posta gönderimi,
tacizkar kullanım, yetkisiz satın almalar,
e) Elektronik mesajların bütünlüğü ve gizliliğini korumak için kriptografik tekniklerin kullanımı (Madde 10.3)
f) Mahkemeye intikal etmesi durumunda ortaya çıkarılan, saklanan, mesajların tutulması.
g) Kimden geldiği doğrulanamayan istihbarat mesajları için ilave kontrol tedbirleri.
8.7.5 Elektronik ofis sistemlerinin güvenliği
Elektronik ofis sistemleriyle müşterek iş ve güvenlik tehlikelerini kontrol etmek maksadıyla politikalar ve genel hatlar
belirlenmeli ve uygulanmalıdır. Bunlar; belgelerin, bilgisayarların, mobil bilgi işlem ve mobil iletişimin, postanın, sesli
mesajın, sesli haberleşmenin, çoklu ortamın, posta teşkilatının ve faks makinalarının kombinasyonunu kullanarak iş
bilgilerinin paylaşılması ve düşüncelerin daha hızlı yayılması konusunda fırsat sağlar.
Tesislerde meydana gelen iş ve güvenlik konularında çakışmalarla ilgili olarak aşağıdaki hususlara önem arz
etmektedir.
a) Ofis istemlerindeki bilginin hassasiyeti. Örneğin,Telefon görüşmelerinin ya da konferansların kaydı,
görüşmelerin gizliliği, faksların saklanması, postaların açılması, posta dağıtımı.
b) Bilgi paylaşımını yönetmek için uygun kontrol tedbirleri ve politika. Örneğin, Müşterek elektronik ilan
panolarının kullanımı.
c) Eğer sistem uygun düzeyde koruma sağlayamıyorsa, hassas iş bilgi kategorilerinin çıkartılması. (Madde 5.2).
d) Belli bireylerlerin günlük bilgiye erişimin sınırlandırılması. Örneğin, hassas konularda çalışmalarda bulunan
ekip personeli.
e) İş uygulamalarını destekleyen sistemin uygunluğu. Örneğin, yetkilendirme ya da iletişim düzeni.
f) Sistemi kullanmasına izin verilen ekip personeli, müteahhitler ya da iş ortaklarının kategorileri ve sisteme
erişim sağlayacak olanların mevkileri (Madde 4. 2)
g) Belli kullanıcı kategorilerinin seçilen tesislere girişlerinin yasaklanması,
h) Kullanıcı statülerinin belirlenmesi. Örneğin, Diğer kullanıcıların faydalanması için organizasyon çalışanları ya
da dosyalarda adı geçen müteahhitler,
i) Sistemde bulunan yedekleme bilgisi ve saklanması(Madde 12.1.3 ve Madde 8.4.1),
j) Düzenleme ve gereksinim ihtiyatları (Madde 11.1).
27
ICS 35.040
TÜRK STANDARDI
8.7.6 Halka açık sistemler
Yetkisiz kişilerin şirketin itibarını zedeleyebilecek şekildeki değişiklikler yapmalarını önleyerek elektronik
olarak yayılan bilginin bütünlüğünü korumaya özen gösterilmelidir. Halka açık sistemlerdeki bilgi, örneğin,
İnternet yolu ile erişilen Web sayfasındaki bilgiler, ticaretin yapıldığı ya da sistemin bulunduğu
mahkemelerdeki yasalar, kurallar ve düzenlemelerle uyumlu olmaya ihtiyaç gösterir. Bilgi halka yayılmadan
önce resmi bir yetkilendirme prosesi oluşturulmalıdır.
Halka açık sistemlerde kullanılabilir durumda bulunan ve üst düzeyde güvenilirlik gerektiren yazılım, veri ve
diğer bilgiler uygun mekanizmalarla korunmalıdır. Örneğin, sayısal imza (Madde 10.3.3) Özellikle bilgiye
doğrudan erişen ve bilginin geri beslemesine izin veren elektronik yayın sistemleri çok dikkatli bir şekilde
kontrol altında bulundurulmalıdır. Şöyle ki;
a)
b)
c)
d)
Her hangi bir veri koruma yasasıyla uyumlu olarak elde edilen bilgi,
Bilgi girilen ya da işleme tabi tutulan yayın sistemleri zamana bağlı kalarak ve tamamıyla işlenmelidir;
Hassas bilgi, toplama işlemi süresince ya da saklanırken korunacaktır,
Yayın sistemlerine erişim, bağlı bulunulan ağlara planlanmamış erişime izin veremezler.
8.7.7 Bilgi değiş tokuşunun diğer şekilleri
Ses, faks ya da video iletişim gereçlerini kullanarak bilgi değişimini önlemek yerine, prosedürler ve kontrol
tedbirleri kullanılmalıdır. Bilgi, farkında olmadan ve kullanılan politika ve prosedürler nedeniyle doğru olarak
kullanılmayabilir. Örneğin, halka açık bir yerde cep telefonu ile çok yüksek sesle konuşmak, sesi çok açık
olan bir bant kaydı dinlemek, sesli mesaj sistemine yetkisiz kişilerin erişim sağlaması, faks cihazını
kullanarak faksın yanlış adrese gönderilmesi.
Eğer iletişim gereçleri kullanılamazsa, İş ilişkileri bozulabilir, bilgi yanlış değerlendirilebilir (Madde 7.2 ve
Madde 11). Bilgi, eğer yetkisiz kişilerce erişilirse de yanlış değerlendirilebilir (Madde 9).
Ses, faks ve video iletişiminde kullanılırken takip edilecek prosedürlerin açık bir şekilde ifade edilmesine
gerek vardır. Bu hususlar şunlardır:
a) Personele gerektiğinde uygun tedbirleri almalarının hatırlatılması. Örneğin, Aşağıdaki durumlarda
telefonla görüşürken yüksek sesle konuşmaktan sakınılarak, duyulması ya da araya girilmesi mümkün
hassas konuları ifşa etmemek,
1) Cep telefonu kullanıldığında yakın çevrenizdeki insanlar,
2) Telefonun dinlenmesi ya da başkalarının gizlice telefon hattınıza girmesi, analog cep telefonlarında
alıcı tarayıcıların kullanılması,
3) Konuştuğunuz kişinin yanındaki insanlar
b) Personele halka açık yerlerde, açık ofislerde ve ince duvarlı toplantı odalarında konuşma güvenliği
bulunmadığının hatırlatılması,
c) Halka açık sistemlerde ya da bir yanlış arama sonucu saklanması veya yetkisiz insanlarca dinlenebilir
olduğu sürece telefona bant kaydı bırakılmamasını,
d) Personele faks kullanımındaki sorunlar hakkında hatırlatmada bulunulması. İsmen;
1) Mesajları almak için yerleşik depolara yetkisiz erişim;
2) Makinanın bilerek ya da bilmeyerek belli numaralara mesaj göndermek için programlanması,
3) Yanlış çevirme ya da hafızadaki yanlış numaralar nedeniyle belge ve mesajların yanlış numaraya
mesajın gönderilmesi.
9
Erişim denetimi
9.1 Erişim denetimi için iş gerekleri
Amaç: Bilgiye erişimin denetlemesi.
Bilgiye erişim ve iş süreçleri, iş ve güvenlik gerekleri kapsamında denetlenmelidir.
Bu, bilgi yayılmaları ve yetkileriyle ilgili politikaları dikkate almalıdır.
28
ICS 35.040
TÜRK STANDARDI
9.1.1 Erişim denetimi politikası
9.1.1.1 Politika ve iş gerekleri
Erişim denetimi için iş gerekleri tanımlanmalı ve belgelendirilmelidir. Her bir kullanıcı veya kullanıcı grupları
için erişim denetimi kuralları ve hakları, bir erişim politikası bildirgesinde açıkça belirtilmelidir. Kullanıcılara ve
hizmet sağlayıcılarına, erişim denetimleri aracılığıyla karşılanacak iş gerekleri hakkında açık bildirgeler
verilmelidir. Politika aşağıdakileri dikkate almalıdır:
a) Bireysel iş uygulamalarıyla ilgili güvenlik gerekleri;
b) İş uygulamalarıyla ilgili tüm gerekli bilgilerin tanımları;
c) Bilgi yayılmaları ve yetkileri için politikalar, örneğin ilke ve güvenlik seviyelerini bilme gereksinimi ve
bilginin sınıflandırılması;
d) Farklı sistemlere ve ağlara ilişkin erişim denetimiyle bilgi sınıflandırma politikaları arasındaki tutarlılık;
e) Verilere veya hizmetlere erişimin korunmasına dair, amaca uygun yasal hükümler ve sözleşmeden doğan
her yükümlülük (Madde 12);
f) Yaygın iş sınıfları için standard kullanıcı erişim profilleri;
g) Varolan tüm bağlantı çeşitlerini tanıyan, dağıtılmış ve ağ oluşturulmuş çevre içinde ki erişim haklarının
yönetimi.
9.1.1.2 Erişim denetimi kuralları
Erişim denetimi kurallarını tanımlarken, aşağıdakiler göz önünde bulundurulmalıdır:
a) Her zaman uygulanma zorunluluğu olan kurallarla, isteğe ve şartlara bağlı olan kuralları birbirinden ayırt
etmek;
b) Daha zayıf kural olan “açıkça yasaklanmadığı sürece her şeye genel olarak izin verilir” açıklamasının
aksine “açıkça izin verilmediği sürece genel olarak yasaklanmış olmalı” açıklamasına dayalı kurallar
koymak;
c) Bilgi etiketlerinde (Madde 5.2), bilgi işleme araçları tarafında otomatik olarak başlatılan ve bir kullanıcının
önlemiyle başlamış olan değişiklikler;
d) Bilgi sistemi tarafında otomatik olarak başlatılan ve bir sistem yöneticisi tarafından başlatılan kullanıcı
yetkilerindeki değişiklikler;
e) Kanunlaştırılmadan sistem yöneticisine veya diğer onaylara gerek duyan ve duymayan kurallar
9.2 Kullanıcı erişimi yönetimi
Amaç: Bilgi sistemlerine yetkisiz erişimin engellenmesi.
Resmi yöntemler, bilgi sistemleri ve hizmetleri için erişim haklarının ayrılmasını denetlemek üzere yer
almalıdır.
Yöntemler, yeni kullanıcıların kayıt başlangıçlarından, bilgi sistemlerine ve hizmetlerine erişim gereksinimi
artık kalmamış kullanıcıların son kayıttan çıkışlarına kadar olan, kullanıcıların tüm yaşam döngüsü
basamaklarını kapsamalıdır. Uygun olan yerlerde, kullanıcılara sistem denetimlerini hükümsüz kılma izni
veren, ayrıcalıklı erişim haklarının ayrımının denetimi gereğine özel olarak dikkat edilmelidir.
9.2.1 Kullanıcı kaydı
Tüm çok kullanıcılı bilgi sistemlerine ve hizmetlerine erişim verilmesi için bir resmi kullanıcı kayıt olma ve
kayıttan çıkma yöntemi olmalıdır.
Çok kullanıcılı bilgi hizmetlerine erişim, aşağıdakileri içermek zorunda olan bir resmi kullanıcı kayıt yöntemi
aracılığıyla denetlenmelidir:
a) Kullanıcıların kendi işlemlerine bağlanarak bu işlemlerden sorumlu olacakları özel kullanıcı kimlikleri
kullanmak. Grup kimliklerinin kullanımına sadece yürütülen iş için uygun olduğunda izin verilmelidir;
b) Kullanıcının bilgi sistemini ve hizmetlerini kullanmak için, sistem sahibi tarafından yetki verildiğinin
denetlenmesi. Ayrıca yönetim tarafından erişim haklarına ayrı onay verilmesi de uygun olabilir;
c) Verilen erişim seviyesinin iş amaçlarına uygunluğunun (Madde 9.1) ve işletmeye ait güvenlik
politikalarıyla tutarlı olmasının denetimi, örneğin görevlerin ayrımını tehlikeye atmaz (Madde 8.1.4);
29
ICS 35.040
TÜRK STANDARDI
d) Kullanıcılara erişim haklarıyla ilgili yazılı bir bildirge vermek;
e) Kullanıcılardan erişimin şartlarını anladıklarını belirterek, bildirgeleri imzalamalarının istenmesi;
f) Hizmet sağlayıcılarının, yetkilendirme yöntemleri tamamlanmadan erişim sağlamayacaklarının temin
edilmesi;
g) Hizmeti kullanmak için kaydolan tüm kişilerin resmi bir kaydını saklamak;
h) İş değiştiren veya işletmeyi bırakan kullanıcıların erişim haklarını hemen kaldırmak;
i) Belirli aralıklarda lüzumsuz kullanıcı kimliklerini ve hesaplarını kontrol etmek ve kaldırmak;
j) Lüzumsuz kullanıcı kimliklerinin diğer kullanıcılara bildirilmediğinin temin edilmesi
Personel sözleşmeleri içersinde ve hizmet sözleşmelerinde belirtilmiş, personel veya hizmet acenteleri
tarafından teşebbüs edilen yetkisiz erişimin müeyyideleriyle ilgili maddeler de göz önüne alınmalıdır (Madde
6.1.4 ve Madde 6.3.5).
9.2.2 Ayrıcalık yönetimi
Ayrıcalıkların (kullanıcıyı sistem veya uygulama denetimlerini hükümsüz kılmak konusunda etkinleştiren çok
kullanıcılı bilgi sistemlerinin her özelliği veya faydaları) ayrımı ve kullanımı kısıtlanmalı ve denetlenmelidir.
Sistem ayrıcalıklarının uygunsuz kullanımı çoğu kez, kırılmış sistem başarısızlıklarına en büyük katkı etkeni
olarak bulunur.
Yetkisiz erişimden korunması gereken çok kullanıcılı sistemler, resmi yetkilendirme süreci tarafından
denetlenmiş ayrıcalıkların ayrımına sahip olmalıdır. Aşağıdaki adımlar göz önüne bulundurulmalıdır.
a) İşletim sistemi, veritabanı yönetim sistemi ve her uygulama gibi her sistem ürünüyle ilişkili ayrıcalıklar, ve
ayrılmaları gereken personel sınıfları tanımlanmalıdır.
b) Ayrıcalıklar bireylere, kullanım gerekliliğine göre ve olaydan olaya kapsamında, ayrılmalıdır. örneğin
sadece ihtiyaç olduğunda işlevsel rolleri için en az gereksinim.
c) Yetki süreci ve ayrılmış olan tüm ayrıcalıkların kaydı tutulmalıdır. Yetkilendirme süreci tamamlanmadan
ayrıcalıklar verilmemelidir.
d) Sistem değişmeyenlerinin gelişimi ve kullanımı, kullanıcılara ayrıcalık vermekten kaçınmak için,
arttırılmalıdır.
e) Ayrıcalıklar, normal iş kullanımında kullanılanlardan farklı kullanıcı kimliklerine tanımlanmalıdır.
9.2.3 Kullanıcı parola yönetimi
Genel anlamda parolalar, bir kullanıcının kimliğini, bilgi sistemlerine ve hizmetlerine erişim için geçerli
kılmaktır. Parolaların ayrımı, resmi bir yönetim süreci aracılığıyla, aşağıdaki yaklaşımlar dahilinde
denetlenmelidir:
a) kullanıcılardan kişisel parolalarını gizli tutmak ve çalışma grubu parolalarını sadece grup üyelerinin içinde
tutmak ( bu işe alma şartları ve koşullarında yer alabilir, Madde 6.1.4) için bir bildirge imzalamalarını
istemek;
b) kullanıcıların kendi parolalarını saklamaları gereken yerlerde, başlangıçta hemen değiştirmek zorunda
oldukları geçici güvenli bir parola sağlandığını temin etmek. Kullanıcılar parolalarını unuttuklarında
sağlanan geçici parolalar, sadece kullanıcıya ait aşağıdaki olumlu tanımlamalarla sağlanmalıdır.
c) Geçici parolaların kullanıcılara güvenli bir şekilde verilmesini istemek. Üçüncü tarafların veya korunmasız
(temiz metin) elektronik mesajların kullanımında kaçınılmalıdır. Kullanıcılar parolalarını aldıklarını tasdik
etmelidirler.
Parolalar bilgisayar sistemi üzerine asla korunmasız biçimde depolanmamalıdır. ( Biyometri, örneğin parmak
izi teyidi, imza teyidi ve donanım simgelerinin kullanımı, örneğin akıllı kartlar gibi kullanıcı tanımlamaları ve
yetkilendirmeleri için varolan diğer teknolojiler incelenmeli ve uygunsa düşünülmelidir)
9.2.4 Kullanıcı erişim haklarının gözden geçirilmesi
Veri ve bilgi hizmetleri üzerinde etkin denetim sağlamak için, yönetim düzenli aralıklarda kullanıcıların erişim
haklarını gözden geçirmek için resmi bir süreç idare etmelidir. Dolayısıyla:
a) Kullanıcıların erişim hakları belirli aralıklarda ve her değişiklikten sonra gözden geçirilir (6 aylık zaman
dilimi tavsiye edilir) (Madde 9.2.1);
b) Özel ayrıcalıklı erişim hakları için yetkilendirmeler (Madde 9.2.2) daha sık aralıklarla gözden geçirilmelidir;
3 aylık zaman dilimi tavsiye edilir;
c) Ayrıcalık ayrımları, yetkisiz ayrıcalıkların gerçekleşmediğini temin etmek için belirli aralıklarla
denetlenmelidir.
30
ICS 35.040
TÜRK STANDARDI
9.3 Kullanıcı sorumlulukları
Amaç: Yetkisiz kullanıcı erişiminin engellenmesi .
Etkin bir güvenlik için yetkili kullanıcıların işbirliği çok önemlidir.
Kullanıcılar, etkin erişim denetimlerini, özelliklede parolaların kullanımı ve kullanıcı teçhizatlarının güvenliği
ile ilişkili olarak, sağlamak için sorumlulukları hakkında bilgilendirilmeliler.
9.3.1 Parola kullanımı
Kullanıcılar parolaların seçimi ve kullanımında doğru güvenlik uygulamalarını izlemelilerdir.
Parolalar bir kullanıcının kimliğini geçerli kılmayı ve dolayısıyla bilgi işleme araçlarına ve hizmetlerine erişim
hakları kurmayı sağlarlar. Tüm kullanıcılara aşağıdakileri yapmaları önerilmelidir:
a)
b)
c)
d)
Parolaları gizli tutmak;
Parolaların kaydını, güvenli olarak saklanabilir olmadığı sürece, kağıt üzerine almaktan kaçınmak;
Ne zaman olası bir sistem veya parola tehlikesine ait gösterge olduğunda, parolaları değiştirmek;
En az 6 karakterli ve aşağıdaki nitelikleri taşıyan nitelik parolaları seçin
1) Hatırlanması kolay;
2) Kişisel bilgileri kullanarak bir başkasının kolayca tahmin edebileceği veya ele geçirebileceği biçimde
olmamalı, örneğin isimler, telefon numaraları ve doğum tarihi gibi. ;
3) Ardışık tanımlayıcı karakterlerden veya hepsi sayısal veya alfabetik sırada gruplardan bağımsız olmalı
e) Parolaları düzenli aralıklarda veya erişim sayısına dayalı olarak değiştirmek ( ayrıcalıklı hesaplarla ilgili
parolalar normal parolalara göre daha çok sıklıkta değiştirilmelidir) ve eski parolaları tekrar kullanmaktan
veya dönüştürmekten kaçınmak;
f) Geçici parolayı oturumu ilk açtığınızda değiştirmek;
g) Parolaları hiçbir otomatik oturum açma işleminin içinde bırakmayın, örneğin bir makro veya işlev tuşu
içinde yüklenmiş;
h) Bireysel kullanıcı parolalarını paylaşmayın.
Eğer kullanıcılar çoklu hizmetlere ve altyapılara erişim gereksinimi duyarlarsa, ve çoklu parolaları korumaları
istenirse, tüm hizmetler için, depolanmış parola için geçerli bir koruma düzeyi sağlayan tek bir nitelik
parolası [ yukarıdaki d) maddesi] kullanabilecekleri bildirilmelidir .
9.3.2 Kullanıcısı belirlenmemiş teçhizat
Kullanıcılar, boş teçhizatların uygun korumaları olduğundan emin olmalıdırlar. Kullanıcı alanlarında kurulmuş
olan teçhizatlar, örneğin iş istasyonları veya dosya sunucuları, uzun bir süre için boş bırakıldıklarında yetkisiz
erişimden korunmak için özel korunma gereksinimi duyabilirler. Tüm kullanıcılar ve anlaşmalı taraflar, boş
teçhizatlarla ilgili güvenlik gereklerinin ve yöntemlerinin yanında bu tip korunmaları gerçekleştirmekteki
sorumluluklarından haberdar edilmelidirler. Kullanıcılara aşağıdakileri yapmaları önerilir:
a) Eğer uygun kilitleme mekanizmasıyla korunuyor değillerse, örneğin parola korumalı ekran koruyucu, etkin
oturumları bittiğinde kapatmak;
b) Oturum bittiğinde, bilgisayarların ana çerçevesini kapatın (örneğin sadece PC’yi veya terminali kapatın);
c) PC’leri ve terminalleri bir anahtar kilit veya benzeri denetimler aracılığıyla yetkisiz kullanımdan korumak,
örneğin kullanımda olmadığında parola erişimi.
31
ICS 35.040
TÜRK STANDARDI
9.4 Ağ erişimi denetimi
Amaç: Ağ oluşturulmuş hizmetlerin korunması.
Dahili ve harici kurulmuş ağların her ikisine de erişim denetlenmelidir.
Bu, ağlara ve ağ hizmetlerine erişimi olan kullanıcıların, aşağıdakileri temin ederek ağ hizmetlerinin
güvenliğini tehlikeye atmadıklarından emin olmak için gereklidir:
a) İşletmenin ağları ve diğer işletmelerce sahip olunmuş ağlar, veya genel ağlar arasında uygun ara yüzler;
b) Kullanıcılar ve teçhizatlar için uygun yetki mekanizması;
c) Bilgi hizmetlerine kullanıcı erişiminin denetimi.
9.4.1 Ağ hizmetlerinin kullanılmasına ilişkin politikalar
Ağ hizmetlerine güvenliksiz bağlantı, tüm işletmeyi etkileyebilir. Kullanıcılara doğrudan erişim izni sadece,
özellikle kullanım için belirli yetki verildikleri hizmetlerde verilir. Bu denetim özellikle, duyarlı ve önemli iş
uygulamaları için ağ bağlantılarında, veya yüksek riskli, örneğin işletmenin güvenlik yönetiminim ve
denetiminin dışında kalan umumi veya harici alanlarda önemlidir.
Ağların ve ağ hizmetlerinin kullanımıyla ilgili bir politika ifade edilmelidir. Bu aşağıdakileri kapsamalıdır:
a) Erişim izni verilmiş ağlar ve ağ hizmetleri;
b) Kimlerin hangi ağlara ve ağ hizmetlerine erişim izni olduğunu belirlemek için yetkilendirme yöntemleri;
c) Ağ bağlantılarına ve ağ servislerine erişimi korumak için yönetim denetimleri ve süreçleri.
Bu politika, iş erişim denetim politikasıyla ( Madde 9.1) uyumlu olmalıdır.
9.4.2 Zorunlu yol
Kullanıcı terminalinden bilgisayar hizmetine giden yolun denetlenmesi gerekebilir. Ağlar, kaynak paylaşımı
ve yönlendirme esnekliği için en fazla kapsama izin vermek üzere tasarlanırlar. Bu özellikler ayrıca iş
uygulamalarına yetkisiz erişim için veya bilgi araçlarının yetkisiz kullanımı için fırsatlar da sağlarlar. Bir
kullanıcı terminaliyle, kullanıcısının erişim yetkisi olan, örneğin zorunlu yol yaratmaya, bilgisayar hizmetleri
arasındaki yolu kısıtlayan birleşik denetimler, bu gibi riskleri azaltabilir.
Zorunlu yolun amacı, kullanıcı terminaliyle kullanıcının erişim yetkisi olan hizmetler arasındaki yolun dışında
herhangi bir yolun kullanıcı tarafından seçilmesini engellemektir.
Bu genelde, yolun farklı noktalarında bir dizi denetimin gerçekleştirilmesini gerektirir. İlke, önceden
tanımlanmış seçimlerle, ağ üzerindeki her bir noktadaki yönlendirme seçeneklerini sınırlamaktır.
Bu alandaki örnekler aşağıdaki gibidir:
a)
b)
c)
d)
e)
Bağlı hatları veya telefon numaralarını ayırmak;
Bağlantı noktaları belirlenmiş uygulama sistemlerine veya güvenlik geçitlerine otomatik olarak bağlamak;
Menü ve alt menü seçeneklerini bireysel kullanıcılar için kısıtlamak;
Sayısız ağ gezelemeyi engellemek;
Harici ağ kullanıcılarını, belirlenmiş uygulama sistemleri ve/veya güvenlik geçitlerini kullanmaya zorunlu
bırakmak;
f) Güvenlik geçitleri aracılığıyla varış noktalarıyla iletişimleri için izin verilmiş kaynakları etkin olarak
denetlemek;örneğin güvenlik duvarları;
g) Ayrı mantıksal etki alanları kurarak, örneğin sanal özel ağlar, ağ erişimini işletme içindeki kullanıcı
grupları için( Madde 9.4.6) .
Bir zorunlu yol için gereksinimler iş erişim denetimi politikasına dayanmalıdır (Madde 9. 1)
32
ICS 35.040
TÜRK STANDARDI
9.4.3 Harici bağlantılar için kullanıcı kimliği doğrulaması
Harici bağlantılar, iş bilgilerine yetkisiz erişim için olasılık sağlarlar, örneğin çevirme yöntemiyle erişim.
Dolayısıyla, uzak kullanıcıların erişimi, kimlik doğrulamaya tabii olmalıdır. Birçok farklı çeşitte kimlik
doğrulama yöntemleri vardır, bunlardan bazıları diğerlerinden daha yüksek seviyede koruma sağlarlar,
örneğin, şifreleme tekniklerin kullanımına dayalı yöntemler güçlü bir koruma sağlayabilir. Gereken koruma
düzeyini, bir risk değerlemesinden belirlemek önemlidir. Buna, kimlik doğrulama yönteminin uygun seçimi
için gerek duyulur.
Uzak kullanıcıların kimlik doğrulamasına, örneğin şifrelemeye dayalı teknikler, donanım simgeleri veya bir
kimlik sorma/yanıt protokolü kullanılarak erişilebilir. Ayrıca adanmış özel hatlar veya bir ağ kullanıcı adresi
kontrol aracı da, bağlantı kaynağına ilişkin garanti sağlamak için kullanılabilir.
Geri çevirme yöntemleri ve denetimleri, örneğin geri çevirme modemlerin kullanılması, bir işletmenin bilgi
işleme araçlarına yetkisiz ve istenmeyen bağlantılara karşı koruma sağlayabilirler. Bu tip denetimler, uzak bir
yerleşim biriminden işletmenin ağına bağlantı kurmaya çalışan kullanıcıların kimliklerini doğrular. Bu denetimi
kullanırken, işletme çağrı iletmeyi içeren ağ hizmetlerini kullanmamalıdır, eğer kullanırsa, çağrı iletilmesiyle
bağlantılı zayıflıktan kaçınmak için bu tip özelliklerin kullanımını etkisizleştirmelidir. Ayrıca geri arama
işleminin, işletme tarafından ortaya çıkan mevcut bağlantı kesilmesini de garanti etmeyi içermesi de
önemlidir. Aksi takdirde, uzak kullanıcı sanki geri arama doğrulaması gerçekleşmiş gibi göstererek hattı açık
tutabilir. Geri arama yöntemleri ve denetimleri bu olasılık için derinlemesine kontrol edilmelidir.
9.4.4 Düğüm kimlik doğrulaması
Uzak bir bilgisayara otomatik bağlantı kurma aracı, bir iş uygulamasına yetkisiz erişim sağlamanın bir yolunu
sunar. Dolayısıyla, uzak bilgisayar sistemlerine bağlantılarda kimlik doğrulaması yapılmalıdır. Bu özellikle
eğer bağlantı işletmenin güvenlik yönteminin denetimi dışında bir ağ kullanıyorsa önemlidir. Kimlik
doğrulamayla ilgili bazı örneklere kimlik doğrulamaya nasıl ulaşılacağı yukarıdaki Madde 9.4.3 içinde
verilmiştir.
Düğüm kimlik doğrulaması, güvenli ve paylaştırılmış bilgisayar aracına bağlantı kuran uzak kullanıcı
gruplarını doğrulamanın alternatif bir anlamı olarak hizmet eder (Madde 9.4.3).
9.4.5 Uzak tanılama bağlantı noktası koruması
Tanılama bağlantı noktalarına erişim denetlenmelidir. Birçok bilgisayar ve haberleşme sistemleri, bakım
mühendislerince kullanılmak üzere, çevirmeli bir uzak tanılama aracıyla donatılmıştır. Eğer korunmasızsa, bu
tanılama bağlantı noktaları yetkisiz erişime sebep olurlar. Dolayısıyla uygun bir güvenlik mekanizmasıyla
korunmalıdırlar, örneğin bir anahtar kilit ve sadece bilgisayar hizmetlerinin yöneticisiyle, erişime gereksinim
duyan donanım/yazılım destek personeli arasında yapılan düzenlemelerle erişilebilir olduklarının temin
edilmesine ilişkin bir yöntem.
9.4.6 Ağlardaki ayrım
İş ortaklığı, bilgi işleme ve ağ araçlarını paylaşma ve karşılıklı birleştirme gerektiren bir şekilde biçimlendikçe,
ağlar, giderek artan bir şekilde, geleneksel işletmeye ait sınırların çok ötesine genişlemektedir. Bu gibi
genişlemeler, ağı kullanan mevcut bilgi sistemlerine yetkisiz erişim riskini arttırabilir, bunlardan bazıları
duyarlılıklarından ve önemlerinden dolayı diğer ağ kullanıcılarından korunmak isteyebilirler. Bu gibi
şartlarda, bilgi hizmetleri gruplarını, kullanıcıları ve bilgi sistemlerini ayırmak için ağ içersinde denetimlerin
tanıtılması dikkate alınmalıdır.
Geniş ağların güvenliğini denetlemenin bir yöntemi, onları ayrı mantıksal ağ etki alanlarına bölmektir, örneğin
her biri tanımlanmış güvenlik çevresi tarafından korunan işletmenin dahili ağ etki alanları ve harici ağ etki
alanları. Böyle bir çevre, iki etki alanı arasında erişim ve bilgi akışını denetlemek için, iki ağ arasına birbiriyle
bağlantı kurmak üzere güvenlik geçidi kurularak gerçekleştirilebilir. Bu geçit, bu iki etki alanı arasındaki trafiği
süzmek (Madde 9.4.7 ve Madde 9.4.8) ve işletmenin erişim denetimi politikasına (Madde 9.1) uygun olarak
yetkisiz erişimleri tıkamak üzere yapılandırılmalıdır. Bu tip bir geçide örnek, yaygın olarak başvurulan
güvenlik duvarıdır.
Ağların etki alanlarına ayrımı için ölçüt, erişim denetimi politikasına ve erişim gereklerine dayanmalıdır
(Madde 9.1) ve ayrıca uygun ağ yönlendirmelerinin veya geçit teknolojilerinin birleşiminin performans etkisini
ve ilgili maliyetleri de göz önünde bulundurulmalıdır (Madde 9.4.7 ve Madde 9.4.8)
33
ICS 35.040
TÜRK STANDARDI
9.4.7 Ağ bağlantısı denetimi
Paylaştırılmış ağlar için erişim denetimi politikası, özellikle işletme sınırlarının ötesine genişleyenler için,
kullanıcıların bağlantı kurma kapasitelerini kısıtlamak için denetimlerin birleşmesine gerek duyabilir. Bu tip
kontroller, önceden tanımlı tablolar ve kurallar kapsamında trafiği süzen ağ geçitleri aracılığıyla
gerçekleştirilebilir. Uygulanan kısıtlamalar, erişim politikasına ve iş uygulamalarının gereklerine dayanmalıdır
(Madde 9.1) ve buna göre korunmalı ve güncellenmelidir.
Kısıtlamaların uygulanması gereken uygulama örnekleri aşağıda belirtilmiştir:
a)
b)
c)
d)
e)
Elektronik mesaj;
Tek yönlü dosya aktarımı;
Çift yönlü dosya aktarımı;
Etkileşimli erişim;
Günün zamanına ve tarihine bağlanmış ağ erişimi.
9.4.8 Ağ yönlendirme denetimi
Paylaştırılmış ağlar, özellikle de işletme ötesine sınırları genişletilenler, bilgisayar bağlantılarının ve bilgi
akışlarının iş uygulamalarına ilişkin erişim denetimi politikasını kırmadığını temin etmek için yönlendirme
denetimlerinin birleşmesine gerek duyabilir (Madde 9.1). Bu denetim çoğu kez üçüncü taraflarla (işletme
dışından) paylaşılmış ağlar için önemlidir.
Yönlendirme denetimleri, artı kaynaklara ve varış noktası adres kontrolü mekanizmalarına dayanmalıdır.
Ağları ayırmak ve yönlendirmelerin bir işletmenin ağından diğer işletmenin ağına yayılmasını önlemek için,
ağ adres çevirimi de ayrıca oldukça yararlı bir mekanizmadır. Yazılım veya donanım içinde gerçekleşebilirler.
Gerçekleştiriciler, yayılmış her mekanizmanın gücünden haberdar olmalıdırlar.
9.4.9 Ağ hizmetlerinin güvenliği
Çok geniş çeşitlerde genel ve özel ağ hizmetleri vardır, bazıları katma değer hizmetler sunarlar. Ağ hizmetleri
özel veya karmaşık güvenlik özelliklerine sahip olabilirler. Ağ hizmetlerini kullanan işletmeler, kullanılan tüm
servislerin güvenlik yaklaşımlarının açık tarifinin sağlandığından emin olmalıdırlar.
9.5 İşletim sistemi erişim denetimi
Amaç: Yetkisiz bilgisayar erişiminin engellenmesi.
İşletim sistemi düzeyinde güvenlik araçları, bilgisayar kaynaklarına erişimi engellemek için kullanılmalıdır. Bu
araçlar aşağıdakileri yapabiliyor olmalıdırlar:
a) Kimliği ve eğer gerekirse her yetkili kullanıcının terminalini veya yerleşimini tanımlamak ve doğrulamak;
b) Başarılı ve başarısız sistem erişimlerini kaydetmek;
c) Uygun kimlik doğrulama sağlamak, eğer parola yönetimi kullanılıyorsa, nitelik parolasını temin etmeli
[Madde 9.3.1d)];
d) Uygun olan yerde, kullanıcıların bağlantı zamanlarını kısıtlamak.
Kimlik sorma/yanıt gibi diğer erişim denetimi yöntemleri, eğer iş riski temelinde doğrulanmışsa, mevcutturlar.
9.5.1 Otomatik terminal tanımlaması
Otomatik terminal tanımlaması, belirli yerlere ve taşınabilir teçhizatlara bağlantıları doğrulamak için göz
önünde bulundurulmalıdır. Otomatik terminal tanımlanması, eğer oturumun sadece belirli yerlerden veya
bilgisayar terminallerinden başlaması önemliyse kullanılabilen bir tekniktir. Terminal içindeki veya terminale
iliştirilmiş tanımlayıcı, bu belirli terminalin belirli işlemleri başlatmaya veya almaya izinli olup olmadığını
belirlemek için kullanılabilir. Terminal tanımlayıcısının güvenliğini sağlamak için, terminale fiziksel koruma
uygulamak gerekli olabilir. Kullanıcı kimliklerini doğrulamak için başka bir dizi teknikte kullanılabilir
(Madde 9.4.3)
34
ICS 35.040
TÜRK STANDARDI
9.5.2 Terminal oturuma giriş işlemleri
Bilgi hizmetlerine erişim güvenli, bir oturuma giriş yöntemiyle ulaşılabilir olmalıdır. Bir bilgisayar sistemine
bağlanma yöntemi, yetkisiz erişimleri en aza indirmek üzere tasarlanmalıdır. Dolayısıyla, oturuma giriş
yöntemi, yetkisiz kullanıcılara yardım sağlamaktan kaçınmak için sistem hakkında en az bilgiyi açığa
çıkarmalıdır. İyi bir oturuma giriş yöntemi :
a) Oturuma giriş başarıyla tamamlanana kadar, sistem veya uygulama tanımlayıcılarını görüntülememelidir;
b) Bilgisayara sadece yetkili kullanıcıların erişim sağlaması gerektiğini belirten genel bir uyarı haberi
görüntülemelidir;
c) Oturuma giriş sırasında yetkisiz kullanıcılara yardım edebilecek hiçbir yardım mesajı sağlamamalıdır;
d) Oturuma giriş bilgisini, sadece tüm girdi verilerinin tamamlanması üzerine geçerli kılmalıdır. Eğer bir hata
durumu ortaya çıkarsa, sistem verinin hangi kısmının doğru veya yanlış olduğunu belirtmemelidir;
e) İzin verilmiş başarısız oturuma giriş denemelerini sınırlamalı (üç kere tavsiye edilir) ve aşağıdakileri
dikkate almalıdır:
1) Başarısız girişimleri kaydetmek;
2) Daha sonraki oturuma giriş denemelerine izin vermeden önce zaman aşımını uygulamak veya özel
yetki olmadan sonraki denemeleri reddetmek;
3) Veri bağlantılarının bağlantısını kesmek;
f) Oturuma giriş yöntemleri için izin verilmiş en fazla ve en az zamanı sınırlamalıdır. Eğer bu zamanlar
aşılırsa, sistem oturumu sona erdirmelidir;
g) Başarılı bir oturuma giriş sürecinin tamamlanmasının ardından aşağıdaki bilgileri görüntülemelidir:
1) Önceki başarılı oturuma girişlerin tarihi ve zamanı;
2) En son başarılı oturuma girişten bu yana her başarısız oturuma giriş denemesinin detayları;
9.5.3 Kullanıcı tanımlaması ve doğrulanması
Tüm kullanıcılar (işlemciler, ağ yöneticileri, sistem programcıları ve veritabanı yöneticileri gibi teknik destek
personelleri dahil), yapılan işlemlerin sonradan sorumlu bireyler kapsamında izlenebilmesi için, kişisel ve tek
kullanımlara ilişkin özel birer tanımlayıcıya (kullanıcı kimliği) sahip olmalıdırlar. Kullanıcı kimlikleri kullanıcının
ayrıcalıklı düzeyiyle ilgili, örneğin yönetici, uzman, hiçbir belirti vermemelidir.
İstisna olan durumlarda, açık bir iş faydası olduğunda, bir kullanıcı grubu için veya belirli bir görev için
paylaşımlı kullanıcı kimliği kullanılabilir. Bu gibi durumlarda yöneticinin onayı belgelenmelidir. Sorumluluğu
korumak için ilave denetimle de gerekebilir.
Bir kullanıcının iddia ettiği kimliği teyit etmek için kullanılan çeşitli doğrulama yöntemleri vardır. Tanımlama ve
doğrulama (I&A) sağlamaya ilişkin en yaygın yol sayılan parolalar (Madde 9.3.1 ve aşağıda), sadece
kullanıcını bildiği bir sıra dayalıdır. Aynı sonuca, şifreleme yöntemiyle ve doğrulama protokolleri aracılığıyla
ulaşılabilir.
Kullanıcıların sahip olduğu bellek simgeleri veya akıllı kartlar gibi öğeler de ayrıca I&A için kullanılabilir.
Bireylerin özel karakteristiklerini veya davranışlarını kullanan biyometrik kimlik doğrulama teknolojileri de
kişinin kimliğinin doğrulanmasında kullanılabilir. Teknolojilerin ve mekanizmaların güvenli bir şekilde bir
karışımı (birleşimi) daha güçlü doğrulamayla sonuçlanacaktır.
9.5.4 Parola yönetim sistemi
Parolalar, bir kullanıcının bir bilgisayar servisine erişim yetkisini geçerli kılmanın ana temellerinden biridir.
Parola yönetim sistemleri, nitelik parolalarını temin eden etkili, etkileşimli araçlar sağlamalıdır. (Madde 9.3.1
parolaların kullanımı üzerine kılavuz).
Bazı uygulamalar, bağımsız yetkililerce atanmış olan kullanıcı şifrelerine gereksinim duyarlar. Çoğu durumda
parolalar, kullanıcılar tarafından seçilir ve korunur.
35
ICS 35.040
TÜRK STANDARDI
İyi bir parola yönetim sistemi:
a) Sorumluluğu korumak için bireysel parolaların kullanımını zorun kılmalı;
b) Uygun olan yerlerde, kullanıcılara kendi parolalarını seçme ve değiştirme hakkı tanımalı ve girdi hataları
için teyit yöntemi içermelidir;
c) Madde 9.3.1’de tarif edildiği gibi nitelik parolalarının seçimini zorunlu kılmalıdır;
d) Kullanıcıların kendi parolalarını sağladıkları (korudukları) yerlerde, Madde 9.3.1’de tarif edildiği gibi parola
değişikliklerini zorunlu kılmalıdır;
e) Kullanıcıların parolaları seçtikleri yerlerde, kullanıcıları geçici parolalarını ilk oturuma giriş yapıldığında
değiştirmeleri için zorlamalıdır (Madde 9. 2. 3);
f) Önceki kullanıcı parolalarının bir kaydını saklamalı, örneğin önceki 12 ay için ve tekrar kullanımı
engellemelidir;
g) Giriş yapılırken parolaları ekranda görüntülememelidir;
h) Parola dosyalarını, uygulama sistem verilerinden ayrı bir yerde saklamalıdır;
i) Tek yönlü şifreleme algoritması kullanarak parolaları şifrelenmiş biçimde saklamalıdır;
j) Yazılımın yüklenmesini izleyerek varsayılan sağlayıcı (satıcı) parolalarını değiştirmelidir.
9.5.5 Sistem yardımcı programlarının kullanılması
Birçok bilgisayar, sistem ve uygulama denetimlerini geçersiz kılabilecek bir veya daha fazla sistem yardımcı
programlarına sahiptir. Kullanımlarının kısıtlanması ve sıkı bir şekilde denetlenmesi oldukça önemlidir.
Aşağıdaki denetimler göz önünde bulundurulmalıdır
a)
b)
c)
d)
e)
f)
g)
h)
Kimlik doğrulama prosedürlerinin sistem yardımcı programları için kullanılması
Sistem yardımcı programlarının uygulama yazılımlarından ayrı tutulması;
Sistem yardımcı programların kullanımını en az sayıda güvenilir ve yetkili kullanıcılarla kısıtlanması;
Sistem yardımcı programlarının plansız kullanımı için yetkilendirme;
Sistem yardımcı programlarının kullanılabilirliğini sınırlamak, örneğin yetkilendirilmiş değişiklik süresince;
Sistem yardımcı programlarının tüm kullanım bağlantılarını kesilmesi;
Sistem yardımcı programları için yetki düzeylerinin tanımlanması ve belgelendirilmesi;
Tüm gereksiz yazılım tabanlı sistem yardımcı programlarının ve sistem yazılımlarının kaldırılması.
9.5.6 Kullanıcıları korumaya alma uyarısı
Baskı hedefi (hedef ) olabilecek kullanıcılar için uyarıya izin verilmesi dikkate alınmalıdır. Bu gibi bir uyarının
tedarik edilip edilmemesi kararı, risklerin değerlendirmesine dayalı olmalıdır. Bir baskı uyarıya tepki (cevap)
verilmesi için, tanımlanmış sorumluluklar ve yöntemler olmalıdır.
9.5.7 Terminal zaman aşımı
Yüksek risk altındaki yerleşim yerlerinde olan, örneğin işletmenin güvenlik yönetiminin dışında kalan halka
açık veya harici alanlar, veya yüksek risk altındaki sistemlere verilen hizmetler, etkileşimli terminaller,
yetkisiz kişiler tarafından sağlanacak erişimi engellemek için, tanımlanmış bir çalışmazlık (etkinsizlik)
süresinden sonra kapatılmalıdır. Bu zaman aşımı aracı, tanımlanmış belirli bir çalışmazlık süresinden sonra,
terminal ekranını temizlemeli ve uygulama ve ağ oturumunun her ikisini de kapatmalıdır. Zaman aşımı
gecikmesi, alanın güvenlik risklerini ve terminalin kullanıcılarını yansıtmalıdır.
Bazı PC’ler için, ekranı temizleyen ve yetkisiz erişimi engelleyen fakat uygulama veya ağ oturumlarını
kapatmayan zaman aşımı aracının sınırlı bir şekli sağlanabilir.
9.5.8 Bağlantı süresinin sınırlanması
Bağlantı süreleri üzerindeki kısıtlamalar, yüksek riskli uygulamalar için ilave güvenlik sağlamalıdır. Bilgisayar
hizmetlerinin terminal bağlantılarına izin verdiği süre boyunca, süreyi sınırlamak, yetkisiz erişim için çıkan
fırsatları azaltır. Böyle bir denetim, duyarlı bilgisayar uygulamaları için, özellikle de terminalleri yüksek riskli
yerleşim alanlarında olanlar için –örneğin işletmenin güvenlik yönetimi dışında kalan halka açık veya harici
yerlerde-, düşünülmelidir (dikkate alınmalıdır). Bu gibi kısıtlamalara örnekler aşağıdakileri içermelidir:
a) Önceden belirlenmiş zaman yuvalarının kullanımı, örneğin toplu iş dosyalarının aktarımı veya kısa süre
için düzenli etkileşimli oturumlar;
b) Eğer fazla çalışma(mesai) veya arttırılmış saatler işlemlerine gereksinim yoksa, bağlantı sürelerini normal
iş saatiyle kısıtlamak.
36
ICS 35.040
TÜRK STANDARDI
9.6 Uygulama erişimi denetimi
Amaç: bilgi sistemleri içinde tutulan bilgiye yetkisiz erişimi engellemek.
Uygulama sistemleri içersinde erişimi kısıtlamak için güvenlik araçları kullanılmalıdır.
Yazılım ve bilgiye mantıksal erişim, yetkili kullanıcılarla kısıtlanmalıdır.
Uygulama sistemleri :
a) Kullanıcıların bilgi ve uygulama sistem işlevlerine erişimini, tanımlı bir iş erişim denetimi politikasına uygun
bir şekilde denetlenmelidir;
b) Sistem veya uygulama denetimlerini hükümsüz kılabilecek her yardımcı program veya işletim sistemi
yazılımları için yetkisiz erişimden korunma sağlamalıdır;
c) Bilgi kaynaklarının paylaşıldığı diğer sistemlerin güvenliğini tehlikeye atmamalıdır;
d) Bilgiye erişimi sadece sahibine, atanmış diğer yetkili kişilere, veya tanımlanmış kullanıcı gruplarına
sağlayabilmelidir.
9.6.1 Bilgi erişimi kısıtlaması
Destek personelleri dahil, uygulama sistemlerinin kullanıcılarına, bireysel uygulama gereklerine dayanan ve
işletmeye ait bilgi erişim politikasını içeren tanımlanmış bir erişim denetimi politikasıyla (Madde 9. 1) uyumlu
olarak (göre-uygun olarak) bilgi ve uygulama sistemleri işlevlerine erişim sağlanmalıdır. Erişim kısıtlaması
gereklerini desteklemek üzere aşağıdaki denetimlerin uygulanması göz önünde bulundurulmalıdır:
a) Uygulama sistem işlevlerine erişimi denetlemek için menüler sağlamak;
b) Kullanıcıların, erişim yetkileri olmayan bilgi veya uygulama sistemi işlevleri hakkındaki bilgilerini, uygun
kullanıcı belgelendirmeleri yazarak, kısıtlamak;
c) Kullanıcıların erişim haklarını denetlemek, örneğin okumak, yazmak, silmek ve yürütmek;
d) Duyarlı bilgiler bulunduran uygulama sistemlerinden çıktıların sadece çıktının kullanımıyla ilgili ve sadece
yetkili terminallere ve yerleşimlere gönderilen-gereksiz bilgi fazlalığının kaldırıldığını garanti etmek için bu
gibi çıktıların belirli zamanlarda gözden geçirilmesi de dahil, bilgileri içerdiğini temin etmek.
9.6.2 Duyarlı sistem yalıtımı
Duyarlı sistemler, yalıtılmış bilgi işlem ortamlarına gerek duyabilirler. Bazı uygulama sistemleri, olası
kayıplara o kadar duyarlıdır ki özel bakıma(idare-kullanım) gereksinim duyarlar. Duyarlılık, uygulama
sisteminin özel görevli bir bilgisayarda çalışması gerektiğini, sadece güvenli uygulama sistemleriyle
kaynakları paylaşması gerektiğini veya hiçbir kısıtlamasının bulunmadığını belirtebilir. Aşağıdakiler
düşünceler uygundur.
a) Bir uygulama sisteminin duyarlılığı, uygulama sahibi tarafından açıkça tanımlanmış ve belgelendirilmiş
olmalıdır (Madde 4.1.3).
b) Bir duyarlı uygulama paylaştırılmış bir ortamda çalışmak zorunda olduğunda, kaynakları paylaşacak
olduğu uygulama sistemleri tanımlanmış ve duyarlı uygulamanın sahibi tarafından onaylanmış olmalıdır.
9.7 Sistem erişiminin gözlenmesi ve kullanımı
Amaç: Yetkisiz işlemlerin tespit edilmesi.
Sistemler, erişim denetim politikasından sapmaları tespit etmek için gözlenmeli ve güvenlik arızalarının
çıkması ihtimaline karşı bulgu sağlayabilmek için gözlenebilir olayları kaydetmelidir.
Sistemin gözlenmesi, kabul edilmiş (benimsenmiş) denetimlerin etkinliğinin kontrol edilmesine ve erişim
politikası modeline (Madde 9.1) uygunluğunun teyit edilmesine izin verir.
37
ICS 35.040
TÜRK STANDARDI
9.7.1 Olay kayıtlarının tutulması
Kontrol günlükleri kaydetme istisnaları ve güvenlikle ilgili diğer olaylar üretilmeli ve gelecek araştırmalarına
ve erişim denetimi gözlemlerine yardımcı olmak üzere anlaşma sağlanmış bir zaman süre boyunca
saklanmalıdır. Kontrol günlükleri ayrıca aşağıdakileri içermelidir:
a)
b)
c)
d)
e)
Kullanıcı kimlikleri;
Oturuma giriş ve çıkış tarihleri ve zamanları;
Eğer mümkünse terminal kimliği veya yerleşimi;
Başarılı ve reddedilmiş sistem erişim denemelerine ilişkin kayıtlar;
Başarılı ve reddedilmiş veri ve diğer kaynak erişim denemelerine ilişkin kayıtlar;
Belirli kontrol günlüklerinin, kayıt tutma politikasının bir parçası olarak veya bulgu toplamak için gereklerden
dolayı, arşivlenmesi istenebilir (Madde 12).
9.7.2 Sistem kullanımının gözlenmesi
9.7.2.1 Yöntemler ve risk alanları
Bilgi işleme araçlarının kullanımının gözlenmesine ilişkin yöntemler oluşturulmalıdır. Bu gibi yöntemler,
kullanıcıların sadece açıkça yetkilendirildikleri işlemleri gerçekleştiriyor olduklarını temin etmek içi gereklidir.
Bireysel araçlar için gerek duyulan gözlem düzeyi, bir risk değerlendirmesi tarafından belirlenmelidir. Dikkate
alınması gereken alanlar şunlardır:
a) Aşağıdaki detayları içeren yetkili erişim :
1)
2)
3)
4)
5)
Kullanıcı kimliği;
Anahtar olayların tarihi ve zamanı;
Olayların biçimleri;
Erişilen dosyalar;
Kullanılan program/yardımcı programlar;
b) Tüm ayrıcalıklı işlemler, örneğin:
1) Denetleyici hesabının kullanımı;
2) Sistem başlama ve durması;
3) I/O aygıt eklentisi/ayrılması;
c) Yetkisiz erişim denemeleri, örneğin:
1) Başarısız denemeler;
2) Geçitler ve güvenlik duvarları için erişim politikası ihlalleri ve bildirmeleri;
3) Kişiye özel izinsiz giriş tetkik sistemlerinden uyarılar;
d) Sistem uyarıları veya başarısızlıkları, örneğin:
1) Konsol uyarıları veya mesajları;
2) Sistem günlük istisnaları;
3) Ağ yönetim uyarıları.
9.7.2.2 Risk etkenleri
Gözleme işlemlerinin sonuçları düzenli aralıklarla gözden geçirilmelidir. Gözden geçirmenin sıklığı, kapsadığı
risklere bağlı olmalıdır. Dikkate alınması gereken risk etkenleri aşağıdakileri içermelidir:
a)
b)
c)
d)
Uygulama işlemlerinin önem derecesi;
İlgili bilginin değeri, duyarlılığı veya önemi;
Sistem sızmalarına ve yanlış kullanımlarına ait geçmiş deneyimler;
Sistem bağlantılarının kapsamı (özellikle herkese açık ağlar).
9.7.2.3 Olayları günlükleme ve gözden geçirme
Bir günlük gözden geçirmesi, sistemin karşılaştığı tehditleri ve bunları oluşturan davranışları anlamayı
kapsar. Güvenlik arızaları ihtimaline karşı başka araştırmalara gerek duyulabilen olaylara örnekler Madde
9.7.1’de verilmiştir.
38
ICS 35.040
TÜRK STANDARDI
Sistem günlükleri çoğu kez, çoğu güvenlik gözlemleri dışında kalan geniş çaplı bilgi içerir. Güvenlik
gözlemlerinin amaçları doğrultusunda önemli olayların tanımlanmasına yardımcı olmak için, uygun mesaj
biçimlerini otomatik olarak ikinci günlüğe kopyalamak, ve/veya uygun sistem yardımcı programlarının veya
kontrol araçlarının dosya sorgulaması için kullanımı dikkate alınmalıdır.
Günlük gözden geçirmesi için sorumluluklar tahsis edildiğinde, gözden geçirmeyi üstlenen kişi(ler) ile
işlemleri gözlenen kişiler arasında rollerin bir ayrımı dikkate alınmalıdır.
Günlükleme aracına özel bir dikkat verilmelidir çünkü eğer karıştırılırsa güvenlikle ilgili yanlış bir his
(göstermelik) sağlayabilir. Denetimler aşağıdakileri de içeren yetkisiz değişimlere ve işletim sorunlarına karşı
koruma amaçlamalılardır.
a)
b)
c)
d)
Pasifleştirilen günlükleme aracı;
Kaydedilen mesaj biçimlerinde değişiklikler;
Yazılan veya silinen günlük dosyaları;
Tükenmiş hale gelen günlük dosyası ortamı, ve ya olayları kaydetme başarısızlığı ya da kendi üstüne
yazma.
9.7.3 Saat vurusu senkronizasyonu
Bilgisayar saatlerinin doğru ayarlanması, araştırmalar için, veya yasal veya disiplinlik durumlarda bulgu(delil)
olarak gerek duyulabilen kontrol günlüklerinin doğruluğunu temin etmek açısından önemlidir. Doğru olmayan
kontrol günlükleri, bu gibi araştırmaları aksatabilir ve bu gibi bulguların güvenilirliğine hasar verebilir.
Bir bilgisayarın veya haberleşme aygıtının bir gerçek-zaman saatini çalıştırma kapasitesine sahip olduğu
yerlerde, saat onaylanmış bir standardda, örneğin Koordine Edilmiş Evrensel Zaman (UCT) veya yerel
standard zaman ayarlanmalıdır. Bazı saatlerin zamanla saptığı bilindiğinden dolayı, herhangi önemli bir
sapmayı kontrol eden ve düzelten bir yöntem oluşturulmalıdır.
9.8
Mobil bilgi işlem ve uzaktan çalışma
Amaç: Mobil bilgi işlem ve uzaktan çalışma araçları kullanıldığında bilgi güvenliğinin temin edilmesi.
Gereken koruma, bu özel çalışma yollarının riskleriyle orantılı olmalıdır. Mobil bilgi işlem kullanıldığında,
korunmasız çevrelerde çalışmaya ait riskler dikkate alınmalı ve uygun koruma yöntemleri uygulanmalıdır.
Uzaktan çalışma gerektiğinde, işletme çalışılan alana uygun koruma sağlamalı ve bu çalışma şekilleri için
uygun düzenlemelerin yapıldığını temin etmelidir.
9.8.1 Mobil bilgi işlem
Mobil bilgi işlem araçlarını kullanırken, örneğin defter tipi bilgisayarlar, avuç içi bilgisayarlar, diz üstü
bilgisayarlar ve cep telefonları, iş bilgilerinin tehlikeye atılmadığına dair özel bir önem gösterilmelidir. Mobil
bilgi işlem araçlarıyla, özelliklede korunmasız çevrelerde, çalışmanın risklerini dikkate alan resmi bir politika
benimsenmelidir. Örneğin, bu gibi bir politika fiziksel korunma, erişim denetimi, şifreleme teknikleri,
yedeklemeler ve virüs koruması için gerekleri içermelidir. Bu politika ayrıca mobil araçların ağlara bağlantısı
üzerine kurallar ve tavsiyeleri ve bu araçların halka açık yerlerde kullanımına ait kılavuzları da kapsamalıdır.
Mobil bilgi işlem araçlarını, halka açık yerlerde, toplantı odalarında ve işletmenin çevresi dışında kalan diğer
korunmasız alanlarda kullanırken dikkat edilmelidir. Bu araçlar tarafından saklanan ve işlenen bilgilere
yetkisiz erişimi ve bu bilgilerin açığa çıkarılmasını önlemek üzere koruma sağlanmalıdır, örneğin şifreleme
tekniklerini kullanmak (Madde 10.3).
Bu gibi araçlar halka açık yerlerde kullanıldığında, yetkisiz kişilerce izlenme riskini önlemek üzere dikkat
edilmelidir. Zararlı yazılımlara karşı yöntemler yer almalıdır ve güncel olarak korunmalıdır (Madde 8.3).
Teçhizatlar hızlı ve kolay yedeklemeyi etkinleştirmek üzere kullanılabilir olmalıdır. Bu yedeklemelere, hırsızlık
veya bilgi kaybı gibi tehditlere karşı uygun koruma sağlanmalıdır.
Ağlara bağlanmış olan mobil araçların kullanımına uygun koruma sağlanmalıdır. Mobil bilgi işlem araçları
kullanarak genel ağ üzerinden iş bilgilerine uzaktan erişim, ancak başarılı tanımlama ve doğrulamadan, ve
uygun erişim denetimi mekanizmaları (Madde 9.4) olduktan sonra gerçekleşmelidir.
39
ICS 35.040
TÜRK STANDARDI
Mobil bilgi işlem araçları ayrıca, hırsızlığa karşı özellikle, örneğin araba veya diğer taşıma araçları içinde, otel
odalarında, konferans merkezlerinde ve toplantı alanlarında bırakıldıklarına, fiziksel olarak korunmalıdır.
Önemli, duyarlı ve/veya kritik iş bilgileri taşıyan teçhizatlar, başıboş bırakılmamalı ve mümkün olan yerlerde
fiziksel olarak kilitlenmeli, veya donanımı korumak için özel kilitler kullanılmalıdır. Mobil teçhizatların fiziksel
olarak korunmasına ilişkin daha fazla bilgi Madde 7.2.5’te bulunmaktadır.
Mobil bilgi işlem araçlarını kullanan personelin, bu çalışma şeklinden doğan ilave risklerin farkında olmaları
ve gerçekleştirilmesi gereken denetimler için personel eğitimleri düzenlenmelidir.
9.8.2 Uzaktan çalışma
Uzaktan çalışma, işletme dışında, belirlenmiş bir yerleşimde, personelin uzaktan çalışmalarını etkin kılmak
için haberleşme teknolojilerini kullanır. Uzaktan çalışma alanına ilişkin, örneğin donanımın ve bilginin
çalınması, bilginin yetkisiz olarak açığa çıkması, işletmenin dahili sistemine yetkisiz uzaktan erişim veya
araçların amaç dışı kullanımı gibi tehditlere karşı uygun, koruma sağlanmalıdır. Uzaktan çalışmanın,
yönetim tarafından hem yetkilendirilmiş hem de denetlenmiş olması
ve bu tip çalışmalarla ilgili
düzenlemelerin olması önemlidir
İşletmeler, uzaktan çalışma işlemlerini denetlemek için bir politika, yöntemler ve standardlar geliştirmeyi
dikkate almalıdır. İşletmeler ancak, uygun güvenlik düzenlemelerinin ve denetlemelerinin gerçekleşiyor
olduğundan ve bunların işletmenin güvenlik politikasıyla uyumlu olduğundan tatmin olduktan sonra uzaktan
çalışma faaliyetlerine yetki vermelidirler. Aşağıdakiler göz önünde bulundurulmalıdır:
a) Binanın ve yerel çevrenin fiziksel güvenliğini dikkate alınarak, uzaktan çalışma alanının mevcut fiziksel
güvenliği;
b) Önerilen uzaktan çalışma çevresi;
c) İşletmenin dahili sistemlerine uzaktan erişime gereksinimi, erişilecek ve haberleşme hattından geçirilecek
olan bilginin duyarlılığı ve dahili sistemin duyarlılığı dikkate alınarak haberleşme güvenlik gerekleri;
d) Bilgiye veya kaynaklara, yerleşim yerini kullanan diğer insanlar tarafından, örneğin aile, arkadaşlar,
yetkisiz erişime ilişkin tehditler.
Dikkate alınması gereken denetimler ve düzenlemeler aşağıdakileri da içermelidir:
a) Uzaktan çalışma işlemleri için uygun donanım ve depolama mobilyaları sağlanması;
b) İzin verilmiş işin bir tarifi, iş saatleri, bilginin sınıflandırılması, ve uzaktan çalışan kişinin erişim yetkisi olan
dahili sistemler ve hizmetler;
c) Uzaktan erişimi güvenli kılmak için yöntemleri de içeren uygun haberleşme teçhizatlarının sağlanması;
d) Fiziksel güvenlik;
e) Teçhizatlara ve bilgiye aile ve ziyaretçilerin erişimiyle ilgili kurallar ve kılavuz;
f) Donanım ve yazılım destek ve bakımının sağlanması.
g) Yedekleme ve iş sürekliliğiyle ilgili yöntemler;
h) Kontrol ve güvenlik gözlemesi;
i) Yetkinin, erişim haklarının iptali, ve uzaktan çalışma işlemleri sona erdiğinde donanımın geri dönüşü.
10 Sistem geliştirilmesi ve idamesi
10.1 Sistem güvenlik gerekleri
Amaç: Bilgi işlem sistemleri içerisinde güvenliğin kurulmasının temin edilmesi.
Bu, altyapıyı, mesleki uygulamaları ve kullanıcı tarafından geliştirilmiş uygulamaları içerir. Uygulamayı ya da
hizmeti destekleyen meslek prosesinin tasarımı ve kurulması güvenlik açısından önemli olabilir. Bilgi işlem
sistemlerinin geliştirilmesinden önce, güvenlik gerekleri belirlenmeli ve bu konuda uzlaşmaya varılmalıdır.
Son çare düzenlemeleri de dahil olmak üzere tüm güvenlik gerekleri projenin gerekler fazında belirlenmeli ve
doğrulanmalı, bu konuda uzlaşmaya varılmalı ve bilgi işlem sistemine ilişkin tüm iş hadisesinin bir parçası
olarak belgelenmelidir.
40
ICS 35.040
TÜRK STANDARDI
10.1.1 Güvenlik gereklerinin analizi ve özelleştirilmesi
Yeni sistemlere ilişkin iş gerekleri beyanları ya da varolan sistemlere katkılar kontrollere ilişkin gerekleri
belirtmelidir. Bu tür özelleştirmeler, sistem içerisine eklenecek otomatik kontrolleri ve elle kontrollerin
desteklenmesi gerekliliğini göz önünde bulundurmalıdır. İş uygulamalarına yönelik yazılım paketleri
değerlendirilirken de benzer konular dikkate alınmalıdır.
Güvenlik gerekleri ve kontroller ilgili bilgi desteklerinin ve güvenlikteki bir aksaklıktan ya da güvenlik
yoksunluğundan doğabilecek muhtemel iş kaybının iş açısından değerini yansıtmalıdır. Güvenlik gereklerini
incelemeye ve bunları karşılayacak olan kontrolleri belirlemeye ilişkin altyapı risk değerlendirmesi ve risk
denetimidir.
Tasarım aşamasında yürütülen kontrollerin kurulması ve bakımı, kurulum sırasında ya da kurulumdan sonra
dahil edilenlere göre, belirgin ölçüde daha ucuzdur.
10.2 Uygulama sistemlerinde güvenlik
Amaç: Uygulama istemlerindeki kullanıcı verilerinin kaybedilmesini, değişmesini ya da hatalı kullanımının
önlenmesi.
Uygulama sistemleri içerisine yerleştirilmek üzere, kullanıcı yazılı uygulamaları da dahil olmak üzere, uygun
kontroller ve kontrol zincirleri ya da etkinlik kayıtları tasarlanmalıdır. Bunlar arasında, girilen verilerin, iç
işleyişin ve son verilerin geçerli kılınması yer almalıdır.
Hassas, değerli ya da kritik kurumsal varlıkları işleyen, bunlar üzerinde etkili olan sistemler için ek kontroller
gerekli olabilir. Bu tür kontroller güvenlik gerekleri ve risk değerlendirmesi esasına dayalı olarak
belirlenmelidir.
10.2.1 Girdi verilerin geçerli kılınması
Uygulama sistemlerine veri girişi doğruluk ve uygunluk açısından geçerli kılınmalıdır. İş hareketleri, daimi
veriler (isim ve adresler, kredi limitleri, müşteri referans numaraları) ve parametre tabloları (satış fiyatları,
döviz kurları, vergi oranları) girişlerine kontroller uygulanmalıdır. Aşağıdaki kontroller göz önünde
bulundurulmalıdır:
a) Aşağıdaki hataları denetlemek üzere ikili giriş ya da diğer giriş kontrolleri:
1)
2)
3)
4)
5)
Sıra-dışı değerler;
Veri alanlarında geçersiz karakterler;
Eksik ya da tamamlanmamış veriler;
Veri hacmi üst yada alt sınırlarının aşılması;
Yetkisiz ya da yetersiz kontrol verileri;
b) Geçerliliğinin ve bütünlüğünün doğrulanması için anahtar alanların ya da veri dosyalarının içeriklerinin
periyodik olarak gözden geçirilmesi;
c) Veri girişlerine ilişkin yetkisiz herhangi bir değişiklik açısından basılı kopya giriş dosyalarının
denetlenmesi (giriş dosyalarındaki tüm değişiklikler yetkili kılınmalıdır);
d) Geçerli kılma hatalarına yanıt verme işlemleri;
e) Veri girişi olasılığını test etmeye yönelik işlemler;
f) Veri girişi işleminde görev alan tüm personelin sorumluluklarının tanımlanması.
10.2.2 İç işleyişin kontrolü
10.2.2.1 Risk alanları
Doğru bir şekilde girilen veriler hatalı kullanım nedeniyle veya kasıtlı olarak zarara uğratılabilir. Bu tür
zararların saptanması amacıyla, sistemler içerisine geçerli kılma kontrolleri yerleştirilmelidir. Uygulamaların
tasarımı bütünlük kaybına yol açabilecek işletim hataları riskinin asgariye indirilmesini sağlayacak
kısıtlamaların yerleştirilmesini temin etmelidir. Dikkate alınması gereken özel alanlar arasında şunlar yer
almaktadır:
41
ICS 35.040
TÜRK STANDARDI
a) Veri değişikliklerini yerleştirmek amacıyla, programlardaki ekleme ve silme işlevlerinin kullanımı ve
yerleşimi;
b) Programların yanlış sırayla çalışmasını ya da ilk işlemde bir hatadan sonra çalışmasını önlemeye yönelik
işlemler (Madde 8.1.1);
c) Verilerin doğru işlemesini temin etmek üzere hataların düzeltilmesine yönelik doğru programların
kullanımı.
10.2.2.2 Denetimler ve kontroller
Gerekli kontroller uygulamanın özelliklerine ve herhangi bir veri tacizinin işe etkisine bağlı olacaktır.
Uygulanabilecek kontrollere örnekler arasında aşağıdakiler yer almaktadır:
a) Aktarım güncellemelerinden sonra veri dosyasını yeniden derlemek amacıyla, oturum ya da toplu iş
kontrolleri;
b) Bir önceki kapanış dengelerine karşılık açılış dengelerini kontrol etmek için dengeleyici kontroller; ismen:
1) Kullanımdan-kullanıma kontroller;
2) Dosya güncelleme toplamları;
3) Programdan-programa kontroller;
c) Sistem-kökenli verilerin geçerli kılınması (Madde 10. 2.1);
d) Merkezi ve uzak bilgisayarlar arasında uzaktan yüklenen ya da uzağa yüklenen yazılımların ya da
verilerin bütünlüğü üzerinde kontroller (Madde 10.3.3);
e) Kayıtların ve dosyaların denetim toplamı;
f) Uygulama programlarının doğru zamanda yapılmasını temin eden denetimler;
g) Programların doğru sırayla çalışmasını ve hata durumunda sonlandırılmasını ve sorun giderilinceye kadar
işlememesini temin etmek üzere denetimler.
10.2.3 Mesaj kimliğinin doğrulanması
Mesaj kimliğinin doğrulanması gönderilen elektronik bir mesajın içeriğine uygulanan yetkisiz değişikliklerin ya
da tacizin saptanması için kullanılan bir tekniktir. Fiziksel bir mesaj kimliği doğrulama gerecini ya da yazılım
algoritmasını destekleyen bir donanım ya da yazılım içerisine yerleştirilebilir.
Yüksek öneme sahip elektronik fon transferi, ruhsatlar, sözleşmeler, teklifler, vb ya da diğer elektronik veri
alış verişleri gibi mesaj içeriğinin bütünlüğünün korunmasına ilişkin bir güvenlik gereksinimi olan uygulamalar
için mesaj kimliğinin doğrulanması düşünülmelidir. Mesaj kimliğinin doğrulanmasının gerekip gerekmediği ve
en uygun yerleştirme yönteminin belirlenmesi için güvenlik risklerinin bir değerlendirilmesi yapılmalıdır.
Mesaj kimliğinin doğrulanması yetkisiz bir ifşadan bir mesajın içeriğinin korunması amacıyla
tasarlanmamıştır. Kriptografik teknikler (Madde 10.3.2 ve Madde 10.3.3) mesaj kimliğinin doğrulanmasının
yerleştirilmesi için uygun bir yöntem olarak da kullanılabilir.
10.2.4 Çıktı verilerinin geçerli kılınması
Depolanan verilerin işlenmesinin doğru ve çevreye uygun olmasını temin etmek için, bir uygulama sistemine
ilişkin veri çıktıları geçerli kılınmalıdır. Tipik olarak, sistemler uygun geçerli kılmanın, doğrulamanın ve çıktı
denetiminin üstlenilmesinin daima doğru olacağı esasına dayalı olarak inşa edilir. Ancak durum her zaman
böyle değildir.
Çıktı geçerli kılınması aşağıdakileri içerebilir:
a) Çıkış verilerinin nedensel olup olmadığının denetlenmesi için makul olma denetimleri;
b) Tüm verilerin işlenmesini temin etmek için yeniden derleme kontrol sayıları;
c) Bilginin doğruluğunu, tamlığını, kesinliğini ve sınıflandırılmasını belirlemek üzere, okuyucu ya da ardıl
işletim sistemi için yeterli bilgi sağlamak;
d) Çıktı geçerli kılma testlerine yanıt verme prosedürleri;
e) Veri çıktı işleminde görev alan tüm personelin belirlenmesi.
42
ICS 35.040
TÜRK STANDARDI
10.3 Kriptografik kontroller
Amaç: Bilginin gizliliği, aslına uygunluğu ya da bütünlüğününün korunması.
Risk altında olduğu sanılan ve diğer kontrollerin yeterince koruma sağlamadığı bilginin korunması için
kriptografik sistemler ve teknikler kullanılmalıdır.
10.3.1 Kriptografik kontrollerin kullanımına ilişkin politika
Kriptografik bir çözümün uygun olup olmadığı konusunda bir karar vermek risklerin değerlendirilmesi ve
kontrollerin seçilmesi yolundaki daha geniş bir işlemin bir parçası olarak görülmelidir. Bilginin verilmesi
gereken seviyesinin belirlenmesi için bir risk değerlendirmesi yapılmalıdır. Daha sonra bu değerlendirme,
kripografik bir kontrolün uygun olup olmadığını, ne tür ve hangi amaçla ve hangi iş etkinlikleri için bir kontrol
uygulanması gerektiğini belirlemek için kullanılabilir.
Bir kuruluş, bilgilerinin korunmasına yönelik kriptografik kontrollerin kullanımına ilişkin bir ilke geliştirmelidir.
Kriptografik teknikler kullanmanın yararlarını azamileştirmek ve risklerini asgarileştirmek ve de uygunsuz
veya yanlış kullanımını engellemek için bu tür bir ilke gereklidir.
Bir ilke geliştirilirken aşağıdakiler göz önünde bulundurulmalıdır:
a) İş bilgilerinin korunacağı genel prensipleri de içeren, kuruluş içerisinde kriptografik kontrollerin kullanımına
yönelik denetim yaklaşımı;
b) Kayıp, tehlike altında ya da zarar görmüş anahtarlar söz konusu olduğunda, şifrelenmiş bilgilerin
kurtarılmasına yönelik yöntemler de dahil olmak üzere, anahtar denetimine yaklaşım;
c) Görevler ve sorumluluklar, örneğin, aşağıdakilerden kimlerin sorumlu olduğu:
d) Politikanın yerleştirilmesi;
e) Anahtar denetimi;
f) Kriptografik korumanın uygun seviyesinin nasıl belirleneceği;
g) Kuruluş çapında etkin yerleşimin sağlanması için edinilmesi gereken standardlar (hangi iş etkinlikleri için
hangi çözümün kullanılacağı).
10.3.2 Şifreleme
Şifreleme, bilginin gizliliğini korumak için kullanılabilecek kriptografik bir tekniktir. Hassa veya kritik bilgilerin
korunması için düşünülmelidir. Bir risk değerlendirmesine dayalı olarak, kullanılan şifreleme algoritmasının
türü ve kalitesi ve kullanılacak kriptografik anahtarların uzunluğu dikkate alınarak gerekli koruma seviyesi
belirlenmelidir.
Kuruluşun kriptografik politikası yerleştirilirken, dünyanın farklı yerlerinde kriptografik tekniklerin kullanımına
ilişkin olası düzenlemeler ve ulusal kısıtlamalar şifrelenmiş bilgilerin sınır ötesi akışı konuları dikkate
alınmalıdır. Ek olarak, kriptografik teknolojinin ithalat ve ihracatına ilişkin kontroller de dikkate alınmalıdır
(Madde 12.1.6).
Uygun koruma seviyesinin belirlenmesi, gerekli korumayı ve güvenli bir anahtar denetim sisteminin
yerleştirilmesini sağlayacak uygun ürünlerin seçilmesi için uzman görüşü alınmalıdır (Madde 10. 3. 5). Ek
olarak, kuruluşun niyetlendiği şifrelemenin kullanımına ilişkin yasalar ve düzenlemeler ile ilgili yasal önerilerin
alınması da gerekebilir.
10.3.3 Sayısal imzalar
Sayısal imzalar elektronik dosyaların aslına uygunluğunu ve bütünlüğünü korur. Bunlar, örneğin, elektronik
bir dosyayı kimin imzaladığının doğrulanmasının ve imzalanmış dosyanın içeriğinin değiştirilip
değiştirilmediğinin kontrol edilmesinin gerektiği elektronik ticarette kullanılabilir.
Sayısal imzalar elektronik olarak işlenen her tür dosyaya uygulanabilir; örneğin, elektronik ödemeleri, fon
transferlerini, sözleşmeleri ve anlaşmaları imzalamak için kullanılabilir. Sayısal imzalar bir anahtarın bir imza
yaratmak için (özel anahtar) diğerinin ise imzayı kontrol etmek için (açık anahtar) kullanıldığı özdeş ilişkili bir
anahtar çiftine dayalı kriptografik bir teknik kullanılarak yerleştirilebilir.
43
ICS 35.040
TÜRK STANDARDI
Özel anahtarın gizliliğinin korunmasına özen gösterilmelidir. Bu anahtara ulaşabilen herhangi biri ödemeler,
sözleşmeler gibi belgelere imza atabileceğinden ve bu nedenle bu anahtar sahibinin imzasını kopya
edeceğinden, bu anahtar saklı tutulmalıdır. Ek olarak, açık anahtarın bütünlüğünün korunması da önemlidir.
Bu koruma bir açık anahtar sertifikası kullanılarak sağlanır (Madde 10. 3. 5).
Kullanılan imza algoritmasının türü ve kalitesi ve kullanılacak anahtarların uzunluğu konularında dikkat
gösterilmelidir. Sayısal imzalar için kullanılan kriptografik anahtarlar şifreleme için kullanılanlardan farklı
olmalıdır (Madde 10.3.2).
Sayısal imzalar kullanılırken, sayısal bir imzanın yasal olarak bağlayıcı olduğu durumları tarif eden ilgili
herhangi bir yasal düzenlemeye dikkat gösterilmelidir. Örneğin, elektronik ticarette, sayısal imzaların yasal
durumunu bilmek önemlidir. Yasal altyapının yetersiz olduğu durumlarda, sayısal imzaların kullanımını
destekleyecek bağlayıcı sözleşmeler veya başka anlaşmalar yapmak gerekebilir. Kuruluşun sayısal imza
kullanma amacına uyan yasalar ve düzenlemelerle ilgili yasal danışmanlık alınmalıdır.
10.3.4 İnkar edememe servisleri
Elektronik bir sözleşme ya da ödeme üzerindeki sayısal imzanın kullanımına ilişkin bir anlaşmazlık gibi bir
olay ya da davranışın varlığı ya da yokluğu hakkında anlaşmazlıkların çözülmesi gerektiğinde nonrepudiation services kullanılmalıdır. Bunlar, elektronik posta kullanılarak sayısal olarak imzalanmış bir
talimatın gönderilmesinin yalanlanması gibi, belli bir olayın ya da davranışın gerçekleşip gerçekleşmediğini
doğrulayacak kanıtlar oluşturulmasına yardımcı olabilir. Bu hizmetler şifreleme ve sayısal imza tekniklerinin
kullanımına dayanmaktadır (Madde 10.3.2 ve Madde 10.3.3).
10.3.5 Anahtar Yönetimi
10.3.5.1 Kriptografik anahtarların korunması
Kriptografik anahtarların yönetimi kriptografik tekniklerin etkin kullanımı için gereklidir. Kriptografik
anahtarların herhangi bir zarara uğraması ya da kaybı bilginin gizliliğinin, aslına uygunluğunun ve/veya
bütünlüğünün zarar görmesine neden olabilir. Kuruluşun aşağıda belirtilen iki tür kriptograik tekniği
kullanmasını destekleyecek bir yönetim sistemi yerini almalıdır:
a) İki ya da daha fazla tarafın aynı anahtarı paylaştığı ve bu anahtarın bilginin şifrelenmesi ve deşifre
edilmesi için kullanıldığı durumlarda gizli anahtar teknikleri. Bu anahtara ulaşabilen herhangi biri bu
anahtarla şifrelenmiş bilgileri deşifre edebileceğinden ya da yetkisiz bilgiler ekleyebileceğinden bu anahtar
gizli tutulmalıdır;
b) Her kullanıcının bir açık anahtar (herhangi bir kişiye açıklanabilen) ve bir özel anahtar (gizli tutulması
gereken) olmak üzere, bir anahtar çiftine sahip olduğu açık anahtar teknikleri. Açık anahtar teknikleri
şifreleme amacıyla (Madde 10.3.3) ve sayısal imzalar oluşturmak için kullanılabilir.
Tüm anahtarlar değiştirilmeye ve tahrip edilmeye karşı korunmalıdır ve gizli ve özel anahtarlar yetkisiz ifşaya
karşı korunmaya gereksinim duymaktadır. Kriptografik teknikler bu amaçla da kullanılabilir. Anahtarları
üretmek, saklamak ve arşive kaldırmak için kullanılan ekipmanın korunması için fiziki koruma kullanılmalıdır.
10.3.5.2 Standardlar, prosedürler ve yöntemler
Bir anahtar yönetim sistemi aşağıdaki konular için üzerinde uzlaşmaya varılmış bir standardlar, prosedürler
ve güvenli yöntemler kümesine dayandırılmalıdır:
a) Farklı kriptografik sistemler ve farklı uygulamalar için anahtarlar üretmek;
b) Açık anahtar sertifikaları üretmek ve edinmek;
c) Teslim alındığında anahtarların nasıl etkinleştirileceği de dahil olmak üzere, anahtarların amaçlanan
kullanıcılara dağıtılması;
d) Yetkili kullanıcıların anahtarlara nasıl erişebileceği de dahil olmak üzere, anahtarların saklanması;
e) Kurallar ve anahtarların ne zaman değiştirilmesi gerektiği ve bunun nasıl yapılması gerektiği konusundaki
kurallar da dahil olmak üzere, anahtarların değiştirilmesi ya da güncellenmesi;
f) Zarar görmüş anahtarlara müdahale;
g) Anahtarlar zarara uğradığında ya da bir kullanıcı bir kuruluştan ayrıldığında (ki bu durumda da anahtarlar
arşive kaldırılmalıdır) olduğu gibi, anahtarların nasıl geri çekilmesi ya da deaktive edilmesi gerektiği de
dahil olmak üzere, anahtarların geri alınması;
h) Şifrelenmiş bilginin kurtarılması için olduğu gibi, iş devamlılığının yönetiminin bir parçası olarak, kaybolan
ya da kötüye kullanılan anahtarların kurtarılması;
i) Arşivlenmiş ya da yedeklenmiş bilgiler için olduğu gibi, anahtarların arşivlenmesi;
44
ICS 35.040
TÜRK STANDARDI
j) Anahtarların ortadan kaldırılması;
k) Anahtar yönetimi ile ilişkili etkinliklerin kaydı ve tetkiki.
Zarar görme olasılığını azaltmak amacıyla, sınırlı bir süre boyunca kullanılabilmeleri için anahtarların
tanımlanmış aktivasyon ve deaktivasyon tarihleri olmalıdır. Bu süre kriptografik kontrolün kullanıldığı
ortamlara ve öngörülen riske bağlı olmalıdır.
Kriptografik anahtarlara erişimle ilgili yasal taleplerin karşılanması için prosedürlerin dikkate alınması
gerekebilir; örneğin, şifrelenmiş bilginin bir duruşma sırasında delil olarak deşifre edilmiş halde
bulundurulması gerekebilir.
Gizli ve özel anahtarların güvenli bir şekilde yönetilmesi konusuna ek olarak, açık anahtarların korunması da
dikkate alınmalıdır. Birinin kullanıcılardan birine ait açık bir anahtarı kendisininkiyle değiştirerek sayısal bir
imzayı taklit etmesi tehdidi söz konusudur. Bu sorun bir açık anahtar sertifikası kullanılarak giderilmeye
çalışılır. Bu sertifikalar açık/özel anahtar çiftinin sahibi ile ilişkili bilgiyi eşsiz olarak açık anahtar ile
bağdaştıracak şekilde üretilmelidir. Bu nedenle, bu sertifikaları oluşturan yönetim işleminin güvenilir olması
önemlidir. Bu işlem normal olarak gerekli güveni sağlayacak uygun kontrolleri ve prosedürleri yerli yerinde
olan tanınan bir kuruluş olması gereken bir belgelendirme otoritesi tarafından yürütülür.
Bir belgelendirme otoritesi gibi yabancı kriptografik hizmet üreticileriyle yapılan hizmet seviyesi
anlaşmalarının veya sözleşmelerinin içeriği, sorumluluk, hizmetlerin güvenilirliği ve hizmetlerin provizyonuna
ilişkin yanıt süreleri konularını kapsamalıdır (Madde 4.2.2).
10.4 Sistem dosyalarının güvenliği
Amaç: IT projelerinin ve destek etkinliklerinin güvenli bir şekilde yürütülmesini temin etmek. Sistem
dosyalarına erişim kontrol edilmelidir.
Sistem bütünlüğünün korunması kullanıcı fonksiyonunun ya da uygulama sisteminin ya da yazılımın ait
olduğu geliştirme grubunun sorumluluğu olmalıdır.
10.4.1 Operasyonel yazılımın kontrolü
İşletim sistemlerine yazılım yerleştirilmesinde kontrol uygulanmalıdır. İşletim sistemlerinin bozulma riskini
asgariye indirmek için aşağıdaki kontroller yapılmalıdır:
a) İşletim programları kütüphanesinin güncellenmesi yalnız uygun yönetim yetkilendirmesi ile tayin edilen
kitaplık görevlisi tarafından gerçekleştirilebilir (10.4.3).
b) Mümkünse, işletim sistemleri yalnız makine kodu taşımalıdır.
c) Başarılı testlere ve kullanıcı onayına ilişkin kanıtlar elde edilinceye ve karşılık gelen program kaynak
belgelikleri güncelleninceye kadar, makine kodu bir işletim sistemi üzerine yerleştirilmemelidir.
d) İşletim belgeliklerine uygulanan tüm güncellemelerini içeren bir kontrol kaydı tutulmalıdır.
e) Beklenmedik durum önlemi olarak yazılımın önceki versiyonları saklanmalıdır.
İşletim sistemlerinde kullanılan satıcı tarafından sağlanan yazılım üretici tarafından desteklenen bir seviyede
tutulmalıdır. Yeni bir sürüme güncelleme yolunda herhangi bir karar sürümün güvenliğini göz önünde
bulundurmalıdır; örneğin, yeni güvenlik işlevselliğinin takdimi ya da bu versiyonu etkileyen güvenlik
sorunlarının sayısı ve şiddeti. Yazılım ilaveleri güvenlik zayıflıklarını azaltılmasına ya da ortadan
kaldırılmasına katkıda bulunabilecekse yapılmalıdır.
Fiziki ya da mantıksal erişim gerekli olduğunda yalnız destek amacıyla üreticilere ve yönetimin onayı ile
verilmelidir. Üreticinin etkinlikleri izlenmelidir.
10.4.2 Sistem test verilerinin korunması
Test verileri korunmalı ve kontrol edilmelidir. Sistem ve onay testi genellikle, Operasyonel verilere
olabildiğince yakın olan geniş hacimli test verileri gerektirmektedir. Kişisel bilgiler içeren Operasyonel
veritabanlarının kullanımından sakınılmalıdır. Bu tür bilgiler kullanılırsa, kullanılmadan önce depersonalize
edilmelidir. Test amacıyla kullanıldığında, operasyonel verilerin korunması için aşağıdaki kontroller
uygulanmalıdır:
45
ICS 35.040
TÜRK STANDARDI
a) İşletim uygulama sistemlerine uyan erişim kontrol prosedürleri test uygulama sistemleri için de geçerli
olmalıdır.
b) Operasyonel bilginin bir test uygulamasına her kopyalanışında ayrı bir yetkilendirme söz konusu
olmalıdır.
c) Test işlemi tamamlandıktan sonra Operasyonel bilgi test uygulama sisteminden hemen silinmelidir.
d) Bir kontrol zinciri oluşturmak amacıyla, Operasyonel bilginin kopyalanması ve kullanımı kaydedilmelidir.
10.4.3 Program kaynak kütüphanesine erişimin kontrolü
Bilgisayar programlarının bozulma riskini azaltmak amacıyla, program kaynak kütüphanesine erişim
konusunda, aşağıda belirtildiği gibi, sıkı bir denetim sağlanmalıdır (Madde 8.3).
a) Mümkün oldukça, program kaynak belgelikleri işletim sistemleri içerisinde tutulmamalıdır.
b) Her bir uygulama için bir program kitaplıkçısı tayin edilmelidir.
c) IT destek ekibi program kaynak belgeliklerine sınırsız erişim yetkisine sahip olmamalıdır.
d) Geliştirilmekte ya da bakımda olan programlar işletim programı kaynak belgeliklerinde tutulmamalıdır.
e) Program kaynak belgeliklerinin güncellenmesi ve program kaynaklarının programcılara verilmesi ancak
uygulamaya özgü IT destek yöneticisinin yetki vermesi üzerine tayin edilmiş kitaplıkçı tarafından
gerçekleştirilmelidir.
f) Program listeleri güvenli bir ortamda saklanmalıdır (Madde 8.6.4).
g) Program kaynak belgeliklerine tüm erişimlerin bir kontrol kaydı tutulmalıdır.
h) Kaynak programlarının eski versiyonları tüm destek yazılım, iş denetimi, veri tanımları ve prosedürlerle
birlikte, Operasyonel oldukları döneme ait kesin tarihlerin ve zamanların açıkça belirtildiği bir şekilde
arşivlenmelidir.
i) Program kaynak belgeliklerinin idamesi ve kopyalanması sıkı değişim kontrol prosedürlerine tabi olmalıdır
(Madde 10.4.1).
10.5 Geliştirme ve destek süreçlerinde güvenlik
Amaç: Uygulama sistemi yazılımının ve bilgilerin güvenliğini korumak.
Proje ve destek ortamları sıkı denetim altında tutulmalıdır.
Uygulama sistemlerinden sorumlu yöneticiler projenin ve destek ortamının güvenliğinden de sorumlu
olmalıdırlar. Sistemin ya da işletim ortamının güvenliğini bozmadığından emin olmak için, planlanan tüm
sistem değişikliklerinin gözden geçirilmesini temin etmelidirler.
10.5.1 Değişim kontrol işlemleri
Bilgi sistemlerinin bozulmasını asgariye indirmek için, değişikliklerin yerleştirilmesi konusunda sıkı bir
denetim yürütülmelidir. Resmi değişim kontrol prosedürleri zorunlu kılınmalıdır. Bunlar güvenliğin ve kontrol
prosedürlerinin zarar görmemesini, destek programcıların sistemin yalnız çalışmaları için gerekli olan
bölümlerine erişimine izin verilmesini ve herhangi bir değişiklik için resmi uzlaşma ve onay alınmasını temin
etmelidir. Uygulama yazılımının değiştirilmesi işletim ortamını etkileyebilir. Mümkün olduğunca, uygulama ve
işletim değişim kontrol prosedürleri entegre edilmelidir (Madde 8.1.2). Bu işlem aşağıdakileri içermelidir:
a) Uzlaşmaya varılmış yetki seviyelerinin bir kaydını tutmak;
b) Değişikliklerin yetkili kullanıcılar tarafından öne sürülmesini temin etmek;
c) Değişikliklerden zarar görmemelerini temin etmek için kontrolleri ve bütünlük prosedürlerini gözden
geçirmek;
d) Tadilat gerektiren tüm bilgisayar yazılımı, bilgi, veritabanı, veritabanı antiteleri ve donanımının
belirlenmesi;
e) Ayrıntılı teklifler için iş başlangıcından önce resmi onay almak;
f) Yetkili kullanıcının herhangi bir yerleştirmeden önce değişiklikleri kabul ettiğinden emin olmak;
g) Yerleştirmenin iş alanındaki aksaklıkları asgariye indirmek amacıyla gerçekleştirildiğinden emin olmak;
h) Her bir değişiklik tamamlandığında sistem dosyalama kümesinin güncellendiğinden ve eski dosyalamanın
arşive kaldırıldığından ya da imha edildiğinden emin olmak;
i) Tüm yazılım güncellemeleri için bir versiyon kontrolü yürütmek;
j) Tüm değişiklik istemleri için bir kontrol zinciri sürdürmek;
k) Uygun hale gelmesi için işletim dosyalamasının (Madde 8.1.1) ve kullanıcı prosedürlerinin gerektiği
şekilde değiştirilmesini temin etmek;
l) Değişikliklerin yerleştirilmesinin doğru zamanda gerçekleştirilmesini ve söz konusu iş süreçlerini olumsuz
yönde etkilememesini temin etmek.
46
ICS 35.040
TÜRK STANDARDI
Çoğu kuruluş, kullanıcıların yeni yazılımı test ettiği ve gelişim ve üretim ortamlarından ayrılmış bir ortam
bulundurmaktadır. Bu yeni yazılım üzerinde bir çeşit kontrol ve test amacıyla kullanılan operasyonel bilgilere
ek koruma sağlamaktadır.
10.5.2 İşletim sistemi değişiklerinin teknik olarak gözden geçirilmesi
Yeni üretilen bir yazılım sürümünün ya da eklerin kurulması gibi, işletim sisteminin periyodik olarak
değiştirilmesi gerekmektedir. Değişiklikler gerçekleştirildiğinde, işletim ya da güvenlik üzerine olumsuz bir etki
olmadığından emin olmak için uygulama sistemleri gözden geçirilmeli ve test edilmelidir. Bu işlem
aşağıdakileri kapsamalıdır:
a) İşletim sistemi değişikliklerinden zarar görmediğinden emin olmak için uygulama kontrol ve bütünlük
prosedürlerinin gözden geçirilmesi;
b) Yıllık destek planının ve bütçenin gözden geçirmeyi ve işletim sistemi değişikliklerinden kaynaklanan
sistem testini karşıladığından emin olmak;
c) İşletim sistemi değişikliklerine ilişkin uyarının yerleştirme öncesinde uygun gözden geçirmelere olanak
tanıyacak zamanda yapılmasını temin etmek;
d) İşin devamlılığı planlarına ilişkin uygun değişikliklerin yapılmasını temin etmek (Madde 11).
10.5.3 Yazılım paketlerine yapılacak değişiklik kısıtlamaları
Yazılım paketleri üzerinde değişiklik yapılması konusunda caydırıcı olunmalıdır. Mümkün ve uygulanabilir
oldukça, bayi tarafından sunulan yazılım paketleri değiştirilmeden kullanılmalıdır. Bir yazılım paketinin
değiştirilmesi gerekli görüldüğünde, aşağıdaki noktalar göz önünde bulundurulmalıdır:
a)
b)
c)
d)
İç kontrollerin ve bütünlük işlemlerinin zarar görme riski;
Satıcının onayının alınmasının gerekip gerekmediği;
Satıcıdan gerekli değişikliklerin standard program güncellemeleri olarak temin edilebilme olasılığı;
Değişikliklerin sonucu olarak kuruluşun yazılımın gelecekteki bakımı konusunda yükümlülük altında
kalması halinde doğacak sonuç.
Değişiklikler gerekli görülüyorsa, orijinaI yazılım saklanmalı ve değişiklikler açıkça belirlenmiş bir kopyaya
uygulanmalıdır. Daha sonraki yazılım güncellemelerinde gerekirse yeniden uygulanabilmesi için tüm
değişiklikler tam bir testten geçirilmeli ve dosyalanmalıdır.
10.5.4 Örtülü kanallar ve truva kodu
Örtülü bir kanal dolaylı ve muğlak bazı yollarla bilgi açığa çıkarabilir. Bir bilgi işlem sisteminin güvenli ve
güvensiz üyeleri yoluyla erişilebilen bir parametrenin değiştirilmesi ya da bir veri katarına bilgi gönderilmesi
yoluyla etkinleştirilebilir. Truva kodu engel teşkil eden ve henüz fark edilmemiş olan ve alıcı ya da program
kullanıcısının gerek duymadığı yetkili olmayan bir sistemi etkilemek için tasarlanmıştır. Örtülü kanallar Truva
kodu nadiren kazara oluşmaktadır. Örtülü kanallar veya Truva kodunun önemli olduğu hallerde, aşağıdaki
konular dikkate alınmalıdır:
a)
b)
c)
d)
e)
f)
Programların yalnız iyi tanınan bir kaynaktan satın alınması;
Kodun doğrulanabilmesi için programları kaynak kodda satın almak;
Değerlendirilmiş ürünler kullanmak;
Operasyonel kullanımdan önce tüm kaynak kodunu denetlemek;
Kurulduğu andan itibaren kodun erişimini ve değiştirilmesini kontrol etmek;
Anahtar sistemlerinde çalışmak üzere güvenilirliği kanıtlanmış personelle çalışmak.
10.5.5 Dış kaynaklı yazılım geliştirme
Yazılım geliştirilmesinin dış kaynaklı olduğu durumlarda, aşağıdaki noktalar dikkate alınmalıdır:
a)
b)
c)
d)
e)
f)
Ruhsat düzenlemeleri, kod iyeliği ve fikri mülkiyet hakları (Madde 12.1.2);
Yürütülen işin kalite ve doğruluk açısından belgelenmesi;
Üçüncü tarafın başarısızlığı halinde yediemin düzenlemeleri;
Yapılan işin kalite ve doğruluk bakımından tetkikine erişim hakları;
Kalite kodu için sözleşme gereksinimleri;
Truva kodunun kurulmadan önce test edilmesi.
47
ICS 35.040
TÜRK STANDARDI
11 Ticari süreklilik yönetimi
11.1 Ticari süreklilik yönetiminin ilkeleri
Amaç: Ticari aktivitelerin karşılaştığı engellere karşı etkileri oluşturmak ve kritik ticari işlemleri büyük
başarısızlıklar ve felaketlerden korunması.
Ticari süreklilik yönetimi işlemi; felaketler ve güvenlik başarısızlıkları (örneğin, doğal felaketler, kazalar, araç
gereç başarısızlıkları ve kasıtlı hareketlerin sonuçları olabilir) nedeniyle oluşan bozulmayı, koruyucu ve
yenileyici kontrollerin birleşmesi ile, kabul edilebilir bir seviyeye indirmek için uygulanmalıdır.
Felaketlerin, güvenlik başarısızlıklarının ve servis kayıplarının sonuçları incelenmelidir. Ticari işlemlerin
gereken zaman aralıklarında düzeltilebilmesinin devamlılığının sağlanması için olası planlar geliştirmelidir ve
uygulanmalıdır. Bu planların diğer bütün ticari işlemlerin bağlantılı bir parçası olması için sürekliliğinin ve
pratikliliğinin sağlanması gereklidir. Ticari süreklilik yönetimi, riskleri tanımlamak ve en aza indirgemek, gelen
zararların sonuçlarını sınırlandırmak için kontroller içermelidir ve operasyonlar için zaman sağlanmalıdır.
11.1.1 Ticari süreklilik yönetim süreci
Bir organizasyonda gelişen ve devam eden ticari süreklilik için bir yönetim süreci olmalıdır. Bu ticari süreklilik
yönetimi aşağıdaki anahtar elementleri birlikte getirmelidir:
a) Organizasyondaki riskleri anlamak, kritik ticari süreçlerin tanımlarını yapmak, önceliklerini belirlemek ve
etkilerini saptamayı karşılamaktır;
b) Ticaretteki engellerin çıkaracağı etkileri anlamak (şu önemlidir ki, bulunan çözümler, organizasyonun
devamını tehlikeye düşüren ciddi yansımalarda olduğu gibi, küçük yansımalarda da ele alınacaktır;
c) Ticari süreklilik işlemlerinin bir parçası olabilecek uygun bir sigorta siparişini ele almak;
d) Ticari amaç ve önceliklerine uygun, ticari süreklilik stratejisi ayarlamak ve belgelerini hazırlamak.
e) Uygun bulanan strateji ile aynı çizgide ticari süreklilik planları ayarlamak ve belgelerini hazırlamak;
f) Planların ve işlemlerin düzenli olarak test edilmesini ve güncelleşmesini sağlamak;
g) Ticari süreklilik yönetiminin organizasyonunun yapısına oturtmak. Ticari süreklilik yönetiminin
organizasyondaki işlemlerin koordinesi sorumluluğu uygun bir seviyede duyurulmalıdır, örneğin bilgi
güvenlik forumunda (Madde 4.1.1).
11.1.2 Ticari süreklilik ve etki çözümlemesi
Ticari süreklilik, ticari işlemlerin kesilmesine neden olabilecek yangın, araç gereç hatası gibi olayların
belirlenmesi ile başlamalıdır. Bunu, bu engellerin etkilerini belirlemek için risk değerlendirmesi yapılması
takip etmelidir (zarar ölçümü ve yenileme periyodu). Bu aktivitelerin her ikisi de ticaret kaynakları ve
işlemlerin sahiplerinin de bütünüyle ele alması ile yapılmalıdır. Bu değerlendirme bütün ticari işlemleri
kapsar, sadece bilgi işlemleri etkinlikleri ile sınırlanmaz.
Risk sonuçlarının değerlendirilmesine bağlı olarak, ticari sürekliliğe bütünüyle bir yaklaşım belirlenmesi için
bir strateji planı belirlenmelidir. Bir zamanlar gerçekleştirilen bu plan, yönetimle de desteklenmelidir.
11.1.3 Süreklilik planlarının yazılması ve uygulanması
Kritik ticari işlemlerin engellenmesi veya başarısızlığı durumunda ticari operasyonların gerekli zaman
aralıklarında devamının sağlanması veya yenilenmesi için planlar hazırlanmalıdır. Ticari süreklilik planlama
işlemleri aşağıdakileri ele almalıdır:
a)
b)
c)
d)
Tüm sorumluluk ve olağan üstü durumlarda yapılacak işlemlerinin belirlenmesi ve karar verilmesi;
Gerekli zaman aralığında yenilenmenin yapılmasını sağlamak için ilkyardım işlemlerinin uygulanması;
Karar verilen işlemler ve işlem sıralarının belgelerinin hazırlanması;
Personele, olağan üstü durumlarda yapılmasına karar verilen işlemlerin ve işlem sıralarının, sorun
durumundaki yönetimi de içeren uygun bir eğitimin verilmesi;
e) Planların test edilmesi ve güncellenmesi.
48
ICS 35.040
TÜRK STANDARDI
Planlama işlemleri gerek duyulan ticari amaçla çakışmalıdır, örneğin, uygun zamanlarda müşterilere özel
servisler sağlamak gibi. Bu servis ve kaynaklar, personel istihdam edilmesi, bilgi içermeyen işlem kaynakları
ile devam ettirilebilir, bilgi işlemleri etkinliklerinde yedek ayarlamaları gibi.
11.1.4 Ticari süreklilik planlama çerçevesi
Basit bir ticari süreklilik planı çerçevesi, planların tutarlı olmasının, test ve bakımının sağlanması için gereken
önceliklerin belirlenmesi, sürekliliğin devamının sağlanması için hazırlanmalıdır. Her ticari süreklilik planı,
bireysel sorumlulukları planın planın her parçasında bulundurarak, uygulanmasındaki şartları açıkça
belirlemelidir. Yeni gereklilikler belirlendiğinde, kurulmuş olan olağan üstü durum işlem sıraları düzelmeyi
uygun şekilde sağlamalıdır.
Ticari süreklilik planlama çerçevesi aşağıdakileri içermelidir:
a) Her bir plan harekete geçirilmeden önce takip edilecek işlem sırasını belirleyen planları hazır hale
getirmek (durumun nasıl değerlendirileceği ve kimin yer alacağı gibi);
b) Ticari operasyonları veya insan hayatını tehlikeye atan bir etkinin devamında ele alınacak hareketin
belirlenmesi için yapılması gereken olağan üstü durum işlemleri; kamu ilişkilerin idaresi, kamu yetkilileri ile
gerekli bağlantıların yapılmasını içermelidir, örneğin, polis, itfaiye, belediye gibi.
c) Gereken zaman aralığı içinde harekete geçirilecek ticari aktiviteleri veya alternatif geçici bölgelere destek
servisler sağlanması ve operasyona ticari işlem sırası getirecek hareketleri tanımlayan yedek işlem sırası;
d) Normal ticari operasyona geri dönüşün sağlanmasını belirleyen işlemler;
e) Planın ne zaman ve nasıl test edileceğini belirleyen bir bakım planı hazırlanması;
f) Ticari süreklilik işlemlerinin anlaşılmasının sağlanması için eğitim aktiviteleri;
g) Alternatif sorumlu bireylerin de yer almasının gerektiği, planın hangi bölümünde kimin sorumlu olduğunun
tanımlanması;
Her planın belirli bir sahibinin olması gereklidir. Olağan üstü durumlardaki işlemler, yedek planları, bilgi
verme işlemleri, uygun kaynaklar ve ticari işlemlerin bireylerin sorumluluğu altında olmalıdır.
11.1.5 Ticari süreklilik planlarının test edilmesi, bakımı ve yeniden değerlendirilmesi
11.1.5.1 Planların test edilmesi
Ticari süreklilik planları, doğru olmayan varsayımlar, dikkatsizlik, araç-gereç, personel değişikliği yüzünden
sık sık testte başarısız olabilirler. Bu yüzden, güncel ve etkili olabilmeleri için sık sık test edilmelidirler. Bu
testlerde, aynı zamanda yenileme yapan takım ve diğer ilgili personelin de yer alması sağlanmalıdır.
Ticari süreklilik planı için hazırlanan test planı, planın her bir parçasının ne zaman ve nerede test edileceğini
göstermelidir. Planın bireysel parçalarının sıklıkla test edilmesi tavsiye edilir. Planın gerçek hayatta geçerlilik
sağlaması için pek çok teknik kullanılır. Bu teknikler aşağıdakileri içerir:
a) Çeşitli senaryoların masa üstü testi (engel ve kesinti örnekleri ile ticari yenileme ayarlamalarının
tartışılması);
b) Benzetmeler (yönetimdeki rollerin eğitiminin verilmesi);
c) Teknik yenileme testi (bilgi sistemlerinin etkili olarak yenilenebilmesinin sağlanması);
d) Alternatif alanlarda yenileme yapılması testi (devam eden ticari işleme paralel olarak ana bölgeden uzak
bir bölgede yenileme operasyonları);
e) Sağlayıcı etkinlikleri ve servisleri testi (hariçten sağlanan servislerin anlaşmada taahhüt edilen şartlarla
uyum sağlaması);
f) Prova tamamlamak (organizasyon, personel araç gereç, etkinlik ve işlemlerin kesintilerle birleşmesi testi).
Teknikler herhangi bir organizasyonda kullanılabilir ve belirlenmiş yenileme planının yapısını istenilen yöne
kaydırabilir.
11.1.5.2 Planların bakımı ve yeniden değerlendirilmesi
Ticari süreklilik planları düzenli geri dönüşler ve güncelleme ile, sürekliliklerinin etkili olmasının sağlanması
için bakım altına alınmalıdır. (Madde 11.1.5.1 – Madde 11.1.5.3). İşlemler, ticari süreklilik malzemelerinin
uygun yerleştirilmesini sağlamak için, organizasyonun değişiklik idari programında yer almalıdır
Sorumluluk, her ticari süreklilik planında düzenli geri dönüşlerle duyurulmalı, henüz yönlendirilmemiş olan
ticari ayarlamalardaki değişiklikler, plandaki uygun bir güncellemeden sonra gelmelidir. Bu formal değişiklik,
güncellenen planların, planın bütününe düzenli geri dönüşleriyle kontrol işlemi sağlanmalıdır.
49
ICS 35.040
TÜRK STANDARDI
Araç gereç değişikliği, sistem kaynaklarının yükseltilmesini ihtiyaç duyulabilecek durum örnekleri ve değişiklikler:
a)
b)
c)
d)
e)
f)
g)
h)
Personel;
Adres ve telefon numaraları;
İş stratejisi;
Yerleşim, aktiviteler ve kaynaklar;
Kanun;
Müteahhitler, sağlayıcı ve anahtar müşteriler;
İşlemler, veya yeni/düşürme;
Risk (operasyonel ve finansal).
12 Uyum
12.1 Yasal gereksinimlerle uyum
Amaç: Herhangi bir suçtan kaçınılması.
Bilgi sistemlerinin şekli, operasyonu ve kullanımı herhangi bir güvenlik gereksinimi için, yasal, düzenleyici ve
kurucu yaptırımların konusu olabilir. Belirli bir kanuni gereksinim hakkındaki öneriler, organizasyonun kanuni
tavsiyecileri tarafından verilmelidir.
Kanuni gereksinimler ülkeden ülkeye çeşitlilik gösterir ve bilgilerin bir ülkeden diğer ülkeye geçişi vardır
(geçiş köprüsü veri akışı).
12.1.1 Uygulanabilir kanunların tanımlanması
Bütün uygun yasal, düzenleyici ve kurucu gereksinimler her bilgi sistemi için kesin olarak tanımlanmalı ve
dökümantasyonu yapılmalıdır. Bu gereksinimlerle çakışan belirli kontroller ve bireylerin sorumluluklarının da
aynı şekilde tanımının yapılması ve dökümantasyonunun sağlanması gereklidir.
12.1.2 Fikri mülkiyet hakları (IPR)
12.1.2.1 Kopya hakkı
Yasal kısıtlamalara uyulması açısından kopya hakkı, düzenleme hakkı, ticari marka gibi hakların
kullanılmasında uygun işlemler yürürlülüğe sokulmalıdır. Kopya hakkının ihlal edilmesi bir suçtur.
Yasama yetkisi olan, düzenleyici ve kurucu gereksinimler materyallerin kopyalanmasına kısıtlama
getirebilirler. Bu durumda, yalnızca organizasyon tarafından basılan materyallere ihtiyaç duyulabilir, ya da
basımı yapanların veya sağlayıcıların organizasyona lisans vermesi kullanılabilir.
12.1.2.2 Yazılım kopya hakkı
Tescilli yazılım ürünleri genellikle ürünlerinin kullanımını kısıtlayarak belirli makinelerde kullanılmasını
sağlayan lisans anlaşması altında kullanılır, yedeklerinin kopyalanmasının sınırlanmasını sağlar. Aşağıdaki
kontroller ele alınmalıdır:
a) Yazılım ve bilgi ürünlerinin kanuni olarak kullanımını belirleyen yazılım kopya hakkına uyulması politikası
ile ilgili basımların yapılması
b) Yazılım ürünlerinin kazancı için gereken işlemlerin standardlarının basımı;
c) Yazılım kopya hakkı ve kazancının sürmesinin devamının sağlanması, kazanç politikaları, ve bunlara
uymayan personelin dikkatinin çekilmesi için gerekli disiplin hareketlerine girişilmesi;
d) Uygun varlık kayıtlarının bakımı;
e) Lisansların, ana disklerin, kullanım kılavuzlarının ve disklerinin vb sahiplerinin olduğunu kanıtlanması ve
varlığının sağlanması;
f) İzin verilen kullanıcı sayısının aşılmamasını sağlayan kontrollerin uygulanması;
g) Yalnızca yetkili yazılım ve lisanslı ürünlerin yüklenmiş olduğunun kontrollerinin yapılması;
h) Uygun lisans şartlarının devamının sağlanması için bir politika belirlenmesi;
i) Yazılımların diğerlerine transferi için bir politika sağlanması;
j) Uygun izleme gereçleri kullanılması;
k) Yerel ağlardan elde edilen bilgilere yazılım şartlarına uyum sağlamak (Madde 8.7.6).
50
ICS 35.040
TÜRK STANDARDI
12.1.3 Organizasyon kayıtlarının korunması
Organizasyonun önemli kayıtları kaybolmaya, bozulmaya karşı koruma altına alınmalıdır. Bazı kayıtlar,
yapısal, düzenleyici gereksinimlerle koruma altına alınmaya ihtiyaç duyabilir, gerekli ticari aktivitelerin
desteklenmesi gibi. Organizasyonunun yapısal ve düzenleyici kuralların varlığı için gerek duyulan kayıtlar,
veya potansiyel suç teşkil eden hareketlere karşı yeterli defansın sağlanması, organizasyonun ortaklara ve
yetkililerine karşı finansal durumun onayı, bunlara verilebilecek örneklerdir. Veri koruması ve zaman aralığı
ulusal kanunlarla sağlanmalıdır.
Kayıtlar, kayıt tiplerine göre kategorize edilmelidir. Örneğin, muhasebe kayıtları, veritabanı kayıtları, geçiş
kayıtları, izleme kayıtları ve operasyonel işlemlerin, her biri arşivleme tipi hakkında bilgi verir, (kağıt, mikroifş,
manyetik, optik). Her bir ilgili kriptografik anahtar, digital belirliklerle kripte edilir (Madde 10.3.2 ve Madde
10.3.3), güvenlik altında korunmalıdır ve yetkilinin ihtiyacı olduğunda elde edilebilir olmalıdır. .
Medya kullanımı saklama biçiminin zarar görmesi ihtimali göz önüne alınmalıdır. Saklama ve kullanma
işlemleri üreticinin tavsiyelerine uygun olarak yapılmalıdır.
Elektronik medya saklama biçiminin seçildiği bir yerde, ileride doğacak teknoloji değişikliklerine karşı
korumaya alınmasını sağlayacak veri geçişi işlemleri sağlanmalıdır (hem medya hem de uyarlanabilirliği).
Veri saklama sistemi seçerken, verilerin kabul edilebilir bir kanun ve zaman çerçevesinde ve formatında geri
dönüşünün olmasına dikkat edilmelidir.
Saklama ve kullanma sistemi kayıtların açık tanımlarını içermeli ve onların yapısal, düzensel periyodlarını
sağlamalıdır. Organizasyon tarafından bir zaman periyodu içerisinde ihtiyaç duyulmadığı zaman, kayıtların
uygun olarak yok olmasına izin vermelidir.
Bu yaptırımları elde etmek için, organizasyon tarafından aşağıdaki adımlar atılmalıdır.
a) Kayıt ve bilgilerin saklanması, kullanımı, yok edilmesi ile ilgili rehber basılmalıdır.
b) Gerekli kayıt tiplerinin tanımlanması, zaman periyotlarının ve akılda tutulmasını sağlayacak şema
hazırlanmalıdır.
c) Anahtar bilgilerin kaynaklarının içeriğinin devamlığı sağlanmalıdır.
d) Gerekli kayıtların kayıplardan ve zarar görmesinden korunmasını sağlayan uygun kontroller uygulamaya
sokulmalıdır.
12.1.4 Verinin korunması ve kişisel bilgilerin gizliliği
Bazı ülkeler kişisel verilerin geçişlerini kanun altına alan kontroller uygulamakta olduğunu duyurmuştur. (genellikle
bu bilgilerden tanımlanabilen yaşayan bireyler hakkındaki bilgiler). Bu çeşit kontroller kişisel bilgilerin bir araya
getirilmesi, işlemleri ile ilgili görevler gerektirebilir ve verilerin diğer ülkelere geçişini kısıtlayabilir.
Veri koruma kanunlarına uymak, gerekli yapı ve kontrol yönetimine ihtiyaç duyurur. Bunun, kendi belirli
görevlerini yapmaları açısından, idarecilere, kullanıcılara, servis sağlayıcılara yol gösterici olması gereken
veri koruma ile görevli ofis elemanı tarafından yapılması en uygunudur, Veri koruma elemanına herhangi bir
kişisel bilginin dosyalama yapısı hakkındaki bilgileri verme, uygun kanunlarda belirtilen koruma ilkeleri ile ilgili
devamı sağlayan prensipleri belirtme sorumluluğu, verilerin kendi sahibine aittir.
12.1.5 Bilgi işlem birimlerinin yanlış kullanıma karşı korunması
Bir organizasyondaki bilgi işlem etkinlikleri ticari amaçlar için sağlanır. Yönetim kendi kullanımını yetkilendirir.
Bu etkinliklerin herhangi bir şekilde ticaret dışı ve yetkisiz amaçlarla yönetimin izini alınmadan kullanımı,
etkinliklerin uygun olmayan biçimde kullanımı olarak kayda alınır. Eğer böyle bir aktivite görüntüleme veya
diğer anlamlarda tanımlanırsa, bireyin idarecisinin gerekli disiplin hareketlerini göz önüne almasını
beraberinde getirir.
Görüntülemenin kanunu kullanımı ülkeden ülkeye çeşitlilik gösterir ve çalışanların bu çeşit görüntüleme için
tavsiyelerinin alınmasına veya onlarca uygun kararlarının belirlenmesi ihtiyacı duyulabilir. Görüntüleme
işlemlerinin uygulamasından önce kanuni tavsiyeler alınmalıdır.
Bilgisayarların yanlış yere kullanımına karşı pek çok ülkenin duyuruları, kanunları vardır. Bilgisayarın yetkisiz
amaçlar için kullanılması yasal olarak suç teşkil edebilir. Bu yüzden tüm kullanıcılara izinli geçişler
verilmelidir. Bu kullanıcılara, kullanıcının ve organizasyonun imzalarının olduğu yazılı yetki verilmesi ile
koruma altına alınabilir. Bir organizasyonun çalışanları ve üçüncü şahıslara, yetkilerinin olmadığı yerlere
geçişlerine izin olmadığı duyurulmalıdır.
51
ICS 35.040
TÜRK STANDARDI
Oturum açıldığında, bilgisayar ekranında uyarı mesajı görünmeli, girilen sistemin özel olduğunun ve yetkisiz
geçişe izin olmadığının belirtilmesi gereklidir. Kullanıcı oturum açılması sırasında çıkan mesaja göre uygun
davranışta bulunmalıdır.
12.1.6 Kriptografik kontrollerin düzenlenmesi
Bazı ülkeler, geçişlerin kontrolü veya kriptografik kontroller için anlaşmaları, kanunları, düzenlemeleri veya
diğer enstrümanları. Bu kontroller aşağıdakileri içerebilir:
a) Bilgisayarların kriptografik fonksiyonları yerine getirebilmesi için ihraç ve/veya ihtal yazılım ve donanımlar;
b) Kriptografik fonksiyonların üzerine eklenebileceği şekilde düzenlenen ihraç ve/veya ihtal yazılım ve
donanımlar;
c) İçeriğin gizliliğini sağlamak için donanım veya yazılım tarafından şifrelenmiş bilgiye ükleler tarafından
zorunlu veya isteğe bağlı metotlar.
Ulusal kanunlara uyulması açısından kanuni tavsiyelerin alınması şarttır. Kriptografik kontrollerin bir ülkeden
diğerine taşınmasından önce de bu tavsiyeler alınmalıdır.
12.1.7 Kanıtların toplanması
12.1.7.1 Kanıt için kurallar
Bir organizasyon veya bir tanığa karşı yapılacak hareketten önce yeterli kanıt gereklidir. Bu hareket bir iç
disiplin konusudur ve iç yönetmelikler gereği de kanıt gereklidir.
Bir hareket suç içerdiğinde, sunulacak kanıt uygun kanunlar veya özel bir çerçevedeki kurallar ile yargılanır.
Bu kurallar aşağıdakileri içerir:
a) Kanıtın akla uygunluğu: kanıt özel bir çerçevede kullanılabilir veya kullanılamaz;
b) Kanıtın ağırlığı: kanıtın kalitesi;
c) Düzgün olarak kontrol edilen yeterli kanıt (işlem kontrol tanığı) sistem tarafından yenilenen ve korunan
kanıt.
12.1.7.2 Kanıtın akla uygunluğu
Kanıtın akla uygunluğunun belirlenmesi için, organizasyonlar bilgi sistemlerini, herhangi bir basılmış
standard veya kod pratiği ile çakıştırmalıdır.
12.1.7.3 Kanıtın kalite ve bütünlüğü
Kanıtın kalite ve bütünlüğünün belirlenmesi için, güçlü bir kanıt iz sürme gereklidir. Genel olarak güçlü bir iz
sürme aşağıdaki şartları taşır.
a) Basılı belgeler için: orjinalleri güvenli olarak saklanır kimin bulduğu, nerede bulunduğu kaydedilir,
orjinallerin koruma altında olması sağlanır.
b) Bilgisayar ortamı bilgisi için: kopyalar ve hareket ettirilemeyen medya, hard disk veya hafıza üzerindeki
bilgilerin varlığının devam ettirilmesi. Kopyalama işlemi boyunca tüm hareketlerin kayda alınması ve
medya üzerindeki bir bilginin ve kayıtların emniyete alınması.
Bir giriş fark edildiğinde, mümkün olan çerçevedeki hareketin sonucu olacağı görünür değildir. . Sonuç
olarak, girişin ciddiyetinin fark edilmesinden önce gerekli tanığa kazayla zarar verilmiş olması tehlikesi ortaya
çıkar. Kanuni bir işlem yapılması gerektiğinde bir polisin bulundurulması tavsiye edilir.
12.2 Güvenlik politikası ve teknik uyumun gözden geçirilmesi
Amaç: Organizasyonun güvenlik politikalarının ve standardlarının sisteme uyumunun sağlanması.
Bilgi sistemlerinin güvenliğine düzenli olarak geri dönülmelidir.
Bu çeşit geri dönmeler, teknik platformlara ve uygun güvenlik politikalarına karşı yapılmalı ve bilgi
sistemlerinin güvenlik uygulama standardları ile uyumu izlenmelidir.
52
ICS 35.040
TÜRK STANDARDI
12.2.1 Güvenlik politikalarına uyum
İdareciler, bütün güvenlik politikalarının, kendi sorumluluk alanlarında doğru olarak yapılmasını sağlamalıdır.
Ek olarak, organizasyondaki bütün alanların düzenli geri dönüşler dikkate alınarak güvenlik politikaları ve
standardları ile uyumu sağlanmalıdır. Bu aşağıdakileri içermelidir:
a)
b)
c)
d)
e)
Bilgi sistemleri;
Sistem sağlayıcılar;
Bilgi ve bilgi varlıklarının sahipleri;
Kullanıcılar;
Yönetim.
Bilgi sistemlerinin sahipleri (Madde 5.1), sistemlerinin, uygun güvenlik standardlar, ve diğer herhangi
güvenlik gereksinimleri ile uyumlarını, düzenli geri dönüşlerle desteklemelidir. Sistem kullanımının
operasyonel görünümü Madde 9.7’de ele alınmıştır.
12.2.2 Teknik uyum kontrolü
Bilgi sistemlerinin, güvenlik uygulama standardları ile uyumunun sağlanması için düzenli olarak kontrol edilir.
Teknik uyum kontrolü, yazılım ve donanım kontrollerinin doğru uygulanmasının sağlanmasını içerir. Bu çeşit
bir uyum kontrolü özel teknik asistan gerektirir. Bu, manuel olarak (eğer gerekliyse uygun yazılım araçları ile
desteklenir) deneyimli bir sistem mühendisi tarafından yapılmalı, veya teknik bir yorumcunun desteği
kullanılarak yazılım paketi ile yapılmalıdır.
Uyum kontrolü aynı zamanda, bu amaçla özel olarak anlaşılmış bağımsız bir uzman tarafından yapılabilecek
olan dalış testi içerir. Bu sistemde yapılan kontrollerin etkinliğinin belirlenmesinde ve yetkili olmayan
geçişlerin yorumlanmasında faydalıdır. Dalış testinin başarılı olması durumunda, sistemin güvenliği de test
edilmiş olur.
Herhangi bir teknik uyum kontrolü sadece yetkili kişiler tarafından yapılır.
12.3 Sistem denetleme hususları
Amaç: Sistem izleme işlemlerinin etkisini artırılması ve engellerinin azaltılması.
Sistem izleme boyunca kontroller ve koruma operasyonları ve izleme gereçleri olmalıdır. Aynı zamanda
izleme araçlarının yanlış kullanımı önleyecek korumalara da gerek vardır.
12.3.1 Sistem denetleme kontrolleri
Kontroller içeren izleme gereksinimleri ve aktiviteleri, operasyonel sistemlerin kontrolleri, ticari işlemlere
zararının en aza indirilmesini sağlamak için dikkatli planlanmalıdır. Aşağıdakiler gözlemlenmelidir.
a)
b)
c)
d)
e)
f)
g)
h)
İzleme gereksinimlerine uygun yönetim tarafından karar verilmelidir.
Kontrollerin tanımına karar vermeli ve kontrol edilmelidir.
Kontroller yazılım ve veriler erişimin salt okunabilirliği ile sınırlanmalıdır.
Salt okunabilirlerin dışındaki erişimler sistem dosyalarının kopyesin dış etkilerden uzak tutulması ile
yapılır, izleme tamamlandığında silinmelidir.
Kontrollerin yapılması için gereken IT kaynakları kesin olarak tanımlanmalı var olmaları sağlanmalıdır.
Özel veya ek bir işlem için gereksinimler tanımlanmalı ve karar verilmelidir.
Bütün erişimler görüntülenmeli ve başvuru yapılabilmesi için kayda alınmalıdır.
Bütün işlemler, gereksinimler ve sorumlulukların belgeleri hazırlanmalıdır.
12.3.2 Sistem denetleme araçlarının korunması
Sistem izleme gereçlerine erişim, yazılım ve data dosyaları, herhangi bir yanlış kullanımda zarar
görmemesine karşı korumaya alınmalıdır. Bu gereçler gelişme ve operasyonel sistemlerden ayırılmalı ve
kütüphanelerde, veya kullanıcı alanlarında uygun seviyede ek bir koruma altına alınmadan kullanılmamalıdır.
53
ICS 35.040
TÜRK STANDARDI
Dizin
acil prosedürler
Madde 11.1.3
ağ
erişim denetimi
bağlantı denetimi
yönetimi
yönlendirme denetimi
ayrılma
Madde 9.4
Madde 9.4.7
Madde 8.5
Madde 9.4.8
Madde 9.4.6
altyapı
için politika
politika belgesi
gerekler
Madde 4.1
Madde 3.1
Madde 3.1
Madde 0
anahtar yönetimi
Madde 10.3.5
anlaşmalar
üçüncü tarafta güvenlik
dış kaynakta güvenlik
Madde 4.2.2
Madde 4.3.1
arıza ve bozulmalar, rapor etmek
Madde 6.3
arızalar
öğrenmek
için yönetim prosedürleri
rapor etmek
Madde 6.3.4
Madde 8.1.3
Madde 6.3.1
arızalar, rapor etmek
Madde 6.3.3
arızalara yanıt
vermek
Madde 6.3
arızalardan öğrenmek
ayrıcalık yönetimi
Madde 6.3.4
Madde 9.2.2
ayrılma
görevler
ağlar
Madde 8.1.4
Madde 9.4.6
bağlantı zamanının sınırı
baskı uyarısı
belgelendirme, sistem güvenliği
belgelendirilmiş işletim prosedürleri
Madde 9.5.8
Madde 9.5.6
Madde 8.6.4
Madde 8.1.1
bilgi
erişim, sınırlamaları
yedekleme
sınıflandırma
diğer değişim biçimleri
ilgilenme prosedürleri için
etiketleme ve ilgilenme
ve yazılım, değişimi
ve yazılım değişimi anlaşmaları
Madde 9.6.1
Madde 8.4.1
Madde 5.2
Madde 8.7.7
Madde 8.6.3
Madde 5.2.2
Madde 8.7
Madde 8.7.1
bilgi değişimi biçimleri, diğer
bilgi değişiminin diğer biçimleri
bilgi etiketleme ve ilgilenme
Madde 8.7.7
Madde 8.7.7
Madde 5.2.2
54
ICS 35.040
TÜRK STANDARDI
bilgi güvenliği
koordinasyon
öğretim ve eğitim
Madde 2.1
Madde 4.1.2
Madde 6.2.1
bilgi güvenliğinde öğretim ve eğitim
bilgi güvenliğinin bağımsız gözden geçirilmesi
bilgi güvenlik sorumluluklarının tahsisi
bilgi işlem tesislerinin kötü kullanımı
bilgi işlem tesislerinin kötü kullanımının önlenmesi
bilginin yedeklenmesi
bilgi ve yazılımın indirilmesi
bütünlük
Madde 6.2.1
Madde 4.1.7
Madde 4.1.3
Madde 12.1.5
Madde 12.1.5
Madde 8.4.1
Madde 8.1.3,
8.7.4,
Madde 2.1
çalışma koşul ve terimleri
çevresel ve fiziksel güvenlik
çıktı verisi geçerleme
Madde 6.1.4
Madde 7
Madde 10.2.4
dağıtım ve yükleme alanları
dahili işleme, denetim
Madde 7.1.5
Madde 10.2.2
10.2.2
değişim
bilgi, diğer biçimleri
bilgi ve yazılım
bilgi ve yazılım, için anlaşmalar
Madde 8.7.7
Madde 8.7
Madde 8.7.1
değişim kontrolü
işlemsel
için prosedürler
Madde 8.1.2
Madde 10.5.1
denetim
hususları
günlükler
araçlar, koruma
Madde 12.3
Madde 9.7.1
Madde 12.3.2
denetimlerin uygulanabilirliği
Madde 0
dış kaynaklı yazılım geliştirme
anlaşmalardaki güvenlik
Madde 10.5.5
Madde 4.3.1
dışardan kaynak sağlama
disiplin süreci
duyarlı, yalıtım
duyarlı sistem yalıtımı
duyarlı sistemlerin yalıtımı
düğüm kimlik doğrulaması
Madde 4.3
Madde 6.3.5
Madde 9.6.2
Madde 9.6.2
Madde 9.6.2
Madde 9.4.4
eğitim
Madde 6.2
elektronik
ticaret
posta
ofis sistemleri
Madde 8.7.3
Madde 8.7.4
Madde 8.7.5
elverişlilik
Madde 2.1
erişim denetimi
uygulaması
için iş gereksinimleri
için işletim sistemi
için politika
Madde 9
Madde 9.6
Madde 9.1
Madde 9.5
Madde 9.1.1
55
ICS 35.040
TÜRK STANDARDI
program kaynak kitaplığına
Madde 10.4.3
erişim denetimi için iş gereksinimleri
erişim sınırlandırma, bilgi
Madde 9.1
Madde 9.6.1
evden çalışma
teçhizat güvenliği
uzaktan çalışma güvenliği
Madde 7.2.5
Madde 9.8.2
fikri mülkiyet hakları
Madde 12.1.2
fiziksel
ve çevresel güvenlik
giriş denetimleri
güvenlik çevresi
Madde 7
Madde 7.1.2
Madde 7.1.1
geçerleme
girdi verisinin
çıktı verisinin
Madde 10.2.1
Madde 10.2.3
geliştirme
ve sistemlerin ayrımı
ve operasyonel tesisler, ayrım
ve destek çevresi, güvenlik
Madde 10
Madde 8.1.5
Madde 10.5
geliştirme ve işletim tesislerinin ayrımı
genel fiziksel kontroller
geri dönüş planlama
girdi verisi geçerleme
giriş denetimleri
gizlilik
gizlilik anlaşmaları
Madde 8.1.5
Madde 7.3
Madde 11.1.3
Madde 10.2.1
Madde 7.1.2
Madde 2.1
Madde 6.1.3
gözden geçirme
bilgi güvenliği
kullanıcı erişim hakları
Madde 4.1.7
Madde 9.2.4
güç kaynakları
Madde 7.2.2
günlükleme
olaylar
hatalar
Madde 9.7.1
Madde 8.4.3
günlükler, operatör
Madde 8.4.2
güvenli alanlar
teçhizatın yok edilmesi
çalışmak
Madde 7.1
Madde 7.2.6
Madde 7.1.4
güvenli bölgelerde çalışmak
Madde 7.1.4
güvenlik
uygulama sistemlerinde
geliştirme ve destek süreçleri
öğretim
elektronik ticaret
elektronik posta
elektronik ofis sistemleri
arızalar
nakil esnasındaki ortam
organizasyon
56
Madde 10.2
Madde 10.5
Madde 6.2.1
Madde 8.7.3
Madde 8.7.4
Madde 8.7.5
Madde 6.3,
6.3.1
Madde 8.7.2
Madde 4
ICS 35.040
TÜRK STANDARDI
politika
politika, ile uyumluluk
ihtiyaçlar analizi
dışarıdan kaynak sağlama anlaşmalarındaki gerekler
üçüncü taraf anlaşmalardaki gerekler
sistemlerin gerekleri
bilgi işlem tesislerini gözden geçirmeler
sistem belgelendirme
sistem dosyaları
üçüncü taraf erişimi
zayıflıklar, raporlamak
Madde 3
Madde 12.2.1
Madde 10.1.1
Madde 4.3.1
Madde 4.2
Madde 10.1
Madde 12.2
Madde 8.6.4
Madde 10.3
Madde 4.2
Madde 6.3.2
güvenlik gerekleri
güvenlik gereklerini oluşturma
güvenlik organizasyonu
güvenlik politikasını değerlendirme ve gözden geçirme
güvenlik risklerini değerlendirmek
Madde 0
Madde 0
Madde 4
Madde 3.1.2
Madde 0
halka açık sistemler
harici tesisler yönetimi
hata günlükleme
Madde 8.7.6
Madde 8.1.6
Madde 8.4.3
ifşa edilemeyen anlaşmalar
iletişim ve işlemler yönetimi
inkar edememe servisleri
işlemler ve iletişim yönetimi
Madde 6.1.3
Madde 8
Madde 10.3.4
Madde 8
işletim
prosedürler
sistem erişim denetimi
Madde 8.1.1
Madde 9.5
iş sorumlulukları, güvenlik
Madde 6.1.1
iş sürekliliği
için çerçeve
ve etki analizi
yönetim
için yönetim süreci
için test etme, bakım ve yeniden değerlendirme planları
için planlar yazmak ve gerçekleştirmek
Madde 11
Madde 11.1.4
Madde 11.2
Madde 11
Madde 11.1
Madde 11.1.5
Madde 11.1.3
iş süreklilik planları çerçevesi
iş süreklilik planlarının test edilmesi, bakımı ve yeniden değerlendirilmesi
iş tanımı ve kaynaklandırma
Madde 11.1.4
Madde 11.1.5
Madde 6.1
izleme
sistem erişimi ve kullanım
sistem kullanımı
Madde 9.7
Madde 9.7.2
kablo güvenliği
kabul, sistem
kanıt, toplama
kanıt toplama
kapasite planlama
kapsam
kaynak program kütüphanesi erişim denetimi
kendi kılavuzlarınızı geliştirmek
Madde 7.2.3
Madde 8.2.2
Madde 12.1.7
Madde 12.1.7
Madde 8.2.1
Madde 1
Madde 10.4.3
Madde 0
kimlik doğrulama
mesaj
düğüm
kullanıcı
Madde 10.2.3
Madde 9.4.4
Madde 9.4.3
57
ICS 35.040
TÜRK STANDARDI
kişisel bilgi, özelliği
Madde 12.1.4
kontrol
zararlı yazılıma karşı
dahili işleme
operasyonel yazılım
Madde 8.3.1
Madde 10.2.2
Madde 10.4.1
kontroller, genel fiziki
Madde 7.3
kopya hakkı
IPR
yazılım
Madde 12.1.2.1
Madde 12.1.2.2
koruma
teçhizatı zararlardan
zararlı yazılıma karşı
sistem denetleme araçları
sistem test verisi
Madde 7.2
Madde 8.3
Madde 12.3.2
Madde 10.4.2
kriptografik kontroller
kullanım politikası
düzenleme
Madde 10.3
Madde 10.3.1
Madde 10.3.2
kritik başarı faktörleri
Madde 0
kullanıcı
erişim
yönetimi
hakları, gözden geçirme
kimlik doğrulama
tanımlayıcılar
tanıma
parola yönetimi
kayıt
sorumluluklar
Madde 9.2
Madde 9.2.4
Madde 9.5.3
Madde 9.2.1
Madde 9.5.3
Madde 9.2.3
Madde 9.2.1
Madde 9.3
kullanıcıların tanımlanması
kullanıcısı belirlenmemiş teçhizat
kuruluşlar arası işbirliği
Madde 9.5.3
Madde 9.3.2
Madde 4.1.6
mesaj kimlik doğrulaması
Madde 10.2.3
mobil bilgi işlem
ve uzaktan çalışma
Madde 9.8.1
Madde 9.8
mülkiyet hakları, fikri
Madde 12.1.2
ofis, oda ve tesisleri emniyete almak
ofisler, odalar ve tesisler, emniyete almak
ofis sistemleri, elektronik
olay günlükleme
Madde 7.1.3
Madde 7.1.3
Madde 8.7.5
Madde 9.7.1
operasyonel
değişim kontrolü
prosedürler ve sorumluluklar
yazılım, kontrol
Madde 8.1.2
Madde 8.1
Madde 10.4.1
operatör günlükleri
organizasyon kayıtları, koruma
organizasyon kayıtlarının korunması
Madde 8.4.2
Madde 12.1.3
Madde 12.1.3
58
ICS 35.040
TÜRK STANDARDI
ortam
yok etmek
ilgilenmek ve güvenliği
nakil halinde
çıkarılabilir
Madde 8.6.2
Madde 8.6
Madde 8.7.2
Madde 8.6.1
ortamın muhafazası
otomatik terminal tanımlama
oturuma giriş prosedürleri
Madde 8.4
Madde 9.5.1
Madde 9.5.2
örtülü kanallar ve Truva kodu
özellik kaldırma
Madde 10.5.4
Madde 7.3.2
parolalar
yönetimi, kullanıcı
yönetim sistemi
kullanımı
Madde 9.2.3
Madde 9.5.4
Madde 9.3.1
personel güvenliği
personel izleme ve politika
Madde 6
Madde 6.1.2
politika
erişim denetiminde
kriptografik kontrollerin kullanımında
ağ servislerinin kullanımı
güvenlik
Madde 9.1
Madde 10.3.1
Madde 9.4.1
Madde 3
program kaynak kitaplığı, erişim denetimi
Madde 10.4.3
rapor etmek
güvenlik arızaları
güvenlik zayıflıkları
yazılım arızaları
Madde 6.3.1
Madde 6.3.2
Madde 6.3.3
risk değerlendirmesi
risklerin değerlendirilmesi
risk yönetimi
Madde 2.2
Madde 2.2
Madde 2.3
saat vurusu senkronizasyonu
sayısal imzalar
sertifikasyon
Madde 9.7.3
Madde 10.3.3
Madde 10.3.5.2
sınıflandırma
varlıklar
kılavuzlar
bilgi
Madde 5
Madde 5.2.1
Madde 5.2
sistem
denetim hususları
denetim kontrolleri
geliştirme ve bakım
belgelendirme
dosyalar, güvenlik
planlama ve kabul
Madde 12.3
Madde 12.1.3
Madde 10
Madde 8.6.4
Madde 10.3
Madde 8.2
sorumluluklar
işteki güvenlik için
kullanıcı
Madde 6.1.1
Madde 9.3
şifreleme
Madde 10.3.2
59
ICS 35.040
TÜRK STANDARDI
teçhizat
bakım
güvenlik
yerleştirme ve koruma
gözetimsiz
kullanılmış çevreler
Madde 7.2.4
Madde 7.2
Madde 7.2.1
Madde 9.3.2
Madde 5.2.5
teçhizat yerleştirme
Madde 7.2.1
teknik
uyumluluk denetleme
işletim sistemi değişikliklerini gözden geçirme
Madde 12.2.2
Madde 10.5.2
temiz masa ve temiz ekran politikası
Madde 7.3.1
terminal
tanımlama
oturuma giriş prosedürleri
zaman aşımı
Madde 9.5.1
Madde 9.5.2
Madde 9.5.7
terminallerin tanımlanması
tesis yönetimi, harici
tesisler güvenliği, ofisler, odalar ve
Madde 9.5.1
Madde 8.1.6
Madde 7.1.3
test
verisi, koruma
Madde 10.4.2
test verisi, koruma
Truva kodu ve örtülü kanallar
Madde 10.4.2
Madde 10.5.4
uygulama erişim denetimi
Madde 9.6
uygulama sistemleri, güvenlik
güvenli alanlar
çalışmak
Madde 10.2
Madde 7.1
Madde 7.1.4
uygulanabilir yasaların tanımlanması
Madde 12.1.1
uyumluluk
yasal gerekler ile
güvenlik politikası ile
Madde 12.1
Madde 12.2.1
uzaktan çalışma
uzaktan tanılama bağlantı noktası koruma
uzman bilgi güvenliği tavsiyesi
Madde 9.8.2
Madde 9.4.5
Madde 4.1.5
üçüncü taraf
erişim
risklerin tanımlanması
anlaşmalardaki güvenlik gereksinimleri
Madde 4.2
Madde 4.2.1
Madde 4.2.2
varlık sınıflandırma ve denetim
varlıkların envanteri
varlıkların sınıflandırması
virüs denetimleri
Madde 5
Madde 5.1.1
Madde 5.1
Madde 8.3
yalıtılmış dağıtım ve yükleme alanları
Madde 7.1.5
yazılım
kopyalamak
bozulmalar
Madde 12.1.2.1
Madde 6.3.3
60
ICS 35.040
TÜRK STANDARDI
zararlı, korunma
operasyonel kontrol
paketler, değişikliklerdeki sınırlamalar
Madde 6.3
Madde 10.4.1
Madde 10.5.3
yazılım paketlerindeki değişiliklerdeki sınırlamalar
yetkilendirme süreci
Madde 10.5.3
Madde 4.1.4
yok etmek
teçhizat
ortam
Madde 7.2.6
Madde 8.6.2
yönetim
iletişim ve işlemler
bilgi güvenliği forumu
ağlar
taşınabilir bilgisayar ortamı
risk
kullanıcı erişimi
Madde 8
Madde 4.1.1
Madde 8.5
Madde 8.6.1
Madde 2.3
Madde 9.2
yönlendirici prensipler
yönlendirme denetimi
Madde 0
Madde 9.4.8
zararlar, koruma teçhizatından
zorlanan yol
Madde 7.2.1
Madde 9.4.2
zararlı yazılım
karşı denetimler
karşı koruma
Madde 8.3.1
Madde 8.3
61
ICS 35.040
TÜRK STANDARDI
İngilizce dizin
acceptance, system
Clause 8.2.2
access control
application of
business requirements for
operating system for
policy for
to program source library
access restriction, information
accountability for assets
allocation of information security responsibilities
applicability of controls
application access control
application systems, security in
secure areas
working in
assessing your security risks
assessment of risks
asset classification and control
Clause 9
Clause 9.6
Clause 9.1
Clause 9.5
Clause 9.1.1
Clause 10.4.3
Clause 9.6.1
Clause 5.1
Clause 4.1.3
Clause 0
Clause 9.6
Clause 10.2
Clause 7.1
Clause 7.1.4
Clause 0
Clause 2.2
Clause 5
audit
considerations
logs
tools, protection of
Clause 12.3
Clause 9.7.1
Clause 12.3.2
authentication
message
node
user
authorization process
automatic terminal identification
availability
back-up of information
business continuity
framework for
and impact analysis
management of
management process for
testing, maintaining and re-assessing plans for
writing and implementing plans for
business requirements for access control
cabling security
capacity planning
certification
Clause 10.2.3
Clause 9.4.4
Clause 9.4.3
Clause 4.1.4
Clause 9.5.1
Clause 2.1
Clause 8.4.1
Clause 11
Clause 11.1.4
Clause 11.2
Clause 11
Clause 11.1
Clause 11.1.5
Clause 11.1.3
Clause 9.1
Clause 7.2.3
Clause 8.2.1
Clause 10.3.5.2
change control
operational
procedures for
Clause 8.1.2
Clause 10.5.1
classification
of assets
guidelines
of information
clear desk and clear screen policy
clock syncronization
collection of evidence
co-operation between organizations
communications and operations management
Clause 5
Clause 5.2.1
Clause 5.2
Clause 7.3.1
Clause 9.7.3
Clause 12.1.7
Clause 4.1.6
Clause 8
62
ICS 35.040
TÜRK STANDARDI
compliance
with legal requirements
with security policy
confidentiality
confidentiality agreements
conditions and terms of employment
Clause 12.1
Clause 12.2.1
Clause 2.1
Clause 6.1.3
Clause 6.1.4
contracts
security in third party
security in outsourcing
Clause 4.2.2
Clause 4.3.1
control
against malicious software
of internal processing
of operational software
controls, general physical
Clause 8.3.1
Clause 10.2.2
Clause 10.4.1
Clause 7.3
copyright
IPR
software
covert channels and Trojan code
critical success factors
cryptographic controls
policy on the use of
regulation of
delivery and loading areas
developing your own guidelines
Clause 12.1.2.1
Clause 12.1.2.2
Clause 10.5.4
Clause 0
Clause 10.3
Clause 10.3.1
Clause 10.3.2
Clause 7.1.5
Clause 0
development
and maintenance of systems
and operational facilities, separation of
and support environment, security in
digital signatures
disciplinary process
Clause 10
Clause 8.1.5
Clause 10.5
Clause 10.3.3
Clause 6.3.5
disposal
of equipment
of media
documentation, security of system
documented operating procedures
downloading of information and software
Clause 7.2.6
Clause 8.6.2
Clause 8.6.4
Clause 8.1.1
Clause 8.1.3,
8.7.4,
10.2.2
duress alârm
education and training in information security
Clause 9.5.6
Clause 6.2.1
electronic
commerce
mail
office systems
emergency procedures
encryption
enforced path
entry controls
environmental and physical security
Clause 8.7.3
Clause 8.7.4
Clause 8.7.5
Clause 11.1.3
Clause 10.3.2
Clause 9.4.2
Clause 7.1.2
Clause 7
equipment
maintenance of
security of
siting and protection of
unattended
Clause 7.2.4
Clause 7.2
Clause 7.2.1
Clause 9.3.2
63
ICS 35.040
TÜRK STANDARDI
used off premises
establishing security requirements
evaluation and review of security policy
event logging
evidence, collection of
Clause 5.2.5
Clause 0
Clause 3.1.2
Clause 9.7.1
Clause 12.1.7
exchange
of information, other forms of
of information and software
of information and software, agreements for
external facilities management
facilities management, external
facilities, security of offices, rooms and
fallback planning
fault logging
forms of information exchange, other
framework for business continuity plans
general physical controls
guiding principles
hazards, protection of equipment from
Clause 8.7.7
Clause 8.7
Clause 8.7.1
Clause 8.1.6
Clause 8.1.6
Clause 7.1.3
Clause 11.1.3
Clause 8.4.3
Clause 8.7.7
Clause 11.1.4
Clause 7.3
Clause 0
Clause 7.2.1
home working
security of equipment
security of teleworking
housekeeping
identification of applicable legislation
identification of terminals
identification of users
Clause 7.2.5
Clause 9.8.2
Clause 8.4
Clause 12.1.1
Clause 9.5.1
Clause 9.5.3
incidents
learning from
management procedures for
reporting of
incidents and malfunctions, reporting of
independent review of information security
Clause 6.3.4
Clause 8.1.3
Clause 6.3.1
Clause 6.3
Clause 4.1.7
information
access, restrictions on
back-up of
classification of
other forms of exchange of
handling procedures for
labelling and handling
and software, exchanges of
and software exchange agreements
information security
co-ordination of
education and training in
infrastructure
policy for
policy document for
Clause 9.6.1
Clause 8.4.1
Clause 5.2
Clause 8.7.7
Clause 8.6.3
Clause 5.2.2
Clause 8.7
Clause 8.7.1
Clause 2.1
Clause 4.1.2
Clause 6.2.1
Clause 4.1
Clause 3.1
Clause 3.1
requirements for
input data validation
integrity
intellectual property rights
internal processing, control of
inventory of assets
isolated delivery and loading areas
isolation of sensitive systems
job definition and resourcing
job responsibilities, security in
Clause 0
Clause 10.2.1
Clause 2.1
Clause 12.1.2
Clause 10.2.2
Clause 5.1.1
Clause 7.1.5
Clause 9.6.2
Clause 6.1
Clause 6.1.1
64
ICS 35.040
TÜRK STANDARDI
key management
labelling and handling of information
learning from incidents
limitation of connection time
Clause 10.3.5
Clause 5.2.2
Clause 6.3.4
Clause 9.5.8
logging
of events
of faults
log-on procedures
logs, operator
malfunctions, reporting of
Clause 9.7.1
Clause 8.4.3
Clause 9.5.2
Clause 8.4.2
Clause 6.3.3
malicious software
controls against
protection against
Clause 8.3.1
Clause 8.3
management
communications and operations of
information security forum of
of networks
of removable computer media
of risk
of user access
Clause 8
Clause 4.1.1
Clause 8.5
Clause 8.6.1
Clause 2.3
Clause 9.2
media
disposal of
handling and security of
in transit
removable
message authentication
misuse of information processing facilities
mobile computing
and teleworking
Clause 8.6.2
Clause 8.6
Clause 8.7.2
Clause 8.6.1
Clause 10.2.3
Clause 12.1.5
Clause 9.8.1
Clause 9.8
monitoring
system access and use
system use
Clause 9.7
Clause 9.7.2
network
access control of
connection control of
management of
routing control of
segregation in
node authentication
non-disclosure agreements
non-repudiation services
office systems, electronic
offices, rooms and facilities, securing
Clause 9.4
Clause 9.4.7
Clause 8.5
Clause 9.4.8
Clause 9.4.6
Clause 9.4.4
Clause 6.1.3
Clause 10.3.4
Clause 8.7.5
Clause 7.1.3
operating
procedures
system access control
Clause 8.1.1
Clause 9.5
operational
change control
procedures and responsibilities
software, control of
operations and communications management
operator logs
organization of security
organizational records, safeguarding of
Clause 8.1.2
Clause 8.1
Clause 10.4.1
Clause 8
Clause 8.4.2
Clause 4
Clause 12.1.3
65
ICS 35.040
TÜRK STANDARDI
other forms of information exchange
output data validation
outsourcing
outsourced software development
security in contracts
Clause 8.7.7
Clause 10.2.4
Clause 4.3
Clause 10.5.5
Clause 4.3.1
passwords
management of, user
management system for
use of
personal information, privacy of
personnel screening and policy
personnel security
Clause 9.2.3
Clause 9.5.4
Clause 9.3.1
Clause 12.1.4
Clause 6.1.2
Clause 6
physical
and environmental security
entry controls
security perimeter
Clause 7
Clause 7.1.2
Clause 7.1.1
policy
on access control
on the use of cryptographic controls
on use of network services
security
power supplies
prevention of misuse of information processing facilities
privilege management
program source library, access control to
property rights, intellectual
Clause 9.1
Clause 10.3.1
Clause 9.4.1
Clause 3
Clause 7.2.2
Clause 12.1.5
Clause 9.2.2
Clause 10.4.3
Clause 12.1.2
protection
of equipment from hazards
against malicious software
of system audit tools
of system test data
publicly available systems
remote diagnostic port protection
removal of property
Clause 7.2
Clause 8.3
Clause 12.3.2
Clause 10.4.2
Clause 8.7.6
Clause 9.4.5
Clause 7.3.2
reporting
security incidents
security weaknesses
software malfunctions
review and evaluation of security policy
Clause 6.3.1
Clause 6.3.2
Clause 6.3.3
Clause 3.1.2
requirements for security
responding to incidents
Clause 0
Clause 6.3
responsibilities
for security in the job
user
restrictions of changes to software packages
Clause 6.1.1
Clause 9.3
Clause 10.5.3
review
of information security
of user access rights
risk assessment
risk management
routing control
safeguarding of organizational records
scope
secure areas
Clause 4.1.7
Clause 9.2.4
Clause 2.2
Clause 2.3
Clause 9.4.8
Clause 12.1.3
Clause 1
Clause 7.1
66
ICS 35.040
TÜRK STANDARDI
disposal of equipment in
working in
securing offices, rooms and facilities
Clause 7.2.6
Clause 7.1.4
Clause 7.1.3
security
in application systems
in development and support processes
education
of electronic commerce
of electronic mail
of electronic office systems
incidents
of media in transit
organization
policy
policy, compliance with
requirements analysis
requirements in outsourcing contracts
requirements in third party contracts
requirements of systems
reviews of information processing facilities
of system documentation
of system files
of third party access
weaknesses, reporting of
Clause 10.2
Clause 10.5
Clause 6.2.1
Clause 8.7.3
Clause 8.7.4
Clause 8.7.5
Clause 6.3, 6.3.1
Clause 8.7.2
Clause 4
Clause 3
Clause 12.2.1
Clause 10.1.1
Clause 4.3.1
Clause 4.2
Clause 10.1
Clause 12.2
Clause 8.6.4
Clause 10.3
Clause 4.2
Clause 6.3.2
segregation
of duties
in networks
sensitive system isolation
separation of development and operational facilities
siting of equipment
Clause 8.1.4
Clause 9.4.6
Clause 9.6.2
Clause 8.1.5
Clause 7.2.1
software
copying of
malfunctions in
malicious, protection from
operational control of
packages, restrictions on changes
source program library access control
specialist information security advice
syncronization of clocks
Clause 12.1.2.1
Clause 6.3.3
Clause 6.3
Clause 10.4.1
Clause 10.5.3
Clause 10.4.3
Clause 4.1.5
Clause 9.7.3
system
audit considerations
audit controls
development and maintenance of
documentation
files, security of
planning and acceptance
sensitive, isolation of
test data, protection of
Clause 12.3
Clause 12.1.3
Clause 10
Clause 8.6.4
Clause 10.3
Clause 8.2
Clause 9.6.2
Clause 10.4.2
technical
compliance checking
review of operating system changes
teleworking
Clause 12.2.2
Clause 10.5.2
Clause 9.8.2
terminal
identification
log-on procedures
Clause 9.5.1
Clause 9.5.2
67
ICS 35.040
TÜRK STANDARDI
time-out
terms and conditions of employment
Clause 9.5.7
Clause 6.1.4
test
data, protection of
testing, maintaining and re-assessing business continuity plans
Clause 10.4.2
Clause 11.1.5
third party
access
identification of risks
security requirements in contracts
training
Trojan code and covert channels
unattended user equipment
Clause 4.2
Clause 4.2.1
Clause 4.2.2
Clause 6.2.1
Clause 10.5.4
Clause 9.3.2
user
access
management
rights, review of
authentication
identifiers
identification
password management
registration
responsibilities
training
Clause 9.2
Clause 9.2.4
Clause 9.5.3
Clause 9.2.1
Clause 9.5.3
Clause 9.2.3
Clause 9.2.1
Clause 9.3
Clause 6.2
validation
of input data
of output data
virus controls
working in secure areas
Clause 10.2.1
Clause 10.2.3
Clause 8.3
Clause 7.1.4
68

TS ISO/IEC 17799

Transkript

Benzer belgeler

ELEKTRONİK DERGİLERİN GELDİĞİ NOKTA VE ELECTRONIC

Bilişim Suçları Hakkında

Güneşi Taşıyoruz! - TÜRKİYE RESMİ SEKTÖR İNŞAAT

çeşitleri ve özel güvenlik

Sistem Uzmanı – BASIS

ÖZGEÇMİŞ KİŞİSEL EĞİTİM

4. Nesil CommandCenter™ Yazılım Güncellemesi

İş Sağlığı ve Güvenliği Kısa Film Yarışması