Lis Bilişim

1.1 Amaç

Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarımızın gizliliği, bütünlüğü ve gerektiğinde yetkili kişilerce erişilebilirliğini sağlamaktır. Bilgi diğer kıymetli varlıklarımızın içinde en çok ihmal edilen fakat kurum açısından en önemli varlıklardan biridir. Bilgi güvenliği yönetim sistemimiz ISO 27001:2022 standardına uygun olarak kurulmuş ve bu standardın gerekliliklerini karşılayacak şekilde PUKÖ (Planla, Uygula, Kontrol et, Önlem al) sürekli iyileştirme döngüsü çerçevesinde bir süreç olarak uygulanmaktadır. Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm çalışanların katılımı ve riayeti ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi teknolojileri ile ilgili teknik önlemlerden ibaret de değildir. Fiziksel ve çevresel güvenlikten, insan kaynakları güvenliğine, iletişim ve haberleşme güvenliğinden, bilgi teknolojileri güvenliğine birçok konuda çeşitli kontrollerin risk yönetimi metoduyla seçilmesi uygulanması ve sürekli ölçülmesi demek olan bilgi güvenliği yönetim sistemi çalışmalarımızın genel özeti bu politikada verilmektedir. Uygulama detay bilgileri için sistem dokümantasyonuna, ilgili prosedürlere, rehberlere, planlara ve raporlara bakılmalıdır. Bu politika bilgi güvenliği politikası ve detaylı kullanım politikalarını da kapsayan bir üst dokümandır. Yönetim tarafından onaylanmış ve yayınlanmıştır. Yönetim tarafından düzenli olarak gözden geçirilmektedir.

1.2 Kapsam

Firmamızın BGYS kapsamı; Yazılım Geliştirme faaliyetleri (HBYS,LBYS,DYS,PACS, Web uygulamaları, masa üstü ve mobil uygulamalar), Yazılım Destek, Yazılım Güvenliği ve bu hizmetlere ilişkin donanım, yazılım, danışmanlık ve eğitim faaliyetleri kapsamında bilgi güvenliğinin sağlanması olarak ifade edilmektedir. Kuruluşumuz; Esenkent, Gayret Sokağı No:1/A, 34848 Maltepe/İstanbul bünyesinde yer alan yazılım faaliyetlerini yürüten firmadır.

1.3 Tanımlar

BGYS: Bilgi Güvenliği Yönetim Sistemi
• YGG toplantılarını organize etmek
• BGYS Takım Üyesi Görev, Yetki ve Sorumluluklar:
• BGYS iç tetkiklerine katılmak ve görev • BGYS kontrol uygulamalarını hayata geçirmek ve izlemek
• Acil durum ekibinde yer almak
• Planlama ve raporlama için BG yöneticisine yardımcı olmak

3.3 BGYS Formları

BGYS takımı düzenli olarak altı ayda (6) bir; bir araya gelerek BGYS Forum toplantısı yapmaktadır. Bu forum toplantıları ile bilgi güvenliği ihlal olayları, risk analizindeki gelişmeler, risk işleme planındaki değişiklikler, seçilen kontrollerin tartışılması ve uygulanan kontrollerin istenen sonucu verip vermediği, varlıkların son durum risk ölçümleri ve artık risk durumları değerlendirilmektedir. Formlarda Risk değerlendirme raporu ve risk işleme planı mutlaka gözden geçirilir.

3.4 BGYS Yönetim Gözden Geçirme (YGG) Toplantıları

BGYS takımından katılımcıların da yer aldığı ve üst yönetimin bilgi güvenliğinin uygunluğunu, verimliliğini, risk yönetiminin işlevselliğini, tetkik sonuçlarını, düzeltici ve önleyici faaliyetleri ele aldığı yılda en az bir defa düzenlenen bir toplantıdır. Bu toplantıda yönetim risk kabul kriterlerini ve kaynak ihtiyaçlarını değerlendirir. Çalışmaların ve risk değerlendirme ve işleme faaliyetlerinin verimliliğini inceler.
Uygulanan kontrol ile ilgili kayıtlar risk işleme planında belirtilir. Maliyetler ve alınan sonuçlar BGYS forumlarında görüşülür ve riskin yeni durumda ölçüm sonucu risk işleme planındaki ilgili yere yazılır. Risk puanı kabul edilebilir seviyeye çekilene kadar gerekiyorsa yeni kontroller uygulanır ve ölçümlere devam edilir. Riskin son durumu yönetime onaylatılır ve yönetim tarafından kabul edilen riskler için risk işleme faaliyeti tamamlanmış olur. Risk işleme sonrası hangi periyotta riskin takip edileceği belirlenir. Bir risk hiç biri zaman tamamen ortadan kalkmaz. Varlık üzerindeki tehditler devamlı değişir ve varlığın iş etkisi de zamanla değişebilir. Bu nedenle periyodik yeniden gözden geçirmeler yapılarak riskin son durumu sürekli ölçümlenir.

5.3 Kritik Varlıklar

Çalışanlar, sunucular, masaüstü ve dizüstü bilgisayarlar, evrak dolapları ile şirkete ait plan, çizim, rapor, geliştirilen yazılım uygulamaları gibi bilgiler kritik varlıklar olarak değerlendirilmektedir. Bu varlıklar risk yönetiminde ve kontrol seçiminde öncelik verilecek olanlardır. Bu varlıkların içerdiği bilgiler “Gizli” olarak kabul edilmektedir.

6. Bilgi Güvenliği Politika, Prosedür ve Rehberleri

BGYS Politikası kurumumuzca yayınlanan bir çok farklı politika, prosedür, talimat ve rehberi kontrol ve risk yönetimi amaçları çerçevesinde adresler.

6.1 Bilgi Güvenliği Politikası ve Rehberi

Bilgi sistemleri tarafından yayınlanan bu dokümanda genel bilgi güvenliği kuralları tanımlanmıştır. Her çalışan bu dokümanda belirtilen kurallara uymakla sorumludur.

6.2 Bilgi Güvenliği Prosedürleri ve Planları

Bilgi yedekleme, ihlal olayı müdahale, iç denetim, doküman ve kayıtların kontrolü, kullanıcı tanımlama, iş sürekliliği planı, acil durum eylem planı, risk işleme planı gibi prosedür ve planlarda sistemin işleyişi anlatılmaktadır. İlgili çalışanlar yönetimce tanımlanan ve yayınlanan bu prosedür ve planlara uygun hareket etmelidirler.

10. Sürekli İyileştirme ve Düzeltici – Önleyici Faaliyetler

İç tetkiklerde, ihlal olaylarıyla veya çalışanların kendi gözlemleriyle tespit ettikleri uygunsuzlukların tespitinde ve standarda, politikalarımıza, prosedür ve kurallarımıza uymayan durumların tespitinde ortaya çıkan uygunsuzluğun nasıl giderileceği ve potansiyel uygunsuzlukların henüz ortaya çıkmadan önce nasıl önleneceğine ilişkin Düzeltici ve Önleyici Faaliyetler Prosedürü hazırlanmış ve uygulanmaktadır. Tüm personel düzeltici ve önleyici faaliyetlere katılmakla sorumludur.

11. Üçüncü Taraf Gizlilik Politikası

1. Tedarikçilerin finansal durumu senelik olarak gözden geçirilmelidir. Bazı sektörlerde, iflas, batak, dolandırıcılık gibi olaylar çok sık gerçekleşmektedir.
2. Kurum dışından gelen bakım ve tamir çalışanları, diğer tedarikçilerde de olduğu gibi, kurum içinde olduğu süre boyunca bir gizlilik anlaşması imzalamalıdır.
3. Kurum içinde kullanılan telefon rehberleri üçüncü tarafların eline geçmemelidir. Üçüncü taraflar kendi şirketlerine transfer olabilecek çalışanlarımızı görmemelidir.
4. Sadece uygun yetkileri almış olan çalışanların organizasyonun bilgi veya iletişim sistemlerine erişimi vardır.
5. Üçüncü taraflarla herhangi bilgi alışverişi yapılmadan önce bir gizlilik anlaşması yapılmalıdır.
6. Üçüncü taraflara kurumun ağına erişim izni verilmeden önce bilgisayarlarını güvenliğe almaları gerekir. Kurum, üçüncü taraflara herhangi bir uyarıda bulunmadan ağa olan erişimlerini kesebilir.
7. Anlaşma sona erdiğinde, tarafların, birbirlerindeki dokümanları geri vermesi
8. Kurumun isminin halka yayınlanacak dokümanlarda kullanılabilmesi için üçüncü tarafların uygun kişiler tarafından yetkilendirilmesi gerekir.
9. Sadece yetkilendirilmiş tedarikçiler, kurumla çalışmakta olduklarını veya yapmakta oldukları işin doğasını halka yayabilirler.
10. Tedarikçiler kuruluşun sistemlerine erişmeden önce koşulların tanımlanmakta olduğu bir anlaşma imzalanmalıdır.
11. Gizli bilgilerin dağıtımını içeren kurallar belirlenmeli ve üçüncü taraflara bu bilgiler iletilmeden önce taraflarla bu kurallar hakkında anlaşılmalıdır.
Eğer bir gizlilik politikası, kurumun dezavantajlı olmasına neden oluyorsa, kurum bu dezavantajdan kurtulmak için bir üçüncü taraf kurumla anlaşma yapmamalıdır.

12. Kurumsal Bilgi Güvenliği Politikası

1. Firmamızın Bilgi Güvenliğini oluşturan tüm politikalar BS7799 /ISO27001 standartlarına uymalıdır.
2. Bilgi güvenliğinden bütün Firma personeli
3. Şirket kaynak ve bilgilerine erişimde, erişilen kaynak ve bilgi hakkında daha önceden bilgi sahibi olunmalıdır. Hakkında bilgi sahibi olunmayan verilere erişilmemelidir. Bilgisi hakkında tereddütte düşülen konularda bilgi sahiplerine danışılmalıdır.
4. Güvenliği yönetmek ve yönlendirmek için Firmamız Bilgi Güvenlik Kurulu oluşturulmuştur. BGYS kurulu düzenli olarak en geç her 6 ayda bir toplanacak olup, birimlerini temsil eden birim yöneticileri ile Bilgi Güvenlik Kurulu Yöneticisinden oluşur.
5. Bilgi Güvenliğinde; bilgi işlenirken, iletilirken ve muhafaza edilirken Gizlilik, Bütünlük ve Erişilebilirlik esas alınacaktır.
6. Güvenliği sağlanmış olan kaynakların etrafında, parola generator’lar gözetimsiz bir biçimde bırakılmamalıdır. Bu generator’lar güvenlik kontrolünün artırılması için kullanılmaktadır.
7. Yazılımların otomatik parola hatırlama uygulamaları çalıştırılmamalıdır.
8. Çalışanlar kendi kullanıcı isimlerinden sorumludurlar, Kişiler sadece kendilerine sistem yöneticisi tarafından atanmış olan kullanıcı isimlerini kullanabilirler.
9. Kullanıcı hesapları, isimleri ve parolaları, sahipleri dışında başka kimselerce kullanılmamalıdır.
10. Mail kutusunun parolası, çalışanın telefon numarası, dahili kodu, çalışan numarası gibi mantıken tahmin edilebilecek numaralardan oluşmamalıdır.

13. Parola Koruma Politikası

1. Herhangi bir parola, “Çok Gizli” bilgi olarak muhafaza altına alınacak ve iş arkadaşı veya başka bir kişiye söylenemez.
2. Bilgisayar sistemlerine ve tüm şifre gerektiren uygulamalara boş parola ile erişmek mümkün olmayacaktır.
3. Hiç bir kullanıcı, adını ve kullanıcı ile ilgili bir bilgiyi (doğum tarihi, telefon numarası, anne adı vs) parola olarak kullanamaz.
4. Herhangi bir parola bilgisayar sistem dosyalarında düz metin olarak tutulmamalıdır.
5. Acil durumlarda, Yetkili Sistem Yöneticilerinin olmaması durumunda, parolalar Firmamız Bilgi BGYS Sponsorunden temin edilir.
6. Tüm varsayılan parolalar, sistem kullanılmaya başlamadan önce kullanıcı ve/ya sistem/ağ yöneticileri tarafından değiştirilecektir. Bilgisayarlara ilk tanımı yapılan kullanıcı için; kullanıcı ilk sisteme logon olduğunda parolasını değiştirmesi sağlanacaktır.
7. Kullanıcıya bildirilecek parolalar güvenli bir ortamda
8. Parolalar telefon veya uzak iletişim ortamlarından herhangi bir kişiye söylenmemelidir.
9. Parolalar hatırlanmak maksadı ile kâğıt ortamına yazılmamalı ve görülecek mekânlara ve açık bir şekilde masalara, monitör üstlerine konulmamalıdır.
10. Parolalar belli aralıkla değiştirilmek zorundadır.
11. Parolaların unutulması durumunda ilgili Bilişim Sistem Yöneticisine başvurulmalıdır.
12. Parola en az 8 karakter, en az bir sayı ve en az bir harften (büyük harf ve küçük harf) oluşmalıdır. Ardışık parolalar (abc123, 12345a vs) kullanılmamalıdır.
13. Etkin olmayan oturumlar 15 dakikalık hareketsizlik süresinden sonra kapatılmalıdır.

14. Yazılım Geliştirme Politikası

1. Geliştirilmesi planlanan yazılımın fizibilitesinden, yazılımın sona erdirilmesine kadar geçen sürede yazılımın güvenlik gereksinimleri ve bu gereksinimlerin karşılanması için gerekli tüm kontrollar göz önüne alınacaktır.
2. Gerçek ortam ve yazılım geliştirme test ortamı birbirinden ayrılmış ve izole edilmiş olacaktır.
3. Geliştirilen yazılım gerçek ortama taşınmadan önce, yazılımın tüm dokümanları hazır edilecektir.
4. Yönetim tarafından onaylanmış olanların dışında, gerçek ortamda herhangi bir deneme, beta versiyonu ve bedava yazılım kullanılamaz.
5. Tüm geliştirilen bilgisayar program, aplet ve dokümantasyonlarında izinsiz kopyalanmaya karşı alınacak hukuki önlemleri içeren bilgi yer alacaktır.
6. Tüm geliştirilen yazılımlara erişim, “Bilmek Gerekliliği (Need To Know)” prensibine göre olacaktır.
7. Firma, tüm geliştirilmiş yazılımların kaynak koduna sahip olacak veya dışarı bir firmaya yaptırılmış ise kaynak kod sağlayan firmanın ileride piyasadan çekilmesi tehlikesine karşı bağımsız kuruluşlar devreye alınarak güvence sağlanacaktır.
8. Geliştirilen veya değiştirilen tüm yazılımlar gerçek ortamlarına taşınmadan önce test ortamlarında detaylı testlere tabi tutulacaktır.
9. Geliştirilmiş hiç bir yazılım, “Kullanıcı Kabül Testi” gerçekleşmeden gerçek ortama taşınmayacaktır.
10. Önemli bilgi transfer eden web sayfalarında parola ve kullanıcı kimliğinin korunması için SSL protokolü kullanılacaktır.
11. Uygulama yazılımlarına istemci ve kullanıcılar tarafından girilen değerlerin işlem öncesi doğrulaması yapılacaktır.
12. Uygulama yazılımlarının çalışmalarının doğruluğunu sağlayıcı gerekli süreç kontrolleri uygulanacaktır.
13. Uygulama yazılımlarının rapor ve çıktılarının doğruluğunu sağlayıcı gerekli çıktı kontrolleri uygulanacaktır.
14. Hatalardan kurtarmak için uygun programlar kullanılarak verilerin doğru işlendiği garanti edilmelidir.
15. Programı kütüphanelerine yapılan tüm güncellemelerle ilgili izleme günlük kayıtları tutulmalıdır.
16. Kaynak kod kütüphanelerine erişim kesinlikle kontrol Program kaynak kütüphanelerine erişimlerin izlenmesi için günlük tutulmalıdır.
17. Tüm yazılım güncellemelerinin sürüm kontrolleri yapılmalıdır.

15. Bilgi Koruma Politikası

1. Her bilgi için Verinin Sahibi tanımlanmalıdır.
2. Veri Sahibi, o bilgiyi hazırlayan ve üreten
3. Veri Sahibi; elektronik ortamdaki verileri için, Kurumsal Gelişim Direktörlüğü Bilgi Sistemleri Müdürlüğüne, verinin hassasiyeti, önemi, güvenlik ve izleme ihtiyaçları konusunda bilgi verecektir.
4. Veri Sahibinin izni olmadan; Kurumsal Gelişim Direktörlüğü Bilgi Sistemleri Müdürlüğü, sahibi olmadığı elektronik ortamdaki veri üzerinde herhangi bir aksiyon ve işlem gerçekleştiremez.
5. Bilgisayar Sunucularındaki kritik verilerin bilgisayarda yedeklenmesi, geri yüklenmesi, güvenli bir ortamda muhafaza edilmesi, Veri Sahibi tarafından öngörülen bilgi erişim hakları için gerekli kontrol ve önlemlerinin alınmasından Bilgi Sistemleri Müdürlüğü Kritik sunuculardaki veri ve yazılımların şirket dışı mahallere yedeklenmesi gerçekleştirilmelidir.
6. Hiçbir personel yasa dışı ve yasak yazılımı şirket içinde Firma dışından yazılım satın alma yetkisi Bilgi Sistemleri Müdürlüğü’ ndedir. Satın alınan herhangi bir yazılım; Bilgi Sistemleri Müdürlüğünce test edilmeden ve kullanıcının yöneticisinin izni olmadan bilgisayarlara yüklenemez. (Şirketin genel kullanım için alacağı yazılımlar için kullanıcı bölüm yöneticisinin iznine gerek yoktur). Güvenlik ihlaline sebep olduğu anlaşılan izinsiz programın sorumluluğu kullanıcıya aittir, bu konudaki yaptırımlar kullanıcıya uygulanır.
7. Gerçek ortama taşınmadan önce tüm uygulama ve sistem yazılımları test ortamlarında teste tabi tutulacaktır.
8. Tüm personel, kendilerine tahsis edilen yetki çerçevesinde bilgilere erişerek ve kullanacaktır.
9. Herkese açık bir sistemde kullanılabilir yapılmış bilginin bütünlüğü yetkisiz değiştirmeyi önlemek için korunmalıdır