Basefunder Bilgi Güvenliği Politikası

Kalite Politikamız

General Döküman Bilgisi

Versiyon Version Durumu Versiyon Tarihi Döküman Referans No
1.0 Final 25.04.2022 BT.BGP.01
Doküman ile ilgili her türlü soru, değişiklik talebi için lütfen aşağıdaki sorumlu ile irtibata geçiniz
Unvan/Rol Genel Müdür
Departman Yönetim Kurulu
Revizyon Bilgisi
Versiyon Revizyon Tarihi Revizyon nedeni/tanımı Revizyonu Yapan(İsim ve Rol)
Yayınlama / Onay Bilgisi
Versiyon Onaylayının Unvani / Pozisyonu Onay Tarihi
1.0 Yönetim Kurulu 25.04.2022

İçindekiler

  • 1. Giriş
  • 1.1 Amaç
  • 1.2 Kapsam
  • 1.3 Tanımlar
  • 1.4 Sorumluluklar
  • 2. Genel Esaslar
  • 2.1 Bilgi Güvenliği Politikası Standartları
  • 2.1.1.1 Veri Sınıflandırma Süreci
  • 2.1.1.2 BT Risk Belirleme ve Değerlendirme Süreci
  • 2.1.1.3 Bilgi Güvenliği Farkındalık Süreci
  • 2.1.1.4 Görevler Ayrılığı Prensibi
  • 2.1.1.5 Kullanıcı Kimlik ve Hesap Yönetimi Politikası
  • 2.1.1.6 Fiziksel ve Çevresel Güvenlik
  • 2.1.1.7 Denetim İzleri Yönetimi
  • 2.1.1.8 Bilgi Güvenliği Olay Yönetimi
  • 2.1.1.9 E-posta Kullanım Esasları
  • 2.1.1.10 Internet Kullanım Esasları
  • 2.1.1.11 Kullanıcı Bilgisayarları ve Taşınabilir Aygıtlar Kullanım Standartları
  • 2.1.1.12 Temiz Ekran ve Temz Masa Kullanım Standartları
  • 2.2 Uyum ve Diisplin Yönetimi
  • 2.3 Bilgi Güvenliği Politikasının Güncellenmesi

1.Giriş

1.1 Amaç

Politikanın amacı bilgi sistemlerinin ve üzerinde işlenmek, iletilmek, depolanmak ve yedek olarak saklanmak üzere bulunan verilerin gizlilik, bütünlük ve ulaşılabilirliklerini sağlayacak önlemlere ilişkin kontrol altyapısını geliştirmek ve düzenli olarak güncellenmesine yönelik kural ve kontrolleri belirlemektir.

1.2 Kapsam

Basefunder Kitle Fonlama Platformu Anonim Şirketi bilgi sistemleri ve üzerinde işlenen, iletilen, depolanan ve yedek olarak saklanan tüm varlıkları kapsamaktadır. Politika aynı zamanda, Basefunder Kitle Fonlama Platformu Anonim Şirketi bilgi sistemleri altyapısını kullanmakta olan tüm personeli, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.

1.3 Tanımlar

Kuruluş: Basefunder Kitle Fonlama Platformu Anonim Şirketi

BT Müdürü: Bilgi Teknolojileri Müdürü

Denetim İzi: Bir finansal ya da operasyonel işlemin başlangıcından bitimine kadar takip edilmesini sağlayacak kayıtlar

Kimlik Doğrulama: Bildirilen bir kimliğin gerçekten bildiren kişiye ait olduğuna dair güvence sağlayan mekanizma

Taşınabilir Aygıtlar: Dizüstü bilgisayarlar, akıllı telefonlar, tablet bilgisayarlar, CD, DVD, USB hafıza cihazları ve hard disk sürücüleri

Üst Yönetim: Yönetim Kurulu ve Genel Müdür

Şifreleme Açık Anahtarı: Açık anahtarlı şifrelemede kullanılan, herkesin erişimine ve kullanımına açık olan, şifreleme gizli anahtarı ile matematiksel bağlantısı bulunan ve şifreleme gizli anahtarı ile atılan imzayı kontrol etmek, yapılan şifrelemeyi çözmek, ya da sadece şifreleme gizli anahtarının çözebileceği şekilde verinin şifrelenmesi için kullanılan şifreleme anahtarı

Şifreleme Gizli Anahtarı: Açık anahtarlı şifrelemede imza atma, şifreleme ve karşılığı olan şifreleme açık anahtarıyla şifrelenmiş veriyi çözmek için kullanılan, sadece sahibi tarafından bilinmesi ve kullanılması gereken anahtar

Şifreleme Anahtarı: Şifreleme algoritmasının şifreleme ve şifre çözme amacıyla kullanıldığı karakter dizini

SSL(Secure Socket Layer): İnternet üzerinde bilginin gizliliğini ve bütünlüğünü korumak için oluşturulmuş bir protokol katmanıdır. Bu protokol bütün yaygın web sunucuları ve tarayıcıları tarafından desteklenmektedir. Bu protokolle çalışan web siteleri ‘http’ yerine ‘https’ ile başlar. SSL, gönderilen bilginin sadece doğru adreste deşifre edilmesini sağlar; bilgi gönderilmeden önce şifrelenir ve sadece doğru alıcı tarafından deşifre edilir. Bilginin bütünlüğü de bu süreçte kontrol edilir.

Tebliğ: SPK Bilgi Sistemleri Yönetimi Tebliği (VII-128.9)

1.4 Sorumluluklar

Bilgi Güvenliği Sorumlusu:

  • Bilgi Güvenliği Politikasının oluşturulması, uygulanması ve güncelliğinin sağlanması
  • Veri Sınıflandırma çalışmasının gerçekleştirilmesi ve güncelliğinin sağlanması
  • Risk Envanteri kapsamında BT risklerinin belirlenmesi ve güncelliğinin sağlanması
  • İç güvenlik testleri ile bağımsız sızma testlerinin gerçekleştirilmesi sürecinin koordine edilmesi, aksiyonların planlaması, uygulanması, sonuçların raporlanması ve kontroller ile oluşturulan yapıların teknolojik gelişmelere göre güncellenmesi
  • Bilgi güvenliği olaylarına yönelik incelemenin yapılabilmesi için kritik sistem ve veritabanları için denetim izlerini kaydederek yasal gerekliliklere uygun süreler içerisinde saklanması
  • Kuruluş çalışanlarının bilgi güvenliğine ilişkin farkındalıklarının arttırılması amacıyla faaliyetlerde bulunulması ve periyodik olarak bilgi güvenliği farkındalık eğitimlerinin düzenlenmesi
  • Kuruluş Bilgi Güvenliği Politikasının tüm çalışanlara duyurulması ve bilgi güvenliğine ilişkin taahhütnamelerin tüm çalışanlar tarafından imzalanması süreçlerinin tesis edilmesi
  • Bilgi güvenliğine ait ihlallerin izlenmesi, raporlanması ve aksiyon planlarının oluşturulması
  • Bilgi Güvenliği Planı’nın hazırlanması
  • Kullanıcı Kimlik ve Hesap Yönetimi standartlarının belirlenmesi

BT Müdürü:

  • Bilgi Güvenliği Politikasının sağlanması amacıyla teknoloji altyapısı, süreçler ve insan kaynağı konusunda kaynak planlamasının yapılması
  • Bilgi sistemleri üzerinde etkin ve yeterli iç kontrollerin tesis edilmesi
  • Güvenlik kontrol sürecini değerlendirmeye tabi tutulması ve uygunluğunun onaylanması
  • Çalışanların bilgi güvenliğine ilişkin sorumluluklarının atanması; Bilgi Güvenliği Politikasına uymalarını ve politikaya aykırı davranışlar tespit edildiğinde gerekli disiplin işlemlerinin yürütülmesi
  • Bilgi Güvenlik Planı’nın onaylanması
  • Bilgi kaynaklarına yönelik tehditlerin periyodik olarak değerlendirilmesi
  • Bilgi güvenliği ihlaline ilişkin olayların izlenmesi ve periyodik olarak değerlendirilmesi
  • Bilgi güvenliği hususunda farkındalığı artıracak çalışmaların desteklenmesi
  • Bilgi sistemleri kullanımından kaynaklanan risklerin yönetilmesi

Kuruluş Personeli:

  • Bilgi Güvenliği Politikası ve politika ile ilgili tüm prosedürlere uyulması
  • Sahibi olduğu veriler için sınıflandırma çalışmasının gerçekleştirilmesi
  • Veri sınıflandırma çalışması sonucu belirlenen güvenlik kontrollerine uyulması
  • Bilgi güvenliğine yönelik tespit edilen olayların ivedilikle BT Müdürü’ne bildirilmesi
  • Kuruluş kaynaklarına erişim için kullanılan her türlü hesap/parola bilgisinin saklı tutulması ve BT personeli dahil hiç kimseyle paylaşılmaması

2.Genel Esaslar

Bilgi güvenliği altyapısı ve organizasyonu, Kuruluşun bilgi güvenliğine ilişkin temel ilkeleri ve bu konudaki ulusal yasa ve mevzuatlar ile ulusal ve uluslararası kabul görmüş standartlar baz alınarak uygulanır ve geliştirilir.

İş birimlerinin bilgi ihtiyaçları, BT konfigürasyonu, bilgi risk aksiyon planları ve bilgi güvenliği kültürü genel bir BT güvenlik planına dönüştürülmektedir. Plan; hizmetler, personel, yazılım ve donanıma yapılacak uygun yatırımlarla beraber güvenlik politika ve prosedürlerinde uygulanmaktadır. Bilgi Güvenliği Sorumlusu tarafından plan yıllık olarak hazırlanmakta ve Üst Yönetim onayına sunulmaktadır.

Bilgi Güvenliği Politikasının hazırlanması ve güncelliğinin sağlanması Bilgi Güvenliği Sorumlusunun sorumluluğunda olup politikanın uygulanması amacıyla kaynak ayırmak ve karar almak BT Müdürü sorumluluğundadır.

2.1 Bilgi Güvenliği Politikası Standartları

2.1.1.1. Veri Sınıflandırma Süreci

Bilgi sistemleri ve bilgi sistemleri üzerinde işlenen, iletilen, depolanan ve yedek olarak tutulan veriler güvenlik hassasiyet derecelerine göre sınıflanır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir. Bu konu ile ilgili işleyiş ve sorumluluklar “Veri Sınıflandırma Prosedürü” doğrultusunda düzenlenmektedir. Tüm Kuruluş çalışanları ve ilgili verilere erişen üçüncü parti firma çalışanları “Veri Sınıflandırma Prosedürü” doğrultusunda veri ve veri sınıfları için belirlenen güvenlik, gizlilik, erişim, iletim vb. kontrollerine uymak ile yükümlüdürler.

2.1.1.2. BT Risk Belirleme ve Değerlendirme Süreci

Bilgi sistemleri ve içerdiği verilerin güvenliği konusunda gerekli kontrollerin ve yapıların oluşturulması çalışmaları kapsamında; “Veri Sınıflandırma Prosedürü” doğrultusunda belirlenen veriler için risk tespiti ve risk değerlemesi yapılması “Risk Yönetimi Prosedürü” doğrultusunda gerçekleştirilmektedir.

BT risklerinin belirlenmesi ve değerlendirilmesi sürecinin işletilmesi BT Müdürü sorumluluğunda olup, risklerin doğru olarak değerlendirildiğinin incelenmesi, onaylanması ve risk aksiyonlarının takip edilmesi İç Kontrol Sorumlusu sorumluluğundadır.

2.1.1.3. Bilgi Güvenliği Farkındalık Süreci

Kuruluş personelinin güvenlik konusunda farkındalık kazanmaları amacıyla her sene periyodik olarak Bilgi Güvenliği farkındalık eğitimleri düzenlenir. Bilgi Güvenliği farkındalık eğitimlerine katılım tüm personel için zorunlu olup, gerek duyulduğu hallerde Kuruluş ile çalışan üçüncü parti firma personelinin de eğitime katılımları talep edilebilir. Eğitim içeriği her sene gözden geçirilerek değişiklik ihtiyacı tespit edilen durumlarda güncellenir.

2.1.1.4. Görevler Ayrılığı Prensibi

Bilgi sistemlerine ilişkin sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ayrılığı prensibi uygulanır, atanan görevler ve sorumluluklar görevler ayrılığı prensibine göre periyodik olarak gözden geçirilir ve gerekiyorsa güncellenir. Süreçler ve sistemler, kritik bir işlemin tek bir personel veya tedarikçi firma tarafından girilmesi, yetkilendirilmesi ve tamamlanmasına imkân vermeyecek şekilde tasarlanır.

Uygulama, veri tabanı ve işletim sistemi seviyesinde yetkilendirme yapılırken aşağıdaki görevler ayrılığı standartlarına uygun yetkilendirme yapılır:

  • Yüksek yetkili yönetici hesapları rolü ilgili BT personeline atanır ve bu personel haricindeki personele sistem yöneticisi yetkisi verilmez.
  • Dış hizmet alımına konu olan sözleşme kapsamında veri tabanında sınırsız yetkiye sahip olan ve veri tabanının yönetiminden sorumlu personel rolü ilgili tedarikçi personeline atanır ve bu personel haricindeki personele veri tabanına doğrudan sınırsız erişim yetkisi verilmez.
  • Uygulama geliştirme sürecinde görevler ayrılığı ilkesi doğrultusunda, uygulama kodunda değişiklik yapma (tedarikçi firma uygulama geliştirme personeli) ve yapılan değişikliği üretim ortamına aktarma yetkilerinin aynı kişide olması engellenir.
  • BT personeline ve tedarikçi firma personeline uygulama seviyesinde finansal işlem oluşturmayı sağlayacak erişim yetkileri verilmez.
  • Etkin bir görevler ayrılığı ortamının tesis edilebilmesi için Kuruluş verileri üzerinde etkileri olabilecek süreçleri yürütecek personele, kendilerine atanan görevler göz önünde bulundurularak, sadece bu görevleri yerine getirmelerine yetecek kadar yetkinin verilmesi sağlanır.
  • Görevlerin tam manasıyla ve uygun şekilde ayrıştırılmasının mümkün olmadığı durumlarda, bu durumdan kaynaklanabilecek hata ve suiistimalleri önlemeye yönelik risk azaltıcı veya telafi edici kontroller tesis edilir
  • Bilgi sistemlerine ilişkin fonksiyonların gerçekleştirilmesinde görevler ayrılığı ilkesinin gereklerini sağlamak için tesis edilen kontrollerin aşılabilirliğini tespit etmek üzere testler yapılır.
2.1.1.5. Kullanıcı Kimlik ve Hesap Yönetimi Politikası

Bilgi sistemleri üzerinden gerçekleşen işlemler için kimlik doğrulama mekanizmaları kullanılır. Hangi kimlik doğrulama tekniklerinin kullanılacağına, Risk ve Uyum Sorumlusu tarafından yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin türü (tipi, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü gibi), işleme konu verinin hassaslık derecesi ve kimlik doğrulama tekniğinin kullanım kolaylığı da göz önünde bulundurularak gerçekleştirilir.

Kuruluş bünyesindeki yetkili ve standart kullanıcı hesaplarının yönetimi, bilgi sistemlerine ve uygulamalarına erişim ve kullanıcı hesapları şifrelerinin standartlara uygun şekilde oluşturulması, kullanılması, korunması, değiştirilmesi ve tanımlanan şifrelerle ilgili kullanıcıların bilgilendirilmesi süreci “Kullanıcı Kimlik ve Hesap Yönetimi Prosedürü” doğrultusunda gerçekleştirilir. Yetkilendirme düzeyi ve erişim haklarının atanmasında ilgili unsurun görev ve sorumlulukları göz önünde bulundurularak, gerekli olacak en düşük yetkinin atanması ve en kısıtlı erişim hakkının verilmesi yaklaşımı esas alınır.

Kuruluş ağına; Kuruluş personeli tarafından Kuruluş dışından yapılacak erişimler “Kullanıcı Kimlik ve Hesap Yönetimi Prosedürü” doğrultusunda detaylı bir şekilde düzenlenir. Tüm personelin bu talimat hükümleri uyarınca hareket etmesi esastır.

2.1.1.6. Fiziksel ve Çevresel Güvenlik

Kuruluş bilgi sistemlerinin zarar görmemesi ve diğer tüm kritik bilgi varlıklarının fiziksel ve çevresel tehditlerden korunması amacıyla sistem odasına ait fiziksel ve çevresel güvenlik önlemleri ile fiziksel ortam erişim yönetimi süreci “Fiziksel ve Çevresel Güvenlik Yönetimi Prosedürü” kapsamında tanımlanmıştır. Tüm personelin bu prosedür hükümleri uyarınca hareket etmesi için gerekli kontroller ilgili bölümlerce uygulanır.

2.1.1.7.Denetim İzleri Yönetimi

Kritik verilerin tutulduğu veri tabanları, kritik sistemler ve uygulamalar üzerindeki hareketler ile kapsamı SPK Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) doğrultusunda belirlenen denetim izlerini kayıt altına almak, izlemek, analiz etmek ve raporlamak amacıyla oluşturulan “İz Kayıtları Yönetimi Prosedürü” ne uygun olarak denetim izi yönetim faaliyetleri gerçekleştirilir. Gerekli önlemleri alabilmek amacıyla, iz kayıtlarının düzenli kontrolünün ve takibinin yapılması, olağanüstü durumların Üst Yönetime raporlanması gereklidir.

2.1.1.8.Bilgi Güvenliği Olay Yönetimi

Bilgi Güvenliği Olayları, Kuruluşun sahibi olduğu bilginin gizliliğini, bütünlüğünü ve/veya erişilebilirliğini kısmen etkileyen/ortadan kaldıran ve buna bağlı olarak, Kuruluşun operasyonel süreçlerinde aksamalara veya maddi kayıp ile itibar kaybı yaşamasına sebep olabilecek güvenlik ihlalleridir.

Kuruluş bilgi sistemlerinde ve ağlarında oluşabilecek güvenlik olaylarının en kısa sürede algılanması, sebeplerinin analiz edilmesi için yeterli verinin toplanması, olası sistem aksaklıklarının en kısa sürede çözümlenmesi, ihlallere ve saldırılara karşı alınacak aksiyonların belirlenmesi, ilgili yerlere raporlanması ve bilgi güvenliği ihlalleriyle ilgili risklerin minimize edilmesine ilişkin sorumluluklar ve aktiviteler “Bilgi Güvenliği Olay Yönetimi Prosedürü” dahilinde tanımlanmaktadır. Tüm personelin prosedür doğrultusunda belirlenen sürece uyumu ve güvenlik ihlallerini BT Müdürü/Bilgi Güvenliği Sorumlusuna bildirmesi esastır.

2.1.1.9.E-posta Kullanım Esasları

Kuruluş bünyesinde e-posta güvenliği standardı, aşağıda belirtilen başlıklar altında kategorize edilmiştir:

  • E-posta sisteminin kullanımı sadece iş amaçlıdır ve bu amaç dışında kullanılamaz
  • E-posta hesapları “Kullanıcı Kimlik ve Hesap Yönetimi Prosedürü” dikkate alınarak tanımlanmalıdır
  • E-posta ile veri iletimi için “Veri Sınıflandırma Prosedürü” doğrultusunda belirlenen güvenlik hassasiyet derecelerinin ve veri iletimi kontrollerinin uygulanması esastır.
  • Kullanıcılar, Kuruluş dışındaki alıcılara e-posta gönderirken; Kuruluş Güvenlik Politikası ve ilgili standartlara uygun hareket etmekle yükümlüdür.
  • Kuruluş e-posta sistemleri, kısıtlı bir mesaj güvenliği sunar. Bunun sonucu olarak, kullanıcıların hassas içerikli mesajların gönderilmesine dair tüm tatbik edilebilir kurallara uygun hareket etmeleri şarttır.
  • İşle ilişkili olmayan alıcı listeleri oluşturulmaz ve bu listeler kayıt altına alınmaz.
  • Kullanıcılar, kendi hesaplarından gönderilen tüm e-postalardan sorumlu olup; kendi e-posta hesaplarının yetkisiz olarak kullanılmaması için gerekli tüm önlemleri almakla da yükümlüdürler.
  • Kullanıcılar, taciz olarak değerlendirilebilecek veya düşmanca bir çalışma ortamına sebebiyet verebilecek hiçbir e-posta mesajını oluşturmaz veya bu tabiattaki dışarıdan alınmış e-postalarını başkalarına iletmezler. Bu kapsama spam e-postaları ve belli bir cinsiyet, ırk, din veya cinsel tercih hakkında aşağılayıcı ifadeler içeren e-postaları da dahildir. E-posta hesapları kullanılarak zincir mesajlar iletilmez, oluşturulmaz veya iletilmez.
  • İşletim sistemine giren veya bu sistemden gönderilen tüm mesajlar, içerik filtrelemesine tabi tutulmakta olup; bu çerçevede bloke edilebilir/karantina altına alınabilir veya derhal silinebilir.
  • Bloke edilmiş/karantina altına alınmış mesajlar; mesajın alıcısı söz konusu içeriğin iş ile ilgili olduğunu düşünüyorsa, söz konusu içeriğin gönderilmesi bekleniyorsa ve mesaj güvenilir bir kaynaktan gelmişse serbest bırakılır.
  • E-posta güvenliği için, Kuruluş bünyesinde kullanılan anti virüs yazılımları sürekli virüs taraması ve spam filtrelemesi gerçekleştirilir.
  • Virüs tanıma dosyası, otomatik olarak güncellenerek kontrolü sağlanır.
2.1.1.10.Internet Kullanım Esasları

Kuruluş bünyesinde internetin kullanıcılar tarafından uygunsuz kullanımının önlenmesi ve Kuruluşun yasal yükümlülükleri, imajı ve çalışan performansı konularında istenmeyen sonuçlar ile karşılaşılmaması amacıyla internet kullanımının kontrolüne ilişkin esaslar aşağıdaki gibi düzenlenmiştir:

  • Kuruluş faaliyetleriyle ilgili iletişim ve bilgi edinme amaçlı internet kullanımı, kabul edilebilir internet kullanımı olarak değerlendirilir.
  • 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” gereğince; Kuruluş sağladığı hizmetlere ilişkin, belirtilen internet erişim bilgilerini yasal süreler doğrultusunda kayıt altına alarak saklar ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlar.
  • Kuruluş, itibarını ve faaliyetlerini güvence altına almak ve bilgi sistemleri ortamının veri bütünlüğünü ve sürekliliğini korumak için Kuruluş, yasalarca tanınan yetkiler çerçevesinde internet erişimini izleme, filtreleme ve bloke etme hattını saklı tutar.
  • Kuruluş Güvenlik Politikası doğrultusunda web-filtreleme uygulaması tarafından içerik filtrelemesinin gerçekleştirilmesini sağlar ve yasaklı sitelere erişim engellenir (ahlak dışı, kumar, oyun, şiddet içeren vb.).
  • Kullanıcılar; başka sistemlerin güvenlik zaaflarını tespit etmek, yetki sahibi olmadıkları gizli bilgilere erişmek, diğer sistemleri tehlikeye düşürmek, herhangi bir veriyi yasadışı olarak tahrip etmek, yasadışı olarak program ve verilere sahip olmak veya transfer etmek veya kötü niyetli mesajlar göndermek için söz konusu sistemlere girmeye çalışamazlar.
  • Bilgi Güvenliği Sorumlusunun onayı alınmadan kullanıcı bilgisayarlarına hiçbir yazılım programı indirilmez veya yüklenmez.
  • İnternet üzerinden Kuruluş ağına veri indirmek veri içeriği iç ve dış mevzuatlara uygun almak ile birlikte tüm verilerin uygun metot ve araçlar kullanılarak virüs taramasından geçirilmesi ile mümkündür.
2.1.1.11.Kullanıcı Bilgisayarları ve Taşınabilir Aygıtlar Kullanım Standartları

Kullanıcı bilgisayarlarının ve Kuruluş bilgi sistemlerinin zararlı yazılımların etkilerinden korunması ve güvenliğin sağlanması, lisanssız yazılımların kullanımının engellenmesi, bu yazılımların getirdiği güvenlik tehditlerinin tespit edilmesi ve gerekli önlemlerin alınabilmesi amacıyla aşağıdaki kontroller düzenlenmiştir:

  • Kuruluş çalışanlarına sunulan bilgisayarlar, sadece işe uygun amaçlarla kullanılır.
  • Kullanıcılar, kendilerine temin edilen cihazları Bilgi Güvenliği Politikasına uygun olarak kullanmak ve korumaktan sorumludur.
  • BT Müdürünün sağladığı alt yapıyı kullanarak ve prosedürleri izleyerek bilgisayarlardaki özel bilginin gizliliğinden, bütünlüğünden, bilgi kaybını önlemek amacıyla yedekleme ve kurtarma işlemleri ile bu bilgilerin yetkisiz kişilerin eline geçmesinin önlenmesinden kullanıcılar sorumludur
  • Kullanıcı bilgisayarlarında kullanılan işletim sistemi ve güvenlik yazılımlarına yönelik yamaların yönetimi, BT Müdürü tarafından gerçekleştirilir.
  • Kullanıcı, bilgisayarlarına BT Müdürü tarafından belirlenen ve kullanıcı bilgisayarlarına yüklenmiş olan yazılımlar haricinde yazılım yükleyemez.
  • Taşınabilir aygıtlar yalnızca iş amaçlı olarak kullanılır. Söz konusu cihazların kullanımı, yetkilendirilmiş şahıslar tarafından gerçekleştirilse dahi işle ilgili olmayan verilerin dağıtımında kullanılmaz.
  • Çalışanlar, taşınabilir aygıtlar dahilinde kullandığı/oluşturduğu Kuruluş bilgilerinin önceden belirlenmiş ortak alanlarda yedeklemesinden ve arşivlenmesinden sorumludurlar
  • Kullanımları altında taşınabilir bilgisayarlar, dizüstü bilgisayarlar, tablet bilgisayarlar, akıllı telefonlar ve diğer bu nevi taşınabilir bilgisayar veya depolama cihazları bulunan şahıslar bu cihazlarda Kuruluşa ait kamuya açık olmayan bilgiler bulunduruyorsa söz konusu bilgilerin usulüne uygun olarak korunmadığı durumlarda, bu cihazların güvenliğinin sağlanmasından sorumludur.
  • Şifrelenmediği müddetçe, gizli bilgilerin taşınabilir cihazlarda saklanması yasaktır.
  • Herhangi bir taşınabilir bilgisayar ekipmanının çalınması veya kaybedilmesi durumu, bir güvenlik ihlali olarak değerlendirilir ve “Bilgi Güvenliği Olay Yönetimi Prosedürü”ne uygun olarak en kısa sürede raporlanır.
2.1.1.12.Temiz Ekran ve Temiz Masa Kullanım Standartları

Kuruluş bünyesinde kullanıcı bilgisayarlarının ve verilerin yetkisiz kullanımını engellemek amacıyla çalışanların günlük iş akışları sırasında dikkat etmesi gereken standartlar aşağıda belirtilmiştir:

  • Önemli bilgi içeren dokümanlar ve veri depolama cihazları (CD, DVD, harici disk vb.) kullanılmadığı zamanlarda veya mesai saatleri dışında güvenli alanlarda saklanır. Eğer bu doküman ve cihazların saklanabileceği güvenli kasa veya dolaplar mevcut değilse, bulundukları odanın kapısı kilitli tutulur. Eğer mümkünse önemli bilgiler sadece yetkisiz erişimlerden değil, bilgilerin yok olmasına neden olabilecek dış etkenlerden (yangın, sel vb.) de korunur.
  • Taşınabilir belleklerle transfer edilen tüm dosyalar ve veriler kullanıldıktan sonra silinir, transfer haricinde bellekler üzerinde hiçbir veri tutulmaz. Aynı şekilde ortak alanlarda paylaşılan tüm dosyalar, transfer gerçekleştikten sonra hemen silinir.
  • Tüm taşınabilir cihazlar (dizüstü ve tablet bilgisayarlar, akıllı telefonlar, taşınabilir bellekler vb.) için şifreli ekran-koruyucular belirlenir ve hırsızlığa karşı özel kablolarla kilitlenir. Taşınabilir cihazlar kesinlikle ortalıkta bırakılmaz.
  • Bilgisayar ekranları, yetkisiz kişilerin göremeyeceği şekilde tutulur.
  • Kullanıcılar çalışma alanlarını terk ederken bilgisayar ekranlarını kilitler.
  • Şifreler yazılı olarak saklanmaz.
  • Mesai saatleri dışında, çalışma ortamları temiz ve düzenli bırakılır.
  • Eğer kullanılıyorsa flip-chart ve beyaz tahta gibi sunum ekipmanları üzerindeki yazılı bilgiler silinir.
  • Veri depolama cihazlarının saklandığı alanlar, her zaman kapalı ve kilitli tutulur.
  • Gizli dokümanlar çöp kovasına atılmamalıdır, iş bittiğinde dokümanlar parçalanarak atılmalıdır.
  • Çekmeceler kilitli tutulur ve anahtarlar göz önünden kaldırılarak saklanır.
  • Kritik bilgi içeren dokümanların çıktısı alındıktan sonra, ortalıkta bırakılmaz

2.2 Uyum ve Disiplin Yönetimi

Kuruluş personeli veya üçüncü parti çalışanlar tarafından gerçekleştirilecek olan çalışmalarda, Bilgi Güvenliği Politikası ve politikanın işletilmesine yönelik oluşturulan prosedürlere uyum sağlanması zorunludur. Kuruluş bünyesinde çalışan tüm personel ve alınan hizmet doğrultusunda gerek duyulursa üçüncü taraf firmaların politikaya uyum konusunda “Bilgi Güvenliği Uyum Taahhütnamesi” ile yazılı taahhütleri alınır. Bu taahhütnameyi imzalayan tüm çalışanlar Kuruluş bünyesindeki politika, prosedür ve standartlarda belirtilen gizlilik ve güvenlik esaslarına uygun hareket etmeyi kabul etmiş sayılır.

Kuruluş, Bilgi Güvenliği Politikasının ihlali durumunda bu ihlalin ciddiyetine göre hareket etme hakkını saklı tutar; ancak politikaya uymama veya kasıtlı politika ihlalleri; “İnsan Kaynakları Politikası” doğrultusunda disiplin cezası, yazılı kınama, işten çıkarma, hukuk muameleleri ve/veya cezai kovuşturmalar dahil olmak üzere bunlarla sınırlı olmayan eylemlerle sonuçlanabilir.

2.3 Bilgi Güvenliği Politikasının Güncellenmesi

Bilgi Güvenliği Politikası yılda en az bir kez Bilgi Güvenliği Sorumlusu tarafından gözden geçirilerek, değişiklik/ihtiyaç halinde güncellenir.

Güncellenen Bilgi Güvenliği Politikası İç Kontrol Sorumlusunun görüşleri alındıktan sonra Yönetim Kurulu onayına sunulur. Politika, Yönetim Kurulu tarafından onaylandığı takdirde yayınlanarak tüm kullanıcılara haberleşme kanalları vasıtasıyla (Duyuru, Bilgi Güvenliği Farkındalık Eğitimi vb.) duyurulur. Bilgi Güvenliği Politikası değişikliklerine ait gerekçe oluşturan sebeplerden bazıları şunlardır:

  • Sistem bileşenlerinde büyük değişiklik olması
  • Yeni veya mevcut güvenlik ihlalleri
  • Mevzuatta, kurumsal süreçlerde ya da işletim talimatlarda değişiklik yapılması
  • Güvenlik gereksinimlerinde değişiklik olması
  • Teknoloji gereksinimlerinin değişmesi
  • Mevcut politikanın etkinliğinin ve yeterliliğinin azalması