Doküman ile ilgili her türlü soru, değişiklik talebi için lütfen aşağıdaki sorumlu ile irtibata geçiniz
Versiyon | Version Durumu | Versiyon Tarihi | Döküman Referans No |
---|---|---|---|
1.0 | Final | 25.04.2022 | BT.BGP.01 |
Doküman ile ilgili her türlü soru, değişiklik talebi için lütfen aşağıdaki sorumlu ile irtibata geçiniz
Ünvan / Rol | Genel Müdür |
---|---|
Departman | Yönetim Kurulu |
Revizyon Bilgisi
Versiyon | Revizyon Tarihi | Revizyon nedeni/tanımı | Revizyonu Yapan(İsim ve Rol) |
---|---|---|---|
Yayınlama Onay Bilgisi
Versiyon | Onaylayının Unvani / Pozisyonu | Onay Tarihi |
---|---|---|
1.0 | Yönetim Kurulu | 25.04.2022 |
Politikanın amacı bilgi sistemlerinin ve üzerinde işlenmek, iletilmek, depolanmak ve yedek olarak saklanmak üzere bulunan verilerin gizlilik, bütünlük ve ulaşılabilirliklerini sağlayacak önlemlere ilişkin kontrol altyapısını geliştirmek ve düzenli olarak güncellenmesine yönelik kural ve kontrolleri belirlemektir.
Basefunder Kitle Fonlama Platformu Anonim Şirketi bilgi sistemleri ve üzerinde işlenen, iletilen, depolanan ve yedek olarak saklanan tüm varlıkları kapsamaktadır. Politika aynı zamanda, Basefunder Kitle Fonlama Platformu Anonim Şirketi bilgi sistemleri altyapısını kullanmakta olan tüm personeli, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.
Kuruluş: Basefunder Kitle Fonlama Platformu Anonim Şirketi
BT Müdürü: Bilgi Teknolojileri Müdürü
Denetim İzi: Bir finansal ya da operasyonel işlemin başlangıcından bitimine kadar takip edilmesini sağlayacak kayıtlar
Kimlik Doğrulama: Bildirilen bir kimliğin gerçekten bildiren kişiye ait olduğuna dair güvence sağlayan mekanizma
Taşınabilir Aygıtlar: Dizüstü bilgisayarlar, akıllı telefonlar, tablet bilgisayarlar, CD, DVD, USB hafıza cihazları ve hard disk sürücüleri
Üst Yönetim: Yönetim Kurulu ve Genel Müdür
Şifreleme Açık Anahtarı: Açık anahtarlı şifrelemede kullanılan, herkesin erişimine ve kullanımına açık olan, şifreleme gizli anahtarı ile matematiksel bağlantısı bulunan ve şifreleme gizli anahtarı ile atılan imzayı kontrol etmek, yapılan şifrelemeyi çözmek, ya da sadece şifreleme gizli anahtarının çözebileceği şekilde verinin şifrelenmesi için kullanılan şifreleme anahtarı
Şifreleme Gizli Anahtarı: Açık anahtarlı şifrelemede imza atma, şifreleme ve karşılığı olan şifreleme açık anahtarıyla şifrelenmiş veriyi çözmek için kullanılan, sadece sahibi tarafından bilinmesi ve kullanılması gereken anahtar
Şifreleme Anahtarı: Şifreleme algoritmasının şifreleme ve şifre çözme amacıyla kullanıldığı karakter dizini
SSL(Secure Socket Layer): İnternet üzerinde bilginin gizliliğini ve bütünlüğünü korumak için oluşturulmuş bir protokol katmanıdır. Bu protokol bütün yaygın web sunucuları ve tarayıcıları tarafından desteklenmektedir. Bu protokolle çalışan web siteleri ‘http’ yerine ‘https’ ile başlar. SSL, gönderilen bilginin sadece doğru adreste deşifre edilmesini sağlar; bilgi gönderilmeden önce şifrelenir ve sadece doğru alıcı tarafından deşifre edilir. Bilginin bütünlüğü de bu süreçte kontrol edilir.
Tebliğ: SPK Bilgi Sistemleri Yönetimi Tebliği (VII-128.9)
Bilgi güvenliği altyapısı ve organizasyonu, Kuruluşun bilgi güvenliğine ilişkin temel ilkeleri ve bu konudaki ulusal yasa ve mevzuatlar ile ulusal ve uluslararası kabul görmüş standartlar baz alınarak uygulanır ve geliştirilir.
Bilgi güvenliği altyapısı ve organizasyonu, Kuruluşun bilgi güvenliğine ilişkin temel ilkeleri ve bu konudaki ulusal yasa ve mevzuatlar ile ulusal ve uluslararası kabul görmüş standartlar baz alınarak uygulanır ve geliştirilir.
Bilgi Güvenliği Politikasının hazırlanması ve güncelliğinin sağlanması Bilgi Güvenliği Sorumlusunun sorumluluğunda olup politikanın uygulanması amacıyla kaynak ayırmak ve karar almak BT Müdürü sorumluluğundadır.
Bilgi sistemleri ve bilgi sistemleri üzerinde işlenen, iletilen, depolanan ve yedek olarak tutulan veriler güvenlik hassasiyet derecelerine göre sınıflanır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir. Bu konu ile ilgili işleyiş ve sorumluluklar “Veri Sınıflandırma Prosedürü” doğrultusunda düzenlenmektedir. Tüm Kuruluş çalışanları ve ilgili verilere erişen üçüncü parti firma çalışanları “Veri Sınıflandırma Prosedürü” doğrultusunda veri ve veri sınıfları için belirlenen güvenlik, gizlilik, erişim, iletim vb. kontrollerine uymak ile yükümlüdürler.
Bilgi sistemleri ve içerdiği verilerin güvenliği konusunda gerekli kontrollerin ve yapıların oluşturulması çalışmaları kapsamında; “Veri Sınıflandırma Prosedürü” doğrultusunda belirlenen veriler için risk tespiti ve risk değerlemesi yapılması “Risk Yönetimi Prosedürü” doğrultusunda gerçekleştirilmektedir.
BT risklerinin belirlenmesi ve değerlendirilmesi sürecinin işletilmesi BT Müdürü sorumluluğunda olup, risklerin doğru olarak değerlendirildiğinin incelenmesi, onaylanması ve risk aksiyonlarının takip edilmesi İç Kontrol Sorumlusu sorumluluğundadır.
Kuruluş personelinin güvenlik konusunda farkındalık kazanmaları amacıyla her sene periyodik olarak Bilgi Güvenliği farkındalık eğitimleri düzenlenir. Bilgi Güvenliği farkındalık eğitimlerine katılım tüm personel için zorunlu olup, gerek duyulduğu hallerde Kuruluş ile çalışan üçüncü parti firma personelinin de eğitime katılımları talep edilebilir. Eğitim içeriği her sene gözden geçirilerek değişiklik ihtiyacı tespit edilen durumlarda güncellenir.
Bilgi sistemlerine ilişkin sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ayrılığı prensibi uygulanır, atanan görevler ve sorumluluklar görevler ayrılığı prensibine göre periyodik olarak gözden geçirilir ve gerekiyorsa güncellenir. Süreçler ve sistemler, kritik bir işlemin tek bir personel veya tedarikçi firma tarafından girilmesi, yetkilendirilmesi ve tamamlanmasına imkân vermeyecek şekilde tasarlanır.
Uygulama, veri tabanı ve işletim sistemi seviyesinde yetkilendirme yapılırken aşağıdaki görevler ayrılığı standartlarına uygun yetkilendirme yapılır:
Bilgi sistemleri üzerinden gerçekleşen işlemler için kimlik doğrulama mekanizmaları kullanılır. Hangi kimlik doğrulama tekniklerinin kullanılacağına, Risk ve Uyum Sorumlusu tarafından yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin türü (tipi, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü gibi), işleme konu verinin hassaslık derecesi ve kimlik doğrulama tekniğinin kullanım kolaylığı da göz önünde bulundurularak gerçekleştirilir.
Kuruluş bünyesindeki yetkili ve standart kullanıcı hesaplarının yönetimi, bilgi sistemlerine ve uygulamalarına erişim ve kullanıcı hesapları şifrelerinin standartlara uygun şekilde oluşturulması, kullanılması, korunması, değiştirilmesi ve tanımlanan şifrelerle ilgili kullanıcıların bilgilendirilmesi süreci “Kullanıcı Kimlik ve Hesap Yönetimi Prosedürü” doğrultusunda gerçekleştirilir. Yetkilendirme düzeyi ve erişim haklarının atanmasında ilgili unsurun görev ve sorumlulukları göz önünde bulundurularak, gerekli olacak en düşük yetkinin atanması ve en kısıtlı erişim hakkının verilmesi yaklaşımı esas alınır.
Kuruluş ağına; Kuruluş personeli tarafından Kuruluş dışından yapılacak erişimler “Kullanıcı Kimlik ve Hesap Yönetimi Prosedürü” doğrultusunda detaylı bir şekilde düzenlenir. Tüm personelin bu talimat hükümleri uyarınca hareket etmesi esastır.
Kuruluş bilgi sistemlerinin zarar görmemesi ve diğer tüm kritik bilgi varlıklarının fiziksel ve çevresel tehditlerden korunması amacıyla sistem odasına ait fiziksel ve çevresel güvenlik önlemleri ile fiziksel ortam erişim yönetimi süreci “Fiziksel ve Çevresel Güvenlik Yönetimi Prosedürü” kapsamında tanımlanmıştır. Tüm personelin bu prosedür hükümleri uyarınca hareket etmesi için gerekli kontroller ilgili bölümlerce uygulanır.
Kritik verilerin tutulduğu veri tabanları, kritik sistemler ve uygulamalar üzerindeki hareketler ile kapsamı SPK Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) doğrultusunda belirlenen denetim izlerini kayıt altına almak, izlemek, analiz etmek ve raporlamak amacıyla oluşturulan “İz Kayıtları Yönetimi Prosedürü” ne uygun olarak denetim izi yönetim faaliyetleri gerçekleştirilir. Gerekli önlemleri alabilmek amacıyla, iz kayıtlarının düzenli kontrolünün ve takibinin yapılması, olağanüstü durumların Üst Yönetime raporlanması gereklidir.
Bilgi Güvenliği Olayları, Kuruluşun sahibi olduğu bilginin gizliliğini, bütünlüğünü ve/veya erişilebilirliğini kısmen etkileyen/ortadan kaldıran ve buna bağlı olarak, Kuruluşun operasyonel süreçlerinde aksamalara veya maddi kayıp ile itibar kaybı yaşamasına sebep olabilecek güvenlik ihlalleridir.
Kuruluş bilgi sistemlerinde ve ağlarında oluşabilecek güvenlik olaylarının en kısa sürede algılanması, sebeplerinin analiz edilmesi için yeterli verinin toplanması, olası sistem aksaklıklarının en kısa sürede çözümlenmesi, ihlallere ve saldırılara karşı alınacak aksiyonların belirlenmesi, ilgili yerlere raporlanması ve bilgi güvenliği ihlalleriyle ilgili risklerin minimize edilmesine ilişkin sorumluluklar ve aktiviteler “Bilgi Güvenliği Olay Yönetimi Prosedürü” dahilinde tanımlanmaktadır. Tüm personelin prosedür doğrultusunda belirlenen sürece uyumu ve güvenlik ihlallerini BT Müdürü/Bilgi Güvenliği Sorumlusuna bildirmesi esastır.
Kuruluş bünyesinde e-posta güvenliği standardı, aşağıda belirtilen başlıklar altında kategorize edilmiştir:
Kuruluş bünyesinde internetin kullanıcılar tarafından uygunsuz kullanımının önlenmesi ve Kuruluşun yasal yükümlülükleri, imajı ve çalışan performansı konularında istenmeyen sonuçlar ile karşılaşılmaması amacıyla internet kullanımının kontrolüne ilişkin esaslar aşağıdaki gibi düzenlenmiştir:
Kullanıcı bilgisayarlarının ve Kuruluş bilgi sistemlerinin zararlı yazılımların etkilerinden korunması ve güvenliğin sağlanması, lisanssız yazılımların kullanımının engellenmesi, bu yazılımların getirdiği güvenlik tehditlerinin tespit edilmesi ve gerekli önlemlerin alınabilmesi amacıyla aşağıdaki kontroller düzenlenmiştir:
Kuruluş bünyesinde kullanıcı bilgisayarlarının ve verilerin yetkisiz kullanımını engellemek amacıyla çalışanların günlük iş akışları sırasında dikkat etmesi gereken standartlar aşağıda belirtilmiştir:
Kuruluş personeli veya üçüncü parti çalışanlar tarafından gerçekleştirilecek olan çalışmalarda, Bilgi Güvenliği Politikası ve politikanın işletilmesine yönelik oluşturulan prosedürlere uyum sağlanması zorunludur. Kuruluş bünyesinde çalışan tüm personel ve alınan hizmet doğrultusunda gerek duyulursa üçüncü taraf firmaların politikaya uyum konusunda “Bilgi Güvenliği Uyum Taahhütnamesi” ile yazılı taahhütleri alınır. Bu taahhütnameyi imzalayan tüm çalışanlar Kuruluş bünyesindeki politika, prosedür ve standartlarda belirtilen gizlilik ve güvenlik esaslarına uygun hareket etmeyi kabul etmiş sayılır.
Kuruluş, Bilgi Güvenliği Politikasının ihlali durumunda bu ihlalin ciddiyetine göre hareket etme hakkını saklı tutar; ancak politikaya uymama veya kasıtlı politika ihlalleri; “İnsan Kaynakları Politikası” doğrultusunda disiplin cezası, yazılı kınama, işten çıkarma, hukuk muameleleri ve/veya cezai kovuşturmalar dahil olmak üzere bunlarla sınırlı olmayan eylemlerle sonuçlanabilir.
Bilgi Güvenliği Politikası yılda en az bir kez Bilgi Güvenliği Sorumlusu tarafından gözden geçirilerek, değişiklik/ihtiyaç halinde güncellenir.
Güncellenen Bilgi Güvenliği Politikası İç Kontrol Sorumlusunun görüşleri alındıktan sonra Yönetim Kurulu onayına sunulur. Politika, Yönetim Kurulu tarafından onaylandığı takdirde yayınlanarak tüm kullanıcılara haberleşme kanalları vasıtasıyla (Duyuru, Bilgi Güvenliği Farkındalık Eğitimi vb.) duyurulur. Bilgi Güvenliği Politikası değişikliklerine ait gerekçe oluşturan sebeplerden bazıları şunlardır: