Data Security and Privacy Principles

VeriGüvenliğiveGizliliğiİlkeleri
IBMBulutHizmetleri
KUP12494-TRTR-01
2
Veri Güvenliği ve Gizliliği İlkeleri: IBM Bulut Hizmetleri
İçindekiler
2 Genel Bakış
3 Yönetişim
3 Güvenlik İlkeleri
3 Erişim, Müdahale, Aktarma ve Ayırma Denetimi
4 Hizmet Bütünlüğü ve Sağlanabilirlik Denetimleri
4 Etkinlik Günlüğü ve Girdi Denetimi
4 Fiziksel Güvenlik ve Giriş Denetimi
4 Sipariş Denetimi
4 Uyumluluk
5 Üçüncü Kişi Alt İşleyicileri
Genel Bakış
IBM bulut hizmetleri, altyapı, platform ve yazılım
olanaklarını içerir. Teknik ve organizasyonel
güvenlik ve gizlilik önlemleri, her bulut hizmeti için,
ilgili hizmetin mimarisine, kullanım amacına ve
sağlanan hizmet tipine göre IBM ilkesine uygun
olarak uygulanır. Şekil 1'de her hizmet tipine ilişkin
genel sorumluluk ayrımı gösterilmektedir.
IBMBulutHizmetleri
IaaS
PaaS
SaaS
Uygulamalar
Uygulamalar
Uygulamalar
Platform
Platform
Platform
Altyapı
Altyapı
Altyapı
Açıklama
MüşteriTarafından
Yönetilir
IBMTarafından
Yönetilir
Şekil 1: IBM bulut hizmeti olanağı tipleri
IBM Hizmet Olarak Sunulan Altyapı (IaaS)
olanakları, müşterilerin, üzerlerinde kendi tercih
ettikleri işletim sistemleri, çalıştırma zamanları, ara
katman yazılımları ve uygulamalar gibi yazılımları
devreye alabileceği ve çalıştırabileceği bilgi işlem
kaynaklarını sağlar. Hizmet Olarak Sunulan Altyapı
müşterileri, fiziksel olmayan veri güvenliği ve
gizliliği önlemlerinin uygulanması ve yönetilmesi
dahil olmak üzere Hizmet Olarak Sunulan Altyapı
çözümü üzerinde devreye aldıkları uygulamalardan,
içerikten, çalıştırma zamanlarından, ara katman
yazılımlarından ve işletim sistemlerinden
sorumludurlar.
KUP12494- TRTR -01
IBM Hizmet Olarak Sunulan Platform (PaaS)
olanakları, müşterilerin, bir hizmetin kapsamına
dahil edilebilecek sistemleri, ağları, depolamayı,
çalıştırma zamanı çerçevelerini, kitaplıkları ve
bütünleştirme ve yönetim araçlarını kullanarak,
bulut uygulamalarını oluşturmalarını, devreye
almalarını ve yönetmelerini sağlar. Hizmet Olarak
Sunulan Platform müşterileri, kendi uygulamaları ve
verileri için veri güvenliği ve gizliliği önlemlerinin
uygulanması ve yönetilmesi dahil olmak üzere
Hizmet Olarak Sunulan Platform çözümü üzerinde
devreye aldıkları uygulamaları ve içeriği yönetirler.
IBM Hizmet Olarak Sunulan Yazılım (SaaS)
olanakları, arka plandaki ara katman yazılımları,
platformlar ve altyapı da dahil olmak üzere IBM'in
uygulamaların devreye alma, sistem yönetimi,
operasyon, bakım ve güvenliğini yönettiği bulut
ortamlarındaki standartlaştırılmış uygulamaları
sağlar. Hizmet Olarak Sunulan Yazılım müşterileri,
kendi son kullanıcı hesaplarını, IBM Hizmet Olarak
Sunulan Yazılım olanağının uygun kullanımını ve
işledikleri verileri, bulut hizmetleri sözleşmesinin
koşullarına uygun olarak yönetmeye devam ederler.
Hizmet Olarak Sunulan Yazılım müşterileri, kendi
gereksinimleri söz konusu olduğunda, IBM'in
uyguladığı standart veri güvenlik ve gizlilik
önlemlerinin uygunluğunu değerlendirmekten
sorumlu olurlar.
Tipinden bağımsız olarak her bir bulut hizmeti için
IBM'in özel yönetim sorumlulukları ilgili olanak
sözleşmesinde belirtilir. Diğer özelliklerin yanı sıra,
IBM bulut hizmetlerini; yanlışlıkla kayıp, yetkisiz
erişim ve müşteri verilerinin yetkisiz kullanımı gibi
risklere karşı savunmak için tasarlanmış veri
güvenlik ve gizlilik önlemleri, sağlanabilecek
yapılandırılabilir seçenekler ve hizmetler de dahil
olmak üzere her bir hizmet tanımında belirtilir veya
ilgili hizmet tanımına dahil edilir.
Bu Veri Güvenlik ve Gizlilik İlkeleri belgesinde, atıf
yoluyla her bir hizmet tanımına dahil edilen önemli
IBM ilkeleri ve uygulamaları açıklanmaktadır.
Veri Güvenliği ve Gizliliği İlkeleri: IBM Bulut Hizmetleri
Yönetişim
Yaptırım gücünü belirli kurumsal yönergelerden
alan IBM'in BT güvenliği ilkeleri, IBM CIO (Bilgi
Teknolojileri Direktörü) organizasyonu tarafından
oluşturulup yönetilmekte olup IBM'in ticari
faaliyetlerinin ayrılmaz bir parçasını oluşturur.
Dahili BT ilkelerine uyumluluk zorunludur ve
denetlenir.
Güvenlik İlkeleri
IBM bilgi güvenliği ilkeleri en az yılda bir kez
gözden geçirilir ve modern tehditlere karşı güncelliği
korumak ve ISO/IEC 27001 ve 27002 gibi geniş çapta
kabul görmüş uluslararası standartlara ilişkin
güncellemelerle uyumlu kalmak için gerektiği
şekilde iyileştirilir.
IBM, belirli süreli çalışanlar da dahil olmak üzere
tüm yeni işe alınan çalışanlar için bir dizi zorunlu
istihdam doğrulama koşulunu izler. Bu standartlar,
tamamına sahip olunan yan kuruluşlar ve ortak
girişimler için de geçerlidir. Zaman içinde
değiştirilebilen bu koşullar arasında, sabıka kaydı
denetimleri, kimlik doğrulama kanıtı ve aday,
önceden bir devlet kuruluşu için çalıştıysa ek
kontroller yer alabilir, ancak tümü bunlarla sınırlı
değildir. Her IBM şirketi, yerel yasalarca geçerli
olduğu ve izin verildiği ölçüde işe alım sürecinde
yukarıdaki koşulları uygulamaktan sorumludur.
3
olay yöneticilerinden ve adli araştırma
analistlerinden oluşur. Bilgisayar güvenlik
olaylarının ele alınmasına yönelik ABD Ticaret
Bakanlığı, Ulusal Standartlar ve Teknoloji Enstitüsü
(NIST) yönergeleri, geliştirme birimini bilgilendirmiş
olup IBM'in küresel olay yönetimi süreçlerinin
temelini oluşturur.
CSIRT, şüpheli olayları araştırmak için IBM'in diğer
birimleriyle koordineli olarak hareket eder ve izin
verilirse uygun müdahale planını tanımlar ve
yürütür. IBM, bir güvenlik olayının ortaya çıktığı
belirlendikten sonra, etkilenen bulut hizmetleri
müşterilerine derhal uygun bir şekilde bildirim
gönderecektir.
Erişim, Müdahale, Aktarma ve Ayırma
Denetimi
IBM bulut hizmetlerinin mimarisi, müşteri
verilerinin mantıksal olarak ayrılmasını sağlar. Dahili
kurallar ve önlemler, sözleşme amaçlarına uygun
olarak veri ekleme, değiştirme, silme ve aktarma gibi
veri işlemelerini ayırır. Görevler ayrılığı ilkelerine
uygun olarak yalnızca kimlik ve erişim yönetimi
ilkeleri kapsamında titiz bir biçimde denetlenen ve
IBM'in dahili yetkili kullanıcı izleme ve denetleme
programına uygun olarak izlenen yetkili personelin,
tüm kişisel veriler de dahil olmak üzere müşteri
verilerine erişmesine izin verilir.
IBM'in İş Adabı İlkeleri başlıklı belgede belirtildiği
şekilde, IBM çalışanlarının, yıllık güvenlik ve gizlilik
eğitimlerini tamamlamaları ve IBM'in etik iş adabı
ilkeleriyle gizlilik ve güvenlik gereksinimlerini
karşıladıklarını her yıl yeniden onaylamaları
zorunludur.
IBM tarafından sağlanan ayrıcalıklı erişim yetkisi,
kişi ve görev esasına göre ve düzenli aralıklara
yapılan doğrulamalara tabi olarak verilir. Müşteri
verilerine erişim, müşteriye hizmet ve destek
sunmak için gereken seviyeyle (başka bir deyişle,
gereken en düşük ayrıcalık) sınırlıdır.
Güvenlik olayları, geçerli yasalar kapsamındaki veri
ihlali bildirimi gereksinimleri dikkate alınarak IBM
olay yönetimi ve müdahale ilkeleri uyarınca ele
alınır.
IBM ağı içindeki veri aktarımı, kablosuz ağ
kullanılmadan kablolu altyapı üzerinde ve güvenlik
duvarlarının ardında gerçekleşir.
IBM'in küresel siber güvenlik olay yönetimi
uygulamasının temel işlevleri, IBM'in Bilgisayar
Güvenliği Olaylarına Müdahale Ekibi (CSIRT)
tarafından yürütülür. CSIRT, IBM'in Bilgi Güvenliği
Direktörü tarafından yönetilir ve kadrosu küresel
İstek üzerine veya bulut hizmeti sözleşmesinin
koşulları doğrultusunda hizmet sona erdirildiğinde,
müşteri verileri, medya temizlemeye ilişkin NIST
yönergelerine uygun olarak kurtarılamayacak hale
getirilir.
KUP12494-TRTR-01
4
Hizmet Bütünlüğü ve Sağlanabilirlik
Denetimleri
IBM bulut hizmetleri, üretim için yayınlanmadan
önce sızma testinden ve güvenlik açığı taramasından
geçirilir. Ayrıca IBM ve yetkili bağımsız üçüncü
kişiler tarafından düzenli olarak sızma testi, güvenlik
açığı taraması ve etik bilgisayar korsanlığı
gerçekleştirilir.
İşletim sistemi kaynaklarında ve uygulama
yazılımlarında yapılan değişiklikler, IBM değişiklik
yönetimi ilkelerine tabidir. Ağ aygıtlarındaki ve
güvenlik duvarı kurallarındaki değişiklikler de,
değişiklik yönetimi ilkelerine tabidir ve
uygulamadan önce güvenlik personeli tarafından
ayrı olarak incelenir.
IBM'in veri merkezi hizmetleri, verilerin HTTPS,
SFTP ve FTPS gibi kamuya açık ağlar üzerinden
aktarılmasına ilişkin olarak çeşitli bilgi iletimi
iletişim kurallarını desteklemektedir. IBM, üretim
veri merkezi kaynaklarını 7 gün, 24 saat sistematik
olarak izlemektedir. Potansiyel açıkların tespit
edilmesine ve çözülmesine yardımcı olması için
yetkili sistem yöneticileri tarafından düzenli olarak
dahili ve harici güvenlik açığı taraması
gerçekleştirilmektedir.
Her IBM bulut hizmeti, Bilgi Güvenliği Denetimleri
için ISO 27002 Uygulama İlkesine uygun olarak
geliştirilen, sağlanan, doğrulanan ve test edilen iş
sürekliliği ve olağanüstü durum kurtarma planlarına
sahiptir. Her bir bulut hizmeti için kurtarma noktası
ve zamanı hedefleri, ilgili hizmetin mimarisine göre
oluşturulur ve hizmet tanımında veya başka bir
işlem belgesinde sağlanır. Eğer varsa, uzak konumda
depolanmak üzere oluşturulan yedek veriler,
aktarılmadan önce şifrelenir.
Güvenlik yapılandırması ve yama yönetimi
etkinlikleri gerçekleştirilir ve düzenli olarak gözden
geçirilir. IBM'in altyapısı, acil durum planlaması
kavramlarına (örneğin, olağanüstü durumdan
kurtarma ve sabit disk ikizleme) tabidir. IBM
altyapısı için geliştirilen iş sürekliliği planları
belgelenir ve düzenli aralıklarla yeniden doğrulanır.
KUP12494- TRTR -01
Veri Güvenliği ve Gizliliği İlkeleri: IBM Bulut Hizmetleri
Etkinlik Günlüğü ve Girdi Denetimi
IBM ilkesi, bulut hizmetlerinin bilgi işlem
ortamlarındaki sistem yöneticisi erişiminin ve
etkinliğinin günlüğe kaydedilip izlenmesini ve
günlüklerin IBM'in dünya genelindeki kayıt yönetim
planına uygun şekilde arşivlenmesini ve
saklanmasını gerektirir. Üretim bulut hizmetleri
üzerinde yapılan değişiklikler, IBM değişiklik
yönetimi ilkesine uygun şekilde kaydedilir ve
yönetilir.
Fiziksel Güvenlik ve Giriş Denetimi
IBM, veri merkezi kaynaklarına yetkisiz fiziksel
erişimin kısıtlanması amacıyla tasarlanan fiziksel
güvenlik standartları uygulamaktadır. IBM veri
merkezlerine giriş noktaları sınırlıdır, erişim
okuyucuları tarafından denetlenir ve gözetim
kameraları tarafından izlenir. Yalnızca yetkili
personelin erişimine izin verilir.
Teslimat alanları, yükleme platformları gibi yetkisiz
kişilerin tesislere girebileceği noktalar titizlikle
denetlenir. Teslimatların zamanı önceden belirlenir
ve yetkili personelin onayını gerektirir.
Operasyonlara, tesislere veya güvenlik kadrosuna
dahil olmayan personel, tesislere girişleri sırasında
kaydedilir ve tesislerde bulunduğu süre boyunca bu
kişilere yetkili personelce eşlik edilir.
İşine son verilen çalışanlar, erişim listesinden
kaldırılır ve erişim kartlarını geri vermeleri zorunlu
tutulur. Erişim kartlarının kullanımı günlüğe
kaydedilir.
Sipariş Denetimi
Veri işleme süreci, IBM'in, bulut hizmeti olanağına
ilişkin koşulları, işlevselliği, desteği, bakımı ve
müşteri verilerinin gizliliğini, bütünlüğünü ve
kullanılabilirliğini sürdürmek üzere alınan önlemleri
tanımladığı olanak sözleşmesine göre yürütülür.
Uyumluluk
Bulut hizmetlerine yönelik IBM bilgi güvenliği
standartları ve yönetimi uygulamaları, bilgi
güvenliği yönetimine ilişkin ISO/IEC 27001
standardına uygun hale getirilmiş olup Bilgi
Güvenliği Denetimleri için ISO/IEC 27002 Uygulama
Veri Güvenliği ve Gizliliği İlkeleri: IBM Bulut Hizmetleri
İlkesine de uygundur. Bilgi güvenliği standartlarına
uyumluluğun izlenmesi için IBM tarafından düzenli
olarak değerlendirmeler ve denetimler
gerçekleştirilir. Ayrıca tüm IBM üretim veri
merkezlerinde yıllık olarak üçüncü kişiler tarafından
endüstri standardında denetimler gerçekleştirilir.
Üçüncü Kişi Alt İşleyicileri
IBM bulut hizmetleri, üçüncü kişi alt işleyicilerin
sözleşmeye dayalı görevlerini normal bir şekilde
gerçekleştirmesi için müşteri verilerine erişmesini
gerektirebilir. Böyle bir üçüncü kişi alt işleyici bir
bulut hizmetinin sağlanmasında rol alırsa, istek
üzerine alt işleyici ve görevi sağlanacaktır. IBM,
sözkonusu tüm alt işleyicilerin IBM tarafından
sağlanan genel güvenlik ve gizlilik düzeyini
koruyan standartlara, uygulamalara ve ilkelere
uymasını zorunlu kılar.
5
© Copyright IBM Corporation 2016
IBM Corporation
Route 100
Somers, NY 10589
ABD'de Üretilmiştir
Nisan 2016
IBM, IBM logosu ve ibm.com, International Business
Machines Corp.'un dünya çapındaki birçok yargı
yetkisi alanındaki tescilli ticari markalarıdır. Diğer
ürün ve hizmet adları IBM'in veya diğer şirketlerin
ticari markaları olabilir. IBM ticari markalarının
güncel bir listesi, ibm.com/legal/copytrade.shtml
adresindeki "Copyright and trademark information"
(Telif hakkı ve ticari marka bilgileri) başlıklı bölümde
bulunabilir.
Bu belge, ilk yayın itibarıyla günceldir ve herhangi
bir zamanda IBM tarafından değiştirilebilir.
IBM ürünleri, kapsamında sağlandıkları
sözleşmelerin kayıt ve koşullarına uygun olarak
garanti kapsamına alınmıştır.
Lütfen Geri Dönüştürün
KUP12494-TRTR-01