TS ISO/IEC 17799
Transkript
TS ISO/IEC 17799
TÜRK STANDARDI TURKISH STANDARD TS ISO/IEC 17799 Kasım 2002 ICS 35.040 BİLGİ TEKNOLOJİSİ - BİLGİ GÜVENLİĞİ YÖNETİMİ İÇİN UYGULAMA PRENSİPLERİ Information technology - Code of practice for security management information TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA − Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz. − Bu standardı oluşturan Hazırlık Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını şükranla anarız. Kalite Sistem Belgesi İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir. Türk Standardlarına Uygunluk Markası (TSE Markası) TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü’nün garantisi altında olduğunu ifade eder. TSEK Kalite Uygunluk Markası (TSEK Markası) TSEK Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin henüz Türk Standardı olmadığından ilgili milletlerarası veya diğer ülkelerin standardlarına veya Enstitü tarafından kabul edilen teknik özelliklere uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü’nün garantisi altında olduğunu ifade eder. DİKKAT! TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir garanti söz konusu değildir. Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir. TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR. ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Ön söz − Bu standard, ISO tarafından kabul edilen, ISO/IEC 17799 (2000) standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim Hazırlık Grubu’nca hazırlanmış ve TSE Teknik Kurulu’nun 11 Kasım 2002 tarihli toplantısında Türk Standardı olarak kabul edilerek yayımına karar verilmiştir. ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 İçindekiler 0 Giriş ........................................................................................................................................................... 1 0.1 Bilgi Güvenliği nedir? .......................................................................................................................... 1 0.2 Bilgi güvenliğine neden gereksinim duyulur?...................................................................................... 1 0.3 Güvenlik gerekleri nasıl kurulur?......................................................................................................... 1 0.4 Güvenlik risklerinin değerlendirilmesi.................................................................................................. 2 0.5 Denetimlerin seçilmesi ........................................................................................................................ 2 0.6 Bilgi güvenliği başlama noktası ........................................................................................................... 2 0.7 Önemli başarı unsurları....................................................................................................................... 3 0.8 Kendi kılavuzlarınızın geliştirilmesi ..................................................................................................... 3 1 Kapsam...................................................................................................................................................... 3 2 3 4 5 6 Terimler ve Tarifler ................................................................................................................................... 3 2.1 Bilgi güvenliği ...................................................................................................................................... 3 2.2 Risk değerlendirmesi........................................................................................................................... 4 2.3 Risk yönetimi ....................................................................................................................................... 4 Güvenlik politikası.................................................................................................................................... 4 3.1 Bilgi güvenliği politikası ....................................................................................................................... 4 3.1.1 Bilgi güvenliği politikası belgesi ....................................................................................................... 4 3.1.2 Gözden geçirme ve değerlendirme ................................................................................................. 4 Örgütsel güvenlik ..................................................................................................................................... 5 4.1 Bilgi güvenliği altyapısı........................................................................................................................ 5 4.1.1 Yönetim bilgi güvenliği forumu......................................................................................................... 5 4.1.2 Bilgi güvenliği düzenlemesi ............................................................................................................. 5 4.1.3 Bilgi güvenliği sorumluluklarının atanması ...................................................................................... 5 4.1.4 Bilgi işleme araçları için yetkilendirme süreci .................................................................................. 6 4.1.5 Uzman bilgi güvenliği tavsiyesi........................................................................................................ 6 4.1.6 Organizasyonlar arasındaki işbirliği................................................................................................. 6 4.1.7 Bilgi güvenliğinin bağımsız gözden geçirilmesi ............................................................................... 7 4.2 Üçüncü taraf erişiminin güvenliği ........................................................................................................ 7 4.2.1 Üçüncü taraf erişiminde risklerin tanımlanması............................................................................... 7 4.2.1.1 Erişim türleri ................................................................................................................................. 7 4.2.1.2 Erişim sebepleri ........................................................................................................................... 7 4.2.1.3 Çalışma alanı anlaşmalı taraflar .................................................................................................. 8 4.2.2 Üçüncü taraf sözleşmelerinde güvenlik gerekleri ............................................................................ 8 4.3 Dışarıdan kaynak sağlama.................................................................................................................. 9 4.3.1 Dışarıdan kaynak sağlama sözleşmelerindeki güvenlik gerekleri..................................................... 9 Varlık sınıflandırması ve denetimi .......................................................................................................... 9 5.1 Varlıklar için sorumluluk ...................................................................................................................... 9 5.1.1 Varlıkların Envanteri ...................................................................................................................... 10 5.2 Bilgi Sınıflandırması .......................................................................................................................... 10 5.2.1 Sınıflandırma kılavuzları ................................................................................................................ 10 5.2.2 Bilgi etiketleme ve işleme .............................................................................................................. 11 Personel güvenliği.................................................................................................................................. 11 6.1 İş tanımlarındaki ve kaynaklardaki güvenlik...................................................................................... 11 6.1.1 İş sorumluluklarına güvenliğin dahil edilmesi ................................................................................ 11 6.1.2 Personel eleme ve personel politikası........................................................................................... 11 6.1.3 Gizlilik anlaşmaları......................................................................................................................... 12 6.1.4 İşe alma koşulları ve şartları.......................................................................................................... 12 6.2 Kullanıcı eğitimi ................................................................................................................................. 12 6.2.1 Bilgi güvenliği eğitimi ve öğretimi................................................................................................... 12 6.3 Güvenlik arızalarına ve bozulmalarına cevap verilmesi.................................................................... 13 6.3.1 Güvenlik arızalarının raporlanması ............................................................................................... 13 6.3.2 Güvenlik zayıflıklarının raporlanması ............................................................................................ 13 6.3.3 Yazılım bozulmalarının raporlanması............................................................................................ 13 6.3.4 Arızalardan öğrenmek ................................................................................................................... 13 6.3.5 Disiplin süreci................................................................................................................................. 14 ICS 35.040 7 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Fiziki ve çevresel güvenlik .................................................................................................................... 14 7.1 Güvenli bölgeler ................................................................................................................................ 14 7.1.1 Fiziki güvenlik çevresi.................................................................................................................... 14 7.1.2 Fiziki giriş denetimleri ...................................................................................................................... 14 7.1.3 Bürolar, odalar ve araçların güvenlik altına alınması .................................................................... 14 7.1.4 Güvenli alanlarda çalışmak ........................................................................................................... 15 7.1.5 Ayrılmış dağıtım ve yükleme alanları ............................................................................................ 15 7.2 Teçhizat güvenliği ............................................................................................................................. 16 7.2.1 Donanım yerleştirilmesi ve koruma ............................................................................................... 16 7.2.2 Güç kaynakları ................................................................................................................................ 16 7.2.3 Kablo güvenliği .............................................................................................................................. 17 7.2.4 Donanım bakımı ............................................................................................................................ 17 7.2.5 Çevre dışı teçhizatların güvenliği................................................................................................... 17 7.2.6 Teçhizatların güvenli düzenlenmesi ve tekrar kullanımı................................................................ 17 7.3 Genel denetimler............................................................................................................................... 18 7.3.1 Temiz masa ve temiz ekran politikası ........................................................................................... 18 7.3.2 Teçhizatların kaldırılması............................................................................................................... 18 8 İletişim ve İşletim Yönetimi ................................................................................................................... 18 8.1 İşletim Prosedürleri ve sorumlulukları ............................................................................................... 18 8.1.1 Yazılı İşletim Prosedürleri................................................................................................................ 18 8.1.2 İşletim Değişiklik Odası ................................................................................................................. 19 8.1.3 Olay Yönetim Prosedürleri .............................................................................................................. 19 8.1.4 Görevlerin Ayrılması ...................................................................................................................... 20 8.1.5 Geliştirme ve İşletim Tesislerinin Ayrılması................................................................................... 20 8.1.6 Dış Tesislerin Yönetimi.................................................................................................................. 21 8.2 Sistem Planlama ve Kabul Etme....................................................................................................... 21 8.2.1 Kapasite Planlama......................................................................................................................... 21 8.2.2 Sistemin Kabulü............................................................................................................................. 21 8.3 Kötü Niyetli Yazılımlara Karşı Koruma.............................................................................................. 22 8.3.1 Kötü Niyetli Yazılımlara Karşı Kontroller ....................................................................................... 22 8.4 Ortamın Muhafazası.......................................................................................................................... 23 8.4.1 Bilgi yedeklemesi........................................................................................................................... 23 8.4.2 İşletmen Kayıtları........................................................................................................................... 23 8.4.3 Hata Kaydı Tutulması .................................................................................................................... 23 8.5 Ağ Yönetimi ....................................................................................................................................... 23 8.5.1 Ağ Kontrolleri ................................................................................................................................. 24 8.6 Bilgi ortamı yönetimi ve güvenlik....................................................................................................... 24 8.6.1 Çıkarılabilir bilgisayar ortamının yönetimi...................................................................................... 24 8.6.2 Bilgi ortamının yok edilmesi........................................................................................................... 24 8.6.3 Bilgi yönetim işlemleri .................................................................................................................... 25 8.6.4 Sistem belgelendirmesi güvenliği .................................................................................................. 25 8.7 Bilgi ve yazılım değiş tokuşu ............................................................................................................. 25 8.7.1 Bilgi ve yazılım değişim anlaşmaları ............................................................................................. 25 8.7.2 Nakil esnasındaki bilgi ortamının güvenliği ................................................................................... 26 8.7.3 Elektronik ticaret güvenliği............................................................................................................... 26 8.7.4 Elektronik postaların güvenliği....................................................................................................... 27 8.7.4.1 Güvenlik tehlikeleri..................................................................................................................... 27 8.7.4.2 Elektronik posta politikası .......................................................................................................... 27 8.7.5 Elektronik ofis sistemlerinin güvenliği............................................................................................ 27 8.7.6 Halka açık sistemler ...................................................................................................................... 28 8.7.7 Bilgi değiş tokuşunun diğer şekilleri .............................................................................................. 28 9 Erişim denetimi....................................................................................................................................... 28 9.1 Erişim denetimi için iş gerekleri........................................................................................................ 28 9.1.1 Erişim denetimi politikası ............................................................................................................... 29 9.1.1.1 Politika ve iş gerekleri ................................................................................................................ 29 9.1.1.2 Erişim denetimi kuralları............................................................................................................. 29 9.2 Kullanıcı erişimi yönetimi................................................................................................................... 29 9.2.1 Kullanıcı kaydı ............................................................................................................................... 29 9.2.2 Ayrıcalık yönetimi .......................................................................................................................... 30 9.2.3 Kullanıcı parola yönetimi ............................................................................................................... 30 9.2.4 Kullanıcı erişim haklarının gözden geçirilmesi .............................................................................. 30 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.3 Kullanıcı sorumlulukları ..................................................................................................................... 31 9.3.1 Parola kullanımı............................................................................................................................. 31 9.3.2 Kullanıcısı belirlenmemiş teçhizat ................................................................................................. 31 9.4 Ağ erişimi denetimi............................................................................................................................ 32 9.4.1 Ağ hizmetlerinin kullanılmasına ilişkin politikalar........................................................................... 32 9.4.2 Zorunlu yol .................................................................................................................................... 32 9.4.3 Harici bağlantılar için kullanıcı kimliği doğrulaması....................................................................... 33 9.4.4 Düğüm kimlik doğrulaması ............................................................................................................ 33 9.4.5 Uzak tanılama bağlantı noktası koruması ..................................................................................... 33 9.4.6 Ağlardaki ayrım.............................................................................................................................. 33 9.4.7 Ağ bağlantısı denetimi ................................................................................................................... 34 9.4.8 Ağ yönlendirme denetimi ............................................................................................................... 34 9.4.9 Ağ hizmetlerinin güvenliği.............................................................................................................. 34 9.5 İşletim sistemi erişim denetimi .......................................................................................................... 34 9.5.1 Otomatik terminal tanımlaması...................................................................................................... 34 9.5.2 Terminal oturuma giriş işlemleri..................................................................................................... 35 9.5.3 Kullanıcı tanımlaması ve doğrulanması ........................................................................................ 35 9.5.4 Parola yönetim sistemi .................................................................................................................. 35 9.5.5 Sistem yardımcı programlarının kullanılması ................................................................................ 36 9.5.6 Kullanıcıları korumaya alma uyarısı .............................................................................................. 36 9.5.7 Terminal zaman aşımı ................................................................................................................... 36 9.5.8 Bağlantı süresinin sınırlanması ..................................................................................................... 36 9.6 Uygulama erişimi denetimi ................................................................................................................ 37 9.6.1 Bilgi erişimi kısıtlaması .................................................................................................................. 37 9.6.2 Duyarlı sistem yalıtımı ................................................................................................................... 37 9.7 Sistem erişiminin gözlenmesi ve kullanımı ....................................................................................... 37 9.7.1 Olay kayıtlarının tutulması ............................................................................................................. 38 9.7.2 Sistem kullanımının gözlenmesi .................................................................................................... 38 9.7.2.1 Yöntemler ve risk alanları .......................................................................................................... 38 9.7.2.2 Risk etkenleri ............................................................................................................................. 38 9.7.2.3 Olayları günlükleme ve gözden geçirme.................................................................................... 38 9.7.3 Saat vurusu senkronizasyonu ....................................................................................................... 39 9.8 Mobil bilgi işlem ve uzaktan çalışma ............................................................................................. 39 9.8.1 Mobil bilgi işlem ............................................................................................................................. 39 9.8.2 Uzaktan çalışma ............................................................................................................................ 40 10 Sistem Geliştirilmesi ve İdamesi........................................................................................................... 40 10.1 Sistem güvenlik gerekleri .................................................................................................................. 40 10.1.1 Güvenlik gereklerinin analizi ve özelleştirilmesi......................................................................... 41 10.2 Uygulama sistemlerinde güvenlik...................................................................................................... 41 10.2.1 Girdi verilerin geçerli kılınması................................................................................................... 41 10.2.2 İç işleyişin kontrolü..................................................................................................................... 41 10.2.2.1 Risk alanları............................................................................................................................... 41 10.2.2.2 Denetimler ve kontroller ............................................................................................................ 42 10.2.3 Mesaj kimliğinin doğrulanması................................................................................................... 42 10.2.4 Çıktı verilerinin geçerli kılınması ................................................................................................ 42 10.3 Kriptografik kontroller ........................................................................................................................ 43 10.3.1 Kriptografik kontrollerin kullanımına ilişkin politika .................................................................... 43 10.3.2 Şifreleme .................................................................................................................................... 43 10.3.3 Sayısal imzalar........................................................................................................................... 43 10.3.4 İnkar edememe servisleri........................................................................................................... 44 10.3.5 Anahtar Yönetimi ....................................................................................................................... 44 10.3.5.1 Kriptografik anahtarların korunması .......................................................................................... 44 10.3.5.2 Standardlar, prosedürler ve yöntemler....................................................................................... 44 10.4 Sistem dosyalarının güvenliği ........................................................................................................... 45 10.4.1 Operasyonel yazılımın kontrolü..................................................................................................... 45 10.4.2 Sistem test verilerinin korunması............................................................................................... 45 10.4.3 Program kaynak kütüphanesine erişimin kontrolü ........................................................................ 46 10.5 Geliştirme ve destek süreçlerinde güvenlik....................................................................................... 46 10.5.1 Değişim kontrol işlemleri ............................................................................................................ 46 10.5.2 İşletim sistemi değişiklerinin teknik olarak gözden geçirilmesi .................................................. 47 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 10.5.3 Yazılım paketlerine yapılacak değişiklik kısıtlamaları ................................................................... 47 10.5.4 Örtülü kanallar ve Truva kodu.................................................................................................... 47 10.5.5 Dış kaynaklı yazılım geliştirme ...................................................................................................... 47 11 Ticari süreklilik yönetimi ....................................................................................................................... 48 11.1 Ticari süreklilik yönetiminin ilkeleri .................................................................................................... 48 11.1.1 Ticari süreklilik yönetim süreci ................................................................................................... 48 11.1.2 Ticari süreklilik ve etki çözümlemesi.......................................................................................... 48 11.1.3 Süreklilik planlarının yazılması ve uygulanması ........................................................................ 48 11.1.4 Ticari süreklilik planlama çerçevesi ........................................................................................... 49 11.1.5 Ticari süreklilik planlarının test edilmesi, bakımı ve yeniden değerlendirilmesi......................... 49 11.1.5.1 Planların test edilmesi ............................................................................................................... 49 11.1.5.2 Planların bakımı ve yeniden değerlendirilmesi.......................................................................... 49 12 Uyum........................................................................................................................................................ 50 12.1 Yasal gereksinimlerle uyum .............................................................................................................. 50 12.1.1 Uygulanabilir kanunların tanımlanması...................................................................................... 50 12.1.2 Fikri mülkiyet hakları (IPR)......................................................................................................... 50 12.1.2.1 Kopya hakkı............................................................................................................................... 50 12.1.2.2 Yazılım kopya hakkı .................................................................................................................. 50 12.1.3 Organizasyon kayıtlarının korunması ........................................................................................ 51 12.1.4 Verinin korunması ve kişisel bilgilerin gizliliği ............................................................................ 51 12.1.5 Bilgi işlem birimlerinin yanlış kullanıma karşı korunması........................................................... 51 12.1.6 Kriptografik kontrollerin düzenlenmesi .......................................................................................... 52 12.1.7 Kanıtların toplanması ................................................................................................................. 52 12.1.7.1 Kanıt için kurallar....................................................................................................................... 52 12.1.7.2 Kanıtın akla uygunluğu.............................................................................................................. 52 12.1.7.3 Kanıtın kalite ve bütünlüğü ........................................................................................................ 52 12.2 Güvenlik politikası ve teknik uyumun gözden geçirilmesi ................................................................. 52 12.2.1 Güvenlik politikalarına uyum ...................................................................................................... 53 12.2.2 Teknik uyum kontrolü................................................................................................................. 53 12.3 Sistem denetleme hususları.............................................................................................................. 53 12.3.1 Sistem denetleme kontrolleri ......................................................................................................... 53 12.3.2 Sistem denetleme araçlarının korunması .................................................................................. 53 Dizin İngilizce Dizin ....................................................................................................................................... 62 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Bilgi teknolojisi Bilgi güvenliği yönetimi için uygulama prensipleri 0 Giriş 0.1 Bilgi güvenliği nedir? Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur. Bilgi birçok biçimde bulunabilir. Kağıt üzerine yazılmış ve basılmış olabilir, elektronik olarak saklanmış olabilir, posta yoluyla veya elektronik imkanlar kullanılarak gönderilebilir, filmlerde gösterilebilir veya karşılıklı konuşma sırasında sözlü olarak ifade edilebilir. Bilgi hangi biçimi alırsa alsın veya paylaşıldığı veya toplandığı hangi anlama gelirse gelsin her zaman uygun bir şekilde korunmalıdır. Bilgi güvenliği, bu standardda aşağıdakilerin korunması olarak tanımlanır: a) Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmek; b) Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etmek; c) Elverişlilik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişebileceklerini garanti etmek. Bilgi güvenliği, politikalar, uygulamalar, yöntemler, örgütsel yapılar ve yazılım fonksiyonları gibi bir dizi uygun denetimi gerçekleştirme aracılığıyla sağlanır. Bu denetimler, işletmenin belirli güvenlik hedeflerinin karşılandığını garanti altına almak için kurulmalıdır. 0.2 Bilgi güvenliğine neden gereksinim duyulur? Bilgi ve destek süreçleri, sistemler ve bilgisayar ağları önemli ticari varlıklardır. Bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünü, nakit akışını, karlılığı, yasal yükümlülükleri ve ticari imajı korumak ve sürdürmek için zorunlu ve gerekli olabilir. Giderek işletmeler ve sahip oldukları bilgi sistemleri ve ağları bilgisayar destekli sahtekarlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerle karşı karşıyadırlar. Bilgisayar virüsleri, bilgisayar korsanları ve hizmet saldırıları gibi yıkıcı kaynaklar daha yaygın, daha hırslı ve daha karmaşık hale gelmeye başlamıştır. Bilgi sistemlerine ve hizmetlerine bağımlılık, işletmelerin güvenlik tehditlerine karşı daha savunmasız olduğu anlamına gelmektedir. Genel ve özel ağların birbiriyle bağlantısı ve bilgi kaynaklarının paylaşımı, erişim denetimini oluşturmadaki zorlukları arttırmaktadır. Dağıtılmış bilgi işleme olan eğilim, merkezi, uzman denetimin etkinliğini zayıflatmıştır. Bilgi sistemleri henüz yeterli güvenlik seviyesinde tasarlanmamıştır. Teknik olanaklar aracılığıyla ulaşılabilen güvenlik sınırlıdır ve uygun yönetim ve yöntemlerle desteklenmelidir. Hangi denetimlerin yer alacağının tanımlanması, özenli planlamayı ve detaylara dikkati gerektirir. Bilgi güvenliği yönetimi en az, tüm işletme çalışanlarının katılımını gerektirir. Aynı zamanda tedarikçilerin, müşterilerin ve ortakların da katılımına gereksinim duyulur. İşletme dışından uzman tavsiyelere gerek duyulabilir. Bilgi güvenliği denetimleri, eğer şartların ve tasarım aşamasının gereklerinde birleştirilirse çok daha ucuz ve etkili olur. 0.3 Güvenlik gerekleri nasıl kurulur? Bir işletmenin güvenlik gereklerini tanımlaması bir zorunluluktur. Mevcut üç ana kaynak vardır. Birinci kaynak, işletme için varolan risklerin değerlendirilmesinden ortaya çıkar. Risk değerlendirmesi aracılığıyla, varlıkların karşı karşıya oldukları tehditler tanımlanır, olayların ortaya çıkma ihtimallerine karşı varolan savunma zayıflıkları ölçülür ve etkilenme ihtimalleri hesaplanır. İkinci kaynak, bir işletmenin, ticari alışverişte bulunduğu ortaklarının, anlaşmalı taraflarının ve hizmet sağlayıcıların tatmin olması gereken, yasal, kanuni, düzenleyici ve sözleşme ile ilgili gereklerdir. 1 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Üçüncü kaynak, belirli ilkeler ve hedefler dizisi ve bir işletmenin faaliyetlerini desteklemek için geliştirdiği bilgi işleme gerekleridir. 0.4 Güvenlik risklerinin değerlendirilmesi Güvenlik gerekleri, güvenlik risklerinin sistemli bir değerlendirmesi aracılığıyla tanımlanır. Denetim harcamaları, güvenlik başarısızlıklarından ortaya çıkma ihtimali olan iş hasarlarına karşı dengelenmelidir. Risk değerlendirmesi teknikleri, tüm işletmeye veya işletmenin bir kısmına olduğu gibi bireysel bilgi sistemlerine, belirli sistem bileşenlerine veya kullanışlı, gerçekçi ve faydalı hizmetlere uygulanabilir. Risk değerlendirmesine ait sistemli unsurlar şunlardır: a) Bilgi ve diğer kaynakların gizlilik, bütünlük ve elverişlilik kayıplarının olası sonuçlarını dikkate alan bir güvenlik başarısızlığından ortaya çıkma ihtimali olan iş hasarları; b) Hüküm süren tehditlerin ve savunmasızlıkların ve güncel olarak gerçekleştirilen denetimlerin ışığı altında olan bir başarısızlığın gerçekçi ihtimali. Bu değerlendirmenin sonuçları, bilgi güvenliği risklerini yönetmek ve bu risklere karşı korunmak üzere seçilmiş denetimleri gerçekleştirmek için uygun yönetim eylemlerinin ve önceliklerinin belirlenmesine ve yol göstermeye yardımcı olacaktır. Risklerin değerlendirilmesi ve denetimlerin seçilmesi sürecinin, işletmenin veya bireysel bilgi sistemlerinin farklı bölümlerini kapsaması için, sayısız kez yapılması gerekebilir. Güvenlik risklerinin ve gerçekleştirilen denetimlerin belirli aralıklarla gözden geçirilmesi aşağıdakiler için önemlidir: a) İş gerekleri ve önceliklerindeki değişiklikleri dikkate almak; b) Yeni tehditler ve savunmasızlıklar üzerinde düşünmek; c) Denetimlerin etkili ve uygun olarak sürdüğünü teyit etmek; Gözden geçirmeler, önceki değerlendirmelerin sonuçlarına ve yönetimin kabul etmek üzere hazırlandığı değişen risk seviyelerine bağlı olarak, farklı seviyelerdeki yoğunluklarda yapılmalıdır. Risk değerlendirmeleri çoğu kez önce yüksek seviyede, yüksek risk alanlarındaki kaynaklara öncelik vererek ve sonra daha detaylandırılmış seviyede belirli risklere yönelmek üzere gerçekleştirilir 0.5 Denetimlerin seçilmesi Bir kere güvenlik gerekleri tanımlandığında, risklerin kabul edilebilir seviyeye düşürüldüğünü garanti etmek için denetimler seçilmeli ve gerçekleştirilmelidir. Denetimler, bu belgeden veya diğer denetim dizilerinden veya uygun olarak belirli gereksinimleri karşılamak üzere tasarlanmış yeni denetimlerden seçilebilir. Riskleri yönetmenin birçok değişik yolu vardır ve bu belge en yaygın yaklaşımlarla ilgili örnekler sunar. Bununla birlikte, bazı denetimlerin her bilgi sistemine veya ortamına uygun olmadığını ve tüm işletme için belki de kullanışlı olmayacağını kabul etmek gereklidir. Örnek olarak, Madde 8.1.4 görevlerin, sahtekarlıkları ve hataları engellemek için nasıl ayrılabileceğini açıklar. Daha küçük işletmeler için, tüm görevleri ayırmak mümkün olmayabilir ve aynı denetim amacına ulaşmak için belki başka yollar gereklidir. Başka bir örnek, Madde 9.7 ve Madde 12.1 sistem kullanımının nasıl gözlendiğini ve nasıl bulgu toplandığını açıklar. Açıklanan denetimler, örneğin olay kaydetmek, müşterilerin gizliliğini veya çalışma ortamındaki gizliliği korumak gibi yürürlükte olan yasalarla çelişki oluşturabilir. Denetimler, düşürülen risklerle ve bir güvenlik kırılması oluşursa meydana gelebilecek olası kayıplarla ilişkili gerçekleşmenin maliyetine dayalı olarak seçilmelidir. Şöhret, ün kaybı gibi parasal olmayan unsurlar da göz önüne alınmalıdır. Bu belgedeki bazı denetimler, bilgi güvenlik yönetimi için yol gösterici prensipler olarak ve birçok işletmede uygulanabilir olarak ele alınmalıdır. Bu denetimler, “Bilgi güvenliği başlama noktası” başlığı altında aşağıda daha detaylı olarak açıklanmıştır. 0.6 Bilgi güvenliği başlama noktası Bir dizi denetim, bilgi güvenliğini gerçekleştirmek için iyi bir başlangıç noktası sağlayan kılavuz prensipler olarak ele alınabilir. Bunlar ya zorunlu yasal yükümlülük gereklerine dayanır ya da bilgi güvenliği için olan en yaygın ve iyi uygulamalar olarak düşünülür. 2 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Yasal yükümlülük bakış açısından, bir işletme için gerekli olan denetimler aşağıdakileri içerir: a) Kişisel bilgilere ait veri koruma ve gizlilik (Madde 12.1.4). b) İşletmeye ait kayıtları korumak (Madde 12.1.3); c) Fikri mülkiyet hakları (Madde 12.1.2); Bilgi güvenliği için olan en yaygın ve iyi uygulamalar olduğu düşünülen denetimler aşağıdakileri içerir: a) b) c) d) e) Bilgi güvenliği politikası belgesi (Madde 3.1); Bilgi güvenliği sorumluluklarının ayrılması (Madde 4.1.3); Bilgi güvenliği öğretimi ve eğitimi (Madde 6.2.1); Güvenliğe bağlı olayları raporlama (Madde 6.3.1); İş sürekliliği yönetimi (Madde 11.1). Bu denetimler birçok işletmeye ve bir çok ortamda uygulanabilir. Şuna dikkat edilmelidir ki, bu belgedeki birçok denetim önemli olmasına rağmen, her kontrolün uygunluğu işletmenin karşı karşıya olduğu belirli risklerin ışığında belirlenmelidir. Bundan dolayı, yukarıdaki yaklaşım iyi bir başlangıç noktası olarak düşünülse bile, risk değerlendirmesine dayalı denetim seçiminin yerini almaz. 0.7 Önemli başarı unsurları Deneyimler şunu göstermiştir ki, bir işletme içersindeki başarılı bilgi güvenliğinin gerçekleşmesinde çoğu kez aşağıdaki unsurlar önemlidir: a) b) c) d) e) f) g) h) İş hedeflerini yansıtan güvenlik politikası, hedefleri ve faaliyetleri; İşletmeye ait kültür içinde devam eden gerçekleşen güvenliğe bir yaklaşım; Yönetimden görünür destek ve bağlılık; İyi bir güvenlik gerekleri, risk değerlendirmesi ve risk yönetimi anlayışı; Güvenliğin, tüm yöneticilere ve çalışanlara etkili bir biçimde pazarlanması. ; Tüm çalışanlara ve anlaşmalı taraflara, bilgi güvenliği politika ve standardları üzerine kılavuzluk dağıtımı; Uygun öğretim ve eğitim sağlanması; Bilgi güvenliği yönetiminin performansını ve gelişimi için geribildirim önerilerini değerlendirmek üzere kullanılan derin ve dengeli bir ölçüm sistemi; 0.8 Kendi kılavuzlarınızın geliştirilmesi Bu uygulama prensibi, işletmeye özel kılavuz geliştirmek için bir başlangıç noktası olarak sayılabilir. Bu uygulama prensibi içindeki tüm kılavuz ve denetimler belki uygulanabilir olmayabilir. Bundan başka, bu belgede olmayan ilave denetimler belki de gerekebilir. Bu olduğunda, denetçiler ve iş ortakları tarafından kontrolü kolaylaştıracak dipnotları elde tutmak yararlı olabilir. 1 Kapsam Bu standard işletmeler içersinde bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kişilerin kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsar. İşletme içersinde, güvenlik standardları ve etkili güvenlik yönetimi uygulamaları geliştirmek için, yaygın bir temel ve iş ilişkilerinde güven sağlamak amaçlanır. Bu standardlar tavsiyelere, kanunlara ve yönetmeliklere uygun olarak seçilmelidir. 2 Terimler ve tarifler Bu belgenin amaçları için, aşağıdaki tarifler uygulanır. 2.1 Bilgi güvenliği Bilginin gizliliğinin, güvenilirliğinin, ve elverişliliğinin korunması. - Gizlilik Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi. - Bütünlük Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi. - Elverişlilik Yetkilendirilmiş kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi. 3 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 2.2 Risk değerlendirmesi Bilgiye ve bilgi işleme vasıtalarına karşı varolan tehditlerin değerlendirilmesi, bilgi üzerine etkileri, bilginin yaralanabilirliği ve bunların ortaya çıkma olasılıkları. 2.3 Risk yönetimi Bilgi sistemlerini etkileyebilecek olan güvenlik risklerinin, uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi veya ortadan kaldırılması süreci. 3 Güvenlik politikası 3.1 Bilgi güvenliği politikası Amaç: Bilgi güvenliği için idarenin yönlendirilmesi ve desteğinin sağlanması. Yönetim, tüm işletme içinde bilgi güvenliğine ilişkin açık bir politika ortaya koymalı ve bunun için destek vermeli ve bağlılık göstermeli, bilgi güvenliği politikasını herkese bildirmeli ve sürekliliğini sağlamalıdır. 3.1.1 Bilgi güvenliği politikası belgesi Bir politika belgesi, yönetim tarafından onaylanmalı, tüm çalışanlara uygun olarak yayınlanmalı ve bildirilmelidir. Yönetimin bağlılığını belirtmeli ve bilgi güvenliğini yönetmek için işletmenin yaklaşımını ortaya koymalıdır. En az aşağıdaki kılavuzu içermelidir: a) Bilgi güvenliğinin tarifi, geniş kapsamlı hedefi ve amacı ve bilgi paylaşımını etkinleştiren bir yöntem olarak güvenliğin önemi (Giriş); b) Hedefleri ve bilgi güvenliğinin prensiplerini destekleyen yönetim amacının bir beyanı; c) Güvenlik politikalarının, prensiplerinin, standardlarının ve işletme için belirli öneminin uygun gereklerinin kısa bir açıklaması, örneğin: 1) 2) 3) 4) 5) Yasal ve sözleşmeyle ilgili gereklere uygunluk; Güvenlik eğitimi gerekleri; Virüs ve diğer zararlı yazılımların engellenmesi ve tespit edilmesi; İş sürekliliği yönetimi; Güvenlik politikası ihlallerinin sonuçları; d) Güvenlik raporlaması konuları da dahil, bilgi güvenliği yönetimi için genel ve belirli sorumlulukların tarifi; e) Politikayı destekleme ihtimali olan belgelendirmeler için referanslar, örneğin belirli bilgi sistemleri için daha detaylı güvenlik politikaları ve süreçleri veya kullanıcıların uyması gereken güvenlik kuralları. Bu politika, tüm işletme içinde kullanıcılara, hedeflenen okuyucu için uygun, erişilebilir ve anlaşılır bir biçimde bildirilmelidir. 3.1.2 Gözden geçirme ve değerlendirme Politikanın, sürekliliğinin sağlanmasından ve tanımlanmış yöntemlere göre gözden geçirilmesinden sorumlu bir sahibi olmalıdır. Bu işlem, orijinal risk değerlendirmesinin temelini etkileyecek her değişikliğe karşı gözden geçirmenin yer aldığını garanti etmelidir, örneğin; önemli güvenlik arızaları, yeni savunmasızlıklar veya örgütsel veya teknik altyapıda değişiklikler gibi. Ayrıca, aşağıdakilerle ilgili zamanlanmış, belirli aralıklarda gözden geçirmeler olmalıdır: a) Kaydedilmiş güvenlik arızalarının yapısı, sayısı ve etkisi aracılığıyla görüntülenen, politikanın etkinliği; b) Denetimlerin, iş verimliliği üzerindeki maliyeti ve etkisi. c) Teknolojik değişikliklerinin etkisi. 4 ICS 35.040 4 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Örgütsel güvenlik 4.1 Bilgi güvenliği altyapısı Amaç: İşletme içindeki bilgi güvenliğinin yönetilmesi. İşletme içersinde bilgi güvenliğinin gerçekleşmesini başlatmak ve kontrol etmek üzere bir yönetim sistemi kurulmalıdır. Bilgi güvenlik politikasını onaylamak, güvenlik rolleri tayin etmek ve tüm işletme içinde güvenlik yürütümlerini düzenlemek için yönetim önderliğiyle uygun yönetim sistemi kurulmalıdır. Eğer gerekirse, bir uzman bilgi güvenliği tavsiyesi kaynağı kurulmalı ve işletme içinde etkin kılınmalıdır. Endüstriyel eğilimleri yakalamak, standardları ve değerlendirme yöntemlerini gözlemek ve güvenlik olaylarıyla ilgilenirken uygun irtibat sağlamak için, harici güvenlik uzmanlarıyla iletişim geliştirilmelidir. Bilgi güvenliğine birden çok disiplinle ilgili bir yaklaşım özendirilmelidir, örneğin sigorta ve risk yönetimi alanlarında yöneticilerin, kullanıcıların, sistem yöneticilerinin, uygulama tasarımcılarının, denetçilerin ve güvenlik personelinin ve uzmanların yeteneklerinin beraber çalışması ve işbirliğinin katılımı. 4.1.1 Yönetim bilgi güvenliği forumu Bilgi güvenliği, yönetim takımının tüm bireylerince paylaşılan bir iş sorumluluğudur. Güvenlik öncelikleriyle ilgili açık bir yönlendirmenin ve görünür yönetim desteğinin olduğunu garanti eden bir yönetim forumu iyice düşünülmelidir. Bu forum, uygun bağlılık ve doğru kaynaklar aracılığıyla organizasyon içersindeki güvenliği desteklemelidir. Bu forum varolan yönetim yapısının bir parçası olabilir. Tipik olarak bir forum aşağıdakileri üstlenir: a) b) c) d) Bilgi güvenliği politikalarını ve tüm sorumlulukları gözden geçirmek ve onaylamak; Büyük tehditlere karşı bilgi varlıklarının çıkışındaki önemli değişiklikleri gözlemlemek; Bilgi güvenliği arızalarını gözden geçirmek ve gözlemek; Bilgi güvenliğini arttırmak için büyük öncelikleri gözden geçirmek. Güvenlikle ilgili tüm faaliyetlerden bir yönetici sorumlu olmalıdır. 4.1.2 Bilgi güvenliği düzenlemesi Büyük bir işletmede, işletmenin uygun bölümlerinden yönetim temsilcilerinin çapraz-fonksiyonel forumu, bilgi güvenlik denetimlerinin gerçekleşmesini düzenlemek için gerekli olabilir. Tipik olarak böyle bir forum: a) Tüm işletme içinde bilgi güvenliğiyle ilgili belirli rolleri ve sorumlulukları onaylar; b) Bilgi güvenliği için belirli yöntemleri ve süreçleri onaylar, örneğin risk değerlendirmesi, güvenlik sınıflandırma sistemi; c) İşletme genelinde bilgi güvenlik önceliklerini onaylar ve destekler, örneğin güvenlik bilinci programı; d) Güvenliğin, bilgi planlama sürecinin bir parçası olduğunu garanti eder; e) Yeni sistemler ve servisler için belirli bilgi güvenlik denetimlerinin yeterliliğini değerlendirir ve gerçekleştirilmesini düzenler; f) Bilgi güvenliği arızalarını gözden geçirir; g) Bilgi güvenliği için tüm organizasyon içindeki iş desteğinin görünürlüğünü yükseltir; 4.1.3 Bilgi güvenliği sorumluluklarının atanması Kişisel varlıkların korunması ve belirli güvenlik süreçlerinin yürütülmesi için sorumluluklar açıkça tanımlanmalıdır. Bilgi güvenliği politikası (Madde 3), organizasyon içindeki güvenlik rollerinin ve sorumluluklarının ayrılması üzerine genel kılavuz sağlamalıdır. Bu, nerede gerekliyse, belirli alanlar, sistemler veya hizmetler için daha detaylandırılmış kılavuzla birlikte tedarik edilmelidir. Bireysel, fiziksel ve bilgi varlıkları ve iş sürekliliği planlaması gibi güvenlik süreçleri için yerel sorumluluklar açıkça tanımlanmalıdır. Birçok organizasyonda, güvenliğin geliştirilmesine ve gerçekleştirilmesine ilişkin tüm sorumluluğu üstlenmek ve denetimlerin tanımlanmasını desteklemek için bir bilgi güvenlik yöneticisi atanır. 5 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Bununla beraber, denetimlerin kaynaklarının bulunması ve gerçekleştirilmesi sıklıkla bireysel yöneticilerle kalır. Bir yaygın uygulama, her bir bilgi varlığı için, bunun günlük güvenliğinden sorumlu hale gelecek bir sahibin atanmasıdır. Bilgi varlıklarının sahipleri, güvenlik sorumluluklarıyla ilgili bireysel yöneticileri veya hizmet sunucularını görevlendirebilirler. Bununla birlikte, varlık sahibi, varlığın güvenliğinden tamamen sorumludur ve görevlendirilmiş her sorumluluğun doğru olarak yerine getirilmiş olduğunu belirleyebilmelidir. Her bir yöneticinin sorumluğu olduğu alanların açıkça belirtilmiş olması zorunludur; özel olarak aşağıdakiler yer almalıdır. a) Her bir ayrı sistemle ilişkili çeşitli varlıklar ve güvenlik süreçleri tanımlanmalı ve açıkça tarif edilmelidir. b) Her bir varlıktan veya güvenlik sürecinden sorumlu olan yönetici onaylanmalı ve bu sorumluluğun detayları belgelendirilmelidir. c) Yetkilendirme seviyeleri açıkça tanımlanmalı ve belgelendirilmelidir. 4.1.4 Bilgi işleme araçları için yetkilendirme süreci Yeni bilgi işleme araçları için, bir yönetim yetkilendirme süreci kurulmalıdır. Aşağıdaki denetimler düşünülmelidir. a) Yeni araçlar, amaçlarını ve kullanımını yetkilendiren, uygun kullanıcı yönetim onayına sahip olmalıdır. Onaylama ayrıca, ilgili tüm güvenlik politikalarının ve gereklerinin karşılandığını temin etmek için, yerel bilgi sistemi güvenlik ortamının sürekliliğini sağlamaktan sorumlu olan yöneticiden de alınmalıdır. b) Gerektiğinde, donanım ve yazılımın diğer sistem bileşenleriyle uyumlu olduğunun garanti edilmesi için kontrol edilmelidir. Not: Belirli bağlantılar için yazılı onaya gereksinim duyulabilir. c) Ticari bilgiyi işlemek için kişisel bilgi işleme araçlarının ve gereken denetimlerin kullanılması yetkilendirilmelidir. d) Çalışma ortamında kişisel bilgi işleme araçlarının kullanımı yeni savunmasızlıklara yol açabilir ve dolayısıyla değerlendirilmeli ve yetkilendirilmelidir. 4.1.5 Uzman bilgi güvenliği tavsiyesi Uzman güvenlik tavsiyesine birçok işletme tarafından gereksinim duyulması oldukça muhtemeldir. İdeal olarak, firma içinden deneyimli bir bilgi güvenlik danışmanı bunu sağlar. Organizasyonların tümü uzman danışman istihdam etmek istemeyebilir. Böyle durumlarda, sürekliliği temin etmek ve güvenlikle ilgili karar verme aşamalarında yardım sağlamak üzere, firma içi bilgi ve deneyimleri düzenlemesi için belirli bir kişinin tanımlanması tavsiye edilir. Ayrıca, kendi deneyimleri dışında kalan konularda uzman tavsiye sağlamak üzere uygun harici danışmanlara erişim sağlamalıdırlar. Bilgi güvenlik danışmanları veya benzer iletişim noktaları, bilgi güvenliğinin tüm alanlarında, kendilerinin veya harici tavsiyeleri kullanarak tavsiye sağlamak aracılığıyla görevlendirilmelidirler. Danışmanların güvenlik tehditlerini değerlendirme ve denetimler üzerindeki tavsiyelerinin kalitesi, organizasyonun bilgi güvenliğinin verimliliğini belirleyecektir. En üst seviyede verimlilik ve etki için, tüm organizasyon içinde yönetime doğrudan erişim izni verilmelidir. Bilgi güvenliği danışmanına veya benzer iletişim noktasına, şüpheli bir güvenlik olayının veya kırılmasının ardından, uzman bir kılavuzluk veya araştırma ile ilgili kaynak sağlamak için mümkün olan en erken aşamada danışılmalıdır. Birçok dahili güvenlik araştırması normal olarak yönetimin denetimi altında yürütülse bile, bilgi güvenliği danışmanına tavsiye almak, araştırmayı yönlendirmek ve idare etmek üzere gereksinim duyulabilir. 4.1.6 Organizasyonlar arasındaki işbirliği Kanun yürütme makamlarıyla, yasa düzenleyici kurullarla, bilgi hizmet sağlayıcılarıyla ve haberleşme teknisyenleriyle, bir güvenlik arızasının gerçekleşmesi durumunda uygun eylemlerin hızlıca harekete geçirilmesini ve tavsiyelerin alınabilmesini temin etmek üzere uygun ilişkiler kurulmalıdır. Benzer bir biçimde, güvenlik gruplarına üyelik ve endüstri forumları da düşünülmelidir. 6 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Organizasyona ait gizli bilgilerin yetkisiz kişilerin eline geçmediğini garanti etmek üzere güvenlik bilgilerinin karşılıklı değişimi sınırlandırılmalıdır. 4.1.7 Bilgi güvenliğinin bağımsız gözden geçirilmesi Bilgi güvenliği politikası belgesi (Madde 3.1), bilgi güvenliği için politika ve sorumlulukları belirler. Gerçekleşmesi, örgütsel uygulamaların uygun bir biçimde politikayı yansıttığına ve uygulanabilir ve etkili olduğuna dair güvence sağlamak için bağımsız olarak gözden geçirilmelidir (Madde 12.2). Böyle bir tetkik, uygun yeteneklere ve deneyime sahip olan dahili teftiş fonksiyonunca, bağımsız bir yönetici aracılığıyla veya bu gibi tetkiklerde uzman üçüncü taraf bir işletme tarafından gerçekleştirilebilir. 4.2 Üçüncü taraf erişiminin güvenliği Amaç: Üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin korunması. Organizasyonun bilgi işleme araçlarına üçüncü tarafların erişimi denetlenmelidir. Bu gibi, üçüncü tarafların erişimine gereksinim duyulan yerlerde, olası güvenlik etkilerini ve denetim gereklerini belirlemek için risk değerlendirmesi yürütülmelidir. Denetimler üçüncü tarafla yapılacak bir sözleşme içersinde karşılıklı olarak onaylanmalı ve tanımlanmalıdır. Üçüncü taraf erişimi, diğer katılımcıları da kapsayabilir. Üçüncü taraf erişimiyle ilgili görüşülen sözleşmeler, gerekli niteliğe sahip diğer katılımcıların atanmasına izni ve bu katılımcıların erişim koşullarını içermelidir. Bu standard, bu gibi sözleşmeler için ve bilgi işleme hizmetinin dışarıdan sağlanması düşünüldüğünde, temel olarak kullanılabilir. 4.2.1 Üçüncü taraf erişiminde risklerin tanımlanması 4.2.1.1 Erişim türleri Üçüncü tarafa verilen erişim türü özel bir önem taşır. Örneğin, bir ağ bağlantısı üzerinden erişimin riskleri, fiziki erişimle sonuçlanan risklerden farklıdır. Düşünülmesi gereken erişim türleri şunlardır: a) Fiziki erişim, örneğin ofislere, bilgi işlem odalarına, dosyalama bölümlerine; b) Mantıki erişim, örneğin organizasyonun veritabanına, bilgi sistemlerine. 4.2.1.2 Erişim sebepleri Üçüncü tarafların erişimine bir dizi sebepten dolayı izin verilmiş olabilir. Örneğin, bir organizasyona hizmet veren ve çalışma alanında yerleşik olmayan fakat fiziki ve mantıki erişim verilmiş üçüncü taraflar olabilir. Örneğin: a) Sistem seviyesine veya alçak seviye uygulama işlerliğine erişim gereksinimi olan donanım ve yazılım destek elemanları; b) Bilgi alışverişi yapan, bilgi sistemlerine erişen veya veritabanı paylaşan ticari ortaklar veya ortaklıkları (joint venture). Bilgi, eksik güvenlik yönetimiyle üçüncü tarafların erişimi aracılığıyla risk altına girebilir. Bir üçüncü tarafla ticari ilişki kurulması gerektiğinde, belirli denetimler için her gerekeni tanımlamak üzere bir risk değerlendirmesi yürütülmelidir. Bu risk değerlendirmesi, istenen erişim biçimini, bilginin değerini, üçüncü tarafça kullanılan denetimleri ve bu erişimin organizasyonun bilgi güvenliğine dahil edilmesini dikkate almalıdır. 7 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 4.2.1.3 Çalışma alanı anlaşmalı taraflar Sözleşmelerinde tanımlandığı gibi belirli bir süre çalışma alanında yerleşen anlaşmalı kişiler de güvenliği zayıflatmaya sebep olabilirler. Çalışma alanındaki üçüncü taraflara örnekler aşağıdakileri içerir: a) b) c) d) Yazılım ve donanım bakım ve destek görevlileri; Temizlik, yiyecek, güvenlik görevlileri ve diğer dışardan sağlanmış destek hizmet görevlileri; Öğrenci yerleştirmeleri ve diğer kısa dönemli personel alımları; Danışmanlar Bilgi işleme araçlarına, üçüncü tarafların erişimini yönetmek için hangi denetimlere gerek olduğunu anlamak çok önemlidir. Genel olarak, üçüncü taraf erişiminden doğan tüm güvenlik gerekleri veya dahili denetimler üçüncü taraf sözleşmesinde yansıtılmalıdır (Madde 4.2.2). Örneğin eğer bilginin gizliliğiyle ilgili özel bir gereksinim varsa, kapalı anlaşmalar kullanılabilir (Madde 6.1.3). Uygun denetimler gerçekleştirilene kadar veya erişim ve bağlantı için şartları tarif eden bir sözleşme imzalanana kadar, üçüncü taraflara, bilgi ve bilgi işleme araçlarına erişim izni verilmemelidir. 4.2.2 Üçüncü taraf sözleşmelerinde güvenlik gerekleri Üçüncü bir tarafın, işletme ile ilgili bilgi işleme araçlarına erişimini içeren düzenlemeler, organizasyonun politikalarına ve standardlarına uyumlu, tüm güvenlik gereklerini içeren ve bunlara başvuran resmi bir sözleşme olarak yapılmalıdır. Sözleşme, işletme ile üçüncü taraf arasında herhangi bir yanlış anlaşmanın olmadığını garanti etmelidir. İşletmeler tedarikçilerine kefil olmakla ilgili hoşnut olmalıdırlar. Aşağıdaki şartların sözleşmede yer alması göz önünde bulundurulmalıdır: a) Bilgi güvenliği üzerine genel politika; b) Aşağıdakileri içeren varlık koruması: 1) Bilgi ve yazılım dahil olmak üzere işletmeye ait varlıkları korumak için yöntemler; 2) Varlıklara ilişkin herhangi bir tehlikenin, örneğin veri kaybı veya veri değişikliğinin oluşup oluşmadığını belirlemek için yöntemler; 3) Sözleşme sonunda veya anlaşmanın sağlandığı noktada, sözleşme süresince bilginin ve kaynakların dönüşünün veya imha edilmesinin garanti edilmesi için denetimler; 4) Bütünlük ve elverişlilik; 5) Bilginin kopyalanması ve ifşa edilmesi üzerine kısıtlamalar. c) d) e) f) g) Geçerli kılınmak için her hizmetin bir tarifi; Hizmetin hedef seviyesi ve hizmetin kabul edilemez seviyesi; Uygun olan yerde personel aktarımı sağlama; Tarafların anlaşmadaki ayrı ayrı taahhütleri; Yasal konularla ilgili sorumluluklar, örneğin veri koruma hükümleri, özellikle eğer farklı ulusal yasa sistemlerince dikkat edilen sözleşme diğer ülkelerdeki organizasyonlarla işbirliğini içeriyorsa, farklı ulusal yasa sistemlerince dikkat edilen (Madde 12.1); h) Fikri mülkiyet hakları (IRP’ler) ve telif hakları senedi (Madde 12.1.2) ve herhangi bir işbirliği çalışmasının korunması (Madde 6.1.3); i) Aşağıdakileri içeren erişim denetimi çalışmaları: 1) İzin verilmiş erişim yöntemlerinin ve kullanıcı kimlikleri ve parolaları gibi özel tanımlayıcıların denetimi ve kullanımı; 2) Kullanıcı denetimi ve ayrıcalıkları için yetki uygulaması; 3) Geçerli kılınmış hizmetleri kullanmak için yetki verilmiş kişilerin bir listesini sağlama gereği ve böyle bir kullanımla ilgili haklarının ve ayrıcalıklarının ne olduğu; j) Doğrulanabilir performans ölçütlerinin tanımı, gözlenmesi ve raporlanması; k) Kullanıcı faaliyetlerini gözleme ve feshetme hakkı; l) Sözleşmeden doğan sorumlulukları teftiş etme veya üçüncü tarafça yürütülen teftişlere sahip olma hakkı; m) Sorun çözümleri için bir yükselme süreci kurulması; uygun yerlerde olasılık anlaşmalarının yapılması; n) Donanım ve yazılım yükleme ve bakımıyla ilgili sorumluluklar; o) Açık bir raporlama yapısı ve üzerinde anlaşmaya varılan raporlama biçimi p) Yönetim değişikliğiyle ilgili açık ve tanımlanmış bir süreç; q) Denetimlerin izlendiğini garanti etmek üzere gereken her türlü fiziki koruma ve denetim yöntemleri r) Yöntemler, süreçler ve güvenlikle ilgili kullanıcıların ve sistem yöneticilerinin eğitimi 8 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 s) Zararlı yazılımlara karşı korumayı garanti etmek için denetimler (Madde 8.3) t) Güvenlik arızalarının ve güvenlik kırılmalarının raporlanması, bildirilmesi ve araştırılmasıyla ilgili düzenlemeler; u) Üçüncü tarafların taşeronlarla bağlantısı 4.3 Dışarıdan kaynak sağlama Amaç : Bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından dışarıdan sağlandığında bilgi güvenliğinin sürdürülmesi. Dışarıdan kaynak sağlama düzenlemeleri, taraflar arasıdaki sözleşme içinde riskleri, bilgi sistemlerini, ağlar ve/veya masaüstü ortamları için güvenlik denetimlerini ve yöntemlerini göstermelidir. 4.3.1 Dışarıdan kaynak sağlama sözleşmelerindeki güvenlik gerekleri Yönetim ve bilgi sistemleri, ağlar ve/veya masaüstü ortamların tümü veya bir kısmı için dışarıdan kaynak sağlayan organizasyonların güvenlik gerekleri, taraflar arasında yapılması anlaşılmış bir sözleşme içinde belirtilmelidir. Örneğin sözleşme aşağıdakileri içermelidir: a) Yasal gereklerin nasıl karşılanacağı, örneğin veri koruma yöntemleri; b) Dışarıdan sağlanan kaynakla ilgisi olan tüm tarafların, taşeronlarda dahil, güvenlik sorumluluklarının farkında olduklarının garanti edilmesi için ne gibi düzenlemeler yer alacağı; c) İşletmenin ticari varlıklarıyla ilgili güvenilirliğinin ve gizliliğinin korunması ve kontrol edilmesinin nasıl sağlanacağı; d) İşletmenin hassas ticari bilgilerine yetkilendirilmiş kullanıcıların erişimini kısıtlamak ve yasaklamak için hangi fiziksel ve mantıksal denetimlerin kullanılacağı; e) Bir felaket karşısında hizmetlerin kullanılabilirliğinin nasıl sağlanacağı; f) Dışarıdan sağlanmış araçlar için hangi seviyede fiziksel güvenlik sağlanacağı; g) Teftiş etme hakkı. Madde 4.2.2‘de verilmiş şartlar da bu sözleşmenin bir parçası olarak düşünülmelidir. Sözleşme, taraflar arasında anlaşma sağlanmış bir güvenlik yönetimi planı içersinde güvenlik gereklerinin ve yöntemlerinin genişletilmesine izin vermelidir. Dışarıdan kaynak sağlama sözleşmeleri bazı karmaşık güvenlik soruları doğursa da bu uygulama kurallarının içerdiği denetimler, güvenlik yönetim planının yapısı ve içeriğinin anlaşmaya varılması için başlangıç noktası olarak hizmet edebilir. 5 Varlık sınıflandırması ve denetimi 5.1 Varlıklar için sorumluluk Amaç: İşletmeye ait varlıklar için uygun korunmanın sağlanması. Tüm büyük bilgi varlıklarıyla ilgili açıklama yapılmalı ve hepsinin atanmış bir sahibi olmalıdır. Varlıkların sorumluluğu, uygun korumanın sağlandığının garanti edilmesine yardımcı olur. Tüm büyük varlıklar için sahipler tanımlanmalıdır ve uygun denetimlerin sürdürülmesi için sorumluluk tayin edilmelidir. Denetimlerin gerçekleştirilmesine yönelik sorumluluklar için görevlendirmeler yapılabilir. Sorumluluk varlığa atanmış sahibe aittir. 9 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 5.1.1 Varlıkların Envanteri Varlıkların envanteri, etkin varlık korumasının gerçekleştiğini temin etmeye yardım eder, ve sağlık ve güvenlik, sigorta ve mali (varlık yönetimi) nedenler gibi diğer ticari amaçlar için gereksinim duyulabilir. Varlıkların envanterinin toplanması süreci, risk yönetiminin önemli bir parçasıdır. Bir işletmenin varlıklarını ve bu varlıklarla ilgili değer ve önemleri tanımlayabiliyor olması gerekir. Bu bilgiye dayalı olarak, bir işletme daha sonra varlıkların değeri ve önemiyle orantılı koruma seviyeleri sağlayabilir. Bir envanter, her bilgi sistemiyle bağlantılı olan önemli bilgi varlıklarıyla ilgili düzenlenmeli ve korunmalıdır. Her bir varlık açıkça tanımlanmalı ve varlık sahipleri ve güvenlik sınıflandırılmaları (Madde 5.2) mevcut bulunduğu yerle beraber (bu kayıp ve hasarlar giderilmeye çalışıldığında önemlidir) onaylanmalı ve belgelendirilmelidir. Bilgi sistemleriyle ilgili varlıklara örnekler şunlardır: a) Bilgi varlıkları: veritabanları ve veri dosyaları, sistem belgeleri, kullanıcı el kitapları, eğitim malzemeleri, işlemsel ve desteksel yöntemler, süreklilik planları, yedek anlaşmaları, arşivlenmiş bilgi; b) Yazılım varlıkları: uygulama yazılımları, sistem yazılımları, geliştirme araçları ve faydaları; c) Fiziksel varlıklar: bilgisayar bileşenleri (işlemciler, ekranlar, diz üstü bilgisayarlar, modemler), manyetik ortamlar (kayıt cihazları ve diskler), diğer teknik araçlar (güç kaynakları, havalandırma üniteleri), mobilya, yerleşim düzeni; d) Hizmetler: bilgi işleme ve haberleşme hizmetleri, genel faydalar; örneğin ısınma, ışıklandırma, elektrik, havalandırma. 5.2 Bilgi Sınıflandırması Amaç: Bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesi. Bilgi, korunma gereksiniminin, önceliklerinin ve derecesinin belirlenmesi için sınıflandırılmalıdır. Bilgi birçok değişik önem ve hassasiyet derecesine sahiptir. Bazı öğeler, ilave korunma seviyesine veya özel olarak ele alınmaya gerek duyabilir. Bilgi sınıflandırma sistemi, uygun koruma seviyesi tanımlanması için kullanılmalı ve özel işlem ölçümlerine gereksinimle iletişim kurmalıdır. 5.2.1 Sınıflandırma kılavuzları Bilgi için sınıflandırmalar ve ilgili koruyucu denetimler, bilgi paylaşımı veya kısıtlanması için ticari gereksinimleri ve bu gibi gereksinimlerle ilişkili ticari etkileri, örneğin bilgiye yetkisiz erişim ve hasarı, dikkate almalıdır. Genel olarak, bilgiye verilmiş sınıflandırma bu bilginin nasıl ele alınacağını ve korunacağını belirlemenin kısa yoludur. Bilgi ve sınıflandırılmış veriyi ele alan sistemlerden oluşan çıktılar, işletme için değerine ve hassasiyetine göre etiketlendirilmelidir. Bilgiyi işletme için olan önemine göre de etiketlendirmek ayrıca uygun olabilir, örneğin güvenilirliğine ve elverişliliğine göre. Bilgi çoğu kez belirli bir süre geçtikten sonra hassas ve önemli olmaktan çıkar, örneğin bilginin umumi olarak duyurulmasıyla birlikte. Bu açılar dikkate alınmalıdır, çünkü gerektiğinden fazla sınıflandırma gereksiz ilave ticari harcamalara sebep olabilir. Sınıflandırma kılavuzu, bilgiyle ilgili verilmiş her öğenin sınıflandırılmasına, her zaman uygulanmasına gerek olmadığının ve önceden belirlenmiş politikalara göre değişebileceğinin gerçeğinin önceden tahmin edilmesine izin vermelidir (Madde 9. 1). Sınıflandırma gruplarının sayısı ve bunların kullanımından sağlanacak faydalar göz önünde bulundurulmalıdır. Oldukça karmaşık planlar, hantal ve kullanım açısından ekonomik ve pratik olmayan bir hal alabilirler. Diğer işletmelerden gelen belgeler üzerindeki sınıflandırma etiketleri dikkatlice yorumlanmalıdır çünkü diğer işletmeler aynı veya benzeri isimlendirilmiş etiketler için farklı tarifler yapmış olabilirler. Bilgiye ait bir öğenin, örneğin bir belgenin, veri kaydının, veri dosyası veya disketinin, sınıflandırılmasının ve bu sınıflandırmanın belirli zamanlarda gözden geçirilmesinin sorumluluğu yaratıcıda veya bilgiye atanmış sahibindedir. 10 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 5.2.2 Bilgi etiketleme ve işleme İşletme tarafından sahiplenilmiş sınıflandırma planına göre bilgi etiketleme ve işleme için bir dizi uygun sürecin tanımlanması önemlidir. Bu yöntemler bilgi varlıklarını, fiziki ve elektronik ortamda kapsaması gerekir. Her sınıflandırma için, işleme yöntemleri, aşağıdaki bilgi işleme faaliyetleri biçimlerini kapsayacak bir biçimde tanımlanmalıdır: a) b) c) d) e) Kopyalama; Depolama; Posta, faks ve elektronik mesaj aracılığıyla aktarma Cep telefonu, sesli mesaj, telefonlar gibi sözlü kelimelerle aktarımı; Yok etme; Hassas ve önemli olarak sınıflandırılan bilgileri içeren sistemlerden çıktılar, uygun sınıflandırma etiketi (çıktı içinde) taşımalıdır. Etiketleme, Madde 5.2.1’de belirlenen kurallara uygun olarak yapılmış sınıflandırmayı yansıtmalıdır. Göz önünde bulundurulması gereken öğeler, basılı raporları ekran görüntülerini, kayıtlı ortamı (kayıt cihazları, diskler, CD’ler, kasetler), elektronik mesajları ve dosya aktarımlarını içerir. Fiziksel etiketler genelde, etiketlemenin en uygun biçimidir. Bununla beraber elektronik biçimdeki belgeler gibi bazı bilgi varlıkları, fiziksel olarak etiketlenemez ve elektronik anlamda etiketlemenin kullanılması gerekir. 6 Personel güvenliği 6.1 İş tanımlarındaki ve kaynaklardaki güvenlik Amaç: İnsan hatalarını, hırsızlığı, sahtekarlığı ve araçların yanlış kullanılması risklerinin azaltılması. Güvenlik sorumlulukları işe alma sırasında belirtilmeli, sözleşmeler içinde yer almalı ve bir kişinin işe alınması süresince gözlenmelidir. Olası işe alınmalar uygun bir şekilde elenmeli (Madde 6.1.2), özellikle hassas görevler için dikkat edilmelidir. Bilgi işleme araçlarının tüm çalışanları ve üçüncü taraf kullanıcılar bir gizlilik (kapalılık) anlaşması imzalamalılardır. 6.1.1 İş sorumluluklarına güvenliğin dahil edilmesi Güvenlik rolleri ve sorumlulukları, organizasyonun bilgi güvenliği politikasında (Madde 3.1) sunulduğu gibi, uygun olan yerde belgelenmelidir. Bunlar, güvenlik politikasını gerçekleştirmek ve sürdürmek için her türlü genel sorumluluğun yanında, belirli varlıkların korunması veya belirli güvenlik işlemlerinin veya faaliyetlerinin yürütülmesi için her özel sorumluluğu içermelidir. 6.1.2 Personel eleme ve personel politikası Sürekli personel üzerinde doğruluk kontrolü, işe başvurulduğu zaman yapılmalıdır. Bu aşağıdaki denetimleri içermelidir: a) b) c) d) Tatminkar kişisel referansların varlığı, örneğin bir işle ilgili, bir şahsi; Başvuranın özgeçmişinin kontrolü (bütünlük ve doğruluk); İddia edilen akademik ve uzman niteliklerin teyidi; Bağımsız kimlik kontrolü (pasaport ve benzeri belgeler). Bir işin ya ilk başvuruda ya da terfide, kişinin bilgi işleme araçlarına erişimini içerdiği yerde ve özellikle bunlar eğer hassas bilgileri işlemeyi içeriyorsa örneğin mali bilgi veya yüksek derecede gizli bilgiyi, işletme ayrıca saygınlık kontrolü yapmalıdır. Oldukça fazla yetki gerektiren pozisyonlardaki personel için bu kontrol belirli aralıklarla tekrarlanmalıdır. Benzer bir eleme süreci anlaşmalı taraflarla ve geçici personelle de gerçekleştirilmelidir. Bu elemanlar bir acente aracılığıyla sağlanıyorsa, personel için acente ile yapılan sözleşme, acentenin sorumluluklarını ve eğer eleme sonuçlandırılamazsa veya sonuçlar şüpheye veya düşünmeye sebep olursa izlemeleri gereken ihbar yöntemlerini içermelidir. 11 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Yönetim, hassas sistemlere erişim için yetkilendirilmiş yeni ve deneyimsiz personel için gereken gözetimleri değerlendirmelidir. Tüm personelin çalışmaları, kıdemli personel tarafından belirli zaman dilimlerine gözden geçirilmeli ve onaylama yöntemlerinden geçirilmelidir. Yöneticiler personellerinin kişisel şartlarının da çalışmalarını etkileyebileceğinin farkında olmalıdırlar. Kişisel veya mali sorunlar, davranışlarındaki veya yaşam şekillerindeki değişiklikler, tekrarlama dalgınlığı ve stres veya depresyon belirtileri, sahtekarlığa, hırsızlığa, hataya veya diğer güvenlik arızalarına yöneltebilir. Bu bilgiyi, yasal yetki sınırları çerçevesi içinde yer alan uygun hükümlere göre ele alınmalıdır. 6.1.3 Gizlilik anlaşmaları Gizlilik veya kapalılık (ifşa etmeme) anlaşmaları, bilginin gizli veya sır olduğunun bildirimini vermek için kullanılır. Çalışanlar normalde böyle bir anlaşmayı işe alınmalarının öncelikli şartları ve koşullarının bir parçası olarak imzalamalılardır. Varolan bir sözleşmeyle (güvenlik anlaşması dahil) kapsanmamış olan geçici personel ve üçüncü taraf kullanıcılardan, bilgi işleme araçlarına erişim verilmeden önce bir güvenlik anlaşması imzalamaları istenmelidirler. İşe alma veya sözleşme koşullarında değişiklikler olduğunda, özellikle personel işletmeden ayrılmak üzere olduğunda veya sözleşmeler sona ermek üzere olduğunda, gizlilik anlaşmaları tekrar gözden geçirilmelidir. 6.1.4 İşe alma koşulları ve şartları İşe almanın koşul ve şartları, çalışanın bilgi güvenliği ile ilgili sorumluluklarını belirtmelidir. Uygun olan yerde, istihdam sona erdikten sonra bu sorumluluklar tanımlanmış bir zaman dilimi için devam etmelidir. Çalışanın güvenlik gereklerine uymaması karşısında ne gibi önlemler alınacağını da içermelidir. Çalışanın yasal sorumlulukları ve hakları, örneğin telif hakları yasaları veya veri koruma hükümleri gibi, açıklanmalı ve işe almanın koşulları ve şartları içersinde yer almalıdır. Sınıflandırma için sorumluluk ve işverenin verilerinin yönetimi de ayrıca yer almalıdır. Uygun olan her zaman, işe alma koşulları ve şartları, bu sorumlulukların işletmenin çevresi dışına genişletildiğini ve normal çalışma saatlerinin, örneğin ev çalışması şartlarında, dışına genişletildiğini belirtmelidir (Madde 7.2.5 ve Madde 9.8.1) 6.2 Kullanıcı eğitimi Amaç: Kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesi. Kullanıcılar, güvenlik yöntemlerinde ve bilgi işleme araçlarının doğru kullanımında, olası güvenlik risklerini azaltmak için eğitilmelidirler. 6.2.1 Bilgi güvenliği eğitimi ve öğretimi İşletmenin tüm çalışanları ve ilgili yerlerde, üçüncü taraf kullanıcılar, organizasyona ait politikalar ve yöntemlerle ilgili uygun eğitim ve düzenli güncelleme almalıdırlar. Bu, bilgiye veya hizmetlere erişimi tayin etmeden önce, güvenlik gereklerini, yasal sorumlulukları ve iş denetimlerinin yanı sıra, oturuma giriş yöntemleri, yazılım paketlerinin kullanımı gibi bilgi işleme araçlarının doğru kullanımının eğitimini almayı içerir. 12 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 6.3 Güvenlik arızalarına ve bozulmalarına cevap verilmesi Amaç: Güvenlik arızalarından ve bozulmalarından meydana gelen hasarın en aza indirilmesi ve bu gibi olayların gözlenmesi ve bunlardan öğrenilmesi. Güvenliği etkileyen arızalar mümkün olan en kısa sürede uygun yönetim kanalları kullanılarak rapor edilmelidir. Tüm çalışanlar ve sözleşmeli kimseler, işletmeye ait varlıkların güvenliği üzerinde etkisi olabilecek farklı biçimdeki arızaları (güvenlik kırılması, tehdit, zayıflama veya bozulma) rapor etme yöntemlerinden haberdar olmalıdırlar. Bu kişilerden, gözlemlenmiş ve şüphelenilmiş beklenmedik her olayı, mümkün olan en kısa süre içince belirlenmiş iletişim noktalarına rapor etmeleri istenmelidir. İşletme, güvenlik kırılmaları suçu işleyen çalışanlarla ilgilenmek üzere resmi bir disiplin süreci kurmalıdır. Arızaları uygun bir şekilde belirleyebilmek için, olay gerçekleştikten sonra mümkün olan en kısa sürede bulguları toplamak gerekli olabilir (Madde 12.1.7). 6.3.1 Güvenlik arızalarının raporlanması Güvenlik arızaları mümkün olan en kısa sürede uygun yönetim kanalları aracılığıyla rapor edilmelidir. Arıza raporunun alınması üzerine eylem planı belirleyen bir arıza cevap verme yöntemiyle birlikte resmi bir raporlama prosedürü oluşturulmalıdır. Tüm çalışanlar ve sözleşmeli kişiler, güvenlik arızalarının raporlanması yönteminden haberdar olmalı ve bu gibi olayları mümkün olan en kısa sürede raporlamaları istenmelidir. Arızaların raporlanmasının sonuçlarının bildirildiği temin etmek için, arıza giderildikten ve kapandıktan sonra, uygun geribildirim işlemleri gerçekleştirilmelidir. Bu arızalar, ne olabilirin, nasıl cevap verilebilirin ve bunlardan gelecekte nasıl kaçınılabilirin (Madde 12.1.7) örnekleri olarak, kullanıcı haberdar olma eğitimlerinde (Madde 6. 2) kullanılabilir. 6.3.2 Güvenlik zayıflıklarının raporlanması Bilgi hizmetlerinin kullanıcıları, sistemlerde veya hizmetlerde meydana gelen şüphelenilmiş veya gözlemlenmiş her türlü güvenlik zayıflıklarını veya tehditleri not etmeleri ve rapor etmeleri istenmelidir. Bu kişiler, bu olayları mümkün olan en kısa sürede ya yönetime ya da doğrudan hizmet sağlayıcılarına rapor etmelidirler. Kullanıcılar, hiçbir şart altında, şüphelenilmiş zayıflığı kanıtlama girişiminde bulunmamaları hakkında bilgilendirilmelidirler. Bu kendi güvenlikleri içindir çünkü zayıflığın kontrolü sistemin olası yanlış kullanılması olarak yorumlanabilir. 6.3.3 Yazılım bozulmalarının raporlanması Yazılım bozulmalarının raporlanması için prosedürler belirlenmelidir. Aşağıdaki eylemler göz önüne alınmalıdır. a) Sorunun belirtileri ve ekranda görünen her mesaj not edilmelidir. b) Bilgisayar tecrit edilmelidir, eğer mümkünse kullanımı durdurulmalıdır. Temasa geçilecek uygun kişi hemen uyarılmalıdır. Eğer donatımın incelenmesi gerekiyorsa, tekrar güç verilmeden önce işletmeye ait tüm bağlantılar kesilmelidir. Disketler diğer bilgisayarlara aktarılmalıdır. c) Konu hemen bilgi güvenliği yöneticisine rapor edilmelidir. Kullanıcılar, eğer yetkili değillerse, şüphelenilmiş yazılımı kaldırma girişiminde bulunmamalıdırlar. Uygun bir şekilde eğitilmiş ve deneyimli elemanlar düzeltmeleri gerçekleştirmelidirler. 6.3.4 Arızalardan öğrenmek Arızaların ve bozulmaların çeşitlerini, hacimlerini ve maliyetlerini hesaplayabilmek ve gözleyebilmek için teknikler olmalıdır. Bu bilgiler, tekrarlamaları ve yüksek etkili arızaları ve bozulmaları tanımlamada kullanılmalıdır. Bu, sıklık, hasar ve gelecekteki oluşumların maliyeti için artırılmış veya ilave denetimlere ihtiyacı veya güvenlik politikası gözden geçirme sürecinde (Madde 3.1.2) ele alınması gereken gereksinimlerin göstergesi olabilir. 13 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 6.3.5 Disiplin süreci İşletmeye ait güvenlik politikalarını ve yöntemlerini ihlal eden çalışanlar için resmi bir disiplin süreci olmalıdır (Madde 6.1.4 ve delil tutulması ile ilgili Madde 12.1.7). Böyle bir süreç güvenlik yöntemlerini ihlal etme eğiliminde olan çalışanlar için caydırıcı bir güç olabilir. Ayrıca, bu süreç, ciddi ve sürekli güvenlik arızası suçu işlemiş olmasından şüphe edilen çalışanlara doğru ve adil bir şekilde muamele edilmesini temin etmelidir. 7 Fiziki ve çevresel güvenlik 7.1 Güvenli bölgeler Amaç: İş alanına ve bilgilerine yetkisiz erişim, hasar ve müdahalenin engellenmesi. Önemli ve hassas ticari bilgi işleme araçları güvenli bir yere yerleştirilmeli, uygun güvenlik engelleri ve giriş denetimleriyle, tanımlanmış güvenli bir çevre aracılığıyla korunuyor olmalıdır. Bu araçlar, fiziksel olarak yetkisiz erişimlerden, hasarlardan ve müdahalelerden korunmalıdır. Sağlanan koruma, tanımlanmış risklerle orantılı olmalıdır. Temiz masa ve temiz ekran politikası, belgelere, ortama ve bilgi işleme araçlarına yetkisiz erişim veya hasar risklerini azaltmak için tavsiye edilmektedir. 7.1.1 Fiziki güvenlik çevresi Fiziki korunma, iş ve bilgi işleme araçları çevresinde sayısız fiziki engeller yaratarak sağlanabilir. Her bir engel, her biri sağlanan toplam korumayı arttıran bir güvenlik çevresi oluşturur. İşletmeler güvenlik çevrelerini, bilgi işleme araçları içeren alanları korumak için kullanmalıdırlar (Madde 7.1.3). Güvenlik çevresi, bir engel oluşturan, örneğin bir duvar, kart kontrollü giriş kapısı veya bir kişi tayin edilmiş danışma masası gibi her şeydir. Her bir engelin yerleştirilmesi ve gücü, risk değerlendirmesinin sonucuna bağlıdır. Aşağıdaki kılavuz ve denetimler göz önüne alınmalı ve uygun olan yerlerde gerçekleştirilmelidir. a) Güvenlik çevresi açıkça tarif edilmelidir. b) Bilgi işleme araçlarının bulunduğu bina veya alan fiziksel olarak araştırılmalıdır. (Örneğin, çevrede veya alan içinde zorla içeriye girmenin kolayca olabileceği herhangi bir boşluk bulunmamalıdır). Alanın dışını çevreleyen duvarlar dayanıklı inşa edilmiş olmalı ve tüm harici duvarlar yetkisiz erişime karşı uygun bir şekilde korunmuş olmalıdır, örneğin denetim araçları, parmaklıklar, uyarı sinyalleri, kilitler gibi. c) Bir danışma masası veya alana veya binaya erişimi denetleyecek diğer fiziki yöntemler yerleştirilmelidir. Alana veya binaya erişim sadece yetkili kişilerle sınırlandırılmalıdır. d) Fiziki engeller, eğer gerekirse, yetkisiz girişi ve yangın veya sel gibi afetlerin sebep olduğu çevresel kirlenmeyi engellemek için temelden çatıya kadar genişletilmelidir. e) Güvenlik çevresindeki tüm yangın kapıları, uyarı sinyalleriyle donatılmalı ve kapılar sıkıca kapalı olmalıdır. 7.1.2 Fiziki giriş denetimleri Güvenli alanlar, sadece yetkili personelin erişimine izin verildiğinin temin edilmesi için uygun giriş denetimleriyle korunmuyor olmalıdırlar. Aşağıdaki denetimler göz önüne alınmalıdır. a) Güvenli alanlarda ziyaretçilere eşlik edilmeli veya üstleri aranmalıdır ve giriş ve çıkış tarihleri ve saatleri not edilmelidir. Sadece belirli, yetkili amaçlar çerçevesinde erişimlerine izin verilmeli ve alana ait güvenlik gereklerinin direktifleriyle ilgili ve acil durum yöntemleriyle ilgili bilgilendirilmelidirler. b) Hassas bilgilere ve bilgi işleme araçlarına erişim denetlenmeli ve sadece yetkili kullanıcılara sınırlı olmalıdır. Kimlik doğrulama denetimleri, örneğin giriş kartı ve parola, tüm erişimleri yetkilendirmek ve geçerli kılmak için kullanılmalıdır. Tüm erişimlerin bir kontrol zinciri güvenli olarak korunmalıdır. c) Tüm personelden, görünür biçimde kimlik kartı taşımaları istenmelidir ve eşlik edilmeyen bir yabancıya veya kimlik kartı taşımayan birine rastlandığında hemen bildirmeleri teşvik edilmelidir. d) Güvenli alanlara erişim hakları düzenli aralıklarla gözden geçirilmeli ve güncelleştirilmelidir. 7.1.3 Bürolar, odalar ve araçların güvenlik altına alınması Güvenli bir alan, kilitlenmiş bir büro veya içinde birçok oda bulunan, kilitlenmiş olan ve kilitlenebilir dolaplar veya korumalar içeren fiziki bir güvenlik çevresi olabilir. Güvenli bir alanın seçimi veya tasarımı, yangın, sel, patlama, askeri saldırı ve diğer biçimdeki doğal veya insan yapımı afetlerden meydana gelebilecek hasar ihtimallerini göze almalıdır. Ayrıca ilgili sağlık ve korunma standardlarına ve kurallarına da dikkat edilmelidir. 14 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Ayrıca komşu çevrelerden, örneğin diğer alanlardan su borusu akıntısı gibi, gelebilecek olan güvenlik tehditleri de göz önünde bulundurulmalıdır. Aşağıdaki denetimler dikkate alınmalıdır. a) Herkes tarafından erişimi engellemek için anahtar araçlar yerleştirilmelidir. b) Binalar göze çarpmayan bir şekilde olmalıdır ve bilgi işleme faaliyetlerinin, bina içinde veya dışında, varlığını tanımlayan belirgin bir işaret olmaksızın amaçlarıyla ilgili en az göstergeyi vermelidir. c) Fotokopiler, faks makinaları gibi destek fonksiyonları ve donanımları, bilgiyi tehlikeye atan erişim taleplerini engellemek için güvenli alan içine uygun bir şekilde yerleştirilmiş olmalıdır. d) Pencereler için özellikle de zemin kat seviyesinde ihmal edilmiş ve harici koruma göz önüne alındığında, kapılar ve pencereler kilitlenmiş olmalıdır. e) Profesyonel standardlarda uygun izinsiz girişleri tespit sistemi ve düzenli olarak denetlenmesi, tüm harici kapıları ve erişilebilir pencereleri kapsayacak şekilde yerleştirilmelidir. Boş alanlar her zaman uyarı sinyalleriyle donatılmış olmalıdır. Kapsama, bilgi işlem odası veya haberleşme odaları gibi diğer alanları da kapsamalıdır. f) İşletme tarafında yönetilen bilgi işleme araçları, fiziksel olarak üçüncü taraflarca yönetilenlerden ayrılmış olmalıdır. g) Hassas bilgi işleme araçlarının yerini gösteren telefon rehberi veya dahili telefon kitapçıkları, başkaları tarafından erişilebilir yerlerde olmamalıdır. h) Tehlikeli ve patlamaya hazır maddeler, güvenli alandan uygun bir uzaklıkta güvenli bir şekilde toplanmalıdır. Kırtasiye malzemeleri gibi tedarikler, gerek duyulmadıkça güvenli alan içinde toplanmamalıdır. i) Yedek donanımlar ve yedekleme ortamı, ana alanda oluşabilecek felaketler sonucundaki yıkımı önlemek üzere uygun bir uzaklıkta yerleştirilmelidir. 7.1.4 Güvenli alanlarda çalışmak Güvenli bir alanın güvenliğini genişletmek için ilave denetimler ve kılavuzlar gerekebilir. Bunlar, güvenli alanda çalışan personel veya üçüncü tarafların denetiminin yanında burada yer alan üçüncü taraf faaliyetlerinin denetimini de içerir. Aşağıdaki denetimler göz önünde bulundurulmalıdır. a) Personel, güvenli alanın varlığını ve içerde yürütülen faaliyetleri, bilmesi gerektiği kadarından haberdar edilmelidir. b) Güvenlik sebeplerinden dolayı ve kötü niyetli faaliyetlere fırsat vermemek için güvenli alanlarda denetlenmemiş çalışmalardan kaçınılmalıdır. c) Boş güvenli alanlar fiziksel olarak kilitlenmeli ve düzenli aralıklarla kontrol edilmelidir. d) Üçüncü taraf destek hizmetleri personeline sadece gerekli olduğunda güvenli alanlara veya hassas bilgi işleme araçlarına sınırlandırılmış erişim verilmelidir. Bu erişim yetkilendirilmeli ve gözlemlenmelidir. Alanlar arasında, güvenlik çevresi içerisinde farklı güvenlik gerekleriyle birlikte fiziki erişimi denetlemek için ilave engellere ve çevrelere gerek duyulabilir. e) Yetki verilmediği sürece, fotoğraflama, görüntüleme, ses kaydetme gibi kayıt araçlarına izin verilmemelidir. 7.1.5 Ayrılmış dağıtım ve yükleme alanları Dağıtım ve yükleme alanları denetlenmeli ve eğer mümkünse yetkisiz erişimi engellemek için bilgi işleme araçlarından ayrılmalıdır. Bu gibi bölgeler için güvenlik gerekleri risk değerlendirmesi aracılığıyla belirlenmelidir. Aşağıdaki denetimler göz önünde bulundurulmalıdır . a) Bina dışından bulundurma bölgesine erişim, tanımlanmış ve yetkili personelle sınırlandırılmalıdır. b) Bulundurma bölgesi, dağıtım elemanlarının binanın diğer kısımlarına erişimi kazanmaksızın malzemeleri boşaltabilecekleri şekilde tasarlanmış olmalıdır. c) Dahili kapı açık olduğunda, bulundurma bölgesine ait harici kapı(lar)ın güvenli olması gerekmektedir. d) Dışarıdan gelen malzemeler, bulundurma bölgesinden kullanım noktasına taşınmadan önce, olası tehlikelere [Madde 7.2.1d)] karşı kontrol edilmelidir e) Dışarıdan gelen malzemeler, eğer uygunsa alana girişinde kaydedilmelidir (Madde 5.1) 15 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 7.2 Teçhizat güvenliği Amaç: Varlıkların kayıplarını, hasar veya tehlikelerini ve ticari faaliyetlerdeki kesilmenin önlenmesi. Teçhizatlar güvenlik tehditlerinden ve çevresel tehlikelerden fiziki olarak korunmalıdır. Teçhizatların korunması (alan dışında kullanılanlar dahil) veriye yetkisiz erişim riskini azaltmak ve kayıp ve hasara karşı korumak için gereklidir. Bu ayrıca teçhizatların yerleştirilmesini ve düzenini de göz önünde bulundurmalıdır. Tehlikelere veya yetkisiz erişimlere karşı korumak ve elektrik kaynağı, kablo altyapısı gibi destek araçlarını koruma altına almak için özel denetimlere gerek duyulabilir. 7.2.1 Donanım yerleştirilmesi ve koruma Teçhizatlar, çevresel tehditler ve tehlikelerden oluşan riskleri ve yetkisiz erişim fırsatlarını azaltmak üzere yerleştirilmeli ve korunmalıdır. Aşağıdaki denetimler göz önünde bulundurulmalıdır. a) Teçhizatlar iş alanları içinde gereksiz erişimi azaltmak üzere yerleştirilmelidir. b) Hassas veriler tutan bilgi işleme ve yükleme araçları, kullanımları sırasında gizlice izlenme riskini düşürmek üzere yerleştirilmelidir. c) Özel koruma gerektiren öğeler, gereken genel koruma seviyesini düşürmek için ayrılmalıdır. d) Denetimler, aşağıdaki olası tehditlerle ilgili riskleri en aza indirmek için kurulmalıdır: 1) Hırsızlık 2) Yangın; 3) Patlamalar; 4) Duman; 5) Su, sel (veya kaynak bozulması); 6) Kirlilik; 7) Titreşim; 8) Kimyasal etkiler; 9) Elektrik kaynağı karışmaları; 10) Elektromanyetik radyasyon. e) Bir organizasyon, yiyecek, içecek ve sigara içme politikalarını bilgi işleme araçlarına yakınlığına göre gözden geçirmelidir. f) Çevresel şartlar, bilgi işleme araçlarının faaliyetlerini geri dönülemez biçimde etkileyen şartlara göre gözlemelidir. g) Endüstriyel çevreler içindeki teçhizatlar için, dokunmaya duyarlı klavyeler gibi özel koruma yöntemleri düşünülmelidir. h) Yakın çevrede oluşan felaketler örneğin komşu binada çıkan bir yangın, çatıdan akan su veya zemin kat seviyesinden aşağıdaki katlara akan su veya caddede olan bir patlama göz önünde bulundurulmalıdır. 7.2.2 Güç kaynakları Teçhizatlar, güç kaynağı bozulmalarından veya diğer olağandışı elektriksel olaylardan korunmalıdır. Donanım üreticisinin belirttiği özelliklere uygun elektrik kaynağı sağlamalıdır. Güç kaynaklarının sürekliliğini kazanmak için seçenekler aşağıdakileri içerir : a) Güç kaynağındaki tek noktada bozulmaları engellemek için çoklu besleme; b) Kesintisiz güç kaynakları (UPS); c) Yedekleme jeneratörü. Sırayla kapatılmayı veya sürekli çalışmayı desteklemek için, bir UPS, önemli iş faaliyetlerini destekleyen teçhizatlar için tavsiye edilir. Olasılık planları, UPS’in bozulması halinde alınacak önlemleri de kapsamalıdır. UPS donanımı, uygun kapasiteye sahip olduğunun ve üreticinin tavsiyelerine uygun olarak test edildiğinin garanti edilmesi için düzenli olarak kontrol edilmelidir. Bir yedekleme jeneratörü, eğer işleme sürekli bir güç kesilmesine rağmen devam etmek zorunluluğu varsa düşünülmelidir. Eğer kurulmuşsa, jeneratörler üreticilerin talimatlarına uygun olarak kontrol edilmelidir. Jeneratörün belirli bir sürede çalışabileceğini garanti etmek için uygun yakıt tedariki mevcut olmalıdır. 16 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Buna ek olarak, acil güç anahtarları, acil durumlarda hızlı güç kapatılmasını kolaylaştırmak için, donanım odalarının içindeki acil çıkışlarının yanına yerleştirilmelidir. Ana güç kesintisinin olma olasılığına karşılık, acil ışıklandırma sağlanmalıdır. ışıklandırma koruması tüm binaya uygulanmalıdır ve ışıklandırma koruma filtreleri tüm harici haberleşme hatlarına takılmalıdır. 7.2.3 Kablo güvenliği Veri taşıyan veya bilgi hizmetlerini destekleyen güç ve haberleşme kabloları, durdurmalardan veya hasarlardan korunmalıdır. Aşağıdaki denetimler göz önünde bulundurulmalıdır. a) Bilgi işleme araçlarına giden güç ve haberleşeme hatları mümkün olan yerlerde yer altından geçirilmelidir veya uygun alternatif korumalar sağlanmalıdır. b) Ağ kabloları yetkisiz durdurmalardan veya hasarlardan korunmalıdır. Örneğin elektrik tellerini muhafaza eden borular kullanılarak veya umumi alanlara giden yollardan kaçınarak. c) Karışmayı engellemek için güç kabloları, haberleşme kablolarından ayrılmalıdır. d) Hassas ve önemli sistemler için düşünülmesi gereken ileri denetimler aşağıdakileri içerir: 1) 2) 3) 4) Zırhla kaplanmış elektrik borularının döşenmesi ve teftiş ve sınır noktalarında kilitli odalar ve kutular; Alternatif yolların ve aktarım ortamlarının kullanılması; Fiber optik kabloların kullanılması; kablolara eklenmiş olan yetkisiz aygıtların temizlenmesi; 7.2.4 Donanım bakımı Teçhizatların, elverişliliğinin ve güvenilirliğinin garanti edilmesi için doğru bir biçimde bakımı sağlanmalıdır. Aşağıdaki denetimler göz önünde bulundurulmalıdır: a) b) c) d) Teçhizatların tedarikçinin tavsiye ettiği servis aralıklarına ve talimatlara uygun olarak bakımı yapılmalıdır. Sadece yetkili bakım personeli, onarımları ve servis teçhizatlarını gerçekleştirmelidir Tüm şüpheli ve mevcut hatalar ve tüm engelleyici ve düzeltici bakımlara ait kayıtlar tutulmalıdır. Teçhizatlar bakım için dışarıya gönderildiklerinde uygun denetimler yapılmalıdır (7.2.6 silinmiş, temizlenmiş ve üstüne yazılmış verilerle ilgili) Sigorta poliçeleri tarafından istenen tüm gerekler uygulanmalıdır. 7.2.5 Çevre dışı teçhizatların güvenliği Sahibine bakmaksızın, bilgi işleme için organizasyonun çevresi dışında her donanımın kullanımı yönetim tarafından yetkilendirilmelidir. Sağlanan güvenlik organizasyonun çevresi dışında çalışmanın risklerini dikkate alarak, aynı amaçla alan içinde kullanılan teçhizatlarla eşit olmalıdır. Bilgi işleme teçhizatları, ev çalışması için tutulan veya normal iş yerleşiminden uzağa taşınan her çeşit kişisel bilgisayarları, düzenleyicileri, cep telefonlarını, kağıt veya diğer belgeleri içerir. Aşağıdaki kılavuzlar göz önüne alınmalıdır. a) Çevre dışına çıkarılmış donanım ve ortamlar, umumi alanlarda başıboş bırakılmamalıdır. taşınabilir bilgisayarlar, el bavulu gibi aşınmalı ve seyahat ederken mümkün olan yerlerde gizlenmelidir. b) Donanımın korunması ile ilgili üreticinin talimatları her zaman izlenmelidir, öreğin güçlü elektromanyetik alanlarda meydana gelen çıkışlara karşı. c) Ev çalışması denetimleri, risk değerlendirmesi ve uygun denetimler aracılığıyla belirlenmelidir. örneğin kilitlenebilir dosya dolapları, temiz masa politikası ve bilgisayarlar için erişim denetimleri. d) Dışarıdaki teçhizatları korumak için doğru sigorta kapsamları yer almalıdır. Güvenlik riskleri, örneğin hasar, hırsızlık ve izinsiz dinleme, yerleşim yerleri arasında önemli derecede değişiklik gösterebilir ve en uygun denetimlerin belirlenmesinde dikkate alınmalıdır. Hareketli teçhizatların korunmasına dair diğer konular Madde 9.8.1’de bulunabilir. 7.2.6 Teçhizatların güvenli düzenlenmesi ve tekrar kullanımı Bilgi, teçhizatların dikkatsizce düzenlenmesi ve tekrar kullanımıyla tehlikeye girebilir (Madde 8.6.4). Hassas bilgiler içeren depolama aygıtları, standard silme fonksiyonunu kullanmak yerine, fiziksel olarak yok edilmeli veya güvenli olarak üstüne yazılmalıdır. Depolama ortamı içeren, örneğin takılmış sabit diskler, teçhizatların tüm öğeleri, tüm hassas verilerin ve lisanslı yazılımların düzenlenmeden önce kaldırılmış olduğunu veya üstüne yazılmış olduğunu temin edilmesi için kontrol edilmelidir. 17 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Hassas veri içeren tahrip edilmiş depolama hizmetleri, öğelerin yok edilmesini mi, onarılmasını mı veya atılmasını mı gerektiğinin belirtmesi için bir risk değerlemesine gereksinim duyabilir. 7.3 Genel denetimler Amaç: Bilgi ve bilgi işleme araçlarının hırsızlığa veya tehlikeye atılmasının önlenmesi. Bilgi ve bilgi işleme araçlarının, yetkisiz kişilere ifşa edilmesinden, yetkisiz kişilerce değiştirilmesinden veya çalınmasından korunmalıdır ve denetimler kayıp veya hasarları en aza indirgemek için yer almalıdır. İşleme ve depolama yöntemleri Madde 8.6.3’te ele alınır. 7.3.1 Temiz masa ve temiz ekran politikası Organizasyonlar, normal çalışma saatleri süresince ve dışında bilgiye yetkisiz erişim, bilgi kaybı ve hasarı risklerini azaltmak amacıyla kağıtlar ve kaldırılabilir depolama ortamları için temiz masa politikasını uygulamayı ve bilgi işleme araçları için temiz ekran politikasını uygulamayı göz önünde bulundurmalıdır. Politika bilgi güvenlik sınıflandırmalarını (Madde 5.2), yerini tutan riskleri ve organizasyonun kültürel konularını dikkate almalıdır. Masalarda bırakılmış bilgilerin yangın, sel veya patlama gibi felaketlerde hasar görme ve yok olma olasılığı çok yüksektir. Aşağıdaki denetimler göz önünde bulundurulmalıdır. a) Uygun olan yerlerde, kağıt ve bilgisayar ortamı, kullanılmadığında özellikle de çalışma saatleri dışında uygun kilitli depolarda ve / veya diğer çeşit güvenlik mobilyalarında depolanmalıdır. b) Hassas ve önemli iş bilgileri, gerekmedikleri zamanda özellikle de büro boş olduğunda, kilitlenmelidir (ideal olarak yangına dayanıklı korumalarda veya dolaplarda) c) Kişisel bilgisayarlar ve bilgisayar terminalleri ve yazıcılar, başıboş olduklarında oturum açık olarak bırakılmamalılardır ve anahtar kilitler, şifreler veya diğer denetimler aracılığıyla kullanılmadıkları zamanlarda korunmalıdırlar. d) Gelen ve giden mesaj noktaları ve başıboş faks veya teleks makinaları korunmalıdır. e) Fotokopi makinaları kilitlenmelidir (veya yetkisiz kullanımlardan başka yollardan korunmalıdır) normal çalışma saatlerinin dışında. f) Hassas ve sınıflandırılmış bilgi basıldığında yazıcıdan hemen temizlenmelidir. 7.3.2 Teçhizatların kaldırılması Teçhizat, bilgi veya yazılım yetkisiz olarak alan dışına çıkarılmamalıdır. Uygun ve gerekli olan yerlerde, geri döndürüldükleri zaman teçhizatların kaydedilmeleri gerekir. Teçhizatların yetkisiz kaldırımını tespit etmek için nokta denetimler üstlenilmelidir. Nokta denetimlerin uygulanacağı hakkında kişiler haberdar edilmelidir. 8 İletişim ve işletim yönetimi 8.1 İşletim prosedürleri ve sorumlulukları Amaç: Bilgi işlem tesislerinin doğru ve güvenle işletildiğinden emin olunması. Tüm bilgi işlem tesislerinin işletim ve yönetim prosedürleri ile sorumlulukları tesis edilmelidir. Bunlar, uygun işletim talimatlarının geliştirilmesini ve ani tepki prosedürlerini kapsar. Sistemin, bilerek ya da bilmeyerek yanlış kullanım riskini bulunduğu yerlere göre görevler ayrılmalıdır (Madde 8.1.4). 8.1.1 Yazılı işletim prosedürleri Güvenlik politikasında tanımlanan işletim prosedürleri, yazılı ve sürekli olmalıdır. İşletim prosedürleri, gücünü yönetimden alan resmi belge ve değişiklikler şeklinde işlem görmelidir. 18 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Her işin ayrıntılarıyla yerine getirilmesi için, aşağıdaki hususları kapsayan talimatlar, prosedürlerde ifade edilmelidir: a) Bilginin elde edilmesi ve işlenmesi, b) Diğer sistemlerle karşılıklı bağımlılıklar, en erken işe başlama ve en geç iş bitirme zamanlarını kapsayan ihtiyaçların planlanması, c) Sistem kolaylıklarının kullanımını kısıtlayan ve işin yapılması esnasında ortaya çıkan hatalara ve diğer istisnai durumlara karşı yapılacak işlere dair talimat, d) Beklenmedik işletim ve teknik aksaklıkların olması durumundaki destek temas noktaları, e) Tamamlanmamış işlerdeki ürün atıklarının emniyeti hususlarını kapsayan, gizli ürün yönetimi ya da özel kırtasiye kullanımı gibi özel malzeme işlem talimatları, f) Sistemde arıza meydana geldiğinde kullanmak üzere sistemi yeniden başlatma ya da kurtarma prosedürleri. Bilgisayarların açılıp kapanması, yedekleme, teçhizatın bakımı, bilgisayar odası ve posta alma-gönderme yönetimi ve emniyet gibi işlem ve iletişim tesisleriyle beraber yürütülen sistem idame faaliyetleri için yazılı prosedürler hazırlanmalıdır. 8.1.2 İşletim değişiklik odası Bilgi işlem tesisleri ve sistemlerine dair değişiklikler kontrol altında tutulmalıdır. Bilgi işlem tesisleri ve sistemlerinin değişikliklerine ilişkin kontrolün yetersizliği, sistem ya da emniyet konusundaki aksaklıkların en önde gelen nedenlerindendir. Resmi yönetim sorumlulukları ve prosedürler, teçhizat, yazılım ve prosedürlere ilişkin tüm değişiklerin tatmin edici bir şekilde kontrolünü sağlayan bir konumda olmalıdır. İşletim kuralları, en katı değişiklik kurallarına maruz kalmalıdır. Programlar değiştiğinde, konu ile ilişkili tüm hususları kapsayan bir izleme kaydı tutulmalıdır. İşletme çevresine ilişkin değişiklikler, uygulamalara tesir edebilir. Uygulanabilir olduğu her yerde, işletim ve uygulama değişiklik kontrol prosedürleri birebirlerine entegre edilmelidirler (Madde 10. 5. 1). Tek tek ele alınacak olursa, aşağıdaki kontroller göz önüne alınmalıdır. a) b) c) d) e) Önemli değişikliklerin kaydedilmesi ve tanımlanması, Bu tür değişikliklerin potansiyel tesirinin değerlendirmesi, Önerilen değişiklikler için resmi onay prosedürleri, İlişkili tüm personele değişiklik detaylarının bildirilmesi, Başarısız değişikliklerin onarılması ya da sona erdirilmesi için sorumlulukları belirleyen prosedürler. 8.1.3 Olay yönetim prosedürleri Olay yönetim prosedürleri ve sorumlulukları, güvenlik olaylarına çabuk, etkin ve bir sıra dahilinde müdahale edilmesini sağlamak maksadıyla tesis edilmiştir. Bu konu ile ilgili olarak aşağıdaki kontroller göz önüne alınmalıdır. a) Güvenlikle ilgili tüm potansiyel türleri kapsayan prosedürler oluşturulmalı. Bu prosedürler şu hususları kapsamalıdır. 1) 2) 3) 4) Bilgi sistem arızaları ve hizmet kaybı, Hizmetin reddi, Tamamlanmamış ya da doğru olmayan iş verilerinden kaynaklanan hatalar, Gizliliğin ihlal edilmesi. b) Prosedürler, normal, ani durum planlarına ilave olarak aşağıdaki hususları da kapsamalıdır (Madde 6.3.4) 1) 2) 3) 4) 5) Olayın nedenin analizi ve tanımlanması, Eğer gerekli ise tekrar olmaması için gerekli tedbirlerin planlanması ve uygulanması, Kanıta benzer şeylerin ve resmi kayıtların bir araya getirilmesi, Olaydan kurtulanlar ya da karışanlarla temas kurulması, Uygun makama olayın rapor edilmesi. 19 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 c) Resmi bulgular ve kanıta benzer şeyler, uygun şekilde toplanıp emniyet altına alınmalıdır (Madde 12.1.7) 1) İç sorun analizi, 2) Veri koruma işleminin yürütülmesi ya da bilgisayarların yanlış kullanımı gibi adli işlemlerde ya da adli olmayan olaylarda, mevcut düzenin gereklerinin ihlali veya bir anlaşmanın potansiyel ihlaline karşı ilintili olanları kanıt olarak kullanılması. 3) Yazılım ve Servis sağlayıcılarla müzakere edilerek zararın giderilmesi. d) Güvenlik ihlallerinin giderilmesi hareketi ve düzgün sistem arızaları, dikkatli bir biçimde ve resmi olarak kontrol altında olmalıdır. Söz konusu prosedürler aşağıdaki hususları sağlamalıdır: 1) Yalnız, açıkça belirtilmiş ve yetkilendirilmiş personel canlı sistem ve veriye erişmesine izin verilir (Madde 4.2.2) 2) Alınacak tüm acil hareketler ayrıntılarıyla yazılmalıdır. 3) Acil durum hareketi, sıralı olarak gözden geçirilmeli ve yönetime rapor edilmelidir. 4) İş sistemleri ve kontrollerinin bütünlüğü en az gecikme ile teyit edilmelidir. 8.1.4 Görevlerin Ayrılması Görevlerin ayrılması, kazara ya da kasten sistemin yanlış kullanım riskini azaltan bir metottur. Yetki verilmeyen değişikliklerin meydana gelmesini ya da bilgi veya servislerin yanlış kullanımını azaltmak maksadıyla belli görevlerin yerine getirilmesi ya da yönetimi veya sorumluluk alanlarının ayrılması değerlendirilmelidir. Küçük organizasyonlar, bunu başarılması zor bir kontrol metodu olarak değerlendirebilirler; fakat bu prensip mümkün olabildiği kadar uygulanmalıdır. Ne zaman ayrım yapmak zorlaşırsa, faaliyetlerin izlenmesi, yönetim gözetimi ve kayıtların denetimi gibi diğer kontroller dikkate alınmalıdır. Güvenlik denetiminin bağımsız olması önem arz etmektedir. Göz ardı edilmemelidir ki, hiç kimse, fark edilmeden tek kişinin sorumluluğunda bulunan yerlerde dolandırıcılık suçunu işleyemez. Bir olayın başlangıcı, kendi yetkilendirmesinden ayrı tutulmalıdır. Bu maksatla aşağıdaki kontrol tedbirleri dikkate alınmalıdır. a) Dolandırıcılık için gizli anlaşma gerektiren faaliyetlerin ayrılması önemlidir. Örneğin; Satın alma emirlerinin artması ve teslim alınan malzemelerin doğrulanması, b) Eğer gizli anlaşma tehlikesi varsa, o zaman, iki ya da daha fazla kişiyi gerektiren kontrol tedbirleri geliştirilmelidir; böylelikle dolandırıcılık ihtimali azaltılır. 8.1.5 Geliştirme ve İşletim Tesislerinin Ayrılması Geliştirme, deneme ve işletim tesislerinin ayrılması, ilgili rollerin ayrılmasını başarmak bakımından önemlidir. Geliştirme sürecinden işletim durumuna yazılımın transfer edilmesinin kuralları tanımlanmalı ve yazılı olmalıdır. Geliştirme ve deneme faaliyetleri, sistemin arızalanmasına ya da dosyalarda veya sistemde istenmeyen değişiklikler gibi ciddi sorunlara yol açabilir. İşletim sorunlarını önlemek için, işletimle deneme ve geliştirme arasında gerekli olan ayrımın seviyesi göz önüne alınmalıdır. Benzer bir ayrım deneme ve geliştirme fonksiyonları arasında uygulanabilir. Bu durumda, uygun olmayan gelişimci erişimini önlemek ve anlamlı denemeleri yapmak maksadıyla bilinen, sabit bir çevreye gerek vardır. Geliştirme ve deneme ekibi, nerede işletim sistemi ve bilgisine erişirse, yetkisiz ve denenmemiş kodları tanıyabilir ve bilgileri değiştirebilirler. Bu yetenek, bazı sistemlerde denenmemiş ya da uygun olmayan şifreleri tanıtmak veya dolandırıcılık yapmak şeklinde suistimal edilebilir. Denenmemiş ya da uygun olmayan şifreler ciddi işletim sorunlarına neden olabilir. Gelişimciler ve deneyiciler işletim bilgisinin gizliliği için bir tehdit unsuru olabilirler. Aynı hesap ortamını paylaşıyorlarsa, geliştirme ve deneme faaliyetleri, bilgi ve yazılımda istenmeyen değişikliklere neden olabilir. Geliştirme, deneme ve işletim faaliyetlerini ayırmak suretiyle, iş verilerine ve işletim yazılımına yetkisiz erişimi veya kazara değişiklik yapma tehlikesi azaltılır. Aşağıdaki kontroller dikkate alınmalıdır. 20 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 a) Geliştirme ve işletim yazılımı, mümkün olduğu her yerde, ayrı bilgisayar işlemcilerinde ya da değişik etki alanlarında veya dizinlerde çalışmalıdır. b) Geliştirme ve deneme faaliyetleri mümkün olduğunca bir birlerinden ayrılmalıdır. c) Derleyiciler, editörler ve diğer sistem kolaylıkları, talep edilmedikçe işletim sisteminden erişilebilir olmamalıdır. d) Değişik kayıt olma işlemleri, hata riskini azaltmak için işletim ve deneme sistemlerinde kullanılmalıdır. Kullanıcılar, bu sistemler için değişik şifreler kullanmaya cesaretlendirilmeli ve menüler uygun tanımlama mesajları ile görüntülenmelidir. e) Geliştirme ekibi sadece, işletim sistemlerinin desteği için şifrelerin dağıtım işleminin yapıldığı yerde bulunan kontrol noktalarındaki işletim şifrelerine erişim sağlayabilmelidir. Kontrol noktaları kullanılan şifrelerin değiştirilmesini temin ederler. 8.1.6 Dış tesislerin yönetimi Bilgi işlem tesislerinin yönetimi için dışarıdan birilerini kullanmak, sözleşme yapılan dışarıdan gelen personelin sitesinde veri kaybı ya da verinin zarar görmesi münasebetiyle lekelenmesi ihtimali gibi nedenlerle potansiyel güvenlik sorunlarının ortaya çıkmasına neden olabilir. Söz konusu bu riskler, bir an önce tanımlanmalı ve karşılıklı olarak anlaşılarak uygun kontrol tedbirleri anlaşmaya dahil edilmelidir (Madde 4.2.2 ve Madde 4.3) Belirtilmesinde önem arz eden özel hususlar: a) b) c) d) e) İçeride alıkonulmasından daha iyi olduğu değerlendirilen hassas ve kritik uygulamaların tanımlanması, İş sahiplerinin onayının alınması, İş süreklilik planlarının uygulamaları, Belirlenecek emniyet standardları ve uyumun ölçülmesi prosesi, İlintili olan tüm güvenlik faaliyetlerinin etkin bir biçimde izlemek maksadıyla belirli prosedürlerin ve sorumlulukların tahsisi, f) Güvenlik olaylarının ele alınması ve rapor edilmesi için prosedürler ve sorumluluklar. 8.2 Sistem planlama ve kabul etme Amaç:Sistem arızalarını en az seviyeye indirilmesi. İleri planlama ve hazırlık, yeterli kapasite ve kaynakların uygunluğunu kesinleştirmek için ihtiyaç duyulur. Gelecek kapasite ihtiyaçlarının projeksiyonları, sistemin aşırı yükleme riskine karşılık yapılmalıdır. Yeni sistemin işletim ihtiyaçları belirlenmeli, yazılmalı ve kabul edilip kullanılmadan denenmelidir. 8.2.1 Kapasite planlama Kapasite talepleri izlenmeli ve gelecekteki kapasite ihtiyaçlarının projeksiyonları yeterli işlem gücü ve uygun depolamadan garanti olmak şartıyla yapılmalıdır. Yeni iş ve sistem ihtiyaçlar ile organizasyonun bilgi işlemindeki mevcut ve tahmin edilen eğilimler hesaba katılmalıdır. Yeni kapasitenin tedariki için daha çok para ve zaman gerektiğinden ana bilgisayar konumundaki bilgisayarlara özel önem verilmelidir. Ana sistemlerin yöneticileri, işlemciler, esas saklama, dosya saklama, yazıcılar, diğer çıktı aygıtları ve iletişim sistemlerini kapsayan anahtar sistem kaynaklarının kullanımını izlemelidirler. Özellikle iş konuları ya da bilgi sistem aygıtları ile ilişkili mevcut eğilimleri tanımlamalıdırlar. Yöneticiler, sistemin güvenliği ya da kullanıcı servisler için tehdit oluşturan potansiyel darboğazlardan sakınmak ve tanımlandırmak için bu bilgileri kullanmalı ve uygun iyileştirici tedbirleri planlamalıdır. 8.2.2 Sistemin kabulü Yeni bilgi sistemleri, yükseltmeler ve yeni versiyonların kabul etme kriterleri tespit edilmeli ve sistem kabul edilmeden önce denenmelidir. Yöneticiler, ihtiyaçların ve yeni sistemin kabulü için belirlenen kriterlerin açıkça ifade edildiğinden, mutabık kalındığından, yazıldığından ve denendiğinden emin olmalıdır. Aşağıdaki kontroller göz önüne alınmalıdır: 21 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 a) b) c) d) e) f) g) Performans ve bilgisayar kapasitesi ihtiyaçları, Hata düzeltmesi ile yeniden başlatma prosedürleri ve acil durum planları, Standardları tanımlamak için rutin işletim prosedürlerinin hazırlığı ve denenmesi, Kararlaştırılan yerde alınacak güvenlik kontrolleri, Etkin kılavuz prosedürler, Madde 11.1’de istendiği şekilde iş sürekliliğinin düzenlenmesi, Yeni sistem kurulumunun, mevcut sistemin işleyişine özellikle iş yoğunluğunu doruğa çıktığı zamanlarda, örneğin; ay sonlarında, olumsuz etki yapmayacağını ispatı, h) Yeni sistemin, teşkilatın tümünün güvenliği üzerinde etkili olacağı anlayışının ispatı, i) Yeni sistemin kullanımı ya da işletim eğitimi. Önemli yeni geliştirmeler ile işletim fonksiyonu ve kullanıcılar, önerilen sistem dizaynının işletim etkinliğinden emin olmak maksadıyla geliştirme proseslerinin her seviyesinde karşılıklı görüş alışverişinde bulunmalıdır. Bütün kabul kriterlerinin tamamen tatmin edici olduğunu teyit maksadıyla uygun testler yapılmalıdır. 8.3 Kötü niyetli yazılımlara karşı koruma Amaç: Bilgi ve yazılım bütünlüğünün korunması Kötü niyetli yazılımın girişini tespit edecek ve önleyecek tedbirler gerekmektedir. Yazılım ve bilgi işlem tesisleri, bilgisayar virüsleri, ağ kurtları, Truva atları (Madde 10.5.4) ve mantık bombaları gibi kötü niyetli yazılımın girişine karşı hassastır. Kullanıcılar, kötü niyetli ve yetkisiz yazılımlardan haberdar edilmeli; yöneticiler uygun olan yerlerde bunları girişlerini önleyen veya tespit eden özel kontrol tedbirlerini tanıtmalıdır. Özellikle, kişisel bilgisayarlarda bilgisayar virüslerini tespit eden ve koruyan tedbirlerin alınması gereklidir. 8.3.1 Kötü niyetli yazılımlara karşı kontroller Kötü niyetli yazılımlara karşı korumak maksadıyla tespitte bulunan ve koruma sağlayan kontroller ile uygun kullanıcı duyarlılığı prosedürleri uygulanmalıdır. Kötü niyetli yazılımlara karşı koruma, güvenlikten haberdar olunması, uygun sistem erişimi ve değişik yönetim kontrolleri esasına dayanır. Aşağıdaki kontroller göz önüne alınmalıdır. a) Yetkisiz yazılım kullanımını yasaklayan ve yazılım lisanslarıyla uyumluluk gerektiren resmi bir politika (Madde 12.1.2.2), b) Yazılım ve dosyalardan elde edilen ya da harici ağlar veya koruyucu tedbirler alınmasını gerektiren diğer ortam tehlikelerine (Madde 10.5, özellikle Madde 10.5.4 ve Madde 10.5.5) karşı korumak maksadıyla resmi bir politika, c) Önceden alınan bir tedbir olarak ya da rutin bir esasa bağlanarak, bilgisayarların taranması için anti-virüs tespitinin kurulumu, düzenli güncellenmesi ve yazılımın kurtarılması, d) Kritik iş proseslerini destekleyen sistemlerin veri içeriği ve yazılımın düzenli olarak gözden geçirilmesi. Onaylanmamış dosyaların ya da yetkisiz değişikliklerin olması halinde resmi olarak soruşturulmalıdır. e) Güvenilmeyen ağlardan alınan dosyalar ya da kaynağı belli olmayan, elektronik ortamdaki dosyaların kullanımdan önce virüs kontrolünün yapılması, f) Elektronik posta ekleri ve kötü niyetli yazılımın kullanımdan önce kontrol edilmesi; bu kontrolün birkaç merkezde yapılması. Örneğin, organizasyonun şebekesine giren elektronik posta sunucularında, masaüstü bilgisayarlarda, g) Sistemin virüs koruma ile ilgili yönetim prosedürleri ve sorumlulukları, bu prosedürlerin kullanımlarının eğitimi, virüs saldırmalarından kurtarma ve rapor verilmesi (Madde 6. 3 ve 8.13) h) Virüs saldırılarından kaynaklanan tüm gerekli veri yazılım yedeklemesi ile kurtarmaya ilişkin düzenlemeleri kapsayan uygun, iş süreklilik planlarını kurtarılması, i) Kötü niyetli yazılımla ilgili tüm bilgileri doğrulayan prosedürler ve uyarı bültenlerinin doğru ve bilgilendirici olduğundan emin olunması, Yöneticiler, güvenilir Internet siteleri veya anti-virüs yazılımı yapanlar gibi nitelikli kaynaklar, gerçek virüslerle aldatıcı virüsler arasında çeşitlendirici olarak kullanılmalıdır. Ekip, aldatma sorunları ile alınmaları hakkında ne yapılacağı hakkında bilgilendirilmelidir. Bu kontroller, özellikle çok sayıda çalışma grupları destekleyen ağ şebekesi dosyaları için önemlidir. 22 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 8.4 Ortamın muhafazası Amaç: Bilgi işlem ve iletişim hizmetlerinin kullanılabilirliliği ve bütünlüğünün sürdürülmesi. Kararlaştırılan yedekleme stratejisini sürdürmek (Madde 11.1), veri kopyalarının yedeklenmesini almak, olayların ve hataların kayıt altına alınması ve mümkün olması halinde donanımın bulunduğu çevrenin izlenmesine dair alışılmış prosedürler, tesis edilmelidir. 8.4.1 Bilgi yedeklemesi Gerekli iş bilgisi ve yazılımın yedekleme kopyaları düzenli olarak alınmalıdır. Gerekli tüm iş bilgileri ve yazılımın bir felaket ya da ortamın zarar görmesi sonrası yeniden kurtarılabilen yeterli yedekleme tesisleri bulunmalıdır. Bireysel sistemler için yedekleme düzenlemeleri sürekli iş planlarının ihtiyaçlarını karşılayacağından emin olmak için düzenli olarak test edilmelidir (Madde 11.1). Aşağıdaki kontroller dikkate alınmalıdır. a) Yazılı koruma prosedürleri ve yedekleme kopyalarının tam ve doğru kayıtlarıyla birlikte en alt yedekleme bilgi seviyesi, ana sitede meydana gelebilecek bir felaketten kaçmaya yetecek kadar uzaklıktaki bir uzaktan erişim istasyonunda saklanmalıdır. Önemli iş uygulamaları için en az üç yedekleme süresi ya da kuşağı muhafaza edilmelidir. b) Ana sitedeki standardlara uygun fiziksel ve çevre koruma seviyesi olarak yedekleme bilgisi verilmelidir. Ana sitedeki ortamda uygulanan kontroller, yedeklemenin yapılacağı siteyi de kapsamalıdır. c) Yedekleme ortamı, mümkün olan her yerde, gerektiğinde kullanılabilir olduğundan emin olmak maksadıyla düzenli olarak test edilmelidir. d) Onarım prosedürleri, onarım için gerekli olan işletim prosedürlerinin verilen zaman içinde tamamlanabilir ve etkili olduğundan emin olunması maksadıyla düzenli olarak kontrol ve test edilmelidir. Gerekli iş bilgilerinin saklama süresi ile sürekli olarak saklanacak arşiv kopyaları için gerekenler tespit edilmelidir. (Madde 12.1.3) 8.4.2 İşletmen kayıtları İşletmenler, yaptıkları faaliyetlerin bir kaydını tutmalıdırlar. Kayıtlar, mümkün olması halinde aşağıdaki hususları kapsamalıdır: a) b) c) d) Sistemin açılma ve kapanma zamanı, Sistem hataları ve alınan düzeltici tedbirler, Bilgisayar çıktısının ve veri dosyalarının düzeltildiğinin teyidi, Kayıt girişi yapan personelin adı soyadı. İşletmen kayıtları, işletim prosedürlerine karşı düzenli ve bağımsız denetimlere tabi tutulmalıdır. 8.4.3 Hata kaydı tutulması Hatalar rapor edilmeli ve düzeltici tedbirler alınmalıdır. Bilgi işlem ya da iletişim sistemleri ile ilgili olarak kullanıcılar tarafından rapor edilen hataların kaydı tutulmalıdır. Rapor edilen hataların değerlendirilmesi için aşağıdaki hususları kapsayan açık kurallar olmalıdır. a) Hataların tatmin edici bir şekilde giderildiğinden emin olmak için hata kayıtlarının gözden geçirilmesi, b) Kontrollerin, yapılabilirliliği konusundaki tereddütlerin giderildiğinden ve alınan tedbirlerin tamamen yetkin olduğundan emin olmak için, düzeltici tedbirlerin gözden geçirilmesi. 8.5 Ağ yönetimi Amaç: Ağlarda yer alan bilgilerin emniyetinin ve destekleyen altyapı sisteminin korunmasının sağlanması. Organizasyon sınırlarını aşan ağların güvenlik yönetimi büyük dikkat gerektirir. Herkesin erişim sağladığı ağlardaki hassas verilerin korunması için ilave kontrol tedbirleri de gerekebilir. 23 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 8.5.1 Ağ kontrolleri Bilgisayar ağlarındaki güvenliği tesis edip sürekliliğini sağlamak için, bir dizi kontrole gereksinim duyulur. Ağ yöneticileri, ağlardaki verinin güvenliği ve bağlı bulunulan servislere yetkisiz kişilerce erişilmesinden korunmasını sağlamak maksadıyla kontrolleri gerçekleştirmelidirler. Özellikle de aşağıdaki hususlar değerlendirilmelidir. a) Ağların işletim sorumluluğu mümkün olan yerlerde bilgisayar işletmenlerinden ayrılmalıdır. (Madde 8.1.4) b) Kullanıcı alanlarındakileri dahil, uzaktan erişim donanımının yönetimi için sorumluluklar ve prosedürler belli olmalıdır. c) Gerektiğinde, herkesin erişim sağladığı ağlardaki veri bütünlüğünün ve gizliliğin korunması ile bağlı bulunulan sistemleri korumak maksadıyla, özel kontrol tedbirleri alınmalıdır. (Madde 9.4 ve 10.3) Özel kontrol tedbirlerine, aynı zamanda bağlı bulunulan ağ servisleri ve bilgisayarların kullanılabilirliğini sürdürmek için gerek duyulabilirler. d) Yönetim faaliyetleri, kontrol tedbirlerinin bilgi işlem altyapısı üzerinde sürekli olarak uygulanmasını ve hizmetin işe en iyi şekilde yansıtılmasını yakından izlemelidirler. 8.6 Bilgi ortamı yönetimi ve güvenlik Amaç: İş faaliyetlerinin kesintiye uğratılması ve varlıklara zarar verilmesinin önlenmesi. Ortam kontrol altında tutulmalı ve fiziki olarak korunmalıdır. Yazılı belgeleri, bilgisayar donanımını (kasetler, disketler, kaydediciler), girdi-çıktı veri ve belgelendirme sistemlerini, hırsızlık ve yetkisiz kişilerin erişiminden koruyan uygun işletim prosedürleri hayata geçirilmelidir. 8.6.1 Çıkarılabilir bilgisayar ortamının yönetimi Teypler, bellekler, kasetler ve yazılı raporlar gibi çıkarılabilir bilgisayar ortamının yönetimi için prosedürler bulunmalıdır. Aşağıdaki kontrol tedbirleri göz önüne alınmalıdır. a) Artık daha fazla gerekmiyorsa, organizasyondan çıkarılan ve yeniden kullanılabilir ortam malzemesi silinmelidir. b) Organizasyondan çıkarılan tüm ortam malzemeleri için yetkilendirme gerekmektedir ve bu tür çıkarmaların hepsi için resmi kayıtların tutulmasını sağlamak maksadıyla ayrı bir kayıtta saklanmalıdır. c) Tüm ortam malzemeleri, üretici firmanın belirttiği özelliklerle uyumlu, güvenli bir çevrede ve kilit altında tutulmalıdır. Tüm prosedürler ve yetkilendirme seviyeleri açıkça yazıya dökülmelidir. 8.6.2 Bilgi ortamının yok edilmesi Gereksinim ortadan kalktığında, emniyetli ve kesin bir şekilde bilgi ortamından kurtulmak gerekir. Hassas bilgiler ortamın yok edilmesi esnasında dikkatsiz kişilerce başka insanlara sızabilir. Ortamın kesin olarak yok edilmesindeki resmi prosedürler, bu tehlikeyi en aza indirmek maksadıyla belirlenmiştir. Bu maksatla aşağıdaki kontroller değerlendirilmelidir. a) Hassas bilgi içeren bilgi ortamları, emniyetli ve kesin bir şekilde saklanmalı ve yok edilmelidir. Örneğin, yakmak, parçalara ayırmak ya da organizasyonda başka bir uygulamada kullanılmak üzere verilerin silinmesi, b) Kesin olarak yok edilmesi gereken malzemelerin listesi aşağıya çıkarılmıştır. 1) Kağıt belgeler, 2) Ses ve diğer kayıtlar, 3) Karbon kağıtlar, 4) Rapor çıktıları, 5) Tek kullanımlık yazıcı şeritleri, 6) Manyetik teypler, 7) Çıkarılabilir bellek ve kasetler, 8) Optik ortam malzemeleri, 9) Program listelemeleri, 10) Test verileri, 11) Sistem belgeleri. 24 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 d) Hassas parçaları ayırmaya çalışmaktansa, tüm parçaların toplanıp, tamamen yok edilmesini düzenlemek daha kolaydır. e) Pek çok organizasyon ortam, donanım ve kağıtların toplama ve yok edilme hizmetlerini teklif edebilir. Yeterli kontrol tedbirleri ile deneyime sahip müteahhidin seçilmesinde dikkatli olunmalıdır. f) Resmi kayıtları sürdürmek mümkünse, hassas parçaların yok edilmesi hususunda kayıt tutulmalıdır. Yok edilecek ortamlar toplanırken, toplama konusundaki çabalar, az miktardaki gizlilik dereceli bilgiden çok daha hassas olan, çok sayıdaki gizli olmayan bilgiye gösterilmelidir. 8.6.3 Bilgi yönetim işlemleri Bilginin yetkisiz kişilerce ifşa edilmesi ya da yanlış maksatlarla kullanılmasını önlemek için bilgi güvenliği ve yönetimi için prosedürler oluşturulmalıdır. Kendi içindeki sınıflandırmayla tutarlı olarak, yazılı belgeler, bilgisayar sistemleri, ağlar, mobil bilgisayarlar, mobil iletişim, posta, sesli posta, sesli iletişim, çoklu ortam, posta hizmetleri/tesisleri, faks makinası ve diğer hassas parçaların kullanılırken (örneğin, boş çekler, fatura vb.) bilginin yönetilmesi için prosedürler düzenlenmelidir. Bu maksatla aşağıdaki hususlar dikkate alınmalıdır. (Madde 5. 2 ve Madde 8.7.2) a) b) c) d) e) f) g) h) i) Tüm ortamın etiketlenmesi ve yönetilmesi (Madde 8.7.2a), Yetkisiz kişileri tanımlamak için erişim sınırlamaları, Veri kullanan yetkisiz kişiler için bir resmi kaydın tutulması, İşlemin doğru bir şekilde tamamlayan ve çıktı geçerliliğinin uygulamaya koyan girdi verisinin eksiksiz olmasının sağlanması, Kendi duyarlılığı ile uygun bir seviyede çıktıyı bekleyen zarar görmüş verinin korunması, Ortamın, üretici firma şartlarına uygun bir yerde bulundurulması, Veri dağıtımını en alt düzeyde tutulması, Yetkisiz kişilerin dikkatini çekebileceğinden verinin tüm kopyalarındaki işaretlemelerin temizlenmesi, Düzenli aralıklarla yetkisiz kişilerin ve dağıtım listelerini gözden geçirilmesi. 8.6.4 Sistem belgelendirmesi güvenliği Sistem belgelendirmesi, işlemlerin, prosedürlerin, veri yapılarının, yetkilendirme işlemlerinin uygulama tanımları gibi bir dizi duyarlı bilgiyi içerir (Madde 9.1). Aşağıdaki kontroller sistem belgelendirmesini yetkisiz kişilerin erişiminden korumak maksadıyla değerlendirilebilir. a) Sistem belgelendirmesi güvenli bir ortamda bulundurulmalıdır. b) Sistem belgelendirmesi için erişim listesi en az sayıda tutulmalı ve sistem sahiplerince yetkilendirilmelidir. c) Herkesin erişim sağlayabildiği ağ yolu ile desteklenen ya da erişebildiği bir ağda bulunan sistem belgelendirmesi uygun şekilde korunmalıdır. 8.7 Bilgi ve yazılım değiş tokuşu Amaç:Organizasyonlar arasında değişilen bilginin yanlış maksatlarla kullanılması, değiştirilmesi ve kaybedilmesinin önlenmesi. Organizasyonlar arasında yazılımın ve bilginin değişimi, kontrol altında bulundurulmalı ve ilgili yasalarla uyumlu olmalıdır (Madde 12). Değişimler, anlaşma esaslarına göre yapılmalıdır. Nakil esnasındaki ortam ve bilgiyi korumak için standardlar ve prosedürler belirlenmelidir. Karşılıklı elektronik veri değişimi, elektronik ticaret ve elektronik posta ile kontrol tedbirlerinin gereksinimleriyle birleşen iş ve güvenlik konuları göz önünde tutulmalıdır. 8.7.1 Bilgi ve yazılım değişim anlaşmaları Bazıları resmi olan ve uygun olan hallerde üçüncü şahıslarla yapılan yazılım antlaşmalar, organizasyonlar arasında bilgi ve yazılımın (elektronik ya da manuel) değişimi için yapılmalıdırlar. Bu tür bir anlaşmanın güvenlik içeriği, ilişkili olduğu işin duyarlılığını yansıtmalıdır. Güvenlik konularındaki anlaşmalar şu hususlar ile ilgili olmalıdır. a) İletinin alınması ve gönderilmesini bildiren ve kontrol eden sorumlulukların yönetimi, b) Göndereni, iletiyi, göndermeyi ve almayı bildiren prosedürler, c) İletim ve paketleme için en alt teknik standardlar, 25 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 d) Kurye tanımlama prosedürleri, e) Verinin kaybedilmesi durumundaki sorumluluklar ve yapılması gerekenler, f) Hassas ve kritik bilgi için, ne anlama geldiği kolaylıkla anlaşılan ve o bilginin uygun şekilde korunması maksadıyla ortak bir etiketleme sisteminin kullanılması, g) Bilgi ve yazılımın sahipliği ile veri koruması, yazılımın telif hakkı şikayeti ve benzer konulardaki sorumluluklar (Madde 12.1.2), h) Bilgi ve yazılımın kaydedilmesi ve okunması için gerekli teknik standardlar, i) Şifreli tuşlar gibi hassas korumalı parçalar için gerekli olan diğer özel kontrol tedbirleri (Madde 10.3.5). 8.7.2 Nakil esnasındaki bilgi ortamının güvenliği Bilgi, postaya verildiği ya da kurye ile gönderildiği hallerde fiziki olarak hareket halindedir ve yetkisiz kişilerin erişimine, yanlış maksatlarla kullanılmalara ya da zarar görmeye karşı hassastır. Siteler arasında gidip gelen bilgisayar ortamının güvenliği için aşağıdaki kontrol tedbirleri uygulanabilir. a) Güvenilir kuryeler ve ulaşım vasıtaları seçilmelidir. Yetkili kuryelerin bir listesi, kuryeler için yapılan tanımları kontrol eden bir prosedür ve yönetimle kararlaştırılmalıdır. b) Üretici firmanın şartlarına uygun ve içerdiği bilginin hareket halinde iken zarar görmekten koruyan yeterli bir paketleme olmalıdır. c) Gerektiğinde, yetkisiz açma ve değiştirmeleri önlemek maksadıyla, özel kontrol tedbirleri uygulanabilir. Örneğin; 1) 2) 3) 4) 5) Kilitli konteynırların kullanılması, Elden teslimat, Özel güvenlikli paketleme (Her türlü erişim denemesinin belli eden), Farklı muhafazalar kullanmak, birden fazla parçaya bölerek, değişik yollardan göndermek, Sayısal imza ve gizlilik dereceli kriptolamanın kullanılması(Madde 10. 3). 8.7.3 Elektronik ticaret güvenliği Elektronik ticaret, karşılıklı elektronik veri değişimi, elektronik posta ve Internet gibi geniş halk kitlelerinin erişimine açık çevrim içi işlemlerin kullanımını içerir. Elektronik ticaret, hileli kazanç faaliyetleri, anlaşma itilafları ya da bilginin değişikliğe maruz kalması gibi bir dizi ağ şebekesi tehditlerine karşı hassastır. Elektronik ticareti bu tür tehditlerden korumak için kontrol tedbirleri uygulanmalıdır. Güvenlik ile ilgili hususlar aşağıya çıkarılmıştır. a) Kimlik Doğrulama. Müşteri ile satıcı hangi güvenlik düzeyinde birbirlerinin kimlikleri talep edecektir? b) Yetkilendirme. Fiyatı tespit etmeye, anahtar dokümanları imzalamaya ve dağıtmaya kim yetkilidir? Ticaret ortağı bu husustan nasıl haberi olacaktır? c) Anlaşma ve ihale işlemleri. Gizliliğin, bütünlüğün ve anahtar dokümanların ve reddilemeyen anlaşmaların alınıp verilmesinin ispat edilebilmesi için gerekenler nelerdir? d) Fiyatlandırma bilgisi. İlan edilen fiyat listesi ve hassas indirim düzenlemelerinin gizliliğin bütünlüğünde ne düzeyde güven tesis edilebilir? e) Sipariş İşlemleri. Fiyatın, ödemenin ve teslim adresi ayrıntılarının bütünlüğü ve gizliliği ile teslim alındığının teyidi nasıl yapılacaktır? f) İstihbarat. Müşteriden alınan ödeme bilgilerini kontrol etmek için ne derece istihbarat yapmak uygundur? g) Anlaşma. Dolandırıcılığa karşı korunmak maksadıyla en uygun ödeme şekli nedir? h) Sipariş verme. Sipariş bilgilerinin bütünlüğü ve gizliliğini sağlamak ve işlemlerde tekrarları önlemek ya da kayıptan sakınmak için ne yapılmalıdır? i) Güvenilirlilik. Herhangi bir dolandırıcılık işlemine karşı kim risk alır? Yukarıda sayılanların pek çoğu, yasal gereksinimlerle uyumlu olan, Madde 10.3’de ana hatlarından bahsedilen kriptografik tekniklerin uygulanmasıyla yapılabilir (Madde 12.1 özellikle Madde 12.1.6 Kriptografik yasalar). Ticaret ortakları arasındaki elektronik ticaret düzenlemeleri, iki tarafı ilgilendiren, yetkilendirme detaylarının dahil olduğu, üzerinde anlaşma sağlanan ticari şartların yazılı olduğu bir belge ile tespit edilmelidir (yukarıdaki (b) fıkrası). Bilgi servisleri ve katma değer ağ şebekesi sağlayıcıları ile diğer anlaşmalar gerekli olabilir. Halka açık ticaret sistemleri, kendi iş şartlarını müşterilerine açıklamalıdır. 26 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Elektronik ticarette kullanılan sunucunun saldırısına ve elektronik ticaretin yapılması için gereken her hangi bir ağ şebekesi çakışmasından meydana gelen güvenlik suçlarına esneklik gösterilmesi hususuna dikkat edilmelidir (Madde 9.4.7) 8.7.4 Elektronik postaların güvenliği 8.7.4.1 Güvenlik tehlikeleri Elektronik posta, teleks ve mektup gibi geleneksel haberleşme usullerinin yerine geçerek iş hayatında kullanılmaya başlanmıştır. Elektronik postalar, iş dünyasının geleneksel haberleşme usullerinden, hız, mesaj yapısı, samimiyet derecesi ve yetkisiz kişilere karşı olan hassasiyetleri bakımından farklılık gösterirler. Elektronik postalar nedeni ile oluşturulan güvenlik tehlikelerini azaltmak gereken kontrol tedbirlerine önem verilmelidir. Güvenlik tehlikeleri aşağıdaki konuları kapsar. a) Mesajların yetkisiz kişilerin erişimine, değiştirilmesine ya da servis kullanımın onaylanmamasına karşı olan hassasiyet, b) Hatalara karşı hassasiyet. Örneğin, doğru olmayan adresleme, yanlış yönlendirme, servisin kullanılabilirliği ve genel güvenliği, c) İş proseslerinde iletişim ortamındaki değişikliğin etkisi. Örneğin, gönderinin artan hızının etkisi ya da şirketten şirkete mesaj göndermek yerine birey bazında haberleşmenin yapılması, d) Kaynak, gönderi, teslimat ve kabulün yapıldığının ispatına dair yasal düzenlemeler, e) Dışarıdan erişebilen kadro personelinin isim listesinin basılmasının suiistimal edilmesi, f) Uzaktan erişim sağlayan kullanıcıların elektronik posta hesaplarına erişmelerinin kontrolü. 8.7.4.2 Elektronik posta politikası Organizasyonlar, elektronik posta kullanımını konusunda açık bir politika izlemelidir. Bu politika aşağıdaki hususları kapsamalıdır: a) b) c) d) Elektronik postalara saldırılar. Örneğin, virüsler, çakışmalar, Elektronik posta eklerinin korunması Elektronik postanın kullanılmadığı zamanlarda yapılacak işler, Şirkete yüklenilmeyen çalışan sorumluluğu. Örneğin, Şirketi lekeleyen elektronik posta gönderimi, tacizkar kullanım, yetkisiz satın almalar, e) Elektronik mesajların bütünlüğü ve gizliliğini korumak için kriptografik tekniklerin kullanımı (Madde 10.3) f) Mahkemeye intikal etmesi durumunda ortaya çıkarılan, saklanan, mesajların tutulması. g) Kimden geldiği doğrulanamayan istihbarat mesajları için ilave kontrol tedbirleri. 8.7.5 Elektronik ofis sistemlerinin güvenliği Elektronik ofis sistemleriyle müşterek iş ve güvenlik tehlikelerini kontrol etmek maksadıyla politikalar ve genel hatlar belirlenmeli ve uygulanmalıdır. Bunlar; belgelerin, bilgisayarların, mobil bilgi işlem ve mobil iletişimin, postanın, sesli mesajın, sesli haberleşmenin, çoklu ortamın, posta teşkilatının ve faks makinalarının kombinasyonunu kullanarak iş bilgilerinin paylaşılması ve düşüncelerin daha hızlı yayılması konusunda fırsat sağlar. Tesislerde meydana gelen iş ve güvenlik konularında çakışmalarla ilgili olarak aşağıdaki hususlara önem arz etmektedir. a) Ofis istemlerindeki bilginin hassasiyeti. Örneğin,Telefon görüşmelerinin ya da konferansların kaydı, görüşmelerin gizliliği, faksların saklanması, postaların açılması, posta dağıtımı. b) Bilgi paylaşımını yönetmek için uygun kontrol tedbirleri ve politika. Örneğin, Müşterek elektronik ilan panolarının kullanımı. c) Eğer sistem uygun düzeyde koruma sağlayamıyorsa, hassas iş bilgi kategorilerinin çıkartılması. (Madde 5.2). d) Belli bireylerlerin günlük bilgiye erişimin sınırlandırılması. Örneğin, hassas konularda çalışmalarda bulunan ekip personeli. e) İş uygulamalarını destekleyen sistemin uygunluğu. Örneğin, yetkilendirme ya da iletişim düzeni. f) Sistemi kullanmasına izin verilen ekip personeli, müteahhitler ya da iş ortaklarının kategorileri ve sisteme erişim sağlayacak olanların mevkileri (Madde 4. 2) g) Belli kullanıcı kategorilerinin seçilen tesislere girişlerinin yasaklanması, h) Kullanıcı statülerinin belirlenmesi. Örneğin, Diğer kullanıcıların faydalanması için organizasyon çalışanları ya da dosyalarda adı geçen müteahhitler, i) Sistemde bulunan yedekleme bilgisi ve saklanması(Madde 12.1.3 ve Madde 8.4.1), j) Düzenleme ve gereksinim ihtiyatları (Madde 11.1). 27 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 8.7.6 Halka açık sistemler Yetkisiz kişilerin şirketin itibarını zedeleyebilecek şekildeki değişiklikler yapmalarını önleyerek elektronik olarak yayılan bilginin bütünlüğünü korumaya özen gösterilmelidir. Halka açık sistemlerdeki bilgi, örneğin, İnternet yolu ile erişilen Web sayfasındaki bilgiler, ticaretin yapıldığı ya da sistemin bulunduğu mahkemelerdeki yasalar, kurallar ve düzenlemelerle uyumlu olmaya ihtiyaç gösterir. Bilgi halka yayılmadan önce resmi bir yetkilendirme prosesi oluşturulmalıdır. Halka açık sistemlerde kullanılabilir durumda bulunan ve üst düzeyde güvenilirlik gerektiren yazılım, veri ve diğer bilgiler uygun mekanizmalarla korunmalıdır. Örneğin, sayısal imza (Madde 10.3.3) Özellikle bilgiye doğrudan erişen ve bilginin geri beslemesine izin veren elektronik yayın sistemleri çok dikkatli bir şekilde kontrol altında bulundurulmalıdır. Şöyle ki; a) b) c) d) Her hangi bir veri koruma yasasıyla uyumlu olarak elde edilen bilgi, Bilgi girilen ya da işleme tabi tutulan yayın sistemleri zamana bağlı kalarak ve tamamıyla işlenmelidir; Hassas bilgi, toplama işlemi süresince ya da saklanırken korunacaktır, Yayın sistemlerine erişim, bağlı bulunulan ağlara planlanmamış erişime izin veremezler. 8.7.7 Bilgi değiş tokuşunun diğer şekilleri Ses, faks ya da video iletişim gereçlerini kullanarak bilgi değişimini önlemek yerine, prosedürler ve kontrol tedbirleri kullanılmalıdır. Bilgi, farkında olmadan ve kullanılan politika ve prosedürler nedeniyle doğru olarak kullanılmayabilir. Örneğin, halka açık bir yerde cep telefonu ile çok yüksek sesle konuşmak, sesi çok açık olan bir bant kaydı dinlemek, sesli mesaj sistemine yetkisiz kişilerin erişim sağlaması, faks cihazını kullanarak faksın yanlış adrese gönderilmesi. Eğer iletişim gereçleri kullanılamazsa, İş ilişkileri bozulabilir, bilgi yanlış değerlendirilebilir (Madde 7.2 ve Madde 11). Bilgi, eğer yetkisiz kişilerce erişilirse de yanlış değerlendirilebilir (Madde 9). Ses, faks ve video iletişiminde kullanılırken takip edilecek prosedürlerin açık bir şekilde ifade edilmesine gerek vardır. Bu hususlar şunlardır: a) Personele gerektiğinde uygun tedbirleri almalarının hatırlatılması. Örneğin, Aşağıdaki durumlarda telefonla görüşürken yüksek sesle konuşmaktan sakınılarak, duyulması ya da araya girilmesi mümkün hassas konuları ifşa etmemek, 1) Cep telefonu kullanıldığında yakın çevrenizdeki insanlar, 2) Telefonun dinlenmesi ya da başkalarının gizlice telefon hattınıza girmesi, analog cep telefonlarında alıcı tarayıcıların kullanılması, 3) Konuştuğunuz kişinin yanındaki insanlar b) Personele halka açık yerlerde, açık ofislerde ve ince duvarlı toplantı odalarında konuşma güvenliği bulunmadığının hatırlatılması, c) Halka açık sistemlerde ya da bir yanlış arama sonucu saklanması veya yetkisiz insanlarca dinlenebilir olduğu sürece telefona bant kaydı bırakılmamasını, d) Personele faks kullanımındaki sorunlar hakkında hatırlatmada bulunulması. İsmen; 1) Mesajları almak için yerleşik depolara yetkisiz erişim; 2) Makinanın bilerek ya da bilmeyerek belli numaralara mesaj göndermek için programlanması, 3) Yanlış çevirme ya da hafızadaki yanlış numaralar nedeniyle belge ve mesajların yanlış numaraya mesajın gönderilmesi. 9 Erişim denetimi 9.1 Erişim denetimi için iş gerekleri Amaç: Bilgiye erişimin denetlemesi. Bilgiye erişim ve iş süreçleri, iş ve güvenlik gerekleri kapsamında denetlenmelidir. Bu, bilgi yayılmaları ve yetkileriyle ilgili politikaları dikkate almalıdır. 28 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.1.1 Erişim denetimi politikası 9.1.1.1 Politika ve iş gerekleri Erişim denetimi için iş gerekleri tanımlanmalı ve belgelendirilmelidir. Her bir kullanıcı veya kullanıcı grupları için erişim denetimi kuralları ve hakları, bir erişim politikası bildirgesinde açıkça belirtilmelidir. Kullanıcılara ve hizmet sağlayıcılarına, erişim denetimleri aracılığıyla karşılanacak iş gerekleri hakkında açık bildirgeler verilmelidir. Politika aşağıdakileri dikkate almalıdır: a) Bireysel iş uygulamalarıyla ilgili güvenlik gerekleri; b) İş uygulamalarıyla ilgili tüm gerekli bilgilerin tanımları; c) Bilgi yayılmaları ve yetkileri için politikalar, örneğin ilke ve güvenlik seviyelerini bilme gereksinimi ve bilginin sınıflandırılması; d) Farklı sistemlere ve ağlara ilişkin erişim denetimiyle bilgi sınıflandırma politikaları arasındaki tutarlılık; e) Verilere veya hizmetlere erişimin korunmasına dair, amaca uygun yasal hükümler ve sözleşmeden doğan her yükümlülük (Madde 12); f) Yaygın iş sınıfları için standard kullanıcı erişim profilleri; g) Varolan tüm bağlantı çeşitlerini tanıyan, dağıtılmış ve ağ oluşturulmuş çevre içinde ki erişim haklarının yönetimi. 9.1.1.2 Erişim denetimi kuralları Erişim denetimi kurallarını tanımlarken, aşağıdakiler göz önünde bulundurulmalıdır: a) Her zaman uygulanma zorunluluğu olan kurallarla, isteğe ve şartlara bağlı olan kuralları birbirinden ayırt etmek; b) Daha zayıf kural olan “açıkça yasaklanmadığı sürece her şeye genel olarak izin verilir” açıklamasının aksine “açıkça izin verilmediği sürece genel olarak yasaklanmış olmalı” açıklamasına dayalı kurallar koymak; c) Bilgi etiketlerinde (Madde 5.2), bilgi işleme araçları tarafında otomatik olarak başlatılan ve bir kullanıcının önlemiyle başlamış olan değişiklikler; d) Bilgi sistemi tarafında otomatik olarak başlatılan ve bir sistem yöneticisi tarafından başlatılan kullanıcı yetkilerindeki değişiklikler; e) Kanunlaştırılmadan sistem yöneticisine veya diğer onaylara gerek duyan ve duymayan kurallar 9.2 Kullanıcı erişimi yönetimi Amaç: Bilgi sistemlerine yetkisiz erişimin engellenmesi. Resmi yöntemler, bilgi sistemleri ve hizmetleri için erişim haklarının ayrılmasını denetlemek üzere yer almalıdır. Yöntemler, yeni kullanıcıların kayıt başlangıçlarından, bilgi sistemlerine ve hizmetlerine erişim gereksinimi artık kalmamış kullanıcıların son kayıttan çıkışlarına kadar olan, kullanıcıların tüm yaşam döngüsü basamaklarını kapsamalıdır. Uygun olan yerlerde, kullanıcılara sistem denetimlerini hükümsüz kılma izni veren, ayrıcalıklı erişim haklarının ayrımının denetimi gereğine özel olarak dikkat edilmelidir. 9.2.1 Kullanıcı kaydı Tüm çok kullanıcılı bilgi sistemlerine ve hizmetlerine erişim verilmesi için bir resmi kullanıcı kayıt olma ve kayıttan çıkma yöntemi olmalıdır. Çok kullanıcılı bilgi hizmetlerine erişim, aşağıdakileri içermek zorunda olan bir resmi kullanıcı kayıt yöntemi aracılığıyla denetlenmelidir: a) Kullanıcıların kendi işlemlerine bağlanarak bu işlemlerden sorumlu olacakları özel kullanıcı kimlikleri kullanmak. Grup kimliklerinin kullanımına sadece yürütülen iş için uygun olduğunda izin verilmelidir; b) Kullanıcının bilgi sistemini ve hizmetlerini kullanmak için, sistem sahibi tarafından yetki verildiğinin denetlenmesi. Ayrıca yönetim tarafından erişim haklarına ayrı onay verilmesi de uygun olabilir; c) Verilen erişim seviyesinin iş amaçlarına uygunluğunun (Madde 9.1) ve işletmeye ait güvenlik politikalarıyla tutarlı olmasının denetimi, örneğin görevlerin ayrımını tehlikeye atmaz (Madde 8.1.4); 29 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 d) Kullanıcılara erişim haklarıyla ilgili yazılı bir bildirge vermek; e) Kullanıcılardan erişimin şartlarını anladıklarını belirterek, bildirgeleri imzalamalarının istenmesi; f) Hizmet sağlayıcılarının, yetkilendirme yöntemleri tamamlanmadan erişim sağlamayacaklarının temin edilmesi; g) Hizmeti kullanmak için kaydolan tüm kişilerin resmi bir kaydını saklamak; h) İş değiştiren veya işletmeyi bırakan kullanıcıların erişim haklarını hemen kaldırmak; i) Belirli aralıklarda lüzumsuz kullanıcı kimliklerini ve hesaplarını kontrol etmek ve kaldırmak; j) Lüzumsuz kullanıcı kimliklerinin diğer kullanıcılara bildirilmediğinin temin edilmesi Personel sözleşmeleri içersinde ve hizmet sözleşmelerinde belirtilmiş, personel veya hizmet acenteleri tarafından teşebbüs edilen yetkisiz erişimin müeyyideleriyle ilgili maddeler de göz önüne alınmalıdır (Madde 6.1.4 ve Madde 6.3.5). 9.2.2 Ayrıcalık yönetimi Ayrıcalıkların (kullanıcıyı sistem veya uygulama denetimlerini hükümsüz kılmak konusunda etkinleştiren çok kullanıcılı bilgi sistemlerinin her özelliği veya faydaları) ayrımı ve kullanımı kısıtlanmalı ve denetlenmelidir. Sistem ayrıcalıklarının uygunsuz kullanımı çoğu kez, kırılmış sistem başarısızlıklarına en büyük katkı etkeni olarak bulunur. Yetkisiz erişimden korunması gereken çok kullanıcılı sistemler, resmi yetkilendirme süreci tarafından denetlenmiş ayrıcalıkların ayrımına sahip olmalıdır. Aşağıdaki adımlar göz önüne bulundurulmalıdır. a) İşletim sistemi, veritabanı yönetim sistemi ve her uygulama gibi her sistem ürünüyle ilişkili ayrıcalıklar, ve ayrılmaları gereken personel sınıfları tanımlanmalıdır. b) Ayrıcalıklar bireylere, kullanım gerekliliğine göre ve olaydan olaya kapsamında, ayrılmalıdır. örneğin sadece ihtiyaç olduğunda işlevsel rolleri için en az gereksinim. c) Yetki süreci ve ayrılmış olan tüm ayrıcalıkların kaydı tutulmalıdır. Yetkilendirme süreci tamamlanmadan ayrıcalıklar verilmemelidir. d) Sistem değişmeyenlerinin gelişimi ve kullanımı, kullanıcılara ayrıcalık vermekten kaçınmak için, arttırılmalıdır. e) Ayrıcalıklar, normal iş kullanımında kullanılanlardan farklı kullanıcı kimliklerine tanımlanmalıdır. 9.2.3 Kullanıcı parola yönetimi Genel anlamda parolalar, bir kullanıcının kimliğini, bilgi sistemlerine ve hizmetlerine erişim için geçerli kılmaktır. Parolaların ayrımı, resmi bir yönetim süreci aracılığıyla, aşağıdaki yaklaşımlar dahilinde denetlenmelidir: a) kullanıcılardan kişisel parolalarını gizli tutmak ve çalışma grubu parolalarını sadece grup üyelerinin içinde tutmak ( bu işe alma şartları ve koşullarında yer alabilir, Madde 6.1.4) için bir bildirge imzalamalarını istemek; b) kullanıcıların kendi parolalarını saklamaları gereken yerlerde, başlangıçta hemen değiştirmek zorunda oldukları geçici güvenli bir parola sağlandığını temin etmek. Kullanıcılar parolalarını unuttuklarında sağlanan geçici parolalar, sadece kullanıcıya ait aşağıdaki olumlu tanımlamalarla sağlanmalıdır. c) Geçici parolaların kullanıcılara güvenli bir şekilde verilmesini istemek. Üçüncü tarafların veya korunmasız (temiz metin) elektronik mesajların kullanımında kaçınılmalıdır. Kullanıcılar parolalarını aldıklarını tasdik etmelidirler. Parolalar bilgisayar sistemi üzerine asla korunmasız biçimde depolanmamalıdır. ( Biyometri, örneğin parmak izi teyidi, imza teyidi ve donanım simgelerinin kullanımı, örneğin akıllı kartlar gibi kullanıcı tanımlamaları ve yetkilendirmeleri için varolan diğer teknolojiler incelenmeli ve uygunsa düşünülmelidir) 9.2.4 Kullanıcı erişim haklarının gözden geçirilmesi Veri ve bilgi hizmetleri üzerinde etkin denetim sağlamak için, yönetim düzenli aralıklarda kullanıcıların erişim haklarını gözden geçirmek için resmi bir süreç idare etmelidir. Dolayısıyla: a) Kullanıcıların erişim hakları belirli aralıklarda ve her değişiklikten sonra gözden geçirilir (6 aylık zaman dilimi tavsiye edilir) (Madde 9.2.1); b) Özel ayrıcalıklı erişim hakları için yetkilendirmeler (Madde 9.2.2) daha sık aralıklarla gözden geçirilmelidir; 3 aylık zaman dilimi tavsiye edilir; c) Ayrıcalık ayrımları, yetkisiz ayrıcalıkların gerçekleşmediğini temin etmek için belirli aralıklarla denetlenmelidir. 30 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.3 Kullanıcı sorumlulukları Amaç: Yetkisiz kullanıcı erişiminin engellenmesi . Etkin bir güvenlik için yetkili kullanıcıların işbirliği çok önemlidir. Kullanıcılar, etkin erişim denetimlerini, özelliklede parolaların kullanımı ve kullanıcı teçhizatlarının güvenliği ile ilişkili olarak, sağlamak için sorumlulukları hakkında bilgilendirilmeliler. 9.3.1 Parola kullanımı Kullanıcılar parolaların seçimi ve kullanımında doğru güvenlik uygulamalarını izlemelilerdir. Parolalar bir kullanıcının kimliğini geçerli kılmayı ve dolayısıyla bilgi işleme araçlarına ve hizmetlerine erişim hakları kurmayı sağlarlar. Tüm kullanıcılara aşağıdakileri yapmaları önerilmelidir: a) b) c) d) Parolaları gizli tutmak; Parolaların kaydını, güvenli olarak saklanabilir olmadığı sürece, kağıt üzerine almaktan kaçınmak; Ne zaman olası bir sistem veya parola tehlikesine ait gösterge olduğunda, parolaları değiştirmek; En az 6 karakterli ve aşağıdaki nitelikleri taşıyan nitelik parolaları seçin 1) Hatırlanması kolay; 2) Kişisel bilgileri kullanarak bir başkasının kolayca tahmin edebileceği veya ele geçirebileceği biçimde olmamalı, örneğin isimler, telefon numaraları ve doğum tarihi gibi. ; 3) Ardışık tanımlayıcı karakterlerden veya hepsi sayısal veya alfabetik sırada gruplardan bağımsız olmalı e) Parolaları düzenli aralıklarda veya erişim sayısına dayalı olarak değiştirmek ( ayrıcalıklı hesaplarla ilgili parolalar normal parolalara göre daha çok sıklıkta değiştirilmelidir) ve eski parolaları tekrar kullanmaktan veya dönüştürmekten kaçınmak; f) Geçici parolayı oturumu ilk açtığınızda değiştirmek; g) Parolaları hiçbir otomatik oturum açma işleminin içinde bırakmayın, örneğin bir makro veya işlev tuşu içinde yüklenmiş; h) Bireysel kullanıcı parolalarını paylaşmayın. Eğer kullanıcılar çoklu hizmetlere ve altyapılara erişim gereksinimi duyarlarsa, ve çoklu parolaları korumaları istenirse, tüm hizmetler için, depolanmış parola için geçerli bir koruma düzeyi sağlayan tek bir nitelik parolası [ yukarıdaki d) maddesi] kullanabilecekleri bildirilmelidir . 9.3.2 Kullanıcısı belirlenmemiş teçhizat Kullanıcılar, boş teçhizatların uygun korumaları olduğundan emin olmalıdırlar. Kullanıcı alanlarında kurulmuş olan teçhizatlar, örneğin iş istasyonları veya dosya sunucuları, uzun bir süre için boş bırakıldıklarında yetkisiz erişimden korunmak için özel korunma gereksinimi duyabilirler. Tüm kullanıcılar ve anlaşmalı taraflar, boş teçhizatlarla ilgili güvenlik gereklerinin ve yöntemlerinin yanında bu tip korunmaları gerçekleştirmekteki sorumluluklarından haberdar edilmelidirler. Kullanıcılara aşağıdakileri yapmaları önerilir: a) Eğer uygun kilitleme mekanizmasıyla korunuyor değillerse, örneğin parola korumalı ekran koruyucu, etkin oturumları bittiğinde kapatmak; b) Oturum bittiğinde, bilgisayarların ana çerçevesini kapatın (örneğin sadece PC’yi veya terminali kapatın); c) PC’leri ve terminalleri bir anahtar kilit veya benzeri denetimler aracılığıyla yetkisiz kullanımdan korumak, örneğin kullanımda olmadığında parola erişimi. 31 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.4 Ağ erişimi denetimi Amaç: Ağ oluşturulmuş hizmetlerin korunması. Dahili ve harici kurulmuş ağların her ikisine de erişim denetlenmelidir. Bu, ağlara ve ağ hizmetlerine erişimi olan kullanıcıların, aşağıdakileri temin ederek ağ hizmetlerinin güvenliğini tehlikeye atmadıklarından emin olmak için gereklidir: a) İşletmenin ağları ve diğer işletmelerce sahip olunmuş ağlar, veya genel ağlar arasında uygun ara yüzler; b) Kullanıcılar ve teçhizatlar için uygun yetki mekanizması; c) Bilgi hizmetlerine kullanıcı erişiminin denetimi. 9.4.1 Ağ hizmetlerinin kullanılmasına ilişkin politikalar Ağ hizmetlerine güvenliksiz bağlantı, tüm işletmeyi etkileyebilir. Kullanıcılara doğrudan erişim izni sadece, özellikle kullanım için belirli yetki verildikleri hizmetlerde verilir. Bu denetim özellikle, duyarlı ve önemli iş uygulamaları için ağ bağlantılarında, veya yüksek riskli, örneğin işletmenin güvenlik yönetiminim ve denetiminin dışında kalan umumi veya harici alanlarda önemlidir. Ağların ve ağ hizmetlerinin kullanımıyla ilgili bir politika ifade edilmelidir. Bu aşağıdakileri kapsamalıdır: a) Erişim izni verilmiş ağlar ve ağ hizmetleri; b) Kimlerin hangi ağlara ve ağ hizmetlerine erişim izni olduğunu belirlemek için yetkilendirme yöntemleri; c) Ağ bağlantılarına ve ağ servislerine erişimi korumak için yönetim denetimleri ve süreçleri. Bu politika, iş erişim denetim politikasıyla ( Madde 9.1) uyumlu olmalıdır. 9.4.2 Zorunlu yol Kullanıcı terminalinden bilgisayar hizmetine giden yolun denetlenmesi gerekebilir. Ağlar, kaynak paylaşımı ve yönlendirme esnekliği için en fazla kapsama izin vermek üzere tasarlanırlar. Bu özellikler ayrıca iş uygulamalarına yetkisiz erişim için veya bilgi araçlarının yetkisiz kullanımı için fırsatlar da sağlarlar. Bir kullanıcı terminaliyle, kullanıcısının erişim yetkisi olan, örneğin zorunlu yol yaratmaya, bilgisayar hizmetleri arasındaki yolu kısıtlayan birleşik denetimler, bu gibi riskleri azaltabilir. Zorunlu yolun amacı, kullanıcı terminaliyle kullanıcının erişim yetkisi olan hizmetler arasındaki yolun dışında herhangi bir yolun kullanıcı tarafından seçilmesini engellemektir. Bu genelde, yolun farklı noktalarında bir dizi denetimin gerçekleştirilmesini gerektirir. İlke, önceden tanımlanmış seçimlerle, ağ üzerindeki her bir noktadaki yönlendirme seçeneklerini sınırlamaktır. Bu alandaki örnekler aşağıdaki gibidir: a) b) c) d) e) Bağlı hatları veya telefon numaralarını ayırmak; Bağlantı noktaları belirlenmiş uygulama sistemlerine veya güvenlik geçitlerine otomatik olarak bağlamak; Menü ve alt menü seçeneklerini bireysel kullanıcılar için kısıtlamak; Sayısız ağ gezelemeyi engellemek; Harici ağ kullanıcılarını, belirlenmiş uygulama sistemleri ve/veya güvenlik geçitlerini kullanmaya zorunlu bırakmak; f) Güvenlik geçitleri aracılığıyla varış noktalarıyla iletişimleri için izin verilmiş kaynakları etkin olarak denetlemek;örneğin güvenlik duvarları; g) Ayrı mantıksal etki alanları kurarak, örneğin sanal özel ağlar, ağ erişimini işletme içindeki kullanıcı grupları için( Madde 9.4.6) . Bir zorunlu yol için gereksinimler iş erişim denetimi politikasına dayanmalıdır (Madde 9. 1) 32 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.4.3 Harici bağlantılar için kullanıcı kimliği doğrulaması Harici bağlantılar, iş bilgilerine yetkisiz erişim için olasılık sağlarlar, örneğin çevirme yöntemiyle erişim. Dolayısıyla, uzak kullanıcıların erişimi, kimlik doğrulamaya tabii olmalıdır. Birçok farklı çeşitte kimlik doğrulama yöntemleri vardır, bunlardan bazıları diğerlerinden daha yüksek seviyede koruma sağlarlar, örneğin, şifreleme tekniklerin kullanımına dayalı yöntemler güçlü bir koruma sağlayabilir. Gereken koruma düzeyini, bir risk değerlemesinden belirlemek önemlidir. Buna, kimlik doğrulama yönteminin uygun seçimi için gerek duyulur. Uzak kullanıcıların kimlik doğrulamasına, örneğin şifrelemeye dayalı teknikler, donanım simgeleri veya bir kimlik sorma/yanıt protokolü kullanılarak erişilebilir. Ayrıca adanmış özel hatlar veya bir ağ kullanıcı adresi kontrol aracı da, bağlantı kaynağına ilişkin garanti sağlamak için kullanılabilir. Geri çevirme yöntemleri ve denetimleri, örneğin geri çevirme modemlerin kullanılması, bir işletmenin bilgi işleme araçlarına yetkisiz ve istenmeyen bağlantılara karşı koruma sağlayabilirler. Bu tip denetimler, uzak bir yerleşim biriminden işletmenin ağına bağlantı kurmaya çalışan kullanıcıların kimliklerini doğrular. Bu denetimi kullanırken, işletme çağrı iletmeyi içeren ağ hizmetlerini kullanmamalıdır, eğer kullanırsa, çağrı iletilmesiyle bağlantılı zayıflıktan kaçınmak için bu tip özelliklerin kullanımını etkisizleştirmelidir. Ayrıca geri arama işleminin, işletme tarafından ortaya çıkan mevcut bağlantı kesilmesini de garanti etmeyi içermesi de önemlidir. Aksi takdirde, uzak kullanıcı sanki geri arama doğrulaması gerçekleşmiş gibi göstererek hattı açık tutabilir. Geri arama yöntemleri ve denetimleri bu olasılık için derinlemesine kontrol edilmelidir. 9.4.4 Düğüm kimlik doğrulaması Uzak bir bilgisayara otomatik bağlantı kurma aracı, bir iş uygulamasına yetkisiz erişim sağlamanın bir yolunu sunar. Dolayısıyla, uzak bilgisayar sistemlerine bağlantılarda kimlik doğrulaması yapılmalıdır. Bu özellikle eğer bağlantı işletmenin güvenlik yönteminin denetimi dışında bir ağ kullanıyorsa önemlidir. Kimlik doğrulamayla ilgili bazı örneklere kimlik doğrulamaya nasıl ulaşılacağı yukarıdaki Madde 9.4.3 içinde verilmiştir. Düğüm kimlik doğrulaması, güvenli ve paylaştırılmış bilgisayar aracına bağlantı kuran uzak kullanıcı gruplarını doğrulamanın alternatif bir anlamı olarak hizmet eder (Madde 9.4.3). 9.4.5 Uzak tanılama bağlantı noktası koruması Tanılama bağlantı noktalarına erişim denetlenmelidir. Birçok bilgisayar ve haberleşme sistemleri, bakım mühendislerince kullanılmak üzere, çevirmeli bir uzak tanılama aracıyla donatılmıştır. Eğer korunmasızsa, bu tanılama bağlantı noktaları yetkisiz erişime sebep olurlar. Dolayısıyla uygun bir güvenlik mekanizmasıyla korunmalıdırlar, örneğin bir anahtar kilit ve sadece bilgisayar hizmetlerinin yöneticisiyle, erişime gereksinim duyan donanım/yazılım destek personeli arasında yapılan düzenlemelerle erişilebilir olduklarının temin edilmesine ilişkin bir yöntem. 9.4.6 Ağlardaki ayrım İş ortaklığı, bilgi işleme ve ağ araçlarını paylaşma ve karşılıklı birleştirme gerektiren bir şekilde biçimlendikçe, ağlar, giderek artan bir şekilde, geleneksel işletmeye ait sınırların çok ötesine genişlemektedir. Bu gibi genişlemeler, ağı kullanan mevcut bilgi sistemlerine yetkisiz erişim riskini arttırabilir, bunlardan bazıları duyarlılıklarından ve önemlerinden dolayı diğer ağ kullanıcılarından korunmak isteyebilirler. Bu gibi şartlarda, bilgi hizmetleri gruplarını, kullanıcıları ve bilgi sistemlerini ayırmak için ağ içersinde denetimlerin tanıtılması dikkate alınmalıdır. Geniş ağların güvenliğini denetlemenin bir yöntemi, onları ayrı mantıksal ağ etki alanlarına bölmektir, örneğin her biri tanımlanmış güvenlik çevresi tarafından korunan işletmenin dahili ağ etki alanları ve harici ağ etki alanları. Böyle bir çevre, iki etki alanı arasında erişim ve bilgi akışını denetlemek için, iki ağ arasına birbiriyle bağlantı kurmak üzere güvenlik geçidi kurularak gerçekleştirilebilir. Bu geçit, bu iki etki alanı arasındaki trafiği süzmek (Madde 9.4.7 ve Madde 9.4.8) ve işletmenin erişim denetimi politikasına (Madde 9.1) uygun olarak yetkisiz erişimleri tıkamak üzere yapılandırılmalıdır. Bu tip bir geçide örnek, yaygın olarak başvurulan güvenlik duvarıdır. Ağların etki alanlarına ayrımı için ölçüt, erişim denetimi politikasına ve erişim gereklerine dayanmalıdır (Madde 9.1) ve ayrıca uygun ağ yönlendirmelerinin veya geçit teknolojilerinin birleşiminin performans etkisini ve ilgili maliyetleri de göz önünde bulundurulmalıdır (Madde 9.4.7 ve Madde 9.4.8) 33 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.4.7 Ağ bağlantısı denetimi Paylaştırılmış ağlar için erişim denetimi politikası, özellikle işletme sınırlarının ötesine genişleyenler için, kullanıcıların bağlantı kurma kapasitelerini kısıtlamak için denetimlerin birleşmesine gerek duyabilir. Bu tip kontroller, önceden tanımlı tablolar ve kurallar kapsamında trafiği süzen ağ geçitleri aracılığıyla gerçekleştirilebilir. Uygulanan kısıtlamalar, erişim politikasına ve iş uygulamalarının gereklerine dayanmalıdır (Madde 9.1) ve buna göre korunmalı ve güncellenmelidir. Kısıtlamaların uygulanması gereken uygulama örnekleri aşağıda belirtilmiştir: a) b) c) d) e) Elektronik mesaj; Tek yönlü dosya aktarımı; Çift yönlü dosya aktarımı; Etkileşimli erişim; Günün zamanına ve tarihine bağlanmış ağ erişimi. 9.4.8 Ağ yönlendirme denetimi Paylaştırılmış ağlar, özellikle de işletme ötesine sınırları genişletilenler, bilgisayar bağlantılarının ve bilgi akışlarının iş uygulamalarına ilişkin erişim denetimi politikasını kırmadığını temin etmek için yönlendirme denetimlerinin birleşmesine gerek duyabilir (Madde 9.1). Bu denetim çoğu kez üçüncü taraflarla (işletme dışından) paylaşılmış ağlar için önemlidir. Yönlendirme denetimleri, artı kaynaklara ve varış noktası adres kontrolü mekanizmalarına dayanmalıdır. Ağları ayırmak ve yönlendirmelerin bir işletmenin ağından diğer işletmenin ağına yayılmasını önlemek için, ağ adres çevirimi de ayrıca oldukça yararlı bir mekanizmadır. Yazılım veya donanım içinde gerçekleşebilirler. Gerçekleştiriciler, yayılmış her mekanizmanın gücünden haberdar olmalıdırlar. 9.4.9 Ağ hizmetlerinin güvenliği Çok geniş çeşitlerde genel ve özel ağ hizmetleri vardır, bazıları katma değer hizmetler sunarlar. Ağ hizmetleri özel veya karmaşık güvenlik özelliklerine sahip olabilirler. Ağ hizmetlerini kullanan işletmeler, kullanılan tüm servislerin güvenlik yaklaşımlarının açık tarifinin sağlandığından emin olmalıdırlar. 9.5 İşletim sistemi erişim denetimi Amaç: Yetkisiz bilgisayar erişiminin engellenmesi. İşletim sistemi düzeyinde güvenlik araçları, bilgisayar kaynaklarına erişimi engellemek için kullanılmalıdır. Bu araçlar aşağıdakileri yapabiliyor olmalıdırlar: a) Kimliği ve eğer gerekirse her yetkili kullanıcının terminalini veya yerleşimini tanımlamak ve doğrulamak; b) Başarılı ve başarısız sistem erişimlerini kaydetmek; c) Uygun kimlik doğrulama sağlamak, eğer parola yönetimi kullanılıyorsa, nitelik parolasını temin etmeli [Madde 9.3.1d)]; d) Uygun olan yerde, kullanıcıların bağlantı zamanlarını kısıtlamak. Kimlik sorma/yanıt gibi diğer erişim denetimi yöntemleri, eğer iş riski temelinde doğrulanmışsa, mevcutturlar. 9.5.1 Otomatik terminal tanımlaması Otomatik terminal tanımlaması, belirli yerlere ve taşınabilir teçhizatlara bağlantıları doğrulamak için göz önünde bulundurulmalıdır. Otomatik terminal tanımlanması, eğer oturumun sadece belirli yerlerden veya bilgisayar terminallerinden başlaması önemliyse kullanılabilen bir tekniktir. Terminal içindeki veya terminale iliştirilmiş tanımlayıcı, bu belirli terminalin belirli işlemleri başlatmaya veya almaya izinli olup olmadığını belirlemek için kullanılabilir. Terminal tanımlayıcısının güvenliğini sağlamak için, terminale fiziksel koruma uygulamak gerekli olabilir. Kullanıcı kimliklerini doğrulamak için başka bir dizi teknikte kullanılabilir (Madde 9.4.3) 34 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.5.2 Terminal oturuma giriş işlemleri Bilgi hizmetlerine erişim güvenli, bir oturuma giriş yöntemiyle ulaşılabilir olmalıdır. Bir bilgisayar sistemine bağlanma yöntemi, yetkisiz erişimleri en aza indirmek üzere tasarlanmalıdır. Dolayısıyla, oturuma giriş yöntemi, yetkisiz kullanıcılara yardım sağlamaktan kaçınmak için sistem hakkında en az bilgiyi açığa çıkarmalıdır. İyi bir oturuma giriş yöntemi : a) Oturuma giriş başarıyla tamamlanana kadar, sistem veya uygulama tanımlayıcılarını görüntülememelidir; b) Bilgisayara sadece yetkili kullanıcıların erişim sağlaması gerektiğini belirten genel bir uyarı haberi görüntülemelidir; c) Oturuma giriş sırasında yetkisiz kullanıcılara yardım edebilecek hiçbir yardım mesajı sağlamamalıdır; d) Oturuma giriş bilgisini, sadece tüm girdi verilerinin tamamlanması üzerine geçerli kılmalıdır. Eğer bir hata durumu ortaya çıkarsa, sistem verinin hangi kısmının doğru veya yanlış olduğunu belirtmemelidir; e) İzin verilmiş başarısız oturuma giriş denemelerini sınırlamalı (üç kere tavsiye edilir) ve aşağıdakileri dikkate almalıdır: 1) Başarısız girişimleri kaydetmek; 2) Daha sonraki oturuma giriş denemelerine izin vermeden önce zaman aşımını uygulamak veya özel yetki olmadan sonraki denemeleri reddetmek; 3) Veri bağlantılarının bağlantısını kesmek; f) Oturuma giriş yöntemleri için izin verilmiş en fazla ve en az zamanı sınırlamalıdır. Eğer bu zamanlar aşılırsa, sistem oturumu sona erdirmelidir; g) Başarılı bir oturuma giriş sürecinin tamamlanmasının ardından aşağıdaki bilgileri görüntülemelidir: 1) Önceki başarılı oturuma girişlerin tarihi ve zamanı; 2) En son başarılı oturuma girişten bu yana her başarısız oturuma giriş denemesinin detayları; 9.5.3 Kullanıcı tanımlaması ve doğrulanması Tüm kullanıcılar (işlemciler, ağ yöneticileri, sistem programcıları ve veritabanı yöneticileri gibi teknik destek personelleri dahil), yapılan işlemlerin sonradan sorumlu bireyler kapsamında izlenebilmesi için, kişisel ve tek kullanımlara ilişkin özel birer tanımlayıcıya (kullanıcı kimliği) sahip olmalıdırlar. Kullanıcı kimlikleri kullanıcının ayrıcalıklı düzeyiyle ilgili, örneğin yönetici, uzman, hiçbir belirti vermemelidir. İstisna olan durumlarda, açık bir iş faydası olduğunda, bir kullanıcı grubu için veya belirli bir görev için paylaşımlı kullanıcı kimliği kullanılabilir. Bu gibi durumlarda yöneticinin onayı belgelenmelidir. Sorumluluğu korumak için ilave denetimle de gerekebilir. Bir kullanıcının iddia ettiği kimliği teyit etmek için kullanılan çeşitli doğrulama yöntemleri vardır. Tanımlama ve doğrulama (I&A) sağlamaya ilişkin en yaygın yol sayılan parolalar (Madde 9.3.1 ve aşağıda), sadece kullanıcını bildiği bir sıra dayalıdır. Aynı sonuca, şifreleme yöntemiyle ve doğrulama protokolleri aracılığıyla ulaşılabilir. Kullanıcıların sahip olduğu bellek simgeleri veya akıllı kartlar gibi öğeler de ayrıca I&A için kullanılabilir. Bireylerin özel karakteristiklerini veya davranışlarını kullanan biyometrik kimlik doğrulama teknolojileri de kişinin kimliğinin doğrulanmasında kullanılabilir. Teknolojilerin ve mekanizmaların güvenli bir şekilde bir karışımı (birleşimi) daha güçlü doğrulamayla sonuçlanacaktır. 9.5.4 Parola yönetim sistemi Parolalar, bir kullanıcının bir bilgisayar servisine erişim yetkisini geçerli kılmanın ana temellerinden biridir. Parola yönetim sistemleri, nitelik parolalarını temin eden etkili, etkileşimli araçlar sağlamalıdır. (Madde 9.3.1 parolaların kullanımı üzerine kılavuz). Bazı uygulamalar, bağımsız yetkililerce atanmış olan kullanıcı şifrelerine gereksinim duyarlar. Çoğu durumda parolalar, kullanıcılar tarafından seçilir ve korunur. 35 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 İyi bir parola yönetim sistemi: a) Sorumluluğu korumak için bireysel parolaların kullanımını zorun kılmalı; b) Uygun olan yerlerde, kullanıcılara kendi parolalarını seçme ve değiştirme hakkı tanımalı ve girdi hataları için teyit yöntemi içermelidir; c) Madde 9.3.1’de tarif edildiği gibi nitelik parolalarının seçimini zorunlu kılmalıdır; d) Kullanıcıların kendi parolalarını sağladıkları (korudukları) yerlerde, Madde 9.3.1’de tarif edildiği gibi parola değişikliklerini zorunlu kılmalıdır; e) Kullanıcıların parolaları seçtikleri yerlerde, kullanıcıları geçici parolalarını ilk oturuma giriş yapıldığında değiştirmeleri için zorlamalıdır (Madde 9. 2. 3); f) Önceki kullanıcı parolalarının bir kaydını saklamalı, örneğin önceki 12 ay için ve tekrar kullanımı engellemelidir; g) Giriş yapılırken parolaları ekranda görüntülememelidir; h) Parola dosyalarını, uygulama sistem verilerinden ayrı bir yerde saklamalıdır; i) Tek yönlü şifreleme algoritması kullanarak parolaları şifrelenmiş biçimde saklamalıdır; j) Yazılımın yüklenmesini izleyerek varsayılan sağlayıcı (satıcı) parolalarını değiştirmelidir. 9.5.5 Sistem yardımcı programlarının kullanılması Birçok bilgisayar, sistem ve uygulama denetimlerini geçersiz kılabilecek bir veya daha fazla sistem yardımcı programlarına sahiptir. Kullanımlarının kısıtlanması ve sıkı bir şekilde denetlenmesi oldukça önemlidir. Aşağıdaki denetimler göz önünde bulundurulmalıdır a) b) c) d) e) f) g) h) Kimlik doğrulama prosedürlerinin sistem yardımcı programları için kullanılması Sistem yardımcı programlarının uygulama yazılımlarından ayrı tutulması; Sistem yardımcı programların kullanımını en az sayıda güvenilir ve yetkili kullanıcılarla kısıtlanması; Sistem yardımcı programlarının plansız kullanımı için yetkilendirme; Sistem yardımcı programlarının kullanılabilirliğini sınırlamak, örneğin yetkilendirilmiş değişiklik süresince; Sistem yardımcı programlarının tüm kullanım bağlantılarını kesilmesi; Sistem yardımcı programları için yetki düzeylerinin tanımlanması ve belgelendirilmesi; Tüm gereksiz yazılım tabanlı sistem yardımcı programlarının ve sistem yazılımlarının kaldırılması. 9.5.6 Kullanıcıları korumaya alma uyarısı Baskı hedefi (hedef ) olabilecek kullanıcılar için uyarıya izin verilmesi dikkate alınmalıdır. Bu gibi bir uyarının tedarik edilip edilmemesi kararı, risklerin değerlendirmesine dayalı olmalıdır. Bir baskı uyarıya tepki (cevap) verilmesi için, tanımlanmış sorumluluklar ve yöntemler olmalıdır. 9.5.7 Terminal zaman aşımı Yüksek risk altındaki yerleşim yerlerinde olan, örneğin işletmenin güvenlik yönetiminin dışında kalan halka açık veya harici alanlar, veya yüksek risk altındaki sistemlere verilen hizmetler, etkileşimli terminaller, yetkisiz kişiler tarafından sağlanacak erişimi engellemek için, tanımlanmış bir çalışmazlık (etkinsizlik) süresinden sonra kapatılmalıdır. Bu zaman aşımı aracı, tanımlanmış belirli bir çalışmazlık süresinden sonra, terminal ekranını temizlemeli ve uygulama ve ağ oturumunun her ikisini de kapatmalıdır. Zaman aşımı gecikmesi, alanın güvenlik risklerini ve terminalin kullanıcılarını yansıtmalıdır. Bazı PC’ler için, ekranı temizleyen ve yetkisiz erişimi engelleyen fakat uygulama veya ağ oturumlarını kapatmayan zaman aşımı aracının sınırlı bir şekli sağlanabilir. 9.5.8 Bağlantı süresinin sınırlanması Bağlantı süreleri üzerindeki kısıtlamalar, yüksek riskli uygulamalar için ilave güvenlik sağlamalıdır. Bilgisayar hizmetlerinin terminal bağlantılarına izin verdiği süre boyunca, süreyi sınırlamak, yetkisiz erişim için çıkan fırsatları azaltır. Böyle bir denetim, duyarlı bilgisayar uygulamaları için, özellikle de terminalleri yüksek riskli yerleşim alanlarında olanlar için –örneğin işletmenin güvenlik yönetimi dışında kalan halka açık veya harici yerlerde-, düşünülmelidir (dikkate alınmalıdır). Bu gibi kısıtlamalara örnekler aşağıdakileri içermelidir: a) Önceden belirlenmiş zaman yuvalarının kullanımı, örneğin toplu iş dosyalarının aktarımı veya kısa süre için düzenli etkileşimli oturumlar; b) Eğer fazla çalışma(mesai) veya arttırılmış saatler işlemlerine gereksinim yoksa, bağlantı sürelerini normal iş saatiyle kısıtlamak. 36 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.6 Uygulama erişimi denetimi Amaç: bilgi sistemleri içinde tutulan bilgiye yetkisiz erişimi engellemek. Uygulama sistemleri içersinde erişimi kısıtlamak için güvenlik araçları kullanılmalıdır. Yazılım ve bilgiye mantıksal erişim, yetkili kullanıcılarla kısıtlanmalıdır. Uygulama sistemleri : a) Kullanıcıların bilgi ve uygulama sistem işlevlerine erişimini, tanımlı bir iş erişim denetimi politikasına uygun bir şekilde denetlenmelidir; b) Sistem veya uygulama denetimlerini hükümsüz kılabilecek her yardımcı program veya işletim sistemi yazılımları için yetkisiz erişimden korunma sağlamalıdır; c) Bilgi kaynaklarının paylaşıldığı diğer sistemlerin güvenliğini tehlikeye atmamalıdır; d) Bilgiye erişimi sadece sahibine, atanmış diğer yetkili kişilere, veya tanımlanmış kullanıcı gruplarına sağlayabilmelidir. 9.6.1 Bilgi erişimi kısıtlaması Destek personelleri dahil, uygulama sistemlerinin kullanıcılarına, bireysel uygulama gereklerine dayanan ve işletmeye ait bilgi erişim politikasını içeren tanımlanmış bir erişim denetimi politikasıyla (Madde 9. 1) uyumlu olarak (göre-uygun olarak) bilgi ve uygulama sistemleri işlevlerine erişim sağlanmalıdır. Erişim kısıtlaması gereklerini desteklemek üzere aşağıdaki denetimlerin uygulanması göz önünde bulundurulmalıdır: a) Uygulama sistem işlevlerine erişimi denetlemek için menüler sağlamak; b) Kullanıcıların, erişim yetkileri olmayan bilgi veya uygulama sistemi işlevleri hakkındaki bilgilerini, uygun kullanıcı belgelendirmeleri yazarak, kısıtlamak; c) Kullanıcıların erişim haklarını denetlemek, örneğin okumak, yazmak, silmek ve yürütmek; d) Duyarlı bilgiler bulunduran uygulama sistemlerinden çıktıların sadece çıktının kullanımıyla ilgili ve sadece yetkili terminallere ve yerleşimlere gönderilen-gereksiz bilgi fazlalığının kaldırıldığını garanti etmek için bu gibi çıktıların belirli zamanlarda gözden geçirilmesi de dahil, bilgileri içerdiğini temin etmek. 9.6.2 Duyarlı sistem yalıtımı Duyarlı sistemler, yalıtılmış bilgi işlem ortamlarına gerek duyabilirler. Bazı uygulama sistemleri, olası kayıplara o kadar duyarlıdır ki özel bakıma(idare-kullanım) gereksinim duyarlar. Duyarlılık, uygulama sisteminin özel görevli bir bilgisayarda çalışması gerektiğini, sadece güvenli uygulama sistemleriyle kaynakları paylaşması gerektiğini veya hiçbir kısıtlamasının bulunmadığını belirtebilir. Aşağıdakiler düşünceler uygundur. a) Bir uygulama sisteminin duyarlılığı, uygulama sahibi tarafından açıkça tanımlanmış ve belgelendirilmiş olmalıdır (Madde 4.1.3). b) Bir duyarlı uygulama paylaştırılmış bir ortamda çalışmak zorunda olduğunda, kaynakları paylaşacak olduğu uygulama sistemleri tanımlanmış ve duyarlı uygulamanın sahibi tarafından onaylanmış olmalıdır. 9.7 Sistem erişiminin gözlenmesi ve kullanımı Amaç: Yetkisiz işlemlerin tespit edilmesi. Sistemler, erişim denetim politikasından sapmaları tespit etmek için gözlenmeli ve güvenlik arızalarının çıkması ihtimaline karşı bulgu sağlayabilmek için gözlenebilir olayları kaydetmelidir. Sistemin gözlenmesi, kabul edilmiş (benimsenmiş) denetimlerin etkinliğinin kontrol edilmesine ve erişim politikası modeline (Madde 9.1) uygunluğunun teyit edilmesine izin verir. 37 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 9.7.1 Olay kayıtlarının tutulması Kontrol günlükleri kaydetme istisnaları ve güvenlikle ilgili diğer olaylar üretilmeli ve gelecek araştırmalarına ve erişim denetimi gözlemlerine yardımcı olmak üzere anlaşma sağlanmış bir zaman süre boyunca saklanmalıdır. Kontrol günlükleri ayrıca aşağıdakileri içermelidir: a) b) c) d) e) Kullanıcı kimlikleri; Oturuma giriş ve çıkış tarihleri ve zamanları; Eğer mümkünse terminal kimliği veya yerleşimi; Başarılı ve reddedilmiş sistem erişim denemelerine ilişkin kayıtlar; Başarılı ve reddedilmiş veri ve diğer kaynak erişim denemelerine ilişkin kayıtlar; Belirli kontrol günlüklerinin, kayıt tutma politikasının bir parçası olarak veya bulgu toplamak için gereklerden dolayı, arşivlenmesi istenebilir (Madde 12). 9.7.2 Sistem kullanımının gözlenmesi 9.7.2.1 Yöntemler ve risk alanları Bilgi işleme araçlarının kullanımının gözlenmesine ilişkin yöntemler oluşturulmalıdır. Bu gibi yöntemler, kullanıcıların sadece açıkça yetkilendirildikleri işlemleri gerçekleştiriyor olduklarını temin etmek içi gereklidir. Bireysel araçlar için gerek duyulan gözlem düzeyi, bir risk değerlendirmesi tarafından belirlenmelidir. Dikkate alınması gereken alanlar şunlardır: a) Aşağıdaki detayları içeren yetkili erişim : 1) 2) 3) 4) 5) Kullanıcı kimliği; Anahtar olayların tarihi ve zamanı; Olayların biçimleri; Erişilen dosyalar; Kullanılan program/yardımcı programlar; b) Tüm ayrıcalıklı işlemler, örneğin: 1) Denetleyici hesabının kullanımı; 2) Sistem başlama ve durması; 3) I/O aygıt eklentisi/ayrılması; c) Yetkisiz erişim denemeleri, örneğin: 1) Başarısız denemeler; 2) Geçitler ve güvenlik duvarları için erişim politikası ihlalleri ve bildirmeleri; 3) Kişiye özel izinsiz giriş tetkik sistemlerinden uyarılar; d) Sistem uyarıları veya başarısızlıkları, örneğin: 1) Konsol uyarıları veya mesajları; 2) Sistem günlük istisnaları; 3) Ağ yönetim uyarıları. 9.7.2.2 Risk etkenleri Gözleme işlemlerinin sonuçları düzenli aralıklarla gözden geçirilmelidir. Gözden geçirmenin sıklığı, kapsadığı risklere bağlı olmalıdır. Dikkate alınması gereken risk etkenleri aşağıdakileri içermelidir: a) b) c) d) Uygulama işlemlerinin önem derecesi; İlgili bilginin değeri, duyarlılığı veya önemi; Sistem sızmalarına ve yanlış kullanımlarına ait geçmiş deneyimler; Sistem bağlantılarının kapsamı (özellikle herkese açık ağlar). 9.7.2.3 Olayları günlükleme ve gözden geçirme Bir günlük gözden geçirmesi, sistemin karşılaştığı tehditleri ve bunları oluşturan davranışları anlamayı kapsar. Güvenlik arızaları ihtimaline karşı başka araştırmalara gerek duyulabilen olaylara örnekler Madde 9.7.1’de verilmiştir. 38 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Sistem günlükleri çoğu kez, çoğu güvenlik gözlemleri dışında kalan geniş çaplı bilgi içerir. Güvenlik gözlemlerinin amaçları doğrultusunda önemli olayların tanımlanmasına yardımcı olmak için, uygun mesaj biçimlerini otomatik olarak ikinci günlüğe kopyalamak, ve/veya uygun sistem yardımcı programlarının veya kontrol araçlarının dosya sorgulaması için kullanımı dikkate alınmalıdır. Günlük gözden geçirmesi için sorumluluklar tahsis edildiğinde, gözden geçirmeyi üstlenen kişi(ler) ile işlemleri gözlenen kişiler arasında rollerin bir ayrımı dikkate alınmalıdır. Günlükleme aracına özel bir dikkat verilmelidir çünkü eğer karıştırılırsa güvenlikle ilgili yanlış bir his (göstermelik) sağlayabilir. Denetimler aşağıdakileri de içeren yetkisiz değişimlere ve işletim sorunlarına karşı koruma amaçlamalılardır. a) b) c) d) Pasifleştirilen günlükleme aracı; Kaydedilen mesaj biçimlerinde değişiklikler; Yazılan veya silinen günlük dosyaları; Tükenmiş hale gelen günlük dosyası ortamı, ve ya olayları kaydetme başarısızlığı ya da kendi üstüne yazma. 9.7.3 Saat vurusu senkronizasyonu Bilgisayar saatlerinin doğru ayarlanması, araştırmalar için, veya yasal veya disiplinlik durumlarda bulgu(delil) olarak gerek duyulabilen kontrol günlüklerinin doğruluğunu temin etmek açısından önemlidir. Doğru olmayan kontrol günlükleri, bu gibi araştırmaları aksatabilir ve bu gibi bulguların güvenilirliğine hasar verebilir. Bir bilgisayarın veya haberleşme aygıtının bir gerçek-zaman saatini çalıştırma kapasitesine sahip olduğu yerlerde, saat onaylanmış bir standardda, örneğin Koordine Edilmiş Evrensel Zaman (UCT) veya yerel standard zaman ayarlanmalıdır. Bazı saatlerin zamanla saptığı bilindiğinden dolayı, herhangi önemli bir sapmayı kontrol eden ve düzelten bir yöntem oluşturulmalıdır. 9.8 Mobil bilgi işlem ve uzaktan çalışma Amaç: Mobil bilgi işlem ve uzaktan çalışma araçları kullanıldığında bilgi güvenliğinin temin edilmesi. Gereken koruma, bu özel çalışma yollarının riskleriyle orantılı olmalıdır. Mobil bilgi işlem kullanıldığında, korunmasız çevrelerde çalışmaya ait riskler dikkate alınmalı ve uygun koruma yöntemleri uygulanmalıdır. Uzaktan çalışma gerektiğinde, işletme çalışılan alana uygun koruma sağlamalı ve bu çalışma şekilleri için uygun düzenlemelerin yapıldığını temin etmelidir. 9.8.1 Mobil bilgi işlem Mobil bilgi işlem araçlarını kullanırken, örneğin defter tipi bilgisayarlar, avuç içi bilgisayarlar, diz üstü bilgisayarlar ve cep telefonları, iş bilgilerinin tehlikeye atılmadığına dair özel bir önem gösterilmelidir. Mobil bilgi işlem araçlarıyla, özelliklede korunmasız çevrelerde, çalışmanın risklerini dikkate alan resmi bir politika benimsenmelidir. Örneğin, bu gibi bir politika fiziksel korunma, erişim denetimi, şifreleme teknikleri, yedeklemeler ve virüs koruması için gerekleri içermelidir. Bu politika ayrıca mobil araçların ağlara bağlantısı üzerine kurallar ve tavsiyeleri ve bu araçların halka açık yerlerde kullanımına ait kılavuzları da kapsamalıdır. Mobil bilgi işlem araçlarını, halka açık yerlerde, toplantı odalarında ve işletmenin çevresi dışında kalan diğer korunmasız alanlarda kullanırken dikkat edilmelidir. Bu araçlar tarafından saklanan ve işlenen bilgilere yetkisiz erişimi ve bu bilgilerin açığa çıkarılmasını önlemek üzere koruma sağlanmalıdır, örneğin şifreleme tekniklerini kullanmak (Madde 10.3). Bu gibi araçlar halka açık yerlerde kullanıldığında, yetkisiz kişilerce izlenme riskini önlemek üzere dikkat edilmelidir. Zararlı yazılımlara karşı yöntemler yer almalıdır ve güncel olarak korunmalıdır (Madde 8.3). Teçhizatlar hızlı ve kolay yedeklemeyi etkinleştirmek üzere kullanılabilir olmalıdır. Bu yedeklemelere, hırsızlık veya bilgi kaybı gibi tehditlere karşı uygun koruma sağlanmalıdır. Ağlara bağlanmış olan mobil araçların kullanımına uygun koruma sağlanmalıdır. Mobil bilgi işlem araçları kullanarak genel ağ üzerinden iş bilgilerine uzaktan erişim, ancak başarılı tanımlama ve doğrulamadan, ve uygun erişim denetimi mekanizmaları (Madde 9.4) olduktan sonra gerçekleşmelidir. 39 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Mobil bilgi işlem araçları ayrıca, hırsızlığa karşı özellikle, örneğin araba veya diğer taşıma araçları içinde, otel odalarında, konferans merkezlerinde ve toplantı alanlarında bırakıldıklarına, fiziksel olarak korunmalıdır. Önemli, duyarlı ve/veya kritik iş bilgileri taşıyan teçhizatlar, başıboş bırakılmamalı ve mümkün olan yerlerde fiziksel olarak kilitlenmeli, veya donanımı korumak için özel kilitler kullanılmalıdır. Mobil teçhizatların fiziksel olarak korunmasına ilişkin daha fazla bilgi Madde 7.2.5’te bulunmaktadır. Mobil bilgi işlem araçlarını kullanan personelin, bu çalışma şeklinden doğan ilave risklerin farkında olmaları ve gerçekleştirilmesi gereken denetimler için personel eğitimleri düzenlenmelidir. 9.8.2 Uzaktan çalışma Uzaktan çalışma, işletme dışında, belirlenmiş bir yerleşimde, personelin uzaktan çalışmalarını etkin kılmak için haberleşme teknolojilerini kullanır. Uzaktan çalışma alanına ilişkin, örneğin donanımın ve bilginin çalınması, bilginin yetkisiz olarak açığa çıkması, işletmenin dahili sistemine yetkisiz uzaktan erişim veya araçların amaç dışı kullanımı gibi tehditlere karşı uygun, koruma sağlanmalıdır. Uzaktan çalışmanın, yönetim tarafından hem yetkilendirilmiş hem de denetlenmiş olması ve bu tip çalışmalarla ilgili düzenlemelerin olması önemlidir İşletmeler, uzaktan çalışma işlemlerini denetlemek için bir politika, yöntemler ve standardlar geliştirmeyi dikkate almalıdır. İşletmeler ancak, uygun güvenlik düzenlemelerinin ve denetlemelerinin gerçekleşiyor olduğundan ve bunların işletmenin güvenlik politikasıyla uyumlu olduğundan tatmin olduktan sonra uzaktan çalışma faaliyetlerine yetki vermelidirler. Aşağıdakiler göz önünde bulundurulmalıdır: a) Binanın ve yerel çevrenin fiziksel güvenliğini dikkate alınarak, uzaktan çalışma alanının mevcut fiziksel güvenliği; b) Önerilen uzaktan çalışma çevresi; c) İşletmenin dahili sistemlerine uzaktan erişime gereksinimi, erişilecek ve haberleşme hattından geçirilecek olan bilginin duyarlılığı ve dahili sistemin duyarlılığı dikkate alınarak haberleşme güvenlik gerekleri; d) Bilgiye veya kaynaklara, yerleşim yerini kullanan diğer insanlar tarafından, örneğin aile, arkadaşlar, yetkisiz erişime ilişkin tehditler. Dikkate alınması gereken denetimler ve düzenlemeler aşağıdakileri da içermelidir: a) Uzaktan çalışma işlemleri için uygun donanım ve depolama mobilyaları sağlanması; b) İzin verilmiş işin bir tarifi, iş saatleri, bilginin sınıflandırılması, ve uzaktan çalışan kişinin erişim yetkisi olan dahili sistemler ve hizmetler; c) Uzaktan erişimi güvenli kılmak için yöntemleri de içeren uygun haberleşme teçhizatlarının sağlanması; d) Fiziksel güvenlik; e) Teçhizatlara ve bilgiye aile ve ziyaretçilerin erişimiyle ilgili kurallar ve kılavuz; f) Donanım ve yazılım destek ve bakımının sağlanması. g) Yedekleme ve iş sürekliliğiyle ilgili yöntemler; h) Kontrol ve güvenlik gözlemesi; i) Yetkinin, erişim haklarının iptali, ve uzaktan çalışma işlemleri sona erdiğinde donanımın geri dönüşü. 10 Sistem geliştirilmesi ve idamesi 10.1 Sistem güvenlik gerekleri Amaç: Bilgi işlem sistemleri içerisinde güvenliğin kurulmasının temin edilmesi. Bu, altyapıyı, mesleki uygulamaları ve kullanıcı tarafından geliştirilmiş uygulamaları içerir. Uygulamayı ya da hizmeti destekleyen meslek prosesinin tasarımı ve kurulması güvenlik açısından önemli olabilir. Bilgi işlem sistemlerinin geliştirilmesinden önce, güvenlik gerekleri belirlenmeli ve bu konuda uzlaşmaya varılmalıdır. Son çare düzenlemeleri de dahil olmak üzere tüm güvenlik gerekleri projenin gerekler fazında belirlenmeli ve doğrulanmalı, bu konuda uzlaşmaya varılmalı ve bilgi işlem sistemine ilişkin tüm iş hadisesinin bir parçası olarak belgelenmelidir. 40 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 10.1.1 Güvenlik gereklerinin analizi ve özelleştirilmesi Yeni sistemlere ilişkin iş gerekleri beyanları ya da varolan sistemlere katkılar kontrollere ilişkin gerekleri belirtmelidir. Bu tür özelleştirmeler, sistem içerisine eklenecek otomatik kontrolleri ve elle kontrollerin desteklenmesi gerekliliğini göz önünde bulundurmalıdır. İş uygulamalarına yönelik yazılım paketleri değerlendirilirken de benzer konular dikkate alınmalıdır. Güvenlik gerekleri ve kontroller ilgili bilgi desteklerinin ve güvenlikteki bir aksaklıktan ya da güvenlik yoksunluğundan doğabilecek muhtemel iş kaybının iş açısından değerini yansıtmalıdır. Güvenlik gereklerini incelemeye ve bunları karşılayacak olan kontrolleri belirlemeye ilişkin altyapı risk değerlendirmesi ve risk denetimidir. Tasarım aşamasında yürütülen kontrollerin kurulması ve bakımı, kurulum sırasında ya da kurulumdan sonra dahil edilenlere göre, belirgin ölçüde daha ucuzdur. 10.2 Uygulama sistemlerinde güvenlik Amaç: Uygulama istemlerindeki kullanıcı verilerinin kaybedilmesini, değişmesini ya da hatalı kullanımının önlenmesi. Uygulama sistemleri içerisine yerleştirilmek üzere, kullanıcı yazılı uygulamaları da dahil olmak üzere, uygun kontroller ve kontrol zincirleri ya da etkinlik kayıtları tasarlanmalıdır. Bunlar arasında, girilen verilerin, iç işleyişin ve son verilerin geçerli kılınması yer almalıdır. Hassas, değerli ya da kritik kurumsal varlıkları işleyen, bunlar üzerinde etkili olan sistemler için ek kontroller gerekli olabilir. Bu tür kontroller güvenlik gerekleri ve risk değerlendirmesi esasına dayalı olarak belirlenmelidir. 10.2.1 Girdi verilerin geçerli kılınması Uygulama sistemlerine veri girişi doğruluk ve uygunluk açısından geçerli kılınmalıdır. İş hareketleri, daimi veriler (isim ve adresler, kredi limitleri, müşteri referans numaraları) ve parametre tabloları (satış fiyatları, döviz kurları, vergi oranları) girişlerine kontroller uygulanmalıdır. Aşağıdaki kontroller göz önünde bulundurulmalıdır: a) Aşağıdaki hataları denetlemek üzere ikili giriş ya da diğer giriş kontrolleri: 1) 2) 3) 4) 5) Sıra-dışı değerler; Veri alanlarında geçersiz karakterler; Eksik ya da tamamlanmamış veriler; Veri hacmi üst yada alt sınırlarının aşılması; Yetkisiz ya da yetersiz kontrol verileri; b) Geçerliliğinin ve bütünlüğünün doğrulanması için anahtar alanların ya da veri dosyalarının içeriklerinin periyodik olarak gözden geçirilmesi; c) Veri girişlerine ilişkin yetkisiz herhangi bir değişiklik açısından basılı kopya giriş dosyalarının denetlenmesi (giriş dosyalarındaki tüm değişiklikler yetkili kılınmalıdır); d) Geçerli kılma hatalarına yanıt verme işlemleri; e) Veri girişi olasılığını test etmeye yönelik işlemler; f) Veri girişi işleminde görev alan tüm personelin sorumluluklarının tanımlanması. 10.2.2 İç işleyişin kontrolü 10.2.2.1 Risk alanları Doğru bir şekilde girilen veriler hatalı kullanım nedeniyle veya kasıtlı olarak zarara uğratılabilir. Bu tür zararların saptanması amacıyla, sistemler içerisine geçerli kılma kontrolleri yerleştirilmelidir. Uygulamaların tasarımı bütünlük kaybına yol açabilecek işletim hataları riskinin asgariye indirilmesini sağlayacak kısıtlamaların yerleştirilmesini temin etmelidir. Dikkate alınması gereken özel alanlar arasında şunlar yer almaktadır: 41 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 a) Veri değişikliklerini yerleştirmek amacıyla, programlardaki ekleme ve silme işlevlerinin kullanımı ve yerleşimi; b) Programların yanlış sırayla çalışmasını ya da ilk işlemde bir hatadan sonra çalışmasını önlemeye yönelik işlemler (Madde 8.1.1); c) Verilerin doğru işlemesini temin etmek üzere hataların düzeltilmesine yönelik doğru programların kullanımı. 10.2.2.2 Denetimler ve kontroller Gerekli kontroller uygulamanın özelliklerine ve herhangi bir veri tacizinin işe etkisine bağlı olacaktır. Uygulanabilecek kontrollere örnekler arasında aşağıdakiler yer almaktadır: a) Aktarım güncellemelerinden sonra veri dosyasını yeniden derlemek amacıyla, oturum ya da toplu iş kontrolleri; b) Bir önceki kapanış dengelerine karşılık açılış dengelerini kontrol etmek için dengeleyici kontroller; ismen: 1) Kullanımdan-kullanıma kontroller; 2) Dosya güncelleme toplamları; 3) Programdan-programa kontroller; c) Sistem-kökenli verilerin geçerli kılınması (Madde 10. 2.1); d) Merkezi ve uzak bilgisayarlar arasında uzaktan yüklenen ya da uzağa yüklenen yazılımların ya da verilerin bütünlüğü üzerinde kontroller (Madde 10.3.3); e) Kayıtların ve dosyaların denetim toplamı; f) Uygulama programlarının doğru zamanda yapılmasını temin eden denetimler; g) Programların doğru sırayla çalışmasını ve hata durumunda sonlandırılmasını ve sorun giderilinceye kadar işlememesini temin etmek üzere denetimler. 10.2.3 Mesaj kimliğinin doğrulanması Mesaj kimliğinin doğrulanması gönderilen elektronik bir mesajın içeriğine uygulanan yetkisiz değişikliklerin ya da tacizin saptanması için kullanılan bir tekniktir. Fiziksel bir mesaj kimliği doğrulama gerecini ya da yazılım algoritmasını destekleyen bir donanım ya da yazılım içerisine yerleştirilebilir. Yüksek öneme sahip elektronik fon transferi, ruhsatlar, sözleşmeler, teklifler, vb ya da diğer elektronik veri alış verişleri gibi mesaj içeriğinin bütünlüğünün korunmasına ilişkin bir güvenlik gereksinimi olan uygulamalar için mesaj kimliğinin doğrulanması düşünülmelidir. Mesaj kimliğinin doğrulanmasının gerekip gerekmediği ve en uygun yerleştirme yönteminin belirlenmesi için güvenlik risklerinin bir değerlendirilmesi yapılmalıdır. Mesaj kimliğinin doğrulanması yetkisiz bir ifşadan bir mesajın içeriğinin korunması amacıyla tasarlanmamıştır. Kriptografik teknikler (Madde 10.3.2 ve Madde 10.3.3) mesaj kimliğinin doğrulanmasının yerleştirilmesi için uygun bir yöntem olarak da kullanılabilir. 10.2.4 Çıktı verilerinin geçerli kılınması Depolanan verilerin işlenmesinin doğru ve çevreye uygun olmasını temin etmek için, bir uygulama sistemine ilişkin veri çıktıları geçerli kılınmalıdır. Tipik olarak, sistemler uygun geçerli kılmanın, doğrulamanın ve çıktı denetiminin üstlenilmesinin daima doğru olacağı esasına dayalı olarak inşa edilir. Ancak durum her zaman böyle değildir. Çıktı geçerli kılınması aşağıdakileri içerebilir: a) Çıkış verilerinin nedensel olup olmadığının denetlenmesi için makul olma denetimleri; b) Tüm verilerin işlenmesini temin etmek için yeniden derleme kontrol sayıları; c) Bilginin doğruluğunu, tamlığını, kesinliğini ve sınıflandırılmasını belirlemek üzere, okuyucu ya da ardıl işletim sistemi için yeterli bilgi sağlamak; d) Çıktı geçerli kılma testlerine yanıt verme prosedürleri; e) Veri çıktı işleminde görev alan tüm personelin belirlenmesi. 42 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 10.3 Kriptografik kontroller Amaç: Bilginin gizliliği, aslına uygunluğu ya da bütünlüğününün korunması. Risk altında olduğu sanılan ve diğer kontrollerin yeterince koruma sağlamadığı bilginin korunması için kriptografik sistemler ve teknikler kullanılmalıdır. 10.3.1 Kriptografik kontrollerin kullanımına ilişkin politika Kriptografik bir çözümün uygun olup olmadığı konusunda bir karar vermek risklerin değerlendirilmesi ve kontrollerin seçilmesi yolundaki daha geniş bir işlemin bir parçası olarak görülmelidir. Bilginin verilmesi gereken seviyesinin belirlenmesi için bir risk değerlendirmesi yapılmalıdır. Daha sonra bu değerlendirme, kripografik bir kontrolün uygun olup olmadığını, ne tür ve hangi amaçla ve hangi iş etkinlikleri için bir kontrol uygulanması gerektiğini belirlemek için kullanılabilir. Bir kuruluş, bilgilerinin korunmasına yönelik kriptografik kontrollerin kullanımına ilişkin bir ilke geliştirmelidir. Kriptografik teknikler kullanmanın yararlarını azamileştirmek ve risklerini asgarileştirmek ve de uygunsuz veya yanlış kullanımını engellemek için bu tür bir ilke gereklidir. Bir ilke geliştirilirken aşağıdakiler göz önünde bulundurulmalıdır: a) İş bilgilerinin korunacağı genel prensipleri de içeren, kuruluş içerisinde kriptografik kontrollerin kullanımına yönelik denetim yaklaşımı; b) Kayıp, tehlike altında ya da zarar görmüş anahtarlar söz konusu olduğunda, şifrelenmiş bilgilerin kurtarılmasına yönelik yöntemler de dahil olmak üzere, anahtar denetimine yaklaşım; c) Görevler ve sorumluluklar, örneğin, aşağıdakilerden kimlerin sorumlu olduğu: d) Politikanın yerleştirilmesi; e) Anahtar denetimi; f) Kriptografik korumanın uygun seviyesinin nasıl belirleneceği; g) Kuruluş çapında etkin yerleşimin sağlanması için edinilmesi gereken standardlar (hangi iş etkinlikleri için hangi çözümün kullanılacağı). 10.3.2 Şifreleme Şifreleme, bilginin gizliliğini korumak için kullanılabilecek kriptografik bir tekniktir. Hassa veya kritik bilgilerin korunması için düşünülmelidir. Bir risk değerlendirmesine dayalı olarak, kullanılan şifreleme algoritmasının türü ve kalitesi ve kullanılacak kriptografik anahtarların uzunluğu dikkate alınarak gerekli koruma seviyesi belirlenmelidir. Kuruluşun kriptografik politikası yerleştirilirken, dünyanın farklı yerlerinde kriptografik tekniklerin kullanımına ilişkin olası düzenlemeler ve ulusal kısıtlamalar şifrelenmiş bilgilerin sınır ötesi akışı konuları dikkate alınmalıdır. Ek olarak, kriptografik teknolojinin ithalat ve ihracatına ilişkin kontroller de dikkate alınmalıdır (Madde 12.1.6). Uygun koruma seviyesinin belirlenmesi, gerekli korumayı ve güvenli bir anahtar denetim sisteminin yerleştirilmesini sağlayacak uygun ürünlerin seçilmesi için uzman görüşü alınmalıdır (Madde 10. 3. 5). Ek olarak, kuruluşun niyetlendiği şifrelemenin kullanımına ilişkin yasalar ve düzenlemeler ile ilgili yasal önerilerin alınması da gerekebilir. 10.3.3 Sayısal imzalar Sayısal imzalar elektronik dosyaların aslına uygunluğunu ve bütünlüğünü korur. Bunlar, örneğin, elektronik bir dosyayı kimin imzaladığının doğrulanmasının ve imzalanmış dosyanın içeriğinin değiştirilip değiştirilmediğinin kontrol edilmesinin gerektiği elektronik ticarette kullanılabilir. Sayısal imzalar elektronik olarak işlenen her tür dosyaya uygulanabilir; örneğin, elektronik ödemeleri, fon transferlerini, sözleşmeleri ve anlaşmaları imzalamak için kullanılabilir. Sayısal imzalar bir anahtarın bir imza yaratmak için (özel anahtar) diğerinin ise imzayı kontrol etmek için (açık anahtar) kullanıldığı özdeş ilişkili bir anahtar çiftine dayalı kriptografik bir teknik kullanılarak yerleştirilebilir. 43 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Özel anahtarın gizliliğinin korunmasına özen gösterilmelidir. Bu anahtara ulaşabilen herhangi biri ödemeler, sözleşmeler gibi belgelere imza atabileceğinden ve bu nedenle bu anahtar sahibinin imzasını kopya edeceğinden, bu anahtar saklı tutulmalıdır. Ek olarak, açık anahtarın bütünlüğünün korunması da önemlidir. Bu koruma bir açık anahtar sertifikası kullanılarak sağlanır (Madde 10. 3. 5). Kullanılan imza algoritmasının türü ve kalitesi ve kullanılacak anahtarların uzunluğu konularında dikkat gösterilmelidir. Sayısal imzalar için kullanılan kriptografik anahtarlar şifreleme için kullanılanlardan farklı olmalıdır (Madde 10.3.2). Sayısal imzalar kullanılırken, sayısal bir imzanın yasal olarak bağlayıcı olduğu durumları tarif eden ilgili herhangi bir yasal düzenlemeye dikkat gösterilmelidir. Örneğin, elektronik ticarette, sayısal imzaların yasal durumunu bilmek önemlidir. Yasal altyapının yetersiz olduğu durumlarda, sayısal imzaların kullanımını destekleyecek bağlayıcı sözleşmeler veya başka anlaşmalar yapmak gerekebilir. Kuruluşun sayısal imza kullanma amacına uyan yasalar ve düzenlemelerle ilgili yasal danışmanlık alınmalıdır. 10.3.4 İnkar edememe servisleri Elektronik bir sözleşme ya da ödeme üzerindeki sayısal imzanın kullanımına ilişkin bir anlaşmazlık gibi bir olay ya da davranışın varlığı ya da yokluğu hakkında anlaşmazlıkların çözülmesi gerektiğinde nonrepudiation services kullanılmalıdır. Bunlar, elektronik posta kullanılarak sayısal olarak imzalanmış bir talimatın gönderilmesinin yalanlanması gibi, belli bir olayın ya da davranışın gerçekleşip gerçekleşmediğini doğrulayacak kanıtlar oluşturulmasına yardımcı olabilir. Bu hizmetler şifreleme ve sayısal imza tekniklerinin kullanımına dayanmaktadır (Madde 10.3.2 ve Madde 10.3.3). 10.3.5 Anahtar Yönetimi 10.3.5.1 Kriptografik anahtarların korunması Kriptografik anahtarların yönetimi kriptografik tekniklerin etkin kullanımı için gereklidir. Kriptografik anahtarların herhangi bir zarara uğraması ya da kaybı bilginin gizliliğinin, aslına uygunluğunun ve/veya bütünlüğünün zarar görmesine neden olabilir. Kuruluşun aşağıda belirtilen iki tür kriptograik tekniği kullanmasını destekleyecek bir yönetim sistemi yerini almalıdır: a) İki ya da daha fazla tarafın aynı anahtarı paylaştığı ve bu anahtarın bilginin şifrelenmesi ve deşifre edilmesi için kullanıldığı durumlarda gizli anahtar teknikleri. Bu anahtara ulaşabilen herhangi biri bu anahtarla şifrelenmiş bilgileri deşifre edebileceğinden ya da yetkisiz bilgiler ekleyebileceğinden bu anahtar gizli tutulmalıdır; b) Her kullanıcının bir açık anahtar (herhangi bir kişiye açıklanabilen) ve bir özel anahtar (gizli tutulması gereken) olmak üzere, bir anahtar çiftine sahip olduğu açık anahtar teknikleri. Açık anahtar teknikleri şifreleme amacıyla (Madde 10.3.3) ve sayısal imzalar oluşturmak için kullanılabilir. Tüm anahtarlar değiştirilmeye ve tahrip edilmeye karşı korunmalıdır ve gizli ve özel anahtarlar yetkisiz ifşaya karşı korunmaya gereksinim duymaktadır. Kriptografik teknikler bu amaçla da kullanılabilir. Anahtarları üretmek, saklamak ve arşive kaldırmak için kullanılan ekipmanın korunması için fiziki koruma kullanılmalıdır. 10.3.5.2 Standardlar, prosedürler ve yöntemler Bir anahtar yönetim sistemi aşağıdaki konular için üzerinde uzlaşmaya varılmış bir standardlar, prosedürler ve güvenli yöntemler kümesine dayandırılmalıdır: a) Farklı kriptografik sistemler ve farklı uygulamalar için anahtarlar üretmek; b) Açık anahtar sertifikaları üretmek ve edinmek; c) Teslim alındığında anahtarların nasıl etkinleştirileceği de dahil olmak üzere, anahtarların amaçlanan kullanıcılara dağıtılması; d) Yetkili kullanıcıların anahtarlara nasıl erişebileceği de dahil olmak üzere, anahtarların saklanması; e) Kurallar ve anahtarların ne zaman değiştirilmesi gerektiği ve bunun nasıl yapılması gerektiği konusundaki kurallar da dahil olmak üzere, anahtarların değiştirilmesi ya da güncellenmesi; f) Zarar görmüş anahtarlara müdahale; g) Anahtarlar zarara uğradığında ya da bir kullanıcı bir kuruluştan ayrıldığında (ki bu durumda da anahtarlar arşive kaldırılmalıdır) olduğu gibi, anahtarların nasıl geri çekilmesi ya da deaktive edilmesi gerektiği de dahil olmak üzere, anahtarların geri alınması; h) Şifrelenmiş bilginin kurtarılması için olduğu gibi, iş devamlılığının yönetiminin bir parçası olarak, kaybolan ya da kötüye kullanılan anahtarların kurtarılması; i) Arşivlenmiş ya da yedeklenmiş bilgiler için olduğu gibi, anahtarların arşivlenmesi; 44 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 j) Anahtarların ortadan kaldırılması; k) Anahtar yönetimi ile ilişkili etkinliklerin kaydı ve tetkiki. Zarar görme olasılığını azaltmak amacıyla, sınırlı bir süre boyunca kullanılabilmeleri için anahtarların tanımlanmış aktivasyon ve deaktivasyon tarihleri olmalıdır. Bu süre kriptografik kontrolün kullanıldığı ortamlara ve öngörülen riske bağlı olmalıdır. Kriptografik anahtarlara erişimle ilgili yasal taleplerin karşılanması için prosedürlerin dikkate alınması gerekebilir; örneğin, şifrelenmiş bilginin bir duruşma sırasında delil olarak deşifre edilmiş halde bulundurulması gerekebilir. Gizli ve özel anahtarların güvenli bir şekilde yönetilmesi konusuna ek olarak, açık anahtarların korunması da dikkate alınmalıdır. Birinin kullanıcılardan birine ait açık bir anahtarı kendisininkiyle değiştirerek sayısal bir imzayı taklit etmesi tehdidi söz konusudur. Bu sorun bir açık anahtar sertifikası kullanılarak giderilmeye çalışılır. Bu sertifikalar açık/özel anahtar çiftinin sahibi ile ilişkili bilgiyi eşsiz olarak açık anahtar ile bağdaştıracak şekilde üretilmelidir. Bu nedenle, bu sertifikaları oluşturan yönetim işleminin güvenilir olması önemlidir. Bu işlem normal olarak gerekli güveni sağlayacak uygun kontrolleri ve prosedürleri yerli yerinde olan tanınan bir kuruluş olması gereken bir belgelendirme otoritesi tarafından yürütülür. Bir belgelendirme otoritesi gibi yabancı kriptografik hizmet üreticileriyle yapılan hizmet seviyesi anlaşmalarının veya sözleşmelerinin içeriği, sorumluluk, hizmetlerin güvenilirliği ve hizmetlerin provizyonuna ilişkin yanıt süreleri konularını kapsamalıdır (Madde 4.2.2). 10.4 Sistem dosyalarının güvenliği Amaç: IT projelerinin ve destek etkinliklerinin güvenli bir şekilde yürütülmesini temin etmek. Sistem dosyalarına erişim kontrol edilmelidir. Sistem bütünlüğünün korunması kullanıcı fonksiyonunun ya da uygulama sisteminin ya da yazılımın ait olduğu geliştirme grubunun sorumluluğu olmalıdır. 10.4.1 Operasyonel yazılımın kontrolü İşletim sistemlerine yazılım yerleştirilmesinde kontrol uygulanmalıdır. İşletim sistemlerinin bozulma riskini asgariye indirmek için aşağıdaki kontroller yapılmalıdır: a) İşletim programları kütüphanesinin güncellenmesi yalnız uygun yönetim yetkilendirmesi ile tayin edilen kitaplık görevlisi tarafından gerçekleştirilebilir (10.4.3). b) Mümkünse, işletim sistemleri yalnız makine kodu taşımalıdır. c) Başarılı testlere ve kullanıcı onayına ilişkin kanıtlar elde edilinceye ve karşılık gelen program kaynak belgelikleri güncelleninceye kadar, makine kodu bir işletim sistemi üzerine yerleştirilmemelidir. d) İşletim belgeliklerine uygulanan tüm güncellemelerini içeren bir kontrol kaydı tutulmalıdır. e) Beklenmedik durum önlemi olarak yazılımın önceki versiyonları saklanmalıdır. İşletim sistemlerinde kullanılan satıcı tarafından sağlanan yazılım üretici tarafından desteklenen bir seviyede tutulmalıdır. Yeni bir sürüme güncelleme yolunda herhangi bir karar sürümün güvenliğini göz önünde bulundurmalıdır; örneğin, yeni güvenlik işlevselliğinin takdimi ya da bu versiyonu etkileyen güvenlik sorunlarının sayısı ve şiddeti. Yazılım ilaveleri güvenlik zayıflıklarını azaltılmasına ya da ortadan kaldırılmasına katkıda bulunabilecekse yapılmalıdır. Fiziki ya da mantıksal erişim gerekli olduğunda yalnız destek amacıyla üreticilere ve yönetimin onayı ile verilmelidir. Üreticinin etkinlikleri izlenmelidir. 10.4.2 Sistem test verilerinin korunması Test verileri korunmalı ve kontrol edilmelidir. Sistem ve onay testi genellikle, Operasyonel verilere olabildiğince yakın olan geniş hacimli test verileri gerektirmektedir. Kişisel bilgiler içeren Operasyonel veritabanlarının kullanımından sakınılmalıdır. Bu tür bilgiler kullanılırsa, kullanılmadan önce depersonalize edilmelidir. Test amacıyla kullanıldığında, operasyonel verilerin korunması için aşağıdaki kontroller uygulanmalıdır: 45 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 a) İşletim uygulama sistemlerine uyan erişim kontrol prosedürleri test uygulama sistemleri için de geçerli olmalıdır. b) Operasyonel bilginin bir test uygulamasına her kopyalanışında ayrı bir yetkilendirme söz konusu olmalıdır. c) Test işlemi tamamlandıktan sonra Operasyonel bilgi test uygulama sisteminden hemen silinmelidir. d) Bir kontrol zinciri oluşturmak amacıyla, Operasyonel bilginin kopyalanması ve kullanımı kaydedilmelidir. 10.4.3 Program kaynak kütüphanesine erişimin kontrolü Bilgisayar programlarının bozulma riskini azaltmak amacıyla, program kaynak kütüphanesine erişim konusunda, aşağıda belirtildiği gibi, sıkı bir denetim sağlanmalıdır (Madde 8.3). a) Mümkün oldukça, program kaynak belgelikleri işletim sistemleri içerisinde tutulmamalıdır. b) Her bir uygulama için bir program kitaplıkçısı tayin edilmelidir. c) IT destek ekibi program kaynak belgeliklerine sınırsız erişim yetkisine sahip olmamalıdır. d) Geliştirilmekte ya da bakımda olan programlar işletim programı kaynak belgeliklerinde tutulmamalıdır. e) Program kaynak belgeliklerinin güncellenmesi ve program kaynaklarının programcılara verilmesi ancak uygulamaya özgü IT destek yöneticisinin yetki vermesi üzerine tayin edilmiş kitaplıkçı tarafından gerçekleştirilmelidir. f) Program listeleri güvenli bir ortamda saklanmalıdır (Madde 8.6.4). g) Program kaynak belgeliklerine tüm erişimlerin bir kontrol kaydı tutulmalıdır. h) Kaynak programlarının eski versiyonları tüm destek yazılım, iş denetimi, veri tanımları ve prosedürlerle birlikte, Operasyonel oldukları döneme ait kesin tarihlerin ve zamanların açıkça belirtildiği bir şekilde arşivlenmelidir. i) Program kaynak belgeliklerinin idamesi ve kopyalanması sıkı değişim kontrol prosedürlerine tabi olmalıdır (Madde 10.4.1). 10.5 Geliştirme ve destek süreçlerinde güvenlik Amaç: Uygulama sistemi yazılımının ve bilgilerin güvenliğini korumak. Proje ve destek ortamları sıkı denetim altında tutulmalıdır. Uygulama sistemlerinden sorumlu yöneticiler projenin ve destek ortamının güvenliğinden de sorumlu olmalıdırlar. Sistemin ya da işletim ortamının güvenliğini bozmadığından emin olmak için, planlanan tüm sistem değişikliklerinin gözden geçirilmesini temin etmelidirler. 10.5.1 Değişim kontrol işlemleri Bilgi sistemlerinin bozulmasını asgariye indirmek için, değişikliklerin yerleştirilmesi konusunda sıkı bir denetim yürütülmelidir. Resmi değişim kontrol prosedürleri zorunlu kılınmalıdır. Bunlar güvenliğin ve kontrol prosedürlerinin zarar görmemesini, destek programcıların sistemin yalnız çalışmaları için gerekli olan bölümlerine erişimine izin verilmesini ve herhangi bir değişiklik için resmi uzlaşma ve onay alınmasını temin etmelidir. Uygulama yazılımının değiştirilmesi işletim ortamını etkileyebilir. Mümkün olduğunca, uygulama ve işletim değişim kontrol prosedürleri entegre edilmelidir (Madde 8.1.2). Bu işlem aşağıdakileri içermelidir: a) Uzlaşmaya varılmış yetki seviyelerinin bir kaydını tutmak; b) Değişikliklerin yetkili kullanıcılar tarafından öne sürülmesini temin etmek; c) Değişikliklerden zarar görmemelerini temin etmek için kontrolleri ve bütünlük prosedürlerini gözden geçirmek; d) Tadilat gerektiren tüm bilgisayar yazılımı, bilgi, veritabanı, veritabanı antiteleri ve donanımının belirlenmesi; e) Ayrıntılı teklifler için iş başlangıcından önce resmi onay almak; f) Yetkili kullanıcının herhangi bir yerleştirmeden önce değişiklikleri kabul ettiğinden emin olmak; g) Yerleştirmenin iş alanındaki aksaklıkları asgariye indirmek amacıyla gerçekleştirildiğinden emin olmak; h) Her bir değişiklik tamamlandığında sistem dosyalama kümesinin güncellendiğinden ve eski dosyalamanın arşive kaldırıldığından ya da imha edildiğinden emin olmak; i) Tüm yazılım güncellemeleri için bir versiyon kontrolü yürütmek; j) Tüm değişiklik istemleri için bir kontrol zinciri sürdürmek; k) Uygun hale gelmesi için işletim dosyalamasının (Madde 8.1.1) ve kullanıcı prosedürlerinin gerektiği şekilde değiştirilmesini temin etmek; l) Değişikliklerin yerleştirilmesinin doğru zamanda gerçekleştirilmesini ve söz konusu iş süreçlerini olumsuz yönde etkilememesini temin etmek. 46 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Çoğu kuruluş, kullanıcıların yeni yazılımı test ettiği ve gelişim ve üretim ortamlarından ayrılmış bir ortam bulundurmaktadır. Bu yeni yazılım üzerinde bir çeşit kontrol ve test amacıyla kullanılan operasyonel bilgilere ek koruma sağlamaktadır. 10.5.2 İşletim sistemi değişiklerinin teknik olarak gözden geçirilmesi Yeni üretilen bir yazılım sürümünün ya da eklerin kurulması gibi, işletim sisteminin periyodik olarak değiştirilmesi gerekmektedir. Değişiklikler gerçekleştirildiğinde, işletim ya da güvenlik üzerine olumsuz bir etki olmadığından emin olmak için uygulama sistemleri gözden geçirilmeli ve test edilmelidir. Bu işlem aşağıdakileri kapsamalıdır: a) İşletim sistemi değişikliklerinden zarar görmediğinden emin olmak için uygulama kontrol ve bütünlük prosedürlerinin gözden geçirilmesi; b) Yıllık destek planının ve bütçenin gözden geçirmeyi ve işletim sistemi değişikliklerinden kaynaklanan sistem testini karşıladığından emin olmak; c) İşletim sistemi değişikliklerine ilişkin uyarının yerleştirme öncesinde uygun gözden geçirmelere olanak tanıyacak zamanda yapılmasını temin etmek; d) İşin devamlılığı planlarına ilişkin uygun değişikliklerin yapılmasını temin etmek (Madde 11). 10.5.3 Yazılım paketlerine yapılacak değişiklik kısıtlamaları Yazılım paketleri üzerinde değişiklik yapılması konusunda caydırıcı olunmalıdır. Mümkün ve uygulanabilir oldukça, bayi tarafından sunulan yazılım paketleri değiştirilmeden kullanılmalıdır. Bir yazılım paketinin değiştirilmesi gerekli görüldüğünde, aşağıdaki noktalar göz önünde bulundurulmalıdır: a) b) c) d) İç kontrollerin ve bütünlük işlemlerinin zarar görme riski; Satıcının onayının alınmasının gerekip gerekmediği; Satıcıdan gerekli değişikliklerin standard program güncellemeleri olarak temin edilebilme olasılığı; Değişikliklerin sonucu olarak kuruluşun yazılımın gelecekteki bakımı konusunda yükümlülük altında kalması halinde doğacak sonuç. Değişiklikler gerekli görülüyorsa, orijinaI yazılım saklanmalı ve değişiklikler açıkça belirlenmiş bir kopyaya uygulanmalıdır. Daha sonraki yazılım güncellemelerinde gerekirse yeniden uygulanabilmesi için tüm değişiklikler tam bir testten geçirilmeli ve dosyalanmalıdır. 10.5.4 Örtülü kanallar ve truva kodu Örtülü bir kanal dolaylı ve muğlak bazı yollarla bilgi açığa çıkarabilir. Bir bilgi işlem sisteminin güvenli ve güvensiz üyeleri yoluyla erişilebilen bir parametrenin değiştirilmesi ya da bir veri katarına bilgi gönderilmesi yoluyla etkinleştirilebilir. Truva kodu engel teşkil eden ve henüz fark edilmemiş olan ve alıcı ya da program kullanıcısının gerek duymadığı yetkili olmayan bir sistemi etkilemek için tasarlanmıştır. Örtülü kanallar Truva kodu nadiren kazara oluşmaktadır. Örtülü kanallar veya Truva kodunun önemli olduğu hallerde, aşağıdaki konular dikkate alınmalıdır: a) b) c) d) e) f) Programların yalnız iyi tanınan bir kaynaktan satın alınması; Kodun doğrulanabilmesi için programları kaynak kodda satın almak; Değerlendirilmiş ürünler kullanmak; Operasyonel kullanımdan önce tüm kaynak kodunu denetlemek; Kurulduğu andan itibaren kodun erişimini ve değiştirilmesini kontrol etmek; Anahtar sistemlerinde çalışmak üzere güvenilirliği kanıtlanmış personelle çalışmak. 10.5.5 Dış kaynaklı yazılım geliştirme Yazılım geliştirilmesinin dış kaynaklı olduğu durumlarda, aşağıdaki noktalar dikkate alınmalıdır: a) b) c) d) e) f) Ruhsat düzenlemeleri, kod iyeliği ve fikri mülkiyet hakları (Madde 12.1.2); Yürütülen işin kalite ve doğruluk açısından belgelenmesi; Üçüncü tarafın başarısızlığı halinde yediemin düzenlemeleri; Yapılan işin kalite ve doğruluk bakımından tetkikine erişim hakları; Kalite kodu için sözleşme gereksinimleri; Truva kodunun kurulmadan önce test edilmesi. 47 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 11 Ticari süreklilik yönetimi 11.1 Ticari süreklilik yönetiminin ilkeleri Amaç: Ticari aktivitelerin karşılaştığı engellere karşı etkileri oluşturmak ve kritik ticari işlemleri büyük başarısızlıklar ve felaketlerden korunması. Ticari süreklilik yönetimi işlemi; felaketler ve güvenlik başarısızlıkları (örneğin, doğal felaketler, kazalar, araç gereç başarısızlıkları ve kasıtlı hareketlerin sonuçları olabilir) nedeniyle oluşan bozulmayı, koruyucu ve yenileyici kontrollerin birleşmesi ile, kabul edilebilir bir seviyeye indirmek için uygulanmalıdır. Felaketlerin, güvenlik başarısızlıklarının ve servis kayıplarının sonuçları incelenmelidir. Ticari işlemlerin gereken zaman aralıklarında düzeltilebilmesinin devamlılığının sağlanması için olası planlar geliştirmelidir ve uygulanmalıdır. Bu planların diğer bütün ticari işlemlerin bağlantılı bir parçası olması için sürekliliğinin ve pratikliliğinin sağlanması gereklidir. Ticari süreklilik yönetimi, riskleri tanımlamak ve en aza indirgemek, gelen zararların sonuçlarını sınırlandırmak için kontroller içermelidir ve operasyonlar için zaman sağlanmalıdır. 11.1.1 Ticari süreklilik yönetim süreci Bir organizasyonda gelişen ve devam eden ticari süreklilik için bir yönetim süreci olmalıdır. Bu ticari süreklilik yönetimi aşağıdaki anahtar elementleri birlikte getirmelidir: a) Organizasyondaki riskleri anlamak, kritik ticari süreçlerin tanımlarını yapmak, önceliklerini belirlemek ve etkilerini saptamayı karşılamaktır; b) Ticaretteki engellerin çıkaracağı etkileri anlamak (şu önemlidir ki, bulunan çözümler, organizasyonun devamını tehlikeye düşüren ciddi yansımalarda olduğu gibi, küçük yansımalarda da ele alınacaktır; c) Ticari süreklilik işlemlerinin bir parçası olabilecek uygun bir sigorta siparişini ele almak; d) Ticari amaç ve önceliklerine uygun, ticari süreklilik stratejisi ayarlamak ve belgelerini hazırlamak. e) Uygun bulanan strateji ile aynı çizgide ticari süreklilik planları ayarlamak ve belgelerini hazırlamak; f) Planların ve işlemlerin düzenli olarak test edilmesini ve güncelleşmesini sağlamak; g) Ticari süreklilik yönetiminin organizasyonunun yapısına oturtmak. Ticari süreklilik yönetiminin organizasyondaki işlemlerin koordinesi sorumluluğu uygun bir seviyede duyurulmalıdır, örneğin bilgi güvenlik forumunda (Madde 4.1.1). 11.1.2 Ticari süreklilik ve etki çözümlemesi Ticari süreklilik, ticari işlemlerin kesilmesine neden olabilecek yangın, araç gereç hatası gibi olayların belirlenmesi ile başlamalıdır. Bunu, bu engellerin etkilerini belirlemek için risk değerlendirmesi yapılması takip etmelidir (zarar ölçümü ve yenileme periyodu). Bu aktivitelerin her ikisi de ticaret kaynakları ve işlemlerin sahiplerinin de bütünüyle ele alması ile yapılmalıdır. Bu değerlendirme bütün ticari işlemleri kapsar, sadece bilgi işlemleri etkinlikleri ile sınırlanmaz. Risk sonuçlarının değerlendirilmesine bağlı olarak, ticari sürekliliğe bütünüyle bir yaklaşım belirlenmesi için bir strateji planı belirlenmelidir. Bir zamanlar gerçekleştirilen bu plan, yönetimle de desteklenmelidir. 11.1.3 Süreklilik planlarının yazılması ve uygulanması Kritik ticari işlemlerin engellenmesi veya başarısızlığı durumunda ticari operasyonların gerekli zaman aralıklarında devamının sağlanması veya yenilenmesi için planlar hazırlanmalıdır. Ticari süreklilik planlama işlemleri aşağıdakileri ele almalıdır: a) b) c) d) Tüm sorumluluk ve olağan üstü durumlarda yapılacak işlemlerinin belirlenmesi ve karar verilmesi; Gerekli zaman aralığında yenilenmenin yapılmasını sağlamak için ilkyardım işlemlerinin uygulanması; Karar verilen işlemler ve işlem sıralarının belgelerinin hazırlanması; Personele, olağan üstü durumlarda yapılmasına karar verilen işlemlerin ve işlem sıralarının, sorun durumundaki yönetimi de içeren uygun bir eğitimin verilmesi; e) Planların test edilmesi ve güncellenmesi. 48 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Planlama işlemleri gerek duyulan ticari amaçla çakışmalıdır, örneğin, uygun zamanlarda müşterilere özel servisler sağlamak gibi. Bu servis ve kaynaklar, personel istihdam edilmesi, bilgi içermeyen işlem kaynakları ile devam ettirilebilir, bilgi işlemleri etkinliklerinde yedek ayarlamaları gibi. 11.1.4 Ticari süreklilik planlama çerçevesi Basit bir ticari süreklilik planı çerçevesi, planların tutarlı olmasının, test ve bakımının sağlanması için gereken önceliklerin belirlenmesi, sürekliliğin devamının sağlanması için hazırlanmalıdır. Her ticari süreklilik planı, bireysel sorumlulukları planın planın her parçasında bulundurarak, uygulanmasındaki şartları açıkça belirlemelidir. Yeni gereklilikler belirlendiğinde, kurulmuş olan olağan üstü durum işlem sıraları düzelmeyi uygun şekilde sağlamalıdır. Ticari süreklilik planlama çerçevesi aşağıdakileri içermelidir: a) Her bir plan harekete geçirilmeden önce takip edilecek işlem sırasını belirleyen planları hazır hale getirmek (durumun nasıl değerlendirileceği ve kimin yer alacağı gibi); b) Ticari operasyonları veya insan hayatını tehlikeye atan bir etkinin devamında ele alınacak hareketin belirlenmesi için yapılması gereken olağan üstü durum işlemleri; kamu ilişkilerin idaresi, kamu yetkilileri ile gerekli bağlantıların yapılmasını içermelidir, örneğin, polis, itfaiye, belediye gibi. c) Gereken zaman aralığı içinde harekete geçirilecek ticari aktiviteleri veya alternatif geçici bölgelere destek servisler sağlanması ve operasyona ticari işlem sırası getirecek hareketleri tanımlayan yedek işlem sırası; d) Normal ticari operasyona geri dönüşün sağlanmasını belirleyen işlemler; e) Planın ne zaman ve nasıl test edileceğini belirleyen bir bakım planı hazırlanması; f) Ticari süreklilik işlemlerinin anlaşılmasının sağlanması için eğitim aktiviteleri; g) Alternatif sorumlu bireylerin de yer almasının gerektiği, planın hangi bölümünde kimin sorumlu olduğunun tanımlanması; Her planın belirli bir sahibinin olması gereklidir. Olağan üstü durumlardaki işlemler, yedek planları, bilgi verme işlemleri, uygun kaynaklar ve ticari işlemlerin bireylerin sorumluluğu altında olmalıdır. 11.1.5 Ticari süreklilik planlarının test edilmesi, bakımı ve yeniden değerlendirilmesi 11.1.5.1 Planların test edilmesi Ticari süreklilik planları, doğru olmayan varsayımlar, dikkatsizlik, araç-gereç, personel değişikliği yüzünden sık sık testte başarısız olabilirler. Bu yüzden, güncel ve etkili olabilmeleri için sık sık test edilmelidirler. Bu testlerde, aynı zamanda yenileme yapan takım ve diğer ilgili personelin de yer alması sağlanmalıdır. Ticari süreklilik planı için hazırlanan test planı, planın her bir parçasının ne zaman ve nerede test edileceğini göstermelidir. Planın bireysel parçalarının sıklıkla test edilmesi tavsiye edilir. Planın gerçek hayatta geçerlilik sağlaması için pek çok teknik kullanılır. Bu teknikler aşağıdakileri içerir: a) Çeşitli senaryoların masa üstü testi (engel ve kesinti örnekleri ile ticari yenileme ayarlamalarının tartışılması); b) Benzetmeler (yönetimdeki rollerin eğitiminin verilmesi); c) Teknik yenileme testi (bilgi sistemlerinin etkili olarak yenilenebilmesinin sağlanması); d) Alternatif alanlarda yenileme yapılması testi (devam eden ticari işleme paralel olarak ana bölgeden uzak bir bölgede yenileme operasyonları); e) Sağlayıcı etkinlikleri ve servisleri testi (hariçten sağlanan servislerin anlaşmada taahhüt edilen şartlarla uyum sağlaması); f) Prova tamamlamak (organizasyon, personel araç gereç, etkinlik ve işlemlerin kesintilerle birleşmesi testi). Teknikler herhangi bir organizasyonda kullanılabilir ve belirlenmiş yenileme planının yapısını istenilen yöne kaydırabilir. 11.1.5.2 Planların bakımı ve yeniden değerlendirilmesi Ticari süreklilik planları düzenli geri dönüşler ve güncelleme ile, sürekliliklerinin etkili olmasının sağlanması için bakım altına alınmalıdır. (Madde 11.1.5.1 – Madde 11.1.5.3). İşlemler, ticari süreklilik malzemelerinin uygun yerleştirilmesini sağlamak için, organizasyonun değişiklik idari programında yer almalıdır Sorumluluk, her ticari süreklilik planında düzenli geri dönüşlerle duyurulmalı, henüz yönlendirilmemiş olan ticari ayarlamalardaki değişiklikler, plandaki uygun bir güncellemeden sonra gelmelidir. Bu formal değişiklik, güncellenen planların, planın bütününe düzenli geri dönüşleriyle kontrol işlemi sağlanmalıdır. 49 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Araç gereç değişikliği, sistem kaynaklarının yükseltilmesini ihtiyaç duyulabilecek durum örnekleri ve değişiklikler: a) b) c) d) e) f) g) h) Personel; Adres ve telefon numaraları; İş stratejisi; Yerleşim, aktiviteler ve kaynaklar; Kanun; Müteahhitler, sağlayıcı ve anahtar müşteriler; İşlemler, veya yeni/düşürme; Risk (operasyonel ve finansal). 12 Uyum 12.1 Yasal gereksinimlerle uyum Amaç: Herhangi bir suçtan kaçınılması. Bilgi sistemlerinin şekli, operasyonu ve kullanımı herhangi bir güvenlik gereksinimi için, yasal, düzenleyici ve kurucu yaptırımların konusu olabilir. Belirli bir kanuni gereksinim hakkındaki öneriler, organizasyonun kanuni tavsiyecileri tarafından verilmelidir. Kanuni gereksinimler ülkeden ülkeye çeşitlilik gösterir ve bilgilerin bir ülkeden diğer ülkeye geçişi vardır (geçiş köprüsü veri akışı). 12.1.1 Uygulanabilir kanunların tanımlanması Bütün uygun yasal, düzenleyici ve kurucu gereksinimler her bilgi sistemi için kesin olarak tanımlanmalı ve dökümantasyonu yapılmalıdır. Bu gereksinimlerle çakışan belirli kontroller ve bireylerin sorumluluklarının da aynı şekilde tanımının yapılması ve dökümantasyonunun sağlanması gereklidir. 12.1.2 Fikri mülkiyet hakları (IPR) 12.1.2.1 Kopya hakkı Yasal kısıtlamalara uyulması açısından kopya hakkı, düzenleme hakkı, ticari marka gibi hakların kullanılmasında uygun işlemler yürürlülüğe sokulmalıdır. Kopya hakkının ihlal edilmesi bir suçtur. Yasama yetkisi olan, düzenleyici ve kurucu gereksinimler materyallerin kopyalanmasına kısıtlama getirebilirler. Bu durumda, yalnızca organizasyon tarafından basılan materyallere ihtiyaç duyulabilir, ya da basımı yapanların veya sağlayıcıların organizasyona lisans vermesi kullanılabilir. 12.1.2.2 Yazılım kopya hakkı Tescilli yazılım ürünleri genellikle ürünlerinin kullanımını kısıtlayarak belirli makinelerde kullanılmasını sağlayan lisans anlaşması altında kullanılır, yedeklerinin kopyalanmasının sınırlanmasını sağlar. Aşağıdaki kontroller ele alınmalıdır: a) Yazılım ve bilgi ürünlerinin kanuni olarak kullanımını belirleyen yazılım kopya hakkına uyulması politikası ile ilgili basımların yapılması b) Yazılım ürünlerinin kazancı için gereken işlemlerin standardlarının basımı; c) Yazılım kopya hakkı ve kazancının sürmesinin devamının sağlanması, kazanç politikaları, ve bunlara uymayan personelin dikkatinin çekilmesi için gerekli disiplin hareketlerine girişilmesi; d) Uygun varlık kayıtlarının bakımı; e) Lisansların, ana disklerin, kullanım kılavuzlarının ve disklerinin vb sahiplerinin olduğunu kanıtlanması ve varlığının sağlanması; f) İzin verilen kullanıcı sayısının aşılmamasını sağlayan kontrollerin uygulanması; g) Yalnızca yetkili yazılım ve lisanslı ürünlerin yüklenmiş olduğunun kontrollerinin yapılması; h) Uygun lisans şartlarının devamının sağlanması için bir politika belirlenmesi; i) Yazılımların diğerlerine transferi için bir politika sağlanması; j) Uygun izleme gereçleri kullanılması; k) Yerel ağlardan elde edilen bilgilere yazılım şartlarına uyum sağlamak (Madde 8.7.6). 50 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 12.1.3 Organizasyon kayıtlarının korunması Organizasyonun önemli kayıtları kaybolmaya, bozulmaya karşı koruma altına alınmalıdır. Bazı kayıtlar, yapısal, düzenleyici gereksinimlerle koruma altına alınmaya ihtiyaç duyabilir, gerekli ticari aktivitelerin desteklenmesi gibi. Organizasyonunun yapısal ve düzenleyici kuralların varlığı için gerek duyulan kayıtlar, veya potansiyel suç teşkil eden hareketlere karşı yeterli defansın sağlanması, organizasyonun ortaklara ve yetkililerine karşı finansal durumun onayı, bunlara verilebilecek örneklerdir. Veri koruması ve zaman aralığı ulusal kanunlarla sağlanmalıdır. Kayıtlar, kayıt tiplerine göre kategorize edilmelidir. Örneğin, muhasebe kayıtları, veritabanı kayıtları, geçiş kayıtları, izleme kayıtları ve operasyonel işlemlerin, her biri arşivleme tipi hakkında bilgi verir, (kağıt, mikroifş, manyetik, optik). Her bir ilgili kriptografik anahtar, digital belirliklerle kripte edilir (Madde 10.3.2 ve Madde 10.3.3), güvenlik altında korunmalıdır ve yetkilinin ihtiyacı olduğunda elde edilebilir olmalıdır. . Medya kullanımı saklama biçiminin zarar görmesi ihtimali göz önüne alınmalıdır. Saklama ve kullanma işlemleri üreticinin tavsiyelerine uygun olarak yapılmalıdır. Elektronik medya saklama biçiminin seçildiği bir yerde, ileride doğacak teknoloji değişikliklerine karşı korumaya alınmasını sağlayacak veri geçişi işlemleri sağlanmalıdır (hem medya hem de uyarlanabilirliği). Veri saklama sistemi seçerken, verilerin kabul edilebilir bir kanun ve zaman çerçevesinde ve formatında geri dönüşünün olmasına dikkat edilmelidir. Saklama ve kullanma sistemi kayıtların açık tanımlarını içermeli ve onların yapısal, düzensel periyodlarını sağlamalıdır. Organizasyon tarafından bir zaman periyodu içerisinde ihtiyaç duyulmadığı zaman, kayıtların uygun olarak yok olmasına izin vermelidir. Bu yaptırımları elde etmek için, organizasyon tarafından aşağıdaki adımlar atılmalıdır. a) Kayıt ve bilgilerin saklanması, kullanımı, yok edilmesi ile ilgili rehber basılmalıdır. b) Gerekli kayıt tiplerinin tanımlanması, zaman periyotlarının ve akılda tutulmasını sağlayacak şema hazırlanmalıdır. c) Anahtar bilgilerin kaynaklarının içeriğinin devamlığı sağlanmalıdır. d) Gerekli kayıtların kayıplardan ve zarar görmesinden korunmasını sağlayan uygun kontroller uygulamaya sokulmalıdır. 12.1.4 Verinin korunması ve kişisel bilgilerin gizliliği Bazı ülkeler kişisel verilerin geçişlerini kanun altına alan kontroller uygulamakta olduğunu duyurmuştur. (genellikle bu bilgilerden tanımlanabilen yaşayan bireyler hakkındaki bilgiler). Bu çeşit kontroller kişisel bilgilerin bir araya getirilmesi, işlemleri ile ilgili görevler gerektirebilir ve verilerin diğer ülkelere geçişini kısıtlayabilir. Veri koruma kanunlarına uymak, gerekli yapı ve kontrol yönetimine ihtiyaç duyurur. Bunun, kendi belirli görevlerini yapmaları açısından, idarecilere, kullanıcılara, servis sağlayıcılara yol gösterici olması gereken veri koruma ile görevli ofis elemanı tarafından yapılması en uygunudur, Veri koruma elemanına herhangi bir kişisel bilginin dosyalama yapısı hakkındaki bilgileri verme, uygun kanunlarda belirtilen koruma ilkeleri ile ilgili devamı sağlayan prensipleri belirtme sorumluluğu, verilerin kendi sahibine aittir. 12.1.5 Bilgi işlem birimlerinin yanlış kullanıma karşı korunması Bir organizasyondaki bilgi işlem etkinlikleri ticari amaçlar için sağlanır. Yönetim kendi kullanımını yetkilendirir. Bu etkinliklerin herhangi bir şekilde ticaret dışı ve yetkisiz amaçlarla yönetimin izini alınmadan kullanımı, etkinliklerin uygun olmayan biçimde kullanımı olarak kayda alınır. Eğer böyle bir aktivite görüntüleme veya diğer anlamlarda tanımlanırsa, bireyin idarecisinin gerekli disiplin hareketlerini göz önüne almasını beraberinde getirir. Görüntülemenin kanunu kullanımı ülkeden ülkeye çeşitlilik gösterir ve çalışanların bu çeşit görüntüleme için tavsiyelerinin alınmasına veya onlarca uygun kararlarının belirlenmesi ihtiyacı duyulabilir. Görüntüleme işlemlerinin uygulamasından önce kanuni tavsiyeler alınmalıdır. Bilgisayarların yanlış yere kullanımına karşı pek çok ülkenin duyuruları, kanunları vardır. Bilgisayarın yetkisiz amaçlar için kullanılması yasal olarak suç teşkil edebilir. Bu yüzden tüm kullanıcılara izinli geçişler verilmelidir. Bu kullanıcılara, kullanıcının ve organizasyonun imzalarının olduğu yazılı yetki verilmesi ile koruma altına alınabilir. Bir organizasyonun çalışanları ve üçüncü şahıslara, yetkilerinin olmadığı yerlere geçişlerine izin olmadığı duyurulmalıdır. 51 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Oturum açıldığında, bilgisayar ekranında uyarı mesajı görünmeli, girilen sistemin özel olduğunun ve yetkisiz geçişe izin olmadığının belirtilmesi gereklidir. Kullanıcı oturum açılması sırasında çıkan mesaja göre uygun davranışta bulunmalıdır. 12.1.6 Kriptografik kontrollerin düzenlenmesi Bazı ülkeler, geçişlerin kontrolü veya kriptografik kontroller için anlaşmaları, kanunları, düzenlemeleri veya diğer enstrümanları. Bu kontroller aşağıdakileri içerebilir: a) Bilgisayarların kriptografik fonksiyonları yerine getirebilmesi için ihraç ve/veya ihtal yazılım ve donanımlar; b) Kriptografik fonksiyonların üzerine eklenebileceği şekilde düzenlenen ihraç ve/veya ihtal yazılım ve donanımlar; c) İçeriğin gizliliğini sağlamak için donanım veya yazılım tarafından şifrelenmiş bilgiye ükleler tarafından zorunlu veya isteğe bağlı metotlar. Ulusal kanunlara uyulması açısından kanuni tavsiyelerin alınması şarttır. Kriptografik kontrollerin bir ülkeden diğerine taşınmasından önce de bu tavsiyeler alınmalıdır. 12.1.7 Kanıtların toplanması 12.1.7.1 Kanıt için kurallar Bir organizasyon veya bir tanığa karşı yapılacak hareketten önce yeterli kanıt gereklidir. Bu hareket bir iç disiplin konusudur ve iç yönetmelikler gereği de kanıt gereklidir. Bir hareket suç içerdiğinde, sunulacak kanıt uygun kanunlar veya özel bir çerçevedeki kurallar ile yargılanır. Bu kurallar aşağıdakileri içerir: a) Kanıtın akla uygunluğu: kanıt özel bir çerçevede kullanılabilir veya kullanılamaz; b) Kanıtın ağırlığı: kanıtın kalitesi; c) Düzgün olarak kontrol edilen yeterli kanıt (işlem kontrol tanığı) sistem tarafından yenilenen ve korunan kanıt. 12.1.7.2 Kanıtın akla uygunluğu Kanıtın akla uygunluğunun belirlenmesi için, organizasyonlar bilgi sistemlerini, herhangi bir basılmış standard veya kod pratiği ile çakıştırmalıdır. 12.1.7.3 Kanıtın kalite ve bütünlüğü Kanıtın kalite ve bütünlüğünün belirlenmesi için, güçlü bir kanıt iz sürme gereklidir. Genel olarak güçlü bir iz sürme aşağıdaki şartları taşır. a) Basılı belgeler için: orjinalleri güvenli olarak saklanır kimin bulduğu, nerede bulunduğu kaydedilir, orjinallerin koruma altında olması sağlanır. b) Bilgisayar ortamı bilgisi için: kopyalar ve hareket ettirilemeyen medya, hard disk veya hafıza üzerindeki bilgilerin varlığının devam ettirilmesi. Kopyalama işlemi boyunca tüm hareketlerin kayda alınması ve medya üzerindeki bir bilginin ve kayıtların emniyete alınması. Bir giriş fark edildiğinde, mümkün olan çerçevedeki hareketin sonucu olacağı görünür değildir. . Sonuç olarak, girişin ciddiyetinin fark edilmesinden önce gerekli tanığa kazayla zarar verilmiş olması tehlikesi ortaya çıkar. Kanuni bir işlem yapılması gerektiğinde bir polisin bulundurulması tavsiye edilir. 12.2 Güvenlik politikası ve teknik uyumun gözden geçirilmesi Amaç: Organizasyonun güvenlik politikalarının ve standardlarının sisteme uyumunun sağlanması. Bilgi sistemlerinin güvenliğine düzenli olarak geri dönülmelidir. Bu çeşit geri dönmeler, teknik platformlara ve uygun güvenlik politikalarına karşı yapılmalı ve bilgi sistemlerinin güvenlik uygulama standardları ile uyumu izlenmelidir. 52 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 12.2.1 Güvenlik politikalarına uyum İdareciler, bütün güvenlik politikalarının, kendi sorumluluk alanlarında doğru olarak yapılmasını sağlamalıdır. Ek olarak, organizasyondaki bütün alanların düzenli geri dönüşler dikkate alınarak güvenlik politikaları ve standardları ile uyumu sağlanmalıdır. Bu aşağıdakileri içermelidir: a) b) c) d) e) Bilgi sistemleri; Sistem sağlayıcılar; Bilgi ve bilgi varlıklarının sahipleri; Kullanıcılar; Yönetim. Bilgi sistemlerinin sahipleri (Madde 5.1), sistemlerinin, uygun güvenlik standardlar, ve diğer herhangi güvenlik gereksinimleri ile uyumlarını, düzenli geri dönüşlerle desteklemelidir. Sistem kullanımının operasyonel görünümü Madde 9.7’de ele alınmıştır. 12.2.2 Teknik uyum kontrolü Bilgi sistemlerinin, güvenlik uygulama standardları ile uyumunun sağlanması için düzenli olarak kontrol edilir. Teknik uyum kontrolü, yazılım ve donanım kontrollerinin doğru uygulanmasının sağlanmasını içerir. Bu çeşit bir uyum kontrolü özel teknik asistan gerektirir. Bu, manuel olarak (eğer gerekliyse uygun yazılım araçları ile desteklenir) deneyimli bir sistem mühendisi tarafından yapılmalı, veya teknik bir yorumcunun desteği kullanılarak yazılım paketi ile yapılmalıdır. Uyum kontrolü aynı zamanda, bu amaçla özel olarak anlaşılmış bağımsız bir uzman tarafından yapılabilecek olan dalış testi içerir. Bu sistemde yapılan kontrollerin etkinliğinin belirlenmesinde ve yetkili olmayan geçişlerin yorumlanmasında faydalıdır. Dalış testinin başarılı olması durumunda, sistemin güvenliği de test edilmiş olur. Herhangi bir teknik uyum kontrolü sadece yetkili kişiler tarafından yapılır. 12.3 Sistem denetleme hususları Amaç: Sistem izleme işlemlerinin etkisini artırılması ve engellerinin azaltılması. Sistem izleme boyunca kontroller ve koruma operasyonları ve izleme gereçleri olmalıdır. Aynı zamanda izleme araçlarının yanlış kullanımı önleyecek korumalara da gerek vardır. 12.3.1 Sistem denetleme kontrolleri Kontroller içeren izleme gereksinimleri ve aktiviteleri, operasyonel sistemlerin kontrolleri, ticari işlemlere zararının en aza indirilmesini sağlamak için dikkatli planlanmalıdır. Aşağıdakiler gözlemlenmelidir. a) b) c) d) e) f) g) h) İzleme gereksinimlerine uygun yönetim tarafından karar verilmelidir. Kontrollerin tanımına karar vermeli ve kontrol edilmelidir. Kontroller yazılım ve veriler erişimin salt okunabilirliği ile sınırlanmalıdır. Salt okunabilirlerin dışındaki erişimler sistem dosyalarının kopyesin dış etkilerden uzak tutulması ile yapılır, izleme tamamlandığında silinmelidir. Kontrollerin yapılması için gereken IT kaynakları kesin olarak tanımlanmalı var olmaları sağlanmalıdır. Özel veya ek bir işlem için gereksinimler tanımlanmalı ve karar verilmelidir. Bütün erişimler görüntülenmeli ve başvuru yapılabilmesi için kayda alınmalıdır. Bütün işlemler, gereksinimler ve sorumlulukların belgeleri hazırlanmalıdır. 12.3.2 Sistem denetleme araçlarının korunması Sistem izleme gereçlerine erişim, yazılım ve data dosyaları, herhangi bir yanlış kullanımda zarar görmemesine karşı korumaya alınmalıdır. Bu gereçler gelişme ve operasyonel sistemlerden ayırılmalı ve kütüphanelerde, veya kullanıcı alanlarında uygun seviyede ek bir koruma altına alınmadan kullanılmamalıdır. 53 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 Dizin acil prosedürler Madde 11.1.3 ağ erişim denetimi bağlantı denetimi yönetimi yönlendirme denetimi ayrılma Madde 9.4 Madde 9.4.7 Madde 8.5 Madde 9.4.8 Madde 9.4.6 altyapı için politika politika belgesi gerekler Madde 4.1 Madde 3.1 Madde 3.1 Madde 0 anahtar yönetimi Madde 10.3.5 anlaşmalar üçüncü tarafta güvenlik dış kaynakta güvenlik Madde 4.2.2 Madde 4.3.1 arıza ve bozulmalar, rapor etmek Madde 6.3 arızalar öğrenmek için yönetim prosedürleri rapor etmek Madde 6.3.4 Madde 8.1.3 Madde 6.3.1 arızalar, rapor etmek Madde 6.3.3 arızalara yanıt vermek Madde 6.3 arızalardan öğrenmek ayrıcalık yönetimi Madde 6.3.4 Madde 9.2.2 ayrılma görevler ağlar Madde 8.1.4 Madde 9.4.6 bağlantı zamanının sınırı baskı uyarısı belgelendirme, sistem güvenliği belgelendirilmiş işletim prosedürleri Madde 9.5.8 Madde 9.5.6 Madde 8.6.4 Madde 8.1.1 bilgi erişim, sınırlamaları yedekleme sınıflandırma diğer değişim biçimleri ilgilenme prosedürleri için etiketleme ve ilgilenme ve yazılım, değişimi ve yazılım değişimi anlaşmaları Madde 9.6.1 Madde 8.4.1 Madde 5.2 Madde 8.7.7 Madde 8.6.3 Madde 5.2.2 Madde 8.7 Madde 8.7.1 bilgi değişimi biçimleri, diğer bilgi değişiminin diğer biçimleri bilgi etiketleme ve ilgilenme Madde 8.7.7 Madde 8.7.7 Madde 5.2.2 54 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 bilgi güvenliği koordinasyon öğretim ve eğitim Madde 2.1 Madde 4.1.2 Madde 6.2.1 bilgi güvenliğinde öğretim ve eğitim bilgi güvenliğinin bağımsız gözden geçirilmesi bilgi güvenlik sorumluluklarının tahsisi bilgi işlem tesislerinin kötü kullanımı bilgi işlem tesislerinin kötü kullanımının önlenmesi bilginin yedeklenmesi bilgi ve yazılımın indirilmesi bütünlük Madde 6.2.1 Madde 4.1.7 Madde 4.1.3 Madde 12.1.5 Madde 12.1.5 Madde 8.4.1 Madde 8.1.3, 8.7.4, Madde 2.1 çalışma koşul ve terimleri çevresel ve fiziksel güvenlik çıktı verisi geçerleme Madde 6.1.4 Madde 7 Madde 10.2.4 dağıtım ve yükleme alanları dahili işleme, denetim Madde 7.1.5 Madde 10.2.2 10.2.2 değişim bilgi, diğer biçimleri bilgi ve yazılım bilgi ve yazılım, için anlaşmalar Madde 8.7.7 Madde 8.7 Madde 8.7.1 değişim kontrolü işlemsel için prosedürler Madde 8.1.2 Madde 10.5.1 denetim hususları günlükler araçlar, koruma Madde 12.3 Madde 9.7.1 Madde 12.3.2 denetimlerin uygulanabilirliği Madde 0 dış kaynaklı yazılım geliştirme anlaşmalardaki güvenlik Madde 10.5.5 Madde 4.3.1 dışardan kaynak sağlama disiplin süreci duyarlı, yalıtım duyarlı sistem yalıtımı duyarlı sistemlerin yalıtımı düğüm kimlik doğrulaması Madde 4.3 Madde 6.3.5 Madde 9.6.2 Madde 9.6.2 Madde 9.6.2 Madde 9.4.4 eğitim Madde 6.2 elektronik ticaret posta ofis sistemleri Madde 8.7.3 Madde 8.7.4 Madde 8.7.5 elverişlilik Madde 2.1 erişim denetimi uygulaması için iş gereksinimleri için işletim sistemi için politika Madde 9 Madde 9.6 Madde 9.1 Madde 9.5 Madde 9.1.1 55 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 program kaynak kitaplığına Madde 10.4.3 erişim denetimi için iş gereksinimleri erişim sınırlandırma, bilgi Madde 9.1 Madde 9.6.1 evden çalışma teçhizat güvenliği uzaktan çalışma güvenliği Madde 7.2.5 Madde 9.8.2 fikri mülkiyet hakları Madde 12.1.2 fiziksel ve çevresel güvenlik giriş denetimleri güvenlik çevresi Madde 7 Madde 7.1.2 Madde 7.1.1 geçerleme girdi verisinin çıktı verisinin Madde 10.2.1 Madde 10.2.3 geliştirme ve sistemlerin ayrımı ve operasyonel tesisler, ayrım ve destek çevresi, güvenlik Madde 10 Madde 8.1.5 Madde 10.5 geliştirme ve işletim tesislerinin ayrımı genel fiziksel kontroller geri dönüş planlama girdi verisi geçerleme giriş denetimleri gizlilik gizlilik anlaşmaları Madde 8.1.5 Madde 7.3 Madde 11.1.3 Madde 10.2.1 Madde 7.1.2 Madde 2.1 Madde 6.1.3 gözden geçirme bilgi güvenliği kullanıcı erişim hakları Madde 4.1.7 Madde 9.2.4 güç kaynakları Madde 7.2.2 günlükleme olaylar hatalar Madde 9.7.1 Madde 8.4.3 günlükler, operatör Madde 8.4.2 güvenli alanlar teçhizatın yok edilmesi çalışmak Madde 7.1 Madde 7.2.6 Madde 7.1.4 güvenli bölgelerde çalışmak Madde 7.1.4 güvenlik uygulama sistemlerinde geliştirme ve destek süreçleri öğretim elektronik ticaret elektronik posta elektronik ofis sistemleri arızalar nakil esnasındaki ortam organizasyon 56 Madde 10.2 Madde 10.5 Madde 6.2.1 Madde 8.7.3 Madde 8.7.4 Madde 8.7.5 Madde 6.3, 6.3.1 Madde 8.7.2 Madde 4 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 politika politika, ile uyumluluk ihtiyaçlar analizi dışarıdan kaynak sağlama anlaşmalarındaki gerekler üçüncü taraf anlaşmalardaki gerekler sistemlerin gerekleri bilgi işlem tesislerini gözden geçirmeler sistem belgelendirme sistem dosyaları üçüncü taraf erişimi zayıflıklar, raporlamak Madde 3 Madde 12.2.1 Madde 10.1.1 Madde 4.3.1 Madde 4.2 Madde 10.1 Madde 12.2 Madde 8.6.4 Madde 10.3 Madde 4.2 Madde 6.3.2 güvenlik gerekleri güvenlik gereklerini oluşturma güvenlik organizasyonu güvenlik politikasını değerlendirme ve gözden geçirme güvenlik risklerini değerlendirmek Madde 0 Madde 0 Madde 4 Madde 3.1.2 Madde 0 halka açık sistemler harici tesisler yönetimi hata günlükleme Madde 8.7.6 Madde 8.1.6 Madde 8.4.3 ifşa edilemeyen anlaşmalar iletişim ve işlemler yönetimi inkar edememe servisleri işlemler ve iletişim yönetimi Madde 6.1.3 Madde 8 Madde 10.3.4 Madde 8 işletim prosedürler sistem erişim denetimi Madde 8.1.1 Madde 9.5 iş sorumlulukları, güvenlik Madde 6.1.1 iş sürekliliği için çerçeve ve etki analizi yönetim için yönetim süreci için test etme, bakım ve yeniden değerlendirme planları için planlar yazmak ve gerçekleştirmek Madde 11 Madde 11.1.4 Madde 11.2 Madde 11 Madde 11.1 Madde 11.1.5 Madde 11.1.3 iş süreklilik planları çerçevesi iş süreklilik planlarının test edilmesi, bakımı ve yeniden değerlendirilmesi iş tanımı ve kaynaklandırma Madde 11.1.4 Madde 11.1.5 Madde 6.1 izleme sistem erişimi ve kullanım sistem kullanımı Madde 9.7 Madde 9.7.2 kablo güvenliği kabul, sistem kanıt, toplama kanıt toplama kapasite planlama kapsam kaynak program kütüphanesi erişim denetimi kendi kılavuzlarınızı geliştirmek Madde 7.2.3 Madde 8.2.2 Madde 12.1.7 Madde 12.1.7 Madde 8.2.1 Madde 1 Madde 10.4.3 Madde 0 kimlik doğrulama mesaj düğüm kullanıcı Madde 10.2.3 Madde 9.4.4 Madde 9.4.3 57 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 kişisel bilgi, özelliği Madde 12.1.4 kontrol zararlı yazılıma karşı dahili işleme operasyonel yazılım Madde 8.3.1 Madde 10.2.2 Madde 10.4.1 kontroller, genel fiziki Madde 7.3 kopya hakkı IPR yazılım Madde 12.1.2.1 Madde 12.1.2.2 koruma teçhizatı zararlardan zararlı yazılıma karşı sistem denetleme araçları sistem test verisi Madde 7.2 Madde 8.3 Madde 12.3.2 Madde 10.4.2 kriptografik kontroller kullanım politikası düzenleme Madde 10.3 Madde 10.3.1 Madde 10.3.2 kritik başarı faktörleri Madde 0 kullanıcı erişim yönetimi hakları, gözden geçirme kimlik doğrulama tanımlayıcılar tanıma parola yönetimi kayıt sorumluluklar Madde 9.2 Madde 9.2.4 Madde 9.5.3 Madde 9.2.1 Madde 9.5.3 Madde 9.2.3 Madde 9.2.1 Madde 9.3 kullanıcıların tanımlanması kullanıcısı belirlenmemiş teçhizat kuruluşlar arası işbirliği Madde 9.5.3 Madde 9.3.2 Madde 4.1.6 mesaj kimlik doğrulaması Madde 10.2.3 mobil bilgi işlem ve uzaktan çalışma Madde 9.8.1 Madde 9.8 mülkiyet hakları, fikri Madde 12.1.2 ofis, oda ve tesisleri emniyete almak ofisler, odalar ve tesisler, emniyete almak ofis sistemleri, elektronik olay günlükleme Madde 7.1.3 Madde 7.1.3 Madde 8.7.5 Madde 9.7.1 operasyonel değişim kontrolü prosedürler ve sorumluluklar yazılım, kontrol Madde 8.1.2 Madde 8.1 Madde 10.4.1 operatör günlükleri organizasyon kayıtları, koruma organizasyon kayıtlarının korunması Madde 8.4.2 Madde 12.1.3 Madde 12.1.3 58 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 ortam yok etmek ilgilenmek ve güvenliği nakil halinde çıkarılabilir Madde 8.6.2 Madde 8.6 Madde 8.7.2 Madde 8.6.1 ortamın muhafazası otomatik terminal tanımlama oturuma giriş prosedürleri Madde 8.4 Madde 9.5.1 Madde 9.5.2 örtülü kanallar ve Truva kodu özellik kaldırma Madde 10.5.4 Madde 7.3.2 parolalar yönetimi, kullanıcı yönetim sistemi kullanımı Madde 9.2.3 Madde 9.5.4 Madde 9.3.1 personel güvenliği personel izleme ve politika Madde 6 Madde 6.1.2 politika erişim denetiminde kriptografik kontrollerin kullanımında ağ servislerinin kullanımı güvenlik Madde 9.1 Madde 10.3.1 Madde 9.4.1 Madde 3 program kaynak kitaplığı, erişim denetimi Madde 10.4.3 rapor etmek güvenlik arızaları güvenlik zayıflıkları yazılım arızaları Madde 6.3.1 Madde 6.3.2 Madde 6.3.3 risk değerlendirmesi risklerin değerlendirilmesi risk yönetimi Madde 2.2 Madde 2.2 Madde 2.3 saat vurusu senkronizasyonu sayısal imzalar sertifikasyon Madde 9.7.3 Madde 10.3.3 Madde 10.3.5.2 sınıflandırma varlıklar kılavuzlar bilgi Madde 5 Madde 5.2.1 Madde 5.2 sistem denetim hususları denetim kontrolleri geliştirme ve bakım belgelendirme dosyalar, güvenlik planlama ve kabul Madde 12.3 Madde 12.1.3 Madde 10 Madde 8.6.4 Madde 10.3 Madde 8.2 sorumluluklar işteki güvenlik için kullanıcı Madde 6.1.1 Madde 9.3 şifreleme Madde 10.3.2 59 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 teçhizat bakım güvenlik yerleştirme ve koruma gözetimsiz kullanılmış çevreler Madde 7.2.4 Madde 7.2 Madde 7.2.1 Madde 9.3.2 Madde 5.2.5 teçhizat yerleştirme Madde 7.2.1 teknik uyumluluk denetleme işletim sistemi değişikliklerini gözden geçirme Madde 12.2.2 Madde 10.5.2 temiz masa ve temiz ekran politikası Madde 7.3.1 terminal tanımlama oturuma giriş prosedürleri zaman aşımı Madde 9.5.1 Madde 9.5.2 Madde 9.5.7 terminallerin tanımlanması tesis yönetimi, harici tesisler güvenliği, ofisler, odalar ve Madde 9.5.1 Madde 8.1.6 Madde 7.1.3 test verisi, koruma Madde 10.4.2 test verisi, koruma Truva kodu ve örtülü kanallar Madde 10.4.2 Madde 10.5.4 uygulama erişim denetimi Madde 9.6 uygulama sistemleri, güvenlik güvenli alanlar çalışmak Madde 10.2 Madde 7.1 Madde 7.1.4 uygulanabilir yasaların tanımlanması Madde 12.1.1 uyumluluk yasal gerekler ile güvenlik politikası ile Madde 12.1 Madde 12.2.1 uzaktan çalışma uzaktan tanılama bağlantı noktası koruma uzman bilgi güvenliği tavsiyesi Madde 9.8.2 Madde 9.4.5 Madde 4.1.5 üçüncü taraf erişim risklerin tanımlanması anlaşmalardaki güvenlik gereksinimleri Madde 4.2 Madde 4.2.1 Madde 4.2.2 varlık sınıflandırma ve denetim varlıkların envanteri varlıkların sınıflandırması virüs denetimleri Madde 5 Madde 5.1.1 Madde 5.1 Madde 8.3 yalıtılmış dağıtım ve yükleme alanları Madde 7.1.5 yazılım kopyalamak bozulmalar Madde 12.1.2.1 Madde 6.3.3 60 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 zararlı, korunma operasyonel kontrol paketler, değişikliklerdeki sınırlamalar Madde 6.3 Madde 10.4.1 Madde 10.5.3 yazılım paketlerindeki değişiliklerdeki sınırlamalar yetkilendirme süreci Madde 10.5.3 Madde 4.1.4 yok etmek teçhizat ortam Madde 7.2.6 Madde 8.6.2 yönetim iletişim ve işlemler bilgi güvenliği forumu ağlar taşınabilir bilgisayar ortamı risk kullanıcı erişimi Madde 8 Madde 4.1.1 Madde 8.5 Madde 8.6.1 Madde 2.3 Madde 9.2 yönlendirici prensipler yönlendirme denetimi Madde 0 Madde 9.4.8 zararlar, koruma teçhizatından zorlanan yol Madde 7.2.1 Madde 9.4.2 zararlı yazılım karşı denetimler karşı koruma Madde 8.3.1 Madde 8.3 61 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 İngilizce dizin acceptance, system Clause 8.2.2 access control application of business requirements for operating system for policy for to program source library access restriction, information accountability for assets allocation of information security responsibilities applicability of controls application access control application systems, security in secure areas working in assessing your security risks assessment of risks asset classification and control Clause 9 Clause 9.6 Clause 9.1 Clause 9.5 Clause 9.1.1 Clause 10.4.3 Clause 9.6.1 Clause 5.1 Clause 4.1.3 Clause 0 Clause 9.6 Clause 10.2 Clause 7.1 Clause 7.1.4 Clause 0 Clause 2.2 Clause 5 audit considerations logs tools, protection of Clause 12.3 Clause 9.7.1 Clause 12.3.2 authentication message node user authorization process automatic terminal identification availability back-up of information business continuity framework for and impact analysis management of management process for testing, maintaining and re-assessing plans for writing and implementing plans for business requirements for access control cabling security capacity planning certification Clause 10.2.3 Clause 9.4.4 Clause 9.4.3 Clause 4.1.4 Clause 9.5.1 Clause 2.1 Clause 8.4.1 Clause 11 Clause 11.1.4 Clause 11.2 Clause 11 Clause 11.1 Clause 11.1.5 Clause 11.1.3 Clause 9.1 Clause 7.2.3 Clause 8.2.1 Clause 10.3.5.2 change control operational procedures for Clause 8.1.2 Clause 10.5.1 classification of assets guidelines of information clear desk and clear screen policy clock syncronization collection of evidence co-operation between organizations communications and operations management Clause 5 Clause 5.2.1 Clause 5.2 Clause 7.3.1 Clause 9.7.3 Clause 12.1.7 Clause 4.1.6 Clause 8 62 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 compliance with legal requirements with security policy confidentiality confidentiality agreements conditions and terms of employment Clause 12.1 Clause 12.2.1 Clause 2.1 Clause 6.1.3 Clause 6.1.4 contracts security in third party security in outsourcing Clause 4.2.2 Clause 4.3.1 control against malicious software of internal processing of operational software controls, general physical Clause 8.3.1 Clause 10.2.2 Clause 10.4.1 Clause 7.3 copyright IPR software covert channels and Trojan code critical success factors cryptographic controls policy on the use of regulation of delivery and loading areas developing your own guidelines Clause 12.1.2.1 Clause 12.1.2.2 Clause 10.5.4 Clause 0 Clause 10.3 Clause 10.3.1 Clause 10.3.2 Clause 7.1.5 Clause 0 development and maintenance of systems and operational facilities, separation of and support environment, security in digital signatures disciplinary process Clause 10 Clause 8.1.5 Clause 10.5 Clause 10.3.3 Clause 6.3.5 disposal of equipment of media documentation, security of system documented operating procedures downloading of information and software Clause 7.2.6 Clause 8.6.2 Clause 8.6.4 Clause 8.1.1 Clause 8.1.3, 8.7.4, 10.2.2 duress alârm education and training in information security Clause 9.5.6 Clause 6.2.1 electronic commerce mail office systems emergency procedures encryption enforced path entry controls environmental and physical security Clause 8.7.3 Clause 8.7.4 Clause 8.7.5 Clause 11.1.3 Clause 10.3.2 Clause 9.4.2 Clause 7.1.2 Clause 7 equipment maintenance of security of siting and protection of unattended Clause 7.2.4 Clause 7.2 Clause 7.2.1 Clause 9.3.2 63 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 used off premises establishing security requirements evaluation and review of security policy event logging evidence, collection of Clause 5.2.5 Clause 0 Clause 3.1.2 Clause 9.7.1 Clause 12.1.7 exchange of information, other forms of of information and software of information and software, agreements for external facilities management facilities management, external facilities, security of offices, rooms and fallback planning fault logging forms of information exchange, other framework for business continuity plans general physical controls guiding principles hazards, protection of equipment from Clause 8.7.7 Clause 8.7 Clause 8.7.1 Clause 8.1.6 Clause 8.1.6 Clause 7.1.3 Clause 11.1.3 Clause 8.4.3 Clause 8.7.7 Clause 11.1.4 Clause 7.3 Clause 0 Clause 7.2.1 home working security of equipment security of teleworking housekeeping identification of applicable legislation identification of terminals identification of users Clause 7.2.5 Clause 9.8.2 Clause 8.4 Clause 12.1.1 Clause 9.5.1 Clause 9.5.3 incidents learning from management procedures for reporting of incidents and malfunctions, reporting of independent review of information security Clause 6.3.4 Clause 8.1.3 Clause 6.3.1 Clause 6.3 Clause 4.1.7 information access, restrictions on back-up of classification of other forms of exchange of handling procedures for labelling and handling and software, exchanges of and software exchange agreements information security co-ordination of education and training in infrastructure policy for policy document for Clause 9.6.1 Clause 8.4.1 Clause 5.2 Clause 8.7.7 Clause 8.6.3 Clause 5.2.2 Clause 8.7 Clause 8.7.1 Clause 2.1 Clause 4.1.2 Clause 6.2.1 Clause 4.1 Clause 3.1 Clause 3.1 requirements for input data validation integrity intellectual property rights internal processing, control of inventory of assets isolated delivery and loading areas isolation of sensitive systems job definition and resourcing job responsibilities, security in Clause 0 Clause 10.2.1 Clause 2.1 Clause 12.1.2 Clause 10.2.2 Clause 5.1.1 Clause 7.1.5 Clause 9.6.2 Clause 6.1 Clause 6.1.1 64 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 key management labelling and handling of information learning from incidents limitation of connection time Clause 10.3.5 Clause 5.2.2 Clause 6.3.4 Clause 9.5.8 logging of events of faults log-on procedures logs, operator malfunctions, reporting of Clause 9.7.1 Clause 8.4.3 Clause 9.5.2 Clause 8.4.2 Clause 6.3.3 malicious software controls against protection against Clause 8.3.1 Clause 8.3 management communications and operations of information security forum of of networks of removable computer media of risk of user access Clause 8 Clause 4.1.1 Clause 8.5 Clause 8.6.1 Clause 2.3 Clause 9.2 media disposal of handling and security of in transit removable message authentication misuse of information processing facilities mobile computing and teleworking Clause 8.6.2 Clause 8.6 Clause 8.7.2 Clause 8.6.1 Clause 10.2.3 Clause 12.1.5 Clause 9.8.1 Clause 9.8 monitoring system access and use system use Clause 9.7 Clause 9.7.2 network access control of connection control of management of routing control of segregation in node authentication non-disclosure agreements non-repudiation services office systems, electronic offices, rooms and facilities, securing Clause 9.4 Clause 9.4.7 Clause 8.5 Clause 9.4.8 Clause 9.4.6 Clause 9.4.4 Clause 6.1.3 Clause 10.3.4 Clause 8.7.5 Clause 7.1.3 operating procedures system access control Clause 8.1.1 Clause 9.5 operational change control procedures and responsibilities software, control of operations and communications management operator logs organization of security organizational records, safeguarding of Clause 8.1.2 Clause 8.1 Clause 10.4.1 Clause 8 Clause 8.4.2 Clause 4 Clause 12.1.3 65 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 other forms of information exchange output data validation outsourcing outsourced software development security in contracts Clause 8.7.7 Clause 10.2.4 Clause 4.3 Clause 10.5.5 Clause 4.3.1 passwords management of, user management system for use of personal information, privacy of personnel screening and policy personnel security Clause 9.2.3 Clause 9.5.4 Clause 9.3.1 Clause 12.1.4 Clause 6.1.2 Clause 6 physical and environmental security entry controls security perimeter Clause 7 Clause 7.1.2 Clause 7.1.1 policy on access control on the use of cryptographic controls on use of network services security power supplies prevention of misuse of information processing facilities privilege management program source library, access control to property rights, intellectual Clause 9.1 Clause 10.3.1 Clause 9.4.1 Clause 3 Clause 7.2.2 Clause 12.1.5 Clause 9.2.2 Clause 10.4.3 Clause 12.1.2 protection of equipment from hazards against malicious software of system audit tools of system test data publicly available systems remote diagnostic port protection removal of property Clause 7.2 Clause 8.3 Clause 12.3.2 Clause 10.4.2 Clause 8.7.6 Clause 9.4.5 Clause 7.3.2 reporting security incidents security weaknesses software malfunctions review and evaluation of security policy Clause 6.3.1 Clause 6.3.2 Clause 6.3.3 Clause 3.1.2 requirements for security responding to incidents Clause 0 Clause 6.3 responsibilities for security in the job user restrictions of changes to software packages Clause 6.1.1 Clause 9.3 Clause 10.5.3 review of information security of user access rights risk assessment risk management routing control safeguarding of organizational records scope secure areas Clause 4.1.7 Clause 9.2.4 Clause 2.2 Clause 2.3 Clause 9.4.8 Clause 12.1.3 Clause 1 Clause 7.1 66 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 disposal of equipment in working in securing offices, rooms and facilities Clause 7.2.6 Clause 7.1.4 Clause 7.1.3 security in application systems in development and support processes education of electronic commerce of electronic mail of electronic office systems incidents of media in transit organization policy policy, compliance with requirements analysis requirements in outsourcing contracts requirements in third party contracts requirements of systems reviews of information processing facilities of system documentation of system files of third party access weaknesses, reporting of Clause 10.2 Clause 10.5 Clause 6.2.1 Clause 8.7.3 Clause 8.7.4 Clause 8.7.5 Clause 6.3, 6.3.1 Clause 8.7.2 Clause 4 Clause 3 Clause 12.2.1 Clause 10.1.1 Clause 4.3.1 Clause 4.2 Clause 10.1 Clause 12.2 Clause 8.6.4 Clause 10.3 Clause 4.2 Clause 6.3.2 segregation of duties in networks sensitive system isolation separation of development and operational facilities siting of equipment Clause 8.1.4 Clause 9.4.6 Clause 9.6.2 Clause 8.1.5 Clause 7.2.1 software copying of malfunctions in malicious, protection from operational control of packages, restrictions on changes source program library access control specialist information security advice syncronization of clocks Clause 12.1.2.1 Clause 6.3.3 Clause 6.3 Clause 10.4.1 Clause 10.5.3 Clause 10.4.3 Clause 4.1.5 Clause 9.7.3 system audit considerations audit controls development and maintenance of documentation files, security of planning and acceptance sensitive, isolation of test data, protection of Clause 12.3 Clause 12.1.3 Clause 10 Clause 8.6.4 Clause 10.3 Clause 8.2 Clause 9.6.2 Clause 10.4.2 technical compliance checking review of operating system changes teleworking Clause 12.2.2 Clause 10.5.2 Clause 9.8.2 terminal identification log-on procedures Clause 9.5.1 Clause 9.5.2 67 ICS 35.040 TÜRK STANDARDI TS ISO/IEC 17799/Kasım 2002 time-out terms and conditions of employment Clause 9.5.7 Clause 6.1.4 test data, protection of testing, maintaining and re-assessing business continuity plans Clause 10.4.2 Clause 11.1.5 third party access identification of risks security requirements in contracts training Trojan code and covert channels unattended user equipment Clause 4.2 Clause 4.2.1 Clause 4.2.2 Clause 6.2.1 Clause 10.5.4 Clause 9.3.2 user access management rights, review of authentication identifiers identification password management registration responsibilities training Clause 9.2 Clause 9.2.4 Clause 9.5.3 Clause 9.2.1 Clause 9.5.3 Clause 9.2.3 Clause 9.2.1 Clause 9.3 Clause 6.2 validation of input data of output data virus controls working in secure areas Clause 10.2.1 Clause 10.2.3 Clause 8.3 Clause 7.1.4 68