K
kehkesan
Misafir
Misafir
1. Amaç
Bu prosedürün amacı, kurumun bilgisayar ağının (PC, sunucu, firewall, ağ anahtarı vs) güvenlik açıklarına karşı taranması hususunda yöntem belirlemek, tespitlenen güvenlik açıkları için gerekli tedbirlerin alınmasını sağlamak amacıyla yetkili firmalara risk analizi yaptırılmasına dair kuralları belirlemektir. Kurum çalışanlarının, bilgi güvenliği ile ilgili acil bir durum oluştuğunda sorumlulukları dahilinde gerekli müdahaleyi yapabilmelerine yönelik standartları oluşturmak ve Izlenen olayın uygun şekilde raporlanması, belirlenen önlem ve acil durum faaliyetlerinin uygulanmasını açıklamaktır.
2. Kapsam
Kurum bünyesinde sahip olunan bütün bilgisayar ve haberleşme cihazlarını,kurumun bünyesinde bulunan fakat kurumun sahip olmadığı herhangi bir sistemi kapsamaktadır. Denetim yapan kişi veya kurum hizmetlerin durdurulması (Denial of Service) aktivitesi yapmayacaktır.
Risk analizi Kurum içerisinde veya kurum dışındaki herhangi bir cihaz üzerinden yapılabilir. Risk analizi, uygulama programları, sunucular, ağ veya yönetim sistemleri üzerinde yapılabilir.
Acil durum senaryoları yaşanmadan önce uygun acil durum hareket planının yapılması esastır. Bilgi güvenliğine yönelik tehlike senaryolarından bazıları sistemlere yapılacak direkt saldırılar, zararlı kod içeren programların sisteme sızması, bilginin hırsızlığı, dışarıdan veya içeriden gerçekleştirilebilecek saldırı öncesi taramalar olarak tanımlanabilir.
3. Uygulama
3.1.Güvenlik açıklarının tespiti:
Istenildiğinde denetim yapan kişiye erişim izni verilecektir. Bu anlaşmada Kurum denetim yapan kişilere kendi izni ile bilgisayar ağına erişim hakkı vermektedir. Denetim yapan kişilere ağ taraması yapması için protokol, adres bilgileri, ağ bağlantıları vs. hakkında bilgi verecektir.
Bu istekler aşağıdaki bilgileri kapsamaktadır:
• Bilgisayar veya haberleşme cihazlarına kullanıcı ve/veya sistem seviyeli erişim bilgileri.
• Kurum bünyesindeki üretilen, iletilen veya saklanan bilgilere (elektronik, hardcopy vs) erişim.
• Çalışma alanlarına erişim (ofisler, sistem odaları, bilgi depolama alanları vs).
• Kurum ağının trafiğini etkileşimli olarak gözlemleme ve trafiğin loglanması isteği.
3.1.1. Tarama Esnasında Muhatap Olan Kişi
Kurum denetimi yapan kişiye oluşabilecek sorunlar hakkında danışabileceği bir kişiyi yazılı
olarak verecektir.
3.1.1. Tarama Periyodu
Kurum ve denetimi yapan kişi denetim yapılacak zamanı yazılı olarak bildirecekleridir.
3.1.1. Gizlilik Anlaşması
Kurum ile güvenlik taraması yapacak kişi, tarama sonucunda elde edilecek bilgilerin hiçbir şekilde üçüncü şahıslara aktarmayacağına dair gizlilik anlaşması yapacaktır.
3.2.Risk değerlendirme :
Sistemi mükemmelleştirmeyi amaçlayan bu programın çalıştırılması, geliştirilmesi ve uygulaması Kurum ve ilgili firmanın sorumluluğundadır. Risk analizi süresince çalışanlar gerekli noktalarda yardımcı olacaklardır.Çalışanlar daha sonra risk değerlendirme takımı ile birlikte geliştirme ve iyileştirme prosesine katkıda bulunacaklardır.
Risk değerlendirme raporları kuruma elden teslim edilecek ve rapor, söz konusu risk ve hassasiyetler giderilene dek Bilgi Işlem Biriminde çevresel ve fiziksel güvenlik önlemleri alınmış bir ortamda saklanacaktır.
Risk değerlendirme çalışmalarına başlamadan önce çalışma kapsamına konu sistemler ve çalışma süreleri Kuruma bildirilecek ve bu çalışmalar Kurum tarafından izlenecektir. Risk değerlendirme çalışmaları esnasında sistemler üzerinde servis reddi veya herhangi bir sebeple iş sürekliliği aksatılmayacaktır.
3.3.Kriz/acil durum yönetimi:
Acil durum sorumluları atanmalı ve yetki ve sorumlulukları belirlenmeli ve dokümante edilmelidir. Acil durumlarda kurum içi işbirliği gereksinimleri tanımlanmalıdır. Acil durumlarda sistem log'ları incelenmek üzere saklanmalıdır. Güvenlik açıkları ve ihlallerinin rapor edilmesi için kurumsal bir mekanizma oluşturulmalıdır. Yaşanan acil durumlar sonrası politikalar ve süreçler yeniden incelenerek ihtiyaçlar doğrultusunda revize edilmelidir. Bir güvenlik ihlali yaşandığında ilgili sorumlulara bildirimde bulunulmalı ve bu bildirim süreçleri tanımlanmış olmalıdır. Acil durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır:
.. Seviye A: Bilgi kaybı. Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.
.. Seviye B: Servis kesintisi. Kurumsal servislerin kesintisi veya kesintisine yol açabilecek durumlar.
.. Seviye C: Şüpheli durumlar. Yukarıda tanımlı ilk iki seviyedeki duruma sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.
Herbir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu riskler oluşmadan önce ve oluştuktan sonra hareket planları tanımlanmalı ve dokümante edilmelidir. Acil durumlarda bilgi güvenliği yöneticisine erişilmeli, ulaşılamadığı durumlarda koordinasyonu sağlamak üzere önceden tanımlanmış ilgili yöneticiye bilgi verilmeli ve zararın tespit edilerek süratle daha önceden tanımlanmış felaket kurtarma faaliyetleri yürütülmelidir. Bilgi güvenliği yöneticisi tarafından gerekli görülen durumlarda konu hukuksal zeminde incelenmek üzere ilgili makamlara iletilmelidir.
Bu prosedürün amacı, kurumun bilgisayar ağının (PC, sunucu, firewall, ağ anahtarı vs) güvenlik açıklarına karşı taranması hususunda yöntem belirlemek, tespitlenen güvenlik açıkları için gerekli tedbirlerin alınmasını sağlamak amacıyla yetkili firmalara risk analizi yaptırılmasına dair kuralları belirlemektir. Kurum çalışanlarının, bilgi güvenliği ile ilgili acil bir durum oluştuğunda sorumlulukları dahilinde gerekli müdahaleyi yapabilmelerine yönelik standartları oluşturmak ve Izlenen olayın uygun şekilde raporlanması, belirlenen önlem ve acil durum faaliyetlerinin uygulanmasını açıklamaktır.
2. Kapsam
Kurum bünyesinde sahip olunan bütün bilgisayar ve haberleşme cihazlarını,kurumun bünyesinde bulunan fakat kurumun sahip olmadığı herhangi bir sistemi kapsamaktadır. Denetim yapan kişi veya kurum hizmetlerin durdurulması (Denial of Service) aktivitesi yapmayacaktır.
Risk analizi Kurum içerisinde veya kurum dışındaki herhangi bir cihaz üzerinden yapılabilir. Risk analizi, uygulama programları, sunucular, ağ veya yönetim sistemleri üzerinde yapılabilir.
Acil durum senaryoları yaşanmadan önce uygun acil durum hareket planının yapılması esastır. Bilgi güvenliğine yönelik tehlike senaryolarından bazıları sistemlere yapılacak direkt saldırılar, zararlı kod içeren programların sisteme sızması, bilginin hırsızlığı, dışarıdan veya içeriden gerçekleştirilebilecek saldırı öncesi taramalar olarak tanımlanabilir.
3. Uygulama
3.1.Güvenlik açıklarının tespiti:
Istenildiğinde denetim yapan kişiye erişim izni verilecektir. Bu anlaşmada Kurum denetim yapan kişilere kendi izni ile bilgisayar ağına erişim hakkı vermektedir. Denetim yapan kişilere ağ taraması yapması için protokol, adres bilgileri, ağ bağlantıları vs. hakkında bilgi verecektir.
Bu istekler aşağıdaki bilgileri kapsamaktadır:
• Bilgisayar veya haberleşme cihazlarına kullanıcı ve/veya sistem seviyeli erişim bilgileri.
• Kurum bünyesindeki üretilen, iletilen veya saklanan bilgilere (elektronik, hardcopy vs) erişim.
• Çalışma alanlarına erişim (ofisler, sistem odaları, bilgi depolama alanları vs).
• Kurum ağının trafiğini etkileşimli olarak gözlemleme ve trafiğin loglanması isteği.
3.1.1. Tarama Esnasında Muhatap Olan Kişi
Kurum denetimi yapan kişiye oluşabilecek sorunlar hakkında danışabileceği bir kişiyi yazılı
olarak verecektir.
3.1.1. Tarama Periyodu
Kurum ve denetimi yapan kişi denetim yapılacak zamanı yazılı olarak bildirecekleridir.
3.1.1. Gizlilik Anlaşması
Kurum ile güvenlik taraması yapacak kişi, tarama sonucunda elde edilecek bilgilerin hiçbir şekilde üçüncü şahıslara aktarmayacağına dair gizlilik anlaşması yapacaktır.
3.2.Risk değerlendirme :
Sistemi mükemmelleştirmeyi amaçlayan bu programın çalıştırılması, geliştirilmesi ve uygulaması Kurum ve ilgili firmanın sorumluluğundadır. Risk analizi süresince çalışanlar gerekli noktalarda yardımcı olacaklardır.Çalışanlar daha sonra risk değerlendirme takımı ile birlikte geliştirme ve iyileştirme prosesine katkıda bulunacaklardır.
Risk değerlendirme raporları kuruma elden teslim edilecek ve rapor, söz konusu risk ve hassasiyetler giderilene dek Bilgi Işlem Biriminde çevresel ve fiziksel güvenlik önlemleri alınmış bir ortamda saklanacaktır.
Risk değerlendirme çalışmalarına başlamadan önce çalışma kapsamına konu sistemler ve çalışma süreleri Kuruma bildirilecek ve bu çalışmalar Kurum tarafından izlenecektir. Risk değerlendirme çalışmaları esnasında sistemler üzerinde servis reddi veya herhangi bir sebeple iş sürekliliği aksatılmayacaktır.
3.3.Kriz/acil durum yönetimi:
Acil durum sorumluları atanmalı ve yetki ve sorumlulukları belirlenmeli ve dokümante edilmelidir. Acil durumlarda kurum içi işbirliği gereksinimleri tanımlanmalıdır. Acil durumlarda sistem log'ları incelenmek üzere saklanmalıdır. Güvenlik açıkları ve ihlallerinin rapor edilmesi için kurumsal bir mekanizma oluşturulmalıdır. Yaşanan acil durumlar sonrası politikalar ve süreçler yeniden incelenerek ihtiyaçlar doğrultusunda revize edilmelidir. Bir güvenlik ihlali yaşandığında ilgili sorumlulara bildirimde bulunulmalı ve bu bildirim süreçleri tanımlanmış olmalıdır. Acil durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır:
.. Seviye A: Bilgi kaybı. Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.
.. Seviye B: Servis kesintisi. Kurumsal servislerin kesintisi veya kesintisine yol açabilecek durumlar.
.. Seviye C: Şüpheli durumlar. Yukarıda tanımlı ilk iki seviyedeki duruma sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.
Herbir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu riskler oluşmadan önce ve oluştuktan sonra hareket planları tanımlanmalı ve dokümante edilmelidir. Acil durumlarda bilgi güvenliği yöneticisine erişilmeli, ulaşılamadığı durumlarda koordinasyonu sağlamak üzere önceden tanımlanmış ilgili yöneticiye bilgi verilmeli ve zararın tespit edilerek süratle daha önceden tanımlanmış felaket kurtarma faaliyetleri yürütülmelidir. Bilgi güvenliği yöneticisi tarafından gerekli görülen durumlarda konu hukuksal zeminde incelenmek üzere ilgili makamlara iletilmelidir.
