Kurumsal

BİLGİ GÜVENLİĞİ POLİTİKAMIZ

Yeşilay Bilgi Güvenliği Politikamız; bilgi güvenliği ile ilgili ortaya çıkabilecek riskleri ve bu risklerin etkilerini en aza indirmeyi amaçlayan bir yaklaşımı tanımlar. Bu bağlamda;

  • Bilgi varlıklarının güvenliğinin gizliliğinin, bütünlüğünün ve erişilebilirliğinin; sürekliliğinin ve kontrolünün sağlanmasını,

  • Bilgi varlıklarının kaybolmasından, bozulmasından veya kötüye kullanılmasından doğan risklerin sınırlanmasını, yasa ve yönetmeliklere uygunluğunun sağlanmasını,

  • Bilgi varlıklarının, içeriden ya da dışarıdan bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı korunmasını

  • Bilgi Güv​enliği Yönetim Sistemi’nin yaşatılması için sürekli iyileştirme fırsatlarının değerlendirilmesi çalışmalarını gerçekleştirmeyi amaçlar.

Bilgi Güvenliği Politikamız, Yeşilay bilgilerini veya iş sistemlerini kullanan tüm çalışanları coğrafi konumdan veya iş biriminden bağımsız olarak kapsar.  Bu sınıflandırmalara girmeyen ve Yeşilay bilgilerine erişime sahip olan üçüncü şahıs hizmet sağlayıcıların ve bunlara bağlı çalışanların, bu politikanın genel ilkelerine bağlı kalması şarttır.

1. Yasalara Uyum

Yeşilay, bilgi teknolojileri, haberleşme altyapı hizmetleri ile ilgili yayınlanmış kanun, yönetmelik ve tebliğlere göre faaliyetlerini yürütmektedir. Ülkemizde içe­rik sağ­la­yı­cı, yer sağ­la­yı­cı, eri­şim sağ­la­yı­cı ve top­lu kul­la­nım sağ­la­yı­cı­la­rın yü­küm­lü­lük ve so­rum­lu­luk­la­rı ile in­ter­net or­ta­mın­da iş­le­nen be­lir­li suç­lar­la içe­rik, yer ve eri­şim sağ­la­yı­cı­la­rı üze­rin­den mü­ca­de­le­ye iliş­kin esas ve usuller 04 Mayıs 2007 tarihli 5651 sayılı Kanunda belirtilmiştir. Yeşilay 6698 numaralı ve 24.03.2016 tarihli Kişisel Verilerin Korunması Kanunu gereği tüm maddelere uyumlu olarak faaliyetlerini yürütür.

2. Bilgi Sınıflandırılması

Yeşilay bünyesinde işlenen ve oluşturulacak verilerin sahipliğinin,  sınıflarının belirlenmesi çalışmaları ve yönetimi konuları ele alınır. Bilgilerin farklı kriterlere (kritiklik, yasal zorunluluk, yetkisiz erişim etkileri vb.) sahip olması nedeniyle yeterli seviyede güvenlik önlemlerinin tanımlanması ve uygulanması için bilgilerin, gizlilik, bütünlük ve erişilebilirlik seviyelerine göre değerlendirilir ve sınıflandırılır; sahipleri ve emanetçileri atanır. Bütünlük, gizlilik ve erişilebilirlik seviyelerine göre sınıflandırılan bilgi varlıkları için uygulanması zorunlu minimum güvenlik seviyeleri belirlenir ve bu prensiplere üst yönetimin onayladığı istisnalar hariç tam uyum gösterilir.

3. Kullanıcı Erişim ve Yetkilendirme

Yeşilay’ ın tüm kullanıcıları (hassas ve normal yetkili kullanıcılar)  “görevlerin ayrılığı prensibi” ve “minimum erişim yetkisi prensibi” ile izlenir.  Yetkiler ilgili sistem sahibinin onayına istinaden verilir. Sistem İç Denetim Müdürlüğü tarafından kontrol edilir. Yetkilerin geri alınması için talep ihtiyacı bulunmamaktadır. Yılda en az 1 kere olmak üzere kullanıcı hesabı ve yetki gözden geçirmesi çalışması yapılır. Sistem sahipleri; kullanıcı hesabı ve yetki gözden geçirme çalışmalarında asli sorumludur. Kullanıcı erişim metotlarının belirlenmesinde inkâr edilemezlik ve sorumluluk atamaya izin verecek teknikler kullanılır. Kullanıcı hesapları kişiye özel yaratılır ve ortak kullanıcı hesapları kullanılmaz.

4. Şifre Yönetimi

Şifre Yönetimi standardının amacı, Yeşilay tarafından kullanılan uygulamalar, işletim sistemleri ve veri tabanları için şifre standart ve kurallarının belirlenmesidir. Bu standart,  tüm birim ve çalışanları, üçüncü taraf olarak bilgi sistemlerine erişen iç ve dış paydaşlarını, bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını ve ilgili diğer dış kullanıcıları kapsar. 

5. Denetim İzi Yönetimi

İşletim sistemleri, veritabanları ve diğer tüm kritik sistemler ve uygulamalar üzerindeki hareketleri kontrol altına almak, izlemek, analiz etmek ve gerekli önlemleri zamanında alabilmek amacıyla iz kayıtlarının düzenli kontrolü ve takibi yapılır. Söz konusu denetim izlerinde gereksiz hassas ve kritik verinin bulunması engellenir.  Denetim izleri üzerinde yapılan işlemler de kayıt altına alınır

6. Bilgi Güvenliği Olayları Yönetimi

Güvenlik sorunları ve bozulmaları güvenlikten sorumlu kişilere acilen raporlanır. Raporlanmış bir güvenlik sorunu öncelikli olarak çözümlendirilmelidir. Yazılım problemlerinden kaynaklanan sorunlar da aynı şekilde ele alınır. Geçmişte raporlanmış güvenlik sorunlarından ders alınarak aynı sorunların tekrar yaşanmaması sağlanmalıdır. Tüm çalışanlar uygun şekilde güvenlik olaylarını raporlamakla yükümlüdür.

7. Uygun Kullanım

Yeşilay’ın bilgi ve haberleşme sistemleri ve donanımları (İnternet, e-posta, telefon, çağrı cihazları, faks, bilgisayarlar, mobil cihazlar ve cep telefonları da dahil olmak üzere) Yeşilay işlerinin yürütülmesi için kullanılmalıdır. Bu sistemlerin yasa dışı, rahatsız edici, Yeşilay’ın diğer politika, standart ve rehberlerine aykırı veya Yeşilay’a zarar verecek herhangi bir şekilde kullanımı bu politikanın ihlal edildiği anlamına gelir. Yeşilay bu sistemleri ve bu sistemlerle gerçekleştirilen aktiviteleri izleme, kaydetme ve periyodik olarak denetleme hakkını saklı tutar. Kullanıcı, Yeşilay tarafından sağlanan iletişim sistemlerinin kullanımın sırasında sistemde dile getirdiği tüm fikir, düşünce, ifade ve yazıların kendisine ait olduğunu, Yeşilay’ın hiçbir şekilde sorumlu olmadığını kabul eder.

Kullanıcı, sağlanan iletişim sistemlerinin kullanımın sırasında ilettiği mesajlarda hakaret, pornografi ve diğer yasadışı, toplum ahlak ve anlayışına aykırı herhangi bir amaç güden toplu tanıtım, postalama ve benzeri aktivitelerde bulunamaz.

8. Zararlı ve Lisanssız Yazılımlara Karşı Koruma

Yeşilay bünyesine ait sistemlerde istenmeyen yazılımlara yönelik çerçeve belirlenir, kullanılan işletim sistemlerinde anti virüs çalışması uygulanmalıdır.  Kullanıcı bilgisayarlarının ve bilgi işlem sistemlerinin zararlı yazılımların etkilerinden korunması ve güvenliği sağlanır. Lisanssız yazılımların kullanımı engellenir. Çalışanların sistemler üzerindeki anti virüs uygulamasını kapatması veya kaldırması engellenir. Tüm kullanıcı bilgisayarlarına, sunuculara anti virüs yazılımları kurulmakta ve düzenli taramaların ve güncellemelerin yapılması sağlanır. Uygunsuz ve lisanssız yazılımların herhangi bir şekilde kurulumu ve kullanımı yasaktır. Kullanıcıların yetkilendirmeleri kısıtlanarak, lisanssız yazılım kurulumuna izin verilmemektedir. Kullanıcılar ihtiyaç duydukları yazılımlar için ilgili birimlerden onay almak zorunluluğundadır. Bilgi sistem ve uygulama yazılımlarındaki zayıflıkların ve güvenlik açıklıkların önceden tespit edilerek gerçekleşmesi muhtemel olan saldırıların ve suiistimallerin önüne geçilmesi amacıyla gerekli düzenli taramalar gerçekleştirilir ve gerekli yamalar yüklenir.

9. Ağ Güvenliği

Bilgisayar ağına yetkisiz cihazların bağlanması engellenir. Yeşilay sistemleri güvenlik duvarı olarak ilgili ürünleri kullanmaktadır. Aynı ürün ek olarak IPS ve IDS teknolojileri sağlayarak ağ üzerindeki tehditlerden ve izinsiz erişimlerden korunur. Ağ güvenlik cihazları üzerindeki değişiklikler kayıt altına alınır ve onaylanır. Yeni dış bağlantı talepleri Bilgi Teknoloji Müdürlüğü onayıyla işletime alınır.

10. Dış Veri Transferi

Yeşilay dışına yapılan veri transferleri transfer edilen verinin içeriği ile uyumlu olacak şekilde güvenli bir şekilde gerçekleştirilir. İnkâr etmeyi engelleyici önlemler alınır.

11. Fiziksel ve Çevresel Güvenlik

Yeşilay’ ın bilgi varlıklarının zarar görmemesi ile fiziksel ve çevresel tehditlerden korunması için Yeşilay tarafından kullanılan fiziksel bölgelere yönelik risk değerlendirme yapılır ve önlemler risk değerlendirme sonuçlarına göre belirlenir. Yeşilay sınırları içinde gerek çalışanlar ve gerekse ziyaretçiler giriş kartlarını sürekli görünür şekilde taşımak ile yükümlüdürler. Giriş kartlarının kaybolması durumunda Yeşilay’a yönelik olarak zafiyet yaratmayacak tasarım kullanılır. Kullanılan cihazlar (bilgisayar, USB vb.) yetkisiz erişime karşı korunur. Ziyaretçiler Yeşilay sınırları içinde yanında nezaretçi olmadan dolaşamazlar. Sistem odalarına giriş ve çıkış kayıt altına alınır. Hassas veri iletiminde kullanılan fiziksel kablolama yapısı yetkisiz müdahalelere karşı fiziksel ve mantıksal önlemler ile korunur. Çevresel faktörlere karşı gerekli önlemler alınır

12. Temiz Masa

Hassas ve kritik bilgi içeren herhangi bir doküman veya veri depolama cihazı yetkisiz erişimleri engelleyecek şekilde saklanır. Taşınabilir cihazlarda hassas veri transfer süreci dışında saklanmaz. Söz konusu cihazlarda taşınan veri yetkisiz erişime karşı şifrelenir. Hassas veri içeren dokümanlar ancak geri döndürülemez şekilde imha edilir. İş gereksinimleri hariç taşınabilir veri depolama cihazlarının kullanımı engellenir. Kuruluşa ait kritik bilgi içeren dokümanlar başkaları tarafından fark edilmeyecek şekilde muhafaza edilmelidir. Masa üstü doküman sayısını artırmamak için mümkün olduğu kadar elektronik dokümanların yazıcıdan çıktılarının alınmamasına dikkat edilmelidir.

13. Bilgi Güvenliği Risk Yönetimi

Yeşilay bünyesinde bilgi güvenliğinin tam anlamıyla sağlanabilmesi amacıyla ilgili kontrollerin belirlenmesi, bu kontrollerin etkin bir şekilde hayata geçirilmesi ve gerekli aksiyonların alınması amacıyla bilgi teknolojileri varlıklarının ve kritik bilgilerin riskleri değerlendirilir. Bu süreç çerçevesinde BT varlıklarının sınıflandırılması, varlıklara yönelik tehditlerin belirlenmesi, bu tehditlerin ve ilişkili risklerin azaltılmasına yönelik kontrollerin belirlenmesi ve tüm bu adımların uygulanmasına yönelik çalışmalar yürütülür. Bunlara ek olarak; İç Denetim Müdürü tarafından risk değerlendirme çalışmaları ile risk aksiyonlarının takibi yapılır.

14. İş Sürekliliği Yönetimi

Yeşilay bünyesinde Yeşilay’ ın sürekliliğini tehdit edebilecek operasyonel süreçlerin aksamasıyla Yeşilayı maddi kayıp ve itibar kaybı yaşamasına sebep olabilecek olaylar karşısında hazırlıklı olmak ve en kısa sürede kabul edilebilir bir düzeyde yeniden operasyona başlayabilmek için gereken önlemleri alınır.  Yeşilay’ ın  kritik operasyonel süreçleri belirlenerek “süreklilik stratejisi”  tanımlanır. Söz konusu kritik süreçler belirlenirken, Yeşilay’ ın  kritik bilgileri ile bu bilgilerin üzerinde işletildiği kritik BT servislerine yönelik süreklilik planlamaları yapılır. Bunun yanı sıra olağanüstü hallerde “uzaktan çalışma” altyapısı ve bilgi paylaşım protokolleri belirlenir ve tüm kullanıcılara uzaktan erişim yoluyla işlerini sürdürebilme olanağı sağlanır.

15. Sistem Geliştirme ve Bakım

Bilgi sistemleri dahilinde talep kapsamına uygun olarak gerçekleştirilen analiz, tasarım, geliştirme, kurulum ve kurulum sonrası gözden geçirme faaliyetleri tanımlanmış süreçlere göre yönetilir. Sistem tasarımında görevler ayrılığı ilkesi ile asgari yetki prensibi uygulanır. Söz konusu faaliyetler gerçekleştirilirken bilgi güvenliğinin etkin bir şekilde sağlanması hususunda, sürece dahil olan tüm Yeşilay çalışanları  aynı derecede sorumludur. Ek olarak, süreç kapsamında, üretim ortamına erişimlerde ve devreye alım sürecinde görevler ayrılığı ilkesi ile asgari yetki prensibine uyulur.

16. Bilgi Güvenliği Eğitimleri

Yeşilay çalışanlarının bilgi güvenliği politikası ve stratejisine yönelik farkındalığını arttırmak amacıyla personel işe girişlerinde ve belirli aralıklarla bilgi güvenliği eğitimlerinin verilir. Verilen eğitimlere tüm sorumlu personelin katılımı sağlanır ve takip edilir. Verilen eğitimler kapsamında Bilgi Güvenliği Politikası, ilgili prosedürleri ve standartları tüm çalışanlara aktarılarak çalışanların bilgi güvenliğinin sağlanması hususunda kendilerine düşen rol ve sorumlulukların bilincinde olması sağlanır.

17. Fikri Mülkiyet Hakları

Fikri mülkiyet hakkı taşıyan ürün, yazılım, hizmet veya sistemler sahibinden izin alınmadan veya kullanım lisansı olmadan kullanılmayacaktır. Yeşilay bünyesinde lisanssız yazılım kullanımı yasaktır. Yeşilay’ a ait ürün ve hizmetlerin fikri mülkiyetini korumak için gerekli patentler alınmaktadır.