BİLGİ GÜVENLİĞİ NEDİR?

Bilgi güvenliği, “bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve  doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önleme olarak” tanımlanır. Bilgisayar teknolojilerinde güvenliğin amacı ise “kişi ve kurumların bu teknolojilerini kullanırken karşılaşabilecekleri tehdit ve tehlikelerin analizlerinin yapılarak gerekli önlemlerin önceden alınmasıdır. Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır. Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi birçok biçimde bulunabilir. Bilgi, kâğıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür.

Bilgi güvenliği temelde gizlilik, bütünlük, kullanılabilirlik unsurlarını hedefler. Bu kavramları biraz açacak olursak gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmaması diyebiliriz. Kullanılabilirlik, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

Bilgi Güvenliği Politikaları’nın temel amacı; Kırşehir İl Sağlık ve Halk Sağlığı Müdürlüklerinin görevleri kapsamında bilginin toplanması, değerlendirilmesi, raporlanması ve paylaşılması süreçlerinde güvenliğin sağlanmasına yönelik tedbir almak, bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içerden veya dışardan kasıtlı ya da kazayla oluşabilecek tüm tehditlerden korunmasını sağlamak, son kullanıcı, idareci, sistem ve veri tabanı yöneticileri ve teknik personelin bilgi sistem ve ağları üzerinde yapacakları çalışmalarda bilgi güvenliği farkındalık, duyarlılık ve teknik bilgi düzeylerinin artırılması ile sistemsel güvenlik açıklarının ortadan kaldırılmasını sağlayarak, insan kaynaklı zafiyetlerin önlenmesi ve gizliliği, bütünlüğü ve erişilebilirliği sağlanmış bilişim alt yapısının kullanılması ve sürdürebilirliğinin temin edilmesi sureti ile; veri ve bilgi kayıplarının önlenmesi bu yolla ekonomik zarara uğranılmaması ve kurumsal prestij kaybı yaşanmamasıdır.

TEMEL İLKELER

• Kırşehir İl Sağlık ve Halk Sağlığı Müdürlükleri personeli yerine getirmekle yükümlü oldukları tüm iş ve işlemlerin yürütülmesinde kullandıkları bilgi sistemleri ile ilgili olarak; bilgi güvenliği duyarlılığı çerçevesinde hareket etmekle yükümlüdür. Her kullanıcı kişisel veya çalışma alanı ile ilgili hususlara uymakla yükümlüdür. Kullanıcı, bilgi sistemleri ve ağlarının güvenliğinin gerekliliği ve güvenliği artırmak için neler yapabileceği konularında bilinçli olmalıdır.
• Kullanıcı, güvenlik tehditlerini önlemek, saptamak ve bunlara tepki verebilmek için işbirliği içinde ve zamanında eyleme geçmekten sorumludur. Kullanıcılar, bilgi sistem ve ekipmanlarının kullanımında birbirlerinin haklarına saygı göstermekle yükümlüdürler.
• Kırşehir İl Sağlık ve Halk Sağlığı Müdürlükleri hedeflenmek sureti ile içerden ya da dışarıdan yapılacak siber saldırılara kurumsal sorumluluk ve yetkiler çerçevesinde gerekli tedbirler alınmalıdır.

POLİTİKALAR

A.1. İnsan Kaynakları ve Zafiyetleri Yönetimi
A.1.1. Çalışan personele ait şahsi dosyalar ve gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır.
A.1.2. ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında(izin kağıdı gibi) ekranda bulunan kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir.
A.1.3. Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir.
A.1.4. İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kağıt kesme makinasında imha edilmelidir.
A.1.5. Çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır.
A.1.6. Görevden ayrılan personel, zimmetinde bulunan malzemeleri ve elindeki bilgi,belgeleri teslim etmeli; personel kimlik kartı idareye yazıyla iade edilmelidir.

A.2. Parola Güvenliği
A.2.1. Parola en az 8 karakterden oluşmalıdır. Büyük ve küçük harfler bir arada kullanılmalı; harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler de içermelidir.
A.2.2. Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar, sözlükte bulunabilen kelimeler veya kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin 12345678, qwerty, doğum tarihiniz, çocuğunuzun adı, soyadınız gibi)
A.2.3. Basit bir kelimenin içerisindeki harf veya rakamları benzerleri ile değiştirilerek güçlü bir parola elde edilebilir.

A.3. İnternet ve Elektronik Posta Güvenliği
A.3.1. Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü ve kişisel çıkar amaçlı kullanılamaz.
A.3.2. Kurumun e-posta sunucusu; kurum içi ve dışı başka kullanıcılara SPAM, phishing mesajlar  göndermek için kullanılamaz; herhangi bir kullanıcı ya da gruba küçük düşürücü, hakaret edici,zarar verici  mesajlar göndermek için kullanılamaz.
A.3.3. İnternet haber gruplarına mesaj yayımlanacak ise; kurumun sağladığı resmi e-posta adresi bu mesajlarda kullanılamaz. Ancak iş gereği üye olunması yararlı internet haber grupları için yöneticisinin onayı alınarak Kurumun sağladığı resmi e-posta adresi kullanılabilir.
A.3.4. Hiçbir kullanıcı, gönderdiği e-posta adresinin kimden bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz; e-posta gönderirken konu alanı boş bırakılamaz ve de  konu alanı boş, kimliği belirsiz hiçbir e-posta açılıp ve silinemez.
A.3.5. E-postaya eklenecek dosya uzantıları “.exe”, “.vbs” veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak     ( zip veya rar formatında) mesaja eklenmelidir.
A.3.6. Kurum ile ilgili olan gizli bilgi, gönderilen mesajlarda ya da ekinde yer almamalıdır. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
A.3.7. Kullanıcı; kurumun e-posta adresi üzerinden taciz, suistimal veya alıcının haklarına zarar vermeye yönelik öğeleri içeren ve de e-posta ile uygun olmayan içerikleri (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, vb.) göndermemeli bu tür mesajlar aldığında Sistem Yönetimine haber vermelidir. Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul etmektedir.( Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden kullanıcı sorumludur. )
A.3.8. Kullanıcı hesapları; doğrudan ya da dolaylı olarak ticari ve kâr amaçlı olarak kullanılmayıp diğer kullanıcılara da bu amaçla e-posta gönderilmemelidir.
A.3.9. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında başkalarına iletilmeyip, Sistem Yönetimine haber verilmelidir. Spam, zincir, sahte vb. zararlı olduğu düşünülen e-postalara yanıt verilmemelidir.
A.3.10. Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermeli; gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir.
A.3.11. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı; tehdit unsuru olduğu düşünülen ve kullanıcı kodu/parolasını girmesini isteyen e-postalar geldiğinde ise herhangi bir işlem yapmaksızın Sistem Yönetimine haber vermelidir.
A.3.12. Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolasının kırıldığını fark ettiği anda Sistem Yönetimine haber vermelidir.

A.4. Mal ve Hizmet Alımları Güvenliği
A.4.1. Mal ve hizmet alımlarında İlgili kanun, genelge, tebliğ ve yönetmeliklere
aykırı olmayacak ve rekabete engel teşkil etmeyecek şekilde gerekli güvenlik
düzenlemeleri Teknik Şartnameler de belirtilmelidir.
A.4.2. Belirlenen güvenlik gereklerinin karşılanması için aşağıdaki maddelerin anlaşmaya eklenmesi hususu dikkate alınmalıdır:
• Bilgi güvenliği politikası,
• Bilgi, yazılım ve donanımı içeren kuruluşun bilgi varlıklarının korunması prosedürleri,
• Gerekli fiziki koruma için kontrol ve mekanizmalar,
• Kötü niyetli yazılımlara karşı koruma sağlamak için kontroller,
• Varlıklarda oluşan herhangi bir değişimin tespiti için prosedürler; örneğin,bilgi, yazılım ve donanımda oluşan kayıp veya modifikasyon,
• Anlaşma sırasında, sonrasında ya da zaman içinde kabul edilen bir noktada,bilgi ve varlıkların iade veya imha edildiğinin kontrolü,
• Varlıklarla ilgili gizlilik, bütünlük, elverişlilik ve başka özellikleri,
• Bilgilerin kopyalama ve ifşa kısıtlamaları ve gizlilik anlaşmalarının kullanımı,
• Kullanıcı ve yönetici eğitimlerinin methodu, prosedürü ve güvenliği,
• Bilgi güvenliği sorumluluğu ve sorunları için kullanıcı bilinci sağlama,
• Uygun olduğu yerde personel transferi için hüküm,
• Donanım ve yazılım kurulumu ve bakımı ile ilgili sorumluluklar,
• Açık bir raporlama yapısı ve anlaşılan raporlama formatı,
• Değişim yönetimi sürecinin açıkça belirlenmesi,
• Erişim yapması gereken üçüncü tarafın erişiminin nedenleri, gerekleri ve faydaları,
• İzin verilen erişim yöntemleri, kullanıcı kimliği ve şifresi gibi tek ve benzersiz tanımlayıcı kullanımı ve kontrolü,
• Kullanıcı erişimi ve ayrıcalıkları için bir yetkilendirme süreci,
• Korumanın bir gerekliliği olarak mevcut hizmetleri kullanmaya yetkili kişilerin ve hakları ile ayrıcalıkları gibi kullanımları ile ilgili olan bir bilgilerin bir listesi,
• Erişim haklarının iptal edilmesi veya sistemler arası bağlantı kesilmesi için süreç,
• Sözleşme de belirtilen şartların ihlali olarak meydana gelen bilgi güvenliği ihlal olaylarının ve güvenlik ihlallerinin raporlanması, bildirimi ve incelenmesi için bir anlaşma,
• Sağlanacak ürün veya hizmetin bir açıklaması ve güvenlik sınıflandırması ile kullanılabilir hale getirilmesini tanımlayan bir bilgi,
• Hedef hizmet seviyesi ve kabul edilemez hizmet seviyesi,
• Doğrulanabilir performans kriterlerinin tanımı, kriterlerin izlenmesi ve raporlanması,
• Kuruluşun varlıkları ile ilgili herhangi bir faaliyetin izlenmesi ve geri alınması hakkı,
• Üçüncü bir taraf tarafından yürütülen denetimler için sözleşmede belirtilen denetleme sorumlulukları hakkı ve denetçilerin yasal haklarının sıralanması,
• Sorun çözümü için bir yükseltme sürecinin kurulması,
• Bir kuruluşun iş öncelikleri ile uygun elverişlilik ve güvenilirlik de dahil olmak üzere hizmet sürekliliği gerekleri,
• Anlaşmayla ilgili tarafların yükümlülükleri,
• Hukuki konularla ilgili sorumlulukları ve yasal gereklerin nasıl karşılanması gerektiğinden emin olunmalıdır, (örneğin, veri koruma mevzuatı, anlaşma diğer ülkelerle ile işbirliği içeriyorsa özellikle farklı ulusal yargı sistemleri
dikkate alınarak)
• Fikri mülkiyet hakları (IPRs), telif hakkı ve herhangi bir ortak çalışmanın korunması,
• Üçüncü tarafların alt yüklenicileri ile birlikte bağlılığı ve altyüklenicilere uygulanması gereken güvenlik kontrolleri,
• Anlaşmaların yeniden müzakeresi ya da feshi için şartlar,
• Taraflardan birinin anlaşmayı planlanan tarihten önce bitirmesi durumunda bir acil durum planı olmalıdır.
• Kuruluş güvenlik gereklerinin değişmesi durumunda anlaşmaların yeniden müzakere edilmesi,
• Varlık listeleri, lisanslar, anlaşmalar ve hakların geçerli belgeleri ve onlarla ilişkisi.
A.4.3. Farklı kuruluşlar ve farklı türdeki üçüncü taraflar arasında yapılan anlaşmalar önemli ölçüde değişebilir. Bu nedenle; anlaşmalar, belirlenen tüm riskleri ve güvenlik gereklerini içerecek şekilde yapılmalıdır. Gerektiğinde güvenlik yönetim planındaki gerekli kontroller ve prosedürler genişletilebilir.
A.4.4. Bilgi güvenliği yönetimi dış kaynaklı ise anlaşmalarda üçüncü tarafın güvenlik garantisinin yeterliliğini nasıl ele alındığı anlaşmada belirtilmelidir. Risk değerlendirmede tanımlandığı gibi, risklerdeki değişiklikleri belirlemek ve başa çıkmak için güvenliğin nasıl adapte edileceği ve sürdürüleceği ele alınmalıdır.
A.4.5. Dış kaynak kullanımı ve üçüncü taraf hizmet sunumunun diğer formları arasındaki farklılıkların bazıları; sorumluluk, geçiş durumu planlama ve işlemler potansiyel kesinti süresi, acil durum planlaması yönetmelikleri ve durum tespitinin gözden geçirilmesi, güvenlik olayları hakkında bilgi toplanması ve yönetimi konularında sorular içerecektir. Bu nedenle, dış kaynaklı bir yönetmelik geçişinde; kuruluş değişiklikleri yönetmek için uygun süreçlere ve anlaşmaların yeniden müzakere edilmesi ya da fesh edilmesi hakkına sahip olduğu için kuruluşun planlaması ve yönetimi önemlidir.
A.4.6. Üçüncü taraflarla yapılan anlaşmalar diğer tarafları içerebilir. Üçüncü taraflara erişim hakkı verilmeden önce, erişim hakkı ve katılım için diğer tarafların ve koşulların belirlenmesi amacıyla anlaşmaya varılması gerekir.
A.4.7. Genellikle anlaşmaların esasları kuruluşlar tarafından geliştirilmiştir. Bazı durumlarda anlaşmaların üçüncü taraflarca geliştirilmesi ve kuruluşa empoze edilmesi durumu olabilir. Kuruluşlar, kendi yapılarına üçüncü taraflarca empoze edilecek anlaşmalarda kendi güvenliklerinin gereksiz yere etkilenmesini engeller.

A.5.Gizlilik Sözleşmeleri
A.5.1. Bir kuruluşun güvenlik gereksinimlerine dayalı olarak, diğer unsurlarla bir gizlilik 1veya ifşa etmeme anlaşması gereklidir.
A.5.2. Bu anlaşma kurumsal bilgileri korumalı ve imzalayanın, bilginin korunmasından, kullanılmasından ve ifşa edilmesinden yetkili ve sorumlu olduğunu belirtmelidir.

A.6. Bilgi Kaynakları Atık ve İmha Yönetimi
A.6.1. Bakanlık ve Bağlı Kuruluşlar kendi bünyelerinde oluşturacakları arşivden sorumludur. Evraklar idari ve hukuki hükümlere göre belirlenmiş Evrak Saklama Planı’na uygun olarak muhafaza edilmesi gerekmektedir.
A.6.2. Yasal bekleme süreleri sonunda tasfiyeleri sağlanmalıdır. Burada Özel ve Çok
Gizli evraklar “Devlet Arşiv Hizmetleri Yönetmeliği” hükümleri gereği oluşturulan “Evrak İmha Komisyonu” ile karar altına alınmalı ve imha edilecek evraklar kırpma veya yakılarak imhaları yapılmalıdır. İmha edilemeyecek evrak tanımına giren belgeler geri dönüşüme devirleri yapılmalıdır.
A.6.3. Bilgi Teknolojilerinin (Disk Storage Veri tabanı dataları vb.) 14 Mart 2005 Tarihli 25755 sayılı Resmi Gazete ’de yayınlanmış, sonraki yıllarda da çeşitli değişikliklere uğramış katı atıkların kontrolü yönetmeliğine ve Basel Sözleşmesine göre donanımların imha yönetimi gerçekleşmelidir. Komisyonca koşullar sağlanarak donanımlar parçalanıp, yakılıp (Özel kimyasal maddelerle) imha edilmelidir.

A.7. Bilgi Güvenliği Teknik ve Farkındalık Eğitimleri
A.7.1. Kurum içerisinde bilgi güvenliği teknik ve farkındalık eğitimleri için yıllık bir plan yapılmalıdır.
A.7.2. Yıllık planlar çerçevesinde bilgi güvenliği teknik ve farkındalık eğitimleri gerçekleştirilmelidir.
A.7.3. Sunulan bilgi güvenliği teknik ve farkındalık eğitimleri katılım öncesi ve sonrası çeşitli ölçme teknikleriyle ölçülmeli ve eğitim etkililiği hususunda değerlendirme yapılmalıdır.
A.7.4. Eğitime katılım formları muhafaza edilmelidir.

A.8. İhlal Bildirim ve Yönetimi
A.8.1. Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar değişikliğe uğraması ve başkaları tarafından ele geçirilmesi gibi güvenlik ihlali durumları mutlaka kayıt altına alınmalıdır.
A.8.2. Bilgi güvenliği ihlâli oluşması durumunda kişilerin tüm gerekli faaliyetleri hatırlamasını sağlamak maksadıyla bilgi güvenliği olayı rapor formatı hazırlanmalı, olay anında raporlanmalı, ihlali yapan kullanıcı tespit edilip ihlalin suç unsuru içerip içermediği belirlenmelidir
A.8.3. Güvenlik ihlaline neden olan çalışanlar, üçüncü taraflarla ilgili resmi bir disiplin sürecine başvurur.
A.8.4. Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor etmelidirler.
A.8.5. Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, kurum Personel Yönetmeliği gereğince aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulayabilir:
· Uyarma,
· Kınama,
· Para cezası,
· Sözleşme feshi.

A.9. Sosyal Mühendislik Zafiyetleri
İnsanların zaaflarını kullanarak istediğiniz bilgiyi, veriyi elde etme sanatına sosyal mühendislik denir. Sosyal mühendisler teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanların zaaflarından faydalanıp, en çok etkileme ve ikna yöntemlerini kullanırlar.
A.9.1. Taşıdığınız ve işlediğiniz verilerin öneminin bilincinde olunmalıdır.
A.9.2. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edilmelidir.
A.9.3. Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edilmelidir.
A.9.4. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgiler (Sistem yöneticiniz dahil) paylaşılmamalıdır. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapabilmelidir.
A.9.5. Oluşturulan dosyaya erişecek kişiler ve hakları “bilmesi gereken” prensibine göre belirlenmelidir.
A.9.6. Verilen haklar yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalı; belirli zamanlarda kontrol edilerek değişiklik gerekiyorsa yapılmalıdır.
A.9.7. Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir.
A.9.8. Kazaa, emule gibi dosya paylaşım yazılımları kullanılmamalıdır.

A.10. Sosyal Medya Güvenliği
A.10.1. Sosyal medya hesaplarına giriş için kullanılan şifreler ile kurum içinde kullanılan şifreler farklı olmalıdır.
A.10.2. Kuruma ait hiçbir bilgi, yazı sosyal medyada paylaşılmamalıdır.