Bilgi Güvenliği Politikası

Amaç

Bu politika, Destek Kripto’nun tüm bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak; yasal ve düzenleyici gerekliliklere uyumu sağlamak amacıyla hazırlanmıştır.

 

Kapsam

Politika; çalışanlar, danışmanlar, tedarikçiler, üçüncü taraf hizmet sağlayıcılar ve tüm bilgi sistemleri, altyapı, veri ve platform bileşenlerini kapsar.

Hedefler

Genel olarak hedeflerimizi aşağıdaki başlıklar altında toplanmaktadır;

  • Müşteri verilerinin gizliliğini korumak
  • Bilgi sistemlerinin kesintisiz hizmet vermesini sağlamak
  • Bilgi varlıklarının yetkisiz erişim, değişiklik, kayıp veya hasara karşı korunmasını sağlamak
  • Yasal düzenlemeler (SPK, KVKK, VII-128.10 Tebliği) ve sektör standartlarına uyum sağlamak

 

Tanımlar

 

API: Bir yazılımın başka bir yazılımda tanımlanmış işlevleri kullanabilmesi için oluşturulmuş uygulama programlama arayüzünü,

Şirket /Firma: Destek Kripto Varlık Alım Satım Platformu A.Ş.

Bilgi: Şirket için değeri olan ve basılı veya elektronik ortamlarda saklanabilen, posta ve elektronik imkanlar kullanılarak gönderilebilen ve korunması gereken varlığı,

Bilgi Güvenliği: Bilginin gizlilik, bütünlük ve erişilebilirliğinin sağlanmasını,

Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun sağlanmasını,

Bütünlük: Bilginin ve bilgiyi işleme yöntemlerinin doğruluğunun, değiştirilmemesinin ve bozulmamasının sağlanmasını,

Erişilebilirlik: Yetkili kullanıcıların; gerek duyulduğunda, bilgiye ve ilişkili kaynaklara erişebilmelerinin sağlanmasını,

Bilgi Güvenliği Olayı: Bilginin gizlilik, bütünlük ve ya erişilebilirlik unsurlarından herhangi birinin bozulmasına sebep olan ya da etkisi bulunan, maddi ve manevi zarar verebilecek olayları,

Bilgi Güvenliği Siber Olaylarına Müdahale Ekibi (BGSOME): Bilgi Güvenliği olaylarına müdahale etmekle sorumlu, çeşitli birimlerden çalışanların katılımıyla oluşturulmuş ekibi,

Dış Hizmet: Yasal düzenlemeler (SPK, KVKK, VII-128.10 Tebliği ) uyarından Firmanın kendi personeli ile yeterli olmadığı noktada dışarıdan hizmet alarak ihtiyaçlarını karşıladığı hizmet alınmlarıdır, 

Fiziksel Güvenlik: Şirket’ ait bina ve tesislerle, evrak, bilgi, belge, malzemeye yetkisiz kişilerin ulaşmasını önlemek; bunların çeşitli şekillerde zarar görmesini engelleyecek kontrolleri uygulamak ve bunların casusluk, sabotaj, hırsızlık, hasar ve zarar verme gibi eylemlere karşı korunmasını sağlamak amacıyla alınacak fiziksel önlemleri,

Hassas Bilgi: Yönetimin isteği dışında açığa çıkması ile, Şirket’in prestijine ve müşterilerine ciddi stratejik ve finansal zararlar verebilecek verileri,

Üçüncü Taraf: Şirket ile destek hizmeti alımı konusunda sözleşme imzalanan firma/kurum/kişileri ifade eder.

 

Uygulama

  • Erişim Yönetimi: Yetki matrisleri uygulanır, kritik sistemlere çok faktörlü kimlik doğrulama (MFA) zorunludur.
  • Siber Güvenlik: DDoS, malware, phishing gibi saldırılara karşı önlemler alınır ve izleme sistemleri kurulur.
  • Veri Yedekleme: Düzenli yedekleme yapılır, yedekler test edilir.
  • Kriptografi: Müşteri varlıkları ve hassas bilgiler güçlü şifreleme yöntemleriyle korunur.
  • Tedarikçi Yönetimi: Kritik hizmet sağlayıcılar için güvenlik değerlendirmesi yapılır.
  • Olay Yönetimi: Güvenlik ihlali durumunda Acil Durum Planı devreye girer ve SPK/KVKK bildirimi yapılır.

SORUMLULUK VE GENEL ESASLAR

Şirket bünyesinde Bilgi Güvenliği’nin sağlanmasında nihai sorumluluk Yönetim Kurulu’na aittir. Yönetim Kurulu, Bilgi Sistemlerine ilişkin güvenlik önlemlerinin uygun düzeye getirilmesi hususunda gerekli kararlılığı göstermekle ve bu amaçla yürütülecek faaliyetlere yönelik olarak yeterli kaynağı tahsis etmekle yükümlüdür. Bu sorumluluk kapsamında Yönetim Kurulu, Şirket genelinde uygulanmasını gözetmekle yükümlü olduğu bir Bilgi Güvenliği Yönetim Sistemi tesis eder. Bilgi Güvenliği Yönetim Sisteminin ulusal veya uluslararası standartları ya da en iyi uygulamaları referans alması esastır.

Üst yönetim, Bilgi Güvenliği farkındalık seviyesini artırıcı faaliyetleri destekler ve bilgiyi korumak için gerekli kaynakları sağlar. Şirket içerisinde Bilgi Güvenliği’nin sağlanması, kontrolünün yapılması, ihlal edilmesi durumunda ise gerekli yaptırımın uygulanması üst yönetim tarafından desteklenmektedir. 

Üst Yönetim ve Bilgi Güvenliği Bölümü

1) Bilgi Güvenlik politikasının sahibi Yönetim Kuruludur. Yönetim Kurulu, bu Politika dokümanını onaylayarak Bilgi Güvenliği Politikasının uygulanmasının sağlanması, etkili bir Bilgi Güvenlik Yönetim Sistemi’nin oluşturulması, kontrolünün yapılması ve güvenlik ihlallerinde gerekli yaptırımların icra edilmesininden sorumludur.

2) Bilgi Güvenliği’nin sağlanmasından görev alanları dahilinde tüm bölümler ve tüm personel sorumludur. Bilgi Güvenliğini sağlamak için personel çalışma saatleri içinde/dışında ve çalışma alanı içinde/dışında da aynı yükümlülüklere tabidir. Bunun için Bilgi Güvenliği’nin sağlanmasına yönelik olarak Şirket içi süreçlerin oluşturulmasında ilgili tüm birimlerin görüşü alınır. Bilgi Güvenliği bilincinin tüm Şirket organizasyonuna yaygınlaştırılması sağlanır.

3) Şirketin Bilgi Güvenliği Politikasının oluşturulması ve uygulanmasına yönelik faaliyetler Bilgi Güvenliği Komitesi tarafından yürütülür. Bilgi Güvenliği Bölümü, Komite adına taslak politikayı oluşturur ve Yönetim Kurulu’na sunulmadan önce Bilgi Güvenliği Komitesinin görüş ve onayını alır. Bilgi Güvenliği Politikasına uygun olarak konuyla ilgili standart, prosedür ve talimatların oluşturulması ve yayınlanması Bilgi Güvenliği Bölümü tarafından sağlanır. Bilgi Güvenliği’ne ilişkin mevzuatta ortaya çıkan değişiklikler veya yeni güvenlik teknik ve tehditleri ışığında Bilgi Güvenliği politikasında yapılması gereken değişiklikler konusunda Bilgi Güvenliği Komitesi’ne önerilerde bulunur ve uyum amacıyla mevcut prosedürlerde değişiklikleri yapar. Bilgi Güvenliği politikasına uyum, Bilgi Güvenliği Bölümü tarafından düzenli olarak takip edilerek, bu konuda tespit edilen riskli alanlar veya aksaklıklar Bilgi Güvenliği Komite toplantılarında gözden geçirilir. Bilgi Güvenliğine ilişkin uygulamalar, denetim planları çerçevesinde İç Denetim Bölümü tarafından düzenli olarak denetlenir ve denetim sonuçları Denetim Komitesi’ne raporlanır. 

4) Bilgi Güvenliği, uluslararası güvenlik standartları ışığında ve Risk Yönetimi yaklaşımıyla planlanır, uygulanır, izlenir ve gözden geçirilerek geliştirilir. Risk Yönetimi yaklaşımı, kurumsal risk yönetiminin bir parçası olarak Bilgi Güvenliği risklerinin de tanımlanmasını, değerlendirilmesini, işlenmesini, izlenmesini ve gerekli önlemlerin alınmasını içerir.  

5) Bilgi Güvenliği Bölümü, Bilgi Güvenliği bilinci oluşturmak ve farkındalık seviyesinin arttırılmasına ilişkin eğitim programı ve benzeri faaliyetler hususunda farkındalık eğitim programının içeriğini oluşturur. Personele yılda en az bir defa farkındalık eğitimleri verilir ve katılımcılardan eğitimi aldıklarına dair imza alınır. Oluşturulan eğitim programı yılda en az bir defa yeni teknolojiler ve ortaya çıkan yeni riskler ışığında gözden geçirip güncellenir ve eğitim materyalleri güvenli şekilde saklanır.

6) Bilgi Güvenliği Bölümü, Bilgi Güvenliği farkındalığını artırmak üzere eğitim programının haricinde kurum içi bültenler hazırlar. Çalışanlara periyodik olarak Bilgi Güvenliği ile ilgili hatırlatma mesajları gönderilir ve çalışanlara yönelik düzenli olarak Bilgi Güvenliği farkındalığını ölçecek çalışmalar yapar.

7) Bilgi Güvenliği Bölümü, güncel saldırı yöntemlerini dikkate alarak gerekli Sosyal Mühendislik senaryoları üzerinden çalışanlara yönelik periyodik testler gerçekleştirir ve bu testlerden geçemeyen çalışanlara yönelik ilave hedefli eğitimler verilmesini sağlar

8) Bilgi Güvenliği 3 temel prensip üzerine altyapı erişimlerindeki güvenliği sağlar

a. Gizlilik: Bilgilere yalnızca kişiler erişebilir. Özellikle müşteri bilgileri ve cüzdan erişim bilgileri sıkı kontrollerle korunur.

b. Bütünlük: Bilgilerin doğruluğu ve bütünlüğü korunur. Veriler izinsiz değiştirilemez veya silinemez

c. Erişilebilirlik: Bilgi varlıklarına iş ihtiyaçları doğrultusunda yetkili kişiler tarafından erişilebilir olması sağlanır.

 

Personelinin Sorumlulukları

  • Bilgi Güvenliğiyle ilgili politikayı okur ve uygulanmasını sağlar, planlanan eğitimlere katılır. 
  • Şirket kaynaklarını Bilgi Güvenliği Politikasına uygun olarak ve işinin gerektirdiği şekilde kullanır; kişisel hedef ve iş tanımlarında belirtilen güvenlik gereklerini yerine getirir.

 

Bu amaçla Şirket Bilgi Sistemleri altyapısını kullanan, yöneten ve bilgi kaynaklarına erişen herkes;

  • Bilgi varlıklarının Gizlilik, Bütünlük ve Kullanılabilirliğini korumak,
  • Bilgi Güvenliği Politika, Standart, Prosedür ve Talimatlarını bilmek ve uygulamak,
  • BT kaynaklarını yasalara, politikalara ve iş amaçlarına uygun kullanmak,
  • Müşteri bilgilerinin gizliliğini ve mahremiyetini sağlamak
  • Hassas bilgi içeren önemli dokümanları masa üstünde, yazıcılarda, faks vb. ortamlarda korumasız bırakmamak,
  • Temiz masa ve temiz ekran prensibine uygun davranmak,
  • Bilgiyi sadece zorunlu ve gerekli hallerde veri belirleme ve sınıflandırma prosedürüne uygun olarak ilgili ve yetkili kişiler ile paylaşmak,
  • Sistemlere ve uygulamalara giriş için tahmin edilmesi zor şifreler kullanmak ve gizliliğini sağlamak, talep edilmesi durumunda paylaşmamak ve başkalarının kullanımına izin vermemek, 
  • Bilginin uygun şekilde yedeklenmesini ve iş sürekliliğini sağlamak,
  • Bilgi sınıflandırması yapmak ve gerekli önlemleri almak,
  • Bilgi güvenliği ihlal olaylarını ve potansiyel zayıflıkları raporlamak 
  • zorundadır.
  • Şirket’e ait ticari sırlar, mali bilgiler, müşteri-çalışan bilgileri, materyaller, programlar ve dokümanlar, bilgisayar ve telekomünikasyon sistemleri, donanım, yazılım ve diğer tüm düzenleme ve uygulamalar ile çalışanların Şirket’deki çalışma süreleri içerisinde yapmış oldukları tüm işler, anlaşmalar ve geliştirdikleri ürünler gizlidir ve Şirket’in mülkiyeti altındadır. Bu tür doküman, bilgi veya araçları izin verilen ve görevin gerektirdiği durumlar haricinde, kişisel ve özel çıkarlar için veya üçüncü kişiler, kurum ve kuruluşlar yararına, çalışılan süre içinde veya daha sonrasında kullanamaz, açıklayamaz ve yayınlayamaz. 
  • Şirket ‘e, müşterilerine veya işlemlerine ait her türlü gizli bilgiye sahip olan personel, bu bilgileri hisse senedi vb. mali enstrümanların alım satımında ve kişisel çıkarları için kullanamaz, bu bilgileri hiçbir şekilde üçüncü kişilere aktaramaz. Bu kural, çalışanların görev süreleri boyunca ve daha sonrasında da devam eder.
  • Şirket’in tüm personeli, kendisine ait sorumlulukları bildiğini ve bunlara uyacağını gösteren bir bilgi güvenliği uyum taahhütnamesini imzalamakla yükümlüdür. 
  • Tüm personel internet, e-posta, telefon gibi sistemlerin kullanımında gerekli etik özeni göstermek, güvenlik kurallarına uymak ve yasal yükümlülüklere riayet etmekle sorumludur.

Birim Yöneticilerinin Sorumlulukları

Şirket personelinin Sorumlulukları başlığı altındaki sorumluluklara ek olarak;

  • Bilgi Güvenliğine yönelik hazırlanmış mevzuatın, duyuruların ve diğer dokümanların (Prosedür, Standart, Talimat vb.) kendisi ve bağlı olan personeli tarafından uygulanmasını sağlar. 
  • Personelin, Bilgi Güvenliği’nin önemi ve gerekliliği hakkında bilgilendirilmesini, Bilgi Güvenliğine ilişkin mevzuat konusunda ilgili eğitimleri almasını sağlar.
  • Bilgi Güvenliği Politikasına dair güncelleme taleplerini gerekçeleri ile Bilgi Güvenliği Bölümüne iletir. Bilgi Güvenliğine yönelik ek çalışma yapılması gereken durumlarda ilgili birimlere destek olur.
  • İş Sürekliliğinin sağlanabilmesi için başlatılan çalışmalara destek sağlar ve kendi birimiyle ilgili kritik iş süreçlerini belirleyerek, gözden geçirir.
  • Şirket tarafından, olası finansal kayıplar ve yasal yükümlülükler de göz önüne alınarak, kritik işlemler/hizmetler ve hizmet tamamlanma sürelerinin belirlenmesine, bu hizmetlerin önem sıralamasının yapılmasına destek olur.
  • Tespit edilen riskleri, güvenlik olaylarını ve fark edilen zafiyetleri Bilgi Güvenliği Bölümü’ne iletir.

Üçüncü Taraflar/Kurumlar ile İlişkiler

  • Şirket destek hizmeti aldığı kuruluşların Bilgi Güvenliği olgunluk seviyesinin uygun seviyede olması için gereken önlemleri alır. Bunun için destek hizmeti seçim kriterleri arasında Bilgi Güvenliği olgunluk seviyesi dikkate alınır. 
  • Destek hizmeti veren kuruluşlarla yapılan sözleşmelerde, uygulanabilir olması durumunda ürün ya da hizmet satın alınmasında, güvenlik gerekleri, seçim ve temin işlemlerinin bir parçası olarak hazırlanması durumunda şartname dokümanına ve ilgili üçüncü taraf ile yapılacak sözleşmeye  eklenir.
  • Güvenlik gereklerinin herhangi bir bildirime gerek kalmaksızın destek hizmet kuruluşu tarafından uluslararası standartlar ve en iyi uygulamalar esas alınarak belirlenmesi ve uygulanması da beklenir.
  • Destek hizmeti veren kuruluşların bu politikada belirtilen esaslara uyması beklenir bu husus izleme süreçleriyle garanti altına alınır.
  • Bu bölümde destek hizmeti ile ilgili olarak belirlenen kurallar, gerekli olduğu ölçüde, BS Yönetmeliği kapsamında Dış Hizmet alımları için de uygulanır. 

ERİŞİM KONTROLÜ

Şirket’de verilen hizmetlerde personel erişim yöntemleri, şifre standartları, veri tabanı erişim yetkileri gibi konular, konuyla ilgili kabul görmüş standartlar ve görevler ayrılığı prensibi ile ele alınmaktadır. 

Kimlik Yönetimi ve Rol Bazlı Yetkilendirme

Kimlik Yönetimi

  • Kullanıcılar PC, dizüstü bilgisayar ve akıllı telefonlar aracılığıyla Şirket bünyesinde kullanılan yazılımlara kullanıcı adı ve şifre, kart, akıllı anahtar gibi kimlik doğrulama sistemlerinden biri veya birkaçı ile giriş yaparlar. 
  • Kullanılan kimlik doğrulama sistemi tek bir kullanıcıya sorumluluk atanacak şekilde belirlenir. Kişisel sorumluluğun aranması gereken yerlerde, kişisel sorumluluğu ortadan kaldıracak şekilde ortak kimlik bilgileriyle (kullanıcı adı vb.) sistemlere erişim sağlanamaz.
  • Yeni göreve başlayacak personelin erişmesi gereken tüm sistemlere erişim talebinin alınması ve kimlik kaydının yapılarak erişim hakkının tanınması için talepler İnsan Kaynakları Sorumlusu  tarafından yapılır. 
  • İzin, rapor vb. nedenlerle geçici olarak askıya alınması gereken kullanıcılar ile erişimi sonlandırılması gereken kullanıcılara dair süreç de Finansal Yönetim ve Raporlama Bölümü dahili’ndeki İnsan Kaynakları Sorumlusu tarafından yürütülür. Kullanıcı erişimlerine ilişkin talepler, ITSM sistemi üzerinden veya ilgili BT Bölümü veya çalışanına elektronik ortamda iletilmek suretiyle işleme alınır.  

Rol Bazlı Yetkilendirme

  • Kullanıcılar Şirket’de kullanılan tüm sistemlere “En Az Yetki Prensibi” esas alınarak erişim sağlar. Buna göre bir sisteme erişimi olan kullanıcılara kendisine atanmış olan görevlerini gerçekleştirmelerine yetecek en düşük seviyede erişim hakkı verilir. 
  • Tüm erişim yetkilerinin kullanıcının görev tanımına veya ilgili mevzuata uygun olarak verilmesi sağlanır. Yetkiler düzenli aralıklarla öncelikli olarak ilgili sistem sahibi tarafından kontrol edilir.  İlgili sistem ve erişim hakkına uygun olarak bir üst seviyede kontrol Bilgi Güvenliği ve/veya İç Kontrol Bölümü tarafından gerçekleştirilir. Kontrol sonuçları doğrultusunda gereksiz erişim yetkileri var ise bunların kaldırılması sağlanır. 
  • Bir rolün erişim hakkının değiştirilmesi ya da yeni bir rol tanımlanmasının gerektiği durumlarda ilgili iş birimleri tarafından önerilen değişiklikler için ilgili sistem ve erişim hakkına uygun olarak İç Kontrol ve/veya Bilgi Güvenliği onayı alınarak kontrol listeleri güncellenir.

Şifre İlkeleri

  • Şirket Bilgi Sistemleri kullanıcıları, erişime ve kullanmaya yetkili oldukları, kişisel bilgisayarlarına, uygulamalara ve sistem yazılımlarına kendi kullanıcı adları ve şifreleri ile girer.
  • Kullanıcılar, kullanıcı ad’larını ve şifrelerini başkalarından gizlemekle ve korumakla yükümlüdür. Kullanıcılar, kişisel şifrelerini gizli tutmalıdır ve şifre gizliliğinin kaybolduğuna dair şüphe duyulması halinde şifrenin değiştirilmesi sağlanmalı ve durum ile ilgili Bilgi Güvenliğine haber verilmelidir. Şifrelerin deşifre olup, başkaları tarafından kullanımından kaynaklanacak sorunlardan, kullanıcının kendisi sorumludur.
  • Kullanıcılar, tahmin edilmesi ve bulunması zor olan karmaşık şifre politikasına uygun, kullanıcı hakkında bilgileri (Kullanıcının ad-soyad bilgileri, sicili içeren ifadeler; TC kimlik numarası, araç plakası, doğum tarihi vb. kişiye özel tarihler; telefon numarası, eş-çocuk isimleri gibi bilgiler) içermeyen şifreler seçer. Şifreler en az 8 karakter, boşluk olmayan büyük ve küçük harf, sayı ve sembol içerek şekilde oluşturulmalıdır. 
  • Kullanıcıların bilgisayara ve e-posta uygulamalarına giriş için kullandığı tanımlı kullanıcı adını veya şifresin unutması durumlarda BT Bölümü’ne bildirimde bulunur. Kullanıcının kimliğinin kesin olarak tespit edildikten sonra yeni şifre tanımlanması BT Bölümü tarafından sağlanır. Tanımlanan şifreler, kullanıcının sisteme ilk girişinde sistem tarafından değiştirilmeye zorlanmalıdır.
  • Uygulama ve sistem üreticileri tarafından sağlanan ilk şifreler, derhal değiştirilir ya da ihtiyaç duyulmadığı an iptal edilir.
  • Çalışanlar sisteme giriş şifrelerini tuşlarken başkalarının görmemesine özellikle dikkat eder. Çalışanlar şifrelerini başkalarının erişeceği yerlerde yazılı olarak saklayamaz. 
  • Ortak hesaplar bir kişiye atanarak onun sorumluluğunda kullanılır. 
  • Bir uygulamada tutulan tüm şifreler ilgili veri tabanlarında kriptolu bir şekilde saklanır, açık metin olarak görüntülenemez.

 

Veri Tabanı Erişim Yetkileri

Veritabanı yönetimini sağlayacak destek hizmeti kuruluşu uluslararası standartları ve en iyi uygulamaları esas alarak sürecin yönetimini sağlar. Veritabanı erişiminde aşağıdaki ilkelere asgari olarak riayet edilmesi sağlanır;

  • Gerçek ortam veritabanlarına kullanıcılar doğrudan erişim hakkına sahip olamaz ve sadece uygulama aracılığı ile erişim sağlar. Gerçek ortam veritabanlarına görev tanımı gereği bu veri tabanlarını yönetmekten sorumlu personel dışında hiçbir personelin erişimi bulunamaz. Gerçek ortama doğrudan ulaşma ve yönetme yetkisine sahip personelin yaptığı işlemlerin denetim izleri tutulur, belirli periyotlarda gözden geçirilmesi sağlanır. 
  • Yazılım geliştirme yapan personelin gerçek ortam veritabanına erişim hakkı bulunmaz. Gerçek ortam verileri yazılım geliştirme amacıyla geliştirme ya da test ortamında doğrudan kullanılmamalı, mutlaka karıştırma/değiştirme işlemine tabi tutularak test verisi üretilir. Gerçek verinin kullanılmasının zorunlu olduğu durumlarda bu husus Bilgi Güvenliği Bölümü’nden onay alınır. 

Uzaktan Erişim

  • Uzaktan erişimin gerçekleştiği hallerde çok bileşenli kimlik doğrulamaya dayanan güvenli bağlantı yöntemleri uygulanır.
  • Uzaktan erişimlere ilişkin iz kayıtları tutulur, bağlantının süresi ve bağlantının yapılabileceği cihazlar kısıtlanır, cihaz kısıtının uygulanamayacağı durumlar için uzaktan erişim talebinin tutulduğu ITSM kaydında durum belirtilir. Kullanıcı belli aralıklarla kimliğini tekrar doğrulamaya zorlanır.
  • Uzaktan erişimlerde parola/PIN gibi hassas kimlik doğrulama verileri TLS/SSH gibi şifreli protokollerle taşınır. Sistem/uygulama genel kullanıcı hesaplarına ait parolalar sadece yetkilendirilmiş kullanıcıların erişebileceği şekilde ve sorumluluk atama ve inkar edilemezlik prensipleri sağlanacak şekilde saklanır.

BİLGİ GÜVENLİĞİ SİBER OLAY YÖNETİMİ

Aşağıda, karşılaşılabilecek Bilgi Güvenliği olaylarında Şirket’in ve Şirket personelinin alacağı aksiyonlar, görev ve sorumluluklar belirtilmiştir;

  • Bilgi Güvenliğini tehlikeye atan bir siber olayın tespiti halinde tüm çalışanlar ve destek hizmeti veren kuruluşları bu olayı bildirmekle yükümlüdür. Bunun için uygun iletişim kanalları tesis edilir ve önceden bilgilendirmeler yapılır. 
  • Destek hizmeti veren kuruluşlar tarafından tespit edilen Bilgi Güvenliği olayları anında çözülse dahi BT Bölümü’ne ve Bilgi Güvenliği Bölümü’ne raporlama yapılır.
  • Bilgi Güvenliği Yöneticisi, zararlı yazılımlar, siber olaylar, tehditler, ve Bilgi Sistemleri kullanılarak gerçekleştirilen dolandırıcılık yöntemleri hakkında erken müdahaleyi sağlamak ve bu olaylar hakkında bilgilendirmeleri yapmakla görevlidir. 
  • Şirket’de gerçekleşen siber olayların çözüme kavuşturulmasına yönelik müdahale planları oluşturulur ve siber olaylar önem derecelerine uygun olarak ele alınır. Siber olayların önem derecelerinin belirlenmesine ilişkin ölçütler yazılı olarak belirlenir. Siber olaylara müdahale planlarının işlerliği en az yılda bir kez test edilir.

Bilgi Güvenliği siber olayları, destek hizmeti veren kuruluşların da katılımıyla oluşturulacak bir Bilgi Güvenliği Siber Olaylarına Müdahale Ekibi (BGSOME) tarafından ele alınır. BGSOME’nin sorumlulukları aşağıdaki gibidir.

  • Tespit edilen bilgi güvenliği olayının önceliklendirilmesi, kanıtların toplanması, tehdit ve etkinin analiz edilmesi, 
  • Olayın kaynağının bulunması, 
  • Yetkili birimlere ulaşılması, 
  • Düzeltici ve önleyici önlemlerin alınması, 
  • Hasarın ve etkilenen müşterilerin tespit edilmesi, 
  • Olayın çözümlenerek kapatılması, 
  • Gelecekte benzer olayların yaşanmaması adına olay sonrası değerlendirmelerin yapılması,
  • Raporlamaların yapılması,
  • BGSOME tarafından periyodik olarak zafiyet testi çalışmaları gerçekleştirilir. Buna ek olarak, yılda en az bir kez bağımsız ekiplerce sızma testinin yapılması esastır. 
  • BGSOME iz kayıtlarını takip eder ve anlamlı sonuçlar verebilecek korelasyonları kontrol eder, 
  • Siber olay esnasında BT fonksiyonunda bulunan personelleri koordine eder ve yapılacak müdahaleyi yönetir.
  • Şirket adına BGSOME, 
  • Yaşanan bir siber olayın büyüyerek bir krize dönüşmesi, 
  • Verilerin sızması ya da ifşası ile sonuçlanması, 
  • İş Süreklilik Planı ve felaket senaryolarına göre ikincil merkezin devreye alınması, 
  • Ciddi kesintilere veya bozulmalara yol açan önemli siber olaylar, durumlarında kök neden ve etki analizi yapar ve iyileştirici önlemleri alarak yapılan çalışmaları derhal Sektörel SOME’ye bildirir. 
  • Kişisel veriler ile ilgili bir sızıntı yaşanması durumunda ise, Kişisel Verileri Koruma Kurulu ve veri sızıntısından etkilenen taraflara bildirimde bulunulur. 
  • Şirket’de hassas verilerin veya kişisel verilerin sızmasına ve/veya ifşasına yol açan bir siber olayın yaşanması halinde ise Veri Sorumlusu ve ilgili diğer birimlerle birlikte yapılan iç değerlendirme sonrasında müşterilerin bilgilendirilmesini sağlar.

ZARARLI KODLARA KARŞI KORUMA, GÜVENLİK AÇIKLARI VE YAMA YÖNETİMİ

  • Tüm sunucu ve terminallerde, merkezi olarak kontrol edilebilen bir antivirüs uygulaması kullanılır ve uygulamanın güncel tehditlere karşı periyodik olarak güncellenmesi sağlanır. 
  • Antivirüs uygulamasının kullanıcılar tarafından devre dışı bırakılması engellenir ve uygulama versiyonu periyodik olarak kontrol edilerek gereken durumlarda güncellenmesi sağlanır. 
  • Internet ve e-posta trafiğinin gerçek zamanlı olarak zararlı kod’lara karşı korunması sağlanır ve zararlı kod içerebilecek sitelere erişim engellenir.
  • Zararlı kod’ları engellemeye yönelik uygulamaların başka bir uygulamanın çalışmasını engellemesi durumunda istisnai olarak engellenen uygulamaya izin verilmesini sağlayan konfigürasyonlar yapılır. Böyle bir durumda zararlı kod engellemeye yönelik uygulama tamamıyla devre dışı bırakılmaz, bu istisna Bilgi Güvenliği veya BT Bölümünce gerçekleştirilir. Her durumda istisna Bilgi Güvenliği Bölümü tarafından onaylanır.
  • Değişiklik yönetiminin bir parçası olarak yazılım ve donanımlardaki güvenlik açıklarının kapatılması için bir yama yönetim süreci oluşturulur. Periyodik olarak yapılan kontrollerde yama geçilmesi gerekli olması durumunda, yama geçişi ilgili ekip tarafından gerçekleştirilir.  Özellikle kritik uygulamaları etkileme olasılığı olan yamalar, öncelikle test ortamında uygulanıp, bir süre izlenerek, herhangi bir olumsuz durum yaşanmadığının anlaşılması durumunda uygulanır. 
  • Uygulanan veya uygulanmamasına karar verilen yamaların tespiti Zafiyet taramaları veya Health Check çalışmaları sırasında belirlenebilir.   Bu gibi çalışmalar esnasında Bilgi Güvenliği Yöneticisi ITSM üzerinden ileteceği talep ile yama geçişi için talep yapar.
  • Yamaların uygulanması sırasında problem yaşanması halinde geri dönüş senaryoları devreye alınır ve ihtiyaç duyulması durumunda sağlayıcı veya üretici firmalarının teknik desteğine başvurulur. Uygulanamayan yamaların gidermeye çalıştığı güvenlik açıklarına ilişkin riskleri azaltmaya yönelik telafi edici kontroller oluşturulur.
  • Sağlayıcı veya üretici desteği biten yazılım ve donanımlar için telafi edici kontroller ile makul seviyede bir güvenlik sağlanamaması durumunda sistem, yazılım ve cihazların kullanımdan kaldırılması için gerekli planlama yapılır. 
  • Şirket ağ’na bağlı tüm sistem ve cihazlarda otomatik olarak güvenlik açığı taraması yapılır. Tespit edilen güvenlik açıklarıyla ilgili olarak Bilgi Güvenliği Yöneticisi  ve açığın tespit edildiği sistemden sorumlu Sistem Yöneticisine tüm açıklar raporlanır. Eğer oluşan raporlar en kritik güvenlik açığı en öncelikli olacak şekilde oluşmamışsa ve/veya birden fazla rapor sonucu (farklı uygulamaların kontrol sonuçları ve sızma testi sonuçlarının birlikte gelmesi gibi) varsa Bilgi Güvenliği Yöneticisi ayrıca bir rapor oluşturarak öncelik/kritiklik bazlı sıralama yapabilir.

 

AĞ GÜVENLİĞİ VE GÜVENLİK KONFİGÜRASYON YÖNETİMİ

Ağ güvenliğinin sağlanmasına yönelik kuralların belirlenmesi Bilgi Güvenliği sorumluğundadır. İlgili BT personeli uluslararası en iyi uygulamalar ve yasal düzenlemelerde belirtilen önlemleri almakla, bunun için gereken cihaz ve kaynak ihtiyacını belirlemekle, ihtiyaca uygun sayıda güvenlik duvarı, IPS gibi cihazları bulundurmak ve yönetmekle, cihazlar üzerindeki güvenlik ayarlarını yapmakla sorumludur. Altyapıda hizmet veren ağ cihazları asgari olarak aşağıdaki güvenlik unsurlarına sahip olmalıdır;

  • Şirket’e hizmet veren ağ ve güvenlik cihazları fiziksel olarak güvenli alanlarda konumlandırılır.
  • Güvenlik duvarı ve benzeri sistemlerin konfigürasyonlarındaki değişiklikler ITSM uygulamasından yapılacak taleplere istinaden gerçekleştirilir ve tüm değişikliklerin loglanması sağlanır. Konfigürasyonların belirli periyotlarda yedeklenmesi sağlanır. Ayrıca kritik güncelleme gibi çalışmalar öncesinde de yedekleme sağlanır.
  • Güvenlik cihazını yöneten sistem yöneticileri, hesap verilebilirlik ilkesine göre tanımlı olmalı ve yetkisiz şahısların ağ ve güvenlik cihazlarına fiziksel ve mantıksal erişimi engellenmelidir. 
  • Ağ cihazlarında yapılacak her türlü değişiklik, konfigürasyon ve kural değişiklikleri değişiklik yönetimi sürecine uygun olarak yapılır.
  • Ağ üzerindeki tüm cihazlarda kullanımda olan veya ihtiyaç duyulabilecek uygulamalar için bir beyaz liste uygulaması sağlanır. Böylelikle yalnızca ihtiyaç duyulan uygulamaların sistemlerde yüklü olması ve bu beyaz liste dışındaki herhangi bir uygulamanın sistemlere yüklenmesinin veya çalıştırılmasının engellenmesi sağlanır. Beyaz listede yer almayan herhangi bir uygulamanın yüklü olup olmadığına yönelik taramalar düzenli olarak gerçekleştirilir.  Beyaz listede yer alacak uygulamalara, ilgili bölümün yöneticisinin ihtiyaç onayıyla birlikte, bölümün ITSM üzerinden talebine istinaden BG Yöneticisinin güvenlik kontrolü ve uygunluğu sonrasında karar verilir. Beyaz listeye alınması uygun görülen uygulamanın BT ekipleri tarafından ilgili cihazlara uygulama kurulumu ve gerekli konfigürasyonları gerçekleştirilir. Artık kullanılmasına ihtiyaç duyulmayan veya BG Bölümünün düzenli taramalarında güvenlik açığı oluşturabileceği şeklinde değerlendirilen uygulamalar ise beyaz listeden çıkartılır ve kurulu olduğu bilgisayarlardan BT ekiplerince kaldırılır. 
  • Denetim izleri güvenli bir ortamda tutulur ve Bilgi Güvenliği Yöneticisi tarafından periyodik olarak gözden geçirilir.
  • Olası Bilgi Güvenliği ihlallerine karşı ağ cihazları sürekli olarak izlenir ve kritik olaylar için uyarı mekanizmaları oluşturulur.
  • Ağ cihazları İş Sürekliliği ihtiyaçları göz önüne alınarak yedekli olarak yapılandırılır.

 

İZ KAYITLARININ OLUŞTURULMASI VE İZLEME

Bilgi Sistemleri dâhilinde gerçekleşen tüm işlem ve olaylara ilişkin iz kayıt mekanizması oluşturulur, denetim izleri işlemin doğasına uygun olarak aşağıdaki bilgileri içerir;

  • Kaydı oluşturan sistem adı
  • Kaydın ilişkili olduğu tekil kullanıcıyı veya sistem kullanıcısını gösteren bilgi
  • Kaydın oluşturulduğu tarih, saat ve zaman dilimi bilgisi
  • Kaydı oluşturan işlemle birlikte gerçekleştirilen değişikliği gösteren bilgi

Oluşturulan iz kayıt mekanizması, yaşanan Bilgi Güvenliği olaylarının daha sonra geriye dönük incelenmesine imkân tanıyacak şekilde iz kayıtlarının değiştirilemeyeceği güvenilir ortamlarda saklanır ve yedeklenir. İhtiyaç duyulması halinde makul bir sürede bu yedeklerden geri dönüş yapılarak inceleme yapılması sağlanır.

Şirket’in, web servisleri, API ya da benzeri metotlarla diğer kurum veya kuruluşlar nezdinde tutulan verilere ilişkin yaptığı sorgulamalar ve bu sorgulamaları hangi amaçla yaptığına ilişkin iz kayıtları saklanır. Bu tür sorgulamalara ilişkin iz kayıtları sorgunun yapıldığı uygulama üzerinde tutulur. İş süreçleri ile ilgili olarak yetki dahilinde iç ve dış sistemlerden yapılan işlemler ve/veya sorgular, ilgili bölüm/birim temsilcileri sorumluluğundadır. 

İz kayıtlarının bütünlüğünün bozulması önlenir ve herhangi bir bozma girişimi oluşturulan alarm kurallarıyla derhal tespit edilir. İz kayıtlarına, bilmesi gerektiği kadar prensibine uygun olarak sadece erişim yetkisi verilen kişilerin ulaşabilmesi ve kayıt sisteminin her türlü yetkisiz değişiklik ve müdahalelere karşı korunması sağlanır. Kullanıcılar kendi faaliyetlerine ilişkin iz kayıtlarına müdahale edemez. İz kayıt sisteminin durdurulmasını önlemeye yönelik girişimler veya durdurulması halinde ise bu durum alarm kurallarıyla derhal tespit edilir.

FİZİKSEL GÜVENLİK

Şirket sistemlerinin işletildiği, ilgili sistem, ağ ve güvenlik cihazlarının konumlandırıldığı korunaklı, güvenli alanın yönetimidir. 

 

 

Sistem Odalarının Fiziksel Güvenliği

Sistem odalarına erişimler “en az yetki ve ayrıcalık prensibi” esas alınarak belirlenir. Bunlar gerektiğinde ve düzenli aralıklarla gözden geçirilir ve ihtiyaç duyulmayan yetkiler hemen kaldırılır. Bunun için biyometrik doğrulama, şifre, manyetik kart gibi uygun kimlik doğrulama ve erişim kontrolü sistemi kullanılır. Yapılan tüm başarılı ve başarısız erişimlerin denetim izlerinin tutulması sağlanır. 

Sistem odaları için kör nokta barındırmayacak ve en az bir yıl süreyle kayıt saklayacak şekilde kamera kayıt sistemleri kullanılır. Kamera kayıt sistemleri tarafından kaydedilen görüntülerin farklı bir konumda yedeklenmesi sağlanır.

Sistem odalarının güvenliğine ilişkin yönetim ve kurallar, destek hizmeti kuruluşu ile beraber belirlenmekte ve  takip edilmektedir.

Sistem odalarına teknik destek amaçlı, servis ve hizmet sağlayıcılardan gelen ziyaretçilerin giriş çıkış kayıtları tutulur ve işlem sırasında bir çalışanın ziyaretçiye refakat etmesi sağlanır. Üçüncü kişilere erişim şifreleri geçici olarak ve yalnızca gerekli olması durumunda görev bazında verilir.  Çalışmanın ardından gerekli olan durumlarda yapılan çalışmaya ilişkin kontrollerle, yetki verilen görevin başarı ile gerçekleştiği, yetkisiz sistem erişiminin olmadığı, teknik destek alınan şahıslarca kullanılan tüm sistem erişim şifrelerinin, değiştirildiği ya da kullanıcı hesaplarının iptal edildiği konuları garanti altına alınır.

Sistem odalarında yiyecek, içecek bulundurulmaz, sigara içilmez. Sistem odalarının temiz tutulması sağlanır. Temizlik personelinin erişiminde yukarıdaki maddede belirtilen hükümler uygulanır. 

Sistem odalarında insan sağlığının ve kritik bilgi kaynaklarının korunmasına yönelik olarak yangın tespit, önleme ve söndürme sistemleri tesis edilmiştir. Sistem odalarının sel riskinin bulunmadığı bir alanda konumlandırılmıştır. Hırsızlık riskini azaltmak için erişim kontrollerine ek olarak kilitli dolap sistemleri kullanılır. Ekipmanın korunması için ortam sıcaklığını uygun seviyede tutmayı sağlayan soğutma ve nem ayarlama sistemleri kurulmuştur. Tüm bu sistemlerin sağlıklı bir şekilde çalıştığı düzenli olarak test edilir ve bakımları yapılır. 

Çalışma Alanlarının Fiziksel Güvenliği

Her birim kendi sorumluluğunda olan kritik varlıkların gerektiğinde güvenli olarak saklanabilmesi için uygun ortamların (kilitli dolap, kasa gibi) temin edilmesini sağlar.

Gizli bilgi ve belgelerin masa üzerinde bırakılmamasına ve kilitli ortamlarda saklanmasına dikkat edilir. Gelen ve giden belgeler, faks veya fotokopi makineleri ile yazıcılar üzerinde bırakılmaz. 

Kişisel bilgisayarlar vb. sistemler, kullanıcıları yanında olmadığında, ekran kilidi, oturumu askıya alma gibi yöntemler kullanılarak korunur.

Ekipmanların Fiziksel Güvenliği

Bilgisayar, iletişim cihazları ve veri depolama ekipmanları, kullanım veya depolama amacıyla yerleştirilirken, ekipman üreticisinin belirttiği teknik standartlara uygun ortamlar sağlanır. Gerekirse, çevresel kontrollerle bu ortam gözlenir ve uygun aksiyonlar alınır.

Ekipmanın, tedarikçinin tavsiye ettiği servis aralıklarına ve talimatlara uygun olarak, bakımı yapılır. Sadece yetkili bakım personeli bakım ve onarım çalışması yapar.

Ekipmanlar bakıma veya onarıma gönderilecekse, öncesinde içindeki bilgiler kontrol edilir, kritik bilgiler güvenceye alınır. Ekipmanlar, bina dışında servis veya bakım amacıyla gönderilirken, uygun denetimler yapılır, mümkünse sigortalanır, sigortalandıysa sigorta poliçelerinde belirtilen hususlara uyulur.

Kayıt ekipmanları, içerdiği bilginin hassasiyet seviyesine uygun olarak sınıflandırılır ve fiziksel olarak korunur. İçinde hassas bilgiler bulunan kayıt ekipmanları, yangına dayanıklı dolaplar ya da kasalar gibi, güvenli ortamlarda korunur.

İmhası gereken ekipmanları sadece yetkili personel tarafından uygun imha prosedürleri uygulanarak imhası sağlanır.

İlke olarak herhangi bir ekipman, bilgi veya yazılım, yetkisiz olarak Şirketin ofis alanı dışına çıkarılamaz. Tüm personel, yönetilen Bilgi Sistemleri üzerindeki hassas bilgiler ya da ekipmanla, dışarıda çalışmak zorunda kaldığı durumlarda, bütün sorumluluğun kendisine ait olduğu konusunda bilgilendirilir.

Ekipmanlar, güç kaynağı bozulmalarından veya diğer olağandışı elektriksel olaylardan korunur. Elektrik kaynağı, ekipman üreticisinin belirttiği standartlarda olacaktır. Gerekli durumlarda kaynak kalitesi ölçülerek gerekli önlemler alınır.

Şirket Bilgi Sistemlerinin kesintisiz hizmet vermesini sağlamak amacıyla, jeneratör ve kesintisiz güç kaynakları gibi sürekliliği sağlayan sistemler kullanılır ve tedarikçinin tavsiye ettiği servis aralıklarına ve talimatlarına uygun olarak bakımları gerçekleştirilir.

SAİR HUSUSLAR

Bilgi Güvenliğine yönelik mevzuatı ihlal eden personel için disiplin süreçleri çerçevesinde işlem yapılır.

Fikri mülkiyet hakkı taşıyan hiçbir ürün, yazılım, hizmet veya sistem sahibinden izin almadan veya kullanım lisansı olmadan kullanılamaz.

Tüm çalışanlar, Bilgi Güvenliği’ne dair tüm yasal düzenlemelere uyacağını taahhüt eder.