Bilgi Güvenliği Politikası

Kaynak Mesleki ve Teknik Eğitim Merkezi Bilgi Güvenliği Politikamız; bilgi güvenliği ile ilgili ortaya çıkabilecek riskleri ve bu risklerin etkilerini en aza indirmeyi amaçlayan bir yaklaşımı tanımlar. Bu bağlamda;
֍ Bilgi varlıklarının güvenliğinin gizliliğinin, bütünlüğünün ve erişilebilirliğinin; sürekliliğinin ve kontrolünün sağlanmasını,
֍ Bilgi varlıklarının kaybolmasından, bozulmasından veya kötüye kullanılmasından doğan risklerin sınırlanmasını, yasa ve yönetmeliklere uygunluğunun sağlanmasını,
֍ Bilgi varlıklarının, içeriden ya da dışarıdan bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı korunmasını,
֍ Bilgi Güv​enliği Yönetim Sistemi’nin yaşatılması için sürekli iyileştirme fırsatlarının değerlendirilmesi çalışmalarını gerçekleştirmeyi amaçlar.
Bilgi Güvenliği Politikamız, Kaynak Mesleki ve Teknik Eğitim Merkezi bilgilerini veya sistemlerini kullanan tüm çalışanları coğrafi konumdan veya biriminden bağımsız olarak kapsar.  Bu sınıflandırmalara girmeyen ve kurum bilgilerine erişime sahip olan üçüncü şahıs hizmet sağlayıcıların ve bunlara bağlı çalışanların, bu politikanın genel ilkelerine bağlı kalması şarttır.

– Yasalara Uyum
Kaynak Mesleki ve Teknik Eğitim Merkezi, bilgi teknolojileri, haberleşme altyapı hizmetleri ile ilgili yayınlanmış kanun, yönetmelik ve tebliğlere göre faaliyetlerini yürütmektedir. Ülkemizde içe­rik sağ­la­yı­cı, yer sağ­la­yı­cı, eri­şim sağ­la­yı­cı ve top­lu kul­la­nım sağ­la­yı­cı­la­rın yüküm­lü­lük ve so­rum­lu­luk­la­rı ile in­ter­net or­ta­mın­da iş­le­nen be­lir­li suç­lar­la içerik, yer ve eri­şim sağ­la­yı­cı­la­rı üze­rin­den mü­ca­de­le­ye iliş­kin esas ve usuller 04 Mayıs 2007 tarihli 5651 sayılı Kanunda belirtilmiştir. Kaynak Mesleki ve Teknik Eğitim Merkezi, 6698 numaralı ve 24.03.2016 tarihli Kişisel Verilerin Korunması Kanunu gereği tüm maddelere uyumlu olarak faaliyetlerini yürütür.

– Bilgi Sınıflandırılması
Kaynak Mesleki ve Teknik Eğitim Merkezi bünyesinde işlenen ve oluşturulacak verilerin sahipliğinin, sınıflarının belirlenmesi çalışmaları ve yönetimi konuları ele alınır. Bilgilerin farklı kriterlere (kritiklik, yasal zorunluluk, yetkisiz erişim etkileri vb.) sahip olması nedeniyle yeterli seviyede güvenlik önlemlerinin tanımlanması ve uygulanması için bilgilerin, gizlilik, bütünlük ve erişilebilirlik seviyelerine göre değerlendirilir ve sınıflandırılır; sahipleri ve emanetçileri atanır. Bütünlük, gizlilik ve erişilebilirlik seviyelerine göre sınıflandırılan bilgi varlıkları için uygulanması zorunlu minimum güvenlik seviyeleri belirlenir ve bu prensiplere üst yönetimin onayladığı istisnalar hariç tam uyum gösterilir.

– Kullanıcı Erişim ve Yetkilendirme
Kaynak Mesleki ve Teknik Eğitim Merkezi’nin tüm kullanıcıları (hassas ve normal yetkili kullanıcılar) “görevlerin ayrılığı prensibi” ve “minimum erişim yetkisi prensibi” ile izlenir.  Yetkiler ilgili sistem sahibinin onayına istinaden verilir. Sistem Denetim Kurulu tarafından kontrol edilir. Yetkilerin geri alınması için talep ihtiyacı bulunmamaktadır. Yılda en az 1 kere olmak üzere kullanıcı hesabı ve yetki gözden geçirmesi çalışması yapılır. Sistem sahipleri; kullanıcı hesabı ve yetki gözden geçirme çalışmalarında asli sorumludur. Kullanıcı erişim metotlarının belirlenmesinde inkâr edilemezlik ve sorumluluk atamaya izin verecek teknikler kullanılır. Kullanıcı hesapları kişiye özel yaratılır ve ortak kullanıcı hesapları kullanılmaz.

– Şifre Yönetimi
Şifre Yönetimi standardının amacı, Kaynak Mesleki ve Teknik Eğitim Merkezi tarafından kullanılan uygulamalar, işletim sistemleri ve veri tabanları için şifre standart ve kurallarının belirlenmesidir. Bu standart, tüm birim ve çalışanları, üçüncü taraf olarak bilgi sistemlerine erişen ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını ve ilgili diğer dış kullanıcıları kapsar. 

– Denetim İzi Yönetimi
İşletim sistemleri, veri tabanları ve diğer tüm kritik sistemler ve uygulamalar üzerindeki hareketleri kontrol altına almak, izlemek, analiz etmek ve gerekli önlemleri zamanında alabilmek amacıyla iz kayıtlarının düzenli kontrolü ve takibi yapılır. Söz konusu denetim izlerinde gereksiz hassas ve kritik verinin bulunması engellenir.  Denetim izleri üzerinde yapılan işlemler de kayıt altına alınır.

– Bilgi Güvenliği Olayları Yönetimi
Güvenlik sorunları ve bozulmaları güvenlikten sorumlu kişilere acilen raporlanır. Raporlanmış bir güvenlik sorunu öncelikli olarak çözümlen dirilmelidir. Yazılım problemlerinden kaynaklanan sorunlar da aynı şekilde ele alınır. Geçmişte raporlanmış güvenlik sorunlarından ders alınarak aynı sorunların tekrar yaşanmaması sağlanmalıdır. Tüm çalışanlar uygun şekilde güvenlik olaylarını raporlamakla yükümlüdür.

– Uygun Kullanım
Kaynak Mesleki ve Teknik Eğitim Merkezinin bilgi ve haberleşme sistemleri ve donanımları (İnternet, e-posta, telefon, çağrı cihazları, faks, bilgisayarlar, mobil cihazlar ve cep telefonları da dahil olmak üzere) kurumun işlerinin yürütülmesi için kullanılmalıdır. Bu sistemlerin yasa dışı, rahatsız edici, kurumumuzun diğer politika, standart ve rehberlerine aykırı veya Kaynak Mesleki ve Teknik Eğitim Merkezi’ne zarar verecek herhangi bir şekilde kullanımı bu politikanın ihlal edildiği anlamına gelir. Kurumumuz bu sistemleri ve bu sistemlerle gerçekleştirilen aktiviteleri izleme, kaydetme ve periyodik olarak denetleme hakkını saklı tutar. Kullanıcı, Kaynak Mesleki ve Teknik Eğitim Merkezi tarafından sağlanan iletişim sistemlerinin kullanımın sırasında sistemde dile getirdiği tüm fikir, düşünce, ifade ve yazıların kendisine ait olduğunu, Kaynak Mesleki ve Teknik Eğitim Merkezi’nin hiçbir şekilde sorumlu olmadığını kabul eder.
Kullanıcı, sağlanan iletişim sistemlerinin kullanımın sırasında ilettiği mesajlarda hakaret, pornografi ve diğer yasadışı, toplum ahlak ve anlayışına aykırı herhangi bir amaç güden toplu tanıtım, postalama ve benzeri aktivitelerde bulunamaz.

– Zararlı ve Lisanssız Yazılımlara Karşı Koruma
Kaynak Mesleki ve Teknik Eğitim Merkezi bünyesine ait sistemlerde istenmeyen yazılımlara yönelik çerçeve belirlenir, kullanılan işletim sistemlerinde anti virüs çalışması uygulanmalıdır.  Kullanıcı bilgisayarlarının ve bilgi işlem sistemlerinin zararlı yazılımların etkilerinden korunması ve güvenliği sağlanır. Lisanssız yazılımların kullanımı engellenir. Çalışanların sistemler üzerindeki anti virüs uygulamasını kapatması veya kaldırması engellenir. Tüm kullanıcı bilgisayarlarına, sunuculara anti virüs yazılımları kurulmakta ve düzenli taramaların ve güncellemelerin yapılması sağlanır. Uygunsuz ve lisanssız yazılımların herhangi bir şekilde kurulumu ve kullanımı yasaktır. Kullanıcıların yetkilendirmeleri kısıtlanarak, lisanssız yazılım kurulumuna izin verilmemektedir. Kullanıcılar ihtiyaç duydukları yazılımlar için ilgili birimlerden onay almak zorunluluğundadır. Bilgi sistem ve uygulama yazılımlarındaki zayıflıkların ve güvenlik açıklıkların önceden tespit edilerek gerçekleşmesi muhtemel olan saldırıların ve suiistimallerin önüne geçilmesi amacıyla gerekli düzenli taramalar gerçekleştirilir ve gerekli yamalar yüklenir.

– Ağ Güvenliği
Bilgisayar ağına yetkisiz cihazların bağlanması engellenir. Kaynak Mesleki ve Teknik Eğitim Merkezi sistemleri güvenlik duvarı olarak ilgili ürünleri kullanmaktadır. Aynı ürün ek olarak IPS ve IDS teknolojileri sağlayarak ağ üzerindeki tehditlerden ve izinsiz erişimlerden korunur. Ağ güvenlik cihazları üzerindeki değişiklikler kayıt altına alınır ve onaylanır. Yeni dış bağlantı talepleri Yönetim Kurul onayıyla işletime alınır.

– Dış Veri Transferi
Kaynak Mesleki ve Teknik Eğitim Merkezi dışına yapılan veri transferleri transfer edilen verinin içeriği ile uyumlu olacak şekilde güvenli bir şekilde gerçekleştirilir. İnkâr etmeyi engelleyici önlemler alınır.

– Fiziksel ve Çevresel Güvenlik
Kaynak Mesleki ve Teknik Eğitim Merkezi’nin bilgi varlıklarının zarar görmemesi ile fiziksel ve çevresel tehditlerden korunması için kurumumuz tarafından kullanılan fiziksel bölgelere yönelik risk değerlendirme yapılır ve önlemler risk değerlendirme sonuçlarına göre belirlenir. Kaynak Mesleki ve Teknik Eğitim Merkezi sınırları içinde gerek çalışanlar ve gerekse ziyaretçiler giriş kartlarını sürekli görünür şekilde taşımak ile yükümlüdürler. Giriş kartlarının kaybolması durumunda kuruma yönelik olarak zafiyet yaratmayacak tasarım kullanılır. Kullanılan cihazlar (bilgisayar, USB vb.) yetkisiz erişime karşı korunur. Ziyaretçiler Kaynak Mesleki ve Teknik Eğitim Merkezi sınırları içinde yanında nezaretçi olmadan dolaşamazlar. Sistem odalarına giriş ve çıkış kayıt altına alınır. Hassas veri iletiminde kullanılan fiziksel kablolama yapısı yetkisiz müdahalelere karşı fiziksel ve mantıksal önlemler ile korunur. Çevresel faktörlere karşı gerekli önlemler alınır

– Temiz Masa
Hassas ve kritik bilgi içeren herhangi bir doküman veya veri depolama cihazı yetkisiz erişimleri engelleyecek şekilde saklanır. Taşınabilir cihazlarda hassas veri transfer süreci dışında saklanmaz. Söz konusu cihazlarda taşınan veri yetkisiz erişime karşı şifrelenir. Hassas veri içeren dokümanlar ancak geri döndürülemez şekilde imha edilir. İş gereksinimleri hariç taşınabilir veri depolama cihazlarının kullanımı engellenir. Kuruluşa ait kritik bilgi içeren dokümanlar başkaları tarafından fark edilmeyecek şekilde muhafaza edilmelidir. Masa üstü doküman sayısını artırmamak için mümkün olduğu kadar elektronik dokümanların yazıcıdan çıktılarının alınmamasına dikkat edilmelidir.

– Bilgi Güvenliği Risk Yönetimi
Kaynak Mesleki ve Teknik Eğitim Merkezi bünyesinde bilgi güvenliğinin tam anlamıyla sağlanabilmesi amacıyla ilgili kontrollerin belirlenmesi, bu kontrollerin etkin bir şekilde hayata geçirilmesi ve gerekli aksiyonların alınması amacıyla bilgi teknolojileri varlıklarının ve kritik bilgilerin riskleri değerlendirilir. Bu süreç çerçevesinde bilgi teknolojileri varlıklarının sınıflandırılması, varlıklara yönelik tehditlerin belirlenmesi, bu tehditlerin ve ilişkili risklerin azaltılmasına yönelik kontrollerin belirlenmesi ve tüm bu adımların uygulanmasına yönelik çalışmalar yürütülür. Bunlara ek olarak; Denetim Kurulu tarafından risk değerlendirme çalışmaları ile risk aksiyonlarının takibi yapılır.

– İş Sürekliliği Yönetimi
Kaynak Mesleki ve Teknik Eğitim Merkezi bünyesinde kurumun sürekliliğini tehdit edebilecek operasyonel süreçlerin aksamasıyla kurumun maddi kayıp ve itibar kaybı yaşamasına sebep olabilecek olaylar karşısında hazırlıklı olmak ve en kısa sürede kabul edilebilir bir düzeyde yeniden operasyona başlayabilmek için gereken önlemleri alınır.  Kaynak Mesleki ve Teknik Eğitim Merkezi’nin kritik operasyonel süreçleri belirlenerek “süreklilik stratejisi” tanımlanır. Söz konusu kritik süreçler belirlenirken, kurumun kritik bilgileri ile bu bilgilerin üzerinde işletildiği kritik bilgi teknolojileri servislerine yönelik süreklilik planlamaları yapılır. Bunun yanı sıra olağanüstü hallerde “uzaktan çalışma” altyapısı ve bilgi paylaşım protokolleri belirlenir ve tüm kullanıcılara uzaktan erişim yoluyla işlerini sürdürebilme olanağı sağlanır.

– Sistem Geliştirme ve Bakım
Bilgi sistemleri dahilinde talep kapsamına uygun olarak gerçekleştirilen analiz, tasarım, geliştirme, kurulum ve kurulum sonrası gözden geçirme faaliyetleri tanımlanmış süreçlere göre yönetilir. Sistem tasarımında görevler ayrılığı ilkesi ile asgari yetki prensibi uygulanır. Söz konusu faaliyetler gerçekleştirilirken bilgi güvenliğinin etkin bir şekilde sağlanması hususunda, sürece dahil olan tüm Kaynak Mesleki ve Teknik Eğitim Merkezi çalışanları aynı derecede sorumludur. Ek olarak, süreç kapsamında, beceri kazandırma, mesleki ve teknik eğitim ortamına erişimlerde ve devreye alım sürecinde görevler ayrılığı ilkesi ile asgari yetki prensibine uyulur.

– Bilgi Güvenliği Eğitimleri
Kaynak Mesleki ve Teknik Eğitim Merkezi çalışanlarının bilgi güvenliği politikası ve stratejisine yönelik farkındalığını arttırmak amacıyla personel işe girişlerinde ve belirli aralıklarla bilgi güvenliği eğitimlerinin verilir. Verilen eğitimlere tüm sorumlu personelin katılımı sağlanır ve takip edilir. Verilen eğitimler kapsamında Bilgi Güvenliği Politikası, ilgili prosedürleri ve standartları tüm çalışanlara aktarılarak çalışanların bilgi güvenliğinin sağlanması hususunda kendilerine düşen rol ve sorumlulukların bilincinde olması sağlanır.

– Fikri Mülkiyet Hakları
Fikri mülkiyet hakkı taşıyan ürün, yazılım, hizmet veya sistemler sahibinden izin alınmadan veya kullanım lisansı olmadan kullanılmayacaktır. Kaynak Mesleki ve Teknik Eğitim Merkezi bünyesinde lisanssız yazılım kullanımı yasaktır.

Copyright © Kaynak Mesleki ve Teknik Eğitim Merkezi