Kurumsal BGYS Politikalarının Oluşturulması ve Uygulanması

A.1.3.1. Kılavuzda yer alan hususlar, yukarıda da açıklandığı üzere, Bakanlık ve bağlı kuruluşları ile merkez ve taşra teşkilatı için bilgi güvenliğinin sağlanmasına yönelik olarak alınması tavsiye edilen ve bu amaçla yaygın olarak kullanılan temel bazı tedbirleri içermektedir. Bilgi güvenliğinin tam olarak sağlanabilmesi için uygulayıcılar tarafından;

A.1.3.1.1. Kullanılan sistemler ve cihazlar, insan kaynakları ve nitelikleri, bilgi işleme tesislerinin fiziki özellikleri, bölgesel ve coğrafi farklılıklar vb. hususlardan kaynaklanan kuruma özgü bilgi güvenliği risklerinin ayrıntılı olarak tespit edilmesi,

A.1.3.1.2. Tespit edilen risklerin önlenmesi için Kılavuzda yer alan tedbirler başta olmak üzere gerekiyorsa ilave önlemlerin belirlenmesi,

A.1.3.1.3. Alınacak önlemlerin yazılı hale getirilerek tüm kurum personeline duyurulması,

A.1.3.1.4. Uygulamanın sürekli olarak takip edilerek varsa uygunsuzlukların ve yeni risklerin tespit edilmesi,

A.1.3.1.5. Tespit edilen uygunsuzluklar ve yeni riskler için düzeltici faaliyetlerin hayata geçirilmesi,

A.1.3.1.6. Sürekli iyileştirme için ihtiyaç duyulan çalışmaların yürütülmesi gerekmektedir.

A.1.3.2. Bakanlık Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzunun hayata geçirilebilmesi amacıyla merkez teşkilat, bağlı kuruluşlar ve 81 ilin il sağlık müdürlükleri tarafından asgari olarak aşağıda belirtilen faaliyetlerin yapılması gerekmektedir.

Bilgi Güvenliği Politikaları Kılavuzu

10

A.1.3.2.1. Kuruma Özgü BGYS Politikasının Hazırlanması

Bilgi güvenliği politikası BGYS’nin en kritik öğesidir. Bir güvenlik politikası, verilerin ve kaynakların gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için bilgisayar kaynaklarına erişen herkesin uyması gereken asgari kuralları ve prosedürleri tanımlar.

Ayrıca, kurumun bilgi güvenliği bakış açısını yansıtır, güvenlik sorumluluklarını tanımlar ve bilgi güvenliği olaylarına müdahale yaklaşımını ortaya koyar. Kurumsal bilgi güvenliği politikasının geliştirilmesi kurumsal hafızaya sahip çalışanlar, bilgi güvenliği uzmanları ve yönetimin ortak çalışması ile yapılır. Bilgi güvenliği politikasının bilgi güvenliği hedefleri, stratejik hedefler ve hizmet kapsamı ile uyumlu olması gerekir.

Bilgi güvenliği politikası; kurumun sunduğu hizmetler, kullanılan teknoloji ve kurumun büyüklüğüne göre kurumdan kuruma değişiklik göstermekle birlikte en az aşağıdaki unsurları içerir:

o Kurumun bilgi güvenliği vizyonu: Kurumun bilgi güvenliği amaçları net olarak tanımlanmalı ve kurumun bilgi güvenliği politikasında yer almalıdır. Örnek;

“Bu güvenlik politikası, etkin ve yerleşmiş bilgi teknolojileri güvenlik süreçleri ve prosedürleri aracılığıyla sağlık hizmetlerinden faydalanan vatandaşa ait bilgilerin ya da kurumsal hizmetlerin icra edilmesi esnasında edinilen bilgi ve kaynakların güvenliğini, bütünlüğünü ve kullanılabilirliğini sağlamayı amaçlamaktadır.”

o Üst Yönetim bilgi güvenliği taahhüdü: Bilgi güvenliği politikası bilgi güvenliği ile ilgili uygulanabilir şartların karşılanması ve BGYS’nin sürekli iyileştirilmesi için bir taahhüt içermelidir. Örnek; “BGYS’nin tüm süreçleri için gerekli yönetimsel destek ve kaynaklar sağlanır.”

o Bilgi güvenliği faaliyetlerinin nasıl yürütüleceği: Bilgi güvenliği politikasının nasıl uygulanacağı ve güvenlik ihlallerinin ne şekilde ele alınacağı açıkça belirtmelidir. Tercihen en üst düzey yetkili tarafından politikaya uyumluluğun sağlanmasına ilişkin gereklilik beyan edilmelidir. Örnek; “Kurum bilgi güvenliği faaliyetlerinin etkin olarak yürütülmesi maksadıyla yaygın olarak kabul gören bilgi güvenliği standartları, ilgili yasa, mevzuat ve yönetmeliklerin gerektirdiği şartlara yönetim tarafından uyulacak, ilgili taraflarca uyulması sağlanacaktır. İç bağlamda belirtilen unsurlar, ilgili standart, mevzuat ve yönetmeliklerin getirdiği sorumluluklara uymakla yükümlüdür.”

Özetle, bilgi güvenliğine genel bir yaklaşım oluşturmak, kurum itibarını etik ve yasal sorumluluklarına uygun olarak korumak, hizmet verdiği paydaşların ihtiyaç ve beklentileri doğrultusunda kurumsal bilgi güvenliği tesis etmek gibi amaçlarla oluşturulan bilgi güvenliği politikası; kurumun en üst düzey yöneticisinin imzası ile yayımlanır.

Politikanın kurumun tüm çalışanları tarafından bilinmesi ve anlaşılması gerekir.

Hizmet süreçlerinde etkileşimli olunan tüm ilgili taraflar ve dış paydaşların erişebilmesi için kurumsal web sitesi ana sayfasında ya da e-Posta ile gönderilmek suretiyle paylaşılır.

Bilgi Güvenliği Politikaları Kılavuzu

11

A.1.3.2.2. Kurum Bilgi Güvenliği Organizasyonunun Oluşturulması

Bilgi güvenliğinin bir yönetim sistemi mantığıyla ele alınması prensibi çerçevesinde, tüm yönetim sistemlerinde olduğu gibi bilgi güvenliği operasyonu ve uygulamasının başlatılması ve kontrol edilmesi amacıyla bilgi güvenliği rolleri ve sorumlulukları tanımlanmalı ve atamaları yapılmalıdır. Bilgi güvenliği sorumlulukları içerisinde; bilgi varlıklarının korunması, risk yönetimi faaliyetleri, iş sürekliliği gereklilikleri, tedarikçi ilişkilerinin bilgi güvenliği, kaynak bulma ve uygulama yönetimi gibi unsurların varlığı değerlendirilerek, kurumun organizasyon yapısının büyüklüğüne göre bilgi güvenliği rol ve sorumlulukları atanmalıdır. Kurumsal bilgi güvenliği politikasında bilgi güvenliği rol ve sorumluluklarına yer verilmelidir.

Kılavuzun A.2.3 (Bilgi Güvenliği Alt Komisyonları), A.2.4 (Bilgi Güvenliği Yetkilisi) ve A.2.5 (Kurumsal SOME Ekip Lideri ve Kurumsal SOME’ler) maddelerinde açıklandığı şekilde bilgi güvenliği politika ve stratejilerini belirlemek ve bu politikaların uygulanmasını sağlamak üzere bilgi güvenliği alt komisyonu oluşturulur. Alt komisyona bağlı, zaman zaman da alt komisyon adına çalışmak üzere Bilgi Güvenliği Yetkilisi ve SOME Ekip Lideri görevlendirilir.

A.1.3.2.3. Bilgi Güvenliği Eğitim Programlarının Yapılması

Kurum genelinde tüm personeli kapsayacak şekilde, sürekli güvenlik bilincinin, kurumsal güvenlik kültürünün oluşturulmasına ve korunmasına yardımcı olacak her türlü eğitim programı bilgi güvenliği yönetim sisteminin sağlanmasına yardımcı olur.

Geleneksel bilgi sistemleri odaklı “son kullanıcı güvenlik eğitimleri” ve “yıllık bilgi güvenliği farkındalık eğitimleri”' iyi uygulama örnekleri olabileceği gibi kurumsal bilgi güvenliği farkındalığının oluşmasında yetersiz kalacaktır. Bu nedenle yıllık olarak hazırlanacak bilgi güvenliği eğitim planları; farkındalık broşürleri, posterler, e-Postalar, yarışmalar, sosyal mühendislik çalışmaları, oltalama saldırısı benzetimi ve benzeri farkındalığı arttırıcı faaliyetlerden uygulanabilir olanlarını kapsamalıdır.

A.1.3.2.4. Diğer BGYS Politika, Prosedür ve Talimatlarının Hazırlanması

Bilgi güvenliği politikası, bilgi güvenliği kontrollerini zorunlu tutan konuya özel politikalarla desteklenmelidir. Konuya özel politikalar kurum genelindeki süreçlerin ihtiyaçlarını karşılayacak ya da belirli konuları kapsayacak şekilde olabilir.

Bilgi güvenliği için iç politikalara duyulan ihtiyaç kurumdan kuruma değişebilir ancak, büyük ve karmaşık yapılarda özellikli süreçlere ve fonksiyonlara ait politikaların oluşturulması BGYS’nin sağlıklı tesisi için özellikle faydalıdır. Daha küçük ve konservatif yapılarda bilgi güvenliği için politikalar tek bir “bilgi güvenliği politikası”

dokümanında ya da tek fakat ilgili dokümanların bir kümesinde verilebilir.

Bilgi güvenliği özellikli politikalarının kurum dışına dağıtımının icap ettiği durumlarda gizli bilgilerin ifşa edilmemesine dikkat edilmelidir.

Bilgi Güvenliği Politikaları Kılavuzu

12

Politika dokümanları ihtiyaca göre prosedür, talimat, yönerge gibi detaylarda oluşturulabilir. Konuya özel bilgi güvenliği politikaları hazırlanırken aşağıdaki hususları içerip içermediği kontrol edilmelidir:

o Erişim kontrolü / mobil cihazlar ve uzaktan çalışma (Kılavuz Madde A.6), o Bilgi sınıflandırma (ve işleme) (Kılavuz Madde A.4.3),

o Fiziksel ve çevresel güvenlik (Kılavuz Madde A.8),

o Varlıkların kabul edilebilir kullanımı / temiz masa ve temiz ekran (Kılavuz Madde A.4),

o Bilgi transferi, haberleşme güvenliği (Kılavuz Madde A.10),

o Yazılım kurulumu ve kullanımı ile ilgili kısıtlamalar (Kılavuz Madde A.9), o Yedekleme (Kılavuz Madde A.9.13),

o Kötücül yazılımlardan koruma (Kılavuz Madde A.9.6), o Kriptografik kontrollerin kullanımı (Kılavuz Madde A.7) o Teknik açıklıkların yönetimi (Kılavuz Madde A.9.14),

o Kişi tespit bilgisinin mahremiyeti ve korunması (Kılavuz Madde A.12), o Tedarikçi ilişkileri (Kılavuz Madde A.11).

A.1.3.2.5. Bilgi Güvenliği Eylem Planları

o Yönerge gereği, Kılavuzda yer alan hususların hayata geçirilmesi ve takibi için SBSGM tarafından eylem planları hazırlanır ve yayımlanır.

o Yayımlanacak eylem planlarında, kurumların bilgi güvenliği alt komisyonları vasıtasıyla hazırlanması gereken BGYS politika, prosedür ve talimatları ismen sıralanır.

o Eylem planlarında yer alan hususlar, Kurum BGYS’lerinin tesisi için yapılması gereken asgari konuları içerir. Kurumlarca eylem planında belirtilmeyen konular için de BGYS politika, prosedür veya talimatları hazırlanıp uygulamaya alınabilir.

Bilgi Güvenliği Politikaları Kılavuzu

13