Faruk Çalıkuşu
Bilgi Güvenliği Danışmanı
Bilgi Güvenliği Yönetim Sistemleri
Sedat ADEMOĞLU İl Sağlık Müdürlüğü
Uzman
sedat.ademoglu@saglik.gov.tr
SUNUM PLANI
Sağlık Bilgi Sistemleri Genel Müdürlüğü BGYS Kurulum Sürecimiz
Mobil Cihazlarda Bilgi Güvenliği Bilgi Güvenliği Politikaları Yönergesi
Hedef 10 Başlık
TEKNOLOJİNİN GELİŞİMİ
TEKNOLOJİNİN HAYATIMIZA ETKİLERİ
TEKNOLOJİNİN HAYATIMIZA ETKİLERİ
TEKNOLOJİNİN HAYATIMIZA ETKİLERİ
BİLGİYE ULAŞMAK ÇOK KOLAY!
<_
J )
-
- B-_i-_L G_ _iN_ i_N_ G_ _iZ_L_i _L
_iG i - - - - -
T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri
G e n e l MOdOrlO O
Güvenliğin sadece % 20 lik kısmı teknik güvenlik
önlemleri ile sağlanıyor.
% 80 i ise son kullanıcıya
bağlı.
OCAK 2013’DE
‘BİLGİ GÜVENLİĞİ BİRİMİ’
KURULMUŞTUR.
T.C. S ağl ı k B a k a nı ı o ı Saglık B i l g i S i s t e ml er i
G e n e l MOdOrlO O
i(gereye gideceğini bilmiyorsan,
Fıangi yoldan gittiğinin hiçbir önemi
yok.
Temel Eğitim
Bilgi Güvenliği çalışmalarına Mayıs 2013 ‘de TSE’den TS
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi
Bilgi Güvenliği Yönetim
Sistemi İç Tetkik Eğitimi
alınarak başlandı.
Başdenetçi Eğitimi
13-17 NİSAN 2015
ISO/IEC 27001-2013 IRCA ONAYLI
BAŞTETKİKÇİ EĞİTİMİ
ALINMIŞTIR.
ISO 27001 BELGESİ
Bilgi Güvenliği Nedir?
‘Güvenlik bir ürün değil, bir
süreçtir.’ Bruce SCHNEIR
Bilgi Güvenliği Nedir?
Kişinin ve Kurumun en değerli varlığı olan bilginin; kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir.
Aslında güvenlik sadece bilginin başkasının eline geçmesi
anlamına gelmez. Güvenlik, “gizlilik”, “bütünlük” ve “erişilebilirlik”
olarak isimlendirilen üç unsurdan oluşur.
Bilgi Güvenliği Nedir?
• Gizlilik; Bilgi ye erişime izni olan yetkili kişiler yada sistemlerin erişmesini sağlamaktır.
• Bütünlük; Bilginin yetkisiz kişi yada işlemler
tarafından değiştirilmemesini sağlamaktır. Böylece Bilginin tutarlılığı sağlanmış olur.
• Erişilebilirlik; Bilgi ye doğru zamanda erişimin ve
erişim sürekliliğinin sağlanmasıdır.
Bilgi Güvenliği Nedir?
Bilgi Güvenliği Neden Önemlidir?
BİLGİ GÜVENLİĞİ ZAFİYETLERİ NELERE YOL AÇAR?
•Bir hastanenin hastaları ile ilgili kişisel bilgileri ele geçirilebilir.
•Sosyal medyada kurum itibarına zarar verecek bilgiler yayınlanabilir.
•Sağlık çalışanlarının parolaları ele geçirilerek yasa dışı işler yapılabilir.
•Kurum çalışanlarına ait kişisel bilgiler, internet ortamından denetimsiz olarak erişilebilir.
•İnteraktif bankacılık sistemi ile kullanıcıların hesaplarındaki paralar çalınabilir.
•Öğrencilerin notları, okul kayıtları yetkisiz olarak değiştirilebilir.
•İnternet kullanıcılarının bilgisayarları ele geçirilerek, kullanıcı farkına bile varmadan bilgisayar üzerinden kurumsal sistemlere saldırılabilir.
•Ele geçirilen bilgisayarlar aracılığıyla topluca istenmeyen e-postalar gönderilebilir.
•CAN KAYIPLARI OLABİLİR!!!!!
Bilgi Güvenliği Farkındalığı Anket Sonucu
'12345' gibi seri şifreleri mi kullanıyorsunuz
32%
Evet
68%
Hayır
6,50%
30,90%
28,40%
43,50%
ilk belirlenen ve bana verilen şifreyi…
akılda kalan kolay bir şifre belirliyorum unutmamak için bütün şifrelerimi aynı…
şifremi en az altı karakterden oluşturuyorum
Şifre Belirleme Yöntemleri
Bilgi Güvenliği Farkındalığı Anket Sonucu
evet hayır
27,60%
Kullandığınız sistem sizi şifre değişikliğine zorluyor mu?
72,40% 60%
40%
TCK madde 136 hakkında bilginiz var mı?
evet hayır
MADDE 136. - (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Bilgi Güvenliği Farkındalığı Anket Sonucu
T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri
G e n e l MOdOrlO O
Doktorların şifreleri çalındı binlerce ilaç yazıldı
Sağlık sektörünü gözüne kestiren dolandırıcılık şebekeleri, doktorların e-reçete şifrelerini çaldı.
Şebeke, yüksek tutarlı ilaçları hastalar üzerine yazmaya başladı.
Vatandaşlar ilaç katkı payı
Ödemek zorunda kaldı.
Cüneyt Arkın’a sormuşlar;
Neden EVET ve HAYIRA , NEVET NAYIR diyorsunuz?
NALIŞKANLIK demiş
ELEKTRONİK İMZA = ISLAK İMZA
T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri
G e n e l MOdOrlO O
T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri
G e n e l MOdOrlO O
lJNUTlJLMAMALIDIR Ki!!!!!!!
Bilgi Güvenliği Yönergesi ve Kılavuzu
Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzu
28/02/2014- 31/12/2015’te Bakanlık Makamının onayı ile
yürürlüğe
konulmuştur.
Bilgi Güvenliği Politikaları Yönergesi
ve erişilebilirlik Sağlık Bakanlığına ait tüm bilgilerin gizlilik, bütünlük
kapsamında değerlendirerek korunmasını sağlamak.
Bilgi Güvenliği Politikaları Yönergesi
Sağlık Bakanlığı Merkez, Bağlı Kuruluşları ve Taşra Teşkilatı
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Eğitimleri
Bilgi Güvenliği Politikaları Seminerleri
TOPLAM : 81
İLDEN 774 KİŞİ KATILDI.
1 DİYARBAKIR 2 KASTAMON
U
3 TRABZON 4 BOLU
5-İZMİR
6 ANTALYA
7 ANKARA
8 YALOVA
9 SİVAS
10 VAN
Bilgi Güvenliği Yetkilileri Anket Sonucu
Bilgi güvenliği farkındalık eğitimleri yapılmalıdır
0,7 0,6 0,5 0,4 0,3 0,2 0,1
0
Eğitim Öncesi
kesinlikle katılmıyorum katılmıyorum kararsızım katılıyorum kesinlikle katılıyorum
%44
0,3 0,2 0,1 0 0,8 0,7 0,6 0,5
0,4 %20
Bilgi güvenliği farkındalık eğitimleri yapılmalıdır
Eğitim Sonrası
kesinlikle katılmıyorum katılmıyorum kararsızım katılıyorum kesinlikle katılıyorum
%77
Bilgi Güvenliği Yetkilileri Anket Sonucu
Bilgi Güvenliği Kılavuzunun uygulanabilmesi için yönetici desteği şarttır.
%81
%15
kesinlikle katılmıyorum katılmıyorum kararsızım
katılıyorum kesinlikle katılıyorum
Bilgi Güvenliği Kılavuzunun uygulanabilmesi için yönetici desteği şarttır.
%56
%31
kesinlikle katılmıyorum katılmıyorum kararsızım
katılıyorum kesinlikle katılıyorum
Faruk Çalıkuşu
Bilgi Güvenliği Danışmanı
AKILLI TELEFON VE TABLETLER
Akıllı Telefon ve Tabletler
Akıllı Telefonlar
T.C. Sağlık Bakanııoı Saglık Bilgi Sistemleri
G e n e l M 0 d 0 r l 0 0
İndirme
u
0 Cihaz ve uygulama geçmişi
• çalışar, :.J/ 9- amaıar a
Kimlik
tıesaoları b ma elT'e eya kaldır"Tla
• c ha:: ca
• hesap e
• kene ış arıımı o,
:+:!. Kişiler /Takvim
• ş ;erın :: o u a
• ş..er•
n
: degış,•r-rrE
• :a vı e
ini er;nı ·e g ::1 bılgıleri o, u
22.907.839 .!.
e eya rre cJ: e:- n ık er değ ştır e:
sa=ır ere t>-posrn goncer
9 Konum
• hassas kon m GPS ·e ağ ıa ban'ı)
• ya !aşı(ağ abarı )
Sosyal
19 SMS
• k sa rresaJlarımı ck:.J (SMS ve- ya
S)
\. Telefon
..
. .. .
• çagr - gun ug,.me a:
ğr oan 1 açn yap
r.:ı Fotoğraflar/Medya İçeıikleıi/Dosyalar
• korurıalı depo.ama b r m ne er·ş rn ·est e:rre
• US8 bel:eğ ı: ın çer ç; r değ ş ır veya s
1
m'ı Kamera/Mikı ofon
• res m çe e
deo ka.vd et
• ses köydet
Kablosuz bağlantı bilgileri
• ab as : bağ a'1 11 an gôrC, ı.. e!
T'e
Cihaz Kimliği ve çağı ı bilgıleri
• :e ef nun d r m nı.. e ğ n oku- rca
[?J Diğer
lrıe-rr,e· en er a -na
e bu Jnrradan ne rrre b or 'llc
ıdım
ş: r
m a eş fr-e ayar ama
•
• cosıa an
• c_ 1ar ağ n b o f'J urJ a ara
• tıesa::ı o
• başıang ıç· a çalış ırma
• ·c ha: ın ..,, J rrıod na ge; me-sin enç;e e
• ağ bağlan:ı anrıı görun::.ı e-ne
• K sayo ar 1 uk:e e
• ses aı arıa-ırr de-ğış: r
• Goog e h·zrr e: ı apılano ırrr.asını ok ma
• sı?n ron•:asyon a:::ma 'k ap3 ma
• o çer .Jyg la
a ar u::er '1de- görün·ı..
• o ·um -Jb emeçun çen şet aa'al
n gönderrre
- esme
• :am ağ er s rr:
• ağ bağlan·ısını değ ştır'lle
• oı. ar kağıaı • a,.a,.ıa
• sabı yayı
• p s.a: s: kle-r ·n o u
• çalısar ..ıyg.... arna ar ,e.,den sır a a
• ' ab osı..: a baç; an a ·e ıa ab osuz baç an ısır
• sen ronı::asyon ayarların o
Mobil Sosyal Medya Uygulamaları
En çok kullandığımız Sosyal Medya Uygulamaları cep telefonumuzun hangi verilerini
alıyor.
Akıllı Telefon Güvenliği
Ana ekranınızda muhakkak güvenlik parolası olmalı
Akıllı telefonunuzdaki verileri (resim, video, dokümanlar vb.) düzenli olarak yedekleyin.
Kesinlikle bir virüs uygulaması kullanın. Ücretsiz CM Security, Avira Antivirus Security, Avast, AVL, 360 Security ve AVG AntiVirus
Otomatik güncelleştirmeleri etkinleştirin ve işletim sisteminizi güncel tutun.
Uygulamayı kabul etmeden önce kişisel bilgilerinize erişim yetkisi
hakkında daha dikkatli olun.
İHLAL BİLDİRİM YÖNETİMİ
OLAY BİLDİRİMİ
Bilgi güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi ile edinilen tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini önleyecek veya yüksek etkili olayların oluşmasını engelleyecektir.
VERİ BİLGİ STRATEJİ
https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir
bilgiguvenligi.saglik.gov.tr
Web Adresimiz:bilgiguvenligi.saglik.gov.tr
HEDEF 10 BAŞLIK
Bilgi Güvenliği Politikaları Kılavuzu/SKS
Kılavuz Başlıkları Bilgi Yönetim Sistemi
1- Bilgi Güvenliği Politikası DBY01 Bilgi Yönetim Sistemi süreçlerine ilişkin hastane politikası oluşturulmalıdır.
2- Bilgi Güvenliği Organizasyonu
DBY02.01 Bilgi yönetimine ilişkin faaliyetlerin yürütülmesi ve koordinasyonuna yönelik sorumlular belirlenmeli ve sorumluluklar tanımlanmalıdır.
DBY02.02 Bilgi Yönetim Sistemine ilişkin rol grupları ve yetkileri belirlenmelidir.
3-Bilgi Güvenliği Eğitimleri DBY05.01 Bilgi güvenliği konusunda çalışanlara farkındalık eğitimi verilmelidir.
4-İnsan Kaynakları ve Zafiyetleri Yönetimi DBY02.04 İşe yeni başlayan ve işten ayrılan personele erişim yetkilerinin verilmesi ve iptal edilmesine yönelik yetki verme ve iptal etme prosedürü oluşturulmalıdır.
5-Parola Güvenliği DBY05.02 Şifre kullanımına yönelik kurallar tanımlanmalıdır.
6-Bilgi Kaynakları Atık ve İmha Yönetimi
7-İhlal Bildirim ve Yönetimi DBY04 Bilgi Yönetim Sistemine ilişkin hata bildirimine yönelik düzenleme yapılmalıdır.
8-İnternet ve Elektronik Posta Güvenliği 9-Mal ve Hizmet Alım Güvenliği
10-Sosyal Mühendislik Zafiyetleri ve Sosyal Medya Güvenliği
Bilgi Güvenliği Faaliyetleri: İş Planı Çıktıları
Kılavuz Başlıkları Olası Faaliyetler
Faaliyet Çıktıları Çerçevesinde Gönderilecek Dokümanlar
1- Bilgi Güvenliği Politikası
Kuruma ait bilgi güvenliği amaç, kapsam, hedef, organizasyon gibi konu başlıklarının yer aldığı bilgi güvenliği politikası oluşturulacak ve bir doküman halinde yayımlanacaktır.
Hazırlanan doküman tüm kurum personeline tebliğ edilecektir.
1Bilgi Güvenliği Politika Dokümanın Onaylı Hali
2Kaç personele tebliğ edildi ve tebliğ yöntemi olarak hangi araçlar kullanıldı (mail, web site duyurusu, yazılı doküman vb.)
2- Bilgi Güvenliği Organizasyonu
Bilgi güvenliği politika ve stratejilerini belirleyecek ve bu politikaların uygulanmasını sağlayacak bilgi güvenliği komisyonu oluşturulacaktır.
Hazırlanan bilgi güvenliği iş planı için, bilgi güvenliği komisyonundan onay alınacaktır.
1Bilgi Güvenliği Komisyon Onay Yazısı 2Komisyon Kaç Toplantı yaptı.
31 adet Komisyon toplantı karar tutanağı.
Bilgi Güvenliği Faaliyetleri: İş Planı Çıktıları
Kılavuz Başlıkları Olası Faaliyetler
Faaliyet Çıktıları Çerçevesinde Gönderilecek Dokümanlar
3-Bilgi Güvenliği Eğitimleri
Yıllık bilgi güvenliği eğitim planlamaları yapılacaktır.
Plan doğrultusunda tüm kurum personeline bilgi güvenliği farkındalık eğitimleri verilecektir.
1Eğitim Plan formu.
2Kurum personel sayısı ve bilgi
güvenliği eğitimi verilen personel sayısı.
3 Yapılan Farkındalık Eğitimi Sunumu
4-İnsan Kaynakları ve Zafiyetleri
Yönetimi
İşe başlama ve işten ayrılma süreçlerinde uygulanmak üzere kurum personelinin uyması gereken prosedür hazırlanacaktır.
1-İşe Başlama ve İşten ayrılma süreci ile ilgili onaylı doküman.
2-İşe başlama ve işten ayrılma formları
5-Parola Güvenliği Kurum personelinin uyması gereken parola politikalarının yer aldığı bir doküman hazırlanacaktır.
1- Parola Politikası onaylı hali.
Bilgi Güvenliği Faaliyetleri: İş Planı Çıktıları
Kılavuz Başlıkları Olası Faaliyetler
Faaliyet Çıktıları Çerçevesinde Gönderilecek Dokümanlar
6-Bilgi Kaynakları Atık ve İmha Yönetimi
Evrak saklama ve imha yönetimi, bilgi teknolojileri imha edilmesi başlıklarının yer aldığı politika yayımlanacaktır.
1- Bilgi Kaynakları Atık ve İmha Yönetimi dokümanı onaylı hali.
7-İhlal Bildirim ve Yönetimi
Bilgi güvenliği ihlali olması durumunda olayın
raporlanabileceği ve kayıt altına alınabileceği bir sistem oluşturulacaktır.
İhlal bildirimleri doğrultusunda tedbirler alınacak ve ihlal
bildirim yönetimi ile ilgili doküman hazırlanacaktır.
1İhlal bildirimi yönetimi ile ilgili onaylı doküman
2İhlal bildirimi için kullanılan
yöntem(web sayfası ise ekran görüntüsü, kâğıt ortamda ise form)
3Kaç adet ihlal bildirimi yapıldı?
Bilgi Güvenliği Faaliyetleri: İş Planı Çıktıları
Kılavuz Başlıkları Olası Faaliyetler
Faaliyet Çıktıları Çerçevesinde Gönderilecek Dokümanlar
8-İnternet ve Elektronik Posta Güvenliği
Elektronik posta alım, gönderim ve internet kullanımıyla ilgili uyulması gereken bilgi güvenliği kuralları belirlenecek ve yayımlanacaktır.
1- Elektronik posta alım, gönderim ve internet kullanımı dokümanının onaylı hali.
9-Mal ve Hizmet Alım Güvenliği
Mal ve hizmet alımlarında ilgili mevzuatlara aykırı olmayacak bir şekilde uyulması gereken bilgi güvenliği kuralları tanımlanacaktır.
Farklı kuruluşlar ve üçüncü taraflarla yapılacak kurumsal gizlilik sözleşmeleri hazırlanacaktır.
1 Mal ve hizmet alımlarında uyulması gereken kuralların yazılı olduğu doküman.
2 Kurumsal gizlilik sözleşme örneği.
10-Sosyal Mühendislik
Zafiyetleri ve Sosyal Medya Güvenliği
Sosyal mühendislik zafiyetleri engellemek ve sosyal medya güvenliğini sağlayabilmek için gerekli eğitimler verilecektir.
Sosyal medyada ve sosyal mühendisliğe karşı alınacak önlemler politika metni olarak yayımlanacaktır.
1- Sosyal medya ve sosyal mühendislik ile ilgili hazırlanan onaylı doküman.
T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri
G e n e l MOdOrlO O
TEŞEKKÜR EDERİM
Sedat ADEMOĞLU
Bingöl Kamu Hastaneleri Birliği Genel Sekreterliği Uzman
sedat.ademoglu@saglik.gov.tr