Bilgi Güvenliği Yönetim Sistemleri

Faruk Çalıkuşu

Bilgi Güvenliği Danışmanı

Bilgi Güvenliği Yönetim Sistemleri

Sedat ADEMOĞLU İl Sağlık Müdürlüğü

Uzman

sedat.ademoglu@saglik.gov.tr

SUNUM PLANI

Sağlık Bilgi Sistemleri Genel Müdürlüğü BGYS Kurulum Sürecimiz

Mobil Cihazlarda Bilgi Güvenliği Bilgi Güvenliği Politikaları Yönergesi

Hedef 10 Başlık

TEKNOLOJİNİN GELİŞİMİ

TEKNOLOJİNİN HAYATIMIZA ETKİLERİ

TEKNOLOJİNİN HAYATIMIZA ETKİLERİ

TEKNOLOJİNİN HAYATIMIZA ETKİLERİ

BİLGİYE ULAŞMAK ÇOK KOLAY!

<_

J ⁾

-

- B-_i-_L G_ _iN_ i_N_ G_ _iZ_L_i _L

_iG i - - - - -

T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri

G e n e l MOdOrlO O

Güvenliğin sadece % 20 lik kısmı teknik güvenlik

önlemleri ile sağlanıyor.

 % 80 i ise son kullanıcıya

bağlı.

OCAK 2013’DE

‘BİLGİ GÜVENLİĞİ BİRİMİ’

KURULMUŞTUR.

T.C. S ağl ı k B a k a nı ı o ı Saglık B i l g i S i s t e ml er i

G e n e l MOdOrlO O

i(gereye gideceğini bilmiyorsan,

Fıangi yoldan gittiğinin hiçbir önemi

yok.

Temel Eğitim

Bilgi Güvenliği çalışmalarına Mayıs 2013 ‘de TSE’den TS

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi

Bilgi Güvenliği Yönetim

Sistemi İç Tetkik Eğitimi

alınarak başlandı.

Başdenetçi Eğitimi

13-17 NİSAN 2015

ISO/IEC 27001-2013 IRCA ONAYLI

BAŞTETKİKÇİ EĞİTİMİ

ALINMIŞTIR.

ISO 27001 BELGESİ

Bilgi Güvenliği Nedir?

‘Güvenlik bir ürün değil, bir

süreçtir.’ Bruce SCHNEIR

Bilgi Güvenliği Nedir?

Kişinin ve Kurumun en değerli varlığı olan bilginin; kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir.

Aslında güvenlik sadece bilginin başkasının eline geçmesi

anlamına gelmez. Güvenlik, “gizlilik”, “bütünlük” ve “erişilebilirlik”

olarak isimlendirilen üç unsurdan oluşur.

Bilgi Güvenliği Nedir?

• Gizlilik; Bilgi ye erişime izni olan yetkili kişiler yada sistemlerin erişmesini sağlamaktır.

• Bütünlük; Bilginin yetkisiz kişi yada işlemler

tarafından değiştirilmemesini sağlamaktır. Böylece Bilginin tutarlılığı sağlanmış olur.

• Erişilebilirlik; Bilgi ye doğru zamanda erişimin ve

erişim sürekliliğinin sağlanmasıdır.

Bilgi Güvenliği Nedir?

Bilgi Güvenliği Neden Önemlidir?

BİLGİ GÜVENLİĞİ ZAFİYETLERİ NELERE YOL AÇAR?

•Bir hastanenin hastaları ile ilgili kişisel bilgileri ele geçirilebilir.

•Sosyal medyada kurum itibarına zarar verecek bilgiler yayınlanabilir.

•Sağlık çalışanlarının parolaları ele geçirilerek yasa dışı işler yapılabilir.

•Kurum çalışanlarına ait kişisel bilgiler, internet ortamından denetimsiz olarak erişilebilir.

•İnteraktif bankacılık sistemi ile kullanıcıların hesaplarındaki paralar çalınabilir.

•Öğrencilerin notları, okul kayıtları yetkisiz olarak değiştirilebilir.

•İnternet kullanıcılarının bilgisayarları ele geçirilerek, kullanıcı farkına bile varmadan bilgisayar üzerinden kurumsal sistemlere saldırılabilir.

•Ele geçirilen bilgisayarlar aracılığıyla topluca istenmeyen e-postalar gönderilebilir.

•CAN KAYIPLARI OLABİLİR!!!!!

Bilgi Güvenliği Farkındalığı Anket Sonucu

'12345' gibi seri şifreleri mi kullanıyorsunuz

32%

Evet

68%

Hayır

6,50%

30,90%

28,40%

43,50%

ilk belirlenen ve bana verilen şifreyi…

akılda kalan kolay bir şifre belirliyorum unutmamak için bütün şifrelerimi aynı…

şifremi en az altı karakterden oluşturuyorum

Şifre Belirleme Yöntemleri

Bilgi Güvenliği Farkındalığı Anket Sonucu

evet hayır

27,60%

Kullandığınız sistem sizi şifre değişikliğine zorluyor mu?

72,40% 60%

40%

TCK madde 136 hakkında bilginiz var mı?

evet hayır

MADDE 136. - (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Bilgi Güvenliği Farkındalığı Anket Sonucu

T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri

G e n e l MOdOrlO O

Doktorların şifreleri çalındı binlerce ilaç yazıldı

Sağlık sektörünü gözüne kestiren dolandırıcılık şebekeleri, doktorların e-reçete şifrelerini çaldı.

Şebeke, yüksek tutarlı ilaçları hastalar üzerine yazmaya başladı.

Vatandaşlar ilaç katkı payı

Ödemek zorunda kaldı.

Cüneyt Arkın’a sormuşlar;

Neden EVET ve HAYIRA , NEVET NAYIR diyorsunuz?

NALIŞKANLIK demiş

ELEKTRONİK İMZA = ISLAK İMZA

T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri

G e n e l MOdOrlO O

T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri

G e n e l MOdOrlO O

lJNUTlJLMAMALIDIR Ki!!!!!!!

Bilgi Güvenliği Yönergesi ve Kılavuzu

Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzu

28/02/2014- 31/12/2015’te Bakanlık Makamının onayı ile

yürürlüğe

konulmuştur.

Bilgi Güvenliği Politikaları Yönergesi

ve erişilebilirlik Sağlık Bakanlığına ait tüm bilgilerin gizlilik, bütünlük

kapsamında değerlendirerek korunmasını sağlamak.

Bilgi Güvenliği Politikaları Yönergesi

Sağlık Bakanlığı Merkez, Bağlı Kuruluşları ve Taşra Teşkilatı

Bilgi Güvenliği Politikaları Yönergesi

Bilgi Güvenliği Eğitimleri

Bilgi Güvenliği Politikaları Seminerleri

TOPLAM : 81

İLDEN 774 KİŞİ KATILDI.

1 DİYARBAKIR 2 KASTAMON

U

3 TRABZON 4 BOLU

5-İZMİR

6 ANTALYA

7 ANKARA

8 YALOVA

9 SİVAS

10 VAN

Bilgi Güvenliği Yetkilileri Anket Sonucu

Bilgi güvenliği farkındalık eğitimleri yapılmalıdır

0,7 0,6 0,5 0,4 0,3 0,2 0,1

0

Eğitim Öncesi

kesinlikle katılmıyorum katılmıyorum kararsızım katılıyorum kesinlikle katılıyorum

%44

0,3 0,2 0,1 0 0,8 0,7 0,6 0,5

0,4 %20

Bilgi güvenliği farkındalık eğitimleri yapılmalıdır

Eğitim Sonrası

kesinlikle katılmıyorum katılmıyorum kararsızım katılıyorum kesinlikle katılıyorum

%77

Bilgi Güvenliği Yetkilileri Anket Sonucu

Bilgi Güvenliği Kılavuzunun uygulanabilmesi için yönetici desteği şarttır.

%81

%15

kesinlikle katılmıyorum katılmıyorum kararsızım

katılıyorum kesinlikle katılıyorum

Bilgi Güvenliği Kılavuzunun uygulanabilmesi için yönetici desteği şarttır.

%56

%31

kesinlikle katılmıyorum katılmıyorum kararsızım

katılıyorum kesinlikle katılıyorum

Faruk Çalıkuşu

Bilgi Güvenliği Danışmanı

AKILLI TELEFON VE TABLETLER

Akıllı Telefon ve Tabletler

Akıllı Telefonlar

T.C. Sağlık Bakanııoı Saglık Bilgi Sistemleri

G e n e l M 0 d 0 r l 0 0

Facebook

Facebook

İndirme

u

0 Cihaz ve uygulama geçmişi

• çalışar, :.J/ 9- amaıar a

Kimlik

tıesaoları b ma elT'e eya kaldır"Tla

• c ha:: ca

• hesap e

• kene ış arıımı o,

:+:!. Kişiler /Takvim

• ş ;erın :: o u a

• ş..^er•

n

: degış,•r-rrE

• :a vı e

ini er;nı ·e g ::1 bılgıleri o, u

22.907.839 .!.

e eya rre cJ: e:- n ık er değ ştır e:

sa=ır ere t>-posrn goncer

9 ^Konum

• hassas kon m GPS ·e ağ ıa ban'ı)

• ya !aşı(ağ abarı )

Sosyal

19 SMS

• k sa rresaJlarımı ck:.J (SMS ve- ya

S)

\. Telefon

..

. .. .

• çagr - gun ug,.me a:

ğr oan 1 açn yap

r.:ı Fotoğraflar/Medya İçeıikleıi/Dosyalar

• korurıalı depo.ama b r m ne er·ş rn ·est e:rre

• US8 bel:eğ ı: ın çer ç; r değ ş ^{ır veya s}

1

m'ı Kamera/Mikı ofon

• res m çe e

deo ka.vd et

• ses köydet

Kablosuz bağlantı bilgileri

• ab as : bağ a'1 1¹ an gôrC, ı.. e!

T'e

Cihaz Kimliği ve çağı ı bilgıleri

• :e ef nun d r m nı.. e ğ n oku- rca

[?J Diğer

lrıe-rr,e· en er a -na

e bu Jnrradan ne rrre b or 'llc

ıdım

ş: ^r

m a eş fr-e ayar ama

•

• cosıa an

• c_ ¹ar ağ n ^{b o f'J} urJ a ara

• tıesa::ı o

• başıang ıç· a çalış ırma

• ·c ha: ın ..,, J rrıod na ge; me-sin enç;e e

• ağ bağlan:ı anrıı görun::.ı e-ne

• K sayo ar 1 uk:e e

• ses aı arıa-ırr de-ğış: r

• Goog e h·zrr e: ı apılano ırrr.asını ok ma

• sı?n ron•:asyon a:::ma 'k ap3 ma

• o çer .Jyg la

a ar u::er '1de- görün·ı..

• o ·um -Jb emeçun çen şet aa'al

n gönderrre

- esme

• :am ağ er s rr:

• ağ bağlan·ısını değ ştır'lle

• oı. ar kağıaı • a,.a,.ıa

• sabı yayı

• p s.a: s: kle-r ·n o u

• çalısar ..ıyg.... arna ar ,e.,den sır a a

• ' ab osı..: a baç; an a ·e ıa ab osuz baç an ısır

• sen ronı::asyon ayarların o

Mobil Sosyal Medya Uygulamaları

En çok kullandığımız Sosyal Medya Uygulamaları cep telefonumuzun hangi verilerini

alıyor.

Akıllı Telefon Güvenliği

Ana ekranınızda muhakkak güvenlik parolası olmalı

Akıllı telefonunuzdaki verileri (resim, video, dokümanlar vb.) düzenli olarak yedekleyin.

Kesinlikle bir virüs uygulaması kullanın. Ücretsiz CM Security, Avira Antivirus Security, Avast, AVL, 360 Security ve AVG AntiVirus

Otomatik güncelleştirmeleri etkinleştirin ve işletim sisteminizi güncel tutun.

Uygulamayı kabul etmeden önce kişisel bilgilerinize erişim yetkisi

hakkında daha dikkatli olun.

İHLAL BİLDİRİM YÖNETİMİ

OLAY BİLDİRİMİ

Bilgi güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi ile edinilen tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini önleyecek veya yüksek etkili olayların oluşmasını engelleyecektir.

VERİ BİLGİ STRATEJİ

https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir

bilgiguvenligi.saglik.gov.tr

Web Adresimiz:bilgiguvenligi.saglik.gov.tr

HEDEF 10 BAŞLIK

Bilgi Güvenliği Politikaları Kılavuzu/SKS

Kılavuz Başlıkları Bilgi Yönetim Sistemi

1- Bilgi Güvenliği Politikası DBY01 Bilgi Yönetim Sistemi süreçlerine ilişkin hastane politikası oluşturulmalıdır.

2- Bilgi Güvenliği Organizasyonu

DBY02.01 Bilgi yönetimine ilişkin faaliyetlerin yürütülmesi ve koordinasyonuna yönelik sorumlular belirlenmeli ve sorumluluklar tanımlanmalıdır.

DBY02.02 Bilgi Yönetim Sistemine ilişkin rol grupları ve yetkileri belirlenmelidir.

3-Bilgi Güvenliği Eğitimleri DBY05.01 Bilgi güvenliği konusunda çalışanlara farkındalık eğitimi verilmelidir.

4-İnsan Kaynakları ve Zafiyetleri Yönetimi DBY02.04 İşe yeni başlayan ve işten ayrılan personele erişim yetkilerinin verilmesi ve iptal edilmesine yönelik yetki verme ve iptal etme prosedürü oluşturulmalıdır.

5-Parola Güvenliği DBY05.02 Şifre kullanımına yönelik kurallar tanımlanmalıdır.

6-Bilgi Kaynakları Atık ve İmha Yönetimi

7-İhlal Bildirim ve Yönetimi DBY04 Bilgi Yönetim Sistemine ilişkin hata bildirimine yönelik düzenleme yapılmalıdır.

8-İnternet ve Elektronik Posta Güvenliği 9-Mal ve Hizmet Alım Güvenliği

10-Sosyal Mühendislik Zafiyetleri ve Sosyal Medya Güvenliği

Bilgi Güvenliği Faaliyetleri: İş Planı Çıktıları

Kılavuz Başlıkları Olası Faaliyetler

Faaliyet Çıktıları Çerçevesinde Gönderilecek Dokümanlar

1- Bilgi Güvenliği Politikası

Kuruma ait bilgi güvenliği amaç, kapsam, hedef, organizasyon gibi konu başlıklarının yer aldığı bilgi güvenliği politikası oluşturulacak ve bir doküman halinde yayımlanacaktır.

Hazırlanan doküman tüm kurum personeline tebliğ edilecektir.

1Bilgi Güvenliği Politika Dokümanın Onaylı Hali

2Kaç personele tebliğ edildi ve tebliğ yöntemi olarak hangi araçlar kullanıldı (mail, web site duyurusu, yazılı doküman vb.)

2- Bilgi Güvenliği Organizasyonu

Bilgi güvenliği politika ve stratejilerini belirleyecek ve bu politikaların uygulanmasını sağlayacak bilgi güvenliği komisyonu oluşturulacaktır.

Hazırlanan bilgi güvenliği iş planı için, bilgi güvenliği komisyonundan onay alınacaktır.

1Bilgi Güvenliği Komisyon Onay Yazısı 2Komisyon Kaç Toplantı yaptı.

31 adet Komisyon toplantı karar tutanağı.

Bilgi Güvenliği Faaliyetleri: İş Planı Çıktıları

Kılavuz Başlıkları Olası Faaliyetler

Faaliyet Çıktıları Çerçevesinde Gönderilecek Dokümanlar

3-Bilgi Güvenliği Eğitimleri

Yıllık bilgi güvenliği eğitim planlamaları yapılacaktır.

Plan doğrultusunda tüm kurum personeline bilgi güvenliği farkındalık eğitimleri verilecektir.

1Eğitim Plan formu.

2Kurum personel sayısı ve bilgi

güvenliği eğitimi verilen personel sayısı.

3 Yapılan Farkındalık Eğitimi Sunumu

4-İnsan Kaynakları ve Zafiyetleri

Yönetimi

İşe başlama ve işten ayrılma süreçlerinde uygulanmak üzere kurum personelinin uyması gereken prosedür hazırlanacaktır.

1-İşe Başlama ve İşten ayrılma süreci ile ilgili onaylı doküman.

2-İşe başlama ve işten ayrılma formları

5-Parola Güvenliği Kurum personelinin uyması gereken parola politikalarının yer aldığı bir doküman hazırlanacaktır.

1- Parola Politikası onaylı hali.

Bilgi Güvenliği Faaliyetleri: İş Planı Çıktıları

Kılavuz Başlıkları Olası Faaliyetler

Faaliyet Çıktıları Çerçevesinde Gönderilecek Dokümanlar

6-Bilgi Kaynakları Atık ve İmha Yönetimi

Evrak saklama ve imha yönetimi, bilgi teknolojileri imha edilmesi başlıklarının yer aldığı politika yayımlanacaktır.

1- Bilgi Kaynakları Atık ve İmha Yönetimi dokümanı onaylı hali.

7-İhlal Bildirim ve Yönetimi

Bilgi güvenliği ihlali olması durumunda olayın

raporlanabileceği ve kayıt altına alınabileceği bir sistem oluşturulacaktır.

İhlal bildirimleri doğrultusunda tedbirler alınacak ve ihlal

bildirim yönetimi ile ilgili doküman hazırlanacaktır.

1İhlal bildirimi yönetimi ile ilgili onaylı doküman

2İhlal bildirimi için kullanılan

yöntem(web sayfası ise ekran görüntüsü, kâğıt ortamda ise form)

3Kaç adet ihlal bildirimi yapıldı?

Bilgi Güvenliği Faaliyetleri: İş Planı Çıktıları

Kılavuz Başlıkları Olası Faaliyetler

Faaliyet Çıktıları Çerçevesinde Gönderilecek Dokümanlar

8-İnternet ve Elektronik Posta Güvenliği

 Elektronik posta alım, gönderim ve internet kullanımıyla ilgili uyulması gereken bilgi güvenliği kuralları belirlenecek ve yayımlanacaktır.

1- Elektronik posta alım, gönderim ve internet kullanımı dokümanının onaylı hali.

9-Mal ve Hizmet Alım Güvenliği

Mal ve hizmet alımlarında ilgili mevzuatlara aykırı olmayacak bir şekilde uyulması gereken bilgi güvenliği kuralları tanımlanacaktır.

Farklı kuruluşlar ve üçüncü taraflarla yapılacak kurumsal gizlilik sözleşmeleri hazırlanacaktır.

1 Mal ve hizmet alımlarında uyulması gereken kuralların yazılı olduğu doküman.

2 Kurumsal gizlilik sözleşme örneği.

10-Sosyal Mühendislik

Zafiyetleri ve Sosyal Medya Güvenliği

Sosyal mühendislik zafiyetleri engellemek ve sosyal medya güvenliğini sağlayabilmek için gerekli eğitimler verilecektir.

Sosyal medyada ve sosyal mühendisliğe karşı alınacak önlemler politika metni olarak yayımlanacaktır.

1- Sosyal medya ve sosyal mühendislik ile ilgili hazırlanan onaylı doküman.

T.C. Sağlık Bakanııoı Saglık B i l g i S i s t e ml e ri

G e n e l MOdOrlO O

TEŞEKKÜR EDERİM

Sedat ADEMOĞLU

Bingöl Kamu Hastaneleri Birliği Genel Sekreterliği Uzman

sedat.ademoglu@saglik.gov.tr