BİLGİ GÜVENLİĞİ EĞİTİMİ

(1)

BİLGİ GÜVENLİĞİ EĞİTİMİ

Halil GELEŞ Bilgisayar Mühendisi halil.geles@saglik.gov.tr

(2)

Teknolojinin Gelişimi

(3)

Teknolojinin Hayatımıza Etkileri

(4)

Teknolojinin Hayatımıza Etkileri

(5)

Teknolojinin Hayatımıza Etkileri

(6)

Bilgiye Ulaşmak Çok Kolay

(7)

Bilginin Gizliliği

(8)

• Güvenliğin sadece %20’lik

kısmı teknik güvenlik önlemleri ile sağlanıyor.

• %80’i son kullanıcıya bağlı.

(9)

Bilgi Güvenliği Nedir?

(10)

Bilgi Güvenliği Nedir?

• Kişinin ve Kurumun en değerli varlığı olan bilginin; kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir.

• Güvenlik sadece bilginin başkasının eline geçmesi anlamına gelmez.

Gizlilik

Bütünlük Erişilebilirlik

(11)

Bilgi Güvenliği Nedir?

• Gizlilik; Bilgiye erişime izni olan yetkili kişiler ya da sistemlerin erişmesini sağlamaktır.

• Bütünlük; Bilginin yetkisiz kişi ya da işlemler tarafından değiştirilmemesini sağlamaktır. Böylece Bilginin tutarlılığı sağlanmış olur.

• Erişilebilirlik; Bilgiye doğru zamanda erişimin ve erişim

sürekliliğinin sağlanmasıdır.

(12)

Bilgi Güvenliği Nedir?

(13)

Bilgi Güvenliği Neden Önemlidir?

Bilgi Güvenliği Zafiyetleri Nelere Yol Açar?

• Bir hastanenin hastaları ile ilgili kişisel bilgileri ele geçirilebilir.

• Sosyal medyada kurum itibarına zarar verecek bilgiler yayınlanabilir.

• Sağlık çalışanlarının parolaları ele geçirilerek yasa dışı işler yapılabilir.

• Kurum çalışanlarına ait kişisel bilgiler, internet ortamında denetimsiz olarak erişilebilir.

• İnteraktif bankacılık sistemi ile kullanıcıların hesaplarındaki paralar çalınabilir.

• Öğrencilerin notları, okul kayıtları yetkisiz olarak değiştirilebilir.

• İnternet kullanıcılarının bilgisayarları ele geçirilerek, kullanıcı farkına bile varmadan bilgisayar üzerinden kurumsal sistemlere saldırılabilir.

• Ele geçirilen bilgisayarlar aracılığıyla topluca istenmeyen e-postalar gönderilebilir.

• CAN KAYIPLARI OLABİLİR!!!!

(14)

(15)

Bilgi Güvenliği Yönetim Sistemi

20 Ekim 2012 tarihli ve 28447 sayılı Resmi Gazetede yayımlanan «Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Bakanlar Kurulu Kararı» ve 5509 sayılı «Elektronik Haberleşme Kanunu» ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığına verilmiştir.

Bu kapsamda;

2013-2014 Eylem Planı yürürlüğe girmiş, Güvenlik stratejilerinin güncellenmesi ihtiyacı doğmuş,

2016 -2019 Ulusal Siber Güvenlik Stratejisi

2016-2019 Ulusal Siber Güvenlik Eylem Planı hazırlanmıştır.

Ulusal Siber Güvenlik Stratejisinde Sağlık sektörü kritik altyapı barındıran sektörler arasında yer almaktadır.

Ayrıca; Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından «Kamunet» ile alakalı olarak; bağlantı yapacak kamu kurumlarının kendi BGYS’lerini kurması, işletmesi ve ISO 27001 standartına göre sertifikalandırma zorunluluğu getirmektedir.

Sağlık Bilgi Sistemleri Genel Müdürlüğü, 2014 yılından bu yana tüm faaliyetleri kapsayacak şekilde kendi BGYS’ni kurmuş ve uygulamaktadır. Bilgi Güvenliği Politikaları Kılavuzu ISO tarafınan yayımlanan ve «TS ISO 27001 (2017) Bilgi teknolojisi-Güvenlik Teknikleri-BGYS» standartı dikkate alınmıştır.

(16)

Bilgi Güvenliği Yönergesi ve Kılavuzu

Bilgi Güvenliği Politikaları Yönergesi

663 sayılı KHK ile; 31.12.2015 tarihinde yürürlüğe giren Sağlık Bakanlığı Bilgi Güvenliği Politikaları Yönergesi; teknolojik gelişmeler, uygulamadan doğan ihtiyaçlar ve 694

sayılı KHK ile değişen Bakanlık merkez ve taşra teşkilatının yeni yapısına göre güncellenmiştir. Güncellenen yönerge 02.05.2018 tarihli ve 98813779.719.54 sayılı

olur ile yürürlüğe girmiştir.

Bilgi Güvenliği Politikaları Kılavuzu

Güncellenen Yönerge çerçevesinde Sağlık Bakanlığı Bilgi Güvenliği Politikaları Kılavuzu (Sürüm 2.0) yayınlanmıştır.

https://bilgiguvenligi.saglik.gov.tr/Home/Mevzuat)

(17)

Bilgi Güvenliği Politikaları Yönergesi

Sağlık Bakanlığı’na ait tüm bilgilerin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirerek korunmasını sağlamak.

(18)

Bilgi Güvenliği Politikaları Yönergesi

Sağlık Bakanlığı Merkez, Bağlı Kuruluşları ve Taşra Teşkilatı

(19)

Bilgi Güvenliği Politikaları Yönergesi

(20)

Kişisel Verilerin Güvenliği ve

Veri Mahremiyeti

(21)

Kişisel Verilerin Güvenliği ve Veri Mahremiyeti

• İletişim teknolojilerinin gelişmesi ile birlikte tüm dünyada olduğu gibi ülkemizde de hasta mahremiyeti ve kişisel verilerin korunması gibi konularda büyük zafiyetler ve hukuka uygunsuzluklar yaşanmaya başladı.

– Rızasını almaksızın hastasının fotoğrafını sosyal medyada paylaşan,

– Hastasının rızasını almaksızın verileri ile klinik araştırma yapan hekimler, – Hatta bu verileri başkasına aktaranlar…

• Yakın geçmişe kadar bunlar ya mümkündü ya da mümkün olmamasına rağmen yeterli farkındalık düzeyi bulunmadığı için sıkıntı olmuyordu.

HASTA HAKLARI

• Hasta haklarının en önemlilerinden birisi de şüphesiz mahremiyettir. Yasal düzenlemelerde hastaların mahremiyet ve gizlilik haklarına yer verilmiş olmasına karşın günümüzde bu hakkın anlaşıldığını, hastaların mahremiyetinin yeteri kadar korunduğunu söylemek mümkün olmayacaktır.

(22)

Kişisel Verilerin Korunması Kanunu (KVKK)

Bilgi güvenliği önlemlerinin hukuksal dayanaklarına ilişkin en güncel gelişme, 6698 sayılı kanunun yürürlüğe girmesi ile olmuştur.

Kanun Tertip: 5 Resmi Gazete Tarihi: 07.04.2016 Sayısı: 29677

(23)

Kişisel Verilerin Korunması Kanunu (KVKK)

Amaç

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

İKİNCİ BÖLÜM Kişisel Verilerin İşlenmesi

Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

(24)

Kişisel Verilerin Korunması Kanunu (KVKK)

Kişisel verilerin işlenme şartları

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

(25)

Kişisel Verilerin Korunması Kanunu (KVKK)

Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

(26)

Kişisel Verilerin Korunması Kanunu (KVKK)

Kişisel verilerin aktarılması

MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(27)

Kişisel Verilerin Korunması Kanunu (KVKK)

Veri güvenliğine ilişkin yükümlülükler MADDE 12- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

(28)

Kişisel Verilerin Korunması Kanunu (KVKK)

Kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ve 140 ıncı madde hükümleri uygulanır.

“Kişisel verilerin kaydedilmesi

Madde 135 – (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Tüzel kişiler hakkında güvenlik tedbiri uygulanması

Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.”

(29)

5651 Sayılı Kanun ile Uyum

Türkiye’de internet ile ilgili en kapsamlı düzenleme 2007 yılında 5651 sayılı İnternet ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile sağlanmıştır.

Amaç ve kapsam

MADDE 1 – (1) Bu Kanunun amaç ve kapsamı; içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usûlleri düzenlemektir.

(30)

5651 Sayılı Kanun ile Uyum

Erişimin engellenmesi kararı ve yerine getirilmesi

MADDE 8 – (1) İnternet ortamında yapılan ve içeriği aşağıdaki suçları oluşturduğu hususunda yeterli şüphe sebebi bulunan yayınlarla ilgili olarak erişimin engellenmesine karar verilir:

………..

İçeriğin yayından çıkarılması ve cevap hakkı

MADDE 9 – (1) İçerik nedeniyle hakları ihlâl edildiğini iddia eden kişi, içerik sağlayıcısına, buna ulaşamaması halinde yer sağlayıcısına başvurarak kendisine ilişkin içeriğin yayından çıkarılmasını ve yayındaki kapsamından fazla olmamak üzere hazırladığı cevabı bir hafta süreyle internet ortamında yayımlanmasını isteyebilir. İçerik veya yer sağlayıcı kendisine ulaştığı tarihten itibaren iki gün içinde, talebi yerine getirir. Bu süre zarfında talep yerine getirilmediği takdirde reddedilmiş sayılır.

(2) Talebin reddedilmiş sayılması halinde, kişi onbeş gün içinde yerleşim yeri sulh ceza mahkemesine başvurarak, içeriğin yayından çıkarılmasına ve yayındaki kapsamından fazla olmamak üzere hazırladığı cevabın bir hafta süreyle internet ortamında yayımlanmasına karar verilmesini isteyebilir. Sulh ceza hâkimi bu talebi üç gün içinde duruşma yapmaksızın karara bağlar. Sulh ceza hâkiminin kararına karşı Ceza Muhakemesi Kanunu hükümlerine göre itiraz yoluna gidilebilir.

(3) Sulh ceza hâkiminin kesinleşen kararının, birinci fıkraya göre yapılan başvuruyu yerine getirmeyen içerik veya yer sağlayıcısına tebliğinden itibaren iki gün içinde içerik yayından çıkarılarak hazırlanan cevabın yayımlanmasına başlanır.

(4) Sulh ceza hâkiminin kararını bu maddede belirtilen şartlara uygun olarak ve süresinde yerine getirmeyen sorumlu kişi, altı aydan iki yıla kadar hapis cezası ile cezalandırılır. İçerik veya yer sağlayıcının tüzel kişi olması halinde, bu fıkra hükmü yayın sorumlusu hakkında uygulanır.

(31)

5651 Sayılı Kanun ile Uyum

Türkiye’de internet ortamındaki yayınlardan kanunda belirtilen katalog suçlara ilişkin şikayetlerin yapılabileceği internet bilgi ihbar merkezi (ihbarweb.org.tr)

kurulmuştur.

(32)

Bakanlık / İl Müdürlüğü Performans

Değerlendirmelerinde Bilgi Güvenliği

(33)

Performans Değerlendirmeleri Bilgi Güvenliği

Sözleşme Pozisyonu Destek Hizmetleri Başkanı

Performans Kriteri Sağlık Tesislerinde Bilgi Güvenliğine Yönelik Çalışmaların Yürütülmesini Sağlamak

Gösterge Kodu TT.DH.3.1

Gösterge Adı Yılda En Az Bir Kez Bilgi Güvenliği Eğitimi Alan Personel Oranı

Amacı Yılda en az bir kez tüm personele bilgi güvenliği eğitimi verilmesini sağlamak

Hesaplama Parametreleri

A: Bilgi Güvenliği Eğitimi Alan Personel Sayısı B: Toplam Personel Sayısı

C: Yılda En Az Bir Kez Bilgi Güvenliği Eğitimi Alan Personel Oranı

Hesaplama Formülü

C = (A/B)*100 C ≥ %95 ise GP=5

%90 ≤ C < %95 ise GP=3

%85 ≤ C < %90 ise GP=1 C < %85 ise GP=0 Gösterge Hedefi

Yılda En Az Bir Kez Bilgi Güvenliği Eğitimi Alan Personel Oranının %95 ve üzerinde olmasını sağlamak

Gösterge Puanı 5

Açıklama Bu gösterge verisi Sağlık Bilgi Sistemleri Genel Müdürlüğü’nce temin edilecektir.

Veri Kaynağı Bilgi Güvenliği Daire Başkanlığı / İSM Veri Toplama Periyodu 1 Yıl

Veri Analiz Periyodu 1 Yıl

“Sözleşmeli Yönetici Performans Değerlendirme

Yönergesi” 18.05.2018 tarih ve E.04-362 sayılı onayı ile yürürlüğe girmiş olup,

• İl Sağlık Müdürleri,

• Başkan ve Başkan Yardımcıları,

• İlçe Sağlık Müdürleri,

• Başhekim,

• Başhekim Yardımcıları

• Hastane Müdürü ve

• Müdür Yardımcıları

performansları Yönerge ekinde yer alan kriterlere göre izlenerek değerlendirilecektir.

Gösterge Kartları

Performans Kriter ve Göstergelerinin tanımını, amaç ve hedefini, veri toplama ve analiz sıklığını, hesaplama formülünü, puanını, veri kaynağını, sorumlu birim ve göstergeye özgü açıklamaları içerir.

Yılda En Az Bir Kez Bilgi Güvenliği Eğitimi Alan Personel Oranı

(34)

Performans Değerlendirmeleri Bilgi Güvenliği

Performans Kriteri

Sağlık Tesisinde Oluşan Verinin Tam, Standart - Algoritmalara ve Bilgi Güvenliği Politikalarına Uygun, Zamanında Bakanlığa İletilmesini Sağlamak

Gösterge Adı Sağlık Tesisi Veri Gönderim Başarı Oranı

Amacı Sağlık tesislerinde hizmet sunumuna ait verilerin bütünüyle ve standartlara uygun şekilde veri gönderimini sağlamak.

Hesaplama Parametreleri A: Sağlık Tesisi Veri Gönderim Başarı Oranı

%95 ≤ A ≤ %103 ise GP=10

%90 ≤ A < %95 ise GP = 7

%85 ≤ A < %90 ise GP = 4 A < %85 veya %103 < A ise GP= 0

Gösterge Hedefi Sağlık Tesislerinin Veri Gönderim Başarı Oranının %95 ve %103 aralığında olmasını sağlamak

Açıklama Bu gösterge verisi Sağlık Bilgi Sistemleri Genel Müdürlüğü’nce temin edilecektir.

Veri Kaynağı E-NABIZ

Veri Toplama Periyodu 3 Ay Veri Analiz Periyodu 6 Ay - 1 Yıl

Sağlık Tesisi Veri Gönderim Başarı Oranı

Performans Kriteri Sağlık Tesislerinde Bilgi Güvenliğine Yönelik Çalışmaların Yürütülmesini Sağlamak

Gösterge Adı İl Genelindeki Tüm Kurumların Bilgi Güvenliği Politikalarına Uyum Oranı

Amacı Sağlık bilgilerinin mahremiyete, standart ve algoritmalara uygun olarak zamanında toplanmasını sağlamak.

Hesaplama Parametreleri

A: Uyum Raporlaması Yapılan Kurum Sayısı B: Toplam Kurum Sayısı

C: İl Genelindeki Tüm Kurumların Bilgi Güvenliği Politikalarına Uyum Oranı

C = (A/B)*100 C ≥ %95 ise GP=5

%90 ≤ C < %95 ise GP=3

%85 ≤ C < %90 ise GP=1 C < %85 ise GP=0 Gösterge Hedefi

İl Genelindeki Tüm Kurumların Bilgi Güvenliği Politikalarına Uygun Olarak Raporlama Oranının %95 ve üzerinde olmasını sağlamak

Açıklama

Bu gösterge verisi Sağlık Bilgi Sistemleri Genel Müdürlüğü’nce temin edilecektir.

İl genelindeki tüm kurumların SBSGM tarafından Bilgi Güvenliği Politikaları Kılavuzundan ilgili dönem için belirlenmiş olan başlıkların raporlanması dikkate alınacaktır.

Veri Kaynağı Bilgi Güvenliği Daire Başkanlığı / İSM Veri Toplama Periyodu 1 Yıl

Veri Analiz Periyodu 1 Yıl

İl Genelindeki Tüm Kurumların Bilgi Güvenliği Politikalarına Uyum Oranı

(35)

İnsan Kaynakları Güvenliği

(36)

Bilgi Güvenliği Teknik ve Farkındalık Eğitimleri

• Her yıl tüm personele en az bir kere bilgi güvenliği farkındalık eğitimi verilmesi tavsiye edilir.

• Personel farkındalık düzeylerinin arttırılması amacıyla;

• Bilgi güvenliği afişleri,

• Bilgi Güvenliği broşür ve el kitapları, e-bültenler,

• Bilgisayarların açılış ekranlarına merkezi olarak konulacak ara yüzler,

• İnternet tabanlı eğitim

• Uzaktan eğitim gibi araçlar kullanılabilir.

(37)

Bilgi Güvenliği Uzaktan Eğitim

(38)

Bilgi Güvenliği Hazırlanan Afişler

(39)

İşten Ayrılma/

Görev Değişikliği Kontrolleri

• İşten ayrılan veya görev değişikliği yapan personel için

«işten ayrılma formu» uygulanır.

• Bilgisayar hesapları/ Sistem erişim yetkileri (HBYS,EBYS, ÇKYS, USS vb.) kapatılır.

• Kişiye teslim edilmiş tüm bilgi varlıkları (bilgisayar, yazılı

ortamda saklanan bilgi belgeler, bilgisayar ortamında

tutulan dosyalar, kimlik kartı vb.) teslim alınır.

(40)

Personel İşten/Birimden

Ayrılma Onay Formu

(41)

Gizlilik Sözleşmeleri

Bilgi Güvenliği Politikaları Kılavuzu (Md. A.10.5)

• İlgili taraflar ile gizlilik ve ifşa etmeme anlaşmaları (gizlilik sözleşmesi) imzalanmalıdır.

• Sözleşmeler, periyodik olarak ve ihtiyaç halinde güncellenmelidir.

• Kurumların uygulayacağı gizlilik sözleşmeleri, ihtiyaçlara göre farklılıklar arz edebilir.

Gizlilik Sözleşmesi Nedir?

• Kurum çalışanları ve yüklenicilerin, bilgi güvenliği ile ilgili sorumluluklarının farkında olmalarını ve yerine getirmelerini temin etmek için hazırlanan dokümanlardır.

(42)

Kimlerle ve Ne Zaman İmzalanır?

• Gizli bilgilere erişim hakkı verilecek tüm kurum çalışanlarına ve yüklenicilere,

• Bilginin işlendiği tesislere/sistemlere erişim yetkisi verilmeden önce imzalattırılmalıdır.

Sözleşmelerin olmazsa Olmazı!

Gizlilik/sır saklama yükümlülüğü süresizdir.

(43)

https://bilgiguvenligi.saglik.gov.tr/Home/GizlilikSozlesmeleri

(44)

Kurumsal Gizlilik Sözleşmesi (Genel Kullanım)

• Her türlü mal ve hizmet alımlarında veya başka kurumlar ile yapılan ikili/çok taraflı protokolller uyarınca, karşı taraf çalışanlarına gizli bilgilerimize erişim hakkı verilecek ise ilgili firma/kurum ile «Kurumsal Gizlilik Sözleşmesi»

yapılması gerekir.

– Temizlik Firması – Güvenlik Firması

– Bakım Onarım Hizmeti veren firmalar – Diğer kurum ve kuruluşlar vb.

(45)

Kişisel Gizlilik Sözleşmeleri

KAMU PERSONELİ FİRMA PERSONELİ

(46)

İhlal Bildirim Yönetimi

(47)

Olay Bildirimi

Bilgi güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi, tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini önleyecek veya yüksek etkili olayların oluşmasının engelleyecektir.

VERİ BİLGİ STRATEJİ

(48)

https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir

(49)

Fiziksel ve Çevresel Güvenlik

(50)

Fiziksel ve Çevresel Güvenlik

Fiziksel ve Çevresel güvenlik;

İşyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı

korunmasıdır.

Günümüzde de fiziksel güvenlik önemini korumakta ve bu konuyla ilgili gerekli çalışmalar yapılmaktadır. Örneğin;

* bina etrafına yüksek duvarlar ya da demirler yapılması,

* bina girişinde özel güvenlik ekiplerinin bulundurulması,

* önemli verilerin tutulduğu odaların kilitlenmesi ya da bu odalara şifreli güvenlik sistemleri ile girilmesi

gibi önlemler kullanılmaktadır.

(51)

Fiziksel Giriş Kontrolleri

Kurum içerisinde belli yerlere sadece yetkili personelin girişine izin verecek şekilde

kontrol mekanizmaları kurulmalıdır.

Kapsam ve prosedürü idarelerce belirlenmek suretiyle ziyaretçilerin giriş ve çıkış zamanları

kaydedilmelidir.

Hassas bilgilerin bulunduğu alanlar (kimlik doğrulama kartı ve PIN koruması gibi yöntemlerle) yetkisiz erişime kapatılmalıdır.

Kapsam ve prosedürü idarelerce belirlenmek suretiyle tüm personel ve ziyaretçiler güvenlik elemanları tarafından rahatça teşhis edilmelerini

sağlayacak kimlik kartlarını devamlı takmalıdır.

(52)

Ofislerin ve Odaların Güvenliğinin Sağlanması

Ofisler ve odalarla ilgili fiziksel güvenlik önlemleri alınmalıdır.

Personel güvenliği ve sağlığı ile ilgili yönetmelikler uygulanmalıdır.

Kritik tesisler kolayca ulaşılamayacak yerlere kurulmuş olmalıdır.

Binada bilgi işlem faaliyetlerinin yürütüldüğüne dair işaret, tabela vb. bulunmamasına dikkat edilmelidir.

Bilgi işlem merkezlerinin konumunu içeren dâhili/harici telefon rehberleri halka kapalı olmalıdır.

(53)

Harici ve Çevresel Tehditlerden Korunma

Yangın, sel, deprem, patlama

ve diğer tabii afetler veya toplumsal kargaşa

sonucu

oluşabilecek hasara karsı fiziksel koruma tedbirleri

alınmalı ve uygulanmalıdır.

Komşu tesislerden kaynaklanan

potansiyel tehditler göz

önünde bulundurul-

malıdır.

Yedeklenmiş materyal ve yedek sistemler

ana tesisten yeterince uzak

bir yerde konuşlandırılmış

olmalıdır.

(54)

Güvenli Alanlarda Çalışma

Güvenli çalışma alanlarındaki personel veya bu alanda yürütülmekte olan çeşitli faaliyetlerde bulunan personel ve üçüncü parti çalışanları için "ihtiyacı kadar bilme" prensibi uygulanmalıdır.

Kayıt cihazlarının güvenli alanlara sokulmasına engel olunmalıdır.

Kullanılmayan güvenli alanlar kilitleniyor ve düzenli olarak kontrol ediliyor olmalıdır.

Kötü niyetli girişimlere engel olmak için güvenli bölgelerde yapılan çalışmalara nezaret edilmelidir.

Güvenli bölgelere örneğin sistem odasına yapılan girişler kayıt altına alınmalıdır.

(55)

Ekipman Güvenliği

Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler;

- Yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline,

- Yangın, sel, deprem gibi felaketlerle bütünlüğünün bozulmalarına ya da yok olmalarına sebep olabilir.

(56)

Belli başlı temiz masa kuralları

Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta

bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir.

Personelin kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa terkedilecekse ekran kilitlenmelidir. Bu işlem Windows + L tuşuna

basılarak yapılabilir.

Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya

masa üstünde bulunmamalıdır.

kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kâğıt öğütücü, disk/disket kıyıcı, yakma vb.

metotlarla imha edilmeli, bilginin geri dönüşümü ya da yeniden kullanılabilir hale geçmesinin önüne geçilmelidir.

TEMİZ MASA TEMİZ EKRAN

(57)

Ekipman Bakımı

Ekipmanın bakımı doğru şekilde yapılmalıdır.

Bakım sadece yetkili personel tarafından yapılıyor olmalıdır.

Tüm şüpheli ve mevcut arızalar ve bakım çalışmaları için kayıt tutulmalıdır.

Ekipman bakım için kurum dışına çıkarılırken kontrolden geçirilmelidir.

İçindeki hassas bilgiler silinmelidir.

Ekipman sigortalıysa, gerekli sigorta şartları sağlanıyor olmalıdır.

(58)

Ekipmanın Güvenli İmhası ya da Tekrar Kullanımı

Ekipman imha

edilmeden önce gizli bilginin bulunduğu depolama cihazı fiziksel olarak imha edilmelidir.

Depolama cihazının içerdiği bilginin bir daha

okunamaması için klasik silme veya format

işlemlerinin ötesinde yeterli düzeyde işlem yapılmalıdır.

(59)

Kaydedilebilir Taşınır Materyaller Güvenliği

(60)

Kaydedilebilir Taşınır Materyaller Güvenliği

Veri ister usb disk isterse cd, ya da

dvd ortamında taşınsın kesinlikle

şifrelemelidir.

Veriyi usb disk ile taşıyorsak; bunları bilgisayara takarken

usblerin sağlıklı çalıştığından emin

olmalıyız Taşınacak veri eğer

usb disk ile taşınacaksa bu usb diskin tehdit unsuru

olan bir yazılım içermediğinden emin olunmalıdır.

Taşınacak verinin de tehdit unsuru içeren herhangi bir

yazılım

içermediğinden emin olunmalıdır.

(61)

Kaydedilebilir Taşınır Materyaller Güvenliği

(62)

Kaydedilebilir Taşınır Materyaller Güvenliği

USB diskleri bilgisayardan güvenli çıkarma

Uygulama 1 Uygulama 2

(63)

Parola Güvenliği

(64)

(65)

Parola Güvenliği

Parolalarımı Nasıl Güvenli Yaparım?

• Aynı şifreyi farklı yerlerde kullanmamak gereklidir.

• Şifreleriniz yeterince uzun, karmaşık ve tahmin etmesi zor olmalıdır.

• Zaman içerisinde kullandığınız şifreyi değiştirmek iyi bir alışkanlıktır.

• Şifrelerinizi başkalarıyla paylaşmamanız gereklidir.

• Kağıt ya da elektronik, herhangi bir ortamda açıkça yazılmış

olarak bulundurulmamalıdır.

(66)

Parola Güvenliği

Parola en az 8 karakterden oluşmalıdır

Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir.

Büyük ve küçük harfler bir arada kullanılmalıdır

Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır.

Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.

123456

abcdef 1978 11111 13579

aaaaa bbbbbbb

123123 dilek1 dilek1978

Faruk123 qwerty

(67)

Parola Güvenliği

Güçlü Şifre Belirleme

Cümlelerin baş harflerini birleştirebilirsiniz.

Günlük hayatınızdan kolay hatırlayacağınız herhangi bir cümle kullanabilirsiniz.

Benzer şekilde

•Atasözlerinden

•Şarkı sözlerinden

•Şiirlerden

•...

seçeceğiniz cümlelerin aralarında rakamlar ve özel karakterler kullanarak çok daha güçlü bir parola oluşturmanız mümkün.

Örneğin

•Bir elin nesi var, iki elin sesi var. --> 1Env,2Esv.

•10 Yılda 15 milyon genç yarattık her yaştan. --> 10Y15mgyhy.

•Ben 1996 yılının 7. ayında mezun oldum --> B1996y7.amo

•Mezuniyet tarihim 1998 yılının 4. ayıdır. --> Mt98y4.a

(68)

E-Posta Güvenliği

(69)

E-Posta Güvenliği

E-posta sizin için ne anlama geliyor?

E-posta kötü niyetli kişiler için ne anlama geliyor?

Size ve yakınlarınıza erişim.

Reklam ve Kötü niyetli yazılımları yayma yolu.

(70)

E-Posta Güvenliği

• E-posta adresini haber grupları, sohbet odaları, internet sayfaları, sosyal paylaşım siteleri gibi herkese açık yerlerde yayınlamamak.

• Birden çok kişiye veya bir gruba e-posta gönderirken kişilerin e-posta adreslerini gizli karbon kopya (BCC) bölümüne yazmak.

• Bir web sitesinde yapılan işlem gereği e-posta adresi istendiğinde, sitenin gizlilik politikasını kontrol etmek.

• İstenmeyen e-postalara hiç bir şekilde cevap yazmamak.

• Kullanım amacına göre farklı e-posta adresleri kullanmak.

(71)

E-Posta Güvenliği

Kimlik bilgilerini çalmak amacı ile, istenmeyen e-posta veya açılır

pencere yoluyla yapılan bir aldatma yöntemidir.

Saldırgan önceden tasarlanan bir hikâye üzerinden, kullanıcıyı e- postanın güvenilir bir kaynaktan geldiğine inandırıp, özel bilgilerini (kredi kartı, şifre bilgileri vs…) ele geçirmeye çalışır.

Taklit – Oltalama

(72)

E-Posta Güvenliği

Kişisel, kurumsal ve mali bilgilerinizi tanıdığınız kişiler dahil hiç kimseye e-posta yoluyla göndermemek.

E-posta mesajlarındaki internet bağlantılarına tıklamamak.

Düzenli olarak kredi kart hesap özeti, banka bildirimleri gibi bilgilendirme dokümanlarını gözden geçirmek.

Zararlı programlara karşı korunma programları (Anti-virus, anti-

spyware,) gibi güvenlik yazılımları kullanmak ve sık sık güncellemek.

(73)

(74)

Sosyal Medya

(75)

Sosyal Medya Nedir?

Medya: Türk Dil Kurumuna göre iletişim ortamı, iletişim araçları.

Televizyon, dergi, gazete gibi.

Sosyal Medya: Kişinin kendi hazırladığı içeriği yayınladığı platformlara verilen isimdir.

Aralarındaki fark medya tek yönlü iken sosyal medya çift yönlü ve anlık iletişime olanak sağlar.

(76)

İnternet Kullanım Oranları

(77)

İnternette Harcanan Zaman

(78)

Sosyal Mühendislik

(79)

Sosyal Mühendislik Nedir?

Sosyal Mühendislik: Normalde insanların

tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır.

Teknoloji kullanımından çok, insanların hile ile kandırılarak bilgi elde edilmesidir.

(80)

Bilgi Güvenliğinde İnsanın Önemi

• Güvenliğin sadece % 20 si teknik güvenlik önlemleri ile sağlanıyor.

• Büyük kısım ise % 80 kullanıcıya(insan faktörüne) bağlı.

(81)

Bilgi Güvenliğinde İnsanın Önemi

Zararlı yazılımların %90 ‘ı aktif hale gelebilmek için insana ihtiyaç duyar.

• E-posta ekinin indirilmesi

• Bir bağlantıya tıklatılması

• USB bellek takılması vb.

(82)

Sosyal Mühendislik Saldırı Türleri

Omuz sörfü: Başkasının klavye ve ekranının doğrudan gözlemlenmesi tekniğidir.

Doğrudan gözlem tekniği ile parolanız, kişisel bilgileriniz veya kurumsal bilgileriniz çalınabilir.

(83)

Sosyal Mühendislik Saldırı Türleri

• Çöp karıştırmak: Önemsiz görülen belgeler, kredi kartı ekstreleri, küçük kağıtlara alınan notlar, çöpe atılan cd gibi veri içeren tüm materyaller saldırı malzemesi olarak kullanılabilir.

(84)

Sosyal Mühendislik Saldırı Türleri

• Truva Atı(Trojen): Virüs olmayan, gerçek bir uygulama gibi görünen zararlı bir program türüdür. Kendini

çoğaltmaz ama virüs kadar yıkıcı olabilir. Bilgisayarınızda güvenlik açığı oluşturarak zararlı programların ya da

kişilerin sisteminize girmesi için yol açar.

(85)

Sosyal Mühendislik Saldırı Türleri

• Rol Yapmak :Daha çok telefon olmak üzere e-posta ve yüz yüze iletişim kullanılır.

• Sosyal medya gibi ortamlardan edindikleri bilgiler ile senaryo

oluşturulup yıldırma, korkutma ve pes ettirme teknikleri kullanılır.

(86)

Sosyal Mühendislik Saldırı Türleri

(87)

Sosyal Mühendislik Saldırı Türleri

Oltalama saldırılarında hedeflenen bilgiler;

• Kullanıcı hesap numaraları

• Kullanıcı şifreleri ve parolaları

• Kredi kartı numaraları

• İnternet bankacılığında kullanılan kullanıcı kodu ve şifreleri gibi.

Oltalama (Phising):Rastgele kullanıcı hesaplarına e-posta gönderilen

çevrimiçi bir saldırı türüdür.

(88)

Oltalama Örnekleri

(89)

Oltalama Örnekleri

(90)

Oltalama Örnekleri

(91)

Oltalama Saldırıları Nasıl Tespit Edilir?

• E-posta tanınmış yasal bir e-ticaret sitesinden, finansal kurumdan, e- posta sağlayıcısından, internet hizmet sağlayıcısından mı geliyor?

• Kişisel bilgilerinizi vermeniz mi isteniyor?

• E-postada ya da web sitesinde yazım veya dilbilgisi hataları var mı?

• E-posta ya da yönlendirildiğiniz web sitesi, sizden yanıt alabilmek için duygusal veya heyecan verici bazı sözler kullanıyor mu?

• Eğer e-postadaki bir bağlantı (link) aracılığıyla bir web sitesine

yönlendirilmişseniz, tarayıcının (browser) üst kısmında yazan URL ile

ziyaret ettiğinizi düşündüğünüz yasal şirketin URL adresi birbirine uyuyor mu?

(92)

Oltalama Saldırılarına Karşı Hangi Önlemler Alınabilir?

• Hiç bir banka sizden özel bilgilerinizi istemez. Artık altın kural olarak sayılan bu cümleyi aklınızda iyi tutun.

• Gönderilen linke basmadan hangi kurum ise o kurumun resmi İnternet sitesine adres çubuğuna yazarak ulaşın.

• Gönderilen mailin, Mail adresi kurum adı ile bitmelidir. Örnek : kitchen@abankasi.com.tr

• Özellikle kredi kartı bilgilerinizi hiç bir sitede otomatiğe almayın ve kayıtlı durumda bırakmayın

• Sitenin orijinalliğinden emin olun, adres çubuğunun başındaki kilit simgesine tıklayın burada sitenin adı ve sertifikası ile girmek istediğiniz sitenin adı ve sertifikası uyuşmak zorundadır

(93)

Oltalama Saldırılarına Karşı Hangi

Önlemler Alınabilir?

(94)

Oltalama Saldırılarına Karşı Hangi

Önlemler Alınabilir?

(95)

Uygulama İzinleri

(96)

(97)

Dinlediğiniz İçin Teşekkürler

(98)

Dinlediğiniz İçin Teşekkürler