Amaç
Kobirate uluslar arası Kredi Derecelendirme ve Kurumsal Yönetim Hizmetleri A.Ş. ‘nin bilgi güvenliği politikaları, Kobirate bilgi sistemlerinin ve üzerinde işlenen verinin gizliliğinin istenen standartlara uygun olarak korunması, önem derecesi gözetmeksizin Kobirate ait tüm veri ve bilgilere erişimin sadece yetkili kişiler tarafından ve yine verilen yetkiler seviyesinde yapılabildiğinin doğrulanması ve kamuya açıklanmasının Kobirate’in çıkarlarını zedeleyeceği varsayılan ve gizli olarak değerlendirilen tüm bilgilerin asgari standartlarda korunmasına ilişkin genel ve özel güvenlik politikalarını tarif eder, ilgili standartları belirler..
Kapsam
Kobirate’ in tüm personeli ve Kobirate için çalışan iş ortakları da dâhil olmak üzere, bu dokümanda anlatılan genel ve özel güvenlik politikalarına uyar ve kurum ile olan tüm iş ortaklığı süresince bilgi teknolojilerinin kullanıldığı tüm iş alanlarında istisnasız olarak uygulanmasına katılır.
Aşağıdakileri sağlamak kurumun politikasıdır.
Bilgi izinsiz erişime karşı korunur.
Bilginin gizliliği korunur.
Bilgi yetkisiz kişilere kasten veya dikkatsizlik sonucu verilmez.
Yetkisiz değişikliklere karşı koruma sayesinde bilginin doğruluğu sağlanır.
Gereksinim duyulduğunda bilgi yetkili kullanıcıların erişimine hazır bulundurulur.
İlgili kontrol prosedürleri her birim tarafından yerine getirilir.
Tüm çalışanlara bilgi güvenlik eğitimi verilir.
Tüm bilgi güvenlik açıkları, şüphe duyulan zayıf noktalar birim sorumlusuna rapor edilir ve araştırılır Eğer bu açıklar tanımlı süreler dâhilinde çözülemediği takdirde güvenlik yöneticisine haber verilir.
Kullanıcı Politikaları
Bilgisayar ve Ağ Kullanımı
Kullanıcılar, Kobirate tarafından kendilerine tahsis edilmiş tüm donanımları çalışma alanlarına uygun, görev tanımlarında belirtilen konularda ve kurumun ihtiyaçlarını karşılayacak şekilde kullanırlar.
Kobirate bilgisayar ve iletişim sistemleri yalnızca iş amaçlı kullanılmalıdır. Kişisel amaçlı kullanımlar sadece bölüm yöneticilerinin onayıyla geçici olarak mümkün olabilir
Kullanıcılara tahsis edilmiş olan donanımların bakım ve tamiratı sadece Kobirate Sistem Destek bölümü tarafından veya yetkilendirilmiş kişilere ve kurumlara yaptırılır.
Arızalı veya değiştirilecek donanımı teslim alacak personelin, ilgili servis firmasının yetkili personeli olduğunu belgelendirmesi zorunludur.
Kullanıcılar, kendilerine tahsis edilen Kobirate donanımları üzerinde fiziksel değişiklikler yapamazlar, kalıcı işaretler bırakamazlar, donanıma zarar veren veya yıpratıcı her türlü eylemden kaçınırlar.
Kullanıcılar kendilerine tahsis edilen donanımı her türlü yıpranma, hasar ve çalınmaya karşı korumakla yükümlüdürler.
Kullanıcılar, tahsis edilen donanımlar üzerinde işleyişi ve sistemin bütününün güvenliğini etkileyebilecek herhangi bir yazılım veya donanım değişikliği yapamazlar.
Kobirate bilgisayarlarında yalnızca Kobirate Sistem Destek bölümü tarafından onaylanmış ve listesi yayınlanmış yazılımlar kullanılır. Kullanıcılar, listelerde bulunan ancak muhtelif nedenlerle bilgisayarlarına yüklenmemiş yazılımların Internet’ten veya diğer yollarla buldukları muadili yazılımları bilgisayarlarına yükleyemezler.
Kobirate bilgisayarlarına oyun yazılımlarının yüklenmesi ve kullanımı yasaktır.
Kullanıcılar bilgi sistemlerinin onayını almaksızın kişisel bilgisayarlarına, ağ sunucularına veya diğer sistemlere yazılım yükleyemezler. Yazılım yükleme ve güncelleştirme işlemleri yalnızca Kobirate Sistem Destek bölümü personeli tarafından yapılır.
Erişim Kontrolü
Çalışanlar kullandıkları PC, terminal veya dizüstü bilgisayarları sürekli olarak şifreli bir ekran koruyucusu ile korurlar. Otomatik olarak çalışmak üzere ayarlanmış olan şifreli ekran koruyucu ayarlarını değiştiremezler.
Bilgisayarlarda bir işlem yapılmadığı takdirde otomatik olarak 10 dk. İçinde ekran koruyucusu devreye girer.
Çalışanlar sisteme giriş şifrelerini kimseye (acil durumlar da dâhil) veremezler.
Çalışanlar şifrelerini tuşlarken başkalarının görmemesine özellikle dikkat ederler.
Çalışanlar şifrelerini başkalarının bulması muhtemel yerlere yazamazlar. Şifrelerin yazılı olarak saklanmaması ideal olanıdır.
Çalışanlar şifrelerini kendileri seçerler. İlk aktivasyon veya şifrenin süresinin dolması sırasında geçici olarak atanan şifre dışında başkaları tarafından önerilen şifreleri kullanmazlar.
İdeal şifre minimum 8 karakter uzunluğunda olur ve en az 1 büyük harf, 1 küçük harf ve rakam içerir.
Şifreleri tahmin etmek için yapılabilecek saldırı ve denemeleri engellemek için, şifrenin ardı ardına yanlış giriş sayısı kısıtlıdır. Bir kullanıcı hesabı şifre giriş sırasında 3 başarısız denemeden sonra, pasif hale getirilir ve kilitlenir.
Hiçbir kullanıcının şifresi değişmez, sabit bırakılamaz. Kobirate çalışanlarının tümü şifre değişim kurallarına tabidir.
Virüsler
Kobirate Bilgi Sistemlerinde kurumun resmi Anti virüs yazılımı olarak belirlenmiş yazılım(ların) en güncel ve/veya performans / kararlılık açısından en uygun sürümleri kurulur.
Kobirate sistemlerindeki tüm PC, dizüstü bilgisayar ve sunuculardaki anti virüs yazılımlarına, son çıkan güncellemeler testleri tamamlandıktan sonra ivedi şekilde kurulur.
İşletim sistemi, sunucu/istemci ayrımı gözetmeksizin, tüm Kobirate sistemleri üzerinde bir anti virüs yazılımı mevcuttur ve virüs tanımları güncel tutulur. Kurulu bulunan anti virüs yazılımları sadece Sistem Destek bölümü tarafından, ilgili “uninstall” şifresi girilerek kaldırılabilir.
Kobirate sistemlerine Internet’ten indirilen her türlü mesaj, yazılım, web sayfası ve doküman, otomatik olarak virüs kontrolünden geçirilir.
Kobirate’ e ait olmayan disketlerin Kobirate bilgisayarlarında kullanılması yasaktır. Onaysız disketler zorunlu hallerde, öncelikle virüs taramasından geçirilerek kullanılır.
Kullanıcı bir virüs bulaştığından şüphe ettiği takdirde, hemen bilgisayarını kapamalı, ağ bağlantısını kesmeli ve Sistem Destek bölümüne haber vermelidir.
Kullanıcılar Kobirate sistemlerine taşınabilir medya ile (USB Memory Stick, Cd-rom, disket) dışarıdan getirecekleri dosya ve diğer tüm elektronik verileri sisteme aktarmadan önce her seferinde virüs taramasından geçirmek ve virüssüz olduğundan emin olmak zorundadırlar.
Virüslü olduğu kullanıcı tarafından tarama sırasında tespit edilen veri ya da dosyaların temizlenerek sistemlere aktarılmasının zorunlu olduğu hallerde, Sistem Yöneticilerine başvurularak yardım talep edilir.
Elektronik Posta Sistemleri
E-mail hesabı personelin çalışmaya başlaması ile birlikte kendisine bildirilir.
Çalışanlar mesaj göndermek ya da almak için başka birine ait bir elektronik posta hesabını kullanamazlar. Eğer başka birinin postasını okuma gereği doğarsa (örneğin bir kişi tatildeyken) mesaj yönlendirme ve diğer çözümlerden yararlanmak gerekir.
Bilginin sahibi / kaynağı önceden onay vermedikçe veya söz konusu bilgi tümüyle kamuya açık bir bilgi niteliğinde olmadıkça çalışanlar kendilerine gelen elektronik postayı Kobirate ağ ortamı dışında herhangi bir adrese yönlendiremezler.
Kobirate düzenli olarak otomatik elektronik posta içerik tarama araçları kullanabilir. Bu araçlarla seçilmiş kelimeler, dosya tipleri ve diğer bilgiler taranabilir. Kullanıcılar böyle bir elektronik izlemenin yapıldığı bilinciyle, iletişim konularını yaptıkları işlerle sınırlı tutmalıdırlar.
E-posta sistemleri kritik bilgiler için saklama ortamları değildir. Bu nedenle kritik bilgilerin posta kutusu veya arşiv dosyalarında saklanmaması, e-posta ortamından çıkartılarak ortak alanlara kayıt edilmesi gerekir.
Şirket dışındaki kişilerle e-posta sisteminin izin verdiğinin üzerindeki veri paylaşımı (büyük boyutta yazışma haricindeki bilgiler grafik, video, sunum dosyaları ya da çalıştırılabilir dosyalar vs.) yapılması gerektiğinde, yine e-posta yerine ftp ya da http sunucular aracılığıyla karşılıklı alışveriş yöntemleri tercih edilir.
Kobirate çalışanları personel iş akdinde belirtilen maddelerde olduğu gibi çalıştığı kurumun çıkarlarını ve saygınlığını zedeleyecek şekilde içeriğe ve tarza sahip ya da hukuki açıdan sorun yaratabilecek şekilde yazışmalar yapmazlar.
Güvenlik ve tarama sistemlerinin e-posta içerikleri üzerinde uyguladıkları çeşitli filtreler ve anti virus koruma uygulamaları nedeniyle daha önceden belirlenmiş uzantılardaki dosyalar, içerikleri dolayısıyla karşı tarafa ulaştırılamayabilir. Kullanıcıların bu durumları dikkate almaları ve hangi dosya tiplerinin gönderilmediğini bilerek e-posta mesajlarını oluşturmaları gerekmektedir.
Kobirate çalışanları Internet’te güvenli olmayan ortamlarda kesinlikle kurumsal e-posta adreslerini belirtmezler, kendi posta kutularını kurum dışı e-posta adreslerine yönlendirmezler.
Internet yönetimi
Kobirate çalışanlarının kurum içi internet erişimleri Server üzerinden sağlanır. Sistem destek Bölümü tarafından onaylanmış istisnai durumlar dışında kullanıcıların Internet’e direk çıkış yetkisi olmadığı gibi çevirmeli bağlantı, ADSL, v.b. gibi alternatif yöntemler kullanılarak Kobirate network’unden Internet erişimi sağlanması yasaktır.
Kullanıcı erişim profili değişikliği ancak ilgili bölümün Bölüm Yöneticisi’nin ve Sistem Destek Yöneticisinin onayıyla gerçekleşebilir.
Kobirate kurumsal internet sayfalarında yapılan tüm değişikliklerin Genel Müdürlük tarafından onaylanması gerekir.
Kobirate’e ait internet sayfalarına yapılan tüm ziyaretler gerektiğinde raporlanabilmek üzere izlenir ve loglanır.
Güvenlik ihlalleri bildirimi
Bilinen açıklar ya da şüphe edilen bütün ihlaller kullanıcılar tarafından gizli bir şekilde Kobirate sistem destek bölümüne bildirilir.
Kobirate’e ait bilginin izinsiz yayınlanması, Kobirate dışında herhangi bir şirkete güvenlik açıklarının, problemlerinin, ihlallerinin raporlanması kesinlikle yasaktır
Çalışanlar, bilgi sistemlerinin çalışmalarını sekteye uğratabilecek tüm koşulları yönetime haber vermekle yükümlüdürler.
Kullanıcılar tüm bilgi güvenlik uyarılarını, alarmları vb. Kobirate sistem destek bölümüne ivedilikle haber vermekle yükümlüdürler.
Kullanıcıların Kobirate sistemlerini kurum dışındaki diğer şahıslara bilgi iletmekte kullanmaları yasaktır.
Bilgi Sistemleri Politikaları
Bilgisayar ve Ağ Kullanımı
Kobirate Sistem Destek bölümü, Kobirate bilgisayar ve diğer elektronik donanımının envanterini tutar. Oluşturulacak envanterin minimum kayıt şartı, kaydedilen cihazın marka ve modeli, tarifi, seri numarası, hangi amaçla nerede kullanıldığı ve zimmetinde bulunduğu çalışanın yazılmasıdır.
Envanterin güncelliği ve doğrululuğu Sistem Destek bölümü tarafından periyodik taramalarla kontrol edilir ve tutarsızlıklar saptanarak raporlanır.
Sistem Destek bölümü satın alınmış veya edinilmiş yeni donanımı, envanterine kayıt eder ve etiketler.
Kobirate bilgisayar ve iletişim sistemleri yalnızca iş amaçlı kullanılır. Kişisel amaçlı kullanımlar için bölüm yöneticilerinin onayı olmadan donanım tahsisi yapılmaz.
Kobirate donanımlarının tamirat ve bakım işlemleri sadece Kobirate tarafından yetkilendirilmiş kişilere ve kurumlara yaptırılır.
Kobirate Sistem Destek bölümü, kullanıcılara tahsis edilen donanımlarım en iyi ve verimli şekilde kullanılabilmesi için gerekli tüm kullanım kılavuzları ve tavsiyeleri yayınlar.
Kullanıcıların tahsis edilen donanımlar üzerinde işleyişi ve sistemin bütününün güvenliğini etkileyebilecek herhangi bir yazılım veya donanım değişikliği yapmasına izin verilmez. Gerekli tüm önlemler sistemler üzerinde etkinleştirilir.
Kullanıcılar bilgi sistemlerinin onayını almaksızın kişisel bilgisayarlarına, ağ sunucularına veya diğer sistemlere yazılım yükleyemezler. Yazılım yükleme ve güncelleştirme işlemleri yalnızca Kobirate Sistem Destek bölümü tarafından yapılır.
Kurulan ve canlı ortamda çalıştırılan her sistemin güvenlik operasyonu ve yedekleme prosedürü için yeterli düzeyde eğitim alınır.
Bilgi sistemleri uzak veri tabanlarına yapılacak yedekleme transferleri için gerekli prosedürleri hazırlar ve prosüdürlere uygun yedekleme yapılmasını sağlar.
Kobirate Sistem Destek bölümü Kobirate bünyesindeki tüm terminallerinde IP değerlerinin ve diğer kritik ayarların kullanıcı tarafından değiştirilmesini engellemek için önlemler alır.
Erişim güvenliği
Kullanıcı hesaplarının açılmasında veya kapatılmasında referans kaynak olarak Kobirate Genel Müdürlüğü’nün bildirimleri esas alınır.
Kobirate personelinin görevi gereği kullanması gereken bilgi sistemleri ve kaynaklara erişiminde, çalıştığı bölümün doğal üyesi ve sahibi olduğu kaynaklara doğrudan erişim sağlanır. Bunların dışındaki tüm kaynaklara erişim için Sistem Destek bölümü, kaynağın sahibi bölüm onayı olmadan üçüncü şahıslara erişim yetkisi sağlamaz, mevcut yetkileri kaldırmaz, değiştirmez.
Herhangi bir sebeple yedi gün ya da daha fazla süreyle çalışmayacak olan kullanıcının tüm erişim kod ve hesapları, pasif hale getirilir..
Kullanıcı kodlarının kullanıcılara yazılı olarak iletilmesi sağlanır.
Bilgisayarlarda bir işlem yapılmadığı takdirde otomatik olarak 10 dk. İçinde şifreli ekran koruyucusu devreye girer.
Kullanıcıların oluşturduğu şifrelerin uzunluğu sistem tarafından otomatik olarak kontrol edilmektedir. Sistem, yetersiz ve kurallara uygun olmayan şifreleri otomatik olarak reddeder.
İdeal şifre minimum 8 karakter uzunluğunda olur ve en az bir 1 büyük harf, 1 küçük harf ve 1 rakam içerir.
Sistem otomatik olarak kullanıcıların her 60 günde bir şifre değiştirmelerini zorunlu kılar. Şifre kullanım süresinin dolmasına 7 gün kala sistem tarafından kullanıcı ekranına uyarıcı ve hatırlatıcı nitelikte mesaj gönderilmektedir. Sistem, güvenlik politikaları gereği kullanıcıların daha önceden kullandıkları geriye dönük 5 şifreyi tekrar kullanmalarına izin vermez.
Şifreleri tahmin etmek için yapılabilecek saldırı ve denemeleri engellemek için, şifrenin ardı ardına yanlış giriş sayısı kısıtlandırılır. Bir kullanıcı hesabı şifre giriş sırasında. 3. başarısız denemeden sonra, sistem yöneticileri veya Help Desk tekrar aktif hale getirene kadar pasif hale getirilir ve kilitlenir.
Şifreler okunabilir şekilde batch iş dosyalarında, otomatik logon scriptlerinde, yazılım makrolarında, terminal fonksiyonlarında veya yetkisiz kişilerin bularak kullanabileceği diğer yerlerde saklanmaz / depolanmaz.
Tüm kaynaklara erişimlere ait log kayıtları ortak veritabanında 90 gün süreyle saklanır.
Log kayıtları güvenilir bir ortamda saklamaya alınmadıkça takip edildiği sistemlerden silinmez.
Virüsler
İşletim sistemi, sunucu/istemci ayrımı gözetmeksizin, tüm Kobirate sistemleri üzerinde bir anti virüs yazılımı mevcuttur ve virüs tanımları güncel tutulur. Kurulu bulunan anti virüs yazılımları sadece Kobirate Sistem Destek bölümü personeli tarafından, ilgili “uninstall” şifresi girilerek kaldırılabilir.
Kobirate’de çalışan tüm personel virüslerden korunmak için gereken tüm önlemleri alır ve tamamıyla uygularlar.
Kobirate Bilgi Sistemlerinde kurumun resmi Anti virüs yazılımı olarak belirlenmiş yazılım(ların) en güncel ve/veya performans / kararlılık açısından en uygun sürümleri kurulur
Kobirate sistemlerindeki tüm PC, dizüstü bilgisayar ve sunuculardaki anti virüs yazılımlarına, son çıkan güncellemeler testleri tamamlandıktan sonra ivedi şekilde kurulur.
Tüm PC ve dizüstü bilgisayarlarda kurumun resmi anti virüs yazılımlarının çalıştırılması ve aktif olması sağlanır.
Kullanıcıların anti virüs yazılımlarının sağlıklı çalışmasını engelleyecek işlemler yapma yetkileri otomatik olarak kaldırılır ve ayarlara müdahale etmelerine izin verilmez.
Her sunucu ve istemci üzerindeki anti virüs yazılımı, anti virüs sunucu tarafından otomatik olarak yönetilir.
E-posta sunucuları ve geçitler (gateway) üzerindeki anti virüs ve antispam yazılımları güncellemelerini Internet üzerinden otomatik olarak yaparlar.
Tüm sunucu ve istemci sistemleri için anti virüs yazılımları üzerinde tarama filtreleri, otomatik tarama, otomatik güncelleme gibi parametrelere ilişkin bazı tanımlamalar belirlenmiş olup bu tanımlamaların Kobirate Sistem Destek bölümü yöneticileri dışındaki kişiler tarafından değiştirilemez.
Kobirate sistemlerine Internet’ten indirilen her türlü mesaj, yazılım, web sayfası ve doküman, otomatik olarak virüs kontrolünden geçirilir.
Elektronik posta sistemleri
E-posta hesabı, kullanıcı kodu oluşturulurken oluşturulur. Kobirate Sistem Destek bölümü tarafından personelin çalışmaya başlaması ile birlikte kendisine teslim edilir.
Internet’ten gelen tüm e-posta mesajları SPAM ve Anti virüs kontrollerinden geçirilir. SPAM olduğu tespit edilen mesajlar iç sistemlere ve kullanıcıya teslim edilmeden önce bloke edilir.
Kurum dışındaki kişilerle e-posta sisteminin izin verdiğinin üzerindeki veri paylaşımı (büyük boyutta yazışma haricindeki bilgiler grafik, video, sunum dosyaları ya da çalıştırılabilir dosyalar vs.) yapılması gerektiğinde, yine e-posta yerine ftp ya da http sunucular aracılığıyla karşılıklı alışveriş yöntemleri tercih edilir.
Sistem Yönetimi ve Güvenliği
İnternetten erişilebilen tüm web sunucuları Kobirate Network bölümü tarafından düzenlenen yönlendiriciler (router) veya güvenlik duvarları (fire-wall) ile korunur.
Veritabanı sunucuları ve web sunucuları da dahil olmak üzere tüm internet sunucuları bir DMZ bölgesinde ve güvenlik duvarları ile korunur.
Sistem yöneticisi, Kobirate bilgi sisteminin tehlikede olduğuna dair şüpheleri olduğunda söz konusu sistemin ilgili olduğu bilgisayarın tüm ağ bağlantılarını acilen keser. Bu durumda sistemlerin sistem yazılımında meydana gelmiş tüm değişiklikleri görebilmek üzere bir dosya karşılaştırma aracı çalıştırılmalı ve sistem yazılım ortamını güvenli yedekleme kopyalarından yeniden yüklemelidir.